Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Информационные сообщения по новым атакам и способам взлома, статистика по инцидентам

• [Jul04 - 24] Security Info digest #35

Рис. 1. Классификация решений по защите информации в СПД

- проанализировать структуру информационного обмена, сформировать политику безопасности в СПД и требования к техническим решениям;
- внедрить средства межсетевого экранирования, контролирующие процесс информационного обмена (для защиты узлов сети передачи данных);
- построить виртуальную защищенную сеть (VPN), обеспечивающую конфиденциальность и целостность передаваемых данных;
- организовать защиту прикладных протоколов внешнего информационного обмена и подавление несанкционированной активности в СПД с помощью средств активного аудита;
- организовать защиту средств, реализующих внешний информационный обмен (как минимум, это почтовые и Web-серверы);
- решить нормативные вопросы безопасности данных путем применения сертифицированных средств защиты или сертификации уже установленных (в ряде случаев требуется провести аттестацию СПД).

Анализ информационного обмена и политика безопасности
Этап формирования политики безопасности (хотя он и не сопровождается затратами на покупку оборудования и программного обеспечения) является чрезвычайно важным, если не определяющим, для успешного построения системы защиты. Именно он определяет, какими средствами, в какой мере и насколько полно будут защищены информационные ресурсы СПД.

Во-первых, политика безопасности строится для данной конкретной СПД и в полной мере должна учитывать всю «местную» специфику. Необходим детальный анализ логики информационного обмена, требующий в ряде случаев привлечения внешнего проектировщика защищенных сетей. Худшим вариантом будет слепое доверие заказчика к поставщикам программно-технических решений, которые обещают бесплатно разработать политику безопасности в дополнение к приобретаемым средствам. Это типичный «бесплатный сыр», который чреват потерей конфиденциальности или целостности информации, передаваемой по СПД.

Во-вторых, учет «местной» специфики сети передачи данных не означает, что подсистему безопасности нужно строить «с нуля». Напротив, чрезвычайно полезно использовать стандарты — как отечественные, так и международные (скажем, BS7799, BSI и COBIT).

В-третьих, хотелось бы сказать несколько слов по поводу анализа рисков. Вряд ли кто-нибудь будет оспаривать целесообразность такой меры, но лишь немногие представляют, как это можно сделать практически. Часто за процедуру анализа рисков выдается сканирование сети с помощью того или иного средства, хотя поставщики соответствующих решений прекрасно понимают, что между данными и процессами общего не больше, чем между профессиональным медицинским обследованием и самолечением. Полномасштабный анализ рисков рекомендуется для больших СПД со сложной структурой информационного обмена; нужно отдавать себе отчет, что данное мероприятие займет месяц или два, а его стоимость может превысить 10 тыс. долл. Если же сеть заказчика невелика и обеспечивает простые информационные сервисы, следует рассмотреть стандартизованные перечни рисков, которые публикуются в рекомендациях таких организаций, как NIST, ISCA и SANS.

Межсетевые экраны
Межсетевые экраны (МЭ) уже много лет входят в обязательную номенклатуру средств защиты СПД. Изобилие решений в этой области (только коммерческих версий существует более 150) приводит к тому, что вопрос о требованиях и критериях выбора стоит довольно остро. Естественно, высокая конкуренция обусловливает стремление производителей навязать потенциальному потребителю свою «систему ценностей». В качестве важных полезных характеристик часто фигурируют «удобный интерфейс пользователя» и «встроенная политика безопасности». Однако ясно, что удобство пользовательского интерфейса (хотя оно и желательно) может служить лишь вторичным критерием — в конце концов, администратор тратит не очень много времени на конфигурирование межсетевого экрана. Столь же мало обоснованной выглядит рекомендация применять МЭ на базе ОС Windows, поскольку вся компьютерная сеть построена на этой системе.

На мой взгляд, основными критериями выбора межсетевого экрана являются три: глубина анализа трафика, собственная защищенность экрана и соответствие требованиям производительности.

Глубина анализа определяется степенью осмысленной обработки передаваемой информации. В простейшем случае это фильтрация данных на сетевом уровне, в более сложных — фильтрация на уровне виртуального соединения; самый детальный анализ проводят МЭ, работающие на прикладном уровне. Именно последние обеспечивают максимальную защищенность узлов СПД и могут быть рекомендованы для установки почти во всех случаях. Экраны с меньшими возможностями анализа информации оказываются эффективными при установке у провайдера информационных услуг, который не может в полной мере определять политику безопасности своих клиентов, но должен гарантировать получение ими информационных сервисов.

Собственная защищенность означает принципиальную невозможность перехода системы в открытое состояние. Полностью исключить такую ситуацию можно опять-таки только с помощью шлюзов приложений, где пакеты всякий раз переформировываются заново. Это, кстати, исключает и попадание во внутренние узлы СПД пакетов, содержащих некорректные поля или опасные опции.

Немаловажным моментом является соответствие МЭ требованиям к производительности. Поскольку не существует общепризнанной методики измерения производительности межсетевых экранов, стоит порекомендовать провести испытания в условиях реальной среды информационного обмена. Нужно обратить внимание и на устойчивость к пиковым нагрузкам, которая традиционно высока для систем на Unix-платформе.

На сегодня многие МЭ прошли сертификацию на соответствие руководящим документам Гостехкомиссии России. Однако для реализации заявленных в сертификате характеристик необходимо тщательно соблюдать условия эксплуатации межсетевого экрана. К примеру, если сертификат подтверждает соответствие МЭ третьему классу, пользователь должен убедиться, что рабочие настройки экрана функционируют на уровне приложений для всех типов задач, поддерживаемых СПД.

Одна из ключевых характеристик средств VPN — реализованный в них протокол защищенного информационного обмена. Бесспорным стандартом в этой области является IPSec, и поддержка именно этого протокола должна быть обязательным требованием к устанавливаемым средствам защиты. Нестандартные («фирменные») протоколы обычно характеризуются недостаточно продуманной логикой (они редко подвергаются даже функциональному тестированию, не говоря уже об использовании формальных методов анализа); кроме того, возникает проблема совместимости с сетевым оборудованием. Наконец, применение закрытых решений приводит к «классической» зависимости потребителя от одного-единственного поставщика.

Второй определяющий фактор при выборе средств VPN — метод организации работы с ключевой информацией. Обязательным условием должно быть наличие динамического распределения ключей и централизованного администрирования. К решению этой же проблемы примыкают вопросы динамического изменения конфигурации СПД, обеспечения возможности введения в систему новых узлов и отключения старых. Если добавление нового узла требует переконфигурирования всех остальных, то, как показывает практика, системы, имеющие свыше пяти узлов, оказываются неработоспособными.

Вопросы производительности представляют собой достаточно деликатную область оценки VPN-решения. Пользователю не стоит забывать, что целью внедрения VPN является обеспечение определенного качества сервисов. Он должен с осторожностью относиться к «изобретаемым» некоторыми производителями количественным характеристикам, которые якобы позволяют адекватно оценить эффективность применения этой технологии. Единственный показатель, заслуживающий доверия, — результаты сравнительных испытаний различных продуктов.

Сегодня VPN не только используется в классических СПД, но служит и для защиты мультимедийных сервисов, основанных на той же сетевой инфраструктуре (например, IP-телефонии или видеоконференций). Чтобы применение VPN не приводило к потере качества обслуживания (QoS), решения должны обеспечивать приоритизацию разнородного трафика в потоке передаваемой информации.

Примечательно, что многие средства VPN сертифицированы в России как межсетевые экраны, что препятствует легальному использованию заложенных в них возможностей (таких как сквозное шифрование данных). Это еще раз свидетельствует: необходимо внимательно изучать представляемые производителем сертификаты.

Контекстный анализ данных
Средства контекстного анализа представляют собой относительно новую группу продуктов, предназначенных для защиты информации. Они обеспечивают наиболее глубокий анализ данных, передаваемых через узлы СПД (вплоть до уровня их контекстной обработки). Это позволяет, с одной стороны, предотвратить утечку конфиденциальной информации с доступных ресурсов, а с другой — исключить поступление потенциально опасных сообщений и перегрузку систем передачи данных. Контекстный анализ, таким образом, является самым верхним уровнем контроля за информационными потоками (рис. 2 ).

Рис. 2. Уровни защиты узлов СПД

Из имеющихся средств контекстного анализа можно указать — в качестве примера — антивирусные решения AVP или Norton Antivirus, программу контроля за использованием электронной почты СМАП «Дозор-Джет» и средство контроля запросов по HTTP-протоколу I-Gear производства Symantec.

Эффективность применения средств контекстного анализа информации в значительной степени определяется правильностью представлений о том, какие параметры передаваемой информации должны контролироваться этими средствами. А это, в свою очередь, является результатом анализа информационных потоков в СПД, проводимого на начальной стадии построения системы защиты.

Для подтверждения правильности выбранных решений рекомендуется провести аттестацию СПД на соответствие требованиям информационной безопасности. Аттестация предусматривает комплексную проверку в реальных условиях эксплуатации и производится специально уполномоченными органами, аккредитованными Гостехкомиссией России. Если защита сети передачи данных организована на основе принятых стандартов и проверена в процессе аттестации, пользователь имеет весомые основания полагать, что его информационные ресурсы и сервисы находятся под надежной защитой.

Илья Трифаленков, (опубликовано в журнале "Сети" 06/2001).

В 0:00 по всему миру ожидается повторная активизация сетевого червя Code Red. Об этом предупредили пользователей власти США, компания Microsoft и многочисленные компьютерные эксперты. За сутки до наступления этого момента сообщение о новой волне распространения Code Red появилось среди главных новостей западных интернет-СМИ.

Программа, получившая также имя "китайский вирус" (эксперты не согласны с обоими словами в этом названии), в первый раз была обнаружена во второй половине июля. Червь представляет собой резидентную программу под Windows 2000, базирующуюся в оперативной памяти, распространяющуюся "бесфайловым" способом и использующую для размножения ошибку в интернет-сервере IIS компании Microsoft.

В отличие от модных в настоящее время почтовых вирусов, Code Red не угрожает рабочим станциям и не использует для распространения основную ошибку пользователей, кликающих на вложенные в письмо файлы. Он способен заразить исключительно веб-сервера. Попав в память машины и получив управление, червь начинает сканировать интернет-адреса, отыскивая уязвимые системы.

Такая схема предполагает очень высокую скорость распространения. Предыдущая волна, по данным "Нетоскопа" поразила 22 серверов во всем мире. Побочным эффектом лавинообразного распространения Red Code является замедление работы всего Интернета - пересылающиеся по сети копии червя создают существенную дополнительную нагрузку на каналы.

В определенные моменты червь активизируется и организует распределенную DoS-атаку на сервер президента США www.whitehouse.org. Затем программа начинает перехватывать запросы пользователей к зараженному веб-серверу и вместо содержания главной страницы выдает надпись "Welcome to http://www.worm.com! Hacked by Chinese". Само содержимое диска при этом остается нетронутым. Эксперты полагают, что червь, который начнет распространение в ночь на 1 августа может оказаться не столь безобидным. Он может быть снабжен "боевой частью", которая будет похищать документы, уничтожать или портить файлы и выводить из строя систему.

Специалисты не склонны верить в китайское происхождение червя, а владельцы Worm.Com категорически отрицают свою причастность к его появлению. Кроме того, эксперты-вирусологи не согласны с использованием в данном случае термина "вирус", поскольку Red Code не заражает диски компьютера. Последнее обстоятельство крайне затрудняет определение источника, откуда Red Code попадает в Сеть. Это до сих пор не выяснено.

Самым эффективным средством борьбы с червем является перезагрузка сервера, которую Code Red пережить не в состоянии. Кроме того, на сервере Microsoft выложена программа, исправляющая ошибку в IIS, после чего заражение компьютера становится невозможным.
(источник - http://www.oxpaha.ru/, опубликовано 31.07.2001)

Федеральный суд Нью-Джерси в понедельник исследует комплект шпионского оборудования, которое агенты ФБР используют для отслеживания информации, вводимой в компьютер с клавиатуры, - сообщает Associated Press.

За данным судебным процессом внимательно следят юристы, правозащитные организации США и все, кто имеет зуб на ФБР. Результат может изменить принципы ведения расследования федеральными агентами. Речь идет о правомерности использования такого рода шпионской техники без специального ордера на прослушивание, как это имеет место в настоящее время.

В декабре прошлого года полученная подобным образом информация была успешно использована в суде против Никодемо Скарфо-младшего - сына отбывающего срок бывшего главаря преступной группировки Филадельфии.

Ранее в ходе слежки агентам удалось перехватить электронную корреспонденцию, которая, по их мнению, позволила бы выдвинуть против Скарфо обвинения в нелегальном букмекерстве и незаконных финансовых операциях. Однако все сообщения были зашифрованы по технологии PGP, а пароля у ФБР не было. Взломать шифровки, несмотря на все усилия, федералы не смогли. Тогда было решено раздобыть пароль, подложив в компьютер Скарфо-младшего жучок, который отслеживает нажатия клавиш на клавиатуре компьютера. Операция удалась, и доказательства вины были получены.

Подпольный игровой бизнес с 1996 по 1999 год приносил Скарфо 2 тысячи долларов прибыли ежедневно. Тем не менее, правозащитные организации выступили на его стороне. Точнее, они выразили беспокойство по поводу расширяющейся практики бесконтрольного использования электронных шпионских средств для слежки.

Какой именно это был жучок - аппаратный или программный, пока не сообщается. Однако сейчас адвокаты Скарфо надеются, что суд признает улики полученными незаконно, и требуют от ФБР рассказать о принципе работы жучка. Они также обвиняют федералов в чтении частной переписки, не имеющей отношения к расследованию.

Во время прослушивания компьютера подозреваемого у ФБР имелся ордер на обыск, но не было ордера на прослушивание. Сейчас федералы пытаются доказать, что такого рода слежка как раз тянет именно на обыск, а на прослушивание совсем не похожа.

На вооружении ФБР имеется много средств перехвата информации из компьютера - от банальной скрытой камеры до устройства TEMPEST, воспринимающего электромагнитное излучение высоковольтных цепей монитора. Это излучение промодулировано сигналом, поступающим с видеокарты, по которому можно восстановить картинку на экране монитора. Эти технологии однако не всегда удобны для отслеживания нажатия клавиш.

Специальные устройства слежения за клавиатурой последний раз использовались сотрудниками ФБР для разоблачения русских хакеров - Леши Иванова и Васи Горшкова. Переодетые агенты пригласили простодушных ребят якобы на работу в свою подставную фирму, а сами на инсценированном собеседовании разведали пароли хакеров и проникли в их домашние компьютеры в Челябинске. В том случае использование клавиатурного жучка и проникновение в компьютеры на территории другой страны суд признал вполне законными деяниями.
(источник - http://www.netoscope.ru/, опубликовано 31.07.2001)

Бывший системный администратор Налогового управления США (Internal Revenue Service - IRS) признал себя виновным в нанесении вреда банкам данных этого агенства после того, как начальство лишило его допуска - сообщает Washington Post.

Девятнадцатилетний Клод Карпентер III (Claude Carpenter III) признался в том, что после того как узнал о своем предстоящем увольнении, написал и запустил несколько вредоносных программ, призванных удалять данные на трех серверах Налогового управления, которые он обслуживал.

После серии выговоров за постоянные опоздания и ранний уход с рабочего места, начальство решило в качестве наказания ограничить его root-доступ к одному из серверов. Затем, по собственным показаниям Карпентера, во время ночной смены, он проник на запрещенный для него сервер, внес несколько строк кода, которые могли удалить все данные с трех серверов, а затем уничтожил в log-файлах следы своего проникновения.

Карпентер был уволен на следующий день, а в системе осталась бомба замедленного действия. Попался же Клод по-глупому. Он регулярно названивал своим бывшим работодателям и узнавал все ли в порядке. Поскольку все отнюдь не было в порядке, ибо, как заявили представители обвинения, в течении года наблюдались нарушения целости данных, хотя полностью удалить данные бывшему сисадмину не удалось.

В результате было начато расследование, и теперь Карпентеру грозит до 10 лет тюрьмы и штраф до 250, 000 $. Что ж, в качестве морали остается вспомнить поговорку - любопытство сгубило кошку.
(источник - http://www.submarine.ru/, опубликовано 30.07.2001)

Именно такой вывод можно было сделать по прошествии выходных в отношении борьбы ведущих антивирусных фирм с эпидемией червя SirCam.

Выяснилось, что MIMEsweeper компании Baltimore Technologies и Norton Antivirus от Symantec не в состоянии обнаруживать вирус.

Norton Antivirus for Gateways не смог обнаружить присутствие вируса в прикрепленных к электронным письмам зараженных файлах, даже в том случае, когда были выставлены правильные настройки для последней версии.

Эрик Чиен (Eric Chien) начальник отдела разработки в антивирусном центре Symantec подтвердил наличие проблемы.

Все дело в том, что когда SirCam создает письмо, он некорректно прописывает информацию в заголовке MIME-секции, из-за чего антивирус его "не ловит".

Аналогичная ошибка присутствует и в настольной версии Norton Antivirus, которая не смогла засечь SirCam с помощью POP3-фильтра.

Чиен согласился с неэффективностью работы антивируса, однако добавил, что в случае попытки запуска прикрепленного файла или его записи на диск, ПО все же предупредит пользователя об опасности.

На данный момент разрабатывается обновление, которое будет доступно через компонент LiveUpdate.

По той же самой причине не работает и программа MIMEsweeper. Она просто-напросто не видит, что в письме есть "прикрепленный файл".

На данный момент MessageLabs перехватила 45, 850 копий вируса и уже называет его худшим за всю историю сети.
(источник - http://www.submarine.ru/, опубликовано 30.07.2001)

После того, как в индийском городе Мумбай (Mumbai) была арестована группа хакеров, одному из которых, по его словам, во время допроса сломали руку, по рядам индийских хакеров прокатилась волна страха, сообщает Wired News. Теперь многие из них предпочитают оказывать техническую поддержку отделению по борьбе с кибертерроризмом городского департамента полиции.

История эта началась с того, что 23-летний Ананд Кхаре (Anand Khare) получил доступ к сайту отделения по борьбе с кибертерроризмом, разместив на нем провокационные высказывания в адрес полицейских. Однако бравада закончилась довольно быстро - полицейским удалось выследить хакера. Вместе с Анандом Кхаре было задержано еще три человека, один из которых, Махеш Мхатре (Mahesh Mhatre), владелец интернет-кафе, откуда была произведена атака на полицейский сайт, заявил о переломе руки и прочих мучениях, имевших место во время допроса. И хотя результаты врачебного осмотра не подтвердили наличия у Махеша Мхатре перелома, его отец подал соответствующую жалобу в государственную комиссию по правам человека.

Вообще, индийские органы правопорядка не пользуются особым расположением общественности - многие правозащитные организации обвиняют их в жестоком обращении с задержанными и расследующий дело хакеров старший инспектор И.М. Захид (I.M. Zahid) только подтверждает репутацию полицейских как "крутых ребят", говоря о том, что до своего перевода в Мумбай расстреливал террористов в Андра Прадеш на юге Индии. По его словам, это не означает, что он безжалостен к хакерам, однако он знает, как справиться с ситуацией.

Инцидент вызвал смешанную реакцию в индийском хакерском сообществе, но по свидетельству многих его членов, в-общем преобладает тенденция к спаду хакерской активности и даже переходу некоторых из хакеров на сторону закона, поскольку так они будут заниматься по сути тем же самым, будучи однако по другую сторону баррикады.
(источник - http://www.cnews.ru/, опубликовано 30.07.2001)

Также как и миллионы его сверстников во всем мире, индийский подросток Анкит Фадиа (Ankit Fadia) любит слушать музыку, смотреть сериал "Секретные Материалы" и собирать фотографии Дженифер Лопез. И как миллионы подростков в его родной стране Анкит просто очарован всем тем, что связано с компьютерами. Именно поэтому он периодически и взламывает различные веб-сайты, видимо, исключительно ради забавы. Однако, по сообщению 01 Net, отличает 16-летнего подростка от многих его сверстников то, что он стал самым юным автором одного довольно оригинального справочника по всемирному киберпространству.

Именно на то чтобы написать данное "Руководство этичного хакера" (The Unofficial Guide to Ethical Hacking) Анкит Фадиа потратил часть своих летних каникул. Данный постулат, содержащий 600 страниц, увидит свет при помощи одного из британских издательств уже в следующем месяце.

Наряду с описанием различных методов информационного пиратства и написания вирусов, в "Руководстве" также приводятся и способы защиты от подобных действий онлайновых злоумышленников. Как считает автор книги, чтобы защититься от хакеров, нужно знать, как они действуют, а в наш век высоких технологий быть хакером самому просто необходимо.

Свое будущее честный хакер видит также связанным с работой в IT-секторе. Анкит собирается, получив соответствующее образование, создать собственную фирму, занимающуюся разработкой систем компьютерной безопасности.
(источник - http://www.cnews.ru/, опубликовано 30.07.2001)

В среду представитель Федерального бюро расследований США по связям с общественностью признала, что подразделению ФБР по борьбе с компьютерными преступлениями (National Infrastructure Protection Center - NIPC) не удалось противостоять эпидемии вируса SirCam. Во вторник один из компьютеров был случайно заражен, после чего вирус стал распространяться по всей системе.

Как сообщает агентство France-Presse, другой представитель ФБР заявил, что самая последняя версия коммерческой антивирусной программы, установленной на компьютерах подразделения, не смогла отследить процесс внедрения вируса в систему.

Сразу после обнаружения сотрудники NIPC начали вручную устранять последствия пребывания вируса в системе, однако несколько электронных писем с вирусом с компьютеров ФБР все же ушло. ФБР отказалось, однако, сообщить журналистам, сколько именно файлов было украдено вирусом с компьютеров ФБР и, таким образом, ушло в необъятные просторы Сети.

Одной из самых неприятных особенностей вируса SirCam, эпидемия которого приобретает все более глобальные масштабы, является способность рассылать себя по Сети, прикрепляя свой код к случайным, вполне безобидным файлам, найденным на уже зараженном компьютере. Таким образом, как уже неоднократно предупреждал "Нетоскоп", у подобного способа маскировки и распространения появляется еще один побочный отрицательный эффект - возможность утечки с зараженного компьютера секретной информации, содержащейся в украденных файлах определенных форматов.

Вирус распространяется по электронной почте в виде прикрепленного файла со случайным именем и двойным расширением. Оба расширения выбираются вирусом случайно из набора: для первого расширения - .doc., .xls., .zip., , exe., для второго расширения - .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть по-разному. Например, так: feb01.xls.pif или normas.doc.bat.

При этом feb01.xls, normas.doc или любое другое "имя_файла. расширение" являются именами реальных файлов, украденных вирусом с предыдущего зараженного компьютера. "Захваченный" файл превращается в "приманку", маскирующую действия вредоносной программы.

Напоминаем, что, несмотря на свою весьма изощренную схему внедрения в систему, основанную на прикреплении вредоносного кода к случайным файлам, вирус имеет, по крайней мере, один постоянный признак: в теле письма, содержащего вирус в виде прикрепленного файла, обязательно есть постоянные первая и последняя фразы на английском или испанском: "Hi! How are you?" или "Hola como estas?" ("Привет, как дела?") и "See you later. Thanks" или "Nos vemos pronto, gracias" ("Спасибо, увидимся").

Как сообщает "Лаборатория Касперского", вирус написан на языке Delphi и живет в среде Win32. Таким образом, из заявления ФБР можно сделать по крайней мере один вывод: "Компьютеры подразделения ФБР по борьбе с кибер-преступлениями работают под управлением ОС Windows/32".

Компания Symantec оценила опасность вируса SirCam в 4 бала по пятибалльной шкале. Пока он не нанес серьезного ущерба, однако, на кое-какие деструктивные действия он все же способен: в зависимости от текущей даты и времени, вирус с вероятностью 5 процентов удаляет все файлы и поддиректории в директории Windows (по другим данным, таймер "удаления" настроен на конкретное число – 16 октября).

С вероятностью 2 процента при каждой загрузке компьютера червь создает файл SirCam.Sys в корневом каталоге текущего диска и записывает в него текст, из которого можно понять, что червь создан в Мексике. Каждая такая запись отнимает все больше и больше места. Кроме того, вирус прописывает себя в системном реестре Windows в секции автоматического запуска, а также ищет доступные для записи локальные диски и копирует себя на них, вызывая заражение всей локальной сети.
(источник - http://www.netoscope.ru/, опубликовано 27.07.2001)

Неизвестные хакеры взломали несколько веб-сайтов местного правительства в Уэльсе, сообщает Ananova.com. Нужно сказать, что за последние 6 месяцев было предпринято уже три неудачные попытки преодолеть защиту данных сайтов. Таким образом, местные органы самоуправлении были поставлены перед необходимостью повысить уровень информационной безопастности.

Однако теперь, хакерам удалось взломать сайт и заменить приветствие, содержащееся на главной странице, своим собственным сообщением. Как утверждают представители правительства, никакой важной информации похищено не было. А к настоящему моменту сайт восстановлен и работает нормально.
(источник - http://www.cnews.ru/, опубликовано 27.07.2001)

[Jul04 - 24] Security Info digest #35(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

В утилите whodo под SunOS версий 5.8, 5.7, 5.5.1 обнаружено переполнение буфера при обработке переменных окружения. Отметим, что по-умолчанию на whodo установлен SUID root.
В результате чего, при наличии локального доступа к системе злоумышленник может получить уровень полномочий пользователя root.
Быстро исправить баг можно убрав SUID бит с:
               /usr/sbin/sparcv7/whodo (SunOS 5.8 Sparc)
               /usr/sbin/i86/whodo (SunOS 5.8, 5.7 Intel)
               /usr/sbin/whodo (SunOS 5.5.1)
Подробнее:
http://www.securityfocus.com/archive/1/195012

В OS FreeBSD 4.3-RELEASE, а так же 4.3-STABLE (версии до 2 Jul 2001) и более ранних версиях обнаружена уязвимость, позволяющая при наличии локального доступа к системе получить уровень доступа пользователя root.
Механизм взлома тривиален, процесс выполняет fork() и exec() на программу с установленным SUID флагом, далее родительский процесс
устанвливает обработчик сигнала, полностью повторяемый порожденным процессом.
Адрес обработчика сигнала может быть в переменных окружения и после посылки сигнала порожденному процессу вызывается "новый" обработчик сигналов.
Для предотвращения наиболее типичных переполнений, таких как переполнение аргументов, переменных окружения и фильтрования байт кода рекомендуется воспользоваться патчем Przemyslaw Frasunek, который доступен по:
http://www.frasunek.com/sources/security/rexec/
Подробнее:
http://www.securityfocus.com/archive/1/195903

В утилите cfingerd 1.4.3 и предыдущих версий обнаружено переполнение буфера.
Переполнение происходит лишь в случае, если включена опция ALLOW_LINE_PARSING, при чтении ~/.nofinger.
Следует отметить, что cfingerd обычно вызывается через inetd и по умолчанию запускается под полномочиями пользователя root, как рекомендовал сам автор.
Подробнее:
http://www.securityfocus.com/archive/1/196138

В dip-3.3.7р обнаружено переполнение переменной окружения.
Утилита dip поставляется в дистрибутиве SuSe Linux версии 7.0 и Slackware 7.1, а так же в дистрибутивах иных Linux. Обычно на /usr/sbin/dip установлен u+s флаг для получения необходимых для работы полномочий пользователя root.
Правда, запустить /usr/sbin/dip может лишь пользователь, который находится в группе dialout. Для использования уязвимости злоумышленнику необходим локальный доступ к системе.
Подробнее:
http://www.securityfocus.com/archive/1/195753

В SSH (Secure Shell) версии 3.0.0 (только под UNIX) обнаружена уязвимость, позволяющая злоумышленнику удаленно получить досуп к системе.
Особенно это касается пользователей, использующих пароль длиной от двух символов.
SSH этой версии поставлялся в дистрибутиве таких OS как Red Hat Linux 6.1 по 7.1, Solaris начиная с весии 2.6 по 2.8, HP-UX 10.20 и 11.00, так же с Caldera Linux 2.4 и Suse Linux с 6.4 по 7.0.
Для устранения уязвимости разработчики рекомендуют сменить ssh на более позднюю версию 3.0.1.
Подробнее:
http://www.ssh.com/products/ssh/exploit.cfm

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.