Новости информационной безопасности

Статус
В этой теме нельзя размещать новые ответы.

unbreakable

Модератор
Награды
6
ESET NOD32 получает награду VB100 в тестировании на Windows Server 2008

Москва, 10 июня 2010 г. Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о получении 62-й награды VB100 по итогам тестирования журнала Virus Bulletin. Тестирование проводилось на платформе Windows Server 2008 R2.

В июньском тестировании приняли участие 33 продукта. Некоторые компании предоставили несколько антивирусных решений. Так, Лаборатория Касперского заявила для участия Антивирус Касперского для Windows Server версии 6 и Антивирус Касперского для Windows Server версии 8. Компанию ESET во второй раз представлял обновленный антивирус ESET NOD32 версии 4.2.

Чтобы получить награду Virus Bulletin антивирусу необходимо обнаружить все угрозы из коллекции WildList, не допустив при этом ложных срабатываний. Ключевым индикатором тестирования является показатель RAP. Данный показатель демонстрирует средний уровень детектирования угроз как реактивными (сигнатурными), так и проактивными методами. Реактивные технологии тестируются на трех наборах вредоносных сэмплов, собранных за три, за две и за одну неделю до «заморозки» антивирусных баз тестируемых продуктов. Проактивные технологии тестируются на наборе сэмплов, собранных через неделю после «заморозки» баз. По результатам детектирования угроз реактивными и проактивными методами выводится усредненный показатель RAP. Вычисляемый таким образом показатель RAP является комплексной характеристикой и отражает способность антивирусов выявлять знакомые и незнакомые угрозы.

По результатам испытаний показатель RAP у ESET NOD32 достиг 89,77%, в то время как RAP Антивируса Касперского версии 6 достиг 85,51%, а RAP Антивируса Касперского версии 8 лишь 69,68%. RAP продукта McAfee составил 76,05%, а Avira AntiVir 84,33%. Кроме того, ESET NOD32 выгодно отличается от конкурентов по уровню использования системных ресурсов. Так, использование ESET NOD32 увеличивает расход оперативной памяти лишь на 6,74% в режиме бездействия системы и на 5,19% при интенсивном обращении к файлам. Антивирус Касперского версии 6 увеличивает расход памяти на 7,70% и 7,35% в режимах бездействия и интенсивного обращения к файлам соответственно, а Антивирус Касперского версии 8 на 8,05% и 6,90%. Значительно лучше результат McAfee, чей антивирус увеличивает расход на 3,97% и 2,87% в режимах бездействия и интенсивного обращения к файлам соответственно. А вот Avira AntiVir, напротив, интенсивно использует системные ресурсы, увеличивая расход памяти на 19,54% и 19,56%.

«Выпуск обновленной линейки антивирусных решений ESET NOD32 версии 4.2 позволил компании сохранить технологическое лидерство на рынке, – говорит Павел Потасуев, директор по ИТ российского представительства ESET. – Результаты первых тестов нового продукта подтверждают преимущество NOD32 перед конкурентами. Антивирус успешно противодействует вирусным угрозам и нетребователен к системным ресурсам. Именно такое сочетание характеристик наиболее привлекательно для потребителей».



Опубликовано: 10.06.2010

Вы можете связаться
с PR-менеджером компании ESET
Аллой Мишаковой press@esetnod32.ru
 

unbreakable

Модератор
Награды
6
На правительственный сайт Южной Кореи совершена DDoS-атака

Вчера вечером на основной сайт правительства Южной Кореи было совершено очередное нападение. DDoS-атака длилась три с половиной часа. По предварительным данным, обнародованным сегодня, она осуществлялась со 120 китайских серверов. Органы кибербезопасности Южной Кореи находятся в состоянии повышенной боевой готовности из-за напряжённости в отношениях с северным коммунистическим соседом. В мае южнокорейские эксперты пришли к выводу, что мартовский взрыв на военном корабле, приведший к гибели 46 человек, произошёл в результате торпедной атаки северокорейской подводной лодки. КНДР на это заявление обиделась и пригрозила войной. Есть опасения, что северные хакеры теперь будут пытаться всячески навредить встрече «Большой двадцатки» в Сеуле, намеченной на ноябрь. Представители южнокорейской разведки считают также, что Север организовал киберкампанию (используя выкраденные личные данные южнокорейских пользователей) для пропаганды своей точки зрения на кораблекрушение. В июле прошлого года правительственные сайты Южной Кореи и США пережили похожую атаку. Вину на неё возложили на КНДР, хотя доказать это не удалось.
 

    Milo

    очки: 72
    =)

    KossBeL

    очки: 25
    спасиб

Milo

Самец :)
Стартует Чемпионат Мира по футболу 2010

Наконец, все фанаты футбола во всем мире дождались! Сегодня, 11 июня, стартует чемпионат мира.

Событие, безусловно, заметное. Заметили его и спамеры. Со времени нашего прошлого поста, посвященному футбольному спаму прошло немало времени. Нигерийские рассылки и сообщения о выигрышах в лотереях, о которых рассказывалось в нем, не прекращались ни на день: мы постоянно получали все новые и новые примеры писем, сообщающих о получении несметных миллионов в розыгрыше от FIFA.

Вчера вечером, накануне дня Х спамеры запустили рассылку другого рода: с темой «FIFA World Cup South Africa... bad news» («Чемпионат Мира ФИФА в Южной Африке… плохие новости»). В тексте рассылки предлагается узнать скандальные новости о стартующем Чемпионате из приложения.

34270.JPG

Как видите, приложен к письму html-файл. Уже не единожды говорилось, что самые «вкусные» темы спамеры оставляют для рассылок вредоносов и рекламы виагры. Так вот, эта рассылка – второй случай. Html-файл перенаправлял пользователей на канадский фармацевтический сайт.

Интересно, также, что домен, использованный в этих письмах, встречался и в еще одной, свежей и довольно крупной рассылке с рекламой виагры: это рассылка, подделанная под формальные сообщения от социальной сети Twitter:

34269.JPG

Ну чтож, Чемпионат Мира по футболу сегодня даст старт, в связи с чем попытки спамеров воспользоваться ажиотажем вокруг этого события бесспорно участятся. Так что будьте внимательны. Смотрите футбол. Не читайте спам.
 

Milo

Самец :)
Панели инструментов YouTube

9 июня я первый раз в жизни разместил на YouTube HD-ролик. Закончив, я сразу же получил электронное сообщение от YouTube, содержащее поздравление с загрузкой моего первого ролика, а также советы и идеи, призванные помочь мне добиться наилучшего результата. Всего пару часов спустя я получил второе письмо: «Hello, Have you tryed YouTube Toolbar?».

Тема письма («Привет, ты уже папробовал панель инструментов YouTube?») содержала опечатку (tryed вместо tried). В таких случаях любой пользователь должен сразу заподозрить, что сообщение — вовсе не от YouTube. И действительно, в письме, форматирование которого оставляло желать лучшего, была ссылка на один из вариантов троянской программы Backdoor.IRC.Zapchast.

32764.png

Исполняемый файл, на который вела ссылка, представляет собой самораспаковывающийся RAR-архив, содержащий несколько файлов:

32766.png

Подобный вид, с очень незначительными различиями, имеют почти все варианты троянца Zapchast. Откуда же родом этот бэкдор? По некоторым признакам, он написан румынскими авторами. Об этом говорит, в частности, использование румынских паролей и ссылок на румынские сайты.

32768.png

Принцип действия подобных бэкдоров основан на применении скриптов для mIRC. В состав архива входит исполняемый файл клиента mIRC (версия 6.01, упакован UPX), а сам код бэкдора реализован как mIRC-скрипт. На снимке экрана выше показан файл csrss.exe. Будучи активирован, бэкдор соединяется с сетью Undernet и подключается к определенному каналу для получения команд, а также сообщает владельцу ботнета о новом зараженном пользователе. Обработка команд обеспечивается файлом script.ini.

Программа не содержит кода, предназначенного для кражи с компьютера жертвы конфиденциальных данных или финансовой информации, а рассчитана только на обработку mIRC-команд, получаемых от своего хозяина. В наши дни это редкость, и вредоносные программы, подобные Zapchast, постепенно вымирают, уступая место более «продвинутым» троянцам — таким, как Zbot или Sinowal.
 

Milo

Самец :)
В Малайзии арестованы 26 SMS-мошенников

Малазийская полиция задержала 25 иностранцев и одного местного жителя, подозреваемых в мошенничестве. Участники группировки рассылали от имени крупных компаний фальшивые SMS-извещения о денежных призах и за четыре года выманили у владельцев мобильных телефонов 6,4 млн. ринггитов (более 1,9 млн. долларов).

Согласно инструкциям аферистов, для получения «приза» нужно было перечислить определенную сумму на один из их счетов. Во время полицейского рейда, проведенного в начале текущего месяца, были конфискованы 4 лэптопа, 73 мобильника, учетные книги по банковским счетам, кредитные карты и 6 тыс. ринггитов (1,8 тыс. долл.) наличными. С каждого лэптопа отсылалось до 1 тыс. SMS-сообщений в сутки.

По имеющимся сведениям, данная группировка входила в преступный синдикат, который полиция разогнала в прошлом году. Объявлены в розыск еще двое соучастников, а также владельцы многочисленных банковских счетов, задействованных в мошеннической схеме, – они были открыты на имена местных жителей. Начато расследование по факту мошенничества, подпадающего под статьи уголовного кодекса и малазийского закона о компьютерных преступлениях.
 

Milo

Самец :)
Администраторы сайтов, все ли под контролем?

RU-CENTER предупреждает об учащении случаев перехвата контроля над доменными именами через кражу пароля к административной панели, с последующим изменением настроек адресации домена.

Разумеется, злоумышленники имеют шанс получить пароль администратора посредством обычного фишингового письма, снабженного ссылкой на поддельную страницу регистрации. Если его получатель недостаточно осмотрителен и не позаботился о средствах оповещения об опасности, предотвратить утечку идентификаторов достаточно проблематично. Однако последнее время злоумышленники практикуют в Рунете несколько иную схему «угона» доменов.

Вначале по открытой базе данных Whois проводится автоматизированный сбор доменных имен, к которым в качестве контакта указан адрес бесплатной почты. Из этих адресов вычленяются те, которые длительное время не использовались и освобождены почтовой службой для повторной регистрации. Злоумышленники регистрируют их на себя и запрашивают восстановление пароля на сайте nic.ru. Получив доступ к управлению доменом, они меняют адрес DNS-сервера на ns1.<имя домена>.ru и ns2.<имя домена>.ru.

Все новые NS- и A-записи теперь указывают на IP-адреса прокси-серверов в подсети, контролируемой «угонщиками». При обращении к соответствующим сайтам все запросы перенаправляются на реальные серверы хостинг-провайдера, поэтому владелец домена может вообще не заметить потери контроля над трафиком. Однако в любой момент злоумышленники могут изменить схему переадресации и направить все запросы на свои веб-сайты.

Согласно статистике RU-CENTER, число пострадавших от этих атак измеряется сотнями. Жертвами «угона» оказались также десятки клиентов российского регистратора и хостинг-провайдера Net Angels. Некоторые провайдеры уже известили пользователей о проблеме и закрыли трафик с поднятых прокси-серверов. RU-CENTER рекомендует администраторам доменов проверить актуальность контактных адресов электронной почты и удостовериться в том, что к почтовому ящику не имеют доступа посторонние лица.
 

ogl

Ословед
Смотрите, сравнивайте, выбирайте.
picture.php


График выстраивается в соответствии со следующими принципами построения:

1) По оси X расставляются антивирусные продукты, представленные на VirusTotal на данный момент времени; на оси Y представляется количество загруженных образцов.

2) Для каждого продукта отмечается количество образцов, успешно детектированных им с помощью той или иной методики обнаружения. На диаграмме отражается общее количество детектированных образцов, а также доля каждой методики детектирования в общем количестве обнаружений.

3) Разделяются следующие методики обнаружения:

a) сигнатурное детектирование (обнаружение уже известного продукту вредоносного ПО сигнатурным методом)

б) эвристическое детектирование (обнаружение неизвестного вредоносного ПО методом эмуляции / анализа кода и т.д. Пример детектирования, понимаемого как эвристическое: "Heur.Trojan.Generic"; "a variant of: XXXXX")

в) сообщение о подозрительном файле (обнаружение возможно неизвестного вредоносного ПО методом сообщения о подозрительных характеристиках исследуемого образца. Пример детектирования, понимаемого как сообщение о подозрительном файле: "Suspicious file"; "VIPRE: Suspicious")

г) сообщение о подозрительном упаковщике / крипторе (обнаружение возможно неизвестного вредоносного ПО методом сообщения о неизвестном / редком / подозрительном упаковщике / крипторе или факте многократного упаковывания / шифрования. Пример детектирования, понимаемого как сообщение о подозрительном упаковщике / крипторе: "HEUR/Crypted").
 

unbreakable

Модератор
Награды
6
Турецкие хакеры продолжают атаковать израильские сайты

Несмотря на то, что с момента перехвата флотилии "Free Gaza" прошло уже 10 дней, кибератака на сайты в доменной зоне Израиля не прекращается. В четверг были взломаны сайты компании Microsoft - MSN.co.il и Hotmail.co.il. Всего же за полторы недели были взломаны около 10 тысяч сайтов.

На взломанных страницах MSN.co.il и Hotmail.co.il хакеры разместили фотографию ребенка с палестинским флагом и текст: "Свободу Палестине. Привет тебе, самый большой сукин сын в мире (я имею в виду всех евреев). Ты думаешь, однажды ты завладеешь всем миром, да? Lol, это меня смешит, это весь мир смешит. Да вы просто насекомые. Попробуйте позлить мусульман, и сидите и смотрите, что с вами произойдет".

Это сообщение подписано Pakbugs Group и TurkGuvenligi Tayfa, и снабжено ремаркой "Из Турции с любовью".
 

unbreakable

Модератор
Награды
6
Чувашский хакер заплатит штраф за взлом электронной почты

Житель Новочебоксарска, 19-летний Леонид Малетин признан виновным по ч. 1 ст. 272 УК РФ (неправомерный доступ к компьютерной информации).

4 июня 2009 года студент юридического факультета местного вуза Малетин осуществил доступ к данным электронного ящика на бесплатном почтовом Интернет-сервере, принадлежащем несовершеннолетней москвичке. Затем он изменил пароль доступа к ящику электронной почты, блокировав возможность его использования законным владельцем.

Как сообщили в пресс-службе Следственного комитета по Чувашской Республике, приговором суда Малетину назначено наказание в виде штрафа в размере 10 тысяч рублей.
 

unbreakable

Модератор
Награды
6
Open Source открывает двери для хакеров

Авторы доклада, представленного на семинаре по экономике информационной безопасности, сопоставили список из 400 млн попыток взломов данных, состоявшихся в течение 2 лет, с параметрами и уязвимостями программного обеспечения, сообщает Technologyreview.com. “Полученные результаты позволяют утверждать, что уязвимости Open Source приложений обнаруживаются хакерами гораздо быстрее и чаще, чем уязвимости закрытого ПО”, - заявил Сэм Ренсботам, профессор Бостонской Школы менеджмента Caroll.

По данным Сэма Ренсботама, взлом открытого ПО происходит в 1,5 раза чаще, чем проприетарных решений. При этом хакеры затрачивают на него в среднем на 3 дня меньше времени. Инструкции по взлому обычно распространяются примерно с той же скоростью, что и само программное обеспечение.

Исследование опиралось на данные систем по контролю за взломами, установленных в 960 компаниях сервис-провайдером SecureWorks. Сэм Ренсботам сопоставил эти данные с данными об уязвимостях, хранящимися в Национальной базе данных уязвимостей (National Vulnerability Database, NVD), формируемой Национальным Институтом Стандартов и Технологий (National Institute of Standards and Technology). NVD включает в себя уязвимости более 13000 видов ПО по состоянию на 2006-2007 гг. Однако, лишь половина этих программных продуктов может быть с уверенностью классифицирована как открытое или закрытое ПО, сообщил Сэм Ренсботам.

Таким образом, Сэм Ренсботам получил список 883 уязвимостей в закрытом и открытом ПО. Затем он классифицировал уязвимости по другим признакам, например, насколько сложно хакеру использовать уязвимость и существует ли в ней сигнатура, позволяющая системе обнаружения идентифицировать вторжение.

В конечном итоге, в участию в исследовании было допущено лишь 97 из 883 уязвимостей, подвергнутых хакерской атаке за последние 2 года, и 111 млн взломов - около четверти полученных предупреждений об атаке. Остальные попытки взлома или предпринимались в отношении ПО, которое не может быть отнесено ни к открытому, ни к закрытому, или были направлены на уязвимости с неидентифицируемыми атрибутами, или были идентифицированы как ложные атаки.

Результаты исследования свидетельствуют о том, что после выхода очередного релиза Open Source продукта хакерские атаки на него начинаются быстрее, чем в случае появления закрытых решений. Однако, как только разработчики начинают предпринимать меры по ликвидации уязвимости, хакеры быстро переключаются на другие задачи.

Возможность доступа к исходному коду – не единственное преимущество, которое Open Source дает хакерам. Сэм Ренсботам отмечает, что при наличии сигнатур, используемых производителями систем защиты, хакерские атаки происходят быстрее. “Вероятно, информация об обновлениях, распространяемая с целью усовершенствования программного обеспечения, в итоге помогает взломщикам”, - комментирует он.

Его мнение подтверждают и результаты других исследований. В 2007 г. два консультанта по безопасности показали, как можно создать новый код для атаки, используя данные сигнатур популярной системы по отслеживанию взломов. В 2008 исследователи создали систему, способную генерировать код для взлома на основании автоматического анализа обновлений, выпущенных компанией-производителем ПО.
 

    Snowy White

    очки: 13
    Нет комментариев

unbreakable

Модератор
Награды
6
Релиз Flash Player 10.1 с исправлением критической уязвимости

Компания Adobe объявила о выходе релиза Flash Player 10.1 для платформ Linux, Windows и Mac OS X. Это первый выпуск, базирующийся на инициативе Open Screen Project. Сборки для Solaris и мобильной платформы Android пока доступны только в виде тестовых версий. Кроме реализации ряда интересных новшеств в новой версии устранена критическая уязвимость, которой в силу популярности Flash-плагина присвоен высший уровень опасности. Уязвимость присутствует в виртуальной машине ActionScript Virtual Machine 2 (AVM2) и позволяет злоумышленнику организовать выполнение своего кода в системе при открытии пользователем специально подготовленного SWF-файла.
 

unbreakable

Модератор
Награды
6
Сотрудник Google публикует 0-day уязвимость Windows

Специалист по безопасности из Google повёл себя необычно, опубликовав технические данные уязвимости Центра Помощи и Поддержки Windows, не дав Microsoft времени, чтобы выпустить патч. Уязвимость, вызванная неверной обработкой URI с протоколом hcp://, может позволить удалённо выполнять произвольный код. Орманди(Ormandy), который, кстати, уже недавно поступал подобным образом, заставив Oracle в срочном порядке заняться опасной уязвимостью в Sun Java, теперь разместил код эксплоита всего пятью днями позже, чем сообщил о своей находке в Microsoft. В своём письме Орманди заметил, что обработчики протоколов часто содержат уязвимости, и напомнил, что сам протокол hcp:// уже не раз подвергался атакам. Это заставило его опубликоваться ещё до выхода патча: "Я считаю, что есть большая вероятность того, что взломщики уже изучили этот компонент, поэтому публикация этой информации — в лучших интересах всеобщей безопасности. Я рекомендую тем из вас, у кого есть много контактов со службой поддержки, выразить своё пожелание скорейшего ответа Microsoft на разнообразные отчёты о безопасности". В центре безопасности Microsoft действиями Орманди не впечатлены. Директор MSRC, Майк Риви (Mike Reavey) утверждает, что Microsoft стало известно о проблеме 5 Июня 2010 года (в субботу), а затем она была опубликована менее чем четыре дня спустя. «Публикация подробностей этой уязвимости, как и указаний по её использованию, без предоставления нам должного времени решить проблему, повышает вероятность широкомасштабных атак, тем самым увеличивая риск для конечного пользователя». Он также подчеркнул, что временное решение, предложенное Орманди, неадекватно. "Одной из главных причин, по которой мы и многие другие производители софта утверждаем, что к публикации нужно подходить с ответственностью, это то, что только производитель продукта может в полной мере понять причину и найти первоисточник проблемы. Хоть находка исследователя из Google и была важной, оказывается, что анализ был неполным, и временное решение, предложенное Google, легко обойти. В некоторых случаях стоит потратить немного больше времени на продуманное решение, которое не преодолеть, и которое не портит качество продукта". Риви подтверждает, что уязвимость затрагивает только Windows XP и Windows Server 2003, все остальные версии Windows эта проблема не затрагивает. Microsoft выпущен Security Advisory 2219475 с временным решением проблемы. Пользователи затронутых версий Windows могут дерегистрировать протокол HCP следующим, удалив из реестра ключ HKEY_CLASSES_ROOT/HCP. Внимание, дерегистрация протокола HCP приведёт в нерабочее состояние все настоящие ссылки в помощи, использующие hcp://. К примеру, ссылки к Панели Управления могут более не работать.
 

unbreakable

Модератор
Награды
6
Symantec: хакеры активно используют интерес к Чемпионату мира по футболу

Symantec Hosted Services распространила предупреждение об обнаружении нацеленной хакерской атаки, тематика которой связана с открывающимся сегодня Чемпионатом мира по футболу в ЮАР. В Symantec говорят, что обнаруженная атака направлена на ряд крупных бразильских компаний и их сотрудников. Отмечается, что злоумышленники используют довольно изощренные методы атаки, результатом которых должно стать инфицирование компьютеров и корпоративных сетей. Тони Миллингтон, инженер Symantec, в своем блоге сообщает, что компания уже перехватила по крайней мере 45 почтовых бразильских доменов, на адреса которых рассылаются письма злоумышленников. "Эти атаки представляют собой развитие метода социальной инжинерии, а также общественного интереса к Чемпионату мира 2010 года в Южной Африке. Очевидно, что злоумышленники пытаются эксплуатировать события, связанные с этим чемпионатом, дабы получить доступ к той или иной корпоративной информации", - говорит он. "Один из наиболее интересных моментов этих таргетированных атак заключается в совмещении технологии атаки при помощи вредоносных ссылок в PDF-файлах", - отмечается в сообщении. В большинстве писем хакеры используют легенду, согласно которой они предлагают по заниженным ценам товары, связанные с Чемпионатом, на реализацию, в частности, спортивную экипировку, символику и т д. В письмах находятся как ссылки на хакерские серверы, где жертвы якобы могут получить более подробную информацию, а также PDF-файлы с информацией. "Наличие двух методов нападения означает, что даже если PDF удаляется как вредоносное вложение, ссылка на сервер все-таки может привести пользователя к загрузке вредоносного программного обеспечения", - говорит он. В рамках проведения данных атак, говорят в Symantec, неизвестные злоумышленники набирают клиентские компьютеры для бот-сети SpyEye.
 

Snowy White

Ословед
Пару слов о безопасности

Не очень приятная новость коснулась пользователей Adobe Reader и Acrobat (9.3.2 и ниже 9.x для Windows, Macintosh и Unix ) и всеми любимого Flash Player (10.0.45.2, 9.0.262 и ниже 10.0.x и 9.0.x для Windows, Macintosh, Linux и Solaris). По данным сайта CNET News, в этих программных продуктах есть критическая уязвимость, воспользовавшись которой хакеры могут управлять удаленной машиной. Adobe признает, что случаи атак были.

Встает вопрос, что делать? Можно установить новый Flash Player 10.1, Reader и Acrobat 8.x , в которых уязвимость (пока!?) не обнаружена, либо удалить/переименовать/переместить файл authplay.dll, поставляющийся с продуктами Adobe Reader ( C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll_) и Acrobat (_C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll). Правда, при этом произойдут сбои в работе продуктов и ошибка, если в просматриваемом файле есть swf.

Теперь о еще более серьезном. По данным хостинг-компании NetAngels недавно имела место массовая кража доменных имен в зоне RU. Алгоритм был следующим. Если у домена контактный адрес зарегистрирован на mail.ru или bk.ru и ящик не использовался долгое время, то он стал доступен для перерегистрации. Затем злоумышленники воспользовались процедурой восстановления пароля для всех таких доменов и сменили dns-серверы на ns1.domain.ru и ns2.domain.ru, где domain.ru – имя домена.

Не вдаваясь в подробности, можно сказать, что теперь они имеют доступ ко всему трафику сайта и подменить информацию, проходящую через сайт им ничего не стоит. Поэтому будьте осторожны, и не забывайте иногда заходить в свой электронный почтовый ящик
 

unbreakable

Модератор
Награды
6
В поставке открытого IRC-сервера UnrealIRCd обнаружен троянский код

Разработчики популярного свободного IRC-сервера UnrealIRCd опубликовали уведомление, в котором обнародовали информацию об обнаружении факта подмены злоумышленниками архива с исходными текстами программы, сообщает opennet.ru. В ходе разбирательства было выявлено, что в ноябре 2009 года несколько файловых серверов проекта были взломаны, что позволило злоумышленникам подменить представленный для загрузки архив программы на вариант, содержащий троянскую вставку. Добавленный троянский код представляет собой бэкдор (backdoor), предназначенный для организации лазейки для выполнения команд злоумышленников на сервере с привилегиями, под которыми запущен процесс UnrealIRCd. При этом бэкдор доступен злоумышленникам даже если IRC-сервер работает в режиме транзитного хаба или доступ пользователей к нему ограничен парольной авторизацией. Злонамеренный код обнаружен только в архиве Unreal3.2.8.1.tar.gz, не пострадали более старые версии, копии загруженные до 10 ноября 2009 года и код в CVS-репозитории проекта. Проверить наличие троянского кода можно выполнив в директории с исходными текстами команду "grep DEBUG3_DOLOG_SYSTEM include/struct.h", если маска DEBUG3_DOLOG_SYSTEM не будет найдена, то код чист. Для того, чтобы предотвратить подобные инциденты в будущем разработчики UnrealIRCd заявили о переходе к практике публикации цифровых подписей для архивов с релизами проекта.
 

Milo

Самец :)
Unreal IRC Server: в комплекте с бэкдором

В эти выходные поддержка исходника Unreal IRCd Server обнаружила бэкдор в дистрибутиве, доступном к скачиванию с его сайтов-зеркал. Полный текст сообщения доступен здесь, а моё внимание привлекла следующая строчка в этом сообщении:

«Судя по всему, дистрибутив Unreal3.2.8.1.tar.gz был подменен зараженным вариантом в ноябре 2009 года (по крайней мере на некоторых зеркалах). По-видимому, до сих пор этого никто не замечал».

Получается, что программа, зараженная трояном, была доступна для скачивания в течение почти 8 месяцев, но выяснилось это только сейчас.

32771.png

Несмотря на то что официальные исходники были почищены, я за несколько минут нашел версию программы, содержащую троян.
Зараженную версию распознать относительно легко — она содержит следующий MD-хэш:

752e46f2d873c1679fa99de3f52a274d Unreal3.2.8.1.tar.gz

Так каким же образом работает бэкдор? Вот фрагмент зараженного кода:

32772.png

Как видим, заражение связано всего с двумя дополнительными строчками кода. Еще две строчки содержат условие, при котором происходит внедрение вредоносного кода – в том случае если определен параметр DEBUGMODE3.

Здесь происходит следующее: в модуле “s_bsd.c” содержится функция “read_packet”, которая обрабатывает каждый пакет данных, отправляемый на сервер. Если распознается комадна “AB” (что в данном случае определяется DEBUGMODE3_INFO), то остаток данных в буфере прямо посылается в операционную систему на выполнение через “system()”. Просто и незатейливо.

Какова же мораль сей басни? Во-первых, исходный код современных приложений состоит из сотен тысяч строк, и пару строк вредоносного кода очень легко проглядеть. Случай далеко не первый, и я уверен, что в свободном доступе лежит еще не одно зараженное open-source приложение.

Самое неприятное — это то, что внедренный троян распознали только через 8 месяцев. Интересно, сколько времени потребуется на это в следующий раз?
 

Milo

Самец :)
Значимость защиты на клиентском компьютере

Во время написания поста стало известно, что уязвимость “authplay.dll”, обнаруженная в Adobe Flash Player, Acrobat Reader и Acrobat, эксплуатируется зловредами из списка “in-the-wild”. В своем докладе об уязвимостях формата PDF на саммите вирусных аналитиков на Кипре Роул Шоуэнберг также подчеркнул важность защиты на клиентском компьютере. На PH-neutral, ежегодной неформальной встрече специалистов по IT-безопасности в Берлине, Юлия Вольф (Julia Wolf) рассказала о создании и парсинге PDF-файлов. Безопасность на стороне клиента представляет собой огромную проблему, с которой подчас сложно совладать, поскольку большая часть автоматических инструментов обновления попросту не поддерживает стороннее ПО.

Работая в области аудита безопасности и выполняя проверку защиты систем от несанкционированного доступа, я понял одну важную вещь: большинство организаций и компаний уделяют основное внимание безопасности на стороне сервера, укрепляя линию обороны в лице продвинутого межсетевого экрана, а также инструментов безопасности внешних активов и демилитаризованной зоны, но при этом полностью забывая про защитные решения на рабочих станциях.

Аудит безопасности, проводимый в компаниях, чаще всего ограничивается проверкой ресурсов, находящихся в общем доступе — сети, почты и хранилищ данных, а также некоторых внутренних ресурсов, таких как базы данных. Похоже, все усилия по поддержанию безопасности сосредотачиваются на защите вебсайтов, а о безопасности клиентов предпочитают забыть. Системные администраторы зачастую полагают, что встроенная функция обновления полностью обеспечивает своевременность установки патчей. Однако стандартные инструменты обновления часто страдают тем, что не покрывают сторонние программы, такие как программы для чтения PDF-файлов, флэш-плееры, медиаплейеры, почтовые клиенты и т.д. И именно эти бреши часто эксплуатируются вредоносными программами. Такие бреши не закрываются даже встроенными инструментами обновления, поскольку для таких уязвимостей не выпущены патчи. «Лаборатория Касперского» прикладывает много усилий, чтобы эвристика была в состоянии распознать подобные угрозы — в данном случае уязвимость успешно распознается продуктами «Лаборатории Касперского», и наши клиенты защищены от данной угрозы. Когда угроза только начала распространяться в дикой среде, у «Лаборатории Касперского» не было соответствующей сигнатуры, но эвристическими компонентами в составе продуктов угроза распознавалась как HEUR:Exploit.Script.Generic. Сейчас она распознается как Exploit.JS.Pdfka.ckq.

В данный момент в некоторых программах компании Adobe имеется уязвимость. «Лаборатория Касперского» обнаружила вредоносные программы, эксплуатирующие эту уязвимость, в виде drive-by загрузок. Такие вредоносы могут быть задействованы как для атак по сети, так и во вредоносных приложениях к электронным письмам. Через данную уязвимость могут загружаться, например, вредоносы, крадущие личную информацию (логины, пароли и данные интернет-банкинга) или превращающие компьютер в узел зомби-сети. Как показывает практика, жертвой таких атак могут пасть даже известные IT-компании, такие как Google и ID Software.

По данным SecurityFocus, эта уязвимость угрожает следующим приложениям:
  • Adobe Flash Player 10.0.45.2, 9.0.262 и ранее
  • Adobe Flash Player 10.0.x и 9.0.x – версии для Windows, Macintosh, Linux и Solaris
  • Adobe Reader и Acrobat 9.3.2 и ранее
  • Adobe Reader и Acrobat 9.x – версии для Windows, Macintosh и UNIX
Как мне защититься от подобных атак?

Хотя для этой уязвимости еще не выпущен патч, антивирус может предотвратить скачивание вредоносного кода. Чаще всего атаки, эксплуатирующие данную уязвимость, проводятся с использованием какого-либо вредоносного кода, который легко распознается антивирусным решением по характерному поведению. Кроме того, есть еще один механизм защиты, и притом весьма эффективный: ваш инстинкт.

Наконец, существуют рекомендации по предотвращению заражения вредоносными программами, эксплуатирующими эту уязвимость:
  • Выключите режим Javascript в Adobe Reader (в настройках программы)
  • Используйте альтернативную программу для чтения PDF-файлов, например Foxit reader с его новейшей функцией «Безопасное чтение»
 

unbreakable

Модератор
Награды
6
В США осуждены латвийские хакеры

Латвийские хакеры украли данные 192 000 клиентов и вымогали взятку за молчание.

33-летний Виталий Дроздов приговорен к штрафу в 11 500 долларов, 30-летний Александр Хохолко и 26-летний Евгений Кузьменко должны заплатить по 1515 долларов.

Хакеров в тюрьму сажать не стали, так как они чистосердечно во всем сознались и пошли на сделку с обвинением.

Злоумышленники проникли в базу данных D.A. Davidson & Co. в конце 2007 года, воспользовавшись методом SQL-инъекции. Кибератака была зафиксирована в логах на сервере, но их никто не удосужился просмотреть. Утечка обнаружилась спустя две недели, когда один из сообщников написал в компанию письмо с требованием заплатить взятку за молчание, а в подтверждение взлома предъявил украденные данные 20 тыс. клиентов. Только на этом этапе брокер обратился в правоохранительные органы и включился в начавшееся расследование.

В результате оперативно-розыскных мероприятий были идентифицированы четыре участника группировки, граждане Латвии. Трое из них осуждены, а четвертый еще находится под следствием.
 

unbreakable

Модератор
Награды
6
Центробанк, ФСТЭК и Роскомнадзор согласовали стандарт по защите персональных данных

Банк России (Центробанк) окончательно согласовал с ФСТЭК и Роскомнадзором свой стандарт по защите персональных данных. Теперь можно говорить о появлении единых для отрасли правил.

Если оператор персональных данных будет следовать этим рекомендациям, то, теоретически, у него не должно возникнуть никаких проблем с выполнением требований федерального закона 152-ФЗ "О персональных данных" (соответствующие проверки проводит Роскомнадзор). Правда, со своей стороны еще окончательно не согласовала документ ФСБ, однако договоренность со службой уже есть и одобрение документа должно произойти в начале следующей недели, заявил представитель Центробанка.

Напомним, что у операторов персональных данных, в число которых попадают банки наряду с операторами связи, больницами, ЗАГСами и т.д., остается полгода на приведение своих информационных систем, хранящих такую информацию, в соответствие с требованиями закона. В начальной версии ФЗ говорилось, что таким условиям информационные системы должны соответствовать уже с 1 января 2010 г., но операторскому лобби в конце 2009 г. удалось перенести срок на 1 января 2011 г.
 

unbreakable

Модератор
Награды
6
Арабский банкир создал невзламываемый шифр

Бывший банкир из Абу-Даби Мохаммад Гейт бин Махах Аль Мазруи разработал шифр, который, как он заявляет, невозможно взломать.

Шифр под названием "Код Абу-Даби" создан на основе группы символов, придуманных самим Аль Мазруи. В его коде каждая буква заменена специально изобретенным символом, и эти символы не принадлежат ни одному из известных в мире языков. Для работы над шифром, который Аль Мазруи называет "абсолютно новым", разработчику понадобилось полтора года.

По словам энтузиаста, создать свой собственный код под силу каждому, а сложность шифра определяет длина его ключа. Считается, что в принципе при наличии желания, определенных навыков и соответствующего программного обеспечения практически каждый, даже самый сложный шифр может быть взломан. Однако Аль Мазруи уверяет, что его творение не поддается взлому и является на сегодня самым надежным шифром. "Расшифровать документ, закодированный "Кодом Абу-Даби", практически невозможно", - уверен Аль Мазруи.

Чтобы доказать свою правоту, банкир бросил вызов всем незаурядным шифровальщикам, хакерам и криптографам, призывая их попробовать взломать его шифр.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху