Создается глобальная база уязвимостей в ПО и железе
В Open Source Vulnerability Database (OSVDB) собрана информация от профессионалов
по информационной безопасности за последние два года, и теперь планируется начать
ее свободное распространение, а также ежедневное пополнение базы новыми сведениями.
Основатель проекта Тайлер Оуэн (Tyler Owen). При этом проект не ограничивается
какими-то конкретными продуктами, рассчитывая вобрать в себя информацию по всем
видам аппаратуры и ОС, сообщает vnunet.com. Что до регуляционной стороны такого
проекта, то в этом квартале должны появиться основные положения, включающие
в себя временные ограничения по скорости сообщения об обнаруженных уязвимостях
производителям продуктов и широкой общественности.
Исследователи из британской компании NGSSoftware сообщили о способе
вывода из строя почтовых серверов с помощью всего нескольких писем, составленных
особым образом. А именно: в поле Copy to, обычно используемом для одновременной
отправки нескольких копий писем разным получателям, помещается несколько тысяч
неверных адресов. Если злоумышленнику удастся подделать обратный адрес, подставив
вместо реального адреса имя атакуемого сервера, и отправить письмо на какую-нибудь
крупную почтовую станцию, то существует неплохой шанс утопить атакуемый сервер
с помощью тысяч отлупов с сообщениями о неверно указанных адресах реципиентов.
Как выразился по этому поводу Гюнтер Оллман (Gunter Ollman), слова которого
приводит New Scientist, при помощи всего лишь одного письма на 10 КБ я могу
привезти до 100 МБ данных на любой сервер по моему выбору. При всей хвастливости
этого заявления, следует отметить, что, по крайней мере, 30 % почтовых серверов,
принадлежащих компаниям из списка Fortune 500, способны стать посредниками в
организации такой атаки. Для того чтобы успешно завалить почтовую службу противника,
нужны всего два-три таких сервера.
Источник: Internet.ru
Для IBM
По данным отчета о дырах в OpenSSL (http://www.scunia.com/advisories/11325/),
последней жертвой этих уязвимостей был HTTP-сервер IBM. Дыры OpenSSL обнаруживаются
при появлении некорректных последовательностей кодов ASN.1. Удаленные хакеры
могут воспользоваться ими, в результате чего произойдет делокализация памяти
и, как следствие, отказ сервисов и выполнение произвольного кода. Данная проблема
характерна для версий 1.x и 2.x. HTTP-сервера IBM. В модернизированных версиях
1.3.x и 2.0 подобных уязвимостей нет.Для RealPlayer
В специализированном плагине R3T нескольких версий мультимедийного плейера
RealNetworks обнаружена дыра. Используя ошибку переполнения буфера, злоумышленник,
теоретически, может захватить полный контроль над компьютером и выполнить на
нем произвольный программный код.
Дырявые версии: RealPlayer 8, RealOne Player, RealOne Player v2 для Windows
(все языки), RealPlayer 10 Beta (только английский язык) и RealPlayer Enterprise.
Пользователям RealPlayer 10 Gold ничего не угрожает, поскольку данная модификация
программы автоматически удаляет из системы плагин R3T при установке. Компания
RealNetworks уже предложила способы решения проблемы путем деинсталляции уязвимого
компонента (http://service.real.com/help/faq/security/040406_r3t/en/).
Для Cisco
Компания Cisco Systems предупредила об уязвимости в защите двух своих продуктов
для беспроводных сетей. Имя пользователя и пароль, закодированные в некоторые
версии ее программного ядра для мобильных устройств (WLSE) и ядра хостинга (HSE),
могут дать хакеру полный контроль. С помощью встроенных паролей можно скрыть
неконтролируемые подключения, создавать и менять привилегии пользователей и
менять настройки системы. Это затрагивает версии 2.0, 2.0.2 и 2.5 WLSE и версии
1.7, 1.7.1, 1.7.2 и 1.7.3 ядра HSE.
Устройство WLSE применяется для управления сетями Aironet WLAN, мониторинга
и настройки мобильных подключений, и обладает функциями обнаружения незарегистрированных
подключений с применением необходимой политики безопасности. HSE является устройством
управления сетью на базе платформы Cisco 1140 и используется для наблюдения
за сервисами электронной коммерции в дата-центрах Cisco. Встроенные имя и пароль
используются в обоих устройствах и не могут быть отключены. Для платформы WLSE
потенциальная атака может дать злоумышленнику возможность менять радиочастоты,
приводя к сбоям сети или получать конфиденциальную информацию из сети. Для HSE
злоумышленник может перенаправлять трафик с сервера.
Компания выпустила исправления, они доступны на ее сайте по адресу: http://www.cisco.com/en/US/products/products_security_advisory09186a00802119c8.shtml.
Коммутаторы Catalyst 6500 Series и Интернет-маршрутизаторы 7600 Series Cisco,
использующие модуль сервисов IP-безопасности VPN (VPNSM), имеют уязвимость.
VPNSM является высокоскоростным компонентом, поставляющим интегрированные в
инфраструктуру сервисы IP-безопасности VPN. Удаленные хакеры, использующие специальные
пакеты Internet Key Exchange (IKE), могут вызвать поломку и перезагрузку техники,
вследствие чего произойдет отказ сервисов. Данная проблема наличествует в версиях
12.2SXA, 12.2SXB и 12.2SY Cisco IOS, использующих VPNSM. Проблему нельзя решить
с помощью временных средств защиты, но Cisco уже разработала некоторые поправки
для этих версий.
Для Dreamweaver (Macromedia)
Компания Macromedia сообщила (http://www.macromedia.com/devnet/security/security_zone/mpsb04-05.html)
о наличии проблемы в удаленном доступе к БД Dreamweaver. Эта связь (для построения
динамических БД) устанавливает скрипты, которые могут раскрыть хакеру DSN. И
хакер сможет посредством данных скриптов послать SQL-команды на сервер и управлять
сервером БД.
Macromedia советует не определять связь с БД посредством драйвера на тестируемом
сервере, доступном всем. Если связь была определена, применяйте команду в меню
Dreamweavers Remove Connection Scripts для удаления файлов, которые позволяют
получить доступ к БД, и могут быть защищены паролем.
Рекомендуется почитать документ http://www.macromedia.com/go/DMJL_AACE.
DSN (Data Source Name) путь, по которому приложение ASP связывается с БД.
В DSN содержится релевантная информация по БД, включающая ее местоположение
и способ доступа к ней.
Для Citrix
Выпущено обновление для Citrix MetaFrame Password Manager 2.0, закрывающее дыру,
через которую при определенных условиях можно было локально хранить персональные
пароли в незащищенном виде.
Citrix MetaFrame Password Manager 2.0 предназначен для одноразовой аутентификации
пользователей при доступе к приложениям, системам и Web-сайтам, которые требуют
повторной регистрации.
Для защиты эта программа шифрует пароли с помощью алгоритма 3DES и хранит оба
локально и в центральной системе. Однако если администратор не сконфигурировал
агент Citrix MetaFrame Password Manager правильно для указания на центральное
хранилище, пароли, введенные после запуска пользователем First Time User Wizard,
хранятся незашифрованными локально, что может дать хакеру доступ к ним.
Обновление Citrix MPME100W001 хранится по адресу
http://support.citrix.com/kb/entry.jspa?entryID=4062.
Для Symantec
Израильский специалист Рафель Ивги, также известный под псевдонимом The Insider,
сообщает о наличии дыр в онлайновых антивирусных службах Virus Detection, ActiveScan
и FreeScan, принадлежащих, соответственно, компаниям Symantec, Panda Software
и McAfee.
Вышеназванные сервисы бесплатны для пользователей Сети, однако работают по запросу,
а не в режиме реального времени, в отличие от коммерческих продуктов. То есть,
для проверки компьютера необходимо посетить соответствующий онлайновый ресурс.
Причем в процессе сканирования через браузер Internet Explorer загружается элемент
управления ActiveX, который, собственно, и обеспечивает возможность проведения
атаки. В частности, воспользовавшись ошибкой переполнения буфера в компоненте
ActiveX, злоумышленник теоретически может выполнить на компьютере жертвы произвольный
программный код.
Компания Panda Software подтвердила факт наличия проблемы и сообщила о том,
что дыра уже успешно устранена. ВSymantec и McAfee, в свою очередь, утверждают,
что спровоцировать ошибку переполнения буфера в принадлежащих им антивирусных
сканерах невозможно. Правда, специалисты McAfee признали, что в ActiveX имеется
ошибка, однако, если хакер ей и воспользуется, то все, чего ему удастся добиться
это спровоцировать аварийное закрытие браузера. Ранее дыра, связанная с ActiveX,
уже была обнаружена в защите Symantec Norton Internet Security.
Для Microsoft
Корпорация Microsoft 13 апреля выпустила бюллетени безопасности, закрывающие
опасные дыры в ОС Windows различных версий.
Бюллетень MS04-011 описывает дыры в ОС Windows 98, Ме, 2000, ХР, NT и Server
2003. Через них теоретически можно выполнять в удаленной системе произвольный
программный код, в том числе, уничтожающий персональную информацию. Хакер может
поднять до максимума уровень собственных привилегий, установить какое-либо ПО
и украсть файлы. В частности, ошибки переполнения буфера присутствуют в локальной
подсистеме аутентификации пользователей LSASS, протоколе PCT, являющемся частью
библиотеки SSL, компоненте Winlogon, использующемся при входе в систему, и модуле
Negotiate Security Support Provider (SSP), обеспечивающем выбор протокола, по
которому клиент будет обмениваться данными с сервером в процессе аутентификации.
Кроме того, спровоцировать переполнение буфера можно, заставив жертву просмотреть
сформированный особым образом графический файл в формате WMF или EMF.
Ряд других уязвимостей, описанных в MS04-011, обеспечивают проведение DoS-атак.
Ошибки данного типа содержатся в облегченном протоколе доступа к каталогу (LDAP)
и библиотеке SSL. Наконец, дыры в диспетчере служебных программ (Utility Manager),
программном интерфейсе, применяющемся при вводе данных в таблицу локальных дескрипторов
Local Descriptor Table (LDT), и модуле для работы виртуальной машины DOS (VDM)
позволяют хакеру поднять уровень собственных привилегий.
Бюллетень MS04-012 также связан с возможностью удаленного выполнения кода и
организации DoS-атак на ОС вышеуказанных версий. Дыры в библиотеке RPC Runtime
(используется при удаленном вызове процедур), службе RPCSS и некоторых других
компонентах ОС носят рейтинг критической важности и требуют немедленного латания.
Бюллетень MS04-014 связан с компонентом MS Jet Database Engine, который может
присутствовать в ОС Windows 98, Ме, 2000, ХР, NT и Server 2003. Для организации
атаки необходимо направить составленный особым образом запрос к приложению,
использующему вышеназванный модуль. Результатом обработки такого запроса может
стать выполнение в системе произвольного вредоносного кода.
ИТ в мундире
12 апреля Минобороны США и компания iRobot из Массачусетса в рамках
программы Future Combat Systems подписали контракт на поставку военных роботов,
которые управляются дистанционно, стоимостью в $32 млн.
Похожие механизмы уже используются в Афганистане и Ираке, однако они постоянно
нуждаются в доработках. В основном роботы выполняют разведывательные функции
и участвуют в разминировании. Работать они могут в любых условиях.
Машины позволяют существенно снизить количество потерь среди военнослужащих,
что в свете последних событий в Ираке для Пентагона является одной из первоочередных
задач. В планах iRobot также создание беспилотных самолетов-шпионов и небольших
танков, которые могут действовать на поле боя без человека.
Один из военных роботов компании iRobot PackBot уже погиб на поле боя.
Причины разрушения машины намеренно не называются. Американские войска не заинтересованы
в обнародовании деталей, так как повстанцы могут принять меры против роботов,
сообщила одна из руководителей робототехнической военной программы Оза Фитч
(Osa Fitch).
Машина весом 19 кг стоит приблизительно $50 тыс. В настоящее время в Ираке и
Афганистане американцы используют от 50 до 100 PackBot: они ползают в разведку,
ищут и уничтожают взрывчатые вещества, в то время как солдаты на безопасном
расстоянии управляют ими дистанционно.
Вирусы
1. Sober.d (или же Roca.a) выдает себя за заплатку от Microsoft и утверждает,
что только он сможет защитить получателя от новых версий вируса MyDoom. Прибывает
по электронной почте в виде письма с заголовком Microsoft Alert: Please Read!
или же Microsoft Alarm: Bitte Lesen!. В теле письма содержатся смутные угрозы
в адрес пользователя и требование открыть прикрепленный файл, который может
быть либо обычным экзешником, либо ZIP-архивом, защищенным паролем.
Если пользователь запускает приложение, червь сканирует жесткий диск, дабы проверить
его на зараженность, и если компьютер все еще чист, предъявляет диалоговое окно
с заголовком Windows Update MS-Q4232361791 и сообщением The patch has been
successfully installed. В случае же, если компьютер уже был заражен, вирус
выводит предупреждение о том, что все в порядке и патч ставить не нужно (This
patch does not need to been installed on this system).
1a. Sober.E обнаружен 28 марта. На компьютер по электронной почте приходит сообщение,
отправленное с адреса @gmx.net или @gmx.de и содержащее в строке Тема слова:
Hi, Ok или Hey. При внедрении в Windows-систему червь для маскировки открывает
приложение Paintbrush или MS Paint. В это время он копирует себя в папку SYSTEM,
а затем сохраняет найденные адреса электронной почты в файл WINRUN32.DLL и рассылает
свои копии по этим адресам, игнорируя адреса, содержащие слова bigfoot, hotmail,
online, web, accor, yahoo, gmx, aol и msn. Кроме того, червь может загружать
файл NDHAQQTH.EXE с сайтов home.acror.de и people.freenet.de.
2. Червь Witty распространяется только через прямые Интернет-соединения и представляет
угрозу лишь для тех пользователей, на чьих компьютерах установлен персональный
брандмауэр BlackICE производства компании Internet Security Systems. Используя
ошибку в данном пакете, вирус обходит защиту, проникает на ПК и активирует процедуры
распространения. Для этого червь отправляет копии своего кода по 20 тыс. произвольных
IP-адресов. Далее Witty пытается открыть один из доступных носителей и произвести
с ним ряд операций. В частности, заполняет свободное пространство диска произвольными
данными.
Код вируса занимает всего 909 байт. Это говорит о том, что написан червь на
Ассемблере. Кстати, в теле вредоносной программы имеется строчка: (^.^) insert
witty message here (^.^). Атаке подвержены компьютеры с установленными пакетами
BlackICE Server Protection версий 3.6 и ниже, BlackICE PC Protection версий
3.6 и ниже, BlackICE Agent for Server версий 3.6 и ниже. Загрузить обновления,
ликвидирующие дыры в брандмауэре, можно с сайта http://www.iss.net/download/.
3. Появилась еще одна версия Bagle. За три месяца авторы вируса выпустили уже
около 20 вариантов червя, причем некоторые из них для проникновения на компьютер
используют весьма оригинальные схемы маскировки. Так, начиная с шестой версии,
червь научился прятать собственный код внутри защищенных паролем ZIP-архивов,
а модификации с индексами N и выше получили поддержку формата RAR (пароль
к архиву при этом указывается в графическом виде).
Отличительные особенности Baglе.U следующие: у писем, содержащих вредоносный
файл, не заполнено поле Тема и нет содержимого; после запуска вложения, которое
всегда имеет расширение ЕХЕ, автоматически загружается игра Червы (входит
в комплект стандартной поставки ОС Windows); вирус самоуничтожается, если системная
дата установлена на 1 января 2005 года или более позднюю дату.
После проникновения на ПК червь открывает порт 4751 и пытается сообщить об этом
своему автору, соединяясь с одним из Интернет-сайтов. Далее Baglе.U начинает
отправку собственных копий по найденным на компьютере адресам электронной почты
(применяется встроенный SMTP-сервер). Размер зараженного файла составляет 8208
байт (в распакованном виде около 50 КБ).
4. 17-я модификация вируса Netsky.Q, как и предшествующие варианты, распространяется
по электронной почте в виде вложений. При этом письма замаскированы под сообщения
об ошибке, которые обычно автоматически генерируются почтовыми серверами в случае
невозможности доставки посланий. К примеру, в поле Тема может быть указана
строка Delivery Error, а в теле сообщения строка вроде Mail Delivery
This mail couldnt be displayed.
После открытия присланного файла с расширением PIF или ZIP червь регистрируется
в системном реестре и пытается обнаружить и удалить некоторые версии вредоносных
программ Mydoom, Mimail и Bagle. В коде Netsky.Q содержатся текстовые строки,
в которых авторы выражают свое резко отрицательное отношение к распространителям
вирусов и хакерам. 31 марта, а также каждый понедельник апреля Netsky.Q будет
предпринимать попытки отправки своих копий по найденным на инфицированном компьютере
адресам электронной почты. Кроме того, 7 и 12 апреля червь постарается вывести
из строя ряд Интернет-ресурсов, расположенных по адресам Kazaa.com, Edonkey2000.com
и Cracks.am.
5. Червь VBS.Gaggle.D (I-Worm.Gedza, VBS/Gedza.A) рассылает собственные копии
по электронной почте посредством встроенного SMTP-сервера. Вирус также способен
распространяться через mIRC, ICQ и некоторые файлообменные сети.
После запуска вложенного в письмо файла с именем FILEZIP.ZIP червь создает свою
копию в системной папке Windows, а также записывает туда ряд вспомогательных
файлов. Далее вирус открывает окно браузера Internet Explorer и отображает в
нем фотографию известной поп-исполнительницы Эврил Лавинь. Таким образом, заметить
присутствие вредоносной программы на компьютере несложно. После этого VBS.Gaggle.D
регистрируется в системном реестре, обеспечивая себе при этом автоматический
запуск при загрузке ОС.
Кроме того, червь способен перезаписывать файлы с расширениями VBS, VBE, JS,
JSE, HTA, HTM, HTML, PHP, SHTM, SHTML, PHTM, PHTML, MHT, MHTML, PLG, и HTX собственными
копиями, а также уничтожать VBS-файлы на флоппи-дискетах. В процессе генерации
инфицированных сообщений поле От кого фальсифицируется, а тема письма и его
содержание варьируются произвольным образом. Наконец, вирус отправляет письма
с украденной информацией (например, найденными адресами почты) своему автору.
Впоследствии эти адреса могут использоваться для составления списков массовых
рассылок. Червь VBS.Gaggle.D представляет угрозу для пользователей компьютеров
с ОС Windows 2000, 95, 98, Me и XP.
Защита
Широкое
распространение КПК и смартфонов создало новую угрозу для безопасности корпоративных
компьютерных сетей. Как показали исследования агентства TNS NFO, 86 % работодателей
позволяют своим служащим пользоваться этими мобильными устройствами на работе.
Примерно то же количество служащих (83,6 %) не затрудняет себя соблюдением правил
безопасности при использовании своих устройств в корпоративных сетях, что создает
серьезную опасность возможности несанкционированного доступа к конфиденциальной
информации. Это же исследование показало, что 74,6 % служащих, использующих
мобильные устройства, либо не знают, имеют ли их устройства какую-либо защиту,
либо используют устройства, не оснащенные средствами безопасности.
Руководство компаний, уделяя большое внимание защите от прямых хакерских атак,
совершенно не отдает себе отчета в том, что не меньшую угрозу неосознанно создают
их собственные служащие, особенно те, что имеют права доступа к важной информации
компании. Опытному хакеру, получившему доступ к незащищенному мобильному устройству,
подключенному к сети компании, становятся доступны и все ее данные. При этом
его действия будут оставаться незамеченными в течение длительного периода времени.
От этого могут пострадать и сами служащие, хранящие на своих мобильных устройствах
конфиденциальную информацию. Впрочем, только 9,5 % из них заявили, что им будет
неприятно, если кто-нибудь опубликует эти данные в Интернет.
В связи с этим предприятиям следует разработать стратегию защиты применительно
к используемым служащими мобильным устройствам и централизованно определять
для них права на доступ к информации, резюмирует издание Cellular-news.
Лаборатория Касперского начала бета-тестирование двух антиспамовых
продуктов, разработанных для фильтрации нежелательной корреспонденции в корпоративных
сетях и на уровне Интернет-провайдеров Kaspersky Anti-Spam Enterprise Edition
2.0 и Kaspersky Anti-Spam ISP Edition 2.0.
Технология лингвистического анализа электронных писем позволяет системе самостоятельно
анализировать текст письма, понимать его смысл и отсеивать нежелательную корреспонденцию.
Технологии позволяют успешно распознавать новые уловки спамеров: внедрение в
письмо сложных графических элементов, многоступенчатую маршрутизацию сообщений
для дезориентации анализа по черным спискам, манипулирование HTML-кодами и
присоединение к нежелательной корреспонденции закодированных файлов.
Пользователи Kaspersky Anti-Spam обеспечиваются обновлениями антиспамовой базы
данных каждые два часа. Интегрированный модуль управления, представленный Web-интерфейсом,
дает системному администратору возможность оперативного изменения параметров
работы программы из любой точки сети.
Ознакомиться с условиями и процедурой участия в бета-тестировании можно по адресу
http://www.kaspersky.ru/beta.html.
Сотрудники Агентства оборонных исследований Канады разработали умный
буй, который предполагается использовать с целью охраны морских границ, а также
для изучения миграций животных.
Устройство длиной в 1,5 м и диаметром 15 см по своему внешнему виду сильно напоминает
торпеду. Будучи сброшен с борта корабля или с самолета, буй сразу погружается
под воду и начинает прослушивать окружающее пространство. Как только сенсоры
зарегистрируют приближение какого-либо судна или крупного животного, буй поднимается
на поверхность при помощи надувного баллона и передает информацию об объекте
береговой охране по спутниковой связи.
По заявлениям разработчиков, электроника способна по шуму винтов определять
размеры и даже тип корабля, что должно оказать немалую помощь в поимке контрабандистов,
сообщает журнал Nature. Вперспективе, планируется также оснастить устройство
рядом дополнительных датчиков, измеряющих, к примеру, температуру воды, уровень
соли или процентное содержание вредных примесей.
Как показали проведенные в ноябре 2003 года испытания, умный буй способен
реагировать на шум с глубины до 55 метров. Однако эта цифра далеко не предел.
Разработчики утверждают, что сенсоры рассчитаны для работы на глубинах до 300
метров. Предполагается, что первые поставки шпионских бакенов начнутся уже
летом нынешнего года. Стоимость устройства составит порядка $5000 США (без датчиков).
Компания Teros предложила ПО Safe Object, предотвращающее извлечение
конфиденциальных данных из корпоративных Web-приложений. Типы данных, передача
которых должна блокироваться, определяются пользователем. Система проверяет
исходящий трафик на наличие строк, соответствующих заданным шаблонам, и в зависимости
от настроек либо блокирует передачу, либо маскирует данные, забивая конфиденциальные
сведения, например, символами Х. Таким образом, Safe Object позволяет блокировать
передачу номеров кредитных карт и банковских счетов, адресов электронной почты,
индивидуальных номеров налогоплательщика и т. п.
Система предотвращает попытки хищения данных посредством червей и вирусов, пользующихся
известными уязвимостями Web-приложений, предоставляя администратору время на
тестирование заплат перед их инсталляцией. Safe Object станет функцией шлюза
безопасности Secure Application Gateway.
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ. Свидетельство Эл 77-4461 от 2 апреля 2001 г. Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru
Широкое
распространение КПК и смартфонов создало новую угрозу для безопасности корпоративных
компьютерных сетей. Как показали исследования агентства TNS NFO, 86 % работодателей
позволяют своим служащим пользоваться этими мобильными устройствами на работе.
Примерно то же количество служащих (83,6 %) не затрудняет себя соблюдением правил
безопасности при использовании своих устройств в корпоративных сетях, что создает
серьезную опасность возможности несанкционированного доступа к конфиденциальной
информации. Это же исследование показало, что 74,6 % служащих, использующих
мобильные устройства, либо не знают, имеют ли их устройства какую-либо защиту,
либо используют устройства, не оснащенные средствами безопасности.
КОМПЬЮТЕР-ИНФОРМ