uinC NewsLetter #01, 2004


Приветствуем!

Новости из Security Мира

3/01/2004 12:08 Обновление ProFTPD в Mandrake.
Итак, господа, с наступившим вас Новым Годом. Мы позволили себе 2 дня отдыха, после чего с настоящим пролетарским энтузиазмом приступили к работе. Итак, приступим, помолясь. Компания MandrakeSoft cообщает об обновлении входящего в состав дистрибутива Mandrake Linux FTP-сервера ProFTPD. Ещё в сентябре теперь уже прошедшего 2003 года компания ISS (Internet Security Systems, Inc.) обнаружила уязвимость в этом популярном FTP-сервере. Заключалась она в том, что в результате некорректной обработки ASCII-файла удалённый атакующий (сформировав специально оформленный файл), имеющий полномочия для "заливки" на удалённый FTP-сервер мог получить оболочку (шелл) с правами суперпользователя). Собственно, сама команда разработчиков ProFTPD, равно как и производители остальных дистрибутивов уже обновили свои продукты. Однако в дистрибутиве Mandrake была допущена досадная оплошность, которая присодила к тому, что при выдаче команды "NLST -alL" с длиной выходных данных более 1024 байта, сервер умирал в результате сигнала 11. В итоге перед самым НГ команда Mandrake решила обрадовать своих фанатов обновлением ProFTPD. Новая версия доступна на сайте в виде пакета
Подробности - http://www.mandrakesecure.net/en/advisories/

3/01/2004 12:21 "Отец Всемирной паутины" стал Рыцарем Британской империи.
Создатель Всемирной паутины (World Wide Web) Тим Бернес-Ли (Tim Berners-Lee) удостоен титула Рыцаря Британской империи, сообщает lenta.ru. Имя "отца WWW" внесено в список награжденных, который королева Великобритании Елизавета II традиционно подписывает в канун Нового года. В 1989 году сотрудник исследовательского центра Cern в Женеве Бернес-Ли разработал метод, который позволял пользователям компьютеров получать доступ к электронным документам при помощи системы, названной гипертекст. Два года спустя, Бернес-Ли создал первый интернет-браузер, для просмотра и редактуры электронных документов, отныне называемых веб-страницами, а также разработал первый веб-сервер. C 1994 года он возглавляет созданный им Международный Web-консорциум (The World Wide Web Consortium, W3C).
Подробности - http://news.bbc.co.uk/2/hi/technology/3357073.stm

3/01/2004 13:25 Основная команда разработчиков XFree86 объявила о самороспуске.
Как сообщает bugtraq.ru, в конце ушедшего в историю 2003 года основная команда (core team) разработчиков самой известной (и самой удачной) open source-реализации XWindow объявила о своем самороспуске. В то же время, отмечается, что это не означает прекращения существования самой XFree86, и что активные участники старой команды будут продолжать работу над проектом. В общем, похоже, что это просто такой радикальный способ чистки рядов.
Подробности - http://www.mail-archive.com/xfree86@xfree86.org/msg11932.html

3/01/2004 14:33 Поставить точку в биографии BIOS.
В 2004 году Intel и Microsoft приступят к первой крупной перестройке самой глубинной части персонального компьютера —стыка между программным обеспечением и аппаратурой. Компании начнут продвигать технологическую спецификацию EFI (Extensible Firmware Interface) в качестве новой системы запуска аппаратуры ПК перед началом загрузки операционной системы — этот процесс происходит всякий раз при включении и перезагрузке компьютера. Intel и Microsoft создадут форум по продвижению новой спецификации в качестве стандарта. Если ПО на базе EFI получит широкое признание, это может привести к первой в истории индустрии ПК смене караула предзагрузочного ПО — хотя некоторые скептики утверждают, что такой переход может потребовать времени или вообще не состояться. Сейчас задачу подготовки аппаратуры ПК к загрузке операционной системы решает программа BIOS, или basic input/output system. Если когда-то конструкция BIOS была относительно прямолинейной, то с годами, изменяясь и подстраиваясь под новые технологии, она стала напоминать миску со спагетти. Сторонники EFI утверждают, что новая система облегчит компаниям введение усовершенствований и попутно ускорит процесс загрузки ПК. Первый EFI-компьютер — от Gateway — поступил в продажу в ноябре. Другие должны появиться в 2004 году, а в последующие годы их станет еще больше. Но на поезд EFI спешат не все. Традиционно производители ПК отказываются менять свои компьютеры, особенно корпоративные, часто предпочитая стабильность. Это стало причиной долголетия флоппи-диска, несмотря на многие попытки покончить с ним. Не торопится осваивать EFI и один из главных разработчиков BIOS Phoenix Technologies. Компания, чье ПО BIOS применяется большинством крупнейших мировых производителей ПК, не собирается переходить на EFI до тех пор, пока технология не станет стандартом. Phoenix разработала собственную альтернативу BIOS для ноутбуков — Core Management Environment и в 2004 году планирует добавить аналогичное ПО для серверов и настольных ПК. Более пподробно о технологии EFI можно прочитать в ссылке, приведённой ниже.
Подробности - http://www.zdnet.ru/?ID=311950

3/01/2004 14:46 Клиент для NetBus.
Пан konewka из Польши представил широкой публике написанного им клиента для управления машиной, заражённой трояном NetBus. По словам автора, работа проверялась с NetBus версии 1.7. Напомним, что троян NetBus является довольно старым трояном, слушающим сокет на порту 12345, однако, возможно, кому-то может пригодиться эта программа. Исходник написан на Си для ОС Linux и должен собираться с загрузкой модулей библиотеки ncurses, что, надо понимать, предполагает графическую оболочку клиента.
Исходник - http://packetstorm.linuxsecurity.com/UNIX/misc/netbus-client.c

4/01/2004 14:00 Linux XP Professional Edition.
Довольно любопытный проект российских разработчиков с "узнаваемым" ;) названием Linux XP Professional Edition разрабатывается компанией "Линукс-Онлайн". Linux XP Professional Edition - это универсальная и безопасная операционная система для русскоязычных домашних и бизнес-пользователей, основанная на открытых программных решениях мирового лидера в области Linux - корпорации RedHat, Inc. Впервые за 15 лет представляется настоящая альтернатива Windows-системам, способная удивить даже требовательных пользователей, которые получат полный набор удобных программ по разумной цене. В разработке взята за основу версия Linux от известного производителя RedHat, Inc. под названием Fedora Core, первая версия которой вышла в ноябре прошлого года (вторая намечена к выпуску 5 апреля сего года). Напомним, что компания RedHat объявил о том, что название RedHat отныне будет присваиваться только коммерческой версии продукта компании - RHEL - RedHat Enterprise Linux. Хотелось бы отметить, что хоть компанией и открыт сайт проекта, но кроме титульной страницы с громкими заявлениями больше ни одна из ссылок не работает. Будем надеяться, что в дальнейшем проект заработает. Если учитывать число, когда было сделано заявление о новом проекте - 30 января - надежда всё-таки остаётся.. ;)
Сайт проекта - http://www.linux-xp.ru/

4/01/2004 14:16 Очередная уязвимость в IE.
об очередной уязвимости в популярном Вэб-браузере Internet Explorer сообщает Arman Nayyeri. На этот раз опасность скрывается в файлах типа .CHM (HTML-help). Автор утверждает, что файл подобного типа может содержать обращенияк небезопасным элементам ActiveX, которые могут вызвать выполнение кода в контексте безопасности пользователя. Сам CHM-файл (и любые другие) могут быть загружены, например, с помощью Active Movie Control или путем загрузки CHM-Файла как HTML-приложение. Уязвимость обнаружена в версиях 5.х-6.0. Уязвимость связана с некорректной обработкой функции showHelp(). Работа проверялась на полнопатченных версиях IE 6.0 в ОС WinXP/2003. аввтором выложен рабочий демонстрационный пример.
Пример - http://www.freewebs.com/arman2/showamp.htm

4/01/2004 15:28 Возможность обхода защиты в Microsoft Word.
Thorsten Delbrouck из Guardeonic Solutions AG (Мюнхен, Германия) сообщает об обнаружении им узявимости в механизме защиты документов, созданных при помощи популярного текстового процессора Microsoft Word. Word предоставляет пользователям защиту, которая известна, как защита "формы" при помощи пароля. Эта защита ограничивает возможности постороннего пользователя в манипулировании данными, содержащимися внутри Word-документа, за исключением специально назначенных "форм". Автор утверждает, что подобную защиту можно очень просто обойти, используя любой 16-ричный (HEX) редактор. Подобный механизм выбирается при помощи последовательности действий: "Tools" -> "Protection" -> "Forms" c заданием пароля в соотв. поле ("Сервис" -> "Установить защиту" -> далее запрет действий вне полей форм и ввод пароля в русской версии). При сохранении документа в HTML-формате пароль сохраняется внутри определённого тэга в виде контрольной суммы, вычисляемой по алгоритму, подобному CRC32. И, хотя точный алгоритм вычисления суммы не известен, однако автор заметил, что, если изменить это значение на число вида 0x00000000, пароль будет представлять собой пустую строку. Для снятия защиты автор предлагает найти 16-ричное число внутри тэгов <w:UnprotectPassword> </w:UnprotectPassword>. Затем запомнить число и записать его в обратном порядке (reverse order! - обратный порядок следования байт?). Затем открыть соотв. DOC-файл в 16-ричном редакторе - найти соотв. число и заменить все 4 двойных байта на 0x00 и сохранить. После этого: Открыть документ, "Tools / Unprotect Document" - пароль пустой. К сожалению, на настоящий момент сайт www.securityfocus.com не отзывается, поэтому внизу вынуждены привести просто ссылку на сам файл. Если кто захочет самостоятельно найти описание - искать в архиве Bugtraq по теме "Microsoft Word Protection Bypass".
Источник - http://www.securityfocus.com

4/01/2004 16:48 Очередная уязвимость в IE-2.
В дополнение в к предыдущей уязвимости, известный исследователь "безопасности" Internet Explorer, скрывающийся под ником http-equiv опубликовал демку ещё одной уязвимости IE. Уязвимость скрывается в обработке ярлыков через код сценария. Удаленный пользователь может выполнить произвольный код на целевой системе. ActiveX объект 'Shell.Application' может использоваться для изменения известных ярлыков ('.lnk' файл) и затем выполнить измененные ярлыки. Ярлык может ссылаться на код, расположенный на удаленном сайте, который будет выполнен на целевой системе. Уязвимости по-прежнему подвержены версии 6.0 и ниже. Надо сказать, неплохой новогодний подарок в общую копилку "защищённости" "сами-знаете-кого". :) Технологию, применённую в приведённом ниже файле автор назвал "самовыполняющимся HTML-файлом" (Self-Executing HTML).
Демка - http://www.malware.com/exe-cute-html.zip

4/01/2004 17:00 Безопасность беспроводных сетей
Представители Net Security подготовили обзор развития систем безопасности в беспроводных сетях за 2003 год, cообщает mobile-review.com. На конференции RSA был анонсирован проект систем защиты для беспроводных сетей. В апреле, на NetWorld+Interop представители Wi-Fi Alliance представили стандарт защищенного доступа WPA (Wi-Fi Protected Access) «Защищенный стандарт 802.11i вряд ли выйдет до 2005 года, но многие решения, предназначенные для него, мы считаем подготовленными и продуманными. Соответственно, многие из них включены в Wi-Fi Protected Access», - заявил Давид Коэн (David Cohen), председатель комитета по системам безопасности Wi-Fi Alliance. Кирк Алкорн (Kirk Allchorne), сопредседатель комитета той же организации считает, что «компании уже готовы задуматься о проблемах безопасности в беспроводных сетях». В июне большой шаг был произведен компанией Intel: Анди Брайант (Andy Bryant), финансовый директор последней, представил систему под названием «контролируемая беспроводная сеть» ("controlled wireless network"), с системами управления специфическими механизмами доступа. Технический директор ICSA (часть корпорации TruSecure) Роберт Московит (Robert Moskowitz) и ноябрь принесли описание слабостей свежего стандарта (доклад "Weakness in Passphrase Choice in WPA Interface"). В частности автором указаны принципиальные недостатки, и даже пути проникновения в WPA сети. Этот доклад показал, насколько много недоработок остается в новейших стандартах. Есть надежда, что ошибки будут исправлены.
Источник

4/01/2004 18:47 Война со спамом обращается против открытых прокси.
Сервис Spamhaus Exploits Block List позволит компаниям отбиться от атак через открытые прокси, которые используются в качестве ретрансляторов спама, а также через другие спамерские инструменты. Антиспамерский сайт Spamhaus открыл новую бесплатную службу, которая поможет ISP и компаниям отсекать гораздо больше спама на внешних рубежах своих серверов. Exploits Block List (XBL) представляет собой базу данных IP-адресов, по которым выявлены «нелегальные» эксплойты, такие как открытые прокси. Так называют серверы, позволяющие устанавливать соединения из любой точки с кем угодно через произвольные порты и по произвольным протоколам. Это означает, что спамеры могут использовать такой сервер для массовой рассылки, не опасаясь, что их выследят. За соединениями через открытые прокси часто бывает невозможно проследить, так как такие серверы не ведут журналов, а если и ведут, то они могут оказаться недоступными для того, кто занимается расследованием сетевых инцидентов. XBL поможет также блокировать червей или вирусы со встроенными механизмами рассылки спама и другие типы троянских коней, используемые спамерами, говорится в заявлении Spamhaus. XBL служит дополнением к сервису Spamhaus Block List (SBL), который блокирует спам из прямых источников. SBL интегрирован с XBL, так что системным администраторам достаточно настроить функцию антиспамерской защиты DNSBL своих почтовых серверов (иногда называемую «черным списком DNS-серверов» или «RBL-серверами») на запросы по адресу xbl.spamhaus.org. Сервис предоставляется бесплатно.
Подробности - http://news.zdnet.co.uk/internet/0,39020369,39118851,00.htm



Программы дня за прошедшую неделю:

30/12/2003 LSHW (Hardware Lister)
Небольшая утилитка для вывода детальной информации об установленном у Вас "железе". В качестве платформы поддерживает: PA-RISC, Alpha, PowerPC и x86. Информация может выводиться в текстовом, HTML или XML виде.
ОС: Unix
Тип программы: Железо

1/01/2004 FreeProxy
Прокси-сервер для MS Windows систем, который поддерживает следующие протоколы: HTTP, SMTP, POP, FTP через HTTP, TCP туннелирование, NNTP и SOCKS5. Существует возможность предоставления авторизации для пользователей, которая будет привязана или к созданной базе пользователей или списку пользователей домена, кроме этого в программу встроены фильтры контента, URL, IP адреса. Возможны ограничения работы пользователей по времени интервалам. Для пользователей формируется веб-сервер, который содержит информацию о статистике их работы.
ОС: All Win
Тип программы: Прокси-сервер

2/01/2004 Punto Switcher
Программа предназначена для автоматического переключения раскладки клавиатуры. Существует возможность автозамены и развертывания сокращений, например, вы пишите — 'СНП', и эти три буквы развернуться во фразу: 'С наилучшими пожеланиями', изменение стандартных сочетаний клавиш переключения раскладки, озвучивание событий с использованием PC Speaker, в программу встроен специальный алгоритм исправления ошибок в уже набранном тексте. И много других возможностей по работе раскладкой клавиатуры. Программа имеет русский интерфейс.
ОС: All Win
Тип программы: Текстовые утилиты

3/01/2004 Fast Update
Программа для автоматического обновления вашего интернет ресурса, смысл программы заключается в синхронизации папки на заданном FTP-сервере с содержимым папки на вашем локальном диске. Перед непосредственной загрузкой файлов на сервер, программа проверяет наличие новых файлов и изменений в уже существующих файлах, а затем при необходимости, производит загрузку файлов с вашего компьютера на заданный веб-сервер. Существует встроенный планировщик, что позволяет производить синхронизацию в любое заданное время. Программа имеет русский интерфейс.
ОС: All Win
Тип программы: FTP


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru