Byłem dzisiaj w Brukseli w banku (dla dobra tej instytucji nie wymienię nazwy tego banku). Złożyłem wniosek o otwarcie (kolejnego) konta i wydanie dwóch kart płatniczych dla mnie i mojej dziewczyny.
Ku mojemu zaskoczeniu w potwierdzeniu złożenia dyspozycji otrzymałem email z kolejnymi krokami do wykonania w celu zrealizowania mojego wniosku. W tym treści wiadomości był link służący do potwierdzenia mojego adres email. W przeszłości dostawałem korespondencję od tego banku zachęcającą mnie do różnych promocji.
Jakkolwiek wygodne mi się to wydało, tak cała gama niebezpieczeństw wyłaniająca się z praktyk korespondowania z klientami banku za pomocą wiadomości email jest jest jak puszka pandory. Phishing, kojarzy ktoś? Mój bank aż prosi się, by przyzwyczajeni do takiej formy komunikacji klienci zostali nabici w butelkę, a ich dane, a w najgorszym przypadku pieniądze został wykradzione.
Phishing jest przestępstwem, ale przechodzenie się po arenie pełnej byków z czerwoną płachtą na plecach to proszenie się o kłopoty. To w najlepszym przypadku głupota, choć i ta jest na równi niebezpieczna co niekompetencja i brak wyobraźni.
Sprawdź siłę swojego hasła
27 Listopad 2009
Microsoft udostępnił narzędzie na stronie www, które określa “siłę” hasła wpisanego w formularz. Jako siłę hasła rozumie się odporność na jego złamania, tj. im dłużej zajmuje złamanie hasła tym jest ono silniejsze.
Narzędzie jest dostępne na stronie http://www.microsoft.com/protect/fraud/passwords/checker.aspx
Przy okazji, Microsoft przypomina w jaki sposób konstruować silne hasła – powinno być długie (min. 8 znaków), złożone z małych i dużych liter, cyfr i znaków specjalnych ale łatwe do zapamiętania a jednocześnie trudne do zgadnięcia. Warto zaznaczyć, że proste hasło z 5 literami można złamać w około minutę (przy sprawdzaniu 500,000 haseł na sekundę). Podobnie zbudowane hasło, ale składające się z 8 liter będzie złamane dopiero po 5-ciu dniach. Jeśli dodamy do tego cyfry i duże litery, nasze 8 znakowe hasło będzie złamane dopiero po 15 latach. Niewiele potrzeba, by łamanie hasła było bardzo niepraktycznym i kosztowym zajęciem.
Firefox i skanowanie ściągniętych plików
30 Wrzesień 2009
Po zainstalowaniu Firefoxa w wersji 3, czyli już spory kawałek temu, po raz pierwszy zobaczyłem nową funkcjonalność przeglądarki, jaką było skanowanie nowo ściągniętych plików przez program antywirusowy. Zacząłem się wtedy zastanawiać czy Mozilla podrzuciła w F3.0 jakiś skaner, czy też sama zacząła zajmować się produktami AV. Od tamtego czasu nie miałem okazji i czasu by głębiej przyjrzeć się tematowi. Do dzisiaj.
Zasada działania skanowania w Firefox jest bardzo prosta. Jeśli użytkownik systemu Windows ma zainstalowany program antywirusowy, Firefox (a konkretniej Download Manager) użyje tego programu by przeskanować ściągnięty plik. Jeśli takowego programu nie ma, skanowania, opóźnienia w ściąganiu i zapisywaniu pliku nie będzie. Dodatkowo, w Windows XP SP2 i Windows Vista (i Windows 7) przeskanowany program nie aktywuje alertu bezpieczeństwa systemu.
Funkcjonalność ta pojawiła się w Firefoxie w wersji 3.0b3 na początku 2008 i zdążyła wywołać niemało problemów.
Pierwszym problemem, który został zaobserwowany przez dużą część użytkowników przeglądarki to problem w ściąganiu plików, a konkretniej w ich zapisaniu na dysku. Jednak nie jest to problem samej przeglądarki, ale programu antywirusowego, który może nieprawidłowo rozpoznać ściągnięty plik jako zagrożenie (false positive). Wykrycie jakiejkolwiek postaci malware uniemożliwia w rezultacie zapisanie pliku na dysku.
Drugim problemem, a raczej niedogodnością było opóźnienie związane z czynnością skanowania ściąganych plików, tym większe im większy jest plik. Opóźnienie to zależy też od szybkości działania programu antywirusowego.
Jak można się domyśleć, to co robi Download Manager jest tak naprawdę niepotrzebne, ponieważ nowo tworzone, zmieniane i otwierane pliki i tak są skanowane przez programy antywirusowe (w ustawieniach domyślnych). Dlatego też ja nie znajduję mocnych merytorycznych podstaw uzasadniających potrzebę dodania tej funkcjonalności do przeglądarki.
Skanowanie to można wyłączyć ustawiając zmienną browser.download.manager.scanWhenDone na false w ustawieniach przeglądarki (about:config, a poźniej Toggle na wartości).
Więcej:
Debiut darmowego oprogramowania antywirusowego z Microsoftu
29 Wrzesień 2009
Produkt, który miałem okazję testować przez ostatnie kilka miesięcy, wyszedł dzisiaj z fazy beta.
Produkt o nazwie Microsoft Security Essentials (MSE) jest dostępny za darmo na stronach Microsoftu w następujących krajach (a co za tym idzie, językach):
- Australia, Austria, Belgium, Brazil, Canada, France, Germany, Ireland, Israel, Italy, Japan, Mexico, Netherlands, New Zealand, Singapore, Spain, Switzerland, United Kingdom, United States
Z pewnością MSE zachwieje rynkiem produktów antywirusowych i odbije się czkawką McAfee, Symantec czy innym.
Program do ściągnięcia ze strony Microsoft Security Essentials.
Dwa tygodnie temu pisałem o oprogramowaniu Lenovo, które jest wykrywane jako adware przez najnowszy produkt Microsoftu Security Essentials. Po moim poście dostałem email od jednego z pracowników Microsoftu zajmującego się Security Essentials z prośbą o sprostowanie mojego komentarza.
Zostało mi wskazane, że MSE prawidłowo rozpoznaje Lenovo Message Center Plus jako adware, co zostało potwierdzone w badaniach przeprowadzonych przez specjalistów z Microsoft. Skontaktowano się z Lenovo, które szybko wypuściło zmodyfikowaną wersję Message Center Plus nie zawierającą kodu uznawanego przez MSE za adware.
Po ukazaniu się nowej wersji oprogramowania Lenovo Microsoft opublikował nowe definicje dla MSE oznaczone numerem 1.61.794.0, które nie rozpoznają już tego oprogramowania jako adware.
Adware:Win32/LenovoMCP was a detection for Lenovo Message Center Plus. This program was detected by definitions prior to 1.61.794.0 as adware, as it violated the guidelines by which Microsoft identifies spyware and other potentially unwanted software. The vendor subsequently modified the program so as to remove the undesired behavior. Due to this vendor action, Microsoft has confirmed that the program no longer has potentially unwanted behaviors. Microsoft has released definition 1.61.794.0, which no longer detects this program.
(informacje ze strony Microsoft Security Encyclopedia)
Użytkownicy komputerów Lenovo powinni zaktualizować swoje oprogramowanie na nową, pozbawioną adware wersję Message Center Plus.
Microsoft Security Essential uznaje oprogramowanie Lenovo za adware
26 Czerwiec 2009
Jeszcze nie tak dawno pisałem pochwalne peany na cześć MSE (Microsoft Security Essentials), a tu już na drugi dzień po zainstalowaniu przywitała mnie pierwsza wpadka tego programu antywirusowego.
Ku mojemu wielkiemu zaskoczeniu, MSE uznał, że Message Center Plus z Lenovo to szkodliwy program wyświetlający reklamy, tzw. adware.
Szczegóły:
- plik – C:\Program Files\Lenovo\Message Center Plus\MCPLaunch.exe
- wykryty jako Adware:Win32/LenovoMCP
- poziom zagrożenia: średni
Najnowsza wersja Message Center Plus z Lenovo pochodzi z końca maja 2009 roku (link). Od maja nie pamiętam, bym widział reklamę wyświetloną inaczej niż z okna przeglądarki internetowej (Firefox, IE), tym bardziej nie z narzędzia Lenovo. Być może moje doświadczenia to za mało, by stwierdzić, że program tego nie robi, ale chyba nie jest to powodem by ostrzegać użytkowników laptopów Lenovo o potencjalnym zagrożeniu.
Znalezisko wygląda mi na klasyczny false positive. Mam nadzieję, że w niedługim czasie program nie będzie już wykrywany.
Adware z BIOS'u?
14 Styczeń 2009
Wpadła mi w ręce informacja dotycząca nieczystego zagrania pewnego dużego producenta komputerów przenośnych. Ze względu na toczącą się analizę problemu, nie ujawnię jego nazwy.
Na świeżo zainstalowanym systemie Windows Vista na komputerze od tego producenta, pokazało się okno Internet Explorera z reklamą pewnej usługi. Warto podkreślić, że nie był to obraz systemu, jaki zazwyczaj jest dostarczany z komputerem, ale świeża instalacja (nie tzw. OEM, ale FPP) wprost “z pudełka”. W grę nie wchodziły żadne programy, które mogły zainstalować się z Internetu. Poza systemem operacyjnym na komputerze nie było zainstalowane żadne inne oprogramowanie.
Dalsza analiza problemu pokazała, że niechciany software pochodził … z BIOS’u!
Amerykańska firma Absolute Software dostarcza rozwiązanie do ukrywania pewnego rodzaju oprogramowania wprost w BIOS’ie systemu. Oprogramowanie to, zwane Computrace, ma za zadanie namierzenie skradzionego komputera w momencie gdy jego nowy użytkownik połączy się z siecią Internet. System ten działa z powodzeniem w Stanach Zjednoczonych od 1997 roku. Stosuje go wielu znanych producentów systemów komputerowych (lista) – sugeruję sprawdzenie w swoim BIOS’ie.
Jednak firma Absolute Software dla jednego z tych producentów wykazała więcej inicjatywy i dostarczyła opcję wyświetlania reklam.
W 2006 roku program antywirusowy AVG znajdował w plikach rpcnetp.exe i rpcnetp.dll trojana. Nie pomagało usuwanie plików, używanie innych skanerów, ani nawet re-instalacja systemu. Pliki te zawsze “magicznie” pojawiały się w systemie po restarcie. Autorem tych dwóch plików jest firma Absolute Software (Computrace LoJack for Laptops) i pliki te były kopiowane z BIOS’u. Od tego czasu AVG już nie znajduje w tych dwóch plikach trojanów, ale jakby nie było, niesmak pozostał.
Problemów z tego rodzaju oprogramowaniem jest co najmniej kilka. Ale najbardziej niepokąjaca nie jest idea, że na naszych komputerach możemy mieć zainstalowane oprogramowanie, którego nie pozbędziemy się nawet stosując format dysku. Nawet jeśli Computrace stworzony został w zacnym celu, może okazać się przykry w skutkach, jeśli zostanie rozpracowany przez autorów malware.
Oryginalne okno z reklamą usługi Computrace. Wyciąłem nazwy i loga producenta oprogramowania.
Apple doradza: zainstaluj antywirusa
2 Grudzień 2008
Na swojej stronie internetowej Apple sugeruje użytkownikom MacOS korzystanie z jednego z trzech wymienionych tam programów antywirusowych: Intego VirusBarrier, Symantec Norton Anti-Virus for Macintosh i McAfee VirusScan for Mac.
Pamiętacie poniższą reklamę?
Wydaje się, że od 2 maja 2006 roku, od daty początku ukazywania się reklam Mac vs. PC, troszkę się zmieniło. Reklama wciąż jest prawdziwa, bo wirusy pisane pod PC prawdopodobnie nie będą działać z równą skutecznością na Mac’ach i jedne drugich nie “zarażą”. Ale dla Maców powstaje dedykowany malware. I to powstaje tak szybko i zaczyna być na tyle skutecznym zagrożeniem, że firma Apple zaczęła to zauważać.
Przykładem może być AppleScript.THT, trojan który spisuje bufor klawiatury i zapamiętuje zrzuty akranu. Na komputery użytkowników dostaję się dzięki zmodyfikowanym stronom WWW, jak również poprzez iChat i Limewire. Polecam lekturę na stronie SecureMac w celu poznania innych efektów działań robaka.
Jak dla mnie to nie tylko koniec ery komputerów z jabłuszkiem wolnych od wirusów, ale definitywny koniec marketingu pod tytułem virus free Mac.
W poprzedniej notce na ten temat wspomniałem o “podstępnym” pomyśle wykorzystania pól Notes w Project Professional 2007/Project Server 2007 by mogły być wykorzystywane przy tworzeniu raportów w SQL Reporting Services.
Jednak opisany przeze mnie sposób mógł u niektórych osób powodować pojawienie się błędu w miejsce spodziewanego tekstu z pola Notes. Oto błąd, jaki mógł się pokazać po uruchomieniu reportu na serwerze Reporting Services:
Request for the permission of type 'System.Security.Permissions.UIPermission, mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089' failed.
Raport uruchamiany lokalnie w Visual Studio 2005 nie pokazywał tego rodzaju błędu.
Do bardzo długich poszukiwaniach, konsultowaniu problemu z Christophem Fiessingerem, jego kolegą Samem Brooksem (który wymyślił tę metodę) udało mi się nawiązać kontakt z programistami SQL Reporting Services 2005. To właśnie z ich pomocą udało mi się ten problem rozwiązać.
Rozwiązaniem była poniższa modyfikacja pliku rssrvpolicy.config. Linie, które prezentuje zostały dodane do pliku, jaki miałem w systemie.
<SecurityClass
Name="UIPermission"
Description="System.Security.Permissions.UIPermission, mscorlib, Version=2.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
</SecurityClasses>
[...]
<PermissionSet class="NamedPermissionSet" version="1" Name="UIP"> <IPermission class="SecurityPermission" version="1" Flags="Execution" /> <IPermission class="UIPermission" version="1" Unrestricted="true" /> </PermissionSet>
W domyślnej konfiguracji pliku rssrvpolicy.config można znaleźć definicję CodeGroup Report_Expressions_Default_Permissions. Tę grupę należy nakierować na wykorzystywanie nowego PermissionSetName o nazwie UIP, czyli dodajemy:
PermissionSetName="UIP"
do taga <CodeGroup>.
Specjalne podziękowania dla Jamie Warner’a za pomoc.
