Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Сводная таблица межсетевых экранов на российском рынке.

Возможность существования подобных червей была открыта еще в мае 2000 Сетом МакГэном, опубликовавшем свое исследование в популярной электронной конференции BugTraq. Несмотря на это, до сих пор не было зарегистрировано ни единого случая появления подобных вредоносных программ. Сейчас, по некоторым данным, зарегистрировано несколько десятков зараженных компьютеров.

Mandragore представляет собой EXE-файл, написанный на языке программирования Ассемблер и имеющий длину 8192 байта. При запуске этого файла червь регистрирует себя как активный узел сети Gnutella и отслеживает все сетевые запросы на поиск файлов. При обнаружении запросов, вне зависимости от наличия искомых файлов на зараженной системе, Mandragore возвращает положительный результат поиска и предлагает пользователю загрузить их. Для маскировки он переименовывает свою копию в соответствии с полученным запросом. Таким образом, если пользователь послал запрос на поиск файла "How to become a millionaire", то зараженная система предложит ему загрузить файл "How to become a millionaire.exe". Важно отметить, что червь абсолютно неработоспособен, если на компьютере не установлен один из клиентов, поддерживающий стандарт обмена данных Gnutella, таких как Gnotella, BearShare, LimeWire или ToadNode. При заражении компьютера червь копирует себя в каталог автозапуска программ Windows для текущего пользователя. Копируется червь под именем GSPOT.EXE и устанавливает на свою копию атрибуты "скрытый" и "системный". При следующей загрузке Windows червь автоматически активизируется и остается в памяти как активный процесс (под Windows 9x он регистрируется как скрытый процесс).

"Данный червь не имеет побочных действий, кроме незначительного увеличения потока исходящих данных. Его главная опасность - не уничтожение важных файлов или разглашение конфиденциальной информации, а огромный ущерб репутации компаний и частных лиц, подвергшихся заражению. Вряд ли сам факт присутствия вредоносных кодов в компьютерных системах может способствовать налаживанию новых деловых связей и привлечению новых клиентов", - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского".

Для предотвращения проникновения Mandragore на компьютер нельзя ни в коем случае запускать EXE-файлы длиной 8192 байта, которые могут быть предложены для загрузки через сеть Gnutella. В случае, если компьютер все же подвергся заражению червем, "Лаборатория Касперского" рекомендует удалить файл GSPOT.EXE в каталоге автозапуска программ для текущего пользователя и перезагрузить компьютер.
(источник - http://www.cnews.ru/, опубликовано 28.02.2001)

[Feb14 - Mar01] Security Info digest #25(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

По данным http://www.attrition.org/mirror/attrition/ за период с 14февраля по 28 февраля было взломано 495 Веб сайтов, в том числе в
домене .ru - Olivetti O.Y. Moscow Representative Office(www.olivetti.ru) и ANKEY/Smarttecnology (www.smartek.ru)

Вирус, получивший название "I Love You" вернулся в немного измененном виде - на этот раз заголовок содержит надпись "My baby pic!!!". Все остальное очень похоже на предшественника - вирус написан на Visual Basic. Он меняет статус клавиш CapsLock, NumLock, и ScrollLock keys,вставляет текст в буффер клавиатуры, портит .jpg, .mp3 файлы, исходные тексты на Visual Basic, Pascal и C++ и как обычно использует Microsoft Outlook для размножения.

Программное обеспечение Cisco IOS (версии 11.x и 12.0 ) содержит уязвимость, которая позволяет получить доступ на чтение и запись
(используя недокументированное SNMP ILMI сообщество) к некоторым SNMP объектам без надлежащей авторизации. Следует отметить, что программное обеспечение Cisco 10.3 и более ранние версии не содержат этой уязвимости ( она появилась в версиях, начиная с IOS 11.0(0.2)).
Следует отметить, что программное обеспечение версий 12.1 и старше исправлено.

Некоторые из модифицируемых объектов описаны в системной группе MIB-II (например, "sysContact", "sysLocation" и "sysName"). Используя их нельзя нарушить нормальную работу устройства, но в случае неожиданной модификации могут возникнуть проблемы. Остальные объекты описаны в LAN-EMULATION-CLIENT и PNNI MIB-ах и их модификация может испортить настройки АТМ. Кроме того, против уязвимых версий IOS может быть проведена DDoS атака при отсутствии соответствующих настроек для защиты ILMI сообщества.

Данная уязвимость присутствует лишь только в некоторых версиях IOS в Cisco маршрутизаторах и свитчах. Уязвимость существует во всех версиях IOS, поддерживающих программное обеспечение для ATM и ILMI, безотносительно к присутствию ATM интерфейса или самого устройства, предназначенного для работы с ATM.

Чтобы избавиться от этой уязвимости Cisco предоставляет бесплатные апгрейды программного обеспечения для всех подверженных ей платформ. Уязвимость документирована в DDTS, запись CSCdp11863.

В качестве временной меры можно вместо апдейтов программного обеспечения на некоторых IOS релизах отключить ILMI сообщество или установить access-list'ы для предотвращения несанкционированного доступа к SNMP.

В IOS версии 11.1 отключить ILMI сообщество можно с помощью команды: no snmp-server view *ilmi
Однако следует помнить, что конфигурация не сохранится при перезапуске системы и команду надо будет вводить заново.

Для релизов с IOS 11.2 по 11.3(8) _НЕ ТРЕБУЮЩИХ АТМ_ ILMI сообщество может быть модифицированною или стерто, но изменения также не сохранятся при перезагрузке устройства. Следующие команды надо выполнять заново после каждой перезагрузки системы.
snmp-server community ILMI RW (команда может вызвать ошибку, которую можно игнорировать) no snmp-server community ILMI RW (если эта команда выполнилась с ошибкой, значит этот вариант не подходит)

В случае, если ATM все же требуется:
Создайте простой ACL для предотвращения доступа к ILMI:
access-list 66 deny any
snmp community ILMI view *ilmi RW 66
Если *ilmi нет, вы получите сообщение об ошибке. Тогда используйте следующую команду для обеспечения контроля доступа:
snmp community ILMI RW 66

Подробнее об этом можно почитать на сайте Cisco:
http://www.cisco.com/warp/public/707/ios-snmp-ilmi-vuln-pub.shtml

В рамках реализации программы планируется:

• разработать законодательную и нормативно-правовую базу,
• наладить контакты с российскими и зарубежными партнерами на рынке ПО для обеспечения заказов и сбыта произведенных услуг,
  
• создать в каждом муниципальном образовании Ярославской области предприятия-технополисы, занимающиеся созданием новых рабочих мест для программистов и комплексной поддержкой новых компаний, специализирующихся на разработке высокотехнологичных продуктов,
  
• создать рабочие места для инвалидов, способных заниматься деятельностью в сфере компьютерных технологий,
  развить телекоммуникационную инфрастуктуру региона,
  снизить цены на услуги связи и т. д.

Предполагается, что на реализацию программы будет выделено 118, 72 млн. руб. При этом на компьютеризацию школ области и организацию в них кружков программистов планируется истратить около 60 млн. рублей, на помощь в создании на территории области дочерних компаний и филиалов зарубежных фирм - 20 млн руб., на создание компаний, предлагающих телекоммуникационные услуги - 3 млн рублей.

По утверждению Администрации Ярославской области, при реализации программы будет создано "не менее 4 тыс. рабочих мест как в сфере информационных технологий, так и на предприятиях смежных отраслей экономики".

В мероприятии приняли участие: президент Российского научного центра "Курчатовский институт", академик РАН Велихов Е.П., первый вице-президент фонда "Росинтернет", генерал армии Старовойтов А.В., директор Института программных систем, академик Айламазян А.К. , заместитель Министра труда и социального развития Осадчих А.И., начальник аналитического отдела главного управления внутренней политики президента РФ Чесноков А.А.
Проведение этого мероприятия позволило сделать первый шаг на пути развития информационных технологий на территории Ярославской области как самостоятельной отрасли региональной экономики.

Inline Technologies и компания "Инфотекс" подписали договор о совместной деятельности в области защиты информации.

Альянс компаний "Инфотекс" и Inline Technologies должен дать заказчикам комплексное, надежное, безопасное сетевое решение, удовлетворяющее всем существующим требованиям как в области создания инфраструктуры современного предприятия, так и в области защиты созданных сетевых структур от несанкционированного доступа к ним со стороны злоумышленников.

Компания Inline Technologies специализируется в области сетевой интеграции с целью продвижения высокотехнологичных, многофункциональных, отказоустойчивых решений по организации средних и крупных телекоммуникационных инфраструктур. Inline Technologies является прямым партнером следующих лидеров сетевого рынка: 3Com, Acer, Alcatel, Cisco Systems, Motorola, Telindus, ZyXel, Siemens, Molex (Mod-Tap).

Inline Technologies успешно работает в различных секторах рынка. Среди наших клиентов такие компании, как: "Пробизнесбанк", "Промышлено-страховая компания", "Альфа Банк", "Экспобанк", "Росинвестнефть", "Кампомос", "Тойота" ("Бизнес кар"), "Вымпелком", "ПТТ Телепорт", "КомКор", "Голден Телекомм", "МТУ-Информ", "Аэрофлот-Сирена", "Тулателекомм", "Смоленсксвязьинформ", "Ростовэлектросвязь", "Электросвязь" Московской обл. "Электросвязь" Волгоградской обл. и др.

Большой опыт в разработке и реализации крупных телекоммуникационных систем, тщательный выбор поставщиков программно-аппаратных средств, высокий профессионализм персонала компании являются залогом высокого качества проектов компании.

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.