ХАМАС выбрал Россию

22 марта | ХАМАС выбрал Россию

Сайт палестинской террористической группировки ХАМАС сменил место прописки. Отныне ресурс, на прошлой неделе изгнанный из Швеции за пропаганду терроризма и антисемитизм, расположился на серверах "Каравана".

На прошлой неделе общественность с подачи журналистов выяснила, что уже несколько лет на сервере крупнейшего местного провайдера Telia-Sonera существует ресурс террористической группировки. Особенно активно ратовала за закрытие сайта представители еврейской общины.

Ресурс не прекратил свое существование, а возродился на IP-адресе 217.23.144.158. WHOIS показывает, что данный адрес принадлежит домену palestina.ru, владельцем которого выступает некий Максим Кочергин. В настощее время с домена стоит редирект на www.kochergin.com.

По информации "Новых известий", основной ресурс находится на сервере провайдера «Караван», а зеркало подключено к площадке оператора «РусБизнесИнформ». Подстраховка в данном случае вполне понятна, - ресурс "радует" посетителей Рассказами о «героических операциях палестинских партизан, направленных против еврейских террористов».

Реакция компании "Караван" на факт размещения не ее мощностях террористического сайта пока не известна.

Witty - Новый червь, заражающий ISS blackICE

22 марта | SecurityLab.ru

В сети появился новый червь (Witty), заражающий пользователей ISS blackICE персонального файрвалла. Червь эксплуатирует недавно обнаруженную уязвимость в обработчике ICQ протокола. Червь распространяется по 4000 UDP порту и использует тот же “PUSH” принцип, заложенный в черве SQL Slammer. После заражения червь рассылает свое тело (между 768 и 1280 байт) в UDP пакетах с портом источника 4000 и случайным портом адресата к 20000 случайным IP адресам. После отсылки 20000 пакетов, червь перезаписывает 128 случайных секторов на одном из первых 8 жестких дисков. Затем червь продолжает свое распространение. Червь не создает каких либо файлов на жестком диске и полностью уничтожается при перезагрузки системы. Подробнее об уязвимости в ISS Blackice можно посмотреть здесь: http://www.securitylab.ru/43850.html SNORT сигнатура для Witty: alert udp any 4000 -> any any (msg:"ISS PAM/Witty Worm Shellcode"; content:"|65 74 51 68 73 6f 63 6b 54 53|"; depth:246; classtype:misc-attack; reference:www.lurhq.com/witty.html; sid:1000078; rev:1;) Анализ эксплоита: Analyze exploit file c:\temp\temp.bin with size 0000040f Found: offset 000000ef value 5e0d409c in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d409c: Rva 000d409c is address of import fx: KERNEL32.dll!GetModuleHandleA Found: offset 00000106 value 5e0d4098 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d4098: Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress Found: offset 00000121 value 5e0d4098 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d4098: Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress Found: offset 0000014a value 5e0d4098 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d4098: Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress Found: offset 00000164 value 5e0d409c in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d409c: Rva 000d409c is address of import fx: KERNEL32.dll!GetModuleHandleA Found: offset 0000017f value 5e0d4098 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d4098: Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress Found: offset 00000241 value 5e0d40dc in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d40dc: Rva 000d40dc is address of import fx: KERNEL32.dll!CreateFileA Found: offset 0000027a value 5e0d40c4 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d40c4: Rva 000d40c4 is address of import fx: KERNEL32.dll!SetFilePointer Found: offset 00000294 value 5e0d4094 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d4094: Rva 000d4094 is address of import fx: KERNEL32.dll!WriteFile Found: offset 0000029c value 5e0d4038 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d4038: Rva 000d4038 is address of import fx: KERNEL32.dll!CloseHandle EntryPoint Info: Found: offset 000002a7 value 5e077663 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e077663: Rva 00077663 value 0759e4ff 5E077663: FF E4 jmpn esp

Witty Worm Analysis F-Secure Virus Descriptions : Witty "Witty" worm attacks BlackICE firewall

Разработчики спам-фильтров делят рынок

22 марта | SecurityLab.ru

Индустрия корпоративных спам-фильтров переживает неспокойные времена. После многочисленных слияний из 40 существующих вендоров к концу года на рынке останутся меньше десяти — такой прогноз даёт консалтинговая компания Gartner.

В течение ближайших девяти месяцев производители спам-фильтров существенно изменят свои позиции на этом рынке, который недавно сформировался и сейчас бурно развивается. Аналитики Gartner объясняют необходимость многочисленных слияний и поглощений именно незрелостью рынка, а также тем, что большинство вендоров пока не могут обеспечить удовлетворительное качество своих продуктов. Разработчики самых лучших антиспамерских фильтров — это маленькие, недавно образованные компании. В то же время крупные гиганты, известные фирмы на рынке — антивирусные компании, производители корпоративных файрволов и систем фильтрации безопасного контента — все они активно инвестируют в разработку средств для фильтрации спама, но до сих пор не могут удовлетворить потребности корпоративных пользователей.

Предприятиям требуются сложные интеллектуальные системы с постоянным обновлением. Спам-фильтры должны работать и обновляться в автоматическом режиме, ни в коем случае не удалять деловые письма, обладать возможностями по гибкой настройке. При покупке спам-фильтра предприятие не обращает внимания на известность вендора, а главными считает именно перечисленные ваше условия, потому что по статистике спам уже достигает от 60% до 75% входящей корреспонденции, спам является основным переносчиком вирусов и представляет собой серьёзную угрозу для безопасности фирмы.

По мнению специалистов из компании Gartner, в данный момент не стоит заключать долговременные контракты с каким-либо из производителей спам-фильтров. Лучше всего заключить краткосрочный контракт и дождаться, когда на рынке появятся надежные и эффективные решения.

Аналитики Gartner исследовали рынок и составили список самых лучших разработчиков корпоративных спам-фильров. В этот список вошли разработчики специальных программ, приложений, а также удаленных сервисов для фильтрации спама. Вся эта информация включена в аналитический отчет «Magic Quadrant for Enterprise Spam Filtering, 1Q04», который доступен на сайте Gartner. Семистраничный документ продаётся за $495.

IT: безопасность против преступности

22 марта | IT: безопасность против преступности

Любители обогатиться или просто немного развлечься при помощи высоких технологий предпочли не мелочиться. Недавно они выбрали своей мишенью крупнейший в Эстонии банк "Хансапанк". Как заявил журналистам пресс-секретарь финансового учреждения, банк подвергся атаке хакеров.

Специалисты в этом вопросе полагают, что действия злоумышленников можно расценить как крупнейшее в странах Балтии нападение на банковские интернет-терминалы. По данным представителя пострадавшей стороны, на электронный адрес банка в 13 и 14 марта 2004 года были направлены тысячи запросов, что в конечном итоге привело к перегрузке портала банка и временному прекращению доступу в систему "Интернет-банк" зарубежных клиентов.

К счастью, техническому персоналу "Хансапанк" удалось оказать злоумышленникам достойный отпор. Крупномасштабная атака хакеров была нейтрализована благодаря современным защитным технологиям банка. При этом личная информация и сбережения клиентов "Хансапанк" в результате атаки не пострадали.

Руководство банка уже подало заявление в полицию с требованием возбудить уголовное дело по факту хакерской атаки.

ITU принял модель сетевой безопасности Лабораторий Белла за основу нового стандарта

22 марта | SecurityLab.ru

Международный союз связи ITU принял модель сетевой безопасности Bell Labs Network Security Model, разработанную в Лабораториях Белла (исследовательское подразделение Lucent), за основу нового стандарта обеспечения безопасности компьютерных и телекоммуникационных сетей.

Новый стандарт, получивший название ITU-T Recommendation X.805, может быть использован как сетевыми операторами, так и отдельными пользователями для обнаружения, прогнозирования и устранения уязвимостей в беспроводных, оптических и проводных сетях передачи голоса и данных, а также для оценки защищенности действующих сетей и обеспечения сквозной защиты распределенных приложений.

Сервисное подразделение Lucent Worldwide Services (LWS) уже использует положения стандарта X.805 в своей работе.

X.805 представляет собой полнофункциональную многоуровневую сквозную рамочную структуру. Основными компонентами структуры являются:

• Факторы защиты, относящиеся к конкретным аспектам обеспечения сетевой безопасности, таким как аутентификация или целостность данных, и охватывающие в том числе приложения и информацию конечных пользователей.
• Уровни защиты включают инфраструктурный, сервисный и сетевой уровни, различающиеся с точки зрения уязвимостей, которые должны устраняться в соответствии с требованиями конкретного уровня.
• Плоскости защиты охватывают процессы сетевого управления (параметризация, контроль), сигнализации с использованием различных протоколов, например, SIP, а также деятельность конечных пользователей, например, организацию виртуальных частных сетей.

Стандарт X.805 может использоваться на всех этапах реализации программ сетевой защиты, включая разработку и планирование, реализацию и внедрение, техобслуживание и поддержку.

Новые рулевые. Назначены руководители ФАС и ФСНСС.

22 марта | ФЦП Электронная Россия

В конце прошлой недели состоялись два ключевых для российской телекоммуникационной отрасли назначения. Премьер-министр Михаил Фрадков назначил Валерия Бугаенко руководителем Федеральной службы по надзору в сфере связи (ФСНСС), а Дмитрия Милованцева – руководителем Федерального агентства связи (ФАС).

Валерий Николаевич Бугаенко родился в 1951 г. Окончил Харьковское высшее военное командно-инженерное училище, Военную академию им. Ф. Э. Дзержинского, высшие курсы Военной академии Генштаба. С 1968 по 1999 г. служил в Вооруженных силах. Генерал-лейтенант. С 1992 г. работал в центральном аппарате Минобороны, с 1997 г. – государственный инспектор Совета безопасности. С 2000 г. работал в Минсвязи, последняя должность – руководитель Департамента по надзору за связью и информатизацией.

Дмитрий Александрович Милованцев родился 5 ноября 1971 г. в Ленинграде. В 1994 г. окончил Санкт-Петербургский государственный университет экономики и финансов. Работал директором Департамента внутреннего аудита экономического анализа "Связьинвеста". С марта 2002 г. – начальник Управления по координации ФЦП "Электронная Россия". С 31 октября 2002 г. – замминистра связи.

Новые ведомства будут подчинены созданному в рамках реформы правительства Министерству по транспорту и связи, которое возглавил Игорь Левитин. ФАС должно заняться улучшением качества обслуживания россиян услугами связи. "Оптимизация инвестиционных потоков и более широкое использование рыночных механизмов может ускорить выполнение этих задач", – заявил Милованцев "Ведомостям". Основными функциями ФАС станет управление имуществом и предоставление государственных услуг. Среди прочего в компетенцию агентства будет входить реализация механизма универсальной услуги, прописанного в законе "О связи".

"Основными принципами работы созданной Федеральной службы по надзору в сфере связи остаются законность, открытость, прозрачность и обеспечение равных условий для всех участников телекоммуникационного рынка", – заявил после назначения Валерий Бугаенко. По его словам, эти требования, вытекающие прежде всего из положений закона "О связи", относятся как к операторам связи, так и к государственным инспекторам, осуществляющим надзор в сфере связи и информатизации.

Игроки рынка встретили назначения с энтузиазмом. "Милованцев и Бугаенко имеют репутацию профессиональных специалистов среди коллег по цеху", – говорит президент "Компании "ТрансТелеКом" Сергей Липатов. Вице-президент "ВымпелКома" Валерий Фронтов отмечает, что придание статуса федеральной службы повышает значимость и уровень органа надзора за связью, включая его территориальные подразделения. "Мы рады, что сохраняется преемственность, назначение заслуженного генерала Валерия Бугаенко вселяет надежды на то, что будем иметь дело с хорошо организованной и понятной рынку политикой в области надзора за деятельностью операторов связи", – добавляет Фронтов.

На должности руководителей ФАС и ФСНСС рассматривались четыре кандидатуры: помимо Милованцева и Бугаенко выдвигались Александр Киселев и Андрей Бескоровайный (соответственно первый заместитель и заместитель министра связи). Аналитик "Атона" Надежда Голубева не ожидает серьезных изменений в государственной политике в сфере связи из-за новых назначений. При этом Татьяна Толмачева из J'son & Partners высказывает опасение, что реорганизация ведомств может затормозить разработку подзаконных актов по закону "О связи".

Прояснилось и будущее бывшего министра связи Леонида Реймана, получившего предложение занять пост первого заместителя министра транспорта и связи. Всю прошедшую неделю по рынку ходили слухи, что Рейман все же намерен уйти. "Мне предложено стать первым заместителем министра транспорта и связи, и я считаю невозможным отказаться от предложения президента страны", – заявил Рейман корреспонденту "Ведомостей".

Приказ о назначении Реймана пока не подписан. Как сообщил "Ведомостям" источник в новом министерстве, это связано с тем, что до сих пор нет окончательного решения о количестве первых и простых заместителей Левитина. Рассматриваются два варианта: один первый заместитель плюс семь заместителей либо два первых зама и шесть простых.

В подчинении Минтранссвязи вскоре может появиться еще одно федеральное агентство. Среди предложений по изменениям в структуре правительства С создание федерального агентства по информатизации, которое среди прочего будет курировать федеральную целевую программу "Электронная Россия".

ICANN приступает к рассмотрению новых доменных имен

22 марта | SecurityLab.ru

В ближайшее время в интернете могут появиться девять новых доменов, включая ".xxx" для сайтов со "взрослой" тематикой и ".mail" для почтовых систем.

ICANN, отвечающая за адресное пространство Сети, определение параметров протоколов, а также систему доменных имен и систему корневых серверов, сообщила, что 10 различных организаций подали заявки на создание новых доменов.

Крайний срок подачи заявок истек на прошлой неделе, и уже с 1-го апреля начнется их рассмотрение. Процесс согласования новых доменных имен, которые будут поддерживать различные организации, займет два месяца, прежде чем их создание окончательно будет одобрено. Если это произойдет, то количество так называемых доменных имен первого уровня в интернете достигнет 20-ти.

Среди предложенных новых доменов - домен ".mobi", на который заявку подал альянс из девяти компьютерных и телекоммуникационных компаний, включая Microsoft Corp, Samsung Electronics и Nokia. Компании, работающие на рынке мобильных средств связи, объединились в альянса Mobi JV для поддержки в интернете новой доменной зоны ".mobi", ориентированной на мобильные устройства и сервисы.

Также в ICANN поступили заявки на такие домены, как ".asia", ".jobs", ".tel", ".post" и ".travel".

Находящаяся в Лондоне антиспамовая ассоциация Anti-Spam Community Registry выступила за ведение домена ".mail", который, по мнению, организации должен помочь упорядочить онлайн-рекламу и стать эффективным средством в борьбе с распространением спама.

Изначально инициатива увеличения числа доменов первого уровня исходило от самой ICANN, которая таким образом пытается удовлетворить потребности и оптимизировать работу с Сетью пользователям интернет.

Переполнение буфера в переменной ServerInfoTemp в 'Terminator 3: War of the Machines'

22 марта | SecurityLab.ru

Программа: 'Terminator 3: War of the Machines' 1.0 Опасность: Высокая Наличие эксплоита: Да Описание: Переполнение буфера обнаружено в 'Terminator 3: War of the Machines' игре. Удаленный сервер может выполнить произвольный код на подключенном клиенте. Удаленный сервер может представить специально обработанный ответ к подключенному клиенту, чтобы вызвать переполнение буфера в ServerInfoTemp переменной. Уязвимость может использоваться для выполнения произвольного кода. Пример/Эксплоит: http://aluigi.altervista.org/poc/t3cbof.zip URL производителя:http://www.t3war.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Broadcast client buffer-overflow in Terminator 3 1.0

Отказ в обслуживании при открытии некоторых файлов в Winamp

22 марта | SecurityLab.ru

Программа: Winamp Player 5.02 Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость обнаружена в Winamp player. Программа может аварийно завершить работу при открытии некоторых файлов. Когда целевой пользователь открывает файл с именем более 246 символов, Winamp аварийно завершит свою работу. URL производителя: http://www.winamp.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Winamp 5.02 Long Filename Buffer Overflow Vulnerability

Аварийное завершение работы большим Javascript масивом в Apple Safari браузере

22 марта | SecurityLab.ru

Программа: Apple Safari 1.2 Опасность: Наличие эксплоита: Да Описание: Уязвимость обнаружена в Apple Safari браузере. Удаленный пользователь может создать HMTL, который, когда будет загружен целевым пользователем, аварийно завершит работу браузера. ~ var a = new Array(99999999999999999999999); ~ a[0+5]="AAAAA"; var bam = new Array(0x23000000); bam.sort(new Function("return 1")); URL производителя:http://www.apple.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Safari javascript array overflow

Удаленное переполнение буфера при обработке фильтра межсетевой защиты в Check Point SmartDashboard

22 марта | SecurityLab.ru -

Программа: Check Point SmartDashboard Опасность: Высокая Наличие эксплоита: Нет Описание: Переполнение буфера обнаружено в Check Point SmartDashboard. Удаленный авторизованный пользователь может выполнить произвольный код на целевой системе. Удаленный авторизованный пользователь может представить специально обработанные данных когда добавляется фильтр межсетевой защиты через SmartView Tracker, чтобы вызвать переполнение буфера и выполнить произвольный код на уязвимой системе. Программа SmartDashboard поставляется с Check Point FireWall-1 NG AI R54 и R55. URL производителя: http://www.checkpoint.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

SmartDashboard vuln

Удаленное переполнение буфера при обработке фильтра межсетевой защиты в Check Point SmartDashboard

22 марта | SecurityLab.ru

Программа: Check Point SmartDashboard Опасность: Высокая Наличие эксплоита: Нет Описание: Переполнение буфера обнаружено в Check Point SmartDashboard. Удаленный авторизованный пользователь может выполнить произвольный код на целевой системе. Удаленный авторизованный пользователь может представить специально обработанные данных когда добавляется фильтр межсетевой защиты через SmartView Tracker, чтобы вызвать переполнение буфера и выполнить произвольный код на уязвимой системе. Программа SmartDashboard поставляется с Check Point FireWall-1 NG AI R54 и R55. URL производителя: http://www.checkpoint.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

SmartDashboard vuln

Удаленный отказ в обслуживании против admin службы в Apple Mac OS X

22 марта | SecurityLab.ru

Программа: Apple Mac OS X 10.3 Опасность: Средняя Наличие эксплоита: Да Описание: Уязвимость обнаружена в Apple Mac OS X в admin службе. Удаленный пользователь может аварийно завершить работу службы. Удаленный пользователь может подключится к admin службе на 660 TCP порту и послать 2057 символов, чтобы аварийно завершить работу службы и, возможно, выполнить произвольный код на целевой системе. URL производителя: http://www.apple.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

mac osx- admin service buffer overflow

Уязвимость в обработке сокетов в Apache Web Server позволяет удаленному пользователю вызвать отказ в обслуживании

22 марта | SecurityLab.ru

Программа: Apache Web Server 2.0.48 и более ранние версии Опасность: Средняя Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Apache web сервере. Удаленный пользователь может вызвать условия отказа в обслуживании. Удаленный пользователь может установить кратковременное подключение к редко используемому сокету на целевом сервере, чтобы заставить дочерний процесс Apache блокировать новые подключения, пока другое подключение не установится с редко используемым сокетом. Уязвимы некоторые версии AIX, Solaris, и Tru64 UNIX. FreeBSD и Linux системы не уязвимы. URL производителя: http://httpd.apache.org/ Решение:Установите обновленную версию программы: http://httpd.apache.org/download.cgi

CAN-2004-0174

Небезопасный ActiveX компонент позволяет удаленному пользователю выполнять произвольные файлы в Norton Internet Security

22 марта | SecurityLab.ru

Программа: Norton Internet Security 2004 Опасность: Высокая Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Norton Internet Security в 'WrapUM.dll' ActiveX компоненте. Удаленный пользователь может выполнить привольные файлы на целевой системе. Сообщается, что WrapNISUM класс (c:\program files\Norton Internet Security Professional\WrapUM.dll) помечен как безопасный для сценариев и может эксплуатироваться удаленным пользователем чтобы запускать произвольные программы на целевой системе. Удаленный пользователь может сконструировать HTML, который, когда будет загружен целевым пользователем, выполнит произвольные программы на системе с привилегиями целевого пользователя. URL производителя:http://www.symantec.com/ Решение:Установите обновление, доступное через LiveUpdate

Norton Internet Security Remote Command Execution (#NISR19042004b)

Переполнение стекового буфера в Symantec Norton AntiSpam в 'sysspam.dll' позволяет удаленному пользователю выполнить произвольный код

22 марта | SecurityLab.ru

Программа: Symantec Norton AntiSpam 2004 Опасность: Высокая Наличие эксплоита: Нет Описание: Переполнение буфера обнаружено в Norton AntiSpam в 'sysspam.dll' ActiveX компоненте. Удаленный пользователь может выполнить произвольный код на целевой системе. SymSpamHelper Class (c:\program files\common files\symantec shared\antispam\symspam.dll) устанавливается по умолчанию и помечен как безопасный для сценариев. Удаленный пользователь может сконструировать HTML, который, когда будет загружен целевым пользователем, вызовет dll через LaunchCustomRuleWizard метод и представит чрезмерно длинный параметр, чтобы вызвать переполнение стекового буфера. Код будет выполнен с привилегиями целевого пользователя. URL производителя:http://www.symantec.com/antispam Решение:Установите обновление, доступное через LiveUpdate

Symantec's Norton AntiSpam Remote BufferOverrun

Windows XP SP2 Release Candidate 1 is out

22 марта | SecurityLab.ru

Компания Microsoft выпустила предварительную версию пакета обновлений Windows XP Service Pack 2. Скачать и протестировать XP SP2 Release Candidate 1 можно через новый портал TechNet, начиная с сегодняшнего дня.

Windows XP SP2 RC1 включает в себя довольно весомые улучшения работы операционной системы, такие как:

• Security Center. Теперь сама ОС содержит средства для конфигурации Windows Firewall, автоматических обновлений.
• Блокировка всплывающих окон в Internet Explorer. Теперь эта опция включена по умолчанию, можно редактировать много настроек.
• Новая система обновления операционной системы. Теперь более оперативно будут происходить обновления, в частности критические обновления.
• Новый Windows Firewall. Он также уже активен по умолчанию, делает работу в сети более безопасной и контролируемой.
• Интегрированная поддержка Windows Media Player 9, DirectX 9.0b, Bluetooth, клиента Windows Update Services, и других возможностей.

Ориентировочно окончательный выход Windows XP Service Pack 2 намечен на начало лета.

Скачать Windows XP SP2 Release Candidate 1 можно отсюда: http://download.microsoft.com/download/5/a/f/5aff45ae-ef27-4821-b666-d2b6530cbe4f/xpsp2.exe