Требуются программисты для борьбы с терроризмом
06 сентября, 2006

Во вторник утром Служба общей безопасности (ШАБАК) начинает первую в своем роде публичную кампанию, цель которой - привлечь на службу в организацию специалистов в области высоких технологий.
Девиз кампании - "Требуются программисты для предотвращения терактов". Текст объявления гласит: "ШАБАК проводит уникальную операцию по мобилизации сил и обращается к программистам, имеющим опыт работы с JAVA и .net, которые уже поработали в частном секторе и теперь хотели бы войти в состав маленькой команды высококлассных специалистов, которым есть ради чего вставать по утрам. Частью системы, которая каждый день спасает жизни людей".

Это объявление опубликовано на израильских и заграничных интернет-сайтах. Кроме того, ШАБАК разошлет потенциальным кандидатам личные приглашения за подписью главы Службы общей безопасности Юваля Дискина.

Те, кто обладает необходимой квалификацией и хотел бы поработать на ШАБАК, могут отправить свои автобиографии через интернет-сайт www.shabak.gov.il/.

Предложена новая методика для борьбы с DoS-атаками
Традиционные представления об источниках и причинах DoS-атак, а также о методах борьбы с ними могут оказаться абсолютно неверными, полагает группа американских исследователей. Специалисты университета Мичигана, университета Карнеги Меллона и исследовательской лаборатории компании AT&T в ходе исследования выяснили, что большинство DoS-атак проходят без участия большого количества компьютеров, замаскированных фальшивыми IP-адресами.
Эксперты утверждают, что 70 процентов DoS-атак проводятся силами менее чем 50 источников запросов к серверу. При этом 72 процента DoS-атак приходится на совсем небольшое количество источников запросов. Использование скрытых IP-адресов, считающееся самым популярным методом проведения DoS-атаки, в действительности, было зафиксировано всего в нескольких случаях.

Прежде специалисты по информационной безопасности отслеживали источники DoS-атак, используя так называемый backscatter-анализ (по-русски его можно назвать анализом отражения сигнала - методика предусматривает измерение объема IP-пакетов, которыми атакуемый сервер обменивается с атакующими его адресами). Backscatter-анализ предполагает измерение количества IP-пакетов, которые атакуемая машина отправляет на фальшивые IP-адреса, запросы с которых имитирует организатор атаки. Однако backscatter-анализ допускает, что все запросы на атакуемую машину идут исключительно с фальшивых IP-адресов, а следовательно не может дать точного результата в случае, если для DoS-атаки используется ботнет. А в текущий момент использование ботнетов становится наиболее привлекательным для организации атак, отметили исследователи.

Новая методика изучения DoS-атак комбинирует традиционный backscatter-анализ с использованием прямых замеров Netflow (протокол CISCO для сбора информации о трафике) и предупреждениями от коммерческих систем обнаружения DoS-атак. Данные, полученные в результате новых исследований, показывают, что в DoS-атаках принимают участие не сотни машин, а всего несколько источников. Эти источники могут быть выявлены, а их трафик исключен из ежедневного потока IP-пакетов к серверу или сети.

Хакер-педофил пугал жертвы удаленным открыванием CD-приводов
Эдриан Ринглэнд (Adrian Ringland) из британского городка Илкистон, графство Дербишир, признался в том, что заставлял школьниц присылать ему фотографии откровенного содержания после того, как заражал их компьютеры троянской программой.

36-летний Ринглэнд представлялся в чате как тинэйджер по прозвищу "Муравей Джоунс" для того, чтобы потом загрузить в компьютеры девочек вредоносное ПО. Жертвы полагали, что открывали фотографию своего нового друга, однако вложенный файл на самом деле был "троянским конем", который и позволял Рингланду получать контроль над инфицированными компьютерами. Безработный Рингланд использовал информацию, похищенную из компьютеров детей, а также свою способность осуществлять контроль за компьютерами (при помощи таких способов, как удаленное открывание лотков приводов компакт-дисков), в целях шантажа жертв, принуждая их высылать все больше и больше откровенных фотографий.

Королевская канадская конная полиция установила домашний адрес Рингланда в Великобритании, где его и арестовали, а затем освободили под поручительство. Однако это не остановило злоумышленника, позже уличенного в занятии сексом с 14-летней девочкой, за которой он начал ухаживания через интернет.

"Для охоты за детьми педофилы используют интернет различными способами. В частности, они прибегают к таким современным технологиям, как веб-камеры - для шпионажа, фотографирования и видеосъемки своих жертв. Что уже является достаточным основанием для волнения родителей тех детей, в чьих спальнях есть компьютер, - сказал Грэм Клули (Graham Cluley), старший консультант по технологиям компании Sophos. - Компьютеры детей должны быть защищены с помощью новейшего антивирусного ПО, пакетов обновлений систем безопасности и брандмауэров. Молодежи необходимо давать рекомендации по безопасному поведению в интернете для того, чтобы они не стали жертвой хакеров и извращенцев".

В конце августа Рингланд признал свою вину по двум эпизодам обвинения за непристойное поведение с детьми, по четырем - за шантаж, десяти - за съемку неприличных фотографий и еще по пяти эпизодам за незаконную модификацию компьютерной информации. Жертвами Рингланда стали 14-летняя школьница из города Манитоба, Канада и три британские девочки - двоим из них по 14 лет и одной - 13. Обвинения по практически идентичным правонарушениям в отношении двух канадских девочек в возрасте 14 и 15 лет и одной британской девочки в возрасте 15 лет были по постановлению суда оставлены в силе.

Вынесение приговора Рингланду запланировано на более поздний срок.

"Канадские и британские власти следует поздравить с завершением этого дела, особенно потому, что ранее Рингланд пытался переложить обвинение на сына-подростка его любовницы, - продолжил Клули. - Печально то, что уже не в первый раз мы слышим об интернет-вуайеристах, которые для реализации своих извращений используют веб-камеры невинных пользователей, и, скорее всего, этот случай не последний".

Защитой Firefoх занимается уволенная из Microsoft cотрудница
Бывший специалист по вопросам безопасности Microsoft Уиндоу Снайдер переходит на работу в сообщество Mozilla.org.

Уиндоу Снайдер принимала участие в создании второго сервис-пака для операционной системы Windows ХР, а также консультировала по вопросам безопасности разработчиков Windows Server 2003. В 2005 году Снайдер покинула корпорацию Microsoft и основала собственную фирму Matasano Security. Кстати, эта компания была выбрана Microsoft в качестве одного из тестеров для моделирования хакерских атак на операционную системы Windows Vista, выпуск "домашних" версий которой должен состояться в начале следующего года, сообщает compulenta.ru.

Отныне Снайдер будет отвечать за развитие стратегии безопасности программных продуктов сообщества Mozilla.org. В частности, бывший эксперт Microsoft будет консультировать разработчиков браузера Firefox.

По данным аналитической фирмы OneStat.com, на долю Firefox в настоящее время приходится порядка 13 процентов рынка браузеров. Лидером в данном сегменте остаётся Internet Explorer с долей свыше 80 процентов. В ближайшее время Microsoft и Mozilla намерены выпустить новые версии своих браузеров. Так, Microsoft недавно представила первый релиз-кандидат Internet Explorer 7. Сообщество Mozilla, в свою очередь, менее недели назад сообщило о выпуске второй бета-версии Firefox 2.0. Ожидается, что окончательные модификации обоих программных продуктов увидят свет в четвёртом квартале нынешнего года.

Спамеры воздействуют на подсознание пользователей
PandaLabs обнаружила спамовое сообщение, использующее метод воздействия на подсознание в рекламных целях. С первого взгляда, оно выглядит рекламой, предоставляющей пользователю возможность приобрести определенные акции в Интернете. Однако пользователь видит не только статическое изображение, но также и ряд очень быстро меняющихся картинок - показываются четыре изображения, три из которых содержат слово Buy (покупай).
Воздействующие на подсознание методики в ходу уже давно и основаны на показе изображений, воспринимаемых пользователями, несмотря на то, что они даже не осознают этого. В случае с данным электронным сообщением, слово Buy остается на экране в течение не более 40 миллисекунд, а в некоторых случаях - всего 10 миллисекунд. Таким образом, несмотря на то, что получатель не осознает наличия слова Buy, подсознательные уровни восприятия фиксируют его и тем самым влияют на получателя.

По словам Луиса Корронса, директора PandaLabs, "Мы впервые обнаруживаем Интернет-угрозу, использующую методы воздействия на подсознание. Несмотря на то, что в этом случае автор не может похвастаться отточенной методикой, вызывает тревогу то, что кибер-преступники пытаются использовать новые стратегии с целью повышения эффективности своих атак. И, что хуже, мы можем ожидать появления более изощренных угроз такого вида. Только представьте себе ущерб, который могут причинить такого вида сообщения, особенно в отношении детей".

Во многих случаях, влияющая на подсознание реклама создается с помощью изображений, содержащих намеки на сексуальные позы или слова, относящиеся к сексу. Она также использовалась в кинофильмах для оказания влияния на аудиторию. В любом случае, несмотря на все разногласия в отношении ее эффективности, практически все мировые законодательства запрещают использование методов воздействия на подсознание в рекламе.

Для защиты от такого вида угроз жизненно необходимо обладать подходящими утилитами безопасности, среди которых технологии антиспама и фильтрации контента. Это поможет помешать подобным угрозам достигнуть почтовых ящиков пользователей.

Internet Explorer защитит от фишеров
Корпорация Microsoft заключила соглашение с фирмой Digital Resolve. По условиям договора, браузер Internet Explorer для защиты от фишинг-атак будет использовать сведения, предоставляемые сервисом Digital Resolve Trusted Server.
Работа антифишинговых фильтров, как правило, основана на применении "чёрных" списков с информацией о вредоносных веб-сайтах в интернете. Однако некоторые ресурсы, запущенные фишерами, остаются активными на протяжении небольшого промежутка времени, и поэтому их адреса могут просто-напросто не попасть в базы данных фильтров.

Служба Trusted Server работает несколько иначе. Сервис постоянно осуществляет мониторинг Сети и заносит информацию о ресурсах в специальную базу данных. При этом отслеживаются почти четыре десятка различных параметров, в том числе IP-адрес, сайта, домен, к которому он относится, дата регистрации доменного имени, компания-регистратор и пр. При попытке просмотра пользователем какого-либо сайта его адрес сверяется с базой данных, и сервис Trusted Server делает вывод о надёжности ресурса, сообщая результаты антифишинговому фильтру. Таким образом, фильтр будет точно знать, какие сайты можно считать надёжными, а какие вызывают сомнения, даже если их адресов нет в "чёрных списках".

Предполагается, что данные, предоставляемые службой Digital Resolve Trusted Server, будут использоваться антифишинговыми фильтрами браузеров Internet Explorer шестой и седьмой версий, а также системой защиты, встроенной в панель Windows Live Toolbar. Впрочем, от традиционных "чёрных" списков в Microsoft отказываться также не собираются.

Хакеры и сетевые вандалы: разница в мотивации
МОО ВПП ЮНЕСКО "Информация для всех" и информационно-аналитический портал SecurityLab завершили проведение опроса "Хакеры: где граница между подвижничеством и преступлением?" В опросе приняли участие 1.354 пользователей Рунета, выразивших свое мнение относительно допустимых границ исследования уязвимости информационных систем (ИС) - программного обеспечения, веб-сайтов, сетей передачи данных и т.д.
Опрос проводился в рамках исследовательского проекта "Право и общество в цифровую эпоху", целью которого является поиск справедливого компромисса между интересами общества, бизнеса и государства в области обеспечения гражданских прав и соблюдения принципа верховенства права при использовании плодов информационно-коммуникационных технологий (ИКТ).

Большая часть респондентов придерживается умеренной позиции "ответственного разглашения" (responsible disclosure) в рамках которой исследователь должен уведомить производителя об обнаруженной уязвимости и может опубликовать информацию о ней лишь в двух случаях: после успешного устранения уязвимости или отсутствия реакции со стороны производителя. Этот подход является общепризнанной мировой практикой и применяется такими известными компаниями, занимающимися поиском уязвимостей, как ISS, EEYE, Positive Technologies и т.д.

Неприятным, но вполне предсказуемым является тот факт, что 10% опрошенных считают возможным опубликовать информацию о найденной уязвимости в отместку за отсутствие вознаграждения или благодарности со стороны производителя уязвимой ИС, а 18% предпочли бы не никому не сообщать об обнаруженной уязвимости и использовать ее в своих интересах или продать сведения о ней любому заинтересованному лицу.

По мнению эксперта Positive Technologies Сергея Гордейчика, "Здесь уместно вспомнить положение одной из первых политик разглашения - RFPolicy: денежная компенсация [за сообщение о найденной уязвимости] или действия, которые могут быть истолкованы как вымогательство, категорически не одобряются (monetary compensation, or any situation that could be misconstrued as extortion, is highly discouraged). В то же время существует ряд компаний, которые открыто скупают информацию о найденных уязвимостях и выступают в качестве посредника между исследователями уязвимостей и производителями уязвимых ИС".

Практически никто из опрошенных не высказался за необходимость запрета на поиск уязвимостей и разглашение сведений о них. За полный запрет высказались лишь 1,6% респондентов, за запрет поиска уязвимостей в "неблаговидных целях" - 15%. Большая часть опрошенных - почти 75% - считает, что данный вид деятельности должен быть разрешен вне зависимости от целей поиска уязвимостей.

"Попытка запретить поиск уязвимостей, скорее всего, приведет к появлению очередной мертворожденной нормы", - считает Гордейчик, - "а искусственное ограничение рамок разглашения - к активизации черного рынка и непрозрачности реальной ситуации с качеством программных продуктов".

Достаточно ожидаемо распределение точек зрения между представителями различных групп опрошенных. Разработчики больше тяготеют к ограничению разглашения информации об уязвимостях или снижению объема публикуемых технических деталей, что объяснимо: мало кому приятно публичное обсуждение недостатков его работы.

Однако концепция "полного разглашения" (full-disclosure) родилась не на пустом месте. Отсутствие технических деталей в публичном сообщении о найденной уязвимости (за которое высказалось 17% опрошенных) ранее являлось сдерживающим фактором, но сегодня теряет свою эффективность (как и любой метод security by obscurity) в связи с отработкой техники восстановления уязвимости по программной "заплатке". Иногда подобная "лаконичность" может приводить к неожиданным последствиям таким, как обнаружение серии уязвимостей в службе RPC ОС семейства Windows NT в 2003 году или недавнем комичном случае, связанным с непредумышленной публикацией DoS-экслойта для службы SMB ОС семейства Windows.

"Большинство опрошенных проводят четкий водораздел между хакерами-исследователями и сетевыми вандалами", - отметил эксперт МОО ВПП ЮНЕСКО "Информация для всех" Евгений Альтовский, - "Граница между ними проходит не по тому, на что готовы пойти одни, и не готовы другие, а по мотивам этих поступков - большинство считает неприемлемым поиск уязвимостей в злонамеренных целях. Интересно также, что опрошенные считают значительно более действенным средством борьбы с сетевыми вандалами повышение уровня знаний пользователей и администраторов ИС, чем ужесточение ответственности за эксплуатацию уязвимостей, и с этим мнением трудно не согласиться".

Владелец Web сайта получил 7 лет за нарушение авторских прав
Владелец веб-сайта, распространяющего пиратское ПО, получил семь с лишним лет тюремного заключения - самый большой срок, присужденный когда-либо за софтверное пиратство.

27-летний Натан Петерсон из Лос-Анджелеса продавал защищенное авторскими правами ПО с огромными скидками на своем веб-сайте iBackups.net. В 2003 году ФБР начало следствие и в феврале 2005 года веб-сайт был закрыт.

В декабре в Александрии (штат Вирджиния) Петерсону было предъявлено обвинение в нелегальном копировании и продаже ПО на сумму более $20 млн. А в пятницу окружной судья Т.С.Эллис предписал ему выплатить $5,4 млн в счет возмещения убытков.

Министерство юстиции и представители индустрии программного обеспечения называют это дело одним из крупнейших в истории борьбы с распространением пиратского ПО через интернет.

В прошлом месяце во Флориде осудили еще одного любителя легкой наживы. Мужчина получил 6 лет за продажу нелегальных копий компьютерных программ на сайте BuysUSA.com.

На сайте samsung некоторые файлы были заражены трояном
11 сентября, 2006

Websence, фирма по обеспечению безопасности, сообщила, что на прошлой неделе был атакован сайт телекоммуникационной компании Samsung, в результате чего некоторые участки портала были заражены трояном. Websence заявила, что заражение сайта длилось небольшой промежуток времени. Загруженный троян отключал антивирусы, скачивал дополнительные файлы и регистрировал нажатие клавиш, как сказано в заявлении фирмы.

О наличии проблемы компания Samsung была проинформирована в середине прошлой недели, но даже в пятницу троян оставался активным. Только к понедельнику он был устранен. Подобные случаи всё больше беспокоят экспертов безопасности. Хакеры ставят под угрозу известные сайты, что подвергает пользователей риску заражения, так как они даже не подозревают, что загруженный контент может содержать вредоносные коды.

В своем блоге глава Symantec Security Response Дэвид Коул недавно писал об увеличении случаев заражения "доброкачественных" участков сети. От представителей же Samsung пока не поступало никаких официальных комментариев по поводу случившегося.

Специалисты воссоздали легендарный дешифратор Тюринга
Устройство, известное как Turing Bombe, позволило британской разведке взломать код, генерируемый легендарной шифровальной машиной Enigma, стоявшей на вооружении немецкой армии во время Второй мировой войны. "Бомба Тюринга" не только спасла десятки тысяч жизней, но и, фактически, переломила ход войны на ее западном театре.
За время войны было построено около двухсот таких дешифраторов, благодаря использованию которых британской разведке удавалось ежедневно расшифровывать свыше трех тысяч перехваченных сообщений. К сожалению, ни одно из них не дошло до нас в рабочем состоянии: по личному приказанию Черчилля сразу же после войны все "бомбы" были разобраны и сданы разработчику в Bletchley Park, который, по всей видимости, позаботился об их дальнейшей "утилизации".

Завеса секретности с дешифратора, разработанного Аланом Тюрингом и Гордоном Велчманом (Gordon Welchman) на базе польских дешифраторов, была частично приподнята лишь в 70-е годы, однако доступ к чертежам и инструкциям по сборке все равно был тщательно ограничен. Фактически, энтузиастам, решившим создать рабочую копию машины, пришлось самостоятельно рассортировать груду перемешанных чертежей и собрать-таки, работоспособный экземпляр.

The Register сообщает, что копия легендарного дешифратора будет выставлена на всеобщее обозрение 23-24 сентября во время очередной встречи ученых-ветеранов, работавших в центре Bletchley Park.

Электронная машина для голосования была взломана за 4 минуты
Некоммерческой организации Black Box Voting, позиционирующей себя в качестве защитника прав граждан на выборах, удалось взломать электронную машину для голосования производства Diebold Election Systems.
Фирма Diebold Election Systems является одним из крупнейших разработчиков систем электронного голосования. Только на территории Соединённых Штатов используются свыше 30 тысяч устройств производства этой компании. Безопасность систем Diebold уже не раз подвергалась критике. Так, в январе 2003 года неизвестному хакеру удалось взломать защиту сервера Diebold и похитить порядка двух гигабайт конфиденциальных данных. Позднее в том же году банкоматы Diebold оказались заражены вирусом Welchia. Впрочем, Welchia лишь генерировал трафик, пытаясь заразить другие подключённые к сети машины, и никакого заметного вреда не нанёс.

В случае с электронными машинами Diebold для голосования дело обстоит несколько серьёзнее. Активисты Black Box Voting продемонстрировали, что для замены карты памяти устройства, содержащей накопленную в ходе выборов информацию, не нужно иметь ни специального оборудовании, ни особых навыков. Более того, весь процесс смены микрочипа занимает всего четыре минуты, причём обнаружить следы подмены очень сложно.

Стоит отметить, что электронные системы голосования подвергаются критике со стороны многих учёных и специалистов. Эксперты считают такие устройства ненадёжными и плохо защищёнными от хакеров. Например, в 2003 году системы электронного голосования предлагалось полностью запретить для использования до тех пор, пока они не будут усовершенствованы.