Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!
До сих пор нет точного определения понятия "атака" (вторжение, нападение). Каждый специалист в области безопасности трактует его по-своему. Например, "вторжение - это любое действие, переводящее систему из безопасного состояния в опасное". Данный термин может объясняться и так: "вторжение -- это любое нарушение политики безопасности" или "любое действие, приводящее к нарушению целостности, конфиденциальности и доступности системы и информации, в ней обрабатываемой"...
 
В сегодняшнем выпуске рассылки предлагаем Вам статью Алексея Лукацкого: "Об атаках на компьютерные сети".

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Новости компании Инфотекс

• Приглашаем принять участие в семинаре, проводимом компанией Инфотекс в рамках партнерской программы с Информационной системой оптовой торговли ИСОТ: "Создание защищенных телекоммуникаций для корпораций, дистрибьюторских и партнерских сетей".
• Обновлены демо-версии продуктов ViPNet, TermiNET на web-сайте компании Инфотекс.

Введение
В ноябре 2000 г. некоторые информационные агентства, в частности Lenta.ru, сообщили о том, что злоумышленники осуществили несанкционированный доступ к компьютерной сети "Газпрома" и временно получили полный контроль над газовыми потоками. В компьютерные сети "Газпрома" были внедрены 24 программы, называемые "троянскими конями", посредством которых и были получены соответствующие данные для успешной хакерской атаки. В итоге центральный пункт управления газовыми потоками стал временно подконтролен внешним пользователям. Был ли нанесен какой-либо реальный ущерб, в официальном сообщении не говорится, однако можно предположить, что без такового вряд ли обошлось. Ведь центральный пункт управления -- это главный информационный центр, с которого можно не только управлять газовыми потоками, но и копаться в массивных банках и базах данных; и изменять данные -- тоже можно.

На сегодняшний день неизвестно, сколько существует методов атак. Связано это в первую очередь с тем, что до сих пор отсутствуют какие-либо серьезные математические исследования в этой области. Из близких по тематике исследований можно назвать работу, написанную в 1996 году Фредом Коэном, в которой описаны математические основы вирусной технологии. Как один из результатов этой работы приведено доказательство бесконечности числа вирусов. То же можно сказать и об атаках, поскольку вирусы -- одно из подмножеств атак.

Модели атак
Традиционная модель атаки строится по принципу "один к одному" (рис. 1.) или "один ко многим" (рис. 2.), т. е. атака исходит из одного источника.

Разработчики сетевых средств защиты (межсетевых экранов, систем обнаружения атак и т. д.) ориентированы именно на традиционную модель атаки. В различных точках защищаемой сети устанавливаются агенты (сенсоры) системы защиты, которые передают информацию на центральную консоль управления. Это облегчает масштабирование системы, упрощает удаленное управление и т. д. Однако такая модель не справляется с относительно недавно (в 1998 году) обнаруженной угрозой - распределенными атаками.

В модели распределенной или скоординированной (distributed или coordinated attack) атаки используются иные принципы. В отличие от традиционной модели "один к одному" и "один ко многим", в распределенной модели используются принципы "многие к одному" и "многие ко многим" (рис. 3 и 4 соответственно).

Распределенные атаки основаны на "классических" атаках типа "отказ в обслуживании", которые будут рассмотрены ниже, а точнее, на их подмножестве, известном как Flood- или Storm-атаки (указанные термины можно перевести как "шторм", "наводнение" или "лавина"). Смысл данных атак заключается в посылке большого количества пакетов на заданный узел или сегмент сети (цель атаки), что может привести к выведению этого узла или сегмента из строя, поскольку он захлебнется в лавине посылаемых пакетов и не сможет обрабатывать запросы авторизованных пользователей. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т. д. Однако в том случае, если пропускная способность канала до цели атаки превышает пропускную способность атакующего или целевой узел некорректно сконфигурирован, то "успеха" такая атака не достигнет. Скажем, с помощью этих атак бесполезно пытаться нарушить работоспособность своего провайдера. В случае же распределенной атаки ситуация коренным образом меняется. Атака происходит уже не из одной точки интернета, а сразу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя. Например, по данным "России-Онлайн", в течение двух суток, начиная с 9 часов утра 28 декабря 2000 г. крупнейший интернет-провайдер Армении "Арминко" подвергался распределенной атаке. В данном случае к атаке подключилось более 50 машин из разных стран, которые посылали по адресу "Арминко" бессмысленные сообщения. Кто организовал эту атаку и в какой стране находился хакер, установить было невозможно. Хотя атаке подвергся в основном "Арминко", перегруженной оказалась вся магистраль, соединяющая Армению с Всемирной Паутиной. 30 декабря благодаря сотрудничеству "Арминко" и другого провайдера -- "АрменТел" связь была полностью восстановлена. Компьютерная атака, правда, продолжалась, но с меньшей интенсивностью.

Этапы реализации атак
Можно выделить следующие этапы реализации атаки: предварительные действия, или сбор информации (information gathering), реализация атаки (exploitation) и завершение атаки. Обычно когда говорят об атаке, то подразумевают именно второй этап, забывая о первом и последнем. Сбор информации и завершение атаки ("заметание следов") в свою очередь также могут являться атакой и могут быть разделены на три этапа.

Основной этап -- это сбор информации. Именно эффективность работы злоумышленника на данном этапе является залогом "успешности" атаки. В первую очередь выбирается цель атаки и собирается информация о ней (тип и версия операционной системы, открытые порты и запущенные сетевые сервисы, установленное системное и прикладное программное обеспечение и его конфигурация и т. д.). Затем идентифицируются наиболее уязвимые места атакуемой системы, воздействие на которые приводит к нужному злоумышленнику результату.

На первом этапе злоумышленник пытается выявить все каналы взаимодействия цели атаки с другими узлами. Это позволит выбрать не только тип реализуемой атаки, но и источник ее реализации. Например, атакуемый узел взаимодействует с двумя серверами под управлением ОС Unix и Windows NT. С одним сервером атакуемый узел имеет "доверительные" отношения, а с другим -- нет. От того, через какой сервер злоумышленник будет реализовывать нападение, зависит, какая атака будет задействована, какое средство реализации будет выбрано, и т. д. Затем, в зависимости от полученной информации и преследуемых целей, выбирается атака, дающая наибольший эффект. Например, для нарушения функционирования узла можно использовать SYN Flood, Teardrop, UDP Bomb и т. д., а для проникновения на узел и кражи информации - CGI-скрипт PHF для кражи файла паролей, удаленный подбор пароля и т. п. Затем наступает второй этап -- реализация выбранной атаки.

В зависимости от искомого результата нарушитель концентрируется на том или ином этапе. Например, для отказа в обслуживании он в первую очередь подробно анализирует атакуемую сеть и выискивает в ней лазейки и слабые места для атаки на них и выведения узлов сети из строя. Для хищения информации злоумышленник основное внимание уделяет незаметному проникновению на анализируемые узлы при помощи обнаруженных ранее уязвимостей.

Рассмотрим основные механизмы реализации атак. Это необходимо, чтобы разобраться в методах обнаружения этих атак. Кроме того, понимание принципов действий злоумышленников -- залог успешной обороны вашей сети.

Сбор информации
Первый этап реализации атак -- это сбор информации об атакуемых системе или узле, т. е. определение сетевой топологии, типа и версии операционной системы атакуемого узла, а также доступных сетевых и иных сервисов и т. п. Эти действия реализуются различными методами.

Изучение окружения
На этом этапе нападающий исследует сетевое окружение предполагаемой цели атаки, например узлы интернет-провайдера атакуемой компании или узлы ее удаленного офиса. Злоумышленник может пытаться определить адреса "доверенных" систем (скажем, сеть партнера) и узлов, которые напрямую соединены с целью атаки (например, маршрутизатор ISP) и т. д. Такие действия трудно обнаружить, поскольку они выполняются в течение довольно длительного времени, причем снаружи области, контролируемой средствами защиты (межсетевыми экранами, системами обнаружения атак и т. п.).

Идентификация топологии сети
Можно назвать два метода определения топологии сети (network topology detection), применяемых злоумышленниками: изменение TTL (TTL modulation) и запись маршрута (record route). Программы traceroute для Unix и tracert для Windows используют первый способ определения топологии сети. Они используют для этого поле Time to Live ("время жизни") в заголовке IP-пакета, которое изменяется в зависимости от числа пройденных сетевым пакетом маршрутизаторов. Утилита ping подходит для записи маршрута ICMP-пакета. Зачастую сетевую топологию можно выяснить при помощи протокола SNMP, установленного на многих сетевых устройствах, защита которых неверно сконфигурирована. При помощи протокола RIP можно попытаться получить информацию о таблице маршрутизации в сети и т. д. Многие из этих методов используются современными системами управления (например, HP OpenView, Cabletron SPECTRUM, MS Visio и др.) для построения карт сети. И эти же методы могут быть с успехом применены злоумышленниками для построения карты атакуемой сети.

Идентификация узлов
Идентификация узла (host detection), как правило, осуществляется путем посылки при помощи утилиты ping команды ECHO_REQUEST протокола ICMP. Ответное сообщение ECHO_REPLY говорит о том, что узел доступен. Существуют свободно распространяемые программы, которые автоматизируют и ускоряют процесс параллельной идентификации большого числа узлов, например, fping или nmap. Опасность данного метода в том, что стандартными средствами узла запросы ECHO_REQUEST не фиксируются. Для этого необходимы средства анализа трафика, межсетевые экраны или системы обнаружения атак.

Это самый простой метод идентификации узлов, но он имеет ряд недостатков. Во-первых, многие сетевые устройства и программы блокируют ICMP-пакеты и не пропускают их во внутреннюю сеть (или, наоборот, не пропускают их наружу). Например, MS Proxy Server 2.0 не разрешает прохождение пакетов по протоколу ICMP. В результате не получается полной картины. С другой стороны, блокировка ICMP-пакета говорит злоумышленнику о наличии "первой линии обороны" -- маршрутизаторов, межсетевых экранов и т. д. Во-вторых, использование ICMP-запросов позволяет с легкостью обнаружить их источник, в чем, разумеется, злоумышленник вовсе не заинтересован.

Существует еще один метод определения узлов сети -- использование "смешанного" ("promiscuous") режима сетевой карты, который позволяет определить различные узлы в сегменте сети. Но он неприменим в тех случаях, когда трафик сегмента сети недоступен нападающему со своего узла, т. е. этот метод годится только для локальных сетей. Другим способом идентификации узлов сети является так называемая разведка DNS, позволяющая идентифицировать узлы корпоративной сети при помощи обращения к серверу службы имен.

Идентификация сервисов и сканирование портов
Идентификация сервисов (service detection), как правило, осуществляется путем обнаружения открытых портов (port scanning). Такие порты очень часто связаны с сервисами, основанными на протоколах TCP или UDP. Например, открытый 80-й порт подразумевает наличие Web-сервера, 25-й порт -- почтового SMTP-сервера, 31 337-й -- серверной части "троянского коня" BackOrifice, 12 345-й или 12 346-й - серверной части "троянского коня" NetBus и т. д. Для идентификации сервисов и сканирования портов могут быть использованы различные программы, в том числе и свободно распространяемые, например nmap или netcat.

Идентификация операционной системы
Основной механизм удаленного определения ОС (OS detection) -- анализ ответов на запросы, учитывающие различные реализации TCP/IP-стека в различных операционных системах. Стек протоколов TCP/IP в каждой ОС реализован по-своему, что позволяет при помощи специальных запросов и ответов на них определить, какая ОС установлена на удаленном узле.

Другой, менее эффективный и крайне ограниченный, способ идентификации ОС узлов -- анализ сетевых сервисов, обнаруженных на предыдущем этапе. Например, открытый 139-й порт позволяет сделать вывод, что удаленный узел, вероятнее всего, работает под управлением ОС семейства Windows. Для определения ОС могут быть использованы различные программы, например nmap или queso.

Определение роли узла
Предпоследним шагом на этапе сбора информации об атакующем узле является определение его роли, скажем, в выполнении функций межсетевого экрана или Web-сервера. Делается этот шаг на основе уже собранной информации об активных сервисах, именах узлов, топологии сети и т. п. Допустим, открытый 80-й порт может указывать на наличие Web-сервера, блокировка ICMP-пакета -- на потенциальное наличие межсетевого экрана, а DNS-имя узла proxy.domain.ru или fw.domain.ru говорит само за себя.

Определение уязвимостей узла
Последний шаг -- поиск уязвимостей (searching vulnerabilities). Злоумышленник при помощи различных автоматизированных средств или вручную определяет уязвимости, которые могут быть использованы для реализации атаки. В качестве таких автоматизированных средств могут быть использованы ShadowSecurityScanner, nmap, Retina и т. д.

Реализация атаки
После всего вышеперечисленного предпринимается попытка получить доступ к атакуемому узлу, причем как непосредственный (проникновение на узел), так и опосредованный, например, при реализации атаки типа "отказ в обслуживании". Реализация атаки в случае непосредственного доступа также может быть разделена на два этапа: проникновение и установление контроля.

Проникновение
Подразумевает преодоление средств защиты периметра (межсетевого экрана) различными путями -- использованием уязвимости сервиса компьютера, "смотрящего" наружу, или передачей враждебной информации по электронной почте (макровирусы) или через апплеты Java. Такая информация может быть передана через так называемые туннели в межсетевом экране (не путать с туннелями VPN), через которые затем и проникает злоумышленник. К этому же этапу можно отнести подбор пароля администратора или иного пользователя при помощи специализированной утилиты (L0phtCrack или Crack).

Установление контроля
После проникновения злоумышленник устанавливает контроль над атакуемым узлом. Это возможно путем внедрения программы типа "троянский конь" (NetBus или BackOrifice). После установки контроля над нужным узлом и "заметания следов" злоумышленник может осуществлять все необходимые несанкционированные действия дистанционно без ведома владельца атакованного компьютера. При этом установление контроля над узлом корпоративной сети должно сохраняться и после перезагрузки операционной системы - с помощью замены одного из загрузочных файлов или вставки ссылки на враждебный код в файлы автозагрузки или системный реестр. Известен случай, когда злоумышленник сумел перепрограммировать EEPROM сетевой карты и даже после переустановки ОС повторно реализовал несанкционированные действия. Более простой модификацией этого примера является внедрение необходимого кода или фрагмента в сценарий сетевой загрузки (скажем, для ОС Novell NetWare).

Цели реализации атак
Необходимо отметить, что злоумышленник на втором этапе может преследовать две цели. Во-первых, получение несанкционированного доступа к самому узлу и содержащейся на нем информации. Во-вторых, получение несанкционированного доступа к узлу для осуществления дальнейших атак на другие узлы. Первая цель, как правило, осуществляется только после реализации второй. То есть сначала злоумышленник создает себе базу для дальнейших атак и только после этого проникает на другие узлы. Это необходимо для того, чтобы скрыть или существенно затруднить нахождение источника атаки.

Завершение атаки
Завершающим этапом атаки является "заметание следов". Обычно злоумышленник реализует это путем удаления соответствующих записей из журналов регистрации узла и других действий, возвращающих атакованную систему в исходное, "предатакованное" состояние.

Классификация атак
Существуют различные типа классификации атак. Например, деление на пассивные и активные, внешние и внутренние атаки, умышленные и неумышленные. Однако, дабы не запутать читателя большим разнообразием классификаций, мало применимыми на практике, хотелось бы предложить более "жизненную" классификацию:

• Удаленное проникновение (remote penetration). Атаки, которые позволяют реализовать удаленное управление компьютером через сеть. Примером такой программы является NetBus или BackOrifice.
• Локальное проникновение (local penetration). Атака, приводящая к получению несанкционированного доступа к узлу, на котором она запущена, например программа GetAdmin.
• Удаленный отказ в обслуживании (remote denial of service). Атаки, позволяющие нарушить функционирование или перегрузить компьютер через интернет (Teardrop или trin00).
• Локальный отказ в обслуживании (local denial of service). Атаки, которые позволяют нарушить функционирование или перегрузить атакуемый компьютер. Примером такой атаки является "враждебный" апплет, загружающий центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений.
• Сетевые сканеры (network scanners). Программы, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки, например система nmap.
• Сканеры уязвимостей (vulnerability scanners). Программы, которые ищут уязвимости на узлах сети и могут быть использованы для реализации атак. К таким сканерам можно отнести систему SATAN или ShadowSecurityScanner.
• Взломщики паролей (password crackers). Программы, которые "подбирают" пароли пользователей. Пример взломщика паролей -- L0phtCrack для Windows или Crack для Unix.
• Анализаторы протоколов (sniffers). Программы, которые "прослушивают" сетевой трафик. С их помощью можно автоматически искать такую информацию, как идентификаторы и пароли пользователей, информацию о кредитных картах и т. д. Из таких анализаторов протоколов стоит упомянуть Microsoft Network Monitor, NetXRay компании Network Associates или LanExplorer.

Интернет-компания Security Systems сократила число возможных категорий до пяти:

• сбор информации (Information gathering);
• попытки несанкционированного доступа (Unauthorized access attempts);
  отказ в обслуживании (Denial of service);
• подозрительная активность (Suspicious activity);
• системные атаки (System attack).

Первые четыре категории относятся к удаленным атакам, а последняя - к локальным, реализуемом на атакуемом узле. Можно заметить, что в данную классификацию не попал целый класс так называемых "пассивных" атак. Помимо "прослушивания" трафика, в эту категорию также попадают такие атаки, как "ложный DNS-сервер", "подмена ARP-сервера" и т. п.

Классификация атак, реализованная во многих системах обнаружения атак, не может быть категоричной. Например, атака, реализация которой для ОС Unix (например, переполнение буфера statd) чревата самыми плачевными последствиями (самый высокий приоритет), для ОС Windows NT может оказаться вообще неприменимой или иметь очень низкую степень риска..

Заключение
Не будь уязвимостей в компонентах информационных систем, нельзя было бы реализовать многие атаки и, следовательно, традиционные системы защиты вполне эффективно справлялись бы с возможными атаками. Но программы пишутся людьми, которым свойственно делать ошибки. Вследствие этого и появляются уязвимости, используемые злоумышленниками для реализации атак. Однако это только полбеды. Если бы все атаки строились по модели "один к одному", то с некоторой натяжкой, но межсетевые экраны и другие защитные системы смогли бы противостоять и им. Но… появились скоординированные атаки, против которых традиционные средства уже не так эффективны. Тут-то на сцене и появляются новые технологии обнаружения атак, но о них -- в следующей статье.

Базы данных по атакам
В 1999 году компания MITRE Corporation (http://cve.mitre.org/) предложила подход к классификации атак, который впоследствии был реализован в базе данных Common Vulnerabilities and Exposures(CVE). Несмотря на столь привлекательную инициативу, база данных CVE в момент создания не получила широкого распространения среди производителей коммерческих продуктов. Однако в начале 2000 года свою базу данных уязвимостей, используемую в системах анализа защищенности интернет Scanner и System Scanner, в соответствие с CVE привела компания Internet Security Systems (ISS). Она первой начала ссылаться на унифицированные коды CVE. Это дало толчок и всем остальным производителям. В июне 2000 года о своей поддержке CVE заявили компании Cisco, Axent, BindView, IBM и др.

Компания ISS, которая является лидером в области разработки средств анализа защищенности и обнаружения атак, основана в 1994 году одним из организаторов CERT Кристофером Клаусом. В ISS существует научно-исследовательская группа X-Force, объединяющая экспертов в области обеспечения информационной безопасности. Эта группа не только постоянно отслеживает все публикуемые другими группами реагирования сообщения об обнаруженных уязвимостях, но и сама проводит тестирование программных и аппаратных средств. Результаты этих исследований помещаются в базу данных уязвимостей и угроз (ISS X-Force Threat and Vulnerability Database).

База данных X-Force (http://xforce.iss.net/) - одна из лучших баз уязвимостей и атак. Доступ к ней может осуществляться как по подписке на свободно распространяемый список рассылки X-Force Alert, так и путем интерактивного поиска в базе данных на Web-сервере компании ISS. Поиск уязвимостей в базе данных возможен по нескольким параметрам: по операционной системе или платформе, подверженной уязвимости; по имени уязвимости; по дате обнаружения; по степени риска (высокая, средняя, низкая).

Существует также возможность вывода всех уязвимостей за последний, предпоследний или все предыдущие месяцы. Все обнаруженные уязвимости сразу же заносятся в базу данных уязвимостей системы анализа защищенности на уровне сети Internet Scanner, систем анализа защищенности серверов и рабочих станций System Scanner и Desktop Scanner, системы анализа защищенности баз данных Database Scanner и системы обнаружения атак RealSecure.

Из других, менее известных баз данных уязвимостей и атак можно назвать advICE (http://advice.networkice.com/Advice/default.htm) компании NetworkICE, приобретенной компанией ISS в начале 2001 г.; The All.Net Security Database (http://all.net/CID/Attack/Attack.xref); Insecure.org (http://www.insecure.org/); Security Bugware (http://oliver.efri.hr/~crv/security/bugs/list.html).

Алексей Лукацкий (опубликовано в журнале "Сетевой montly" #11/2001)

В четверг Совет Европы принял первую в истории международную конвенцию по борьбе с компьютерными преступлениями.

Законопроект направлен на усиление борьбы с кибер-преступностью, включая распространение в Сети детской порнографии, финансовые махинации в Интернете, хакерские атаки и нарушение авторских прав. Конвенция предполагает тесную кооперацию между правоохранительными структурами различных государств и наделяет весьма широкими полномочиями полицейские органы.

В конвенции, в частности, подробно оговорены проблемы взаимодействия правоохранительных органов отдельных государств в ситуации, когда преступник и жертва находятся на территории разных стран и подчиняются разным законодательствам.

В конвенции оговариваются и международные, общие для всех интернет-провайдеров, правила хранения личной информации клиентов на случай, если подобная информация будет затребована в ходе расследования кибер-преступлений.

Совет Европы объединяет 43 государства. Принятая Советом министров Европы конвенция вступит в силу после того, как ее ратифицируют национальные парламенты как минимум пяти государств, по крайней мере три из которых являются членами Совета Европы.

Ратифицировать конвенцию приглашены также государства, имеющие в Совете Европы статус наблюдателей: США, Канада, Япония, Мексика и Ватикан.
(источник - http://www.netoscope.ru/, опубликовано 09.11.2001)

Аспиранты Кембриджского университета Майкл Бонд (Michael Bond) и Ричард Клэйтон (Richard Clayton) объявили о том, что ими была взломан специальный сервер IBM, отвечающий за вопросы банковской безопасности и считавшийся ранее абсолютно надежным. Именно данная модель IBM 4758 в 1998 году была названа правительством США устройством, отвечающим высшим требованиям сетевой безопасности. Аспиранты смогли написать программу, с помощью которой нечестный служащий банка может получить доступ к личным индетификационным номерам (PIN) клиентов, после чего создать поддельную кредитную карту и снять все деньги со счета клиента в ближайшем банкомате.

В настоящее время IBM 4758 используется в Казначействе США, а также во многих мировых банках для безопасного хранения наиболее ценной информации.

Кембриджские взломщики сообщили компании IBM о своем достижении, а также выложили копию своей программы в интернете. Они не собираются угрожать компании, а лишь призывают её признать возможность взлома и прислушаться к их мнению для скорейшего исправления ошибки.
(источник - http://www.cnews.ru/, опубликовано 09.11.2001)

Европейский Союз рассмотрит законность технологии cookies

На рассмотрение Европейский комиссии представлен проект, который, по мнению аналитиков, может иметь далеко идущие последствия. Речь идет о возможном наложении запрета на использование веб-ресурсами технологии файлов cookies. Напомним, что cookies, представляют собой небольшие файлы, предусмотренные спецификацией языка гипертекстовой разметки HTML. Подобные файлы содержат информацию обо всех действиях пользователя Сети, совершенных им на страницах веб-ресурса, и отправляются клиенту сервером, после чего помещаются в директорию временно хранящихся интернет-файлов. В случае, если пользователь не очищает содержимое данной директории до момента следующего захода на данный веб-ресурс, coockie высылается обратно серверу, который генерирует страницы сайта уже в соответствии с информацией, полученной от клиента.

Дебаты вокруг этичности использования cookies ведутся со дня включения этой технологии в спецификацию HTML и начала ее поддержки ведущими броузерами. С точки зрения специалистов по веб-рекламе, cookies работают, прежде всего, на благо пользователя, поскольку помогают ему найти в Сети именно то, к чему он ранее проявлял интерес. С другой стороны, многие эксперты полагают, что сбор маркетинговой информации путем использования cookies является вторжением в частную жизнь граждан.

Проект о запрете cookies будет рассмотрен Комиссией 13 ноября. В случае, если на использование cookies будет наложен запрет, сетевые маркетологи ЕС могут лишиться привычного и эффективно инструмента сбора информации.
(источник - http://www.cnews.ru/, опубликовано 05.11.2001)

В США впервые обнаружен вирус на дисках DVD. Вирус двухлетней давности Funlove оказался на DVD с популярным на Западе мультсериалом "Крутые девчонки" (Powerpuff Girls) кинокомпании Warner Brothers, а точнее, на диске с его серией "Meet the Beat Alls".

Диски поступили в продажу в Америке две недели назад. 1 ноября компания Warner Brothers срочно отозвала всю партию, пообещав возместить убытки и выпустить новые DVD в течение нескольких недель.

Проникновения вирусов в тиражируемые носители - дискеты и CD - случались и раньше. С DVD такое произошло впервые. Антивирусная компания Sophos рекомендует всем купившим диски "Meet the Beat Alls" вернуть их или уничтожить. Есть основания полагать, что зараженная партия успела проникнуть и за пределы США через онлайновые магазины. Мультсериал весьма популярен. Название серии "Meet the Beat Alls" созвучно битловской композиции "Meet the Beatles", вариации которой используются в мультфильме.

Вирус Funlove прячется среди утилит для создания скринсейверов и обоев из сцен мультфильма. Он появился в 1999 году и поразил тогда компьютерную сеть на ирландском заводе корпорации Dell. Через год вместе с драйверами для принтеров с официального сайта Hewlett-Packard его получили японские пользователи.

Вирус считается неопасным и нацелен на Windows NT. Он присваивает всем пользователям компьютера права администратора. Funlove распространяется в Windows 95/98/NT, дописывая себя в файлы .EXE, .SCR и .OCX. Он был первым вирусом, способным распространяться через локальную сеть. Никаких специальных действий по распространению себя через Интернет вирус не предпринимает, поэтому нуждается в носителях.

Как старый вирус проник в мультфильмы, неизвестно. Специалисты полагают, что это произошло из-за нечистоплотности одного из рабочих, изготавливавшего матрицу DVD. Представитель Sophos заметил: "Старые вирусы никогда не умирают, они лишь прячутся в темных углах и директориях".
(источник - http://www.netoscope.ru/, опубликовано 02.11.2001)

Приглашаем принять участие в семинаре, проводимом компанией Инфотекс в рамках партнерской программы с Информационной системой оптовой торговли ИСОТ: "Создание защищенных телекоммуникаций для корпораций, дистрибьюторских и партнерских сетей ".

Вопросы семинара:

Сетевые решения ViPNet - инструмент для повышения эффективности бизнеса.
- Информация о компании Инфотекс
- Лицензии и сертификаты, выданные компании
- Клиенты, партнеры и проекты компании
- Технология VPN компании Инфотекс

Продуктовый ряд ViPNet
- Выгоды от использования технологии ViPNet
- Стратегия продвижения решений ViPNet
- Технология ViPNet.
- Драйвер ViPNet - основа защищенной сети
- Основные модули комплекса
- Основные функции
- Основные режимы работы
- Интерфейсы и сервисы программы
- "Деловая почта" - защищенный документооборот

ГУП "Москачество" - пример внедрения технологии ViPNet.
- О компании ГУП "Москачество"
- Проблемы безопасности информационных ресурсов.
- Характеристики внедренного ViPNet-решения
- Бизнес- выгоды от внедрения ViPNet- решения

Семинар состоится 19 декабря.
О месте проведения семинара будет объявлено позднее.

Чтобы принять участие в семинаре необходимо зарегистрироваться. Форма для регистрации находится здесь.
Вопросы по семинару просьба отправлять Головкиной Ирине.

Обновлены демо-версии продуктов ViPNet, TermiNET.
В новых версиях исправлены предыдущие ошибки, добавлены новые функции и улучшен интерфейс. Загрузить обновленные демоверсии можно со страницы http://www.infotecs.ru/demo.htm

Пакет программ ViPNet Office позволяет:
- защитить информацию, хранимую на компьютере, а также сам компьютер от возможного несанкционированного доступа из Интернет или локальной сети;
- организовать защищенный обмен в режиме «on-line» конфиденциальной информацией (текстовой, голосовой) по телефонным каналам или через Интернет между компьютерами, установленных в произвольных точках земного шара;
- обмениваться почтовыми сообщениями и прикрепленными к ним файлами в защищенном режиме;
- организовывать защищенные конференции (видеоконференции) и сбор конфиденциальной информации, используя каналы Интернет;
- работать в защищенном режиме по открытому каналу, используя любые Интернет-приложения;
- обеспечить защищенную работу с серверами FTP, WWW и т.д.;
- обеспечить односторонний доступ только по инициативе пользователя к открытым информационным ресурсам в сети Интернет и локальной сети, блокируя любые другие соединения во время сеанса;
- определить сетевые адреса злоумышленников, пытающихся получить доступ к информации на компьютере или проникнуть в локальную сеть;
- разграничить доступ пользователей из "черного" и "белого" списков к базам данных и определенным www-серверам;
- разграничить доступ к конфиденциальной информации внутри локальной сети.

Продукт ViPNet ТUNNEL предназначен для объединения локальных сетей или офисов в защищенную виртуальную сеть. Этот продукт используется, если необходимо защитить трафик между офисами и нет необходимости разграничения доступа внутри каждой из локальных сетей, входящих в VPN.

Пакет программ ViPNet Tunnel (Small, Large) позволяет:
- обеспечивать работу объектов виртуальной сети от имени одного адреса внутри локальной сети;
- обеспечивать туннелирование пакетов с незащищенных компьютеров;
- обеспечивать фильтрацию открытых пакетов в соответствии с заданной политикой защиты

Программа ViPNet [TermiNET] - это персональный сетевой экран (firewall), предназначенный для защиты компьютера от атак из Интернет.

Основные возможности программы ViPNet [TermiNET]:
- Защита информационных ресурсов от атак из Интернет.
- Использование технологии защищенного web-серфинга "Stealth" ("Невидимка").
здесь можно посмотреть результаты независимого теста Gibson Research Corporation (www.grc.com)
- Черный список/Белый список - эта функция обеспечивает возможность запрещать доступ к нежелательным сайтам или разрешать его только к известным желаемым сайтам (функция "Родительский контроль").
- Гибкое управление доступом позволяет с помощью IP адреса, URL, порта и / или протокола определять правила для входящего и исходящего трафика.
- Автоматическое ведение журнала IP-адресов, с которых производилась атака на ресурсы пользовательского компьютера.
- Возможность работы в любой сетевой инфраструктуре.
- Отсутствие влияния на работу любых стандартных приложений (MS Exchange, Net Meeting и т.д.).
- Разграничение доступа и персональные настройки для каждого пользователя.
- Многоязыковая поддержка.
- Простота использования интерфейса "Windows Explorer" делает настройки ViPNet [TermiNET] доступными даже для пользователя, незнакомого с техникой.

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.