Электронные документы и компьютерная преступность

Под воздействием стремительного процесса компьютеризации мирового сообщества неуклонно возрастает число физических и юридических лиц, применяющих разнообразные электронные технические устройства, автоматизированные сети и системы для создания, обработки и передачи документированной информации. На смену бумажным технологиям приходят так называемые «безбумажные», основанные на использовании средств электронно – вычислительной техники и электросвязи, одним из продуктов которых являются электронные документы. Они стали повсеместно и широко применяться во многих сферах деятельности.

Сегодня очень трудно найти человека, который бы не слышал об электронной почте, электронном переводе денег, электронной странице в сети Интернет, SMS-сообщении, SIM-карте, электронной записной книжке, файле, электронной цифровой подписи, программе для ЭВМ, базе данных, бездокументарной ценной бумаге, а также цифровой фотосъемке, видео- и аудиозаписи. Электронные документы прочно вошли в нашу жизнь.

Наряду с ними с каждым годом возрастает число и так называемых «комбинированных документов», созданных с использованием компьютерных технологий и содержащих одновременно машинописные, рукописные и электронные реквизиты. Эти документы стали все активнее вытеснять из оборота обычные – бумажные, начиная от гражданских паспортов, удостоверений личности, пропусков, санкционирующих доступ на охраняемый объект либо в хранилище, и заканчивая денежными билетами и документами, подтверждающими имущественные права.

Например, по данным Центрального Банка Российской Федерации, на начало 2002 г. в обращении на территории России находилось свыше 10 млн. банковских карт. При этом, что характерно, для совершения многих операций используются не сами карты в натуре, а лишь их электронные реквизиты, вводимые в компьютерное терминальное устройство. Одновременно, они являются средствами защиты документа от подделки и по действующему законодательству относятся к категории конфиденциальных, то есть к различного вида тайнам (банковской, служебной, коммерческой, персональной и др.).

Документы выделенного вида все чаще становятся предметом и средством совершения различных преступлений, являются доказательствами по уголовным делам. Например, за период с 1999 по 2003 г., с 325 до 1740 (в 5.4 раза) увеличилось количество изготовления или сбыта поддельных кредитных либо расчетных карт (ст. 187 УК РФ), с 423 до 2321 (в 5.5 раза) – причинение имущественного ущерба, совершенное с использованием электронных реквизитов (логинов и паролей) доступа к компьютерной сети Интернет (ст. 165 и 272 УК РФ); средний размер причиненного материального ущерба от одного мошенничества, совершенного с использованием электронных документов, составил 423.9 тыс. рублей.

Выпущен инструмент для тестирования cPanel

Выпущен инструмент для тестирования cPanel
На прошлой неделе, 24 мая 2004 года, был выпущен свободно распространяемый инструмент для тестирования системы управления контентом сайта cPanel на предмет присутствия нескольких недавно обнаруженных уязвимостей.

Данная утилита создана сотрудниками компании A-Squad, и позволяет администраторам убедиться в отсутствии уязвимостей, или, наоборот, подтвердить их наличие путем запуска ряда простых проверок, не имитирующих собственно взлом. Она предназначена для работы от имени непривилегированного пользователя, авторы настоятельно не рекомендуют пытаться запустить ее от имени суперпользователя (root).

Для выполнения проверки утилита, представляющая собой сценарий с именем cpanel.php, должна быть сохранена в любом доступном через веб каталоге для сценариев на тестируемой системе, при этом имя сценария менять нельзя. Обращение через браузер к данному сценарию отобразит отчет по результатам выполненной проверки.

Выпущен свободно распространяемый набор инструментов для тестирования безопасности сетей и систем

Auditor security collection представляет собой загрузочный компакт-диск на основе одного из дистрибутивов ОС Linux – Knoppix. В качестве основной цели разработчики набора инструментов ставили перед собой создание стандартизованной рабочей среды с развитым пользовательским интерфейсом, облегчающей обмен знаниями и поддержку пользователей. В состав набора входит большое количество открытого ПО для тестирования безопасности, работа с которым организована посредством меню, группирующего ПО по таким стадиям этого процесса, как анализ конфигурации, сканирование, работа с беспроводными сетями, подбор паролей и взлом.
В дополнение к более чем 300 инструментам Auditor security collection содержит справочную информацию о стандартных конфигурациях и паролях, а также словари для подбора пароля объемом около 64 млн. слов.  (Источник: www.infobez.ru)

Антиспамеры собираются на совещание

Форум по информационной безопасности в Сочи

SQL инъекция в jPORTAL

Программа: jPORTAL 

Уязвимость обнаружена в jPORTAL. Удаленный пользователь может внедрить SQL команды. 'module/print.inc.php' не фильтрует данные, представленные пользователем. В результате удаленный пользователь может представить специально обработанный запрос, чтобы выполнить SQL команды на основной базе данных. 

Пример: 

http://xxxxx/print.php?what=article&id=X AND 1=0 UNION SELECT id,id,nick,pass,id,id,id,id,id from admins LIMIT 1

Несколько уязвимостей в Sambar Web Server

Программа: Sambar Server 6.0 и более ранние версии 

Несколько уязвимостей обнаружено в Sambar Web Server. Злонамеренный пользователь может скомпрометировать уязвимую системе и выполнить XSS нападение. 

Обычно, доступ к локальному прокси серверу разрешен только с localhost (127.0.0.1). Однако возможно получить доступ к прокси серверу, создавая HTTP keep-alive подключение к Sambar web server. Уязвимость позволяет получить доступ к административным функциям сервера, которые не защищены паролем и обычно доступны только через локальный интерфейс. 

3APA3A предупреждает, что эта уязвимость в комбинации с некоторой функциональностью, которая не классифицируется как уязвимость, может эксплуатироваться для компрометации уязвимой системы. 

3APA3A также предупреждает, что Sambar не в состоянии проверить имена DOS устройств Windows, типа "con", "aux", и "com1". Уязвимость позволяет пользователем, с физическим доступом к Sambar серверу выполнить произвольный код через физическое устройство (например com1) с привилегиями Web сервера: 

POST /cgi-bin/com1.pl HTTP/1.0

2. Также обнаружено несколько XSS нападений: 

/cgi-bin/mortgage.pl?price="><malicious_code>
/samples/ssienv.shtml?<malicious_code>
/cgi-bin/dumpenv.pl?<malicious_code>
/cgi-bin/book.pl

3. Также сообщается о неопределенной ошибке в проверке границ в некоторых версиях Sambar Server 6.0.

Майская вирусная десятка от Sophos

Антивирусная компания Sophos традиционно составляет ежемесячные рейтинги вирусов. Подошло время подвести итоги мая 2004 г. В мае, по данным Sophos появилось 959 новых вирусов. Но самым ярким вирусным событием стала эпидемия червя Sasser, которая случилась как раз на наши майские праздники. В течение недели появилось сразу четыре версии Sasser'а. Он заразил сотни тысяч компьютеров во многих странах мира, в том числе пострадавших оказались и больницы, и авиакомпании, и даже британская береговая охрана.

Следует отметить, что для заражения червем Sasser пользователям не нужно было делать ничего "предосудительного" типа запуска на исполнения файлов, присланных в подозрительных письмах. Sasser проникал на компьютеры сам, но только на те, на которых были ОС Windows 2000 и XP с неустановленной заплаткой, выпущенной Microsoft 13 апреля, а таких оказалось очень много.

В итоге, на вирус Sasser пришлось более половины обращений пользователей в антивирусную службу компании Sophos. Соответственно, он занял первое место в майском рейтинге. А на местах со второго по седьмое расположились разные версии червя NetSky.

В общем, майская вирусная десятка от Sophos выглядит следующим образом:

1. Sasser
2. Netsky-P
3. Netsky-B
4. Netsky-D
5. Netsky-Z
6. Netsky-Q
7. Netsky-C
8. Sober-G
9. Bagle-AA
10. Lovgate-V

Новый метод атаки на системы управления контентом

Новый метод атаки на системы управления контентом
В воскресенье, 30 мая 2004 года, была опубликована информация об уязвимости в PHPNuke, и, возможно, ряде других систем управления контентом сайта.

Обнаруженная уязвимость дает способ выполнить произвольные запросы SQL над базой данных, расположенной на том же сервере, что и бюджет злоумышленника. Для этого злоумышленник сначала должен создать символическую связь (symlink), расположенную в домашнем каталоге PHPNuke и указывающую на каталог базы данных жертвы, для того, чтобы включить файл mainfile.php. Дальнейшее выполнение запросов SQL из кода на PHP будет выполнено, поскольку файл config.php, включенный в mainfile.php, передает всю необходимую информацию для соединения с выбранной базой данных.

Данная уязвимость дает локальным злоумышленникам достаточно простой способ искажения содержимого (дефейса) веб-сайтов, управления их пользователями, и выполнения рада других действий.

Источником данной проблемы является отсутствие проверки соответствия доменного имени, переданного веб-сервером, и доменного имени, переданного пользователем. Как утверждает автор исходного сообщения, подобная проблема может присутствовать и в ряде других систем управления контентом.

Десять наиболее активных вирусов мая

Представители семейств Netsky и Sasser стали причинами наибольшего числа заражений компьютеров пользователей по всему миру, сообщает Panda Software Russia.

Начало мая было ознаменовано широкомасштабной эпидемией, вызванной червями Sasser. Эти вредоносные коды используют брешь в Windows, известную как LSASS, и, в результате, многие компьютеры заражаются за считанные минуты. Однако данные, собранные бесплатным онлайновым антивирусом Panda ActiveScan, показывают, что ни одна из версий Sasser не смогла занять первого места в списке десяти наиболее активных вирусов мая. В прошедшем месяце Netsky.P возглавляет список, фигурируя в 10 процентах случаев заражений.

Второе место занимает Briss.A, троянец, появившийся в начале мая. Даже несмотря на то, что он не предназначен для распространения через свои средства, он был широкомасштабно разослан злоумышленниками по электронной почте, а также распространен через файлы, загружаемые из интернета.

Хотя подозреваемый автор Sasser и Netsky был найден и арестован 7 мая, его создания продолжали наносить вред компьютерам в течение всего месяца. Это подтверждается тем, что третье и четвертое места в рейтинге занимают Sasser.ftp (механизм обнаружения для скрипта, созданного червями Sasser и предназначенного для загрузки ими самих себя через FTP) и Sasser.B. Первую пятерку рейтинга завершает Netsky.D.

Еще один червь, использующий бреши в программах, Nachi.B, на шестом месте. За ним идут троянцы Downloader.L, который присутствует в рейтинге несколько последних месяцев, и Revop.F, загружающий другие вредоносные программы на компьютер.

Последние два места в десятке поделили между собой версии B и Z червя Netsky.

W32/Netsky.P.worm — 10%
Trj/Briss.A — 8.45%
W32/Sasser.ftp — 5.94%
W32/Sasser.B.worm — 5.2%
W32/Netsky.D.worm — 5.05%
W32/Nachi.B.worm — 4.6%
Trj/Downloader.L — 4.36%
Trj/Revop.F — 4.22%
W32/Netsky.B.worm — 3.84%
W32/Netsky.Z.worm — 3.7%

Из приведенных данных можно сделать следующие выводы:

— Бреши в программном обеспечении продолжают оставаться одним из наиболее эффективных средств распространения вирусов. Черви Netsky.P и Sasser, занимающие четыре из первых пяти позиций, используют данный метод. Это свидетельствует о том, что пользователи недостаточно информированы об обнаруживаемых ошибках в программах и должны установить соответствующие пакеты обновлений.

— Три из самых активных вирусов мая — троянцы, что свидетельствует об увеличении влияния этого типа вредоносных кодов. Пользователям необходимо учитывать данную тенденцию и помнить о возможных действиях троянцев на пораженных компьютерах, включая похищение конфиденциальной информации.

В России пятерка самых распространенных вирусов в мае выглядит таким образом:

W32/Netsky.P.worm — 8,53%
W32/Bagle.AB.worm — 6,15%
W32/Sasser.ftp — 5,95%
Trj/Briss.A — 4,96%
JS/Trojan.Seeker — 4,56%.

Множественные уязвимости в Apple Mac OS X

Обход некоторых ограничений безопасности в Microsoft Windows 2000 домене

Программа:

Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server

Опасность: Низкая

Наличие эксплоита: Нет

Описание: Уязвимость обнаружена в Windows 2000. Пользователь может обойти некоторые ограничения безопасности.

В некоторых случаях пользователь может войти в Windows 2000 домен даже если у него закончилось время жизни учетной записи.

Уязвимость возникает только в системах, в которых FQDN (Fully Qualified Domain Name) равно 8 символам.

URL производителя:

Решение:Уязвимость будет устранена в следующем пакете обновлений для Windows 2000. Исправление также можно получить обратившись в Microsoft Product Support Services: http:// support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS

Источник: http://www.securitylab.ru

Новое поколение бизнеса

Сотрудники компании Secunia предупредили о наличии очень опасной уязвимости в браузере Internet Explorer последних версий, а также в компоненте Windows Explorer операционных систем Microsoft. Проблема связана с ошибкой переполнения буфера при подключении к файл-серверу. Для реализации атаки злоумышленнику необходимо зарегистрировать сформированное особым образом имя совместно используемого ресурса ("share"). Такое имя должно иметь длину не менее 300 байт и содержать только заглавные буквы. При попытке жертвы соединиться с файл-сервером происходит переполнение буфера, и в системе может быть выполнен произвольный вредоносный код. Уязвимость актуальна для операционных систем Windows 95, 98, Ме, 2000, ХР, NT, а также браузеров Internet Explorer версий 5.01, 5.5 и 6.0. Следует также добавить, что софтверный гигант признал наличие ошибки лишь в Windows XP и 2000, попутно заметив, что опасность можно устранить, установив первый сервис-пак для Windows XP и четвертый пакет обновлений для Windows 2000. Однако, по словам специалистов Secunia, даже приняв предлагаемые Microsoft меры, пользователи не смогут защитить свои ПК от возможных атак. Кроме того, в Secunia особо подчеркивают, что дыра присутствует и в остальных версиях ОС Windows, не говоря уже о самом распространенном веб-браузере. В настоящее время специалисты также изучают возможность проведения атак на машины с операционной системой Windows Server 2003.