Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Информационные сообщения по новым атакам и способам взлома, статистика по инцидентам

• [Aug14 - 29] Security Info digest #37
  
  

Введение
Задача управления защитой оказывается не по силам многим компаниям ввиду ее сложности и объемности. В таких условиях наилучший выход - прибегнуть к помощи провайдеров услуг защиты.

Построение систем обеспечения информационной безопасности в российских компаниях имеет определенную специфику. Во-первых, на создание комплексной системы, а если говорить откровенно, то и на приобретение необходимых средств защиты информации не выделяются должные финансовые ресурсы. В результате покупается не "то, что надо", а "то, на что хватает денег", что приводит к появлению слабых мест в линии обороны предприятия. Во-вторых, внедрение системы защиты — весьма длительный и кропотливый процесс, который может длиться месяцами. Недостаточно только купить широко рекламируемое средство и установить его на компьютер. Такое средство необходимо протестировать в том окружении, в котором планируется его применять, установить и грамотно настроить, обучить персонал и, наконец, повседневно эксплуатировать.

Для решения этих задач необходимо время, деньги и прежде всего квалифицированные специалисты по защите информации и информационных технологий. Не секрет, что потребности бизнеса развиваются быстрее, чем информационные технологии, а те, в свою очередь, опережают средства, их реализующие. В результате может случиться так, что внедренная система защиты не будет удовлетворять требованиям корпоративной информационной системы. Например, еще недавно межсетевые экраны при доступе в Internet обеспечивали достаточно высокий уровень внешней защиты любой компании. Сейчас же, как показывает практика, только межсетевых экранов уже недостаточно. Необходимо применение и средств анализа защищенности, и систем обнаружения атак и т. д. Кроме того, создавая систему защиты на предприятии, важно привлечь высококвалифицированных специалистов, которые, условно говоря, не только знают, на какие кнопки надо нажимать, но и понимают, когда нажимать и к чему может привести то или иное действие. Они должны постоянно повышать свои знания и умения, чтобы быть всегда в курсе последних "достижений" хакеров и своевременно предотвращать новые способы атак и использование уязвимых мест.

Российская специфика состоит в том, что учебных центров, где готовили бы таких специалистов, практически нет. А те, что есть, заламывают баснословные (по российским меркам) деньги за обучение, поскольку оно, как правило, проводится по зарубежным авторизованным методикам. Стоимость обучения на таких курсах составляет от 800 до 5000 долларов США за срок от двух до пяти дней. Кроме того, сертифицированный специалист по защите рассчитывает на соответствующую оплату своего труда. Например, средняя зарплата американских специалистов по защите информации составляет около 66 тыс. долларов, что, для примера, в полтора раза превышает зарплату программистов. Удержать специалистов такого уровня обычной компании очень непросто. И хотя в России зарплаты на порядок ниже, ситуация от этого лучше не становится.

Следующая проблема заключается в том, что имеющиеся на рынке средства защиты поддерживают большое число функций, многие из которых никогда не используются и вряд ли будут использоваться заказчиками. Например, если у вас нет в сети узлов UNIX, то вы никогда не будете проверять их на наличие уязвимых мест при помощи встроенных средств системы анализа защищенности наподобие Internet Scanner. Однако в стоимость системы они уже включены. Кроме того, некоторые решения нужны не постоянно, а только время от времени, как квартальный отчет, который готовится всего четыре раза в год. Например, некоторые компании проводят анализ защищенности своих узлов один раз в месяц, т. е. всего 12 раз в год. Все остальное время эти средства простаивают.

И, наконец, последней острой проблемой создания корпоративной системы защиты информации собственными силами являются ее поддержка и своевременное обновление (наращивание мощностей, масштабирование и т. д.).

Все эти проблемы требуют неотложного решения, особенно для тех компаний, которые планируют заниматься электронной коммерцией, так как они становятся привлекательной мишенью для злоумышленников. Справиться с этим качественно, быстро и за приемлемые деньги — очень непростая, а зачастую невозможная задача. Иными словами, главная опасность, возникающая перед компанией, решившей построить систему защиты своими силами, в том, что некоторые ее аспекты могут остаться за пределами внимания штатных специалистов (на практике именно так обычно и происходит). Как считает Чарльз Майерс, вице-президент компании Internet Security Systems (ISS), который возглавляет группу eServices, отвечающую за аутсорсинг в области безопасности, задача управления защитой оказывается не по силам многим компаниям ввиду ее сложности и объемности. Кроме того, он считает, что разница в расходах на собственный персонал и сторонние услуги может быть огромной.

Есть ли выход из сложившейся ситуации? Да, есть. Это обращение за помощью к сторонним компаниям, специализирующимся на предоставлении услуг в области информационной безопасности (так называемых Managed Security Services). Соответственно компания, предоставляющая такого рода услуги, называется провайдер услуг по безопасности (Security Service Provider, SSP). Российским читателям подобный термин мало знаком. Хотя в последнее время на эту тему было опубликовано немало статей, в них рассматриваются несколько иные услуги (например, аренда каналов связи, Web-хостинг у Internet-провайдера, аренда электронного магазина и т. д.).

Что предлагается?
Современный SSP может предложить целый спектр услуг, начиная от информационной поддержки и заканчивая круглосуточным мониторингом систем заказчика. В частности, компания ISS предлагает следующие услуги, которые можно приобрести как в совокупности, так и по отдельности.

• Круглосуточный мониторинг заданных сегментов сетей заказчика с целью выявления внутренних злоупотреблений и внешних атак. Как правило, заказчики поручают провайдеру услуг защиты мониторинг систем выявления атак, установленных по внешнему периметру корпоративной сети, обеспечивая внутреннюю безопасность своими силами.
• Круглосуточный мониторинг межсетевых экранов для защиты от проникновения в корпоративную сеть извне.
• Мониторинг других средств защиты, требующих постоянного внимания (систем аутентификации, средств построения VPN, антивирусных средств и т. д.).
• Предоставление в аренду и управление средствами обеспечения защищенной связи между различными территориями корпоративной сети (филиалами, офисами и т. д.).
• Регулярный анализ защищенности корпоративных ресурсов и средств защиты при помощи сканеров безопасности. По результатам данного сканирования выявляются все уязвимые места, вырабатываются рекомендации по их устранению, предоставляются заплаты, исправления и другие обновления.
• Периодическое уведомление об обнаружении новых уязвимых мест в используемом заказчиком программном обеспечении и способах их выявления и устранения.

Как можно заметить, перечисленные услуги касаются, как правило, только защиты по периметру. Это связано с тем, что очень немногие компании готовы допустить к святая святых специалистов со стороны. Пусть даже и после заключения необходимых соглашений о конфиденциальности.

Как это реализуется?
Провайдеры услуг по защите информации мало чем отличаются от провайдеров других услуг. Однако, если последние предлагают в аренду ресурсы, установленные на их территории, то SSP поступают наоборот. Они приобретают необходимое программно-аппаратное обеспечение, осуществляют его полную настройку в соответствии с требованиями политики безопасности и затем устанавливают на территории заказчика. Однако управление этими средствами осуществляется с территории SSP по защищенному от несанкционированного доступа соединению. В случае появления на консоли сообщений от установленных средств защиты оператор выполняет ряд действий в соответствии с разработанными инструкциями. Эти действия могут варьироваться от обычной фиксации события в журнале регистрации или оповещения персонала заказчика до немедленного прерывания соединения с атакующим узлом и выезда группы быстрого реагирования.

Разумеется, SSP должен обладать командой квалифицированных специалистов, которые не только знают, как управлять различными средствами защиты, но и имеют практический опыт в этой области.

Достоинства и недостатки
Обращение к услугам сторонних организаций имеет ряд достоинств.

• Не надо тратить деньги на дорогостоящие средства защиты, так как это бремя берет на себя SSP, у которого имеются соответствующие соглашения с ведущими поставщиками средств защиты. Так как SSP приобретает средства защиты сразу для нескольких заказчиков, он получает скидки от производителя, что приводит к снижению стоимости этих средств и для конечного заказчика.
• Не надо тратить время на настройку и постоянное слежение за средствами защиты. SSP сделает это лучше. Мало того, он будет контролировать эти средства не только в рабочее время, с понедельника по пятницу, с 9:00 до 18:00, а круглые сутки 365 дней в году.
• Не надо искать высококвалифицированных специалистов и платить им высокие зарплаты. На все российские компании специалистов все равно не хватит. Между тем работающие в вашей компании сотрудники могут не быть специалистами в области информационной безопасности. Их можно, конечно, научить, но в России нет достаточного количества учебных центров, где готовили бы практиков, а не теоретиков.
• Не надо постоянно отслеживать все новые "дыры" и атаки. Не имея специалистов, времени и соответствующих знаний, вы все равно не сможете этого сделать. А у SSP существуют выделенные отделы, специально занимающиеся сбором такой информации.
  Список достоинств можно перечислять бесконечно, но я хотел бы ограничиться этими четырьмя, как наиболее значимыми. Однако не стоит думать, что обращение к услугам SSP решит все проблемы. Такой подход имеет свои недостатки, причем они могут обесценить все названные преимущества.

Во-первых, обращение к сторонним компаниям приводит к частичной потере контроля над своими ресурсами, что многими руководителями воспринимается в штыки. Особенно это касается начальников отделов информационных технологий, боящихся потерять свое влияние в организации.
Во-вторых, SSP — это новое юридическое лицо, с которым необходимо оформлять соответствующие соглашения. Неправильная или неполная проработка всех взаимоотношений может привести к тому, что SSP принесет не пользу, а вред.
Допустим, в договоре с SSP не указано время реагирования на зафиксированный средствами защиты инцидент. По каким-либо причинам SSP не смог отразить атаку, и в результате сеть оказалась взломанной. Хорошо, если об этом никто не узнает, и вы лишитесь "только" денег за приведение системы в работоспособное состояние. А если хакер оповестил о своей проделке всю сетевую общественность? SSP же в этом случае никакой ответственности не несет, так как в договоре время реакции не было зафиксировано.
Следующий пример. Допустим, вы отказываетесь от услуг SSP. Что делать с имеющимися у вас средствами защиты? Если такая ситуация не предусмотрена договором, то SSP со спокойной совестью заберет с вашей территории все оборудование, и вы останетесь абсолютно без защиты.

Особенности работы SSP в России
Помимо названных недостатков некоторые проблемы присущи только России. Во-первых, это качество связи. Практически все свои услуги SSP может оказывать, только когда между заказчиком и SSP имеются широкие каналы связи, дабы у него была возможность без задержек управлять всеми средствами защиты. В России пока очень мало таких каналов, и они по преимуществу сосредоточены в Москве и центральном регионе. Вторая проблема — российский менталитет. Не каждый руководитель доверит управление безопасностью своего предприятия "чужим дядям".

Вот характерный пример, правда, из другой области. Несмотря на большое число банков в России, проценты по вкладам и другие льготы, большинство россиян предпочитают хранить свои сбережения "в чулке". Дивидендов нет, но зато деньги в сохранности. Точно так же дела обстоят и с безопасностью. Лучше уж минимум безопасности, но своими силами, чем максимум безопасности, но чужими руками. И даже попытки убедить руководство организаций в том, что взломать их сеть намного проще, чем сеть SSP, не приводят к успеху. Хотя, справедливости ради, надо сказать, что некоторые руководители понимают всю опасность такого подхода. В одной крупной российской организации так отозвались об этой проблеме: "У нас нет специалистов в области безопасности, но есть деньги, чтобы нанять тех, кто сможет выполнить все необходимые работы".

На что обращать внимание
Итак, вы все-таки решились обратиться к провайдеру услуг защиты. На что следует обратить внимание в первую очередь?

• Как будет осуществляться управление средствами защиты вашей организации: с выделенного компьютера или с компьютера, с которого обслуживаются и другие организации. Развивая эту тему, вы можете задать вопрос, будет ли за вашей компанией закреплен отдельный сотрудник или несколько человек, работающих и с другими компаниями. Разумеется, в первом случае услуга обойдется дороже, но зато вы будете уверены в персональном внимании к своей организации.
• Как организовано взаимодействие между вашей сетью и сетью SSP? Так как передаваемые между этими сетями данные носят конфиденциальный характер, перехват которых позволяет раскрыть схему защиты вашей организации, они должны быть защищены не только от несанкционированного прочтения, но и от несанкционированной модификации. Кроме того, что будет происходить при атаке по типу "отказ в обслуживании" на вашу сеть или сеть SSP? На этот случай следует иметь резервный канал связи. Необходимо помнить, что в России существует своя специфика применения криптографических средств, используемых для защиты передаваемых данных. И хотя в настоящий момент Гостехкомиссия России разрабатывает руководящий документ по средствам построения виртуальных частных сетей, на сегодняшний день все такие средства обязательно должны иметь сертификат ФАПСИ.
• В каком режиме работает SSP — 8х5 или 24х7? В течение какого времени SSP гарантирует реагирование на зафиксированный факт несанкционированного доступа?
• Какие средства защиты использует SSP? Если он предлагает решения только одного производителя (пусть и самого известного), то, возможно, стоит обратить внимание на другого SSP. Желательно, чтобы система защиты строилась по принципу резервирования, когда средства защиты одного производителя дублируются аналогичными средствами от другой компании. В этом случае атаки, пропущенные первой системой защиты, будут с большей вероятностью обнаружены второй.
• Кто обеспечивает поддержку используемых средств защиты и обучение по ним? Если эта задача возлагается на производителя, то, скорее всего, SSP не сможет своевременно отреагировать на возникшие у вас проблемы.
• Каким образом осуществляется обновление средств защиты? В том случае, если вы находитесь в одном городе с SSP, то каких-либо проблем не должно возникнуть. А если одна из ваших площадок, подключенных к SSP, находится во Владивостоке, а он сам в Москве? Каковы предложенные пути решения этой проблемы и позволяют ли используемые средства осуществлять дистанционное обновление компонентов?
• С какой периодичностью SSP будет информировать вас о зафиксированных атаках и других инцидентах?
• Как будет осуществляться реагирование на зафиксированные инциденты? В некоторых случаях достаточно удаленного добавления одного правила на маршрутизаторе или межсетевом экране, а в других — необходимо высылать группу быстрого реагирования, чтобы она на месте разобралась в ситуации.
• И, наконец, последний вопрос — какие санкции применимы к SSP в случае невыполнения им взятых обязательств? Это серьезный вопрос, который требует очень тщательной проработки юристов обеих сторон.

В качестве заключения хочу сослаться на прогноз консалтинговой компании IDC, согласно которому мировой рынок услуг аутсорсинга в области безопасности возрастет с 400 млн долларов в 1998 г. до 1,3 млрд в 2002 г. В течение ближайших 10 лет эта цифра должна достигнуть 20 млрд долларов.

Алексей Лукацкий - опубликовано в Журнале сетевых решений "LAN" #4/2001.

Основываясь на собственных данных, компания Sophos опубликовала традиционную десятку самых активных вирусов прошедшего месяца (в процентах пораженных компьютеров):

1. W32/Sircam-A (Sircam) – 49, 8%
2. W32/Magistr-A (Magistr) – 13, 0%
3. Unix/Sadmind (Sadmind) – 3, 6%
4. W32/Hybris-B (Hybris variant) – 3, 6%
5. W32/Apology-B (Apology variant) – 2, 6%
6. W32/Flcss (Funlove) – 2, 3%
7. VBS/Kakworm (Kakworm) – 2, 1%
8. WM97/Ethan (Ethan) – 1, 4%
9. W32/Code-RedII (Code Red Trojan) – 1, 2%
10. VBS/Haptime-A (Happy Time) – 1, 1%
(источник - http://news.battery.ru/, опубликовано 04.09.2001)

В этом году стоимость ущерба, нанесенного компьютерными вирусами, достигла уже $10,7 млрд. против 17,1 млрд. в 2000 и 12,1 млрд. в 1999 г. Как показало исследование, проведенное Computer Economics, ущерб от Code Red достиг $2,6 млрд., причем 1,1 млрд. стоили работы по восстановлению компьютеров и 1,5 млрд. - производственные потери.

Другой вирус - Sircam - нанес ущерб в размере $1,035 млрд. Ущерб, нанесенный Love Bug, достиг в этом году 8,7 млрд. Вице-президент Computer Economics по исследованиям Майкл Эрбшлоу (Michael Erbschloe) считает, что к концу 2001 г. ущерб достигнет $15 млрд., и это при условии, что не появится новых разрушительных вирусов.
(источник - http://www.cnews.ru/, опубликовано 03.09.2001)

Новый вирус распространяется через SMTP-протокол

В интернете появился опасный червь, распространяющий свои копии по электронной почте в виде присоединенного к письму файла длиной около 12K. Для передачи зараженных писем в интернет червь устанавливает соединение с сервером "mail.bezeqint.net", используя протокол SMTP, т.е. не использует какие-либо почтовые программы и способен к распространению даже при их отсутствии, сообщает "Лаборатория Касперского".

Адреса жертв червь I-Worm.Invalid получает из HTML-файлов. Для этого он просматривает на жестком диске зараженной машины *.HT*-файлы и ищет в них email-адреса.

Как пояснил CNews.ru главный системный администратор РБК Михаил Левин, опасность заключается не столько в самом вирусе, сколько в технологии его распространения и будущем количестве его клонов, ведь все smtp-серверы перекрыть невозможно. Для обеспечения безопасности необходимо ограничить перечень серверов, с которых и на которые можно посылать почту. Firewall можно настроить таким образом, чтобы почта отсылалась только с корпоративного сервера: корпоративный сервер может отсылать почту куда угодно, а все остальные (серверы и обычные пользователи) - только на известные почтовые серверы. По словам Михаила Левина, "в работе с почтой и в интернете нельзя будет достичь 100-процентной безопасности, потому как создатели и последователи нового транспорта размножения будут придумывать все более заманчивые способы заставить пользователя кликнуть "куда надо". А потому вопрос защиты сети файрволами от проблем, которые должны, по идее, решаться самим пользователем, становится еще более важным. Уже недостаточно поставить антивирусный сканер на корпоративный почтовый сервер, чтобы он проверял проходящую почту - приходится придумывать способы "а-ля бинт с эпоксидной пропиткой". Вспомнить хотя бы нашумевший вирус I Love You, где одним из первых грамотных действий системного администратора было перекрытие доступа к выявленным серверам, с которых скрипт I Love You снимал бинарный код "трояна".

По данным "Лаборатории Касперского", инфицированное сообщение имеет следующие характеристики:

От кого: "Microsoft Support" [support@microsoft.com]
Тема: Invalid SSL Certificate',0Dh,0Ah
Вложение: SSLPATCH.EXE
Текст письма:
Hello,
Microsoft Corporation announced that an invalid SSL certificate that web sites use is required to be installed on the user computer to use the https protocol. During the installation, the certificate causes a buffer overrun in Microsoft Internet Explorer and by that allows attackers to get access to your computer. The SSL protocol is used by many companies that require credit card or personal information so, there is a high possibility that you have this certificate installed.
To avoid of being attacked by hackers, please download and install the attached patch. It is strongly recommended to install it because almost all users have this certificate installed without their knowledge.
Have a nice day, Microsoft Corporation

В случае ошибки, а также после рассылки зараженных сообщений червь шифрует все EXE-файлы в текущем и во всех родительских каталогах. При шифровании использует стандарт Windows crypto API.

В теле червя содержатся текстовые строки:
I-Worm.Invalid, Written By Dr.T/BCVG Network, 2001
The Black Cat Virii Group, 2001
(источник - http://www.cnews.ru/, опубликовано 321.08.2001)

Исследователи из Университета Калифорнии в Беркли нашли способ восстанавливать информацию, зашифрованную и переданную в SSH-сессиях. Предложенная ими технология позволяет хакеру красть пароли и другие ценные данные, передача которых через SSH до сих пор считалась вполне безопасной.

Secure Shell (SSH) представляет собой протокол защищенного обмена данными с удаленным компьютером. Во время сессии SSH шифрует каждое нажатие клавиши пользователя и посылает на удаленную машину в виде отдельного IP-пакета. Таким образом, расшифровать перехваченное сообщение "в лоб" практически невозможно.

Специалисты из Беркли предложили другой способ взлома: они замеряют задержки между нажатиями клавиш (т.е. паузы между пакетами) и на основе большого количества таких наблюдений вычисляют "клавиатурные паттерны" конкретного пользователя (грубо говоря, некоторые буквы на клавиатуре пользователь ищет дольше, а в другие попадает моментально). На основе этих паттернов удается определить и сами последовательности клавиш, которые нажимает пользователь.

Программа, которая таким образом крадет пароли и другую ценную информацию, переданную через SSH, названа исследователями Herbivore (видимо, пародия на систему подслушивания Carnivore, которую использует ФБР). По мнению авторов программы, ее успешная работа доказывает, что SSH не является "абсолютно безопасным" способом передачи информации, как привыкли думать некоторые пользователи.

Подробный доклад об описанной технологии взлома был представлен на конференции USENIX Security Symposium, проходившей в Вашингтоне с 13 по 17 августа, а затем был опубликован в Интернете.
(источник - http://www.netoscope.ru/, опубликовано 30.08.2001)

В середине августа хакер, известный лишь под псевдонимом Benign, используя слабое место в Windows 2000, получил доступ к корпоративной сети корпорации Microsoft и полный контроль над сотнями компьютеров, включенных в сеть.

О способе проникновения в корпоративную сеть Microsoft хакер рассказал корреспондентам NewsBytes. По его заявлению, он приступил к атаке 12 августа и затем, в течение шести дней, имел абсолютно свободный доступ к системе.

При этом Benign, по его собственному заверению, не использовал каких-либо специальных средств проникновения в систему. Все, что ему было нужно - это открытый порт 445, через который Windows 2000 осуществляет обмен файлами в локальных сетях и подключение машин к Интернету, объединенных в локальную сеть.

При обращении к 445 порту, открытому в Windows 2000 по умолчанию, Benign просто вводил нулевой пароль или слово "password". Таким образом, по его собственному признанию - проблема здесь не в системах безопасности, а в отношении пользователей к ней.

В качестве доказательства проникновения в систему Benign представил в NewsBytes список компьютеров, к которым он получил свободный доступ. В списке фигурирует 400 систем, для каждой из которых указывается IP адрес, имя машины, рабочая группа, имя пользователя и пароль. Среди названий рабочих групп фигурируют такие, например, как "NT_DEV", "Redmond", "SouthAmerica" или "FarEast. "

По мнению экспертов, к которым NewsBytes обратился за разъяснениями, некоторые представленные хакером специфические детали практически неопровержимо доказывают, что доступ в систему действительно имел место. В Microsoft не подтвердили, но и не опровергли информацию о несанкционированном доступе.

Как заявил сам хакер, несмотря на то, что он имел абсолютно свободный доступ к системе, он ничего не повредил и даже не стал читать содержимое ни одного файла. Однако, по его словам, он чувствовал себя во внутренней сети Microsoft, как ребенок в кондитерской лавке: "Я видел рапорты о новых возможностях по взлому Windows и отворачивал глаза".
(источник - http://www.netoscope.ru/, опубликовано 28.08.2001)

В канадском суде начинается последний этап слушаний Mafiaboy, который своими хакерскими действиями парализовал на многие часы работу CNN.com и Yahoo.com, сообщает Yahoo!Actualites.

Сейчас 17-летнему Mafiaboy, чье настоящее имя не разглашается согласно канадским законам, предстоит доказать, что он не отдавал себе отчета в последствиях своих действий. В то же время обвинение настаивает на том, что Mafiaboy не испытывает никаких угрызений совести и оценивает свои действия как "научную работу". По оценкам следствия, действия Mafiaboy стоили пострадавшим компаниям от $8 млн. до $10 млн. Малолетнему хакеру грозит максимум два года тюрьмы и штраф в размере $650.
(источник - http://www.cnews.ru/, опубликовано 28.08.2001)

В четверг из-за хакерской атаки сайта была временно приостановлена продажи акций компании Brass Eagle на бирже NASDAQ.

Неизвестный злоумышленник взломал сайт компании Brass Eagle Inc., торгующей снаряжением для пейнтбола и разослал сотни электронных писем с фальшивой финансовой информации. В результате этого торги по акциям компании на бирже NASDAQ были приостановлены на 2 часа. Компания немедленно уведомила о случившемся официальные органы, в том числе и ФБР, в рамках которого работает специальный отдел по расследованию компьютерных преступлений.

В результате атаки на сайт, производитель и распространитель одежды и оборудования для игры в пейнтбол, вынужден был вновь подтвердить свои финансовые прогнозы на 2001 год. Тем не менее, специалисты считают маловероятным, что сайт был взломан специально для того, чтобы извлечь прибыль из манипуляций с акциями компании на бирже в результате возникшей паники.
(источник - http://www.cnews.ru/, опубликовано 24.08.2001)

[Aug14 - 29] Security Info digest #37(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

Было обнаружено и исправлено несколько уязвимостей в продукте Cisco Broadband Operating System (CBOS) компании Cisco. СBOS это операционная система для Cisco 600 и других роутеров этого семейства.
Как известно, для управления и конфигурации используется утилита, доступная извне по протоколу http. При большом количестве запросов по http на роутер происходит его зависание. Следует отметить, что возможность захода и конфигурирования роутера по http включена по-умолчанию.
Уязвимости подвержены следующие продукты компании Cisco:
- 627, 633, 673, 675, 675E, 677, 677i и 678.
- Так же, модели считаются уявимыми, если на них запущен CBOS любых этих релизов или же более ранних: 2.0.1, 2.1.0, 2.1.0a, 2.2.0, 2.2.1,
2.2.1a, 2.3, 2.3.2, 2.3.5, 2.3.7, 2.3.8, 2.3.9, 2.4.1, 2.4.2, и 2.4.2ap
Отметим, что таковая уязвимость исправлена в нескольких следующий релизах CBOS, а именно в 2.4.2b и 2.4.3.
Предупреждение от Cisco:
http://www.cisco.com/warp/public/707/cisco-cbos-webserver-pub.shtml
Подробнее:
http://www.securityfocus.com/archive/1/210053

В Sendmail версии 8.11.x обнаружена уязвимость, позволяющая при возможности локального доступа к системме получить полномочия пользователя root. Следует упомянуть, что Sendmail устанавливается во многих OS (различных версиях Linux, FreeBSD, OpenBSD и т.д.) как MTA по-умолчанию, так же на sendmail как правило стоит SUID root.
Суть уязвимости заключается в том, что злоумышленник может записать определенные данные в память процесса и в результате чего их выполнить.
Версия sendmail 8.9.3 не подвержена упомянутой нами уязвимости.
Подробнее:
http://www.securityfocus.com/archive/1/209845

В утилите dump(8) (устанавливается как /sbin/dump), а так же dump_lfs(8) (устанавливается как /sbin/dump_lfs) в OS NetBSD версий 1.5.1, 1.5, 1.4.х обнаружена локальная уязвимость.
На dump(8) и dump_lfs(8) по-умолчанию установлен setgid 'tty', а при установке злоумышленником переменной $RCMD_CMD вполне реально увеличить уровень своего доступа к системе до 'tty'.
Подробнее:
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2001-014.txt.asc

В telnetd демоне OS IRIX обнаружено удаленное переполнение буфера.
Уязвимости подвержены следующие версиии ОС IRIX: с 6.5 по 6.5.13 включительно. В результате уязвимости злоумышленник удаленно может получить уровень доступа и полномочия пользователя root.
Подробнее:
http://www.securityfocus.com/archive/1/209682
Так же:
http://www.securityfocus.com/archive/1/197804
http://www.securityfocus.com/bid/3064

В Microsoft Internet Explorer версии 5.5, возможно и иных версиях, обнаружена уязвимость, позволяющая по средствам Java script'а делать
записи в системном регистре Windows 98.
Избавиться от этого бага можно отключив Java script в своем браузере.
Подробнее:
http://www.securityfocus.com/archive/1/210758

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.