Конгресс США против внедрения программ-шпионов

28 июня | www.crime-research.ru/

Конгресс США единогласно проголосовал за закон, направленный на борьбу с программами-шпионами, которые скрытно внедряются в компьютеры и отслеживают все действия пользователей. Эти программы могут снижать мощность компьютеров, заваливать пользователей ненужной рекламой.

Новый закон требует, чтобы пользователи обязательно получали уведомления, прежде чем такое программное обеспечение будет загружаться на их компьютеры. Закон также требует, чтобы программы-шпионы могли легко удаляться с компьютера. Однако есть опасения, что новый закон встретит противодействие со стороны разработчиков легального программного обеспечения, которые применяют такие же технологии, как в программах-шпионах. Эти технологии помогают пользователям вести навигацию в интернете.

На Сеть обрушилась непонятная вирусная эпидемия

28 июня | CNews:

Необычайно массированные атаки на тысячи популярных сайтов, зарегистрированные 24 июня, заставили правительственные службы США и ведущих экспертов промышленности задуматься над природой происходящего и заняться поиском адекватных контрмер. Обнаруженный вирус пытается установить хакерское ПО на компьютеры всех посетителей зараженных сайтов.

По информации Associated Press, изучением непонятной вирусной инфекции занялось и министерство национальной безопасности США. Эксперты выясняют механизмы распространения вируса, чтобы создать соответствующие средства защиты от него. «Пользователи должны быть в курсе того, что любой сайт, даже заслуживший их полное доверие, может оказаться зараженным и содержать потенциально опасный программный код», — предупреждает федеральное правительство. Программы-троянцы, попадающие на компьютеры пользователей с зараженных сайтов, позволяют злоумышленникам рассылать с них спам.

Непонятная инфекция, стремительно распространившаяся по Сети, поражает, по крайней мере, одну из последних версий серверного ПО Internet Information Server от Microsoft — 5.0. В конец каждой страницы, размещенной на зараженном сайте, приписывается дополнительный код на JavaScript. При его выполнении происходит обращение к файлу, размещенному на другом сервере. Именно в этом файле и содержится вредоносный код, поражающий компьютеры конечных пользователей. Софтверный гигант пока никак не прокомментировал найденную уязвимость.

Эксперты отмечают, что последствия вчерашних атак отличались необычайной широкомасштабностью. Тем не менее, они не привели к серьезным проблемам с передачей трафика в Сети. Специалисты в области инфобезопасности советут всем администраторам веб-серверов, использущих IIS 5.0, удостовериться в том, что размещенные на их серверах страницы не содержат подозрительного кода. Домашним и корпоративным пользователям, по традиции, настоятельно рекомендуется срочно обновить антивирусное ПО. Кроме того, защитить свой компьютер от вредоносного кода можно, запретив выполнение JavaScript в настройках обозревателя Internet Explorer. Это может привести к некорректному отображению и работе многих сайтов, использующих Java, однако, по словам экспертов, безопасность того стоит.

Как рассказал CNews.ru руководитель информационной службы «Лаборатории Касперского» Денис Зенкин, действительно, вчера тысячи владельцев веб-сайтов, работающих под управлением Microsoft IIS 5.0, обнаружили факт взлома своих систем. «Вредоносный Java-скрипт (полное название Trojan.JS.Scob.a), заразивший эти веб-сайты, пытался загрузить на компьютеры всех посетителей программу-шпиона под названием Padodor (модификации w, x, y, z), — говорит он. — На данный момент системные администраторы до сих пор пребывают в недоумении относительно того, как этот скрипт попал на их сайты. Вместе с тем, большинство специалистов все же сходятся во мнении, что заражение произошло через еще неизвестную брешь в системе безопасности IIS 5.0».

Как подчеркивает г-н Зенкин, не исключено, что в данном случае имеет место быть так называемый Zero-day Exploit, т.е. брешь, о которой еще никому неизвестно и для которой еще нет заплатки. Иными словами, возможно, что хакеры, обнаружив или выкупив брешь у нашедшего ее автора, незаметно заразили IIS-серверы по всему миру для распространения программы-шпиона.

Шокирующая атака на интернет: российские хакеры используют сразу две неизвестные бреши

28 июня | @ASTERA

"Лаборатория Касперского" сообщает о новой массовой эпидемии целой комбинации вредоноcных программ, сочетающейся с несанкционированным проникновением в компьютерные системы.

Эпидемия затрагивает веб-серверы под управлением операционной системы IIS5 (Microsoft Internet Information Server 5) и, во вторую очередь, пользовательские компьютеры, которые обращаются к пораженным веб-серверам при помощи популярного браузера Internet Explorer.

При этом злоумышленники применяют нестандартный механизм заражения пользовательских компьютеров. Во-первых, они взламывают веб-сервер, работающий под управлением IIS5, и заражают его написанной на JavaScript троянской программой Trojan.JS.Scob.a. На основании полученных данных аналитики "Лаборатории Касперского" предполагают, что проникновение на IIS5-сервер осуществляется через уже известную либо принципиально новую уязвимость.

Затем, при посещении какой-либо веб-страницы на зараженном веб-сервере с использованием браузера Microsoft Internet Explorer, установленная на веб-сервере троянская программа перехватывает управление и обращается к веб-сайту, на котором находится специальный PHP-скрипт, использующий еще одну, неизвестную до сегодняшнего дня, уязвимость, но уже в браузере Internet Explorer.

Наконец, за счет использования этой уязвимости, на пользовательский компьютер устанавливается одна из версий программы-шпиона Backdoor.Padodor (модификаций w, x, y, z), предоставляющей злоумышленникам возможность полного контроля над зараженной машиной.

Результаты анализа кода программы-шпиона "Padodor" не оставляют сомнений в определении авторов данной вредоносной акции. В тексте программы присутствует "авторская строка" со словами "Coded by HangUp Team". Это дает основания предполагать, что автором и инициатором данной акции является международно известная команда вирусописателей и хакеров HangUp (веб-сайт rat.net.ru, сейчас защищен паролем), также подозреваемая в создании ряда других вредоносных программ.

Например, обнаруженный недавно печально известный червь "Padobot" (также известный как "Korgo"), который атакует компьютеры через уязвимость LSASS, а для получения команд от злоумышленников использует каналы чата IRC.

Группа "HangUp Team" была создана тремя жителями Архангельска. В 2000 году они были арестованы и приговорены к условным срокам заключения по ст. УК РФ 273, за нарушение закона о создании и распространении вредоносных программ. Однако, в настоящее время команда "HangUp" вновь ведет активную деятельность и включает в себя представителей компьютерного андерграунда со всего постсоветского пространства, и, возможно, других стран мира. Группа также известна благодаря своим крепким связям со спам-индустрией, охотно приобретающей у "HangUp Team" сети из зараженных троянскими программами компьютеров, которые затем с помощью установки прокси-серверов используются для рассылки спама.

"Не исключено, что в данном случае имеет смысл вести речь о "Zero-day Exploit", т.е. о бреши, еще никому неизвестной, для которой еще не выпущен соответствующий патч. Иными словами, возможно, что хакеры, обнаружив или выкупив брешь у автора, незаметно заразили IIS-серверы по всему миру для распространения программы-шпиона. Мы говорили о возможности появления такого рода инцидентов еще несколько лет назад, и события этого дня подтверждают печальную тенденцию деструктивной направленности действий компьютерного андерграунда, который переходит к применению комбинированных атак, не допускающих применения сопоставимых средств защиты", сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

Процедуры защиты от Trojan.JS.Scob.a и модификаций x,y,z программы-шпиона Backdoor.Padodor, уже добавлены в базу данных Антивируса Касперского. Более подробная информация о данной вредоносной программе доступна на сайте VirusList.com.

"Вирус" как защита авторских прав

28 июня | SecurityLab.ru

В США умер изобретатель байта и ASCII-кодов

28 июня | ROL

В среду в техасском городе Поссум Кингдом Лейк в возрасте 84 лет умер от рака человек, стоявший у истоков современного программирования, Боб Бемер (Bob Bemer), сообщает Associated Press. Им или при его участии были созданы многие вещи в компьютерном мире, широко используемые по сей день. Кодировка ASCII, присваивающая каждому символу отдельный код, служебные последовательности символов (ESC-последовательности), обозначение их с помощью обратного слэша, язык COBOL и даже 8-битный размер байта. За свою карьеру Бемер успел поработать в корпорациях RAND, Marquardt, Lockheed, IBM, Univac, Bull, General Electric и Honeywell. В прошлом году Институт инженеров по электротехнике и электронике (IEEE) наградил его медалью Пионера Компьютеров (Computer Pioneer Award).

Бемер также впервые предупредил мир о компьютерной проблеме 2000 года еще в 1971-м.

До недавнего времени на улицах городка можно было увидеть его машину с надписью на номере "Да, я отец ASCII", а его жена Бетти ездит на "Мерседесе" с номером "ESC KEY". Бемер родился 8 февраля 1920 года в городе Саулт Санта Мария (Sault Sainte Marie), штат Мичиган.

ТБ-2005: идет подготовка к разделу IT-security на Форуме

28 июня | www.OXPAHA.ru

Лидеры рынка информационной безопасности уже заявили о своем участии в специализированной выставке «Информационная безопасность», которая традиционно проходит в рамках Международного Форума «Технологии безопасности». Несомненно выставка станет крупнейшим событием в сфере обеспечения информационной безопасности в 2005 году не только в Москве, но и во всей России и странах СНГ.

Быстрое развитие рынка информационной безопасности (ежегодный мировой прирост составляет около 30%), а также неуклонный рост внимания посетителей приводят к постоянному расширению и развитию экспозиции. В этом году выставка увеличивается почти в 3 раза и ее площадь составит около 3000 кв. м.

В рамках выставки будут представлены технологии и аппаратура для защиты компьютерных сетей, хранения данных и защиты от несанкционированного доступа, электронные ключи, а также новейшие разработки в области Internet-защиты и антивирусные программы. Можно сказать, что выставка «Информационная безопасность» охватит все сферы защиты данных, включая даже технические средства поиска каналов утечки информации, что крайне важно для крупных организаций. В рамках деловой программы форума пройдет специализированная тематическая конференция «Защита информации: актуальные проблемы» и несколько семинаров по различным вопросам IT-security. Особенностью выставки «Информационная безопасность» является то, что компании-участники всегда стараются представить на своих стендах самые современные разработки и считают это своим правилом. Таким образом, специализированная экспозиция «Информационная безопасность» в рамках Форума «Технологии безопасности» – это всегда самые передовые технологии и самые актуальные проблемы.

Выставка является не только самой большой на рынке IT-security, но и уникальной по своему составу, так как объединяет всех основных субъектов рынка информационной безопасности. В ней традиционно принимают участие крупнейшие российские компании этого сектора: «Маском», «Ново», «Нелк», «Сюртель», «СмерШ Техникс», «ИКМЦ», «Иркос», «ЦБИ», «Set-1», «Конфидент», «Дикси», «ЛАН Крипто», «Анна» и другие. По сравнению с прошлым годом, многие компании в этом году увеличивают свои стенды более чем в 2 раза.

Х Юбилейный Международный Форум «Технологии Безопасности» пройдет с 1 по 4 февраля 2005 года в ультрасовременном выставочном центре «Крокус-Экспо». 30000 кв. м площади, более 500 предприятий и организаций из 30 стран мира – таковы масштабы мероприятия. Ожидается посещение более 25000 специалистов из 40 стран мира, а также представители государственных структур по обеспечению безопасности и правопорядка в России и странах ближнего и дальнего зарубежья.

Подробности на www.tbforum.ru

Обход аутентификации в HelpDesk PRO

28 июня | SecurityLab.ru

Программа: WebSoft HelpDesk PRO 2.0 Опасность: Средняя Наличие эксплоита: Нет Описание: Обнаружена уязвимость в HelpDesk PRO. Удаленный атакующий может выполнить произвольные SQL команды. Страница авторизации пользователей некорректно обрабатывает входные данные. Удаленный атакующий может с помощью SQL-инъекции обойти механизм аутентификации и получить доступ к приложению. URL производителя: http://www.websoft.it Решение: Установите исправление с сайта производителя http://www.websoft.it

HelpDesk PRO Input Validation Flaw Lets Remote Users Bypass Authentication Via SQL Command Injection

Подделка сертификатов в strongSwan X.509

28 июня | SecurityLab.ru

Программа: strongSwan X.509 2.1.2 и более ранние версии Опасность: Высокая Наличие эксплоита: Да Описание: Обнаружена уязвимость в strongSwan X.509. Удаленный атакующий может подделать сертификат и успешно пройти аутентификацию. Уязвимость существует в функции verify_x509cert(). Удаленный атакующий может с помощью специально сформированного сертификата CA пройти авторизацию на системе. URL производителя: http://strongswan.org/ Решение: Установите обновление http://www.strongswan.org/download.htm

strongSwan X.509 Validation Error Lets Remote Users Authenticated to Protected Networks

Подделка сертификатов в Openswan X.509

28 июня | SecurityLab.ru

Программа: Openswan X.509 2.1.2 и более ранние версии Опасность: Высокая Наличие эксплоита: Да Описание: Обнаружена уязвимость в Openswan X.509. Удаленный атакующий может подделать сертификат и успешно пройти аутентификацию. Уязвимость существует в функции verify_x509cert(). Удаленный атакующий может с помощью специально сформированного сертификата CA пройти авторизацию на системе. URL производителя: http://openswan.org/ Решение: Установите обновление http://www.openswan.org/code/

Openswan X.509 Validation Error Lets Remote Users Authenticated to Protected Networks

Раскрытие информации в artmedic links

28 июня | SecurityLab.ru

Программа: artmedic links 5.0 Опасность: Средняя Наличие эксплоита: Да Описание: Обнаружена уязвимость в artmedic links. Удаленный атакующий может прочитать содержимое файлов на уязвимой системе. Удаленный атакующий с помощью специально сформированного запроса может получить доступ на чтение произвольный файлов на системе с правами web сервера. Пример/Эксплоит: http://[target]/artmedic_links5/index.php?id=[file] URL производителя: http://www.artmedic-phpscripts.de/artmedic_links.php Решение: На данный момент решение не существует

artmedic links Discloses Files to Remote Users

Раскрытие информации в Confixx

28 июня | SecurityLab.ru

Программа: Confixx Опасность: Средняя Наличие эксплоита: Нет Описание: Обнаружена уязвимость в Confixx. Удаленный авторизованный пользователь может получить доступ на чтение содержимого каталога /root. Удаленный атакующий может с помощью специально сформированного запроса посредством web интерфейса получить доступ на чтение произвольных файлов в директории /root. URL производителя: http://www.sw-soft.com/en/products/confixx/ Решение: На данный момент решение не существует.

Confixx Discloses '/root' Contents to Remote Authenticated Users

Повышение привилегий в phpmyfamily

28 июня | SecurityLab.ru

Программа: phpmyfamily 1.3.0 Опасность: Средняя Наличие эксплоита: Нет Описание: Обнаружена уязвимость в phpmyfamily. Удаленный атакующий может получить привилегии на редактирование данных. Удаленный атакующий может получить привилегии на добавление пользователей, изменение данных, загрузку файлов и удаление файлов с правами пользователя nobody. Уязвимость существует, если в конфигурационном файле php.ini параметр register_globals = On. URL производителя: http://www.phpmyfamily.net/ Решение: Установите обновление http://www.phpmyfamily.net/downloads.php

phpmyfamily Lets Remote Users Gain Edit Privileges

Отказ в обслуживании в FreeBSD execve()

28 июня | SecurityLab.ru

Программа: FreeBSD 5.1 Опасность: Низкая Наличие эксплоита: Да Описание: Обнаружена уязвимость в FreeBSD execve(). Локальный атакующий может вызвать отказ в обслуживании системы. Локальный атакующий может с помощью специально сформированного вызова функции execve() вызвать отказ в обслуживании системы. URL производителя:http://www.freebsd.org/ Решение: На данный момент решение не существует.

FreeBSD local DoS

Повышение привилегий в Dr.Cat

28 июня | SecurityLab.ru

Программа: Dr.Cat 0.5.0-beta Опасность: Средняя Наличие эксплоита: Нет Описание: Обнаружена уязвимость в демоне Dr.Cat. Локальный атакующий может повысить свои привилегии на системе. Уязвимость существует в модуле 'drcatd.c'. Локальный атакующий может вызвать отказ в обслуживании демона или выполнить произвольный код на уязвимой системе. URL производителя: http://www.joltedweb.com/drcat/ Решение: На данный момент решение не существует.

Muliple local buffer overflows discovered in Drcatd

Уязвимость форматной строки в GNATS

28 июня | SecurityLab.ru

Программа: GNATS 4.00 Опасность: Средняя Наличие эксплоита: Нет Описание: Обнаружена уязвимость форматной строки в GNATS. Локальный атакующий может повысить свои привилегии на системе. Уязвимость обнаружена в модуле 'misc.c'. Локальный атакующий может выполнить произвольный команды на системе. URL производителя: http://www.gnu.org/software/gnats/ Решение: На данный момент решение не существует.

Format string vulnerability in Gnats

DoS атака в giFT

28 июня | SecurityLab.ru

Программа: giFT 0.8.6 и более ранние версии Опасность: Средняя Наличие эксплоита: Нет Описание: Обнаружен отказ в обслуживании в giFT. Удаленный атакующий может аварийно завершить работу демона. URL производителя: http://gift-fasttrack.berlios.de Решение: Установите исправление http://developer.berlios.de/project/showfiles.php?group_id=809

giFT-FastTrack Null Pointer Dereference Lets Remote Users Crash the giFT Daemon