uinC NewsLetter #38, 2004


Приветствуем!

Новости из Security Мира

13/09/2004 10:14 MyDoom выпустил четыре щупальца
В пятницу секьюрити-эксперты предупредили, что в интернете появилось несколько новых версий MyDoom, и высказали предположение, что авторы червя решили усовершенствовать его. Все новые вирусы очень похожи: они распространяются, добавляя копии программы к сообщениям e-mail, и загружают дополнительные функции со взломанных веб-сайтов. Более того, все они отличаются тем, что их очень трудно удалить из зараженных Windows-ПК, так как они мешают системе подключиться к антивирусным сайтам для загрузки обновлений. Тот факт, что за короткое время выпущены сразу несколько похожих вариантов вируса MyDoom, указывает на возможность скорого появления более опасного вируса, считает Сэм Керри, вице-президент по управлению продуктами eTrust компании Computer Associates International. «Аналогичное поведение мы наблюдали у вируса Bagle — сначала вышли три или более сравнительно безобидных варианта, а за ними последовал очень опасный вирус. Мы чрезвычайно встревожены ситуацией и рекомендуем людям предельно осторожно обращаться со своей электронной почтой». Новые варианты вируса возобновили атаки на Microsoft и к тому же содержат объявления о поиске работы в секьюрити-индустрии. Появление отпрысков MyDoom с кодом, препятствующим их удалению, может указывать на то, что спамеры или другие темные силы в интернете хотят получить контроль над большим числом ПК, отмечает старший директор по реагированию на секьюрити-инциденты компании Symantec Альфред Хьюгер. «Я думаю, что мы имеем дело с каким-то захватчиком. Похоже, что вирус нацелен на захват новых хостов и удерживание их». Еще одна правдоподобная теория заключается в том, что автор или авторы злокачественной программы совершенствуют свой арсенал и проводят испытания, говорит Хьюгер. «Очень вероятно, что ведется итеративная разработка или что исходный код попал в руки другой группы». Это может означать, что на подходе более грозный вариант Doom.
ZDNet

13/09/2004 10:48 Обмен файлами по телефонной сети
В компании SK Telecom, являющейся одним из крупнейших операторов мобильной связи Южной Кореи, разрабатывается приложение, которое даст абонентам сотовых сетей третьего поколения возможность обмениваться по ним файлами - мелодиями звонков, фотографиями, музыкой и видео. Предварительная версия файлообменной службы была продемонстрирована недавно на выставке ITU Telecom Asia 2004. Система объединяет пользователей в одноранговую сеть, позволяющую им свободно передавать друг другу любые файлы. В текущей версии службы отсутствуют какие-либо функции предотвращения обмена материалами, защищенными авторским правом, и, по словам разработчиков, данной проблемы они касаться не собираются. Дополнительно та же группа программистов разрабатывает для пользователей SK Telecom службу Web-дневников.
"Открытые системы"

13/09/2004 11:17 RiNet ISP отвечает на тариф "Стрим-Нео"
Как известно, "МТУ-Интел" 1 сентября ввела тарифный план "Стрим-Нео", который был призван перетянуть частных клиентов у домашних сетей. Домашние сети ответили на вызов "МТУ-Интел", предложив аналогичные тарифные планы. В частности, абонентская плата в "Стрим-Нео" составляет 24 долл., но при ограничении на скорость соединения в 160 Кбит/с. 8 сентября сеть Degunino.Net предложила своим клиентам тариф U-160light, в рамках которого скорость соединения составляет 160 Кбит/с (только в обе стороны, в отличие от "Стрим-Нео") уже за 19 долл. Также на тариф "МТУ-Интел" в свою очередь ответил провайдер RiNet ISP, который сообщил об открытии новых тарифов без ограничения трафика для абонентов волоконно-оптичекой сети RiNet в ЦАО с сентября 2004 года. При абонентской плате $20/мес. пользователи получают выделенный канал со скоростью 192 Кбит/с к абоненту. При абонентской плате $30/мес. скорость передачи данных к абоненту возрастает до 512 Кбит/с. При абонентской плате $60/мес. скорость передачи данных составляет 1024 Кбит/с. Обратный канал (скорость передачи данных от абонента) на всех тарифах ограничен 128 Кбит/с. Данный сервис предусматривает предоставление клиенту одного IP-адреса из приватных сетей (перечисленных в RFC 1918). Запрещается подключение по данным тарифам более чем одного компьютера, в том числе и с использованием прокси и NAT серверов. Предполагается индивидуальное использование компьютера подключенного по данным тарифам и не разрешается перепродажа или бесплатное предоставление услуги третьим лицам. Количество одновременно устанавливаемых TCP-сессий — не более восьми. Стоимость подключения — $50. В первую очередь выполняются заявки на подключение в районах «Якиманка», «Замоскворечье», «Даниловский».
Подробности

13/09/2004 13:00 Gartner: Надеяться на Longhorn не имеет смысла
Аналитическая компания Gartner распространила среди своих клиентов рекомендации, касающиеся новой операционной системы Longhorn, сообщает "Компьюлента". Суть рекомендаций, о которых рассказывает издание Infoworld, сводится к тому, что не стоит строить далеко идущие планы, связанные с Longhorn. Исключение из этой ОС новой файловой системы WinFS и другие изменения позволяют предположить, что Longhorn не будет той самой революционной ОС, о которой так долго говорили в Microsoft. По мнению аналитиков Gartner, в компании решили, во что бы то ни стало, выпустить Longhorn к концу 2006 года, чтобы заткнуть дыры в графике выпуска новых операционных систем. А тот факт, что Microsoft выпустит обновления для Windows XP, обеспечивающие поддержку новых программных интерфейсов WinFX и технологий Indigo и Avalon, означает, что ориентированные на Longhorn приложения можно будет использовать и в среде Windows XP. На этом основании в Gartner предсказывают, что Windows XP будет широко использоваться вплоть до 2011 года и станет, таким образом, самой долгоживущей версией Windows. Напомним, что дебют Windows XP состоялся осенью 2001 года. Долгий век ожидает и ОС Windows Server 2003: по прогнозу Gartner, она будет широко использоваться до 2010 года. В краткосрочной перспективе Gartner рекомендует своим клиентам сделать корпоративным стандартом ОС Windows XP со вторым сервис-паком. Это позволит обеспечить готовность к дальнейшей модернизации системы. Если после выхода Longhorn выяснится, что миграция на эту ОС все же оправдана - ее нужно будет провести. В противном случае можно будет установить обновления для Windows XP с поддержкой Indigo и Avalon и работать дальше, дожидаясь следующей после Longhorn версии Windows. Связывать же с Longhorn какие-то серьезные планы в Gartner категорически не рекомендуют. Еще один интересный момент в рекомендациях Gartnet связан с пресловутой файловой системой WinFS, в которой должны были быть использованы технологии, позаимствованные у реляционных СУБД. Опираясь на тот факт, что Microsoft собирается выпустить систему локального поиска, обходящуюся без WinFS, в Gartner предполагают, что новая файловая система вообще никогда не будет выпущена. Главной ее задачей было усовершенствовать организацию хранения информации. Если эту задачу удалось решить другим способом, использование WinFS теряет смысл.
Подробности

13/09/2004 14:02 LogicaCMG: 50% компаний не имеют стратегии обеспечения информационной безопасности
Согласно результатам исследования, проведенного специалистами LogicaCMG, в ходе которого были опрошены представители 350 компаний, половина фирм не имеют четко сформулированной стратегии обеспечения информационной безопасности. 71% компаний, участвовавших в опросе, полагаются на свои IT-департаменты в вопросах разработки и воплощения в жизнь политики информационной безопасности фирмы. Опрошенные в ходе исследования 100 специалистов по инвестициям поставили проблему несоблюдения безопасности на третье место в ряду факторов, которые негативно влияют на оценку компаний. Данная проблема по значимости для инвесторов стоит после ложной финансовой отчетности и внезапного ухода высшего руководства, сообщил Vnunet.
CNews

13/09/2004 14:35 Защита wi-fi трафика в домашней сети с использованием IPSec
На opennet.ru опубликована статья (автор - Антон Карпов) с описанием настройки IPSec соединения на сервере и на клиентской стороне, для обеспечения безопасности в беспроводной сети. Примеры настроек приводятся как для FreeBSD 4, так и для FreeBSD 5.
Cтатья

13/09/2004 15:08 «Говорящий» вирус общается со своей жертвой
Почтовый вирус Amus использует встроенный в WinXP голосовой движок для того, чтобы произвести впечатление на хозяина зараженного компьютера, сообщает Internet.ru. Согласно Sophos, почтовый вирус (точнее, червь) W32/Amus-A относится к весьма немногочисленному отряду разговорчивых вредоносных программ. Попадая на компьютер жертвы, вирус запускает приложение Windows Speech Engine, входящее в комплект поставки Windows XP, и разражается длиннейшей нотацией. «Привет», – говорит вирус. – «Я вернулся. Меня зовут мистер Хэмси и я вижу тебя. Ха-ха-ха. Приезжай к нам в Турцию, а пока я почищу твой компьютер. Пять, четыре, три, два, один, ноль. Пока-пока.» Пока жертва рассеянно слушает послание из далекой Турции, вирус потихоньку гадит на ее компьютере. Если дело происходит 10-го или 23-го числа каждого месяца, вирус удаляет все обнаруженные им в каталоге Windows файлы с расширением .ini. 2-го, 15-го и 17-го числа вирус борется с .dll-файлами. Кроме того, программа меняет домашнюю страничку в браузерах семейства Internet Explorer на небольшое сообщение с жалобой на ужасные страдания турецких пользователей, стенающих под железной пятой местных телекомов. В системном реестре следы вируса выглядят так: HKCUSoftwareMicrosoftMasum Who = "OnEmLi_DeGiL"
HKLMSOFTWAREMicrosoftInternet ExplorerMain Start Page = "Konneting du pepil and dizkoneting you. Anlami: Baglansan ne olacak, baglanmasan ne olacak. Zaten hatlar burada rezalet."
Вирус встречается редко и обычно попадает на пользовательский компьютер в виде письма, озаглавленного «Listen and Smile» или «Hey. I beg your pardon. You must listen».
Описание

13/09/2004 15:32 СБУ разоблачила канал несанкционированного доступа к базе данных ГАИ УМВД
Сотрудники управления контрразведывательного обеспечения информационной безопасности государства Департамента контрразведки и их коллеги одного из региональных органов Службы безопасности Украины разоблачили канал несанкционированного доступа посторонних лиц к базе ГАИ. Об этом ForUm’у сообщили в пресс-службе Службы безопасности Украины. Выполняя работы по созданию корпоративной компьютерной сети в одной из областных Госавтоинспекций, представители некоего ООО, с которыми было заключено двустороннее соглашение, злоупотребляя доверием заказчика, под благовидным предлогом завладели информационными данными региональной интегрированной информационной системы ГАИ относительно транспортных средств (марка, номера кузова и мотора), а также сведений об их владельцах. Они несанкционированно подключились к серверу автоматизированной системы областного управления ГАИ и вся имеющаяся в компьютерной сети информация сканировалась непосредственно на квартире руководителя фирмы. Копирование осуществлялось с начала января до конца августа 2004 года. Сотрудники отмеченного "ООО" подобный монтаж базы данных выполняли еще в десяти других областных управлениях Госавтоинспекции. В настоящее время сотрудниками СБУ детально изучаются все обстоятельства, приведшие к утечке конфиденциальной информации. По этому факту следственным отделом регионального органа СБ Украины возбуждено уголовное дело. Ведется следствие.
crime-research.ru

13/09/2004 16:26 Longhorn сможет блокировать подключение мобильных устройств
В следующей версии Windows (кодовое имя Longhorn) компания Microsoft предоставит корпоративным пользователям возможность блокировать использование различных портативных устройств. Эта функция войдет в качестве составной части в технологию Plug and Play Extensions. Новая технология предоставит корпорациям и предприятим некоторый контроль над мобильными устройствами, которые ранее легко подключались к компьютерам через USB, Bluetooth или другие порты. Сделано это было по многочисленным просьбам компаний, ИТ-менеджеры которых всерьез опасаются угрозы для безопасности корпораций со стороны различных запоминающих устройств, таких как флэш-диски, телефоны, MP3-плееры и т.д., вмещающие большие объемы данных. Такие устройства могут использоваться для копирования секретных данных из офисных компьютеров или для занесения в компьютерные сети вирусов, троянцев и другого вредного ПО. Microsoft также заявила, что домашние пользователи с помощью Plug and Play Extensions смогут подключать к ПК принтеры, MP3-плееры, мобильные телефоны и КПК так же легко, как сегодня USB-драйвы.
SecurityLab.ru

13/09/2004 16:51 Описание XSS-атак и методов защиты от них
На сайте SECURITY PIPELINE опубликована статья Marco Morana (независимый консультант по безопасности) под названием "Make it & Break It: Defending Against Cross-Site Scripting Attacks". Как следует из названия, автор описывает тип атак на Вэб-сервера (и на посетителей Вэб-серверов) под названием XSS, что означает "cross-site scripting" (назван XSS, чтобы не путать с другим понятием в HTML, носящим название CSS - cascading style sheets). Подробно рассматрены основные принципы формирования этих атак, а также методы защиты от них.
Cтатья

13/09/2004 17:40 Множественные уязвимости в реализации протокола MIME
Исследовательская компания Corsaire (основана в 1997 г. в Guildford, Surrey, UK), специализирующаяся на исследовании безопасности различных фирм, в процессе проверки одной из страховых комапаний обнаружила множество уязвимостей в популярном протоколе MIME ( Multipurpose Internet Mail Extensions). Этот протокол используется практически всеми Email-клиентами, Вэб-браузерами, антивирусными продуктами, системами контроля содержимого почты и Вэб-контента. Как пишут сами авторы, обнаруженные 14 базовых уязвимостей позволяют провести атаку по 190 векторам атаки! После окончательного исследования данные об уязвимостях были переданы Центру координации национальной инфраструктуры Великобритании (UK National Infrastructure Co-ordination Centre - NISCC). После изучения Центром представленных данных предполагалось опубликовать информацию об обнаруженных уязвимостях. Ввиду крайней опасности обнаруженных уязвимостей в течение длительного времени также велась работа с разработчиками и производителями ПО. Судя по всему, среди пострадавших оказалось огромное чило программных продуктов (речь идёт о сотнях). Некоторые уязвимости обнаружены почти год назад. Как и было обещано, сегодня Corsaire опубликовала подробные отчёты о 8 обнаруженных уязвимостях. Описывать их все не позволяет объём публикуемых новостей, поэтому предлагаем нашим посетителям самостоятельно ознакомиться с ними, для чего следует смотреть отчёты об уязвимостях, датируемых 13 сентября.
Описания уязвимостей

14/09/2004 09:45 Уязвимость в Squid 2.x
M.A.Young сообщает об обнаруженной уязвимости в Squid, которая может быть использована для проведения DoS (Denial of Service) атаки на уязвимую систему из локальной сети. Уязвимость связана с ошибкой в функции "clientAbortBody()" при разыменовывании указателя и непроверке его на NULL. Теоретически уязвимость может быть задействована при посещении специально созданного веб-сайта через прокси и приводить к краху Squid-а. Выпущены патчи для версий 2.5.STABLE5 и 2.5.STABLE6. Однако, как заметили автору, опубликовавшему уязвимость, отказ функционирования SQUID происходит не в следствие переполнения буфера, а из-за попытки обращения за пределы размещённого блока памяти.
Подробное описание

14/09/2004 09:51 Индийский софт завоевывает рынок
Индия намерена в следующем бюджетном году на тридцать процентов увеличить экспорт своего программного обеспечения, передает Reuters. В 2003-2004 годах объем экспорта в сфере ПО и предоставления услуг аутсорсинга превысил 12 миллиардов долларов и, судя по всему, Индия не намерена останавливаться на достигнутом. Почти 25 процентов от общего объема экспорта приходится на три ведущие индийские компании: Tata Consultancy Services Ltd, Infosys Technologies Ltd и Wipro Ltd. Количество служащих в них превышает 800 тысяч человек. "Мы спроектировали на следующий бюджетный год увеличение экспорта на 30-32 процента. Такая цифра нас устраивает", - заявил президент Национальной ассоциации производителей ПО и компаний обслуживания (NASSCOM) Киран Карник (Kiran Karnik). Индия, подчеркивает Reuters, не собирается отказываться от своих планов несмотря на все усилия ведущего производителя ПО - США, пытающихся препятствовать аутосорсингу и защитить рабочие места. Аутосорсинг был одним из ключевых вопросов в предвыборной кампании обоих кандидатов на президентство. Власти США провели около 120 проверок деятельности иностранных фирм, занимающихся этим бизнесом, которые, по словам Карника, не выявили причин для беспокойства.
Lenta.Ru

14/09/2004 10:20 Недельный отчет о вирусах и вторжениях Panda Software
Опубликован традиционный еженедельныйй отчёт Panda Software. Посвящен семи червям: четырем версиям Mydoom (T, U, V и W), Mywife.D, Mywife.C и Sdbot.AQA, и двум программам adware: Neededware и Wupd.
Отчёт

14/09/2004 11:13 Sender ID, возможно, не будет официальным стандартом интернета
Технология SenderID, предлагаемая компанией Microsoft в качестве стандарта на технологию подтверждения подлинности отправителей электронной корреспонденции, может быть отклонена организацией Internet Engineering Task Force (IETF). В ходе предварительного обсуждения заявки Microsoft эксперты, входящие в рабочую группу MTA Authorization Records in DNS (MARID), решили, что использование в качестве стандартов технологий, которые могут оказаться запатентованными, не приемлемо. Ранее от использования в своих продуктах Sender ID отказались сообщества разработчиков Apache и Debian. Основанием для этого послужили предложенные Microsoft условия лицензирования Sender ID. Часть этих условий противоречат положениям лицензий, используемых сообществом open-source. Как поясняет Internet News, Microsoft подала заявку на патент, описывающий совместное использование двух технологий подтверждения подлинности отправителя - Sender ID и Purported Responsible Address (PRA). И если Sender ID является развитием технологий Microsoft Caller ID for e-mail и SPF, предложенной Мэном Воном, основателем компании Pobox.com, то вторая является уже собственной разработкой Microsoft.
Подробности

14/09/2004 11:34 Open Source Solaris дебютирует в этом году
Как заявили в понедельник руководители Sun Microsystems, к концу этого года компания организует проект open-source вокруг своей операционной системы Solaris 10. В рамках этой инициативы инженеры Sun, партнеры и другие программисты смогут вносить собственный вклад в разработку операционной системы Unix. Sun уже сейчас проводит тестирование программы с заказчиками и к концу года завершит его, сказал вице-президент Sun по маркетингу ПО Марк Макклейн. Sun поделилась своими планами в отношении open-source с представителями прессы и аналитиками на брифинге по Solaris 10 в офисе компании в Бурлингтоне (штат Массачусетс). Новая операционная система будет более быстродействующей и более устойчивой к ошибкам аппаратуры и ПО. Целью Solaris 10 с открытым исходным кодом, капитального обновления Solaris, является привлечение интереса к операционной системе. В частности, проект нацелен на разработчиков и ученых, которые сами смогут вносить изменения в код. Проект open-source поможет Sun укрепить связи с сообществом разработчиков, в том числе с независимыми и университетскими программистами, сказал Макклейн. «Мы утратили образ лидера инноваций, активно работающего с сообществом программистов», — признал он. Сейчас Sun находится в стадии подготовки проекта, который некоторые инженеры Solaris называют Open Source Solaris. Работа, проделанная инженерами Sun, составит ядро операционной системы. Для последующих версий Sun будет отбирать предложения, присланные другими участниками проекта, следя за тем, чтобы Solaris не распалась на разные несовместимые версии. За образец для своего проекта open-source Sun возьмет ту модель, которую Apple использует для Darwin, а Red Hat — для Fedora, сказал вице-президент Sun по операционным платформам Глен Вайнберг.
Подробности

14/09/2004 11:58 Уязвимость в F-Secure Internet Gatekeeper
iDEFENSE сообщает об обнаружении уязвимости в ПО фильтрации содержимого Интернет-трафика и одновременно антивирусе F-Secure Internet Gatekeeper (проверяет SMTP и HTTP-траффик). Из-за ошибки при обработке пакета, приходящего на порт 18,971 (на нём висит сканер содержимого) может возникнуть ситуация, приводящая к отказу в обслуживании (DoS) службы с аварийным заавершением процесса с выдачей ошибки доступа (access violation error). Как пишут авторы обнаруженной уязвимости, приотказе службы в зависимости от конфигурационных параметров может появиться диалоговое окно, предупреждающее о завершении процесса FSAVSD.EXE, после чего (через 30-40 сек.) сервер автоматически перегрузится. Посылая периодически специальные пакеты, можно вызывать циклическую перезагрузку сервера. Уязвимости подтверждены в версиях F-Secure Internet Gatekeeper Server 6.31 и раньше. В качестве временной меры защиты предлагается настроить F-Secure Content Scanner Server принимать соединения только от доверенных IP-адресов. Производителем (F-Secure) выпустил временный патч.
Подробное описание

14/09/2004 13:01 Symantec запускает антифишинговый сервис
Подписчики новой услуги Online Fraud Management будут регулярно получать обновления фильтров, блокирующих свежие фишинг-рассылки, заманивающие пользователей на сайты, имитирующие страницы управления счетов популярных банков и прочие коммерческих служб, cообщает bugtraq.ru. Для обеспечения работы этой службы будет использована глобальная сеть, включающая множество почтовых аккаунтов, предназначенных для отлавливания подобных рассылок - этакий вариант стаи подсадных уток.
Подробности

14/09/2004 13:16 Уязвимости в Samba
Сообщается об обнаружении двух уязвимостей в Samba (ПО для разрешения ресурсов UNIX-серверов через NetBIOS-сеть), которые могут быть использованы для проведения DoS (Denial of Service) атаки на уязвимую систему. Первая уязвимость связана с ошибкой в smbd в модуле разбора ASN.1. Она может быть задействована с помощью специально созданного пакета в момент аутентификации и привести к созданию множества новых процессов в бесконечном цикле. Это приведет к тому, что исчерпаются все доступные ресурсы памяти. Вторая уязвимость связана с ошибкой проверки вводимой последовательности в nmbd в функции "process_logon_packet()" когда обрабатывается пакет из мейл-слота. Уязвимость может быть задействована так, что это приведет к краху демона в процессе обработки специально созданного "SAM_UAS_CHANGE" запроса. Успешное использование уязвимостей требует чтобы демон был сконфигурирован для регистрации в домене ("domain logons = yes" in smb.conf). Уязвимость присутствует в версии 3.0.6 и более ранних. В качестве решения проблемы предлагается обновить версию до 3.0.7, где уязвимость исправлена. Обе уязвимости обнаружены всё той же iDEFENSE.
Подробности

14/09/2004 13:56 Блокирование работы встроенной камеры при помощи Bluetooth
На выходных днях сингапурское издание AsiaOna сообщило очень интересную новость: студенты одной из политехнических школ разработали программное обеспечение, благодаря которому, используя Bluetooth-соединение, можно блокировать работу встроенной цифровой камеры на некоторых камерафонах от компании Nokia. На данный момент известно, что эксперимент удался со смартфоном Nokia 6600 и телефоном Nokia 7610. Идея может найти применение в местах повышенной безопасности, где съемка просто запрещена, например, в больницах, военных учреждениях и некоторых школах. Конечно же, если подобную систему введут в эксплуатацию, владельцы камерафонов должны оповещаться о входе в зону действия системы.
Mobile-review

14/09/2004 16:57 О спаммерах и провайдерах их провайдерящих
К сожалению, проблема спама в крайнее время становится очень актуальной (особенно для фирм, компаний, оплачивающих трафик). И к тому же сожалению желающих заработать на этом бизнесе тоже становится всё больше. Пальму первенства знаменитого "Центра американского английского" начинают перехватывать господа из www.goldfirms.ru. Смею предположить, что самый последний массовый спам исходит от них. Сам домен зарегистрирован на г... (до господина это ... не доросло) Константина Бычкова, который зафиксирован по следующим контактным телефоно-адресам: +7 095 1095325 (при этом значится юр. адрес в г. Чебоксары - Московский проспект, 42). Почтовый адрес г... Бычкова - postmaster@samvel-english.ru. Хостится этот домен у провайдера Информтелеком XXI Ltd., который прописан по адресу: Москва, Рощинский проезд, 7/8. К сожалению, обращения к администраторам провайдера должных мер не возымели. Поэтому большая просьба к провайдерам "Информтелекома" обратиться к нам (если мы сами их не найдём). Также очень огорчает, что всевозможные меры, которые предпринимаются не касаются наших доблестных регистраторов, у которых чёрным по белому написано, что спам от зарегистрированного домена не является основанием для его закрытия.
Мы

15/09/2004 10:07 Обойдемся без хакеров
В горькие сентябрьские дни, когда вся страна не отрывалась от телевизоров, приемников и новостных сайтов, люди не раз в сердцах задавали вопрос: где же хваленые "русские хакеры"? Почему они не уничтожат сайты террористов? Попробуем ответить на этот вопрос. Во-первых, компьютерный взлом - это инструмент преступника, а не защитника. Цивилизованный мир не должен использовать незаконные средства, чтобы не встать на одну ступеньку с варварами - это известный принцип, особенно часто звучащий в наши дни. Даже в борьбе с абсолютным злом, с терроризмом, мы должны быть разборчивы в средствах. Во-вторых, уничтожить сайт технически практически невозможно. Слово создателю сайта об информационной безопасности bugtraq.ru, соавтору книги "Атака на Интернет" Дмитрию Леонову: "Во-первых, во взломе нет никакого смысла - любой взломанный сайт восстанавливается в худшем случае в течение нескольких часов или в течение нескольких дней меняет хостинг. Во-вторых, целенаправленные взломы конкретных сайтов на самом деле встречаются очень редко, а то, что завалить можно что угодно, было бы желание, всего лишь заблуждение. Как правило, обычно просто идет последовательное сканирование сети на предмет обнаружения серверов с известными уязвимостями. Чудес не бывает - сайт, расположенный на нормальном хостинге, администрация которого заботится о безопасности, можно разве что временно вывести из строя распределенной атакой, но для этого надо потратить немало времени на подготовку, да и эффект будет кратковременным". В общем, можно взломать или заблокировать сайт - но это временно, пока владелец не предпримет защитных мер. Даже если стереть с сервера всю информацию, она может быть восстановлена с резервных копий. Именно поэтому наиболее продуктивное "оружие" против незаконных, с нашей точки зрения, сайтов - официальное. Интернет-провайдеры обычно включают в перечень условий предоставления услуг пункт о запрете публикации экстремистских материалов, но фактически не занимаются специальной проверкой содержания страниц своих клиентов. Тем более если провайдер зарубежный, а страницы - на чужом языке. Поэтому зачастую указания на характер сайта бывает достаточно, чтобы провайдер его выключил. Так, например, в 2001 году власти Нидерландов закрыли голландскую версию промасхадовского сайта "Кавказ-Центр", обнаружив там призывы к мусульманской молодежи проходить подготовку для участия в "борьбе с неверными" в Чечне, а также рекомендации по развертыванию учебно-тренировочных военных лагерей и другие подобные материалы. А в 2002 году на следующий день после захвата заложников на Дубровке прекратил работу основной сайт "Кавказ-Центр" - тогда издание Cnews.ru рассказало, что сайт был выведен из строя при помощи группы русских и американских программистов, живущих в Калифорнии. "Респектабельная американская компания, поддерживавшая нейм-сервера террористов, была в полном неведении, они были в шоке, когда узнали, что оказались невольными пособниками террора. Сайт "загасили" в течение 10 минут. Трудно поверить, что все так просто и хакеры не понадобились, но это так", - рассказал участник событий изданию. Однако не всегда простого объяснения провайдеру ситуации бывает достаточно. Например, промасхадовский сайт "Кавказ-Центр" с прошлого года работает в Литве на площадке вильнюсского провайдера Elneta Ltd, несмотря на официальное представление российского МИДа к посольству Литовской Республики в Российской Федерации в феврале 2003 года. Сообщалось, что хотя литовские спецслужбы пытались закрыть сайт, им помешали депутаты сейма. Наконец, если уж вернуться к хакерам, то надо признать, что взломы промасхадовских сайтов были, и не раз. Например, в 1999 году хакеры вывесили на заглавной странице "Кавказ-Центра" портрет Лермонтова в папахе, бурке и с автоматом наперевес. А весной 2002 года он был взломан некой "Сибирской сетевой бригадой", участники которой написали на заглавной странице промасхадовского сайта "Мы вырвали жало из вонючей пасти "Гавгав-центра"". Не приходится сомневаться, что были и другие случаи сетевых атак, о которых не так хорошо известно: результаты хакерской атаки чаще всего внешне не отличаются от технического сбоя. Возможно, и в этом черном сентябре атаки были. Однако напомним, - хакерские взломы не являются ни достойным, ни эффективным способом ликвидации даже самых незаконных сайтов.
Crime-research.ru

15/09/2004 10:39 Microsoft выпустила патч для "критического" дефекта в системе безопасности Windows
Корпорация Microsoft выпустила во вторник вместе с ежемесячным бюллетенем обновление, позволяющее устранить дефект в системе защиты Windows, классифицирующийся как "критический", то есть представляющий наибольшую опасность для пользователей. Как сообщает Reuters, новый патч вылечивает уязвимость операционной системы Windows XP, программ Office 2003, Project, Visio, Visual Studio и других приложений, имеющих дело с изображениями в формате JPEG. Недоработка в системе позволяла хакерам проникнуть в компьютер пользователя, если тот откроет определенный файл или изображение на специально созданном сайте. "Заплатку", закрывающую эту "дыру" можно скачать со страницы компании Microsoft. Также компания выпустила патч для "важной" ошибки в программном обеспечении, отвечающем за преобразование файлов WordPerfect в Microsoft Office. Первый имеет обозначение MS04-028 (уязвимость в обработке JPEG), второй - MS04-027 (уязвимость в преобразовании файлов из WordPerfect).
Yahoo! News
MS04-027
MS04-028

15/09/2004 11:19 В Бразилии обнаружили много диких хакеров
Бразилия превратилась в глобальный центр киберпреступности и интернет-мошенничества, считают эксперты, собравшиеся на конференцию в столице этой южноамериканской страны. Как сообщает BBC News, согласно данным, обнародованным федеральной полицией, восемь из десяти хакеров в мире живут в Бразилии. В этой стране количество денег, потерянных в результате мошенничества в интернете, превышает убытки от ограблений банков. Также Бразилия является страной происхождения для двух третей мировых порносайтов. Эту статистику подтверждают эксперты по компьютерной безопасности из других стран. Они утверждают, что в прошлом году с территории Бразилии было предпринято около 96 тысяч хакерских атак, что в шесть раз больше аналогичных показателей для любой другой страны. Многие бразильские хакеры объединяются в группировки с названиями вроде "Сломаем вашу защиту" или "Виртуальный ад". Такая высокая активность объясняется, в частности, пробелами в национальном законодательстве, согласно которому хакерство не считается преступлением. Поэтому полиции приходится доказывать, что имел место факт мошенничества, чтобы наказать виновных.
Lenta.ru

15/09/2004 11:30 Провайдеры защитили американцев от спама, но оказались бессильны перед вирусами
Большинство американских интернет-пользователей довольны уровнем защиты от спама, который им обеспечивают интернет-провайдеры. В то же время серьезные нарекания у пользователей вызывает низкий уровень защиты от хакерских атак и вредоносных программ. Таковы результаты опроса, проведенного исследовательской компанией J.D. Power and Associates, сообщает TechWeb News. 9500 респондентов отметили, что уровень защиты от спама в 2004 году значительно улучшился по сравнению с 2003 годом. В то же время уровень защиты от хакеров и вирусов оказался единственным ухудшившимся показателем из семи, которые рассматривали J.D. Power and Associates. "Качество спам-фильтров значительно улучшилось. Но пользователи требуют, чтобы провайдеры шли дальше и устанавливали межсетевые экраны", - прокомментировал результаты опроса аналитик J.D. Power and Associates. Самые высокие оценки пользователей как модемных, так и выделенных линий, получил провайдер EarthLink. Второе и третье места в списке модемных провайдеров получили Juno/NetZero и AT&T WorldNet. Среди тех, кто занимается проведением выделенных линий, второе и третье места заняли Verizon и Road Runner. В ходе исследования также выяснилось, что число пользователей домашнего интернета в США возросло на 2% и достигло 66%. С 2002 по 2003 год такой рост составил 7%. 39% пользователей сегодня имеют выделенную линию. В 2003 году таких пользователей было 26%. Если существующие тенденции роста сохранятся, число пользователей выделенных линий в США сравняется с числом пользователей модемов в 2007 или даже 2006 году.
Viruslist

15/09/2004 11:52 Linux или FreeBSD? Без гнева и пристрастия
Под таким заголовком опубликована статья Алексея Федорчука на сайте iXBT. Автор пытается непредвзято рассмотреть различные положительные и отрицательные стороны в применении первой и второй ОС в качестве десктопной ОС. Как пишет сам автор во ступлении: "Заметка эта родилась в ходе многочисленных переходов с одной системы на другую, в ходе многолетнего (во временных масштабах IT) их совместного использования, а также в ходе размышлений на тему: а какую бы систему мне поставить на новую машину? Непосредственным же толчком для нее послужила переписка с рядом авторов unix.gingas.ru и мечты об идеальном дистрибутиве, обсуждавшиеся давеча на Linuxforum".
Cтатья

15/09/2004 12:27 Статья об атаках на Вэб-сервер Apache.
На сайте DevShed опубликована статья, представляющая собой выдержку из книги "Hardening Apache" (автор - Tony Mobily), выпущенной Apress в 2004 г. В статье приводятся наиболее типичные виды атак на Вэб-сервер, уязвимости, обнаруженные в Apache.
Статья

15/09/2004 16:48 Множественные уязвимости в QNX.
Господа из бразильской группы rfdslabs сообщают об обнаружении сразу 3-х уязвимостей в популярной в мире риал-тайм ОС QNX. Первая уязвимость связана с наличием дыры во встроенном ftp-клиенте, присутствующей в обработке команды 'quote'. Используя эту уязвимость (типа формата строки) можно повысить свои привилегии до группы 'bin' (что довольно много в ОС). Вторая уязвимость обнаружена в microGUI графической системы Photon. уязвимость присутствует в 4-х компонентах этого GUI - phrelay-cfg, phlocale, pkg-installer, input-cfg. Сформировав большое значение параметра -s (сервер) (автор говорит о 94 символах 'A'), можно вызвать переполнение буфера. А так как все компоненты имеют установленный флаг SUID и хозяином рута - последствия очевидны. Третья уязвимость присутствует в crttrap, являющемся внешней программной частью Photon и вызывающим последовательность команд до вызова 'io-graphics'. Сама утилита предназначена для определения видеокарты и соотнесения ей необходимого драйвера. Уязвимость типа race condition позволяет модифицировать переменные среды и обмануть утилиту. Самое печальное во всей этой истории - что разработчик никак не прореагировал на сообщение об уязвимости. Кроме того, как замечают авторы, QNX в качестве риал-таймовой ОС применяется в очень важных областях деятельности - медицинское оборудование, роутеры, сервис службы 911, системы управления воздушным и железнодорожным движением и т.д.
Первая уязвимость
Вторая уязвимость
Третья уязвимость

15/09/2004 17:10 И ещё раз об уязвимости Windows в обработке JPEG
M$, как известно опубликовала бюллетень MS04-028, в котором описывается уязвимость в обработке JPEG-файлов (присутствует в обработке секции комментариев) с использованием библиотеки GDIPlus.DLL. M$ также опубликовал рекомендации для устранения уязвимости. Первое - обновить ОС через Windows Update (для Windows XP, Windows XP SP1, Windows Server 2003), кстати, на сайте пишут, что XP SP2 не обладает уязвимости и требует только обновления Оффиса (если установлен, есесвенно). Второе - обновить сам Office. Третье - M$ выпущен специальный ActiveX-скрипт, позволяющий проверить есть ли на компьютере уязвимые приложения. Четвёртое - обновить ПО (если присутствует), которое обрабатывает графические файлы (например, Greetings, Picture It!, Digital Image Pro). Ну, и пятое - если Вы используете ПО для разработки - то и его надо обновить - см. прилагающийся список.
Подробности

15/09/2004 20:52 Аналог BSD Jail для Linux
Serge Hallyn опубликовал патч, реализующий функциональность наподобие jail в FreeBSD, используя возможности LSM (Linux Security Modules) подсистемы в Linux (для 2.6.x ядер). Процессы работающие в jail окружении, привязаны к определенному IP и не могут: выполнять операции монтирования, посылать сигналы внешним процессам, создавать устройства, подгружать модули ядра, управлять приоритетом выполнения, создавать raw-сокеты, использовать внешние IPC блоки и изменять настройки сетевой подсистемы. Для jail окружения создается отдельная, изолированная, иерархия /proc/. Кроме того, патчи поддерживают работу с IPv6.
Подробности и пример

19/09/2004 20:27 Об уязвимости в обработке JPEG
Во-первых, приносим свои извинения за то, что наш сайт лежал в течение нескольких дней в силу обстоятельств от нас не зависящих. Во-вторых, опубликован детальный отчёт об уязвимости в механизме обработки JPEG-файлов во многих Windows-продуктах. Как и говорилось ранее, уязвимость присутствует в динамической библиотеке GDIPlus.dll (обнаружена eEye). Связана с некорректной проверкой длины поля комментариев (COM-секция) - при задании длины этого поля, равной 1 или 0 можно сформировать JPEG-файл, вызывающий при его обработке переполнение буфера при перезаписи структуры управления кучей. Выпущен также эксплоит, который, как предполагают специалисты может быть использован для распространения очередных вирусов и троянов. Опубликована сигнатура JPEG-файла, которая может быть использована различными антивирусами и IDS для определения попытки вторжения.
Описание
Эксплоит

19/09/2004 20:41 Выход Apache 2.0.51
Apache Software Foundation cообщает о выходе новой версии популярного Вэб-сервера Apache - 2.0.51. Новая версия, как написано в анонсе устраняет аж 5 уязвимостей.
Анонс

19/09/2004 20:45 MyDoom.Y озадачил антивирусные фирмы
Последняя версия червя MyDoom содержит описание его работы и фотографию создателя вируса Netsky Свена Яшана. На этот раз авторы зачем-то вставили в код MyDoom.Y подробное описание того, что он делает и как функционирует. Эта странная тактика вызвала недоумение у поставщиков антивирусного ПО. «Похоже, что они хотели помочь нам, что знаменательно, — говорит директор F-Secure по антивирусным исследованиям Микко Хиппонен. — Фото может намекать на то, что MyDoom выиграл войну вирусов. Но, опять же, Netsky распространился гораздо шире, чем MyDoom». Описание вируса содержит две подписи, Nemog и Zincite, которые Хиппонен уже видел раньше в коде back-door. «Мы не знаем, подложные они или подлинные», — сказал он. Яшан, который обвиняется полицией Германии в создании нескольких вариантов вируса Netsky, считается ответственным за 70% эпидемий компьютерных вирусов, поразивших интернет в этом году.
ZDNet

19/09/2004 21:17 AOL отказалась поддерживать Microsoft Sender ID
Компания AOL не будет поддерживать антиспамовую технологию Sender ID от Microsoft. AOL приняла данное решение принимая во внимание негативное отношение к данной технологии группы IETF (Internet Engineering Task Force), а также сообщества разработчиков ПО с открытым кодом. Однако представители AOL заявили, что компания будет продолжать поддерживать технологию Sender Policy Framework (SPF), которая входила в состав Sender ID. Кроме того, AOL будет публиковать файлы Sender ID. Также представители AOL заявили, что технология Sender ID не вполне совместима с оригинальной спецификацией SPF
SecurityLab

19/09/2004 21:31 Уязвимость в GNU Radius
iDEFENSE обнаружена уязвимость в популярном пакете обеспечения удалённой аутентификации и учёта пользователей GNU Radius. Уязвимость присутствует в функции asn_decode_string() программы snmplib/asn1.c, в которой можно вызвать целочисленное переполнение. В результате может быть вызвано обращение за пределы выделенной области памяти, что, в свою очередь, приводит к аварийному завершению службы. Для того, чтобы система была уязвима, служба должна быть собрана и подключена с поддержкой SNMP, чего нет по умолчанию. Уязвимость устранена в вышедшей версии 1.2.94.
Подробности

19/09/2004 21:52 В деле о краже исходников Cisco появился подозреваемый
Оказывается, еще 3 сентября британская полиция задержала подозреваемого в краже исходников Cisco IOS, сообщает bugtraq.ru. 20-летний англичанин, имя которого не называется, был отпущен под залог до начала ноября, изъятое у него компьютерное оборудование исследуется.
Подробности



Программы дня за прошедшую неделю:

13/09/2004 Autoclave
Программный комплекс, распространяемый как IMG образ для дискеты объемом 1.44Mb, который позволяет производить полную очистку всех данных на жестком диске без возможности их восстановления. Существует 5 режимов очистки, режимы отличаются друг от друга тщательностью очистки и временем, которое затрачивается на процедуру зачистки информации.
ОС: Cross-platform
Тип программы: Уничтожение данных

15/09/2004 Yoda's Protector
Мощный протектор и упаковщик для исполняемых EXE файлов, обладающий рядом преимуществ относительно подобных разработок:
+ поддержка большинства форматов PE (Portable Executable) файлов;
+ маленький размер дистрибутива;
+ быстрота работы;
+ полиморфическое шифрование;
+ запрет отладки API функций;
+ обнаружение SoftICE;
+ проверка CRC суммы;
+ переадресация API функций;
+ функция анти-дампинга;
+ удаление заголовков PE;
+ анти-дебаггер;
+ оптимизация DOS заголовков;
+ ... и многое другое.
ОС: All Win
Тип программы: Программирование


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru