Безопасность
11.09.06 Уязвимость Windows позволяет с помощью флеш-карты взламывать систему хранения паролей.В очередном выпуске сайта хакерских видеоподкастов Hak5 продемонстрирована серьезная уязвимость функций автозапуска и управления локальной сетью Windows. USB-модуль, подключенный к компьютеру, позволил за несколько секунд создать в системе «черный ход» и подобрать пароль доступа.
Инструмент, представленный в видеопрограмме, назван «USB-инструмент мгновенного восстановления пароля», или «USB Switchblade». Основная проблема в системе аутентификации Windows — использование слабого хэша пароля LAN Manager (LM), вычисленного по алгоритму DES. Проблема не в самом криптоалгоритме, а в его реализации. Пароль переводится в верхний регистр (при использовании букв получаем 26 вариантов вместо 52), затем — пароль дополняется или обрезается до 14 символов, делится пополам, и уже от этих половинок создаются два 8-символьных хэша по алгоритму DES. Эти 16 символов и хранятся в качестве хэша LM. То есть, система заведомо упрощает для взломщика процесс подбора, сначала сужая количество вариантов, а затем разделяя пароль пополам.
Для кражи пароля был применен флеш-диск USB, в котором реализована технология от компании U3 LLC, созданная совместно с Sandisk и M-Systems. Особенность этой технологии в том, что часть диска выступает в качестве виртуального CD-ROM-привода. Если разместить там файл автозапуска, то при подключении диска через USB Windows запустит этот файл. При демонстрации уязвимости использовался диск SanDisk Cruser Micro USB с технологией U3. На диске обычно записаны какие-нибудь приложения, например, Skype, чтобы их можно было запустить прямо с флеш-диска, но туда можно записать и любые другие данные, в частности, изменить файл автозапуска autorun.inf. Это делается при помощи программы-инсталлятора LPInstaller.exe от Sandisk заменой заранее созданного образа с именем cruzer-autorun.iso.
Файл автозапуска запускает различные утилиты, которые без труда копируют хэши LM из системы на флеш-диск. Далее следует быстрый подбор пароля: исходное слово (из 7 больших букв, а также цифр и некоторых символов) преобразуется (хэшируется) по алгоритму DES и сравнивается с зашифрованным. Для ускорения используются заранее сгенерированные хэши наиболее часто встречающихся паролей по словарю.
В процессе взлома может возникнуть несколько проблем. Во-первых, ничего не получится, если компьютер работает не под учетной записью администратора. Во-вторых, стандартные утилиты копирования хэша могут быть обнаружены антивирусом. Так, утилиту pwdump обнаруживает антивирус Symantec, но если эта несложная утилита нестандартна или пересобрана, то взломщику не о чем беспокоиться.
Чтобы защититься от взлома паролей с помощью флеш-карты, пользователь может либо отключить функцию автозапуска компакт-дисков, либо выбрать длинный пароль из случайных символов, что усложнит процесс подбора. Начиная с Windows 2000, можно отключить хранение хэшей LM.
Уязвимости системы хранения паролей Windows известны давно, еще со 2-й половины 90-х гг. Однако USB и флеш-дисков тогда еще не было, и хакеры использовали другие порты.
«В данном случае речь идет об уязвимости, известной уже более 5 лет, — говорит Алексей Раевский, генеральный директор SecurIT. — Действительно, если в сети используются протоколы аутентификации старых версий, совместимые еще с Windows 95/98, пароли для входа в сеть слабо защищены, и их можно сравнительно легко подобрать. Поэтому для аутентификации в Active Directory рекомендуется использовать протокол Kerberos, а для хэширования паролей — алгоритм MD5. Тем не менее, и сейчас существуют сети, в которых данные рекомендации не соблюдаются. Если же смотреть на проблему шире — то надо говорить обо всех угрозах информационной безопасности, которые исходят от USB- и других мобильных устройств. Подбор паролей в случае неправильно настроенной аутентификации — это далеко не единственная проблема, к которой может привести отсутствие политики по использованию внешних устройств или ее невыполнение».
"В последнее время часто появляются заметки о найденных уязвимостях в экзотических или давно не используемых средствах и протоколах, — комментирует Михаил Савельев, начальник отдела продвижения решений компании «Информзащита». — Это касается и LM, практически не используемого администраторами. Описанный метод взлома через флешку — реален, однако в данном случае средство не оправдывает метод. Уж если у злоумышленника есть возможность приносить и запускать некоторый софт, то он мог бы загрузить на рабочую станцию и более серьезные утилиты, дающие ему гораздо большие возможности, чем просто перехват паролей. Кроме того, даже ограничение возможности использования USB сегодня — не проблема для злоумышленника. Существуют другие способы заражения и получения удаленного контроля над компьютерами, например, боты, троянские программы и т.п.".
Источник: CNews
08.09.06 Новый троян маскируется под универсальный видеокодекСпециалисты по вопросам компьютерной безопасности предупреждают о появлении новой вредоносной программы, получившей название zCodec.
zCodec маскируется под универсальный видеокодек, который, по утверждениям создателей, якобы может улучшить качество воспроизведения видео на 40 процентов. Примечательно, что вирусописатели даже зарегистрировали доменное имя zcodec.com - с этого сайта и распространяется лже-кодек. На странице, посвящённой программе, в частности, говорится, что zCodec представляет собой универсальный компрессор/декомпрессор, регистрирующийся в базе данных мультимедийных драйверов операционной системы Windows. При этом сам сайт zcodec.com украшен изображениями из фильмов "Город грехов" и "Криминальное чтиво".
Впрочем, пользователь, рискнувший загрузить zCodec, на самом деле установит на свой компьютер трояна. Как сообщается в бюллетене безопасности компании Panda Software, после активации zCodec вносит изменения в сетевые настройки и затем загружает на инфицированную машину дополнительные вредоносные компоненты, например, руткит Ruins.MB. Кроме того, троян zCodec записывает на жёсткий диск несколько исполняемых файлов. При этом zCodec не открывает никаких диалоговых окон и не выводит на экран никаких предупреждающих сообщений, что затрудняет его обнаружение.
zCodec теоретически может использоваться злоумышленниками с целью получения несанкционированного доступа к ПК жертвы. Вредоносная программа имеет размер около 100 кб и сжата посредством NullSoftInstaller. Ведущие разработчики антивирусов уже обновили базы данных своих продуктов, добавив защиту от zCodec.
Источник: CNews
25.08.06 IBM покупает Internet SecurityКорпорация IBM купит компанию Internet Security Systems за 1,3 милллиарда долларов, сообщает Reuters. Этим IBM намерена расширить свою линейку продуктов на рынке сетевой безопасности.
Компания Internet Security делит рынок с Accenture, Check Point Software Technologies, Cisco Systems, McAfee и Symantec. Ранее IBM не могла конкурировать с этими компаниями, так как не располагала необходимыми ресурсами для обеспечения защиты от сетевых атак.
В этом месяце это уже четвёртое приобретение IBM. Общая сумма совершённых сделок превысила 2 миллиарда долларов США. Корпорация продолжит совершать сделки и дальше с целью пополнения линеек своих другими продуктов. В августе IBM купила компанию FileNet за 1,6 миллиардов долларов США, MRO Software за 470 миллионов долларов США, а также Webify Solutions, стоимость сделки с которой не раскрывается.
Сделку с Internet Security IBM планирует закрыть в четвёртом квартале, после того как она будет одобрена акционерами и пройдёт проверку регулирующих органов.
Источник: Компьюлента
26.07.06 В интернете появился вирус для PowerPointКомпания Microsoft предупреждает пользователей операционных систем Windows о появлении вируса, эксплуатирующего недавно обнаруженную дыру в приложении PowerPoint.
Вирус распространяется посредством электронной почты в виде файла презентации. Инфицированное письмо приходит с ящика в почтовой службе Google GMail и содержит в китайские символы в теме письма и имени файла во вложении. Об это сообщает BBC.
Открытие файла провоцирует установку шпионской программы, перехватывающей нажатия клавиш на клавиатуре. Кроме этого, в системе открывается "чёрный ход", воспользовавшись которым злоумышленники могут забрать сохранённые текстовые строки или выполнить на компьютере произвольный вредоносный код. Затем вирус как ни в чём не бывало возвращает на место исходную юмористическую презентацию.
Уязвимость в программу PowerPoint может быть эксплуатирована, только если пользователь попытается открыть инфицированный файл. Таким образом, представители Microsoft рекомендуют пользователям воздержаться от подобных действий, даже если заражённое письмо пришло от одного из контактов в адресной книге. Официальный патч к уязвимости выйдет только 8 августа.
The Register сообщает, что в текущем году специалистами из различных сторонних компаний было обнаружено 24 уязвимости во всех приложениях программного пакета Microsoft Office 2003. Это в шесть раз превышает количество дыр, найденных за весь 2005 год.
Источник: Компьюлента
24.07.06 В России изменится интеллектуальное законодательствоПрезидент В. Путин внес в Думу четвертую часть Гражданского кодекса РФ, которая заменит все законы об интеллектуальной собственности. Правообладатели и юристы высказывают мнение, что законопроект не соответствует международным нормам и ломает сложившуюся практику.
Ранее планировалось, что законопроект будет внесен в Госдуму в конце июня. По словам главы комитета по законодательству П. Крашенинникова, в течение осенней сессии парламент рассмотрит законопроект во всех трех чтениях.
У правообладателей четвертую часть ГК вызвала крайне негативную реакцию. Отраслевые ассоциации буквально завалили Медведева письмами с просьбой не вносить ее в Думу.
Ассоциация предприятий компьютерных и информационных технологий (АПКИТ), в которую входят IBM, Hewlett-Packard, Oracle, ABBYY, "Лаборатория Касперского" и другие IT-компании, в марте написала Медведеву, что четвертая часть ГК сделает невозможной борьбу с пиратством - она вызовет большие затруднения у судей и правоохранительных органов, "чем воспользуются преступные группировки для развития теневого сегмента рынка программного обеспечения". Принятие закона приведет к полному параличу правоприменительной и судебной практики, говорит глава российского представительства Международной ассоциации производителей фонограмм (IFPI) Игорь Пожитков.
Основная претензия правообладателей: ГК идет вразрез с мировым правом. Например, по Стокгольмской конвенции к интеллектуальной собственности относятся права на произведения, товарные знаки, а по российскому законопроекту - сами эти объекты, объясняет М. Федотов, бывший министр печати и информации.
Иностранные произведения по новой части ГК получают меньший уровень защиты, чем национальные, возмущен юрист фирмы Baker & McKenzie А. Минков: в законопроекте ни слова об охране личных неимущественных прав авторов иностранных произведений.
Кроме того, Россия в случае принятия четвертой части ГК станет единственной страной в мире, где регистрация и охрана доменов будет регулироваться государственным законодательством, а не частно-правовыми отношениями.
Источник: Журнал “Business Online”