Программист преследуется за взлом защиты "1С:Предприятия"

Продолжается развитие событий вокруг конфликта компании "1С" и программиста Сергея Давыдюка, известного под псевдонимом Соболь. На днях ожидается предъявление обвинения, а там и до слушаний по существу уже недалеко. По всей вероятности, программиста обвинят по статье 273 УК РФ - создание вредоносных программ.

История Соболя во многом похожа на конфликт Дмитрия Склярова с компанией Adobe. Скляров доказал возможность обхода системы защиты от копирования электронных книг формата Adobe, и за это в 2001 году попал в США под суд. Впрочем, в итоге, его вина так и не была доказана, и Скляров вернулся в Россию.

На этот раз действующим лицом выступает уже не американская Adobe, а российская компания "1С". Соболь написал бесплатный эмулятор аппаратного HASP-ключа, используемого для защиты "1С:Предприятие", и обновлял эмулятор по мере появления новых версий продукта "1С". Предупреждения о том, что его деятельность незаконна, Соболь игнорировал, и в результате, после нескольких обысков и допросов против него возбуждают дело.

Аппаратный HASP-ключ является основой системы защиты "1С:Предприятия" от нелегального копирования. Без него программа работать не будет. Эмулятор Соболя представляет собой программу, которая ломает защиту программы от "1С". Разумеется, им могут пользоваться (и воспользовались) пираты, однако он может оказаться полезен и легальным пользователям "1С:Предприятие". Дело в том, что аппаратный ключ иногда конфликтует с периферийными устройствами, подключенными к портам компьютера, например, с некоторыми моделями принтеров и сканеров. Для владельцев таких устройств эмулятор ключа - единственный способ запустить "1С:Предприятие".

В компании "1С" от комментариев воздерживаются и отсылают к давнему интервью Алексея Харитонова, руководителя отдела продвижения экономических программ "1С". В разговоре с корреспондентом "Компьюленты" Алексей Харитонов подчеркнул, что его позиция по этому вопросу не изменилась, и что-либо конкретное можно будет сказать только после судебного слушания.

Американка арестована за пособничество интернет-мошенникам

Американка Бобби Джин, нашедшая работу с помощью интернет-портала, арестована и будет привлечена к уголовной ответственности. Бобби Джин, бывший бухгалтер, нашла работу на интернет-портале, и в её обязанности входили сбор денег с клиентов аукциона eBay в США и переправка средств в Лондон. Оказалось, что таким образом ничего неподозревавшая женщина помогала переводить ворованные деньги за границу. Технология проста: мошенники продавали на аукционе несуществующие товары и пользовались адресом женщины для перевода денег, чтобы лишний раз не возбуздать подозрений. В полиции считают, что Бобби Джин несомненно виновна, и хотя она ни о чём не догадывалась, всё-таки решено привлечь её к суду. Дата заседания назначена на август.

Взломан сайт крупнейшего провайдера Белоруссии

Вечером 17 июля, в субботу, сайт белорусского республиканского объединения «Белтелеком» был взломан. На первой странице сайта в разделе «Новости» появилась такая надпись: «Этот сайт был взломан ~Kokain~’ом. This site was hacked by ~Kokain~. Могу сказать как — мыльте на 25925@mail.ru!»

Дежурные администраторы быстро обнаружили взлом, однако в выходные дни не смогли устранить его последствия. На протяжении всего воскресенья сайт белорусского провайдера-монополиста был недоступен.

Сложно сказать, как хакер получил доступ к серверу «Белтелекома» — чуть ли не главному серверу белорусского интернета. Вполне возможно, что Kokain использовал дыры в системе управления сайтом. Как известно, три месяца назад сайт «Белтелекома» был полностью переделан, и на нем установили систему управления контентом Site Sapiens, которая решает все задачи по обновлению проекта, включая распределение прав внесения и публикации материалов. Эта система также поддерживает разграничение прав доступа и администрирования к разным разделам сайта, а к базам данных веб-проектов можно организовывать доступ даже через мобильные телефоны или карманные компьютеры.

Очевидно, впрочем, что хакер не получил полного доступа к сайту. Если интересуют подробности — можно обратиться к нему лично, благо он оставил свой email.

Новая генерация компьютерных преступников

WorldWideWeb стала областью быстро разрастающегося электронного бизнеса, сферой индустриальной купли-продажи, международной рыночной площадкой, в пределах которой уже циркулируют громадные деньги. А где деньги, там и мошенники. Причем новой генерации – компьютерной, технически грамотные, хорошо оснащенные, хитроумные и трудноуловимые.

Согласно некоторым оценкам, около 80% информации в российском сегменте Интернета является "ворованной". Крадут доменные имена и дизайны сайтов, каталоги товаров и фотографии, базы данных, целиком и частями, программное обеспечение - как компилированное, так и в исходных кодах, логотипы, списки часто задаваемых вопросов, слоганы и т.д., и т.п.

По данным Центра по мониторингу мошенничества в Интернете (Internet Fraud Complaint Centre – IFCC), в 2001 году убытки от виртуальных аферистов во всем мире составили 17 миллионов долларов, в 2002 году – 54 миллиона, в 2003 году сумма достигла 1.5 миллиарда долларов.

"В течение нескольких лет мы наблюдаем рост числа подобных преступлений", - заявил директор бюро защиты потребителей при Национальной торговой палате Говард Билз. - Теперь нам известно, что эта проблема затрагивает интересы миллионов людей и наносит убытков на миллиарды долларов".

Анти-"фишинговая" рабочая группа (Anti-Phishing Working Group - APWG), занимающаяся расследованиями незаконных махинаций в Интернете, сообщает о более чем 1100 случаев уникальных афер или мошеннuчеств, обнаруженных ею за апрель. Это число на 178% больше, чем в марте. А с февраля по март число жульничеств выросло только на 43% и в основном касалось финансовых услуг или розничных продаж. Citibank подвергся 475 атакам в апреле, eBay - 221 и PayPal - 135. APWG подтвердила свое предположение что "фишинговые" веб-страницы являются товаром среди мошенников, также как спамеры торгуют e-mail адресами. Криминальные организации также используют интернет-аферы. Исследование, проведенное Gartner, показывает, что, как минимум, 3% жульнических атак успешны, а значит, затрагивают 1.78 млн. взрослых пользователей.

Вирус Duts поражает устройства на базе Windows Mobile

"Лаборатория Касперского" сообщила об обнаружении первого компьютерного вируса для Windows Mobile - одной из наиболее популярных мобильных программных платформ, активно использующейся в КПК и смартфонах.

После запуска зараженного файла на экран выводится диалоговое окно с текстом: "Dear User, am I allowed to spread?" ("Дорогой пользователь, Вы позволите мне размножиться?"). В случае положительного ответа Duts внедряется в подходящие по формату и размеру (более 4 кб) исполняемые файлы в корневой директории устройства (My device). В процессе заражения вирус записывает себя в конец целевого файла и модифицирует его точку входа. Во избежание повторного заражения такие файлы получают метку "atar" в одном из неиспользуемых полей. Каких-либо деструктивных функций в Duts не обнаружено.
 

ИТ-безопасность стала приоритетом для топ-менеджеров

Большинство топ-менеджеров компаний по всему миру сейчас считают безопасность компьютерных сетей единственной и самой важной проблемой их корпораций, однако при этом четверо из пяти CEO не задумываясь открывают на своих компьютерах файлы, приложенные к письмам от неизвестных отправителей.

Согласно последнему обзору аналитического подразделения журнала The Economist, информационная безопасность является одной из самых приоритетных проблем для 78% из 254 опрошенных по всему миру первых лиц компаний. Респонденты признавали, что большую часть проблем создают сами сотрудники корпораций. По статистике опроса, источник 83% проблем с безопасностью находится внутри компании, среди таких проблем — саботаж, шпионаж или просто невнимательность.

Ущерб, нанесённый вирусными атаками в 2003 году, составил порядка £6,5 млрд. против £1,8 млрд. в 1997 году, отмечают аналитики The Economist. В текущем году эти цифры будут еще выше. В среднем на сетевую безопасность было выделено 9% ИТ-бюджетов в 2002 году, 11% — в прошлом, а в текущем ожидается рост до 13%.

По мнению опрошенных, их основные приоритеты в области сетей — подключение удалённых работников к корпоративной сети и предоставление финансовой информации и данных о клиентах сотрудникам, — связаны с сетевыми проблемами. Более 80% опрошенных признали, что именно их основные цели делают их компании уязвимыми перед лицом угроз безопасности.

Сейчас затраты на улучшение средств обнаружения атак переходят от инструментов защиты периметра и обнаружения вторжения к тем, что предупреждают атаки и обнаруживают их по факту. 32% опрошенных сказали, что уже используют или планируют использовать службы защиты в следующие два года, а другие 14% планируют работать с такими системами в отдалённой перспективе. Несмотря на это, большинство компаний (70%) имеют малый или средний размер.

По итогам исследования стало ясно, что CEO компаний всё больше понимают ответственность за политику безопасности сети, в то время как некоторые компании вменяют в это обязанности CEO, также как это было сделано в AT&T. По словам Эда Аморосо (Ed Amoroso), главы отдела информационной безопасности компании AT&T, любая компания может улучшить свои средства защиты имущества и без создания собственного центра безопасности.

В онлайновом опросе приняли участие 254 должностных лица, осуществляющих управление в основном компаниями, предоставляющими финансовые и профессиональные услуги, занимающиеся производством, транспортировкой и работающих в энергетическом секторе. 40% опрошенных находились в Европе, 27% — в Северной Америке и 21% — в Азиатско-Тихоокеанском регионе. Сам опрос проводился в марте-апреле этого года.

Обзор уведомлений дистрибьюторов операционных систем (с 12 по 18 июля 2004 года).

GWGhost 3.54a

Название: GWGhost 3.54a ( BackDoor-SP, BackDoor-SP [McAfee], destructive program [F-Prot], Trojan.Spy.GWGhost.30 [Kaspersky], TrojanSpy.Win32.GWGhost.30 [Kaspersky])

Язык: Delphi (сжат в ASPack)

Сервер:

c:\WINNT\system32\dxinput.dll    размер: 22.016 bytes 
c:\WINNT\system32\scanregw.exe   размер: 39.025 bytes 

URL: http://www.gwcoder.net/

Описание: Новая версия популярного китайского Трояна-кейлогера. Прописывается в

 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "SCANREGW"
data: C:\WINNT\system32\scanregw.exe

Уязвимость форматной строки в mod_ssl

Программа: mod_ssl до 2.8.19-1.3.31 Опасность: Высокая Наличие эксплоита: Нет Описание: Уязвимость форматной строки в mod_ssl позволяет удаленному пользователю выполнить произвольный код на целевой системе пользователя. Уязвимость может эксплуатироваться в случаях, если Apache Web сервер используется как прокси и представлен HTTPS URL типа 'https://foo%s.example.com/ и имя хоста 'foo%s' существует в 'example.com' зоне. Уязвимость расположена в запросе сообщений об ошибках в 'ssl_engine_ext.c'. URL производителя:http://www.modssl.org/ Решение:Установите обновленную версию программы: http://www.modssl.org/source/mod_ssl-2.8.19-1.3.31.tar.gz

Обход ограничений доступа в I-Café

Программа: I-Café 2.6 rv 2004.72 Опасность: Средняя Наличие эксплоита: Да Описание: Уязвимость в I-Café позволяет локальному пользователю получить административный доступ к приложению и обойти ограничения на доступ к жесткому диску. Локальный пользователь может отключить программное обеспечение, отключая 'icafecli' процесс после того, как загружена операционная система. Затем, локальный пользователь может изменить запись реестра, которая отвечает за загрузку I-Café клиента. Также локальный пользователь может обойти ограничения доступа и получить доступ к жесткому диску. Это может быть сделано открывая рабочий стол в Windows explorer, выделяя произвольный ярлык и затем вводя Alt-Enter. Затем, локальный пользователь может выбрать 'Find Target', чтобы просматривать содержимое диска. Также сообщается, что некоторые IRC приложения (типа Mirc или X-Cript) позволяют локальному пользователю вызвать '/run c:' команду, чтобы получить доступ к диску. Наконец, сообщается, что локальный пользователь может сбросить административный пароль, изменяя 'icafecli.ini' файл в Windows каталоге. Строки вида'admin=312a353424243a2c23313b222d2a24' может быть изменена к 'xadmin='. Затем, локальный пользователь может получить доступ к административному интерфейсу. URL производителя:http://www.mitsoftware.com/icafe/index.asp Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Удаленное выполнение произвольных команд в eXtropia WebStore

Программа: eXtropia WebStore Опасность: Высокая Наличие эксплоита: Да Описание: Уязвимость в eXtropia WebStore позволяет удаленному пользователю выполнить произвольные команды оболочки на целевой системе. Пример/Эксплоит: http://ptarget]/cgi-bin/web_store.cgi?page=.html|cat /etc/passwd| URL производителя: http://www.extropia.com/scripts/web_store.html Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Межсайтовый скриптинг в в Hotmail в обработке HTML комментариев

Программа: Hotmail Опасность: Высокая Наличие эксплоита: Да Описание: Уязвимость обнаружена в Hotmail в обработке HTML комментариев. Удаленный пользователь может выполнить XSS нападение против целевого пользователя через Internet Explorer. Hotmail не фильтрует код сценария внутри IF выражения, содержащегося в HTML комментариях. Microsoft Internet Explorer выполнит этот код. Пример: <!--[if !gte mso 1337]><img src="javascript:alert('XSS haha!')"><![endif]--> <!--[if IE gte 5]> <img src="javascript:alert()"> <![endif]--> URL производителя:http://www.hotmail.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Изменение содержимого логов поиска с целью выполнение команд на сервере в Ikonboard 2.1.9 RussianFullPack форуме

Программа: Ikonboard 2.1.9 RussianFullPack Опасность: Высокая Наличие эксплоита: Да Описание: Уязвимость в Ikonboard в search.cgi позволяет удаленному пользователю изменить содержимое логов поиска, чтобы выполнить произвольные команды на сервере. Уязвимость обнаружена в сценарии search.cgi. Скрипт не проверяет параметры поиска, занося их в лог файл. Т.к. лог файл храниться в папке /cgi-bin/board/search, то при вызове лог файла, последний вызовется, как скрипт. Тем самым, придав сохраняемым в лог параметрам вид выполняемых perl - функций, становится возможным выполнять команды. Взломщика интересует 2 параметра. Первый параметр, вносимый в лог - это CUR_TIME, задав его значение как "#/usr/bin/perl" взломщик задаст первую строку лога. Второй параметр SEARCH_STRING, задав вместо него "print 'Content-type: text/html\n\n'; system('ls');", взломщим получит выполнение команды "ls". Важно заметить, что двойные кавычки фильтруются сценарием, но их нужно заменить на одинарные. Знаки ">" и "<" так же фильтруются, поэтому открыть файл на запись не состоит возможным. Так же стоит заметить, что при использовании функции поиска зарегистрированным пользователем лог файл имеет название [USERNAME]_sch.txt, если пользователь не зарегистрирован в форуме, то файл имеет название Guest[IP-адрес без точек]_sch.txt. (например, Guest127001_sch.txt). Пример/Эксплоит: Эксплоит под Windows Apache (perl) вложен ниже. Проверено на локальной системе. Содержание Guest127001_sch.txt после эксплоита: #!perl print 'Content-type: text/html\n\n'; system('dir'); URL производителя: http://www.ikonboard.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. Уязвимость обнаружил Иван Жданов [dokk21@rambler.ru]

Уязвимость форматной строки в OllyDbg

Программа: OllyDbg Опасность: Высокая Наличие эксплоита: Да Описание: Уязвимость форматной строки обнаружена в OllyDbg. Удаленный пользователь может выполнить произвольный код. Уязвимость обнаружена в функции OutputDebugString(), в которой данные, представленные пользователем, отображаются в строке состояния без определения спецификации формата. Пример/Эксплоит: См. источник сообщения. URL производителя: http://home.t-online.de/home/Ollydbg/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Удаленный отказ в обслуживании в Microsoft Systems Management Server (SMS) клиенте

Программа: Microsoft Systems Management Server (SMS) 2.50.2726.0 Опасность: Средняя Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Microsoft Systems Management Server (SMS) клиенте. Удаленный пользователь может вызвать условия отказа в обслуживании. Удаленный пользователь может послать специально сформированный пакет к целевой системе на 2702 TCP порту, чтобы аварийно завершить работу SMS клиента. URL производителя:http://www.microsoft.com/technet/security/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Отказ в обслуживании в Mozzila в импорте сертификатов

Программа: Mozilla 1.7 и более ранние версии Опасность: Низкая Наличие эксплоита: Да Описание: Отказ в обслуживании обнаружен в Mozzila в импорте сертификатов. Удаленный пользователь может незаметно импортировать некорректный root сертификат, вызывая условия отказа в обслуживании для SSL подключений. Удаленный пользователь может послать специально обработанный email, чтобы заставить злонамеренный сертификат перезаписать встроенный certificate authority (CA) root сертификат на целевом браузере пользователя. Злонамеренный сертификат должен иметь тоже самое distinguished имя, что и целевой CA root сертификат. Это приведет к сообщению об ошибке (error -8182) при попытке целевым пользователем посетить https url. Уязвимость может эксплуатироваться через специально обработанное e-mail сообщение через 'application/x-x509-email-cert' MIME тип или через Web страницу (например, используя IFRAME тэг). Пример/Эксплоит: См. источник сообщения. URL производителя:http://bugzilla.mozilla.org/show_bug.cgi?id=249004 Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.