Информационная безопасность *

Специалисты по безопасности рассказывают об интересной уязвимости в системе защиты Google, которая позволяет узнать настоящее имя и фамилию человека, под которыми он открыл Google Account. Для этого достаточно знать всего лишь его адрес электронной почты.

Делается это так: в «Календаре» в меню «Добавить» выбираете «Добавить календарь друга», затем на вкладке «Календари друзей» вводите его адрес, жмёте кнопку «Добавить» и «Сохранить». Когда вы потом вернётесь в это меню, там уже будет указано имя и фамилия искомого человека (если у него есть календарь). Так хакеры-экспериментаторы вычислили, кто скрывается за адресом admin@gmail.com (см. скриншот).



via SecuriTeam

На днях я наткнулся на блог разработчиков Outpost, в котором, помимо «пресс-релиза» о выходе новой линейки продуктов, нашлось и, на мой взгляд, довольно-таки интересное исследование — разработчики в «лабораторных» условиях сравнивали функциональность модулей проактивной защиты (читай, механизмов, которые пытаются угадать, что тот или иной компонент системы является вирусом/кейлогером/трояном и т.п.).

Возвращаясь к вопросу о наличии/отсутствии/популярности вирусов/троянов под набирающую свои обороты среди наших граждан ОС Macintosh, можно лишь сказать, что по данным Лаборатории Касперского за июнь в Top-20 попали два зловреда под Mac.
Данные можно посмотреть здесь: www.kaspersky.ru/news?id=207732762

Остается отметить, что конкуренции среди антивирусов под эту ОС пока нет. ЛК имеет пока только альфа-версию, Norton уже коммерческую.

Но первый звоночек уже есть.

Компания Check Point Software Technologies, производитель популярного файрвола ZoneAlarm, сообщила, что многие пользователи файрвола оказались полностью отрезаны от интернета после установки последнего патча в системе Microsoft Update. Данный патч закрывает дыру, связанную с серьёзнейшей уязвимостью в протоколе DNS, о которой стало известно два дня назад.

Уязвимость в протоколе DNS оказалась настолько серьёзной, что подняла на уши всех специалистов по безопасности, имеющих отношение к интернет-технологиям. Если срочно не пропатчить DNS-сервера в интернете (а они до сих пор непропатчены), то гипотетический злоумышленник, изменив DNS-таблицы, может без проблем перенаправить запрос к любому серверу на любой другой сервер (например, вся почта пользователя может перенаправляться на сайт злоумышленника, а уже оттуда адресату), причём совершенно незаметно для пользователя. Правда, за прошедшие пару суток злоумышленники пока не успели среагировать но обнаружение новой дыры (они наверняка работают над этим прямо сейчас).

Компания Microsoft оперативно выпустила апдейт KB951748 (MS08-037) для операционных систем Windows 2000, XP и Server 2003, который вносит изменения в систему Windows Domain Name System (DNS). Однако, если пользователи файрвола ZoneAlarm, у которых в настройках стоит «высокий» уровень безопасности, установят этот патч, то у них полностью пропадёт возможность соединения с интернетом. Пока проблема не решена, Check Point рекомендует пользователям удалить этот патч из системы, скачать новую версию файрвола или снизить уровень безопасности в файрволе до «среднего».

В протоколе DNS была обнаружена практически используемая дыра. Не в каком-то конкретном клиенте, но в самом протоколе. Причём известна-то она была давным-давно, но все «эксперты» сходились на том, что «ну в теории это — может и проблема, но на практике это использовать невозможно». Но не так давно был изобретён способ практического использоваться «cache poisoning» — и это спутало все карты. Похоже, что это — очередное испытание Интернета на прочность: планируется «largest synchronized security update in the history of the Internet», в котором должны будут участвовать десятки вендоров (что не так страшно) и сотни и тысячи ISP (а вот это уже страшнее — многие из них очень халатно относятся к обновлению ПО на серверах).

На настоящее время информации в публичном доступе немного. Есть интервью с человеком, который обнаружил уязвимость, есть сайт на котором вы можете проверить — используется ли ваш компьютер уязвимый DNS или нет (на самом деле, конечно, будет проверен не ваш DNS, а DNS, которым пользуется ваш proxy-сервер).

Также есть некоторая информация о возможных последствиях: злоумышленник может заставить кеширующий DNS-сервер считать что любой сайт в Internet находится где угодно. Какие перспективы для злоупотреблений это открывает мне, я надеюсь, объяснять не нужно (что будет если SMTP-сервер вашего партнёра научат отсылать вашу почту не сразу к вам, а на сайт злумышленника — а оттуда уже к вам?).

Дэн Камински обещал опубликовать подробности на пресс-конференции 6го августа, но предполагается что к тому времени (на основе опубликованных патчей) она будет уже известна многим (и не все эти люди будут носить «белые шляпы»).

Такие дела. Большая часть новостных сайтов трубят о том, что «закрыта фундаментальная уязвимость», но вот первое слово — тут явно по ошибке. Не «закрыта», а «закрывается» и когда она будет «закрыта» окончательно — одному богу ведомо.

P.S. Для тех кто в танке: речь не идёт о теоретических изысканиях в вопросе уязвимости DNS-протокола (про это говорили ещё два года назад). Речь идёт о практическом использовании данной узявимости — причём с вероятностью успеха достаточной для того, чтобы засуетелись крупные фирмы типа Cisco, Microsoft (не говоря уже о Linux-вендорах).

P.P.S. Обнаружил что про это уже писали, но так как то был топик ссылка, то, похоже, никому не захотелось даже прочить статью, на которую вела ссылка. Все дружно отплюсовали комментарии типа «боян», «фигня», «практически это использовать нельзя» и т.п., после чего успокоились. «Боян» это или «фигня» мы точно узнаем только 6 августа, а пока — для меня является достаточным критерием тот факт, что все известные мне системы были срочно обновлены вчера-позавчера. Не «два года назад», не «месяц» назад, а «буквально на днях». Что-то же заставило кучу вендоров это делать? Или они все борются с ветряными мельницами?

Несколько дней назад в газеты попала история о том, что госслужбы в очередной раз потеряли жёсткий диск с приватной информацией граждан. На этот раз отличилась шотландская скорая помощь: она отправила своему подрядчику HDD, на котором были записи о 800 тыс. вызовах скорой помощи, адреса, телефоны и имена пациентов. Диск со столь ценной информацией был отправлен через почтовую службу TNT, и его потерял курьер при транспортировке.

Однако, в отличие от всех предыдущих случаев, сейчас никто совершенно не волнуется по поводу пропажи диска. Дело в том, что вся информация на диске была зашифрована и защищена паролем.

Это уже определённо нечто новенькое, пишет Брюс Шнайер в своём блоге. Госслужбы определённо начинают учиться. В самом деле, зашифрованный диск (если всё сделать правильно) совершенно не страшно потерять и можно пересылать даже обычной почтой, да хоть в руки врага — он ничего не сможет извлечь оттуда.

После нескольких лет тестирования компания Google всё-таки готова выкатить очень полезную (в плане обеспечения безопасности) доработку к почтовому сервису Gmail: это отслеживание открытых сессий и полная статистика по истории подключения к аккаунту.

Отслеживание открытых сессий работает так: если вы на одном компьютере забыли выйти из почтового ящика, и зашли на него с другого компьютера, то появляется предупреждение с указанием IP-адреса «забытой» сессии.



При этом вы можете закончить сессию в удалённом режиме. В некоторых случаях (если вы работали в интернет-кафе и там отключили свет) это реально позволяет с другого компьютера защитить свои данные, закончив сессию удалённо.

Это ещё не всё. Если нажать на ссылку “Detais”, то Gmail показывает подробнейшую статистику по типам и IP-адресам последних подключений к вашему аккаунту: IP-адреса и используемые протоколы, а также точное время входа в почтовый ящик.

При запросе на аутентификацию (запрос клиентом страницы ввода логина/пароля), сервер генерирует псевдослучайное число, которое сохраняет у себя в БД, а также передает клиенту. Это число — идентификатор сессии логина и его время жизни ограничено, например 5 минутами. За это время клиент должен успеть аутентифицироваться в системе. На основании пароля, введенного клиентом, и полученного псевдослучайного числа средствами Java Script генерируется хэш, который отправляется на сервер вместе с самим идентификатором и логином пользователя. На сервере происходит поиск идентификатора в базе, если он успешен, по логину из базы извлекается пароль и высчитывается хэш-функция от пароля и идентификатора (того самого псевдослучайного числа). Если хэши совпадают, логин успешен. Идентификатор из БД удаляется.

Реализация MD4, MD5, SHA-1 на Java Script

В новой версии пакета программ Kaspersky Internet Security 2009 появится простой, но при этом инновационный (в антивирусах такого еще не было) способ защиты от кейлоггеров: виртуальная клавиатура.

Предназначена виртуальная клавиатура для того, чтобы пользователи вводили свои конфиденциальные данные не с обычной клавиатуры, а с экранной. Таким образом, вредоносное ПО, перехватывающее нажатия клавиш через драйвер, останется не у дел.

Помимо этой «диковинки» в новом Касперском появится возможность ограничивать работу с внешними носителями и инструмент iSwift для уменьшения затрачиваемого времени на проверку файлов (проверка контрольных сумм).

Продукты Internet Security 2009 и Anti-Virus 2009 должны появится в продаже уже в июле.

via Infoworld.com

Журнал Wired сообщает о прошедшем в прошлый четверг в Палате представителей США слушании, посвященном дальнейшей судьбе самого амбициозного в современной истории проекта тотальной слежки за потенциальными террористами. Так называемый Аналитический Центр Службы Национальной Безопасности (NSBAC или, чаще, NSAC) не получил от парламента дальнейшего финансирования в объеме $11 млн., на которое очень надеялось создавшее его ФБР. Центр — идейный преемник изрядно нашумевшей осенью 2002 года программы «Тотальная Информационная Осведомленность» (TIA, логотип слева), целью которой был сбор сведений личного характера буквально обо всех жителях планеты в реальном времени.

Газета «Вашингтон Пост» опубликовала очень интересную статью об использовании хайтека сотрудниками террористической организации «Аль-Каида». Речь идёт не только о самом современном компьютерном оборудовании, ноутбуках Sony, цифровых видеокамерах и стойкой криптографии с помощью программы PGP, но и об уникальных методах онлайновой пропаганды. Некоторые из них являются ноу-хау в области взлома социальных сетей. Фактически, «Аль-Каида» воспринимает западное общество, живущее в плотном информационном поле, как одну большую, тесно переплетённую, социальную сеть и умело манипулирует ею с помощью тщательно продуманных воздействий, в том числе используя YouTube, Википедию и проч.

Наглядный пример манипуляций — действия одного из руководителей организации Аймана Завахири, за голову которого американцы дают $25 млн. Неизвестно, где скрывается Айман, однако он периодически даёт онлайновые интервью и отвечает на вопросы, которые ему присылают через интернет. После начала этой акции в декабре прошлого года террорист получил 1888 вопросов от журналистов и простых граждан. Он старательно отвечает примерно на пятую часть вопросов, в том числе на враждебные. Естественно, такой пиар даже от врага даёт потрясающий эффект в условиях свободного западного общества, которое не может блокировать контрпропаганду. Интервью с врагом публикуют даже национальные СМИ.

На самом деле «Аль-Каида» развернула очень бурную деятельность за последние годы: например, они снимают кучу документальных фильмов, в том числе выкладывают версии для iPod’ов и мобильных устройств. За прошлый год отснято 97 оригинальных фильмов: в шесть раз больше, чем в 2005 году. Одним из шедевров террористической пропаганды стал 80-минутный документальный фильм “The Power of Truth”, вышедший в сентябре прошлого года. Даже западные эксперты признают мастерство его создателей.

Организация Black Hat впервые в своей истории организовала серию онлайновых семинаров. Вчера состоялся первый такой семинар. На нём можно было увидеть предварительные 10-минутные презентации докладов, которые будут в полном объёме представлены на ежегодной хакерской конференции 6-7 августа в Лас-Вегасе.

На первом семинаре рассмаитривали пять докладов. Один из них был посвящён выявлению вредоносного ПО в почтовом трафике в реальном режиме времени. На конференции уже покажут работающий софт. Затем Фёдор Васкович, один из основателей проекта Honeynet и автор сканера NMAP, рассказал о ходе проекта WorldScan Project по сканированию всего интернета с помощью своей утилиты. Они уже закончили сканирование, а в августе подробно расскажут о результатах. Кроме того, хакеры-исследователи рассказали о методах атаки в социальных сетях (в качестве площадки для атаки используется UGC-контент и социальные приложения), о вредоносных куках в системах Веб 2.0, а также о том, как в компании Microsoft происходит выпуск патчей: процедура описана во всех подробностях от выявления дыры до выпуска патча на примере последнего апдейта MS Office.

Мероприятие «посетили» более тысячи человек. Для начала неплохо, а в будущем организаторы планируют разнообразить подачу материала, подключить редакционный календарь и проводить семинары не реже раза в месяц. Кроме того, будут организованы онлайновые курсы обучения.

Из-за разницы во взглядах маркетологов и специалистов по информационной безопасности на защиту и распространение клиентской информации персональные данные клиентов подвергаются риску.

На днях были опубликованы результаты исследования Ponemon Institute, сделанного по заказу одного из лидеров рынка e-mail маркетинга StrongMail Systems, которые показывают насколько велика разница во взглядах маркетологов и специалистов по информационной безопасности на вопросы защиты клиентской информации и персональных данных в ходе проведения электронных рассылок (email marketing). Было опрошено 498 специалистов по безопасности и 713 маркетологов в мае 2008 г. В среднем опыт опрошенных в указанной сфере составил 9 лет и обе группы отвечали на идентичные вопросы о маркетинговых мероприятиях, политиках защиты персональных данных и случаях потери данных.

Все наверное знают, что есть очень много разных способов угрозы безопасности. Их действительно достаточно, сколько их узнаете прочитав под катом.

Специалисты по безопасности обращают внимание на одну из самых привычных и естественных функций браузера: информацию о посещённых ссылках в браузере. Как известно, после посещения ссылки и перезагрузки страницы ссылка меняет цвет. Так вот, эту информацию можно очень легко снять с помощью специального скрипта. Опасность подобной атаки часто недооценивается.

Владелец сайта может легко посмотреть, какие ссылки вы уже посетили раньше. Для этого он может даже специально внедрить невидимые ссылки на странице, снимая информацию скриптом. Например, он может проверить, ходили ли вы на сайт конкурента, отметить этот факт в cookies и даже изменить для вас контент сайта соответствующим образом. Конечно же, это явное нарушение приватности. И тем более неприятно знать, что приватную информацию о вас так легко может узнать кто угодно. Разработчики Mozilla обратили внимание на такую опасность ещё в 2002 году, но не придумали, что можно сделать.

Конечно, никто не оспаривает удобство функции для самого пользователя. На самом деле, все мы давно привыкли к ней. Кроме того, владельцы сайта могут применить фантазию и использовать удалённый съём информации из чужого браузера для более качественной фильтрации своего контента. Например, можно не ставить кнопки на некоторые социальные сайты, если пользователь уже ходил по этим ссылкам. Но даже в этом случае законность подобных действий вызывает сомнения.

описание самого вируса
первые жертвы
посвященный вирусу форум

Обновляйте базы, делайте бэкапы — лично у меня подозрение что это только начало…
Плохо то, что сам ключ достаточно мощный — в данном случае криптография работает против конечного пользователя. Потому и вызывает сомнение успех Stop Gpcode в попытках взломать его. Хотя это скорее рекламная акция (а.к.а. «вирусный маркетинг» ;) ), так что шум без конкретного результата там только на пользу. Тем более что стиль общения на форуме как-то странно модерируется. Как только начинаются уточняющие вопросы или обсуждения недомолвок — топик быстро прикрывается.

Обновленно:
На форуме появилось сообщение про сам зашифрованный файл. Кто хочет — может поиграться.
Зачем Касперский так усиленно лезет в криптографию — для меня пока загадка.

Ну а вот статья на Хабре 2 года назад.Но это про старую версию вируса.

Гуру криптографии, разработчик шифров Blowfish и Twofish, Брюс Шнайер в своём блоге рассуждает на интересную тему: почему, при всём недоверии к документам, передаваемым по электронной почте, многие организации доверяют подписям на факсах? Ведь это самое странное, что можно только придумать. В самом деле, подделать их не составляет никакого труда: достаточно вырезать кусочек одной бумажки, наклеить на другую — и отправить по факсу. Для этого не нужно ничего, кроме ножниц и клея. Справиться может даже ребёнок. Факсы настолько слабо защищены от подделок, что если подумать — странно, что в наше время кто-то вообще принимает их.

Брюс Шнайер говорит, что сам он неоднократно отправлял по факсу различные документы, в том числе контракты на книгу, банковские документы на авторизацию кредитной карты, соглашения о неразглашении и т.д. «Просто удивительно, как организации иногда стремятся воспринимать в качестве верифицированных эти низкокачественные, неверифицированные сканы, которые передаются по общедоступным линиям связи, если они наотрез отказываются принимать ту же информацию в виде сканов высокого разрешения по (относительно безопасной) электронной почте», — удивляется Брюс Шнайер.

ESET NOD32 получил 50-й сертификат VB100% английского журнала Virus Bulletin, практически серебряная свадьба нежно любящих друг друга супругов, и Advanced+ от австрийской лаборатории Андреаса Клименти AV-Comparatives — и все за три дня…

Честно говоря, оперативность, с которой доходят до сообщества отраслевые новости, иногда оставляет желать лучшего. Собственно, потому пост, строго не судите.

По роду деятельности в разных собственных проектах мне приходится заниматься одновременно и win/web-программированием, и дизайном, 3d-анимацией, администрированием своих серверов. А еще пользоваться вебманями, серфить, качать ключики с опасных сайтов, ставить и тестить различный сомнительный софт и пр. Очень часто подключаю к компу всякие новые девайсы.

Если все это делать в одной инсталяции виндов, рано или поздно она отупеет и придется переустанавливать все заново. Так же можно неаккуратно подцепить какого-нибудь троянчика или вирус (хотя в моем случае маловероятно).

На фоне общей паранойи по it-безопасности нашел для себя прекрасное решение — использование разных виртуальных машин под каждый конкретный спектр задач.

Как сделано у меня:

Все, думаю, уже слышали про спам-рассылки со ссылками якобы на сайт odnoklassniki.ru. Так или иначе, но при переходе по этим ссылкам пользователь оказывался на странице с вредоносным JS-кодом. Вариантов такого кода может быть масса. Что было в первой волне спама — не знаю, расскажу что было в второй.

Дважды шифрованный (наверное даже одинаковым способом) Java-Script-код. После расшифровки получали скрипт, эксплуатирующий сразу 8 (Восемь) различных уязвиместей в ActiveX. Ниже перечень использовавшихся уязвимостей:
MS06-014 — 2006 год. До сих пор активно используется. Наложение патчей и обновлений — это хорошо!
CVE-2006-3730 — тоже 2006 год.
CVE-2005-2127 — 2005 год, а до сих пор используют.
CVE-2008-0659 — 2008 год, свежак! Уязвимость в ActiveX компоненте для загрузки картинок. Насколько я понял, оный компонент широко распространен среди пользователей MySpace.
CVE-2008-0623 — 2008 год. Yahoo! Music Jukebox
CVE-2006-5820 — 2006 год. Компонент от AOL.
CVE-2006-4446 — 2006 год.
Два непонятных ActiveX-объекта.

Советы: отключить использование ActiveX. Да, в Adobe Flash тоже недавно нашли уязвимость. На крайний случай — включить только и то и там, где вам надо. Отключить JS везде, где он вам не нужен. Ставить все-таки патчи и отновления на ПО: ведь в самом худшем случае только половина из представленного списка — уязвимости 2008 года.