«БЕЗОПАСНЫЕ» НОВОСТИ

[Dmitry Paleev]

Для тех, кто обеспокоен информационной безопасностью при работе с сервисом Gmail, компания Google предусмотрела возможность просмотра пользователем статистики обращений к своему почтовому аккаунту.

Почта среднестатистического пользователя часто хранит много личной информации — начиная от финансовой переписки и заканчивая любовными посланиями. Часто бывает так, что почту пользователь проверяет с компьютера друзей или просто в интернет-кафе, когда необходимо срочно ответить на важное письмо. И порой случается, что время поджимает, и далеко не все вспоминают о том, что надо нажать кнопку выхода из почтового аккаунта.

"Отныне внизу страницы "входящие" вы сможете найти время последней активности вашего ящика и открыт ли он в данный момент где-нибудь еще", — пишет Ервин Д'Соуза, разработчик почты Gmail. Действительно, теперь можно запросто обнаружить, с каких IP-адресов открывалась почта, и если это не домашний или рабочий IP, самое время сменить пароль — кто-то из окружения заинтересовался перепиской.

Нажав на кнопку "детали", можно обнаружить еще более занятную информацию: проверяли ли почту с помощью iGoogle, POP3 или мобильного телефона, с каких IP-адресов заходили в ящик в последнее время, какова была продолжительность сессии и тому подобное. Также появилась функция выхода после окончания каждой сессии, которая подойдет путешественникам и совершенно параноидальным личностям. Что касается поддерживаемого софта, то нововведение Google сейчас работает лишь с Firefox и IE7.

Источник

[Dmitry Paleev]

Pwnie - аналог премии Оскар для мира информационной безопасности. Великие достижения и провалы, и, конечно же, много веселья. Вторая ежегодная премия Понни будет проходить в августе 2008 года в Лас-Вегасе на конференции BlackHat USA.

В 2008 году 9 номинаций:

- За лучший серверный баг (Pwnie for Best Server-Side Bug)

- За лучший клиентский баг (Pwnie for Best Client-Side Bug)

- За массовое использование (Pwnie for Mass 0wnage)

- За самую инновационную разработку (Pwnie for Most Innovative Research)

- За самое некомпетентное вендорское заявление (Pwnie for Lamest Vendor Response)

- За самый известный баг (Pwnie for Most Overhyped Bug)

- За лучший саундтрек (Pwnie for Best Song)

- За эпический провал (Pwnie for Most Epic FAIL)

- За жизненное достижение (Pwnie for Lifetime Achievement)

Подробнее можно почитать здесь.

[Dmitry Paleev]

Министерство иностранных дел Грузии перенесло часть содержимого своего сайта в блог на площадке Blogspot, мотивируя это атаками российских хакеров на официальные сайты грузинских органов власти.

Как отмечается в блоге georgiamfa.blogspot.com, из-за кибер-войны, которую Россия ведет против Грузии, работа многих грузинских сайтов затруднена.

На georgiamfa.blogspot.com сообщается, что с последней информацией о событиях в Грузии можно также ознакомиться на официальном сайте президента Польши Леха Качиньского в разделе "Information about the latest developments in Georgia".

9 августа были атакованы сайт министерства иностранных дел Грузии и ряд других правительственных ресурсов, а также сайт информационного агентства Грузия-Online.

8 августа хакеры атаковали сайт руководства Южной Осетии. 10 августа атаке подвергся сайт агентства РИА Новости.

[Dmitry Paleev]

Прогресс в атаках функций хеширования был продемонстрирован на конференции Crypto2008. Австрийско-польской команде криптологов из Гразского технологического и Варшавского военного технологического университетов удалось успешно произвести атаку на российский криптографический стандарт ГОСТ Р 34.11-94.

Стандарт, который был введен 1 января 1995 года, определяет алгоритм и процедуру вычисления хэш-функции для последовательности символов. До этого момента, ГОСТ Р 34.11-94 считался одним из самых защищенных криптографических стандартов. Также криптологи продемонстрировали первую практическую инверсионную атаку на сокращенные варианты алгоритма SHA-1, которая может использоваться для вычитания пароля из хеша.

Согласно отчету, криптологам удалось обнаружить неожиданную техническую уязвимость и использоваться ее для проведения коллизионной атаки в 2^23 раза быстрее, чем считалось возможным.
Для сравнения, первая удачная коллизионная атака против алгоритма SHA-1 в 2005 году позволила ускорить процесс подбора до 2^11 – 2^69 вместо 2^80. Стоит заметить, что успех криптологов все же не угрожает ничем серьезным самому алгоритму хеширования. 256-битное значение хеша, генерируемого алгоритмом, все еще требует выполнения 2^105 операций для получения полной строки данных.

За прошлые несколько лет, все атаки на алгоритмы хеширования, такие как SHA-1, и теперь, ГОСТ Р 34.11-94, являются коллизионными атаками. Все эти атаки относятся в основном к цифровым подписям приложений, когда атакующий имеет доступ к неподписанному документу.

Даже если большинство современных атак являются чисто теоретическими, нам следуем помнить, что анализ криптографических функций хеширования еще недостаточно исследован, и будущими достижениями в этой области не стоит пренебрегать.

Источник

[Dmitry Paleev]

11 ноября состоялась on-line пресс-конференция, посвященная выходу отчета по результатам глобального исследования в области информационной безопасности Microsoft Security Intelligence Report V5(SIR).

Данные, представленные в отчете SIR, базируются на анализе статистической информации, собранной при помощи различных программных средств для обеспечения безопасности с сотен миллионов компьютеров по всему миру.

Специалисты корпорации обнаружили, что вторая половина этого года отличается общим улучшением ситуации в сфере безопасности ПО. В этот период уменьшилось количество уязвимостей, однако уровень угроз, в том числе и от вредоносного софта, продолжает расти. Кроме того, упростилась эксплуатация существующих угроз. Поэтому глобальная ситуация с безопасностью программного обеспечения остается довольно критической.

Рост числа вредоносного ПО показывает, что его уровень не связан напрямую с количеством уязвимостей. В отчете MSIR приведены следующие данные: за первую половину 2008 года на 43% увеличилось количество обнаруженных и удаленных вредоносных программ. А общее количество уязвимостей снизилось на 19%.
Значительно выросло общее число троянов-загрузчиков и критических уязвимостей: во второй половине прошлого года их доля составляла 15% от общего количества, а в первой половине 2008 – уже 30%. При этом с 15% до 10% сократилась доля сетевых червей, перехватчиков паролей и шпионских программ.

Представители корпорации особенно гордятся тем, что большинство уязвимостей (около 90%) обнаружены не в операционных системах, а в прикладном софте. Примечательно, что эти данные уже становятся тенденцией – в последнее время уменьшается количество багов в системных программах. В отчете Microsoft особенно подчеркивается, что в программах, произведенных софтверным гигантом, число уязвимостей уменьшилось на треть по сравнению с прошлым годом.
В отчете приведена информация о количестве зараженных компьютеров (с опорой на данные сервиса по обслуживанию системы Malicious Software Removal Tool). Было обнаружено, что за последние полгода 10 компьютеров из 1000 хотя бы один раз были заражены вредоносным софтом. В этом плане лучше всего дела обстоят в Японии, где наблюдается наименьший уровень заражения компьютеров - 1,8 из 1000, или менее 0,2%. А больше всего зараженных компьютеров найдено в Афганистане – 76 из 1000, или более 7%.

Специалисты по безопасности отмечают общую тенденцию роста зараженных компьютеров в развивающихся странах. Причиной этого они называют тот факт, что здесь многие пользователи не знают об угрозах, возникающих в результате веб-серфинга.

Особенно выделяют авторы отчета китайский рынок – в этой стране высока доля атак через браузеры, более 50%. Следующей страной в этом плане является США – 23%.

«У Китая на самом деле еще более высокий показатель инфицирования, чем представлено в отчете Microsoft, и вполне объяснима тенденция, состоящая в использовании браузеров для атак. Браузер в наше время является одной из основных программ для обычного человека. Примечательно, что количество атак будет расти и в будущем», - считает эксперт по безопасности Хосе Насарио (Jose Nazario) из Arbor Networks.

Кроме того, в отчете отмечается, что все чаще злоумышленники используют рекламные трояны и различного рода методы социальной инженерии.

Источник

[Dmitry Paleev]

С 1 декабря 2008 года в Израиле вступает в силу поправка к закону о связи, полностью запрещающая электронный спам, т.е. массовые рекламные рассылки по электронной почте, автоматическую телефонную рекламу и рекламные рассылки sms-сообщений.

Рекламные звонки живых рекламных агентов, увы, остаются легальными. Не подпадает под действие закона и политическая агитация.

Революционность нового закона заключается в том, что он дает получателям спама обращаться в суд и требовать компенсации в 1,000 шекелей за каждое рекламное объявление, присланное ему против его воли. Доказывать ущерб при этом не надо — закон предусматривает компенсации за сам факт получения нежеланной рекламы.

По новому закону рассылать рекламные объявления можно лишь тем потребителям, которые дали на это свое письменное согласие. Если рекламодатель получил адрес электронной почты и номер телефона клиента в ходе совершения сделки и при этом предупредил клиента о возможной рассылке рекламы, такая рассылка также считается законной — при условии, что клиенту предоставлена возможность отказаться от нее в любой момент.

Если клиент отказался от рассылки, а фирма продолжает слать ему свою рекламу, закон предусматривает штраф в 67,000 шекелей, а в крайних случаях размер штрафа может доходить до 200,000 шекелей. Инициаторы закона верят, что при такой ситуации искоренить спам в Израиле смогут сами страдающие от него получатели — если они не поленятся дойти до суда и потебовать компенсации.

Некоторые организации, объединяющие владельцев малых бизнесов, называют закон о запрете спама популистским и заявляют, что он лишит мелких предпринимателей единственной возможности недорого донести информацию о себе до широкого круга потенциальных клиентов. Они считают, что запрет спама выгоден лишь крупным фирмам, которые в состоянии выделять на рекламу огромные бюджеты, пишет Globes.

Люди, настаивающие на своем праве бомбардировать людей мусорной рекламой, видимо, не знают, что интернет предоставляет множество возможностей эффективно рекламировать себя, никому не мешая и не нарушая законов, — и в ряде случаев для этого вообще не требуется никаких денежных затрат.

Источник

[Dmitry Paleev]

Ричард Чапин (Richard Chpin) опубликовал на сайте компании Chapin Information Services результаты проверки функционала менеджера паролей в популярных браузерах. Google Chrome разделил последнее место с safari.
Компания Chapin Information Services (CIS) сообщила Google о критических уязвимостях в браузере Chrome во время бета тестирования приложения. Ни одна их существующих уязвимостей не была устранена в финальной версии браузера.
Среди других проблем, три уязвимости, которые позволяют злоумышленнику получить доступ к сохраненным паролям в браузере без взаимодействия с пользователем:

1. Отсутствие проверки назначения отправляемых паролей
2. Отсутствие проверки страниц, запрашиваемых пароли
3. Невидимые элементы форм могут взаимодействовать с менеджером паролей

Метод, описанный компанией 2 года тому, позволяет эксплуатировать эти уязвимости без выполнения клиентских сценариев. Эти три уязвимости совместно с остальными 17, которые были также обнаружены в механизме управления паролями в Google Chrome, представляют серьезную угрозу личным данным пользователей.
В тестировании принимали участие Opera 9.62, Firefox 3.0.4, Internet explorer 7, Safari 3.2 и Google Chrome 1.0. Самые лучшие результаты показали Opera и Firefox, которые успешно прошли 7 из 21 тесов.
Результаты тестирования доступны по адресу: www.info-svc.com/news/2008/12-12/

Источник

[Dmitry Paleev]

Программа: QIP 2005 8082, возможно другие версии.
Опасность: Средняя
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю произвести DoS атаку.
Уязвимость существует из-за ошибки при обработке ICQ сообщений. Удаленный пользователь может с помощью специально сформированного ICQ сообщения в RTF формате заставить приложение потреблять все доступные ресурсы процессора.
Решение: Способов устранения уязвимости не существует в настоящее время.

Источник

[Dmitry Paleev]

Как показывает многолетний опыт компании Positive Technologies по проведению работ по тестированию на проникновение и аудитов информационной безопасности - уязвимости в Web-приложениях по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации. Другие часто встречающиеся проблемы - это низкая осведомленность сотрудников в вопросах ИБ, слабая парольная политика или повсеместное ее несоблюдение, недостатки в процессах управления обновлениями ПО, использование небезопасных конфигураций, и как это может показаться парадоксальным, не эффективное межсетевое разграничение доступа.

Данная публикация содержит обзорную статистику уязвимостей Web-приложений, полученную из двух источников:

• В ходе работ по тестированию на проникновение, аудитов безопасности и других работ, выполненных экспертами компании Positive Technologies в 2008 году.
• По итогам повышения безопасности сайтов клиентов Хостинг-Центра РБК в рамках услуги "Проверка Безопасности Сайта", осуществляемая на основе системы MaxPatrol (модуль Pentest) компании Positive Technologies.

Всего в статистике участвуют данные о 10459 Web-приложениях. Данные основываются на проведении 16121 автоматических сканирований, детальном анализе 59 Web-приложений, в том числе с проведением анализа исходного кода более 10-ти из них.

Источник

[Dmitry Paleev]

19 февраля компания Adobe выпустила бюллетень безопасности APSA09-01, в котором сообщила о наличии уязвимости в ее продуктах Adobe Reader и Acrobat в версиях 8.x и 9.x. Уязвимость активно эксплуатируется злоумышленниками в настоящее время.

По данным Shadowserver, эксплоит использует уязвимость в функции, не относящейся к JavaScript, хотя злоумышленники используют JavaScript для подготовки динамической памяти к эксплуатации (heap spray). Эксплоит успешно работает на версиях 8.1.1, 8.1.2, 8.1.3 и 9.0.0.

Отключение JavaScript не устранит уязвимость, но позволит предотвратить выполнение произвольного кода.

Для отключения JavaScript следует выполнить следующие действия:
Edit->Preferences->JavaScript и снять галочку с пункта «Enable Acrobat JavaScript»

Производитель планирует выпустить исправление к уязвимости 11 марта 2009 года.

О наличии эксплоита известно с 12 февраля – это Trojan.Pidief.E (по версии Symantec) или TROJ_PIDIEF.IN (Trend Micro).

UZ-CERT рекомендует пользователям отключить использование JavaScript, не открывать PDF документы неизвестного происхождения и не посещать потенциально опасные сайты.