суббота, июля 26, 2008

IT-Безопасность: Уязвимость в DNS. Джин на свободе?


Краткое предисловие

DNS является одним из самых критичных компонентов сети Интернет, поэтому уязвимости в серверах имен всегда вызывали повышенный интерес у злоумышленников. 8-9 июля многие производители выпустили исправления, устраняющие фунаментальную ошибку, которая позволяет злоумышленнику произвести спуфинг атаку. Дэн Камински в своем блоге http://www.doxpara.com/?p=1165 опубликовал более подробное описание уязвимости и сделал доступным эксплоит.

В чем заключается уязвимость?

Уязвимость существует из-за того, что DNS сервер использует предсказуемый номер порта для отправки DNS запросов. Злоумышленник может угадать номер порта, который используется для отправки данных, и с помощью специально сформированного ложного DNS-ответа подменить данные в кеше DNS сервера.

Для подтверждения наличия уязвимости можно воспользоваться эксплоитами и утилитой:

BIND 9.4.1-9.4.2 Remote DNS Cache Poisoning Flaw Exploit (meta)
BIND 9.x Remote DNS Cache Poisoning Flaw Exploit (py)
Утилита http://www.onzra.com/CacheAudit-Latest.tgz

Насколько опасна уязвимость?

Спуфинг атака – атака, направленная в первую очередь на клиента, а не на сервер. Уязвимость, которую мы сейчас обсуждаем, неспособна дать повышенные привилегии на уязвимой системе или выполнить произвольный код, но в сочетании с другими незначительными ошибками программного обеспечения или социальной инженерией, может стать очень опасным инструментом в руках злоумышленника.

В тестах, которые проводил Камински, ему удалось отравить кеш сервера имен приблизительно за 5-10 секунд. Эта уязвимость позволяет атакующему перезаписать данные, которые уже находятся в кеше сервера. Сервера имен, которые являются только авторитетными, не подвержены этой уязвимости. Установка высокого значения TTL для ваших хостов на авторитетном сервере не помешает злоумышленнику отравить кеш уязвимых резолверов, так как атака обходит защиту TTL.

Уязвимость затрагивает также и клиентские библиотеки (рабочие станции и сервера, которые обращаются к вышестоящим серверам имен) и может быть проведена против одиночного хоста. Также, некоторые МСЭ с функционалом трансляции адресов, рассчитанные на домашний сектор, используют предсказуемые номера для порта источника запросов, что позволяет злоумышленнику удачно произвести атаку, даже если было установлено исправление на сервер имен или клиент.

Итак, подытожим:
Отравление кеша DNS сервера можно произвести довольно быстро (5-10 секунд)
Злоумышленник может изменить данные, которые уже находятся в кеше сервера
Уязвимость может использоваться как против сервера имен, так и против рабочей станции.
Сервера и рабочие станции, которые находятся за бюджетными МСЭ с включенным NAT, подвержены уязвимости не зависимо от установленных исправлений.
Эксплоит находится в публичном доступе.
Целью атаки может стать любой промежуточный DNS сервер на пути к авторитетному серверу или DNS клиент. Это означает, что если вышестоящий DNS сервер уязвим, то не зависимо от наличия исправлений на ваших серверах, вы можете стать жертвой атаки.

Векторы атаки

Как я уже писал выше, спуфинг атака – атака, направлена на клиента, а не на сервер. Злоумышленник может:
произвести фишинг атаку и получить доступ к важным данным
произвести атаку типа «Человек посередине» и получить доступ к потенциально важным данным (паролям, номерам кредитных карт и другим данным, которые вы передаете).
используя уязвимость в ПО, получить доступ к важным данным и даже скомпрометировать целевую систему (например, из-за недостаточной проверки подлинности сервера при установке обновлений приложения, при перенаправлении пользователя на специально сформированный сайт и т.д.).

Исправления

Для устранения уязвимости необходимо установить исправления не только на хосты, которые находятся под вашим контролем, но и на все сервера имен, которые участвуют в обмене данными, иначе всегда будет существовать возможность спуфинг атаки.
Исправления доступны для Windows, Linux, UNIX и других систем. Для получения исправления обратитесь к соответствующему производителю. Список производителей доступен по адресу: http://www.kb.cert.org/vuls/id/800113

Выводы

Уязвимость достаточно опасна и может эксплуатироваться как против сервера, так и против клиента. Исправления хотя и существуют, но установлены далеко не везде. Армагеддон, конечно же не наступает, но у злоумышленников появилась дополнительное преимущество, которым они не постесняются воспользоваться в последующих атаках на ваши сети.

_http://www.securitylab.ru/analytics/356362.php

среда, июля 23, 2008

IT-Безопасность: Кибер-преступники рассылают сообщения якобы от службы доставки UPS



Антивирусная лаборатория PandaLabs обнаружила целый ряд электронных почтовых сообщений, содержащих троян Agent.JEN. Подобные сообщения с темой “Посылка UPS N3621583925” маскируются под рассылку от компании UPS, занимающейся доставкой почты. Текстовое сообщение информирует получателя, что почтовую посылку невозможно доставить, и предлагает распечатать прикрепленный счет.

Такой счет представляет собой прикрепленный “.zip” файл, который содержит вложение, замаскированное под документ Microsoft Word с примерным названием “UPS_invoice”. Как только пользователь открывает файл, он заносит копию трояна на свой компьютер.

Вредоносный код копирует себя в систему, подменяя собой файл Userinit.exe в операционной системе Windows. Этот файл запускает Internet Explorer, системный интерфейс и другие необходимые процессы. Для дальнейшей корректной работы компьютера и во избежание обнаружения инфекции троян копирует системный файл под именем userini.exe в другую папку.

“Такие действия соответствуют динамике современного вредоносного ПО: кибер-преступники уже не стремятся к популярности и известности; они предпочитают обогащение без излишней огласки”, - говорит Луис Корронс, технический директор PandaLabs.

В итоге, Agent.JEN подключается к домену в зоне .ru (уже использующемуся другими банковскими троянами) и с его помощью посылает на немецкий домен запрос на загрузку руткита и рекламного ПО, распознаваемых PandaLabs как Rootkit/Agent.JEP и Adware/AntivirusXP2008. Это дополнительно усиливает риск заражения.

“Мы были свидетелями того, как кибер-преступники использовали в качестве наживки для распространения вирусов эротические картинки, рождественские и романтические открытки, фальшивые трейлеры к фильмам и др. Однако видеть что-то, подобное этой задумке, нам еще не приходилось”, - объясняет Корронс. “Она демонстрирует стремление кибер-преступников использовать для распространения инфекций приманки, которые бы вызывали минимум подозрений”.

_http://www.cybersecurity.ru/news/51844.html

вторник, июля 22, 2008

IT-Безопасность: Троян с гарантией


Вредоносное программное обеспечение достаточно давно превратилось в товар, производитель которого наделяет клиента определенными гарантиями.

Однако распространители «супер-трояна», известного под именем Limbo 2, пошли дальше других. Продавая вредоносное приложение за достаточно высокую сумму, хакеры обещают возвратить клиенту потраченную сумму, в случае если вредоносное ПО будет обнаружено.

Новый троян умеет оперативно реагировать на «опасность» и оставаться вне досягаемости для современных систем защиты. Будучи обнаруженным троян автоматически создает свою новую вариацию и снова оказывается невидимым. При этом в процессе превращения приложение не утрачивает своей исходной функциональности.

При проникновении в систему вирус-оборотень действует намного изощреннее, чем обычный «кейлоггер». Этот троян не только сохраняет и передает вводимые пользователем данные, но и подменяет главные страницы открываемых сайтов. Кроме того, Limbo 2 может собирать и пересылать своему хозяину самые разные данные, включая номера кредитных карт, адреса электронной почты, имена пользователей и пароли для входа в систему, а также любую другую персональную информацию, обнаруженную на жестком диске ПК.

_http://www.securitylab.ru/news/356211.php

понедельник, июля 14, 2008

IT-Безопасность: Прикладная криптология

Автор: Киви Берд
Опубликовано 14 июля 2008 года

Криптология, как многие наверняка наслышаны, занимается не только шифрами и методами их вскрытия, но и множеством других проблем, так или иначе связанных с защитой и восстановлением информации. Поэтому нередки случаи, когда в реальных задачах прикладной криптологии собственно до анализа и вскрытия шифров дело вообще не доходит, но конкретные результаты все равно достигаются. Два примера из текущих ИТ-новостей наглядно демонстрируют этот на первый взгляд парадоксальный факт.

Первый сюжет связан с чрезвычайно актуальной и широко обсуждаемой ныне темой "сетевого нейтралитета" и роли компаний, обеспечивающих работоспособность сетевой инфраструктуры. Вправе ли они контролировать содержимое проходящего по каналам трафика, и если да, то до какой степени? Не дожидаясь итога этих дискуссий, многие интернет-провайдеры уже сегодня втихаря занимаются инспекцией пакетов и принудительным сужением (или "дросселированием") каналов для некоторых видов трафика, в первую очередь - для распространенных P2P-протоколов обмена файлами. Естественной реакцией на это со стороны пиринговых сетей стало шифрование пакетов.

Понятно, что сеанс зашифрованной связи просто так уже не проинспектируешь. Но вот недавно в Сети было опубликовано любопытное исследование, демонстрирующее программный инструмент, с помощью которого провайдеры могли бы целенаправленно блокировать или ограничивать шифрованный трафик своих абонентов, даже не имея возможности проанализировать защищенные данные.

Авторы работы, итальянские исследователи из Университета Брешии, нашли способ "слепой" классификации с точностью до 90% того типа трафика, что сокрыт в шифрованных пакетах сеансов SSH-соединений. Такой выдающийся результат достигнут с помощью алгоритма автоматического анализа, сопоставляющего размеры пакетов и интервалы между их доставкой. А собственно содержимое пакетов программу анализа совершенно не интересует.

Второй сюжет посвящен роли криптологии в аспектах, связанных с интернет-телефонией. Постоянно растущая популярность VoIP-технологий диктует необходимость поиска все более эффективных методов компрессии речи. Перспективное и сравнительно новое здесь направление (впрочем, хорошо известное любителям цифровой музыки) - сжатие с переменным битрейтом, при котором размер пакетов данных существенно варьируется. Происходит это потому, что для длинных и сложных гласных звуков частота отсчетов делается высокой, а для простых согласных частота сэмплирования заметно ниже. Важнейшее достоинство данного метода сжатия в том, что он сохраняет качество звука, присущее высокому битрейту, но при этом снижает нагрузку на канал связи. Однако с точки зрения защиты информации эта технология не выдерживает никакой критики.

Группа исследователей из американского Университета Джонса Хопкинса (Johns Hopkins University) продемонстрировала, что сжатие с переменным битрейтом очень сильно ослабляет криптозащиту зашифрованных VoIP-потоков. Ученые показали, что достаточно измерять размер пакетов, даже не прибегая к их декодированию, чтобы с высокой точностью выявлять слова и фразы. Программа анализа, разработанная авторами, пока не может восстановить весь разговор целиком, однако позволяет отыскивать конкретные словосочетания в зашифрованном потоке.

Алгоритм программы с помощью фонетического словаря разбивает искомую фразу на фонемы. Затем фраза составляется из звуков, взятых из библиотеки образцов, а результат преобразуется в набор VoIP-пакетов. Полученная структура дает общее представление о том, как фраза может выглядеть в реальном VoIP-потоке. И когда нечто похожее по структуре выявляется в реальном сеансе IP-телефонии, программа тут же оповещает перехватчика о находке.

При тестовых испытаниях с перехватом реальной зашифрованной передачи программа верно выявляла и декодировала искомые фразы примерно в половине случаев. Результат, ясное дело, не очень впечатляющий, однако аккуратность метода подскакивала до 90%, если для поиска задавались длинные и сложные слова. Иначе говоря, эффективность подобной атаки намного выше, если перехватывается разговор профессионалов, насыщенный жаргонизмами. Как показывает анализ, в разговорах на профессиональном "диалекте" обычно много слов, которые сцепляются в длинные и относительно предсказуемые фразы. Что же касается неформальных звонков, то там набор выражений случаен, а потому значительно хуже поддается аналитическому декодированию. Впрочем, досужий треп обывателей шпионам неинтересен.

Компаний, предоставляющих услуги VoIP-шифрования при сжатии речи с переменным битрейтом, пока что не так много. Но в целом технология считается весьма перспективной и сулящей значительные выгоды. С точки зрения криптографов, однако, подобная схема компрессии применительно к интернет-телефонии - плохая идея. Самым простым решением проблемы могло бы стать разбиение речевого потока на пакеты равной длины, однако это неизбежно ухудшит степень сжатия. Что в очередной раз, увы, подтверждает давно известную истину: эффективность и безопасность - вещи практически несовместимые.

http://www.computerra.ru/think/kiwi/362826/

среда, июля 09, 2008

IT-Безопасность: Просмотр статистики обращений к почтовому ящику Gmail

Для тех, кто не на шутку обеспокоен информационной безопасностью при работе с сервисом Gmail, компания Google предусмотрела возможность просмотра пользователем статистики обращений к своему почтовому аккаунту.

Чтобы приоткрыть завесу тайны и заглянуть в лог-файл, хранящий список последних обращений к почтовому ящику, включая сведения об одновременно работающих пользователях под одним учётным именем, нужно зарегистрироваться в сервисе Gmail и затем, промотав окно браузера вниз, щёлкнуть мышью по ссылке "Подробная информация".

В результате произведённых действий откроется новое окно браузера, в котором будет представлена исчерпывающая информация о том, в какое время, с каких IP-адресов и при помощи каких инструментов (или протоколов) производились соединения с почтовым сервером Gmail. В случае обнаружения системой нескольких одновременных сессий, в окне статистики также будет отображена кнопка, нажатие которой деактивирует все сторонние сеансы с почтовой службой. Кстати сказать, наличие последних - явный признак того, что аккаунт Gmail, возможно, взломан и используется злоумышленниками, тайком просматривающими пользовательскую корреспонденцию. При выявлении таковых необходимо, не мешкая, сменить пароль доступа к Gmail и проверить компьютер на предмет наличия вирусов.

И последнее. Просмотреть статистику обращений к почтовому ящику Gmail в настоящий момент можно только в обозревателях Firefox и Internet Explorer 7.

В официальном блоге разработчики Gmail пишут, что система мониторинга предназначена для новой версии Gmail, она продолжает тестироваться и пока активирована не для всех аккаунтов.

computerra.ru

понедельник, июля 07, 2008

IT-Безопасность: Создатели Storm предприняли очередную попытку наращивания мощности ботнета


К Дню независимости Соединенных Штатов, отмечавшемуся 4 июля, киберпреступники приурочили очередную попытку увеличения числа компьютеров, подключенных к ботнету Storm. Первая информация о вредоносной программе Storm появилась в начале прошлого года. Буквально за неделю червь Storm инфицировал полтора миллиона компьютеров по всему миру, а к осени 2007 года, по различным оценкам, бот-сеть насчитывала до 50 миллионов машин. Количество же вариантов вредоносной программы, зафиксированных на протяжении прошлого года, исчисляется десятками тысяч. Создатели Storm регулярно пытаются укрепить ботнет, подключая к нему новые компьютеры. Для этого, как правило, пользователям интернета рассылаются письма с предложением скачать "крайне полезную" утилиту, посмотреть видеоролик или посетить интересный веб-сайт. Не стала исключение и атака, проведенная злоумышленниками в конце прошлой недели. Специалисты компании Sophos зафиксировали крупномасштабную рассылку электронных сообщений, в которых получателям предлагалось перейти на некий сайт, якобы содержащий файл с записью небывалого по своим масштабам праздничного фейерверка. Однако на самом деле вместо обещанного видеоролика пользователи, попавшиеся на удочку киберпреступников, получали комплект вредоносного ПО, превращающего компьютер в зомбированную машину. Кстати, некоторые эксперты в области компьютерной безопасности в создании сети Storm обвиняют Россию. Так, Дмитрий Альперович из компании Secure Computing полагает, что Storm - это дело рук группы злоумышленников, базирующейся в Санкт-Петербурге. Однако задержать лиц, ответственных за формирование ботнета, по словам Альперовича, не представляется возможным из-за отсутствия содействия со стороны российских правоохранительных органов.

uinc.ru

четверг, июля 03, 2008

IT-Безопасность: Новый троян заразил сотни тысяч компьютеров


Как сообщили эксперты по безопасности из компании SecureWorks, авторам нового трояна, получившего название Coreflood Trojan, удалось заразить сотни тысяч компьютеров, в том числе более 14’000 компьютеров одной неназванной международной сети отелей.

Для распространения новый троян использует встроенную в Windows утилиту, изначально предназначенную для администрирования в корпоративных сетях.

С момента выпуска обновления Service Pack 2 для Windows XP число вирусных эпидемий пошло на спад. Система XP SP2 с момента своего появления в 2004 казалась вполне защищенной платформой, но создатели Coreflood перевернули представления экспертов по безопасности. Чтобы заразить всю корпоративную сеть, злоумышленники сначала заставляют хотя бы одного пользователя обманом или другими способами загрузить и запустить зараженный файл. После этого дальнейшее заражение становится делом техники.

Троян на зараженном компьютере дожидается момента, пока на этом компьютере не зарегистрируется администратор – во время обслуживания или по какому-нибудь иному поводу. При наличии в локальной системе пользователя с правами администратора вирус пытается запустить встроенную утилиту PsExec. Эта утилита была создана компанией Microsoft для того, чтобы администраторы могли распространять и запускать проверенное программное обеспечение на удаленных компьютерах своей сети. Троян Coreflood использует утилиту PsExec для распространения собственных копий на всех доступных компьютерах сети.

За последние 16 месяцев по разным оценкам Coreflood заразил более 378 тысяч компьютеров в коммерческих, медицинских, государственных, образовательных и других учреждениях – например, 25 июня этого года центр SANS Internet Storm Center зафиксировал единовременное заражение 600 машин в сети из 3000 ПК.

Как рассказал автор программы PsExec Марк Руссинович (Mark Russinovich) из компании Microsoft, вредоносные программы пытаются использовать технологию PsExec на протяжении уже более 5 лет. Тем не менее, по его словам, это первый случай, когда PsExec используется именно таким образом. «PsExec не открывает злоумышленникам никаких дополнительных возможностей, которые бы они не могли реализовать сами или добиться другими средствами», - заявил Руссинович в своем интервью.

Эксперты предупреждают – сам троян Coreflood, также известный под названием AFcore Trojan, существует в разных вариантах уже почти 6 лет, но до последнего времени он целенаправленно использовался только для проведения распределенных атак на отказ в обслуживании. По мнению многих специалистов, для кражи паролей Coreflood не используется

securitylab.ru