Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта

ЗАО "Техно-СПб" Системная интеграция

Информационная безопасность. Часть II


Дыры и заплатки

═Computer Emergency Response Team Coordination Center (CERT/CC) по адресу http://www.cert.org/advisories/CA-2002-19.html сообщает об обнаружении очередной дыры в версиях библиотек обращений DNS.

Причина ошибки═≈ в том, что некоторые версии библиотек DNS допускают переполнение буфера при обработке ответов DNS. Обе библиотеки обращений BSD (libc) и ISC (libbind)═≈ используют общий код, что и делает их подверженными этой беде. То же самое произойдет с любой версией при использовании кода этих библиотек.

Данная ╚дыра╩ позволит хакеру, который сможет послать вредоносный отклик DNS, запустить свой код на исполнение или вызвать отказ в обслуживании. Поскольку многие сервисы в Интернет зависят от DNS-серверов, ущерб может быть огромным. По мнению CERT/CC, опасность относится к Internet Software Consortium (ISC) Berkeley Internet Name Domain (BIND) DNS-библиотеке обращений (libbind) и Berkeley Software Distribution (BSD) DNS-библиотеке обращений (libc). Поражаемые версии BIND:
"═Все версии BIND 4, с 4.8.1 по BIND 4.9.9;
"═Все версии BIND 8, ранее BIND 8.2.6;
"═Все версии BIND 8.3.x, ранее BIND 8.3.3;
"═BIND версия 9.2.0 и BIND 9.2.1.

═Netcraft опубликовал краткий отчет о ситуации с безопасностью серверов в Интернет. Положение представляется до крайности печальным: большинство сайтов в Интернет уязвимы перед хакерскими атаками. Причем речь идет о серверах, работающих как под Microsoft═IIS, так и под Apache.

Например, серверы под управлением Microsoft═IIS подвержены переполнению буфера (HTR Buffer Overflow). Если на сервере активизирована обработка .htr-файлов (.htr mapping), то существует потенциальная опасность того, что злоумышленник может удаленно взять систему под свой контроль. Как выясняется, примерно половина сайтов под IIS поддерживают HTR.

11 июня Microsoft выпустила предупреждение по этому поводу. Через несколько дней стало известно, что многие версии сервера Apache содержат критически серьезную уязвимость, допускающую проведение DoS-атак на системы под управлением Apache.

Исследовательский центр CERT обнаружил серьезную уязвимость Web-сервера Apache. По заявлению представителей CERT, обнаруженная системная ошибка может эксплуатироваться в том случае, если Web-сервер обрабатывает значительный объем данных. Уязвимости подвержены версии Apache c 1.3 до 1.3.24 включительно и с 2.0 до 2.0.36. При этом серьезной проблемой для конечных пользователей является то, что отнюдь не все вендоры до настоящего времени представили программы-╚заплатки╩ для своих версий Apache и соответственно многие Web-серверы в ближайшем будущем окажутся беззащитны перед уже известной хакерам уязвимостью. К═числу корпораций, признавших наличие обнаруженной ошибки в своих версиях ПО, к настоящему моменту относится IBM.

Согласно данным CERT, в зависимости от версии и разработчика Apache либо позволяет исполнить на стороне сервера вредоносный код, либо становится жертвой DoS-атаки. При этом в настоящее время на долю различных версий Apache приходится свыше 50═% рынка Web-серверов.

Расследование, проведенное разработчиками из Apache Software Foundation, показало, что проблема серьезная: существует возможность проведения DoS-атак на Apache для других платформ, причем в некоторых версиях Web-сервера уязвимость может быть использована и для удаленного взлома.

Администраторы Apache, как сообщает Netcraft, отреагировали быстро, но далеко не все. На 6 миллионах систем Apache был обновлен до версии 1.3.26. Однако в мире осталось еще примерно 14 миллионов уязвимых серверов под управлением Apache. Специалисты Netcraft считают, что сложились крайне благоприятные условия для возникновения ╚глобальной эпидемии╩ атак на сайты под управлением IIS и Apache. Учитывая, что абсолютное большинство сайтов в Интернет работают именно под этими системами, результаты такой эпидемии могут оказаться самыми драматическими. В═Интернет уже появились утилиты для взлома Apache, и даже червь, ╚натасканный╩ на этот сервер, не заставил себя долго ждать.

Авторы отчета полагают, что у таких червей есть один позитивный аспект: этот тот самый ╚гром╩, который может заставить системных администраторов, перекрестившись, установить необходимые заплатки на IIS и произвести модернизацию Apache. Хотя, как показывает нынешняя ситуация с вирусными эпидемиями, очень немногие администраторы по-настоящему заботятся о безопасности своих систем.

Компания Microsoft призвала пользователей ПО MS Commerce Server установить патч, решающий проблемы с несколькими уязвимостями, которые могут быть использованы для получения контроля над сервером. Дыры в защите серверного ПО были обнаружены в Commerce Server версий 2000 и 2002═гг.

Обе версии программного пакета содержат уязвимость в ISAPI Filter, которая изначально была исправлена еще в феврале этого года. В═случае использования данной уязвимости хакер может получить полный контроль над сервером, выполняя на нем любые задачи, вплоть до изменения Web-ресурса, переформатирования винчестера или добавления новых пользователей с правами администратора. Повторный выпуск патча был обусловлен тем, что в Microsoft обнаружили еще один метод взлома с использованием ISAPI Filter.

Вирусы

═Вирусная двадцатка (июнь 2002) (по версии ╚Лаборатории Касперского╩):
1 I-Worm.Klez 79,7═%
2 I-Worm.Lentin 10,5═%
3 I-Worm.BadtransI 0,5═%
4 I-Worm.Sircam.c 0,4═%
5═ Win95.CIH 0,4═%
6 Win32.FunLove.4070 0,2═%
7 PS-MPC-based 0,1═%
8 I-Worm.Hybris.b 0,1═%
9 Macro.Word97.Thus.ew 0,1═%
10 I-Worm.Frethem.e 0,1═%
11 Win32.Elkern.c 0,1═%
12 Macro.Word.Concept 0,1═%
13 G2-based 0,1═%
14 Exploit.Applet.AсtiveXComponent 0,1═%
15 I-Worm.Magistr 0,1═%
16 I-Worm.HappyTime 0,03═%
17 Macro.Word.Cap 0,03═%
18 Jerusalem.a 0,03═% 19 DirII.1024.a 0,03═%
20 Win32.Weird.10240 0,03═%

═Компьютерные вирусы распространяются с большей скоростью, чем когда бы то ни было, говорится в новом отчете британской компании MessageLabs http://www.messagelabs.com. По ее данным, за шесть месяцев этого года пользователями корпоративной почты было получено более двух миллионов зараженных писем, что в два раза превышает показатель за аналогичный период прошлого года. При этом лидируют различные варианты червя Klez, они содержались в более чем половине опасных писем. Klez, появившийся в Интернет как вполне безобидный червь, впоследствии был ╚усовершенствован╩═≈ после того, как вирусописатели внесли изменения в его код, он превратился в один из самых опасных червей, и антивирусные компании заговорили об его эпидемии, в том числе и в Рунете. Наиболее опасной сейчас считается модификация Klez.h, ежедневно он приходит в 20═тыс. электронных писем. По мнению маркетингового директора MessageLabs Джона Харрингтона (John Harrington), ╚серийные╩ вирусы, типа Klez, рождаются из-за того, что зачастую многие вирусописатели знакомы друг с другом и нередко обмениваются информацией между собой. В═итоге они способны создавать все более опасные модификации изначально вполне безобидных червей.

Второе место в этом рейтинге вирусов занимает SirCam. По данным MessageLabs на конец мая, на его долю пришлось 759═тыс. заражений. Основная масса пострадавших═≈ домашние пользователи Интернет. Специалисты делают упор на то, что многие не имеют дома надежного антивирусного программного обеспечения, и поэтому страдают не только их собственные компьютеры, но и машины их знакомых, которым автоматически приходят саморассылающиеся вирусы.

Сегодняшняя картина намного мрачнее той, что мы наблюдали в Сети каких-то два года назад, во времена эпидемии печально известного Love Bug, поразившего множество компьютеров по всему миру. Вирусов не только стало больше, нынешние черви намного опаснее своих предшественников═≈ SirCam и Klez прописываются в корневой каталог и крадут с компьютера важные данные, что в итоге наносит моральный и материальный ущерб компаниям и простым пользователям Сети.

Новинки вирусоводов

1. Сетевой червь Lentin ╚в диком виде╩ был зафиксирован 18 июня 2002═г., однако, по данным ╚Лаборатории Касперского╩, наибольшую опасность представляет последняя модификация вируса═≈ версия G. Lentin.g для своего распространения использует ту же брешь в системе безопасности Internet Explorer, что и нашумевший вирус Klez, и запускается самостоятельно. Распознать вирус довольно сложно: комбинация и варианты названия, тела и вложения письма разнообразны, длина файлов также различна (полный список можно посмотреть на www.viruslist.ru). Некоторые модификации данной вредоносной программы содержат упоминание или ссылку на ряд Web-ресурсов, например http://www.screensaverin.com, рассылая вирус-вложение под видом интересной заставки для экрана компьютера.

Некоторые варианты Lentin также содержат функции для сканирования памяти в разных операционных системах. Процедура проверки памяти выполняется постоянно, что позволяет вредоносной программе препятствовать запуску некоторых антивирусов. Наряду с этим, вирус может блокировать в памяти и активные процессы вирусов SirCam и Klez.

2. Интернет-червь под кодовым названием VBS_SLIP.B распространяется через почтовую программу Microsoft Outlook. Он проникает на компьютер после того, как пользователь открывает приложенный к письму зараженный файл. Червь пытается 100═млн раз запустить текстовый редактор WordPad, что приводит к зависанию компьютера.

Новый червь VBS_SLIP.B рассылает по электронной почте сообщения с темой ╚Actualizacion critica de Anti-virus╩. Когда запускается зараженный файл, вирус автоматически открывает WordPad и начинает рассылать свои копии по всем контактам из адресной книги Outlook.
Кроме того, червь удаляет некоторые системные файлы Windows.

3. Обнаружен второй вирус, использующий для распространения файлообменную сеть KaZaA. Он получил название Kowbot и может не только распространяться через KaZaA, но играть роль IRC-бота и поражать чат-серверы IRC. При распространении через KaZaA вирус использует привлекательные названия файлов, сходные с названиями музыкальных хитов, интересных видеороликов и═т.═д. После заражения Kowbot записывает 150 своих копий с разными именами в папку ╚My Shared Folder╩, в которой располагаются файлы для обмена с другими пользователями KaZaA.

Впрочем вирус можно легко распознать по его размеру, который равен всего 19═КБ. Внимательному пользователю это должно показаться подозрительным, поскольку средний mp3-файл имеет объем не менее 2-3═МБ,а объем видеоклипов может измеряться десятками мегабайт.


       КОМПЬЮТЕР-ИНФОРМ 
          Главная страница || Статьи ╧ 13'2002 (15 - 28 июля) || Новости СПб || Новости России || Новости мира

Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка

Главная страница

Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.

Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей