Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Информационные сообщения по новым атакам и способам взлома, статистика по инцидентам

• [May 22 - Jun08] Security Info digest #32

Новости компании.

• 7 июня 2001г. на базе ГУП НИИ "Восход" специалистами ОАО "Инфотекс" проведен технический семинар по теме "Виртуальные сети - универсальный метод защиты в локальных и глобальных IP-сетях".

1. Интеграция IPsec с обычным IP протоколом.
Это самый общий вариант, который перспективен для использования в новых устройствах. Однако, при таком включении необходим доступ к исходному коду протокола IP, что может оказаться невозможным, например, при использовании закрытого программного обеспечения. Благодаря своей универсальности, вариант интеграции может использоваться как в оконечном узле сети - хосте, так и в шлюзе безопасности.

2. Встраивание в стек - "Bump-m-the-stack" (BITS).
В этом случае IPsec монтируется "ниже" существующего стека протокола IP, т.е. между программой, обслуживающей протокол IP, и драйвером оборудования, обслуживающего канал связи. При этом доступ к исходному коду стека протокола IP не требуется. Тем самым облегчается его использование в уже существующих системах. Данная конфигурация применяется преимущественно в хосте.

3. Встраивание в сеть - "Bump-in-the-wire" (BITW).
При использовании этого варианта программа, обслуживающая протокол IPsec, аналогично шлюзу безопасности располагается в отдельном устройстве. При этом конфигурация обычно предусматривает наличие внешнего криптопроцессора. Такой подход предоставляет некоторые преимущества: независимость устройств отвечающих за протокол IP и IPsec, увеличение быстродействия за счет применения специализированного устройства.
Система IPsec базируется на концепции ассоциации безопасности, представляющей собой "объединение", цель которого - предоставить трафику различные сервисы безопасности. Каждая ассоциация используется только с одним протоколом безопасности - АН или ESP - и только в одном направлении Соответственно, если требуется организовать двунаправленное соединение между двумя хостами или шлюзами безопасности, необходимо организовать две ассоциации безопасности - каждую в своем направлении.

Ассоциация безопасности уникальным образом идентифицируется тремя составляющими:
- индексом параметров безопасности;
- IP адресом получателя;
- идентификатором протокола (АН или ЕЗР).

Ассоциации безопасности обеспечивают два режима работы: транспортный и туннельный. Стандарт регламентирует места, в которых может быть использован тот или иной режим.

Набор предоставляемых ассоциацией функций безопасности определяется выбранными протоколами, режимом работы ассоциации, оконечными узлами взаимодействия, а также дополнительно выбранными функциями.

Основная задача протокола АН - обеспечение аутентификации, ESP - криптографическая защита данных. При этом ассоциация безопасности должна поддерживать только один протокол. Однако, в целях повышения функциональности, несколько ассоциаций безопасности могут включаться последовательно. Такая надстройка ассоциаций безопасности получила название "пучка" ассоциаций.

Ассоциации безопасности могут быть объединены в пучки двумя способами: транспортная смежность и итерационное туннелирование.

Транспортная смежность служит для применения в IP-датаграмме более одного протокола безопасности, без использования режима туннелирования. Такой подход к комбинированию протоколов АН и ESP позволяет создать только одну комбинацию (рис. 3). Дальнейшее добавление ассоциаций возможно. Однако, оно излишне, так как не повышает степень защищенности виртуальной частной сети. Это верно при корректной реализации протоколов АН и ESP.

Итерационное туннелирование допускает многоуровневое использование протоколов безопасности. Существуют три основных способа обеспечения итерационного туннелирования, при этом от системы требуется поддержка только первых двух.

1. Итерационное туннелирование в узлах (рис. 4) - обе ассоциации безопасности располагаются в оконечных узлах.

2. Несимметричное итерационное туннелирование (рис. 5) - в одном из оконечных узлов образованы две ассоциации.

3. Комбинированное итерационное туннелирование (рис. 6) - в каждом из узлов образовано по одной ассоциации,

Внутренняя обработка входящего и исходящего графиков в системе IPsec практически никак не регламентирована нормативными документами. Однако, в целях совместимости некоторые внешние параметры считаются стандартами.

В системе IPsec существуют две базы данных: Security Policy Database (SPD) - База данных политики безопасности и Security Association Database (SAD) - База данных ассоциации безопасности. Интерфейс системы IPsec требует разделения баз данных для входящих и исходящих потоков. Это связано с направленностью некоторых полей в базах данных, используемых в качестве селекторов.

SPD определяет, какие функции безопасности будут предоставлены в каждой IP-датаграмме и каким образом. В стандарте описываются минимальные возможности по управлению базой, предоставляемые пользователю или администратору сети в целях контроля работы системы при получении и отправке информации.

Для любой входящей или исходящей IP-датаграммы возможны три варианта обработки: "отбросить пакет", "пропустить пакет", "передать пакет системе IPsec". Первый вариант предназначен для информации, которая не может выйти за пределы хоста или пройти шлюз безопасности. Второй применим к пакетам, которым разрешено пройти без защиты протокола IPsec. По третьему варианту обрабатываются пакеты, нуждающиеся в защите протоколов системы IPsec. Для последнего варианта SPD и выбирает применимые функции, протоколы и используемые в них алгоритмы.

В базе данных политики безопасности содержится упорядоченный список различных стратегий, применяемых для пакетов. На каждую стратегию ссылается один или несколько селекторов, определяющих набор пакетов, затрагиваемых этой стратегией. В каждом элементе списка содержится информация о том, как поступать с пакетом, проходящим по этой стратегии: удалить, пропустить или применить IPsec. В последнем случае в стратегии приводится спецификация ассоциации безопасности, включающая протоколы IPsec, режимы, используемые алгоритмы, а также необходимые параметры.

Политика безопасности может требовать использования нескольких ассоциаций безопасности, применяемых к трафику. В этом случае SPD содержит список ассоциаций в порядке их применения к пакету.

В связи с тем, что база данных политики безопасности должна систематизировать весь проходящий трафик через систему IPsec, контролю подлежит и трафик обмена ключами между узлами, находящимися до и после шлюза безопасности. Поэтому в SPD должна находится запись о трафике ISAKMP, в противном случае эти пакеты будут удалены.

В каждой реализации системы IPsec существует номинальная база ассоциации безопасности. Любой элемент этой базы данных определяет параметры одной ассоциации безопасности. При этом любая ассоциация имеет запись в базе данных.

Использование систем автоматического управления ассоциациями безопасности и ключами имеет определенные преимущества.

Это - масштабируемость системы (сравнительно легкое подключение и отключение элементов) и автоматический режим работы. В рамках самой системы IPsec при автоматическом управлении ассоциациями безопасности возможны дополнительные функции, такие как, защита от повторов для протоколов АН и ES, создание по требованию новой ассоциации безопасности.

Система по умолчанию использует протокол автоматического управления ключами IKE. Также допускается использование иных протоколов Важно заметить что использование системы автоматического управления ключами повышает надежность и безопасность системы в целом.

Рассмотрим основные способы защиты IР-датаграмм с помощью аутентифицирующего заголовка. Как было показано, существуют два режима передачи информации: транспортный и туннельный. При обработке пакета в транспортном режиме заголовок АН помещается перед информацией протоколов верхних уровней, например TCP UDP и др. или до любого ранее вставленного заголовка протоколов системы IPsec. Туннельный режим является стандартом для шлюзов безопасности, так как основное его свойство - защита пакета в целом. В результате, при сканировании трафика, проходящего между шлюзами, сеть за пределами шлюза безопасности "не видна".

На рис. 7. проиллюстрирована типичная обработка IP-датаграмм в транспортном и туннельном режимах при использовании протокола АН.

Основные задачи аутентифицирующего заголовка заключаются в обеспечении целостности данных аутентификации и защите от повторов. Для реализации этих функций система поддерживает набор криптографических процедур, называемых хэш-функциями. Базовыми алгоритмами служат MD5 и SHA-1. Алгоритм MD5 разработан Рональдом Раивестом в 1991 г., а алгоритм SHA-1 - Национальным институтом стандартов и технологии (США) в 1994 г. С точки зрения безопасности алгоритм MD5 уступает SHA-1, так как на выходе образуется 128-битовая последовательность против 160 бит. Однако, MD5 несколько превосходит своего конкурента в быстродействии.

Заголовок протокола ESP разработан для создания криптографической защиты протоколов IPv4 и IPv6. Он может применяться самостоятельно или в комплексе с аутентифицирующим заголовком. ESP предназначен для обеспечения конфиденциальности аутентификации данных целостности защиты от повторов и ограниченной конфиденциальности трафика. Заголовок предполагает раздельное использование механизмов обеспечения конфиденциальности и аутентификации. При этом основное направление ESP - конфиденциальность передаваемых данных.

Заголовок ESP может подобно АН встраиваться в пакеты IP в двух режимах - транспортном и туннельном. Транспортный режим разрешен к использованию только в системах, в которых оба участника соединения с использованием IPsec являются хостами, т е. конечными узлами взаимодействия. В этом режиме заголовок ESP размещается перед данными протоколов верхних уровней и до любых заголовков системы IPsec, размещенных в пакете ранее.

Туннельный режим аналогично АН предусматривает размещение всего пакета целиком внутри нового пакета. Таким образом, происходит инкапсуляция не только данных, но и всей служебной информации. В результате, при использовании режима конфиденциальности данных, защищается не только передаваемая информация, но и данные о сети, ее структуре, серверах и приложениях. Это серьезно повышает безопасность самой сети.

На рис. 8 представлена структура стандартного размещения заголовка ESP в пакетах протокола IPv4 при включенных режимах шифрования и аутентификации.

Как видно из этого рисунка, различий между транспортным и туннельным режимами с точки зрения реализации и увеличения служебного трафика практически нет. Однако, с точки зрения безопасности эти режимы значительно различаются.

Кроме поддержки функций аутентификации, аналогичных протоколу АН, ESP должен поддерживать алгоритмы DES в режиме СВС и, так называемый, NULL - алгоритм для симметричного шифрования. NULL - алгоритмы предназначены для совместимости. При инициализации связи, нулевым может быть как алгоритм шифрования, так и аутентификации. Однако, оба алгоритма одновременно быть нулевыми не могут.

Одна из самых сложных составляющих системы IPsec - управление ключами и параметрами. Это объясняется стремлением сделать среду как можно более универсальной, допустить возможность любых модификаций в будущем. По мнению некоторых специалистов, подобное усложнение системы оказывает крайне негативное влияние на ее безопасность.

Все процессы, связанные с параметрами системы, а также управлением ключами, базируются на протоколе ISAKMP - Internet Security Association and Key Management Protocol. Он предназначен для установления ассоциаций безопасности и управления криптографическими ключами в рамках окружающей среды Интернет. Для управления ассоциациями протокол предоставляет функции согласования параметров, установления, модификации и удаления ассоциаций безопасности.

Протокол ISAKMP включает две фазы взаимодействия. В первой - взаимодействующие объекты устанавливают первичные параметры для будущей защиты трафика управления ключами и параметрами, т.е. устанавливают ISAKMP SA - ассоциацию безопасности управления ключами и ассоциациями. Два взаимодействующих объекта (например, серверы ISAKMP) могут сформировать несколько таких ассоциаций.

Вторая фаза взаимодействия используется для установления ассоциации безопасности для других протоколов. Каждая ассоциация ISAKMP может образовать множество обычных ассоциаций.

ISAKMP предоставляет целый ряд модульных строительных блоков для конструирования сообщений. Присутствие и порядок следования блоков определяются полем Exchange Type Field, расположенным в заголовке ISAKMP.

Протокол ISAKMP определяет только форму передаваемой информации по обмену ключами, но не сам способ. Это сделано для независимости протокола от способа обмена ключами. Поэтому он может поддерживать различные методы управления криптографическими ключами. Однако, в качестве стандарта был разработан протокол IKE.

IKE представляет собой гибридный протокол, предназначенный для согласования параметров ассоциации безопасности, в том числе обмена криптографическими ключами. Его можно использовать для согласования параметров виртуальной частной сети, а также для предоставления удаленному пользователю доступа в защищенную сеть.

В основе IKE лежат протоколы Oakley и SKEME. Oakley описывает серии обмена ключами, называемые режимами, а протокол SKEME описывает схему временного обмена ключами, предоставляя анонимность и быстрое обновление ключей. Однако, протокол IKE включает Oakley и SKEME не целиком, а только их части, необходимые для успешной работы. Каждый протокол Oakley и SKEME самостоятельно определяет способ установления аутентифицированного обмена ключами, устанавливает структуру передаваемых данных и определяет процесс обработки этой информации.

Протокол ISAKMP оперирует понятием "фаза". В свою очередь, протокол IKE предоставляет различные режимы обмена ключами в зависимости от рабочей фазы. Во время первой фазы идет установление ассоциации ISAKMP. Для этого протокол IKE предоставляет два режима: "основной" - Main Mode и "агрессивный" - Aggressive Mode. Основной режим требует несколько большего количества этапов в фазе, но при этом обеспечивая дополнительную защиту.

Для завершения работы второй фазы когда требуется согласование параметров ассоциации безопасности передача криптографических ключей или параметров протокол предоставляет "быстрый режим" - QUICK MODE.

После завершения первой фазы и установления ассоциации ISAKMP любой участник взаимодействия может инициировать вторую фазу. Однако, параметры полей заголовка ISAKMP-сообщений Initiator Cookie и Responder Cookie не должны меняться местами.

Оба режима установления аутентифицированного обмена ключами (основной и агрессивный) проводят обмен по принципу Диффи-Хелмана. Система обязательно должна поддерживать основной режим и может поддерживать агрессивный. Быстрый режим предназначен для генерации новых ключей и установления параметров безопасности не по протоколу ISAKMP. Система также должна поддерживать и этот режим. Каждый обмен в протоколе IKE имеет строго ограниченное число шагов.

Протокол IКЕ допускает четыре метода аутентификации с основным или агрессивным режимом с использованием цифровой подписи два вида аутентификации с помощью публичных ключей а также с использованием предварительно разделенных ключей.

При использовании метода аутентификации с помощью цифровой подписи, передаваемая информация хэшируется а затем подписывается. Для этих целей в протоколе можно использовать стандарт DSS или алгоритм RSA.

Для использования метода публичных ключей инициатор заранее должен иметь открытый ключ получателя. При этом методе значительно повышается безопасность но возрастает и число операций при обмене ключами. По второму методу с использованием публичных ключей число операций сокращается, благодаря замене цепочек асимметричного шифрования на симметричное.

Вторая фаза - быстрый режим - не представляет собой полный механизм обмена, как в случае первой фазы, но используется как часть согласования ассоциации безопасности передачи криптографической информации. При обмене во время быстрого режима вся передаваемая информация должна в обязательном порядке защищаться средствами ассоциации ISAKMP.

Базовый вариант быстрого режима оперирует данными, полученными в результате первой фазы, но позволяет использовать дополнительные блоки данных для обмена независимыми ключами.

Рекомендации по применению системы IPsec.

Основная задача системы IPsec -обеспечение информационной безопасности на сетевом уровне стека протокола IP. Поэтому стоит рассмотреть недостатки с точки зрения именно информационной безопасности.

Один из основных недостатков такой системы - ее сложность. В любой системе существуют ошибки, которые понижают информационную безопасность а порой и сводят ее к нулю. В простой системе ошибки довольно легко обнаружить и исправить, но с ростом сложности системы, ошибок становится все больше, а возможности их исправить все меньше. Чем сложнее система, тем меньше специалистов способно в ней разобраться. Таким образом, уменьшается и количество исправляемых ошибок. В итоге число ошибок в системе с увеличением ее сложности растет экспоненциально.

Избежание избыточной сложности при использовании этой системы возможно. Для этого необходима установка корректной политики безопасности исключающей из использования ненадежные или ненужные звенья
В систему IPsec включен целый набор криптографических протоколов, пригодных, что называется, на все случаи жизни. В реальных условиях такое множество протоколов и их функций излишне. Кроме того, повышенная сложность может привести к ошибкам в конфигурировании системы, которые снизят уровень безопасности. Поэтому рекомендуется модифицировать систему с целью уменьшения ее сложности и повышения стабильности работы.

Исключение транспортного режима.
Различие между туннельным и транспортным режимами заключается в отношении к заголовку исходной датаграммы. При туннельном режиме исходный заголовок целиком встраивается в тело нового пакета и к нему добавляется новый заголовок. Транспортный режим не изменяет заголовка
Транспортный режим можно использовать только при взаимодействии двух конечных узлов сети, допуская при этом применение и туннельного режима. При взаимодействии между шлюзами безопасности или иными устройствами возможен только туннельный режим. Поэтому он и является основным. Исключение транспортного режима увеличит длину служебной передаваемой информации на размер заголовка, но значительно упростит конфигурирование клиентского оборудования.

Исключение протокола АН.
Основная причина создания двух протоколов - политическая. В связи с тем что некоторые государства ограничивают использование основ информационной безопасности - криптографических алгоритмов было принято решение создать два протокола АН и ESP.

Основной задачей протокола АН является аутентификация данных, поэтому он не поддерживает функции шифрования. В свою очередь, протокол ESP обеспечивает конфиденциальность передаваемой информации и также поддерживает функции аутентификации передаваемых данных. Важно заметить, что использование аутентификации не обеспечивает информационную безопасность, так как данные передаются в открытом виде. При необходимости защиты данных придется воспользоваться функциями протокола ESP. В результате, можно сказать, что протокол ESP в функциональном смысле практически целиком поглощает протокол АН. Поэтому рекомендуется исключить использование протокола АН. Это поможет упростить систему, а значит, повысить ее надежность, а также уменьшить количество ошибок при конфигурировании системы, исключить возможность некорректного использования протокола АН для защиты информации. Следует помнить о наличии в протоколе ESP так называемых нулевых функций аутентификации и шифрования, использование которых возможно при запрете применения криптографических методов.

Модифицирование протокола ESP.
Протокол ESP позволяет использовать функции криптографической защиты данных, а также аутентификации передаваемой информации. Стандарт допускает как различное, так и совместное использование этих функций, но требует обязательного включения хотя бы одной из них. Однако, использование функции криптографической защиты данных без использования средств аутентификации представляется ошибочным с точки зрения информационной безопасности.

Рекомендуется обязательная поддержка протоколом ESP функций аутентификации передаваемых данных Выбираемым параметром должно быть только шифрование.

Система протоколов IPsec базируется на зарубежных криптографических алгоритмах
- симметричного блочного шифрования DES,
- хэш-функции MD5,
- хэш-функции SHA-1

Как видно, эта система ориентирована на использование американских стандартов в области криптографии. Соответственно она не может быть использована в рамках российского законодательства, предусматривающего обязательное применение государственными организациями отечественных криптографических алгоритмов. Поэтому рекомендуется модифицировать систему для поддержки российских стандартов

- симметричного блочного шифрования ГОСТ 28147-89,
- алгоритма хэш-функции ГОСТ Р 34 11 -94,
- алгоритма цифровой подписи ГОСТ Р3410-94

В настоящее время DES заменен алгоритмом AES, представляющий собой свободный стандарт. В качестве AES был выбран алгоритм Rijndeal, победивший на открытом конкурсе, организованным NIST.

Взаимодействие с иностранными партнерами и клиентами потребует совместимости с признанными мировыми стандартами. Поэтому рекомендуется использовать в системе официальные мировые стандарты. При необходимости их можно расширить алгоритмами, рекомендованными к использованию внутри страны, а также более надежными версиями мировых стандартов.

Обобщая, можно представить рекомендуемую версию системы IPsec в следующем виде
- используется только протокол ESP,
- режим работы протокола - туннельный,
- обязательная поддержка аутентификации данных,
- добавлена поддержка российских стандартов,
- алгоритм DES заменен на AES

В настоящее время ведутся разработки шлюза безопасности, функционирующего с учетом выработанных рекомендаций.

Д.Л. Павлов В.К. Котов, к. т. н. Петербургский Государственный Университет путей Сообщения (опубликовано в журнале ВКСС "Connect" 1/2001)

В течение семнадцати дней хакеры, оставаясь незамеченными, хозяйничали в компьютерных системах энергетической компании Cal-ISO, которая снабжает электричеством всю Калифорнии.

Судя по всему, неизвестные злоумышленники проникли в сеть Cal-ISO 25 апреля. Как сообщает газета "Лос-Анжелес Таймс", ссылаясь на осведомлённые источники, хакеры были близки к тому, чтобы получить контроль над ключевыми частями системы регуляции электроснабжения штата. Сделав это, они могли бы отключить электричество во всей Калифорнии.

Компания отрицает, что дело зашло так далеко. Как утверждают представители Cal-ISO, хакеры сумели проникнуть лишь в самые новые и ещё не до конца подключённые части сети, защита которых была поставлена хуже. На работе Cal-ISO их деятельность никак не сказалась, и два произошедших за этот срок отключения электроэнергии не связаны с этим происшествием.

Системные администраторы Cal-ISO обнаружили присутствие хакеров только 11 мая. В докладе, который подготовлен компанией по первым итогам расследования, сообщается, что их выдала попытка проникнуть через межсетевые экраны, которые ограничивают доступ к важным частям сети компании.

По некоторым данным, атака была проведена из Китая. Хакеры находились в китайской провинции Гуаньдонь и работали через провайдера China Telecom. Впрочем, Cal-ISO не подтвердила эти сведения, заявив, что установить источник атаки не представляется возможным.
(источник - http://news.battery.ru, опубликовано 13.06.2001)

8 июня "Лаборатория Касперского" сообщила о новой "дырке" в защите популярной почтовой программы Outlook Express, которая позволяет злоумышленнику перехватывать почтовые сообщения, посланные пользователем, использующим этот почтовый агент.

Используя эту дыру, злоумышленник может мошенническим путем записать в адресную книгу Outlook Express на компьютере жертвы свой e-mail и впоследствии похищать все сообщения, отсылаемые пользователем по истинным адресам. Связавшись с центром компьютерной безопасности Security.nnov, специалисты которого и обнаружили данную проблему, CNews попросил их прокомментировать данную ситуацию.

"Проблема всплыла достаточно случайно еще в конце прошлого кода", - говорит "ЗАРАЗА", лидер группы Security.nnov. "Особого значения ей не придали. В апреле информацию передали в Microsoft. Microsoft ей тоже особого значения не придал. Поэтому еще через 2 месяца (вполне достаточный срок) в Bugtraq (список рассылки по вопросам безопасности) опубликовали текст".

Центр безопасности Microsoft, которому было сообщено об этой проблеме, счел, что ее серьезность не тянет на высокий уровень и не представляется возможным исправить ее до выхода очередного пакета дополнений (service pack) к IE 5.5. Сам "ЗАРАЗА", говоря, что проблема не очень серьезная, а, кроме того, может существовать и в других почтовых системах, тем не менее оценивает ее как потенциально способную нанести ущерб большому количеству пользователей.

В связи с тем, что Microsoft в данный момент не намерен пытаться исправить данную ситуацию, Security.nnov рекомендует простой способ - отключить в Outlook Express в меню Options возможность автоматической записи в адресную книгу новых адресатов. Следует добавить, что, по словам 3APA3Ы, описанной проблемы не существует в Microsoft Outlook 98 или Outlook 2000.

Оценивая другие программные продукты Microsoft с точки зрения безопасности, "ЗАРАЗА" говорит: "Проблемы в Internet Explorer - есть. Связаны они со слишком большой функциональностью, слишком много всего можно делать. Если Netscape, например, когда-нибудь будет поддерживать все то, что позволяет делать IE, дыр там будет не меньше". Следует добавить, что одновременно с информацией о проблеме в Outlook Express, Security.NNOV опубликовали и сведения о проблеме в Netscape Messanger, которая позволяет получать некоторые данные о пользователе.
(источник - http://www.cnews.ru, опубликовано 13.06.2001)

Выступая на открытии Конференции по компьютерной безопасности, менеджер по продуктам для предприятий компании Trend Micro Боб Хансменн заявил, что в скором времени нас ожидает встреча с новой угрозой: распространением вирусов для мобильных устройств, таких как карманные компьютеры или мобильные телефоны.

Сейчас известно о существовании всего лишь дюжины подобных вирусов, однако, по мнению Хансменна, нет никакого сомнения, что скоро спокойная жизнь для владельцев КПК закончится. Если какая-либо платформа получает широкое распространение и становится общедоступна, она неминуемо становится целью вирусописателей. После того, как мобильные устройства начали поддерживать XML, Java и беспроводную связь, опасность появления ориентированных на них вирусов многократно возросла.

Особенно опасным, как считает Хансменн, будет появление программных средств, упрощающих создание вируса. Такие программы существуют для написания PC - с их помощью, например, был создан нашумевший несколько месяев назад вирус AnnaKournikova. Если такие средства появятся и для карманных компьютеров, написать вирус сможет кто угодно, даже не умея программировать и ничего не зная об устройстве КПК.
(источник - http://news.battery.ru/, опубликовано 09.06.2001)

Согласно статистике, проводимой антивирусными разработчиками и недавно опубликованной на viruslist.com, основная масса вирусов - это VBS-вирусы, Интернет-черви (типа LoveLetter, Обнаженной жены, Курниковой и т. д. ) и макровирусы, размножающиеся в документах MS Word. Приводимые данные свидетельствует о том, что:

пользователи недостаточно грамотны и осторожны, поскольку запуск vbs-скриптов и действие Интернет-червя, то есть вирусов типа LoveLetter и Magistr должен инициировать пользователь, как и включить/отключить защиту от макровирусов;

производителям (точнее производителю) ПО абсолютно наплевать на вирусную безопасность пользователя. Читая описание воздействия вируса, обратите внимание на повторяющиеся слова - "вирус рассылает свои копии через адресную книгу MS Outlook (Express)", а также на то, что тот же MS Outlook Express - самая популярная почтовая программа. Ну, а то что MS Word практически единственный источник макровирусов, понятно;

Интернет - самый массовый источник вирусов.

При этом полное отключение вредоносных функций (автоматической рассылки, чтения скриптов из приходящих писем, запуска макросов с потенциально опасным содержимым) не является чем-то невозможным. Так что встает закономерный вопрос - неужели, зная все это, корпорация Microsoft не может внести в программы небольшие изменения? Например в последние версии броузера и Windows? И если она этого не делает, то, может быть, ей выгодно массовое распространение вирусов? Ну хотя бы для того, чтобы объяснять потерю информации в результате столь частых и набивших оскомину глюков в продуктах семейства Microsoft.

Более того - в новой версии Windows XP появились новые возможности для хакеров - инструмент для формирования IP пакетов (аналогичный Unix sockets), ранее отсутствовавший в продуктах Microsoft. Если ранее серьезную атаку можно было предпринять только из под Linux или Unix, не слишком распространенных среди пользователей, то теперь этот опасный инструмент попал в руки к массовым пользователям.
(источник - http://news.battery.ru/, опубликовано 08.06.2001)

Британская компания Secure PC разработала устройство "APC Lapdog", которое, будучи подключенным к лаптопу, отсылает хозяину текстовое сообщение в том случае, если кто-либо попытается украсть лаптоп.

Как сообщает The Register, устройство, подключенное к серийному порту, отсылает на заранее определенный мобильный телефон текстовое сообщение с предупреждением о том, что неизвестный пытается без разрешения попользоваться чужой собственностью. В том случае, если лаптоп расположен в офисе и включен в сеть, сообщение отсылается администратору сети. В противоугонное устройство включена и функция уничтожения файлов на украденном лаптопе.

Secure PC, занимающаяся разработкой систем безопасности, предлагает также разместить по всему зданию, в котором расположен гипотетический офис, некоторое количество датчиков, которые позволят отслеживать передвижение украденного компьютера, причем как переносного, так и обычного персонального.

Кроме того, устройство позволяет "запеленговать" пропавший лаптоп даже в том случае, если он вынесен из помещения. Хозяину лаптопа вместе с устройством будет поставляться брелок, который после активации будет пикать тем сильнее, чем ближе хозяин подходит к своему компьютеру. С помощью брелка хозяин легко найдет утерянный лаптоп в радиусе 200 метров.

Secure PC заявила, что уже получила заказы на "APC Lapdog". 4 тысячи заказов получено от жителей Великобритании и 17 тысяч из США. Противоугонное устройство для лаптопов появится в продаже в конце этой недели и будет стоить всего 99 фунтов стерлингов, то есть почти 138 долларов по курсу четверга. Можно предположить, что устройство будет особенно популярно среди агентов британских спецслужб, которые известны рекордным числом потерянных лаптопов.
(источник - http://www.netoscope.ru, опубликовано 07.06.2001)

[May22 - Jun08] Security Info digest #32(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

В утилите sudo версии 1.6.1-1 обнаружен баг, позволяющий локальному пользователю получить полномочия пользователя root. Более подробно ознакомиться с техникой эксплоита бага:
http://www.securityfocus.com/archive/1/189037

В Microsoft Exchange 2000 Server Outlook Web Access (OWA) обнаружен баг.
OWA - это сервис Exchange 2000, позволяющий пользователям использовать их web browser для доступа к своему почтовому ящику. Если html аттачмент содержит скрипт, он будет запущен при открытии аттачмента, что может позволить злоумышленнику манипулировать с почтовыми ящиками от имени пользователя.
Подробнее:
http://www.securityfocus.com/archive/1/189209

В одном из самых популярных smtp серверов exim'е обнаружен баг в функции moan_smtp_batch(). Следует отметить, что этот баг может быть использован злоумышленником только в случае, когда exim.conf содержит включенную проверку синтаксиса заголовков писем (headers_check_syntax). По умолчанию headers_check_syntax выключен.
Подробнее:
http://www.securityfocus.com/archive/1/189026

NetBSD OS версий 1.4, 1.5 и -current подвержены удаленной ДоС атаке. Баг исправлен в NetBSD-current (April 17, 2001 (1.5U)), NetBSD-1.5 ветвь:
April 24, 2001 (в 1.5.1 исправлено).
Дос атака стала следствием некорректно выставленых тайм-аутов при обработке ipv4 фрагментированных пакетов.
Подробнее:
http://www.securityfocus.com/archive/1/187411

В GnuPG версий <= 1.0.5 обнаружен баг (при вызове функции tty_printf()). Воспользовавшись уязвимостью, злоумышленник может
запустить произвольный код под уровнем доступа пользователя, вызывающего gpg.
Исправить баг можно, изменив в вызове функции tty_printf(prompt) на tty_printf("%s", prompt) или установив обновленную версию GnuPG 1.0.6, доступную на http://www.gnupg.org/download.html
Подробнее:
http://www.securityfocus.com/archive/1/187352

Обнаружена возможность удаленного переполнения буфера в утилите RPC Yppassword, поставляемой с OS Solaris версий 6 и 7 под Sparc
платформу. (x86 не тестировались).
В результате переполнения злоумышленник, запустив определенный код, удаленно может получить доступ с полномочиями пользователя root.
Подробнее:
http://www.securityfocus.com/archive/1/187086

7 июня 2001г. на базе ГУП НИИ "Восход" специалистами ОАО "Инфотекс" проведен технический семинар по теме "Виртуальные сети - универсальный метод защиты в локальных и глобальных IP-сетях".

Помимо специалистов НИИ "Восход", в семинаре приняли участие представители ассоциации "Сириус" (Ассоциация системной интеграции и разработки информационных управляющих систем), объединяющей на данный момент более пятидесяти ведущих российских hi-tech компаний.

На семинаре представители "Инфотекс" впервые представили новую Интернет-технологию создания защищенных подсистем доступа в Интернет с использованием распределенной системы сетевых экранов ViPNet.
Предлагаемое решение обеспечивает гарантированный безопасный выход в Интернет без физического выделения станций, работающих в глобальной сети и защищенное взаимодействие локальных сетей или отдельных компьютеров. Данное решение является серьезным прорывом в технологии безопасности информационных систем.

Технология подключения базируется на пакете программ "Корпоративная наложенная сеть ИНФОТЕКС" (торговая марка ViPNet), имеющем сертификат ГОСТЕХКОМИССИИ России о его соответствии 3 классу для межсетевых экранов и классу 1В для автоматизированных систем. Криптографическое ядро этого пакета программ ("Домен - К") имеет сертификат ФАПСИ по классам КС1 и КС2.

Подробности на странице http://www.infotecs.ru/new.htm

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.