Безопасность
30.05.03 В университете Калгари не собираются отменять курсы по написанию вирусовКак уже сообщала "Компьюлента", в университете канадского города Калгари (провинция Альберта) в рамках курса "Компьютерные вирусы и разрушительные программы" студентов станут обучать писать вирусы. Несмотря на жёсткую критику со стороны профессионалов безопасности, руководство университета не собирается отменять занятия по этой дисциплине.
Согласно информации издания InformationWeek, университет прислал заявление, в котором говорится, что "после рассмотрения всех выдвинутых претензий факультет вычислительной техники университета Калгари принял решение продолжить введение в программу обучения курса "Компьютерные вирусы и разрушительные программы", как и планировалось ранее". Тем не менее, в специальном обращении подчеркивается, что вирусы будут создаваться исключительно в лабораториях университета и не причинят вреда интернету. В учебном заведении считают, что обучение написанию вирусов необходимо для подготовки специалистов, которые в будущем смогут успешно создавать антивирусные программы, поскольку "невозможно обучать методике борьбы с вирусами без знания того, как они создаются".
Руководитель научно-исследовательского центра Spire Security, занимающегося проблемами компьютерной безопасности, Пит Линдстрём придерживается другого мнения. "Это очень смешно. Существует множество способов достичь того же уровня знаний и без обучения написанию деструктивных программ. Мы же не проводим занятия по половому воспитанию, заставляя студентов заниматься сексом в аудиториях! Тактика и методика разрушения и защиты резко отличаются друг от друга. Наивно полагать, что хакер и создатель вирусов будет создавать хорошие антивирусные программы", - сказал он. Аналогичной позиции придерживаются и многие другие специалисты по ИТ-безопасности.
Университет сообщает, что студентам в рамках этого учебного курса будут прививать нравственность и законопослушность. Чтобы свести опасность распространения создаваемых вирусов к минимуму, предполагается полностью оградить все компьютеры, расположенные в учебной лаборатории, от внешнего мира и пресечь любую возможность унести написанные вирусы с собой. По окончании курса планируется очистить все жёсткие диски от вредоносных программ. "Интересно, а мозги студентов в конце курса они тоже собираются очистить?" - заметил Линдстрём.
Источник: Компьюлента
29.05.03 Новые уязвимости в продуктах MicrosoftКорпорация Microsoft выпустила два новых бюллетеня, посвященных проблемам безопасности своих продуктов. В бюллетене MS03-018 описываются несколько дыр в службе Microsoft Internet Information Services (ISS) версий от 4.0 до 5.1 включительно. Шестая версия ISS уязвимостей не содержит. В зависимости от своего характера, дыры в ISS получили рейтинг от малоопасного (low) до важного (important).
Одна из дыр в ISS связана с технологией CSS и позволяет осуществлять манипуляции с зонами безопасности на клиентской машине. Уязвимость, связанная с переполнением буфера в IIS 5.0 более серьезная - она позволяет злоумышленнику выполнить на сервере произвольный код. Кроме того, еще две уязвимости могут использоваться для организации DoS-атак. В первом случае уязвимость связана с неправильным выделенеим памяти при работе с ASP-страницами, а вторая - с неправильной обработкой ошибок запросов WebDAV. Для устранения всех этих дыр выпущен кумулятивный патч.
Еще одна дыра умеренной опасности была обнаружена в службе Microsoft Windows Media Services, входящей в состав ОС Windows 2000, а точнее в ISAPI-расширении для нее. Данная служба предназначена для организации потоковых трансляций через интернет. В реализации службы имеется ошибка, в результате которой некоторые из запросов обрабатываются неправильно. Направив особым образом сформированный запрос, злоумышленник сможет заставить сервер перестать обрабатывать остальные запросы. Описание уязвимости и методов ее устранения можно найти в бюллетене MS03-019.
Источник: Компьюлента
28.05.03 «Матрица» опасна для компьютераВторая часть трилогии фильма «Матрица» - Matrix Reloaded – пользуется огромной популярностью. Внимание привлекает все, что касается фильма. Именно на это решили сделать ставку создатели очередного вируса, появившегося на днях в Сети.
По данным «Лаборатории Касперского», червь Nocana, также известный как Naco, распространяется двумя способами: через электронную почту в виде прикрепленных файлов и по P2P-сетям. Опасный файл может быть назван различными именами: The Matrix Reloaded.jpg.exe, The Matrix Evolution.mpg.exe, The Matrix Reloaded Preview.jpg.exe.
Реальное .exe-имя файла во вложении скрыто ложным .jpg-именем при помощи дополнительных возможностей MS Outlook. Таким образом, зараженное EXE-вложение в письме выглядит как .jpg-файл, однако при открытии этого вложения оно обрабатывается как exe-файл. Вложения подобного рода автоматически блокируются по умолчанию версиями MS Outlook 97 SP2 и выше. Nocana останавливает и выгружает активные процессы некоторых антивирусов и межсетевых экранов. Червь записывает свои копии в каталоги обмена файлами сетей KMD, Kazaa, Morpheus, Grokster, BearShare, Edonkey2000 и Limewire.
Nocana - «родственник» червя I-Worm.Melare. Известно несколько версий Nocana, которые незначительно отличаются друг от друга: Nocana.a (около 29K, упакован UPX, размер распакованного файла - около 80K), Nocana.b (около 86K), Nocana.c (около 32K, упакован UPX, размер распакованного файла - около 100K).
По некоторым числам месяца - 1, 4, 8, 12, 16, 20, 24 и 28 - червь случайным образом выполняет одно из следующих действий:
- запускает все файлы из текущего каталога (как правило - в системном каталоге Windows);
- выводит сообщение: «Anacon W0rm. The only I have to say is, I need you babe!»
- форматирует диск D;
- уничтожает все файлы в текущем каталоге (как правило - в системном каталоге Windows).
Источник: по материалам «Лаборатории Касперского».
Источник: CNews
21.05.03 Троянец использует незаделанную брешь в IEВ Рунете зафиксирована массовая рассылка электронных писем, заражённых новой троянской программой. Об этом сообщила сегодня компания "Лаборатория Касперского". На данный момент в её службу технической поддержки уже поступили множество обращений пользователей о случаях заражения Startpage - так в "Лаборатории Касперского" назвали новый троянец.
Рассылаемые письма на чистом русском языке предлагают купить пиратские DVD или видеокассеты с записями "Матрицы 2" и "Терминатора 3". По мнению специалистов "Лаборатории Касперского", использование русского языка однозначно указывает на Россию или страны бывшего СССР, как на место происхождения StartPage.
Внутри вложенного файла REG.ZIP содержится файл REG.HTML, при открытии которого запускается носитель троянца - файл REG.EXE. Запуск осуществляется абсолютно незаметно для пользователя - для этого StartPage использует брешь Exploit.SelfExecHtml в системе безопасности Internet Explorer.
Эта брешь была обнаружена более двух месяцев назад, однако "заплатка" для нее до сих пор отсутствует. Уязвимости подвержены браузеры Microsoft Internet Explorer 5.0 for Windows 2000, Microsoft Internet Explorer 5.0 for Windows 95, Microsoft Internet Explorer 5.0 for Windows 98 и Microsoft Internet Explorer 5.0 for Windows NT 4.0.
"Инцидент может иметь далеко идущие последствия. Как известно, использование брешей для проникновения на компьютеры - любимое занятие вирусописателей. Именно этому методу обязаны около 80% случаев всех вирусных инцидентов. Однако до сих пор практически все они были вызваны брешью "IFRAME". Сейчас мы наблюдаем как на "арену" выходит новая брешь, которая может дать толчок к созданию множества новых вредоносных программ и возникновению новых глобальных эпидемий", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".
К счастью, "StartPage" является довольно безопасной программой, отмечают в "Лаборатории Касперского". Среди ее побочных действий - модификация стартовой страницы Internet Explorer на эротический сайт www.911club.ru.
На данный момент использование антивирусной программы является единственным способом защититься от "StartPage": компания Microsoft до сих пор не выпустила "заплатку" для Internet Explorer, которая ликвидирует указанную уязвимость.
Источник: Компьюлента
20.05.03 Коммерсант: В Петербурге украли базы данных всех телефонных операторовКак сообщает «Коммерсант», в Санкт-Петербурге в продажу поступила комбинированная база данных об абонентах крупнейших телефонных компаний города. Подобные хищения случались и ранее, но в данном случае речь идет о самой масштабной в России утечке конфиденциальной информации - по сути, к продаже предлагаются все личные данные миллионов петербуржцев, включая их адреса, номера паспортов, сотовых и домашних телефонов, отмечает издание.
В офисах пострадавших компаний считают, что информация была украдена централизованно, через одну из правоохранительных структур. Письма с предложением купить свежайшую телефонно-адресную базу данных всех крупнейших операторов связи Петербурга стали распространяться через интернет в конце прошлой недели. За 1650 рублей, отмечает газета, предлагается купить три компакт-диска с информацией по состоянию на конец 2002 года обо всех абонентах Северо-Западного филиала ОАО "Мегафон" (1,3 млн записей), "Телекома XXI" (контролируется "Мобильными телесистемами" и работает под этой торговой маркой; 500 тыс.), "Дельты Телеком" (120 тыс. записей), FORA Communications (15 тыс. записей), а также "Северо-Западного Телекома" и "Петерстара" (в общей сложности - еще 2,5 млн записей).
В письме указывается, что в базе возможен поиск по номеру телефона, фамилии абонента, номеру его паспорта, прописке и по контактным телефонам. Для совершения сделки в письме указывался контактный сотовый номер, - пишет «Коммерсант».
Источник: РосБизнесКонсалтинг