Безопасность
19.05.04 Cisco и ФБР ведут расследование утечки исходниковКомпания Cisco и Федеральное бюро расследований США заняты поисками злоумышленников, похитивших исходный код операционной системы Internetwork (IOS), использующейся в качестве программной платформы для большинства коммутаторов и маршрутизаторов Cisco.
Напомним, что об утечке исходников IOS сообщила российская компания SecurityLab, даже представившая на своем сайте небольшие фрагменты похищенной интеллектуальной собственности (в настоящее время эти фрагменты по просьбе Cisco удалены). Кроме того, незначительная часть украденного архива в 800 Мб была доступна через IRC-каналы.
Между тем, во вторник в интернете появились новые свидетельства утечки кода Internetwork. Как передает PC World со ссылкой на заявления Александра Антипова, сотрудника московской компании Positive Technologies, файл с исходниками IOS объемом 5 Мб в течение примерно десяти минут был доступен для загрузки с публичного FTP-сервера Утрехтского университета в Нидерландах.
Вероятнее всего, кража совершена из внутренней корпоративной сети Cisco с сервера Sun с именем iwan-view3.cisco.com. Анализ файлов показал, что некоторые из них датируются 1993 годом и были написаны программистом Саравананом Агасавеераном, а другие создал Роберт Уидмер. При этом большая часть директорий, в которых хранились файлы, не менялись с 2002-2003 годов. Это несколько сужает временные рамки совершения преступления, тем не менее, на след злоумышленников пока выйти не удалось. Представители Cisco подтвердили, что Агасавееран является сотрудником компании, однако информация о том, входит ли он в число подозреваемых, пока отсутствует.
Источник: Компьюлента
19.05.04 Троян Bobax превращает компьютер в прокси-сервер"Лаборатория Касперского" обнаружила новую вредоносную программу Bobax.А. Этот троян, также как и большая часть появившихся за последние несколько дней вирусов, использует уязвимость в локальной подсистеме аутентификации пользователей (LSASS) операционных систем Windows 2000 и ХР.
Троян Bobax.А написан на языке Microsoft Visual C++ и имеет размер 20480 байт. При проникновении в систему вирус распаковывает вредоносный код во временный каталог в DLL-файл с именем "~xxxx.tmp", где xxxx - произвольное шестнадцатиричное число. Далее основной модуль Bobax.А копируется в системный каталог Windows, после чего программа регистрирует себя в реестре с целью обеспечения автоматического запуска при каждой загрузке операционной системы и создает в памяти уникальный идентификатор "00:24:03:54A9D".
Наиболее же неприятен тот факт, что троян превращает инфицированную машину в прокси-сервер. Благодаря этому злоумышленники могут, к примеру, осуществлять через зараженный компьютер массовые почтовые рассылки произвольного содержания. Кроме того, вирус позволяет загружать на удаленный ПК какие-либо файлы с их последующим выполнением, производить обновления собственной версии и воровать персональную информацию.
"Лаборатория Касперского" присвоила вредоносной программе рейтинг средней опасности, соответствующие обновления антивирусных баз для защиты от трояна уже выпущены и доступны для загрузки на сайте компании.
Источник: Компьюлента
17.05.04 Критические уязвимости в распространенных продуктах SymantecКомпания eEye Digital Security предупредила об обнаружении четырех критических ошибок в распространенных программных продуктах Symantec. Дыры позволяют злоумышленникам получить полный доступ к удаленному компьютеру, выполнить на нем произвольный вредоносный код или же организовать DoS-атаку на уязвимую систему. Как сообщается в бюллетене безопасности, дыры присутствуют в пакетах Norton Internet Security and Professional 2002/2003/2004, Norton Personal Firewall 2002/2003/2004, Norton AntiSpam 2004, Client Firewall 5.01/5.1.1 и Client Security 1.0/1.1/2.0.
Во всех случаях проблема связана с компонентом SYMDNS.SYS. В частности, при обработке ответов от DNS-серверов или службы имен NetBIOS может возникнуть переполнение стека, благодаря чему хакеры получат удаленный доступ в систему с привилегиями ядра. Еще одна уязвимость проявляется при неправильной проверке границ введенного значения в службе имен NetBIOS, в результате чего происходит переполнение "кучи" (области памяти, выделяемой программе для динамически размещаемых структур данных). Наконец, последняя ошибка, возникающая при обработке полученных от DNS-сервера пакетов, обеспечивает возможность проведения DoS-атак.
Представители компании Symantec подтвердили наличие дыр в своем программном обеспечении, подчеркнув, что заплатки для вышеназванных приложений уже выпущены и доступны для загрузки через службу Symantec LiveUpdate. Всем пользователям уязвимого ПО настоятельно рекомендуется установить патчи при первой же возможности.
Источник: Компьюлента
17.05.04 Новый червь использует дыру в коде другого вирусаКомпания Symantec обнаружила новую вредоносную программу Dabber.A, способную заражать компьютеры с операционными системами Microsoft Windows 2000 и ХР. Червь в процессе распространения использует дыру в одном из компонентов вируса Sasser, благодаря чему может поразить миллионы ПК по всему миру.
Вредоносная программа Dabber.A сканирует Всемирную сеть в поисках систем с открытым портом 5554, что является "визитной карточкой" червя Sasser. Обнаружив соответствующую машину, Dabber.A посредством дыры в FTP-сервере Sasser пытается загрузить и установить свой основной компонент, носящий имя package.exe. Далее вирус модифицирует реестр, внося в него собственный ключ и удаляя записи, связанные с известными версиями вредоносной программы Sasser. Наконец, червь открывает "черный ход" на порту 9898, через который злоумышленники могут получить доступ к инфицированному компьютеру.
Червь Dabber.A написан на языке С++ и упакован при помощи UPX, размер файла - 29696 байт. На сегодняшний день вирус не получил широкого распространения. Впрочем, нельзя упускать из вида тот факт, что вредоносная программа проникает в системы, уже инфицированные Sasser, а таких насчитывается порядка 16 миллионов. Таким образом, теоретически, Dabber.A может спровоцировать глобальную эпидемию. Для защиты от червя необходимо установить обновленные антивирусные базы данных или же инсталлировать заплатку Microsoft, описанную в бюллетене безопасности MS04-011.
Источник: Компьюлента
17.05.04 Иски к электронным библиотекам рушатся на глазахДело об исках к электронным библиотекам, которое получило столь громкую огласку в самом начале, рассыпается прямо на глазах. Напомним, что компания "КМ онлайн" подала в суд от имени известных авторов на владельцев некоторых бесплатных электронных библиотек. Среди ответчиков присутствуют "Библиотека Мошкова" и "ЛитПортал". В общей сложности сумма ущерба, которую КМ требует с библиотекарей, составляет полмиллиона долларов США.
Но ожидания компании не оправдались. С началом судебных слушаний стало ясно, что иски составлены неграмотно и содержат недопустимые ошибки. Например, в исковых заявлениях к Алексею Кузьмину, владельцу "ЛитПортала", вообще были перепутаны названия произведений и адрес сайта. Вместо litportal.ru был написан адрес "Библиотеки Мошкова", а вместо произведения Елены Катасоновой, от имени которой был подан иск, в заявлении почему-то упоминается роман Эдуарда Геворкяна. Все это выяснилось на предварительном слушании, которое прошло 13 мая (копия иска на следующей странице).
Судьи с негодованием отнеслись к ошибкам, которые допустили юристы НП НОЦИТ. Эта организация, созданная "КМ онлайн", занимается "защитой" авторов в суде. К примеру, на слушании в Воронежской области, судья решила оставить иск без движения на основании того, что "личность истца не подтверждена, а также потому что представленные истцом доказательства не могут быть использованы в качестве основания для иска".
Источник: Компьюлента