По данным нового отчета IDC, рынок программных средств информационной безопасности будет ежегодно расти на 19%, и к 2007 году его оборот достигнет $6,4 млрд. При этом основным стимулом его развития будет ПО, предназначенное для фильтрации спама - совокупный оборот этого сегмента рынка вырастет с $236 млн. в 2002 году до $1,1 млрд. в 2007 году. Аналитики IDC предполагают, что вторым по скорости роста станет сегмент ПО, блокирующее доступ к определенным сайтам, - к 2007 году он вырастет до $893 млн. На долю антивирусного ПО в 2007 году придется $4,4 млрд., но этот сегмент будет развиваться медленней всех.

Как сообщает газета "Коммерсант", сегодня, 11 августа, один из крупнейших российских интернет-провайдеров "РТКомм.Ру" заблокирует интернет-трафик 8 тыс. клиентов системного интегратора Race Communications, в числе которых - РАО "Газпром" и Сбербанк РФ. Так провайдер выразит протест против использования на почтовом сервере Race черного списка спамеров, в который занесены интернет-адреса пользователей "РТКомм.Ру".

В "РТКомм.Ру" считают, пишет "Коммерсант", что фильтрация писем с этих адресов наносит ущерб клиентам провайдера. Системный интегратор отрицает обвинения, утверждая, что "РТКомм.Ру" небескорыстно потакает спамерам. Отключение запланировано на полдень, в это время для ряда абонентов Race окажутся недоступны адреса электронной почты и сайты, которые обслуживает "РТКомм.Ру".

"РТКомм.Ру" является дочерней структурой "Ростелекома". Представители "РТКомм.Ру" утверждают, что в последние несколько месяцев компания регулярно получает жалобы от своих клиентов, которые не могут отправить электронную почту на адреса клиентов оператора связи Race Telecom - дочерней компании Race Communications. Инженеры "РТКомм.Ру" выяснили, что помехой для прохождения писем является черный список spews.org, установленный на почтовом сервере Race Communications. В этот список, по данным "РТКомм.Ру", внесены 256 тыс. адресов клиентов провайдера, с которых письма абонентам Race Telecom не доходят. "Мы пытались договориться миром, но не удалось, - говорит руководитель группы защиты информации "РТКомм.Ру" Николай Федотов. - Такая политика создает проблемы нашим клиентам, среди которых известные российские компании, например, "Русский алюминий", и крупные провайдеры. Кроме того, это наносит нам имиджевый ущерб".

Cпам, конечно, выводит из себя, но худшее, что вы можете сделать, - это нажать кнопку Replay и сорвать свое раздражение на отправителе. Если вам повезет, то сообщение никуда не попадет, в противном же случае ответ убедит автора спама, что ваш электронный адрес верен, и тогда спама у вас станет неизмеримо больше.

Лучше сообщить о спаме провайдеру его отправителя, но авторы спама не останавливаются ни перед чем, чтобы скрыть свои следы. В этой статье мы расскажем, как выявить источник спама, чтобы обосновать свои жалобы и добиться закрытия учетных записей авторов спама в Web и у провайдера.

From и To - это поля, которые есть в любом сообщении электронной почты. Они представляют собой небольшую часть заголовка электронной почты, причем оба эти поля легко фальсифицировать. Чтобы узнать, откуда на самом деле сообщение послано, надо просмотреть заголовок полностью. Антиспамовые средства, подобные рассмотренным в статье "Поставьте заслон непрошеным письмам" (PC Magazine/RE, 5/2003), выявляют и отфильтровывают спам, просматривая заголовки и другую информацию о сообщении, но стопроцентной гарантии они не дают, да и жаловаться провайдеру они не станут.

Способ просмотра заголовка зависит от клиента электронной почты. В Outlook Express надо щелкнуть правой клавишей мыши на сообщении, выбрать пункт Properties, щелкнуть на закладке Details, а затем на кнопке Message Source. Чтобы познакомиться со способами просмотра полных заголовков в других клиентах электронной почты, следует обратиться по адресу: http://spamcop.net/fom-serve/cache/19.html.

На приведенном здесь рисунке показан полный заголовок несфальсифицированного сообщения электронной почты. Блок Received и строка Message-ID труднее всего поддаются фальсификации, так как они добавляются после того, как спам-сообщение покидает компьютер отправителя. В этих разделах и содержатся ключи к разгадке источника сообщения. В несфальсифицированном сообщении строка Message-ID вносится почтовым сервером, который пересылает сообщение. Она обычно заканчивается знаком @ и доменным именем отправителя. В данном примере отправитель - это Permutat@aol.com, и строка Message-ID заканчивается как @aol.com. Если доменные имена в двух этих блоках не совпадают, значит, отправитель пытается остаться анонимным.

Самая разоблачительная часть заголовка - блок Received. Большинство сообщений, прежде чем попасть на машину получателя, проходит по крайней мере через три компьютера: компьютер отправителя, почтовый сервер отправителя и почтовый сервер получателя, с которого адресат извлекает данное сообщение. При более сложных конфигурациях, - скажем, при наличии брандмауэров, - сообщение проходит еще больше этапов.

Каждая машина, через которую проходит сообщение, добавляет строку Received. Строки вносятся начиная снизу, так что самая верхняя строка соответствует последнему пункту прохождения сообщения. Так как в строках Received точно указаны пункты, где побывало сообщение, отправители спама порой пытаются запутать дело, добавляя к своим сообщениям фальшивые строки Received. Любая сфальсифицированная строка Received появляется в конце списка.

Имя сервера в атрибуте from строки Received сфальсифицировать нетрудно, но принимающие почтовые серверы могут удостовериться в его подлинности путем обратного преобразования имени DNS с целью получения IP-адреса сервера отправителя. Полученный в результате IP-адрес появляется в круглых скобках после имени сервера, введенного отправителем, которое в случае спама почти всегда сфальсифицировано. Вы можете отыскать IP-адрес названного сервера (подробнее об этом ниже) и выяснить, верны или сфальсифицированы данные в заголовке.

Читайте блок Received снизу вверх, пока не обнаружите пункт "вливания" (injection point), т. е. последнюю сфальсифицированную строку. Отсюда сообщение поступает в Интернет. Это обычно последняя строка, где IP-адрес не соответствует имени сервера. Большинство строк ниже пункта "вливания" - подделки, хотя иногда строка сразу под ним раскрывает провайдера телефонных соединений, услугами которого пользуется отправитель спама.

Чтобы выяснить доменное имя, связанное с IP-адресом, вам понадобится утилита whois, которая позволяет вести поиск в трех БД whois (кто есть кто), охватывающих различные регионы мира. При обращении к Geektools (www.geektools.com/cgi-bin/proxy.cgi) проверка проводится во всех трех.

Прежде чем подать жалобу, следует посетить Web-сайт стороны, отправившей спам. Ведь он может принадлежать компании, которая специализируется на рассылке спама, и тогда жалоба не поможет. В этом случае, чтобы найти провайдера услуг следующего звена и обратиться к нему с жалобой, надо воспользоваться утилитой отслеживания маршрута (traceroute), указав IP-адрес. Хорошую утилиту такого профиля вы найдете по адресу http://samspade.org/t.

Если же вы не хотите выполнять всю эту утомительную работу самостоятельно, обратитесь в бесплатную службу извещений компании SpamCop: http://spamcop.net/anonsignup.shtml. Надо просто скопировать полный заголовок и текст спама в окно редактирования и щелкнуть на кнопке. SpamCop выяснит, откуда сообщение поступило, проверит, не относятся ли выявленные серверы к разряду открытых ретрансляторов (т. е. серверов, отправляющих электронную почту от любого источника), и составит тексты жалоб во все необходимые инстанции. Вы просматриваете предложенные адреса для пересылки жалоб, "вычеркиваете" те, которые считаете неверными, и нажимаете кнопку Send.

Обратившись с жалобой по поводу злоупотреблений электронной почтой, вы получите двойное удовлетворение - от мести и от того, что выполнили свой гражданский долг. Но и это не все. У отправителей спама имеются тайные списки тех, кто создает им трудности. Если вы заслужите репутацию человека, который пишет жалобы властям, то, возможно, со временем поток поступающего к вам спама сократится.

Представители корпорации Microsoft принесли свои официальные извинения британцу Саймону Грейнджеру (Simon Grainger) за ошибочное обвинение в спамерской деятельности – купив домен, предыдущий владелец которого занимался массовыми рассылками, житель Мерсисайда чуть было не пострадал за чужие правонарушения.

Microsoft в письменном виде принес Саймону Грейнджеру свои «искренние извинения» за ошибочное обвинение в незаконном использовании базы адресов электронной почты своих пользователей для рассылки спама. Компания начала глобальное наступление на спамеров два месяца назад. Тогда в список первых обвиняемых попали 15 доменов, с которых рассылались рекламные письма, забивавшие электронные почтовые ящики получателей. 13 доменов были зарегистрированы в США, два - в Британии. Один из них и принадлежит 43-летнему Саймону Грейнджеру, которому, в случае признания его вины, грозил штраф в размере десятков тысяч фунтов.

Г-н Грейнджер отрицает все обвинения в его адрес и настаивает на том, что, по всей видимости, спам рассылался с его домена, купленного в прошлом году, еще бывшим владельцем. «Когда я активизировал свой новый домен, на меня хлынуло море спама, после чего я решил отключить его", - рассказывает Саймон Грейнджер.

В защиту британца выступила и местная организация Spamhaus, которая также занимается борьбой против спама. Представитель Spamhaus заявил, что после тщательного изучения дела Грейнджера они "на 98% уверены, что Microsoft ошибся и поймал не того человека". Домен, ныне принадлежащий Грейнджеру, действительно числится в черном списке Spamhaus, однако все рассылки спама с него прекратились вместе со сменой владельца.

В извинительном письме Microsoft говорится: "Принимая во внимание существующие убедительные доказательства доводов Грейнджера, мы рады признать их и надеемся, что в сотрудничестве с ним мы найдем истинных нарушителей".

Результаты последнего исследования, проведенного агентством Rainbow Technologies, свидетельствуют о том, что использование имен пользователей и паролей небезопасно.

В данном исследовании принимали участие 3000 ИТ-администраторов, менеджеров, а также специалистов в области информационной безопасности. Ниже приведены основные выводы, сделанные на основе полученных данных:

• 55% опрошенных имеют, по крайней мере, один записанный на бумагу пароль.
• 40% респондентов используют свои пароли более чем на одном компьютере, сокращая тем самым уровень безопасности в среде виртуальных частных сетей (VPN).
• Среднее количество используемых каждым пользователем паролей составляет 5.5. Более 24% участников опроса имеют, как минимум, 8 имен пользователей и паролей на своих компьютерах.
• 80% отмечают, что в их компаниях были приняты меры по усложнению паролей (например, отказ от использования слов в их качестве). Это увеличило вероятность их забывания и количество случаев записи таких паролей на бумагу.
• 51% опрошенных пользователей хотя бы один раз нуждались в помощи специалистов по причине забывания или утери своих паролей.

На практике наиболее критическими являются такие факторы, как количество хранимых пользователем паролей, а также необходимость регулярной замены последних.

Компания "Лаборатория Касперского" опубликовала обзор вирусной активности за июль текущего года. Были названы 20 наиболее распространенных вредоносных программ этого месяца. Первое место среди них занимает I-Worm.Tanatos (им было спровоцировано 8,60% общего числа вирусных инцидентов в июле); на втором месте - I-Worm.Sobig (6,56%), на третьем - I-Worm.Lentin (4,15%). Остальные места в этом списке заняли вирусы I-Worm.Klez (3,59%), Macro.Word97.Saver (2,37%), TrojanDropper.JS.Mimail (1,50%), Macro.Word97.Thus (1,48%), VBS.Redlof (0,97%), I-Worm.Ganda (0,89%), Backdoor.SdBot (0,58%), Macro.Word97.Flop (0,48%), Win32.Parite (0,46%), Backdoor.Optix.Pro (0,43%), Backdoor.Beastdoor (0,42%), I-Worm.Avron (0,41%), Worm.P2P.SpyBot (0,38%), I-Worm.Gibe (0,37%), I-Worm.Hybris (0,37%), Backdoor.Death (0,32%) и Macro.Word97.Marker (0,26%).

Уязвимость обнаружена в SMTP сервере в почтовом сервере MDaemon. Удаленный пользователь может получить неавторизованный доступ к SMTP серверу.

Удаленный пользователь может представить существующее имя пользователя с пустым паролем, чтобы получить доступ к SMTP серверу. Уязвимость может использоваться для рассылки СПАМ сообщений через почтовый сервер. Уязвимость работает в конфигурациях, в которых MDaemon используется для авторизованного релея почтовых сообщений.

Пример:

220 xxx.com ESMTP MDaemon 5.0.5; Sat, 02 Aug 2003 00:51:06 +0200
EHLO localhost
250-xxx.com Hello localhost, pleased to meet you
250-ETRN
250-AUTH LOGIN CRAM-MD5
250-8BITMIME
250 SIZE 0
AUTH LOGIN
334 VXNlcm5hbWU6 (334 Username:)
TURhZW1vbg== (MDaemon)
334 UGFzc3dvcmQ6 (334 Password:)
(blank password)
235 Authentication successful

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Уязвимость обнаружена в Lotus Sametime. Удаленный пользователь может получить зашифрованный ключ и расшифровать пароль целевого пользователя и содержание мгновенных сообщений.

Сообщения входа в систему включают RC2-40 ключ внутри сообщения. Удаленный пользователь, способный контролировать сетевой трафик, может получить ключ и расшифровать пароль целевого пользователя.

Уязвимость обнаружена в Lotus Sametime 1.5, 3.0

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Уязвимость форматной строки обнаружена в tcpflow. Локальный пользователь может выполнить произвольный код с root привилегиями.

Локальный пользователь может представить специально обработанный параметр командной строки, чтобы эксплуатировать переполнение буфера в функции print_debug_message() в 'main.c', когда сообщение об ошибке передано как форматная строка к vfprintf(). Ошибка происходи перед понижением привилегий. Пример:

-i %x%x%x%x%x%x

Уязвимость в проверке правильности входных данных обнаружена в Invision Power Board. Удаленный пользователь может выполнить XSS нападение.

Пример:

http://forums.invisionpower.com/admin.php?adse ss='><script>window.open
(window.location.search.substring
(78));</script><http://binaryvision.tech.nu?BoyBear$$$From$$$BinaryVision

Отказ в обслуживании обнаружен в Open Group's Distributed Computing Environment (DCE). Удаленный пользователь может аварийно завершить работу DCE.

Несколько DCE выполнений содержит недостаток, который позволяет удаленному пользователю завесить или аварийно завершить работу DCE службы.

Сообщается, что утилиты, эксплуатирующие недавно обнаруженную Microsoft RPC уязвимость, могут вызвать обнаруженную проблему.

Уязвимые системы:

Vendor	Status	Date Updated
3Com	Unknown	6-Aug-2003
Alcatel	Unknown	6-Aug-2003
Apple Computer Inc.	Not Vulnerable	7-Aug-2003
AT&T	Unknown	6-Aug-2003
Avaya	Unknown	6-Aug-2003
BSDI	Unknown	6-Aug-2003
Cisco Systems Inc.	Unknown	6-Aug-2003
Computer Associates	Unknown	6-Aug-2003
Conectiva	Unknown	6-Aug-2003
Cray Inc.	Vulnerable	6-Aug-2003
D-Link Systems	Unknown	6-Aug-2003
Data General	Unknown	6-Aug-2003
Debian	Unknown	6-Aug-2003
Engarde	Unknown	6-Aug-2003
Entegrity Solutions Corp	Vulnerable	7-Aug-2003
Extreme Networks	Unknown	6-Aug-2003
F5 Networks	Not Vulnerable	8-Aug-2003
Foundry Networks Inc.	Not Vulnerable	6-Aug-2003
FreeBSD	Unknown	6-Aug-2003
Fujitsu	Unknown	6-Aug-2003
Hewlett-Packard Company	Not Vulnerable	8-Aug-2003
Hitachi	Unknown	6-Aug-2003
IBM	Vulnerable	8-Aug-2003
Ingrian Networks	Not Vulnerable	8-Aug-2003
Intel	Unknown	6-Aug-2003
Juniper Networks	Not Vulnerable	8-Aug-2003
Lachman	Unknown	6-Aug-2003
Lotus Software	Unknown	6-Aug-2003
Lucent Technologies	Unknown	6-Aug-2003
Lucent Technologies	Unknown	6-Aug-2003
MandrakeSoft	Unknown	6-Aug-2003
Microsoft Corporation	Not Vulnerable	7-Aug-2003
MontaVista Software	Unknown	6-Aug-2003
Multi-Tech Systems Inc.	Unknown	6-Aug-2003
NEC Corporation	Unknown	6-Aug-2003
NetBSD	Not Vulnerable	8-Aug-2003
Netscreen	Unknown	6-Aug-2003
Network Appliance	Unknown	6-Aug-2003
Nokia	Unknown	6-Aug-2003
Nortel Networks	Unknown	6-Aug-2003
OpenBSD	Unknown	6-Aug-2003
Openwall GNU/*/Linux	Unknown	6-Aug-2003
Oracle Corporation	Unknown	7-Aug-2003
Red Hat Inc.	Unknown	6-Aug-2003
Redback Networks Inc.	Unknown	6-Aug-2003
Riverstone Networks	Unknown	6-Aug-2003
SCO	Unknown	6-Aug-2003
Sequent	Unknown	6-Aug-2003
SGI	Unknown	6-Aug-2003
Sony Corporation	Unknown	6-Aug-2003
Sun Microsystems Inc.	Unknown	6-Aug-2003
SuSE Inc.	Unknown	6-Aug-2003
Unisys	Unknown	6-Aug-2003
Wind River Systems Inc.	Unknown	6-Aug-2003
Wirex	Unknown	6-Aug-2003
Xerox	Unknown	6-Aug-2003
ZyXEL	Unknown	6-Aug-2003

Несколько уязвимостей в проверке правильности входных данных обнаружено в BEA's WebLogic Server and Express и WebLogic Integration. Удаленный пользователь может выполнить XSS нападение против администратора системы.

Некоторые из примеров, поставляемые с BEA, не в состоянии правильно декодировать HTML код, представленный пользователем, перед отображением кода. Удаленный пользователь может сконструировать специально обработанный URL, который, когда будет загружен администратором системы, выполнить произвольный код сценария в браузере целевого администратора.

Уязвимость обнаружена в WebLogic Integration 2.1 and 7.0; Liquid Data 1.1; WebLogic Server and Express 5.1, 6.1, and 7.0 Для устранения уязвимости, установите соответствующие обновления:

For WebLogic Integration 7.0: 

Apply the WebLogic Server patch to WebLogic Server 7.0 SP2 

ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar 

and apply the WebLogic Integration patch to WebLogic Integration 7.0 SP2 

ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR103371_WLI70SP2.zip 

You can use Service Pack 4 (when available) instead of Service Pack 2 and these patches. 



For WebLogic Integration 2.1 running on WebLogic Server 6.1 Service Pack 3: 

Apply the WebLogic Server patch to WebLogic Server 6.1 SP3 

ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp3.jar 

and apply the WebLogic Integration patch to WebLogic Integration 2.1 

ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip 


For WebLogic Integration 2.1 running on WebLogic Server 6.1 Service Pack 2: 

Apply the WebLogic Server patch to WebLogic Server 6.1 SP2 

ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp2.jar 

and apply the WebLogic Integration patch to WebLogic Integration 2.1 

ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip 


For Liquid Data 1.1: 

Apply the WebLogic Server patch to WebLogic Server 7.0 SP2 

ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar 

and upgrade to Liquid Data Rolling Patch 4. 


For WebLogic Server 7.0: 

Upgrade to Service Pack 3 and apply the patch 

ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp3.jar 

You can use Service Pack 4 (when available) instead of Service Pack 3 and this patch. 


For WebLogic Server 6.1: 

Upgrade to Service Pack 5 and apply the patch 

ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp5.j ar 

You can use Service Pack 6 (when available) instead of Service Pack 5 and this patch. 


For WebLogic Server 5.1: 

Upgrade to Service Pack 13 and apply the patch 

ftp://ftpna.beasys.com/pub/releases/security/CR105007_510sp13.jar

Удаленный пользователь может послать множество TCP SYN пакетов к адресу маршрутизатора, чтобы вызвать заблокировать или перезагрузить устройство.

Согласно сообщению, TCP SYN шторм прервет некоторые внутренние взаимодействия между System Controller Module (SCM) и всеми Small Form-factor Pluggable (SFP) картами. Если контроллер не получает ответное сообщение на online diagnostic monitor (ONDM) в течении 30 сек контроллер перезагрузит устройство.

Уязвимость может эксплуатироваться утилитой nmap.

Уязвимость обнаружена в Cisco Content Services Switches (CSS) Models 11800, 11150 and 11050 with chassis CS800; WebNS prior to 5.00.110s

Для устранения уязвимости, установите обновленную версию(WebNS 5.00.110s)программы:

ttp://www.cisco.com/en/US/products/hw/contnetw/ps789/prod_release_note09186a008014ee04.html

Уязвимость обнаружена в IdealBB форуме. Удаленный пользователь может выполнить XSS нападение.

Сообщается, что сценарий 'error.asp' не фильтрует HTMl код в URL параметрах при отображении сообщения об ошибке. Пример:

http://[target]/idealbb/error.asp?e=16&
sessionID={xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}&msg=<scr ipt>alert('Zone-h')</script>