Программа: OpenSSL до версии 0.9.6j и 0.9.7b

Опасность: Средняя

Наличие эксплоита: Нет

Описание: Множественные уязвимости обнаружены в OpenSSL в анализаторе ASN.1 протокола. Удаленный атакующий может вызвать отказ в обслуживании и возможно выполнить произвольный код на уязвимой системе.

Переполнение буфера обнаружено при обработке некоторых некорректных ASN.1 кодированные данных. Необычное ASN.1 значение тега при некоторых обстятельствах может вызвать недопустимую ошибку, что приведет к отказу в обслуживании. Отказ в обслуживании обнаружен при обработке некорректного открытого ключа в сертификате.

Уязвимы все SSL/TLS сервера, даже если они не используют клиентскую идентификацию.

URL производителя:http://www.openssl.org

Решение:Обновите программу до OpenSSL 0.9.7c или 0.9.6k. Перекомпилируйте любые приложение, в которых статически используется OpenSSL библиотека.

Группа из семи авторитетных специалистов в области информационной безопасности публиковала доклад с резкой критикой в адрес монополизма Microsoft на рынке программного обеспечения, озаглавленный "КиберНебезопасность: цена монополии. Почему преобладание программных продуктов Microsoft создает угрозу для безопасности". Авторы доклада говорят о том, что в результате "практически повсеместного" применения программных продуктов Microsoft образовались "монолитные ИТ-инфраструктуры", менее защищенные, нежели среды, в которых используется по нескольку различных операционных систем. Исследователи декларируют полную интеллектуальную и финансовую независимость от каких-либо организаций, включая компании, в которых авторы доклада работают. Тем не менее доклад предваряется вступительным словом от Ассоциации индустрии компьютеров и связи (Computer and Communications Industry Association, CCIA) - промышленного альянса, объединяющего конкурирующие с Microsoft фирмы и известного своей оппозицией по отношению к корпорации.

Национальная коалиция против спама пополнилась рядом новых участников - в ее ряды вступили компании Data Fort, Corbina Telecom, ЗАО "Петерлинк", e-Style ISP. Кроме того, намерение о вступлении в коалицию высказало еще несколько крупных организаций, названия которых не разглашаются.

В ближайшее время коалиция намерена выработать правила делового оборота, приемлемые для всех (или большинства) участников сетевого сообщества, дать определение спама и легальных рассылок.

На прошлой неделе в Пекине открылась лаборатория по изучению исходного кода операционной системы Windows. Как сообщает газета People's Daily, лаборатория Source Code Browsing Lab вошла в состав существующей государственной организации «Китайский центр тестирования и сертификации продуктов защиты информации» (China Information Technology Security Certification Centre, CNITSEC).

В статье говорится, что Microsoft стала первой коммерческой софтверной фирмой, подписавшей с китайским правительством соглашение об изучении исходного кода операционной системы: намек на то, что двери лаборатории открыты и для других софтверных компаний, желающих сертифицировать свои продукты на безопасность. В статье подчеркивается необходимость проверить исходный код Windows на наличие пробелов в защите, особенно в свете недавних хакерских атак. Однако в предыдущих статьях говорилось, что целью соглашения служит также поиск лазеек, оставленных разведывательными службами.

Китай, гигантский потенциальный рынок для Microsoft при условии решения проблемы пиратства, демонстрирует искреннюю поддержку операционных систем с открытым исходным кодом, таких как Linux. Это вынудило компанию пойти по пути более тесных контактов с чиновниками и открыть исходный код Windows для анализа. В феврале CNITSEC подписал соглашение с Microsoft об участии в программе Microsoft Government Security Program (GSP).

GSP — это план предоставления исходного кода операционной системы Windows правительствам нескольких стран, нацеленный на то, чтобы снять опасения по поводу безопасности ОС. Microsoft заключила соглашения GSP с Россией, НАТО и Великобританией. Компания ведет переговоры более чем с 30 странами, территориями и организациями, проявляющими интерес к участию в программе.

Российскую глубинку подключат к интернету через почтовые отделения. Как заявил руководитель управления по координации ФЦП "Электронная Россия" Минсвязи РФ Олег Бяхов на конференции "Электронная Россия - человеку, бизнесу, обществу" во Владивостоке, реализация программы "Электронная Россия" позволит подключить ко Всемирной сети половину отделений Федеральной почтовой связи.

По данным, приведенным Бяховым, в рамках "Электронной России" на конец июля этого года были открыты свыше 2,7 тыс. пунктов коллективного доступа в интернет на базе почтовых отделений, что составляет пока лишь 7% от общего количества отделений.

Напомним, что программа "Электронная Россия" стартовала в начале 2002 года и предполагала широкую информатизацию федеральных органов власти. За счет внедрения IT-технологий предполагалось повысить эффективность экономики, государственного управления и местного самоуправления, а также обеспечить подготовку IT-специалистов и право на свободный доступ к информации о работе госорганов для самых широких слоев населения.

В начале сентября, правительство РФ поручило Министерству связи России представить конченый вариант редакции ФЦП "Электронная Россия" в декабре этого года.

Тем временем, Бяхов также сообщил, что до конца 2003 года на финансирование пилотной программы "Компьютерный всеобуч", направленной на увеличение компьютерной грамотности населения, из федерального бюджета будут направлены пять миллионов долларов США, сообщает Сompulenta.

Главная опасность таких «глобальных проектов» как «Электронная Россия» с выделением существенных бюджетных средств заключается в воровстве и нецелевом использовании (что по конечному результату фактически одно и тоже). Даже после значительного «обрезания» первоначально запланированных средств. Некоторые эксперты также считают, что перекос в финансировании покупки техники в ущерб обучению персонала также явно наблюдается и дискредитирует весь проект. И если в больших городах контроль за выделенными средствами хоть теоретически возможен, то дальше все проблематично.

Результаты опроса специалистов отрасли безопасности выявил их интересы к различным типам оборудования. Агентство деловой информации «Монитор» и компания «Гротек» провели опрос подписчиков на информационные продукты агентства и журнала «Системы безопасности» по тематике «Безопасность», с целью выявления наиболее актуальных тем и интересов. Респондентам задавался вопрос: «Что интересно специалистам отрасли безопасности?»

По итогам проведенного опроса получены данные о том, что наибольший интерес у специалистов отрасли вызывают следующие типы оборудования (по убыванию):

- охранная сигнализация,

- системы охранного телевидения и наблюдения,

- системы ограничения доступа,

- системы защиты информации,

- системы радиосвязи и другие системы связи,

- системы пожарной безопасности,

- инженерно – технические средства защиты,

- комплексное оснащение и проектирование систем безопасности.

Наименьший интерес специалистов вызвали специальный транспорт; аварийно – спасательные средства; противоугонные системы и приспособления; охранные услуги; антитеррористическое и досмотровое оборудование; средства личной безопасности, оружие, экипировка; специальные технические средства; средства обслуживания систем безопасности.

Новости по этим тематикам читатели информационного еженедельника «Безопасность Экспресс» смогут увидеть в обновленном выпуске издания. Более подробную информацию о бюллетене можно увидеть на сайте АДИ «Монитор»: www.telenews.ru.

Информационно-коммуникационные технологии являются одним из важных факторов, влияющих на формирование общества XXI столетия. Их революционное влияние касается способа жизни людей, образования и работы. Информационные технологии стали жизненно важным стимулом развития мировой экономики, они дают возможность эффективно и творчески решать экономические и социальные проблемы. Человечество вступило в новую эпоху – эпоху информационного общества.

Подсчитано, что для увеличения материального производства в два раза необходимо четырехкратное увеличение объема обеспечивающей его информации. Еще два десятилетия назад объем научной информации, необходимой для решения технологических и социальных проблем, удваивался каждые семь лет, а с 1995 года такое удвоение совершается каждые один-два года.

В таких условиях информация, обеспечивающая жизненно и исторически важные направления деятельности человека, превращается в ценный продукт и основной товар, стоимость которого постепенно приближается к стоимости продуктов материального производства. Под влиянием новейших научных и технологических знаний, материальное производство радикально меняет свою технологическую основу.

Информационные технологии глубже проникают в механизмы массовых социальных коммуникаций: образование, воспитание, обучение, оказывая влияние на формирование личности, образ жизни, систему правовых отношений и т.д.

Можно уверенно утверждать, что в историческом соревновании различных социально-экономических систем выживет и победит та, которая быстрее станет на путь новой информационной цивилизации и культуры, создаст принципиально новые возможности для самореализации человека как творческого индивида.

Проблема противодействия преступности в сфере использования компьютерных технологий, безусловно, связана с общей проблемой защиты информации и особенностью компьютерной информации как объекта правоотношений. Особое внимание при решении этой проблемы следует уделять общественным отношениям, возникающим по поводу права собственности на информацию. Такая особенность отражается и на признаках информации как предмете противоправных посягательств. При этом следует определить пути и средства защиты информации, права и обязанности субъектов информационных отношений, возникающих в связи с использованием, накоплением, обработкой и защитой информации, а также уголовно-правовые аспекты, связанные с ответственностью за противоправные действия в сфере защиты информации.
6

Американские спецслужбы провели второй арест в ходе расследования дела о распространении компьютерного вируса LoveSan, он же Blaster, и его модификаций.

Как сообщает CNN, следственные органы вновь арестовали подростка, данные о котором не разглашаются в силу его несовершеннолетия - не сообщается возраст, род занятий и даже пол арестованного вирусописателя. Он подозревается в создании одной из модификаций LoveSan, известной как "RPCSDBOT". По данным аналитиков корпорации Symantec, эта версия вируса отличалось от оригинальной наличием встроеннной "троянской" программы, которая позволяла хакерам получить контроль над зараженной системой.

Как известно, накануне американскими правоохранительными органами был задержан житель штата Миннесота 18-летний Джеффри Ли Парсон (Jeffrey Lee Parson), которого подозревают в создании другой модицикации LoveSan, поразившей около 7 тысяч компьютеров. Парсон может быть приговорен к лишению свободы на срок до 10 лет и к штрафу в размере до 250 тысяч долларов.

Кроме того, в Румынии в начале сентября был арестован 24-летний студент Дан Чиобану, который подозревается в создании ещеодной модификации LoveSan.

Всего, по подсчетам Symantec, от вируса LoveSan и его модификаций пострадали около 1,2 миллиона компьютеров по всему миру. На создателя оригинальной версии полиции выйти пока не удалось. Дело ведет прокуратура Сиэтла, так как в ее юрисдикцию входит территория, где расположена штаб-квартира корпорации Microsoft - оригинальная версия LoveSan была запрограммирована таким образом, чтобы зараженные ей компьютеры устраивали атаку на сайт этой компании.
7

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, объявляет о начале специальной программы для пользователей антивирусной системы RAV по переходу на Антивирус Касперского®.

10 июля 2003 г. технологии RAV были приобретены корпорацией Microsoft для интеграции в операционную систему Windows (http://www.microsoft.com/presspass/press/2003/jun03/06-10GeCadPR.asp). Руководство GeCAD, компании-разработчика RAV, уже объявило о "стратегической реорганизации", остановке продаж, поддержки продукта и, с сентября 2004 г., прекращении выпуска антивирусных обновлений. К сожалению, поглощение RAV имело ряд негативных последствий, вызванных неопределенностью сложившейся ситуации. В результате многие пользователи и дистрибуторы продукта выразили свое недовольство и были вынуждены обратиться к поиску альтернативных антивирусных решений.

"Лаборатория Касперского" хорошо представляет важность постоянной антивирусной защиты как домашних компьютеров, так и крупных корпоративных сетей. Нарушения в ее работе могут вызвать серьезные нежелательные последствия, связанные с уничтожением, изменением и кражей данных. Для обеспечения бесперебойной защиты от вирусов компания предлагает специальную программу перехода на Антивирус Касперского®. В соответствии с условиями программы заказчики RAV имеют возможность приобрести равноценную версию Антивируса Касперского на следующий год с 50% скидкой, при этом вплоть до окончания лицензии RAV пользоваться продуктом бесплатно.

Крупным корпоративным клиентам и интернет-провайдерам "Лаборатория Касперского" также предлагает консалтинговые услуги по внедрению, сопровождению, а также адаптации системы зашиты для решения специфических задач.

Антивирусные решения "Лаборатории Касперского" обеспечивают надежный контроль над всеми потенциальными источниками проникновения компьютерных вирусов: они используются на рабочих станциях, файловых серверах, почтовых шлюзах, межсетевых экранах, карманных компьютерах. Удобные средства управления дают пользователям возможность максимально автоматизировать антивирусную защиту компьютеров и корпоративных сетей. Продукты компании имеют полный набор сертификатов и лицензий, подтверждающих их высокое качество и надежность.

"У нас есть все необходимые ресурсы и знания для обеспечения пользователей RAV эффективной антивирусной защитой и качественной технической поддержкой, - сказала Наталья Касперская, генеральный директор "Лаборатории Касперского", - В нашем арсенале передовые технологии, круглосуточная служба по работе с клиентами и готовность помочь пользователям RAV. Недавнее приобретение команды Unix/Linux разработчиков и управленческого персонала RAV - залог максимально комфортного перехода на продукты "Лаборатории Касперского".

"Лаборатория Касперского" также обращается к компаниям, занимающимся распространением продуктов семейства RAV с предложением взаимовыгодного сотрудничества.

Для получения более подробной информации о программе перехода на Антивирус Касперского, пожалуйста, обращайтесь по адресу rav@kaspersky.com.

О "Лаборатории Касперского"