Новости с "рынка" сетевой безопасности

[Gr@nd@d]

Октябрьские обновления от MS

Два важных, четыре критических. Важные: исправление уязвимости в RPC, приводящей к DoS, исправление уязвимости в Windows SharePoint Services 3.0 и Office SharePoint Server 2007, приводящей к повышению привилегий. Критические: исправление уязвимостей в Kodak Image Viewer, Outlook Expres и Windows Mail, MS Word (все - приводящие к удаленному исполнению кода); кумулятивное обновление для IE.

источник

[Gr@nd@d]

Очередное удаленное исполнение кода в IE

Практически сразу после выхода ежемесячной порции исправлений Microsoft сообщила о том, что исследует очередную уязвимость в IE, связанную с некорректной обработкой URL, полученных от внешних приложений. Уязвимости подвержены XP и Windows Server 2003 с установленным IE7; виста и системы с IE6 чисты.

источник

[Gr@nd@d]

Русские антивирусы провалили тест Virus Bulletin

Декабрьский тест Virus Bulletin продемонстрировал низкий уровень качества современных антивирусных продуктов. Из 32 принимавших участие в тесте VB100 продуктов успешно выдержали испытание лишь 17, причем самые популярные российские антивирусы - «Антивирус Касперского» и «Доктор Веб» - также оказались в числе аутсайдеров. Но если продукт «Лаборатории Касперского» пропустил всего лишь один вирус, то антивирус «Доктор Веб» не обнаружил 11 вредоносных программ, при этом допустив два ложных срабатывания.

В число других известных продуктов, не прошедших тест, вошли разработки Sophos, Avira, CA Home, PC Tools Spyware Doctor и Trend Micro. Наихудшие результаты показал Kingsoft AntiVirus, пропустивший 60 вирусов. Лидерами теста стали программы Agnitum Outpost, McAfee VirusScan,BitDefender AntiVirus, Microsoft Forefront, ESET NOD32, F-Secure Anti-Virus, Symantec Endpoint и несколько других. В целом же результаты оказались неудовлетворительными - как заявил techworld.com Джон Хоес (John Hawes) из Virus Bulletin, «низкая эффективность многих продуктов привела нас в состояние шока».

В «Лаборатории Касперского» свою неудачу объясняют следующим образом: «Монитор Антивируса Касперского сборки 7.0.0.125, участвовавшей в тесте, пропустил W32/Autorun!ITW#3 - вредоносный образец из коллекции In-the-Wild (ITW), в то же время сканер антивируса Касперского определяет его как virus Worm.Win32.AutoIt.i». Другими словами, объясняют в ЛК, данная вредоносная программа определяется как самораспаковывающийся архив, а поскольку опция «Проверять инсталляционные пакеты» в Антивирусе Касперского 7.0 не включена по умолчанию (из соображений производительности ПК), то и вредоносный архив не обнаруживается монитором программы.

В компании заверили, что соответствующие изменения в существующие политики безопасности уже внесены, и теперь подобные вредоносные файлы будут детектироваться в любом случае. «Важно отметить, что защищённость пользователей, использующих Антивирус Касперского 7.0, не была снижена, так как второй уровень комплексной защиты - поведенческий анализатор, входящий в модуль проактивной защиты, блокирует работу данного вредоносного файла в самом начале его работы», заявили в компании. В «Доктор Веб» отказались комментировать свои результаты в VB100.

Результаты теста VB100 - декабрь 2007 г., платформа Windows 2000

Название антивируса Результат
AEC (Trustport) Не прошел
iolo Не прошел
Agnitum Прошел
Kaspersky Не прошел
Alwil Не прошел
Kingsoft Не прошел
Avira Не прошел
McAfee Прошел
BitDefender (SOFTWIN) Прошел
Microsoft Forefront Прошел
Bullguard Прошел
MicroWorld Прошел
CA Home Не прошел
Norman Не прошел
CA eTrust Прошел
PC Tools AntiVirus Прошел
Doctor Web Не прошел
PC Tools Spyware Doctor Не прошел
Eset Прошел
CAT QuickHeal Прошел
Fortinet Не прошел
Redstone Не прошел
FRISK Не прошел
Rising Не прошел
F-Secure Прошел
Sophos Не прошел
GDATA Прошел
Symantec Прошел
Grisoft Прошел
Trend Micro Не прошел
Ikarus Не прошел
VirusBuster Прошел


Декабрьский тест VB100 проверял качество работы антивирусов на платформе Windows 2000. Ранее в текущем году продукты были протестированы на SUSE Linux, Windows XP, Windows Vista x64 и Netware 6.5. Наилучшие результаты по всем тестам показали CAT QuickHeal, ESET, McAfee и Symantec. По результатам недавно проведенного ноябрьского AV-Comparatives наилучший результат (Advanced+) показали продукты «Лаборатории Касперского» и ESET.

источник

[kolchanov]

Влияние антивирусов на производительность компьютера

Любой антивирус отрицательно влияет на производительность компьютера - это общеизвестный факт. Иначе и быть не может, но обеспечение компьютерной безопасности требует идти и не на такие жертвы. Но влияние на производительность разных антивирусов (и даже разных версий одного и того же антивируса) не может быть одинаковым. Одни из них лучше оптимизированы, другие снижают нагрузку, уменьшая тщательность проверки.

В данной статье мы попытались сравнить производительность антивирусов. Конкретные результаты зависят от конфигурации компьютера, но общая картина, как правило, сохраняется. Причины, которые приводят к этой разнице, мы оставим за рамками материала.

Для проведения теста мы выбрали девять коммерческих антивирусов (Антивирус Касперского 7.0, Trend Micro Internet Security Pro, Dr.Web 4.44, Panda Antivirus 2008, Eset NOD32 Antivirus 3.0.563, Norton Antivirus 2008, AVG Anti-Virus Professional Edition 7.5, CA Anti-Virus r8.1, Антивирус Stop! 4.10 Pro Edition) и один бесплатный (avast! 4 Home Edition).

В качестве испытательного стенда использовался ноутбук Toshiba Qosmio G30-195 (его основные характеристики см. во врезке) с операционной системой Windows XP Media Center Edition на борту. В роли неподкупных судей выступали бенчмарк-пакеты 3DMark05 и COSBI OpenSourceMark 1.0 beta 7a, вкупе с майкрософтовской утилитой Bootvis, с аптекарской точностью измеряющей время загрузки операционной системы.

Для чистоты эксперимента перед инсталляцией каждого антивирусного продукта средствами утилиты System Restore производился откат конфигурации операционной системы в изначальное состояние, а сами тесты прогонялись десятки раз.
Тесты
- измерение времени (в секундах) загрузки операционной системы средствами утилиты Bootvis;
- измерение времени (в секундах) копирования одиночных файлов разного размера (100 Мб и 1000 Мб) средствами бенчмарк-пакета COSBI OpenSourceMark 1.0;
- оценочный анализ (в баллах) быстродействия системы при выполнении таких операций, как архивирование данных, кодирование мультимедийных файлов в формат MP3 и загрузка веб-страниц, хранящихся на жёстком диске компьютера (для проведения тестов использовался инструмент COSBI OpenSourceMark 1.0);
- оценочный анализ (в баллах) быстродействия компьютера при выполнении операций с графикой в игровых сценах (в качестве тестового пакета выступал 3DMark05).
Характеристики тестового компьютера
Процессор: Intel Core 2 Duo T7600, 2,33 ГГц
Память: 2048 Мб, DDR2-533
Видео: NVIDIA GeForce Go 7600, 256 Мб
Жёсткий диск: 320 (160 +160 RAID) Гб
Дисплей: 17"TFT WUXGA (1920x1200)
Звуковая карта: TruSurround XT, Harman Kardon
Оптические устройства: HD DVD-RW
Порты: PCMCIA Type II; 4xUSB 2.0; VGA; S-Video; IEEE 1394
Устройства связи: FM 56K, LAN 10/100, Wi-Fi, Bluetooth, ТВ-тюнер
Батарея: Li-Ion
Размеры устройства 406 x 285 x 45,5/53,5 мм
Вес: 4,6 кг
Программное обеспечение: Windows XP Media Center Edition (русифицированная версия)
Результаты

Зелёным цветом в таблице отмечены хорошие результаты, а жёлтым и красным - средние и неудовлетворительные











Выводы
Результаты тестирования хоть и получились несколько разношёрстными, но они, тем не менее, достаточно показательны. К примеру, отчётливо видно, как велико влияние антивирусных продуктов на время загрузки Windows: практически все они оттянули старт операционной системы на десять и более секунд. Причина кроется не только в многомодульности современных программ, но и в том, что многие из них запускают автоматическую проверку критических областей операционной системы и объектов, загружаемых вместе с Windows. Но такая проверка более чем оправдна, поскольку если эти объекты будут поражены вредоносной программой, то, возможно, пользователю даже не удастся загрузить операционную систему.


Весьма интересным оказался тест со скоростью копирования файловых объектов, в котором вперёд вырвался "Антивирус Касперского". Он быстрее работает с данными на диске как с настройками по умолчанию, так и в режиме максимальной защиты пользовательского компьютера.

Вопреки ожиданиям, инсталляция антивирусов мало повлияла на производительность компьютера при работе с графикой и при кодировании музыкальных композиций в формат MP3. А вот тест с веб-страницами показал, что на скорость их загрузки, включая обработку скриптов в HTML-коде, минимальное влияние оказывают AVG Anti-Virus 7.5, CA Anti-Virus r8.1 и Panda Antivirus 2008. Конечно, вряд ли можно отнести этот тест к разряду объективных, но, как говорится, факт налицо.

Архивирование файлов. Этот тест со стандартными настройками сканирования данных не выявил ни явных лидеров, ни аутсайдеров. Однако стоило только активировать уровень максимальной защиты, как некоторые антивирусы сразу сдали позиции. В частности, особо долго над сжатием данных компьютеру пришлось "попотеть" с установленными в системе приложениями Dr.Web 4.44, Trend Micro Internet Security Pro и Panda Antivirus 2008. "Антивирус Касперского" использовал любопытный трюк: он просто не утруждал себя повторным анализом ранее проверенных файлов.

Разумеется, при реальном использовании антивирусов их влияние ощущается и во многих других ситуациях, но имеющиеся средства, увы, не позволили с достаточной точностью его измерить, поэтому пока приходится довольствоваться теми цифрами, которые есть. Если удастся найти более точные методики, мы непременно вернёмся к этой теме.


И всё же подведём некоторые итоги. Прежде всего, необходимо отметить, что разница между некоторыми продуктами хотя и прослеживается, но не настолько велика, чтобы с уверенностью назвать один из них безоговорочным лидером.

В спринтерском зачёте по скорости работы с хранящимися на жёстком диске компьютера данными самыми быстрыми оказались "Антивирус Касперского" и Dr.Web, с небольшим отрывом от них идёт продукт компании Panda Security, который, помимо всего прочего, неплохо продемонстрировал себя и в оценочных тестах. Правда, "Доктор Веб" ощутимо хуже справился с тестом на архивирование.

Результаты нортоновского антивируса оказались не столь однозначными - он занял лидирующие позиции при работе с архивами в формате ZIP, но оказался крайне неторопливым в игровых тестах, насыщенных графикой, так что в итоге остался аутсайдером. Иначе говоря, Norton Antivirus 2008 - продукт явно не для компьютеров, выполняющих роль мультимедийных и игровых станций.

Неприятным сюрпризом стали показатели Eset NOD32, который позиционируется разработчиком как самый быстрый антивирус. Продукт не стал лидером ни в одной из представленных в таблице категорий. Ещё большим разочарованием стал продукт компании Trend Micro, показавший не лучшие результаты при копировании увесистых файловых объектов и в сравнительном тесте, анализирующим скорость загрузки веб-страниц.


www.computerra.ru

[Gr@nd@d]

Группа разработчиков North Security Labs предложила детектор руткитов, основанный на аппаратной виртуализации. Заявлена способность детектирования ряда известных руткитов, таких как Shadow Walker и Rustock.
Hypersight Rootkit Detector работает в качестве монитора виртуальной машины. Ядро запускается в качестве гипервизора при старте системы, контролируя в дальнейшем критические операции и оставаясь незаметным как для системы, так и для вредоносного ПО. Контролируются типичные действия руткитов, в том числе попытки перехода в режим гипервизора, характерные для руткитов, приобщившихся к аппаратной виртуализации - наподобие известной Blue Pill.

Реализована поддержка процессоров Intel с технологией VT-x, в ближайшем будущей обещается и поддержка процессоров AMD. Продукт представлен в виде альфа-версии, подключиться к тестированию на свой страх и риск приглашаются все желающие.

источник

[HATTIFNATTOR]

Идя навстречу организациям, использующим на рабочих компьютерах службу Автоматического обновления, но временно, во избежание потенциальных проблем, не желающим устанавливать на свои машины сервис-паки для Windows, Microsoft выпустила Windows Service Pack Blocker Tool Kit, - инструмент, блокирующий установку сервис-пака.

Tool Kit представляет собой крошечную утилиту, добавляющую в реестр Windows значение 'DoNotAllowSP', при выявление которого загрузка сервис-пака с сервера автоматического обновления не происходит.

Блокируется загрузка Windows Server 2003 Service Pack 2, Windows XP Service Pack 3 и Windows Vista Service Pack 1.

_http://www.microsoft.com/downloads/details.aspx?FamilyID=d7c9a07a-5267-4bd6-87d0-e2a72099edb7&DisplayLang=en

[HATTIFNATTOR]

Petko D. Petkov сообщил в своем блоге об обнаружении новой опасной уязвимости. С помощью размещенного на веб-станице специальным образом модифицированного .swf файла злоумышленник способен получить несанкционированный доступ к маршрутизаторам и произвольно изменять их параметры, невзирая на пароль администратора и запрещающие изменение настройки. Уязвимости подвержены все устройства поддерживающе UPnP. Например возможно изменение настроек DNS, что позволит направить пользователя на произвольную веб-страницу.
Уязвимость является кроссплатформенной, она не зависит от типа\версии браузера или типа\версии ОС и работает везде где применяется технология Flash.

Подробнее _http://www.gnucitizen.org/blog/flash-upnp-attack-faq

[HATTIFNATTOR]

Федеральное бюро расследований США сообщило в четверг о зафиксированном росте случаев вишинг-мошенничества. Схема вишинга, так называемого голосового фишинга (Voice fISHING), заключается в следующем: пользователю посредством электронной почты, sms, или другим способом сообщается что с его картой производятся мошеннические действия, и дается рекомендация срочно перезвонить в банк и повторно активировать карту.

Перезвонивший по указанному номеру слышит типично компьютерный голос, который приветствует его от имени банка и предлагает ввести номер кредитной карты для урегулирования проблемы.

В последние несколько лет развитие VoIP технологий и появление свободнораспространяемого ПО для организации call-центров позволяют мошенникам создавать центры обработки телефонных вызовов, что открывает путь для новых видов мошенничества. Эксперты по безопасности говорят что вишинг может быть более эффективен чем традиционные методы фишинга, направляющие пользователя на фальшивые веб-сайты, в связи с тем что пользователи недостаточно информированы о подобном виде мошенничества.

[Gr@nd@d]

Опасная уязвимость в ICQ6

Простая отправка специально подготовленного текстового сообщения (в простейшем случае - "%020000000s") пользователю с установленной ICQ 6.x приводит к ошибке при формировании HTML-кода, предназначенного для отображения текста в интегрированном IE-компоненте. Ошибка эта способна привести к исполнению произвольного кода на удаленной системе, так что лучшее, что сейчас могут сделать пользователи ICQ - срочно сменить клиент, либо хотя бы запретить прием сообщений от людей не из контакт-листа (что не сильно поможет в случае эпидемии).

Источник

[Gr@nd@d]

РФ отказалась подписывать Конвенцию о киберпреступности

Россия не будет подписывать Конвенцию Совета Европы о киберпреступности. Владимир Путин распорядился признать утратившим силу распоряжение «О подписании Конвенции о киберпреступности» от 15 ноября 2005 г.

Подписание Конвенции должно было сопровождаться заявлением, согласно которому Россия оставляла за собой право определиться с участием в Конвенции при условии возможного пересмотра положений пункта «b» ст. 32, которые «могут причинить ущерб суверенитету и безопасности государств-участников конвенции и правам их граждан».

В этом пункте говорится, что «сторона может без согласия другой стороны получать через компьютерную систему на своей территории доступ к хранящимся на территории другой стороны компьютерным данным или получить их, если эта сторона имеет законное и добровольное согласие лица, которое имеет законные полномочия раскрывать эти данные этой стороне через такую компьютерную систему».

Конвенция о киберпреступности вступила в силу 1 июля 2004 г. К концу 2005 г. ее подписали 38 стран-членов Совета Европы, а также США, Канада, Япония и ЮАР.

Как пишет РИА «Новости», данная конвенция - первый документ, в котором описывается классификация киберпреступлений. В их перечень входят несанкционированный доступ в ИТ-среду, нелегальный перехват ИТ-ресурсов, вмешательство в компьютерную систему и информацию, содержащуюся на носителях данных и т. д.

Также в документе описаны проблемы взаимодействия правоохранительных органов в случаях, когда киберпреступник и его жертва находятся в разных странах и подчиняются разным законам. В конвенции освещаются вопросы хранения личной информации клиентов интернет-провайдеров на случай, если она потребуется при расследовании киберпреступлений.

источник

[Gr@nd@d]

Тысячи IIS пострадали от SQL injection

Согласно информации F-Secure, за последнюю неделю сотни тысяч серверов с установленным IIS пострадали от SQL injection, в результате которого на сайтах появляется код на JavaScript, в свою очередь приводящий пользователей на сайты, пытающиеся подсунуть им трояны.
Пока опознано три таких сайта - nmidahena.com, aspder.com и nihaorr1.com, доступ к которым целесообразно заблокировать. Гугль находит более полумиллиона модифицированных таким образом страниц. Пока не вполне понятно, стала ли причиной какая-то новая уязвимость IIS, либо проблема исходит от какого-то стандартного скрипта.
Первая информация об уязвимостях появилась на форумах 17 апреля, на следующий день Microsoft выпустила совет по блокировке атаки с использованием предположительной уязвимости, допускающей повышение привилегий аутентифицированного пользователя до LocalSystem. Среди пострадавших сайтов, кстати, назван aeroflot.ru - что вполне подтверждается. Поиск по зоне .ru вообще дает много любопытных результатов. Под раздачу также попали сайты ООН, американского министерства национальной безопасности и многие другие.
Особенность данного SQL injection в том, что оно передается на сервер в виде вызова функции CAST с параметром в виде куска 16-ричного кода, который она конвертирует в строку, получая на выходе sql-запрос - что делает несколько более сложным его обнаружение и фильтрацию (хотя чтобы эта функция отработала, все равно дело должно дойти до ее исполнения, так что стандартных рекомендаций по фильтрации sql-запросов вполне должно хватить). Далее он пытается внедриться в каждое текстовое поле каждой таблицы - собственно говоря, за счет чего зараженные сайты так удобно искать в гугле - как правило, портится и поле, используемое для формирования заголовка страницы.
источник

Microsoft отрицает существование новой уязвимости

В блоге Microsoft Security Response Center опубликовано заявление о том, что недавняя массовая атака с использованием sql injection никак не связана с какой-то новой уязвимостью в IIS, SQL server либо в других серверных продуктах MS.
Кроме того, эти атаки никак не связаны с выпущенной практически одновременно с сообщениями о первых заражениях рекомендацией по по блокировке возможных последствий уязвимости, допускающей повышение привилегий аутентифицированного пользователя до LocalSystem. Просто так совпало, а полмиллиона зараженных страниц - привет прямым рукам их авторов.
источник

[Gr@nd@d]

BitDefender выпустил обновление сигнатур для защиты от уязвимости в IE 7

14 мая 2008 г. независимым экспертом в области контроля безопасности Авивом Раффоном (Aviv Raffon) была обнаружена ошибка в службе печати Microsoft Internet Explorer 7. "Большинство локальных ресурсов программы Internet Explorer сегодня работают в "Зоне Интернет". Скрипт, отвечающий за печать, работает в "Локальной зоне", а это значит то, что любой другой примененный к нему скрипт, может активизировать сторонний код к компьютеру пользователя", - говорит Авив Раффон.

Эксплойт позволяет взломщику применить к компьютеру жертвы абсолютно любой вредоносный код, если пользователь инициировал печать специально изготовленной веб-страницы, включив в свойствах функцию печати таблицы ссылок.

Исследовательский центр BitDefender оперативно отреагировал на заявление эксперта и выпустил обновление сигнатур, которое позволяет детектировать и нейтрализовать вредоносные коды, использующие этот эксплойт. Всем пользователям Internet Explorer, у которых не установлен антивирус BitDefender, специалисты Исследовательского Центра BitDefender рекомендуют воздержаться от распечатки веб-страниц с активированной функцией печати таблицы ссылок до тех пор, пока эта ошибка не будет исправлена разработчиками.

"Эта уязвимость, стала прямым результатом допущенных ошибок в написании программных кодов и халатности в разработке решений безопасности. В совокупности данные просчеты подвергают ничего не подозревающего пользователя DOS-атакам и прочим угрозам", - отмечает менеджер по развитию BitDefender Александру Балан (Alexandru Balan).

источник

[Gr@nd@d]

Российский хакер, известный как Крис Касперски, обнаружил уязвимость в процессорах Intel, которая позволяет совершить удаленный взлом системы при помощи скрипта на JavaScript или TCP/IP-пакета вне зависимости от операционной системы. Об этом пишет PC World со ссылкой на краткое описание презентации, подготовленной Касперски.

Хакер намерен в октябре продемонстрировать свою методику на конференции Hack In The Box в малайзийском Куала-Лумпуре. Касперски заявил, что намерен показать работающий код и сделать его общедоступным. Он добавил, что ошибки в микропроцессорах становятся все более серьезной угрозой, так как уже пишутся использующие их зловредные программы.

По словам хакера, некоторые ошибки процессоров позволяют просто обрушить систему, другие помогают злоумышленнику получить доступ на уровне ядра ОС, а использование третьих отключает защиту Vista.

Крис Касперски продемонстрирует свою методику взлома на компьютерах с Windows Xp, Vista, Windows Server 2003, Windows Server 2008, ОС на базе ядра Linux и BSD. Возможно, также добавится Mac. На все эти системы будут установлены последние обновления.

Хакер занимается разработкой ПО и анализом программ в течение 15 лет. Он специализируется на защите CD/DVD, аудио - и видеокодеках, оптимизации кода под различные процессоры, а также является экспертом в других отраслях. Он написал два десятка книг по программированию и дизассемблированию.

Источник

[Gr@nd@d]

Обход защиты памяти в Vista

На прошедшей BlackHat-конференции Марк Дауд (Mark Dowd) из ISS и Александр Сотиров (Alexander Sotirov) из VMware рассмотрели методы, делающие практически неэффективными все современные средства защиты памяти, реализованные на Windows-платформе - Address Space Layout Randomization(ASLR), Data Execution Prevention (DEP) и т.п., обходя их с помощью Java, ActiveX и .NET.

По мнению специалистов, описанные атаки не основаны на каких-то новых уязвимостях в IE или Висте, а напротив, активно используют архитектурные особенности Висты, и вряд ли MS сможет с этим что-то сделать. Т.е. любой уязвимый компонент может позволить захватить систему, и никакие средства, направленные на минимизацию ущерба, этому не помешают. Не случайно опубликованный материал имеет добрый подзаголовок - "Отбрасывая безопасность браузеров на 10 лет назад". Не исключено, что описанные подходы могут быть применены и к другим платформам.

Впрочем, по мнению самого Сотирова, все не так печально, и "небо еще не падает на землю". Скорее всего, следующие версии и Flash, и Java включат в себя меры противодействия, да и на Microsoft еще рано ставить крест.

источник

[Gr@nd@d]

Очередная крупнейшая дырка в интернете

На последнем DefCon Антон Капела (Anton Kapela) и Алекс Пилосов (Alex Pilosov) продемонстрировали атаку на один из ключевых интернет-протоколов, по своим последствиям сопоставимую с недавними проблемами в реализации DNS.

BGP (Border Gateway Protocol) является междоменным протоколом маршрутизации, ориентированным на использование в крупных сетях. Фактически это хребет современного интернета (вообще протоколы маршрутизации предназначены для того, чтобы маршрутизаторы могли составить единое представление о топологии сети, синхронизировав свои таблицы маршрутизации). Продемонстрированная атака позволяет обмануть маршрутизаторы таким образом, что они начнут направлять перехватываемые данные в сеть атакующего. Принципиально проблемы с BGP были известны и раньше, но новым достижением является возможность скрытного перенаправления информации.

Особая неприятность заключается в том, что продемонстрированная техника не использует какую-то ошибку в реализации BGP, а просто использует естественный способ его работы. Проблема в том, что как и во многих интернет-протоколах, в BGP слишком многое основано на доверии. Кстати, по словам бывшего участника группы l0pht, аналогичная атака была продемонстрирована им государственным службам США более десяти лет назад.

источник

Linux под атакой Phalanx

CERT выпустила предупреждение о набирающей обороты атаке на Linux-системы, использующей при распространении украденные SSH-ключи. С большой вероятностью старт атаке дала обнародованная в мае история со слабым ГСЧ в Debian. При атаке используется руткит Phalanx2, являющийся развитием ориентированного на ядро 2.6 руткита Phalanx, и добавляющий в него средства для кражи SSH-ключей (для атаки на следующие системы). К счастью, Phalanx2 достаточно легко обнаружить - при его наличии команда ls не дает просмотреть содержимое каталога /etc/khubd.p2/.

источник

[Gr@nd@d]

И еще одна дырка в ключевом интернет-протоколе

Этот год оказался урожайным на принципиальные уязвимости, заложенные отцами-основателями в ключевые сетевые протоколы.

На сей раз очередь дошла до протокола TCP и нового класса DoS-атак, которые способны при небольшой толщине канала атакующего эффективно парализовать сервер либо маршрутизатор, причем эффект сохраняется и после окончания воздействия (поскольку в системе жертвы просто заканчиваются ресурсы и она уходит в себя).

Роберт Ли (Robert E. Lee), руководитель подразделения безопасности шведской компании Outpost24, сообщил, что он и его коллега Джек Луис (Jack Louis) обнаружили уязвимость еще в 2005, но решили придержать информацию в надежде обнаружить обходные пути. Однако, окончательно упершись лбом в стенку, они решили обнародовать эти сведения.

В течение последнего месяца были проинформированы основные производители операционных систем, маршрутизаторов и межсетевых экранов. В настоящее время не существует реализации TCP-стека, свободного от данной уязвимости (проверено было 15 реализаций).

К сожалению, пока не нашлось приемлемого решения проблемы, за исключением полного запрета анонимных соединений, что полностью неприемлемо для большинства приложений. Впрочем, окончательно впадать в панику еще рановато - детали уязвимости еще не обнародованы, и независимого подтверждения не было. Все, что говорят другие эксперты - "да, это может оказаться серьезным".

источник

[Gr@nd@d]

Adobe предупредила пользователей об уязвимости в Flash

Adobe сообщила, что все версии Flash уязвимы к недавно разрекламированным атакам класса clickjacking - перехват невинно выглядящих щелчков мышью на подсунутом жертве сайте может привести к незаметному включению микрофона или веб-камеры. Патч ожидается ближе к концу октября, пока же пользователям рекомендовано в настройках Flash выставить опцию "Alway deny".

источник

[Gr@nd@d]

Прокси как отягчающее обстоятельство

Как сообщает Associated Press, в новом федеральном руководстве по назначению наказаний использование прокси-серверов при совершении кибер-преступлений будет рассматриваться как признак "изощренности" и, соответственно, как отягчающее обстоятельство, увеличивающее срок заключения на четверть.
Это же относится и к таким анонимизаторам как Tor. Отдельный привет работающим через мобильных провайдеров и корпоративные сети, в которых подобные средства зачастую используются без ведома конечных пользователей.

источник

[Gr@nd@d]

Дыра в безопасности Windows 7, которая «не может быть устранена»?

В рамках недавней конференции по проблемам компьютерной безопасности была продемонстрирована возможность получения контроля над компьютером с установленной Windows 7. Випин Кумар и Нитин Кумар использовали программу размером 3 КБ VBootkit 2.0, для того чтобы получить полный контроль во время загрузки ОС.
Хакеры с помощью этой прорехи могут получить удаленный доступ к файлам компьютера на самом высоком уровне привилегий администратора, а после взлома вернуть первоначальные пароли и таким образом замести следы.
Главная проблема состоит в том, что, по мнению Випина Кумара, брешь нельзя будет залатать каким-нибудь патчем. «Исправить это нельзя, потому что это конструктивная проблема», — заявил он во время демонстрации взлома. Посмотрим, что по этому поводу думают в Microsoft...

источник

[yut]

Компьютерная безопасность "по запросу"
Компания McAffee предлагает клиентам новый сервис в области компьютерной безопасности - Total Protection Service (переведу как "Служба Всеобщей Защиты"). Продукт рассчитан на корпоративных клиентов и обеспечивает комплексную защиту их локальных сетей и сайтов путем удаленного контроля с сервера компании - поставщика услуги. Многие эксперты считают такой путь естественной эволюцией от "безопасности как локального программного обеспечения" к "безопасности как услуги". Основным стимулом такой эволюции является все большая изощренность вирусных и хакерских атак, что требует глубокого анализа и мощных компьютерных ресурсов, чего, как правило, не бывает на локальных компьютерах у большинства клиентов. Эту инициативу подхватывают и другие известные компании, в частности, испанская Panda.
http://www.technologyreview.com/business/23022/page1/