News&Views от Networks's coffee News&Views by Networks's coffee выпуск #8

                                                                          
       \  \\ \  \                                                         
        / //  /  /                                                        
    \ ___________ /                                                       
     \           /                                                        
      \ NeTcafE /                                                         
    \  \-------/   /                                                      
     \------------/                                                       
Network's Coffee Presents                                                 

News&Views by Networks's coffee выпуск #8
Холдер: Burger_cdr

Охватываемый период:
18.04.04 - 25.04.04

INtRo
Очередной раз задумался - а нужна ли вообще эта рассылка?
Вообщем, очередной, наверно, бесполезный:)призыв - поделиться своим
мнением о рассылке и предложить что-то своё... Вообще думаем как переделать
сию пакость  в конфетку:)
Кстати, к вам вопрос - может быть, перейти на выпуск раз в 2 недели? - тогда
вы получите
более качественные разделы Bugs, доки и Спец, но потеряет свою актуальность News
и
hi-tech news  - всвязи, с чем будут урезаны до минимума. Все мнения прошу кидать
сюда:
http://www.cdswom.net/forums.php?m=posts&q=257


 
CoNteNt:

1.NewS.               (НовостИ)
2.Hi-Tech NewS        (Хай-Тек НовостИ)
3.BugS.               (УязвимостИ)
4.PaperS&ViewS.       (Публикации и мнениЯ)
5.SpeC.               (Всякие интересные вещИ)
6.TrasH.              (МусоР)
7.WherE&HoW           (ГдЕ и КаК)

------------
1.NewS.
------------

Первый червяк под Mac OS X
Зафиксировали первый червяк под платформы OS X.
Червь неопасный, но начало положено:)
http://www.net-security.org/news.php?id=5019

Хакеры проникают в сети суперкомпьютеров - дорвались черти:)
Так и не вычисленные атакеры проникли в сеть суперкомпьютеров,
базирующихся на солярке(хм, а не помог ли им известный 
эксплоит? - мотайте на нос товарищи:), Стенфордского университета.
(студенты наверно:)
http://www.net-security.org/news.php?id=5032

Эксперты соообщают: Bluetooth по-прежнему имеет дыры в безопасности
Согласно сообщению исследователей, последняя спецификация Bluetooth, популярной
беспроводной технологии, оставила открытыми несколько вопросов в безопасности.
Проблема в Bluetooth 1.2 технологии связана с тем, как обрабатывается персональный
идентификационный номер (PIN) который используется для защиты данных, сказал
в среду на конференции посвященной этой проблеме Олие Вайтхаус (Ollie Whitehouse),
исследователь фирмы @Stake, занимающейся цифровой безопасностью. Аналитики спецификации
показали что при использовании специального оборудования идентификатор может
быть сломан, что приведет к возможности перехвата информации, передающейся между
двумя устройствами связанными между собой по Bluetooth. Это даст злоумышленнику
доступ к прослушиванию телефонных звонков, получению персональной информации
и даже позволит фальсифицировать сигнал передающийся от одного устройства к другому.
Это последняя обнаруженная проблема в безопасности. Ранее сообщалось о других
проблемах с Bluetooth: одна получила красочное название "Redfang" (красный клык)
которая позволяла обнаружить скрытое Bluetooth-устройство, и вторая - "Bluestumbling"
(другое название "Bluesnarfing"), которая позволяет атакующему получить информацию
с телефонов имеющих плохую защиту. Nokia, один из производителей, чьи телефоны
подвержены Bluestumbling, аннонсировала в четрерг обновление решающее эту проблему.
Олие Вайтхаус сказал что вопросы безопасности относящасиеся к Bluetooth технологии
находятся в плачевном состоянии. "Мы имеем три версии спецификации, но вопросы
все еще не решены, хотя по всему миру распространено как минимум 40 млн устройств
подерживающих Bluetooth 1.2 и более ранние версии. Я считаю что такая атака будет
возможна по краеней мере в течении еще трех лет." @Stake рекомендует финансовым
и другим кампаниям не пользоваться Bluetooth. К счастью, провести атаку используя
брешь обнаруженную в среду не так-то просто и довольно дорого
http://news.com.com/2100-1009-5197200.html?tag=cd.top

Специализированный семинар для разработчиков ПО ?Защити своё?
Компания Rainbow Technologies приглашает Вас 19 мая 2004 года принять участие
в бесплатном специализированном семинаре, проводимом совместно с представителями
Управления ?Р? ГУВД г. Москвы, компании Rainbow-SafeNet (США), Представительства
Novell и Исследовательской группы CNews Analytics, посвящённому обсуждению правовых
вопросов пиратства, методов борьбы с ним и использования новейших технологий
для защиты ПО. Семинар ориентирован на руководителей и специалистов компаний-разработчиков
программного обеспечения, заинтересованных в защите интеллектуальной собственности
от нелегального распространения. Семинар будет состоять из 2-х частей. Утренняя
сессия (начало регистрации ? 10:00) ориентирована на руководителей и специалистов
компаний-разработчиков программного обеспечения, заинтересованных в защите интеллектуальной
собственности от нелегального распространения. На вечернюю сессию (начало регистрации
? 15:00) приглашаются разработчики, которые защищают своё ПО, используя электронные
ключи Sentinel.
http://www.rainbow.msk.ru/news/index.phtml?Id=130


----------------------
2. Hi-Tech NewS
----------------------

Пользователи Unix получили российский Unix-сервер
Компания "Аквариус" сообщила, что под операционную систему Sun Solaris 9 сертифицирован
первый отечественный сервер - AquaServer T125. Эти серверы могут быть использованы
в качестве управляемых маршрутизаторов и сетевых экранов, Web-серверов, серверов
службы каталогов, файл-серверов. В модели AquaServer T125 использованы процессоры
Intel Xeon с тактовой частотой от 1,8 до 3,0 ГГц (до двух процессоров в сервере)
и кэш-памятью 512 Кбайт. Подсистема памяти (до 12 Гбайт регистровой DDR SDRAM
c коррекцией ошибок (ECC), управляемая двухканальным контроллером памяти набора
микросхем Intel E7501/ICH3-S), призвана обеспечить высокую скорость перемещения
данных -- до 4,3 Гбайт/c. Серверы имеют интегрированный двухканальный гигабитный
адаптер локальной сети (Intel i82546EB), до 4 Ultra 320 SCSI-дисков с "горячей
заменой", управляемых интегрированным SCSI-контроллером. Три 64-битных слота
расширения, расположенные на двух шинных сегментах PCI (два 100 МГц, один низкопрофильный
66 МГц с суммарной пропускной способностью более 2 Гбайт/с), предназначены для
подключения новых скоростных средств расширения.
http://www.osp.ru/news/hard/2004/04/16_05.htm

Ученые обнаружили предел скорости передачи компьютерных данных
Ученые обнаружили предел скорости для передачи компьютерных данных, сообщает
Associated Press. При этом специалисты отмечают, что предел в 1000 раз превышает
скорости, существующие в самых современных устройствах хранения данных. Информация
на дисках хранится в виде последовательности мест с переменной намагниченностью,
соответствующей нулю или единице. Перезапись данных подразумевает посыл на диск
электромагнитного импульса, который меняет направление намагниченности каждого
бита. С увеличением частоты импульсов сокращается время, необходимое для сохранения
или перезаписи информации. Однако, если импульсы будут идти слишком часто, их
высокая энергия может вызвать хаотическое изменение направления намагниченности
и приведет к сбою стабильной работы системы, считают ученые. Для подтверждения
своих выводов специалисты использовали ускоритель элементарных частиц Стэнфордского
университета, с помощью которого они бомдардировали образец магнитного материала
для изготовления накопителей. Скорость импульсов энергии при этом почти достигала
скорости света, а их длительность составляла всего 2,3 пикосекунды. При таких
показателях намагниченность образца материала принимала хаотичный характер, что
совершенно неприемлемо для сохранения данных.
http://story.news.yahoo.com/news?tmpl=story&cid=562&ncid=738&e=1&u=/ap/20040422/ap_on_hi_te/computer_speed_limit

Internet2: поставлен новый рекорд скорости
Исследователи из Калифорнийского технологического института и женевского CERN
провели очередной успешный опыт по сверхскоростной передаче данных. По информации
журнала PCWorld.com, опыт проводился на базе экспериментальной сети Abilene Network,
являющейся ?хребтом? академической сети Internet2. В ходе эксперимента по передаче
данных на расстояние 11000 километров, ученым удалось достичь средней скорости
6,25 гигабит в секунду. Это примерно в сто тысяч раз быстрее той скорости, которую
способен развить хороший модем, поддерживающий протокол v.90. Таким образом,
объединенной команде Калифорнийского технологического и CERN удалось побить свой
собственный рекорд, поставленный в прошлом году, когда ученые добились средней
скорости около четырех гигабит в секунду. Любопытно, что в тот раз рекордный
результат был достигнут благодаря использованию шестой версии интернет-протокола,
а для достижения нынешнего рекорда исследователям хватило старого доброго IPv4,
который уже совсем скоро будет списан на свалку истории. 
http://www.internet.ru/

Английская компания Astucia разработала маленькие камеры, которые вставляются
в обычные дорожные отражатели, и шпионят за машинами и пешеходами. Камера в состоянии
точно снять номер машины, если та едет не быстрее 150 миль в час. 
Пока не планируется установка их на дороги, лишь как ступенька для разработки
более совершенных технологий для наблюдения за нами, бедными... :-) 
http://www.hizone.info/index.cgi?d=2004-04-23#2

И снова Toshiba впереди планеты свей...         
Компания Toshiba снова удивила в плане разработок "огромного" в "маленьком" -
100Гб диск, размером в 6.3 см и толщиной в 9.5 мм. На текущий момент это самый
большой диск таких размеров. При разработке этого хард-диска была использована
технология плотности 80 Гигабит на 2.5см. Также стандартные читающие головки
были заменены более легкими и маленькими. Один из побочных эффектов использования
новых головок это более высокая терпимость к ударам, на 50 процентов выше чем
другие 6.3см-вые диски Toshiba. 
http://www.hizone.info/index.cgi?d=2004-04-23#3

Текстовые сообщения получают огромное табло     
Большой 90-ти метровый столб был поставлен в городе Middlesbrough в Великобритании.
Этот столб меняет цвета в зависимости от текстовых сообщений, которые были отправлены
на определенной номер, который открыто пока не указывается. 
Называется творение инженерной мысли "Spectra-txt", и первые сообщения поступят
из Таити, тропического острова недалеко от побережья Wales.
http://www.hizone.info/index.cgi?d=2004-04-20#2

----------
3.BugS.
----------

Достал удаленный рут сплоит под IIS 5 SSL.
Почитать об уязвимости можно, например, тут:
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
или тут
http://www.securiteam.com/windowsntfocus/5CP0L0KCKO.html
Достать сплоит здесь:
http://www.cdswom.net/datas/users/252-N&V_8.rar

Обнаружена опасная уязвимость в TCP, подробнее:
http://www.securityfocus.com/archive/1/360790/2004-04-14/2004-04-20/0
http://www.securityfocus.com/archive/1/360773/2004-04-14/2004-04-20/0
или тут
http://bugtraq.ru/review/archive/2004/21-04-04.html
Говорят где-то ходит сплоит:) Кто найдёт - кричите:)
вот ещё линка:):
http://www.uniras.gov.uk/vuls/2004/236929/index.htm

Эксплоит под Exchange pop3 всех последних версий:
http://www.cdswom.net/datas/users/252-N&V_8.rar

XChat 2.0.x уязвимость в SOCKS5
http://www.securityfocus.com/archive/1/360622/2004-04-14/2004-04-20/0

И снова monit - различного рода уязвимости:
http://www.securityfocus.com/archive/1/360621/2004-04-14/2004-04-20/0

Тыгыдынь-тыгыдынь и снова linux!:) - integer overflow (ip_setsockopt()) - в случае
удачной атаки у вас шелл:)
Уязвимы ветки: 2.4.22 - 2.4.25, 2.6.1 - 2.6.3
http://www.securityfocus.com/archive/1/360810/2004-04-14/2004-04-20/0

phpBB 2.0.8a и ниже - IP-спуфинг уязвимость.
http://www.securityfocus.com/archive/1/360641/2004-04-14/2004-04-20/0

NcFTP - возможна утечка паролей.
Cнова наши рулят:)
http://www.securityfocus.com/archive/1/360767/2004-04-14/2004-04-20/0

-----------------------
4.PaperS&ViewS.
-----------------------

Slipping in the Window: TCP Reset Attacks
К сожалению, статья закрыта для публичного скачивания - ждём
официального доклада на тему новой уязвимости в TCP. Пока только тезисы и
список литературы:
http://www.osvdb.org/4030

Играя в безопасность, или что общего между футболом и защитой информации
http://bugtraq.ru/library/misc/football.html

SQL Injection Signatures Evasion
Несколько советов о защите от популярный нынче атаке - SQL Injection.
Содержание:
- Abstract 
- Introduction 
- Recognizing Signature Protection 
- Common Evasion Techniques 
    Different Encodings 
    White Spaces Diversity 
    TCP Fragmentation 
- Advanced Evasion Techniques 
    The 'OR 1=1' Signature 
    Evading Signatures with White Spaces 
    Evading Any String Pattern 
- Conclusion 
- References  
http://www.imperva.com/adc/papers/sigevasion

Securing Wireless LANs with PEAP and Passwords
Дока о безопасности WLAN, между прочим, от мелкомягких:)
http://www.microsoft.com/technet/security/guidance/peap_0.mspx

Интервью с  Paul Zimski - специалистом в области безопасности сетей.
http://www.net-security.org/article.php?id=675

Новые секьюрные возможности солярки 10 под пристальным взглядом Ravi Iyer
http://www.securityfocus.com/infocus/1776

Некоторые размышления и советы на тему уязвимостей некоторых web-приложений,

позволяющих похищать сессии пользователей.
http://www.securityfocus.com/infocus/1774

Интернет-разведка глазами хакера
http://www1.xakep.ru/local/redirect.asp?url=post%2F22122%2Fdefault%2Easp

ICQ червь и ICQAutomation (от 21.04.2004)
http://www1.xakep.ru/local/redirect.asp?url=post%2F22082%2Fdefault%2Easp

PHP-Nuke: модная тема каждого номера
http://www1.xakep.ru/local/redirect.asp?url=post%2F22071%2Fdefault%2Easp

-----------
5.SpeC.
-----------

ТОП 6 ПРИЛОЖЕНИЙ ОТ SECURITYFOCUS 
---
1. Data Keeper v1.05
http://www.synack.com/dkeeper.html
Платформы: MacOS
Приложение для хранений ваших данных - поддерживает тонну всяких алгоритмов
шифрования, так что если вы счастливый владелец(или ковладелец:)) мака, то сия
прога просто обязана валяться где-то у вас в мусоре:) 

2. XML Security Library v1.2.5
http://www.aleksey.com/xmlsec/
Платформы: Х\З
Это XML секьюрная библиотека (С-библиотека), основанная на LibXML2 и OpenSSL,
которая позволяет криптовать ваши данные стандартными методами. 

3. Samhain v1.8.6
http://la-samhna.de/samhain/
Платформы: AIX, Digital UNIX/Alpha, FreeBSD, HP-UX, Linux, Solaris, Unixware
Свеженькая версия популярной у хороших админов программы - отслеживает всякие
стремные похождения ваших юзеров (или не очень ваших:)) - как-то:
проверяет целостность файлов, ловит руткиты и прочие нехорошести и ещё примерно
обзац текста:)
Вообщем - однозначно куда-нибудь сунуть на свой комп и считать себя хорошим админом:)


4. Epylog v1.0
http://linux.duke.edu/projects/epylog/
Платформы: UNIX
Прога отслеживает всякие нехорошести в логах и стучит куда надо:)

5. Rootkit Hunter v1.06
http://www.rootkit.nl/
Платформы: UNIX
Сканит сервак на предмет всяких руткитов и прочей гадости - советую.


6. Plugdaemon v2.5.3
http://www.taronga.com/plugdaemon/
Платформы: UNIX
Маленький прокси с хорошим набором возможностей - за что его уважают:)

ТОП 20 сплоитов от packetstormsecurity.nl:
---

bgp-dosv2.pl    
Использование ещё популярной уязвимости в TCP(под частный продукт).
Пакетсторм рулит:) Они единственные кто отважился опубликовать эту термоядерную
вещь:)
http://packetstormsecurity.nl/0404-exploits/bgp-dosv2.pl
Незабудьте прочитать раннию версию доклада (от октября 2003 года) о сей уязвимости:
http://packetstormsecurity.nl/papers/protocols/SlippingInTheWindow_v1.0.doc -
3.2 метра

reset-tcp_rfc31337-compliant.c  
РЕАЛЬНО РАБОТУЮЩИЙ СПЛОИТ ПОД УЯЗВИМОСТЬ В TCP!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
(его модифицировал J 'Swoop' Barber)
только попробуйте не скачать:), вечные мои благодарности великому челу - Paul
A. Watson
http://packetstormsecurity.nl/0404-exploits/reset-tcp_rfc31337-compliant.c

reset-tcp.c     
Оригинальная версия того же сплоита, что и выше.        
http://packetstormsecurity.nl/0404-exploits/reset-tcp.c 

THCIISSLame.c   
THCIISSLame версии 0.2 под IIS 5 SSL - удалённый рут.
Чувствую весёлая неделька нас ждёт:)
http://packetstormsecurity.nl/0404-exploits/THCIISSLame.c

umodpoc.zip     
сплоит под сервера с Unreal engine и не только.
http://packetstormsecurity.nl/0404-exploits/umodpoc.zip 

reset.zip       
РЕАЛЬНО РВЁТ КОННЕКТ! таже TCP уязвимсоть.
Скомпилено под винды.
Ух весёлая неделька:)
http://packetstormsecurity.nl/0404-exploits/reset.zip 

0x3142-sq-chpasswd.c    
Локальный рут под Squirrelmail's chpasswd utility.      
http://packetstormsecurity.nl/0404-exploits/0x3142-sq-chpasswd.c

p_xfree.c       
XFree version 4.3.x - локальный рут.
http://packetstormsecurity.nl/0404-exploits/0x3142-sq-chpasswd.c

eudora61.pl     
Eudora 6.1 - отказ в обслуживании.      
http://packetstormsecurity.nl/0404-exploits/eudora61.pl 

--------------
6.TrasH.
--------------

хокку газеты:
"Первую песню весны 
Поет соловей, повиснув 
На ветке вниз головой."
(с) Такараи Кикаку

Фраза газеты:
"Говоpят, что мы все делаем чеpез задницу? Да нет? мы пpосто в ней живем.
 Спасибо, что хоть большая - не тесно?" (с) Любимая фраза моего хорошего друга:)


---------------------
7.WherE&HoW
---------------------
Список первоисточников:

http://www.uinc.ru/
http://www.securitylab.ru/
http://securityfocus.com/
http://packetstormsecurity.nl/
http://www.security.nnov.ru/
http://www.xakep.ru/
http://www.net-security.org/
http://bugtraq.ru/
http://www.hizone.info/
http://www.ixbt.com/

Напоминаем: газета не претендует на полноту описания предмета, она лишь 
отражает мнение автора на тот или иной вопрос. 
Если у вас есть ресурс, который вы часто посещаете(по тематики раздела),
то не поленитесь, и опубликуйте его в нашем форуме
http://www.cdswom.net/forums.php?m=topics&s=16
или пришлите на networkscafee@tut.by


CDS_WomNeT( http://www.cdswom.net/ ) irc.x25.net.ru #internet #CDS