Уже давно стало правилом снабжать всякое цифровое устрой̆ство множеством самых разных функций, весьма отдаленно связанных с его предназначением. Считается, что обилие «талантов» заметно повышает привлекательность товара в глазах потенциальных покупателей̆. Но одновременно такой̆ продукт приобретает целый̆ ряд скрытых возможностей̆, которые совершенно ни к чему ни потребителям, ни изготовителям. Рассмотрим, к примеру, принтер.

Шпион за своим хозяином. В середине февраля спецуполномоченный̆ Еврокомиссии по вопросам юстиции Франко Фраттини (Franco Frattini) официально признал, что практически невидимые «точки отслеживания», появляющиеся в распечатках цветных лазерных принтеров разных производителей̆, вызывают озабоченность у Евросоюза. Хотя, говорит Фраттини, пока нет никаких законодательных норм, напрямую регулирующих подобные вещи, и поэтому еще нельзя говорить о нарушении законов, тем не менее по точкам отслеживания (tracking dots) на распечатках можно устанавливать личность владельца принтера. А это может быть прямым нарушением «фундаментальных прав человека».

О желтых микроточках в распечатках принтеров и копиров общественности стало известно в 2005 году, когда хакеры, сотрудничающие с американской̆ правозащитной̆ организацией̆ EFF, сумели определить, что за информация скрывается в невидимых при обычном освещении матрицах. Было установлено, что в матрицах, псевдослучай̆ным образом встраиваемых в картинку распечатки, закодированы серийный номер принтера, а также дата и время печати (плюс еще некие сведения, пока остающиеся загадкой̆ для аналитиков). Как показало расследование, изготовители принтеров встраивают эти микроточки по тайному соглашению с американской̆ спецслужбой̆ Secret Service, в обязанности которой̆ входит выявление и отлов фальшивомонетчиков. Но очевидно, что с помощью этой̆ же технологии можно отслеживать кого угодно. Например, диссидентов, ведущих борьбу с гнилыми антидемократическими режимами. Поэтому теперь финская партия «зеленых», явно с подачи EFF, затеяла в Европарламенте разбирательство. Намерена ли Европа надавить на своего близкого союзника и как-то повлиять на дурно пахнущий̆ сговор США с изготовителями принтеров? Или же о тайном соглашении все было давно известно и ктото из европей̆ских стран тоже участвует в этой затее?

И если да, то кто именно? Официальная реакция Фраттини на запрос «зеленых» пока не содержит конкретных ответов, но дает понять, что проблема далеко не закрыта.

Разносчик спама. Американский̆ специалист по защите информации Аарон Уивер (Aaron Weaver) опубликовал на сай̆те ha.ckers.org статью, в которой̆ описал новую разновидность сетевой̆ атаки, вынуждающей̆ принтеры распечатывать рекламу, рассылаемую спамерами. Используя одну малоизвестную возможность популярных веб-браузеров вроде Internet Explorer и Firefox, Уивер продемонстрировал, как можно модернизировать код веб-страницы, чтобы он запускал задание на печать едва ли не в любом принтере. При условии, конечно, что тот подсоединен к локальной сети пользователя, имевшего несчастье посетить в интернете злополучную веб-страницу.

В статье Уивера эта атака получила название cross site printing, то есть «перекрестная печать», и расценивается как весьма опасная. Во-первых, потому, что жертве даже не обязательно заходить на сомнительные сай̆ты злоумышленников, ибо подцепить заразу можно и на вполне респектабельных страницах, если в их коде разработчиками были допущены ошибки программирования. В частности, некорректное использование скриптов в перекрестных ссылках позволяет злоумышленникам загружать в браузер через этот «лаз» код своей JavaScript-программки, которая отыскивает в локальной̆ сети принтер и запускает печать спама. А во-вторых, та же самая атака теоретически позволяет не только нагружать принтер распечаткой̆ рекламного мусора, но и отдавать многофункциональному устрой̆ству куда более опасные команды — вроде отправки факса, форматирования винчестера или скачивания новой̆ прошивки.

Вражеский̆ сервер. Работа Уивера заставила вспомнить давнее и почти уже забытое исследование другого хакера, Брендана О’Коннора (Brendan O’Connor), посвященное уязвимостям многофункциональных устройств (МФУ). Еще в 2006 году, в докладе на конференции Black Hat, О’Коннор продемонстрировал, что многие устройства для офиса, совмещающие факс, ксерокс, принтер и сканнер, — это уже не «тупая периферия», а пусть и простенький̆, но сервер. В частности, на примере «принтера» Xerox WorkCentre MFP было показано, что это компьютер с собственным процессором, 256Мбайт оперативной̆ памяти, 80-гигабайтным жестким диском, ОС Linux и ПО Apache и PostgreSQL. Но при этом веб-интерфей̆с данного устрой̆ства настолько тривиален, что механизм аутентификации легко может быть обойден злоумышленниками, которые получают возможность овладеть управлением машины, расположенной̆ в тылу атакуемой сети.

Скомпрометированный МФУ, предупредил исследователь, очень опасен по целому ряду причин. Прежде всего потому, что при организации инфобезопасности на принтер обычно никто не обращает внимания. Отсутствие же мониторинга делает его очень привлекательной̆ мишенью для атаки. Для живой̆ иллюстрации О’Коннор рассказал, что когда проводил собственное исследование в одной̆ из крупных компаний, то тайно установил контроль над десятками МФУ, однако никто из ИТ-персонала этого не заметил. А как только над принтером установлен контроль, вся информация, которая распечатывается, сканируется или отправляется факсом и становится доступной̆ для хищений. Жесткий̆ же диск устрой̆ства может быть удобным временным складом для похищенных данных… К сожалению, по наблюдениям О’Коннора, ситуация с защищенностью МФУ с 2006 года практически не изменилась.

• Источник

«Лаборатория Касперского» представляет обзор вирусной активности за февраль, подготовленный на основе анализа почтового трафика.

Результаты проверки почтового трафика в феврале незначительно отличаются от данных первого месяца 2008 года.

Продолжается незаметная при статическом анализе, но доминирующая в реальной жизни эпидемия троянца-загрузчика Diehard. Серии массовых и кратковременных рассылок Diehard сотрясают электронную почту минимум один раз в день, и каждый раз пользователи получают новый его вариант. Если суммировать показатели всех модификаций данного троянца, он оставит позади формального лидера рейтинга — червя NetSky.q.

Вторым новичком рейтинга стал еще один даунлоудер — Small.hsl. Ему удалось забраться сразу на пятое место.

Интересно, что из четырех активных в настоящее время «эпидемических» семейств в февральской двадцатке присутствуют только Diehard и Bagle. Два их «конкурента» — Zhelatin и Warezov — взяли небольшую паузу.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент — 5,12% — от общего числа перехваченных.

Доля зараженных писем в общем почтовом потоке, проверенном системами анализа трафика «Лаборатории Касперского», составила 0,61%.

В текущей двадцатке представлен рейтинг стран-источников зараженных писем в феврале.

Итоги февраля

В двадцатке появились 2 новые вредоносные программы: Trojan-Downloader.Win32.Diehard.ez, Trojan-Downloader.Win32.Small.hsl.

Повысили свои показатели: Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.NetSky.d, Email-Worm.Win32.Mytob.q, Email-Worm.Win32.Mydoom.l, Net-Worm.Win32.Mytob.t.

Понизили свои показатели: Email-Worm.Win32.Nyxem.e, Email-Worm.Win32.NetSky.aa, Email-Worm.Win32.Scano.gen, Email-Worm.Win32.NetSky.y, Net-Worm.Win32.Mytob.w, Email-Worm.Win32.Bagle.gen, Email-Worm.Win32.Scano.bn.

Вернулись в двадцатку: Email-Worm.Win32.NetSky.x, Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Mydoom.m, Net-Worm.Win32.Mytob.bi, Net-Worm.Win32.Mytob.c, Email-Worm.Win32.NetSky.c.

C полным текстом отчета вы можете ознакомиться на информационно-аналитическом портале Viruslist.com.

«Лаборатория Касперского» представляет обзор вирусной активности за февраль, подготовленный на основе анализа данных онлайн-сканера, установленного на серверах компании.

Давно уже мы не наблюдали на вершине нашей онлайн-двадцатки рекламной программы. В феврале это случилось. Рекламная программа Virtumonde, точнее, целое семейство, детектируемое нами под одной эвристической записью — Virtumonde.gen, заняла первое место в феврале.

Лидер предыдущих двух месяцев — троянец-»звонилка» Dialer.yz — чуть уступил свои позиции и опустился на третье место, однако число его модификаций продолжает оставаться высоким.

Немного утихла эпидемия вируса Virut. Из февральского рейтинга исчез бывший наиболее распространенным Virut.av (в январе он находился в первой тройке); удержался вариант Virut.n, да и то потеряв сразу восемь мест.

Что касается различных представителей семейства Bagle, почтовых червей и троянцев-загрузчиков, они продолжают плодиться — один из них даже очутился на втором месте рейтинга, а второй — на 17-м.

Общее январское лидерство различных клавиатурных шпионов пало под натиском новых вредоносных программ, относящихся к поведениям Trojan-Dropper и Trojan-Downloader. Всего новичков в февральской двадцатке оказалось довольно много — целых 11 штук.

Онлайн-итоги февраля

В двадцатке появились 11 новых вредоносных и потенциально опасных программ: Email-Worm.Win32.Bagle.of, Trojan-Downloader.Win32.Small.ieg, Trojan-Downloader.Win32.Zlob.fjb, Trojan-Dropper.Win32.Agent.dnu, Trojan-Downloader.Win32.AutoIt.aa, Worm.Win32.AutoIt.i, not-a-virus:AdWare.Win32.BHO.xq, Trojan-Downloader.Win32.Agent.ggt, Trojan.Win32.Disabler.i, Trojan-Downloader.Win32.Bagle.jo, Trojan-Downloader.Win32.Agent.hzo.

Свои показатели повысили: not-a-virus:PSWTool.Win32.RAS.a, Email-Worm.Win32.Brontok.q, Trojan-Spy.Win32.Ardamax.n.

Свои показатели понизили: Trojan.Win32.Dialer.yz, Virus.Win32.Virut.n, not-a-virus:Monitor.Win32.Perflogger.ca.

Вернулись в двадцатку: not-a-virus:AdWare.Win32.Virtumonde.gen, Email-Worm.Win32.Rays, Trojan.Win32.Delf.aam.

С полным текстом отчета вы можете ознакомиться на информационно-аналитическом портале Viruslist.com.

Антивирус Касперского 6.0 для Windows Servers Enterprise Edition является первым антивирусным продуктом, прошедшим сертификацию на совместимость с новейшей серверной платформой компании Microsoft, Windows Server 2008.

Сертификация Windows Server 2008 гарантирует полную совместимость Антивируса Касперского для Windows Servers Enterprise Edition с новой серверной платформой компании Microsoft и высочайший уровень интегрируемости с ее технологиями.

Антивирус Касперского 6.0 для Windows Servers Enterprise Edition защищает данные на серверах под управлением Microsoft Windows от вредоносных программ. Продукт разработан специально для защиты высокопроизводительных корпоративных серверов, работающих в условиях экстремальной нагрузки. Антивирус Касперского 6.0 для Windows Servers Enterprise Edition может быть установлен в сети любого размера и протяженности. Его надежность и эффективность в сочетании с высокой производительностью и гибкими возможностями администрирования обеспечивают непревзойденный уровень защиты корпоративных серверов, работающих под управлением операционных систем Windows Server.

«Компания Microsoft рада видеть, что «Лаборатория Касперского» первой из антивирусных компаний представила решение, использующее все преимущества новой серверной платформы Windows Server 2008, которые обеспечивают повышенный уровень безопасности и расширенную функциональность, — сказал Стив Белл, старший менеджер по развитию платформы Windows Server компании Microsoft. — Благодаря этому корпоративные пользователи получают возможность переносить свои решения на платформу Windows Server 2008, не беспокоясь о защите от информационных угроз».

Антивирус Касперского 6.0 для Windows Servers Enterprise Edition полностью поддерживает режим Server Core и использует такие новые технологии Windows Server 2008 как Terminal Services, Remote Applications и Terminal Services Gateway, что позволяет более гибко решать задачи по оптимизации проверки на наличие вредоносного кода.

«На данный момент Windows Server 2003 является самой популярной серверной операционной системой. Мы уверены, что Windows Server 2008 со временем станет еще более популярной платформой — говорит Алексей Калгин, заместитель директора по развитию продуктов «Лаборатории Касперского» — И мы горды, что являемся первой в мире компанией, которая предоставляет своим клиентам антивирусное решение, сертифицированное для использования с Windows Server 2008″.

Процесс сертификации ПО для использования с платформой Windows Server 2008 включает в себя около 100 тестов, которые должны подтвердить соответствие тестируемого приложения самым высоким стандартам совместимости, безопасности, надежности и работоспособности на новой платформе, включая ее 64-битную версию. Сертификат Windows Server 2008 присваивается самым эффективным продуктам, которые готовы для работы в критически важных окружениях.

Будучи участником программы Microsoft Early Access Program (EAP) по сертификации ПО для Windows Server 2008, Антивирус Касперского для Windows Servers Enterprise Edition является одним из 300 продуктов, которые получили право на сертификацию до официального выхода новой платформы.

Многие наверняка уже знают про скиммеры, клавиатурные накладки, скрытые камеры и т.п. шпионской хрени, которую злоумышленники вешают на банкоматы, что бы в последствии стыбзить ваши кровные. Но лучше 100 раз повторить, чем 1 раз «попасть».

Скиммер — девайс, устанавливаемый на/в щель банкомата (куда всовывается карточка) и который считывает информацию с магнитной ленты Вашей карточки, позволяя легко изготовить ее дубликат.

Будьте бдительны!

Читать

Известная группа хакеров Cult of the Dead Cow (CDC) разработала программу, которая дает возможность сканировать сайты на наличие уязвимостей при помощи Google. Goolag Scanner предлагается бесплатно для все желающих.

С некоторой долей иронии CDC посоветовала всем веб-мастерам обязательно скачать программу и протестировать свои сайты, чтобы обнаружить уязвимости в них до того, как это сделают хакеры. Эксперты по компьютерной безопасности, в свою очередь, предостерегают веб-мастеров от загрузки подобного программного обеспечения, поскольку оно может содержать вредоносный код.

www.3dnews.ru

Исследователи Принстонского университета сообщили об изобретении новой и очень эффективной атаки, которая может дать возможность недоброжелателям получить доступ к зашифрованным данным, хранящимся на компьютере. Такие решения для обеспечения безопасности, как Microsoft BitLocker, Apple FileVault и Linux dm-crypt, остаются совершенно беззащитными перед новой атакой.

Суть метода обхода защиты состоит в том, что для доступа к зашифрованным данным необходимо получить ключ шифрования. Когда пользователь набирает свой пароль, этот ключ хранится в оперативной памяти.

Оперативная память, как известно, освобождается при выключении компьютера, однако исследователи обнаружили, что данные исчезают из нее не сразу же после того, как перестает подаваться питание, а спустя некоторое время. Обычно оно составляет от нескольких секунд до минуты, но если охладить чип памяти до температуры -50 градусов по Цельсию, то данные сохранятся и спустя 10 минут.

Если система находится в спящем режиме, то получить доступ к данным в памяти не составит труда. А тот уровень защиты, который обещают разработчики систем для обеспечения безопасности, может быть гарантирован только в том случае, если пользователь выключит компьютер.

Исследователи говорят о том, что им удалось написать программы, которые автоматически получали доступ к информации о шифровании после перезагрузки компьютера. Метод работал и в том случае, когда атакующие имели непосредственный доступ к компьютеру, и если они работали удаленно. Атака завершалась удачно даже тогда, когда чип памяти переставляли на другой компьютер. При этом ни одна из атак не требует использования какого-либо специального оборудования.

Исследователи уже сообщили о своем открытии производителям популярных средств для обеспечения безопасности, хотя и считают, что те вряд ли могут сделать что-то, кроме как посоветовать пользователям выключать свои компьютеры. Особенно это касается ноутбуков.

www.3dnews.ru

Компания Google опубликовала результаты своего исследования, которое касалось безопасности использования поиска. Согласно приведенным данным, из 1 миллиона веб-страниц, которые выводятся в результатах поиска первыми, около 6000 могут содержать вредоносный код. При этом только семь из десяти угроз перехватываются лучшими решениями для обеспечения безопасности.

Исследование было ограничено лишь теми страницами, которые устанавливают вредоносные модули на компьютер пользователя без необходимости вмешательства с его стороны. По данным Google, в настоящее время насчитывается около 3 с половиной миллионов таких страниц, которые расположены на 181 тысяче сайтов. Большинство вредоносных сайтов базируются в Китае (67%), на втором месте США (15%), на третьем – Россия (4%). Всего в рамках исследования было проанализировано 66 с половиной млн. страниц.

www.3dnews.ru

PS Кстати, надеюсь все понимают, что это касается не только Google.

В популярных браузерах Opera и Firefox обнаружена уязвимость, которая может дать недоброжелателю доступ к истории помещенных пользователем страниц. Уязвимость связана с тем, как браузеры обрабатывают специально созданное изображение.

Используя тэг «canvas» HTML (Hypertext Markup Language), который поддерживается браузерами, недоброжелатель может получить доступ к данным из их памяти. Это может быть не только история посещенных страниц, но и информация о закладках и другие данные. Затем, при помощи JavaScript, полученные сведения могут быть отосланы на удаленный сервер.

Уязвимость также может привести к аварийному закрытию Firefox. Она касается Firefox 2.0.0.11 и предыдущих версий браузера, а также бета-версии Opera 9.50.

www.3dnews.ru

PS На счет оперы не знаю, а Firefox, думаю, уже все обновили до 2.0.0.12

Компания SecurityLab опубликовала уведомление об уязвимости в ядре Linux, которая позволяет локальному пользователю получить root привилегии на системе.

Уязвимый системный вызов vmsplice() был представлен впервые в ядре 2.6.17. Уязвимость существует из-за того, что функции «vmsplice_to_user()», «copy_from_user_mmap_sem()» и «get_iovec_page_array()» файла fs/splice.c не проверяют передаваемые им указатели с помощью вызова access_ok(). Отсутствие подобной проверки позволяет локальному пользователю прочитать и записать произвольные данные в память ядра.

Таким образом, уязвимость опасна тем, что локальный непривилегированный пользователь, который имеет физический или удаленный (например, посредством ssh) доступ к системе и правильные учетные данные (включая доступ к консоли — shell), может получить привилегии учетной записи root или аварийно завершить работу системы.

Уязвимости подвержены все системы, с включенной поддержкой системного вызова vmsplice() и собранные на основе ядра версий с 2.6.17 до 2.6.23.16 и 2.6.24.2. Согласно уведомлениям, уязвимость не распространяется на ядра, которые используют патчи grsecurity, сконфигурированные корректным образом.

SecurityLab выставила для уязвимости низкий рейтинг опасности, поскольку, согласно шкале, используемой для оценки риска опасности уязвимостей, все локальные уязвимости представляют низкий рейтинг опасности. Данная оценка рассчитана на то, что целевая система корректно настроена (с точки зрения безопасности), и не существует возможности получения доступа к ней извне удаленным или локальным неавторизованным пользователем; для локальных учетных записей настроены корректные привилегии доступа, включая доступ к консоли; используются «сильные» пароли и установлены последние обновления для используемого программного обеспечения. Некорректная, с точки зрения безопасности, настройка системы сама по себе является уязвимостью и может усилить влияние других уязвимостей на систему.

Для устранения уязвимости необходимо скачать и установить исправление, доступное на сайте производителя вашего дистрибутива, или пересобрать ядро, доступное на сайте www.kernel.org. После установки исправления потребуется перезагрузка системы.

• www.3dnews.ru