Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Сетевые анализаторы пакетов и сегментация локальной сети
Сетевые анализаторы пакетов (снифферы) могут быть весьма полезны для сетевого администратора при исследовании производительности локальной сети и определении неисправностей. Однако они же могут быть использованы злоумышленниками для получения конфиденциальной информации.
Современные ЛВС, как правило, состоят из группы компьютеров, оборудованных сетевыми Ethernet-адаптерами, соединенными высокоскоростными кабелями через хаб или пассивный концентратор. Когда какой-либо компьютер в сети посылает пакет информации, этот пакет рассылается по всей сети, и любой другой компьютер в ней может получить доступ к этой информации. Обычно информацию принимает лишь тот компьютер, чей MAC-адрес указан
в заголовке пакета, остальные компьютеры отклоняют пакет.
Снифферы используют особенности вышеописанной архитектуры для перехвата информации, предназначенной для других компьютеров. Для этого они переводят сетевой адаптер компьютера, с которого осуществляется перехват, в режим, в котором он воспринимает все пакеты, появляющиеся в сети, вне зависимости от указанного в них MAC-адреса.
Хорошим способом ограничения пределов действия снифферов является сегментация локальной сети. Одним их способов ее осуществления является применение коммутаторов. В своей основе коммутатор является интеллектуальным хабом, который знает, кто должен получать информацию, а кто нет. В сети с коммутатором пакеты посылаются только в сегмент, содержащий компьютер-получатель. Сегментом сети может быть как группа компьютеров, так и один компьютер. Кроме этого, в больших локальных сетях сегментация позволяет бороться с перегрузкой каналов и повышает надежность сети.
http://www.pandasoftware.com
Повторенье √ мать ученья
Напоминаем, какие патчи надо установить для закрытия наиболее опасных дыр в вашем компьютере.
1.═Во избежание заражения Интернет-червями, которые используют уязвимость в Outlook и Internet Explorer, установите патч к Microsoft Web-браузеру с адреса═http://www.microsoft.com/windows/ie/downloads/critical/Q313675/default.asp.
2.═Во избежание проникновения через дырку в Internet Information Server:
"═для версии IIS 4.0:
http://www.microsoft.com/Downloads/Release.asp? ReleaseID=32061.
"═для версии IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp? ReleaseID=32011.
Service packs являются другим важным элементом в работе с приложениями Microsoft, и не только потому, что они разрешают проблемы, обнаруженные к моменту их выпуска. Но также и потому, что содержат новые и полезные функции. В 2001 г. был выпущен первый service pack к Exchange 2000. Его можно получить по адресу: http://www.microsoft.com/downloads/release.asp?releaseid=30973.
Service pack 1 (SP1) к SQL Server 2000 находится по адресу http://www.microsoft.com/sql/downloads/2000/sp1.asp.
SP 2 к Windows 2000 ≈ по адресу: http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/sp2lang.asp.
Критически важный патч к Windows XP, который исправляет уязвимость в службе Universal Plug and Play (UPnP), инсталлируемой по умолчанию в XP, доступен по адресу: http://www.microsoft.com/technet/security/bulletin/MS01-059.asp.
═Стартовал первый русскоязычный почтовый сервис с поддержкой PGP-шифрования переписки ≈ портал S-mail.com. Работа с почтой осуществляется автоматически при безопасном соединении через SSL. Поддерживается также ЭЦП и активная защита от спама. Разработка и менеджмент проекта осуществлены компанией Network Research Lab, зарегистрированной в Ирландии, но состоящей из российских специалистов. Сервис S-mail.com, по заявлению руководителей компании, также не будет позиционироваться как ресурс, ориентированный исключительно на русскоязычный сегмент Сети.
═Вышла версия 4.0 Антивируса Касперского. Модульная архитектура продукта позволяет в реальном времени устанавливать как обновления БД вирусных сигнатур, так и новые версии самой программы. В антивирусный монитор внедрена не имеющая аналогов технология перехвата и обработки зараженных объектов, основанная на распределенном двухуровневом взаимодействии с ОС. Такой механизм контроля над вирусной активностью значительно повышает общую стабильность компьютера, поскольку возможные сбои в работе антивирусного приложения не повлияют на функционирование системы в целом. Оптимизирована работа антивирусного монитора и сканера: модули разделены на две части (интерфейсную и функциональную), причем первая загружается только по запросу пользователя, в остальное время активной остается только вторая часть. Такой подход позволяет экономить оперативную память компьютера и, тем самым, ускорять работу других приложений.
Версии Personal Pro, Personal, Lite поддерживают ОС MS Windows XP. Обновлен пользовательский интерфейс в соответствии с технологией Tree Chart; усовершенствована система установки, позволяющая сохранять настройки ранее установленных версий, и механизм изоляции (╚карантин╩) зараженных и подозрительных объектов; расширены возможности обработки зараженных архивированных файлов; добавлена функция лечения почтовых баз почтового клиента MS Outlook Express и объектов, запускаемых при загрузке ОС, а также проверки памяти запущенных приложений; упрощена процедура работы с дисками аварийного восстановления.
Зарегистрированные пользователи предыдущих версий продукта могут бесплатно загрузить и установить Антивирус Касперского 4.0 с сайта ╚Лаборатории Касперского╩.
http://www.kasperskylab.ru
═Компании Dectel и Visionics объявили о том, что система видеонаблюдения FaceIt успешно опознала человека, разыскиваемого английской полицией.
Система FaceIt автоматически сканирует лица людей, проходящих перед камерой, и осуществляет поиск среди отобранных фотографий преступников, хранящихся в базе данных. Когда совпадение происходит, система оповещает оператора о необходимости произвести проверку идентичности человека и определить, стоит ли полиции уделять дальше ему внимание или нет. Если совпадения не происходит, то лицевые изображения, отсканированные системой для сопоставления, удаляются из памяти.
Visionics предварительно выпустила рекомендации по защите секретности в связи с использованием технологии распознавания лица в задачах видеонаблюдения. Они содержат понимание ответственности перед обществом за свои действия, стандарты для добавления/удаления записей в базе данных, соблюдение принципа ╚нет совпадения ≈ нет памяти╩, защиту для административного доступа и штрафы за несоблюдения этих требований.
Технология FaceIt используется в нескольких городских центрах в Великобритании и в США, в развлекательных центрах Тампы, Флориды и в настоящее время устанавливается и испытывается в различных аэропортах.
Однако общество American Civil Liberties Union (http://www.aclu.org) имеет другой взгляд на технологию FaceIt. По сведениям этой организации, данная система, используемая во время Super Bowl в США, вовсе не была такой уж эффективной и во многих случаях ошибалась, принимая обычных людей за террористов. Кроме того, по статистике полицейского отделения в г. Тампа, США, система FaceIt обнаружила возможных преступников 12, 13, 14 и 20 декабря 2001 года. Но ни один из этих людей не был преступником, при этом система два раза ошиблась в определении пола.
1.═10 января появился вирус, демонстрирующий возможность заражения платформы Microsoft.Net. Он распространяется традиционно ≈ через дискеты, CD-ROM, сети, Интернет, электронную почту с зараженными приложениями и т.═п. В одном случае из десяти на экране появляется следующее сообщение: NET.dotNET by Benny/29A. This cell has been infected by dotNET virus!
По замыслу создателя этого вируса, основная цель W/32 Donut (пышка) ≈ не массовое распространение, а демонстрация возможности заражения новой платформы. 95═% кода W/32 Donut написано на языке Win32 Assembler, оставшиеся 5═% ≈ на языке MISL (MS Intermediate Language). Работать вирус будет преимущественно с теми файлами, которые написаны на языке С#.
Файлы .NET обычно не имеют платформозависимого кода, но содержат маленькую лазейку: функцию _CorExeMain(), входящую в библиотеку mscoree.dll и позволяющую заполучить доступ к инсталлированной структуре .NET. На текущий момент это единственное платформозависимое приложение из структуры .NET, исполняемое перед платформонезависимым кодом. Donut подменяет 5 б из кода функции _CorExeMain() своими. В настоящее время заражению подвержены только ОС Windows 2000/XP. Вирус заражает все файлы с расширением .exe в текущей директории и на 20 уровней выше. Также вирус модифицирует некоторые параметры, которые позволяют ему получить управление для запуска приложения, в котором размещается код вируса.
2.═Обнаружен первый вирус, заражающий файлы мультимедийного формата SWF ≈ SWScript.LFM. Файлы Macromedia Shockwave (.SWF-файлы) содержат видео и звуковые данные. Компактность, простота создания анимированных изображений и поддержка большинством современных Web-приложений сделали их одним из самых популярных средств передачи мультимедийной информации через Интернет. Вирус является скорее концептуальным, нежели представляет реальную угрозу. Для распространения он требует нескольких важных условий, одновременное выполнение которых маловероятно. Во-первых, необходимо, чтобы на компьютере была установлена полная версия программы для работы с файлами Macromedia Shockwave: урезанных версий, встроенных по умолчанию в Internet Explorer и Netscape Navigator, недостаточно. Во-вторых, пользователю необходимо вручную загрузить зараженный SWF-файл на свой компьютер и запустить его. В-третьих, LFM заражает SWF-файлы, находящиеся в той же директории, что и файл-носитель вируса.
3.═Червь Gigger поражает компьютеры, работающие под Windows. Он приходит по электронной почте как вложение mmsn_ofline.htm (и поражает только компьютеры с Outlook Express), меняет настройки почтового клиента с тем, чтобы рассылать себя по адресам из списка контактов. Вирус написан в достаточно редком стиле: это сочетание Visual Basic Script Code и JavaScript.
4.═Появилась более опасная версия удаленно управляемого вируса Remote Shell Trojan или RST (доступа к командной оболочке удаленного компьютера), поражающего ОС Linux. Новый вариант также поражает исполняемые бинарные файлы формата ELF в Linux-системах и устанавливает back door, предоставляющий полный удаленный контроль.
Вирус содержит код, подключающий машину к сетевому снифферу, позволяющему идентифицировать и открывать порт для передачи данных (по мнению специалистов из Qualys). В компании Lockdown полагают, что вирус базируется не на протоколе UDP, а на менее известном внешнем шлюзовом протоколе (EGP).
Менеджер по чрезвычайным ситуациям компании SecurityFocus Райан Рассел (Ryan Russell) считает, что различия исследований Qualys и Lockdown свидетельствуют о вероятности существования двух вариантов вируса.
КОМПЬЮТЕР-ИНФОРМ Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей