Новости сетевой безопасности, все новости по сетевой безопасности
14.08.2008 - 12:25 |
clon31
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 4.012 Регистрация: 4.11.2005 Из: На данный момент Бетельгейзе 3 :) Пользователь №: 62.555
Респектов: 1616
| Google рассказал об июльской вирусной эпидемии График рассылки писем с вирусами и ссылками на нихК концу июля число писем, содержащих вирусы, вредоносные программы, а также ссылки на них, выросло по сравнению с обычным в несколько раз, говорится в блоге Google для корпоративных клиентов, где опубликован краткий анализ почтового трафика за прошедший месяц. » Нажмите, для открытия спойлера | Press to open the spoiler « Судя по представленному поисковиком графику, на протяжении 2008 года ежедневное число "вредных" писем, адресованных клиентам Google, редко превышало два миллиона. 24 июля этот показатель вырос до почти 10 миллионов писем. С этими письмами распространялась ссылка на отслеживание посылки, якобы отправленной через службу UPS. На поддельном сайте пользователям предлагалось скачать ПО, которое оказывалось вредоносной программой.
Google отмечает, что многие рассылки теперь не прикладывают вредоносную программу к письму, а лишь дают на нее ссылку, маскируя ее, например, под новости о последних событиях. Тем не менее, "традиционные" методы заражения также используются. В частности, 5 августа было обнаружено большое число сообщений с зашифрованными RAR-аттачами.
Данные Google основаны на информации серверов компании Postini, занимающейся хранением почты пользователей на своих серверах и обеспечением безопасности корпоративной почты. Google купил Postini в 2007 году.
Источник: lenta.ru | |
| |
15.08.2008 - 13:59 |
Солнышко
Солнышко в ваших Windows
[SoftoRooMTeaM]
Группа: Администраторы Сообщений: 3.352 Регистрация: 16.03.2007 Пользователь №: 357.317
Респектов: 1219
| В интернете обнаружен новый троян, шифрующий файлы пользователей Компания "Доктор Веб" предупреждает о появлении новой троянской программы Encoder.19, которая после проникновения на машину жертвы, шифрует пользовательские файлы.
Троян Encoder.19 по принципу работы аналогичен вредоносной программе Gpcode, обнаруженной "Лабораторией Касперского" в начале лета. После попадания на машину Encoder.19 сканирует все несъемные накопители и шифрует файлы с расширениями .jpg, .psd, .cdr, .mov, .doc, .xls, .ppt, .rar, .zip, .mp3, .pdf и многими другими. То есть, владелец инфицированного компьютера фактически лишается доступа ко всей своей информации, в том числе к фотографиям, документам, фильмам, музыке и архивам. После выполнения операций шифрования троян Encoder.19 оставляет на жестком диске файл crypted.txt, в котором предлагает пользователю заплатить за дешифратор 10 долларов.
Впрочем, эксперты по вопросам компьютерной безопасности традиционно не рекомендуют пользователям, чьи компьютеры пострадали от трояна, платить шантажистам. Компания "Доктор Веб" для восстановления зашифрованных файлов предлагает воспользоваться специально разработанной бесплатной утилитой te19decrypt.exe.
В процессе работы утилита te19decrypt.exe создает рядом с закодированными файлами их расшифрованные версии без окончания .crypt. При этом компания "Доктор Веб" подчеркивает, что зашифрованные файлы удалять не следует, поскольку не исключена возможность некорректной расшифровки.
Компьюлента | |
| |
19.08.2008 - 17:08 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| В Windows активно эксплуатируется уязвимость нулевого дня Цитата | Quote Обнаружена уязвимость в утилите nslookup.exe, которая используется для опроса, тестирования и поиска неисправностей в DNS серверах. Уязвимость существует из-за неизвестной ошибки при обработке ответов DNS серверов. Удачная эксплуатация уязвимости позволит злоумышленнику выполнить произвольный код на целевой системе с привилегиями пользователя, запустившего nslookup.exe. Неудачные попытки эксплуатации приведут к аварийному завершению работы приложения.
9 августа на аргентинском сайте www.nullcode.com.ar Иван Санчес (Ivan Sanchez) опубликовал видео, демонстрирующее эксплуатацию уязвимости в nslookup.exe.
Согласно Securityfocus, эта уязвимость активно эксплуатируется злоумышленниками.
В вебкасте, посвященном бюллетеням безопасности за август, Microsoft заявила, что ей известно об уязвимости в nslookup.exe и сейчас компания работает на изучением уязвимости.
SecurityLab рекомендует читателям не использовать утилиту для подключения к серверам, которые вам не принадлежат, и не запускать утилиту с привилегиями административной учетной записи. Источник_ http://www.securitylab.ru/ | |
| |
20.08.2008 - 9:34 |
clon31
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 4.012 Регистрация: 4.11.2005 Из: На данный момент Бетельгейзе 3 :) Пользователь №: 62.555
Респектов: 1616
| За веб-атаку на буфер обмена отвечает Flash-ролик По сообщению сразу нескольких антивирусных компаний, за новую веб-атаку, связанную с отравлением буфера обмена, ответственен flash-ролик со встроенным скриптом, реализованном на языке ActionScript. Напомним, что данная атака является универсальной и ей подвержены пользователи всех современных настольных операционных систем, имеющих графический интерфейс... Атака направлена на такую популярную функцию как "копировать/ставить" (copy/paste): при помощи веб-скритов злоумышленники "подселяют" в буфер обмена операционной системы ссылку или ссылки на злонамеренный сайт с размещенным хакерским ПО. В настоящий момент пользователи на форумах сайтов Apple, Digg, Newsweek и MSNBC активно обсуждают источники возникновения атаки. По последним сведениям, в сети появился ряд скрпитов, выполнение которых подселяет в буфер обмена ссылку на сайт, где хакеры предлагают загрузить лже-антивирус. Пользователи отмечают, что дополнительная опасность атаки заключается в том, что злонамеренная ссылка "намертво прописывается в буфере" и удалить ее можно лишь через полную перезагрузку системы, а это иногда невозможно. Пока ни у экспертов по безопасности, ни у пользователей на форумах нет исходников скриптов, провоцирующих атаку, однако исследователь Авив Рафф из компании Raffon написал собственный концептуальный скрипт, в котором в буфер подселяется ссылка на сайт www.evil.com. Пробный образец скрипта расположен по адресу _//raffon.net/research/flash/cb/test.html Источник: cybersecurity.ru | |
| |
23.08.2008 - 11:53 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| Серверы инфраструктуры Fedora и Red Hat были взломаны Цитата | Quote Неделю назад в списке рассылки анонсов проекта Fedora был опубликован призыв не производить загрузку или обновление пакетов до специального объявления. Сегодня работа серверов была полностью восстановлена, а причины проблем раскрыты. Сообщается, что проблемы затронули не только Fedora, но и серверы Red Hat. Злоумышленники неизвестным способом получили контроль над машинами и смогли сформировать цифровые подписи для нескольких фиктивных пакетов с OpenSSH, ключами от RHEL 4 и RHEL 5. В репозиториях Fedora и Red Hat пакетов с нарушенной целостностью отмечено не было. Причина утечки пароля для подписывания пакетов так и не была установлена. Скрипт для выявления фиктивных openssh пакетов представлен на странице ( http://www.redhat.com...lacklist.html) (риск получить фиктивное обновление openssh имеют клиенты Red Hat обновляющие систему не через Red Hat Network). В настоящее время работа всех серверов восстановлена, на взломанных машинах было полностью переустановлено программное обеспечение. Цифровые ключи для подписывания пакетов Fedora и Red Hat совершенно разные и не пересекаются в работе, поэтому утечка обоих ключей маловероятна. Тем не менее, принято решение об изменении всех ключей для формирования цифровой подписи пакетов. Разработчики проекта CentOS опубликовали информационное письмо, в котором уверили пользователей, что атака на Fedora и RedHat не затронула проект CentOS. Для проверки был проведен аудит системы сборки и подписывания пакетов, также были проанализированы исходные тексты двух последних версий пакета с openssh. Серверы инфраструктуры CentOS находятся за многоступенчатым межсетевым экраном и доступны для входа лишь для небольшого числа разработчикв с заранее оговоренного списка адресов. Источник_ http://www.mail-archive.com/ | |
| |
24.08.2008 - 21:10 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| Европейские криптологи наши уязвимость в ГОСТ Р 34.11-94 Цитата | Quote Конференция Crypto 2008 продемонстрировала значительный прогресс криптологов в деле анализа и взлома hash-функций. В частности была представлена модель атаки на ГОСТ Р 34.11-94 - российский криптографический стандарт вычисления хэш-функции. Также специалисты продемонстрировали первый практически реализуемый взлом сокращенного варианта SHA-1 методом инверсии, на основе которого можно можно из хеша вычислить исходный пароль.
ГОСТ Р 34.11-94 до сих пор считался одним из самых защищенных криптографических стандартов. Но теперь объединенная команда специалистов Технологического Университета из города Граз (Австрия) и Варшавского Военного Технологического университета нашли неожиданную техническую уязвимость и использовали ее для проведения атаки. В результате коллизионная атака завершилась в 2^23 раза быстрее, чем ожидалось. Суть коллизионной атаки заключается в подборе случайной строки, хеш-функция которой совпадает с заданной.
Для сравнения первая успешная коллизионная атака на SHA-1 уменьшила число требуемых вариантов перебора в 2^11 раз, до 2^69 вместо 2^80. Но ГОСТ Р 34.11-94 пока еще рано сбрасывать со щитов: при результирующей сумме размером 256 бит потребуется 2^105 итераций для полной расшифровки исходной строки. Способности современной вычислительной техники пока не позволяют выполнять вычисления такого уровня в реальные сроки.
Все известные атаки на хеш-функции, такие как SHA-1 и теперь ГОСТ Р 34.11-94, были коллизионными атаками. Проведение их на практике имеет смысл только в случае цифровой подписи документов, причем если взломщик имеет доступ к не подписанному оригиналу. Использование криптоалгоритмов для других целей, таких как защита паролей, не подвержено влиянию описанной атаки, поэтому организация по стандартам США - NIST продолжает рекомендовать SHA-1 для этих целей.
Хотя большинство криптоатак пока что представляют чисто теоретическую угрозу, необходимо помнить, что усилия по анализу хеш-функций еще достаточно далеки от адекватных и значительный прорыв в этой области в будущем не может быть исключен. Принимая во внимание ведущийся поиск кандидатуры на стандарт 2012 года SHA-3, задача выбора наилучшей хеш-функции становится как никогда остро. Источник_ http://www.heise-online.co.uk/ | |
| |
26.08.2008 - 9:59 |
clon31
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 4.012 Регистрация: 4.11.2005 Из: На данный момент Бетельгейзе 3 :) Пользователь №: 62.555
Респектов: 1616
| Поддельные torrent-клиенты распространяют злонамеренный код В антивирусной лаборатории PandaLabs сообщили об обнаружении двух P2P-инсталляторов приложений, BitRoll-5.0.0.0 и Torrent101-4.5.0.0, использующихся для установки на пользовательские компьютеры рекламного кода Lop. Эти программы предназначены для обмена файлами между удаленными пользователями, и их можно скачать из интернета. Таким образом, они доступны для всех пользователей, что упрощает процедуру заражения. » Нажмите, для открытия спойлера | Press to open the spoiler « Для установки вредоносных кодов кибер-преступники также используют и другие зараженные приложения, такие как, например, программа wavesoftwarecreative.exe (которая выдает себя за аудио ПО) или bitdownloadsetup.exe.
Код Lop предназначен для вывода на экран рекламы из различных источников (всплывающие окна, баннеры и т.д). Он также обладает способностью подменять домашнюю страницу Internet Explorer своим поисковиком. При обработке пользовательских запросов данным поисковиком, пользователь, в результате поиска, получает список рекламных страниц, содержащих запрашиваемые слова.
Чтобы избежать обнаружения, данный рекламный код периодически связывается с веб-страницей, с которой загружает обновления, содержащие разновидности кода, что затрудняет удаление всех активных вредоносных файлов из системы.
Если пользователи попытаются использовать программы по назначению, то обнаружат, что работает только поиск файлов, а процедура скачивания не доступна.
“Очень часто пользователи невольно дают согласие на установку рекламных кодов, не обращая внимания на приложения к лицензионным соглашениям к другим программам”, - объясняет Луис Корронс, технический директор PandaLabs. “Однако в данном случае, прямого упоминания, что устанавливается именно Lop, в соглашении вы не найдете”.
Источник: cybersecurity.ru | |
| |
26.08.2008 - 12:20 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| Расширение к Firefox 3 для проверки SSL HTTP соединений Цитата | Quote Для Firefox 3 представлено расширение perspectives, предназначенное для дополнительной проверки SSL HTTP соединений и выявления подставных SSL серверов. При соединении расширение обращается к доверительному внешнему серверу, который дополнительно запрашивает параметры SSL аутентификации открываемого сайта. После чего, независимо полученные параметры локального и внешнего запросов сверяются, что позволяет обнаружить атаки выполняемые через организацию подставного сервера-посредника.
Дополнительно, расширение помогает в работе с сайтами, на которых используются самодельные (self-signed), не заверенные внешним арбитром, сертификаты. Для таких сайтов perspectives автоматически определяет валидность сертификатов, избавляя пользователя от появления надоедливых окон с предупреждениями. Источник_ http://www.cs.cmu.edu/ | |
| |
27.08.2008 - 12:30 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| US-CERT предупреждает о продолжающейся атаке на Linux-системы Цитата | Quote Американское полугосударственное агентство компьютерной безопасности US-CERT (U.S. Computer Emergency Readiness Team) предупреждает об основанных на краже или взломе SSH-ключей "активных атаках" на Linux-системы. Атаки используют украденные ключи для получения исходного доступа к системе, чтобы затем, используя локальные уязвимости ядра, получить рутовый доступ и установить руткит, известный как phalanx2 (модификацию известного с 2005 года руткита phalanx). Он позволяет взломщику скрывать файлы, процессы и сокеты и включает в себя сниффер, tty-бэкдор и автоматическую самозагрузку при старте системы. Особенности работы руткита и возможные методы его обнаружения можно посмотреть на сайте US-CERT.
Для уменьшения опасности подвергнуться атаке, CERT рекомендует по возможности использовать пароли для доступа к системе вместо SSH-ключей, а также проверить системы аутентификации и наложить все необходимые патчи. Если подтвердится предположение, что атаки используют недавно выявленную уязвимость генератора случайных чисел в Debian, агентство, возможно, порекомендует отказаться от аутентификации по SSH-ключам и провести полный аудит затронутых систем. Источник_ http://blogs.zdnet.com/ | |
| |
7.09.2008 - 23:37 |
clon31
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 4.012 Регистрация: 4.11.2005 Из: На данный момент Бетельгейзе 3 :) Пользователь №: 62.555
Респектов: 1616
| Пользователи сети Facebook рискуют стать участниками огромной бот-сети Исследователи из Института компьютерных наук ICS создали на базе предоставленной социальной сетью Facebook платформы для разработчиков концептуальное приложение, теоретически способное сделать из пользователей этой сети участников огромной хакерской бот-сети. Разработчики написали демо-приложение под названием Photo of the Day, которое доставляет пользователям разнообразные изображения из фотобанка издательства National Geographic, однако в фоновом режиме работает специально сгенерированный злонамеренный код, который создает из пользователей Facebook ботов, используемых для проведения DoS-атак на различные серверы. » Нажмите, для открытия спойлера | Press to open the spoiler « "Мы поместили специальный код в исходники приложения, поэтому каждый раз, когда пользователи просматривают фото, HTTP-запрос генерируется и отсылается на сервер-жертву. Более того, в приложении штатными средствами Facebook был размещен скрытый фрейм, который запрашивает данные с сервера-жертвы. Каждый раз, когда пользователь щелкает по картинке серверу-жертве приходится обработать данные в размере 600 кб, однако пользователи совершенно не в курсе этого", - говорят исследователи.
По словам авторов метода, созданный ими метод довольно прост и вряд ли злоумышленники будут его использовать, однако сам тот факт, что штатными средствами и API Facebook можно сделать такое настораживает.
"Наверняка, злоумышленники создали бы более сложную и многоходовую комбинацию с использованием JavaScript и возможностей Facebook", - отмечают в ICS.
Еще более настораживающим выглядит тот факт, что ни администрация сервиса, ни пользователи подвоха не заметили и за пару дней без какой-либо рекламы приложение запускали более тысячи раз.
"Такими темпами нагрузить сервер-жертву гигабайтами мусорного трафика в день не составит никакого труда", - отмечают исследователи.
В ICS говорят, что уже предоставили свой отчет компании Facebook.
"Провайдеры социальных сетей должны быть очень осторожны, когда проектируют их платформы для разработчиков. Особенно осторожными нужно быть, когда клиенту позволяется встраивать такие технологии, как JavaScript. Оператор социальной сети должен предоставить разработчикам очень строгий API, который позволяет использовать только те ресурсы, которые непосредственно относятся к сети", - отмечается в докладе ICS.
Источник: cybersecurity.ru | |
| |
|
|