Группа F-Secure обнаружила троян с эксплойтом WMF на форуме сайта AMD. Этот эксплойт обнаружен на сайте http://forums.amd.com (просят пока на него не ходить). С помощью тега IFRAME он подгружает картинку с хакерского сайта http://toolbardollars.biz/dl/adv586.php, где и распологается эксплойт.

Ссылка
Exploits from AMD?
AMD Hack Points to Widespread Web Forum Flaws, Attacks

Обнаружена ошибка в некоторых браузерах, которая позволяет одному сайту воздействовать на куку другого сайта. Возможно, таким способом можно обмануть систему идентификации коммерческих сайтов, хотя пока применения этому механизмы не придумано.

Ссылки:
Cross Site Cooking
Cross Site Cooking

Найдена и исправлена ошибка в модуле PPTP ядра Linux, которая допускает в том числе и удаленное исполнение кода.

Ссылки
Linux Kernel Multiple Security Vulnerabilities
Fix crash in ip_nat_pptp

Для усиления аутентификации пользователей можно использовать графику. Методы подобной аутентификации были разработаны в рамках проекта The Graphical Passwords Project, который разрабатывается в университете Ратжерса в Камдене. Проект предполагает разработку методов усиленной аутентификации пользователей при помощи реакции на изображения. В простом случае идентификация происходит по щелчкам мышью на заранее обговоренных местах пейзажей с большим количеством деталей. В более сложном случае паролем является набор пиктограмм, которые показываются пользователю в комбинации с другими пиктограммами. Пользователь должен щелкнуть мышью внутри фигуры, образованной его пиктограммами. Разработанный в рамках проекта алгоритм генерации наборов пиктограмм позволяет за определенное число нажатий однозначно идентифицировать пользователя, а вот подобрать такой пароль даже фиксируя щелчки мышью будет не просто. В рамках проекта разработана демонстрационная программа для идентификации, которая реализована на .NET, которую можно загрузить с сайта проекта.

Ссылки:
The Graphical Passwords Project

Выпущена следующая версия бесплатного защитного инструмента Core Force. Он разрабатывается и поддерживается компанией Core Security Technologies, которая объявила о выпуске очередной бета-версии своего продукта. Изначально Core Force сочетает в себе межсетевой экран, контроль целостности приложений и реестра Windows и предназначен он для пользователей Windows 2000 и XP. Продукт распространяется бесплатно и рассчитан на создание комьюнити экспертов по информационной безопасности, которые будут заниматься его развитием. В частности, на сайте компании пользователи могут обмениваться профилями защиты для различных приложений – таких профилей уже более двух десятков. В новой версии 0.8R изменения в основном коснулись графического интерфейса и монитора сетевой активности. Также решены проблемы, которые были найдены пользователями в предыдущей версии, выпущенной несколько месяцев назад.

Компании D-Link и CheckPoint заключили партнерское соглашение. Производитель сетевых устройств компания D-Link объединяет свои усилия с компанией CheckPoint, которая занимается разработкой инструментов информационной безопасности. В рамках совместного проекта этих компаний программная платформа Check Point Embedded NGX будет устанавливаться в устройства сетевой защиты серии NetDefend компании D-Link. В результате должно получиться универсальное средство управления угрозами – UTM, которое будет способно отражать разнообразные типы атак. В устройстве интегрированы межсетевой экран, антивирусный шлюз, система предотвращения вторжений, средство для удаленного доступа по VPN и механизмы контроля содержимого. Новое устройство будет предназначено в первую очередь для малого и среднего бизнеса. Причем CheckPoint обязуется выполнять для этих устройств бновление программного обеспечения и постоянную защиту от новых угроз.

WatchGuard дополняет свой сервис LiveSecurity системной обучения. Она предложила своим клиентам дополнительный бесплатный модуль Security Wise, который является бесплатным дополнением к сервису технической поддержки аппаратных средств защиты. Дополнительный модуль предназначен для обучения персонала компании навыкам информационной безопасности. При помощи нового модуля сотрудники могут ознакомится с презентациями по информационной безопасности, а также видео-курсами по различным устройствам обеспечения безопасности – минимальный набор курсов входит в бесплатную поставку, но базовый набор можно и расширить. Курсы рассчитаны в основном на тех пользователей, которые слабо разбираются в технике. Новый сервис могут установить себе пользователи системы технической поддержки LiveSecurity. Таким образом, компания пытается правильно настроить на информационную безопасность самое слабое звено защиты – людей.

InfoWatch обнародовала результаты своего второго исследования российского рынка ИБ. Эта компания, которая специализируется на выпуске продуктов для предотвращения утечек конфиденциальной информации, опубликовала свой второй отчет о состоянии этого рынка в России. В этом году компания провела анкетирование 315 коммерческих и государственных организаций России, задавая представителям каждой из них одинаковый набор вопросов. Оказалось, что практически все 100% опрошенных озабочены нарушением конфиденциальности внутренней информации компаний. При этом 96% респондентов зафиксировали или допускают возможность утечки информации. Однако только 2% опрошенных имеют специальные решения для предотвращения утечек информации, хотя 83% опрошенных и собираются внедрять такие решения в течении ближайших 3 лет. Причем около 40% российских компаний и организаций имеют выделенный отдел информационной безопасности или выделенного специалиста. По всему миру около 27% организаций имеют специальную службу ИБ. Наиболее опасными угрозами были названы: кража информации (64% респондентов), вредоносные программы (49%), хакерские атаки (48%), спам (45%) и халатность сотрудников (43%). При этом озабоченность вредоносными программами, хакерскими атаками и халатностью сотрудников уменьшилась, но увеличился уровень обеспокоенности кражей информации и особенно спамом. Увеличилось с прошлого опроса и количество различных механизмов защиты, установленных у клиентов. Так в прошлом году сумма долей всех средств ИБ составила 228%, то есть в среднем чуть больше двух защитных механизмов используется в организации. В 2005 году этот уровень увеличился до 265%, то есть организаций, использующих более трех различных по природе механизмов защиты стало больше, чем тех, у кого установлены один или два защитных механизма.

«Лаборатория Касперского» обнародовала результаты деятельности системы Smallpot. Эта система используется «Лабораторией Касперского» для получения информации об активности хакеров в Internet. В основном система используется для поиска новых вирусов и угроз, но она также накапливает статистику по попыткам проникновения на компьютеры. «Лаборатория Касперского» опубликовала некоторые результаты деятельности Smallpot. Так практически треть всех атак (точнее 32,21%) составляет общее сканирование Web-серверов. Традиционно этот метод используется автоматической утилитой для поиска открытых почтовых серверов, но также ее используют и для поиска уязвимостей Web-сервера для последующей атаки. На втором месте рейтинга с 8,03% располагается попытка подобрать пароль к популярному средству удаленного администрирования Radmin, которое является достаточно популярной и не определяется антивирусами как вредоносное ПО. Третье и четвертое места практически поделили между собой два червя Dipnet и Slammer, проценты попыток заражения которыми очень близки – 7,88% и 7,81% соответственно. Причем первый червь появился в 2005 году и до мая возглавлял вирусные рейтинги, а второй появился три года назад, но по прежнему остается одним из самых «популярных». При этом Slammer практически не поражает новых компьютеров, но и зараженные им машины практически не лечатся. Следует отметить, что в двадцатке нет уязвимостей, которые были найдены в 2005 году, а из 7 популярных дыр к 2004 году относятся только две. Это говорит о том, что хакеры достаточно медленно осваивают новые уязвимости. Из портов наиболее популярными являются 445 (26,14% общего числа атак), который используется протоколом SMB, 80 (18,75%) - Web-сервис, 135 (15,65%) - DCOM Service и 1026 (12,71%), используемый в Windows Messenger Service.

В российском сегменте Internet распространяется троянская программа, шифрующая файлы. Ее обнаружили и «Лаборатория Касперского», и исследователи Dr. Web. После проникновения ее на компьютер, программа зашифровывает пользовательские файлы с расширениями rtf, txt, pdf, csv, frm, css, xls, mdb, dbf, dbt, db, safe, flb, pst, pwl, pwa, pak, rar, zip, arj, gz, tar, sar, htm, html, cgi, pl, kwm, pwm, cdr, dbx, mmf, tbb, xml, frt, frx, gtd, rmr, chm, mo, man, c, cpp, h, pgp, gzip, lst, pfx, p12, db1, db2, cnt, sig, css, arh, pem, key, prf, old, rnd и prx. После того, как файлы зашифрованы троянец создает файл readme.txt, в котором поясняется, что для дешифрации файлов нужно переслать определенную сумму на адрес разработчика троянской программы. При этом для связи рэкетир использует почтовый адрес в домене rambler.ru, хотя само предупреждение написано по английски. Однако, совсем необязательно перечислять деньги рэкетиру – на сайте Dr. Web можно бесплатно получить программу для дешифрования файлов или же дешифровать ее с помощью специального Web-сервиса. Аналогичная возможность есть и у пользователей «Антивируса Касперского» - программа дешифрации добавлены в антивирусные базы продуктов этой компании.

Исследователь Кембрижского университета Джон Кроукрофт (Jon Crowcroft) предупреждает, что зомби-сети могут управляться по VoIP. Он считает, что на смену существующим зомби-сетям, управляемым по протоколу IRC, могут прийти сети, которые будут контролироваться по технологиям VoIP, таким как Skype. Дело в том, что зомби-компьютер, который подключается к IRC-серверу можно проследить достаточно легко, поскольку используемый им протокол достаточно хорошо известен. Но голосовые сообщения по VoIP-сети проконтролировать и выявить уже гораздо сложнее, поскольку этой технологией сейчас начинают активно пользоваться. Господин Кроукрофт даже написал небольшую тестовую программу, которая управляет сетью компьютеров через Skype. Впрочем, свои разработки исследователь опубликовал не для того, чтобы ими пользовались хакеры, но чтобы специалисты по безопасности успели разработать защиту от такого механизма скрытого удаленного управления.

Исследователи Gartner считают, что СУБД Oracle уже не являются эталоном безопасности. Это произошло после того, как Oracle выпустила обновления для исправления огромного числа ошибок, некоторые из которых можно использовать достаточно легко. Исследователи аналитического агентства высказали мнение, что база данных Oracle уже не является бастионом безопасности, как в свое время ее пытались продвигать. Поэтому администраторам этих баз данных нужно больше внимания уделять безопасности. Причем уже после публикации исправлений, исследователь из компании Next-Generation Security Software (NGSSoftware) Девид Личфилд (David Litchfield) обнародовал на конфиренции Black Hat Federal информацию об еще одной серьезной уязвимости. На этот раз дал течь Web-сервер Apache, который поставляется вместе с Oracle и через который можно взять СУБД под свой контроль. Эта ошибка пока не имеет исправлений, подтвержденных Oracle. Кроме того, программист компании Argeniss Эстебан Мартинес Файо обнародовал эксплойт, который позволяет использовать уязвимость в процедуре DBMS_XMLSCHEMA.GENERATESCHEMA, где была выявлена возможность организовать переполнение буфера. Как правило после появления эксплойта начинается волна массовых нападений с использованием предложенной в нем техники, поэтому лучше всего установить все исправления, которые предлагает производитель для решения проблемы.

Обнародованы сведения о том, что в BIOS можно встроить программу-невидимку Эту информацию опубликовал исследователь из британской компании Next-Generation Security Software (NGSSoftware) Джон Хасман (John Heasman) на конференции Black Hat Federal. В своем докладе он продемонстрировал принципиальную возможность внедрения в Basic Input/Output System (BIOS) программы-невидимки. BIOS, как правило, хранится во флеш-памяти компьютера и именно с выполнения его команд начинается загрузка операционной системы. Современные BIOS поддерживают достаточно высокоуровневый язык программирования, который является компонентом системы управления конфигурацией и питанием - Advanced Configuration and Power Interface (ACPI). Оказалось, что высокоуровневый язык ACPI Source Language (ASL) можно использовать для написания программ, которые будут исполняться еще до загрузки операционной системы. Аналогичная техника была использована автором вируса «Чернобыль». Поскольку ASL является стандартным языком, который поддерживается всеми современными BIOS, то написанная на нем программа-невидимка будет работать на всех компьютерах, а поскольку он исполняется еще до загрузки ОС, то с его помощью можно атаковать любую операционную систему. Однако код, хранимый в BIOS все-таки должен взаимодействовать с ОС, и на таком взаимодействии его можно отловить.

Проект был вполне удачный, но со временем я потерял к нему интерес. Теперь же решил возобновить, поскольку все-равно я буду готовить ленту по безопасности для osp.ru.

Компания Microsoft обнародовала очередной пакет исправлений, который содержит несколько серьезных дефектов, которые позволяют исполнять код на удаленном компьютере Windows, правда на этот раз ошибки связаны с различными службами этой операционной системы. Так в службе DHCP была обнаружена некорректная проверка буфера при обработке DHCP-сообщений, что позволяет составить такое сообщение, которое вызовет переполнение буфера и исполнит код на уязвимой системе. Аналогичная ошибка существует в службе WINS - некорректная проверка длинны буфера в параметре "Name". Удаленный атакующий может специальным образом сформировать пакет, чтобы вызвать переполнение буфера и исполнение заданного кода. Еще одна ошибка существует в службе Microsoft HyperTerminal. Удаленный атакующий может сформировать такой файл сессии (с расширением .ht)HyperTerminal или URL для службы telnet, что произойдет исполнение произвольного кода. Одна ошибка существует в конвертере формата .doc в WordPad. Атакующий может составить такой файл, который при обработке шрифтов и таблиц, вызовет исполнение определенного кода. Есть также две локальные уязвимости в системе - в сервисах LPC (Local Procedure Call) и LSASS. Все ошибки исправлены Microsoft, для чего рекомендуется максимально быстро установить обновления соответствующих продуктов.

На OSP не опубликовано

Мои статьи

Сеть — не компьютер
Статья про некоторые уязвимости в Java.

OLAP по-русски
Статья про российский холдинг под названием Intersoft, который занимается разработкой и внедрением собственной OLAP-системы.

Универсальная компьютерная телефония
Статья про пресс-конференцию Eicon - они объявили новый набор плат компьютерной телефонии.

Мои статьи

Быть другим безопаснее
Статья про несколько уязвимостей в различных браузерах и их последствия.

Откажи спамеру в приеме
Статья про технологические методы защиты от спама.

Шаткое равновесие
Статья про конференцию, которую организовала "Лаборатория Касперского".

Мобильная информация
Статья про мероприятие J'son&Partners, на котором они рассказывали про рынок мобильного контента.

Dial-up жив!
Питерский провайдер Web-plus решил открыть бизнес в Москве.

Браузер Konqueror разрабатывался авторами как Linux-версия Internet Explorer, и, как следствие, имеет с последним много общего. Так небольшая ошибка, найденная в Konqueror, оказалась действенной и для Internet Explorer. Общий дефект защиты обоих браузеров, который был найден Альбертом Галиция, связан с использованием протокола FTP. В URL для этого протокола можно интегрировать команду, которая исполнится на удаленном FTP-сервере. Хотя эта возможность является стандартной особенностью протокола FTP, тем не менее при использовании URL команду можно исполнить без согласия жертвы. В частности, таким способом можно загрузить на удаленный компьютер троянскую программу и запустить ее. Команда разработчиков Konqueror уже выпустила исправления, а Microsoft с "заплаткой" пока не торопится.

Оригинал на OSP: www.osp.ru/news/soft/2004/12/14_01.htm

Центральный Банк РФ 1 декабря этого года принял стандарт "Обеспечение информационной безопасности организаций банковской системы Российской Федерации". Этот стандарт определяет рекомендации для банков и финансовых организаций по созданию систем информационной защиты. В частности, стандарт предполагает, что в банке должна быть система управления безопасностью, отдельная статья бюджета для отдела информационной безопасности, анализ рисков, образование и аттестация персонала, проведение регулярных (не реже раза в год) тестов на проникновение и др. Пока этот стандарт носит рекомендательный характер, но, тем не менее, может сильно увеличить потребность в услугах по сертификации систем безопасности, анализа рисков и проведения тестов защищенности.

Оригинал на OSP: www.osp.ru/news/events/2004/12/10_02.htm

Мои статьи

Безопасность в КУБе
Компания "Информзащита" выпустила наконец продукт, который разрабатывала три года. Это оказался инструмент документооборота для безопасности.

Непрерывная мобилизация
Статья из двух частей, первая написана по конференции LBS, которая посвящена была мобильной телефонии. А вторая - круглый стол "Агрегатора" из серии "Мобильные пятницы", который был посвящен проблемам авторского права.

IP-будущее от Avaya
По семинару Avaya, на котором они рассказывали про свое конвергентное IP-решение.