Информационная безопасность *

Как сообщает Associated Press, в понедельник Дональд Керр (Donald Kerr), с октября занимающий пост Директора по Национальной Разведке в Администрации Президента США, заявил, что обществу необходимо пересмотреть определение такой важной демократической свободы, как тайна частной жизни. «Приватность больше не может означать анонимность», говорит Карр и добавляет, что защитой от попадания переписки и финансовой информации граждан в ненадлежащие руки должны заниматься не они сами, а правительство и бизнес. Конечно подразумевается, что руки ЦРУ и АНБ к ненадлежащим не относятся.

Перевод статьи с сайта rootkit.com

Преамбула

Антивирус Касперского — один из наиболее технически развитых антивирусов на сегодняшний день. Он даже может бороться с некоторыми типами руткитов, даже когда они живы и пытаются атаковать.

Он имеет Модуль Проактивной Защиты (Proactive Defence), представляющий из себя частичную реализацию HIPS, способную, в теории, защитить компьютер от неизвестных угроз, анализируя поведение программ и предотвращая несанкционированные действия.

Это всё теория и рекламные слоганы. В реальности же мы имеем совсем другую ситуацию. Существует много руткитов, которые вообще не обнаруживаются антивирусом, а его проактивная защита может быть подавлена таким образом, что атакующий может загрузить свой драйвер, после чего любая проактивная защита просто бесполезна.

Эта статья — не просто обзор ошибок и уязвимостей — в конце каждой части мы даём рекомендации разработчикам антивируса, потому что мы видим, что они не могут разобраться с этими ошибками самостоятельно. И для приверженцев сразу оговорка: конечно, все, что написано ниже — не критические уязвимости, нет-нет =) Всего лишь несколько простых методов получить BSOD при установленном KAV/KIS даже из под гостевого аккаунта, всего лишь методы обхода KAV/KIS… и так далее, в общем не принимайте слишком близко к сердцу.

Версия Касперского, про который пойдёт речь в этой статье — 7.0, последний публичный билд 125, тип продукта — Internet Security.

Очередную версию идеи альтернативных методов защиты информации паролем представили исследователи из Университета Ньюкастл. Они предложили заменить обычные буквенно-цифровые пароли графическими изображениями. Иными словами, пользователь вместо набора букв и цифр должен нарисовать (скажем, на дисплее КПК) какое-либо изображение.

Система защиты, получившая название Background Draw a Secret, при вводе такого пароля обращает внимание не только на то, что нарисовал юезр, но и на то, как он это сделал. То есть помимо верности введённых данных проверяется ещё и последовательность ввода каждого элемента картинки, а также некоторые другие нюансы, что значительно повышает надёжность защиты. Для некоторого облегчения задачи пользователь может вводить рисунок на фоне какого-либо изображения. Как утверждают авторы идеи, такой пароль практически невозможно (ну или во всяком случае очень трудно) подобрать, даже применяя брутфорс.

Разработка доктора Джеффа Яна (Jeff Yan) и студента Пола Данфи (Paul Dunphy) предназначена, очевидно, в первую очередь для смартфонов, коммуникаторов и UMPC, то есть для устройств с возможностью перьевого ввода. Правда, разработчики пока не знают, будет ли их идея в ближайшее время реализована в современных девайсах.

via New Launches

Только что получил письмо следующего содержания:

Уважаемый пользователь,

Согласно пункту 4.6.2.5. Соглашения об использовании Системы Яндекс.Деньги, Ваш счет заблокирован.
Необходима реактивация счета в системе.

Для реакцивации проследуйте по линку: money.yandex.ru/login.html

Либо свяжитесь с одним из наших операторов:
ООО ПС Яндекс.Деньги. 101000, г. Москва, ул. Вавилова, дом 40
тел.: +7 (495) 739-23-25
ООО ПС Яндекс.Деньги, Петербургский филиал. 191123, г. Санкт-Петербург, ул. Радищева, д. 39, тел.: +7 (812) 334-7750

Письмо сгенерировано автоматически, не отвечайте на него
С уважение, ООО ПС Яндекс.Деньги

Письмо прислано в HTML формате. При переходе по ссылке попадаешь на страницу сайта: pornos-de.com/money.ya.ru/Index.html, которая является точной копией главной страницы Яндекса. Ни в коем случае не вводите своих данных.

Будьте бдительны.

Российская компания «Элкомсофт» подала заявку на патент США с описанием метода подбора паролей путём параллельных вычислений на графических процессорах (GPU). По словам директора фирмы Владимира Каталова, с помощью карт GeForce 8800 Ultra можно повысить скорость подбора паролей в 25 раз. Даже на дешёвых 150-долларовых графических чипах пароли для Windows Vista взламываются за три-пять дней, хотя с помощью стандартной методики вычислений процесс занимает несколько месяцев.

Преимущество GPU перед обычными центральными процессорами состоит в том, что они способны осуществлять массивные параллельные вычисления. Они могут обрабатывать сотни тысяч блоков информации одновременно, тогда как центральный процессор решает задачи в строгой очерёдности, одну за другой.

Компания NVidia выпустила средства разработки для своих процессоров в феврале 2007 года. С помощью инструментов из пакета NVidia CUDA можно писать программы, которые напрямую обращаются к графическому процессору.

via New Scientist

Известный журналист и киберпанковский писатель Брюс Стерлинг был очень впечатлён тем, что произошло в Эстонии пять месяцев назад, когда компьютерная инфраструктура этой маленькой страны подверглась мощной DDoS-атаке. До сих пор не совсем понятно, что тогда произошло, но эксперты продолжают обсуждать этот беспрецедентный случай, который называют первым в истории примером полномасштабной киберагрессии против целого государства.

Что же произошло в апреле-мае 2007 года? Брюс Стерлинг имеет свою версию. На одной своих лекций в Корейском университете он рассказал, что исполнителем DDoS-атаки, скорее всего, является российская хакерская группировка «Желатин» (Zhelatin). Что самое интересное, эта маленькая войнушка — лишь слабенькая демонстрация возможностей крупнейшего в мире ботнета, подконтрольного «Желатину». Истинные возможности этого «оружия» нам ещё предстоит узнать в будущем, ну а мишенью может стать кто угодно, даже целая страна.

Специалисты сообщают о необычном поведении операционных систем Windows XP и Vista в последние дни. Некоторые из них по команде посреди ночи начали обновлять системные файлы в обход традиционной процедуры автоапдейта. Причём файлы обновлялись даже в том случае, если в системе отключена функция автоматического обновления. Программа Windows Update (WU) взяла на себя все полномочия и без всяких диалогов с пользователем самостоятельно заменила девять файлов.

Вообще говоря, это очень многозначительное событие. Если Microsoft сделает принудительную процедуру обновления стандартной, то нам придётся пересмотреть всю стратегию безопасности для персональных компьютеров. Такой самообновляющийся компьютер уже нельзя назвать полностью подконтрольным своему хозяину.
Конечно, Microsoft делает это в целях безопасности самих юзеров, но такое отношение к пользователям как к стаду баранов довольно оскорбительно. Кроме того, реализуя подобную процедуру глобального обновления систем в гомогенной среде, компания сама становится источником потенциальной опасности.

Примечание: ниже представлен перевод заметки «Exploiting the iPhone», в которой раскрываются некоторые детали не так давно обнаруженных и уже исправленных уязвимостей в iPhone и предлагается пара практических советов по избежанию их в будущем.



Обновление: Apple выпустила обновление, которое устраняет обнаруженные уязвимости. Чтобы узнать подробности обнаружения одной из уязвимостей, просто зайдите в наш блог.

Подробности на BlackHat: Charlie Miller представил детали эксплоита на BlackHat, прошедшей в Лас-Вегасе 2 августа. Эта презентация также доступна по этому адресу.

Предварительное техническое описание: предварительный документ, описывающий атаку, доступен по этому адресу. Полная версия ожидается после 2 августа (прим.: по всей видимости, ее так и не выложили).

Статья в New York Times: история о проделанной работе была опубликована в New York Times.

Рейд массивы.

1. Неправильные действия администратора

Работа рейд массива 5 уровня без одного диска.

Использование рейд массива 0 уровня (страйп) без создания копий или зеркалирования (рейд массив 1 уровня).

Правка рейда без предварительно созданных посекторных копий жестких, входящих в рейд.

Отказ от использования устройств резервирования

Отсутствие антивирусной защиты или любой другой защиты от внешнего воздействия.

Отсутствие контроля работоспособности оборудования и работ по поддержанию работоспособности.

Случайные ошибки.

Домен gmodules.com, использующийся для хостинга гаджетов Google может быть использован фишерами, считает исследователь безопасности и исполнительный директор SecTheory Роберт Хансен (Robert Hansen).

Хансен заявил, что gmodules.com может быть использован фишерами для обхода антифишинговых фильтров. Злоумышленник может создать фишинговый сайт на домене gmodules.com, после чего отправить жертве ссылку на него. Поскольку домен gmodules.com, будучи принадлежащим Google, является доверительным, антифишинговые фильтры его пропускают и жертва попадает на «левый» сайт.

Роберт Хансен, частый критик Google, сообщил об этой проблеме команде безопасности компании, но те сказали, что повода для беспокойства нет. Недовольный беседой Хансен говорит, что «если они оставят всё как есть, он гарантирует, что это будет использоваться в [фишинговых] атаках».

Пять из восьми основных серверов Ubuntu были вручную остановлены, когда с них началась мощная атака на другие серверы в интернете. Очевидно, что оборудование Ubuntu стало инструментом в руках неких злоумышленников.

Спонсор Ubuntu, компания Canonical, обвиняет в происшедшем коммьюнити активистов Ubuntu, на попечении которых находились взломанные серверы (остальные серверы находятся в дата-центре Canonical и с ними всё нормально). Как показало расследование, на «общественных» машинах не производился надлежащий апгрейд программного обеспечения. Однако, активисты отвечают, что апгрейд ядра на серверах был невозможен, потому что он якобы не поддерживался на аппаратном уровне (нестандартные сетевые карты). То есть виновата компания Canonical, которая предоставила «неправильные» карты.

Взломанные серверы работали на старой версии Ubuntu от октября 2005 года (ядро Linux 2.6.12.6). На серверах не были установлены последние патчи безопасности, а также был разрешён чистый FTP (без SSL). Именно через FTP злоумышленники проникли в систему.

На хакерской конференции Black Hat в этом году было много интересных докладов и презентаций. Например, один из докладов был посвящён перехвату личных данных, которые передаются по беспроводной сети WiFi. Взлом основан на считывании cookies, так что этой уязвимости подвержены любые современные веб-сервисы, включая почтовые службы Gmail и Yahoo Mail.

Роб Грэм, исполнительный директор хакерской компании Errata Security лично продемонстрировал, как работает сниффер. Он функционирует следующим образом: анализируя трафик, программа вычисляет «кукисы», которые используются для авторизации сессий. Копируя их на свой компьютер, злоумышленник получает возможность зайти на тот или иной веб-сайт от имени жертвы.

Сегодня и завтра в Лас-Вегасе, в Caesars Palace, пройдут открытые сессии конференции Black Hat. На ней будет, в частности, рассказано о новых уязвимостях в Mac OS X Leopard и Windows Vista (коих набралось порядка двадцати) и инструментах для взлома.

Среди докладчиков окажутся и вполне «приличные» люди (их достаточно много и среди простых участников) — Ричард Кларк, бывший советник Джорджа Буша по вопросам инфобезопасности, и Тони Сэйджер, эксперт по уязвимостям из Агентства национальной безопасности США. Последний представит доклад, посвященный разработке государственных стандартов безопасности для бизнес-использования. В четверг выступит Брюс Шнайер, который расскажет о психологии безопасности.

Кроме того, на конференции будут вручены призы Pwnie Awards — это аналог «Оскара» в области информационной безопасности.

via ZDNet

Электронная система голосования, которую планируется внедрить для проведения выборов в президенты Соединённых Штатов, не прошла «тест на прочность».

Специалисты, которым были предоставлены для тестирования исходные коды и другая документация, а также доступ к аппаратной части (поставками машин занимаются компании Sequoia, Hart InterCivic и Diebold), смогли обойти защиту и поменять имена кандидатов в президенты страны.

Результаты «взлома» будут учтены, причем произвести все усовершенствования нужно в достаточно краткие сроки — выборы назначены на 4 ноября 2008 года.

via SFGate.com

Российские программисты из DTC (Dream Coders Team) говорят, что никак не связаны с криминальным миром, который использует их программу MPack, появившуюся год назад на просторах интернета. Сейчас этот комплект PHP-скриптов и эксплоитов стал чрезвычайно популярным для автоматизации деятельности по заражению компьютеров и управлению ботнетов. Однако программисты говорят, что повышенное внимание прессы может заставить их прекратить продажу продукта.

Об этом в ICQ-интервью онлайновому изданию SecurityFocus заявил один из представителей команды, пожелавший остаться неизвестным. По его словам, в DCT работают три программиста из России, а также несколько фрилансеров из других стран, которые всего лишь делают бизнес: покупают свежие эксплоиты по цене, доходящей до $10 тыс., обновляют свою программу. Дабы убедить читателей в непричастности Dream Coders Team к криминальному миру, таинственный собеседник обратил внимание, что российским законодательством запрещен выпуск злонамеренных программ.

В интернет-мессенджерах Yahoo! Messenger и Trillian были обнаружены критические ошибки, используя которые, хакер-злоумышленник может осуществить выполнение программного кода на атакованной машине. Таким образом можно «посадить» на пользовательский компьютер спам-бота или троянца, использовав ошибку переполнения буфера.

Компании-разработчики (Yahoo и Cerulean) пока что не прокомментировали это событие. Не было выпущено и «заплаток» для устранения данных уязвимостей.

В связи с инцидентом выразила обеспокоенность организация US-CERT, опубликовавшая официальное сообщение, в котором сказано, что уязвимость обнаружена в Trillian 3.1.6.0, и ей присвоен статус «highly critical».

via InfoWorld

Антивирусная компания McAfee разработала весёлый онлайновый тест McAfee SiteAdvisor Phishing Quiz, с помощью которого каждый может проверить свои «антифишинговые» способности. Сможете ли вы отличить настоящий сайт от его копии-фейка?

Что интересно, все фейковые копии сайтов взяты из реальных случаев мошенничества: это подделки под MySpace, PayPal, Bank of America и т.д. В каждой из них настоящий сыщик найдёт свидетельство подделки, будь то ошибка в дизайнерском оформлении, отсутствие буквы или знака препинания.

Двое неизвестных похитили полторы тысячи долларов из банкомата, расположенного в одном из магазинов в Пенсильвании, используя обычную инструкцию от денежного аппарата.

Любой, кому попадёт в руки этот документ, узнает, что стандартный пароль на доступ ко всем функциям банкомата — это «123456» (в том злосчастном банкомате пароль не был изменён и действовал со дня его установки). Использовав это знание, преступники перепрограммировали банкомат так, чтобы он выдавал двадцатидолларовые купюры вместо однодолларовых.



Владелец магазина, который закладывал в денежную машину эти самые купюры (у нас это делается как минимум под присмотром автоматчика), заявил, что он далёк от техники, и его дело — положить деньги и посмотреть выписку в конце дня.

Полиция занимается этим делом с июня нынешнего года, но результатов расследование пока не дало.

via Threat Level Blog

Не только Apple, AT&T и создатели аксессуаров пользуются всеми прелестями ажиотажа вокруг iPhone. Вирусописатели и мошенники тоже нашли способ, как можно поживиться в данной ситуации. Они уже успели создать ботнет из пользователей, которые хотели прикупить себе новый «чудо-девайс» от Apple.

Компания PandaLabs обнаружила на этой неделе ботнет из 7,5 тыс компьютеров (число постоянно растёт), инфицированных трояном с названием Aifone.A. Пользователи ПК, которые пытались приобрести iPhone с сайта iphone.com, принадлежащего Apple, переадресовывались на подставной сайт, имитирующий сайт iPhone. Если пользователи заказывали iPhone через этот подставной сайт, то информация о банке или кредитной карты попадала в руки мошенников.

Спамерам удалось обмануть капчу на почтовых сервисах Yahoo и Hotmail. Компания BitDefender сообщила об обнаружении троянской программы Trojan.Spammer.HotLan.A, который действительно не смущается, обнаружив нарисованную на экране картинку с искажёнными цифрами и буквами.



Появление этого троянца компрометирует CAPTCHA как систему, и почтовые системы Yahoo и Hotmail — это лишь «первые ласточки», за которыми могут последовать другие инциденты. Скорость работы Trojan.Spammer.HotLan.A довольно высока — в час он регистрирует порядка 500 почтовых аккаунтов, с которых рассылается спам.

via TECH.BLORGE.com