Новости:

В Россию будет экспортироваться "беззащитная" версия Windows 2000

В четверг, 17 февраля, в день официального начала продаж ОС Windows 2000, московское представительство компании Microsoft распространило официальное заявление о том, что в версии программы для России не будет защиты с использованием сильной криптографии, сообщает агентство "Алгоритм".

В заявлении говорится, что "учитывая ограничения, содержащиеся в действующем в настоящее время законодательстве РФ, регулирующем вопросы криптографической защиты данных, корпорация Microsoft приняла решение об исключении средств шифрования с длиной ключа 128 бит из поставляемых в Россию версий своего программного обеспечения".

Версии операционных систем Windows 2000, содержащие 128-битный алгоритм шифрования, будут исключены из списка продуктов, доступных для заказа "компаниям-дистрибьюторам, осуществляющим распространение продуктов Microsoft на территории России".

Что касается других средств "стойкого шифрования", содержащихся в продуктах Microsoft, то ФАПСИ не будет вводить ограничения на поставки какого-либо ПО Microsoft до завершения "взаимных консультаций", говорится в заявлении. Это касается и Windows 2000: по словам главы российского представительства Microsoft Ольги Дергуновой, решение компании об исключении 128-битного алгоритма шифрования из ОС Windows 2000 не является окончательным.

"В ФАПСИ работают умные люди, - сообщила Дергунова. - Они не будут препятствовать продвижению современных технологий на российский рынок. Существует много путей решения возникшей проблемы, и один из них - это адаптация правового поля к изменившейся технологической ситуации".

Ранее умные люди из ФАПСИ заявили, что у них нет копии Windows 2000 - и потому они не нашли там криптомодулей, а значит, не нашли и нарушений закона.

В свою очередь сообщения московского представительства Microsoft тоже не отличается логикой. В январе Дергунова заявила, что удалить криптографический механизм из Windows 2000 будет "мягко говоря, непросто". Затем в феврале, за два дня до начала продаж системы, ФАПСИ получило из московского Microsoft уведомление, что криптографических модулей в теле Windows 2000 нет вообще.

Теперь остается открытым вопрос, чем можно будет заменить отсутствующую крипто-защиту. Не исключено, что российские пользователи смогут найти подходящие криптографические модули в Интернете - в том числе и на сайтах самой компании Microsoft.

Copyright (C) Lenta.ru 

NETBSD 1.4.1 LOCAL ROOT, WIN2000 FLAW

Наконец-то вышедшая Windows 2000 уже на стадии инсталяции становится уязвимой для удалe:нного вторжения. Во время инсталляционного процесса кто угодно может подключиться к совместному ресурсу ADMIN$ как ADMINISTRATOR без пароля.

Проверить данный факт весьма просто:

% ./smbclient \\\\WINDOWS2000\\ADMIN$ -I xxx.yyy.zzz.ttt -U 'administrator' -d 0 -N
Unable to open configuration file "/usr/local/samba/lib/smb.conf"!
pm_process retuned false
Can't load /usr/local/samba/lib/smb.conf - run testparm to debug it
Domain=[GROAR] OS=[Windows 5.0] Server=[Windows 2000 LAN Manager]
smb: \>

(smbclient - часть package SAMBA (http://www.samba.org). Об уязвимости сообщил Stephane Aubert [Stephane.Aubert@HSC.FR]

NetBSD 1.4.1 и procfs (NetBSD Security Advisory 2000-001)

Совсем недавно вы могли читать о ошибке в procfs под FreeBSD, которая могла привести к элевации прав локального пользователя до рутовских. Итак, было проверено, что схожая уязвимость присутствует и в NetBSD. Файловая система procfs даe:т возможность просмотра и изменения ресурсов процессов в папке /proc/[proocess pid]/. Один из данных ресурсов - образ процесса в памяти. Чтение и запись в данный файл ограничены. Но, путe:м передачи параметром suidному исполняемому, можно заставить данный suid binary осуществить запись в требуемый нам memory image, и, как правило, вторженец будет преследовать цель - заставить memory image другого suid'a исполнить шелл (который, естественно, будет шеллом с uid=0).

В конфигурации NetBSD по умолчанию поддержка procfs не используется.

Доступ к /proc/[pid]/mem ограничивается функцией procfs_chechioperm() в модуле sys/miscfs/procfs/procfs_mem.c. Несмотря на еe: наличие, функция позволяет начать работу с образом памяти, если uid пишущего процесса равен 0. Если используемый хакером процесс можно использовать так, что он создаст дескриптор файла, указывающего на открытый /proc/[pid]/mem, то данная проверка не отловит записи в память. Один из путей проделать это - открыть /proc/[pid]/mem, скопировать данный дескриптор во второй дескриптор, найти в нe:м корректный адрес стека, исполнить какое-либо suid-исполняемое, и использовать его для записи сообщения об ошибке, которое содержит шелл-код. Итак, если атакованная программа являлась suid, то произойдe:т перезапись стека, и исполнение шелла, дающего хакеру uid=0 (root).

NetBSD выпустило патч, ликвидирующий данную уязвимость. Патч досутпен с ftp://ftp.NetBSD.ORG/pub/NetBSD/misc/security/patches/20000130-procfs.

Если по каким-либо причинам не удаe:тся скачать/установить патч, рекомендуется немедленно отключить procfs, путe:м удаления всех содержащих строку procfs строк из /etc/fstab.

Группа разрабочтиков благодарит Jason Thore и Charles Hannum за помощь в разработке фикса.


 duke

Copyright (C) Team Void

Взломан сайт Калифорнийской Государственной Ассамблеи

Официальный веб-сайт Калифорнийской Государственной Ассамблеи был взломан в четверг рано утром.

Неизвестный обошe:л систему защиты и изменил содержимое сайта на сообщение "Don't put this back up. Hee, hee, hee". ("Не возвращайте это назад. Хи-хи-хи.") В нормальное состояние сайт был приведe:н к 7:20 утра. Администрация сайта отказывается назвать характер атаки или подтвердить "брешь" в защите.

Copyright (C) РосБизнесКонсалтинг

Хакер устроил панику на бирже, объявив о слиянии компаний

В четверг некий хакер взломал сайт фармацевтической компании Aastrom Biosciences Inc. и поместил там написанный им пресс-релиз, объявляющий о слиянии этой компании с калифорнийской фармацевтической компанией Geron Inc., сообщает агентство UPI.

По мнению представителей Aastrom, таким образом злоумышленник пытался провести операции с акциями обеих компаний. На самом деле никакого слияния не планировалось. В результате действий хакера акции одной компании упали, а другой - поднялись. По факту замещения содержимого сайта начато расследование.

Президент Aastrom извинился перед держателями акций и пообещал, что компания будет расследовать произошедшее и усиливать защиту своего сайта. "Мы напуганы этой бесчеловечной попыткой манипулировать рынком и причинить ущерб акционерам и компаниям", - сказал президент фармацевтической компании.

Copyright (C) Lenta.ru 

Армянские хакеры борются с компьютерным вандализмом

17 февраля группа армянских хакеров Liazor заявила о прекращении своих действий, предпринятых ими в ответ на нападение азербайджанских хакеров на армянские сайты, сообщает РБК.

"Принятые нами меры не были возмездием или карательным шагом, они преследовали цель эффективной остановки дальнейшего расползания компьютерного вандализма", - говорится в заявлении.

После получения информации о мерах, принимаемых правительством Азербайджана по недопущению подобных провокаций, 15 февраля группа Liazor приостановила выполнение запланированных акций. Группа также принесла извинения лицам и организациям, прямо или косвенно пострадавшим в результате проведенной акции, отмечатся в документе.

Как сообщала ранее Lenta.ru, армянские хакеры провели в Интернете "акцию возмездия", выведя из строя ряд азербайджанских сайтов.

Министр национальной безопасности Азербайджана заявил журналистам, что электронная война хакеров Азербайджана и Армении может лишить эти республики доступа в Интернет. К настоящему времени общее число уничтоженных или выведенных из строя азербайджанских и армянских сайтов приблизилось к сотне. Среди них есть и сайты некоторых международных организаций, которые работают в республиках Закавказья.

Copyright (C) Lenta.ru 

Арестован хакер, использовавший методику нападения "denial of service"

Хакерские нападения, назваемые "denial of service", поразившие ряд крупнейших веб-сайтов Америки, перестают быть централизованными и хорошо организованными акциями. На днях подобной атаке был подвергнут сайт Department of Motor Vehicles (DMH) штата Вирджиния.

Хакер смог нарушить нормальную работу сайта примерно на 45 минут. Когда началась атака, сотрудники сайта тут же начали отслеживать источник нападения и по электронному следу смогли вычислить точное местоположение хакера. Полиции штата удалось задержать электронного терорриста через несколько часов после совершения нападения. Им оказался... 26-летний автомобилист, недовольный системой страхования DMH. Следствие убеждено, что он не имеет никакого отношения к нападениям на Yahoo!, CNN, eBay и др. крупнейшие веб-сайты.

Copyright (C) РосБизнесКонсалтинг

Опасаясь атак хакеров, Агентство по Охране Окружающей Среды США закрыло свой сайт

Вчера Агентство по Охране Окружающей Среды США (Environmental Protection Agency) объявило о закрытии своего сайта на несколько дней.

Сайт очень популярен - его посещают десятки миллионов человек в месяц. Поводом для закрытия сайта послужил запрос конгрессмена Томаса Блайли, который получил отчет от комиссии по проверке бухгалтерского учета (General Accounting Office), где утверждается, что пароли сотрудников Агентства легко можно определить, а содержимое самого сайта хакерам нетрудно удалить или модифицировать. До сих пор, правда, хакеры не покушались на содержимое сайта, а только блокировали доступ. Однако конгрессмен счел подобную предосторожность нелишней

Copyright (C) РосБизнесКонсалтинг

ЦРУ заключило контракт с Science Application по разработке ПО защиты от атак "отказ в обслуживании"

Отделение Центрального Разведывательного Управления США In-Q-Tel заключило $3 млн. контракт с компанией Science Applications International Corp (SAIC).

Эти деньги, по условиям контракта, пойдут на дальнейшую разработку запатентованной SAIC технологии netEraser - программного обеспечения, рассчитанного прежде всего на защиту веб-сайтов от "denial of service" нападений и "sniffer" пограмм. Также в соглашении сказано, что ЦРУ будет иметь часть доходов с продаж прогамм, сделанных на этой технологии.

Copyright (C) РосБизнесКонсалтинг

ФБР требует, чтобы все пользователи шифровальных технологий предоставили бюро свои ключи

Директор ФБР Льюис Фрих продолжает настаивать на том, чтобы люди, использующие шифровальные технологии, зарегистрировали свои ключи в ФБР для того, чтобы в случае проведения расследования секретные файлы можно было вскрыть.

Такое предложение в Сенат Фрих внес после того, как ФБР было вынуждено заморозить 53 дела в прошлом году из-за того, что специалисты бюро не смогли взломать защиту зашифрованных файлов, которые могли помочь следствию. "Нам не нужно никаких поправок в Конституции, нам нужны эти полномочия только во время следствия", - заявил директор ФСБ. "Если наша просьба останется безответной, то мы будем не в состоянии успешно работать над большинством наших дел", - добавил он.

Copyright (C) РосБизнесКонсалтинг

ЕЩE: РАЗ О БЭКДОРАХ И ROOTKITАХ

[Thanks to David Brunley, Security Officer of Stanford University. To contact him, please use his pgp key, his email is listed in it]

Порой администратор системы, безопасность которой была нарушена и произошла потеря или утечка данных, действительно полезных и ценных для организации, сталкивается с тривиальным вопросом- финрма вполне справедливо может потребовать с него возмещения убытков, произошедших по его вине.

Ответственность должности системного администратора, в чьих руках остаe:тся бухгалтерия, клиентсткая база и прочие конфиденциальные данные. Впрочем, при "ежедневном обходе" системный администратор, как парвило, верит PS -aux, а так же команде "ls", чтобы воспроизвести список файлов в директории.

Руткиты и используются для модификации данных программ, а так же многих других, показывающих наличие файлов, процессов и пользователей в системе. "ls" модифицируется, чтобы не показывать налоичие типичных файлов в системе, ps перестаe:т показывать процессы определe:нного пользователя. Как правило, системный админитстратор ничего не подозревает до тех пор, пока ему не приходит письмо от abuse@teleglobe.net или же не следует взбучка от шефа. На первый взгляд - невозможно определить, была ли система обработана или же нет, и потребуедтся много времени на оценку и определение проблемы.

Итак, начнe:м с того, что раз было произведено модифицирование данных программ - хакер уже имел рутовский доступ к системе. Первичная атака, как правило, просиходит с большим шумом - она производится через какой-либо уязвимый сервис, например через ftp или qpop, что оставляет очень много следов и в логах самой машины, и в логах любого средства контроля траффика.

Мало-мальски умный человек после этого будет использовать скрипты для очищения лог-файлов, такие как zap2 или же vanish. Прочие скрипты могут вычищать utmp, wtmp, lastlog, .bash_history, /var/log/xfer.log , /var/log/messages и прочие логи, но, впрочем, нулевой размер любого лог-файла есть свидетельство того, что на машину со стопроцентной вероятностью было совершено вторжение (если, конечно, вы не установили ОС пару минут назад),

После того, как "хакер" производит подчищение лог-файлов, он производит установку (а точнее, модификацию) какого либо присутствующего на машине сервиса или файла, чтобы избегать в дальнейшем использования "слишком шумного" эксплоита. Такие трояны могут быть условно поделены на две больших группы - сетевые сервисы и какие-либо локальные программы. Ко вторым следует отнести такие часто модифицирующиеся руткитами вещи, как chsh, chfn, passwd. Модифицированная программа функционирует совершенно нормально, за исключением одной маленькой детаи - при вводе, к приемру слова "satori" в качестве пароля юзеру немедленно даe:тся bash#. Модификация же login довльно интересна - с тех пор, как многие системы имеют shadowed и unshadowed быза юзерских паролей, модификация логина должна быть верного типа. Если хакер совершенно не заботится о своей голове, он может случайно происпользовать неправильный тип модификатора - и это сразу же приведe:т к тому, что большая часть пользовательских аккоунтов станет недоступной. Итак - вот ещe: один признак, по которому можно установить факт вторжения в вашу систему.

Часто "троянизируется" inetd, модификация его, приложенная к rootkit 4 модификация его открывает порт 5002. Если сразу после соединения введe:н верный пароль, то система открывает шелл - в связи со способом, которым открывается шелл, все команды должны кончаться на ;. Примерно таким же образом троянится и rsh (rsh <hostname> -l <rootkit password> даст вам рутшелл на удалe:нной машине).

Cовсем небезопасный метод бинда шелла - bindshell. По умолчанию шелл биндится на порт 31337 ;) Во всех модификациях данных программ, пароль по умолчанию - satori, логин - rewt. Но по понятным причинам, найти данные трояны в немодифицированном виде с тем же паролем довольно сложно.

Так же в стандартный комплект поставки lrk4 входит сниффер, назначение которого - перехват всего ethernet-траффика. ifconfig сообщает о переводе сетевой карты в режим перехвата путe:м установки флага PROMISC. К сожалению, руткиты тоже, как правило, модифицируют и ifconfig.

Частым случаем является и модификация сервисов sendmail, qpop, ftpd, sshd. В данной ситуации лицо, получающее несанкционированный доступ к системе, после подсоединения к стандартному порту сервиса просто вводит ключевую фразу.

Итак, из данных фактов следует то, что если после чистки и пересборки программ у хакера останется хотя бы одно средство получения rootshell, то он с лe:гкостью переустановит весь комлект. Итак, без криптографических средств создания цифровой подписи каждого исполняемого файла невозможно судить о целостности системы в общем. К таким утилитам контроля относится tripwire или же простой генератор MD5-хешей файлов.


Но, кроме пользования данными средствами проверки целостности системы, можно просто посмотреть даты последних модификаций файлов. Так же бывают совершенно курьзe:ные случаи - хакер постарался над сокрытием своих действий в /bin, /sbin, но забыл стереть директорию, в которой производилась сборка руткита из /tmp. Так же рекомендуем изучить статью Mixter'a, в которой рассказывается об обнаружении трояненых бинари-файлов, иными словами, в inetd не должно быть строчек /bin/bash и /bin/sh.

  ~duke

Copyright (C) Team Void

Лидеры индустрии информационных технологий создадут единый центр защиты от Интернет-вандалов

После прокатившейся волны атак на крупнейшие сайты, индустрия информационных технологий объявила о своих планах создать единый центр по защите от Интернет-вандалов.

Центр будет находится в ведении Американской Ассоциации по Информационным Технологиям и займe:тся проблемами борьбы с атаками, изучением потенциальных "слабых мест", разработкой контрмер и наилучших методов защиты информации.

Copyright (C) РосБизнесКонсалтинг

Компания Sophos опубликовала десятку самых распространенных вирусов января

Компания Sophos, занимающаяся проблемами информационной безопасности, опубликовала рейтинг самых распростран|нных вирусов за январь по числу обращений в компанию за помощью.

• WM97/Marker 23.6% (от общего числа обратившихся)
• WM97/Ethan 8.7%
• XM97/Divi-A 5.5%
• XM97/Laroux 5.5%
• WM97/Thursday 3.9%
• W32/Newapt 3.2%
• WM97/Melissa-AG 3.2%
• W32/Ska-Happy99 2.4%
• WM97/RV-A 2.4%
• WM97/Story 2.4%
• Другие 39.2%

Нетрудно заметить, что большинство вирусов являются макро-вирусами (буква М в названии), поражающими Microsoft Word (W) и Excel (X). По мнению компании, пользователи пакета Microsoft Office наиболее подвержены вирусным атакам и должны проявлять наибольшую осторожность.

Copyright (C) РосБизнесКонсалтинг

Обновлен сервер "Проекта - Inroad"

Обзор рынка и комментарии к нему
Хакеры штурмуют сети Министерства обороны

Последние новости
Cкоро будут на www.inroad.kiev.ua :-)

Беспроводный доступ в Интернет
предоставлен  фирмой  InterStrada