[ Новости ]

[ SPI Dynamics представила новый инструмент для поиска дыр в Web приложениях ]

Исследователи компании SPI Dynamics обнаружили способ, которым хакеры могут заставить систему пользователя выполнять всю
"грязную" работу без необходимости захвата полного контроля.

Способ этот получил реализацию в виде приложения Jikto, написанного в JavaScript и проникающего на компьютеры через
уязвимости в веб-сайтах. Разработал приложение сотрудник SPI Dynamics Билли Хоффман (Billy Hoffman), однако он не
собирается использовать программу по прямому назначению. Разработка будет в конце недели публично представлена на
хакерском мероприятии ShmooCon в Вашингтоне.

Jikto — сценарий на JavaScript — может быть установлен на любом сайте: при посещении пользователем веб-страницы он
загрузится в браузер и начнёт работать — сканировать сайты на уязвимости к атаке межсайтового скриптинга (XSS) и других
дыр. Jikto — JavaScript — версия инструмента Nikto, работающего как исполняемый код.

По словам Хоффмана, его разработка существенным образом меняет представление о вредоносных возможностях , доступных с
помощью JavaScript. " Jikto превращает любой компьютер в мой маленький трутень. Ваш ПК по моей команде начнет атаковать
сайты и присылать мне всю информацию о результатах", - отмечает Хоффман. Jikto представляет собой в первую очередь
сканер уязвимостей, который может вживляться в "доверяемые" сайты. В следующей версии создатель обещает пойти дальше и
«научить» сценарий не только сканировать, но и эксплуатировать уязвимости. Эту версию он намерен показать летом на
конференции «Чёрных шляп» в Лас-Вегасе.

[ Линус Торвальдс высказался о GPLv3 ]

6 марта Линус Торвальдс ответил на письмо редактора InformationWeek Charles Babcock'а, ответив на несколько вопросов о
GPLv3, тем самым развёрнуто высказав свое текущее отношение к этой лицензии.

Вот несколько наиболее интересных моментов: "Я даже не знаю, что GPLv3 из себя представляет, и я бы был сумасшедшим,
если бы применял её для своего кода. Я думаю, что люди, которые пишут в своём коде 'GPLv2 или выше' не достаточно
заботятся о лицензии на свой код. Прежде чем я скажу: 'да, вы можете использовать мой код под лицензией X', я узнаю
*что* лицензия X из себя представляет."

"Причина, по которой linux имеет лицензию 'GPLv2 only' проста: я не хочу зависеть от кого-либо, когда речь идёт о
лицензии, которую я выбрал для своего кода. Я всецело независим от этого. И я вдвойне счастлив, сделав такой выбор, тк
черновики GPLv3 были намного хуже GPLv2. В них присутствовали очевидные технические проблемы('размножение' лицензий не
только по чистой GPLv3, но и по "GPLv3 с различными дополнительными правами и различными дополнительными
ограничениями"), и я надеюсь, что конечный вариант лицензии будет лишён этих проблем."

"... Например FSF рассматривает проприетарное ПО как что-то злое и аморальное. А лично мне наплевать на проприетарный
софт. Он не зло, он не аморален, он просто не имеет значения. Я просто думаю, что Open Source лучше, и я готов
вкладывать свои деньги в работу над Open Source, но это не крестовый поход - это просто лучший способ работать вместе и
писать код."

"... Я люблю GPLv2 потому, что она отлично воплощает 'открытую модель разработки'.... Но FSF, кажется, хочет изменить
эту модель, и в черновиках GPLv3 не говорилось о разработке открытого кода, в них говорилось о том, что ты можешь
сделать с этим кодом. Возвращаясь к предыдущему примеру, это как если бы наука была бы не только открытой и свободной,
но также имела бы ограничение, о невозможности использования оной для создания бомбы."

"... Я вынужден говорить об этом потому, что глупцы спорили о том, что я должен перейти на GPLv3, конечный результат
которой пока не ясен, и я естественно думаю, что это идиотизм".

[ Internet Explorer лидирует по числу ошибок ]

Специалисты по разработке антивирусного ПО из Symantec признали мозилловский Интернет-браузер Firefox безопаснее
Internet Explorer. По результатам найденных уязвимостей IE занял первое место – 54 ошибки, в Firefox в общей сложности –
40, а в Opera и браузере для Mac, Safari – 4. Разрыв между Windows-ориентированными браузерами Opera и IE, Firefox более
чем внушительный. Возвращаясь к статистике: в 2006 году в Firefox было обнаружено 87 дыр, в Internet Explorer – 92. Но
специалисты Firefox поспешили заметить, что Mozilla выпускает обновления для своего детища заметно быстрее.

Обновления к Firefox выходили через 2 дня после обнаружения дыры (в среднем), в то время как Microsoft требовалось около
полутора недель на устранение ошибок в IE. Причем во второй половине 2006 года обе компании стали затрачивать на день
больше при исправлении новых неполадок.

"Не существует безопасного браузера, - заявил старший директор Symantec Винсент Вифер (Vincent Weafer). – Если вы
устанавливаете браузер, то убедитесь в том, что вы настраиваете его верно. Это намного более верная стратегия, чем
работать в каком-то малоизвестном браузере".

[ Специалисты Microsoft работают над созданием новой ОС ]

Прошло несколько месяцев после официального релиза Windows Vista, а Microsoft уже заявляет о начале разработок новой ОС.
Представители сайта AeroXperience заполучили копию презентации, которая была опубликована одним из специалистов
Microsoft Дания. Впоследствии информация была удалена. Можно было бы сказать, что это утка или хитрый PR-ход Microsoft,
но один из представителей компании уже проговорился, что новая версия ОС может выйти в 2009 году.

Приоритетным направлением развития новой ОС, получившей внутреннее кодовое имя Windows Seven, станут дальнейшее развитие
идей Vista. Как известно, Vista ориентирована на Конечных Пользователей (End User) и IT-специалистов (IT Pro). В Windows
Seven акцент делается на развитии приложений, которые оптимизируют поиск информации, улучшают качество беспроводной
связи, поддержку робустных систем (опеспечивает нормальное функционирование системы даже в случае недостатка оперативной
памяти или большого количества ошибок в открытом приложении), функции гибкости данных, улучшенной безопасности и так
далее. Во главе угла новой ОС для специалистов IT стоит ее меньшая стоимость по сравнению со всеми ранними разработками
Microsoft.

Версия для IT-специалистов соответственно, будет содержать пересмотренные политики безопасности данных, учетных записей
пользователей, будут взаимодейстововать робустные системы и системы защиты данных при обнаружении внутренних конфликтов
и так далее. Иными словами, логическое развитие новой операционной системы Microsoft (например, интуитивный
пользовательский интерфейс) отражено в этой презентации. Скачать полную презентацию в формате PDF можно здесь:
http://www.securitylab.ru/bitrix/exturl.php?goto=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2F1%2Ff%2F3%2F1f37863f-
8d58-4523-8ce1-7a5b655cce20%2FInfrastruktur.pdf

[ Microsoft собирается открыть Visual FoxPro ]

Корпорация Microsoft в ближайшее время планирует открыть исходный код инструментария Visual FoxPro.

Пакет Visual FoxPro представляет собой визуальную среду разработки систем управления реляционными базами данных,
использующую язык программирования FoxPro. Долгое время FoxPro оставался одним из самых популярных инструментов для
создания баз данных. На нем написано огромное количество бухгалтерских, экономических и других приложений, связанных с
расчетами и хранением информации.

Корпорация Microsoft намерена открыть программный код системы управления базами данных Visual FoxPro DBMS (Database
Management System). Впрочем, дата публикации кода и лицензия, под которой он будет распространяться, пока не уточняются.

Зато известно, что исходный код Visual FoxPro будет доступен через сайт CodePlex. Данный ресурс, запущенный корпорацией
Microsoft летом прошлого года, представляет собой интернет-хранилище программного кода. Свои разработки в базе данных
CodePlex могут размещать все желающие, доступ к проектам предоставляется по условиям инициативы Microsoft Shared Source,
лицензии GPL и других свободных лицензий. Кстати, сама Microsoft размещает исходники в CodePlex по условиям собственной
лицензии SSI (Share Source Initiative).

[ Symantec: Windows - самая надежная система ]

Microsoft Windows, несмотря на все проблемы с безопасностью, является самой надёжной операционной системой из всех
существующих, утверждает Symantec.

Во втором полугодии 2006 г. в системах Windows было найдено и устранено наименьшее число уязвимостей; компания в среднем
быстрее всех выпускает обновления безопасности, — говорится в последнем «Докладе об угрозах безопасности интернета»,
выходящем дважды в год.

Утверждение подтверждается сравнительными показателями среди пяти операционных систем: Windows, Mac OS X, HP-UX, Sun
Solaris и Red Hat Linux.

За полгода Microsoft выпустила обновления к более чем 39 уязвимостям; каждая дыра существовала в открытом состоянии в
среднем 21 день. На втором месте — Red Hat Linux: 208 уязвимостей и средний срок устранения 58 дней. Несмотря на большее
количество, эти уязвимости были в среднем менее опасны, отмечает Symantec. Mac OS X отметилась 43 уязвимостями и средним
временем устранения в 66 дней. На уязвимости высокой степени опасности у компании уходило в среднем 37 дней.

Замыкают пятёрку HP-UX и Solaris: 98 дыр и 101 день, и 63 дыры и 122 дня соответственно.

[ Microsoft предупреждает о новой угрозе безопасности ]

Корпорация Microsoft сообщает о появлении новой веб-угрозы, которая может использоваться для передачи потока веб-трафика
через прокси-сервер злоумышленника.

Суть атаки заключается в том, что приложения (такие, как браузер Internet Explorer) используют протокол WPAD (Web Proxy
Automatic Discovery – протокол автоматического обнаружения адреса прокси-сервера) производит поиск PAC (Proxy Auto
Config – авто конфигурирование прокси) файла, в котором содержатся указания настроек прокси-сервера. Таким образом,
хакеру предоставляется возможность конструирования такого PAC-файла, который «заставил» бы браузер пересылать трафик
через прокси-сервер злоумышленника.

«Злонамеренный» WPAD.dat файл может быть размещен на DNS или WINS сервере, к которым обычно и обращаются клиентские
приложения для определения местонахождения PAC-файла, сообщает Microsoft.

[ Adobe Apollo - новая мишень для хакеров ]

Новая среда Apollo для разработки веб-приложений в стиле веб 2.0 для настольных компьютеров была представлена в виде
первой альфа-версии в конце прошлой недели. Вместе с удобствами, обещанными компанией, продукт может стать очередным
вектором для хакерских атак.

Одну из потенциальных проблем Adobe, по её словам, удалось решить: в приложениях данные не будут «встречаться» с кодом,
что избавит систему от атак межсайтовых сценариев (XSS). Приложения будут выполняться в «песочном ящике» (sandbox) —
виртуальной среде, изолированной от системы; сама система предназначена для запуска приложений для настольного
компьютера с доступом к веб-сервисам, а не для веб-сервисов с доступом к настольному компьютеру.

Однако исследователь HD Moore считает, что смесь HTML, Ajax, Flex и JavaScript слишком опасна сама по себе. Осмотрев
платформу, он отметил некоторые положительные стороны. Так, установка в среду нового приложения сопровождается запросом
на подтверждение пользователем. Он намерен исследовать платформу более тщательно в ближайшее время.

Adobe — не первая компания, чьи веб-разработки вызывают обеспокоенность по поводу безопасности. С выходом Google Desktop
3 beta, специалисты Gartner раскритиковали компанию за то, что её продукт копирует на серверы Google и хранит там файлы,
имеющие отношение к компании-пользователю. Это представляет собой потенциальную угрозу для интеллектуальной
собственности, считают в компании, исследующей рынок.

Зачастую безопасность веб-приложений компрометируют неопытные разработчики, считает технический директор SPI Dymanics
Калеб Сима (Caleb Sima). «Всё зависит от того, насколько широко будет развёрнута эта [Appolo], но я уже вижу в ней
отличную игровую площадку [для хакеров]», — сказал он.

[ Найдена уязвимость в системе управления критическими инфраструктурами США ]

Уязвимость в системе управления критическими инфраструктурами США, SCADA, обнаруженная компанией Neutralbit, может
привести к удалённой атаке отказа в обслуживании либо перехвату управления злоумышленниками. Это приведёт к сбоям в
нефтяной, химической, атомной отраслях, может нарушить железнодорожное сообщение и оставить города без воды и
электричества.

Это первая дыра в безопасности, обнаруженная за всю историю существования крупномасштабной распределенной системы
управления и оценки данных.

Уязвимость кроется в сервере OLE for Process Control (OPC), работающих под Windows. Программное обеспечение неверно
обрабатывает серверные управляющие указатели, что позволяет подвесить систему через сеть. Недавно Neutralbit обнаружила
и опубликовала информацию о пяти уязвимостях в OPC.

Заявления о потенциальной уязвимости жизненно важных инфраструктур делались и ранее. Президент Errata Security Роберт
Грэм (Robert Graham) в прошлом году выпускал доклад о возможных угрозах инфраструктуре из Сети, где назвал SCADA
«полностью открытой для атак, в особенности OPC».

Грэм описал приложения OPC Windows как трансляторы между базовыми сервисами и вспомогательными протоколами, которые
проводят мониторинг и управление коммутаторами, заглушками, термометрами, датчиками и регуляторами давления и другими
физическими устройствами. «Эти вспомогательные протоколы зачастую написаны по стандартам, принятым до выхода Windows…
Они ужасно ненадёжны, потому что в отрасли SCADA очень немногие имеют понятие о таких угрозах, как, например,
переполнение буфера», - сказал он. В момент разработки стандартов этот распространённый ныне вид атак практически не
применялся в Сети. Грэм утверждает, что уязвимость в SCADA можно найти за пять минут.

[ Опубликован код эксплойта для уязвимости в IE ]

В Сети опубликован код эксплойта, использующего уязвимость в Microsoft IE. Код опубликован человеком с ником Milw0rm на
своей одноименной веб-странице.

Уязвимость, которую использует эксплойт, может использоваться для несанкционированного запуска программного кода на
компьютере на целевом компьютере, на котором не установлен соответствующий патч от Microsoft.

Уязвимость была обнаружена довольно давно security-экспертом HD Moore, и еще в июле прошлого года им же был опубликован
код, вызывающий «крах» браузера. Microsoft выпустила соответствующее обновление в феврале 2007 года, но, по мнению
аналитиков WebSense, уязвимость все еще актуальна и хакеры еще раз обратят на нее пристальное внимание в связи с выходом
эксплойта.

Эксперты eEye отметили, что код Milw0rm работает для IE 6, но не функционирует под IE 7, и сообщили, что обновленная
версия эксплойта, работающая и для новейшего браузера, будет опубликована позднее.

Оригинальный код эксплойта использует ошибку в функции NextRecordset() библиотеки msado15.dll и, в случае успеха,
запускает calc.exe.

Код: http://www.securitylab.ru/poc/extra/293384.php

[ За год работы проекта Coverity устранено 6 тыс. уязвимостей в открытом коде ]

Coverity, проект по устранению уязвимостей в программных продуктах с открытым кодом, спонсируемый Департаментом
внутренней безопасности США, за первый год своей работы обнаружил порядка 6 тыс. уязвимостей.

Проект ведёт одноимённая компания совместно с Symantec и Стэнфордским университетом. В ознаменование своей первой
годовщины, Coverity объявил об утроении количества подпроектов с 50 до 150. Один из новых продуктов, попавших под
внимание специалиста по анализу исходного кода, — FreeRadius — приложение защищённой авторизации в сетях интернет-
провайдеров.

К годовщине проект также обновил свой веб-сайт, представив полноцветные графики результатов своей деятельности.

[ Автор Metasploit выпускает приставку для тестирования защищенности сетей ]

Начинающая компания BreakingPoint Systems готовит к выпуску приставку для тестирования защищенности сетей BPS-1000,
разработанную при содействии Эйч-Ди Мура, автора хакерского инструментария Metasploit. Устройство выискивает уязвимости
в балансировщиках нагрузки, системах предотвращения вторжений и маршрутизаторах. Кроме того, приставка позволяет
выяснить, как сетевое оборудование будет вести себя в условиях резкого возрастания объема трафика.

Основатели BreakingPoint Systems являются выходцами из компании 3Com. По их словам, вскоре после создания BreakingPoint
они пригласили на работу в компанию Эйч-Ди Мура, как "лучшего взломщика во всех США". На сегодня в BreakingPoint около
30 сотрудников, в том числе три специалиста по безопасности, которые вместе с Муром совершенствуют средства тестирования
защищенности систем. Как указывают в компании, BPS-1000 позволяет проверить, как сеть справится с исполнением новых
приложений, например, VoIP-систем, еще до их ввода в рабочую эксплуатацию.

[ Глобальный сбой в работе ICQ ]

Сегодня утром самый популярный компьютерный пейджер – ICQ – отказался работать – программа не могла подключиться к
серверу. Не работали и другие клиенты, использующие протокол «аськи» - Miranda, QIP и т.д.

Данный сбой касался не только России и не был связан с проблемами в Рунете. В данный момент проблема решена и связь
восстановлена.

В работе ICQ время от времени происходят сбои. Эксперты в области информационных технологий затрудняются определить
точную причину глобального сбоя в работе интернет-пейджера. «Видимо, висел самый главный сервер, на который приходят все
запросы. Могли выйти из строя маршрутизации. Причины угадать невозможно – от атаки хакеров до какого-нибудь вируса», –
говорит специалист по информационным технологиям одной из российских медиакомпаний.

[ Microsoft Office станет открытым и бесплатным, хотя и не совсем ]

Глава Microsoft Билл Гейтс приоткрыл завесу тайны над словами президента бизнес-группы корпорации Джеффа Райкса, которые
многими были истолкованы как признание поражения в борьбе с пиратством. Выступая на Morgan Stanley Technology
Conference, Райкс сказал: «Если пираты собираются красть у кого-то, пусть лучше крадут у нас» (If they're going to
pirate somebody, we want it to be us rather than somebody else). Как выяснилось сегодня в ходе презентации новой
программы Microsoft - Free Software & Open Source Advantage (FOSI Advantage) - эту двусмысленную фразу следует понимать
следующим образом: красть у Microsoft скоро будет нечего, так как все «потребительские» программные продукты,
выпускаемые корпорацией, постепенно станут бесплатными, а их программный код - открытым.

По словам Гейтса, первым программным продуктом, выпущенным в рамках FOSI Advantage, станет пакет FOSI Office, в состав
которого войдут такие приложения, как Word, Excel, PowerPoint, Outlook и Publisher из стандартного пакета Microsoft
Office 2007. По словам Гейтса, приложения, входящие в FOSI Office, абсолютно ничем не будут отличаться от тех, что
входят в пакет Office 2007. По мнению Гейтса, программ, входящих в FOSI Office, вполне достаточно для домашних и SoHo
пользователей, в среде которых в основном и распространено «пиратство», а крупным корпоративным пользователям, имеющим
потребность в более сложных приложениях таких, как Access, по-прежнему придется покупать их. «После выхода FOSI Office
пиратство потеряет всякий смысл» - заявил Гейтс - «кому нужно красть то, что и так доступно бесплатно, байт в байт?» - и
почти дословно повторил фразу Райкса - «Если хотите что-то украсть - крадите у нас. Только сначала подумайте, надо ли
ломиться в дверь, которая и так открыта!» Согласно планам Microsoft, пакет FOSI Office должен появиться на свет еще в
первой половине 2007 года, хотя точная дата его выхода пока не определена.

Гейтс также затруднился назвать другие программные продукты, которые станут распространяться в рамках FOSI Advantage,
хотя сообщил, что корпорация рассматривает возможность выпуска операционной системы Windows FOSI. Возможно, под этим
названием выйдет Windows Vista Home SP1. Несмотря на тот оптимизм, с которым было встречено заявление Билла Гейтса, не
обошлось и без ложки дегтя. Так, пользователям, которые захотят приобрести в дополнение к FOSI Office один из
дополнительных продуктов из пакета Office 2007, например тот же Access или InfoPath, придется заплатить за весь пакет
Office 2007. Вызывают сомнения и заверения Гейтса в том, что программный код FOSI Office будет идентичен коду Office
2007, ведь в таком случае открытым должна оказаться и та часть кода, которая отвечает за систему активации Office. Кроме
того, неизвестно насколько понравится акционерам компании такая щедрость ее главы. Во всяком случае, курс акций
Microsoft на Российской фондовой бирже после этого исторического заявления упал сразу на 4,6%.

[ Хакера, взломавшего сети Пентагона, выдадут американскому правосудию ]

Британский хакер Гери МакКиннон (Gary McKinnon), которого Пентагон называет «крупнейшим военным хакером всех времен»,
будет выдан США, где предстанет перед судом по обвинению во взломе 97 правительственных компьютеров и нанесении ущерба
Пентагону, армии, флоту США и NASA в размере $700 тыс. Сегодня Верховный суд Великобритании отверг апелляцию г-на
МакКиннона на решение о выдаче его американцам, подписанное министром внутренних дел.

«Мы не нашли никаких оснований для апелляции, — сказал один из судей, Лорд юстиции Морис Кей (Maurice Kay). — Поведение
МакКиннона было умышленным. В результате его поведения был нанесен ущерб компьютерам посредством нарушения целостности
данных, их доступности и работе программ, систем, а информация и данные на компьютерах стали ненадежными».

Адвокат МакКиннона в качестве аргументов выдвигал возможное нарушение прав человека в отношении подзащитного и
политические или национальные мотивы претензий властей США к обвиняемому. МакКиннон, входивший в правительственные
системы США под кличкой Solo, признает сам факт доступа, однако отрицает нанесение какого-либо ущерба. В США МакКиннону,
в случае признания его виновным, грозит до 70 лет тюремного заключения и штраф до $1,75 млн.

Впрочем, у хакера есть еще один шанс — предстать перед Палатой Лордов для получения разрешения на то, чтобы оспорить
решение Верховного суда.

[ Протокол шифрования WEP для Wi-Fi можно взломать за 3 секунды ]

Протокол шифрования данных в беспроводных сетях Wi-Fi, WEP («эквивалент проводной прайвеси»), можно взломать за 3
секунды, утверждают трое исследователей из университета Дотрмунда, Германия. Демонстрация этого процесса пройдёт на
выходных на конференции по безопасности в Гамбурге.

Протокол основан на алгоритме шифрования RC4; ещё в 2001 году математики говорили о том, что он теоретически ненадёжен,
однако для его вскрытия требуется отправка порядка 4 млн пакетов. Позднее в алгоритме были найдены новые дыры, снижавшие
время взлома поиска ключа - до нескольких часов. Но алгоритм WEP оставался надёжным практически, поскольку ключи
менялись каждые 5 минут.

Исследователям из Германии удалось извлечь 104-битный ключ WEP за 3 секунды путём перехвата беспроводных пакетов в
течение нескольких минут. Этот процесс можно повторить на любом современном ноутбуке: эксперимент проводился на машине с
процессором 1,7 ГГц Pentium M. Более того, взлом возможен и с менее мощных наладонных компьютеров или смартфонов,
утверждает один из участников проекта, Эрик Тьюс (Eric Tews).

Протокол WEP позиционировался как «эквивалент безопасности проводных сетей», где трафик между узлами перехватить
невозможно.

[ Объединенные хакеры атакуют Иран ]

Четвертого апреля в списках рассылки (http://seclists.org/fulldisclosure/2007/Apr/0168.html) было опубликовано заявление
группировки Объединения хакеров против угрозы Ислама «Hackers United gainst the Threat of Islam», в котором сообщается о
подготовке массированной атаки на сетевую инфраструктуру Ирана. В сообщении указано, что подготовительная часть
операции, в ходе которой была проведена сетевая разведка, установлены Трояны на многие компьютеры Ирана, а также
скомпрометированы учетные записи маршрутизаторов.

Шестого апреля планируется начало крупномасштабной операции по выводу из строя сетевой инфраструктуры очередной жертвы
имперских амбиций США, в которой примут участие хакеры из США, Великобритании, Норвегии, Франции, Италии, Бразилии,
Германии и Израиля.

Представители как блэк- так и некоторых вайтхэт сообществ России прокомментировали это заявление следующим образом: «Мы
не только не поддержим массовую компанию по взлому систем Ирана, но осуществим акцию с целью установки патчей и
повышению защищенности сетевых ресурсов этого суверенного государства».

В компании Rambler ICQ также опровергают связь между вводом нового типа рекламы и перебоями в работе ICQ.

Таким образом, наиболее вероятными остаются три версии сбоя в работе сервиса: изменения в системе авторизации, введение
нового типа рекламы и серьезные технические сбои в работе серверов AOL. Компания ICQ сообщила о "перебоях в течение
нескольких последних дней", подтвердив тем самым, что сбои происходили неоднократно и их причины до сих пор не
устранены.

[ Обнаружен первый вирус для плееров iPod ]

«Лаборатория Касперского», разработчик систем защиты от вирусов, хакерских атак и спама, сообщила об обнаружении первого
вируса, заражающего музыкальные плееры iPod. Вирус, получивший название Podloso, не представляет реальной угрозы,
поскольку является представителем «концептуальных вирусов».

В частности, обнаруженный вирус представляет собой файл, способный запускаться и работать на музыкальных плеерах iPod.
Важно отметить, что для работы вируса требуется, чтобы на плеере iPod была установлена операционная система Linux. После
записи на iPod пользователя вредоносная программа устанавливает себя в папку, содержащую демоверсии программ.
Автоматический запуск Podloso невозможен и должен производиться пользователем.

После запуска вредоносная программа сканирует жесткий диск плеера и заражает все исполняемые файлы в формате .elf. При
попытке запуска таких файлов вирус выводит на экран устройства сообщение «You are infected with Oslo the first iPodLinux
Virus».

Как сказано выше, Podloso относится к вредоносным программам класса proof-of-concept, или так называемым
«концептуальным> вирусам». Подобные программы, как правило, создаются с целью доказать возможность заражения той или
иной новой для вирусописателей платформы и не несут вредоносного потенциала.

Кроме того, Podloso не обладает способностью к распространению: для заражения устройства необходимо, чтобы вирус был
записан в память плеера пользователем.

Таким образом, первый вирус для музыкальных плееров iPod не обладает какой-либо вредоносной функциональностью и не несет
опасности для владельцев плееров iPod, однако доказывает возможность написания вредоносных программ для данных устройств
в дальнейшем.

[ Лаборатория Касперского выпустила патч ]

Несколько уязвимостей было зафиксировано во многих антивирусных продуктах Лаборатории Касперского, включая ошибки при
работе с ActiveX, которые могли повлечь открытие доступа к конфиденциальной информации. Помимо ошибки, позволяющей
получить доступ к чужому компьютеру удаленно, были замечены ошибки, которые дают возможность недобросовестным
пользователям обойти защиту, изменить привилегии пользования программами и вызвать, тем самым, запрет использования
продукта.

Ошибки с ActiveX были вызваны небезопасными методами внедрения технологии в продукт, поэтому сайты, несущие эксплоит,
получали доступ к удаленным файлам с правом передачи на анонимный FTP. Однако это случалось, если пользователь заходил
на сайт, содержащий эксплоит.

Другие уязвимости, включая ошибку переполнения буфера обмена в некоторых компонентах, включая защиту против хакеров,
вызывают повреждение работы памяти, дающее возможность изменить политику привилегий системы и отключить защиту. Эти дыры
могли стать преимуществом только для локальных хакеров.

Ошибки обнаружили специалисты по сетевой компьютерной безопасности iDefense, Tipping Point's Zero Day Initiative и сами
специалисты Лаборатории Касперского. Апдейты не заставили долго ждать - на сайте производителя антивирусного ПО можно
скачать обновления.

[ Внеплановый патч от Microsoft создал новые проблемы ]

Как сообщалось раннее, Microsoft все-таки выпустила исправление для "курсорной проблемы", которая была обнаружена в
Vista, но работоспособна и в Windows 2000 SP4, XP SP2, всех версиях Windows Server 2003 и Windows Vista. По устоявшейся
традиции софтверный гигант радует своих пользователей патчами только раз в месяц во время так называемого "Вторника
патчей". Однако, когда энтузиасты из eEye выпустили временную заплатку, в стане Microsoft произошли какие-то пертурбации
и "Вторник Патчей" был перенесен на 4 апреля, то есть прошел на неделю раньше обычного.

Оказывается, что после решения одной проблемы на пользователей свалились уже другие. Причем, виновными в этом считают
разработчиков Microsoft, которые не потрудились проверить заплатку как следует. Уже поступали официальные подтверждения
прекращения работы панели управления аудиоустройством, использующим кодеки HD Audio компании Realtek. Под удар попали и
некоторые антивирусные пакеты, среди них AVG и F-Secure. Решение проблемы с оперативной системой и вылезшие баги при
работе антивирусных программ вынуждают разработчиков этих самых программ выпускать специальные апдейты.

Как видно, даже eEye удалось выпустить более работоспособную временную заплатку, нежели оригинальному разработчику,
который, к слову, привлек для ее создания специалистов из Defense, Adobe Systems и McAfee. Так что пользователям
операционных систем Microsoft придется либо ставить обновление под кодовым именем MS07-017, либо работать с уязвимой
операционной системой. Третий вариант – установка временной заплатки eEye, но как известно Microsoft "не рекомендует
своим пользователям устанавливать патчи сторонних производителей".

[ Открыт новый тип хакерских атак на портативные устройства ]

Специалист компании Juniper Networks Джек Барнаби утверждает, что открыл новый тип хакерских атак, которым подвержены
самые различные устройства, в том числе коммуникаторы, карманные компьютеры, маршрутизаторы и пр.

Проблема связана с особенностями архитектуры процессоров ARM и XScale. По словам Барнаби, злоумышленник теоретически
может получить доступ к устройству, подключенному к сети, и выполнить на нем произвольный код или похитить
конфиденциальную информацию. Причем по своей сути новый тип атак аналогичен приему переполнения буфера, который широко
используется злоумышленниками в настоящее время.

Барнаби отмечает, что новая хакерская методика пришла ему в голову во время тестирования оборудования посредством
интерфейса JTAG (Joint Test Action Group). Именно этот интерфейс и позволяет проводить атаки на портативные устройства,
оборудованные чипами семейств ARM и XScale. Дело в том, что в 90% случаев интерфейс JTAG остается незаблокированным. Это
объясняется желанием разработчиков сохранить возможность диагностики оборудования, кроме того, блокировка JTAG зачастую
оказывается слишком дорогостоящей.

По словам Барнаби, новая методика обеспечивает гарантированный успех при проведении атак. Пока, впрочем, специалист
Juniper Networks не стал вдаваться в подробности относительно разработанной техники, пообещав продемонстрировать
результаты своего исследования в ходе предстоящей конференции по вопросам безопасности CanSecWest, которая пройдет в
Ванкувере в середине текущего месяца.

[ Проблема с обработкой анимированных курсоров активно используется хакерами ]

Специалисты компаний, занимающихся вопросами компьютерной безопасности, отмечают, что в Сети появилось значительное
количество сайтов, эксплуатирующих уязвимость в операционных системах семейства Windows, связанную с особенностями
обработки операционными системами Microsoft файлов анимированных курсоров (.ani).

Напомним, что, эксплуатируя данную брешь, злоумышленник теоретически может получить несанкционированный доступ к
удаленному компьютеру. Для организации атаки необходимо заманить пользователя на составленную специальным образом веб-
страницу или отправить ему вредоносное электронное письмо. Об этой дыре Microsoft предупредила в конце марта и
охарактеризовала ее как критически опасную. Брешь имеется во всех версиях Windows, в том числе Windows Vista. В начале
текущего месяца Microsoft выпустила внеплановую закладку специально для того, чтобы нейтрализовать эту дыру.

По словам специалистов компании Secunia, в настоящее время уязвимость используется злоумышленниками в широком спектре
разнообразных вредоносных программ - от шпионских модулей до программ для создания бот-сетей.

Эксперты Websense, в свою очередь, обнаружили в Сети 450 сайтов, посещение которых может окончиться для пользователей
кражей персональной информации благодаря все той же бреши в системе. При открытии данных ресурсов происходит
переадресация на специальным образом сгенерированную веб-страницу, посещение которой приводит к заражению шпионским
модулем ad.exe.

Использовать брешь в своих целях не преминули и спамеры, рассылающие пользователям электронные письма в формате HTML с
заголовком, обещающим откровенные фотографии певицы Бритни Спирс ("Hot Pictures of Britiney Speers"), и ссылкой в теле
письма. Ссылка ведет на веб-страницу, посещение которой приводит к активизации вредоносного скрипта.

Технический директор американской компании Exploit Prevention Labs Роджер Томпсон полагает, что впервые уязвимость в
модуле обработки файлов анимированных курсоров была обнаружена китайскими хакерами, которые пытались получить
несанкционированный доступ к учетным записям подписчиков игры World of Warcraft. Впоследствии написанный китайскими
злоумышленниками вредоносный код был многократно модифицирован.

Эксперты отмечают, что уязвимость станет причиной появления большого числа новых бот-сетей, которые в настоящее время
широко используются злоумышленниками для рассылки спама, организации DoS-атак на неугодные ресурсы и осуществления
фишерских махинаций. В частности, данной точки зрения придерживается Макс Какрес из бостонской (США) компании Core
Security.

[ Эксперты посчитали «дырки» в Интернет ]

Группа экспертов, входящая в Web Application Security Consortium (http://www.webappsec.org/) – международную
организацию, объединяющую профессионалов в области безопасности Web-приложений, опубликовала статистику проблем
безопасности Интернет-сайтов, обнаруженных в 2006 году. При составлении документа использовались результаты работ по
анализу безопасности сетей, проведенных компаниями – международными лидерами в вопросах безопасности Web-приложений:
Cenzic (Hailstorm), Positive Technologies (XSpider), SPI Dynamics (WebInspect) и WhiteHat (Sentinel).

«Уязвимости Web-серверов очень распространены, а риски, связанные с ними достаточно высоки. Недаром требования по
проверке защищенности Web-приложений входят в ряд международных стандартов, в том числе PCI DSS. – говорит системный
архитектор компании Positive Technologies Сергей Гордейчик. – Но зачастую обеспечение безопасности Web-серверов сводится
в лучшем случае к установке обновлений и использованию SSL, чего явно не достаточно для адекватной защиты».

Собранная статистика показывает, что безопасность Интернет-серверов далека от идеала, ведь наиболее распространенная
уязвимость типа «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS) была обнаружена более чем в 85% всех
сайтов.

Суммарные результаты практически не отличаются от статистики, опубликованной Positive Technologies ранее для российской
части Интернет (http://www.ptsecurity.ru/webstat2006.asp). Это значит, что проблема безопасности Web-приложений в России
стоит достаточно остро.

Познакомиться с полным текстом исследования можно на сайте Web Application Security Consortium http://www.webappsec.org/
projects/statistics/.

[ Американские специалисты ищут способы защиты AJAX-приложений ]

Большинство фреймворков (стандартов и готовых программных модулей), предназначенных для реализации интерактивного
функционала в веб-приложениях, некорректно используют язык JavaScript. Это обстоятельство может привести к утечке данных
о пользователях из веб-приложений,  утверждают сотрудники американской компании Fortify Software.

Проблема, которую в Fortify Software назвали «взломом яваскрипта», возникает по причине того, что многие утилиты на базе
популярного комплекса технологий AJAX используют скриптовый язык как транспортный механизм, не уделяя при этом должного
внимания безопасности. Основная угроза при этом исходит от сайтов, применяющих так называемую подделку http-запросов
(XSRF). С помощью подобных запросов владельцы вредоносных сайтов воруют данные из AJAX-приложений. Пока эта проблема
актуальна для относительно небольшого числа сайтов, однако использование AJAX растет, а вместе с ним будет расти и число
уязвимых систем, отмечает ведущий научный специалист Fortify Software Брайан Чесс (Brian Chess).

«Мы стараемся донести до разработчиков, что у них появился по крайней мере один повод для размышлений, которого не
существовало ранее. Обычно специалисты по информационной безопасности появляются спустя длительное время после того, как
что-то случается. Однако на этот раз у нас есть шанс решить проблему до ее реального возникновения», — заявил Чесс.

За последние два года JavaScript стал существенно чаще использоваться для атак на компьютеры интернет-пользователей.
Так, в 2005 году червь Samy распространялся среди посетителей сайта MySpace. В прошлом году исследователи предупредили о
том, что степень распространения интернет-червей увеличивается вместе с развитием интерактивных технологий, получивших
общее название Web 2.0. Угрозы стали особо заметны в течение нескольких последних месяцев, когда хакеры направили усилия
на создание сайтов, рсодержащих вредоносные коды для редиректа пользователей на опасные ресурсы.

Если AJAX-атаки используют язык скриптов вполне понятным образом, то «взлом JavaScript» оказывается абсолютно новой
угрозой. «Это тот случай, когда даже опытные разработчики не представляли масштаб угрозы, поскольку о ней не подозревали
даже члены информационного сообщества», — подчеркивает Чесс.

«Взлом яваскрипта» реализует тенденцию, существующую в современных веб-приложениях, — сбор данных через скрипт-
структуры. Например, сайты, в которых предусмотрен формат обмена данными JavaScript Object Notation (JSON), обрабатывают
информацию, оперируя JavaScript-переменными. Учитывая это, хакер может настроить вредоносную веб-страницу для отправки
запросов к атакуемому сайту через пользовательский браузер.

Уязвимы для взлома приложения, собирающие данные из одного или нескольких внешних источников и включающие в себя при
этом функцию обратного вызова. Такая функция, как правило, используется для многократного повторения задачи. Кроме того,
уязвимыми являются приложения Microsoft's ASP.NET Atlas, XAJAX, Google's Web Toolkit. Список можно дополнить еще целым
рядом созданных веб-программистами фреймворков.

По мнению Fortify Software, представители которой обсудили сложившуюся ситуацию с ведущими разработчиками AJAX-
фреймворков, существует два пути решения проблемы. Первый — научиться защищать сайты от подделки http-запросов. В этом
случае одновременно будет найдена защита также от «взлома яваскрипта». Наилучшей реализацией данного способа экспертам
американской компании представляется встраивание в каждый запрос хорошо замаскированных символов-маркеров. Вторым путем
может стать внедрение в JavaScript внешнего кода, который перед обработкой необходимо удалять. В противном случае
выполнение скрипта будет приостанавливаться.

[ Oracle готовит 37 «заплаток» для своих программных продуктов ]

Компания Oracle 17 апреля планирует выпустить 37 патчей для своих программных продуктов. Данный релиз пройдет в рамках
ежеквартального обновления.

Патчи будут выпущены для пока еще не описанных брешей в Oracle Database, Application Server, E-Business Suite. 13
обновлений приходится на разные версии СУДБ Oracle. Три «заплатки» являются особо важными, поскольку ликвидируют
уязвимости, которые хакеры могут эксплуатировать, не имея данных об учетных записях пользователей. 2 из 11 брешей в E-
Business suite также могут быть удаленно взломаны, предупреждает Oracle в пресс-релизе.

В октябре прошлого года компания начала ранжировать собственные программные бреши по степени их серьезности в
соответствии с общей системой учета уязвимостей (CVSS). CVSS — широко распространенная в IT-индустрии методика,
предназначенная для стандартизации рейтингов уязвимостей.

Набор патчей этого квартала Oracle оценивает в 7 баллов по 10-бальной шкале (максимально возможные 10 означают грядущую
Интернет-катастрофу). Аналогичную оценку получил и предыдущий, январский набор «заплаток», число которых составило 31.
На сей раз системным администраторам придется иметь дело с 37 патчами.

[ F-Secure предложила создать новую доменную зону для банков ]

Компания F-Secure предложила ICANN создание новой зоны для финансовых учреждений. Основным аргументом стала возможность
значительно повысить защиту от фишеров.

В настоящее время злоумышленники часто создают сайты-обманки известных банков на доменах, отличающихся от оригинала в
одну букву и с помощью спама завлекают на них клиентов соответствующего банка. Под видом технических работ или проверки
данных счета, злоумышленники выманивают у клиента данные и используют их в корыстных целях.

Новая зона .safe позволила бы свести подобные махинации к минимуму - увидев, что домен находится в зоне .safe, клиент
будет уверен в его легитимности. Обеспечивать безопасность предлагается жестким отбором финансовых учреждения на
получение домена, из-за чего путь фишеров на домены .safe будет закрыт. F-Secure предлагает вести базу регистраций самой
ICANN или ограниченному числу регистраторов с лучшей репутацией.

Но и минусы подобного решения очевидны - немногие компании решатся на прохождении многих проверок ради получения нового
домена. Да и необходимость указания во всех промо-материалах нового домена также на взгляд компаний - большая проблема.
До сих пор многие авиакомпании так и не обзавелись доменом в зоне .aero, так что же говорить о более труднодоступных
профильных зонах.

Проблема фишинга с каждым годом встает все острее - количество мошенников стремительно растет, их технические средства
постоянно улучшаются, хотя сами преступники становятся все наглее и ленивее. Лишь за декабрь прошлого годы бало
зарегистрировано 23 787 сообщений о попытках фишинга на территории США и было выявлено 28 531 поддельных сайтов.

[ Компания SiteAdvisor назвала самые опасные доменные зоны ]

На просматриваемых веб-сайтах нас поджидают вирусы, фишинг, непрошеные загрузки, pop-ups и прочая нечисть. Компания
SiteAdvisor, специализирующаяся на web-безопасности, опубликовала отчёт Mapping the Mal Web, анализирующий 265 доменов
верхнего уровня (TLD) с точки зрения вероятности попадания на опасные сайты.

Результаты исследования наглядно представлены на интерактивной карте мира. Вот некоторые любопытные факты и цифры из
отчёта:

* Из доменов больших стран наиболее опасными являются Румыния (.ro) - 5,6 процентов опасных сайтов и Россия (.ru) - 4,5
процента.

* Островные страны, предлагающие бесплатную или анонимную регистрацию доменов, занимают верхние строчки в списке опасных
TLD. Среди них Сан-Томе и Принсипи (.st) у берегов Африки с чудовищными 19 процентами, Токелау (.tk) в Тихом океане с 10
процентами, Туркс и Кайкос (.tc) также с 10 процентами, и, наконец, острова Южная Георгия/Южные Сандвичевы (.gs) вблизи
Антарктиды с 9 процентами.

* Из числа доменов общего назначения самым опасным признан .info - 8 процентов сайтов признаны опасными. За ним идёт
повсеместный .com - 6 процентов.

* Наименее опасные сайты - у честных скандинавских парней. Четыре страны с наилучшими показателями - это северные
Финляндия, Норвегия, Швеция и Исландия. Пятое место занимает Ирландия.

* Самое безопасное место в Интернете: .gov. Предназначенное для правительственных учреждений США это единственный домен
верхнего уровня, в котором не обнаружено опасных сайтов.

* Наихудшие места для скачивания файлов - Самоа (.ws), .biz и Болгария (.bg). Скачивая файлы в этих доменных зонах вы в
одном случае из 10 будете иметь дело с опасным сайтом.

* Наихудший домен с точки зрения спама: .info. 73,2 процента из более чем 6000 протестированных в этой зоне сайтов
отнесены к опасным. За ним следуют Россия (22 процента) и Южная Корея (20 процентов). Другими словами, вводя ваш e-mail
в формы на сайтах в этих зонах, вы рискуете получить шквал спама.

* Вывод: подумайте дважды, прежде чем загружать файлы с болгарских сайтов и регистрироваться на сайтах из зоны .info.
Это настоящие виртуальные джунгли.

[ Хакеры украли у Земфиры новые песни ]

Нигде ранее не издававшие песни Земфиры по неосторожности самой певицы попали в руки российских аудио-пиратов.

Некоторое время назад Земфира Рамазанова объявила, что создает в интернете собственный блог, где будет выкладывать самые
свежие песни. В том числе те, которые она пока не планирует издавать.

Разумеется, подобный материал интересен не только фанатам. Уже через несколько дней блог певицы был взломан хакерами, и
эксклюзивные записи песен, а так же закрытая регистрационная информация личного характера были похищены.

Остается ждать, когда украденные записи появятся в продаже на пиратских дисках. Думается, это вопрос нескольких недель.

Узнав, что ресурс взломан, Земфира не стала подавать заявление в милицию, а обратилась за помощью к профессионалам,
которые установили на ее блоге защиту.

[ Microsoft предупреждает о 0-day-атаке на DNS-сервер ]

Microsoft выпустила предупреждение о появлении сообщений об атаках на критическую уязвимость в сервисе DNS Server для
версий Windows 2000 Server SP4, Server 2003 SP1 и SP2. Уязвимость позволяет выполнить произвольный код без вмешательства
пользователя, отправив специальный RPC-пакет на заданный IP-адрес.

Внедрённый в пакеты код выполняется под системными правами, Local SYSTEM. Опасность уязвимости снижается ввиду того, что
ей не подвержены Windows 2000 Pro SP4, Windows XP SP2 и Vista.

Компания пока не завершила исследование вопроса; она не исключает, что обновление безопасности второй раз в этом году
выйдет вне очереди, хотя, возможно, это состоится и по графику — во второй вторник мая.

Всем, кто считает себя пострадавшим, Microsoft советует звонить в службу техподдержки, говорится в бюллетене компании.

[ Взломана система защиты Bank of America ]

Исследователь систем безопасности Кристофер Согойан (Christopher Soghoian) продемонстрировал уязвимость защиты
онлайновой системы платежей Bank of America, которую сам банк до сих пор называл «совершенной», — SiteKey.

Защитная система под названием SiteKey, как предполагали разработчики, должна была исключить возможность фишинга.
Исследователь снял демонстрационное видео успешного случая фишинга.

Sitekeys, или «ключи для сайта» предлагают пользователю выбрать легко узнаваемую картинку. Вход на сайт осуществляется в
три этапа. На первом необходимо ввести идентификатор своего счёта и место жительства. На втором ему задают один из
контрольных вопросов, а на третьем — показывают картинку, которая известна только на настоящем сайте, и просят ввести
пароль.

Суть взлома заключалась в использовании посреднического кода, который отправлял вводимые данные на настоящий сайт и
получал оттуда всё, включая картинку-ключ.

В качестве морали своей работы исследователь отметил, что нельзя доверять сайту всего лишь на основе картинки. «Этой
схемы безопасности, применяемой отдельно, а не в комплексе, недостаточно для защиты в онлайне», — сказал он.

Впрочем, по данным одного исследования, на картинку-ключ мало кто обращал внимание. 92% людей, среди которых проводилось
исследование, вводили свой пароль даже в том случае, если им показывали другую.

[ Оглашены результаты расследования хакерской атаки на Госдепартамент США ]

Представители американского Бюро дипломатической безопасности сделали официальные заявления по поводу прошлогодней
хакерской атаки на Государственный департамент США.

В конце мая прошлого года неизвестные злоумышленники получили несанкционированный доступ к компьютерам Госдепартамента и
похитили ряд конфиденциальных документов. Как сообщает Associated Press со ссылкой на заявления Дональда Рейда,
координатора Бюро дипломатической безопасности, взлом был осуществлен посредством электронного сообщения, отправленного
одному из сотрудников Государственного департамента США. Письмо, содержавшее вложенный документ в формате Microsoft
Word, выглядело так, будто было отправлено из надежного источника. Однако, открыв файл, получатель, сам того не
подозревая, предоставил киберпреступникам доступ к компьютерной сети Госдепартамента.

Рейд отмечает, что вредоносный документ эксплуатировал неизвестную на тот момент уязвимость в офисном пакете Microsoft.
Обнаружив факт проникновения в сеть, служба безопасности Государственного департамента США была вынуждена временно
отключить доступ в интернет, а информация о дыре была направлена в корпорацию Microsoft. Однако соответствующая заплатка
появилась только 8 августа, то есть, спустя два месяца после взлома. И это притом, подчеркивает Рейд, что даже
Федеральное бюро расследований обращалось к руководству Microsoft с просьбой ускорить процесс разработки патча.

Дональд Рейд не стал уточнять, откуда именно проводилась атака на компьютерную сеть Государственно департамента США, и
подозревают ли американские спецслужбы в организации нападения правительства других стран. Однако Рейд заметил, что на
устранение последствий взлома ушло больше месяца.

[ Эксперт Джек Барнаби продемонстрирует новый тип атак на портативные устройства ]

Ошибка Null-pointer (нулевого указателя) уже давно у всех на слуху, однако максимум, что злоумышленники могли сделать с
ее использованием, — вызвать нарушение нормального функционирования объекта атаки. Теперь же все изменилось: эксперт
компании Juniper Networks показал, как можно использовать ошибку Null-pointer для захвата контроля над атакуемой
системой и выполнения злонамеренного кода.

Эксперт компании Juniper Networks разработал новую разновидность атаки Null-Pointer Dereferencing, затрагивающую широкий
спектр устройств — от роутеров до мобильных телефонов, позволяющую захватывать контроль над системой/устройством и
выполнять злонамеренный код.

Аналитик Джек Барнаби (Barnaby Jack), разработавший модификацию атаки, наглядно продемонстрирует работу созданного им
метода 24 апреля на конференции по безопасности CanSecWest в Ванкувере. Атака представляет собой процесс захвата
контроля над маршрутизатором с последующим внедрением вредоносной программы на все машины его сети. Эксперт покажет,
как, используя созданный им метод, можно изменить микропрограмму маршрутизатора таким образом, чтобы он внедрял
вредоносный код в любой исполняемый файл, который загружается через него из Сети. Такой метод может использоваться для
заражения, например исполняемых файлов Windows Update, что позволит гарантированно доставить и исполнить злонамеренный
код на большинстве компьютеров сети.

Г-н Барнаби утверждает, что нашел способ превращения атаки с использованием довольно распространенного типа ошибок —
Null-Pointer Dereferencing — в нечто гораздо более опасное. Много лет эта ошибка, происходящая в том случае, когда
программа запрашивает несуществующий участок памяти или «null», не считалась особенно опасной, так как приводила только
к сбою системы.

Эксперт обещает продемонстрировать, как эта же ошибка может использоваться для атак, захватывающих контроль над системой
и позволяющих выполнять на ней вредоносный код. По словам создателя новой разновидности null-point атак, «новый метод
надежен на 100% и всегда приводит к беспрепятственному исполнению кода на целевой системе», сообщает OCS.

Самое главное заключается в том, что эта атака не ориентирована на обычные ПК с процессорами Intel. Код, эксплуатирующий
уязвимость, работает только на процессорах на базе Arm и XScale, то есть на подавляющем большинстве встраиваемых
устройств. Таким образом, если сообщение г-на Барнаби подтвердится, это может стать большой проблемой для производителей
такого рода продуктов. Аналитик Juniper Networks предсказывает, что созданная им модификация атаки null-pointer может
стать чрезвычайно популярной среди хакеров как более надежная альтернатива «классической» атаке на переполнение буфера.

В то же время г-н Барнаби указывает, что сделать системы неуязвимыми для его модификации атаки очень просто: для этого
необходимо лишь «подправить» Arm и XScale. Как именно, эксперт не объяснил. А до тех пор, пока этого не произошло,
абсолютно все выпущенные системы на базе этих платформ являются уязвимыми.

[ На конференции CanSecWest обсудили опасности JavaScript ]

По мере роста важности технологии JavaScript для веб-сайтов и применения её в веб-страницах web 2.0 с интерактивными
элементами, хакеры обращают на этот язык сценариев более пристальное внимание. Об опасностях, связанных с JavaScript,
говорили специалисты ИТ-безопасности на конференции CanSecWest в среду.

Вредоносные сценарии на JavaScript тщательно скрывают, говорит старший инженер безопасности Arbor Networks Хосе Назарио
(Jose Nazario). Текст сценария разбивают на множество компонентов, шифруют, разбавляют мусорными командами. Некоторые
сценарии даже дополняют функциями, затрудняющими отладку или запуск в виртуальных машинах. «Атакующие могут уничтожать
предупреждения и все виды процедур проверки. Часто они даже ограничивают возможность загрузки сценария определёнными IP-
адресами». К примеру, антивирусные компании, попавшие на вредоносный сайт, могут получить пустую страницу, в то время
как обычный пользователь — эксплойт.

Исследователи ещё несколько лет назад предупреждали о будущих червях, которые смогут распространяться через онлайновые
профили пользователей при помощи сценариев на JavaScript. В 2005 году такой червь появился на MySpace. В прошлом году
написание вредоносного кода на JavaScript и AJAX перешло из разряда исследовательской работы в коммерческую. В феврале
компания ИТ-безопасности Websense обнаружила, что веб-сайт стадиона Dolphin был заражен троянским кодом на JavaScript:
вместо обычной замены текста на главной странице злоумышленники встроили туда незаметный вредоносный код. Дальнейшее
исследование показало, что таким образом уже были заражены десятки сайтов. А в марте исследователь безопасности Билли
Хоффман (Billy Hoffman) продемонстрировал сценарий для ботнета, Jikto, написанный на JavaScript и работающий через
браузер.

Большинство экспертов, посетивших конференцию, сошлись во мнении, что количество угроз с использованием JavaScript будет
со временем нарастать.

[ Microsoft готовит к выпуску 133 патча ]

Microsoft работает над 133 отдельными патчами к уязвимости Windows DNS Service; компания обещает исправить эту
критическую ошибку не позднее 8 мая — второго вторника месяца, когда в свет выходят ежемесячные обновления.

«Дела продвигаются, мы постоянно оцениваем ситуацию, состояние процесса разработки и тестирования обновлений», — написал
в корпоративном блоге сотрудник Центра реагирования по вопросам безопасности (Security Response Center) Microsoft
Кристофер Бадд (Christopher Budd).

Число 133 означает, что компания разрабатывает патчи для каждой из серверных версий Windows, помноженных на количество
языков, на которых выходит система. «Патчи выйдут на разных языках для каждой текущей поддерживаемой версии серверов
Windows, — поясняет Бадд. — Каждая из них должна быть протестирована для того, чтобы убедиться в эффективной защите
[отдельной версии] от уязвимости».

Уязвимость в сервисе DNS обнаружена в Windows 2000 Server и Windows Server 2003 на позапрошлой неделе. Она позволяет
выполнить произвольный код на удалённом компьютере при помощи специально сформированного RPC-пакета; атакующему
достаточно лишь выбрать IP-адрес жертвы. На позапрошлой неделе компания предупредила о том, что уязвимость уже
эксплуатируется в ограниченных масштабах, однако за неделю в Сети появился код эксплойта в общем доступе, а также червь
Nirbot, использующий уязвимость.

[ Алкснис: Большинство прокси-серверов находится под контролем спецслужб ]

На сайте Finam.ru сегодня проходила конференция «Свобода слова в зоне Ру». Помимо генерального директора информационной
группы «Финам» Сергея Михеева и замдиректора Виктора Галенко, в ней приняли участие: заместитель генерального директора
Центра политических технологий Алексей Макаркин, руководитель Liveinternet.ru Герман Клименко, управляющий директор ИА
REGNUM Борис Соркин, журналист и популярный блоггер Максим Кононенко, а также депутат Госдумы РФ Виктор Алкснис.

Последний, кстати, настолько освоился в Интернете, что сообщил читателям много интересного. Во-первых, о том, что в
Госдуме пока не разрабатывается никаких законопроектов, регулирующих Рунет, «но слухи ходят». Во-вторых, на вопрос об
анонимайзерах депутат ответил: «Если Вы думаете, что это поможет, то заблуждаетесь. Большинство прокси-серверов
находится под контролем спецслужб. Именно для привлечения людей, которым есть что скрывать».

Очень много участники конференции говорили о том, является ли запись в блоге публичным высказыванием и должен ли автор
нести за нее ответственность. В основном пришли к выводу, что если человек размещает запись в Интернете и разрешает
свободный доступ к нему, то это можно назвать публичным высказыванием. Более того, Максим Кононенко уверен, что даже
если блоггер-матершинник заведет себе аккаунт на сервере за пределами России, отвечать ему придется перед нашим судом:
«Совершенно неважно, где физически стоит сервер. Важно, что человек написал кусок текста».

Много споров вызвал вопрос о том, должны ли пользователи блогов нести ответственность, если они размещают информацию, не
соответствующую действительности. Герман Клименко и Виктор Алкснис с уверенностью говорят «да», а Борис Соркин дает
более развернутый ответ: «Если это личный дневник, который ведется в Интернете и предназначен только для себя, закрыт от
индексирования посиковыми машинами и никак нигде не рекламируется, который читаешь только ты и несколько твоих друзей,
которым ты лично дал ссылку или не дал ее, тогда это дневник. Если этого ограничения нет, если у блога тысячи читателей,
то считаю, что человек, ведущий блог, должен отвечать по «оффлайновым» законам. То есть даже не так - отвечать по
Закону. Потому что не может быть разделения закона на оффлайновый и онлайновый».

С распространенным мнением о том, что общение в блогах – это нечто вроде разговора на кухне, не согласен и Герман
Клименко. «Не надо забывать, что блог - это не кухня в квартире!», - призывает он. Говоря о цензуре в Сети, руководитель
Liveinternet.ru отмечает: «Не следует подменять понятия цензура и ответственность и на этом создавать из государства
монстра. Идет нормальный процесс формирования правового пространства, и я не вижу здесь ничего ужасного».

Другого мнения придерживается Сергей Михеев: «Полагаю, этикет сетевого общения находится в процессе образования.
Государство - есть только те нормы, которые общество готово принимать. Внедренный закон будет нарушаться, просто потому,
что общество будет не готово его принимать».

Несколько вопросов касались того, какую роль будет играть Рунет, и в особенности блоги, в предстоящих выборах. Сергей
Михеев считает, что небольшую, но более заметную, чем на прошлых выборах: «Думаю, Интернет, как средство борьбы - это
реалии 2012 года. Сейчас он способен на организацию небольших (миллиона на 1,5-2) флэшмобов. Это пока не уровень
политики, это пока небольшая головная боль. Но при одном условии: власть и партии ведут себя разумно».

[ Малолетний взломщик нанес AOL ущерб $500 000 ]

17-летний Майк Нивс взломал серверы AOL и заразил систему вредоносными программами, которые отсылали ему данные с
серверов интернет-гиганта. Сам Майк сообщает, что сделал это, пытаясь вернуть свой заблокированный аккаунт. В то же
время представители AOL обвиняют его в следующем:

• получение доступа к системе учета клиентских счетов, адресов и информации о кредитных картах; • заражение серверов
компании программой-шпионом, которая пересылала данные на компьютер хакера; • подключение к 49 учетным записям AIM-
мессенджера, которыми владеют сотрудники сервиса поддержки; • попытка взлома системы поддержки пользователей; • фишинг
паролей у сотрудников предприятия, благодаря которым хакер получил доступ более чем к 60 аккаунтам.

Ущерб, нанесенный AOL, составил более $500 000. Нивса удалось задержать благодаря внутреннему расследованию компании, у
которой были все данные о злоумышленнике.

[ Рутковска научит взламывать Windows Vista ]

Авторитетный специалист по безопасности Джоанна Рутковска объявила о намерении продемонстрировать способы обхода средств
защиты информации Windows Vista. Рутковска собирается провести обучающий семинар в ходе конференции Black Hat Briefings
and Training, которая пойдет в Лас-Вегасе с 28 июля по 2 августа.

В процессе семинара Рутковска и ее коллега Алекс Терешкин обещают, в частности, продемонстрировать разработанные для
Vista rootkit-программы. По словам Рутковской, из этических соображений участие в семинаре будет ограничено только
представителями "легитимных" компаний. Недавно Рутковска продемонстрировала методы, с помощью которых rootkits могут
скрывать себя даже от самого надежного на сегодня механизма распознавания - аппаратных средств, считывающих содержание
оперативной памяти системы. По ее словам, июльская демонстрация будет посвящена именно таким методам. До недавнего
времени Рутковска работала в компании Coseinc, а в настоящее время занимается основанием в Польше новой компании,
которая будет специализироваться на информационной безопасности.

[ Появилась информация о взломе PLAYSTATION 3 ]

Хакерская группа Ferrox на форуме Console-Tribe сообщила, что скоро все желающие поиграть в нелегальные копии игр для
PLAYSTATION 3 смогут осуществить свою мечту, с помощью Ferrox ISO Loader v1.0:

«Мы считаем, что тестирование закончено. Есть несколько неисправимых глюков в загрузчике, но с этим мы ничего не можем
поделать. Загрузчик будет выпущен 11 мая 2007 в 12:00 по PST. Это означает, что вы, возможно, не получите его до 12-го.
Мы предоставим некоторым сайтам права на распространение. Всё равно это нелегально, но мы можем это сделать. Надеемся,
что после упорной работы для вас, вы сможете извлечь выгоду из этого, или хотя бы оценить наши старания.

Пока сложно утверждать что-либо наверняка: сообщения о скором выходе загрузчика ISO-образов для PS3 появлялись
неоднократно, но ни разу не подтверждались. Если же это действительно произойдет, то Sony будет нанесен удар.
Разумеется, распространять пиратские копии игр для PS3 будет непросто - объем в 10-15 (а в скором будущем и все 50) Гб -
это не шутка. Во взломе есть и положительные моменты - намного больше людей купит PLAYSTATION 3 в надежде на бесплатные
(читай: ворованные) игры.

[ Стартовал месяц уязвимостей в ActiveX ]

Специалист по проблемам в области информационной безопасности заявил о готовности в течение месяца ежедневно сообщать о
новых уязвимостях в ActiveX.

Человек, скрывающийся под ником shinnai, объявил о начале "месячника уязвимостей ActiveX".Согласно его сообщениям,
большая часть публикуемых уязвимостей будет представлять собой ошибки, которые можно использовать для атак на отказ в
обслуживании, вызывающих сбой запущенного приложения и/или операционной системы. ActiveX - технология Microsoft для
оснащения Web-страниц интерактивными элементами. В рамках "месячника ошибок" уже опубликован ряд уязвимостей, в том
числе в модулях просмотра файлов PowerPoint и Excel.

[ Специалисты Infoguard показали технологию взлома оптоволоконной сети ]

Используя пару нехитрых приспособлений, можно легко прочесть трафик, передающийся по оптоволоконной сети.

При этом для того, чтобы установить «сниффер», не нужно разрывать кабель пополам и вклинивать туда устройство -
достаточно разжиться так называемым ответвителем-прищепкой FCD-10B (его также называют "устройством подключения на
изгибе волокна"), разработанным в канадской компании Exfo.

Именно такую технологию и продемонстрировала швейцарская компания Infoguard на конференции Infosecurity в Лондоне.
Специалисты компании перехватили VoIP-трафик, причем на линии не возникло никаких посторонних шумов. Таким образом они
хотели напомнить всем компаниям, использующим оптоволоконные линии связи, о необходимости шифрования трафика, который
имеет хоть какое-нибудь значение.