Новости сетевой безопасности, все новости по сетевой безопасности
29.09.2009 - 10:40 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Цифровые муравьи справятся с компьютерными червями Американские исследователи из Pacific Northwest National Laboratory разработали уникальную методику защиты компьютерных сетей от широкого спектра угроз. Инновационная концепция предполагает использование «цифровых муравьев» - крошечных приложений, отвечающих за непрерывный мониторинг клиентских систем в поисках угроз. Муравьиная колония будет наделена своеобразным коллективным разумом. При обнаружении потенциальной или реальной опасности огромное количество «насекомых» сосредоточится в проблемной области, тем самым привлекая внимание живых специалистов. » Нажмите, для открытия спойлера | Press to open the spoiler « «Нам известно, что в живой природе муравьи успешно справляются с самыми разными угрозами, - рассказывает один из авторов идеи профессор Эррин Фалп (Errin Fulp), - Миниатюрные создания способны быстро сплотиться в единую армию для эффективного противостояния своим врагам. А после того как опасность миновала, они возвращаются к своей повседневной деятельности. Мы попытались реализовать подобную модель в рамках компьютерной системы».
Ученые предлагают использовать более 3'000 различных типов муравьев, каждый из которых будет наделен уникальной специальностью и сможет обнаруживать присутствие специфического вредоносного ПО на клиентской системе. Странствуя по сети, эти маленькие сторожа будут оставлять своеобразные следы, по которым их с легкостью обнаружат другие «особи». При обнаружении опасности муравей сможет позвать на помощь своих собратьев.
Несомненным плюсом решения станет пониженное потребление ресурсов. Известно, что работа традиционных систем защиты связана с постоянным обновлением сигнатур, в результате чего приложения потребляют все больше ресурсов, антивирусное сканирование занимает больше времени, а производительность компьютера заметно снижается.
Разработчики считают, что новая модель защиты идеально подходит для обширных сетей, состоящих их большого числа идентичных компьютеров. Под это определение попадают ИТ-инфраструктуры крупных коммерческих организаций, правительственных учреждений и университетов. Этим летом исследователи провели полевые испытания своего «муравейника» на вычислительной сети, состоящей из 64 компьютеров. Виртуальные насекомые без труда обнаружили запущенного в сеть «червя». По материалам ScienceDaily | |
| |
29.09.2009 - 11:34 |
dimusik
Born in the USSR
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.884 Регистрация: 9.09.2006 Из: Mogilev Пользователь №: 224.934
Респектов: 3951
| «Корректор», распространяющий Trojan.Encoder, шифрует данные пользователей Компания «Доктор Веб» сообщает о новой волне распространения Trojan.Encoder (Trojan.Encoder.34, а также 37, 38, 39, 40 и 41). Вирусы данного семейства шифруют данные на компьютерах пользователей и требуют деньги за расшифровку. Последние модификации Trojan.Encoder принадлежат перу одного автора, иногда называющего себя «Корректор». » Нажмите, для открытия спойлера | Press to open the spoiler « Модификации данного семейства вирусов шифруют большинство документов на компьютере, делая невозможной работу с ними. Исключение составляют файлы, относящиеся к системе и установленным в ней программам. Заражению они не подвергаются, а компьютер продолжает работать, позволяя жертве мошенничества связаться со злоумышленником и перечислить ему требуемую сумму денег. Особенностью последних модификаций Trojan.Encoder является то, что они добавляют к зараженным файлам окончание vscrypt — к примеру, вместо pic.jpg файл получает имя pic.jpg.vscrypt. Trojan.Encoder в настоящее время распространяется посредством ссылок на вредоносный сайт в почтовых сообщениях. Пользователю предлагается просмотреть открытку, якобы присланную от имени сервиса открыток Мail.ru. При открытии соответствующей страницы предлагается установить кодек, который на самом деле оказывается троянской программой. После окончания процесса шифрования файлов Trojan.Encoder выводит на Рабочий стол Windows сообщение о том, что документы зашифрованы, а также приводит контактные данные злоумышленника. На изображении показан один из вариантов отображения контактной информации.
Ежедневно в службу технической поддержки «Доктор Веб» обращаются десятки пользователей с симптомами заражения этой вредоносной программой. Общее же число жертв может быть в разы большим. Напомним, что в декабре, августе и сентябре 2008 года «Доктор Веб» уже сообщал о других модификациях этого семейства троянцев — Trojan.Encoder.33, Trojan.Encoder.20 и Trojan.Encoder.19. Большинство модификаций Trojan.Encoder предлагают пользователю воспользоваться дешифровщиком, для чего требуют перевести на счет киберпреступников от 10 до 89 долларов. Аппетит «Корректора» сопоставим с запросами авторов предыдущих модификаций — в настоящий момент пользователи-жертвы сообщают о цене в 600 рублей за один экземпляр расшифровщика. drweb.com | |
| |
6.10.2009 - 17:31 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Троянец не только крал деньги с банковских счетов, но и заметал следы Компания Finjan, которая занимается сетевой безопасностью, сообщила о появлении нового способа для похищения денег со счетов ничего не подозревающих пользователей. В частности, специалисты Finjan раскрыли нетривиальную схему вывода денег, в которой используется управляющий сервер на Украине, фальшивые веб-сайты, вирус-троянец, получивший название URLZone, подставные лица и ложные банковские выписки. » Нажмите, для открытия спойлера | Press to open the spoiler « По данным отчета, который опубликовала компания Finjan, одна из банд нового формата похитила около 300 тысяч евро за 22 дня. Для кражи денег преступники нанимали добропорядочных граждан, искавших работу в сети. Использование этих подставных лиц, не подозревавших о характере своей работы, помогало преступникам запутать следы и скрыть поступление денег в собственные карманы. Отслеженная атака в августе этого года затронула несколько Интернет-банков в Германии, о чем была проинформирована немецкая полиция. На данный момент управляющий сервер, использованный в этой атаке, не откликается на внешние сигналы, хотя преступники могут вновь задействовать его в любой момент.
Новая схема похищения денег выглядит чрезвычайно продуманной. Сначала преступники распространили собственный троянец, заразив им популярные сайты вполне законопослушных компаний. После посещения этих сайтов машины пользователей оказались зараженными, так что преступники получили полный доступ к информации на компьютерах жертв. Далее троянец URLZone получал команду на перевод денег со счета жертвы на счет подставного лица – в материалах Finjan эти случайные соучастники преступления носят название «деньгоносы» (money mule). Интересно, что преступники, как правило, переводили довольно небольшие суммы денег и не использовали подставные счета «деньгоносов» более двух раз, чтобы банковские системы не заподозрили мошенничества.
Ювал Бен-Ицхак (Yuval Ben-Itzhak), технический директор Finjan, рассказал, что по данным проведенного исследования, официальные и поддельные сайты злоумышленников посетило более 90 тысяч человек. Достоверно известно о 6400 случаях заражения – большинство пользователей заразилось через браузер Internet Explorer, хотя другие браузеры тоже оказались уязвимы. По словам Бен-Ицхака, эксперты впервые столкнулись со столь хитроумной системой похищения денег, которой удалось обмануть как банковские системы, так и владельцев счетов в Интернет-банках, обычно очень внимательных к состоянию своего счета.
Интереснее всего, как злоумышленникам удалось красть деньги, не привлекая внимание владельцев счетов, и обмануть банковские системы для слежения за мошенниками. Дело в том, что созданная преступниками система снимала только некрупные суммы, при этом счет жертвы не должен был оказаться пустым. Для обмана самих владельцев троянец использовал подмену веб-страницы с выписками – когда пострадавший заходил в свой личный кабинет, перед ним оказывалась поддельная страница без указания операций преступников. Подлог обнаруживался только тогда, когда пользователь заходил в Интернет-банк с другого, незараженного компьютера. Как показало расследование, в нескольких случаях преступникам вообще удалить сведения о транзакциях.
Интересно отметить и роль подставных «деньгоносов» - по мнению Finjan, нынешний экономический кризис снизил порог тревожности, поэтому украинским киберпреступникам удалось довольно легко завербовать достаточное количество подставных лиц. «Деньгоносам» предлагали на одноразовой основе поучаствовать в легитимном онлайн-проекте, и они легко соглашались. Преступники перегоняли деньги со счетов жертв на счета «деньгоносов» с условием перечисления части денег на собственные счета. В результате «деньгоносы» получали якобы законный доход, а преступники отмывали похищенные деньги. Эксперты отмечают, что «деньгоносов» в данном конкретном случае следует рассматривать не как соучастников, а как пострадавших. Скорее всего, обвинения им не грозят, хотя наверняка придется ответить на вопросы компетентных органов. По материалам сайтов BBC и Wired Троянец URLzone оставил преследователей с носом итроумная троянская программа продемонстрировала еще одну сторону таланта своих создателей. Ее авторы не только тщательно продумали механизмы хищения средств с банковских счетов пострадавших, но и заранее предусмотрели весьма остроумный ответ своим преследователям. » Нажмите, для открытия спойлера | Press to open the spoiler « Специалисты компании RSA Security, изучающие работу троянца URLzone Trojan, столкнулись с тем, что созданный ими в исследовательских целях аналог вредоносной программы получает от управляющего сервера фальшивые номера счетов для перечисления украденных средств. Как оказалось, авторы мошеннической схемы тщательно продумали свои действия на случай провала, разработав целую серию тестов, позволяющих определить, находится ли их программа «под колпаком» или нет.
В частности, каждому зараженному компьютеру присваивается уникальный идентификатор, который используется в сеансах связи с управляющим сервером. Список выданных идентификаторов хранится на сервере и используется для проверки легитимности обращающихся к нему троянцев. Если сервер получает неизвестный или подозрительный идентификатор, то троянцу отправляются фальшивые банковские реквизиты для перевода украденных средств. Однако эти реквизиты генерируются не случайным образом, а берутся из базы данных реальных счетов, которые уже были обчищены программой ранее. По материалам _wired.com | |
| |
21.10.2009 - 11:14 |
Iggi
житель Земли
Группа: Заблокированные Сообщений: 1.915 Регистрация: 5.02.2006 Из: Серебряный Бор Пользователь №: 117.099
Респектов: 1423
| Защита требуется не только компам пользователей, но и сайтам, особенно ру-нетовским. Вот сообщение на эту тему: "83% российских сайтов имеют критические уязвимости 20.10.09, 16:18, пресс-релиз
Международная организация Web Application Security Consortium опубликовала статистику уязвимостей WEB-приложений за прошедший год.
Эксперты международной организации Web Application Security Consortium (WASC), объединяющей профессионалов в области безопасности Web-приложений, традиционно представили статистику уязвимостей WEB-приложений за 2008 год (WASC Web Application Security Statistics Project 2008).
Обзорная статистика содержит данные, полученные в ходе тестирований на проникновение, аудитов безопасности и других работ, проведенных компаниями, входящими в WASC: Blueinfy, Cenzic, dns, encription limited, HP Application Security Center, Positive Technologies, Veracode и WhiteHat Security. Статистика получена на основе анализа данных 12-ти тысяч Web-приложений, в которых, в общей сложности, было обнаружено более 97 тысяч уязвимостей различной степени риска.
Как оказалось, более 13% исследованных сайтов могут быть полностью скомпрометировано автоматически, 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем, при детальной ручной и автоматизированной оценке методом "белого ящика" вероятность обнаружения уязвимостей высокой степени риска достигает от 80% до 96%.
Проверка на соответствие требованиям стандарта индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard) показала, что вероятность обнаружения уязвимостей степени риска выше среднего составляет более 86% при любом методе работ, а при проведении глубокого анализа 99% Web-приложений не удовлетворяют требованиям стандарта.
Согласно статистике, наиболее распространенными уязвимостями являются "Межсайтовое выполнение сценариев" (Cross-Site Scripting), различные виды утечки информации (Information Leakage), "Внедрение операторов SQL" (SQL Injection), "Расщепление HTTP-запроса" (HTTP Response Splitting). По сравнению с 2007 годом число сайтов, содержащих SQL Injection, снизилось на 13%, Cross-site Scripting - на 20%, однако число сайтов, содержащих Information Leakage, возросло на 24%, также возросла вероятность автоматической компрометации узлов с 7% до 13%.
Если сравнить данные WASC с российской статистикой за 2008 год, выпущенной компанией Positive Technologies, можно отметить, что ситуация практически не отличается - 83% российских сайтов имеют критичные уязвимости, а одной из наиболее распространенных уязвимостей также является "Межсайтовое выполнение сценариев" (Cross-Site Scripting).
Лидер проекта WASC Web Application Security Statistics Project - Сергей Гордейчик, руководитель отдела консалтинга и аудита компании Positive Technologies, так прокомментировал ситуацию: "Статистика публикуется третий год подряд, и каждый новый выпуск демонстрирует ухудшение с общим состоянием безопасности Web-сайтов. Рост количества уязвимых систем связан с двумя факторами - с улучшением качества автоматизированных средств контроля защищенности и "хакерских" утилит, а также с увеличением доли динамических Web-приложений, которые, как правило, содержат больше проблем с безопасностью". | |
| |
6.11.2009 - 17:25 |
dimusik
Born in the USSR
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.884 Регистрация: 9.09.2006 Из: Mogilev Пользователь №: 224.934
Респектов: 3951
| Anti-Malware: Результаты теста антивирусов Портал Anti-Malware.ru обнародовал результаты нового тестирования комплексной эффективности антивирусов по противодействию новейшим образцам вредоносных программ (так называемым угрозам Zero-day), передаваемым пользователям наиболее распространенным сейчас способом - через зараженные веб-сайты. » Нажмите, для открытия спойлера | Press to open the spoiler « При тестировании ссылки на зараженные сайты собирались из различных источников. Как правило, на такие ссылки каждый из нас натыкается в поисковиках, получает по e-mail, ICQ или через другие средства интернет-коммуникаций, включая социальные сети. Для теста выбирались ссылки на сайты, зараженные только новейшими образцами вредоносных программ (которые не детектировались файловыми антивирусами более чем 20% из списка тестируемых продуктов, что проверялось через сервис VirusTotal). Для проведения исследования под управлением VMware Workstation 6.0 был создан набор «чистых» виртуальных машин, на которые была установлена операционная система Microsoft Windows XP Pro SP3 (последние обновления намеренно не ставились). На каждую машину по отдельности была установлена своя программа защиты (в тесте сравнивались 18 антивирусных программ от различных производителей). По возможности испытывались продукты для интегрированной защиты класса Internet Security, но если таковых в линейке вендора не было, то использовали младшие в линейке продукты. Также в тесте участвовали две специальные программы для проактивной защиты от новейших видов угроз класса HIPS (Hosted Intrusion Prevention System). Все антивирусы тестировались со стандартными настройками по умолчанию и со всеми актуальными обновления, полученными в автоматическом режиме. Моделировалась ситуация, при которой обычный пользователь с одной из установленных программ защиты загружал интересующие его ссылки (на зараженные сайты). По результатам теста лучшим оказался DefenseWall HIPS, сумевший предотвратить заражение в 100% случаев (платиновая награда). Очень высокие результаты показали три антивирусных продукта: Kaspersky Internet Security, Comodo Internet Security и Trend Micro Internet Security, которые смогли предотвратить заражение более чем в 80% случаев. Им досталось «золото». Хорошую эффективность защиты от новейших вредоносных программ продемонстрировали Sophos Anti-Virus, Safe'n'Sec Personal, Avira Premium Security Suite, Norton Internet Security и Avast Antivirus Professional (серебряная награда). Из этой группы существенный прогресс в сравнении с прошлогодним пилотным тестированием заметен у антивирусов Norton и Avast. Бронзовая награда досталась антивирусам Eset Smart Security, AVG Internet Security, Microsoft Security Essential и G-DATA Internet Security, преодолевшим барьер в 40%. «Важно отметить, что новый бесплатный антивирус от Microsoft весьма неплохо дебютировал, опередив многих платных конкурентов», - отмечают в Anti-Malware. Все остальные антивирусы не прошли тест. Среди них: F-Secure Internet Security (он же «СТРИМ.Антивирус»), McAfee Internet Security Suite, Outpost Security Suite, Panda Internet Security, BitDefender Internet Security и Dr.Web Security Space. Результаты BitDefender и Dr. Web серьезно снизились в сравнении с прошлогодним тестированием. www.securitylab.ru | |
| |
10.11.2009 - 16:14 |
dimusik
Born in the USSR
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.884 Регистрация: 9.09.2006 Из: Mogilev Пользователь №: 224.934
Респектов: 3951
| Firefox назвали самым уязвимым браузером Firefox оказался самым уязвимым браузером - в первой половине 2009 года на него пришлось 44 процента найденных уязвимостей. Об этом говорится в отчете американской компании Cenzic. На втором месте оказался браузер Apple Safari c 35 процентами. Internet Explorer занял лишь третье место, а Opera - четвертое. На них пришлось 15 и 6 процентов уязвимостей соответственно. В отчете не указывается, о какой именно версии Internet Explorer идет речь - популярностью пользуются сразу три. Браузер Chrome, который использует тот же механизм отображения страниц, что и Safari, не тестировался. Отчет посвящен не только браузерам, а веб-угрозам в целом. Авторы отмечают, что браузерные уязвимости составляют лишь 8 процентов от общего числа, а серверные - всего 2 процента. Оставшиеся 90 процентов приходятся на веб-приложения. Документ составлен на основе анализа 3100 найденных в первом полугодии уязвимостей. Среди десяти самых уязвимых продуктов Cenzic yказывает Sun Java, PHP и Apache. lenta.ru | |
| |
17.11.2009 - 17:37 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| Зафиксирована новая ботнет-сеть, распространяющаяся через подбор паролей по SSH Цитата | Quote В заметке "Rickrolled? Get Ready for the Hail Mary Cloud!" рассказано о новой распределенной ботнет-сети, специализирующейся на проникновении путем подбора паролей через SSH. Классические методы блокирования "brute force" атак слабо помогают против новой сети, так как с одного IP адреса производится лишь несколько попыток проверки - в подборе участвуют несколько тысяч машин, каждая из которых перебирает относительно небольшой диапазон вариантов перебора.
Поставленный эксперимент показал, что к одной из тестовых машин была зафиксирована однородная активность по подбору типовых паролей с 1767 хостов, трафик с которых не носил аномальный характер, а был равномерно распределен во времени, не достигая порога реагирования со стороны систем по блокированию атак. Несмотря на кажущуюся абсурдность идеи подбора паролей, неуклонный рост числа хостов ботнета показывает, что сеть не испытывает недостатка в хостах с типовыми или заведенными по умолчанию аккаунтами.
Для повышения безопасности можно порекомендовать оставить вход по SSH только для доверительных сетей (через пакетный фильтр, /etc/hosts.allow или директиву "AllowUsers логин@маска_сети логин2@маска_сети2..." в файле конфигурации /etc/ssh/sshd_config). Если необходимо оставить SSH публичным, имеет смысл перенести сервис на нестандартный сетевой порт ("Port N" или "ListenAddress IP:port"). Кроме того, следует убедиться, что в конфигурации запрещен прямой вход пользователя root (PermitRootLogin no). Источник_ http://www.opennet.ru/ | |
| |
9.12.2009 - 19:23 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| Критические уязвимости в Adobe Flash Player Цитата | Quote Корпорация Adobe выпустила обновление для Adobe Flash Player, которое исправляет следующие уязвимости: - Ошибка парсинга JPEG файлов, которая может привести к исполнению произвольного кода (CVE-2009-3794);
- Возможность внедрения данных злоумышленника, которая может привести к исполнению произвольного кода (CVE-2009-3796);
- Ошибка, позволяющая выйти за допустимые границы области памяти, что может привести к исполнению произвольного кода (CVE-2009-3797 и CVE-2009-3798);
- Целочисленное переполнение, которое может привести к исполнению произвольного кода (CVE-2009-3799);
- Множественные ошибки, приводящие к краху, потенциально некоторые из них могут быть использованы для исполнения кода злоумышленника (CVE-2009-3800).
Всем пользователям, независимо от используемой операционной системы, рекомендуется обновиться до версии 10.0.42.34 немедленно. Проблемы также присутствуют в Adobe AIR 1.5.x, и исправлены в AIR 1.5.3. Источник_ http://www.adobe.com/ | |
| |
10.12.2009 - 21:48 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| В каталоге GNOME-Look зафиксировано наличие вредоносного ПО Цитата | Quote В deb-пакете с хранителем экрана waterfall, распространяемом через известный каталог GNOME-приложений GNOME-Look, зафиксировано наличие скрытой вредоносной вставки. После установки данного пакета в систему интегрируется специальный набор скриптов, предназначенный для подключения машины к проведению DDoS атак. Скрипт поддерживает удаленное получение заданий и способен самостоятельно обновить себя до более новой версии. Логика работы вредоносного ПО сводится к периодической загрузке и обычного shell скрипта, который затем запускается с правами root и выполняет, например, "ping -s 65507 хост".
Кроме того, подобный вредоносный код удалось обнаружить и в пакете с визуальной темой Ninja Black. Пользователям рекомендуется избегать установки сторонних пакетов, даже если они распространяются через известные ресурсы и по описанию содержат только мультимедиа данные.
При установке троянского пакета в системе появляются файлы /usr/bin/Auto.bash, /usr/bin/run.bash, /etc/profile.d/gnome.sh и index.php. Для излечения достаточно найти и удалить эти файлы, а также удалить пакет app5552 (sudo dpkg -r app5552). Источник_ http://www.opennet.ru/ | |
| |
11.12.2009 - 17:53 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| Сайт телеканала СТС заражен Цитата | Quote «Лаборатория Касперского» предупреждает о вирусном заражении сайта телеканала СТС. Эксперты обнаружили заражение доменов files.ctc-tv.ru и club.ctc-tv.ru, принадлежащих телеканалу СТС (холдинг «СТС Медиа»), несколькими вредоносными программами.
При загрузке сайта активизируется скрипт, с помощью которого на ПК проникают ряд троянов и сетевых червей (Backdoor.Win32.Goolbot.an, Packed.Win32.Krap.w, Packed.Win32.TDSS.z, Trojan.Win32.Pasmu.gd, Backdoor.Win32.Kbot.acm, Email-Worm.Win32.Gibon.de, P2P-Worm.Win32.Palevo.kjf). Они угрожают пользователю потерей контроля над компьютером, кражей конфиденциальной информации, включением зараженной машины в сеть ботнетов и т. д.
Эти вредоносные программы уже детектированы и добавлены в антивирусные базы. «Лаборатория Касперского» настоятельно рекомендует всем пользователям – и особенно посетителям порталов канала СТС – обновить базы сигнатур и проверить компьютер на предмет вирусного заражения. Источник_ http://www.kaspersky.ru/ | |
| |
|
|