Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
ИТ и безопасность
Компания "ТрансТелеКом" внедрила продукты IronPort для защиты электронной почты. Благодаря решению IronPort C-Series, уровень обнаружения вирусов и спама превысил 97%, притом, что их содержание в почтовых сообщениях, получаемых системой, оценивается в 99%.
Музыкальный телеканал MTV Россия выбрал антивирусное решение ESET NOD32 для защиты своих серверов и рабочих станций. Поставщиком продукта является компания "Антивирусные решения".
В холдинге "Макслевел" (торговля сантехникой, мебелью и оборудованием) установлено 1400 комплектов ESET NOD32 Business Edition.
Компания Lenovo добавит в первом квартале 2009 года на некоторых моделях ноутбуков серии ThinkPad, оснащенных модулем широкополосного беспроводного доступа, технологию Constant Secure Remote Disable. Она позволяет заблокировать доступ к информации на компьютерах, если они были украдены или утеряны, отправив SMS-сообщение. Эта технология была разработана совместно с компанией Phoenix Technologies.
Согласно данным исследования "Computer Crime and Security" института CSI (Computer Science Institute), 42 % преступлений в компьютерной сфере, как в частных, так и в государственных организациях, произошли в результате кражи ноутбуков (http://i.cmpnet.com/v2.gocsi.com/pdf/CSIsurvey2008.pdf).
Сообщение типа "Заблокировать сейчас" или "Выключить компьютер" отправляется с мобильного телефона на встроенный в ноутбук модуль широкополосного беспроводного доступа. Если в момент отправки сообщения ноутбук был выключен, он автоматически заблокируется при следующей регистрации в сети. Владелец ноутбука получит текстовое подтверждение того, что компьютер был успешно заблокирован. Для реактивации ноутбука пользователь должен ввести пароль, который был задан при настройке ноутбука. Технология будет поддерживаться в тех зонах, где есть доступ к сотовой сети GSM и поддержка SMS.
В декабре 2008 года в некоторые модели ноутбуков Lenovo добавили технологии Intel Anti-Theft PC Protection и Absolute Computrace, обнаруживающие потенциальные криминальные ситуации и реагирующие на них в соответствии с установленной ИТ-политикой.
Функция Absolute Computrace предназначена для предотвращения краж, удаления данных и управления ИТ-ресурсами мобильных ПК, активируется непосредственно на месте эксплуатации. Аппаратная технология Intel Anti-Theft PC Protection позволяет использовать средство безопасности компании Absolute.
Например, если ноутбук ThinkPad T400 не зарегистрируется вовремя в центре мониторинга Absolute Monitoring Center через Интернет, система Anti-Theft PC Protection посредством Computrace автоматически заблокирует ноутбук, чтобы пресечь действия неправомочного пользователя. Кроме того, ИТ-администратор может использовать технологии Computrace и Intel Anti-Theft PC Protection для отключения устройства в случае утери или хищения. В следующий раз при попытке регистрации хранящиеся в этом компьютере данные могут быть удалены, а сам ноутбук полностью заблокирован. Функция Intel Anti-Theft PC Protection может инактивировать устройство, если число попыток ввода пароля превышает установленное значение или ноутбук не был зарегистрирован в течение времени, превышающего установленное ИТ-политикой. Когда компьютер вновь окажется у правомочного пользователя, специалист ИТ-подразделения его организации сможет разблокировать его.
Функция Computrace сохраняет свою работоспособность даже после переформатирования или замены жесткого диска.
Технология Intel vPro расширяет возможности имеющихся решений Absolute благодаря наличию функций удаленного управления и позволяет ИТ-специалистам в большинстве случаев удаленно выполнять задачи защиты и управления, даже если питание обслуживаемого компьютера выключено, BIOS или жесткий диск неработоспособны или система находится за пределами брандмауэра компании.
В комплексе Cisco Virtual Office (CVO) реализована поддержка Aladdin eToken для сохранения конфигурации сетевых систем и защищенного мобильного доступа к корпоративным данным, а также автоматической загрузки и настройки конфигурации CVO.
CVO - это комплекс, объединяющий продукты, технологии и услуги для удаленного ведения бизнеса, такие как IP-телефония, коммутация, маршрутизация, службы обмена голосовыми сообщениями и видео, управление различными правилами и политиками. К структурным компонентам CVO относятся абонентская станция, центральный узел и комплекс услуг.
В рамках комплекса CVO на каждой абонентской станции устанавливаются маршрутизаторы Cisco серий 870, 880, 1800, 2800 и 3800 Integrated Services Router (ISR) и IP-телефоны из серии Cisco Unified IP Phones 7900. Центральный узел является соединительным звеном для всех абонентских станций и реализован на базе VPN-маршрутизатора, который играет роль конвергентной платформы, объединяющей возможности защищенного соединения с удаленными офисами, централизованное управление политиками, настройками и параметрами идентификационных данных.
Защищенное подключение удаленного сотрудника к корпоративному серверу может быть реализовано, только когда eToken подсоединен к компьютеру или маршрутизатору на абонентской станции.
Существует три сценария использования eToken в рамках CVO: в качестве физического носителя, на котором хранятся ключи шифрования RSA, в качестве носителя для настройки удаленного клиента (в этом случае на eToken хранятся RSA-ключи и небольшой файл с настройками CVO), а также для хранения полной конфигурации CVO.
Второй сценарий предполагает загрузку маршрутизатора с минимальными настройками, достаточными для защищенного соединения с центральным сервером. На eToken сохранены сертификат корневого центра сертификации, ключевая пользовательская пара, конфигурация PSec (для установления защищенного соединения с центральным офисом), механизм синхронизации времени и агент Cisco CNS, который отвечает за обработку событий на уровне ядра Cisco Configuration Engine.
Если же предполагается, что eToken будет использоваться для автонастройки или для хранения всей конфигурации CVO, то предварительно необходимо скопировать все параметры конфигурации ПО Cisco IOS и цифровые сертификаты в память eToken, используя для этого систему управления средствами аутентификации - Aladdin Token Management System (TMS).
Компания Acronis предлагает ПО Acronis Recovery для резервного копирования и восстановления баз данных MS Exchange, работающих на серверах под управлением ОС семейства MS Windows. Предприятиям малого и среднего бизнеса доступна версия Acronis Recovery для MS Exchange Small Business Server. Функционал Acronis Recovery для MS Exchange позволяет создавать как полный образ базы на заданный момент времени, так и небольшие резервные копии отдельных почтовых ящиков. Постоянный контроль транзакций обеспечивает постоянную актуальность резервной копии базы данных, а специальный режим Dial-Tone Recovery позволяет администратору в сжатые сроки восстановить функционирование важнейших почтовых сервисов, а затем - данные пользователей.
Компания Cisco опубликовала третий, последний, отчет о результатах глобального исследования утечек данных в условиях, когда компании все активнее внедряют системы совместной работы и становятся все более мобильными и распределенными. Первые два см. на страницах http://www.cisco.com/web/RU/news/releases/txt/2047.html и http://www.cisco.com/web/RU/news/releases/txt/2100.html.
Данный отчет посвящен "внутренним угрозам", то есть угрозам потери корпоративной информации по вине самих сотрудников. Отчет подготовлен по результатам опроса компанией InsightExpress (США) более 2000 сотрудников и ИТ-специалистов из Австралии, Бразилии, Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии.
Угрозы внутренние и внешние. Большинство ИТ-специалистов считает, что сами сотрудники компании могут подорвать безопасность корпоративных данных сильнее, чем посторонние. Главной причиной этого 39 % опрошенных ИТ-специалистов считают халатность сотрудников, а каждый пятый указал на угрозу потери данных из-за того, что тот или иной сотрудник по какой-то причине может почувствовать себя обиженным.
Портативные жесткие диски. Каждый третий опрошенный ИТ-специалист считает портативные жесткие диски самой серьезной опасностью с точки зрения возможности утечки данных. Следом идут электронная почта (ее упомянули 25 % опрошенных ИТ-специалистов), потерянные и украденные устройства (19 %), разглашение информации в разговорах с посторонними лицами (8 %).
Потерянные и украденные устройства. За год, предшествовавший исследованию, примерно каждый десятый опрошенный сотрудник вследствие потери или кражи лишился корпоративного устройства со своими личными данными и корпоративной информацией.
Кража информации и устройств для продажи. Практически каждый десятый опрошенный сотрудник (11 %) признался, что крал корпоративные данные и устройства для продажи, либо знает других сотрудников, кто это делал с целью наживы. Это особенно характерно для Франции, где о таком поведении знает каждый пятый сотрудник (21 %).
Присвоение корпоративных устройств после ухода из компании. Некоторые сотрудники присваивают себе корпоративные устройства и продолжают пользоваться ими после ухода из компании, руководствуясь самыми разными побуждениями: "Взял устройство в личное пользование", "Хотел отомстить своей бывшей компании", "Компания все равно об этом не узнает".
Чтобы свести угрозу потери данных до минимума и сократить соответствующие издержки, по мнению Cisco, компании должны:
Причем изменения должны начинаться с ИТ-отдела. Его сотрудники должны четко понимать, насколько поведение пользователей влияет на потерю данных. Один из самых примечательных результатов проведенного исследования состоит в том, что большинство ИТ-специалистов почему-то считают, что остальные сотрудники компании все лучше понимают риски в области безопасности и все старательнее защищают корпоративные данные. К примеру, четверо из каждых пяти ИТ-профессионалов в Китае и каждый второй во Франции убеждены, что за последние годы сотрудники компаний научились лучше защищать корпоративную информацию. Между тем, опросы самих сотрудников говорят совсем о другом, заставляя более трезво взглянуть на истинное положение вещей. Хотя большинство угроз корпоративной информации исходит извне, исследование показало, что "внутренние угрозы", то есть случайное или преднамеренное разглашение корпоративной информации самими сотрудниками может нанести компании не меньший ущерб, чем атака извне.
Согласно данным сайта Cnews.ru, во время кампании по увеличению трафика главная страница сайта компании "Альфастрахование" заражала посетителей трояном Trojan-Spy.Win32.Zbot.gkj через эротико-рекламный мультфильм. То есть, на главной странице сайта была установлена закладка - при многократном (5-8 раз) нажатии на номер телефона компании запускался swf-мультфильм эротического содержания, сопровожденный призывом воспользоваться страховыми услугами компании. Информация об эротике как награде за усердие распространялась по Сети методом вирусного маркетинга.
"Посетителям грозил сам факт посещения этого сайта: при установленных на компьютере устаревших версиях Acrobat Reader (плагин которого редко обновляется пользователями) либо MS Access автоматически запускались файлы browsser.exe и ntos.exe", - пояснил сотрудник "Лаборатории Касперского" Виталий Денисов.
В "Лаборатории Касперского" не располагают детальной информацией о функциональности именно этого трояна, но семейству Zbot, к которому он относится, свойственно после инсталляции себя в систему похищать пользовательские пароли, перехватывать данные, вводимые в формы браузеров и контролировать адреса банков и платежных систем - таким образом происходит кража аккаунтов. Трояны Zbot способны перехватывать нажатие кнопки мыши и делать в этот момент скриншоты.
По поводу появления вредоносной программы в "Альфастраховании" проводится служебное расследование.
Датский бизнесмен Стейн Баггер, которого разыскивали сотрудники Интерпола за финансовые махинации в особо крупных масштабах, объявился в США и пришел с повинной в полицейский участок города Лос-Анджелес. Он несколько лет был главным менеджером компании IT-Factory, продававшей оборудование IBM. По предварительным данным, Баггер и его сообщники могли присвоить сумму в $85 млн путем, в частности, перевода средств в фиктивные филиалы IT-Factory.
Компания "Доктор Веб" сообщила о значительном увеличении потока новых вирусов, для распространения которых используются съемные устройства (USB Flash Drive, CD/DVD, внешние жесткие диски и др.). Вредоносный объект, именуемый по классификации Dr.Web Win32.HLLW.Autoruner, создан на языке программирования AutoIt. При этом применяются методы запутывания кода скриптов при сохранении их функциональности для усложнения анализа. AutoIt - это свободно распространяемый язык автоматизации задач MS Windows.
В результате действия подобных вирусов после преобразования исходного текста программы получается не скрипт, но полноценный исполняемый файл. Кроме того, у вирусописателей существует возможность упаковывать все части конечного файла, за исключением скрипта, с помощью различных упаковщиков, что также затрудняет их анализ.
В поисковом модуле Dr.Web версии 5.0, свободное бета-тестирование которого уже начато, реализована функция декомпиляции программ, написанных на AutoIt. Она позволяет анализировать AutoIt-скрипты и распаковывать исполняемые файлы, содержащиеся в AutoIt-червях.
"Доктор Веб" рекомендует пользователям Windows отключить функцию автозапуска съемных устройств, что существенно снизит вероятность заражения вредоносным кодом. Кроме того, перед использованием данных, содержащихся на съемных устройствах, следует в обязательном порядке проверить их антивирусным сканером с актуальными вирусными базами.
Корпорация Microsoft предупреждает о появлении червя Conficker, эксплуатирующего ошибку в ОС Windows, патч для которой был выпущен в бюллетене Microsoft MS08-067. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером.
Conficker открывает произвольный порт между 1024 и 10000 и работает как Web-сервер. При проникновении на компьютер червь маскируется под JPG-файл, а затем записывает себя на диск под видом библиотеки DLL. Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера - просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе.
Компания BitDefender предупреждает о появлении Trojan.PWS.ChromeInject, маскирующегося под расширение для браузера Firefox.
После проникновения на компьютер вирус записывается в папку дополнений Firefox и регистрируется в системных файлах под видом Greasemonkey - достаточно широко распространенного расширения для Firefox. ChromeInject активируется при каждом запуске браузера и с помощью JavaScript следит за действиями пользователя. Если владелец инфицированного ПК заходит на сайт банка или платежной системы, троян перехватывает логины и пароли и пересылает похищенную информацию на расположенный в России сервер.
Компания BitDefender подчеркивает, что вредоносная программа способна идентифицировать более ста различных ресурсов, через которые могут осуществляться финансовые транзакции. В их число входят сайты Paypal, Abbey National, Bank of America, Barclays, Chase, Wachovia, Washington Mutual, Wells Fargo, US Bank, а также целый ряд банков в Австралии, Франции, Италии, Испании и Великобритании. Троян может проникать на компьютер жертвы как через дыры в ПО, так и под видом "полезных" утилит.
Компания "Доктор Веб" сообщила о появлении Trojan.Locker.8. Размер файла трояна около 2 МБ. Файл упакован с помощью ASPack. Сразу после его запуска появляется изображение генератора серийных номеров, который не имеет к функционалу данной вредоносной программы никакого отношения. Это свидетельствует о том, что Trojan.Locker.8 может распространяться под видом генератора серийных номеров для продуктов Adobe Systems.
После запуска Trojan.Locker.8 переименовывает файлы и папки, находящиеся во всех разделах, кроме системного, таким образом, что их новые названия не соответствуют стандартным правилам именования папок в системе Windows. Содержимое файлов и папок при этом не изменяется. Далее вирус создает на рабочем столе и заблокированных разделах жесткого диска свою копию (файл answer.exe). При ее запуске появляется предупреждение о том, что файлы заблокированы, а также предложение обратиться к авторам трояна по указанным в сообщении данным.
Вопреки заверениям вирусописателей, папки и файлы блокируются и на системном диске - внутри папки "Мои документы" и на Рабочем столе. Для разблокирования информации "Доктор Веб" предлагает воспользоваться бесплатной утилитой со своего сайта. Контактировать с вирусописателями категорически не рекомендуется.
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru