7/4/2010
Jeśli pracujesz budżetówce i dostałeś maila zatytułowanego “The annual Cybersecurity meeting on April 05-08” to nie otwieraj załączonego doń PDF-a — ostrzega rządowy oddział CERT-u.
Nadawcy podszywają się pod Ministerstwo Obrony Estonii, a przesyłki zawierać mogą plik PDF, który po otwarciu wykorzystuje niezałatane luki w programie Adobe Acrobat Reader i służy do infekcji komputera osobistego złośliwym oprogramowaniem.
Zabawne, że atak zbiega się z niedawno upublicznionym, bardzo ciekawym błędem w plikach PDF, do wykorzystania którego nie potrzeba żadnego exploitu…
CERT udziela porad jak walczyć z “atakami skierowanymi” zarówno dla użytkowników końcowych administracji publicznej jak i administratorów administracji publicznej (pun intended):
Rady dla użytkowników komputerów:
- wyłącz opcję autopodglądu załącznika w kliencie pocztowym
- nie otwieraj załączników zawartych w “niezamówionych” mailach instytucji państwowych, nawet jeśli na pierwszy rzut oka wyglądają na wysłane z instytucji, z którą na co dzień współpracujesz
- zgłaszaj administratorom sieci informację o wszelkich nietypowych sytuacjach podczas pracy, takich jak: nieoczekiwane zamknięcie programu, zawieszenie się aplikacji, znaczne spowolnienie pracy komputera.
Rady dla administratorów sieci:
- Poinformuj użytkowników sieci o zagrożeniach związanych z otwieraniem podejrzanych wiadomości e-mail oraz konieczności informowania o wystąpieniu sytuacji nietypowych związanych z otrzymanymi przesyłkami.
- Zgłaszaj do CERT wszelkie przypadki otrzymania podejrzanych (niezamówionych) przesyłek e-mail z załącznikiem, których nadawcą jest rzekomo instytucja państwowa lub instytucja Unii Europejskiej.
- Regularnie aktualizuj system operacyjny i oprogramowanie (zwłaszcza antywirusy) na stacjach klienckich.
- Włącz filtry antyspamowe na serwerach pocztowych.
MOICE
Bardzo podoba się nam, że CERT zaleca wszystkim korzystającym z Microsoft Office instalację darmowego narzędzia MOICE (Microsoft Office Isolated Conversion Environment).
Dla tych, którzy nie wiedzą czym jest MOICE, kilka słów wyjaśnienia:
MOICE to oprogramowanie, które konwertuje starsze, binarne formaty Office’a (.doc .xls. .ppt .pot .pps .xlt .xla) do ich nowszych odpowiedników w formacie Office Open XML. Nowszy format minimalizuje ryzyko związane z otwieraniem “nieznanych” plików poprzez usuwanie potencjalnych zagrożeń charakterystycznych dla starszego, binarnego formatu. MOICE konwersję przeprowadza w izolowanym środowisku, co dodatkowo chroni przed potencjalnymi zagrożeniami.
A jakie rady Wy macie dla użytkowników i admnistartorów “atakowanej” instytucji?
Trochę rozumu :) to tak serio a tak nie serio to zainwestujcie w MAC-a. Nie wiem czy ta dziura działa pod OS X ale szczerze wątpię.
Pić więcej kawy. Po 4 kawach (licząc od rana do południa) człowiek zyskuje nadświadomość i jego umysł synchronizuje się z cyklami procesora, snifuje wszelkie dane przepływajace przez magistralę główną na mobo i dzięki temu wiemy nie tylko gdzie się ukryły nasze prastare memory leaki w rekurencyjnych ‘define’ach’ ale także, że wysyłająca nam maila osoba ma włosy farbowane na BLOND i jadła szproty w oleju na śniadanie. A płeć jej jest odmienna…
gona learn ubuntu :>
klasyk :D :
http://www.youtube.com/watch?v=yX8yrOAjfKM
ustawić filtr poczty na serwerze w oparciu o skrypty w pythonie napisane przez odkrywce luk w PDF: http://blog.didierstevens.com/programs/pdf-tools/
“Rady dla użytkowników komputerów:”
-zainstaluj Linuxa…
/
Albo “odłącz internet, i czekaj aż się skończy epidemia”
Przyjmować należy pocztę wyłącznie w formie papierowej, najlepiej od zaprzyjaźnionego listonosza. Włączyć automatyczny skrypt “drukuj załączniki jako…”, wskazując drukarkę sieciową pobliskiej kafejki internetowej. Jak za radą Piotra – zainstaluj Linux’a.
A co z podglądem w Gmailu? Gmail umożliwia podejrzenie danego pliku w swoim Google Docs Viewer. Zawsze z tego korzystam, nie chce mi się ściągać PDFów na dysk twardy.
b.YISK: no ja myślę, że na tysiącach serwerów Google’a otworzył się prompt Winodowsa i inżynierowie a) umarli z zaskoczenia b) pęki ze śmiechu. ;-)
wystarczy zamiast dziurawych zamknietych programow typu M$ Office czy Adobe Reader uzywac otwartych i pewnych np. OO i plików ODF, a najlepiej jak juz wspomniano przesiasc sie na Linuksa.
Użytkownikom nie powinni nic zalecać bo oni i tak nie skorzystają/nie zrozumieją.
Adminom nie powinni dawać takich zaleceń, bo oni to już od dawna wiedzą.
A ja używam KPDF, więc dziurawy Adobe raczej mnie nie dotyczy :-)