Хакеры КНДР или кибертерроризм на практике

Северная Корея располагает специальной военной командой специалистов-взломщиков, которая занимается сбором секретной информации о своем южном соседе - Республике Корее. С таким сенсационным утверждением выступил генерал Сон Юн Кын, занимающийся в вооруженных силах Республики Корея вопросами национальной безопасности. "Северокорейские военные в последнее время интенсифицировали компьютерное обучение студентов, которые затем получают назначение для работы в хакерскую группу, находящуюся в ведении Корейской народной армии", - заявил он.

По данным генерала Сон Юн Кын, возможности северокорейских разведывательных служб в военном плане находятся на уровне ведущих мировых держав. Эксперты южнокорейского военного ведомства предполагают, что в северокорейских вооруженных силах действуют от 500 до 600 специалистов по взлому компьютерных сетей, прошедших специальный пятилетний курс обучения в вузах.

В отчете, представленным военными южнокорейскому парламенту сказано, что "способности северокорейской разведки достигли уровня развитых стран". Боевые северокорейские хакеры получили 5-летнее университетское образование и готовы к проведению "кибертеррористических" атак на территории Южной Кореи, США и Японии.

Главным выводом, сделанным Сон Юн Кыном, стало то, что властям Республики Кореи необходимо прилагать больше усилий, чтобы справиться с кибер-угрозами, исходящими от северного соседа - КНДР.

Хакеры используют президентские выборы на Украине

По данным Украинского Антивирусного Центра, разработчика комплексных систем антивирусной защиты (Украинский Национальный Антивирус), 2 октября 2004 года появилась новая модификации «троянской программы» Trojan.Spy.Win32.Banker, которую пользователи ПК обычно получают через спам-письма. Данная программа предназначена для кражи конфиденциальных данных об электронных и банковских счетах пользователей, а также номеров и пин-кодов кредитных карточек.

Уникальность внедрения этой программы состоит в том, что хакеры применили новый психологический ход воспользовавшись нынешней политической ситуацией в Украине. В украинском варианте рассылки вредоносной программы предлагается просмотреть видео фрагмент, который должен открыть глаза избирателей на неопределённого кандидата в Президенты Украины.
Название письма: "Янукович - ЗЕК! Хотите убедится? Смотрите!".
Далее приводится текст письма:
«Хотите узнать больше об одном из кандидатов -
ПОСМОТРИТЕ ЭТОТ ВИДЕО ФРАГМЕНТ!!!
(см. прикрепленный к письму файл).

И это кандидат в ПРЕЗИДЕНТЫ Украины!!!
НЕЛЬЗЯ допустить что б такой человек стал
управлять НАШИМ государством.»

При запуске "троянца" владельцу банковского счета, предлагается ввести личную информацию о себе, для проверки и защиты информации счета, затем необходимо войти в УНИКАЛЬНУЮ ПАМЯТНУЮ ИНФОРМАЦИЮ.

Программа установки «троянской программы» имеет размер 11504 байт, представляет собой Win32 приложение, упакованное утилитой сжатия FSG. Программа написана таким образом, что будет функционировать только в среде операционных систем Windows2000/XP. После запуска она инсталлирует в систему библиотеку LSD_F3.DLL и драйвер IESPRT.SYS. Эти файлы создаются в системной папке Windows (WINDOWS\SYSTEM32), в реестре создаются записи, благодаря которым при каждой загрузке операционной системы библиотека LSD_F3.DLL будет автоматически загружаться в область памяти системного приложения WinLogon.

Ошибка в RealPlayer делает возможными атаки через видео

Как сообщила в пятницу компания RealNetworks, ошибка в программе ее музыкального плеера приводит к тому, что компьютеры под Windows, Мас или Linux можно взломать при помощи фальшивого видеофайла.

Оказывается, можно создать видеофайлы, при попытке проигрывания которых посредством уязвимого ПО от Real, вместо этого будет запускаться программа. Дефект проявляется в RealPlayer 10 для Windows и Mac OS X, RealOne Player для Windows и Mac OS X и в Real Helix Player для Linux.

"Опасности подвергается каждый, у кого установлен RealPlayer, а таких людей очень много", — говорит Марк Мейфрет, главный специалист по защите программного обеспечения компании eEye Digital Security, обнаружившей ошибку.

Получить комментарии у представителей RealNetworks пока не удалось. Компания уже выпустила исправления для этой ошибки.

Согласно рекомендациям eEye, дефект кроется в компоненте видеоплеера, управляющем файлами в формате Real с расширением .rm. Как и в случае недавно обнаруженной уязвимости Windows-приложений, работающих с форматом изображений JPEG, данная уязвимость проявляется в широко распространенном ПО и может использоваться для создания вируса.

"Она аналогична ошибке JPEG в том смысле, что всего лишь проигрывая файл или "принудительно просматривая" его через свой веб-браузер, вы подвергаетесь опасности взлома системы, — говорит Мейфрет. — На мой взгляд обе эти уязвимости — JPEG и RealPlayer — служат хорошими примерами того типа угроз, который становится все более распространенным: атак с использованием уязвимостей со стороны клиента".

Вместо того, чтобы искать пробел в защите операционной системы или стараться получить непосредственный доступ к компьютеру, злоумышленники все чаще пытаются взломать широко распространенные приложения. "Таким уязвимостям со стороны клиента неспособно надежно противостоять самое безопасное ПО… что оставляет компаниям мало альтернатив, кроме своевременной установки исправлений", — говорит Мейфрет.

Инфосистемы "Гарант-Парк-Интернет" будут защищены электронными ключами eToken

Компании "Гарант-Парк-Интернет" и Aladdin Software Security R.D. заключили соглашение, в рамках которого "Гарант-Парк-Интернет" будет осуществлять разработку, настройку и поддержку информационных систем с использованием продуктов и решений на базе eToken. eToken является универсальным персональным средством строгой аутентификации и хранения ключевой информации в виде смарт-карты или USB-ключа, поддерживает работу с цифровыми сертификатами и электронной цифровой подписью, интегрируется с программными и аппаратными решениями мировых вендоров. Подписанное соглашение официально подтверждает право "Гарант-Парк-Интернет" на использование ПО и аппаратных средств компании Aladdin Software Security R.D. в рамках проектов по созданию и технической поддержке информационных систем с элементами защиты информации и контроля доступа.

Ddos-атака как средство подавления конкурента

Без своего сайта в Интернете не обходится сейчас практически ни одна организация. С его помощью менеджеры стараются привлечь новых клиентов, развивают новые системы оплаты и доставки товаров или услуг. Многие построили свой бизнес полностью в Интернете: сетевые форумы для общения, магазины, информационные агентства, газеты.

По мнению киберпреступников, самое лучшее средство борьбы с виртуальными конкурентами, которое действует независимо от «жертвы», – Ddos-атака. Суть ее состоит в том, что хакер заставляет большое количество компьютерных систем слать бесконечные «мусорные» запросы одному или нескольким серверам, вызывая их перегрузку.

Для этого хакер внедряет «безобидные» вирусы в обычные компьютеры. Эти программы не выполняют никаких функций до определенного, заданного заранее момента времени. После этого хакер активирует несколько тысяч вирусов, заставляя компьютеры обычных пользователей постоянно слать бессмысленные пакеты данных по одному и тому же адресу.

Блокировка – далеко не единственный ущерб от Ddos-атаки. Организация, чей информационный ресурс постоянно недоступен, постепенно теряет свою репутацию. Посетители уходят к конкурентам. Существование сайта в этом случае теряет всякий смысл.

Так, 16 января 2004 года после продолжительной Ddos-атаки интернет-казино «Триада» было вынуждено перенести свой сайт на новый хостинг. При этом правила работы на сайте сильно изменились.

18 февраля 2004 года, по сообщению пресс-службы компании «Мастерхост», началась распределенная Ddos-атака на серверы хостинг-провайдера. Паразитный трафик мешал нормальному соединению с рядом ресурсов, расположенных на технической площадке фирмы.


Подробнее : http://www.crime-research.ru/analytics/Sveta09/

Microsoft собирается выпустить собственное антишпионское ПО

В минувшую пятницу, выступая перед студентами Калифорнийского университета в Беркли, председатель совета директоров Microsoft Билл Гейтс заявил, что его компании собирается выпустить свое собственное антишпионское ПО. То есть это будет программа, которая сможет обнаруживать разные вредоносные приложения, проникающие или пытающиеся проникнуть на компьютер. Причем, Microsoft намерена организовать онлайновую службу обновлений этого ПО, подобно тому, как это делают разработчики антивирусных программ. Что вполне объяснимо, так как шпионские программы частенько входят в состав вирусов. По словам Билла Гейтса, борьба с вирусами и спамом сейчас идет довольно активно и определенный прогресс на этих направлениях есть. А вот со всякого рода вредоносным кодом и программами, используемыми в рекламе, дела обстоят все хуже и хуже. Во всяком случае, как пожаловался Билл Гейтс, он уже обнаружил на своих домашних компьютерах постороннее рекламное ПО, хотя с вирусами у него никогда никаких проблем не было.

Правда, Билл Гейтс не назвал никаких конкретных сроков выпуска антишпионского ПО от Microsoft и не сказал, будет ли оно продаваться в качестве отдельного продукта или "бесплатно" будет включено в состав ОС Windows. Кстати, антивирусное ПО, которое Microsoft сейчас тестирует, бесплатным не будет.

Десятка вирусов сентября по версии Sophos

Антивирусная компания Sophos опубликовала свой традиционный рейтинг вирусов прошедшего месяца, то есть сентября 2004 года. Все вирусы, вошедшие в эту десятку, оказались "старыми знакомыми", так как их первое появление на публике произошло от 3 до 6 месяцев назад. Тем не менее, пользователи продолжают активно заражать ими свои компьютеры, что говорит об их беспечности и пренебрежением элементарными правилами работы в Интернет. По данным Sophos, 6,6% писем электронной почты, циркулирующих сейчас в Интернет, заражены тем или иным вирусом. Ну а новых вирусов в сентябре появилось 1150 штук.

Итак, вирусная десятка сентября по версии Sophos выглядит следующим образом (в процентах - доля заражений данным вирусом от общего числа инцидентов)

1. W32/Zafi-B - 30.5%
2. W32/Netsky-P - 26.7%
3. W32/Netsky-D - 6.1%
4. W32/Netsky-Z - 5.5%
5. W32/Bagle-AA - 3,8%
6. W32/MyDoom-O - 3.6%
7. W32/Netsky-B - 3.5%
8. W32/Netsky-Q - 2.7%
9. W32/Lovegate-V - 2.6%
10. W32/Netsky-C - 2.0%

Обзор уведомлений дистрибьюторов операционных систем (с 26 сентября по 3 октября 2004 года)

Локальный доступ к паролю базы данных в Computer Associates Unicenter Common Services

Программа: CA Unicenter Common Services 3 Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость обнаружена в Computer Associates Unicenter Common Services. Локальный пользователь может определить пароль базы данных. Локальный пользователь может просмотреть пароли для пользователя ‘SA’ в следующих файлах: TndAddNsp.bat TndAddNspTmp.bat litestore.dat URL производителя: http://www.ca.com/ Решение:Установите соответствующее исправление (QO58447).

Rose Fragmentation Attack в Widnows XP/2000

Программа: Windows 2000/XP Опасность: Низкая Наличие эксплоита: Да Описание: Несколько вариантов некоторых известных уязвимостей в Windows могут эксплуатироваться удаленным пользователем, чтобы вызвать отказ в обслуживании. Ошибка обнаружена в обработке фрагментированных пакетов. Удаленный пользователь может послать большое число небольших фрагментированных пакетов, в которых пропущены некоторые пакеты и затем постоянно посылать последний фрагмент, чтобы заставить уязвимую систему использовать 100 CPU и перестать обрабатывать легитимные фрагментированные пакеты. Пример/Эксплоит: http://digital.net/~gandalf/rose.c URL производителя: http://www.Microsoft.com Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

SQL инъекция в aspWebCalendar

Программа: aspWebCalendar Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость обнаружена в aspWebCalendar. Удаленный пользователь может выполнить нападение SQL инъекции. Данные, переданные в поле username в "album.asp" and "calendar.asp" и параметрах "eventid" и "cat" не проверяются перед использованием в SQL запросе. Пример: http://[victim]/calendar.asp?action=eventdetail&eventid='[code] http://[victim]/album.asp?cat='"[code] URL производителя:http://www.fullrevolution.com/calendar_overview.asp Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Удаленное переполнение буфера в Vypress Messenger

Программа: Vypress Messenger 3.5.1 и более ранние версии Опасность: Средняя Наличие эксплоита: Да Описание: Уязвимость, обнаруженная в Vypress Messenger, позволяет злонамеренному пользователю скомпрометировать систему целевого пользователя. Уязвимость обнаружена в функции визуализации. Удаленный пользователь может вызвать переполнение буфера через специально обработанное сообщение содержащее чрезмерно длинную строку (более 776 байт) в первом поле сообщения. Успешная эксплуатация позволяет выполнить произвольный код с привилегиями пользователя, запускающего программу. Также возможно скомпрометировать все уязвимые хосты в локальной сети, посылая специально обработанные широковещательные пакеты Пример/Эксплоит: http://aluigi.altervista.org/poc/vymesbof.zip URL производителя: http://www.vypress.com/previews/ Решение:Установите последнюю версию программы (4.0.1)

Удаленный отказ в обслуживании в MyWebServer

Программа: MyWebServer 1.0.3 Опасность: Высокая Наличие эксплоита: Да Описание: Уязвимость обнаружена в MyWebServer. Удаленный пользователь может получить доступ к административной панели. Удаленный пользователь может просматривать файлы на целевой системе. Удаленный пользователь может аварийно завершить работу Web службы. Удаленный пользователь может установить более 107 подключений с целевой Web службой, чтобы аварийно завершить ее работу. Тауже удаленный пользователь может подучить доступ у 'http://[target]/admin/ServerProperties.html' и создать FTP учетную запись и затем войти в систему под этой учетной записью, чтобы просмотреть произвольные файлы на системе. URL производителя: http://www.mywebserver.org/us/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Удаленный доступ к произвольным файлам в Samba

Программа: Samba 2.2 - 2.2.11, 3.0 - 3.0.5 Опасность: Средняя Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Samba. Удаленный пользователь может получить доступ к файлам, расположенным вне общедоступного пути. Уязвимость в проверке правильности входных данных обнаружена в обработке MS-DOS имен путей. Удаленный пользователь может эксплуатировать этот недостаток, чтобы получить доступ к файлам на целевой системе, которые расположенные вне общедоступного пути, определенного в 'smb.conf'. Файлы могут быть просмотрены с привилегиями целевой учетной записи. URL производителя:http://www.samba.org/ Решение: Установите обновленную версию SAMBA (2.2.12): http://samba.org/samba/ftp/samba-2.2.12.tar.gz