uinC NewsLetter #52, 2004


Приветствуем!

Новости из Security Мира

20/12/2004 15:33 В США суд приговорил спамеров к выплате 1 миллиарда долларов
Свыше одного миллиарда долларов по иску интернет-провайдера из штата Айова должны выплатить три компании, занимавшиеся рассылкой спама. Решение об этом принял Федеральный суд США, установив, таким образом, рекордную сумму штрафа за спам, сообщает Associated Press. Компания Роберта Крамера (Robert Kramer) предоставляет услуги электронной почты более чем 5 тысячам клиентов в восточной части Айовы. В 2000 году все абоненты компании стали жертвой спамерской атаки со стороны AMP Dollar Savings Inc. из Аризоны, Cash Link Systems Inc. и TEI Marketing Group, базирующихся во Флориде. В день клиенты Крамера, согласно представленным суду доказательствам, получали до 10 миллионов писем, содержавших рекламные объявления и коммерческие предложения спамеров. По решению суда AMP Dollar Savings Inc. должна выплатить истцу 620 миллионов долларов, Cash Link Systems Inc. - 360 миллионов и TEI Marketing Group - 140 миллионов. "Это решение, несомненно, является очень важным для всех нас", - заметил после оглашения приговора Роберт Крамер. Он заметил, что не надеется, что ответчики полностью выплатят штраф, но на часть суммы все же рассчитывает.
Lenta.Ru

21/12/2004 10:36 Хакера посадили в тюрьму на полгода за взлом сети НАСА
21-летний житель Портлэнда, штат Орегон, Грегори Аарон Хернс (Gregory Aaron Herns) проведет шесть месяцев в федеральной тюрьме США за взлом компьютерной сети НАСА в 2001 году, сообщает Associated Press. На ликвидацию последствий взлома НАСА потратило более 200 тысяч долларов. В тот момент, когда Хернс взламывал сеть Центра космических полетов Годдарда, ему было всего 17 лет. По словам Хернса, он взломал сеть НАСА для того, чтобы найти свободное дисковое пространство для скачанных им фильмов. Ликвидация результатов поступка жителя Портлэнда заняла у специалистов НАСА несколько часов. Осужденный, который сейчас проходит обучение в колледже по одной из компьютерных специальностей, принес свои извинения НАСА и полиции. «Я сделал это много лет назад. С той поры я изменился», — сказал Хернс. Помощник обвинителя, занимавшегося делом Хернса, убежден, что поступок осужденного — нечто большее, чем просто подростковая шалость с компьютером. «Когда вы выключаете систему, ее нужно включать снова. Это не так просто, как перезагрузить «Макинтош». Хернсу предстоит компенсировать ущерб, который он нанес НАСА. Кроме того, в течение трех лет осужденный будет иметь ограниченный доступ к компьютерам.
Viruslist

21/12/2004 10:52 В будущем году появится новое средство защиты CD от копирования
Конгломерат Sony BMG Music Entertainment заключил соглашение с британской компанией First 4 Internet, разработавшей новую систему защиты компакт-дисков от копирования. В будущем году Sony BMG планирует начать серийный выпуск аудиозаписей, защищённых новой системой. Несколько крупных лейблов уже выпустили защищённые этой системой диски, правда, это был не серийный выпуск, а предварительные релизы (среди них - последние альбомы Eminem и U2), предназначенные для журналистов и критиков. Серийный выпуск защищённых этой технологией дисков намечен, как уже сказано, на 2005 год; это будет первое подобное мероприятие для Sony в США, хотя в других регионах попытки начать серийный выпуск защищённых CD Sony уже предпринимала. BMG ведёт себя агрессивнее: уже в этом году состоялись несколько "защищённых" релизов. Компания First 4 Internet неторопливо работает над собственной системой защиты от копирования с 2001 года; их технология позволяет шифровать аудиоданные на дисках, оставляя при этом возможность проигрывать их на обычных CD-плеерах. На диске также содержатся некоторые данные, дополнительно усиливающие эту защиту. Как пишет ZDNet, аналитики по-прежнему скептично относятся к подобным затеям и сомневаются, что системы защиты от копирования получат в США широкое распространение. Впрочем, в прошлом году один из дисков, на котором было чётко обозначено наличие защиты, поднялся в американских чартах до самых верхних позиций.

21/12/2004 11:29 Подробное описание уязвимостей в PHP
Как мы сообщали ранее, PHP Group в экстренном порядке были выпущены обновлённые версии популярного скриптового языка PHP - 4.3.10 и 5.0.3, что было связано с обнаружением целой пачки уязвимостей в PHP. Об уязвимости сообщил довольно известный исследователь компьютерной безопасности Stefan Esser из группы, представляющей проект Hardened-PHP. В бюллетене проекта сообщается о семи уязвимостях в различных функциях PHP: pack(); unpack(); обход ограничений safe_mode_exec_dir, накладываемых при включённом режиме safe_mode; realpath(); unserialize(). В качестве примеров уязвимых скриптов приводятся: phpBB2, Invision Board, vBulletin, Woltlab Burning Board 2.x, Serendipity Weblog, phpAds(New). Группа разработала также собственную версию PHP с усиленной защитой и выпустила полностью исправленную версию системы с дополнительными мерами безопасности.
Бюллетень

21/12/2004 11:52 Google заделала дыру в программе локального поиска
Согласно распространенному в понедельник заявлению компании, она выпустила поправку для устранения уязвимости, обнаруженной американским ученым и двумя его студентами в конце ноября. «Мы в курсе этой уязвимости в программе Google Desktop Search и уже решили эту проблему, так что все существующие и будущие пользователи в безопасности», — сказала представительница Google. Дэн Уоллах, доцент вычислительной техники Университета Райса, обнаружил ошибку вместе с аспирантами Сетом Фогарти и Сетом Нильсоном. Уоллах характеризует ее как комбинационную уязвимость — пробел в защите, вызванный взаимодействием нескольких разных компонентов. Как пишет газета The New York Times, которая первой сообщила об обнаружении этой ошибки, каждый раз, когда производится поиск, инструмент Google выявляет трафик, адресуемый на Google.com, и вставляет в него результаты с жесткого диска пользователя. Уоллаху, Фогарти и Нильсону удалось обмануть программу Google, заставив ее помещать результаты на другие веб-страницы, где их может прочесть злоумышленник. Для этого необходимо, чтобы пользователь предварительно побывал на веб-сайте атакующего, снабженном специальной Java-программой (группа Уоллаха написала такой код), которая перенастраивает инструмент локального поиска Google на передачу информации, найденной пользователем. Эта программа могла делать с результатами поиска все, включая их доставку на веб-сайт злоумышленника. Информация об этой ошибке обнародована всего через несколько дней после того, как аналитическая фирма Gartner предупредила организации, что им следует избегать установки инструмента локального поиска Google до тех пор, пока не выйдет версия, более подходящая для корпоративных пользователей.
ZDNet

21/12/2004 12:17 Уязвимость Windows Media Player
Исследователь компьютерной безопасности из Ирана Arman Nayyeri сообщил об обнаружении двух уязвимостей в популярном в мире Windows-систем медиа-плеере Windows Media Player. Обе уязвимости связаны с компонентами управления ActiveX. Первая ошибка в функции "getItemInfoByAtom()" позволяет определить наличие (или отсутствие) файла в системе, а также его размер. Подобная "особенность может быть использована создателями зловредного Вэб-сайта при просмотре его содержимого при помощи IE, который, как известно, очень тесно интегрирован с WMP. Вторая уязвимость связана с ошибками в функциях "setItemInfo()" и "getItemInfo()", которые позволяют удалённому атакующему (посещаемому Вэб-серверу, например) получать и изменять информацию локального MP3-файла (имя артиста, название песни, альбом). На первый взгляд это не кажется таким уж опасным, однако, как пишет автор, позволяет потенциально запустить произвольный скрипт в зоне безопасности my computer zone. Выпущены примеры эксплоитов уязвимостей. Обнаружены в Windows Media Player 9 ОС Microsoft Windows 2000 SP4 / XP SP1 / XP SP2. Устранены M$ в недавно вышедшей версии WMP 10.
Примеры эксплоитов

21/12/2004 13:21 Эксплоит уязвимости в phpbb2
Опубликован эксплоит уязвимости в опулярном скрипте для организации форумов phpBB, уязвимость которого связана с уязвимостью самого языка PHP. В эксплоите используется уязвимость в коде ext/standart/var_unserializer.c. Как пишет сам автор, использование эксплоита позволяет получить дамп памяти кучи в phpBB с использованием функции unserialize() для хранения cookie. В результате анализа полученных данных можно получить SQL-пароли пользователей. Для успешного запуска эксплоита требуются дополнительный файл заголовков serv.h и исходник serv.cpp. На самом сайте также есть выполнимый файл. Просьба не обращать внимания на фон на приведённой ниже ссылке. Забавляются ребята.
Эксплоит

21/12/2004 13:41 Американские штаты сдаются спамерам
Американская фирма, занимающаяся маркетингом через электронную почту, на которую подали в суд на основании антиспамерского закона штата Мэриленд, была оправдана. Судья отказал в рассмотрении дела на том основании, что закон не соответствует Конституции США. Таким образом, законодатели проигрывают спамерам 2:4. В штатах Нью-Йорк, Вирджиния и Вермонт попытки регулирования потоков электронной корреспонденции были названы неконституционными. Устояли лишь антиспамерские законы штатов Вашингтон и Калифорния. Противники антиспамерских законов утверждают, что нововведения нарушают статью 1 Конституции США, известную как «Пункт о коммерции» (Commerce Clause). Статья защищает возможность коммерческих отношений между штатами страны, запрещая местным законам принимать самостоятельные решения относительно таких случаев. Законы о борьбе с рассылкой коммерческой корреспонденции, охватывающей несколько штатов, таким образом, неконституционны, сообщил Computer Weekly.
CNews

21/12/2004 14:55 MS Office превратят в "платформу"
В будущем году компания Microsoft намерена провести первую конференцию разработчиков программных продуктов, посвященную исключительно семейству офисных приложений Microsoft Office System. Сама "система", таким образом, приобретает статус единой платформы для создания специализированных приложений, "заточенных" под конкретные задачи. Конференция, как пишет CNET, пройдет со второго по четвертое февраля в Редмонде, где располагается штаб-квартира Microsoft. По предварительным расчетам организаторов, в конференции примут участие не менее восьмисот разработчиков, представляющих интересы независимых производителей программного обеспечения. Целью проведения конференции станет попытка убедить разработчиков в выгодности создания разнообразных надстроек и плагинов для таких продуктов из семьи MS Office, как Word или Excel. По мнению руководства Microsoft, рынок "штепселей" под офис стоит порядка ста миллиардов долларов.
Internet.Ru

21/12/2004 15:50 Эпидемия Net-Worm.Perl.Santy.a: веб-ресурсы вновь в опасности!
"Лаборатория Касперского" сообщает об обнаружении нового опасного интернет-червя Net-Worm.Perl.Santy.a. Вредоносная программа заражает веб-сайты, используя для размножения уязвимость в популярном приложении для создания интернет-ресурсов - phpBB. В настоящее время распространение программы достигло эпидемиологического порога, что позволяет говорить о полномасштабной эпидемии в глобальной сети. Однако данная эпидемия не затрагивает пользователей персональных компьютеров - червь не представляет опасности для посетителей зараженных ресурсов. Для своего распространения через Интернет червь использует достаточно необычный метод. Вредоносная программа формирует специальный запрос для поисковой системы Google, в результате чего находит сайты, работающие под управлением уязвимой версии phpBB. Затем червь отсылает на найденные сайты строку, содержащую процедуру активизации уязвимости. В результате обработки данной процедуры атакуемым сервером, червь проникает на сайт и получает управление над ресурсом, после чего процесс работы червя повторяется. Получив управление, Net-Worm.Perl.Santy.a последовательно проверяет все каталоги на зараженном сайте и замещает найденные файлы с расширениями .htm, .php, .asp, .shtm, .jsp, .phtm, следующим текстом:
"This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation". Однако, помимо замещения содержимого атакованного сайта, червь не содержит иной деструктивной функциональности, и не заражает персональные компьютеры при посещении пораженных им ресурсов интернета. Во избежание атаки Net-Worm.Perl.Santy.a антивирусные эксперты "Лаборатории
Касперского" рекомендуют всем пользователям системы phpBB произвести обновление продукта до версии 2.0.11.
"Лаборатория Касперского"

23/12/2004 15:44 Путин высказался против ограничения распространения информации в сети интернет
Владимир Путин сказал: «Мне не хотелось бы, чтобы под предлогом борьбы с криминальными проявлениями мы ограничивали свободное распространение информации в интернете».
Подробнее:www.cnews.ru

23/12/2004 17:19 Рада установила уголовную ответственность за "препятствование работе ЭВМ"
Верховная рада Украины установила уголовную ответственность за несанкционированное вмешательство в работу компьютеров, автоматизированных систем, компьютерных сетей и сетей электросвязи, передает агентство "Интерфакс". Согласно закону, уголовная ответственность будет наступать за "вмешательство", которое повлечет за собой "утечку, потерю, подделку, блокирование информации, искажение процесса обработки данных, нарушение порядка маршрутизации информации". Внесенный Радой дополнения также устанавливают ответственность "за создание с целью использования, распространения или сбыта «вредных» программ или технических средств, а также непосредственно распространение или сбыт". Кроме того, отныне Уголовным Кодексом предусматривается ответственность за несанкционированный сбыт или распространение "информации с ограниченным доступом", за "препятствование работе ЭВМ, автоматизированных систем, компьютерных сетей и сетей электросвязи путем массового распространения сообщений электросвязи". Кроме того, устанавливается ответственность за несанкционированные действия с компьютерной информацией, совершенные человеком, имеющим право доступа к ней. У виновных будут конфискованы программные или технические средства, с помощью которых были совершены противоправные действия. Закон разрешает проводить досудебное следствие по указанным статьям следственным органам Службы безопасности Украины (СБУ).
"Интерфакс"

24/12/2004 10:24 AOL собирается запустить собственную публичную веб-почту
Компания AOL намеревается запустить собственную службу бесплатной электронной почты, передает издание NewsFactor. Как сообщили представители компании, на этой неделе началось бета-тестирование новой почтовой системы AOL Mail, основная задача которой - обеспечивать работу с электронной почтой через web-интерфейс. Как известно, сейчас ведущие игроки онлайнового бизнеса активно вводят новые бесплатные пользовательские сервисы, среди которых основными являются поисковые машины, программы для локального поиска, почтовые сервисы и блоги (в последнее время блоги расширяют функциональность в сторону большей мультимедийности). Многие участники рынка также разрабатывают собственные браузеры - известно, что в AOL ведутся работы сразу над двумя - возобновлены работы над Netscape и параллельно готовится к выходу новый продукт AOL Browser. Как полагают аналитики, новый почтовый сервис AOL призван составить конкуренцию службам Gmail от Google, Hotmail от Microsoft и Yahoo! Mail компании Yahoo!. После завершения работы над сервисом его планируется внедрить сначала для подключенных к провайдерским ресурсам AOL клиентов, и уже позже в течение наступающего года открыть для всех желающих.
Lenta.Ru

24/12/2004 11:26 ЕС оставил в силе приговор против Microsoft
В среду европейский суд нанес по корпорации Microsoft удар, предписав ей выпустить версию Windows без встроенного медиаплеера. Президент Европейского суда первой инстанции Бо Вестердорф сказал, что Microsoft должна понести наложенное Европейской комиссией в марте взыскание, несмотря на то, что поданная компанией апелляция все еще блуждает в системе. В марте Комиссия постановила, что софтверный гигант использовал свою монополию на рынке операционных систем с целью манипуляции рынком ПО медиаплееров и серверных ОС для рабочих групп. Компании было предписано выпустить версию Windows без встроенного медиаплеера и предоставить конкурентам больше технических деталей — и теперь это постановление должно вступить в силу. «Свидетельства, приведенные Microsoft, недостаточны для доказательства того, что исполнение наложенного Комиссией взыскания может причинить серьезный и непоправимый ущерб», — говорится в заявлении суда. Однако компания может опротестовать вынесенное в среду решение, обратившись в двухмесячный срок к президенту Европейского суда. Главный юрисконсульт Microsoft Брэд Смит сказал во время телеконференции в среду, что компания пока не решила, будет ли она подавать апелляцию. «Мы не знаем, будем ли мы апеллировать. Я не думаю, что это займет два месяца, но нам требуется время, чтобы решить, надо ли это делать», — сказал он.
Подробности

24/12/2004 11:59 Opera подготовила новый, говорящий веб-браузер
В четверг компания Opera Software выпустила опытную версию капитального обновления своего веб-браузера. Новое, пока еще безымянное ПО обладает более мощной поддержкой технологии RSS (Really Simple Syndication), широко используемой для автоматического доступа к блогам и другим материалам, а также технологии, которая позволяет управлять браузером посредством голосовых команд и заставлять его прочитывать веб-сраницы вслух. Компания утверждает, что она внесла достаточно усовершенствований, чтобы финальная версия этого обновления стала не просто очередным апгрейдом, а полноценным новым релизом. «Новая версия Opera содержит существенные усовершенствования и некоторые очень полезные новые функции, так что быстрый, безопасный и широко настраиваемый браузинг должен привлечь много новых пользователей», — говорится в заявлении генерального директора Opera Джона фон Тежнера. За прошедший год на руку Opera играла растущая неудовлетворенность доминирующим веб-браузером Microsoft Internet Explorer, в котором то и дело находили уязвимости и который уже несколько лет радикально не обновлялся. Однако львиная доля преимуществ от массового экспериментирования с альтернативными браузерами досталась продукту open source Firefox, который с момента выпуска финальной версии в начале ноября загрузили свыше 12 млн раз.
Подробности

24/12/2004 12:11 Уязвимость в архиваторе WinRAR
Secunia предупреждает о наличии опасной уязвимости в популярном архиваторе WinRAR. Дыра обеспечивает возможность получения несанкционированного доступа к удаленному компьютеру. Проблема связана с ошибкой при обработке имен файлов при их удалении из сформированного особым образом архива. Злоумышленник теоретически может спровоцировать ошибку переполнения буфера на машине-жертве и затем выполнить на ней произвольный вредоносный код. Брешь присутствует в архиваторе WinRAR версий 3.40/.41 и, возможно, некоторых других модификациях программы. Способов устранения уязвимости в настоящее время не существует.
Описание

24/12/2004 12:40 Расторопные киберсквоттеры
После покупки компанией "Байкалфинансгруп" основного нефтедобывающего актива ЮКОСа был зарегистрирован домен baikalfinance.ru. Права на доменное имя будут принадлежать новому владельцу (выходцу из России, ныне проживающему в США) до декабря 2005 года. На днях состоялся аукцион, на котором за долги родительской компании продавалось дочернее предприятие НК "ЮКОС" — ОАО "Юганскнефтегаз". Покупателем основного нефтедобывающего актива ЮКОСа стало ООО "Байкалфинансгруп". Интригу в эту ситуацию внёс тот факт, что "Байкалфинансгруп" представляет собой никому не известную бизнес-структуру, сформированную незадолго до начала аукциона. Маловероятно, что г-ну Храброву удастся заработать на киберсквоттинге в этом конкретном случае — большинство специалистов считают, что "Байкалфинансгруп" является лишь промежуточным звеном в финансовой цепочке по уводу актива ЮКОСа. Очевидно, что киберсквоттер это понимает и сам, создание сайта baikalfinance.ru можно рассматривать как эпатаж. Помимо г-на Храброва зарегистрировать доменные имена, связанные с названием "Байкалфинансгруп" успели и другие киберсквоттеры. Так, доменное имя baikalfinancegroup.ru 21 декабря зарегистрировала некая Эстер, проживающая в России, а baikalfinansgroup.ru записан с сегодняшнего дня за москвичом Данилой Шабашовым.
nic.ru

24/12/2004 13:05 Cоздание аварийного CD для Solaris своими руками
На сайте linux.org.ru опубликован анонс довольно любопытной статьи, описывающей процесс создания аварийного загрузочного компакт-диска для операционной системы Sun Solaris, позволяющего, например, производить восстановление корневой файловой системы. Описываемый метод представляет собой альтернативу применению коммерческих продуктов, таких как VERITAS NetBackup, что может быть актуально ввиду планов по выпуску следующей версии Solaris под открытой лицензией.
Cтатья

24/12/2004 15:17 Исходный код червя Sanity
В Интернете продолжается эпидемия червя под названием Sanity, активно использующего недавно обнаруженную уязвимость PHP в функции unserialize() (используется для извлечения данных из cookies). Как мы сообщали, уязвимости подвержены многих PHP-скрипты. Однако достаётся по традиции больше всех phpBB, что, в первую очередь связано с распространённостью этого скрипта для построения различных форумов. Так вот - французской командой K-OTik был проведён анализ тела червя и опубликован его исходный код на Перле. Самое примечательное, что при распространении червь активно использует посиковый сервис неббеызвестного GOOGLE. При этом запрос формируется на основе поиска файла viewtopic.php.
Исходный код

24/12/2004 16:05 Варианты защиты от червя Sanity
В связи с появлением червя Sanity в BugtraQ развернулась дискуссия как об исходном коде и действиях червя, так и о защите от него. Raymond Dijkxhoorn, например, предложил защищать виртуальные хосты при помощи следующих директив Вэб-сервера Apache (разуммется - до обновления PHP):
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*)
RewriteRule ^.*$
Второй вариант защиты предложил Sebastian Wiesinger - но он связан с использованием модуля mod_security. Необходимо включить директиву: SecFilterSelective "THE_REQUEST" "(system|exec|passthru|popen|shell_exec|proc_open|fopen|fwrite)s*(".
SecurityFocus

25/12/2004 11:15 Китай закрыл по доносам 1129 порносайтов
Власти Китая провели очередную операцию по закрытию интернет-сайтов, распространяющих запрещенную в стране информацию - в основном это порносайты и сайты различных религиозных объединений. Согласно опубликованному в пятницу отчету государственной организации "Центр контроля за вредной информацией", в рамках операции пресечена деятельность 1287 сайтов, из которых 1129 - порнографические, передает France-Presse. Как говорится в сообщении Центра, большинство сайтов были выявлены после сигналов, поступивших от пользователей. Информаторы получили денежные вознаграждения в размере от 500 юаней (60 долларов США) до 2000 юаней (241 доллар США). Это часть официальной кампании, названной властями "народной войной" с порнографией. Известно, что государство контролирует Интернет, и доступ к тем или иным сайтам из Китая может ограничиваться по указанию властей. Ранее в этом году ими была начата кампания по "очищению" китайского Интернета от запрещенных тем, так как их наличие там, по мнению властей, негативно влияет на моральный климат в обществе в целом и на молодежь в частности. По данным AFP, в Китае 87 миллионов интернет-пользователей, половина из которых - молодые люди младше 24 лет.
Lenta.Ru

25/12/2004 12:30 Apple запатентовала iPod, который не боится падений
Компания Apple Computer подала заявку на патент, относящийся к технологии, которая позволит портативному медиаплееру обнаруживать, что он падает, и в этот момент прекращать чтение или запись на жесткий диск. Метод основан на измерении ускорения, которым сопровождается падение. «Портативное вычислительное устройство защищает свой дисковый накопитель, измеряя такие ускорения и стараясь избегать использования накопителя в периоды ускорения, — говорится в заявке, опубликованной 16 декабря. — Благодаря такой защите, можно существенно уменьшить вероятность разрушения накопителя или потери хранящихся в нем данных». IBM начала использовать аналогичные средства в своем семействе ноутбуков ThinkPad в октябре 2003 года. Заявка на патент Apple была подана в июне 2003 года, но опубликована только на прошлой неделе. Существуют и другие подходы к решению этой проблемы. Hitachi работает над тем, чтобы сделать кронштейн головок чтения/записи более коротким и подвижным. Это уменьшит вероятность выхода диска из строя в результате падения. Молодой производитель накопителей, компания Cornice рассказывала о планах выпуска 3-Гбайт 1-дюймового диска, у которого, когда диск не используется, кронштейн головок чтения/записи физически блокируется. Правда, это может не защитить диск, если во время падения устройства он выполнял операцию чтения или записи.
ZDNet

25/12/2004 12:47 Для новой дыры в Windows уже подготовлен экспериментальный эксплоит
Группа китайских хакеров Xfocus Team опубликовала образец кода, который можно использовать для автоматизированной эксплуатации двух недавно обнаруженных уязвимостей в операционной системе Windows. Речь, как сообщает CNET со ссылкой на антивирусную компанию Symantec, идет, во-первых, о бреши в функции Loadimage, благодаря которой злоумышленник может захватить компьютер жертвы с помощью специальным образом обработанной картинки, размещенной в Сети или присланной по почте, и, во-вторых, о дырке в Windows Help, позволяющей захватывать чужие машины с помощью help-файлов. Эти дыры являются тем более опасными, что затрагивают практически все браузеры, почтовые клиенты и программы для работы с изображениями, работающие под Windows.
Internet.Ru

25/12/2004 13:19 Обманутые червем
Эпидемия червя Santy так напугала некоторых владельцев сайтов, что у них началась настоящая паника. Они приняли заражение за хакерскую атаку и начали фантазировать, кому же понадобилось их взламывать. Как известно, во вторник в интернете началась массовая эпидемия червя PHP/Santy.A.worm. Он взламывал сайты, на которых было запущено популярное приложение phpBB версий, более ранних чем 2.0.11. Червь проникал только на непропатченные серверы, используя уязвимость, которая была обнаружена 15 ноября, и заменял файлы с расширениями .htm, .php, .asp, .shtm, .jsp, и .phtm. Для поиска новых «жертв» червь отправлял запросы на Google. Пока Google не начал отфильтровывать характерные запросы червя, тот успел заразить около 40.000 сайтов. Среди зараженных оказалось много российских ресурсов. Но здесь червя ждал сюрприз — его просто не узнали. Некоторые владельцы сайтов восприняли ситуацию явно неадекватно. Они мало того что не узнали PHP/Santy.A.worm, но и начали громко вопить, что их взломали хакеры, потому что их замечательные сайты якобы кому-то мешают, занимают видную роль на интернет-пространстве и т.д. «Хакеры прошлись по русской моде» — такие пугающие заголовки появились в прессе 22 декабря, когда о хакерской атаке заявили владельцы сайта Российской Недели Mоды (RFW). Хулиганская акция носила явно спланированный характер, считает Ирина Моргунова, директор RFW: «Взлом сайта — занятие довольно трудоемкое, интернет-ресурсов, „достойных“ внимания хакеров, предостаточно, но именно сайт RFW почему-то стал мишенью. Интересно, кому понадобилось выбивать RFW из интернет-поля?». Действительно, кому это могло понадобиться? Скорее всего, это был просто червь. Российским «модницам» вторят белорусские братья по разуму с сайта «Третий путь»: «Деятельность „Третьего Пути“ стала достаточно заметной, чтобы привлекать к себе внимание», — делают они многозначительный вывод в распространенном пресс-релизе. Вообще, непонятно, как можно перепутать червя и хакера, ведь PHP/Santy.A.worm оставляет ясное сообщение в тексте каждой подмененной страницы, указывая даже номер своей версии. Но чего не сделаешь ради возможности пропиариться? Сайт RFW до сих пор не восстановлен, хотя характерных для PHP/Santy.A.worm страниц с надписью «This site is defaced!!!» на нем нет. А вот поиск по Рунету выдает еще несколько сотен сайтов с узнаваемой фразой.
"Вебпланета"

25/12/2004 14:04 Новые бета-версии браузера Opera для Windows и Windows Mobile
Норвежская компания Opera объявила о выпуске бета-версий своих одноименных браузеров для портативных устройств и настольных компьютеров. Программный пакет Opera 7.60 for Windows Mobile, как отмечается в пресс-релизе, облает широким набором возможностей, высокой производительностью и поддерживает все основные веб-стандарты, в том числе CSS2, DOM 2 и JavaScript. Естественно, в браузере реализована фирменная технология SSR (Small-Screen Rendering), которая позволяет автоматически оптимизировать содержимое сайтов для их отображения на небольших по размеру экранах смартфонов. Выпуск окончательной версии Opera 7.60 for Windows Mobile запланирован на конец марта, а пока производитель предлагает всем желающим загрузить тестовую версию программы, в которой, впрочем, реализованы не все нововведения. Бета-версию браузера Opera 7.60 для настольных компьютеров с операционными системами Microsoft Windows также уже можно скачать с веб-сайта компании. По заявлениям производителя, браузер получил обновленный интерфейс и ряд дополнительных возможностей. В частности, называются система автоматической загрузки обновлений, улучшенная схема работы с каналами RSS, а также функции Fit-to-Window-Width и Fit-to-Paper-Width, которые форматируют загружаемую страницу таким образом, чтобы она полностью помещалась на дисплее или листе бумаги при распечатке. Наибольшего же внимания заслуживает система голосового управления, которая позволяет выполнять некоторые базовые действия, например, переходить по истории веб-страниц и осуществлять прокрутку при помощи голосовых команд. Кроме того, браузер Opera 7.60 способен зачитывать вслух содержимое веб-сайта.
Подробнее

25/12/2004 14:33 Выход Linux 2.6.10
Вышел новый релиз ядра ветки 2.6. Под изменение попало многое. В частности в очередной раз переделан framebuffer.
ChangeLog

25/12/2004 15:45 Безопасность непропатченных Linux-систем растет
Некоммерческий проект Honeypot Project, занимающийся подключением уязвимых систем к сети Интернет в целях обнаружения атак, которые в дальнейшем анализируются для исследования безопасности ИТ, пришел к выводу, что необновляемые Linux-системы спокойно живут в сети на протяжении месяцев, и только потом бывают взломаны. Причем это «время жизни» Linux значительно увеличивалось с 2001-2002 годов. По заявлению представителей проекта, два или три года назад в среднем непропатченную Linux-систему взламывали за 72 часа, а сейчас этот показатель вырос до трех месяцев. «Удивительно, но несмотря на то, что число сообщений об угрозах растет, мы наблюдаем рост защищенности Linux от случайных атак», — отмечается в сообщении группы.
Недавнее исследование honeypot-проекта AvanteGarde говорит о подобной статистике для Windows-систем: за последний месяц среднее время взлома многих версий Windows составило четыре минуты.
nixp.ru

25/12/2004 23:09 PHP под прицелом
Новые модификации червя - SantyC и SantyB атакуют PHPbb. Используя бразильский Google, AOL и Yahoo они находят уязвимые системы, после чего подключаются к IRC-каналу, "где уже более 700 зомби ждут команды" (цитата из securityfocus). Кроме того, сообщается, что PHPbb, пропатченные до версии 2.0.11 подвержены атакам новых модификаций червя.
Подробнее
SantyC source
SantyB source
phpBB worm affects 2.0.11

26/12/2004 09:21 Об очередных уязвимостях в семействе ОС Windows.
Как мы сообщали ранее, китайская команда Xfocus Team подготовила экспериментальные эксплоиты для обнаруженных этой группой уязвимостей в семействе ОС Windows. Речь идёт об ОС: Windows 2K, Windows XP SP1. На странице, приведённой ниже, описываются 4 уязвимости: в API LoadImage библиотеки USER32.dll, две уязвимости при разборе ядром системы ANI-файлов, возможность переполнения кучи и буфера при обработке границ winhlp32.exe. Авторами подготовлены демонстрации всех четырёх уязвимостей. Хотелось бы отметить, что наличие SP2 для XP защищает только от первых двух уязвимостей. 3 уязвимости имеют статус удалённых, что очень опасно, учитывая как обычную практику M$ выпускать зплаты раз в месяц, так и начавшиеся на Западе рожденственские каникулы. Несмотря на (если верить словам Сами_Знаете_Кого) якобы делающийся упор на безопасности выпускаемых M$ операционок, однако состояние её оставляет желать лучшего. Итак, скорее всего, можно сказать, что Microsoft войдёт в Новый Год с как минимум одной незалатанной дырой (это если не брать в расчёт уязвимости в браузере IE).
Уязвимости и эксплоиты

26/12/2004 09:54 В СНГ внедрят единую биометрическую инфосистему
Министры внутренних дел стран СНГ хотят внедрить на территории содружества единую биометрическую информационную систему. По мнению глав МВД, это наиболее действенный инструмент для решения вопросов борьбы с терроризмом. Предлагаемая для внедрения система была разработана в Казахстане и получила название "СНГ - ВИЗИТ". По словам министров, биометрическая информационная система позволяет выявлять незаконных мигрантов и лиц, находящихся в розыске, с вероятностью 90%. При этом процедура идентификации личности по изображению лица и отпечаткам пальцев занимает не более 5 секунд. Введение системы в действие предполагает формирование объединенной базы данных о лицах, представляющих оперативный интерес, и создает необходимые условия для внедрения биометрических паспортов в соответствии с международными стандартами. На прошедшем сегодня в Москве внеочередном Совете глав МВД стран - членов СНГ министры внутренних дел обратились к президенту Украины, председателю Совета глав государств СНГ Леониду Кучме с просьбой ввести "СНГ - ВИЗИТ" в действие.
Lenta.Ru

26/12/2004 10:21 Уязвимость Internet Explorer
Несмотря на все усилия, которые Microsoft приложила к защите при выпуске SP2, исследователи компьютерной безопасности продолжают находить уязвимости в защите, применяемой этим патчем. Мы уже сообщали о наличии уязвимостей в защите локальной зоны безопасности. В частности, это касается ActiveX компоненты, связанной с системой помощи Windows Help (обход системы защиты и Cross Site Scripting). Использование этих уязвимостей позволяет полностью скомпрометироать уязвимую систему через Internet Explorer. Самое печальное, что для этого не требуется даже никаких действий со стороны незадачливого пользователя - достаточно посетить специальным образом оформленный сайт. Два исследователя компьютерной безопасности - Michael Evanchik и Paul from Greyhats подготовили специальный сценарий, применив который можно полностью скомпрометировать систему. В качестве меры противодействия приводятся следующие шаги: убрать поддержку .hta - файлов, использовать антивирусное ПО, убрать поддержку активного скриптинга в IE, перейти к использованию других браузеров.
Об уязимости в Internet Explorer

26/12/2004 11:33 Новый вирус для Linux
Производители антивирусных продуктов сообщают о появлении довольно любопытного вируса для ОС Linux. Собственно, он также может поразить и некоторые MacOS бинарные файлы, поскольку повреждает и внедряет своё тело в выполнимые файлы формата ELF (пришёл на смену формата COFF). По сообщению McAffee Inc. сам файл, который инициирует заражение, носит название "binom" и имеет размер 7390. После запуска этого файла (требуется непосредственной участие пользователя), он начинает сканировать систему и заражать другие ELF-файлы. Размер инфицированных файлов увеличивается на 4096 байт. Код вируса не изменяет ни точку входа (EP) виртуального адреса, ни смещение EP - вместо этого он дописывает своё тело в конец загружаемого сегмента. Внутри инфицироанного файла наблюдается строка " [ Cyneox/DCA ". Ввиду непосредственного участия пользователя для начала заражения (а процент глупости пользователей ОС Linux всё-таки существенно меньше, чем ОС "всех времён и народов"), вероятность заражения довольно низка. В антивирусных базах вирус получил название Linux.Binom (Symantec) и Linux.Nibom.A (ClamAV).
Описание вируса

26/12/2004 13:56 ASPLinux анонсировала выход нового дистрибутива
Компания ASPLinux совместно с фирмой «1С» объявили о выходе нового дистрибутива ASPLinux под издательской маркой «1С:Дистрибьюция». Новая версия получила название «v10». При разработке ASPLinux v10 учитывалось, что дистрибутив будет устанавливаться не только на серверы, но и на настольные компьютеры, в том числе – и на домашние ПК. Поэтому при создании дистрибутива были реализованы такие возможности, как моментальная готовность к работе, простота конфигурирования. У продукта - широкие мультимедийные возможности: включенные в дистрибутив программы позволяют воспроизводить видео-диски DVD и MPEG-4 и аудио-файлы в формате МР3. В основу ASPLinux v10 лег репозитарий Fedora, создаваемый сообществом разработчиков под эгидой компании Red Hat. Выбор был обусловлен тем, что, по утверждению представителей ASPLinux, в настоящее время это наиболее качественный и быстро обновляющийся репозитарий. Как и предыдущая версия дистрибутива, ASPLinux v10 будет предлагаться пользователям в четырех вариантах. Наиболее полная коробочная версия ASPLinux v10 Deluxe предназначена для разработчика или системного администратора, подходит для установки на сервер, и на рабочую станцию. В поставку включен диск DVD с дистрибутивом, а так же ряд пакетов, не вошедших в состав основного дистрибутива. Вариант ASPLinux v10 Standard рекомендован для домашних пользователей, он также может использоваться как ПО для домашнего мультимедийного центра. Вариант ASPLinux v10 Express, рекомендован для пользователей, знакомых с ОС Linux и не нуждающихся в литературе или дополнительном ПО. И, наконец, вариант ASPLinux v10 Greenhorn – дает возможность любому пользователю познакомиться с ОС ASPLinux и работать в ней, не устанавливая на жесткий диск.
CNews

26/12/2004 13:59 «Троянец» для мобильных телефонов маскируется под игру
Антивирусные эксперты зафиксировали появление новой версии вредоносной программы для мобильных телефонов, сообщает сайт Security Focus. Речь идет о троянце Trojan.SymbOS.Skuller, который на сей раз оказался замаскирован под игру Metal Gear Solid. В числе телефонов, уязвимых для этой программы, оказались аппараты производства компаний Nokia, Siemens, Panasonic и Sendo. По информации антивирусной компании SimWorks, новый троянец нейтрализует антивирусное программное обеспечение телефона. Новая версия Trojan.SymbOS.Skuller может самостоятельно распространяться, используя еще одну вредоносную программу для мобильных устройств — Cabir. Пользователям настоятельно рекомендуется не открывать файл MetalGear.sis, полученный с другого мобильного устройства. В противном случае вредоносная программа не только нейтрализует антивирусы, но и установит в аппарат червя Cabir и установочный файл SEXXXY.sis. SEXXXY.sis запускает код, который нейтрализует работу кнопки «Меню».
SecurityFocus

26/12/2004 16:14 Первый IMAP сервер написанный с оглядкой на безопасность
Как известно, низкая безопасность главный недостаток современных открытых IMAP серверов (UW-IMAP, Courier, Cyrus), сообщает opennet.ru. Но похоже ситуация изменилась, после начала разработки IMAP сервера Dovecot, главной задачей которого является создание по настоящему безопасной реализации IMAP сервера. В настоящее время продукт уже достиг стадии позволяющей использовать его в "production" системах. Из возможностей можно отметить полную поддержку IMAP4rev1 (плюс реализация команд SORT и THREAD, которые часто используется в web-mail клиентах), работа с mailbox и maildir, низкие затраты ОЗУ и высокая производительность, понятный файл конфигурации, несколько уровней настроек работы в chroot, реализация поддержки TLS/SSL через библиотеку GNUTLS (возможна сборка с OpenSSL, но на безопасности это сказывается не лучшим образом).
Сайт проекта

26/12/2004 16:49 Новая версия Santy поражает phpBB 2.0.11
Ранее указывалось, что продолжающаяся эпидемия червя Santy, атакующего форумы под управлением популярного скрипта phpBB, не затрагивает крайнюю версию этого продукта - 2.0.11. Однако, как стало известно, форумы под управлением и этой версии также взламываются новой версией червя Santy (Sanity в некоторых интерпретациях) - Santy.C. Как указывают исследователи компьютерной безопасности и пострадавшие, анализирующие логи поражённых Вэб-серверов, новая версия загружает собственной тело (Перл-скрипт) с сайта www.visualcoders.net, используя утилиту wget, присутствующую на большинстве UNIX-серверов, после чего скачивает своё тело и код IRC-бота, для запуска на сервере. При этом сам Apache (/usr/local/apache/bin/httpd) запускается с поддержкой SSL-протокола (по-идимому, для шифрации передаваемого трафика). Для поиска уязвимых форумов, как указывалось ранее, используется бразильский сервер Google (www.google.com.br). Кстати, в коде самого червя и бота (в комментариях и названиях переменных) явно прослеживается бразильский след и указание на Atrix Team.
Коды червя и бота
Описание технологии распространения и работы


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru