Программисты
из университета Калифорнии в Беркли (UC Berkeley) обнаружили (http://www.berkeley.edu/news/media/releases/2005/09/14_key.shtml)
новую угрозу кибербезопасности: по анализу аудиозаписи звуков печатания на клавиатуре
можно воссоздать набранный текст или сочетания букв и цифр таким способом
злоумышленники могут украсть практически что угодно от паролей до секретных
документов.
Исследователи, называющие это акустическим шпионажем, сделали 10-минутную
запись работы пользователей за клавиатурой, считали ее в ПК и расшифровали с
точностью в 96 %.
Это новая форма шпионажа, на которую специалистам по компьютерной безопасности
следует обратить самое пристальное внимание, сообщил профессор Дуг Тигар
(Doug Tygar). Если мы смогли сделать это, вполне вероятно, то же самое получится
у людей с недобрыми намерениями.
Ученые говорят, что нажатие отдельной клавиши издает отличный от других кнопок
звук. Типичная скорость печатания 300 знаков в минуту дает компьютеру достаточно
времени для того, чтобы изолировать каждый звук и категоризировать его.
В ходе своих экспериментов группа Тигар выяснила: первоначальный компьютерный
анализ обеспечивает точность распознавания отдельных знаков 60 %, а слов 20
%. Дальнейшая проверка правописания и грамматики повышает точность до 70 % и
50 % соответственно.
Затем запись воспроизводится неоднократно, закольцовывается, чтобы компьютер
обучился. Трех циклов таких повторов достаточно, чтобы получить 88 % и 96
% точности.
После 20 попыток исследователи были способны восстановить 90 % паролей из пяти
знаков, 77 % паролей из восьми и 69 % из десяти знаков. При этом ни тип клавиатуры,
ни мастерство печатающего, ни фоновый шум значения не имели.
Ограничения у этой технологии, конечно, есть. Исследователи отметили, что они
не использовали в своих экспериментах клавиши Shift, Control, Backspace или
Caps Lock, но предложили способы обучить программу считаться также и с этими
клавишами. А вот учесть применение мышки, по их мнению, будет более сложно.
Это исследование основано на предыдущих работах специалистов из корпорации IBM
Дмитрия Асонова (Dmitri Asonov) и Ракеша Аграваля (Rakesh Agrawal), в котором
восстанавливалось 80 % текста по записи клавиш. Но в экспериментах Асонова и
Аграваля устанавливались специальные условия, в которых один и тот же человек
использовал одну и ту же клавиатуру, а алгоритм обучался на знакомом тексте
и соответствующих звуковых образцах.
А вот компьютерный алгоритм исследований в UC Berkeley может изучать и распознавать
различные типы печати. Чтобы это доказать, экспериментаторы использовали печать
множества различных пользователей на различных клавиатурах, включая и так называемые
тихие. И их алгоритм успешно выдавал данные. Более того, записи осуществлялись
в разных условиях, например, на фоне музыкального сопровождения и звонков сотовых
телефонов.
Фоновый шум, конечно, делал точное распознавание более сложным, но после нескольких
кругов обратной связи различия сглаживались, сказал профессор Тигар.
Исследователи также отметили, что подобно тому, как существующие сложные системы
караоке позволяют разделить голос и музыку, так и звуки нажатий на клавиши можно
будет отделить от звукового сопровождения.
Что особенно удивило иссле-дователей, так это простота и доступность оборудования
для дешифровки. Суперкачественной аудиосистемы не понадобилось, сказал Feng
Zhou, аспирант UC Berkeley. Использовался микрофон стоимостью в $10.
Профессор Тигар предупредил, что параболический микрофон позволит записывать
звуки в комнате людям, находящимся вне здания, и уж естественно, не уведомляя
того, кто давит на клаву.
Этот проект является частью работ, ведущихся под руководством команды из UC
Berkeley-led по исследованиям в области безопасности (Team for Research in Ubiquitous
Secure Technology (TRUST). Это центр, состоящий из множества институтов, финансируемый
National Science Foundation (США).
Пример, приведенный на сайте:
Исходный текст (обратите внимание, что в тексте сделаны две ошибки, эти слова
выделены):
the big money fight has drawn the support of dozens of companies in the entertainment
industry as well as attorneys gnnerals in states, who fear the file sharing
software will encourage illegal activity, stem the growth of small artists and
lead to lost jobs and dimished sales tax revenue.
Восстановленный текст, до проверки (выделенные слова неверны):
the big money fight has drawn the shoporo od dosens of companies in the
entertainment industry as well as attorneys gnnerals on states, who fear
the fild shading softwate will encourage illegal acyivitt, srem
the grosth of small arrists and lead to lost cobs and dimished
sales tas revenue.
Восстановленный текст после проверки и декодирования (выделенные слова неверны):
the big money fight has drawn the support of dozens of companies in the entertainment
industry as well as attorneys generals in states, who fear the film sharing
software will encourage illegal activity, stem the growth of small artists and
lead to lost jobs and finished sales tax revenue.
Продукты
Aladdin Software Security R. D. выпустила программный комплекс для защиты серверов
Secret Disk Server NG версия 3.1. Эта версия ускоряет шифрование данных на серверах
и рабочих станциях благодаря технологии многопоточного шифрования на многопроцессорных
системах. ПО предназначено для серверов и рабочих станций, работающих под
управлением ОС Microsoft Windows 2000/XP/2003.
Компания Stingray выпустила автономное устройство аппаратный брандмауэр Stingray,
который не требует настройки вручную. Встроенный алгоритм составляет необходимый
набор правил на лету, анализируя проходящий через него трафик.
Как утверждается, за счет случайного выбора реакции на попытку взлома из нескольких
возможных, Stingray затрудняет хакеру подбор подходящего способа проникновения.
Плюс к этому, устройство выполняет также антивирусные функции. За счет автономности
Stingray, возможность его применения не зависит от платформы и ОС компьютера,
с которым он работает. Цена $80.
Компания Panda Software выпустила Panda VPNSecure для VPN-соединений, работающих
как по протоколу IPSec, так и через SSL. ПО проверяет, что подключающийся компьютер
обладает активным и обновленным антивирусом, а также активным брандмауэром;
сканирует системную память на предмет содержания активных вредоносных процессов
(принадлежащих червям, шпионам, кейлоггерам и т. д.) и блокирует найденные.
Данная опциональная проверка дополнительный уровень, дополняющий установленную
защиту от любого стороннего антивируса (произведенного не Panda). Также в VPN-соединениях,
работающих через IPSec, решение проверяет, отключено ли раздельное туннелирование,
прежде чем разрешать подключение.
В VPN-соединениях, работающих через SSL, часто используемых в системах, не управляемых
компанией (таких как бизнес-центры, Интернет-кафе и т. д.), автоматически скачивается
компонент для проверки средств без-
опасности системы и проверки ее на предмет наличия вредоносных процессов, прежде
чем разрешить соединение. Все следы сеанса (cookies, временные файлы, записи
в журнале браузера и т. д.) удаляются из системы после его завершения.
VPNSecure управляется через Web-консоль и позволяет администратору настраивать
политики безопасности для удаленных компьютеров, так же, как и действия, предпринимаемые
в отношении несоответствующих им систем.
Бета-версия Panda VPNSecure требует наличия решения VPN-1 Pro от Check Point
Software Technologies.
Компании Cisco и Intel совместно разработали набор функций под названием Business
Class Wireless Suite, предназначенный для компаний, использующих унифицированную
беспроводную архитектуру Cisco и технологию мобильного доступа Intel Centrino.
Набор включает:
lтехнологию выбора оптимальной точки беспроводного доступа;
lтехнологию передачи го-лоса через IP (VoIP) для повышения чистоты звука и
обеспечения надежной голосовой связи для портативных компьютеров.
Компания Смартлок усовершенствовала свою универсальную биометрическую надстройку
систем контроля и управления доступом (УБН СКУД) Халас новым алгоритмом ускоренной
идентификации, получившим название IdentiFast.
Режим идентификации один-ко-многим (1:N) является наиболее удобным в использовании,
т. к. перед считыванием отпечатка этот метод не требует предъявления идентификационной
карты или ввода PIN-кода пользователя. Однако на крупных объектах использование
идентификационного метода ограничивалось тех-ническими барьерами по скорости
и точности распознавания пользователей. Поэтому для предприятий с численностью
сотрудников в несколько тысяч человек традиционно применялся метод верификации
1:1 (по карте и отпечатку или по PIN-коду и отпечатку), как наименее чувствительный
к размеру базы данных.
Режим IdentiFast ускоряет идентификацию в 410 раз в зависимости от выбранных
пользователем настроек (всего предлагается 5 градаций по скорости) и позволит
применять режим идентификации для объектов практически любого масштаба. Особенностью
нового алгоритма является то, что ускорение идентификации не влияет на установленный
уровень безопасности системы в целом, т. е. не влечет за собой увеличения вероятности
ложного доступа (уровень FAR остается прежним). Увеличение скорости идентификации
достигается за счет незначительного снижения точности аутентификации. К примеру,
для базы данных в 1000 отпечатков увеличение скорости идентификации в 5 раз
приводит к увеличению уровня ошибки ложного отказа в доступе (FRR) приблизительно
в 1,3 раза.
Для малочисленных предприятий (менее 100 сотрудников) сохраняется возможность
использования стандартного режима идентификации, т. к. различие по скорости
стандартного и ускоренного метода в этом случае пренебрежимо мало. В дальнейшем,
при увеличении численности сотрудников, предприятие самостоятельно может переходить
на ускоренные режимы идентификации IdentiFast в соответствии со своими потребностями.
Корпорация IBM предложила ПО для непрерывной защиты информации, хранящейся
в ноутбуках, настольных ПК и на файловых серверах, от вирусов, повреждений и
случайного удаления файлов IBM Tivoli Continuous Data Protection for Files.
Оно обеспечивает непрерывное резервное копирование в реальном времени документов
Word, MP3-файлов, цифровых фотографий, презентаций и электронных таблиц. Резервная
копия создается на локальной машине и затем отправляется на удаленный сервер.
Бета-версия этого ПО была опубликована на Web-сайте перспективных технологий
IBM alphaWorks.
Стоимость пакета IBM Tivoli Continuous Data Protection for Files составляет
$35 для ноутбуков и настольных ПК и $995 для серверов в расчете на один процессор.
Дополнительная информация о продукте: http://www.ibm.com/software/news/n/lsan6flnnt?OpenDocument&Site=tivoli.
Дырки и заплатки
Для Symantec
Патч устраняет уязвимость в корпоративном антивирусном ПО Anti Virus Corporate
Edition в. 9, которая делает возможным несанкционированный доступ к серверам
организации и получение идентификаторов и паролей, используемых администратором.
Загрузить его можно по адресу http://securityresponse.symantec.com/avcenter/security/Content/2005.09.02.html.
В стандартный комплект поставки антивируса входит клиентское приложение LiveUpdate,
отвечающее за своевременное обнаружение и загрузку выпускаемых обновлений. После
загрузки обновления клиентом с сервера LiveUpdate, информация об осуществленной
транзакции (включая имя пользователя и пароль, отображаемые открытым текстом)
сохраняется в текстовом файле на локальном компьютере. Доступ к указанному журналу
открыт всем сотрудникам организации. Опасность заключается в том, что используемые
администратором идентификатор и пароль позволяют получить доступ к другим системам,
зачастую содержащим конфиденциальные или секретные данные.
Для антивируса Avira
В антивирусе для рабочих станций Avira Desktop for Windows найдена уязвимость,
которая позволяет удаленному пользователю выполнить произвольный код на целевой
системе.
Уязвимость проявляется при обработке имен файлов в ACE-архивах. Удаленный пользователь
может создать специально сформированный архив, содержащий файл с очень длинным
именем, вызвать переполнение кучи и выполнить произвольный код на целевой
системе. Уязвима версия 1.00.00.68. Для решения проблемы рекомендуется установить
последнюю версию с сайта производителя.
Для ПО Cisco IOS
Ошибка в ПО IOS Firewall Authentication Proxy позволяет производить атаки DoS
(отказ в обслуживании), и происходит она при обработке данных пользователя при
аутентификации во время соединений FTP и Telnet. Успешная атака может привести
к перезагрузке системы или выполнению произвольного кода на уязвимой системе.
Уязвимы версии IOS 12.2ZH, IOS 12.2ZL, IOS 12.3, IOS 12.3T, IOS 12.4 и IOS 12.4T.
Для Snort
В ПО для обнаружения вторжений Snort найдена уязвимость, которая позволяет удаленному
пользователю вызвать отказ в обслуживании приложения.
Уязвимость существует в функции PrintTcpOptions () файла snort-2.4.0/src/log.c
из-за ошибки в нулевом указателе разыменования. Удаленный пользователь может
послать приложению пакет TCP/IP со специально сформированной опцией TCP SACK
и вызвать отказ в обслуживании. Успешная эксплуатация уязвимости требует, чтобы
Snort был запущен с ключом v.
Уязвимы версии Snort 2.4.0 и более ранние. Для решения проблемы необходимо установить
версию (2.4.1), доступную по CVS, сообщил Securitylab.
Для Firefox
В браузере с открытым кодом Firefox от Mozilla обнаружена критическая уязвимость,
позволяющая злоумышленнику выполнять произвольный код в системе жертвы.
Ошибка существует во всех версиях браузера вплоть до 1.0.6, а также в бета-версии
Firefox 1.5. Класс уязвимости переполнение буфера: в демонстрационном варианте
была представлена страница со специально созданным URL, приводящим к зависанию
и закрытию браузера.
Mozilla уже выпустила заплатку, которая не дает уязвимости сработать, и разместила
на сайте информацию о том, как пред-отвратить угрозу вручную, сообщил Vnunet.
Вирусы
1.Троянская программа Troj/BagleDl-U рассылается через спамовые сообщения.
В рассылаемых спам-письмах нет текста в поле Тема:, но есть обычно текст new
price в теле письма и вложенный файл, который может иметь разные имена, включая
такие как 09_price.zip, price_new.zip и price2.zip.
Все вложенные ZIP-файлы содержат файл с именем price.exe, который как раз и
является трояном Troj/BagleDl-U. Будучи запущенным, троян меняет реестр, запускает
Windows Notepad с тем, чтобы отвлечь внимание пользователя ПК, и далее пытается
отключить антивирусное и другое защитное ПО на зараженном компьютере, открывая
тем самым черный ход для атак удаленных хакеров. Троян пытается также загрузить
из Интернет дополнительную порцию кода. Однако из-за элементарной программистской
ошибки эти файлы не выполняют то, для чего они, собственно, создавались.
2.Червь P2Load.A подменяет страницу Интернет-поисковика Google. Он распространяется
через P2P-сети, пиринговые программы Shareaza и Imesh. Он осуществляет это,
копируя себя в папку общего доступа этих программ под видом исполняемого файла
с именем Knights of the Old Republic 2, выдавая себя за файл компьютерной игры
из серии Звездных Войн. При запуске он отображает сообщение об ошибке, информирующее
пользователя о том, что не найден определенный файл, и предлагающее скачать
его. При этом червь заражает компьютер и вносит две основные модификации: изменяет
стартовую страницу, отображая рекламу, и подменяет Интернет-поисковик Google.
Для этого червь изменяет на компьютере файл HOSTS таким образом, что когда пользователи
пытаются открыть Google, они перенаправляются на страницу, выглядящую в точности
как Google, но не относящуюся к этой компании она размещена на сервере в Германии.
Страница является точной копией Google и поддерживает все 17 языков Google,
а также перенаправляет пользователей при совершении ими ошибки при вводе адреса,
например wwwgoogle.com.
Когда пользователь осуществляет поиск, отображаются результаты, идентичные Google,
или же с небольшими вариа-
циями. Однако спонсорские ссылки, которые обычно отображаются в верхних строчках
результатов поиска и соответствуют компаниям, оплатившим эту услугу, изменяются.
При определенных поисках отображаются другие ссылки, установленные создателем
вредоносного кода, что приводит к увеличению трафика этих сайтов.
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ. Свидетельство Эл 77-4461 от 2 апреля 2001 г. Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru
Программисты
из университета Калифорнии в Беркли (UC Berkeley) обнаружили (http://www.berkeley.edu/news/media/releases/2005/09/14_key.shtml)
новую угрозу кибербезопасности: по анализу аудиозаписи звуков печатания на клавиатуре
можно воссоздать набранный текст или сочетания букв и цифр таким способом
злоумышленники могут украсть практически что угодно от паролей до секретных
документов.
КОМПЬЮТЕР-ИНФОРМ