Приложения, созданные на VisualC++.NET, подвержены опасной уязвимости

Безопасность и защита информации Приложения, созданные на VisualC++.NET, подвержены опасной уязвимости
По мнению экспертов по компьютерной безопасности, новый набор инструментов программирования, в задачу которого входит сделать веб-сервисы корпорации Microsoft более безопасными, на самом деле делает программы, разработанные с его помощью, еще более беззащитными перед атаками хакеров.
Новая системная ошибка была обнаружена в Visual C++ .NET, также называемом седьмой версией пакета Visual.C++, и она, как сообщается, может сказаться на любой программе, которую разработчик пишет, используя новейший инструментарий от Microsoft. Таким образом, собственные программы, интегрированные в платформу веб-сервисов .NET, оказываются ничем не защищенными, поскольку в компиляторе, преобразующем исходный код в машинный, обнаружена ошибка, позволяющая эксплуатировать известную уязвимость, связанную с переполнением буфера виртуальной памяти, воспользовавшись которой хакер может получить контроль над любым удаленным ПК, на котором используется набор инструментов для программирования от Microsoft.
Таким образом, будучи некорректно разработанным, инструментарий программиста, призванный обеспечивать безопасность, на самом деле не обеспечивает ровно ничего — такого мнения придерживается Гэри МакГроу (Gary McGraw), автор книги "Разработка безопасного ПО" и главный технолог компании Cigital. 19.02.2002

Космическое агентство Японии стало жертвой промышленного шпионажа со стороны NEC и Toshiba
По признанию официальных лиц Национального Агентства по Развитию Космонавтики Японии (NASDA), причиной инцидента, повлекшего за собой несанкционированный доступ к компьютерной системе агентства, является, прежде всего, жесточайшая конкурентная борьба, развернувшаяся среди японских компаний, специализирующихся на услугах спутниковой связи. При этом участники этой борьбы не склонны воздерживаться от незаконных методов, в число которых входит и промышленный шпионаж. Целью хакера, оказавшегося одним из сотрудников альянса NEC Toshiba Space Systems, совместного предприятия корпораций NEC и Toshiba, было получение информации, относящейся к планам развития спутниковых сервисов конкурирующей фирмы Mitsubishi Electric.
NEC Toshiba Space Systems понесет заслуженное наказание — компанию лишат права подавать заявки на участие в тендерах сроком на один месяц, а выявленный хакер будет, очевидно, переведен на другую должность. По заявлению представителей агентства, они не намерены подвергать данного сотрудника фирмы судебному преследованию. NEC Toshiba Space Systems, как и Mitsubishi Electric, работала над созданием суперскоростного спутникового интернет-доступа, запустить который в эксплуатацию планируется в 2005 г. 19.02.2002

В Гонконге к общественным работам приговорен мстительный хакер
Судебные власти Гонконга вынесли приговор по делу 19-летнего хакера, удалившего важную информацию с сервера своего бывшего работодателя. Взломанный сервер принадлежал одному из клубов компьютерных игр и содержал учетные записи его членов. Неполадки в работе сервера хозяин игрового клуба обнаружил в ноябре прошлого года и почти сразу же обратился в полицию. Дело было передано отделу по борьбе с преступлениями в сфере высоких технологий, который весьма оперативно установил личность взломщика.
Наиболее вероятной причиной действий хакера была признана попытка отомстить за потерю работы. При этом злоумышленник входил на сервер под собственным паролем, который администраторы забыли или попросту не успели аннулировать. Хакер-мситель был арестован 27 декабря и в ходе судебного заседания в конце января признан виновным. Приговор оказался достаточно мягким — 120 часов общественных работ. 20.02.2002

Обнаружена уязвимость в брандмауэре Black Ice
Разработчик решений в области сетевой безопасности, компания ISS предупреждает пользователей о наличии уязвимости в нескольких программах для сетевой защиты. Некоторые версии брандмауэра Black Icе имеют серьезную прореху в безопасности, позволяющую удаленно нарушить работу сетевого экрана.
Уязвимость, присутствующая и в других продуктах компании, также позволяет выполнять программный код на удаленной системе и проводить DoS-атаки. Проблема актуальная для пользователей персональных версий ПО, программы сетевой защиты в корпоративном исполнении не подвержены данной уязвимости. В настоящий момент компания ISS работает над серией патчей для различных программ. 13.02.2002

@stake: половина всего используемого ПО имеет крайне опасные системные ошибки
Почти половина всех используемых сегодня программных приложений содержат системные ошибки, которые относятся к категории очень серьезных и могут легко быть использованы злоумышленниками для причинения ущерба их пользователям. При этом большинства этих ошибок просто не возникло бы в случае, если бы разработчики программного обеспечения осуществляли должным образом тестирование приложений на предмет их безопасности в процессе их разработки.
К таким выводам пришла компания @stake, специализирующаяся на исследованиях в области компьютерной безопасности. "Все приложения имеют те или иные уязвимости, однако, тестируя многие программы, мы находили такие ошибки, которые не только крайне опасны, но и крайне доступны для их эксплуатации хакерами", — заявил исполнительный вице-президент @stake Ави Корфас (Avi Corfas). "По результатам нашего исследования, подобными критическими ошибками обладают 47% всех используемых сегодня приложений", — добавил г-н Корфас.
Представитель @stake не стал уточнять, приложения каких разработчиков использовались при тестировании, однако отметил, что при испытаниях ПО от различных производителей разница в уровне обеспечения безопасности порой была просто огромной. "Некоторые приложения на 80% более безопасны, чем их аналоги", — констатировал г-н Корфас. 21.02.2002

С помощью хакеров бомжи разбогатели
Крупное финансовое мошенничество раскрыто сотрудниками Управления СБУ в Луганской области: небольшая бизнес-структура, просуществовавшая всего пять месяцев, при поддержке хакеров ухитрилась за это время провести через свои счета более 20 млн гривен. Фактически это была транзитная фирма, использовавшаяся для обналичивания средств, добытых, в том числе, и преступным путем.
Вместе с рядом других фирм арестованная "контора" образовывала длинную схему "обналички". Цепочка завершалась счетами лиц без определенного рода занятий и места жительства, которые за пару десятков гривен согласились на открытие на свое имя банковских счетов. Они и не подозревали, что на их имя каждый день поступало до 100 тыс. гривен.
А попались преступники на попытке хищения 109 тыс. гривен, принадлежащих одному из крупных предприятий региона.
Злоумышленники вошли в банковскую компьютерную сеть и перевели эти деньги на счета подконтрольной коммерческой структуры.
Все было представлено так, что предприятие якобы имело долги перед коммерсантами за некие услуги, хотя в действительности никто никому не должен был ни копейки.
Эта финансовая афера попала в поле зрения спецподразделения по борьбе с коррупцией и организованной преступностью, остальное уже было делом техники.
Кстати, когда счета фирмы были арестованы, в течение недели на них поступали деньги, около 130 тыс. гривен. Что это за средства, теперь предстоит выяснить следствию. 21.02.2002

Анонимные прокси-серверы SafeWeb подвержены атакам при помощи JavaScript
Эксперт Бостонского Университета Дэвид Мартин (David Martin) и сотрудник фонда Privacy Foundation Эндрю Шульман (Andrew Shulman) опубликовали отчет, наглядно демонстрирующий легкость, с которой прокси-сервер компании SafeWeb может быть атакован с помощью средств JavaScript. Хотя сама SafeWeb больше не занимается распространением бесплатного анонимного прокси-сервера, делегировав эту функцию компании PrivaSec.
Оказалось, что пользователь SafeWeb защищен менее, чем любой другой среднестатистический пользователь Сети, поскольку узнать о его онлайновых предпочтениях можно очень легко.
Легкость эта обеспечивается тем, как SafeWeb взаимодействует со сценариями JavaScript, — вместо его отключения, что почти всегда приводит к нарушению функциональности сайта, используется программа перезаписи сценариев в собственные программы прокси-сервера, цель которой — сделать недоступной личную информацию о клиенте. Пользователь может использовать эту функцию в двух режимах: "рекомендованном" и "параноидальном", при котором исполнение каких-либо сценариев JavaScript на стороне клиента практически запрещено.
Однако, как выяснили эксперты, оба эти режима можно довольно легко обойти, и в "рекомендованном" режиме безопасности одной строки кода на JavaScript будет достаточно, чтобы потенциальный хакер узнал IP-адрес клиента.
Однако это еще не все. Заботясь о все той же онлайновой анонимности, разработчики SafeWeb создали так называемую технологию master-cookie, значительно отличающуюся в принципах своей работы от традиционной технологии файлов cookie. По мнению разработчиков из SafeWeb, это обеспечит пользователю дополнительный уровень защиты, поскольку cookie какого-либо веб-ресурса не могут попасть на машину пользователя в случае, если сторону клиента представляет собой анонимный прокси-сервер.
Однако именно master-cookie регистрирует историю каждого выхода пользователя в Сеть, и в этой истории регистрируются данные всех cookie, которые сервер пытается передать клиенту.
Поскольку сам веб-ресурс не имеет технической возможности связать эти данные с конкретным пользователем, то данная технология, безусловно, оправдана с точки зрения безопасности, однако, как оказалось, сам master-cookie может быть атакован, и тогда злоумышленник сможет не только прочесть его содержимое, но и изменить настройки пользователя, переключив, например, режимы с "параноидального" на "рекомендованный".
Все это, очевидно, не согласуется с основной задачей, декларируемой SafeWeb, а именно с обеспечением анонимности пользователей Сети, живущих в таких неблагополучных с точки зрения гражданских свобод странах, как Китай и Саудовская Аравия, где доступ к информации контролируется правительством и не в меру любопытный пользователь может попасть за решетку. По этому поводу в опубликованном отчете говорится, что, получив в свое распоряжение данные master-cookie или транскрипции выходов в Сеть, цензоры смогут узнать не только о том, кто пользуется SafeWeb, но и какие сайты посещают такие пользователи. Изучение cookie может привести к раскрытию индивидуальных номеров, связанных с различными членствами или подписками, а также коммерческими сделками или даже идентификационными номерами.
Авторами публикации зарегистрированы прецеденты проведения успешных атак на пользователей SafeWeb, пользующихся "параноидальным" режимом, в котором функции сценариев JavaScript сведены к минимуму. 19.02.2002

Жулики выманивают пароли ICQ через почту
По сети вновь начало путешествовать послание с требованием немедленно подтвердить статус пользователя ICQ, для чего необходимо ввести свой логин и пароль в соответствующие окошки, видные в html-формате письма, и отослать свои данные обратно. В поле "от кого" значится icq.com.
Текст письма гласит: "There has been a security problem on the server, unless you confirm us that you are using your icq legally by filling the empty spaces, you won't be able to use your icq account after 2 days you get this message". ("На сервере обнаружены проблемы с безопасностью, в том случае, если вы не подтвердите нам, что пользуетесь ICQ на законных основаниях, заполнив пустые окошки, вы не сможете воспользоваться вашей ICQ уже через два дня после получения этого послания").
После отправки сообщения срабатывает скрипт, который отправляет пользователя на стандартный сайт web.icq.com.
Однако получателем логина и пароля пользователя становится владелец анонимного сайта icqreg.aro-wa.com на сервере бесплатных страниц. Этот сайт, впрочем, также быстро перебрасывает пользователя сразу на web.icq.com.
Несмотря на то, что метод кражи чужих паролей через "сообщение об ошибке" известен уже лет десять, "Нетоскоп" предупреждает неосведомленных пользователей, что такое письмо лучше просто удалить, и вообще постараться не вводить свои пароли куда попало. 20.02.2002

Задержан хакер, взломавший базы данных собственного работодателя
В результате полицейского рейда в пригород Сиднея Кингсфорд, был задержан 21-летний бывший служащий телекоммуникационной компании Optus, занимающей одно из ведущих позиций на рынке телекоммуникаций Австралии.
Имя задержанного не раскрывается в интересах следствия, однако известно, что полицией конфискован также компьютер и документация, могущая послужить уликами.
Задержанный обвиняется в несанкционированном вторжении и внесении изменений в базы данных компании.
Обвинения были предъявлены согласно закону, вступившему в силу в стране только год назад. Отпущенный под залог, обвиняемый должен предстать перед судом 6 марта.
По словам управляющего корпоративными делами Optus Стивена Вудхилла (Stephen Woodhill), подтвердившего факт вторжения в компьютерные системы компании, никакого существенного ущерба в результате нанесено не было и клиентская информация не пострадала и не была изменена. 19.02.2002

В Англии открылась школа охотников за хакерами
Калифорнийская компания Guidance Software в среду открыла свою первую в Европе школу специалистов по выслеживанию хакеров. В Америке на курсах Guidance уже прошли подготовку тысячи сыщиков Интерпола, агентов ФБР и сотрудников собственных служб безопасности корпораций. В отличие от обучения классических специалистов по компьютерной безопасности, курсы Guidance ориентированы в основном не на защиту от хакерских атак, а специализируются на методах поиска и отлова самих хакеров уже по факту нападения.
Выпускники курсов получают государственные сертификаты профессионалов в правоохранительной деятельности. Помимо обучения, компания выпускает всевозможные шпионские устройства и программы, помогающие находить следы взломщиков и выуживать информацию о них из различных источников. Открытию школы антихакерского сыска в Ливерпуле способствовала растущая потребность в профессионалах такого рода в Европе. Особенно востребованы они частными компаниями. Как правило, фирмы очень неохотно обращаются в полицию по фактам хакерских взломов. Информация о взломах отпугивает клиентов, отрицательно влияет на имидж, заставляет усомниться в способности компании организовать надежную защиту.
Наличие собственных специалистов по выслеживанию хакеров дает компании возможность не связываться с полицией, а самим по-тихому разобраться со злоумышленниками. Что делает собственный антихакерский спецназ с уже пойманными хакерами, зависит от корпоративных принципов.
Понятно, что если сдавать их в полицию, конфиденциальность операции теряет всякий смысл. Разборки в частном порядке доказали свою эффективность и в России. Особо злостному хакеру, уличенному одним из московских провайдеров, даже сломали ноги. Но чаще до этого не доходит. Практика показывает, что компьютерные взломщики гораздо охотнее компенсируют причиненный ущерб по вежливой просьбе частных лиц, чем по решению суда.
Как сообщил Reuters менеджер по обучению школы Guidance в Ливерпуле, если пару лет назад на курсах из пяти учащихся только один был представителем частных компаний, то теперь количество представителей государственных силовых структур и корпораций одинаково. Однако в компьютерных взломах и похищениях данных бывают виноваты не только самостоятельные хакеры. Этим занимаются и фирмы-конкуренты. Под подозрением часто оказываются собственные сотрудники компаний. Промышленный шпионаж также является важным вопросом, изучаемым на курсах. 21.02.2002

Подготовил Евгений Сечко, safeman@mail.ru


Компьютерная газета. Статья была опубликована в номере 08 за 2002 год в рубрике del :: безопасность

©1997-2021 Компьютерная газета