понедельник, 31 января 2011 г.

Вышла первая бета-версия антивируса Avast! 6.0 с поддержкой виртуализации

Чешская компания AVAST Software , ранее известная под названием ALWIL Software, представила публике первую бета версию своего обновленного антивирусного продукта Avast! 6.0. Главным отличием новой версии стало включение технологии AutoSandbox для запуска подозрительных приложений и открывания подозрительных файлов в изолированной виртуальной машине, причем эта технология будет доступна даже пользователям бесплатной версии антивируса.

По заверениям разработчиков, будущий продукт Avast! 6.0 станет первым в мире антивирусом, который предлагает поддержку виртуализации в бесплатной версии. Технология виртуализации AutoSandbox позволяет создать защищенную границу между заведомо опасным и заведомо безопасным контентом. В сочетании с мощными традиционными технологиями защиты от вирусов пакет Avast! 6.0 должен обеспечить пользователям платных и бесплатных версий самый высокий уровень блокирования угроз.

Для включения тестовой виртуальной машины достаточно одного щелчка – после этого все подозрительные файлы открываются в этой виртуальной машине. Если открытый файл окажется вредоносным, виртуальная машина просто остановится, а основной компьютер пользователя останется неповрежденным. У пользователя технологии AutoSandbox есть три варианта действий с потенциально опасными файлами: запустить файл в виртуальной машине AutoSandbox, запустить файл без виртуализации, либо полностью отменить действие по открыванию файла.

Как сообщают разработчики, технология AutoSandbox будет доступна все пользователям антивируса Avast!, включая бесплатную версию Avast! Free Antivirus, платный антивирус Pro Antivirus и комплексный антивирусный пакет Avast! Internet Security. Кроме того, в бесплатном антивирусе пользователям будут доступны такие уникальные инструменты, как avast! WebRep – плагин к браузеру для просмотра репутации сайтов, модуль Script Shield для контроля сценариев на web-страницах и модуль Site Blocking для полного блокирования потенциально вредоносных сайтов.

Подробнее об особенностях анонсированной версии антивируса Avast! 6.0 можно прочитать в официальном пресс-релизе и на форуме производителя.

воскресенье, 30 января 2011 г.

На неграмотном пользователе хакеры зарабатывают 500 долларов

"Обработка" одного компьютерного пользователя, не имеющего достаточных знаний в области информационной безопасности, может принести злоумышленнику до 500 долларов. Такое мнение озвучили эксперты "Лаборатории Касперского", сообщает Roem.ru.
По словам специалистов компании, заработать можно как на использовании компьютера жертвы, так и на самом обманутом пользователе. Например, скрытая установка дополнительных панелей в браузере и замена стартовой страницы, выбрасывающая пользователя на определенный сайт, могут принести злоумышленнику около 5 долларов, однако эти доходы куда меньше, чем те деньги, которые "юзеры" готовы платить сами.
Например, фальшивый антивирус неподготовленному пользователю можно продать за 50 долларов, а за восстановление зашифрованных троянской программой данных хакеры берут около 100 долларов. Наконец, краденые персонажи в онлайновой игре World of Warcraft могут стоить по полторы сотни долларов. Кроме того, большой популярностью среди хакеров пользуются программы-блокеры, блокирующие работу компьютера и снимающие блокировку за деньги, и троянские утилиты, заражающие мобильные телефоны и отправляющие SMS на платные номера.

Google ввел фильтрацию поисковых запросов

Компания Google оснастила свой поисковик системой фильтрации запросов, связанных с файлообменными сервисами и торрент-трекерами.

Теперь Google не отображает подсказки в окне поиска при вводе запроса и не позволяет использовать "живой" поиск для определённых терминов, названий и словосочетаний. В список запрещенных запросов, в частности, попали BitTorrent, torrent, utorrent, RapidShare, Megaupload и другие.

Каким образом составлялся "чёрный" список в Google не пояснили. С одной стороны, подсказки и "живой" поиск недоступны для любых словосочетаний, содержащих термин "torrent". С другой — Google, почему-то не включила в перечень название Pirate Bay.

Однако, стоит отметить, что сами поисковые результаты по "неугодным" терминам цензуре не подвергаются. После ввода запроса целиком пользователи по-прежнему могут видеть перечень соответствующих ссылок.

Исходники "Касперского" оказались в открытом доступе

В результате утечки в публичный доступ попали исходные коды продуктов "Лаборатории Касперского".

На бесплатном файловом хостинге Mlfat4arab выложены исходные коды продукта "Лаборатории Касперского" - Kaspersky Internet Security.

Rar-архив размером 182 МБ 26 января 2011 г. загрузил на хостинг неизвестный пользователь, и к моменту написания этого материала файл был скачан 2071 раз. Архив содержит коллекцию файлов с кодом, написанным на C++ в инструменте Visual C, и сборочных файлов.

Судя по названиям папок в архиве, в нем содержится исходный код движка KLAVA, работы над которым в "Лаборатории Касперского" вошли в заключительную фазу в 2008 г. На KLAVA основаны все последующие поколения продуктов компании, начиная с линейки 2009 г., вышедшей на рынок осенью 2008 г.

Эксперты российского российского дистрибутора ESET, производителя антивируса NOD32, получили возможность изучить утекший архив, рассказал Александр Чачава, президент Leta Group, которой принадлежит дистрибутор.

По его словам, специалисты компании пришли к выводу, что архив содержит части кода ядра в версиях 2006 г. и 2007 г., и "вряд ли конкуренты и злоумышленники при их изучении смогут узнать какие-то ноу-хау, поскольку эвристика у "Касперского" с тех пор изменилась".

В "Лаборатории Касперского" признают утечку кода, содержащую "фрагмент устаревшей версии антивирусного ядра, которое после этого было серьезно доработано и обновлено. В компании-разработчике нынешнюю утечку связывают с инцидентом, имевшим место в начале 2008 г.

Пресс-служба "Лаборатории" сообщила, что "бывший сотрудник компании, в свое время имевший правомерный доступ к исходному коду продуктов 2008 г., разместил в интернете объявление о его продаже". После обращения компании в правоохранительные органы виновник утечки был задержан и приговорен к 3 годам лишения свободы условно с испытательным сроком 3 года по статье 183 Уголовного кодекса РФ.

Microsoft предупреждает об уязвимости в MHTML

Корпорация Microsoft сообщила об обнаружении серьезной уязвимости, которая уже используется хакерами.

Речь идет о баге в обработчике протокола MHTML (MIME Encapsulation of Aggregate HTML), использование которого ведет к несанкционированной утечке данных. Сообщается, что образец эксплоита, использующего данный баг, уже есть в открытом доступе.

В корпорации говорят, что данная уязвимость отдаленно напоминает выполнение сценариев XSS, также приводящих к несанкционированному получению данных. К примеру, атакующий может сконструировать HTML-ссылку, указав в ней определенные параметры, провоцирующие уязвимость. В дальнейшая задача хакера сводится к тому, чтобы под каким-либо предлогом убедить свою жертву нажать на ссылку.

В случае нажатия ссылки, происходит выполнение скрипта на компьютере под управлением Internet Explorer и в рамках текущей сессии злоумышленник может получить пользовательскую информацию, причем браузер можно вынудить показывать ту или иную информацию, маскирующую несанкционированную активность.

В соответствии с сообщением Microsoft, уязвимость затрагивает все поддерживаемые версии Internet Explorer и все поддерживаемые версии Windows. Уязвимость возникает из-за того, что программный код, существующий в интерпретаторе MHTML, определенным образом интерпретирует MIME-запросы в веб-документах.

Впрочем, в компании nCircle говорят, что несмотря на наличие существующего эксплоита, использовать уязвимость довольно трудно, так как хакеру нужно не только заставить пользователя нажать на ссылку, но и контролировать веб-сервер на его компьютере. "Технически, спровоцировать уязвимость нетрудно, но гораздо труднее получить результат ее выполнения. Это обстоятельство делает атаку не столь опасной", - говорит Эндрю Стормс, директор по безопасности nCircle.

"Риск атаки невелик, тем более, чем Microsoft на своем сайте опубликовала рекомендации по снижению потенциальной угрозы", - говорит он.

По данным Microsoft, пользователи могут просто временно отключить работы протокола MHTML, а также заблокировать ActiveX с высокой степенью опасности.

Описание работы вируса Backdoor.Win32. Bredavi.bug

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 2560 байт. Написана на С++.

Деструктивная активность

После запуска троянец собирает сведения о зараженном компьютере и отправляет их по следующим адресам:
http://ch***er.com/zjfctdue/dwxkyhz.php?id=<num1>&p=<num2>
http://dhc***ate.com/zjfctdue/dwxkyhz.php?id=<num1>&p=<num2>
где <num1> - серийный номер тома для диска "С:" в десятичном формате, <num2> - указывает объем видеопамяти зараженного компьютера: "0" – не менее 32 МБ видеопамяти, "1" – менее 32 МБ видеопамяти. Затем троянец удаляет свой оригинальный файл и завершает работу.

Описание работы вируса Exploit.JS. Pdfka.cmm

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 10432 байта.

Деструктивная активность

Вредоносный PDF документ содержит в себе сжатый поток данных, который, после открытия документа, распаковывается и представляет собой обфусцированный сценарий Java Script. После выполнения расшифровки скрипта, эксплоит определяет версию, установленного в системе, продукта Adobe. Затем в зависимости от версии – использует уязвимости данного продукта.
Эксплоит использует уязвимости, которые существуют при обработке методов util.printd(), Doc.media.newPlayer (CVE-2009-4324), при вызове функций Collab.collectEmailInfo() (CVE-2007-5659), Collab.GetIcon() (CVE-2009-0927) и util.printf() (CVE-2008-2992), в продуктах Adobe Reader и Adobe Acrobat версий 8, 9.1, 9.2. При успешной эксплуатации уязвимости, вредонос загружает файл по ссылке:
http://u***tyr.com/xknawr/zvnmnwe/ztxq.php?
&&reader_version=<версия_продукта>
который сохраняется в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%\e.exe
После этого вредонос запускает загруженный файл на выполнение. На момент создания описания ссылка не работала.

Описание работы вируса Exploit.JS. Pdfka.cmu

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 208804 байта.

Деструктивная активность

Вредоносный PDF документ содержит в себе сжатый поток данных, который, после открытия документа, распаковывается и представляет собой обфусцированный сценарий Java Script. После выполнения расшифровки скрипта, эксплоит использует уязвимости, которые существуют при обработке методов util.printd(), Doc.media.newPlayer (CVE-2009-4324), при вызове функций Collab.collectEmailInfo() (CVE-2007-5659), Collab.GetIcon() (CVE-2009-0927) и util.printf() (CVE-2008-2992), в продуктах Adobe Reader и Adobe Acrobat версий 9.2, 9.1, 8. При успешной эксплуатации уязвимости, вредонос загружает файл, который располагается по ссылкам:
http://ce***re.biz/vaw/yogetheadshot.php?ids=UdPDF
http://ce***re.biz/vaw/yogetheadshot.php
который сохраняется в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%\e.exe
Затем вредонос выполняет расшифровку загруженного исполняемого файла и запускает его на выполнение. На момент создания описания ссылки не работали.

Описание работы вируса Exploit.Win32. Pidief.cjn

Программа-эксплоит, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 7850 байт.

Деструктивная активность

Вредоносный PDF документ, содержащий в себе обфусцированный сценарий Java Script. Для выполнения вредоносного кода эсплоит использует уязвимости, которые существуют при вызове функций Collab.collectEmailInfo() (CVE-2007-5659), Collab.GetIcon() (CVE-2009-0927) и util.printf() (CVE-2008-2992), в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.2 и более ранних. При успешной эксплуатации уязвимости, вредонос загружает файлы по ссылкам:
http://ado***vices.ru/zjlu2.exe
http://ado***vices.ru/dejmnt2.exe
http://ado***vices.ru/adiux2.exe
На момент создания описания ссылки не работали. При успешной загрузке скачанный файл сохраняется под именем:
%Temporary Internet Files%\a.exe
После чего запускается на выполнение и эксплоит завершает свою работу.

Описание работы вредоносной программы AdWare.Win32. Exact.a

Вредоносная программа является частью другой вредоносной программы рекламного характера. Является приложением Windows (PE-EXE файл). Имеет размер 61440 байт. Написана на C++.

Деструктивная активность

В зависимости от параметров, с которыми запущен вредонос, выполняются действия, описанные ниже.
-c <ClassName> -w <WindowName>
При этом окну с именем "<WindowName>" и именем класса "<ClassName>" посылается сообщение WM_CLOSE. Таким образом, вредонос пытается закрыть данное окно.
-h
Вредонос находит в системе окно с именем класса "exactUpdate" и закрывает его.
-u <URL> -p <Param1> -b <Param2>
Запускается системная утилита "REGSVR32.EXE" с параметрами:
/u /s %WorkDir%\exacttoolbar.dll
/u /s <Path>\exacttoolbar.dll
Путь "<Path>" получается из значения ключа системного реестра:
[HKLM\Software\eXact]
"InstallDir"
Таким образом, регистрация в системе упомянутых библиотек отменяется. Затем запускается исполняемый файл браузера Internet Explorer "IEXPLORE.EXE" со следующими параметрами:
<URL>?PARTNER=<Param1>&BRANDING=<Param2>&GUID=<GUID>
Значение параметра "<GUID>" читается из ключа реестра:
[HKCU\Software\eXact]
"GUID"
Путь к файлу "IEXPLORE.EXE" вредонос читает из ключа:
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE]
"(Default)"
Также запускается системная утилита "REGEDIT.EXE" с параметрами:
/s "<Path>\wipe.reg"
После этого из каталогов "%WorkDir%" и "<Path>" удаляются файлы:
exactToolbar.dll
exactUpdate.exe
buttons.xml
poplinks.xml
engines.xml
exception.xml
logo.jpg
Toolbar.log
log.log
dir.txt
dirlisting.bat
resetUpdateInterval.reg
PopularLink.reg
exactLog.txt
CloseWindow.exe
Wipe.reg
Также удаляется файл "C:\CloseWindow.txt"
-r <FileName>
При этом создается копия файла:
%WorkDir%\<FileName>
сохраняемая как
<Path>\<FileName>
Содержимое оригинала при этом удаляется.
-x <FilePath>
Запускается на выполнение файл "<FilePath>". Вредонос ведет лог своей работы, сохраняя его в файлах:
<Path>\exactlog.txt
%WorkDir%\exactlog.txt
Пример лога:
STARTING CLOSEWINDOW VERSION 00.023(^%#&($@&^)()
1388                    19:37:35 12/22/2010
CommandLine = "C:\virus\not_a_virus_AdWare.Win32.Exact.a\
CloseWindow.exe" -r file.dat
1388                    19:37:36 12/22/2010     CloseWindow 00.023
CloseWindow: Current Version = 23
1388                    19:37:36 12/22/2010     CloseWindow 00.023
CloseWindow: Newest Available Version = -1
1388                    19:37:37 12/22/2010
ARG = "C:\virus\not_a_virus_AdWare.Win32.Exact.a\CloseWindow.exe"
1388                    19:37:38 12/22/2010
ARG = -r
1388                    19:37:39 12/22/2010
ARG = file.dat
1388                    19:38:04 12/22/2010
OPEN file.dat TO READ
1388                    19:39:53 12/22/2010     CloseWindow 00.023
189 BYTES WERE READ
1388                    19:40:08 12/22/2010
OPEN c:\program files\exact\file.dat TO WRITE
1388                    19:41:28 12/22/2010     CloseWindow 00.023
189 BYTES WERE WRITTEN
1388                    19:41:38 12/22/2010
OPEN file.dat TO WRITE
1388                    19:42:28 12/22/2010     CloseWindow 00.023
24 BYTES WERE WRITTEN
1388                    19:42:37 12/22/2010
CLOSEWINDOW IS UNINSTALLING
1276                    19:46:19 12/22/2010

Описание работы вируса Trojan.Win32. Fregee.x

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE DLL-файл). Имеет размер 22016 байт. Написана на C++.

Инсталляция

Троянец копирует свое тело в системный каталог Windows под именем "lkmj.bdo":
%System%\lkmj.bdo
Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe rundll32.exe lkmj.bdo igtvkg"

Описание работы вируса Trojan.Win32. Sasfis.aeih

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 18944 байта. Написана на C++.

Деструктивная активность

После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя файл:
%Temp%<rnd1>.tmp
Где <rnd1> - случайный набор цифр и букв латинского алфавита. Данный файл имеет размер 22016 байт и детектируется Антивирусом Касперского как Trojan.Win32.Fregee.x
Затем троянец подгружает в свое адресное пространство извлеченный файл и производит запуск содержащегося в нем вредоносного кода.

Описание работы вируса Trojan-Downloader.BAT. Agent.gy

Троянская программа. Является пакетным файлом командного интерпретатора (BAT-файл). Имеет размер 1729 байт.

Деструктивная активность

При запуске создает каталог с именем:
%WinDir%\ehome
Далее троянец загружает файл по следующим ссылкам:
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011617.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011618.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011619.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011620.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011621.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011622.swf
На момент создания описания ссылки не работали. Скачанные файлы сохраняются под следующими именами соответственно:
%WinDir%\ehome\cacls.vbs
%WinDir%\ehome\cacls.exe 
%WinDir%\ehome\cacls.bat
%WinDir%\ehome\cacls1.exe
%WinDir%\ehome\cacls1.bat
%WinDir%\ehome\ca.bat
После этого троянец запускает файл «%WinDir%\ehome\cacls.vbs», удаляет свой исполняемый файл и завершает свою работу.

четверг, 27 января 2011 г.

Антиспам в продуктах Dr.Web стал работать еще быстрее

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о кардинальном обновлении антиспам-модуля в составе продуктов Dr.Web. Обновленная версия антиспама, заметно увеличивающая скорость обработки корреспонденции без ущерба качеству отсева, стала доступна пользователям 25 января.
Напомним, что модуль антиспама в составе продуктов Dr.Web является лицензированной разработкой компании Vade Retro Technology. Обновленная версия антиспама позволила ускорить обработку писем на 25-30% благодаря улучшению некоторых внутренних алгоритмов продукта. Изменения вступают в силу без необходимости каких-либо действий со стороны пользователя.
Антиспам Dr.Web обладает целым рядом преимуществ по сравнению с конкурирующими аналогами — он не требует обучения и настройки перед использованием, практически не затрудняет прием почты, умеет разбирать объекты любой степени вложенности и абсолютно автономен. Обновление антиспама происходит один раз в сутки и не требует скачивания громоздких баз. После того как к этим преимуществам добавилось значительное увеличение скорости работы, антиспам в продуктах Dr.Web стал еще более удобным в использовании.
Программные продукты Dr.Web Enterprise Security Suite, в состав которых входит антиспам:
Также антиспам включен в программный продукт для домашних пользователей Dr.Web Security Space (группа Dr.Web Home Security Suite) и в коробочные продукты Dr.Web Security Space ProDr.Web Family Space и Dr.Web Бастион Pro.
Если вы являетесь пользователем одного из перечисленных продуктов, но антиспам в лицензию не входит, вы можете дополнительно получить этот компонент по цене лицензии продления.

Киберпрогноз-2020 от "Лаборатории Касперского"

Антивирусные компании практически никогда не делают прогнозов о развитии
информационных угроз сроком более чем на 3-5 лет. Однако если взглянуть
на главные изменения и проблемы в сфере информационной безопасности за
последние десять лет, присовокупив к этому основные тенденции в области
развития персональных компьютеров, мобильных телефонов и операционных
систем, такую попытку можно предпринять. Эксперты "Лаборатории
Касперского" решили поделиться своим видением будущего кибер-мира.

По мнению аналитиков компании, наиболее яркими трендами минувшего
десятилетия (2000-2010 гг.) стали:
* Мобильность и миниатюризация.
Пользовательские устройства становятся все меньше и позволяют получить
доступ к Сети практически из любой точки мира. Причем для выхода в
Интернет главным образом используются беспроводные сети.
* Превращение
вирусописательства в киберпреступность.
* Сохранение Windows
лидирующих позиций в области операционных систем для персональных
компьютеров.
* Постоянная смена лидеров в сегменте мобильных платформ,
высокий уровень конкуренции.
* Социальные сети и поисковые системы
- основные сервисы современного Интернета.
* Интернет-торговля
по своим объемам уже превосходит годовые бюджеты некоторых стран.

Определяющим фактором ближайшего десятилетия станет уход ОС Windows с
позиций главной пользовательской операционной системы. Детище Microsoft,
впрочем, по-прежнему будет основной платформой для корпораций, однако
рядовые пользователи вполне смогут удовлетворять свои потребности,
работая в иных операционных системах, количество которых возрастет.
Стоит отметить, что уже сейчас число пользователей Интернет, выходящих в
Сеть не с Windows-устройств, практически сопоставимо с количеством
Windows-клиентов (а то и превышает эту цифру).

Рост числа новых ОС скажется на процессе появления новых угроз:
киберпреступники не смогут одновременно успешно писать вредоносный код
для большого количества различных платформ - им придется выбирать
что-то одно: или много разных пользовательских ОС и устройств под их
управлением, либо специализация на Windows и атаках на корпорации.
Очевидно, второй вариант будет для них предпочтительнее: к 2020 году
зарабатывать на пользователях будет значительно сложнее, так как
наметившийся тренд эволюционирования систем электронных платежей и
онлайн-банкинга сохранится, подобные устройства постепенно
трансформируются в биометрические системы, системы персонификации
пользователей и защиты платежей.

Грядущая смена ОС и их спецификация повлияет и на современное
вирусописательство - произойдет очередная смена поколений. Так,
масса киберпреступников, работавших с Windows-устройствами, потеряет
значительные масштабы деятельности, не захотев переориентироваться на
новые операционные системы. Чтобы остаться под солнцем, представители
"старой школы" будут все чаще прибегать к помощи
"молодежи", способной писать вредоносный код под новые
платформы, однако подобное положение вещей долго не сохранится и в
конечном итоге может вылиться в физическое противостояние хакеров за
передел сфер влияния.

Киберпреступность-2020, скорее всего, разделится на две группы. Первая
будет специализироваться на атаках на бизнес (зачастую по заказам).
Коммерческий шпионаж, кражи баз данных, информационные атаки с целью
подрыва репутации - все это будет особо востребовано на
"черном" рынке. На поле битвы сойдутся хакеры,
противостоящие им компьютерные специалисты из корпораций, также,
вероятно, в процесс будут вовлечены киберспецслужбы. Оперировать им
придется в основном Windows-платформами, а также новыми версиями
традиционных *nix-систем.

Целью второй группы будут устройства, контролирующие наше существование,
передвижение и работу большого числа служб. Взлом и кража подобных
систем, возможность бесплатно пользоваться различными сервисами,
удаление и изменение информации о себе, своей (или заказчика) активности
- вот что будет привлекать и давать заработать новому поколению
хакеров.

К 2020 г. тенденция к разделению интернета на массовый,
специализирующийся на общении, развлечениях, новостях и общем контенте,
и ограниченный, предназначенный для интернет-торговли, платежей, других
средств коммуникации, сохранится. При этом основным
"интернет-населением" будут мобильные устройства, а также
устройства без пользователя - обменивающиеся информацией или
передающие ее.

Ботнеты как одна из наиболее актуальных IT-проблем вслед за постепенным
вырождением пользовательских ПК в привычном их понимании будут также
эволюционировать. На смену зомби-сетям из настольных ПК придут ботнеты,
которые состоят из мобильных устройств, а в дальнейшем в бот-сети будет
входить все большее число самых разнообразных гаджетов, имеющих доступ в
интернет.

В области коммуникаций значительно изменится состав средств и
технологий. В первую очередь, эти изменения будут направлены на
максимальное ускорение и приближение процесса виртуального общения к
реальным условиям: к 2020 году общение со знакомым через интернет при
помощи клавиатуры можно будет увидеть только в старых кинофильмах, а
значит, спамерский бизнес столкнется с необходимостью поиска новых путей
доставки нежелательной корреспонденции до своего адресата. Первым шагом
на этом пути станет все большая переориентация спамеров с ПК на
мобильные устройства. Объемы мобильного спама многократно возрастут,
однако в виду интенсивного развития сотовой связи расходы за
интернет-трафик значительно сократятся - в результате пользователи
все меньше станут обращать внимания на назойливую рекламу.

Старое утверждение "кто владеет информацией - тот владеет
миром" будет актуально как никогда ранее. Борьба за возможности по
сбору, управлению, хранению и использованию любой информации (желательно
обо всем и всех) - вот что будет определять лицо угроз будущего
десятилетия. Проблема защиты частной жизни и privacy, таким образом,
будет одной из ключевых тем десятилетия.

среда, 26 января 2011 г.

Опубликован видеокурс "Введение в информационную безопасность"

Авторы вводного спецкурса по информационной безопасности, читаемого на факультете ВМК МГУ имени М. В. Ломоносова, опубликовали видео- и аудиозаписи лекций. Видеозаписи доступны на сервисе Яндекс.Видео ( http://video.yandex.ru/users/jamadharma/collection/1/ ), а также на сайте спецкурса ( http://course.secsem.ru/lections ), и распространяются под лицензией CC-BY-SA 3.0 ( http://creativecommons.org/licenses/by-sa/3.0/ ).
В курсе рассмотрены основные понятия и определения, задачи информационной безопасности и методы её обеспечения, вопросы криптографической защиты, программные уязвимости и их эксплуатация, формальные модели безопасности и их приложение в ОС Linux. Подробная программа доступна на сайте курса ( http://course.secsem.ru/contents ).

Принтер - новая угроза безопасности

На конференции в Вашингтоне, которая состоится на следующей неделе, сразу две компании расскажут о том, как мошенники могут использовать принтер в своих целях. В презентациях будут освещены и способы защиты этого устройства.

Стоит отетить, что за последние несколько лет компьютерные технологии достигли своего пика: усовершенствовались гаджеты, от которых никто не ожидал большого скачка в развитии. В том числе, не остался в стороне и принтер. Теперь эти устройства могут получать и отправлять e-mail – сообщения, выходить в Сеть, запускать некоторые приложения. Но, по словам Дерала Хайленда, независимого консультанта по делам безопасности, который будет представлять одну из презентаций на конференции, главная вина лежит на плечах разработчиков усовершенствованных устройств, которые не уделили должного внимания вопросу безопасности.

В свое время Хайленда вдохновила идея недостатков современного принтера и вопрос его конфигурации. На конференции он продемонстрирует программу, которая называется "Praeda" (от слова "грабеж"), которая показывает систему общих недостатков устройства – таких, как пароль по умолчанию – и использует их в качестве ключа для доступа к офисной сети. Уязвимые принтеры, в таком случае, могут поставить под угрозу работу всей техники, получив пароли, выход к файлам и папкам, ключи к сервисам и другим девайсам.

Хайленд выяснил, в чем причина такой явной уязвимости принтеров. Так, разработчики устройств, как правило, не предупреждают пользователей об обязательной смене паролей к устройству. А это значит, что многие принтеры защищены лишь стандартным кодом, который легко подобрать на онлайн-сервисах. К тому же, девайсы, к которым можно получить доступ через Web-браузер, часто оснащены опасным программным обеспечением Web-сервера.

"На большинстве принтеров данные находятся в открытом доступе, - прокомментировал ситуацию Хайленд. – А значит, чтобы получить имя пользователя и пароль, достаточно зайти на сервис и найти документ с искомой информацией".

Вопросы безопасности одного из брендов принтера позволили другому независимому исследователю Бену Смиту создать облако для хранения файлов. Смит представит на конференции программу Print File System или PrintFS, которая автоматически ищет уязвимые устройства через Интернет или по внутренней сети и превращает их в распределенную систему хранения. Она может быть использована хакерами в качестве свободного места для хранения вредоносных программ или других материалов. По наблюдениям Смита, сканирование Интернета в поисках устройств - таких, как принтер - может открыть гораздо больше девайсов для создания сети хранения.

"PrintFS сканирует все устройства, поэтому за 20-30 минут вы сможете найти огромную базу хранения", - заверяет Смит.

Хайленд заверяет, что "в опасности могут быть даже те многофункциональные принтеры, которые стоят у вас дома. Пусть они не могут объединиться, подобно офисным девайсам, хакеры могут настроить на ваши устройства отдаленные просмотр и печать".

Специалисты предупреждают как разработчиков, так и обычных пользователей – если ваше устройство имеет IP-адрес и выход в сеть, вы должны приложить максимум усилий, чтобы обезопасить к нему доступ.

Softkey бесплатно развозит MS Office 2010 по всей России

До 15 февраля интернет-супермаркет ПО Softkey и корпорация Microsoft делают своим клиентам приятный подарок. Каждый покупатель пакета офисных приложений Microsoft Office Home and Student 2010 или Microsoft Office Home and Business 2010 получит свой заказ совершенно бесплатно.

Условия акции действуют на русскоязычные версии Microsoft Office 2010:
  • Microsoft Office Home and Student 2010 – набор программ, предназначенный для пользователей домашних ПК; в который входят приложения: Word 2010, Excel 2010, PowerPoint 2010, OneNote 2010;
  • Microsoft Office Home and Business 2010 – набор программ, предназначенный для бизнеса; в который входят приложения: Word 2010, Excel 2010, PowerPoint 2010, Outlook 2010, OneNote 2010.
Независимо от того региона, где вы проживаете, ваш заказ будет доставлен за счет организаторов акции. Главное – правильно указать адрес доставки и имя получателя.

Если же вы решите приобрести вместе с Microsoft Office 2010 еще и другие программные продукты, то ваш заказ все равно будет доставлен бесплатно.

Подробнее

Киберпреступники атакуют пользователей ICQ при помощи "Anti-virus 8"

Распространители вредоносного программного обеспечения начали использовать систему мгновенных сообщений ICQ и популярный западный модный бренд для быстрого распространения поддельного антивирусного программного обеспечения, сообщает "Лаборатория Касперского".

На протяжении последних нескольких дней пользователи ICQ получали навязчивые сообщения в виде всплывающих окон от некоего Anti-virus 8, который по сути являлся еще одним рекламным трюком хакеров распространяющих вредоносные коды. Специалисты ЛК классифицируют новый случай как еще один пример программного обеспечения, шантажирующего пользователей, ведь после его установки пользователи получают сообщения о заражении компьютеров с требованием об уплате некой суммы для удаления хакерского софта.

В случае с последней кампанией через ICQ пользователей после инсталляции обязывали заплатить от 40 до 50 долларов за "лечение" компьютера, однако даже после этого злоумышленники просто подселяли новые вредоносные коды в систему.

По данным ЛК, вредоносный софт распространяет сайт Charlottterusse.eu, представляющий собой фишерский сайт под торговую марку Charlotte Russe, выпускающую женскую одежду.

Авторы Call of Duty "предсказали" теракт в Домодедово

Американские журналисты обратили внимание на сходство между взрывом в аэропорту Домодедово и одной из миссий компьютерной игры "Call of Duty: Modern Warfare 2".

Вышедшая год назад игра рассказывала о террористах и спецслужбах, и одна из миссий приводила героя в вымышленный московский аэропорт, где ему нужно было расстрелять несколько сотен мирных граждан. Впечатляет и название миссии – No Russians, – и удивительное сходство между сценами игры и записью с камеры наблюдения, зафиксировавшей реальный теракт.

За четырнадцать месяцев продаж очередная серия "Call of Duty" принесла создателям миллиард долларов. Вместе с тем, подобные игры не только развлекают обывателей, но и вполне могут использоваться настоящими террористами для тренировок. По словам руководителя организации Future Terrorism, видного эксперта Валида Фареса, он почти не сомневается, что Аль-Каида использует в этих целях "Call of Duty" и аналогичные шутеры.

По данному вопросу успел высказаться и медиакритик Дэнни Шечер, который интересуется тем, как соотносятся виртуальность и реальность. "Компьютерные игры отражают реальность, а реальность подражает компьютерным играм, – сказал он. – Отрицать это сложно, хотя авторы таких игр всегда снимают с себя ответственность".

Взрыв в Домодедово произошел в понедельник, 24 января, в 16:32 по московскому времени. Мощность безоболочного взрывного устройства составила от 2 до 5 (по некоторым источникам, от 5 до 7) килограммов в тротиловом эквиваленте. По последним данным, погибли 35 человек, пострадали от 128 до 180, 110 госпитализированы.

Целочисленное переполнение в Opera

Программа: Opera 10.63, 11.0 и более ранние версии.
Опасность: Высокая
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Целочисленное переполнение обнаружено при обработке большого количества вложенных элементов в HTML теге select. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
URL производителя: www.opera.com
Решение: Способов устранения уязвимости не существует в настоящее время.
Источники: 
Ссылки: 

В ICQ рекламируется фальшивый антивирус

В популярном сервисе для мгновенного обмена сообщениями, ICQ появился новый "червь", выдающий себя за антивирус. Он называется Antivirus 8 и распространяется через рекламные объявления. Об этом написал в своем блоге Роэль Шувенберг, старший аналитик "Лаборатории Касперского", одного из крупнейших производителей антивирусного ПО в мире.

"За последние несколько дней мы получили многочисленные сообщения от компьютеров, зараженных фальшивым антивирусом (scareware)", - отмечает Шувенберг. Этот "червь" появлялся в "аське" под видом рекламы женской одежды Charlotte Russe, которая после щелчка по баннеру перенаправляла пользователя на сайт компании. Вместе с этим открывалось всплывающее окно с "антивирусом", который сообщал о якобы обнаруженной подозрительной активности на компьютере и предлагал пользователю скачать специальную программу для ее устранения.

Этот поддельный антивирус, по мнению Шувенберга, имеет ряд интересных аспектов. Во-первых, всплывающее окно возникало без каких-либо действий со стороны пользователя, хотя обычно для этого требуется нажать на ссылку. Во-вторых, в Antivirus 8 не был включен вредоносный код - это просто пример социальной инженерии, когда пользователю предлагается установить совершенно бесполезную антивирусную защиту.

Сервер, на котором размещалась подделка, и рекламное объявление не имеют никакого отношения к бренду женской одежды, подчеркивает Шувенберг. Он предположил, что Antivirus 8 разрабатывали несколько хакерских групп - одна из них отвечала за фальшивый антивирус, а другая - за распространения кода через рекламную платформу ICQ. Об этой проблеме "Лаборатория Касперского" уже сообщила рекламной сети yieldmanager, которой владеет Yahoo, добавил Шувенберг.

Ранее "Лаборатория Касперского" опубликовала список основных киберугроз, с которыми столкнулись пользователи в декабре 2010 года. В этом месяце большое распространение получили поддельные антивирусы, предлагающие по Интернету проверить свой компьютер на наличие вирусов. Фальшивки создают веб-страницу, по дизайну напоминающее окно "Мой компьютер" в Windows, а затем по видом проверки системы на вредоносные программы якобы находят вирус на компьютере пользователя.

CNews: «Касперский» выпускает антивирус для Android

«Лаборатория Касперского» представит многофункциональный защитный продукт для устройств на платформе Android 15 февраля 2011 г.
«Лаборатория Касперского» готовится выпустить защитный продукт для устройств на платформе Android. Об этом рассказал CNews глава компании Евгений Касперский. По его словам, «андроидная» версия Kaspersky Mobile Security будет представлена в Барселоне на World Mobile Congress 15 февраля 2011 г.
Со временем «андроидное» направление может стать одним из важнейших для отечественного антивирусного разработчика. По прогнозам Евгения Касперского, в ближайшие 10 лет IT-рынок ждет раздел на два крупных сектора: корпоративный и домашний. При этом если основной операционной системой в корпоративном сегменте останется Windows, то домашних пользователей ждет массовый переезд на устройства под управлением альтернативных ОС, самой популярной из которых станет Android.
Менеджер по развитию мобильных продуктов «Лаборатории Касперского» Виктор Дронов сообщил CNews, что версия Kaspersky Mobile Security для Android будет включать четыре компонента: антивор (Anti-Theft), фильтр нежелательных звонков и SMS, защиту приватности контактов и антивирус.
«Защита от вора» на случай потери или кражи телефона в Mobile Security обеспечивается определением местоположения телефона с помощью встроенного приемника GPS или методом триангуляции по базовым станциям, его блокировку посредством отправки SMS с паролем, удаленную очистку памяти от всех личных данных и документов, и автоматическую блокировку телефона при смене SIM-карты. Номер новой SIM-карты высылается истинному владельцу телефона по SMS и email.

По прогнозу Евгения Касперского, через 10 лет основной домашней ОС станет Android
С помощью фильтра звонков и SMS можно запретить входящие вызовы и SMS, поступающие от нежелательных номеров. Кроме того, предусмотрена фильтрация SMS по ключевым словам.
Функция «защиты приватности» позволяет присвоить отдельным контактам свойство невидимости при переводе телефона в «скрытый режим». Помимо невидимости самих контактов, от постороннего наблюдателя могут быть скрыты журнал звонков и переписки для таких контактов. По словам Евгения Касперского, эта полезная функция может заинтересовать деловых людей.
Защитное ПО для Android будет поставляться в составе новой версии Kaspesky Mobile Security 9, вместе с версиями еще для трех мобильных платформ: Symbian, Windows Mobile и Blackberry. Версии для Android и Blackberry в девятом релизе Kaspersky Mobile Security появятся впервые: до сих пор в пакет входили программы только для Symbian и Windows Mobile.
Виктор Дронов сообщил CNews, что Mobile Security для Android на сайте «Лаборатории Касперского» будет доступна с 15 февраля, а в магазине приложений Android Market «несколько позже».
По его словам, при покупке на сайте «Лаборатории Касперского» новая Mobile Security в России будет стоить прежние 720 руб. Цену приложения в Android Market Дронов не раскрыл, но сообщил, что покупателей будет ждать приятный сюрприз.
Функциональность Mobile Security для Android скромнее, нежели в версиях для Symbian и Windows Mobile, в которых, есть возможности шифрования и родительского контроля.
Наименее обширными возможностями будет обладать версия для Blackberry. Из шести компонентов, доступных для Symbian и Windows Mobile, в ней доступны только два: антивор и фильтрование звонков и SMS.
Что касается продуктов для iOS и Windows Phone, Виктор Дронов подтвердил, что «Лаборатория Касперского» изучает возможности создания приложений и для этих платформ, однако, это не означает, что они появятся в ближайшее время.
Появление вредоносных программ для Android совпало с наступлением устройств под управлением этой платформы на мобильный рынок. По данным «Лаборатории Касперского» в 2010 г. было выявлено до 20 семейств троянов, созданных для устройств на Android.
Разработка «Лаборатории Касперского» - не первое, но, вероятно, одно из самых многофункциональных защитных решений для платформы Android. Известно, что отдельный бесплатный антивирус для Android бесплатно распространяет российский конкурент «Касперского» «Доктор Веб». Symantec продает версию Norton Security для Android с лета 2010 г.

Обновление компонентов в продуктах Dr.Web 6.0 для Windows

Компания «Доктор Веб» сообщает о выпуске обновленных почтового и файлового мониторов, утилиты обновления, а также сборщика информации Dr.Web SysInfo в составе персональных и серверных продуктов Dr.Web версии 6.0 для Windows. Большая часть изменений была связана с исправлением выявленных ошибок, в то время как функциональные возможности Dr.Web SysInfo были расширены.

В почтовом мониторе исправлена проблема некорректного отображения справочной информации. В файловом мониторе исправлена несовместимость с программой для резервного копирования и аварийного восстановления данных Acronis True Image 2009. Также была повышена стабильность работы модуля. В утилите обновления исправлена причина аварийного завершения работы компонента, которое происходило в некоторых случаях при отсутствии доступа к Интернету.

Также был усовершенствован сборщик информации Dr.Web SysInfo — в частности, оптимизирован сбор данных о работе плагина Dr.Web для IBM Lotus Domino.
Для пользователей продуктов Dr.Web 6.0 для Windows обновление пройдет автоматически, однако потребует перезагрузки компьютера.

"Лаборатория Касперского" подвела киберитоги 2010 года и заглянула в цифровое будущее

"Лаборатория Касперского" сообщает о проведении
пресс-конференции "Компьютерный андеграунд 2010-2020: итоги и
прогнозы". В рамках мероприятия эксперты компании подвели вирусные
и спам-итоги года, а также дали киберпрогноз на ближайшие десять лет.
Согласно данным аналитического отчета "Лаборатории
Касперского" о развитии угроз, в качестве основных тенденций 2010
года можно выделить дальнейшее развитие вирусных технологий, переход от
массовых эпидемий к целенаправленным заражениям, активное использование
уязвимостей лицензионного ПО, а также появление нового класса угроз
- СМС-блокеров.
Главной новостью 2010 года в сфере информационной безопасности стала
атака червя Stuxnet, знаменующего переход вирусописательства на
качественно новый уровень. Деструктивная активность этой вредоносной
программы оказалась нацелена не на массовое заражение пользователей, а
на контроль над системами управления промышленными объектами.
"В 2010 году был отмечен повышенный интерес к цифровым подписям со
стороны киберпреступников. События показали, что злоумышленник может
получить цифровой сертификат вполне легальным образом, как обычный
разработчик софтверных решений, - говорит Сергей Новиков,
руководитель российского исследовательского центра "Лаборатории
Касперского". - Так, одной из особенностей Stuxnet стало
применение цифровых сертификатов компаний Realtec и JMicron, что
позволило вредоносной программе долгое время избегать обнаружения.
Другой отличительной чертой зловреда стало использование сразу пяти
уязвимостей ОС Windows (в том числе четырех неизвестных ранее
уязвимостей "нулевого дня").
Серьезной проблемой для пользователей из России и стран СНГ в прошедшем
году стали СМС-блокеры. Эти вредоносные программы, распространявшиеся
несколькими способами (в том числе через популярные социальные сети и
файлообменные ресурсы), блокировали работу операционной системы, требуя
отправить сообщение на платный premium-номер для получения "кода
разблокировки". Число пострадавших оказалось столь велико, что
ситуация попала в поле зрения правоохранительных органов и получила
широкое освещение в СМИ. К борьбе с мошенниками подключились мобильные
операторы, введя новые правила регистрации и работы коротких номеров, а
также блокируя аккаунты мошенников.
Говоря о СМС-блокерах, эксперты еще раз напомнили, что кроме
компьютерных, сегодня активно развиваются и мобильные угрозы - в
прошлом году были обнаружены первые вредоносные программы для iPhone и
Android. Все это в очередной раз говорит о том, что мобильные устройства
нуждаются в информационной защите так же, как и персональные компьютеры.
"2010 год вошел в историю под знаком активизации борьбы не только
с СМС-блокерами, но и со спамом, что не замедлило сказаться на объемах
нежелательной корреспонденции. В результате количество спама в почтовом
трафике в среднем за год сократилось на 3% по сравнению с предыдущим
периодом и составило 82%. При этом стоит отметить, что борьба со
спамерами велась не только в западном мире, но и в России -
достаточно вспомнить о деле Игоря Гусева, - говорит Андрей
Никишин, руководитель лаборатории облачных и контентных технологий
"Лаборатории Касперского". - Тем не менее, возникшая
благодаря успехам в борьбе с ботнетами, передышка для обычных
пользователей продлится недолго, и уже через пару-тройку месяцев доля
спама с большой вероятностью вернется на прежний уровень".
Впрочем, в ближайшие несколько лет развитие технологий едва ли сулит
заказчикам спама новые прибыли. В будущем все может кардинально
поменяться, считает Евгений Касперский. Единственное, что не потеряет
своей актуальности - это девиз, которым по-прежнему будут
руководствоваться киберпреступники: "кто владеет информацией
- тот владеет миром". Борьба за любые данные (и за их
сохранность) будет определять лицо угроз ближайших десяти лет.
"В 2020 году возможность выхода в Интернет будет реализована в
десятках различных устройств, которые будут работать под самыми разными
ОС. В то же время Windows в ближайшее десятилетие утратит свои
лидирующие позиции, но останется основной платформой для корпораций.
Изменение расстановки сил в мире ОС отразится на киберпреступном бизнесе
- произойдет смена поколений, которая в конечном итоге может
вылиться в физическое противостояние старой и новой школы
киберпреступников за передел сфер влияния. Киберпреступность-2020,
скорее всего, разделится на две группы: первая будет специализироваться
на атаках на бизнес (зачастую по заказам): на поле битвы сойдутся
кибернегодяи, противостоящие им компьютерные спецы из корпораций и,
скорее всего, вовлеченные в процесс киберспецслужбы. Целью второй группы
будут устройства, контролирующие наше существование, передвижение и
работу большого числа служб. Взлом и кража подобных систем, возможность
бесплатно пользоваться различными сервисами, удаление и изменение
информации о себе, своей (или заказчика) активности - вот что
будет привлекать и давать заработать новому поколению
киберпреступников", - считает Евгений Касперский,
генеральный директор "Лаборатории Касперского".
Конференция "Компьютерный андеграунд 2010-2020: итоги и
прогнозы" прошла 26 января в Москве в рамках ежегодного
регионального пресс-тура. В течение двух дней, 25 и 26 января,
журналисты из России, Украины, Казахстана и Латвии знакомились с
"Лабораторией Касперского", а также встречались с ведущими
экспертами и специалистами компании.
Краткая версия годового аналитического отчета "Лаборатории
Касперского" о развитии угроз в 2010 году доступна по адресу:
www.kaspersky.ru/reading_room?chapter=207368119.
Ознакомиться подробнее со спам-итогами прошедшего года можно, пройдя по
ссылке: www.kaspersky.ru/reading_room?chapter=207368118.

вторник, 25 января 2011 г.

Хакеры украли данные кредитных карт покупателей косметики

Британский сайт косметической компании Lush прекратил свою работу: сделать такой шаг его владельцев вынудили хакерские атаки, в результате которых произошла утечка данных о кредитных картах клиентов. Компания в ближайшее время откроет временный сайт для онлайн-заказов, причём первоначально оплата будет приниматься исключительно через PayPal.

Подробности атаки не сообщаются, разве что, судя по сообщению издания The Register, известно, что в компании Lush впервые обнаружили вторжение ещё в конце декабря (в настоящий момент сообщение на главной странице сайта Lush изменилось, и упоминания о декабрьской атаке там нет). Попытки "повторного входа" со стороны злоумышленников продолжаются и сейчас.

Компания разослала своим клиентам электронной почтой сообщение о взломе, рекомендуя всем, кто делал онлайн-заказы в период с 4 октября 2010 по 20 января 2011 года, связаться со своими банками по вопросу о том, что данные их платёжных карт могли быть украдены. В Lush уточняют, что решили перестраховаться и расширить предполагаемый период утечки, с тем чтобы наверняка "накрыть" всех пострадавших.

Количество украденных карт не сообщается, равно как и не уточняется, что именно специалисты Lush делали с конца декабря и по 20 января, когда они наконец решили поделиться информацией о взломе со своими клиентами.

ZeuS Tracker отключил 9 российских "пуленепробиваемых" хостеров

При активном участии эксперта по кибербезопасности Романа Хюссе в этом месяце удалось отключить 9 "пуленепробиваемых" российских автономных систем, в которых нашли пристанище десятки контролирующих центров ZeuS-ботнетов. Кроме того, в январе были отключены ещё 5 украинских "пуленепробиваемых" хостеров.

Хюссе специализируется на ZeuS-ботнетах: его сервис ZeuS-трекер известен по всему миру. В марте прошлого года в поле зрения Хюссе попал хостинг-провайдер VLine Telecom (AS31500), который начал предоставлять услуги неким лицам, использовавшим мощности провайдера для размещения центров управления ZeuS-ботнетами.

По данным ZeuS-трекера, в прошлом году через VLine Telecom осуществлялось управление более чем 140 ботнетами. И это лишь если учитывать непосредственный хостинг, потому что VLine также начал перенаправлять трафик ряду автономных систем, которые, как считает Хюссе, оказались "самыми худшими преступными сетями в мире".

По каждой из этих AS имеется весьма неприглядная запись в Spamhaus. Репутация Spamhaus далеко не безупречна, здесь порой заносят в чёрные списки целые страны, однако от деятельности этой организации бывает и положительный эффект. Так случилось и на этот раз, после того как в конце ноября минувшего года Spamhaus занёс в черные списки питерский GlobalNet. VLine Telecom в то время подключался к Сети именно через этого провайдера.

Вполне естественно, что в GlobalNet зашевелились. Хюссе также вышел на контакт с питерцами в декабре; по его словам, GlobalNet сперва отказался отключать VLine Telecom, ссылаясь на российские законы, однако, изучив предоставленные швейцарским экспертом улики, заблокировал нехорошие IP-адреса.

В конце декабря, когда выяснилось, что VLine Telecom не принимает никаких мер, в том числе профилактических, в отношении центров управления ботнетами, GlobalNet по просьбе Хюссе надавил на этого провайдера. В результате VLine Telecom отключил одного из "пуленепробиваемых" хостеров.

Победу, однако, праздновать было рано. В начале января VLine Telecom внезапно ушёл от GlobalNet к Федеральной университетской компьютерной сети России RUNNet вместе со всеми низлежащими преступными хостерами. Кроме того, VLine Telecom вышел на связь с Хюссе и попросил впредь обращаться к нему напрямую со всеми подобными жалобами.

Хюссе "решил дать им шанс" и приложил к ответному письму подробный список всех нарушителей с описанием их деятельности. VLine Telecom тут же отреагировал, заверив швейцарца, что все 9 нарушителей отключены от Сети. Как выяснилось через несколько часов, в действительности эти сети перестали быть видны с IP-адреса Хюссе, а кроме того, ими блокировался и трафик с ZeuS Tracker.

Тогда Хюссе, по его признанию, разозлился и вышел на связь с RUNNet. Там за один час вникли в ситуацию и прекратили транзитить VLine Telecom. А ещё через 4 минуты VLine Telecom написал в RUNNet и Хюссе о перекрытии кислорода всем 9 проблемным автономным системам.

В настоящий момент VLine Telecom опять подключился к GlobalNet, при этом, по данным Хюссе на 22 января, ни один из 9 "пуленепробиваемых" хостинг-провайдеров не поднялся. Эксперт считает это серьёзным успехом, хотя и уверен, что в действительности VLine Telecom также следовало наказать полным отключением.

Он, правда, отмечает, что, по его ощущениям, в VLine Telecom иногда "не знали, что они делали (с технической точки зрения), и... не понимали, что я хотел им сказать (языковая проблема)". В то же время Хюссе выражает благодарность GlobalNet и RUNNet и — наполовину в шутку, наполовину всерьёз — заявляет, что главным уроком, который он вынес из этой истории, является осознание того, что "не каждый русскоговорящий парень — киберпреступник".

PandaLabs раскрыла секреты черного IT-рынка

Лаборатория PandaLabs опубликовала отчет о результатах расследования ситуации на черном IT-рынке. В нем PandaLabs раскрывает информацию о преступных сетях, которые занимаются продажей похищенных банковских реквизитов и другой незаконно полученной информации в Интернете.
PandaLabs обнаружила обширную сеть, которая продает реквизиты похищенных банковских карт наряду с другими видами продуктов в форумах и более 50 Интернет-магазинах. Этот рынок очень быстро растет, и кибер-преступники похищают все больше личной информации для получения в дальнейшем финансовой прибыли. После того как специалисты Panda Security проникли в сеть под видом преступников, PandaLabs сделала некоторые важные выводы.
Чёрный рынок кибер-преступности, который традиционно сосредоточен на продаже похищенных банковских и карточных реквизитов, сменил свою основную бизнес-модель в 2010 году. Теперь на рынке представлен гораздо более широкий выбор похищенной конфиденциальной информации, включая банковские учетные данные, логины, пароли, поддельные кредитные карты и многое другое. Хотя эта информация и кажется открытой и доступной, PandaLabs обнаружила, что её можно заполучить только через личный контакт с хакерами, которые предлагают свои услуги через форумы и чаты.
Процесс продажи
Имея доступ к банковской информации, преступники могут легко воспользоваться ею задолго до того, как будут обнаружены. Вызывает тревогу тот факт, что эти данные можно приобрести по смешной цене - всего 2$ за информацию об одной карте. Однако за такую цену вы не получите никакой дополнительной информации или доступ к проверке счёта. Если покупатель хочет быть уверенным в том, что на банковском счёте действительно есть деньги, то он может приобрести:
- за 80$ данные о счете, на котором не очень большая сумма;
- за 700$ - данные о счете, на котором лежит больше 82 000$.
Если со счета переводились деньги для оплаты покупок в Интернет-магазинах или проводились операции через платежные системы, например, PayPal, то цена за информацию о таком счете будет еще выше.
Специалисты PandaLabs обнаружили, что стоимость данных о счетах колеблется от 10$ до 1500$ в зависимости от платформы и гарантии имеющихся средств. Кроме того, кибер-преступники предлагают так называемые клонированные кредитные / дебетовые карты (от 180$), устройства для клонирования карт (200$ - 1000$), и даже поддельные банкоматы (от 3500$ в зависимости от модели). Дополнительные услуги, такие как отмывание денег (посредством банковских переводов или обналичивания чеков) доступны по цене, составляющей от 10 до 40 % работы. Если покупатели хотят использовать похищенные банковские реквизиты, чтобы купить продукты через Интернет, но боятся, что их вычислят через адрес доставки, кибер-преступники могут сделать это за них. Стоимость такой услуги составляет от 30$ до 300$ (в зависимости от выбранного продукта).
Для более «продвинутых» кибер-мошенников, которые хотят создать свой собственный поддельный Интернет-магазин и с помощью мошеннических методов выманивать данные пользователей, а также зарабатывать деньги, продавая ничего не подозревающим пользователям поддельные антивирусные программы, также существует ряд услуг. Например, дизайн, разработка Интернет-магазина, создание сайта «под ключ» и даже его позиционирование в поисковых системах. В этом случае цена зависит от объема работ.
Кибер-преступники предлагают также арендовать бот-сети для рассылки спама (с использованием инфицированных компьютеров-зомби). Стоимость зависит от числа используемых компьютеров, количества спама, которое нужно разослать, или периода аренды. Цены колеблются от 15$ до 20$ за аренду серверов SMTP или VPN, которые позволяют оставаться анонимным.
Ниже представлен список существующих услуг и примерные цены:

Большой бизнес
Чёрный рынок кибер-преступности, как и любой другой бизнес, существует до тех пор, пока в нем есть потребность у клиентов. Поскольку конкуренция в этой отрасли достаточно высока, преступники назначают конкурентоспособные цены, а операторы даже предлагают скидки для «оптовых» покупателей. Покупателям предлагают воспользоваться пробным периодом использования похищенных банковских реквизитов, а также гарантируют возврат денег или обмен услуги.
Однако, поскольку это всё-таки черный рынок, есть некоторые детали, которые отличают его от традиционного бизнеса. Так как анонимность имеет первостепенное значение, многие продавцы используют «подпольные» форумы для продвижения продукции. Роль офиса успешно выполняет Интернет, доходит даже до того, что мошенники пишут график работы своего «офиса». Некоторые из них действуют более открыто и заводят страницы на Facebook и Twitter, которые они используют в качестве витрины. Для обеспечения анонимности преступники общаются всегда через программы обмена мгновенными сообщениями или с помощью электронной почты.
Как только контакт установлен, операция проводится через сайт, созданный продавцом. При этом используются имя пользователя и пароль, которые, как и в любом Интернет-магазине, позволяют покупателям просматривать и заполнять свою «корзину». Оплата всегда осуществляется по авансовой схеме через платежи Western Union, Liberty Reserve и WebMoney.

В инфраструктуре проекта Fedora зафиксировано вторжение злоумышленника

Лидер проекта Fedora сообщил детали произошедшего 22 января инцидента, в результате которого злоумышленники смогли проникнуть на некоторые серверы проекта под одним из пользовательских аккаунтов. В сообщении с разбором ситуации утверждается, что параметры доступа были получены вследствие внешней атаки (например, взлом машины разработчика или сниффинг), а серверы инфраструктуры не были взломаны напрямую.

Поверхностная проверка показала, что злоумышленники не вышли за пределы скомпрометированного аккаунта и не воспользовались функциями формирования сборок и обновлений. Тем не менее, мейнтейнерам пакетов рекомендовано регулярно анализировать журналы внесения изменений в пакеты и информировать администрацию (admin at fedoraproject.org) о любой подозрительной активности. Участникам проекта при доступе к инфраструктуре Fedora настоятельно рекомендуется использовать надежные пароли и не применять эти же пароли в других проектах, особенно на web-сайтах, не использующих шифрование.

Проникновение злоумышленника было выявлено после обращения одного из разработчиков, обеспокоенного получением системного письма с уведомлением об изменении параметров аккаунта. Администраторы проекта немедленно приступили к разбору ситуации и выяснили, что действительно под аккаунтом обратившегося пользователя были осуществлены факты входа постороннего лица.

Скомпрометированный аккаунт не входил в группу системных администраторов и команды по подготовке релизов, но обладал следующими привилегиями:

  • Возможность входа на серверы fedorapeople.org и pkgs.fedoraproject.org с правами непривилегированного пользователя;
  • Доступ к помещению новых пакетов в систему управления исходными текстами Fedora;
  • Право на выполнение сборки пакетов и формирования обновления к ним.

В ближайшее время администраторами проекта будет проведён детальный анализ инцидента и выполнен дополнительный аудит безопасности серверов. Из уже проведенных мероприятий отмечается выполнение следующих действий:

  • Блокирование скомпрометированного аккаунта;
  • Создание снапшотов всех файловых систем на серверах на которых присутствовал взломанный аккаунт;
  • Аудит логов SSH, FAS, Git и Koji показал, что злоумышленник сменил SSH-ключ аккаунта и вошел на сервер fedorapeople.org, но не пытался поместить изменения в систему управления исходными текстами Fedora, не входил на сервер pkgs.fedoraproject.org, не генерировал koji-сертификат, не выполнял сборки пакетов и не формировал обновления пакетов (примечание: или умело замел следы, чтобы создать иллюзию неудавшегося взлома).

понедельник, 24 января 2011 г.

Создание ботнетов из смартфонов - дело времени

Специалисты в области электронной безопасности предупреждают об угрозе массового распространения вредоносных программ для мобильных устройств.

Смартфоны, бывшие на протяжении некоторого времени «островком безопасности», теряют этот статус. Если помните, в конце декабря в Китае были зафиксированы едва ли не первые случаи заражения коммуникаторов с ОС Android троянской программой Geinimi, задача которой — не только поживиться личными данными пользователя, но и установить удалённый контроль над устройством. Злоумышленник может скачивать и удалять приложения, рассылать спам, а также — и это главное — сделать смартфон частью ботнета.

Консультант по безопасности компании IBM Джорджия Вайдман создала аналогичную программу, которая позволяет получить контроль над мобильным устройством. После того как в гаджет проникли руткиты, он получает СМС с командами от мошенника. Обычный пользователь не способен их обнаружить.

Г-жа Вайдман намерена продемонстрировать свою разработку на трёх разных моделях, использующих платформу Android, хотя в принципе она способна действовать на всех типах «умнофонов». Презентация приложения состоится на конференции по проблемам хакерства ShmooСon-2011, которая пройдёт 28–30 января в Вашингтоне (США).

Как заявляет специалист, криминальные схемы, использующие телекоммуникационное оборудование, становятся всё более распространёнными. Они позволяют получить реальную прибыль, а число устройств, «готовых» к потенциальному заражению, неуклонно растёт.

Впрочем, скорый и всеобъемлющий зомби-апокалипсис смартфонам пока не грозит. Инфицировать их не так-то просто, поскольку они обладают сравнительно надёжной защитой — наряду с основными (и, понятно, надёжными) источниками распространения приложений вроде App Store и Android Market. Кроме того, у мобильных устройств не столь мощные, как у компьютеров, вычислительные возможности, которые не позволяют киберпреступникам выполнять часть привычных для них задач, говорит г-жа Вайдман.

Финансовые организации всерьез задумались о стандартизации ИТ-безопасности

После крупных взломов карточных платежных систем, произошедших в последние годы, организации, не желающие разделить печальную участь пострадавших, стали активно обсуждать вопросы внедрения и соблюдения стандартов информационной безопасности PCI DSS, PA DSS, PTS и т.п. Компания InsightExpress опросила 500 американских руководителей, принимающих решения в области информационных технологий, чтобы выяснить их отношение к стандарту PCI DSS (Data Security Standard - стандарт безопасности данных) через пять лет после его разработки и в момент выхода его новой, второй версии.

В опросе приняли участие ИТ-руководители, отвечающие за соблюдение спецификаций PCI в организациях из сферы образования, финансовых услуг, государственного управления, здравоохранения и розничной торговли. Исследователи хотели точно оценить их отношение к стандарту PCI DSS, измерить расходы на его внедрение и выявить проблемы, связанные с соблюдением этих нормативных требований, а также оценить распространение определенных технологий, чтобы лучше понять, чем организации руководствуются при выполнении спецификации PCI DSS. Выяснилось следующее:

70 процентов опрошенных считают, что соблюдение стандарта PCI DSS делает их организации более защищенными;
87 процентов опрошенных полагают, что требования стандарта PCI DSS необходимы для защиты данных держателей платежных карт;
из всех отраслей лучше всех выполняют требования PCI DSS предприятия розничной торговли и финансовые организации; розничная торговля самым серьезным образом отнеслась к внедрению и реализации этого стандарта;
67 процентов опрошенных ожидают, что в течение ближайшего года их расходы на соблюдение стандарта PCI DSS будут возрастать; это значит, что руководители компаний и члены советов директоров считают PCI DSS весьма важной инициативой;
кроме того, 60 процентов опрошенных предположили, что усилия по соблюдению стандарта PCI DSS могут стимулировать другие проекты, связанные с сетями и сетевой безопасностью.

Отвечая на вопрос о проблемах соблюдения спецификаций PCI DSS, респонденты чаще всего упоминали необходимость обучения сотрудников правильному обращению с данными держателей платежных карт. По мнению 43 процентов опрошенных, в этой области существуют проблемы. Кроме того, 32 процента упомянули необходимость обновления устаревших систем.

По мнению респондентов, из 12 требований PCI DSS труднее всего соблюдать требования к отслеживанию и мониторингу всех случаев доступа к сетевым ресурсам и пользовательским данным (37 процентов), разработке и поддержке безопасных систем и приложений (32 процента) и защите хранимых данных держателей карт (30 процентов).

С аудитом требований PCI DSS лучше всех справляются государственные организации. Впрочем, подавляющее большинство других организаций тоже стараются защитить конфиденциальные данные держателей карт.

85 процентов опрошенных считают, что в настоящий момент их организации способны успешно пройти аудит PCI DSS, а 78 процентов успешно прошли такой аудит с первого раза;
как ни удивительно, наиболее высокие результаты в данной области показали государственные организации: 85 процентов госучреждений прошли аудит PCI DSS с первого раза успешно. Хуже всего проходили такой аудит медицинские организации (72 процента); свыше 85 процентов опрошенных знакомы с разъяснениями и рекомендациями по недавно объявленной новой версии стандарта PCI DSS 2.0.

Самыми примечательными оказались ответы на вопросы о роли технологии в платежной среде. Открылся удивительный факт: организации внедряют новые технологии заранее, еще до выхода соответствующих директив Совета США по внедрению стандартов безопасности в платежной индустрии (PCI Security Standard Council).

Хотя совет дал рекомендации по технологиям, не включенным открыто в спецификации DSS, таким как шифрование каналов "точка-точка" и EMV (карточные системы Europay, MasterCard и Visa с микропроцессорами и PIN-кодами), точных стандартов для шифрования "точка-точка" до сих пор не существует. Тем не менее организации принимают эту технологию в надежде на "сжатие среды пользовательских данных", то есть уменьшение требований к компьютерным системам, обрабатывающим данные держателей платежных карт. Кроме того, хотя совет дал некоторые разъяснения по поводу виртуализации, мир ждет дополнительную информацию по этому вопросу. При этом многие организации не ждут разъяснений совета и внедряют передовой опыт в нужных областях самостоятельно.

57 процентов опрошенных удовлетворены текущим состоянием дел в области безопасности виртуальной среды в своих организациях;
36 процентов хотят увеличить число виртуальных устройств безопасности (межсетевых экранов и систем предотвращения вторжений), чтобы удовлетворить требования PCI 2.0;
30 процентов стремятся увеличить защищенность виртуализационного программного обеспечения с помощью методов, рекомендуемых производителями и стандартом PCI DSS;
60 процентов организаций используют шифрование "точка-точка", чтобы упростить соблюдение требований безопасности и по возможности уменьшить объем следующей аудиторской проверки PCI DSS;
шифрованием "точка-точка" пользуется почти 70 процентов финансовых организаций;
45 процентов опрошенных заявили, что используют спецификации EMV, чтобы уменьшить вероятность мошенничества;
еще 23 процента не используют EMV, но думают о внедрении этой технологии.

Mozilla защитит пользователей от слежки в Интернет

Разработчики веб-браузера Mozilla Firefox предлагают создать детальный механизм, при помощи которого Firefox и другие браузеры могли бы предотвращать использование методов, применяемых операторами сайтов для отслеживания действий пользователей в интернете. Разработчики технологии говорят, что ее реализация позволит выполнять требования американских и европейских регуляторов, уже давно настаивающих на соблюдении правил приватности в сети.

В предложении Mozilla говорится, что новая технология будет сигнализировать веб-серверу, что пользователь не желает, чтобы системы слежения работали в отношении него. Таким образом, здесь так или иначе придется определенную часть работы по фильтрации данных выполнять владельцам сайтов. В то же время, компания признает, что развертывание такой системы не будет слишком быстрым и займет какое-то время, так как изменения придется вносить в серверное и клиентское ПО.

В Mozilla говорят, что соответствующие настройки, связанные с блокировкой отслеживания, могут быть встроены в браузер. Однако для того, чтобы эта система была успешной, ее должны поддержать все основные производители браузеров. На практике создание такой системы в первую очередь заблокирует работу систем поведенческого анализа пользователей, применяемых для работы рекламных сетей.

Одним из очевидных преимуществ технологии является то, что здесь будут блокироваться только те элементы веб-контента, что направлены на отслеживание действий пользователей, тогда как остальные по-прежнему будут работать. Нынешние браузеры имеют так называемый "невидимый режим", который удаляет все следы работы в интернете.

Сегодня же компания Google представила инструмент под названием Keep My Opt-Outs, позволяющий в реальном времени пресекать попытки слежения за пользователями со стороны десятка крупнейших рекламных сетей.

воскресенье, 23 января 2011 г.

Специалисты ЛК обнаружили новый вид SMS-спам рассылки

"Лаборатория Касперского" сообщила об обнаружении очередной SMS-спам рассылки, содержащей ссылку на вредоносную программу для мобильных телефонов и смартфонов: Trojan-SMS.J2ME.Smmer.f.Отправителем мог значиться обычный мобильный телефонный номер, например, +79671*****2.

По ссылке в спам-сообщении находится очередной SMS-троянец, который детектируется ЛК как Trojan-SMS.J2ME.Smmer.f. Около года назад антивирусная компания уже обнаружила похожую кампанию, однако в случае рассылки годичной давности SMS-троянец пытался отправить SMS-сообщения на платный короткий номер 8353, стоимость сообщения на который равна ~180 рублям. SMS-троянец из вчерашней рассылки отправляет ровно два сообщения: первое - на короткий номер 3116; второе - на короткий номер 8464.

Стоимость сообщения на любой из данных коротких номеров равна... 0 рублям. В очередной раз всплывает старый вопрос: "Где деньги?" Дело в том, что данные короткие номера используются одним из операторов сотовой связи для перевода денежных средств с одного мобильного телефона на другой. Если один абонент хочет осуществить такую операцию, то ему необходимо отправить SMS-сообщение на номер 3116 следующего вида: "Номер_телефона_получателя Сумма_перевода"

Trojan-SMS.J2ME.Smmer.f отправляет первое сообщение на короткий номер 3116 с текстом "9654*****2 200". Это значит, что баланс мобильного телефона зараженного пользователя уменьшится на 200 рублей из-за вредоносной программы. Но зачем SMS-троянцу отправлять второе бесплатное SMS-сообщение на короткий номер 8464 с текстом "1". Данная SMS'ка необходима для подтверждения перевода средств с одного телефона на другой.

"Мы видели похожие вредоносные программы уже два года назад, однако их целью были пользователи оператора сотовой связи в Индонезии. Различные сервисы, предлагаемые мобильными операторами, созданы для удобства пользователей. Данная конкретная услуга мобильного перевода позволяет пополнить баланс абонента, который в этом нуждается. Однако, как мы видим, злоумышленники всегда пытаются обратить легальные сервисы в нелегальное средство обогащения", - говорит Денис Масленников, антивирусный эксперт "Лаборатории Касперского".

Исследователи использовали USB для атаки на смартфоны

Профессор информатики Ангелос Ставру и его студент Жаохай Ванг создали программное обеспечение, которое позволяет модифицировать функциональность драйвера USB и предоставляет возможность проведения скрытной атаки во время зарядки смартфона или синхронизации данных между мобильным устройством и компьютером. Профессор Ставру и его партнер готовы продемонстрировать свою разработку в действии на проходящей в эти дни конференции Black Hat DC.

Эксплойт оказался возможным благодаря уникальной особенности протокола USB, который допускает подключение к системе любого устройства без предварительной аутентификации. В случае успешного проведения атаки злоумышленник получает возможность ввода команд с клавиатуры и совершения щелчков мышью с целью кражи файлов, загружать вредоносное ПО или выполнять другие действия для получения контроля над системой.

Созданное исследователями приложение распознает ОС, запущенную на компьютере с подключенным по USB смартфоном. Системы Macintosh и Windows выводят на дисплей всплывающее сообщение об подключении нового устройства, однако пользователям не предоставляется явной возможности приостановки этого процесса. На Mac-системах всплывающее сообщение может быть быстро закрыто хакером, так что в большинстве случаях оно останется незамеченным. В операционной системе Windows всплывающее окно и так задерживается на экране не больше пары секунд, а пользователи Linux, не получающие от системы соответствующих уведомлений, вообще не поймут, что происходит что-то необычное.

Написанное профессором и студентом приложение в настоящий момент запускается только на устройствах Android. Впрочем, злоумышленники смогут проделать тот же трюк со смартфоном iPhone и любым другим устройством, поддерживающим интерфейс USB. Оказаться объектами атаки могут и два смартфона, соединенные кабелем.

Изначально приложение-эксплойт может проникать на устройство в результате загрузки файла из Интернета или запуска приложения. «Представьте себе, что ваш домашний компьютер оказался скомпрометированным. В этом случае при установке соединения вы заражаете и Android-устройство, - объясняет разработчик – Разумеется, впоследствии могут быть скомпрометированы и другие ноутбуки или настольные ПК, к которым подключается смартфон».

Ангелос Ставру утверждает, что существующие антивирусные решения вряд ли способны обнаружить и ликвидировать угрозу, поскольку не смогут отличить деятельность опасного приложения от легальной активности, санкционированной владельцем ПК.

Таким образом, в настоящий момент ни один из ПК-пользователей не защищен от опасности. Эксперты считают, что для противостояния новой угрозе необходимо научить операционную систему проводить тщательный анализ USB-трафика, уведомлять пользователя о потенциально опасной активности и предоставлять возможность отмены того или иного действия.

Firefox заблокировал Skype Toolbar

Разработчики Mozilla объявили, что популярный плагин Skype Toolbar стал одной из главных причин падений Firefox и запретили его установку и использование в браузере.

Mozilla добавила в своей черный список дополнение Skype для Firefox. Оно будет заблокировано во всех версиях браузера, сообщила компания в своем блоге.

Добавить в Firefox дополнение Skype пользователю предлагается при установке клиента Skype на компьютер. Дополнение преобразует телефонные номера на веб-страницах в формат Skype, а также позволяет добавить в браузер панель инструментов Skype.

Mozilla заявила, что дополнение Skype приводит к сбоям в браузере (на минувшей неделе было зарегистрировано около 40 тыс. сбоев по его вине), а также в несколько раз замедляет загрузку страниц.

Как сообщается, представители Mozilla связались с разработчиками из компании Skype, которые приступили к исправлению наблюдаемых проблем. Блокировка будет снята после того, как все мешающие работе ошибки будут устранены. До снятия блокировки пользователи, желающие воспользоваться данным дополнением, могут вручную активировать его в менеджере дополнений Firefox.

Появился первый троян, блокирующий облачные антивирусы

В Китае создан первый троян, специально нацеленный на противостояние с "облачными" антивирусами, сообщает Microsoft Malware Protection Center. Троян Bohu распространяется под видом бесплатного видеоплеера, и пока что борется только с китайскими антивирусами Kingsoft, Qihoo и Rising.

На "облачные" решения по обеспечению безопасности переходят сейчас многие антивирусы. В частности, "Лаборатория Касперского" с 2009 года использует в своих продуктах систему KSN, которая получает обратную связь с компьютеров пользователей, что позволяет более оперативно отслеживать новые угрозы. В том же году Panda Security выпустила ряд облачных решений - в частности, утилиту для браузера, которая отфильтровывает опасные сайты, опять-таки на основе данных от интернет-пользователей. Использование таких технологий привело к тому, что вирусописатели ищут новые ходы - или вспоминают старые.

Вирус Bohu незаметно перекрывает трафик между пользовательским компьютером и сервером антивируса, не давая пользовательскому компьютеру сообщить в центр об подозрительной активности. Стоит отметить, что ранее уже существовали вирусы, которые блокируют антивирусные сайты, но в данном случае речь идет о более продвинутой технике - блокируется не просто сайт производителя, а онлайновая система оперативной связи с антивирусным "облаком".

Microsoft закрыла доступ к исходному коду утилит Sysinternals

В 2006 году Microsoft купила компаниюВ 2006 году Microsoft купила компанию Sysinternals . Разработчики Марк Руссинович и Брюс Когсвелл написали большое количество полезных системных утилит для управления, диагностики, устранения неполадок и мониторинга среды Microsoft Windows.

Сайт Sysinternals стал частью Microsoft Technet, утилиты по-прежнему доступны для загрузки здесь и здесь . Но до покупки компании, на сайте можно было скачать исходные коды программ, а теперь исходные коды недоступны.

Microsoft утверждает , что исходный код был убран по причине того, что его доступность может вызвать проблемы с поддержкой других компонентов Windows.

Исходники программ Sysinternals демонстрировали такие возможности, как сокрытие информации в реестре, перехват и подключение API-функций для мониторинга файловой системы и другие интересные вещи. Зачастую в программах использовались недокументированные функции Native API , для выполнения действий, невозможных при использовании стандартного WinAPI.

К счастью, кто-то выложил на торренты зеркало сайта Sysinternals от 18 июля 2006 года (дата покупки компании), которое содержит не только страницы сайта, но и все утилиты и исходный код.

пятница, 21 января 2011 г.

Учебный центр Softline провел обучение госслужащих Узбекистана по курсу Kaspersky Lab

В начале января 2011 года Учебный центр Softline в Узбекистане, Авторизованный Центр «Лаборатории Касперского», провел обучение технических специалистов Государственного Налогового комитета Узбекистана, Центрального банка РУз, Министерства Финансов РУз и Государственно-акционерной страховой компании «УЗАГРОСУГУРТА» по курсу «KL002 Антивирус Касперского для рабочих станций и серверов Windows R2».
Обучение по курсу «KL002 Антивирус Касперского для рабочих станций и серверов Windows R2» проводилось для администраторов информационной безопасности, а также специалистов технической поддержки, обеспечивающих работоспособность систем информационной защиты, построенных на основе Антивируса Касперского, для четырех крупнейших государственных учреждений Узбекистана. Были обучены сотрудники Государственного Налогового комитета Узбекистана, Центрального банка РУз, Министерства Финансов РУз и Государственно-акционерной страховой компании «УЗАГРОСУГУРТА».
Образовательный процесс проходил под руководством профессионального тренера Учебного центра Softline в хорошо оборудованном классе, позволяющем в полной мере освоить работу с программными продуктами ЗАО «Лаборатория Касперского». Во время обучения слушателям были предоставлены учебные пособия, разработанные вендором. Курс «KL002 Антивирус Касперского для рабочих станций и серверов Windows R2» авторизован производителем ПО, что гарантирует мировой стандарт качества обучения.
В рамках образовательного процесса были рассмотрены следующие вопросы: что такое управляемый антивирус, какие сложности возникают, если множество антивирусов взаимодействуют одновременно, какие задачи возникают в централизованной системе, что такое Kaspersky Administration Kit, его основные компоненты и принципы работы. Был сделан акцент на том, что Антивирус Касперского гарантирует безопасность пользователя, где бы он ни находился – в офисе, у клиента или в командировке. По окончанию курса слушатели овладели навыками построения систем антивирусной защиты, вопросами проектирования оптимального решения по защите рабочих станций и серверов Windows, основанных на использовании Антивируса Касперского, внедрения системы антивирусной защиты рабочих станций и серверов Windows, построенной на базе продукта, осуществления обслуживания внедренной системы на всех стадиях эксплуатации.
Успешное прохождение обучения было подтверждено сертификатами Учебного центра Softline и «Лаборатории Касперского».
«Благодаря данному курсу для технических специалистов различных компаний, в том числе и для нашей организации, открываются новые возможности по осуществлению обслуживания внедренной системы на всех стадиях эксплуатации. Кроме этого, важным фактором является то, что данный курс готовит к экзаменам, входящим в программы подготовки сертифицированных специалистов международного уровня, в частности, к такому экзамену как KL DST LAN – Kaspersky Lab Data-Security Technician Lan Windows. В целом, хочу заметить, что использование лицензионного Антивируса Касперского намного упростило работу системным администраторам, а также положительно отразилось на работе самой компании», – считает Алексей Левин, системный администратор ОАО ГАСК «УЗАГРОСУГУРТА».
«Успешное прохождение курсов «Лаборатории Касперского» повышает эффективность профессиональной деятельности и открывает для слушателей новые перспективы карьерного роста, а также дает очевидные конкурентные преимущества. Для организаций наличие сертифицированных специалистов по информационной безопасности – это значительное повышение устойчивости сети против вирусных атак, а также отличная возможность продемонстрировать партнерам и клиентам общий технический уровень предприятия», – отмечает Тимур Назаров, директор Учебного центра Softline в Узбекистане.

Американцы купили крупный пакет акций «Лаборатории Касперского»

Американский фонд прямых инвестиций General Atlantic приобрел крупный пакет акций «Лаборатории Касперского». Это первый в истории антивирусного разработчика случай входа профессионального институционального инвестора в компанию.

Стороны не раскрывают ни размера приобретенной американцами доли в «Лаборатории Касперского», ни выплаченной суммы, но сообщают, что по завершении сделки General Atlantic станет вторым по величине акционером «Лаборатории». Представитель фонда - управляющий директор и глава европейского подразделения Джон Бернстайн войдет в состав совета директоров «Лаборатории Касперского».

Крупнейшим акционером компании останется Евгений Касперский, обладающий контрольным пакетом.

Исполнительный директор «Лаборатории Касперского» Евгений Буякин сообщил, что соглашение о продаже акций подписано, но «закрытие сделки еще требует подтверждения акционеров, а также определенных юридических формальностей». Ожидается, что это произойдет в течение 2-3 недель.

Часть акций, переданных фонду General Atlantic, ранее принадлежала одному из прежних акционеров компании, другая часть, которую Евгений Буякин назвал «символической», была выпущена дополнительно. Как сообщается, основным продавцом акций выступила сооснователь и председатель совета директоров «Лаборатории» Наталья Касперская. Акции Евгения Касперского в сделке не участвовали.

Black Hat: Исследователи рассказали о новом типе DDoS-атак

Технические специалисты из компании Trustwave-SpuderLabs рассказали о новых образцах атак на технической конференции BlackHat в США. Кроме того, они предложили вероятные способы защиты от нового поколения DoS-атак.

"DoS-атака на четвертом уровне затрагивает одновременные подключения в нескольких сетевых уровнях, что вызывает блокировку сетевого канала. Теоретически, можно использовать сразу все семь уровней сетевого протокола TCP/IP и провоцировать DoS на уровне конечных приложений", - говорит Том Бреннан, директор Trustwave-SpuderLabs.

Бреннан говорит, что DoS седьмого уровня возникает, когда клиент заходит на веб-сервер и делает запрос на соединение через запросы, например, HTTP Post, отвечающие за отправку данных веб-форм. Веб-сервер начинает ожидать получения данных формы, которые в реальности передаются очень медленно, но сервер держит канал приема открытым. "Что произойдет, если бы я смог отправить на одну машину более 20 000 Post-запросов и передавать данные по ним очень медленно? Эта разновидность DoS-атаки сделала бы веб-сервер недоступным для настоящих пользователей", - говорит он.

Бреннан говорит, что им было создано программное обеспечение HTTPS POST Tool, позволяющее сетевым администраторам определять, насколько их машины подвержены новым типам DoS-атак. Программа доступна по адресу http://www.owasp.org/index.php/OWASP_HTTP_Post_Tool

Советы из Сети могут убивать людей

Согласно проведенному исследованию, запрашивать у поисковика советы на медицинскую тематику оказалось рискованным как для здоровья, так и для жизни делом. На ряд запросов, которые "вбивались" в поисковую систему по теме "медицинский уход за ребенком", поисковик в результатах выдачи предоставил лишь около 500 сайтов с более-менее корректной информацией.

Сотрудники Nottingham University Hospitals создали пять специальных запросов и ввели их в поиск. Отметим, что выборка результатов поиска проводилась лишь по британским сайтам. Запросы, состоящие из ключевых слов, были следующими: "MMR аутизм" (MMR autism), "Мастит кормление грудью" (mastitis breastfeeding), "Положение ребенка в момент сна" (baby sleeping position) и "ВИЧ кормление грудью" (HIV breastfeeding).

Как показали результаты выдачи, 500 ссылок на соответствующие сайты, содержащие ответы на поставленные запросы, оказались с нужной информацией. Однако только 39% из них можно было считать достоверными. Как показал более детальный анализ каждой проведенной ссылки, на большей части из страниц, наряду с компетентным контентом, находилась и абсолютно "левая" информация, которая не отображала суть запроса. Выяснилось, что медицинские СМИ-порталы предоставляют точные данные только в 55% всех случаев. Поэтому наиболее безопасными специалисты называют сайты, которые находятся под патронатом государства.

Существует мнение, что медицинская информация в Интернете «вооружает» пациентов перед походом к врачу и дает им возможность лучше разобраться в своей проблеме. Противники такого подхода к самолечению уверены, что, при наличии огромного количества заболеваний со схожими симптомами, без консультации специалиста постановка диагноза самому себе может принести только вред.

По статистике, около 73% британцев используют Интернет для поиска медицинской информации, 64% ищут сведения о лекарствах, а 58% пытаются поставить себе диагноз самостоятельно. При этом, лишь 25% из них проверяют, откуда взята найденная ими информация. «Новые технологии помогают людям во всем мире узнавать больше о собственном здоровье, однако им следует более настороженно относиться к источникам и полагаться лишь на те данные, которые помогут им поправить свое здоровье, а не ухудшить его», - подчеркивают эксперты. Они советуют всем, кто обращается к помощи Интернета для получения медицинских сведений, внимательно оценивать качество источника, читать информацию о сайте в специальном разделе и не доверять тем, кто обещает чудеса в обмен на деньги.

Россия оказалась лидером в росте использования компьютеров и Интернет

Исследование Pew Research Center’s Global Attitudes Project, охватившее 22 страны мира с целью выяснить, насколько быстро растет среди населения распространенность таких технологий, как компьютеры, мобильные телефоны, Интернет и социальные сети, показало интересные результаты.

Социальные сети быстро распространяются по всему миру, но в особенности они популярны на своей родине – согласно данным опросов, американцы чаще всех прочих пользуются социальными сетями: 46% посещают эти сайты. Три страны почти сравнялись с США в использовании социальных сетей: в Польше и в Великобритании ими пользуется по 43% опрошенных, а в Южной Корее – 40%. Россия отстает от этих чисел совсем ненамного: 33% российских респондентов – пользователи социальных сетей. При этом лишь 10% от общего числа российских респондентов, которым хотя бы иногда доступен выход в Интернет, социальными сетями не пользуются.

Также по всему миру отмечен значительный рост числа владельцев мобильных телефонов, а в России он особенно впечатляющ. Сейчас телефон есть у 9 из 10 россиян (82%), в то время как в 2002 году они были лишь у 8%, а уже к 2007 году – у двух третей населения (65%).

Лидером в росте использования компьютеров и сети Интернет также оказалась Россия. Лишь 19% россиян хотя бы иногда пользовались компьютером в 2002 году и 36% - в 2007, на данный же момент пользователями ПК является почти половина – 47%. При этом более 44% россиян сейчас хотя бы иногда пользуются интернетом – в 2007 году так отвечала лишь четверть.

Полный перевод отчета "Global Publics Embrace Social Networking" Pew Research Center’s Global Attitudes Project доступен на портале Smart education - http://www.smart-edu.com/index.php/stati-e-learning/tempy-rasprostraneniya-tehnologiy.html )

Для справки: Pew Research Center’s Global Attitudes Project – проект, который проводит опросы общественного мнения, привлекая аудиторию со всего мира. Исследования затрагивают самый широкий круг вопросов и ориентированы на интерес политиков, ученых, журналистов и широкой общественности. Проект работает с более чем 240 тысячами респондентов и 57 стран мира.

Найдена причина гигантского интернет-трафика WP7-смартфонов

Корпорация Microsoft выяснила причину гигантского объема интернет-трафика, на который жаловались владельцы смартфонов на базе Windows Phone 7 В официальном ответе пресс-службы Microsoft говорится, что причиной "накрутки" интернет-трафика стало неназванное стороннее приложение. Представители Microsoft заявили, что уже связались с его разработчиками и попросили внести изменения, которые приведут к снижению интернет-трафика.

Ранее стало известно, что некоторые владельцы смартфонов на базе мобильной платформы Microsoft получают неоправданно высокие расценки на пользование мобильным интернетом. В частности, один пользователь заметил, что его смартфон отправил 50 гигабайт данных в день без его ведома. При этом соединение с мобильным интернетом осуществлялось даже в том случае, если смартфон уже был подключен к Сети по Wi-Fi.

Как заявил Microsoft, всего от некорректной работы приложения пострадали несколько процентов владельцев смартфонов на Windows Phone 7.

Библиотекам запретили оцифровку книг без согласия авторов

Совет по кодификации и совершенствованию гражданского законодательства при президенте России исключил из проекта изменений Гражданского кодекса поправку, позволяющую библиотекам снимать с книг электронные копии без согласования с автором.

Как утверждает один из членов совета Елена Павлова, начальник отдела законодательства об интеллектуальных правах Исследовательского центра частного права, окончательную версию поправок приняли 27 декабря прошлого года.

Первоначально авторы включили в проект нового Гражданского кодекса редакцию статьи 1245, согласно которой библиотеки могли создавать единичные копии произведений без согласования с автором и выплаты вознаграждения. Официально это объяснялось необходимостью замены утраченных или испорченных экземпляров или предоставления их другим библиотекам.

Первоначально авторы поправок включили в проект нового Гражданского кодекса редакцию статьи 1245, согласно которой библиотеки получали право без согласования с автором и без выплаты вознаграждения создавать единичные копии произведений, в том числе в электронном виде. Оцифровка книг должна была производиться для замены утраченных или испорченных экземпляров или для предоставления их другим библиотечным учреждениям.

Эта поправка вызывала крайне негативную реакцию книгоиздателей, испугавшихся, что открытое электронное копирование убьет издательский бизнес в России. Особенно сильно изменения должны были отразиться на мелких издательствах, выпускающих учебную и специальную литературу. Также инициатива разработчиков ГК не понравилась творческой интеллигенции, которая обеспокоилась тем, что останется без авторских отчислений. "Поправки перечеркивают само понятие рынка электронной книги и открывают практически неограниченный простор для пиратства", - говорилось в открытом письме президенту, которое подписали Дарья Донцова, Андрей Макаревич, Андрей Кончаловский и другие.

Президент Российского книжного союза Сергей Степашин, также возглавляющий Счетную палату РФ, указал на "спорные" и "размытые" формулировки в тексте законопроекта, которое требовали дополнительного согласования с правообладателями.

четверг, 20 января 2011 г.

Microsoft выпустила ПО для системного анализа безопасности

Microsoft выпустила программное обеспечение для помощи разработчикам в написании более безопасных и стабильных приложений за счет составления полного отчета системных событий в моменты инсталляции и работы программного обеспечения. Новое программное обеспечение Attack Surface Analyzer представляет собой бесплатное средство для верификации и анализа изменений в состоянии системы, параметров исполнения и защищаемых объектов в Windows.

Новое программное обеспечение выпущено в рамках платформы Microsoft Secure Development Lifecycle. Оно позволяет делать мгновенные снимки системы и сравнивать их с результатами до и после инсталляции и запуска приложения. За счет изменений разработчик может выявить наиболее слабые элементы в созданном коде.

"Разработка одновременно предоставляет обзор изменений в окружении программного обеспечения, что важно для обеспечения комплексной безопасности компьютеров и предотвращения хакерских атак", - говорит Девид Ладд, старший программный менеджер Microsoft по продуктам безопасности.

Среди элементов, которые проверяет программа называются: новые файлы, ключи реестра, системные сервисы, элементы ActiveX, прослушиваемые порты и списки контроля доступа. Программное обеспечение доступно бесплатно, но пока оно находится в стадии бета-версии.

Скачать разработку можно по адресу https://www.microsoft.com/downloads/en/details.aspx?FamilyID=1283b765-f57d-4ebb-8f0a-c49c746b44b9&displaylang=en&pf=true .

Подробнее о проекте можно узнать по адресу http://www.microsoft.com/security/sdl .