TI je servis TERENA-e (“Trans European Research and Education Netvorking Association”) koja je prepoznata kao svojevrsni forum za saradnju i razmjenu informacija u okrilju evropske istraživačke i obrazovne zajednice, a sa ciljem daljeg razvoja u oblasti internet tehnologija, informacionih sistema i usluga.

Prva faza u procesu akreditacije i potvrđivanja članstva zainteresovanog tima u okrilju TI-a, odnosno TERENA-e podrazumjeva detaljno sakupljanje informacija o predmetnom timu od strane TI-a, evaluaciju, te njegovo uvođenje u bazu podataka.

Proces apliciranja, prikupljanja informacija i evaluacije je završen, a CIRT.ME je zvanično registrovan u bazi podataka TI-a (više: https://www.trusted-introducer.org/teams/teams-c.html#CIRTME). Ovim je napravljen prvi korak u pravcu uključivanja Nacionalnog CIRT tima u istraživačku zajednicu koju okuplja TERENA.

Benefiti akreditacije CIRT.ME tima su mogućnost prisustvovanja zatvorenim sastancima kojima prisustvuju nacionalni timovi iz Evrope i šire, pristup osjetljivim i povjerljivim informacijama, bazama podataka o aktulenim inicidentima i potencijalnim prijetnjama, koordinacija prevencije i proaktivnog pristupa u borbi protiv sajber kriminala i prijenji na internetu.

Članstvom i povezivanjem sa regionalnim, evropskim i međunarodnim organizacijama i forumima CIRT.ME gradi dobru platformu bilateralne i multilaterane saradnje u skladu sa svojim strateškim prioritetima, a u oblasti aktivnog odnosa prema savremenim prijetnjama i incidentima.

Da bi kompromitovali sistem, napadači koriste izuzetno efikasne metode socijalnog inžinjeringa koji  uključuje slanje malicioznih PDF dokumenata svojim ciljevima.
Naime pomenuti trojanac se širi preko inficiranih PDF dokumenata koji su dizajnirani da izgledaju kao pravi zvanični dokumenti. U samom PDF dokumentu nalaze se eksploatacije koje napadaju ranjivosti Adobe Reader-a 9, 10, 11, sa kojih se kasnije instalira maliciozni kod koji ima više funkcija (javascript, asembler kod…) a kao svrhu ima: instaliranje „backdoor“-a na računaru i generalno krađu dokumentacije i sajber špijunažu.

Neke preporučene mjere zaštite odnosno preventive bile bi:

•    ažurirati Java softver  (ili makar ukloniti Java plugin u browserima)
•    ažurirati Microsoft Windows i Microsoft Office sa najnovijim zakrpama
•    ažurirati Adobe Reader na najnoviju verziju

Molimo vas, ukoliko primijetite pokušaje ovakvih napada, putem lažnih obavještenja, da nas o tome povratno informišete u što kraćem vremenskom roku.
Više informacija o samom trojancu kao i mjerama preventive možete pronaći na sledećim linkovima:

http://www.securelist.com/en/blog/208194129/The_MiniDuke_Mystery_PDF_0_day_Government_Spy_Assembler_0x29A_Micro_Backdoor

http://www.crysys.hu/miniduke/miniduke_indicators_public.pdf

http://blog.crysys.hu/2013/02/miniduke/

Primjeri nekih od pomenutih inficiranih PDF dokumenata su imali sledeći sadržaj:

]]> http://www.cirt.me/novosti/obavjestenje-o-miniduke-trojancu-2/feed/ 0 http://www.cirt.me/novosti/nacionalni-cirt-crne-gore-postao-punopravni-clan-first-a/ http://www.cirt.me/novosti/nacionalni-cirt-crne-gore-postao-punopravni-clan-first-a/#comments Mon, 25 Feb 2013 12:15:46 +0000 cirt_admin http://www.cirt.me/?p=2087 Na temelju izvještaja o usklađenosti postojeće infrastrukture i organizacije CIRT.ME sa standardima FIRST-a (Forum of Incident Response Security Teams) koji su nakon posjete Crnoj Gori napravili predstavnici CIRT-ova Slovenije i Hrvatske, Upravni odbor FIRST-a donio je pozitivnu odluku sa aspekta priključenja CIRT.ME-a.

Narednih dana se očekuje i objavljivanje ove informacije na sajtu FIRST-a, kao i uključivanje crnogorskog tima u njihovu bazu CERT/CIRT/CSIRT timova.

Ostvareno članstvo u FIRST-u je potvrda opredijeljenosti Crne Gore da se u skladu sa svojim kapacitetima aktivno angažuje na planu kreiranja i garantovanja sajber bezbjednosti koja danas dobija primat u međunarodnoj zajednici.

FIRST predstavlja svojevrsni svjetski Forum koji okuplja više od 200 timova za odgovor na incidentne situacije iz svih krajeva svijeta. Nacionalni CIRT Crne Gore sada će imati bolje temelje za efikasniju saradnju sa drugim regionalnim i međunarodnim CIRT timovima u slučaju prekograničnih računarskih incidenata.

Istovremeno, kroz saradnju i koordinaciju na planu prevencije, adekvatnog i blagovremenog odgovora na sajber prijetnje, te razmjenu informacija između članova FIRST-a, CIRT.ME će, između ostalog, biti prepoznat i kao strateški partner u zajedničkom, međunarodnom projektu- proaktivnog pristupa borbi i zaštiti od sajber bezbjednosnih rizika i incidenata.

Namjera je u predstojećem periodu nastaviti sa jačanjem internih kapaciteta i širenja mreže saradnje CIRT.ME-a sa drugim regionalno i međunarodno prepoznatim partnerima sa ciljem davanja doprinosa daljem unapređenju i kontinuiranom progresu u oblasti od posebnog nacionalnog značaja.

Kaspersky Lab, kompanija koja stoji iza otkrića, kaže da digitalni tragovi upućuju da su počinioci iz ruskog govornog područja, ali da izgleda kao da kampanja nije povezana sa nekom državom. Međutim kao i u skorijim slučajevima kompjuterske špijunaže, Kaspersky izvještaj nije direktno adresirao pogođene sisteme već je dao specifične detalje kako bi se potencijalno ugroženi sistemi ispitali.

Kurt Baumgartner, sajber bezbjednosni istraživač iz Kaspersky Lab-a je izjavio da su među „nekoliko hiljada“ napadnutih organizacija bile i „ambasade, konuzulati i trgovinski centri.“ Većina zaraženih sistema se nalazila u Rusiji, gdje je Kaspersky indetifikovao 38 zaraženih uređaja, zatim Kazahstan sa 16 identifikovanih infekcija. Šest pogođenih uređaja je identifikovano u SAD.

Gospodin Baumgartner opisuje kampanju kao „sofisticiranu sa veoma strpljivim i višeslojnim naporima“ kako bi se ekstraktovale geopolitičke i povjerljive obavještajne informacije sa računara, mrežnih uređaja kao što su ruteri i svičevi, ali i pametni telefoni. Malware je bio kreiran kako bi preuzeo fajlove, emailove, šifre, snimao unose preko tastature i snimao slike ekrana, kao i za krađu istorije pretraživanja iz internet pretraživača Chrome, Firefox, Internet Explorer i Opera. Bio je sposoban i za krađu ugovora, istorije poziva, kalendara, tekstualnih poruka i istorije pretraživanja sa telefona, uključujući iPhonwe, Windows, Nokia, Sony i HTC telefone. Malware je sakupljao i informacije o instaliranom sofveru, kao što su Oracle baze, remote administrativni programi i programi za instant komunikaciju, kao što je program kreiran od strane Mail.Ru, ruske emailing kompanije.

Međutim iz Kasperskog kažu da je ono što ovaj slučaj izdvaja od ostalih činjenica, da su kreatori projektovali malware da krade fajlove koji su kriptovani povjerljivim softverom, Acid Cryptofiler, koji koristi nekoliko država u EU i NATO kako bi zaštitili povjerljive podatke.

Istraživači su otkrili nekoliko ruskih riječi u izvornom kodu malware, koji upućuju da su kreatori povezani sa ruskim govornim područjem. Na primjer, riječ „Zakladka“ se pojavljuje u malware, koja na ruskom i poljskom znači „zapis“. To je istovremeno i ruski sleng izraz za „skrivenu funkciju“ u kompjuterskom softveru ili hardveru. Interesantno je da se ovaj izraz odnosi i na „mikrofon sakriven u zidu zgrade ambasade“ (SAD i Rusija imaju istoriju međusobnog špijuniranja amabasada.)

Koliko je malware bio napredan, toliko je način kojim su ga proširili bio zaostao. Mašine su zaražene preko jednostavnog phishing napada u kojem su zaraženi fajlovi slati određenim organizacijama. Jednom otvoreni fajlovi, daju pun pristup sistemu hakerima preko dobro poznatih propusta, koji su prethodno korišteni u kamapnjama kineskih hakera kako bi špijunirali tibetanske aktiviste, kao i vojni i energetski sektor u Aziji.

Hakeri su koristili dobro poznate propuste ili iz lijenosti ili kao dobar način da sakriju svoje tragove, kaže gospodin Baumgartner.

Kaspersky kaže da su hakeri kreirali preko 60 domena i nekoliko serverskih lokacija, većinom u Njemačkoj i Rusiji, kako bi upravljali mrežom zaraženih računara. Ali ti računari su bili proxi serveri, dizajnirani za prikrivanje tragova „matice“, glavnog komandnog i kontrolnog servera.

Upitan zašto Kaspersky nije saopštio koje su organizacije ugrožene, gospodin Baumgartner je izjavio da je istraga još u toku.

Sajber bezbjednosnt je postala veoma značajna i rastuća briga na globalnom nivou, sa hakerima koji dobijaju pristup privatnim i vojnim tajnama i intelektualnom vlasništvu. Prošle godine, Kaspersky Lab je otkrio nekoliko virusa iza kojih stoje države, kao Flame, sofisticirani kompjuterski virus koji je špijunirao kompjutere u Iranu i Gauss, odvojeni virus koji je napadao libanske banke. Kompanija je tada saopštila da smatra da iza oba virusa stoje iste države koje su kreirale Stuxnet, virus koji je kreiran od strane SAD i Izraela.

Međutim Kaspersky nije tako otvoren za izjave kada virusi dolaze iz njegovog dvorišta, u Rusiji i okolnim zemljama, gdje kriminalci sa ruskog govornog područja kontrolišu trećinu globalnog sajber-kriminalnog tržišta, procijenjenog na 12 milijardi dolara prema firmi Group-IB.

Zadnje otkriće Kasperskog možda signalizira promjenu pravca. Firma je dala nadimak kampanji na ruskom „Operacija Crveni Oktobar“, skraćeno Rocra, zato što je prvi put malwarwe identifikovan u oktobru. Od tada kompanija je otkrila više od 1000 „modula“ ili komponentni ovog malware, sa najranijim kreiranom jos 2007 i najskorijim komponentama od prije nekoliko nedelja.

„Hakeri su uspjeli da ostanu u igri preko pet godina i da izbjegnu detekciju većine antivirusnih programa, istovremeno su kontinuirano nastavili da preuzimaju sada već više od nekoliko stotina terabajta podataka,“ kaže se u saopštenju Kasperskog.

Preuzetno sa NYTimes

Mobilni malware je trenutno na naslovnim srtanama zbog znacajnog broja infekcija koje cirkulišu, a koje su sposobne da kradu korsnicima identitet i novac. Kako se nastavlja sa cvjetanjem pamentnih telefona i kako tržište svakim danom sazrijeva sve više, podsticaj za većim profitom će ohrabriti kreatore malvera da kreiraju sve sofisticiraniji malver.

Rizik sa kojim se suočavaju korisnici mobilnih uređaja je povecan korišćenjem pravila „Donesi Svoj Sopstveni Uređaj“ unutar korporacijskog svijeta i u preduzećima. DSSU je pravi izazov za IT bezbjednosne menadžere pošto to upropašćava kontrolu nad klijentskim endpointom. Skorašnje prijetnje na mobilnim platformama bi trebale biti alarm za uzbunu za menadžere kako bi insistirali da se korisnički uređaji i aplikacije u njihovoj mreži barem usklade sa nekim osnovnim standardima vezano za siguronosni softver i anti-malver. Istraživanja pokazuju da Android ostaje glavna meta malver kreatora.

Najprostranjeniji malveri su:

• NOTCOMPATIBLE: Nošen Trojancem koji može da inficira telefone preko njihovog web pretraživača. Kada se pretraživačev download završi, zatražiće odobrnje od korisnika. Nakon što se zarazi, telefon može da radi kao proxy.

• SMSPACEM: Ovo je drugi najrasprostranjeniji malver za Android telefone. On će promijeniti pozadinu telefona, i poslaće anti-hrišćanske šale preko poruke svim kontaktima na telefonu.

• LENA: Ovaj malver je u mogućnosti da preuzme kontrolu nad telefonom korisnika bez zatraživanja pomoći koristeći exploit kao štu su gingerbreak ili predstavljaući se kao VPN aplikacija.

• NETISEND: Predstavlja krađu informacija, može da preuzme informacije kao što su IMEI, IMSI, informacije o modelu i instaliranim aplikacijama.

• BASEBRIDGE: Može da dobije „Phone Root Access“ iskorišćavanjem ranjivosti netlink validacije poruka. Ovaj malver može takođe da onesposobi za rad instalirani anti-virusni softver.

IZBJEGAVANJE ZLA:

OSIGURANJE MOBILNIH UREĐAJA

Cloud tehnologije i mobilnost su pružili novr mogućnosti korisnicima tako da je doslo da promjene običaja kupovine i korišćenja Informacionih Tehnologija. Postoje brojne značajne prijetnje za mobilnu bezbjednost.

U najgorih 8 spadaju:

• Gubitak podataka prouzrokovan izgubljenim, ukradenim ili rashodovanim uređajima.

• Mobilni Malver za krađu informacija

• Gubitak i curenje podataka preko loše kreiranih aplikacija sa treće strane

• Ranjivosti unutar uređaja, operativnih sistema, dizajna i aplikacija sa treće strane

• Nebezbjedni WiFi, mrežni pristup i loši access pointovi.

• Nebezbjedna ili loša tržišta

• Nedovoljni alati za menadžerisanje, sposobnosti i pristup interfejsu za aplikativno programiranje

• Tehnologije za blisku komunikaciju i hakovanje na osnovu neposredne blizine

Strategije menadžerisanja rizika uključuju : stroga pravila za mobilne uređaje, enkripcija informacija i ispravno konfigurisanje uređaja.

Izvor: IMPACT

Za potrebe razvoja, promocije i daljeg unapređivanja aktivnosti u domenu e-Government-a, organizovani su usko specijalizovani sajber-sigurnosni kursevi pod okriljem “JICA”-e (Japanesee International Cooperation Agency).

Kao jedan od posljednjih trendova u Japanu koji se može primijetiti jeste i veoma velika zastupljenost javno-privatnog partnerstva. U skladu sa ovom praksom kao tehnički partner pri implementaciji pomenute obuke, izabrana je japanska, svjetski prominentna kompanija “FUJITSU“.

U protekla 3 mjeseca, u sklopu treninga organizovane su i periodične posjete polaznika renomiranim japanskim organizacijama i institucijama i to: lokalnim opštinama, FUJITSU ograncima, kompanijama koje se bave pitanjima zaštite na internetu, kao i japanskom Nacionalnom CERT-u.

Tokom posjeta, pomenute organizacije predstavile su njihova poslednja sajber-sigurnosna rješenja, kao i njhove vizije o najboljim i savremenim praksama u domenu sajber sigurnosti. Između ostalog, predstavljeni su i futuristički dizajnirani Data centri, mehanizmi zaštite u slučaju jakih zemljotresa, najbrži svetski superkompjuter (K-kompjuter), itd.

U okviru obilaska japanskog Nacionalnog CERT-a, predstavnik Nacionalnog CIRT-a Crne Gore bio je u prilici da sa kolegama iz struke razmjeni mišljenja i uporedi iskustva na planu organizacije i uspostavljanja CIRT-a u okrilju državnih institucija, a koji treba da bude centralno mjesto za koordinaciju internet saobraćaja i adekvatan odgovor na eventulane maliciozne napade.

Kolege iz JPCERT-a upoznali su sagovornika sa fazama u razvoju kroz koje je prošao japanski CERT od momenta kada je osnovan 1996. godine pa do danas kada je JPCERT prepoznat kao vodeća organizacija na polju sajber bezbjednosti u tom regionu.

Kao jednu od bitnijih aktivnosti koje je JPCERT sproveo poslednjih godina, sagovornici su izdvojili podatak da su 2009. godine pustili u rad globalni monitoring sistem pod imenom TSUBAMI – centralizovni sistem za monitoring internet saobraćaja sa kompleksnim mogućnostima detektovanja malicioznih aktivnosti. Ovaj sistem integrisan je u velikom broju država u regionu jugoistočne Azije i Pacifika, dok je centralni dio, koji obavlja funkciju analize podataka, smješten u Tokiju i koordinisan od strane JPCERT-a.

Na kraju posjete sagovornici su se složili o značaju postojanja saradnje između različitih konstituenata u okviru države, a koji se bave pitanjima sajber sigurnosti, ali i o neophodnosti da takva saradnja i razmjena informacija postoji i na regionalnom i međunarodnom nivou. U tom kontekstu, ispoljena je otvorenost JPCERT-a da pruži podršku svakom naporu da se izgradi konzistentan sigurnosni sistem u okviru drugih država, a koji će obezbijediti da se stvore i dalje unaprijede mehanizmi za monitoring, prevenciju i odgovor na savremene sajber prijetnje.

Međunarodna telekomunikaciona unija (ITU) i Međunarodno multilateralno partnerstvo protiv sajber prijetnji (IMPACT), uz pomoć Ministarstva informacionih i telekomunikacionih tehnologija (MoICT) Jordana, organizovali su prvu prekograničnu sajber vježbu dizajniranu kako bi testirali sposobnosti odgovora na računarske incidente arapske regije i poboljšali spremnost u slučaju teoretskog budućeg sajber napada.Ova vježba je sastavni dio sajberbezbjednosne radionice organizovane od strane ITU-IMPACT-a, održane u Amanu (Jordan) od 15.-17. jula 2012. godine.

Sajber vježba je druga po redu koja je organizovana i dio je serije događaja koje ITU i IMPACT organizuju širom svijeta kako bi pomogli zemljama da ojačaju svoju sajber bezbjednost. Prva vježba je održana u jugoistočnoj Aziji u decembru 2011.godine.

Preko 10 arapskih zemalja je učestvovalo na radionici, a neke od glavnih tema su bile zaštita djece na internetu, botnet mreže i mobilna bezbjednost.

“Sajber bezbjednost je postala globalni prioritet, i nijedna se nacija, bez obzira koliko tehnološki napredna, ne može izolovati od prijetnji koje su svakim danom sve sofisticiranije.” –rekao je Dr Hamadoun Touré, Generalni sekretar ITU-a.

“Sa 143 zemlje koje su sada dio ITU-IMPACT koalicije i sa jakom podrškom globalnih industrijskih giganta i vodećih akademskih partnera, sa zadovoljstvom mogu da konstatujem da je ITU-IMPACT sada najveća  sajberbezbjednosna alijansa takve vrste na svijetu. Ovo će omogućiti svim zemljama članicama, uključujući i najmanje razvijene zemlje, da imaju pristup najboljim strategijama za sajber odbranu.”

Podsjećamo da je Nacionalni CIRT Crne Gore osnovan u partnerstvu sa ITU i IMPACT-om, i dio je pomenute sajberbezbjednosne alijanse.

Oracle-ova najnovija verzija Java 7 runtime-a podvrgnuta je ispitivanjima poslednjih nedelja, nakon što je otkriveno da se propusti u njoj aktivno iskorišćavaju za maliciozne napade na Windows sisteme. Do sada je otkriveno da se ovaj propust koristi samo za napade na Windows , međutim i druge platforme kao Mac OS mogu potencijalno postati mete napada preko istog propusta.

Kako bi odogovorio na ova otkrića, Oracle je promijenio kvartalni raspored update-a i izbacio novi update za runtime, ali nakon ovog update-a, otkriveno je još više ranjivosti u programu. Prema pisanju MacWorld-a, Poljska bezbjednosna kompanija Security Explorations ­tvrdi da je otkrila dva nova nedostatka u Javi,  koja mogu biti korišćena kako bi se probio Java 7 sanbox i izvršio kod. Kao i kod svakog nedostatka i ovaj otvara nove mogućnosti za maliciozne napade.

Security Explorations drži u tajnosti detalje oko ovih nedostataka sve dok Oracle ne riješi problem. Izjavili su samo da kada se iskoriste omogućavaju nedobronamjernim Java apletima da probiju Java sanbox i da izvrše proizovljan kod na sistemu.

Kako su ovi napadi izvedeni samo kao dokaz koncepta, to znači da za sad oni ne bi trebali da predstavljaju prijetnju za Java korisnike i Oracle bi trebao da ih riješi u novijim update-ima. Međutim Oracle se skorije suočio sa kritikama za spor pristup pri uklanjanju poznatih nedostataka. Prema PCWorld-u, Oracle je znao za ove i druge nedostatke od Aprila ove godine i nije preduzeo korake da ih riješi.

Ova najnovija otkrića služe kao upozorenje protiv korišćenja Jave kada nije potrebna i preranog update-ovanja Jave. Java 7 je i dalje u veoma ranoj fazi razvoja i ovo je tek sedmi update do sada, dok su prethodne verzije ovog programa imale preko 30 update-a kako bi se zakrpili propusti. Kao rezultat ovoga proizilazi, da ako vam treba Java možda razmotrite instaliranje prethodne verzije koja je dobro testirana, ali ako vam Java nije potrebna razmislite da je uopšte ne instalirate ili da je uklonite sa sistema ako je već instalirana.

Java 7 je opcion program za operativne sisteme koje podržava, tako da samo oni koji su je instalirali trebaju da budu oprezni zbog ovih nedostataka.

Preuzeto sa www.cnet.com

Ovo je treća i završna konferencija održana u okviru projekta koji je podržan od strane NATO-a, a čiji je cilj izdavanje Priručnika za nacionalnu strategiju sajber bezbjednosti, koji će biti dostupan svim zemljama. Prve dvije konferencije na ovu temu su održane u Beču (12.-13. aprila) i Stokholmu (16.-17. avgusta).

Ovom događaju su prisustvovali i eksperti iz NATO-a, EU, kao i predstavnici sljedećih zemalja: Švajcarske, Austrije, Estonije, Holandije, Crne Gore, Bosne i Hercegovine i Makedonije.

Ministarstvo za informaciono društvo i telekomunikacije je predvidjelo izradu Nacionalne strategije za sajber bezbjednost Crne Gore koja bi trebala biti završena do kraja 2013.godine. Samim tim prisustvo ovoj konferenciji, kao i sam priručnik su od ključnog značaja.