Электронный паспорт уже на подходе

Тенденции развития вредоносных программ, июль 2004

"Лаборатория Касперского" опубликовала материал под таким названием. Главным событием прошлого месяца стало появление 17 июля первого вируса, заражающего файлы карманных компьютеров. Хотя данный вирус сам по себе опасности для пользователей КПК не представляет, видно что уже не за горами появление действительно опасных вирусов для КПК, способных не только нарушать работоспособность устройств, но и приводить к утечкам конфиденциальной информации. Значительным событием стал I-Worm.Mydoom.m. который впервые использовал популярные поисковые системы - Google, AltaVista, Lycos и Yahoo! - для сбора почтовых адресов, на которые впоследствии будет производиться рассылка зараженных писем, когда предыдущие версии червя ограничивались информацией, находящейся на зараженном компьютере. Теперь любителям общаться в интернете, беспечно указывающим свои почтовые адреса на публичных ресурсах, грозит не один лишь спам. Стоит также отметить появление червя I-Worm.Bagle.aa, помимо исполнительного файла, распространявшего еще и собственные исходные коды. Что же касается обычных файловых вирусов, было зафиксировано значительное увеличение так называемых сэндвичей, т. е. почтовых червей, тело которых заражено обычным файловым вирусом. В качестве вывода отмечается, что все большее опасение вызывает текущий тенденция развития почтовых червей, которые стали представлять огромную опасность для конфиденциальности информации пользователей и работоспособности практически любой сети.

Серьезная дыра в пакете Cacti

В пакете Cacti обнаружена опасная уязвимость. Как сообщает датская компания Secunia, проблема связана с тем, что вышеназванная программа не обеспечивает должной проверки информации, содержащейся в полях "Имя пользователя" и "Пароль" в модуле auth_login.php. Данная ошибка, теоретически, предоставляет злоумышленникам возможность получить доступ к приложению. Уязвимость, охарактеризованная как умеренно критическая, присутствует в пакете Cacti версии 0.8.5 и более ранних модификациях программы.

Обнаружен новый макровирус Ainesey

Компания Symantec предупреждает о появлении нового макровируса Ainesey, заражающего электронные таблицы в формате Microsoft Excel. После активации эта вредоносная программа вносит изменения в реестр операционной системы, понижающие уровень безопасности Excel версий 9.0 и 10.0. Затем Ainesey записывает в директорию Windows и пытается запустить файл с названием msiexec32.exe, однако из-за ошибок в коде вируса эта вредоносная программа не загружается. Кроме того, Ainesey инфицирует файл personal.xls, что обеспечивает автоматический запуск вируса при каждом открытии рабочей книги Microsoft Excel.

Минский студент взломал базу данных крупнейшего интернет-провайдера

Специалисты по криптографии встревожены уязвимостью алгоритмов

Мир криптографии взбудоражен новостями о том, что в математических функциях, на которых построены широко используемые приложения защиты информации, обнаружены неизвестные ранее слабые места.

Замешательство началось в четверг с объявления о том, что французский специалист Антуан Жу обнаружил слабину в популярном алгоритме MD5, который часто применяется для цифровых подписей. Затем четверо китайских ученых выпустили документ, в котором предлагают способ обойти еще один алгоритм, SHA-0. Хотя их результаты предварительны, со временем эти открытия могут облегчить злоумышленникам введение необнаруживаемых лазеек в компьютерный код или подделку электронных подписей ? если не будет применяться другой, более надежный алгоритм.

Третье сообщение, которое еще больше накалило обстановку, прозвучало во вторник вечером на конференции Crypto 2004 в Санта-Барбаре. Там же были представлены и другие документы.

Ученые из Израильского технологического института Эли Бихам и Рафи Чен первоначально планировали представить работу о способах взлома алгоритма Secure Hash Algorithm (SHA-0), несовершенство которого общеизвестно. Однако в своем докладе Бихам привел некоторые ранние результаты работы, выявляющей уязвимости и в алгоритме SHA-1, считавшимся надежным. Доклад носил очень предварительный характер, но он может поставить под вопрос долгосрочное будущее широко применяемого алгоритма SHA-1 и заставить специалистов искать альтернативы.

Рассматриваемый в настоящее время как золотой стандарт алгоритмов своего класса, SHA-1 применяется в таких популярных программах, как PGP и SSL. Он сертифицирован Национальным институтом стандартов и технологии (NIST) и является единственным алгоритмом, утвержденным для использования ?Стандартом цифровой подписи? правительства США. SHA-1 выдает 160-битный код, который длиннее 128-битного кода, выдаваемого алгоритмом MD5, и считается более надежным.

Председатель конференции Crypto 2004 Джим Хьюз посчитал эти новости достаточно важными, чтобы организовать первый за 24-летнюю историю конференции сеанс Webcast. В нем будут представлены три нарушающих спокойствие документа, включая дополненные исследования Жу.

Уникальные отпечатки пальцев
?Если у двух контрактов окажется одна и та же электронная подпись, один можно будет заменить другим, и в суде будет по крайней мере трудно определить, какой из них подлинный, ? пояснил в интервью по телефону Хьюз, старший партнер StorageTek. ? Это очень серьезная опасность?.

Специалисты называют алгоритмы MD5, SHA-0 и SHA-1 хэш-функциями. Ими можно обрабатывать все от сообщений e-mail до ядра операционной системы, получая код, который считается уникальным ?отпечатком пальцев?. Изменение единственной буквы во входных данных приводит к генерации абсолютно нового кода.

Программы защиты опираются на то, что эти отпечатки пальцев уникальны. Однако если злоумышленники научатся получать один и тот же код из разных входных данных, такие отпечатки-клоны ? называемые хэш-коллизиями ? откроют возможности для создания ПО с потайными лазейками. Это станет подспорьем для тех, кто готов сфальсифицировать подпись в электронном письме, поручающем банку закрыть счет.

Ученым давно известно, что ни один из практически применяемых алгоритмов шифрования не может быть абсолютно надежным, и они пытались создать такие алгоритмы, которые для получения дублирующих ?отпечатков пальцев? требовали бы слишком длительного времени. Считается, что SHA-1 достаточно надежен, так как хэш-коллизию невозможно получить известными методами. Этот алгоритм основан на том, что компьютер, пытаясь создать уникальный код, выполняет программу 80 раз. Бихам утверждает, что ему удалось получить дублирующий код в 36 циклах из этих 80.

Если уязвимости, аналогичные выявленным в SHA-0, обнаружатся в SHA-1, это будет означать, что время создания хэш-коллизии сократится почти в 500 млн раз ? что делает эту операцию теоретически доступной для сети из быстродействующих ПК.

Слабость алгоритма MD5 представляет еще более непосредственную угрозу. Веб-сервер с открытым исходным кодом Apache использует хэш-коды MD5, чтобы гарантировать, что ПО, установленное на десятках сайтов-зеркал, остается в целости и сохранности. Ту же роль играет программа Solaris Fingerprint Database от Sun Microsystems, которая, как утверждает компания, ?гарантирует, что в состав дистрибутива входят правильные двоичные файлы, а не их измененные версии, что угрожало бы безопасности системы?.

Выявленные за последние дни уязвимости MD5 означают, что злоумышленник на стандартном ПК может создавать одну хэш-коллизию за несколько часов. Правда, чтобы создать копию ПО с лазейкой и получить для него такую хэш-коллизию, потребуется гораздо больше времени. И все же Хьюз убежден, что программистам следует отказаться от MD5. ?Теперь ясно, что этот алгоритм слаб, ? сказал он. ? Прежде чем будет совершена реальная атака, надо постараться уйти от него?.

Полис от хакера

Мошенничество в интернете ? один из самых быстропрогрессирующих видов обмана во всем мире, и в России в том числе. По данным исследовательской компании Datamonitor, в 2003 году мировой экономический ущерб от хакерских атак ? явных и скрытых, а также от последствий распространения вирусов и червей превысил $132 млрд, в то время как в 2002 году этот ущерб составил $48,5 млрд. По прогнозам специалистов, в 2004 году ущерб, нанесенный через интернет, может достигнуть 155,5 млрд. Более 30% этих потерь приходится на операции интернет-банкинга.

Впрочем, от мошенников в интернете можно застраховаться. По словам страховщиков, если у банка появится желание застраховать риски интернет-банкинга, то их можно включить в комплексное страхование ответственности банков ? полис ВВВ (Bankers Blanket Bond). "Основной риск, который покрывает BBB,? мошенничество сотрудников, в том числе с использованием интернет-технологий. Это ключевой риск, и на него приходится самая большая часть убытка. Также этот полис покрывает противоправные действия третьих лиц в отношении банка или его клиентов. В первую очередь это компьютерные преступления, мошеннический перевод денег по электронным инструкциям. Этот риск как раз один из основных и в интернет-банкинге",? подчеркивает начальник управления страхования финансовых институтов компании "Ингосстрах" Олег Кудрявцев.

Полисы страхования ВВВ есть в России у нескольких десятков банков. Наиболее полное покрытие приобретают Внешторгбанк, Московский международный банк, Газпромбанк, Альфа-банк, Внешэкономбанк. Возможность оформить полисы ВВВ у российских банков появилась еще в середине 90-х годов. Однако договоров по покупке таких полисов было заключено считаное количество, несмотря на то что были задействованы серьезные механизмы перестрахования, а сами договоры были абсолютно лишены налета "схемности".

Глава брокерской компании "АФМ страховые консультанты и брокеры" Владимир Бирюков утверждает, что российские страховые компании предлагают включать риски интернет-банкинга в полис ВВВ от нехватки спроса. "На Западе риски интернет-банкинга покрываются совершенно отдельным полисом, который называется ciber или hacker insurance. Этот вид страхования покрывает все, что связано с интернет-приложениями. У нас же происходит подмена, и интернет-преступления страхуются в рамках ВВВ. Суть подмены в том, что основной риск, который покрывает ВВВ,? это мошенничество сотрудников, то есть преступления изнутри. А при интернет-банкинге наиболее опасно именно внешнее вторжение. У нас был случай, когда один из российских банков хотел приобрести полис ciber insurance, но никто не взялся за такое страхование. Наши страховые компании испытывают большое недоверие и сомнение. Если и берутся за такое страхование, то предлагают усеченные лимиты, например страхуют только трансакции до $100. Как правило, страхователям такие услуги не подходят",? рассказывает Владимир Бирюков.

Впрочем, Олег Кудрявцев утверждает, что полисы hacker и ciber insurance на Западе покрывают в первую очередь специфические риски интернета, например всю связанную с интернетом ответственность: нарушения законодательства в области интеллектуальной собственности или рекламы. "И лишь во вторую очередь покрываются риски компьютерных преступлений и DDOS-атак, когда злоумышленники ломают систему, крадут деньги или пытаются 'повесить' сервер, забрасывая его большим количеством ложных сообщений, с которыми сервер не справляется. К банковским процессам это имеет весьма опосредованное отношение",? считает Олег Кудрявцев.

По его словам, и сами банки предпочитают включать риски интернет-банкинга в полис ВВВ, а не покупать отдельный. "Если у вас уже есть ВВВ, то включить в него дополнительный риск гораздо проще и дешевле, чем покупать новый продукт",? говорит Олег Кудрявцев. Теоретически покрытие риска компьютерных преступлений можно купить отдельно от ВВВ, но часто происходит наоборот ? его покупают "в довесок" к основному полису.

ISP изолируют спамеров

Британские интернет-сервис-провайдеры решили закрывать те сайты электронной коммерции, которые используют спам для рассылки рекламы ? но так как большинство таких сайтов уже перенесло хостинг за рубеж, ISP призывают международные организации принять аналогичные правила.

Британские ISP приняли свод правил, которые позволят им отключать сайты электронной коммерции, замеченные в рассылке спама, независимо от того, как и откуда этот спам рассылается.

На экстренном общем совещании 150 ISP-членов Лондонской интернет-биржи (London Internet Exchange, LINX), которая контролирует свыше 90% интернет-трафика Великобритании, согласились принять комплекс мер, нацеленных на устранение пробелов существующей системы борьбы со спамом.

Инициатива LINX призвана отсечь тех спамеров, чьи сайты электронной коммерции хостируются у авторитетных ISP, и которые в то же время распространяют спам из другой сети. Теперь ISP будут применять антиспамерские правила к владельцам веб-сайтов даже в том случае, если те привлекают к рассылке спама посредников.

Инициатива была обнародована в среду утром в форме документа Best Current Practice (BCP) LINX.

Представитель LINX Малколм Хатти согласен, что реализовать ее будет нелегко по двум причинам. Во-первых, существует опасность, что сайт электронной коммерции может быть закрыт конкурентом, рассылающим спам от его имени. "Очевидно, что такая возможность существует, ? сказал Хатти. ? Но мы пытаемся найти оптимальные приемы. Конечно, если ISP подозревает, что спам рассылает кто-то другой, он не должен закрывать сайт электронной коммерции, который может оказаться просто жертвой".

Вторая проблема связана с тем, что большинство "спамирующих" веб-сайтов хостится за рубежом, так как многие британские ISP уже закрыли такие веб-сайты в соответствии со своими собственными правилами обслуживания. Успех новой инициативы зависит от того, сможет ли LINX убедить зарубежных ISP ужесточить правила, отметил Хатти. Он надеется, что соответствующие меры будут приняты организацией RIPE, устанавливающей правила поведения в интернете для более чем 90 стран Европы, Ближнего Востока, Центральной Азии и Африки.

"Новые правила поднимут планку, ужесточив всемирно принятый минимальный стандарт. Мы будем стараться распространить этот стандарт за пределы Великобритании на RIPE, Euro-IX и повсеместно. Мы просим также правительство Великобритании оказать нам поддержку на WSIS (World Summit on the Information Society), OECD и других международных форумах".

По словам Хатти, судя по прошлому опыту, эти правила должны получить всемирное распространение. Первый BCP LINX по спаму был принят в мае 1999 года и с тех пор стал основой большинства антиспамерских стандартов и был принят RIPE в 2000 году. "Рекомендации этого первого BCP доказали свою эффективность, ? говорит Хатти. ? Если бы мы все еще держали релеи открытыми, нам пришлось бы отказаться от электронной почты, а это катастрофа".

Хатти привел цифры, согласно которым в 1999 году почти 20% почтовых серверов в Великобритании представляли собой "открытые релеи", которые можно использовать для распространения спама. К 2003 году их число уменьшилось до менее чем 1%. "ISP приняли меры в соответствии с BCP, перекрыв спамерам доступ к службе e-mail или даже к интернету. Фактически ISP применяют эту санкцию против каждого, кто сознательно отказывается принять меры к предотвращению спамирования их заказчиков

Срок жизни непропатченного ПК ? 20 минут

Не подключайте новый ПК к интернету, не приняв необходимых мер предосторожности, предупреждают эксперты Internet Storm Center.

Согласно опубликованному во вторник отчету, непропатченный Windows-ПК, подсоединенный к интернету, в среднем уже через 20 минут будет поражен злонамеренными программами. В 2003 году эта цифра, по оценкам группы, составляла примерно 40 минут.

Центр Internet Storm Center, отделение SANS Institute, специализирующееся на исследованиях и обучении, пришел к выводу о 20-минутном ?времени выживания?, наблюдая за свободными IP-адресами и измеряя частоту поступающих на них сообщений. ?Если предположить, что большинство этих сообщений генерируется червями, которые пытаются распространяться, то система без установленных исправлений неизбежно будет инфицирована?, ? говорится в заявлении центра.

Сокращение среднего времени выживания с 40 до 20 минут вызывает беспокойство, так как этого времени недостаточно для загрузки самих патчей, которые защитили бы ПК от интернет-угроз.

Скотт Конти, менеджер по эксплуатации сетей в Массачусетсском университете в Амхерсте, считает данные центра правдоподобными. ?Это сложная проблема, и решить ее становится все труднее?, ? сказал он. Один из администраторов Конти недавно проверил эти данные, подключив к сети два непропатченных компьютера. Через 20 минут оба они были заражены. Теперь университет проверяет состояние компьютеров, прежде чем подсоединить их к интернету. Если в машине не установлены последние исправления, она ставится на карантин с ограниченным доступом к сети до тех пор, пока ПО не будет обновлено.

В своем анализе центр утверждает также, что от сети к сети среднее время заражения компьютера меняется в широких пределах. ?Если интернет-сервис-провайдер блокирует каналы данных, обычно используемые для распространения червей, то у пользователя ПК остается больше времени для установки патчей. С другой стороны, сети университетов и пользователи высокоскоростных интернет-служб часто подвергаются дополнительным атакам со стороны такого malware, как боты, ? отмечает группа. ? У тех, кто подсоединен к такой сети, время выживания значительно сокращается?.

В руководстве по исправлению новой Windows-системы Internet Storm Center рекомендует отключить функцию file sharing Windows и включить Internet Connection Firewall. Последний сервисный пакет Microsoft, Windows XP Service Pack 2, сам установит такую конфигурацию, но чтобы скачать его, пользователю надо выйти в онлайн, так что он вынужден рисковать.

Одна из проблем, по словам экспертов, заключается в том, что системные администраторы полагаются на патчи и считают, что пользователи быстро их установят. Выступая на недавней конференции разработчиков Microsoft TechEd в Амстердаме, секьюрити-консультант Microsoft Фред Баумхардт сказал, что не за горами тот день, когда вирус или червь выведет из строя вообще все. ?Никому не хватит времени его обнаружить. Никто не успеет выпустить патчи или антивирусы и распространить их. Это означает, что патчи никак не решают всех проблем?.

Баумхардт подчеркнул важность адаптивности и привел в пример иммунную систему человека: ?Представьте себе, что ваш организм говорит: ?Гм, у меня грипп. Раньше такого никогда не было, значит я погибну?. Но этого не происходит: у вас поднимается температура и прочее, чтобы выиграть время, пока в борьбу вступят другие механизмы?.

?Если бы организм человека занимался исправлениями так же, как это делают компании, мы все давно бы умерли?.

Обнаружена троянская программа QDial27

Специалисты компании McAfee обнаружили новую вредоносную программу QDial27. Этот троян, пока не получивший широкого распространения, после активации пытается установить коммутируемое соединение, набирая при помощи модема один из прописанных в коде телефонных номеров (09099678xxx или 09090270xxx). В том случае, если модем к компьютеру не подключен, QDial27 запускает браузер, пытаясь связаться с IP-адресом 62.4.84.150. После выполнения вышеописанных операций троян самоуничтожается, не внося никаких изменений ни в реестр Windows, ни в системные файлы.

Спамеры учат вирусописателей зарабатывать деньги

Авторы компьютерных вирусов все чаще прибегают к сотрудничеству со спамерами. К такому выводу пришли аналитики американской мониторинговой компании MessageLabs, сообщает Reuters.

Сотрудничество спамеров и вирусописателей стало главной угрозой в сфере компьютерной безопасности в первой половине текущего года, считают в MessageLabs. Сотрудники этой компании внимательно изучили беседы вирусописателей и спамеров в чатах и выяснили, что способствует их сближению.

Массовая рассылка вирусов выгодна и тем, и другим. Вирусописатели получают возможность распространить свою вредоносную программу максимально быстро. А отправители спама с помощью вирусов нейтрализуют работу спамовых фильтров.

"Простое распространение вирусов приносит либо очень маленькую денежную выгоду, либо не приносит ее вообще. Однако, объединив разрушающее действие вирусов с финансовым эффектом спама, вы можете столкнуться с неожиданно удачным предложением", - комментируют ситуацию в MessageLabs.

Ежедневно MessageLabs просматривает на наличие вирусов около 50 млн электронных писем. С 1 января по 1 июня этого года ее аналитики обнаружили 5,6 млрд писем с вирусами. Это означает, что вредоносная программа содержалась в каждом 12-м письме.

Каждое двенадцатое электронное письмо заражено вирусом

Компания MessageLabs подвела итоги очередного исследования вирусной и спамерской активности в интернете. Как передает Scotsman, каждое двенадцатое электронное сообщение, отправленное в первой половине нынешнего года, было заражено вирусом. Для сравнения, в первой половине 2003 года инфицировано было лишь каждое 208 послание, а в 2002 году - каждое 392. Резко выросло количество спамерских писем. Сейчас на долю несанкционированных рекламных рассылок приходится 63,5 процента от всей корреспонденции, пересылаемой по электронной почте. Годом ранее данный показатель составлял 37,9 процента, а в 2002 году - всего 1,5 процента.

SecurityLab.ru - Пять лет тюрьмы за кражу интернета

Впервые сотрудники управления по раскрытию преступлений в сфере высоких технологий смогли ?увязать? виртуальные минуты и часы с реальным ущербом предприятия. Виновный уже получил пять лет лишения свободы, сообщил газете ?Рэспублiка? начальник управления ?К? УВД Брестского облисполкома Василий Смирнов.

Главный инженер одного из брестских интернет-провайдеров, исполняя обязанности директора предприятия, решил подзаработать, незаконно подключив к мировой паутине 234 пользователя по безлимитному тарифному плану. Стоимость круглосуточного выхода в сеть он оценивал от десяти до пятнадцати долларов в месяц, в то время как реальная цена пакета услуг ? 129 тысяч белорусских рублей. В итоге за год ПУЧП ?Элпром? не досчиталось в своей кассе шестидесяти пяти миллионов белорусских рублей. Сам же главный инженер пополнил личный бюджет четырьмя миллионами.

Уголовное дело возбудили сотрудники управления по раскрытию преступлений в сфере высоких технологий УВД Брестского облисполкома. Следствие длилось год, судебное заседание ? больше месяца. В ходе процесса сотрудникам управления киберпреступности, пожалуй, впервые в правоприменительной практике Беларуси удалось доказать, что незаконно использованное виртуальное время ? это актив предприятия. И последнему нанесен материальный ущерб в особо крупных размерах. Ленинский районный суд города Бреста признал главного инженера ПУЧП ?Элпром? виновным и приговорил к пяти годам усиленного режима.