Взлом сайта проекта Ruby

На сайте разработчиков языка программирования Ruby (имеющего своих поклонников в мире открытых систем) сообщается о взломе сервера helium.ruby-lang.org. Взлом был обнаружен 28 мая. Как ообщается, была использована уязвимость в системе распределённого контроля версий CVS (мы сообщали о ней на прошлой неделе). Сервис CVS был запущен в chroot-среде, поэтому основная часть сервисов не пострадала. Судя по контрольным суммам MD5, не пострадали дистрибутивы ruby-1.8.1.tar.gz, ruby-1.6.8.tar.gz. Как сообщается сервис почтовых рассылок восстановлен, однако сервисы CVS/WWW/FTP/RSYNC на настоящий момент не работают.

Компьютерный червь маскируется под Гарри Поттера

Интернет-угрозы: мифы и реальность

Эволюция интернет-технологий и распространение устройств, поддерживающих доступ в сеть, а также недостаточно эффективное устранение ошибок в различных веб-приложениях привели к тому, что сегодня глобальная сеть таит в себе невиданную доселе угрозу.

Хакеры становятся все умнее и опытнее. Среднее время между выявлением уязвимого места в программных продуктах и появлением кода взлома сократилось с 500 дней в 2000 году до 40 дней в настоящее время. Поставщики борются с проблемой огромного количества дефектов в своем аппаратном и программном обеспечении. В связи с этим Ковьелло утверждает, что в зоне особого риска оказались малые и средние компании, поскольку они далеко не всегда могут себе позволить содержать специальную команду специалистов в области корпоративной безопасности.

Несмотря на то, что, по мнению некоторых экспертов, угроза кибертерроризма преувеличена, террористов все больше интересуют атаки на критически важные элементы национальных инфрастуктур, а спам представляет собой гораздо большую опасность, особенно для производительности глобальной сети.

Если вернуться к истории Интернет, то необходимо вспомнить, что первоначально Глобальная Сеть задумывалась как коммуникационная альтернатива на случай экстренных ситуаций. Агентству оборонных исследований DARPA было поручено разработать систему передачи сигналов, которая бы продолжала функцио­нировать в случае ядерной войны или стихийных бедствий. Сегодня Интернет стал беззащитным перед сетевыми преступниками и мошенниками.

Интернет-преступность все чаще приобретает транснациональный и трансграничный характер. С использованием глобальной информационной сети Интернет такие виды преступлений не имеют государственных границ и могут легко совершаться с компьютерной системы одного государства в отношении субъектов другого государства.

Миллионам пользователей угрожает новый компьютерный вирус

Вирус Corgo, недавно появившийся в сети, расшифровывает коды и номера кредитных карточек, используемых для оплаты товаров в режиме online.

Двухфакторная аутентификация

Чем больше сайтов используют парольную защиту, тем изобретательнее становятся методы воровства паролей, которые применяют хакеры. Традиционная система "логин-пароль", очевидно, требует усовершенствования.

Например, шведский банк Nordea PLC раздает пользователям услуг онлайн-банкинга специальные скрэтч-карты, на которых отпечатано 50 кодов, сгенерированных банковской криптосистемой. Чтобы войти в личный раздел на сайте, пользователь должен ввести национальный ID-номер (вроде нашего номера паспорта) и PIN-код из 4 символов, а также один из 50-ти кодов, отпечатанных на карте. Таким образом, карты хватает на 50 сеансов связи с банком. Как только последний код использован - банк автоматически высылает клиенту новую карточку с кодами.

Это лишь один способ так называемой двухфакторной аутентификации, которая все чаще используется в системах, где требуется повышенная защита.

Обычная связка "логин-пароль" не удовлетворяет современным требованиям к защите транзакций. Эксперты все чаще высказывают мнение, что пароль - это конструкция из прошлого, весьма несовершенная и неудобная в использовании. Человеческий мозг не приспособлен к работе с множеством длинных паролей и PIN-кодов. К сожалению, ему гораздо проще запомнить комбинацию "1234", чем "kR7bw1Eq2W", хотя второй пароль гораздо качественнее. Десятки паролей второго типа запомнить практически невозможно, и поэтому на рынке появились даже специальные программы, которые хранят множество паролей в зашифрованном виде. Например, Symantec Norton Password Manager. Но такие программы тоже защищены одним-единственным мастер-паролем, утеря которого станет катастрофой.

Узнать же чужой пароль не составляет никакого труда. Для этого существует множество методов: кейлоггеры, которые записывают все нажатия клавиш (такие программы часто устанавливаются в интернет-кафе); программы для подбора несложных паролей; специальные вирусы; сайты, которые предлагают пользователю зарегистрироваться с одной целью - узнать его пароль и т.д.

Двухфакторная аутентификация лишена всех вышеперечисленных недостатков, и потеря пароля не является критичной. Кроме использования одноразовых паролей. Есть и другие варианты для усовершенствования парольной защиты. Например, некоторые компании раздают своим сотрудникам специальные электронные устройства или карточки, которые на основе базового пароля "на лету" генерируют временные пароли в зависимости от времени входа в систему. Таким образом, хакеру недостаточно знания пароля, чтобы войти в систему, да и потеря устройства ничего ему не даст, потому что он не знает пароль пользователя, чтобы ввести его в устройство.

Например, в настоящее время MasterCard тестирует подобную систему в Великобритании, Германии и Бразилии. Пользователь проводит смарт-картой по специальному кард-ридеру и вводит свой PIN-код, после чего получает одноразовый пароль, который принимают нескольких десятков компаний, включая Office Max и British Airways.

Системы биометрической аутентификации действуют по тому же принципу, но только один или оба пароля заменяются отпечатком пальца или изображением сетчатки глаза.

Несмотря на очевидную эффективность двухфакторной аутентификации, она до сих пор не получила должного распространения даже в банках. "Они боятся сделать первый шаг, потому что не хотят, чтобы клиенты ушли в другие банки, где сервис проще", - говорит Авива Литан (Avivah Litan), аналитик Gartner.

Проблема еще и в том, что внедрение систем двухфакторной аутентификации - это довольно дорогостоящее удовольствие, стоимость которого пока что превышает ущерб от мошенничества даже в банковской сфере. Кроме того, пользователь легко запутается в десятках скрэтч-карточек, если каждый сервис введет подобную систему защиты. Поэтому рынок ждет, когда будет разработан единый стандарт на двухфакторную аутентификацию, и можно будет использовать одно и то же устройство/карточку для генерации паролей на всех сайтах. Например, Nordea и другие скандинавские банки уже начали сотрудничать с государственными ведомствами с целью разработки такой универсальной системы. Аналогичная работа ведется в рамках международного проекта Liberty Alliance.

Рано или поздно пользователи станут более серьезно относиться к безопасности в интернете, по мере того как их жизнь, работа и финансовые транзакции будут все больше перемещаться в Сеть. "Чем больше добра в доме, тем лучший замок ты поставишь на дверях", - приводит аналогию Роберт Чезнат (Robert Chesnut), вице-президент по безопасности интернет-компании eBay.

Transmeta представляет 1,6-ГГц процессор Efficeon со встроенной поддержкой антивирусной защиты Microsoft NX

Компания Transmeta на выставке Computex 2004, которая проходит сейчас на Тайване, продемонстрировала работающие образцы своих новых процессоров Efficeon с тактовой частотой 1,6 ГГц. Их официальный выпуск в продажу должен состояться в июле или августе этого года. А пока самый быстрый процессор Efficeon имеет тактовую частоту 1,2 ГГц.

Новый 1,6-ГГц Efficeon отличается от своих предшественников не только более высокой тактовой частотой, но и тем, что он производится по 90-нм технологии (вместо нынешних 130 нм), то есть Transmeta в этом деле не отстает от Intel и AMD. Правда, Transmeta только разрабатывает процессоры, а производятся они по заказу на заводах других компаний (процессоры Efficeon с 130-нм технологической нормой делает тайваньская компания Taiwan Semiconductor Manufacturing, а новые Efficeon'ы по 90-нм технологии производит Fujitsu).

У нового 1,6-ГГц чипа Efficeon есть еще одно серьезное отличие, и оно было продемонстрировано на выставке Computex. Этот процессор поддерживает функцию защиты NX (No Execute), которая блокирует попытки использовать в программах ошибки переполнения буфера (именно таким способом очень часто действуют вирусы и черви при проникновении на компьютер и при выводе его из строя). Правда, реально эта функция пока работать не будет, она включается только на компьютерах с ОС Windows XP с установленным вторым сервис паком (SP2), который Microsoft

воровство кода на совести разработчиков?

Кадровое обеспечение и вопросы борьбы с компьютерной преступностью

Развитие информационных технологий и аппаратно-программных комплексов преобразования информации привел к появлению беспрецедентных по масштабам и глобальных по географии проявлений угроз безопасности информации. Утеря либо нежелательное распространение информации, составляющей государственную, коммерческую или личную тайну – одна из основных сегодняшних угроз. Избежать этой угрозы можно путем разработки и последовательной реализации целенаправленной политики в этой сфере, причем эффективной и действенной эта политика будет только в том случае, если она будет опираться на взвешенную и обоснованную методологическую базу.

Раскрытие и расследование преступлений в сфере компьютерной информации, а также таких «традиционных» преступлений, как: присвоение, мошенничество, фальшивомонетничество, лжепредпринимательство и др., когда компьютерные средства используются для совершения и сокрытия преступлений невозможно без привлечения специальных познаний в области современных информационных технологий.

Правовой основой защиты информации в Украине являются Конституция Украины, Концепция национальной безопасности Украины, Законы Украины «Об информации», «О защите информации в автоматизированных системах», «О государственной тайне», «О научно-технической информации», иные нормативно-правовые акты, а также международные договора Украины, касающиеся сферы информационных отношений.

Системный подход к защите информации в общегосударственной масштабе и сформулированные на его основе основные принципы и направления государственной политики в этой сфере изложены в Концепции технической защиты информации в Украине. В разработанном на ее основе Положении о технической защите информации в Украине определены правовые и организационные принципы защиты информации, охрана которой обеспечивается государством в соответствии с действующим законодательством. Очерченные в этих программных документах главные проблемы защиты информации, пути и средства их решения требуют настоящего профессионализма кадров, что, в свою очередь, предусматривает существование системы регулярной подготовки специалистов. До последнего времени в Украине такой системы практически не существовало. Из-за отсутствия четкой государственной стратегии системы подготовки специалистов в области информационной безопасности, в условиях реально возникшего спроса на определенных специалистов в этой сфере имел место процесс стихийного создания лишь элементов системы подготовки, не всегда согласованных, а иногда противоречащих по своему содержанию и идеологии.

Поэтому одним из первоочередных заданий в создании и поддержке национальной системы информационной безопасности является гарантированное и надежное обеспечение ее высококлассными специалистами путем построения государственной системы подготовки специалистов по информационной безопасности, которая включала бы следующие особенности:

- информационная безопасность – специфическая предметная отрасль, подготовка специалистов для которой предусматривает необходимость преподавания специфических разделов фундаментальных и инженерных дисциплин: специальные разделы математики, электроника, акустика, оптика, кибернетика и др.;

- система образования в области информационной безопасности должна обеспечивать соответствие уровня подготовки специалистов уровню научных знаний, который в реальном масштабе времени (без опоздания на несколько лет) реализуется путем регулярной переподготовки и повышения квалификации, а также путем подготовки высококвалифицированных научно-педагогических кадров в магистратуре, аспирантуре, докторантуре;

- общую подготовку по вопросам информационной безопасности должны иметь все специалисты и пользователи, которые принимают участие в процессах, связанных с обработкой и обменом информацией, руководители предприятий, учреждений, организаций;

- подготовка специалистов по информационной безопасности всех категорий должна строиться на единой научно-методической и правовой основе.

Встречи специалистов IT-security в Сочи

С 22 по 26 июня 2004  года
в г. Сочи состоится
ТРЕТИЙ ЕЖЕГОДНЫЙ МЕЖРЕГИОНАЛЬНЫЙ ФОРУМ СПЕЦИАЛИСТОВ  В ОБЛАСТИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ "Практическое обеспечение корпоративной
информационной безопасности"
 
Мероприятие проводится в формате семинара-практикума, в соответствии с
согласованной с Гостехкомиссией России программой повышения квалификации
руководителей, специалистов служб безопасности и защиты информации по курсу
<Эшелонированный подход к защите конфиденциальной информации на современных
предприятиях>.

Организатор: Академия Информационных Систем (г.Москва).

Цель проводимого форума:
Проведение Форума направлено на рассмотрение  и решение актуальных вопросов
развития информационной безопасности применительно к работе российских
компаний, ведомств, промышленных организаций и банков.
Особое внимание уделено рассмотрению практики решения проблем, возникающих
при реализации правовых, организационных и программно-аппаратных методов
противодействия угрозам информационной безопасности.
Отличительной особенностью проводимого форума является предоставление
объективной оценки существующего широкого спектра программно-технических
средств и комплексных решений в области информационной безопасности.  
Аудитория:
Руководители отделов АСУ, руководители отделов защиты информации,
специалисты в области информационной безопасности. Представители
государственных ведомств и коммерческих организаций; телекоммуникационных и
промышленных компаний, производственных объединений; коммерческих банков.
Основные обсуждаемые вопросы:
1. Проблемы нормативно-правового обеспечения информационной безопасности
Нормативные акты, положения, политики и инструкции в области защиты
информации. Руководящие документы Гостехкомиссии России.
Подготовка необходимых документов для Служб Информационной Безопасности.
2. Новые стандарты по информационной безопасности. Международные и
отечественные стандарты.
ГОСТ/ИСО МЭК 15408-2002 "Общие критерии оценки безопасности информационных
технологий".
Стандарты управления IT - безопасностью предприятия: ИСО/МЭК 17799, ИСО/МЭК
13335, Cobit, OCTAVE, ITIL.
3. Технологии аутентификации.
(ААА, биометрия: SecretDisk, SecretNet, Z-Disk, StrongDisk, BioLink, Digital
Persona).

4. Сетевая защита данных на базе межсетевых экранов (Cisco-Pix, Check-Point
, Symantec, WatchGuard, Z-2, Застава и др.).
5. Технологии построения виртуальных частных сетей VPN с использованием
современных средств (Cisco, NetScreen, Symantec, FireBox (WatchGuard), а
также отечественных Застава VPN, Тропа-Джет, ФПСУ-IP, Цитадель, Континент,
Игла, Домен-К, Континент, Криптон-IP и др.).
6. Технологии обнаружения атак.IDS
(Cisco, Symantec, Real Secure, WatchGuard, Snort, Застава-Инспектор и др.)
7. Построение корпоративных систем антивирусной защиты на основе зарубежных
и отечественных решений (Symantec, Trend Micro, Лаборатория Касперского,
Doctor Web, McAfee и др.).
8. Шифрование, Удостоверяющие центры (PKI). Технологии и практика.
(Крипто-Про, Валидата, RSA, Инфотекс, Элвис Плюс, МО ПНИЭИ и др.) 9.
Технологии обеспечения безопасности беспроводных сетей WLAN 10. Аудит и
мониторинг сетевой безопасности. Методики ведущих компаний-аудиторов
безопасности и практическое применение. Опыт проведения работ.
11. Управление рисками и построение систем сетевой безопасности.
12. Аутсорсинг сетевой безопасности.
13. Аттестация и сертификация ПО и объектов информатизации.
14. Предотвращение угроз в работе бизнес-систем (business continuity) с
точки зрения информационной безопасности.
В отдельный блок вынесены обсуждения по вопросу (круглый стол):
<Комплексные системы обеспечения корпоративной информационной безопасности>.
В ходе работы форума запланировано представление новых комплексных систем в
области информационной безопасности компаниями вендорами и производителями
средств защиты информации.
 
Продолжительность:  5 дней.
 
Программа  формируется, доклады и заявки на выступления принимаются до 10
июня 2004г.
Приглашаем вендоров, разработчиков и производителей СЗИ.

Уязвимость в утилите mkdir

Tim Newsham cообщает о наличии уязвимости в утилите mkdir, поставляемой со всеми дистрибутивами UNIX - ориентированных систем. Утилита предназначена для создания директории в файловой системе. В общем то? автор говорит об уязвимости в UNIX версии 7 (о SYSTEM V ничего не говорится) и утверждает о наличие уязвимости в такой экзотической системе, как PDP-11. Суть уязвимости сводится к тому? что при вызове системной функции mkdir() значение параметра абсолютного пути директории заносится в буфер pname. При этом проверка длины буфера не производится? а его длина ограничена 128 байтами. Кроме того утилита mkdir имеет установленный бит SUID. Таким образом при передаче утилите в качестве параметра абсолютного пути длиной более 128 байт может возникнуть ситуация переполнения буфера с дальнейшим выполнением произвольного кода. Прочитав это сообщение? Ради интересу проверил полномочия mkdir в Linux Red Hat 7.3 (ls -la /bin/mkdir) - с полномочиями всё в порядке - бита SUID нет.

Уязвимость в Tripwire

Обнаружена уязвимость в популярном в мире открытых систем пакете проверки целостности системы и предотвращения вторжения Tripwire. Как сообщает автор уязвимости, при задании режима информирования системного администратора о результатах проверки (tripwire -m c -M) каждая формируемая строка отчёта передаётся функции fprintf() в виде: fprintf(mpFile, s.c_str() ). При этом? если локальный пользователь может создать специальным образом оформленный файл он может быть передан функции fprinf () c последующим выполнением произвольного кода от имени пользователя, от имени которого запускается tripwire (в 99,9% - root). В качестве меры противодействия предлагается отключить функцию передачи отчёта по E-mail и патч к программе pipedmailmessage.cpp, в которой и обнаружена уязвимость.
SecurityFocus

Административный доступ к приложению в Gallery 1.2 - 1.4.3-pl1

Раскрытие физического пути к установочной директории в Nuke Cops

Программа: Nuke Cops Опасность: Низкая Наличие эксплоита: Да Описание: Обнаружена уязвимость Nuke Cops Удаленный атакующий может послать специально сконструированный GET запрос к определленным файлам, что даст ему возможность узнать физическое расположение установочной директории на сервере. Пример/Эксплоит: http://www.domain.com/admin/modules/blocks.php/admin.php URL производителя:http://www.nukecops.com Решение: На данный момент не существует решения этой проблемы.

Раскрытие физического пути к установочной директории в osc2nuke