Новости информационной безопасности (2008)

[lastmylove]

Для тех, кто хочет просто отдохнуть и узнать какие события происходят
в мире информационной безопасности.
Здесь только новости и никакого обсуждения.

Новости за предыдущие месяцы

(Новости взяты с сайтов www.securitylab.ru и www.cnews.ru )

[lastmylove]

Две «шестизначные» утечки в Пенсильвании: кража ПК с приватными данными

Утечки, затрагивающие более ста тысяч человек, специалисты называют «шестизначными». Как правило, такие случаи происходят не каждую неделю, однако если они все-таки случаются – то неизбежно вызывают широкий резонанс. С 10 по 16 сентября аналитический центр InfoWatch зафиксировал сразу три таких инцидента, причем один из них (в компании TD Ameritrade) относится к категории «миллионеров».
Министерство соцобеспечения Пенсильвании (Pennsylvania Public Welfare Department) не уследило за двумя настольными компьютерами, которые хранились в собственном офисе. В результате кражи компьютеров под угрозой оказались 375 тыс. человек, получавших субсидии на медицинскую помощь – на дисках систем содержались их истории болезни. Представители министерства надеются, что большинство людей никак не пострадают, поскольку информация об их личностях не хранилась в базе данных. Вместо фамилий применялись специальные коды, которые не дают никакой информации о пациентах.

Наибольшую опасность утечка представляет для 2 тыс. людей – их фамилии и номера социального страхования все-таки содержались в базе данных. При этом сама база была защищена сразу несколькими паролями. Эксперты InfoWatch предполагают, что такая защита не остановит профессиональных злоумышленников, поскольку данные никак не были зашифрованы. Пока же представители министерства заявляют о том, что у них нет доказательств нелегального использования похищенных данных, а заодно рассылают уведомления всем пострадавшим.

Прошедшая неделя не обошлась и без традиционной «кредитной» утечки. Ее виновником стала розничная сеть Gander Mountain, продающая товары для активного отдыха, охоты и рыбалки. В середине сентября Gander Mountain умудрилась потерять номера кредитных карт 112 тыс. клиентов магазина в городе Гринсбург (Greensburg), штат Пенсильвания. Причиной утечки стал украденный или потерянный компьютер. Интересно, что представители Gander Mountain даже не знают, что именно с ним произошло. Отметим, что 10 тыс. потерянных номеров сопровождаются другой важной «кредитной» информацией – именами и сроком действия карты. По мнению специалистов InfoWatch, подобной информации вполне достаточно для незаконных покупок в интернет-магазинах.

Представители Gander Mountain не сообщают, была ли потерянная информация зашифрована, что косвенно подтверждает обратное предположение. В результате инцидента пострадали все клиенты, закупавшиеся в магазине Гринсбурга с момента его открытия в 2002 г.

«Между этими случаями можно провести сразу несколько параллелей. Обе утечки произошли в Пенсильвании и обе оказались «двухуровневыми». Теперь обе пострадавшие организации должны защищать свои данные максимально эффективно. В противном случае, злоумышленники могут похитить недостающие сведения, и ущерб от утечек мгновенно возрастет на несколько порядков», - считает Денис Зенкин, директор по маркетингу компании InfoWatch.

[lastmylove]

Новый PureMessage для Microsoft Exchange блокирует исходящую почту

Sophos выпустила новую версию PureMessage для Microsoft Exchange - 3.0. Программа впервые позволяет блокировать исходящую конфиденциальную почту, поддерживает Microsoft Exchange 2007 и 64-битную версию Windows Server 2003.
Система создания отчетов пополнилась 25 новыми формами; улучшено качество графики отчетов. Включена интеграция с Active Directory для использования вместе с политиками работы с электронной почтой. Добавлена раздельная установка политик для входящей, исходящей и внутренней почты. Письма, содержащие конфиденциальные данные, попадают в карантин.

В октябре 2007 г. Sophos намерена добавить автоматическое обновление правил отсева спама в реальном времени («SXL»), пишет eWeek.com.

В PureMessage 3.0 также добавлена общая панель управления, отображающая состояние каждого сервера в кластере Microsoft Exchange.

[lastmylove]

Обычным пользователям запретят редактировать Wikipedia

Немецкое представительство крупнейшей онлайн-энциклопедии Wikipedia собирается ввести нововведение, согласно которому обычные пользователи не смогут редактировать материалы сайта.

Чтобы уменьшить количество недостоверных сведений в энциклопедии, право на изменение материалов будут иметь только специальные редакторы. Редакторами будут назначаться те пользователи, которые сделали 30 или больше достоверных правок в каких-либо статьях.

Обычные пользователи смогут лишь предлагать какие-либо изменения, но не осуществлять их, сообщает NYTimes.

На данный момент, 20 сентября, это нововведение действительно лишь для немецкого сайта Wikipedia.

[lastmylove]

Хостер «подарил» хакерам пароли 6 тыс. клиентов

Техасская компания веб-хостинга Layered Technologies сообщила о факте взлома и краже 6 тыс. записей о клиентах, включая реквизиты доступа к их веб-сайтам. Компания советует сменить пароли всем клиентам, подключившимся за последние два года.
Вторжение произошло вечером в понедельник, 17 сентября 2007 г., сообщает The Register. Хакеры проникли через систему поддержки, управляющую выдачей пользователям электронных квитанций об изменениях в учетной записи.

Похищенная информация может включать в себя имена, почтовые и электронные адреса, номера телефонов и реквизиты доступа. Однако компании точно не известно, сколько записей было похищено и были ли они похищены вообще. 6 тыс. записей – это то количество, которое стало доступно хакерам. Данные о платежных реквизитах находились в другой базе – доступ к ним не зафиксирован.

Взлом был совершен при помощи эксплуатации уязвимости в php-приложении Cerberus Helpdesk, где существует как минимум 11 уязвимостей.

[lastmylove]

В драйверах брандмауэров Norton, Kaspersky и Outpost найдены уязвимости

Matousec выпустила инструмент BSODhook для проверки уязвимости драйверов, работающих в режиме ядра. При помощи инструмента специалисты ИБ-компании выяснили, что многие драйверы брандмауэров уязвимы к повышению привилегий.
Драйверы режима ядра перехватывают системные функции в SSDT (System Service Descriptor Table) для наблюдения за работой системы. Они обеспечивают функциям своего рода «обертку»: драйвер сначала просматривает переданные параметры, а затем вызывает настоящую функцию. Часто эти «обертки» не проверяют граничные размеры входных параметров, что приводит к переполнению буфера при копировании параметров в буферы фиксированной длины, пишет Heise-security.co.uk.

По данным Matousec, те или иные ошибки были обнаружены в BlackICE PC Protection 3.6.cqn, G DATA InternetSecurity 2007, Ghost Security Suite beta 1.110 и alpha 1.200, Kaspersky Internet Security 7.0.0.125, Norton Internet Security 2008 15.0.0.60, Online Armor Personal Firewall 2.0.1.215, Outpost Firewall Pro 4.0.1025.7828 Privatefirewall 5.0.14.2, Process Monitor 1.22, ProcessGuard 3.410, ProSecurity 1.40 Beta 2 RegMon 7.04, и ZoneAlarm Pro 7.0.362.000. Большая часть перечисленных продуктов – последние версии, для которых еще не выпущены обновления.

[lastmylove]

CSI: инсайдеры впервые опередили вирусы

Ежегодный опрос американского Института компьютерной безопасности (Computer Security Institute, CSI) показал, что инсайдеры беспокоят современные компании значительно больше, чем вирусы. В традиционном исследовании «2007 CSI Computer Crime and Security Survey» приняли участие 494 специалиста по безопасности из государственных и частных организаций. Как выяснилось, 59% респондентов сталкивались в 2006 г. с инсайдерской угрозой и только 52% - с серьезной вирусной проблемой. Эксперты InfoWatch предполагают, что такое положение вещей вполне закономерно, и рано или поздно оно должно было сложиться.
Отметим, что проблемы с инсайдерами опередили вирусы впервые за всю историю существования опроса CSI. На третьем месте по опасности (50% респондентов) оказалась еще одна внутренняя угроза – потеря носителей с конфиденциальными данными (прежде всего, ноутбуков). Аналитический центр InfoWatch считает, что угроза потеря носителей может опередить вирусы уже в 2008 г., поскольку к этому имеются все предпосылки. По крайней мере, опасность данной угрозы неуклонно растет, а опасность вирусов, напротив, неуклонно падает.

В целом, только 46% респондентов признались, что они испытывали инцидент ИТ-безопасности за последний год. Этот показатель несколько уменьшился – в 2006 г. он составлял 53%, а в 2005 г. – 56%. По мнению специалистов InfoWatch, такая «положительная» динамика не говорит о снижении опасности угроз – а только подчеркивает, что злоумышленники стали гораздо умнее. Теперь им важно не только украсть информацию, но и сделать это незаметно для организации. Зачастую, именно так и происходит.

Интересно, что пятая часть респондентов, испытавших какие-либо атаки, заявили о том, что эти атаки были направленными. Другими словами, атаки все чаще «затачиваются» под отдельно взятую компанию с целью получения конкретной информации. В результате подобной «заточки» атаки становятся значительно опаснее, а также гораздо незаметнее. Последнее обстоятельство важно сразу с двух сторон – во-первых, вредоносный код не видят антивирусные компании и, во-вторых, об атаке не знает компания-жертва.

Однако главным итогом исследования является двукратный рост среднего ущерба от проблем с безопасностью – с $168 тыс. до $350 тыс. Отметим, что подобный рост зафиксирован впервые за последние пять лет – до 2007 г. ущерб от безопасности только падал. «Специалисты давно говорили о росте сложности кибератак и профессионализма мошенников. Однако только в нынешнем году этот рост трансформировался в реальный ущерб для компаний»,- заявил Роберт Ричардсон (Robert Richardson), автор исследования и директор CSI.

«Наконец-то, произошло то событие, которое должно было произойти. Еще лет пять назад было понятно, что инсайдерские угрозы опередят вирусы, но только сегодня эта тенденция оформлена официально. Мы находимся у истоков нового витка компьютерных угроз, связанных с внутренней безопасностью. Быть может, этот виток будет даже опаснее, чем череда вирусных эпидемий, которая наблюдалась на рубеже веков», - говорит Денис Зенкин, директор по маркетингу компании InfoWatch.

[lastmylove]

Yoggie обновила прошивку защитных устройств Gatekeeper и Pico

Израильская компания Yoggie Security Systems выпустила новую прошивку для «защитных компьютеров» Gatekeeper и Pico, 1.3.0. Обновленная прошивка представляет более дружественный пользовательский интерфейс. Также исправлены ошибки и добавлены новые функции.
В общей сложности, новая прошивка для Gatekeeper и Pico содержит 11 новых функций и 12 исправлений. Она обновляется автоматически, без вмешательства пользователя.

Основной доработке подвергся брандмауэр: теперь он позволяет осуществлять при помощи правил полный контроль над входящим и исходящим трафиком. Компонент перенаправления портов (Port Forwarding) в Gatekeeper также обновлен – для приведения в соответствие с улучшениями в брандмауэре.

Как сообщает DarkReading.com, в прошивку добавлены новые категории фильтрования веб-трафика, добавлена функция, позволяющая Gatekeeper SOHO выбирать между проводным и беспроводным соединениями. Увеличен контроль пользователя над движком Layer8 Security Engine и правилами для системы определения и предотвращения вторжений (IDS/IPS). Представлена более наглядная система отображения журналов, добавлены графические показатели уровня загрузки процессора и температуры процессора.

[lastmylove]

На eBay впервые выставили хакерские инструменты

Несколько хакерских инструментов было выставлено на продажу на крупнейшем онлайн-аукционе eBay. Это первый случай, когда софтверные продукты подобного рода предлагаются не на подпольных форумах, утверждает компания Tier-3, обнаружившая лоты.
По мнению технического директора Tier-3 Джефа Свини (Geoff Sweeney), это «серьезный прогресс» в мире киберпреступности – попытка выхода в массы. До сих пор закрытые форумы, где можно было купить хакерский инструментарий, тщательно оберегались от посторонних, и для входа на них требовались рекомендации.

«Фактически, это позволяет получить инструменты высокого уровня сложности, включая скрытые загрузчики троянов и утилиты для взлома веб-сайтов, любому пользователю, у которого есть учетная запись на eBay и PayPal», - прокомментировал открытие г-н Свини.

Впрочем, инструментарии для хакеров выставляются на аукцион не впервые, но до сих пор это были учебные материалы для этичных хакеров с некоторым количеством утилит, говорит технический директор Tier-3.

[lastmylove]

Хакер опубликовал эксплойт к уязвимости в Mac OS X

Более чем год спустя после заявления о возможности захвата системы Mac OS X через уязвимость в карте Wi-Fi открыватель уязвимости Дэвид Мейнор (David Maynor) опубликовал эксплойт.
Подробности атаки опубликованы в сентябрьском выпуске хакерского онлайн-журнала Uninformed.org. Длинный документ рассказывает, как можно несанкционированно внедрить код, используя Wi-Fi-драйвер AirPort.

По словам г-на Мейнора, Apple исправила уязвимость, о которой он сообщил компании, год назад, 21 сентября 2006 г., но не указала его имя в качестве благодарности за открытие. Вместо этого компания заявила, что уязвимость была найдена в ходе внутренней проверки кода, сообщает CSOOnline.com.

Г-н Мейнор и его коллега, исследователь Джон Элч (Jon Ellch), рассказали об уязвимости на конференции Black Hat в августе 2006 г., но не предоставили технических подробностей, за что были раскритикованы сообществом Apple.

Публикация была сделана, поскольку истек срок «соглашения о неразглашении», заявил г-н Мейнор. По его словам, исследователи найдут в тексте много полезной информации, в частности, о том, как отлаживать Wi-Fi-приложения и получать дампы ядра Mac OS X. Спустя некоторое время будет опубликован еще один документ, объясняющий, как писать программы, которые можно будет запускать с использованием уязвимости.

[lastmylove]

Toshiba отзывает 328 тыс. сетевых адаптеров

Японский производитель электроники Toshiba сообщил о бесплатной замене сетевых адаптеров питания портативных DVD-плееров, которые могут перегреваться и тем самым повреждать плееры, сообщается на малазийском портале MSN.com.
Всего под отзыв подпадает 328 тыс. адаптеров, проданных с портативными DVD-плеерами Toshiba SD-P1600 и SD-P1610 по всему миру. Около 73,5 тыс. устройств первой модели было продано только на территории Японии.

Компания получила четыре сообщения о перегреве адаптеров от японских пользователей. При этом отмечается, что в результате перегрева никто из них не получил травм. По словам пресс-секретаря Toshiba, после этого компания инициировала программу по бесплатной замене адаптеров в Японии, а также и в других странах в соответствии с законодательством.

Плееры, о которых идет речь, были произведены с февраля 2005 г. по январь 2006 г.

[lastmylove]

Symantec: cookie-файлы нарушают политику конфиденциальности

Исполнительный директор корпорации Symantec Джон Томпсон (John Thompson) считает, что Google и другие сайты, использующие куки (cookie), должны запрашивать у пользователя предварительное разрешение на их установку и использование.
Использование куки для сбора данных о пользователе, по словам г-на Томпсона, «равносильно подглядыванию в окно спальни». Однако эти небольшие файлы, которые отправляются на сайт при посещении веб-страницы, используются практически всеми крупными сайтами, включая саму Symantec, сообщает агентство Associated Press.

Помимо данных, необходимых для запоминания имени пользователя и пароля, сайты часто хранят своеобразный профиль, записывающий те или иные данные о поведении пользователя. Данные используются, в частности, для отображения рекламы, соответствующей интересам пользователя. «Я думаю, что должна существовать опция предварительного согласия (opt-in), доступная каждому посетителю», - считает г-н Томпсон. Он заявил об этом в Брюсселе, выступая перед регулирующими органами Евросоюза по вопросам конфиденциальности и безопасности интернета. Глава Symantec призвал Еврокомиссию потребовать от сайтов ввести обязательную систему предварительных запросов на установку куки.

[lastmylove]

Наноспутниками можно будет управлять через мобильник с помощью SMS

Институт космического приборостроения (РНИИ КП) создает серию наноспутников, управляемых через мобильник с помощью SMS-сообщений, сообщил на научно-практической конференции "Микротехнологии в авиации и космонавтике" заместитель генерального конструктора РНИИ КП Арнольд Селиванов.
"Уже создан и прошел летные испытания при ручном запуске с борта МКС космонавтом Салижаном Шариповым наноспутник ТНС-0 номер 1, на котором была впервые испытана новая технология управления полетом через спутниковую систему "Глобалстар". При этом Центр управления полетом состоял из ноутбука с подключенным мобильным телефоном системы "Глобалстар". Мы даже брали этот ЦУП домой на майские праздники и оттуда взаимодействовали со спутником посредством передач SMS-сообщений", - рассказал Селиванов.

По его словам, в настоящее время РНИИ КП разрабатывает следующие образцы наноспутников: ТНС-0 номер 2 для продолжения отработки технологии управления через систему "Глобалстар" через мобильный телефон, а также наноспутник ТНС-1, предназначенный для отработки технологии построения космической системы дистанционного зондирования земли среднего разрешения и спутник ТНС-2 с магнитной системой ориентации для выполнения различных научно-исследовательских задач.

Вывод на орбиту наноспутника ТНС-0 номер 2 в кооперации с Бременским университетом (Германия) запланирован на 2008 год, а запуск следующих наноспутников планируется в конце 2008 и в 2009 годах.

По словам Селиванова, развитие технологий миниатюрных космических аппаратов уже вступило в фазу, когда от достижения единичных прорывных результатов и от стремления "удивить мир созданием непривычно малоразмерных спутников весом от 1 до 10 килограммов разработчики переходят к планомерной работе по созданию штатных космических систем на базе сверхмалых космических аппаратов и применению таких спутников для очень недорогой и быстрой по времени отработке перспективных решений, которые будут реализованы в будущем на полноразмерных космических аппаратах".

rian.ru

[lastmylove]

Хакерские утилиты продаются на eBay

Коммерческие хакерские разработки добрались до онлайнового аукциона eBay. Как сообщает антивирусная компания PC Tools, на eBay было замечено большое количество самых разнообразных вредоносных программ – от троянов до кейлоггеров. В ряде случаев хакерские утилиты стоят весьма недорого или вообще бесплатны, при этом содержат подробное описание использования, что позволяет даже неопытному пользователю организовывать успешные атаки. Как отмечается, из-за масштабов работы аукциона невозможно отслеживать и своевременно блокировать вредоносные лоты. Однако хорошая новость состоит в том, что аукционы с хакерскими утилитами пользуются чрезвычайно низкой популярностью – видимо, в основной массе пользователи eBay отдают себе отчет в опасности применения подобных разработок.
Продажа хакерских разработок постепенно становится выгодным бизнесом, что подтверждает постоянный мониторинг компанией PandaLabs различных форумов и порталов. С начала только этого года в свободной продаже были обнаружены мощные утилиты создания вредоносных модулей, рассылки спама или использования эксплойтов - Mpack, XRummer, Zunker, Barracuda, Pinch и многие другие инструменты, предлагающие интерфейс, доступный для освоения пользователю, не имеющему глубоких знаний в области компьютерной безопасности. Так как кризиса нового компьютерного рынка пока не предвидится, пользователям лишь остается не забывать об установке антивирусов и их регулярном обновлении.

techlabs.by

[lastmylove]

MPAA собирается привлечь провайдеров к борьбе с пиратством

Американская ассоциация кинокомпаний (MPAA), рассчитывает привлечь к борьбе с пиратством в интернете провайдеров и телекоммуникационные компании.
По словам главы МРАА Дэна Гликмэна, интернет-провайдеры должны быть заинтересованы в снижении уровня пиратства в Сети, поскольку интенсивный обмен нелегальными копиями файлов большого размера создает значительные нагрузки на каналы связи. Кроме того, многие из провайдеров так или иначе связаны с бизнесом по распространению медиаконтента, а поэтому засилье пиратства только мешает работе легальных веб-сервисов.

Примечательно, что один из членов МРАА, главный юрисконсульт корпорации NBC Universal Рик Коттон, даже предложил обратиться за помощью к властям, с тем чтобы те обязали интернет-провайдеров осуществлять фильтрацию нелегальных материалов в своих сетях. По мнению Коттона, обуздать пиратство удастся только при активной поддержке со стороны сервис-провайдеров.

Кстати, по крайней мере, одна американская телекоммуникационная компания уже рассматривает возможность введения механизмов фильтрации. Речь идет об AT&T, которая в перспективе может начать использовать специальные средства для удаления нелегальных файлов из своей сети. Правда, окончательное решение по данному вопросу пока не принято.

Нужно заметить, что согласно статистике, в прошлом году пиратство в интернете обошлось голливудским киностудиям в 2,3 миллиарда долларов. Для сравнения, продажи контрафактных DVD-дисков в 2006 году нанесли ущерб в размере 3,8 миллиарда долларов США.

compulenta.ru

[lastmylove]

Гигантская бот-сеть атакует антиспамерские службы

Проект Spamhaus отбивается от DoS-атак, устроенных Storm, уже в течение двух месяцев. Аналогичная напасть постигла сервис Surbl.org, который составляет чёрные списки спамеров. Как отмечаются сотрудники проекта Spamhaus, им пока удаётся справляться с наплывом вредоносного трафика (в отличие от обычных DDoS-атак, Storm засылает не "мусорные" пакеты, а бессмысленные URL-запросы), но это противостояние требует постоянных усилий.
Создателям Storm удалось уже создать исполинскую бот-сеть, количество заражённых компьютеров в которой может составлять, по некоторым оценкам, до 50 миллионов, - а это значит, что вычислительная мощь такой бот-сети превосходит даже самые мощные суперкомпьютеры.

Теоретически это означает, что в случае необходимости бот-сеть Storm может вывести из строя сеть любой коммерческой компании, отмечает InformationWeek со ссылкой на Адама Суидлера, старшего менеджера Postinin, компании, занимающейся вопросами сетевой безопасности. Если вся мощь сети Storm будет нацелена на какую-то одну цель, то, по мнению Свидлера, Yahoo и Bank of America, быть может, и выстоят, но все, чьи сети защищены слабее, понесут значительный ущерб.

Троян Storm (он же Peed, он же Peacomm, он же NuWar, он же Zhelatin) предположительно имеет российское происхождение, - во всяком случае, так утверждает фирма MessageLabs. Вирус довольно старый, однако время от времени антивирусные компании фиксируют резкие всплески его активности, как правило, вследствие массовых рассылок, осуществляемых злоумышленниками.

compulenta.ru