Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта

Информационная безопасность

По данным Главного Финансового Управления США (GAO) за 2000 год компьютеры Пентагона были атакованы через Интернет 715 раз. Больше всех пострадало Военно-морское ведомство США: за 2000 год было совершено 387 попыток НСД в их интрасети, армейские сети были атакованы 299 раз, и только 29 хакеров пытались забраться в компьютеры военно-воздушных сил США. Это данные отчета ╚Информационная безопасность и предпосылки для ее улучшения в компьютерных сетях министерства обороны╩. В отчете указано, что в 1999 году Пентагон подвергся 600 компьютерным атакам. Но отделом информационной безопасности (DISA) Пентагона зафиксировано в 2000 году значительно большее число атак - 22144, сообщает SecurityFocus.com.
http://www.cnews.ru/news/ebusiness/2001/04/09/20010409151153.shtml

Рейтинг

10 наиболее активных вирусов в марте (по данным компании Sophos):
1.═W32/Apology-B (I-Worm.MTX) ≈ 17,2%;
2.═VBS/Kakworm (WScript. KakWorm) ≈ 14,4%;
3.═W32/Hybris-B (I-Worm.Hybris) ≈ 10,3%;
4.═VBS/LoveLet-AS ≈ 3,8%;
5.═Magistr ≈ 3,8%;
6.═Troj/JetHome ≈ 3,4%;
7.═W32/Naked (I-Worm.Naked) ≈ 3,4%;
8.═W32/Navidad-B ≈ 3,1%;
9.═WM97/Marker-C ≈ 3,1%;
10.═W32/Bymer-A √ 3%.
http://www.sophos.com

Средства защиты

4 апреля компания M-Tech Mercury Information Technology выпустила Web-ориентированное ПО P-Synch/Lite для автоматизации установки паролей начального уровня. Основные свойства:

• управление паролями в различных средах (серверах Windows NT и доменах Active Directory, Novell 3.x, деревьях Novell NDS и др.);
• автоматическое обнаружение входных регистрационных данных пользователей с общими именами;
• автоматизированное Web-ориентированное администрирование сервера;
• автоматизированное назначение паролей;
• мультисерверная масштабируемость;
• поддержка множества нестандартных входов в систему (login ID) для каждого пользователя;
• поддержка более 60 платформ;
• возможность интеграции с существующей ИТ инфраструктурой, включая системы технической помощи, серверы голосового отклика, мета-каталоги, аутентификационные устройства, системы электронной почты и др. ПО можно бесплатно загрузить с Web-сайта http://www.psynch.com/lite/.

Защитите детей

27 марта компания McAfee.com начала программу просвещения пользователей Интернет об опасностях, с которыми встречаются дети при работе в он-лайне.
Информация содержится на Web-сайте http://kids.mcafee.com.

На CeBIT 2001 компания Fujitsu Siemens Computer объявила, что на каждый продаваемый ею в розницу ПК бесплатно предустанавливается ПО защиты детей. Оно поддерживает все распространенные браузеры √ IE, Netscape Navigator, все ОС MS Windows, а в будущем также Whistler и Linux.
Индивидуальный профиль пользователя устанавливается родителями. При попытке зайти на сайт с порнографическим или экстремистским содержимым дети будут автоматически перенаправляться на сайты с более подходящим их возрасту контентом.
Эта программа поддержана Юнеско, немецким Министерством по делам молодежи и организацией теннисистки Штефи Граф ╚Дети будущего╩. Фото продукта доступны по адресу:
http://www.fsc-mediaserver.com/fsc-photoserver/.

Компания Trend Micro начала продажи ПО ScanMail v3.6 for MS Exchange 5.5 Server. Оно разработано как альтернативное ≈ на интерфейсе прикладного программирования MS Extensible Storage Engine Application Program Interface (ESE API). Exchange Server использует ESE для записи в БД и выборки различной информации, включая тело сообщения, присоединенные файлы и атрибуты почтового отправления.
Trend Micro предлагает теперь 2 версии ПО ScanMail: v3.6, использующую ESE API, и выпущенную в марте 2000 года версию v3.51,основанную на MS Anti Virus Application Program Interface (AVAPI).
Каждая система рассчитана на работу с MS Exchange 5.5 и предназначена для защиты корпоративных сетей от распространяемых по электронной почте вирусов на рубеже сервера Exchange. До перехода на MS Exchange 2000 можно будет пользоваться как ScanMail v3.51, так и ScanMail v3.6.
Применение ESE API позволяет сканировать всю входящую и исходящую корреспонденцию и присоединенные файлы в хранилище Information Store до их распределения по почтовым ящикам пользователей. Благодаря ESE API удается сканировать только 1 экземпляр каждого письма (а следовательно, выполнять эту работу быстрее) и гарантировать прохождение контроля каждым присоединенным файлом независимо от степени загруженности сервера.
Рекомендованная цена на 250 пользователей составляет $5750 (без учета НДС). Пользователи текущей версии ScanMail могут получить новую версию бесплатно.

Компания Microsoft выпустила ПО MS Internet Security and Acceleration (ISA) Server. ПО состоит из защитного брандмауэра масштаба предприятия и Web-кэша.
Оно также проверяет сетевой трафик и выдает сообщения о подозрительных действиях в корпоративной сети. А для того чтобы не снижать производительность этой сети, в состав ISA Server включено ПО кэширования Web-информации.

Грустные новинки

1.═Обнаружен в ╚диком виде╩ Интернет-червь Badtrans. Это исполняемый файл формата PE EXE длиной около 13 КБ (в сжатом виде). Он заражает компьютеры под управлением Windows 95/98/ME/NT/2000.
Badtrans имеет многокомпонентную структуру и состоит из 3-х взаимосвязанных частей: ╚дроппера╩, обеспечивающего внедрение в систему, червя для распространения по электронной почте и троянской компоненты, которая позволяет похищать информацию.
Червь доставляется в виде сообщения электронной почты, имеющего строку ╚Take a look to the attachment╩ в теле письма и вложенный файл, имя которого случайным образом выбирается из встроенного в тело червя списка.
В принципе, червь применяет специальные действия, чтобы не отвечать на одно и то же письмo дважды и чтобы не отвечать на собственные письма. Для этого он записывает в конец поля ╚Тема╩ 2 пробела (маркер, по которому червь опознает свои письма).
Однако это не всегда срабатывает. Большинство почтовых серверов удаляют пробелы в конце поля ╚Тема╩, и, поскольку червь не в состоянии опознать собственные письма, он отвечает на них. В результате пара зараженных компьютеров постоянно обмениваются зараженными письмами, что может парализовать почтовые серверы и ╚забить╩ Интернет-каналы.
Иногда, в зависимости от установленного почтового клиента, 2 пробела (маркер) не записывается в конец поля ╚Тема╩. В результате червь в бесконечном цикле начинает отвечать на все письма, и число отосланных и принятых писем на 1 ПК достигает нескольких тысяч всего за минуту.
Процедуры обнаружения и удаления Badtrans добавлены в обновление Антивируса Касперского.
Описание данного червя см. в Вирусной Энциклопедии Касперского: http://www.viruslist.com/viruslist.asp?id=4312&key= 00001000140000100071.

2.═Обнаружен вирус-червь Injustice eMail (известный также, как VBS/Injustice). Cообщения электронной почты с вирусом содержат в поле ╚Тема╩: ╚RE:Injustice╩. В поле сообщения содержится текст:
╚Dear
Did you send the attached message, I was not expecting this from you!╩
К сообщению присоединен файл injustice.TXT.vbs. При исполнении вирус осуществляет рассылку своей копии по 25 специальным адресам электронной почты в домене правительства Израиля (.gov.il). Затем вирус отображает сообщение:
╚Do not worry. This is a harmless virus. It will not do any thing to your system. The intension is to help Palestinian people live in PEASE in their own land.╩
Вирус распространяется путем рассылки по 50 адресам, записанным в адресной книге MS Outlook зараженного ПК.
http://www.ca.com

3.═Появился Интернет-червь Linux.Adore. Эта компиляция вирусов Linux.Ramen и Linux.Lion использует для распространения все уязвимости, ранее ими применявшиеся в сервисах:

• Washington University▓s ftp server (wu-ftpd),
• Remote Procedure Call stat server (rpc.statd),
• LPRng (lpd),
• BIND DNS server (bind).

Вирус, как и Linux.Lion, оставляет в системе ╚черный ход╩ (backdoor) для удаленного несанкционированного доступа к ней с привилегиями администратора. Вирус представляет собой файл red.tar, в котором находится 33 различных вирусных компоненты: perl и shell-скрипты, а также исполняемые файлы linux.

При старте вируса управление получает стартовый скрипт start.sh, который:

• проверяет наличие в системе файла /usr/lib/klog.o и, если он есть, завершает свою работу. То есть вирус проверяет собственное присутствие в системе.
• компилирует файлы icmp.c и ps.c, входящие в вирусный набор, копирует файл /bin/ps в файл с именем /usr/bin/adore, после чего замещает оригинальный файл /bin/ps на вирусный файл, который при попытке выполнить команду просмотра списка запущенных в системе процессов исключает из списка все работающие в данный момент вирусные компоненты.
• делает копию файла /etc/cron.daily/0anacron в /etc/cron.daily/0anacron.bak и замещает оригинальный файл на собственный, который, выполняясь как задание службы cron (обычно в 04:02 ночи), удаляет из системы вирусные компоненты размножения, оставляя в системе троянский backdoor, после чего восстанавливает исходный файл /etc/cron.daily/0anacron.
• разрешает в файле конфигурации ftp-сервиса /etc/ftpusers анонимный ftp-доступ.
• останавливает уязвимые запущенные сервисы rpc.statd, rpc.rstatd, lpd.
• останавливает сервис klogd, замещает файл /sbin/klogd (Kernel Log Daemon) на ранее откомпилированный вирусный файл icmp. Оригинальный klogd вирус сохраняет в /usr/lib/klogd.o и перезапускает уже троянский сервис klogd. Вирусный компонент icmp представляет собой backdoor, который ждет прихода ICMP пакета длиной 77 Б, затем открывает порт 65535, ждет соединения на него и инициирует root shell-сессию с удаленным компьютером, предоставляя, таким образом, полный НСД к системе атакующему.
• формирует почтовое сообщение с информацией о системе (ip-адрес системы, список запущенных процессов, история команд из /root/.bash_history, список хостов из /etc/hosts, содержимое файла паролей /etc/shadow) и отправляет его по адресам [email protected] и [email protected].
• обнуляет содержимое лог-файлов /var/log/maillog и /var/log/messages.

Далее вирус приступает к процедуре сканирования подсетей, поиска уязвимых хостов (подробнее об этой процедуре можно узнать из описания вирусов Linux.Ramen и Linux.Lion) и попытке удаленного запуска на них скрипта, который с помощью текстового браузера lynx скачивает с адреса http://go.163.com/~hotcn/ файл red.tar, распаковывает из него компоненты вируса в каталог /usr/lib/lib и запускает на выполнение стартовый вирусный скрипт start.sh.

Компания Cisco заявила об обнаружении проблемы безопасности доступа в ряде коммутаторов Cisco Content Services (CSS), известных также, как Arrowpoint (коммутаторах Cisco CSS 11050, CSS 11150, CSS 11800, а также всех коммутаторах, работающих с версиями до 4.01B19s). Суть в том, что непривилегированный пользователь может получить права администратора. Полное описание см. по адресу http://www.cisco.com/warp/public/707/arrowpoint-useraccnt-debug-pub.shtm. Бесплатная модернизация ПО по адресу http://www.cisco.com/cgi-bin/tablebuild.pl/webns/.

       КОМПЬЮТЕР-ИНФОРМ 
          Главная страница || Статьи ╧ 8'2001 || Новости СПб || Новости России || Новости мира

Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка

Главная страница

Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.

Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
Пейджер 238-6931(аб.3365)
e-mail:
Для пресс-релизов и новостей