Новости:

Война в Интернете: поражены eBay, Buy.com, Yahoo!

Роберт Лемос (Robert Lemos) и Дженнифер Мак (Jennifer Mack), ZDNet News
8 февраля 2000 г.

Число жертв однотипных атак, вызывающих перегрузку системы (denial-of-service, D.O.S.), среди крупнейших веб-сайтов продолжает расти: к пострадавшему первым Yahoo! в течение двух дней присоединились eBay, Buy.com, Amazon.com и CNN.com. Ведущие эксперты предупреждают, что вероятны новые атаки, которые невозможно предотвратить.

Во вторник был заблокирован веб-трафик крупнейшего аукционного сайта eBay и сайта онлайновой розничной торговли Buy.com. Пока неизвестно, связаны ли эти атаки с аналогичной атакой D.O.S., которая привела к бездействию сайта Yahoo! в продолжение трех часов в понедельник. Агенты ФБР встретились с представителями Yahoo! на предмет начала расследования инцидента.

Тем временем компания Keynote Systems, специализирующаяся на интернет-мониторинге, сообщила, что во вторник вечером онлайновый магазин Amazon.com практически бездействовал, демонстрируя те же симптомы, какие были во время атаки у Yahoo, eBay и Buy.com.

Наконец, последней жертвой за эти сутки стал сайт CNN.com. гВ семь вечера по восточному стандартному времени мы подверглись атаке хакеров. Она продолжалась до 8:45. Мы серьезно пострадали: обслуживание контента было чрезвычайно затруднено, + рассказывает директор по PR Эдна Джонсон (Edna Johnson). + В 8:45 наши провайдеры заблокировали то место, через которое нас атаковали, и теперь мы работаем нормальноe:.

eBay, Buy.com и Yahoo! подверглись скоординированным, распределенным атакам D.O.S., при которых атакующие используют большое число согласованно действующих серверов для бомбардировки цели данными. При этом от атакующих не требуется большой технической подготовки, и от подобных атак очень трудно защититься.

Спасенья нет?

Могли ли крупнейшие веб-сайты предотвратить эти атаки? В случае Yahoo! инженеры GlobalCenter наложили ограничение на определенный тип данных + пакеты Internet control messaging protocol (ICMP), поток которых продолжался в течение этих нескольких часов. По мнению экспертов, эту тактику компании следовало бы применить давно. Для атаки на Yahoo!, вероятнее всего, использовались сотни или тысячи серверов, данные которых сливались таким образом, что создавалось впечатление потоков из 50 разных интернет-адресов.

Элиас Леви (Elias Levy), главный технолог компании SecurityFocus.com, описывает случай, когда для аналогичной атаки использовались 10 тыс. серверов. гЕдинственный способ предотвратить подобное засорение Интернета заключается в том, чтобы каждый тщательно проверял свою сеть и устранял все ошибки конфигурацииe:, + считает он.

гЭто единственное решение. Все, что можно сделать сегодня, + это поставить антиспуфинговые фильтры, затрудняющие атаки и облегчающие прослеживание их источникаe:, + подтверждает специалист по защите сетей из AT&T Labs Стив Белловин (Steve Bellovin). Возможно, это чистое совпадение, но атака на Yahoo! началась через полчаса после того, как Белловин прочитал доклад об атаках denial-of-service на конференции Организации сетевых операторов Северной Америки.

Будущее кажется беспросветным

Фильтрация пакетов позволяет защитить от большинства современных инструментов, предназначенных для проведения распределенных атак D.O.S., но новые методы способны обойти такую защиту. Один из таких передовых инструментов + Stream.c + посылает ложные пакеты TCP/IP, которые обычный маршрутизатор переадресует в сервер назначения. Пакеты могут быть скомпонованы так, чтобы занять драгоценное машинное время еще до выявления их злонамеренности. Такие пакеты очень трудно выявить и отфильтровать.

Правда, по крайней мере пока, подобными средствами интересуются лишь вандалы. гАтаки этого типа дают атакующим возможность почувствовать себя сильными, + говорит Белловин из AT&T. + Они как дети, которые ломают антенны на улицеe:.

Copyright (C) ZDNet

Уязвимости MS IIS: чтение файлов с диска

После непродолжительного затишья Mnemonix'ом (mnemonix@GLOBALNET.CO.UK) вновь было обнаружено несколько серьe:зных уязвимостей в Microsoft IIS. Вы, скорее всего, видели, что с новую базу скриптов нашего CGI-сканера добавились несколько странных файлов - blabla.idq, к примеру. При запросе данных несуществующих файлов IIS передаe:т управление модулю idq.dll, который возвращает ответ вроде

The IDQ file c:\inetpub\wwwroot\blabla.idq could not be found. Естественно, IIS не заботится о том, чтобы обрезать информацию о точном местонахождении файла, м пользователь может узнать расположение httpd docroot в файловой системе сервера. Однако, как показала ситуация, "кривость" idq.dll и ещe: одного модуля - webhits.dll - не ограничивается вышеперечисленными фактами.

Похожий обработчик существует и для запросов .htw - им является webhits.dll. На первый взгляд, ничего страшного при вызове несуществующего .htw-файла не происходит никакой "утечки информации", и единственное, что получает пользователь, запросивший, к примеру, blabla.htw, это "format of the QUERY_STRING is invalid"

Но главная уязвимость кроется вовсе не в этом. Любой сайт, работающий под управлением MS IIS и использующий Internet Data Queries для организации, к примеру, поиска по сайту, уязвим для атаки, результатом которой станет доступ к файлам вне виртуальной директории IIS на чтение.

Осуществление атаки требует от оператора знания точного пути к файлу, который он хочет заполучить через IIS. Файл должен находиться на том же логическом диске, что и docroot атакуемого виртуального сервера.

В самом простейшем случае, оператор должен знать путь до хотя бы одного .htw-файла, доступного через IIS. Несколько файлов пмогут быть найдены тут

/iissamples/issamples/oop/qfullhit.htw /iissamples/issamples/oop/qsumrhit.htw /iissamples/exair/search/qfullhit.htw /iissamples/exair/search/qsumrhit.htw /iishelp/iis/misc/iirturnh.htwЗатем мы формируем запрос вида: http://victim.dom/iissamples/issamples/oop/qfullhit.htw
?CiWebHitsFile=/./././././boot.ini&CiRestriction=none
&CiHiliteType=Full


Надежда на то, что от дырки удастся быстро отбиться удалением как всегда проблемных дырявых default-скриптов не оправдалась. При наличии хотя бы одного файла в директории, обслуживаемой IIS'ом, существует вохможность осуществить доступ к файловой структуре логического диска. Fredrik Widlund произвe:л исследование, и привe:л пример, что, если у нас имеется файл default.htm, то строка запроса, которая заставит сервер вытащить нам boot.ini, будет такова:

/default.htm%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20.htw?CiWebHitsFile=./././././boot.
ini&CiRestriction=none&CiHiliteType=Full

Рабочий эксплоит для генерации подобных URL, с помощью которых можно извлечь любой файл при помощи IIS, доступен на данной локации.

Не стоит и говоритьт, что под угрозой оказалсиь тысячи онлайн - магазинов, реализованных на ASP - их исходный код в любое время может стать достоянием общественности. Учитывая, как ревниво Microsoft охраняет любой тип исходных текстов, если проблема не будет быстро ликвидрована, это может обернуться насоящей катастрофой.

И ни для кого не стало новостью, что в idq.dll присутствует похожая уязвимость:
/file.idq?CiTemplateFile=./././././boot.ini приведe:т к подобному результату (обратите внимание - file.idq ДОЛЖЕН существовать).

 duke

Copyright (C) Team Void

RECYCLED BIN: вирусы размножаются в мусорном ведре

Общеизвестно, что под windows 95/98 удаляемые пользователем файлы по умолчанию помещаются в папку RECYCLED, а не удаляются и файловой системы. Когда пользователь выбирает опцию "удалить", файл перемещается в эту папку, и даже если данная папка не существует, то она создаe:тся. Затем файл переименовывается, и вся информация об оригинальном его положении записывается в файл-индекс. После этого, при просмотре папки RECYCLED, windows не показывает реальное содержимое папки, а парсит индекс и показывает структуру удалe:ннх фалов, как бы они выглядели в файловой системе.

Но тем не менее, файл, реально сохранe:нный в RECYCLE BIN, не будет виден при просмотре данной папки из GUI Windows. Не будет он удалe:н и в том случае, если вы выберете опцию "Empty Recycle Bin".

Как правило, антивирусные программы не проверяют содержимое \RECYCLED. Итак, вся реальная структура папки RECYCLED никогда не будет просканирована на вирусы. Итак, тут может храниться и исполняться некий нежелательный код. Мы нашли тот самый тe:мный угол, куда никогда не заглядывает не только любознательный пользователь, но и беспристрастная антивирусная программа.

Но наиболее сложным шагом будет размещение кода в данной папке. Система сканирования почты/проверки траффика поймает вирус или троянец ещe: до записи в файловую систему, и система сканирования в реальном времени, тпа AVP, отловит вредный код, как только свежесозданный файл с ним будет дописан до конца и закрыт. Но, тем не менне, существуют два метода "борьбы" со всеми системами контроля.

В доказательство существования опасности, была создана небольшая программа. Весь архив завe:рнут в winzip-sfx архив, который содржит три файла - чистую версию какой-либо игры (это можно назвать "приманкой"), программа установки и файл winsetup.dll. Winsetup.dll представляет собой потенциальный вирус или же троян, и закодирован простым XORом по 25. После этого "вредный код" с успехом прошe:л все антивирусные проверки.

После запуска WinZip инсталлятор распаковывает все файлы во временную папку и запускает setup. Setup копирует "приманку" на десктоп, если не уществует папке \RECYCLED, то программа создаe:т еe:,. Затем программа токрывает на чтение winsetup.dll, создаe:т в папке \recycled собственно исполняемое, разXORивает winetup.dll и пишет содержимое в свежесозданый файл. После чего спрятанный в "мусорке" файл запускается.

Данная технология была опробована на общеизвестном всем антивирусам троянце Back Orifice. Symantecовские пордукты не опознали в заксоренной каше даннх свою обычную цель.

Эксплоит работает и под winNT. Помещение портшелла в \RECYCLED как правило приводит к тому, что созданная ваши нелегальная консоль будет ликвидирована лишь спустя длиительное время, скорее всего, после штатной перестановки системы.

Ниже приводится короткий список сканеров, неспособных сканировать мусорные коризны:

McAfee Virus Scan Engine: 4050 DATs: 4062 Norton Anti-Virus Engine: 5.01.01C DATs: 01/24/00Так же вы можете скачать исходный код "эксплоита", и сам WinZip-sfx архив, инсталирующий враждебный код.

 duke

Copyright (C) Team Void

Yahoo! Намерена разыскать хакеров,
которые совершили атаку на ее сайт

Напомню, что один из крупнейших в сети сайтов Yahoo! недавно был подвергнут атаке со стороны хакеров, которые умудрились вывести его из нормального рабочего состояния примерно на 2 часа. По оценкам аналитиков, Yahoo! потеряла из-за этого около 500 тыс. долларов.

Теперь стало известно, что представители Yahoo! обратились в ФБР за помощью с целью найти злоумышленников и по возможности их наказать. На данный момент этот проект находится в стадии обсуждения с ФБР, но уже сейчас сотрудники сервера, подвергшегося атаке? полны оптимизма. Тем более, что специалисты подтверждают возможность обнаружения хакеров. "ФБР может проследить путь и найти тех, кто это сделал", - заявил Скотт Гордон, директор, отвечающий в Axent Technologies за защиту от несанкционированного электронного вторжения. Но пока операция находится в начальном этапе, специалистам ФБР еще предстоит найти командный центр хакеров, а для этого нужно влезть в компьютеры людей? непосредственно нанесших удар. "Мы не надеемся получить ответ в самом ближайшем будущем", - добавляет Гордон.

Copyright (C) РосБизнесКонсалтинг

Axent представляет службу страхования Web-сайтов

[Newsbytes] Компания Axent Technologies (http://www.axent.com) совместно со страховой группой JS Wurzler Underwriting Managers открыла, по ее заявлению первую в мире, службу страхования и защиты Web-сайтов.

Эта служба предлагает фирмам, занимающимся электронной коммерцией, застраховать не только свои финансовые сделки, но и сами Web-сайты от вторжений хакеров. По заявлению Axent, проблема хакеров сейчас является одним из самых серьезных препятствий для развития любого электронного бизнеса. По данным Axent, в 1999 г. хакерским атакам подверглись сайты более 91% компаний.

По программе Website Insurance and Security Program (WiSP) компания Axent предлагает застраховать сайты электронной коммерции на сумму до 10 млн дол. на случай потери доходов из-за простоев, вызванных посторонними вторжениями. Конечно же, прежде чем застраховать клиента, компания Axent должна убедиться в том, что его сайт надежно защищен. То есть процедура аналогичная обычному страхованию здоровья и жизни, когда клиент должен пройти медицинское освидетельствование.

По данным исследовательской компании Zona Research, средний Web-пользователь желает ждать загрузки Web-страницы не более 8 секунд. Только из-за несоблюдения этой нормы американские сайты электронной коммерции потеряли в 1999 г. до 4,35 млрд дол.

Copyright (C) InfoArt News Agency

Обновлен сервер "Проекта - Inroad"

Последние новости
Cкоро будут на www.inroad.kiev.ua :-)

Беспроводный доступ в Интернет
предоставлен  фирмой  InterStrada