Новости сетевой безопасности, все новости по сетевой безопасности
29.08.2009 - 16:49 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| Web-сервер проекта Apache подвергся взлому (дополнительные подробности!) Цитата | Quote Администраторы Apache Software Foundation в экстренном порядке произвели изменение в DNS зоне apache.org, перенаправив запросы основного web-сервера проекта на запасное зеркало в Европе. Пользователи, у которых старый IP сайта www.apache.org все еще находится в DNS кэше, могут увидеть пустую страницу с уведомлением в блокировке работы сайта в связи со взломом.
Подробности пока неизвестны, в уведомлении рассказано только о том, что ряд серверов пришлось отключить от сети из-за обнаружения следов проникновения злоумышленников. По предварительным данным, проникновение было организовано через украденный у одного из разработчиков SSH-ключ, а не через неизвестную уязвимость в http-сервере Apache.
Дополнение: команда разработчиков, обслуживающих инфраструктуру Apache, опубликовала информационное письмо с изложением подробностей. Взлом был совершен через перехваченный SSH-ключ, используемый для резервного копирования с привлечением стороннего провайдера. Злоумышленникам удалось разместить CGI-скрипт на сервере, данные с которого синхронизируются с данными на рабочих серверах проекта, после завершения очередной синхронизации, через обращение к этому скрипту атакующие добились выполнения своего кода на сервере eos.apache.org. После выявления постороннего процесса, администраторы осуществили откат на серверах инфраструктуры проекта на ZFS-снапшот, созданный до момента синхронизации с взломанным хостом.
Злоумышленникам не удалось получить привилегии суперпользователя и изменить файлы с архивами программ, доступные для загрузки с сайта. Тем не менее, несмотря на отсутствие доказательства изменения файлов и уверение о том, что атака никаким образом не повлияла на пользователей проекта, разработчики рекомендуют при загрузке программ с apache.org обязательно провести сверку полученных архивов по цифровым сигнатурам. Источник_ https://blogs.apache.org/ | |
| |
30.08.2009 - 12:38 |
clon31
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 4.012 Регистрация: 4.11.2005 Из: На данный момент Бетельгейзе 3 :) Пользователь №: 62.555
Респектов: 1616
| В интернете опубликованы исходники трояна, перехватывающего звонки Skype Очередные плохие новости для VOIP-телефонии: в интернете опубликованы исходные коды троянца, способного перехватывать и записывать в качестве mp3-файлов данные переговоров Skype. Эксперты говорят, что сейчас в частном и деловом секторах люди все активнее пользуются средствами голосовой телефонии, в том числе и передачи данных не предназначенных для публичной огласки. Коды были опубликованы швейцарским разработчиком программного обеспечения Рубеном Уттереггером на его собственном сайте Megapanzer.com. Сам разработчик говорит, что создал программу для перехвата шифрованных skype-данных, когда работал на компанию ERA IT Solutions. В сообщении на сайте он отмечает, что цель написания кода заключается не в желании слушать чужие переговоры, в желании показать "темные стороны" популярных программ IP-телефонии. » Нажмите, для открытия спойлера | Press to open the spoiler « "Полностью коды разработки я опубликую через день-два, их можно свободно использовать, проблем с копирайтом не будет, так как компания предоставила мне на разработку все права", - говорит он. По словам программиста дополнительные "день-два" необходимы для того, чтобы ведущие антивирусные компании провели сигнатурный анализ кодов и включили их в свои антивирусные базы.
"Написанный код прост и элегантен. Нужно понять, что создание злонамеренных программ - это не космические исследования, если вы здесь ждете чего-то удивительного, то вы ошибаетесь. Бекдор получает инструкции из дропзоны и транслирует их в аудио-файлы. Система перехвата срабатывает на заголовки Skype, выделяет их и делает базовые дампы памяти и аудиопотоки, кодируемые в MP3", - рассказывает Уттереггер.
На данный момент код трояна пока не полностью закончен. "Я удалил системный плагин из бекдора, нет здесь и системы обхода файерволла. Оба эти компонента будут опубликованы позже", - говорит он.
В компании Symantec подтвердили факт получения трояна Peskyspy. В финской F-Secure идентифицировали новинку, как бекдор.
Стоит отметить, что подобные skype-трояны уже не новость. Ранее ряд источников в немецкой полиции сообщали о появлении в отделе по борьбе с компьютерными преступлениями Баварии кода под неофициальным названием DigiTask. Тогда сообщалось, что разработка предназначена для поиска преступников, использующих Skype. Исходников этой разработки или ее бинарной версии в интернете нет.
Источник: _www.cybersecurity.ru | |
| |
31.08.2009 - 0:03 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Троянцы научились отсылать украденные пароли через «аську» Исследователи из лаборатории FraudAction Research Lab компании RSA обнаружили новые особенности в поведении троянца Zeuss, известного также под названиями Torpig и Mebroot. Теперь этот троянец отправляет похищенные реквизиты банковских счетов с помощью протокола Jabber, который обычно используется для интернет-пейджеров.» Нажмите, для открытия спойлера | Press to open the spoiler « То, что похитители банковских реквизитов переходят на инструменты ускоренной передачи данных, является серьезным сигналом для специалистов по безопасности, а также для конечных пользователей. Все больше и больше банков переходят на одноразовые пароли для выполнения транзакций. Злоумышленники отреагировали на новую технологию и теперь получают возможность похищения денег до того, как пользователь завершить очередной сеанс работы с банковским веб-приложением.
Раньше троянцы отправляли похищенные пароли и реквизиты на специальный сервер-«отстойник», где их потом находили злоумышленники. Похищенные данные перепродавались, либо использовались напрямую для похищения денег со счетов добропорядочных граждан. Развитие онлайн-банкинга привело к тому, что время существования похищенных данных сокращается до минимума – пока злоумышленники, которые не всегда имеют выход в Интернет, доберутся до «отстойника», данные теряют актуальность.
Переход на протоколы Интернет-пейджеров символизирует новый этап в развитии троянцев – специальные PHP-сценарии вируса отправляют украденную информацию напрямую преступникам. Теперь реакция злоумышленников может быть мгновенной: вы заходите на сайт своего банка с зараженного компьютера, а в это время преступники уже видят ваши реквизиты в специальной программе, получая некоторое время для похищения денег с вашего счета с использованием актуального одноразового пароля. Пока вы просматриваете состояние своего счета, у злоумышленников хватает времени для выполнения всех своих действий от вашего имени.
Такое важное изменение в поведении троянцев поднимает важность антивирусов и других инструментов для борьбы с вредоносным ПО на совершенно новый уровень – заражение может оказаться совершенно незаметным. Кроме того, в новых троянцах используются гибкие сценарии и дублирование информации по электронной почте. Специалистам RSA удалось обнаружить две разновидности троянца Zeus – одна охотилась за реквизитами пользователей только одного финансового учреждения в США, а другая - за реквизитами сразу в пяти банках. Интересно, что конкурирующий троянец под названием Sinowal применяет такую же технологию ускоренной отправки похищенных реквизитов еще с прошлого года. По материалам The Register | |
| |
6.09.2009 - 14:52 |
stells27
Новичок
Группа: Пользователи Сообщений: 13 Регистрация: 6.01.2007 Пользователь №: 303.086
Респектов: 0
Предупреждений:
| Wi-Fi-сеть на оборудовании Cisco можно «угнать»
В оборудовании Cisco найдена уязвимость, позволяющая «угнать» точку доступа у какой-либо организации, которая ее использует. Об это сообщили специалисты подразделения Intrusion Research компании AirMagnet, занимающейся выпуском средств тестирования и мониторинга оборудования для построения беспроводных локальных вычислительных сетей.
AirMagnet проинформировала Cisco об этой уязвимости, и Cisco уже приступила к работе по ее устранению. Специалисты AirMagnet рекомендуют владельцам локальных сетей на базе оборудования Cisco не использовать функцию OTAP и задействовать выделенную систему IDS, подобную AirMagnet Enterprise, которая способна обнаруживать осуществляемый с помощью хакерских средств перехват передаваемой информации и предупреждать персонал об угрозе вторжения. | |
| |
8.09.2009 - 18:50 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| Windows Vista/7: SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote B.S.O.D Цитата | Quote Laurent Gaffié в своем блоге опубликовал эксплойт, использующий уязвимость в новом smb-драйвере, входящем в состав Windows Vista и Windows7. Специально сформированный заголовок smb-пакета позволяет удаленно вызвать BSOD на атакуемой машине. Microsoft поставлены в известность, но никаких патчей до сих пор нет. Единственным способом защиты на данный момент является закрытие smb-портов фаерволлом. Источник_ http://g-laurent.blogspot.com/ | |
| |
9.09.2009 - 21:21 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| Выполнение произвольного кода в реализации TCP/IP в Microsoft Windows Цитата | Quote Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за недостаточной очистки информационного статуса TCP пакетов в TCP/IP стеке. Удаленный пользователь может с помощью специально сформированного TCP/IP пакета заставить TCP/IP стек ссылаться на поле в качестве указателя функции и выполнить произвольный код на целевой системе.
Версия Windows: Microsoft Windows Vista Microsoft Windows 2008
Опасность: Высокая Источник_ http://www.securitylab.ru/ | |
| |
10.09.2009 - 6:25 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| Отказ в обслуживании в реализации TCP/IP в Microsoft Windows Цитата | Quote Обнаруженные уязвимости позволяют удаленному пользователю произвести DoS атаку.
1. Уязвимость существует из-за ошибки при обработке большого количества установленных TCP соединений. Удаленный пользователь может с помощью специально сформированных пакетов, с установленным размером получающего TCP окна в слишком низкое значение или 0, вызвать отказ в обслуживании.
2. Уязвимость существует из-за того, что TCP/IP стек позволяет неопределенное время существования для FIN-WAIT-1 и FIN-WAIT-2 статуса. Удаленный пользователь может с помощью большого количества специально сформированных TCP пакетов с размером получающего окна, установленного в слишком низкое значение или 0, вызвать отказ в обслуживании.
Версия Windows: Microsoft Windows 2003 Microsoft Windows Vista Microsoft Windows 2008 Источник_ http://www.securitylab.ru/ | |
| |
14.09.2009 - 0:27 |
dimusik
Born in the USSR
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.862 Регистрация: 9.09.2006 Из: Mogilev Пользователь №: 224.934
Респектов: 3938
| Обнаружен ботнет из серверов на базе Linux Независимый российский ИТ-специалист Денис Синегубко обнаружил кластер, состоящий исключительно из Linux-серверов, зараженных ранее неизвестным вредоносным кодом. Данный ботнет из Linux-серверов занимается распространением вредоносного программного обеспечения. » Нажмите, для открытия спойлера | Press to open the spoiler « В свое блоге Синегубко пишет, что каждая из инфицированных машин представляет собой выделенный или виртуальный выделенный сервер, на базе которого работает легитимный веб-сайт. Однако есть у данной бот-сети и еще одна особенность - инфицируются здесь только сайты, работающие на связки Apache - Nginx, являющейся довольно популярной в Рунете.
Исследователь отмечает, что данный ботнет состоит только из серверов. Причем этот серверный ботнет может взаимодействовать с классическими ботнетами из домашних настольных ПК.
В блоге также говорится, что все инфицированные машины обслуживали 80-й порт, используемый для работы веб-сайтов, однако на заднем фоне сервер отправлял вредоносный трафик через порт 8080. Содержимое здесь доставлялось при помощи сторонних провайдеров, предлагавших бесплатную поддержку DNS-сервиса. В итоге при обращении к зараженному серверу в добавок к легитимному контенту сервер через Iframe доставлял заданный хакерами контент.
Синегубко считает, что с точки зрения злоумышленников всегда надежнее иметь как серверные, так и клиентские бот-сети. По его мнению, такие гетерогенные системы гораздо более гибкие.
Пока неизвестно, сколько именно серверов пали жертвой подобной атаки. Исследователь предполагает, что сама подобная атака стала возможной из-за невнимательности администраторов этих серверов, так как они либо установили слишком простой root-пароль на сервер, либо случайно "поделились" этим паролем с хакерами. Есть также вариант и с использованием снифферов.
www.securitylab.ru | |
| |
18.09.2009 - 22:15 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Однолюбовницы Спамеры любят соцсети. И вот свежая рассылка с ярким примером того, как спамеры в очередной раз «полюбили» «одноклассников». » Нажмите, для открытия спойлера | Press to open the spoiler « Пользователи получили сообщения, тема которых напоминала стандартизированную тему сообщения от соцсети: «Такой-то добавил(а) вас в друзья на нашем сайте». На каком «нашем сайте» — не поясняется. Неопытный пользователь (которых, кстати, довольно много) открывает это письмо от «соцсети» и что он видит там? А вот что: Ну, и неопытный пользователь думает «Ой, как здорово! У меня новый друг! Интересно, кто такой этот Shazragore?» Подстегиваемый любопытством и желанием получить еще одну «звездочку на погонах» в виде друга в соцсети, пользователь кликает на ссылку (на то он и неопытный, чтоб на нее кликнуть). А там… сайт до боли похожий на наших многострадальных «Одноклассников»: Но похож он исключительно по форме. Сайт предлагает найти любовницу и заманивает эротическими картинками. Если пользователь не только неопытен, но еще и озабочен поиском подруги, он попробует зарегистрироваться на этом прекрасном сайте. Ну и как водится… кто ж предоставит любовницу бесплатно? Внизу необходимо ввести код доступа, полученный при помощи якобы недорогой SMS. На самом деле стоимость SMS-сообщения на номер 7122 составляет приблизительно 10 долларов, то есть в данный момент около 300 рублей. Вот такие «одноклассники». Вот такой кот в мешке по 300 рублей штучка=) Источник: securelist | |
| |
22.09.2009 - 15:22 |
dimusik
Born in the USSR
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.862 Регистрация: 9.09.2006 Из: Mogilev Пользователь №: 224.934
Респектов: 3938
| Геймерские мыши Razer подхватили компьютерный вирус Драйверы для геймерских мышей и клавиатур Razer, размещенные на официальном сайте, оказались заражены трояном, пишет ComputerWorld. Производитель узнал об этом от антивирусной компании Trend Micro и немедленно отключил раздел поддержки. » Нажмите, для открытия спойлера | Press to open the spoiler « Обратив внимание на жалобы пользователей на форумах, антивирусная компания Trend Micro просканировала драйверы и файлы прошивки с официального сайта Razer. Оказалось, что многие из них заражены компьютерным вирусом, загружающимся вместе с оригинальными установочными файлами. Троян WORM.ASPXOR.AB, который устанавливается в системную директорию, распознают только 7 из 41 антивируса, представленного на онлайн-сервисе VirusTotal.
Старший советник по безопасности Trend Micro в Европе Рик Фергюсон (Rik Ferguson) полагает, что инфицированные файлы находились на сайте в течение нескольких дней, пишет The Register. Компания немедленно проинформировала о ситуации Razer, который сразу же закрыл раздел поддержки во избежание новых заражений.
Пока неясно, как вирус проник на сайт и какие именно действия он совершал в зараженных системах. Обнаружение вредоносной программы вызывает очень большое беспокойство Razer, заявил пресс-секретарь компании Хитклиф Хэтчер (Heathcliff Hatcher). Razer и Trend Micro ведут совместное расследование и принимают усилия к очистке сайта.
По состоянию на вторник 22 сентября загрузка драйверов с сайта Razer заблокирована, а в разделе поддержки размещено сообщение о том, что сайт в минувшие выходные был заражен вирусом. Всем, кто скачал программное обеспечение Razer 19 сентября 2009 года или позднее, предлагается проверить компьютер на вирусы с помощью бесплатных программ Trend Micro Housecall или Avast Antivirus.
lenta.ru | |
| |
|
|