Информационная безопасность *

Недавно мне пришло письмо примерно следующего содержания:

Уважаемый Х. Ваша кандидатура очень нас заинтересовала, поэтому мы бы не прочь познакомиться поближе. Предварительно вам нужно скачать наш фирменный бланк резюме resume.exe, заполнить его, и отослать нам обратно. С уважением, сетевые злодеи.

Что характерно, линк на резюме был именно так и написан. resume.exe (не кликайте, ссылка для примера). Они вообще, что ли?

Скачиваем, смотрим. Файл размером 159744 байтов, на первый взгляд запакован. Касперскому программа знакома под именем "Trojan.Win32.Srizbi.v".

Здраствуйте, ваш сайт и информация вашего сайта подверглась взлому групой хакеров пока мы не придпринимаем ни каких действий, но если вы не примети наши условия нам предется принять свои меры, вы должны понимать всю серьёзность этой ситуации… мой совет сохронить авторитет вашей фирмы… наши условия всего 20 000$ ваш ответ ждём 3 дня после получения вами этого письма время пойдёт… не пытайтесь нас отследить используем подставные пароли и почты!

Вот такое письмо с подписью «Серёга Микалин (mikalin[]bk.ru)» было получено сегодня редакцией одного из моих проектов (ссылку убрал. А то любое упоминание проекта теперь воспринимается как пиар). Орфография и пунктуация автора сохранены.

Кто нибудь еще получил что-то подобное?

Сразу две публикации привлекли сегодня мое внимание. И пусть одна аж за 30 апреля, но кто нынче читает CW?

Итак, "Форпост против вирусов" by спецкор открытых систем в Питере Дмитрий Желвицкий, и "Интервью с Михаилом Пеньковским, Коммерческим директором компании Agnitum" на нежно любимой мною анти-малваре.

Что стоит отметить? Анонс антивируса Agnitum прошел без пресс-помпы, «Официальное представление новинки произошло после первого месяца ее продаж через Internet и приурочено к выпуску коробочной версии». Стоимость годовой лицензии — 499 рублей, при этом «Agnitum готов повысить цену, если это попросят сделать дистрибьюторы. Это касается как русских, так и иноязычных версий».

На Security@Interop — событии, совершенно незаслуженно обойденном вниманием многих ИБ-шников, можно было взять пилотный (апрельский) номер журнала C'T-Россия, что я с радостью сделал. Теперь он ходит по рукам всей компании.

Нашлось в C'T очень интересное и вдумчивое сравнительное тестирование 15 антивирусных программ. Руки дошли наконец до «обработки» этого очень «вкусного» контента. Приведу здесь только вводную часть про методологию и выводы. Это-то и есть тот самый будет комплексный анализ, на основании которых в последнее время модно (а теперь и можно) ругать или хвалить продукты разных вендоров.

Считаю, что для команды нового журнала о компьютерной технике проведение настолько комплексного теста — это большая заявка на лидерство, ведь тесты не хуже тех, что проводит Нейл Рубенкинг из PC Magazine USA. Теперь есть что почитать и в России — сделанное своими руками тестирование, человеческим языком описанное и беспристрастно поданное, что вместе является «фишкой» C'T. Настоятельно рекомендуется перенять Сергею Ильину с Anti-Malware.ru.

Понравились мне и слова главреда про аудиторию и миссию журнала (цитата):
Мы не занимаемся ерундой. Мы делаем самый профессиональный компьютерный журнал в России… для тех, кому нужна честная и правдивая информация.

Респект Павлу Шошину, автору обзора, и главреду Андрею Кокоурову, перешедшим из CHIPа. У меня раньше не было такой уверенности в их профессионализме, но, как оказалось, в CHIPе все решал формат «easy reading», на который в последнее время слишком многие СМИ и тестлабы давят.

В общем, дифирамбы журналу я отпел, можно переходить ко чтению. :)

Основатель независимого портала Anti-malware.ru, сотрудник компании «Лаборатория Касперского» Илья Шабанов, работающий под псевдонимом Сергей Ильин, объявил о разрыве отношений с компаниями ESET и LETA.

Интересно, что как Сергей Ильин, Илья Олегович вел переговоры с тестовыми лабораториями за рубежом, с целью заключения стратегических союзов для проведения совместных тестирований. По поводу этих попыток и несостоявшегося союза Андреас Клименти, AV-Comparatives, высказался в своем блоге, прозрачно намекая на аффилированность ресурса.

Работа на одного из вендоров не мешает Илье Олеговичу Шабанову считать себя независимым экспертом, давайть оценки рынка, тестировать антивирусное ПО Лаборатории Касперского и конкурирующих компаний.

В общем, криминала нет, но, учитывая известность портала и тот факт, что оценки Anti-malware.ru цитируются ведущими СМИ, вопрос о «независимости» самого ресурса, и непосредственно его основателя, не является, на мой взгляд, внутренним делом Олега Шабанова и ЛК.

В этой истории радует только одно — в стране еще остаются люди, способные на масштабную мистификацию.

Подробная дискуссия с участием представителей всех вендоров на форуме ресурса

Худшие опасения о том, что в Windows встроены «бэкдоры», а через них можно нештатными методами обойти встроенную защиту, похоже, начинают сбываться. Стало известно, что при помощи специалистов Microsoft для полиции разработаны специальные USB-устройства COFEE (Computer Online Forensic Evidence Extractor), с помощью которых можно в течение нескольких секунд снять с компьютера всю конфиденциальную информацию, включая историю сёрфинга, зашифрованные пароли и другие приватные данные. В статье говорится, что на такой флэшке находится автоматизированная программа для запуска 150 «стандартных» команд, но в то же время сообщается, что пароли записываются в расшифрованном виде. Пока неясно, можно ли считать такой девайс «ключом к бэкдору» или же там обычная программа, которую может написать каждый программист.

Так или иначе, но корпорация Microsoft раздала уже около 2 000 таких устройств бесплатно для полицейских спецподразделений в 15 странах, в том числе в США, Польше и Германии. Вполне возможно, что в России тоже.

С точки зрения оперативно-разыскной работы главным достоинством таких устройств является то, что во многих случаях отпадает нужда конфисковать компьютер целиком, ведь в процессе этой операции могут быть потеряны ценные данные, да и лишние трудозатраты совсем ни к чему.

В интернете распространяется эпидемия нового вируса, который эксплуатирует уязвимость в популярном веб-сервере Microsoft Internet Information Server. С заражённых сайтов осуществляется редирект на сайт с вредоносным кодом.

Определить факт заражения можно по появлению новой строчки в коде страниц.



Похоже, эпидемия приобретает глобальный масштаб. Первой на это обратила внимание антивирусная компания Panda Security, которая оценила количество поражённых серверов IIS в 282 тыс., но не прошло и суток, как компания F-Secure подняла планку до 500 тыс. Собственно, такую же картину показывает поиск через Google.



Эксперты предупреждают: если раньше, чтобы избежать заразы, нужно было воздерживаться от посещения сомнительных сайтов, то теперь подхватить трояна можно даже при посещении вполне респектабельного сайта, на котором установлен IIS.

Платёжная система PayPal планирует заблокировать доступ к своим финансовым сервисам с помощью браузеров, которые не поддерживают технологию автоматического блокирования поддельных сайтов, а также не поддерживают сертификаты EV SSL. В число запрещённых может войти и Safari, где поддержка EV SSL пока не планируется.

Компанию PayPal можно понять, ведь она является одной из главных целей для фишинга. По словам представителей платёжной системы, если разрешить браузеры без антифишинговой технологии, то это равносильно тому, как если бы производители автомобилей разрешили пользователям покупать машины без ремней безопасности. Позволяя таким «безбашенным» юзерам спокойно ходить по своему сайту, компания PayPal, фактически, удобряет почву для фишеров.

На первом этапе пользователи с небезопасными браузерами будут получать предупреждения, а в ближайшем будущем некоторые из браузеров планируется запретить полностью.

Возможно, примеру PayPal вскоре последуют банки и другие финансовые сервисы, которые традиционно страдают от фишинга. По статистике Gartner, в прошлом году жертвами таких мошенничеств стали 3,6 млн клиентов финансовых сервисов, которые потеряли в общей сложности $3,2 млрд.

По статистическим данным за первые три месяца 2008 года, 92,3% от всей пересылаемой электронной корреспонденции в мире являются спамом. Компания Sophos также отмечает, что каждые три секунды в Интернете появляется очередной спам-ориентированный ресурс. В день количество таких сайтов выростает на 23 300.

Первый раз в тройку самых активных стран-спамеров попала Турция, увеличив поток спама с 3,8% до 5,9% от общего объёма. США с 15,4% уверенно держит первое место, второе у России, которая увеличила количество генерируемого спама с 3% до 7,4%, что позволило ей переместиться с десятого места на «почётное» второе. Однако, Россия уже занимала вторую ступеньку этого пьедестала в 2007 году, набрав 8,3%. В то время доля спама из США была 21,3%, а Китай занимал третье место с 4,2%.

Далее по списку: Китай, Бразилия, Южная Корея, Польша, Италия, Германия, Великобритания, Испания и Франция. Эти страны генерируют 29% от объёма всего мирового спама.

via Infomatics Online, Lenta.ru

Мы привыкли думать об интернете как о надёжной платформе для свободных глобальных коммуникаций, где информация распространяется без помех, инноваторы могут запускать новые приложения по своему желанию, а у каждого есть свобода слова. Но вряд ли спустя поколение интернет сохранит свой нынешний вид.

На самом деле Всемирная сеть не так надёжна, как многие считают. Каким образом интернет, который мы знаем, может погибнуть? Вот десять возможных способов. Пусть это выглядит немного параноидально, но все нижеперечисленные способы имеют под собой реальное фактологическое обоснование.

Антивирусные компании сообщают о новой тенденции в распространении вирусов. После волны почтовых и скриптовых вирусов теперь одним из самых популярных способов распространения вредоносных программ становятся USB-флэшки. Это стало возможным благодаря слабости операционной системы Windows, которая по умолчанию автоматически запускает файл autorun.inf со сменного накопителя.

Впервые вирусы, которые распространяются таким способом (через INF/Autorun), проявили себя в июне 2007 года, когда по статистике ESET Software (разработчик NOD32) их доля выросла до 2,17% от общего количества зарегистрированных вирусов. К настоящем моменту, то есть всего за девять месяцев, число таких вирусов выросло до 10,3%.

В число самых популярных вирусов марта 2008 года вошли генератор всплывающих окон Win32/Adware.Virtumonde (распространяется через USB-флэшки), который очень сложно удалить, а также Mebroot, использующий классическую технику записи в MBR и хранения данных в секторах жёсткого диска, а не в файлах, что усложняет его обнаружение, даже когда он модифицирует реестр Windows.

Ноутбук MacBook Air победил в конкурсе на самый быстрый взлом, который проводился в рамках хакерской конференции CanSecWest. Чудо инженерной мысли от Intel и Apple удалось взломать за рекордные две минуты.

В состязании принимали участие три популярные модели ноутбуков с разными ОС и всеми последними патчами:
* VAIO VGN-TZ37CN под Ubuntu 7.10
* Fujitsu U810 под Vista Ultimate SP1
* MacBook Air под OSX 10.5.2

По условиям конкурса нужно было использовать ранее неизвестный эксплоит, чтобы проникнуть в систему и прочитать содержимое указанного файла. В первый день конкурса доступ к компьютерам был разрешён только по сети и взломать системы никто не смог. Во второй день правила стали свободнее и уже разрешалось открывать почтовые сообщения и заходить на вредоносные сайты.

Как и в прошлом году, быстрее всего удалось взломать MacBook. Победителем стал Чарли Миллер, тот самый, который одним из первых хакнул iPhone. Чарли получил заслуженные $10 000 и взломанный ноутбук в качестве главного приза. По условиям конкурса ему запрещается распространять информацию о созданном эксплоите.

via IDG News Service

Этот хабратопик является информацией для размышления для пользователей популярного клиента-загрузчика FlashGet. Заранее извиняюсь за отсутствие рабочих ссылок, но что-то хабр глючит.

Для поиска НЛО малвари и борьбы с ней я пользуюсь продукцией компании Symantec. И буквально вчера у меня возникла проблема с тем, что NIS стал матюкаться на FlashGet.

Агенты ФБР публиковали на российских сайтах, где собираются любители детской порнографии со всего мира, поддельные гиперссылки. Ссылки вели на специально сделанный сайт, размещённый на сервере ФБР. Там велись подробные логи и регистрировались IP-адреса всех посетителей, которые автоматически становились после этого преступниками. Затем дома этих людей подвергались неожиданному обыску (обычно у маньяков на компьютере можно найти достаточно улик).

Вообще-то, ловля преступников «на живца» — не совсем обычная практика. Так не принято поступать, потому что это не совсем этично и можно классифицировать как склонение граждан к совершению преступления. В данном случае имел место настоящий обман, а рекламируемое видео на самом деле не содержало никакой порнографии. Однако, по американским законам любая «попытка» скачать детскую порнографию уже является преступлением, даже если эта попытка неудачная.

Наверное, всем известно, что Google слишком любопытный поисковик. Однако, кто-то использует это для более точного поиска, а кто-то — для несколько иных целей.
Только что от моего товарища пришла ссылка по ICQ на видео-хак, которые открывает, так сказать «недокументированные возможности всемирно известного поисковика». Поиск паролей, скрытых директорий, документов, видеокамер — это малый перечень того, что умеет Google.
Достаточно давно на сайте уже поднималась эта тема. Оказывается, некий Джонни из забугорного интернета ведёт целый каталог подобных ссылок, именуемый Google Hacking Database (GHDB).
Немного старая тема, возможно, но все же кто-то о ней не знает, а кого-то найдутся новые интересные мысли на этот счет.

Смотреть видео на YouTube

Сегодня мне написал мой старый институтский приятель и попросил одолжить ему денег. Под катом — хистори из аськи (Ivanov — он, Tony Clifton — я). Ничего нового в этом нет, но всё же будьте бдительны…

По словам википедии, CAPTCHA — компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. Основная идея теста: предложить пользователю такую задачу, которую легко решает человек, но которую невозможно (или крайне трудно) научить решать компьютер.
Правда, иногда даже человеку сложно разобраться, что изображено на картинке, либо решить задачу.
Итак, десятка худших:

(записки антивируса-любителя)
Когда получаешь накануне дня святого валентина поздравительное письмо со ссылкой, то ужасно хочется узнать, что же там такое, по этой ссылке. Все в один голос утверждают, что такие подозрительные ссылки ни в коем случае нельзя открывать, но мы-то знаем, что если аккуратно, то можно. Например, скачать такую страницу, а потом разглядеть внимательно в любимом текстовом редакторе.

В моем случае было нечто вроде
<meta http-equiv=«refresh» content=«1;url='valentine.exe'»>
…
<a href="valentine.exe">blah-blah</a>

Неприкрытое приглашение стать новым пользователем вируса. Также аккуратно скачав valentine.exe, и переменовав его в .txt, чтобы ненароком не запустить, можно поковырять его изнутри.

Онлайн файл-сканнер Касперского определяет этот файл как зараженный вирусом «Email-Worm.Win32.Zhelatin.vg».

Сказать, что количество информации, сообщаемое о вирусах, меня не устраивает — ничего не сказать. Оно просто катастрофически мало. Оно не говорит, во-первых, чего не следует делать. Во-вторых, оно зомбирует пользователей «держите антивирусные базы обновленными». Обновленные базы — оно, конечно, очень хорошо, я только за. Только от первой волны эпидемии эти базы не спасут, так как в них попросту нет сигнатур еще не вышедших вирусов.

Поэтому, чтобы рассеять, — по крайней мере, для себя, — атмосферу мрака и ужаса, окружающего внутренне устройство вируса, я засучил рукава и выяснил следующее.

Недавно на «Хабре» вышла пара статей, касающихся паролей и удобства работы с ними. Авторы предлагали алгоритмы создания «легкозапоминающихся» или «удобонабираемых паролей». Я предлагаю иной способ и удобный инструмент.

Я не беспокоюсь об удобстве запоминания или набора паролей, предпочитаю держать голову свободной от таких вещей. У меня почти 150 паролей (почты, аськи-шмаськи, хостинги, статистики, сервисы), и ни один из них не повторяется. Сами пароли выглядят примерно так: 96DtL`yL\,B C#@2w'QEP

На конференции Black Hat был продемонстрирован новый метод взлома криптозащиты GSM, который отличается простотой и дешевизной. Требуется оборудование стоимостью всего $1000 и около получаса времени для декодирования сигнала и подбора ключей.

Благодаря работе двух юных специалистов Дэвида Халтона и Стива Мюллера скоро удалённая прослушка GSM-телефонов станет доступной не только для спецслужб, но и для любого гражданина. Изобретатели использовали давно известную уязвимость в стандартном протоколе. По словам Мюллера, защита GSM была взломана ещё в 1998 году, когда были опубликованы теоретические работы на эту тему. Они просто реализовали на практике «эксплоит».

Уже в марте этого года Халтон и Мюллер планируют выпустить на рынок быструю версию своей шпионской системы, которая будет взламывать защиту всего за 30 секунд. Правда, такая система обойдётся как минимум в $200 тыс. Халтон и Мюллер уже защитили разработку патентом.