Новости:

Программы атаки и защиты RealServer опубликованы в Сети

В пятницу компания RealNetworks опубликовала "заплатку" для своих видео-серверов - после того, как аргентинская фирма Underground Security Systems Research (USSR) сообщила о "дыре" в программе RealServer весьма показательным способом.

Обнаруженная "дыра" оставляла серверы RealNetworks уязвимыми для DoS-атак, при которых сервер может быть блокирован потоком автоматически генерируемых ложных запросов. После этого сервер будет снова работать лишь после того, как системный администратор его перезагрузит.

Как сообщает CNet, специалисты из USSR опубликовали в четверг не только сообщение о "дыре", но и демо-версию программы для DoS-атаки. Программа realdie.exe весит всего 412 байт, и по уверению USSR, ломает RealServer любой версии.

При этом USSR не поставила предварительно в известность саму RealNetworks. По словам представителей USSR, это было сделано нарочно, чтобы проучить RealNetworks, которая нарушает права приватности пользователей, собирая информацию об их музыкальных предпочтениях.

RealNetworks в свою очередь назвала агрессивность USSR безосновательной и отвергла обвинения в шпионаже.

Пока сообщений об атаках на серверы RealNetworks не поступало. Однако уже через день RealNetworks опубликовала патч для этой "дыры", и теперь настоятельно рекомендует всем, у кого есть RealServer, поставить эту заплатку.

Copyright (C) Lenta.ru

Уязвимость в EXPLORER: длинные окончания файлов.

При попытке доступа к файлу, расширение которого превосодит длиной 160 символов, в explorer.exe происходит переполнение буффера, и он падает со стеком, набитым данными пользователя.

Типичное переполнение буффера, которое легко использовать в своих целях. Удар на самом деле оказался куда более сильным, чем можно было ожидать - к примеру, задавая в полях аттачментов к письмам для мейлеров Eudora или TheBat!, создаюих файлы- аттачменты по получении письма, и складывающие их свои системные директории можно использовать данную уязвимость на удалe:нном компьютере.

Или же проивести закачивание файла с длинным расширением на ftp-сервер, работающий под управлением злополучной windows 98. Ситуация очень напоминает недавно найденную уязвимость, связанную с некорректным доступом к устройствам типа con/con - ошибка в организации файловой системы всегда несe:т в себе гораздо больший потенциальный риск, чем ошибка в отдельно взятом сетевом сервисе.

УЯЗВИМОСТЬ POP3/IMAPD

Входящий в состав дистрибутива Redhat 6.1 сервер pop3 (на протяжении длительного времени не выходило апдейтов к его package'у), обладает одной интересной особенностью. pop-сервер использует один и тот же временный файл в /tmp для работы с различными майлбоксами. Итак, если файл существует, то сервер считает, что почтовый ящик открыт и используется.

Заметьте, что пользователь, "залочивающий" вручную временный файл, отличается от пользователя, который не может затем получить доступ к своему почтовому ящику.

УЯЗВИМОСТЬ СMD.EXE

Командный интерпретатор cmd.exe для Windows NT/2000 оказался подвержен переполнению буффера. Проблема былла обнаружена при рассмотрении подверженности переполнению буффера различных типов серверов. Те типы серверов, которые работают на платформе Windows NT и исполняют bat-файлы, как CGI, отдавая результат работы клиенту, могут быть легко выведены из строя атакой на отказ в обслуживании.

Итак, передавая слишком длинную строку в качестве аргумента такому CGI, возможно вызвать сбой в интерпретаторе команд, после чего в нe:м происходит переполнение буффера. При этом возвратный адрес оказывается перезаписан (при строке переполнения, состоящей из символов А EIP устанавливается в 0x00410041). После отладки приложения стало ясно, что в памяти командного интерпретатора нету ничего полезного, чтобы можно было перейти на начало забитого параметрами стека и исполнить какой-либо код

Микрософт было оповещено об уязвимости, и их команда реагирования уже выпустила необходимый патч, доступный с их официального сайта.
 duke.

Copyright (C) Team Void

Netscape начала тестирование патча к ошибке безопасности в Netscape Communicator

Netscape объявила о том, что патч (программа, исправляющая ошибку) к ошибке Netscape Communicator проходит тестирование и скоро будет представлен пользователям.

Найденная недавно ошибка позволяла получать частную информацию о посетителе веб-страницы, включая список закладок. После обнаружения этого недостатка, предоставляемого с помощью JavaScript, компания пришла к выводу, что это не является непосредственно ошибкой и возможно только в случае злонамеренных действий вебмастера. Описание ошибки, открытой Беннетом Хэсслтоном, находится здесь

Copyright (C) РосБизнесКонсалтинг

Борьба с переполнением буффера: LIBSAFE

Использование переполнения буффера в стеке процесса позволило успешно осуществить большое количество успешных атак в прошлом году. Компания Bell-Labs представляет новый метод борьбы с такими атаками - который не требует ни рекомпиляции существуемого программного обеспечения, ни доступа к исходному коду защищаемых от переполнения программ.

Новое средство никак не влияет на функциональность защищаемого программного обеспечения, за исключением того, что libsafe перехватывает все вызовыЮ и работает на уровне перехвата всех совершаемых программной вызовов функций.

При переполнении буффера атакующий "забивает" возвратный адрес процедуры своими данными и изменяет ход выполнения программы по своему усмотрению. Libsafe борется с этим, ужесточая рамки stack frame, при переходе которых и происходит переполнение.

Инсталляция библиотеки не представляет собою чего-то сдожного (стандартный процесс), а потом в файле .profile ставится ссытка на библиотеку и на процессы, ей контролируемые.

По причинам безопасности, динамический загрузчик не образает внимания на переменные LD_PRELOAD, при исполнении suidных программ. Но всe: же на Linux-платформах вы можете использовать libsafe для контроля выполнения суидных программ, используя один их методов, описанных ниже:

Вы можете добавить путь к libsafe.so.1 в /etc/ld.so.preload, вместо использования переменной LD_PRELOAD. Если вы воспользуетесь этим методом, будьте уверены, что вы проинсталлировали libsafe.so.1 в корневой файловой системе, к примеру - в /lib, как это было делается при инсталляции по умолчанию. Используя папку, недоступную во время загрузки системы, (/usr/local/lib), вы можете только создать себе проблемы при следующей перезагрузке. Так же будьте осторожны, удаляя libsafe из /etc/ld.so.preload, когда ставите новую версию.

Если у вас имеется версия ld.so, которая новее, чем 1.9.0, вы можете установить LD_PRELOAD только лишь в базоваое имя libsafe.so.1 без полного пути. Затем, если файл расположен в папках библиотек (/lib /usr/lib), то система работает нормально и для suidных приложений.

ИСПОЛЬЗОВАНИЕ LIBSAFE

После того, как libsafe установлено, и LD_PRELOAD или же /etc/ld.so.preload были сконфигурированы верно, ничего не требуется делать. Процессы теперь отслеживаются, и уровень локальной безопасности системы повышен. Все подозрительные действия фиксируются в /var/log/secure. Вдобавок, если libsafe сконфигурировано с опцией NOTIFY_WITH_MAIL, то оно будет отсылать почту с сообщением о подозрительном происшествии.

КАК ОНО РАБОТАЕТ

Программы, написаные на языке С всегда страдали от переполнений буффера. Тому есть две причины - во-первых, язык программирования С не содержит встроеных рутин проверки предела ввода и указателей. Во вторых (что более важно), многие из функций, доступных в стандартном наборе функций языка С теоритически небезопасны. Итак, ответственность за их непроверенное использование целиком ложится на плечи программиста.

Libsafe использует новый метод для обнаружения данных критических ситуаций - переполнений буффера. Без наличия исходного кода данная библиотека "прозрачно" защищает процессы от переполнения стека. Методика перехвата всех вызовов библиотченых функций, которые уязвимы для переполнений и осуществляет сверку возвратных адресов после отработки процедуры.

Ключевая идея - возможность предсказвать безопасный верхний предел размера буффера автоматически. Данное приближение не может быть выполнено во время сборки, поскольку в этот момент просто-напросто невозможно определить его максимальный размер. Но вычисление размера буффера может быть произведено перед стартом функции, в которой производится доступ к данному буфферу. Предлагаемый метод способен определить максимальный размер буффера путe:м вычисления конца текущего конца фрейма стека. Затем представляется возможным сравнить количество данных, записываемых в буффер с его вычисленной длиной. Потэтому возвратный адрес не будет перезаписан - такая попытка будет отловлена задолго до "непоправимых событий". САЙТ ПРОИЗВОДИТЕЛЯ.

 duke.

Copyright (C) Team Void

Арестован отец юного канадского хакера

[Newsbytes] Мы уже сообщали об аресте канадской полицией 15-летнего хакера, известного по псевдониму Mafiaboy. Он обвиняется в организации атаки типа "отказ в обслуживании" (Distributed Denial of Service, DDoS) против Web-сайта CNN.com в феврале этого года.

Вскоре после ареста юного дарования в Монреале был арестован и его отец. Правоохранительные органы приняли решение о его аресте после перехвата его телефонных переговоров, из которых следовало, что он также причастен к хакерской атаке. Как оказалось, полиция прослушивала телефонные разговоры, ведущиеся из дома "мафиозного мальчика", и зафиксировала разговор его 45-летнего отца с каким-то другим человеком.

По канадским законам, имя несовершеннолетнего подозреваемого не может быть предано огласке, но теперь в соответствии с тем же законом не разглашается и имя его отца.

Copyright (C) InfoArt News Agency

НИП "ИНФОРМЗАЩИТА" и корпорация Microsoft провели совместный семинар "Новые технологии и решения по безопасности систем на основе Microsoft Windows"

19 апреля в Деловом центре "Чайка-Плаза", г. Москва, состоялся совместный семинар ЗАО НИП "ИНФОРМЗАЩИТА" (http://www.infosec.ru) и корпорации Microsoft (http://www.microsoft.com/rus), посвященный проблемам защиты информации.

В работе семинара приняли участие представители крупнейших предприятий города, банков, министерств и ведомств.

ЗАО НИП "ИНФОРМЗАЩИТА" представила на семинаре четыре доклада, посвященных современным технологиям и продуктам, необходимым для защиты от взлома и несанкционированного доступа. Первый из них "Обеспечение защиты информации, содержащей коммерческую и государственную тайну, в среде ОС Microsoft Windows". Как было отмечено в докладе, ряд широко используемых операционных систем, разработанных компанией Microsoft, не содержит подсистемы защиты информации. НИП "ИНФОРМЗАЩИТА" предлагает один из вариантов решения данной проблемы у применение дополнительных продуктов, с помощью которых возможна организация защищенной обработки информации. Еще одно выступление специалистов НИП "ИНФОРМЗАЩИТА" - "Анализ защищенности MSSQL-сервера" - познакомило участников семинара с уязвимостями различных СУБД на примере MSSQL-сервера. Были предложены решения по устранению этих уязвимостей, а также представлена система Database Scanner, разработанная компанией ISS. Следующий доклад вызвал большой интере! ! с у аудитории, а количество заданных вопросов не позволило уложиться в рамки регламента выступлений это "Российская криптография в ОС Microsoft Windows".

Специалистами НИП "ИНФОРМЗАЩИТА" разработан собственный криптопровайдер, работающий в полном соответствии со спецификациями Microsoft CryptoAPI и способный заменить криптопровайдер ОС Windows.

Доклад "Обнаружение атак в корпоративных сетях, построенных на основе ОС Microsoft Windows" заострил внимание слушателей на том, что уязвимости могут быть своевременно обнаружены и устранены при помощи средств анализа защищенности Internet Scanner, System Scanner и Database Scanner. Однако зачастую некоторые уязвимости не могут быть устранены по причине невозможности изменения принятой в организации технологии обработки информации. Для этих целей могут использованы такие средства защиты, как межсетевые экраны. Но, как эффектно продемонстрировал руководитель отдела Internet-решений А. Лукацкий, даже правильно настроенные межсетевые экраны не могут защитить от всех атак, использующих уязвимости. И на сцену выступают средства обнаружения атак, среди которых лидирует продукт компании Internet Security Systems - RealSecure.

В последнем докладе Учебного Центра "ИНФОРМЗАЩИТА" слушателям было предложено несколько различных курсов по вопросам подготовки и повышения квалификации специалистов для подразделений технической защиты информации.

Необходимость и важность продуктов НИП "ИНФОРМЗАЩИТА" лучше всего, наверное, может продемонстрировать комментарий, данный одним из участников семинара. "Проблема защиты информации действительно встает в полный рост, причем не только перед корпоративными, но и перед небольшими предприятиями, - отметил он. Семинар помог понять нам, что нужно делать, чтобы избежать больших проблем".

Copyright (C) ЗАО "ИНФОРМЗАЩИТА"

Cпонсор рассылки: "ПСИ-КОРПУС" - ПОРТАЛ ПСИХОЛОГИИ НА КУЛИЧКАХ

Обновлен сервер "Проекта - Inroad"

Обзор рынка и комментарии к нему:
На фронте AES без перемен

 

Последние новости
Cкоро будут на www.inroad.kiev.ua :-)

Весь архив рассылки на CityCat

 

Беспроводный доступ в Интернет
предоставлен  фирмой  InterStrada