Обзор
высоких технологий в области защиты и взлома
Анонс:
Обзор новинок из
мира смартфонов:
Tel.me T919
СТАНДАРТ: GSM 900/1800
ДИСПЛЕЙ: цветной сенсорный , с разрешением 128x256 пикселей и поддержкой
32.768 цветов +
оснащен встроенной цифровой камерой.
ПОДДЕРЖКА:
WAP
2.0 - будет показывать цветные WAP-страницы, EMS, GPRS
(4/1), E-mail (POP3 и SMTP), ИК-порт, USB, слот расширения MMC, MP3.
ФУНКЦИИ:
EMS, WAP-браузер 2.0,
органайзер, MP3-плеер, рукописный ввод
,голосовой набор, возможность передачи данных и
факсов на скорости до 14400 бит/с в обычном режиме и
до 38,4 кбит/с в режиме GPRS (4/1), диктофон, быстрый
набор 9 номеров, часы, будильник, калькулятор,
конвертором валют, есть
возможность передавать и загружать новые игры и
приложения а также играть в сетевые игры.
Японский новостной портал Mainichi Daily News
сообщает, что полиция города Осака запустит
специальный сервис для сотовых телефонов со
встроенными фото- или видеокамерами, с помощью
которого свидетели смогут напрямую передавать в
полицию изображение происходящего на месте
преступления. Необходимость внедрения подобной
системы вызвана увеличивающимся числом уличных
краж и грабежей. Работать новый телефонный
сервис начнет с 1 апреля 2002 года.
Компания Silicon Graphics (SGI)
предупреждает, что операционная система IRIX может
быть взломана при использовании веб-сервера Apache.
IRIX - 64-разрядная операционная система UNIX-типа,
поддерживаемая SGI и поставляемая вместе с
аппаратным решениями этой компании. Как
сообщается на английском сайте Vnunet.com,
на данный момент SGI выявили две дыры в версиях IRIX
6.5.12, 6.5.13 и 6.5.14 при использовании веб-сервера
(программы, которая обеспечивает работу
веб-сайтов) Apache версий до 1.3.22.
Первая дыра - в скрипте Split-logfile для работы с
логами. По умолчанию этот скрипт включен.
Аналогичная проблема в Apache для Linux уже была
выявлена в прошлом году. Об этом можно прочитать
на сайте
SecurityLab.ru.
Вторая уязвимость найдена в Apache Multiview, утилите
для изменения содержания веб-ресурса в
зависимости от языка пользователя. Совершив
определенные действия, злоумышленник может
получить доступ к списку директорий и файлов и
узнать точное место хранения любых файлов в
системе.
Пока что никаких патчей для ликвидации этих дыр в
безопасности не выпущено, и SGI советует всем
перейти на версию IRIX 6.5.14, которая включает более
новую версию Apache. Тем же, кто не может этого
сделать, рекомендуется не использовать Apache.
В почтовом сервисе популярного
веб-портала Excite выявлены уязвимости, с помощью
которых можно похитить, то есть переоформить на
свое имя, почтовые ящики пользователей.
На сайте Vnunet.com
приводится краткое описание этой дыры в
безопасности. Когда человек, желающий
воспользоваться своей веб-почтой, логинится в
систему, начинается сессия, которая представляет
из себя страничку с уникальным URL (интернет-адресом).
Посылая html-сообщение, например, с картинкой,
которая находится на другом сервере,
злоумышленник может узнать этот URL из поля
HTTP_REFERRER (обычно используется, чтобы узнать,
откуда посетитель зашел на страничку) в HTTP-заголовке.
После этого требуется лишь вставить это значение
в строку браузера для адреса и нажать ввод.
Об этой уязвимости уже сообщалось в листе
рассылок bugtraq и на сайте Eyeonsecurity.net, но Exсite пока никак не
отреагировал на это. Для предотвращения
проникновения в почтовый ящик рекомендуется
использовать безопасное (HTTPS) соединение при
работе с веб-почтой на Exсite. В этом случае URL не
пересылается.
Будущее за
антивирусами, которые блокируют вредоносные
программы "за плохое поведение"
На сайте SecurityFocus опубликована статья Кэри
Нахенберг (Carey Nachenberg), в которой автор
предсказывает большое будущее технологии борьбы
с вирусами под названием "Блокировка по
поведению" (Behavior Blocking).
В настоящее время антивирусные программы
действуют, как правило, по двум алгоритмам:
во-первых, выискивается так называемая
"сигнатура", во-вторых, применяется так
называемая "эвристическая" техника. В
первом случае, антивирусное средство может
обнаружить и истребить вредоносную программу -
будь то резидентный вирус, почтовый червь, троян,
backdoor и т.д. - по определенной последовательности
байтов, которая и называется "сигнатурой"
(fingerprint; дословно - "отпечаток пальца"). В
антивирусных базах хранятся десятки тысяч таких
сигнатур, однако против совершенно нового
вируса, сигнатура которого в базе отсутствует,
антивирусный пакет оказывается бессилен. В
прежние времена, когда вирусы распространялись в
основном на носителях информации, вроде дискет, -
то есть, довольно медленно, - поставщики
антивирусных решений успевали создать
противоядие до того, как вирус получал широкое
распространение. Так что сигнатурные антивирусы
работали не только на лечение, но и на
профилактику.
Второй метод - "эвристический" -
предусматривает проверку всех команд программы
и выявление "подозрительных". Эвристические
технологии могут выявлять новые вирусы, никогда
ранее не встречавшиеся, и, таким образом,
способны предотвращать распространение
опасного программного кода. С другой стороны,
эвристические методы нередко дают ложные
предупреждения, помечающие "чистый"
программный код как подозрительный.
Естественно, в комбинации эти методы более
эффективны, чем по отдельности. Современные
антивирусы, использующие оба метода, часто
производят эмуляцию процессора, или помещают
подозрительную программу в "песочницу" - т.е.
изолируют полученные из интернета исполняемые
файлы на время выполнения загружаемого кода в
ограниченную среду. В "песочнице" программа
неспособна нанести вред системе. Однако, как
пишет Нахенберг, при использовании этих методов
подозрительные программы подвергаются лишь
частичному сканированию и весь набор их команд
может и не быть проверен. Из-за того, что
существует огромное количество способов
закамуфлировать вредоносную программу, даже при
совместном использовании этих методов они не
всегда могут обнаружить новую заразу.
Антивирусная система, работающая по методу
"блокировки по поведению" позволяет
антивирусу в реальном времени отслеживать
действия работающих программ и блокировать те
действия, которые могут напоминать работу
антивируса. К таким действиям относятся, в
частности, несанкционированные попытки открыть,
просмотреть, удалить или изменить файлы,
отформатировать диск, или произвести с ним
какие-то другие операции с необратимыми
последствиями; это могут быть изменения в логике
работы программ, скриптов или макросов,
модификация в ключевых установках системы;
несанкционированные попытки переслать по почте
или через интернет-пейджеры исполняемых файлов,
или также несанкционированные попытки
установить сетевые соединения. Кроме того, как бы
ни маскировался вирус, рано или поздно он выдает
себя вполне конкретным запросом к операционной
системе, так что как бы он ни маскировался, у
антивируса есть возможность его обнаружить и
истребить.
К сожалению и у этого метода есть свои
недостатки, в частности, для того, чтобы
антивирус мог вычислить все повадки вируса, тот
должен запуститься в системе. А соответственно -
нанести вред. Поэтому, считает Нахенберг, другие
методики - эвристическая и сигнатурная - никуда
не денутся. Кроме того, нынешние блокирующие
системы обладают очень низкой эффективностью и
высокими требованиями к системным ресурсам и...
системным администраторам. Другое дело, что и все
остальные антивирусные решения уже не могут
обеспечить должной степени профилактической
защиты от вирусов, поэтому нужно искать новые
способы или улучшать старые. Нахенберг считает,
что развитие метода "поведенческой
блокировки" может оказаться очень
перспективным вариантом.