кто знает когда в москве будет международная выставка по безопасности.. в январе или феврале?
заранее благодарю.

PandaLabs зарегистрировала появление VideoCach
 

PandaLabs зарегистрировала появление VideoCach - нового образца рекламного ПО. Данный вредоносный код предназначен для мошеннического продвижения определенных приложений безопасности. Особенностью этой программы является использование руткитовых технологий. Руткиты – это программы, предназначенные для сокрытия файлов или процессов, выполняемых на компьютере. За счет руткитовых технологий, вредоносный код сложнее отыскать и обезвредить.

VideoCach создает ярлыки на рабочем столе и показывает фальшивые предупреждения о заражении компьютера. Также эта программа открывает окна Internet Explorer и обманывает пользователей сообщая, что на их ПК установлен вредоносный код.

Кроме того, эта рекламная программа содержит ссылки на веб-страницы, на которых можно загрузить или купить приложения безопасности сомнительного происхождения. При запуске такие утилиты начинают сканировать компьютер и выдают совсем уж сомнительные результаты. Обычно они выдают обычные безобидные cookies за вредоносные коды или сообщают о незначительных ошибках, таких как ссылка записей реестра Windows на несуществующие файлы.

В любом случае, приложение выбрасывает сообщения, в которых предупреждает пользователя о наличии бреши безопасности, и требует денег в обмен на уничтожение якобы обнаруженных угроз.
...

источник

LdPinch.ZO: опасный троян, который крадет данные

Антивирусная лаборатория PandaLabs предупредила пользователей о распространении нового трояна LdPinch.ZO. Эта вредоносная программа разработана для кражи персональных данных пользователей. После запуска он открывает Windows Explorer с картинками сексуального содержания. Эти картинки призваны отвлекать внимание жертвы, пока троян копирует в систему свой файл. Этот файл собирает пароли, детали логинов, телефонные номера, используемые для коммутируемого доступа в Интернет и т.п. Эта информация собирается из браузеров FireFox, Mozilla, Internet Explorer, FTP-клиентов ( CuteFTP, SmartFTP, …), программ для обмена мгновенными сообщениями и других источников. Все собранные данные отсылаются на определенный адрес электронной почты,

LdPinch.ZO также открывает порт, через который хакер может получить доступ командной строке, использовать ее для выполнения определенных действий на зараженном компьютере и даже для удаленного управления им. Если брандмауэр предупреждает пользователя о подозрительном интернет-подключении, Ldpinch.ZO может сымитировать нажатие "OK" для того, чтобы продолжить веб-соединение для кражи информации.

Источник

Найдена уязвимость в системе управления критическими инфраструктурами США
 

" 28 марта, 2007
http://www.securitylab.ru/upload/ibl...e3669f8020.jpg
Уязвимость в системе управления критическими инфраструктурами США, SCADA, обнаруженная компанией Neutralbit, может привести к удалённой атаке отказа в обслуживании либо перехвату управления злоумышленниками. Это приведёт к сбоям в нефтяной, химической, атомной отраслях, может нарушить железнодорожное сообщение и оставить города без воды и электричества.
Это первая дыра в безопасности, обнаруженная за всю историю существования крупномасштабной распределенной системы управления и оценки данных.

Уязвимость кроется в сервере OLE for Process Control (OPC), работающих под Windows. Программное обеспечение неверно обрабатывает серверные управляющие указатели, что позволяет подвесить систему через сеть. Недавно Neutralbit обнаружила и опубликовала информацию о пяти уязвимостях в OPC.

Заявления о потенциальной уязвимости жизненно важных инфраструктур делались и ранее. Президент Errata Security Роберт Грэм (Robert Graham) в прошлом году выпускал доклад о возможных угрозах инфраструктуре из Сети, где назвал SCADA «полностью открытой для атак, в особенности OPC».

Грэм описал приложения OPC Windows как трансляторы между базовыми сервисами и вспомогательными протоколами, которые проводят мониторинг и управление коммутаторами, заглушками, термометрами, датчиками и регуляторами давления и другими физическими устройствами. «Эти вспомогательные протоколы зачастую написаны по стандартам, принятым до выхода Windows… Они ужасно ненадёжны, потому что в отрасли SCADA очень немногие имеют понятие о таких угрозах, как, например, переполнение буфера», - сказал он. В момент разработки стандартов этот распространённый ныне вид атак практически не применялся в Сети. Грэм утверждает, что уязвимость в SCADA можно найти за пять минут. "

Информация с сайта securitylab.ru .

UPD: появился паблик сплойт (или уже несколько).

© securitylab.ru

Просто жесть. :winkgrin:

Внеплановый патч.
 

Майкрософтовцы вчера внепланово выпустили заплатку KB925902, закрывающую безобразие с анимированными курсорами - см. предыдущий пост. Также это обновление устраняет несколько других уязвимостей в GDI. Security Bulletin можно почитать здесь, на английском.

Дырка серьезная, и сплойты гуляют вовсю. Дружно обновляемся. :)

Второй сервис пак для 2003-го сервера
Пропустив в марте очередной "день патчей", Microsoft, между тем, без
особого шума выпустила второй сервис пак для 2003-го сервера. Обновление включает в себя все последние исправления, плюс некоторые усовершенствования - улучшенную консоль управления, новый парсер XML, удучшенную поддержку IPSec, Wi-Fi Protected Access 2 (WPA2) и т.п.
источник

Похоже, систему активации Висты все-таки обошли.
Как обычно, подвело стремление угодить крупным вендорам. Как выяснилось, крупные поставщики железа (такие как Asus, HP, Dell и т.п., так называемые Royalty OEMs) получили возможность распространять свои компьютеры с предустановленной Вистой, не требующей активации. Механизм SLP 2.0 (System Locked Pre-installation 2.0) предполагает наличие в BIOS таблицы ACPI_SLIC, содержащей индивидуальный маркер, опознаваемый системой лицензирования Висты. Дальше нужен соответствующий OEM-сертификат и ключ продукта (опять-таки привязанный лишь к производителю). Разумеется, сразу после этого (примерно в середине февраля) появились и рецепты приведения биосов в вид, подходящий для такой регистрации, и все нужные сертификаты и ключи. Однако ручная правка своего биоса - довольно радикальный шаг, на который способны отважиться далеко не все. Впрочем, более человечное решение не заставило себя долго ждать - с конца прошлой
недели по сети стал расходиться Paradox OEM BIOS Emulation Toolkit,
основная идея которого - установка драйвера-эмулятора, обманывающего систему лицензирования путем подпихивания ей "правильной" ACPI-информации. Также доступно и второе решение, использующее ту же идею, но немного другую реализацию - встраивание в процедуру загрузки системы, правку нужной информации в памяти "на лету" и возобновление загрузки системы. Прелесть этого подхода в том, что он, видимо, спокойно пройдет Windows Genuine Advantage Validation Check - вряд ли MS будет блокировать сертификаты и ключи, розданные крупнякам. Возможно, через некоторое время MS начнет опрашивать ACPI-информацию не только в процессе регистрации, что потребует постоянного присутствия эмуляторов, потом MS научится опознавать
их присутствие, в ответ те возьмут на вооружение технологии руткитов, там появится еще что-нибудь, старая добрая борьба снаряда и брони. Впрочем, многих вполне устроит и простая установка системы без обновлений. Скорее всего, в ближайшее время появятся образы подправленных дистрибутивов, в которых процедура установки эмулятора вообще не потребует никаких усилий со стороны пользователя. Фактически вся новая система активации пошла коту под хвост только из-за того, что захотелось опять сделать кого-то чуть более равным, чем остальные.
источник

Новый класс атак на встраиваемые устройства
Исследователь из Juniper Networks Барнаби Джек (Barnaby Jack) рассказал о планах демонстрации атаки на встроенные устройства, использующие микропроцессоры ARM и XScale. По его словам, архитектура этих процессоров допускает гарантированно работающую возможность удаленного запуска произвольного кода. Проблема заключается в интерфейсе JTAG (Joint Test Action Group), который
обычно используется для отладки. Он оказался незаблокированным в 90%
рассмотренных систем - во-первых, для сохранения возможности диагностики, во-вторых, поскольку его блокировка зачастую оказывается слишком дорогой. Потенциальные последствия - утечка информации из мобильных телефонов, атаки на маршрутизаторы и прочие мелкие радости.
источник

MS выпустила исправление ряда серьезных уязвимостей в GDI

Microsoft решила в очередной раз нарушить график выпуска ежемесячных обновлений и выпустила бюллетень, исправляющий ряд уязвимостей в GDI, приводящих к исполнению удаленного кода (основной виновник, конечно, недавно обнародованная уязвимость в модуле обработки анимированных курсоров, которую уже вовсю стали использовать). Подвержены все поддерживаемые операционные системы - от Windows 2000 SP4 до Висты. Обновление крайне рекомендуется. Правда, пользователи XP могут получить в результате проблему с вылетающей при старте Realtek HD Audio Control Panel. Патч этой ошибки уже выпущен, но для свободного скачивания пока недоступен, требуется обращение в поддержку MS.

Источник: MS Security Bulletin MS07-017

Алекс Ионеску выложил в открытый доступ утилиту,
позволяющую произвольно устанавливать флажок защищенности на любые процессы в Висте. Вообще, защищенные процессы - новый тип процессов, появившихся в Висте в первую очередь для расширенной поддержки DRM (Digital Rights Management). Обычный процесс не может проводить над защищенным такие операции как внедрение потоков, доступ к виртуальной памяти, отладку и т.п. Исполняемые файлы, загружаемые в исполняемый процесс, должны быть подписаны с помощью
сертификата, полученного от Microsoft. Идея заключается, видимо, в том,
чтобы помешать злобным хакерам раздраконивать плейеры/драйверы/кодеки DRM-контента, вытаскивая из них секретные ключи либо просто обходя защиту и вытаскивая искомое HD-видео, или что там еще проигрывается. Однако выяснилось, что не составляет особого труда выставлять/снимать заветный флажок для запущенных процессов. Побочный эффект - возможность создания всевозможных вирусов/троянов/руткитов, недоступных для анализа антивирусами, неспособными воспроизвести этот трюк.

Источник: Alex Ionescus Blog

Апрельская серия патчей от Microsoft в деталях

Выпущена апрельская пачка обновлений от компании Microsoft. На этот раз выпущены 5 критических обновлений (MS07-017 - MS07-021) и одно - важное - MS07-22.

Обновления касаются исключительно всех операционных систем, в том числе и недавно вышедшей Vista, которая, напомним, позиционировалась Microsoft, как самая защищённая операционная система. Бюллетень MS07-017 описывает уязвимость в библиотеке обработки графических изображений GDI - cобственно, сам патч латает дыры в обработке множества форматов - WMF, EMF, те самые курсоры (.ANI). Использование уязвимости может позволить выполнить произвольный код в системе с наивысшими полномочиями.

Бюллетень MS07-018 описывает уязвимость в службе CMS - Microsoft Content Management Server. Уязвимость связана с некорректной обработкой определённого вида HTTP-запросов и позволяет выполнить произвольный код в системе. Уязвимы версии Microsoft Content Management Server 2001 Service Pack 1, 2002 Service Pack 2. Бюллетень MS07-019 описывает уязвимость в сервисе UPnP (Universal Plug and Play), возникающей при обработке определённого вида HTTP-запросов и позволяющей выполнить произвольный код в системе. Бюллетень MS07-020 описывает уязвимость в Microsoft Agent, которая возникает при обработке специальном образом сформированного URL браузером. Для временного отключения уязвимости через реестр приведён перечень рекомендаций, связанных с установкой определённых CLSID в ветке HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX. Бюллетень MS07-021 описывает уязвимость в службе Windows Client/Server Run-time Subsystem (CSRSS), которая связана с некорректной обработкой сообщений об ошибках. Все выше перечисленные уязвимости носят удалённый характер и могут привести к исполнению произвольного кода в системе. И, наконец, бюллетень MS07-022 описывает уязвимость в ядре Windows, наличие которой позволяет повысить привилегии в системе. Уязвимость связана с некорректными полномочиями, выставляемыми на сегменты разделяемой памяти ядра.

Источник

DoS-атаки теряют популярность
Согласно результатам исследования, проведенного специалистами компании Symantec, во второй половине прошлого года наблюдалось значительное снижение количества DoS-атак.

При традиционной DoS-атаке (denial of service) сеть компьютеров-зомби, контролируемых злоумышленниками, используется для генерации и отправки жертве многочисленных запросов. Как следствие, сервер-мишень, не справившись с огромным количеством данных, отказывается обслуживать пользователей. Киберпреступники под угрозой проведения длительных DoS-атак зачастую вымогают деньги у крупных компаний и организаций.

Однако, отмечают в Symantec, в последнее время потенциальная прибыль, которую злоумышленники могут получить за счет проведения DoS-атак, не оправдывает возможные риски. Дело в том, что длительные DoS-атаки облегчают процесс идентификации отдельных узлов бот-сети и центрального координационного сервера. В результате, киберпреступники могут лишиться либо части, либо всей своей сети зомбированных машин. К тому же многие потенциальные жертвы наотрез отказываются платить деньги хакерам и обращаются за помощью в службы безопасности.

Специалисты Symantec подчеркивают, что в последние месяцы прошлого года киберпреступники стали реже использовать бот-сети для проведения DoS-атак, переключившись на рассылку спама. Этот вид деятельности оказывается более прибыльным и менее рискованным. Кстати, согласно недавнему отчету Sophos, за прошедший год объем мусорной корреспонденции, пересылаемой в интернете, вырос на 4,2%. Эксперты Symantec также отмечают увеличение количества спама во второй половине 2006 года.

_http://www.securitylab.ru/news/295395.php

Информацию о владельцах российских сайтов скоро засекретят.

Информация о владельцах российских сайтов может быть полностью засекречена уже в ближайшие месяцы. Сейчас на сайте РосНИИРОСа по базе WhoIs можно найти имя и контактный телефон владельца любого сайта в Рунете. Но так будет не всегда. Согласно закону "О персональных данных", вступившему в силу 30 января 2007 года, требуется письменное согласие каждого человека на включение его личных данных в общедоступные базы. Саму базу WhoIs РосНИИРОС должен привести в соответствие с законом лишь к 1 января 2010 года. Но российские регистраторы хотят дать владельцам сайтов возможность скрыть себя уже через несколько месяцев.

Источник

Майские обновления от MS

На этот раз семь критических обновлений, включая долгожданное исправление уязвимости в DNS-сервере, плюс исправления уязвимостей в Office, Word, Excel, Exchange и Cryptographic API Component Object Model, а также кумулятивное обновление IE. Все исправленные уязвимости способны привести к удаленному исполнению кода.
Вместе с заплатками Microsoft планирует представить обновленную версию инструментария Windows Malicious Software Removal Tool, предназначенного для поиска наиболее распространенных вредоносных программ. Кроме того, Microsoft выпустит ряд обновлений, не связанных с безопасностью.

источник: Microsoft Security Bulletin Summary


Фонд защиты гласности опубликовал полученный ответ на свой запрос к Федеральной службы по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия.

В ответе указывается, что в случае отсутствия добровольной регистрации как СМИ интернет-сайты не могут рассматриваться как средства массовой информации: "Интернет-сайт приобретает статус средства массовой информации лишь в силу его добровольной регистрации в таком качестве, а не в силу его правовой природы ... Создание и ведение Интернет-сайта без его регистрации не содержит признаков административного правонарушения, предусмотренного
ст. 13.21 КоАП Российской Федерации".

источник

Обнаружен вирус, использующий для распространения систему обновления Windows

Специалист по информационной безопасности Френк Болдевин обнаружил вирус, использующий службу обновления Windows для загрузки компонентов троянской программы, благодаря чему вирус обходит сетевые экраны.

Вирус распространяется по электронной почте. После запуска программы инфицируется служба Background Intelligent Transfer Service (BITS), отвечающая за установку обновлений операционной системы. С помощью этой службы в дальнейшем осуществляется скачивание остальных компонентов вредоносной программы со сторонних сайтов.

Интернет-соединения BITS пропускаются встроенным в Windows сетевым экраном и большинством подобных программ сторонних разработчиков, обеспечивая таким образом беспрепятственное заражение компьютера.

Это первый случай заражения службы обновлений Microsoft Windows. Однако, заражение компьютера вирусом напрямую зависит от действий пользователя - без запуска вируса вручную BITS не может быть инфицирована. Тем не менее, представители Microsoft сообщили, что уже работают над обновлением для системы безопасности операционной системы.

Источник

Новый ANI-троян для Windows: полный «захват» ОС

Исследовательская лаборатория TrendLabs компании Trend Micro сообщает о появлении нового трояна, загружающегося из интернета вместе с анимированными курсорами.

Популярные сейчас анимированные курсоры можно бесплатно скачать в интернете, однако вместе с курсором на компьютер может быть установлено вредоносное ПО. В качестве примера можно привести недавно обнаруженный Trend Micro эксплойт нулевого дня TROJ_ANICMOO.AX, загружающийся вместе с анимированным курсором. Новая угроза представляет собой .ANI-файл, который попадает в систему из Сети.

Троян TROJ_ANICMOO.AX использует уязвимости, с которыми при использовании форматов анимированных курсоров и значков сталкиваются Windows 2000, XP, Server 2003 и Vista. Злоумышленники могут приводить в действие эту уязвимость, создавая курсоры или файлы значков, удаленно приводящие в действие вредоносный код после того, как пользователь посетил зловредный сайт или открыл специально созданное электронное письмо. Затем троян получает доступ к определенному сайту, чтобы запустить файл, определяемый TrendLabs как TROJ_SMSLL.DRF.

Злоумышленники, у которых получается использовать эту уязвимость ОС, получают полный контроль над пораженной системой. Код эксплойта для этой уязвимости публично доступен, и злоумышленники активно его используют. Уже обнаружено более 450 сайтов, на которых находятся эксплойты. Подробный список этих URL можно найти на сайте Trendmicro.com.

Чтобы избежать заражения, Trend Micro рекомендует как пользователям, так и системным администраторам скачать недавнее обновление Microsoft для этой уязвимости из Microsoft Security Bulletin MS07-017.

источник

Подарок от YouTube
На видеохостинге YouTube, щелкнув по привычному значку, обозначающему ролик, пользователь рискует запустить троян. В окне браузера по умолчанию откроется размещенный на YouTube видеоклип "After World Episode 6". Во время просмотра ролика программа в фоновом режиме подключается к серверу в Вашингтоне и подгружает дополнительные модули. По окончании загрузки происходит сбор и отправка конфиденциальных данных пользователя злоумышленникам. Сотрудники компании, обнаружевшей вирус, подготовили видеоролик, ярко демонстрирующий действие вируса, и выложили его на YouTube. Они предполагают, что вирус распространяется через электронную почту и ссылки в интернет-пейджерах. Сообщает "Вебпланета".

klerk.ru

DoS-уязвимость в Cisco IOS позволяет отключать провайдеров от Сети

В операционной системе Cisco IOS, используемой в сетевом оборудовании Cisco, обнаружена уязвимость к отказу (DoS) в обслуживании, позволяющая перезагрузить маршрутизатор и при неоднократной атаке отключить сегмент сети от внешнего мира.

Уязвимость обнаружена в версиях ОС 12.x, включая различные модификации 12.4. Маршрутизатор перезагружается, если атакующий введёт с консоли команду «show ip bgp regexp» со специально сформированным регулярным выражением (regexp). Провайдеры предоставляют общедоступные серверы маршрутизации с интерфейсом доступа через telnet или веб-интерфейс Looking Glass, представляющий собой интерфейс к telnet. Там можно ввести команду, которая вызовет уязвимость.

Крупные провайдеры не используют серверы, предоставляющие информацию, для маршрутизации. Однако небольшие провайдеры уязвимы - они ради экономии средств используют одно устройство для маршрутизации и отображения информации.

Уязвимость пока не устранена. В качестве временного решения Cisco советует включить движок обработки регулярных выражений «Deterministic Regular Expression Engine», что исключит возникновение отказа в обслуживании.

источник

Свежая критическая уязвимость в Windows: выполнение кода

Критическая уязвимость, позволяющая злоумышленнику выполнить произвольный код при посещении пользователем веб-страницы с эксплоитом, обнаружена в ActiveX-компоненте Microsoft DirectX SDK 6. Уязвимость открыл польский исследователь Кристиан Клосковски (Krystian Kloskowski).

ActiveX-компонент Live Picture Corporation не проверяет длину свойства SourceUrl, переданного пользователем, перед тем как скопировать значение этого свойства в буфер фиксированного размера. В результате, данные накладываются на другие структуры в памяти, и соответствующий код, встроенный в значение, выполняется. Исследователи уже опубликовали эксплоит, который содержит машинный код, запускающий "Калькулятор" Windows при посещении пользователем вредоносной веб-страницы.

источник

Спамеры и черви: Postfix под двойным «ударом»

Уязвимость высокой степени критичности обнаружена в модуле защиты почтового сервера от спама Postfix policyd. Она позволяет атакующему выполнить произвольный код в системе или вызвать отказ в обслуживании при помощи вредоносных команд, отправляемых на SMTP-сервер. Как сообщает Heise-security.co.uk, администраторы Postfix также жалуются на перегрузки, вызванные волной спама с захваченных компьютеров со скоростным доступом.

Одна из функций антиспамерского модуля содержит ошибку, приводящую к переполнению буфера. Функция не проверяет длину входного параметра перед копированием его в буфер фиксированного размера. В результате содержимое входного параметра перекрывает другие структуры данных, расположенные в памяти. При отправке злоумышленником очень длинных SMTP-команд происходит перезапись других областей памяти приложения. Это приводит или к аварийному завершению сервера, или к выполнению машинного кода, скрытого в длинной команде. Уязвимость может быть использована автоматически, например, червем. Разработчики исправили ее в версии 1.81.

Помимо уязвимости, серверы Postfix на прошлой неделе испытывали проблемы с производительностью из-за некорректных действий спамерских модулей, рассылающих корреспонденцию с захваченных компьютеров. По словам эксперта Postfix Ральфа Хильдебрандта (Ralf Hildebrandt), проблема может вызвать значительные перебои с доставкой почты. Спамерские модули, получив отказ от сервера, не завершив корректно соединение, отключаются и заставляют сервер ждать некоторое время. Впрочем, как утверждает разработчик Postfix Витсе Венема (Wietse Venema), проблема устраняется при помощи правки настройки, ускоряющей отключение.

Источник

Microsoft активировала "черный экран"

Microsoft разослала письмо крупным дистрибьюторам Висты, в котором известила об активации с этой недели функции "усеченной функциональности" (Reduced Functionality). Отныне пиратские копии системы через час после начала работы будут являть пользователю черный экран без таскбара, стартового меню и десктопа.

источник

Пузырьковый червь атакует Skype

Очередной червяк (w32/Ramex.A по версии Skype, он же W32/Skipi.A по версии FSecure, он же W32.Pykspa.D) атакует пользователей Skype, отключая по пути защитные программы и пытаясь блокировать сайты их производителей, добавляя записи в hosts. Зараженная система начинает рассылать сообщения другим пользователям, предлагая им щелкнуть по линку, который выглядит как безобидный JPEG. Если после этого щелчка вы видите картинку с мыльными пузырями, есть неслабый шанс, что вы заразились. При рассылке текста червь проверяет языковые настройки и переводит свои сообщения на ряд языков, включая латышский, русский и английский. Отдельную головную боль для администраторов, пытающихся бороться с распространением червя, представляет сама p2p-шная идеология Skype, с помощью которой ему удается просачиваться через малейшие щели, постоянно меняя используемые порты и шифруя трафик. Это приводит к тому, что червь можно обнаружить только после его успешного проникновения. Skype пытается бороться с распространением червя...

источник

Microsoft обновляет Windows без согласия пользователя

Компания Microsoft начала обновлять файлы на компьютерах под управлением Windows XP и Vista даже при выключенной функции автоматического обновления. Скотт Данн (Scott Dunn), редактор рассылки новостей «Windows Secrets», заявил, что «девять файлов в XP и Vista были изменены Windows Update без уведомления».
«Мы начали получать от читателей информацию, о том, что ночью Windows изменяет файлы, даже если Windows Update отключен», говорит Данн. На некоторых компьютерах журналы событий показали дату, когда начались эти обновления – 24 августа, на одном из личных компьютеров Скотта Данна журнал показал изменения происходившие на этой неделе.

Данн выявил изменения следующих файлов, в Vista: wuapi.dll, wuapp.exe, wuauclt.exe, wuaueng.dll, wucltux.dll, wudriver.dll, wups.dll, wups2.dll и wuwebv.dll, в XP SP2: cdm.dll, wuapi.dll, wuauclt.exe, wuaucpl.cpl, wuaueng.dll, wucltui.dll, wups.dll, wups2.dll и wuweb.dll.

Брайан Ливингстон (Brian Livingston), основатель и директор редакции рассылки новостей «Windows Secrets», отметил: «Многие компании весьма чувствительны к изменениям на их ПК, и хотя нет абсолютно никаких признаков какого-либо злого умысла со стороны Microsoft, люди могут иметь много проблем из-за этого».

источник

Перехват почты в GMail

Неутомимый Петко Петков на этот раз добрался до GMail. Заманив жертву на свой сайт, атакующий может отправить специально сформированный POST-запрос к одному из интерфейсов GMail, что (если пользователь включил запоминание паролей либо в этот момент залогинен) приведет к установке в почтовом ящике жертвы произвольного фильтра, например, переправляющего всю входящую почту по указанному адресу. Разумеется, фильтр останется работать до тех пор, пока пользователь не соберется посмотреть список своих фильтров (что многие делают не слишком часто). Детали уязвимости пока не публикуются.

Октябрьские обновления от MS

Два важных, четыре критических. Важные: исправление уязвимости в RPC, приводящей к DoS, исправление уязвимости в Windows SharePoint Services 3.0 и Office SharePoint Server 2007, приводящей к повышению привилегий. Критические: исправление уязвимостей в Kodak Image Viewer, Outlook Expres и Windows Mail, MS Word (все - приводящие к удаленному исполнению кода); кумулятивное обновление для IE.

источник

Очередное удаленное исполнение кода в IE

Практически сразу после выхода ежемесячной порции исправлений Microsoft сообщила о том, что исследует очередную уязвимость в IE, связанную с некорректной обработкой URL, полученных от внешних приложений. Уязвимости подвержены XP и Windows Server 2003 с установленным IE7; виста и системы с IE6 чисты.

источник

Русские антивирусы провалили тест Virus Bulletin

Декабрьский тест Virus Bulletin продемонстрировал низкий уровень качества современных антивирусных продуктов. Из 32 принимавших участие в тесте VB100 продуктов успешно выдержали испытание лишь 17, причем самые популярные российские антивирусы - «Антивирус Касперского» и «Доктор Веб» - также оказались в числе аутсайдеров. Но если продукт «Лаборатории Касперского» пропустил всего лишь один вирус, то антивирус «Доктор Веб» не обнаружил 11 вредоносных программ, при этом допустив два ложных срабатывания.

В число других известных продуктов, не прошедших тест, вошли разработки Sophos, Avira, CA Home, PC Tools Spyware Doctor и Trend Micro. Наихудшие результаты показал Kingsoft AntiVirus, пропустивший 60 вирусов. Лидерами теста стали программы Agnitum Outpost, McAfee VirusScan,BitDefender AntiVirus, Microsoft Forefront, ESET NOD32, F-Secure Anti-Virus, Symantec Endpoint и несколько других. В целом же результаты оказались неудовлетворительными - как заявил techworld.com Джон Хоес (John Hawes) из Virus Bulletin, «низкая эффективность многих продуктов привела нас в состояние шока».

В «Лаборатории Касперского» свою неудачу объясняют следующим образом: «Монитор Антивируса Касперского сборки 7.0.0.125, участвовавшей в тесте, пропустил W32/Autorun!ITW#3 - вредоносный образец из коллекции In-the-Wild (ITW), в то же время сканер антивируса Касперского определяет его как virus Worm.Win32.AutoIt.i». Другими словами, объясняют в ЛК, данная вредоносная программа определяется как самораспаковывающийся архив, а поскольку опция «Проверять инсталляционные пакеты» в Антивирусе Касперского 7.0 не включена по умолчанию (из соображений производительности ПК), то и вредоносный архив не обнаруживается монитором программы.

В компании заверили, что соответствующие изменения в существующие политики безопасности уже внесены, и теперь подобные вредоносные файлы будут детектироваться в любом случае. «Важно отметить, что защищённость пользователей, использующих Антивирус Касперского 7.0, не была снижена, так как второй уровень комплексной защиты - поведенческий анализатор, входящий в модуль проактивной защиты, блокирует работу данного вредоносного файла в самом начале его работы», заявили в компании. В «Доктор Веб» отказались комментировать свои результаты в VB100.

Результаты теста VB100 - декабрь 2007 г., платформа Windows 2000

Название антивируса Результат
AEC (Trustport) Не прошел
iolo Не прошел
Agnitum Прошел
Kaspersky Не прошел
Alwil Не прошел
Kingsoft Не прошел
Avira Не прошел
McAfee Прошел
BitDefender (SOFTWIN) Прошел
Microsoft Forefront Прошел
Bullguard Прошел
MicroWorld Прошел
CA Home Не прошел
Norman Не прошел
CA eTrust Прошел
PC Tools AntiVirus Прошел
Doctor Web Не прошел
PC Tools Spyware Doctor Не прошел
Eset Прошел
CAT QuickHeal Прошел
Fortinet Не прошел
Redstone Не прошел
FRISK Не прошел
Rising Не прошел
F-Secure Прошел
Sophos Не прошел
GDATA Прошел
Symantec Прошел
Grisoft Прошел
Trend Micro Не прошел
Ikarus Не прошел
VirusBuster Прошел


Декабрьский тест VB100 проверял качество работы антивирусов на платформе Windows 2000. Ранее в текущем году продукты были протестированы на SUSE Linux, Windows XP, Windows Vista x64 и Netware 6.5. Наилучшие результаты по всем тестам показали CAT QuickHeal, ESET, McAfee и Symantec. По результатам недавно проведенного ноябрьского AV-Comparatives наилучший результат (Advanced+) показали продукты «Лаборатории Касперского» и ESET.

источник

Нерусские антивирусы провалили тест по загрузке компьютера - тормозят
 

Влияние антивирусов на производительность компьютера

Любой антивирус отрицательно влияет на производительность компьютера - это общеизвестный факт. Иначе и быть не может, но обеспечение компьютерной безопасности требует идти и не на такие жертвы. Но влияние на производительность разных антивирусов (и даже разных версий одного и того же антивируса) не может быть одинаковым. Одни из них лучше оптимизированы, другие снижают нагрузку, уменьшая тщательность проверки.

В данной статье мы попытались сравнить производительность антивирусов. Конкретные результаты зависят от конфигурации компьютера, но общая картина, как правило, сохраняется. Причины, которые приводят к этой разнице, мы оставим за рамками материала.

Для проведения теста мы выбрали девять коммерческих антивирусов (Антивирус Касперского 7.0, Trend Micro Internet Security Pro, Dr.Web 4.44, Panda Antivirus 2008, Eset NOD32 Antivirus 3.0.563, Norton Antivirus 2008, AVG Anti-Virus Professional Edition 7.5, CA Anti-Virus r8.1, Антивирус Stop! 4.10 Pro Edition) и один бесплатный (avast! 4 Home Edition).

В качестве испытательного стенда использовался ноутбук Toshiba Qosmio G30-195 (его основные характеристики см. во врезке) с операционной системой Windows XP Media Center Edition на борту. В роли неподкупных судей выступали бенчмарк-пакеты 3DMark05 и COSBI OpenSourceMark 1.0 beta 7a, вкупе с майкрософтовской утилитой Bootvis, с аптекарской точностью измеряющей время загрузки операционной системы.

Для чистоты эксперимента перед инсталляцией каждого антивирусного продукта средствами утилиты System Restore производился откат конфигурации операционной системы в изначальное состояние, а сами тесты прогонялись десятки раз.
Тесты
- измерение времени (в секундах) загрузки операционной системы средствами утилиты Bootvis;
- измерение времени (в секундах) копирования одиночных файлов разного размера (100 Мб и 1000 Мб) средствами бенчмарк-пакета COSBI OpenSourceMark 1.0;
- оценочный анализ (в баллах) быстродействия системы при выполнении таких операций, как архивирование данных, кодирование мультимедийных файлов в формат MP3 и загрузка веб-страниц, хранящихся на жёстком диске компьютера (для проведения тестов использовался инструмент COSBI OpenSourceMark 1.0);
- оценочный анализ (в баллах) быстродействия компьютера при выполнении операций с графикой в игровых сценах (в качестве тестового пакета выступал 3DMark05).
Характеристики тестового компьютера
Процессор: Intel Core 2 Duo T7600, 2,33 ГГц
Память: 2048 Мб, DDR2-533
Видео: NVIDIA GeForce Go 7600, 256 Мб
Жёсткий диск: 320 (160 +160 RAID) Гб
Дисплей: 17"TFT WUXGA (1920x1200)
Звуковая карта: TruSurround XT, Harman Kardon
Оптические устройства: HD DVD-RW
Порты: PCMCIA Type II; 4xUSB 2.0; VGA; S-Video; IEEE 1394
Устройства связи: FM 56K, LAN 10/100, Wi-Fi, Bluetooth, ТВ-тюнер
Батарея: Li-Ion
Размеры устройства 406 x 285 x 45,5/53,5 мм
Вес: 4,6 кг
Программное обеспечение: Windows XP Media Center Edition (русифицированная версия)
Результаты
http://www.computerra.ru/upload/table.gif
Зелёным цветом в таблице отмечены хорошие результаты, а жёлтым и красным - средние и неудовлетворительные

http://www.computerra.ru/upload/legend.gif

http://www.computerra.ru/upload/boot.gif
http://www.computerra.ru/upload/copy.gif
http://www.computerra.ru/upload/mp3.gif
http://www.computerra.ru/upload/web.gif
http://www.computerra.ru/upload/zip.gif
http://www.computerra.ru/upload/3dmark.gif


Выводы
Результаты тестирования хоть и получились несколько разношёрстными, но они, тем не менее, достаточно показательны. К примеру, отчётливо видно, как велико влияние антивирусных продуктов на время загрузки Windows: практически все они оттянули старт операционной системы на десять и более секунд. Причина кроется не только в многомодульности современных программ, но и в том, что многие из них запускают автоматическую проверку критических областей операционной системы и объектов, загружаемых вместе с Windows. Но такая проверка более чем оправдна, поскольку если эти объекты будут поражены вредоносной программой, то, возможно, пользователю даже не удастся загрузить операционную систему.


Весьма интересным оказался тест со скоростью копирования файловых объектов, в котором вперёд вырвался "Антивирус Касперского". Он быстрее работает с данными на диске как с настройками по умолчанию, так и в режиме максимальной защиты пользовательского компьютера.

Вопреки ожиданиям, инсталляция антивирусов мало повлияла на производительность компьютера при работе с графикой и при кодировании музыкальных композиций в формат MP3. А вот тест с веб-страницами показал, что на скорость их загрузки, включая обработку скриптов в HTML-коде, минимальное влияние оказывают AVG Anti-Virus 7.5, CA Anti-Virus r8.1 и Panda Antivirus 2008. Конечно, вряд ли можно отнести этот тест к разряду объективных, но, как говорится, факт налицо.

Архивирование файлов. Этот тест со стандартными настройками сканирования данных не выявил ни явных лидеров, ни аутсайдеров. Однако стоило только активировать уровень максимальной защиты, как некоторые антивирусы сразу сдали позиции. В частности, особо долго над сжатием данных компьютеру пришлось "попотеть" с установленными в системе приложениями Dr.Web 4.44, Trend Micro Internet Security Pro и Panda Antivirus 2008. "Антивирус Касперского" использовал любопытный трюк: он просто не утруждал себя повторным анализом ранее проверенных файлов.

Разумеется, при реальном использовании антивирусов их влияние ощущается и во многих других ситуациях, но имеющиеся средства, увы, не позволили с достаточной точностью его измерить, поэтому пока приходится довольствоваться теми цифрами, которые есть. Если удастся найти более точные методики, мы непременно вернёмся к этой теме.


И всё же подведём некоторые итоги. Прежде всего, необходимо отметить, что разница между некоторыми продуктами хотя и прослеживается, но не настолько велика, чтобы с уверенностью назвать один из них безоговорочным лидером.

В спринтерском зачёте по скорости работы с хранящимися на жёстком диске компьютера данными самыми быстрыми оказались "Антивирус Касперского" и Dr.Web, с небольшим отрывом от них идёт продукт компании Panda Security, который, помимо всего прочего, неплохо продемонстрировал себя и в оценочных тестах. Правда, "Доктор Веб" ощутимо хуже справился с тестом на архивирование.

Результаты нортоновского антивируса оказались не столь однозначными - он занял лидирующие позиции при работе с архивами в формате ZIP, но оказался крайне неторопливым в игровых тестах, насыщенных графикой, так что в итоге остался аутсайдером. Иначе говоря, Norton Antivirus 2008 - продукт явно не для компьютеров, выполняющих роль мультимедийных и игровых станций.

Неприятным сюрпризом стали показатели Eset NOD32, который позиционируется разработчиком как самый быстрый антивирус. Продукт не стал лидером ни в одной из представленных в таблице категорий. Ещё большим разочарованием стал продукт компании Trend Micro, показавший не лучшие результаты при копировании увесистых файловых объектов и в сравнительном тесте, анализирующим скорость загрузки веб-страниц.


www.computerra.ru

Группа разработчиков North Security Labs предложила детектор руткитов, основанный на аппаратной виртуализации. Заявлена способность детектирования ряда известных руткитов, таких как Shadow Walker и Rustock.
Hypersight Rootkit Detector работает в качестве монитора виртуальной машины. Ядро запускается в качестве гипервизора при старте системы, контролируя в дальнейшем критические операции и оставаясь незаметным как для системы, так и для вредоносного ПО. Контролируются типичные действия руткитов, в том числе попытки перехода в режим гипервизора, характерные для руткитов, приобщившихся к аппаратной виртуализации - наподобие известной Blue Pill.

Реализована поддержка процессоров Intel с технологией VT-x, в ближайшем будущей обещается и поддержка процессоров AMD. Продукт представлен в виде альфа-версии, подключиться к тестированию на свой страх и риск приглашаются все желающие.

источник

Идя навстречу организациям, использующим на рабочих компьютерах службу Автоматического обновления, но временно, во избежание потенциальных проблем, не желающим устанавливать на свои машины сервис-паки для Windows, Microsoft выпустила Windows Service Pack Blocker Tool Kit, - инструмент, блокирующий установку сервис-пака.

Tool Kit представляет собой крошечную утилиту, добавляющую в реестр Windows значение 'DoNotAllowSP', при выявление которого загрузка сервис-пака с сервера автоматического обновления не происходит.

Блокируется загрузка Windows Server 2003 Service Pack 2, Windows XP Service Pack 3 и Windows Vista Service Pack 1.

_http://www.microsoft.com/downloads/details.aspx?FamilyID=d7c9a07a-5267-4bd6-87d0-e2a72099edb7&DisplayLang=en

Flash UPnP Attack
 

Petko D. Petkov сообщил в своем блоге об обнаружении новой опасной уязвимости. С помощью размещенного на веб-станице специальным образом модифицированного .swf файла злоумышленник способен получить несанкционированный доступ к маршрутизаторам и произвольно изменять их параметры, невзирая на пароль администратора и запрещающие изменение настройки. Уязвимости подвержены все устройства поддерживающе UPnP. Например возможно изменение настроек DNS, что позволит направить пользователя на произвольную веб-страницу.
Уязвимость является кроссплатформенной, она не зависит от типа\версии браузера или типа\версии ОС и работает везде где применяется технология Flash.

Подробнее _http://www.gnucitizen.org/blog/flash-upnp-attack-faq

В США зафиксирован рост вишинга
 

Федеральное бюро расследований США сообщило в четверг о зафиксированном росте случаев вишинг-мошенничества. Схема вишинга, так называемого голосового фишинга (Voice fISHING), заключается в следующем: пользователю посредством электронной почты, sms, или другим способом сообщается что с его картой производятся мошеннические действия, и дается рекомендация срочно перезвонить в банк и повторно активировать карту.

Перезвонивший по указанному номеру слышит типично компьютерный голос, который приветствует его от имени банка и предлагает ввести номер кредитной карты для урегулирования проблемы.

В последние несколько лет развитие VoIP технологий и появление свободнораспространяемого ПО для организации call-центров позволяют мошенникам создавать центры обработки телефонных вызовов, что открывает путь для новых видов мошенничества. Эксперты по безопасности говорят что вишинг может быть более эффективен чем традиционные методы фишинга, направляющие пользователя на фальшивые веб-сайты, в связи с тем что пользователи недостаточно информированы о подобном виде мошенничества.

Опасная уязвимость в ICQ6

Простая отправка специально подготовленного текстового сообщения (в простейшем случае - "%020000000s") пользователю с установленной ICQ 6.x приводит к ошибке при формировании HTML-кода, предназначенного для отображения текста в интегрированном IE-компоненте. Ошибка эта способна привести к исполнению произвольного кода на удаленной системе, так что лучшее, что сейчас могут сделать пользователи ICQ - срочно сменить клиент, либо хотя бы запретить прием сообщений от людей не из контакт-листа (что не сильно поможет в случае эпидемии).

Источник

РФ отказалась подписывать Конвенцию о киберпреступности

Россия не будет подписывать Конвенцию Совета Европы о киберпреступности. Владимир Путин распорядился признать утратившим силу распоряжение «О подписании Конвенции о киберпреступности» от 15 ноября 2005 г.

Подписание Конвенции должно было сопровождаться заявлением, согласно которому Россия оставляла за собой право определиться с участием в Конвенции при условии возможного пересмотра положений пункта «b» ст. 32, которые «могут причинить ущерб суверенитету и безопасности государств-участников конвенции и правам их граждан».

В этом пункте говорится, что «сторона может без согласия другой стороны получать через компьютерную систему на своей территории доступ к хранящимся на территории другой стороны компьютерным данным или получить их, если эта сторона имеет законное и добровольное согласие лица, которое имеет законные полномочия раскрывать эти данные этой стороне через такую компьютерную систему».

Конвенция о киберпреступности вступила в силу 1 июля 2004 г. К концу 2005 г. ее подписали 38 стран-членов Совета Европы, а также США, Канада, Япония и ЮАР.

Как пишет РИА «Новости», данная конвенция - первый документ, в котором описывается классификация киберпреступлений. В их перечень входят несанкционированный доступ в ИТ-среду, нелегальный перехват ИТ-ресурсов, вмешательство в компьютерную систему и информацию, содержащуюся на носителях данных и т. д.

Также в документе описаны проблемы взаимодействия правоохранительных органов в случаях, когда киберпреступник и его жертва находятся в разных странах и подчиняются разным законам. В конвенции освещаются вопросы хранения личной информации клиентов интернет-провайдеров на случай, если она потребуется при расследовании киберпреступлений.

источник

Тысячи IIS пострадали от SQL injection

Согласно информации F-Secure, за последнюю неделю сотни тысяч серверов с установленным IIS пострадали от SQL injection, в результате которого на сайтах появляется код на JavaScript, в свою очередь приводящий пользователей на сайты, пытающиеся подсунуть им трояны.
Пока опознано три таких сайта - nmidahena.com, aspder.com и nihaorr1.com, доступ к которым целесообразно заблокировать. Гугль находит более полумиллиона модифицированных таким образом страниц. Пока не вполне понятно, стала ли причиной какая-то новая уязвимость IIS, либо проблема исходит от какого-то стандартного скрипта.
Первая информация об уязвимостях появилась на форумах 17 апреля, на следующий день Microsoft выпустила совет по блокировке атаки с использованием предположительной уязвимости, допускающей повышение привилегий аутентифицированного пользователя до LocalSystem. Среди пострадавших сайтов, кстати, назван aeroflot.ru - что вполне подтверждается. Поиск по зоне .ru вообще дает много любопытных результатов. Под раздачу также попали сайты ООН, американского министерства национальной безопасности и многие другие.
Особенность данного SQL injection в том, что оно передается на сервер в виде вызова функции CAST с параметром в виде куска 16-ричного кода, который она конвертирует в строку, получая на выходе sql-запрос - что делает несколько более сложным его обнаружение и фильтрацию (хотя чтобы эта функция отработала, все равно дело должно дойти до ее исполнения, так что стандартных рекомендаций по фильтрации sql-запросов вполне должно хватить). Далее он пытается внедриться в каждое текстовое поле каждой таблицы - собственно говоря, за счет чего зараженные сайты так удобно искать в гугле - как правило, портится и поле, используемое для формирования заголовка страницы.
источник

Microsoft отрицает существование новой уязвимости

В блоге Microsoft Security Response Center опубликовано заявление о том, что недавняя массовая атака с использованием sql injection никак не связана с какой-то новой уязвимостью в IIS, SQL server либо в других серверных продуктах MS.
Кроме того, эти атаки никак не связаны с выпущенной практически одновременно с сообщениями о первых заражениях рекомендацией по по блокировке возможных последствий уязвимости, допускающей повышение привилегий аутентифицированного пользователя до LocalSystem. Просто так совпало, а полмиллиона зараженных страниц - привет прямым рукам их авторов.
источник

BitDefender выпустил обновление сигнатур для защиты от уязвимости в IE 7

14 мая 2008 г. независимым экспертом в области контроля безопасности Авивом Раффоном (Aviv Raffon) была обнаружена ошибка в службе печати Microsoft Internet Explorer 7. "Большинство локальных ресурсов программы Internet Explorer сегодня работают в "Зоне Интернет". Скрипт, отвечающий за печать, работает в "Локальной зоне", а это значит то, что любой другой примененный к нему скрипт, может активизировать сторонний код к компьютеру пользователя", - говорит Авив Раффон.

Эксплойт позволяет взломщику применить к компьютеру жертвы абсолютно любой вредоносный код, если пользователь инициировал печать специально изготовленной веб-страницы, включив в свойствах функцию печати таблицы ссылок.

Исследовательский центр BitDefender оперативно отреагировал на заявление эксперта и выпустил обновление сигнатур, которое позволяет детектировать и нейтрализовать вредоносные коды, использующие этот эксплойт. Всем пользователям Internet Explorer, у которых не установлен антивирус BitDefender, специалисты Исследовательского Центра BitDefender рекомендуют воздержаться от распечатки веб-страниц с активированной функцией печати таблицы ссылок до тех пор, пока эта ошибка не будет исправлена разработчиками.

"Эта уязвимость, стала прямым результатом допущенных ошибок в написании программных кодов и халатности в разработке решений безопасности. В совокупности данные просчеты подвергают ничего не подозревающего пользователя DOS-атакам и прочим угрозам", - отмечает менеджер по развитию BitDefender Александру Балан (Alexandru Balan).

источник

Российский хакер, известный как Крис Касперски, обнаружил уязвимость в процессорах Intel, которая позволяет совершить удаленный взлом системы при помощи скрипта на JavaScript или TCP/IP-пакета вне зависимости от операционной системы. Об этом пишет PC World со ссылкой на краткое описание презентации, подготовленной Касперски.

Хакер намерен в октябре продемонстрировать свою методику на конференции Hack In The Box в малайзийском Куала-Лумпуре. Касперски заявил, что намерен показать работающий код и сделать его общедоступным. Он добавил, что ошибки в микропроцессорах становятся все более серьезной угрозой, так как уже пишутся использующие их зловредные программы.

По словам хакера, некоторые ошибки процессоров позволяют просто обрушить систему, другие помогают злоумышленнику получить доступ на уровне ядра ОС, а использование третьих отключает защиту Vista.

Крис Касперски продемонстрирует свою методику взлома на компьютерах с Windows Xp, Vista, Windows Server 2003, Windows Server 2008, ОС на базе ядра Linux и BSD. Возможно, также добавится Mac. На все эти системы будут установлены последние обновления.

Хакер занимается разработкой ПО и анализом программ в течение 15 лет. Он специализируется на защите CD/DVD, аудио - и видеокодеках, оптимизации кода под различные процессоры, а также является экспертом в других отраслях. Он написал два десятка книг по программированию и дизассемблированию.

Источник

Обход защиты памяти в Vista

На прошедшей BlackHat-конференции Марк Дауд (Mark Dowd) из ISS и Александр Сотиров (Alexander Sotirov) из VMware рассмотрели методы, делающие практически неэффективными все современные средства защиты памяти, реализованные на Windows-платформе - Address Space Layout Randomization(ASLR), Data Execution Prevention (DEP) и т.п., обходя их с помощью Java, ActiveX и .NET.

По мнению специалистов, описанные атаки не основаны на каких-то новых уязвимостях в IE или Висте, а напротив, активно используют архитектурные особенности Висты, и вряд ли MS сможет с этим что-то сделать. Т.е. любой уязвимый компонент может позволить захватить систему, и никакие средства, направленные на минимизацию ущерба, этому не помешают. Не случайно опубликованный материал имеет добрый подзаголовок - "Отбрасывая безопасность браузеров на 10 лет назад". Не исключено, что описанные подходы могут быть применены и к другим платформам.

Впрочем, по мнению самого Сотирова, все не так печально, и "небо еще не падает на землю". Скорее всего, следующие версии и Flash, и Java включат в себя меры противодействия, да и на Microsoft еще рано ставить крест.

источник

Очередная крупнейшая дырка в интернете

На последнем DefCon Антон Капела (Anton Kapela) и Алекс Пилосов (Alex Pilosov) продемонстрировали атаку на один из ключевых интернет-протоколов, по своим последствиям сопоставимую с недавними проблемами в реализации DNS.

BGP (Border Gateway Protocol) является междоменным протоколом маршрутизации, ориентированным на использование в крупных сетях. Фактически это хребет современного интернета (вообще протоколы маршрутизации предназначены для того, чтобы маршрутизаторы могли составить единое представление о топологии сети, синхронизировав свои таблицы маршрутизации). Продемонстрированная атака позволяет обмануть маршрутизаторы таким образом, что они начнут направлять перехватываемые данные в сеть атакующего. Принципиально проблемы с BGP были известны и раньше, но новым достижением является возможность скрытного перенаправления информации.

Особая неприятность заключается в том, что продемонстрированная техника не использует какую-то ошибку в реализации BGP, а просто использует естественный способ его работы. Проблема в том, что как и во многих интернет-протоколах, в BGP слишком многое основано на доверии. Кстати, по словам бывшего участника группы l0pht, аналогичная атака была продемонстрирована им государственным службам США более десяти лет назад.

источник

Linux под атакой Phalanx

CERT выпустила предупреждение о набирающей обороты атаке на Linux-системы, использующей при распространении украденные SSH-ключи. С большой вероятностью старт атаке дала обнародованная в мае история со слабым ГСЧ в Debian. При атаке используется руткит Phalanx2, являющийся развитием ориентированного на ядро 2.6 руткита Phalanx, и добавляющий в него средства для кражи SSH-ключей (для атаки на следующие системы). К счастью, Phalanx2 достаточно легко обнаружить - при его наличии команда ls не дает просмотреть содержимое каталога /etc/khubd.p2/.

источник

И еще одна дырка в ключевом интернет-протоколе

Этот год оказался урожайным на принципиальные уязвимости, заложенные отцами-основателями в ключевые сетевые протоколы.

На сей раз очередь дошла до протокола TCP и нового класса DoS-атак, которые способны при небольшой толщине канала атакующего эффективно парализовать сервер либо маршрутизатор, причем эффект сохраняется и после окончания воздействия (поскольку в системе жертвы просто заканчиваются ресурсы и она уходит в себя).

Роберт Ли (Robert E. Lee), руководитель подразделения безопасности шведской компании Outpost24, сообщил, что он и его коллега Джек Луис (Jack Louis) обнаружили уязвимость еще в 2005, но решили придержать информацию в надежде обнаружить обходные пути. Однако, окончательно упершись лбом в стенку, они решили обнародовать эти сведения.

В течение последнего месяца были проинформированы основные производители операционных систем, маршрутизаторов и межсетевых экранов. В настоящее время не существует реализации TCP-стека, свободного от данной уязвимости (проверено было 15 реализаций).

К сожалению, пока не нашлось приемлемого решения проблемы, за исключением полного запрета анонимных соединений, что полностью неприемлемо для большинства приложений. Впрочем, окончательно впадать в панику еще рановато - детали уязвимости еще не обнародованы, и независимого подтверждения не было. Все, что говорят другие эксперты - "да, это может оказаться серьезным".

источник

Adobe предупредила пользователей об уязвимости в Flash

Adobe сообщила, что все версии Flash уязвимы к недавно разрекламированным атакам класса clickjacking - перехват невинно выглядящих щелчков мышью на подсунутом жертве сайте может привести к незаметному включению микрофона или веб-камеры. Патч ожидается ближе к концу октября, пока же пользователям рекомендовано в настройках Flash выставить опцию "Alway deny".

источник

Прокси как отягчающее обстоятельство

Как сообщает Associated Press, в новом федеральном руководстве по назначению наказаний использование прокси-серверов при совершении кибер-преступлений будет рассматриваться как признак "изощренности" и, соответственно, как отягчающее обстоятельство, увеличивающее срок заключения на четверть.
Это же относится и к таким анонимизаторам как Tor. Отдельный привет работающим через мобильных провайдеров и корпоративные сети, в которых подобные средства зачастую используются без ведома конечных пользователей.

источник

Дыра в безопасности Windows 7, которая «не может быть устранена»?

В рамках недавней конференции по проблемам компьютерной безопасности была продемонстрирована возможность получения контроля над компьютером с установленной Windows 7. Випин Кумар и Нитин Кумар использовали программу размером 3 КБ VBootkit 2.0, для того чтобы получить полный контроль во время загрузки ОС.
Хакеры с помощью этой прорехи могут получить удаленный доступ к файлам компьютера на самом высоком уровне привилегий администратора, а после взлома вернуть первоначальные пароли и таким образом замести следы.
Главная проблема состоит в том, что, по мнению Випина Кумара, брешь нельзя будет залатать каким-нибудь патчем. «Исправить это нельзя, потому что это конструктивная проблема», — заявил он во время демонстрации взлома. Посмотрим, что по этому поводу думают в Microsoft...

источник

Компьютерная безопасность "по запросу"
Компания McAffee предлагает клиентам новый сервис в области компьютерной безопасности - Total Protection Service (переведу как "Служба Всеобщей Защиты"). Продукт рассчитан на корпоративных клиентов и обеспечивает комплексную защиту их локальных сетей и сайтов путем удаленного контроля с сервера компании - поставщика услуги. Многие эксперты считают такой путь естественной эволюцией от "безопасности как локального программного обеспечения" к "безопасности как услуги". Основным стимулом такой эволюции является все большая изощренность вирусных и хакерских атак, что требует глубокого анализа и мощных компьютерных ресурсов, чего, как правило, не бывает на локальных компьютерах у большинства клиентов. Эту инициативу подхватывают и другие известные компании, в частности, испанская Panda.
http://www.technologyreview.com/business/23022/page1/