Программа для проверки безопасности Windows сама содержит недостатки в защите
Безопасность и защита информации Программа для проверки безопасности Windows сама содержит недостатки в защите
В программе Microsoft Baseline Security Analyzer (MBSA) была обнаружена дыра, которой могут воспользоваться злоумышленники. Данная утилита была выпущена компанией Microsoft для сканирования системы Windows 2000/XP на предмет наличия уязвимостей. Однако уязвимость, как выяснилось, есть и в ней самой.
Как сообщается на сайте SecuriTeam, MBSA создает отчет в обычном текстовом формате, который помещается в папку C:\Documents and Settings\username\SecurityScans, причем пользователь не может изменить расположение отчета на диске. Если злоумышленникам удастся получить содержимое данного файла, в их распоряжении окажется готовый план для атаки — информация обо всех уязвимых местах системы. 30.04.2002
Online Personal Privacy Act — правила сбора информации о пользователях Internet
На прошлой неделе сенатор Эрнст Холлингс, известный своим законопроектом CBDTPA по защите цифрового контента от копирования, представил очередной проект закона. Новый законопроект направлен на защиту прав пользователей сети на частную жизнь и неприкосновенность личной информации.
"Акт о личной конфиденциальности в сети" (Online Personal Privacy Act) устанавливает правила сбора информации о посетителях для интернет-провайдеров, владельцев веб-сайтов и компаний, предоставляющих услуги в онлайне. Согласно данному законопроекту, выполнять его требования обязаны владельцы всех коммерческих сайтов, а также некоммерческих страниц, получающих прибыль от размещения рекламы и продажи каких-либо товаров.
Под определением персональной информации о посетителе в законе подразумеваются имя и e-mail пользователя, а также его IP-адрес. Согласно законопроекту, пользователи веб-сайтов получат право на доступ к имеющейся о них информации, а также смогут исправить собранные данные и потребовать их удаления.
В законопроект включены и другие ограничения, причем все они распространяются на интернет-компании, не имея силы в случаях с обычными компаниями, для которых деятельность в сети не является основополагающей. Это положение закона вызвало критику представителей некоторых компаний, среди которых интернет-магазин Amazon.com и Hewlett-Packard. В последней считают, что расплывчатые определения конфиденциальности в сети, использованные в законопроекте, породят массу судебных исков и отрицательно отразятся на рынке онлайновых услуг.
В случае нарушения закона компания будет обязана выплатить до 5 тысяч долларов каждому посетителю, чьи данные были собраны или распространены не в соответствии с правилами. В случае, если посетитель подаст иск на компанию, то размер выплат будет определяться судом. По мнению экспертов, законопроект имеет все шансы для рассмотрения в Сенате, так как его поддерживают большинство членов Комитета по коммерции и защите прав потребителя, главой которого является сам Холлингс. 29.04.2002
Уязвимость цифровой подписи стандарта ГОСТ 34.19
В новом варианте российского стандарта электронной цифровой подписи ГОСТ 34.19-2001, вступающего в силу с августа этого года, существует серьезная ошибка, позволяющая сформировать к документу подпись без знания секретного ключа (т.н. "независимую подпись"). Эта ошибка присутствует во всех методах, основанных на идее Эль-Гамаля, но из-за неудачно сформированных требований к граничным значениям, именно в новой редакции ГОСТа она имеет приемлемую для подбора вероятность (не ниже 25%) и практические перспективы.
В зависимости от реализации, эта ошибка может иметь место и в американском стандарте ECDSA. Суть ошибки в том, что, незначительно варьируя текст документа, возможно подобрать такое значение ключа проверки, что подпись для данного документа может быть рассчитана без знания секретного ключа. На этом же основании вполне можно и отказаться от нее.
Предварительная публикация и обсуждение ошибки располагаются по адресу: http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=15&m=46049. 30.04.2002
Microsoft латает очередную дыру в Outlook
Корпорация Microsoft объявила о выпуске программной заплаты для дыры в системе защиты, от которой могут пострадать пользователи почтовых клиентских программ Microsoft Outlook 2000 и 2002, использующие редактор Word в качестве редактора почтовой программы.
Дыра образуется, если в редакторе Word и в браузере Internet Explorer установлены разные опции защиты. Когда письмо выводится в экране Outlook, то используются установки защиты Internet Explorer, которые часто запрещают исполнение скриптов, а когда пользователь отвечает на это письмо или перенаправляет его другому, используя для написания ответа редактор Word, то действуют уже установки защиты этого текстового редактора, и они могут разрешать запуск скриптов. Если хакер пошлет на компьютер с вышеуказанными разными установками защиты HTML-письмо со скриптом, то этот скрипт может запуститься на исполнение, когда пользователь ответит на это письмо или перенаправит его кому-то еще.
Правда, те пользователи, которые установили у себя Office XP Service Pack 1, могут не беспокоиться — там эта дыра ликвидирована. А остальные могут загрузить заплату на сайте Microsoft. 30.04.2002
"Дуэт мошенников" снова активизировался, и теперь его жертвой стал Пентагон
На прошлой неделе двое хакеров, назвавшихся DeceptiveDuo ("Дуэт мошенников"), взломали несколько сайтов и изменили их главные страницы. Среди их жертв было два сайта авиакомпаний и один сайт банка. Как они заявили, взломом они занимались не корысти ради, а из "идейных" соображений, чтобы продемонстрировать миру уязвимость многих интернет-сайтов.
Как оказалось, на этом они не успокоились. Очередной их целью стала секретная база данных управления тылового материально-технического снабжения Министерства обороны США. Доказательством взлома стали два скриншота, которые они опубликовали на двух взломанных Web-страницах секретариата министерства обороны США. Правда, администраторы этого сайта быстро ликвидировали следы взлома, но "Дуэт мошенников" объявил, что они имеют доступ практически ко всем базам данных секретариата, но для демонстрации своих возможностей просто ограничились двумя скриншотами.
То есть дело принимает более серьезный оборот, чем в предыдущем случае, когда "мошенники" просто опубликовали в Интернете имена и почтовые адреса пассажиров самолетов Midwest Express. На взломанных страницах управления тыла Пентагона находились имена, идентификационные номера и пароли его сотрудников. Поэтому, как только это стало известно, серверы управления отключили, и команда военных компьютерщиков принялась за проверку всех серверов в поисках дыр в системе защиты.
Системные администраторы Пентагона решили выйти на связь с "Дуэтом мошенников", чтобы из первых рук получить информацию о том, как им это удалось и как предотвратить эти инциденты в дальнейшем. В интервью онлайновому изданию InternetNews.com "Дуэт мошенников" заявил о том, что они очень обеспокоены состоянием национальной безопасности, поэтому они не стали выкладывать на всеобщее обозрение никаких действительно секретных данных, они преследовали самые благие цели и хотели только, чтобы обнаруженные ими дыры в Web-сайтах были заделаны. Они также сообщили, что для доступа в базы данных управления тыла и секретариата Пентагона они использовали пароль по умолчанию СУБД Microsoft SQL, которая установлена на этих сайтах. 30.04.2002
JDBGMGR.EXE и SULFNBK.EXE — это не вирусы, а стандартные утилиты Windows
"Лаборатория Касперского" опровергает очередной слух о новом ужасном вирусе, который распространяется по Интернету в файле JDBGMGR.EXE. Как сообщают в "Лаборатории", на данный момент служба технической поддержки компании зафиксировала множество обращений пользователей из различных стран по этому поводу.
На самом деле JDBGMGR.EXE является стандартной утилитой для отладки работы Java-приложений, входящей в поставку всех наиболее распространенных версий Windows, таких как Windows 95, Windows 98, Windows NT, Windows ME, Windows 2000, Windows XP. Ее удаление или модификация может повлечь за собой изменение функциональности операционной системы и в некоторых случаях иметь негативные последствия.
Как таковой файл JDBGMGR.EXE не является вирусом, но, как и любой другой EXE-файл, может быть инфицирован. Так, печально известный вирус Magistr "страдает" пристрастием к этой программе, поэтому новая мистификация получила широкое распространение. Инициатор слухов, очевидно, обнаружил на своем компьютере Magistr, посчитал, что зараженный файл JDBGMGR.EXE и является вирусом и поспешил сообщить об этом всем своим знакомым.
Ранее по этой же схеме распространился слух о вирулентности файла SULFNBK.EXE, также являющегося стандартной утилитой Windows. Этот слух мотается туда-сюда по Рунету, вынуждая антивирусные компании снова и снова распространять разъяснительные сообщения, более того, письма с призывом избавиться от программы SULFNBK.EXE и подробными инструкциями, как это сделать, обрели уже чуть ли ни стандартный вид. Часто эти послания заканчиваются требованием разослать аналогичное — ложное — предупреждение по всем имеющимся адресам. 30.04.2002
Создатель вируса Melissa проведет 20 месяцев в тюрьме
Суд США приговорил к 20 месяцам тюремного заключения создателя компьютерного вируса Melissa, распространение которого причинило многочисленным компаниям по всему миру ущерб на миллионы долларов.
34-летний Дэвид Смит создал Melissa три года тому назад, и он был в числе наиболее ранних вирусов, распространяемых по сетям через послания электронной почты, направляемые друзьям или коллегам по работе.
Помимо тюремного заключения, суд приговорил Смита к уплате штрафа в размере $5 тыс. и запретил ему пользоваться компьютерными сетями или Интернетом без соответствующего разрешения органов правосудия. В ходе судебных разбирательств Смит признал себя виновным и на последнем заседании суда заявил, что "создание вируса было колоссальной ошибкой". Вначале Смиту грозило тюремное заключение до пяти лет, однако судьи сочли возможным вынести более мягкий приговор, поскольку преступник оказал властям содействие в уничтожении других категорий компьютерных вирусов. 02.05.2002
Подготовил Евгений Сечко, safeman@mail.ru
В программе Microsoft Baseline Security Analyzer (MBSA) была обнаружена дыра, которой могут воспользоваться злоумышленники. Данная утилита была выпущена компанией Microsoft для сканирования системы Windows 2000/XP на предмет наличия уязвимостей. Однако уязвимость, как выяснилось, есть и в ней самой.
Как сообщается на сайте SecuriTeam, MBSA создает отчет в обычном текстовом формате, который помещается в папку C:\Documents and Settings\username\SecurityScans, причем пользователь не может изменить расположение отчета на диске. Если злоумышленникам удастся получить содержимое данного файла, в их распоряжении окажется готовый план для атаки — информация обо всех уязвимых местах системы. 30.04.2002
Online Personal Privacy Act — правила сбора информации о пользователях Internet
На прошлой неделе сенатор Эрнст Холлингс, известный своим законопроектом CBDTPA по защите цифрового контента от копирования, представил очередной проект закона. Новый законопроект направлен на защиту прав пользователей сети на частную жизнь и неприкосновенность личной информации.
"Акт о личной конфиденциальности в сети" (Online Personal Privacy Act) устанавливает правила сбора информации о посетителях для интернет-провайдеров, владельцев веб-сайтов и компаний, предоставляющих услуги в онлайне. Согласно данному законопроекту, выполнять его требования обязаны владельцы всех коммерческих сайтов, а также некоммерческих страниц, получающих прибыль от размещения рекламы и продажи каких-либо товаров.
Под определением персональной информации о посетителе в законе подразумеваются имя и e-mail пользователя, а также его IP-адрес. Согласно законопроекту, пользователи веб-сайтов получат право на доступ к имеющейся о них информации, а также смогут исправить собранные данные и потребовать их удаления.
В законопроект включены и другие ограничения, причем все они распространяются на интернет-компании, не имея силы в случаях с обычными компаниями, для которых деятельность в сети не является основополагающей. Это положение закона вызвало критику представителей некоторых компаний, среди которых интернет-магазин Amazon.com и Hewlett-Packard. В последней считают, что расплывчатые определения конфиденциальности в сети, использованные в законопроекте, породят массу судебных исков и отрицательно отразятся на рынке онлайновых услуг.
В случае нарушения закона компания будет обязана выплатить до 5 тысяч долларов каждому посетителю, чьи данные были собраны или распространены не в соответствии с правилами. В случае, если посетитель подаст иск на компанию, то размер выплат будет определяться судом. По мнению экспертов, законопроект имеет все шансы для рассмотрения в Сенате, так как его поддерживают большинство членов Комитета по коммерции и защите прав потребителя, главой которого является сам Холлингс. 29.04.2002
Уязвимость цифровой подписи стандарта ГОСТ 34.19
В новом варианте российского стандарта электронной цифровой подписи ГОСТ 34.19-2001, вступающего в силу с августа этого года, существует серьезная ошибка, позволяющая сформировать к документу подпись без знания секретного ключа (т.н. "независимую подпись"). Эта ошибка присутствует во всех методах, основанных на идее Эль-Гамаля, но из-за неудачно сформированных требований к граничным значениям, именно в новой редакции ГОСТа она имеет приемлемую для подбора вероятность (не ниже 25%) и практические перспективы.
В зависимости от реализации, эта ошибка может иметь место и в американском стандарте ECDSA. Суть ошибки в том, что, незначительно варьируя текст документа, возможно подобрать такое значение ключа проверки, что подпись для данного документа может быть рассчитана без знания секретного ключа. На этом же основании вполне можно и отказаться от нее.
Предварительная публикация и обсуждение ошибки располагаются по адресу: http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=15&m=46049. 30.04.2002
Microsoft латает очередную дыру в Outlook
Корпорация Microsoft объявила о выпуске программной заплаты для дыры в системе защиты, от которой могут пострадать пользователи почтовых клиентских программ Microsoft Outlook 2000 и 2002, использующие редактор Word в качестве редактора почтовой программы.
Дыра образуется, если в редакторе Word и в браузере Internet Explorer установлены разные опции защиты. Когда письмо выводится в экране Outlook, то используются установки защиты Internet Explorer, которые часто запрещают исполнение скриптов, а когда пользователь отвечает на это письмо или перенаправляет его другому, используя для написания ответа редактор Word, то действуют уже установки защиты этого текстового редактора, и они могут разрешать запуск скриптов. Если хакер пошлет на компьютер с вышеуказанными разными установками защиты HTML-письмо со скриптом, то этот скрипт может запуститься на исполнение, когда пользователь ответит на это письмо или перенаправит его кому-то еще.
Правда, те пользователи, которые установили у себя Office XP Service Pack 1, могут не беспокоиться — там эта дыра ликвидирована. А остальные могут загрузить заплату на сайте Microsoft. 30.04.2002
"Дуэт мошенников" снова активизировался, и теперь его жертвой стал Пентагон
На прошлой неделе двое хакеров, назвавшихся DeceptiveDuo ("Дуэт мошенников"), взломали несколько сайтов и изменили их главные страницы. Среди их жертв было два сайта авиакомпаний и один сайт банка. Как они заявили, взломом они занимались не корысти ради, а из "идейных" соображений, чтобы продемонстрировать миру уязвимость многих интернет-сайтов.
Как оказалось, на этом они не успокоились. Очередной их целью стала секретная база данных управления тылового материально-технического снабжения Министерства обороны США. Доказательством взлома стали два скриншота, которые они опубликовали на двух взломанных Web-страницах секретариата министерства обороны США. Правда, администраторы этого сайта быстро ликвидировали следы взлома, но "Дуэт мошенников" объявил, что они имеют доступ практически ко всем базам данных секретариата, но для демонстрации своих возможностей просто ограничились двумя скриншотами.
То есть дело принимает более серьезный оборот, чем в предыдущем случае, когда "мошенники" просто опубликовали в Интернете имена и почтовые адреса пассажиров самолетов Midwest Express. На взломанных страницах управления тыла Пентагона находились имена, идентификационные номера и пароли его сотрудников. Поэтому, как только это стало известно, серверы управления отключили, и команда военных компьютерщиков принялась за проверку всех серверов в поисках дыр в системе защиты.
Системные администраторы Пентагона решили выйти на связь с "Дуэтом мошенников", чтобы из первых рук получить информацию о том, как им это удалось и как предотвратить эти инциденты в дальнейшем. В интервью онлайновому изданию InternetNews.com "Дуэт мошенников" заявил о том, что они очень обеспокоены состоянием национальной безопасности, поэтому они не стали выкладывать на всеобщее обозрение никаких действительно секретных данных, они преследовали самые благие цели и хотели только, чтобы обнаруженные ими дыры в Web-сайтах были заделаны. Они также сообщили, что для доступа в базы данных управления тыла и секретариата Пентагона они использовали пароль по умолчанию СУБД Microsoft SQL, которая установлена на этих сайтах. 30.04.2002
JDBGMGR.EXE и SULFNBK.EXE — это не вирусы, а стандартные утилиты Windows
"Лаборатория Касперского" опровергает очередной слух о новом ужасном вирусе, который распространяется по Интернету в файле JDBGMGR.EXE. Как сообщают в "Лаборатории", на данный момент служба технической поддержки компании зафиксировала множество обращений пользователей из различных стран по этому поводу.
На самом деле JDBGMGR.EXE является стандартной утилитой для отладки работы Java-приложений, входящей в поставку всех наиболее распространенных версий Windows, таких как Windows 95, Windows 98, Windows NT, Windows ME, Windows 2000, Windows XP. Ее удаление или модификация может повлечь за собой изменение функциональности операционной системы и в некоторых случаях иметь негативные последствия.
Как таковой файл JDBGMGR.EXE не является вирусом, но, как и любой другой EXE-файл, может быть инфицирован. Так, печально известный вирус Magistr "страдает" пристрастием к этой программе, поэтому новая мистификация получила широкое распространение. Инициатор слухов, очевидно, обнаружил на своем компьютере Magistr, посчитал, что зараженный файл JDBGMGR.EXE и является вирусом и поспешил сообщить об этом всем своим знакомым.
Ранее по этой же схеме распространился слух о вирулентности файла SULFNBK.EXE, также являющегося стандартной утилитой Windows. Этот слух мотается туда-сюда по Рунету, вынуждая антивирусные компании снова и снова распространять разъяснительные сообщения, более того, письма с призывом избавиться от программы SULFNBK.EXE и подробными инструкциями, как это сделать, обрели уже чуть ли ни стандартный вид. Часто эти послания заканчиваются требованием разослать аналогичное — ложное — предупреждение по всем имеющимся адресам. 30.04.2002
Создатель вируса Melissa проведет 20 месяцев в тюрьме
Суд США приговорил к 20 месяцам тюремного заключения создателя компьютерного вируса Melissa, распространение которого причинило многочисленным компаниям по всему миру ущерб на миллионы долларов.
34-летний Дэвид Смит создал Melissa три года тому назад, и он был в числе наиболее ранних вирусов, распространяемых по сетям через послания электронной почты, направляемые друзьям или коллегам по работе.
Помимо тюремного заключения, суд приговорил Смита к уплате штрафа в размере $5 тыс. и запретил ему пользоваться компьютерными сетями или Интернетом без соответствующего разрешения органов правосудия. В ходе судебных разбирательств Смит признал себя виновным и на последнем заседании суда заявил, что "создание вируса было колоссальной ошибкой". Вначале Смиту грозило тюремное заключение до пяти лет, однако судьи сочли возможным вынести более мягкий приговор, поскольку преступник оказал властям содействие в уничтожении других категорий компьютерных вирусов. 02.05.2002
Подготовил Евгений Сечко, safeman@mail.ru
Компьютерная газета. Статья была опубликована в номере 18 за 2002 год в рубрике del :: безопасность
