Рейтинг@Mail.ru

Новости безопасности

Программы, описания, советы и т.п.

Модератор: Frank

Новости безопасности

Сообщение Frank » 21 мар 2009, 13:13

Известная польская исследовательница в области компьютерной безопасности Жанна Рутковская (Joanna Rutkowska) опубликовала подробности, касающиеся новой уязвимости в процессорах Intel, позволяющей на многих современных материнских платах через манипуляции с кешем получить полный доступ к данным SMRAM, защищенной области памяти режима System Management Mode (SMM). Реализованы два рабочих эксплоита: один для получения полного дампа SMRAM, а второй для выполнения кода в режиме SMM, более привилегированного, чем код выполняющийся в нулевом кольце защиты (Ring 0).

С практической точки зрения, данную уязвимость можно использовать для создания неуязвимых SMM руткитов (невозможно обнаружить и удалить), компрометирования работы гипервизоров виртуальных машин и обхода механизма защиты операционных систем.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Вирусы теперь могут проникать в BIOS

Сообщение Frank » 24 мар 2009, 18:49

Конец марта в этом году ознаменовался двумя важными новостями – во-первых, найден способ помещения вредоносного кода в память BIOS, а во-вторых, обнаружено массовое заражение домашних маршрутизаторов червем под названием «psyb0t», который превращает роутер в компонент ботнет-сети.

Вирусы проникают в BIOS и DSL-модемы

Заражение микросхемы BIOS в компьютере до сих пор считалось чем-то из области фантастики. Именно BIOS (Basic Input/Output System) отвечает за сохранение конфигурации системы в неизменном виде, а также за исполнение базовых функций ввода и вывода информации. Тем не менее, два аргентинских специалиста, Альфредо Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco) из компании Core Security Technologies показали на конференции по информационной безопасности CanSecWest успешное введение в BIOS специальной программы для удаленного управления, или руткита (rootkit). В частности, им удалось на глазах зрителей заразить компьютеры с операционными системами Windows и OpenBSD, а также виртуальную машину OpenBSD на платформе VMware Player.

Хотя для заражения BIOS по методу Ортеги и Сакко необходимо заранее скомпрометировать машину или иметь физический доступ к машине, последствия такого заражения оказались просто ужасными – даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена. Подробнее об атаке на BIOS можно прочитать в блоге ThreatPost.

Еще одну серьезную опасность обнаружили администраторы сайта DroneBL, который занимается мониторингом IP-адресов, служащих источником различных сетевых атак. Примерно две недели назад на сайт была совершена DDoS-атака (Distributed Denial of Service – распределенная атака на отказ в обслуживании). При расследовании инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал, что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».

Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd для защищенной зоны DMZ, если у них заданы слабые сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует специальный алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.

После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства – в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.

Подробное описание ботнета и червя «psyb0t» можно найти в блоге DroneBL.
Там же сказано, что автор ботнета уже "погасил" его.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение BarS » 24 мар 2009, 19:36

Жёско! Блин надо роутер на Фряху перепрошивать.
Всех убью, один останусь
Сироту всякий норовит обидеть
Аватара пользователя
BarS
Неприкасаемый
Неприкасаемый
 
Сообщения: 4478
Зарегистрирован: 11 фев 2007, 19:38
Откуда: 194.145.199.200
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 24 мар 2009, 20:35

Фряха не панацея.
Am I Vulnerable?

You are only vulnerable if:

* Your device is a mipsel device.
* Your device has telnet, SSH or web-based interfaces available to the WAN
* Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение BarS » 24 мар 2009, 20:44

Тут свёртку по "И" или по "ИЛИ" надо делать? И я так понял достаточно прикрыть Вебморду и удалёнку извне. Т.е. админить только изнутри сети. Не очень приятно конечно, но видимо прийдётся прикрыть.
Всех убью, один останусь
Сироту всякий норовит обидеть
Аватара пользователя
BarS
Неприкасаемый
Неприкасаемый
 
Сообщения: 4478
Зарегистрирован: 11 фев 2007, 19:38
Откуда: 194.145.199.200
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 24 мар 2009, 23:50

И конечно же. Где там ИЛИ, явно указано :)
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение BarS » 25 мар 2009, 00:00

Это радует! Вообщем надо просто нормальные пароли на админку ставить. А не admin:123455
Всех убью, один останусь
Сироту всякий норовит обидеть
Аватара пользователя
BarS
Неприкасаемый
Неприкасаемый
 
Сообщения: 4478
Зарегистрирован: 11 фев 2007, 19:38
Откуда: 194.145.199.200
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 26 мар 2009, 23:53

Опубликована информация об опасной проблеме безопасности в Firefox, которой подвержены все версии Firefox 3, включая последний релиз 3.0.7, а также пакет SeaMonkey 1.1.15. Воспользовавшись недоработкой в коде функции txMozillaXSLTProcessor::TransformToDoc() злоумышленник может организовать выполнение своего кода вне контекста браузера при открытии специально модифицированного XSLT документа. По плану, выпуск Firefox 3.0.8 с исправлением намечен на 30 марта, несмотря на то, что эксплоит уже опубликован в сети.

Кроме того, во всех версиях программы для просмотра PDF документов Adobe Reader, включая Solaris и Linux сборки, найдено 6 уязвимостей, некоторые из которых позволяют организовать выполнение кода при открытии специально модифицированного PDF файла. Пользователям рекомендуется обновить Adobe Reader до выпущенной сегодня версии 9.1 и 8.1.4.

Компания Sun Microsystems выпустила внеплановые версии обновления Java: JRE 6 Update 13, JRE 5.0 Update 18, JRE 1.4.2_20 и JRE 1.3.1_25 с исправлением 16 уязвимостей, уровень опасности 9 из которых оценивается как критический
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 28 мар 2009, 15:31

На четыре дня раньше запланированного срока анонсирован выход обновления Firefox 3.0.8 в котором устранены 2 критические уязвимости.

Первая уязвимость была продемонстрирована на соревновании по взлому web-браузеров, проведенному в рамках конференции CanSecWest 2009. Уязвимость позволяет удаленному злоумышленнику инициировать выполнение кода в системе. Проблема связана с ошибкой в реализации построения дерева XUL элементов в методе _moveToEdgeShift, которая могла привести к вызову сборщика мусора для выполняющегося объекта. Уязвимости не подвержены Firefox 2, Thunderbird 2 и SeaMonkey.

Вторая уязвимость связана с недоработкой в коде функции txMozillaXSLTProcessor::TransformToDoc() и позволяет злоумышленнику организовать выполнение своего кода при открытии в браузере специально оформленного XSLT файла. Браузер SeaMonkey также подвержен данной проблеме, с исправлением в ближайшее время должен выйти релиз SeaMonkey 1.1.16.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 15 апр 2009, 14:51

Anthony Lineberry подготовил для конференции Black Hat Europe, проходящей в Амстердаме с 14 по 17 апреля, доклад (PDF, 100 Кб) с демонстрацией нового способа внедрения RootKit-кода в работающее ядро Linux системы. Суть метода основана на использовании интерфейса /dev/mem для прямой подстановки злонамеренного кода в области памяти ядра с организацией переброса управления непосредственно из любого участка кода. Например, возможно внедрение обработчиков нужных системных вызовов, не использующих какие-либо стандартные методы перехвата, что существенно усложняет обнаружение rootkit-а и значительно упрощает его код.

Ранее rootkit обычно оформлялся в виде замаскированного модуля ядра, перехватывающего управление через LSM интерфейс или таблицу прерываний. Кроме того, для перехвата управления предлагалось задействовать отладочные функций процессора, интегрировать код в монитор виртуальных машин, внедрить код в BIOS (через перепрошивку Flash) или использовать уязвимость в CPU Intel и запустить код в режиме SMM, более привилегированном, чем код ядра ОС, выполняющийся в нулевом кольце защиты (Ring 0).

Новый метод основан на идее Silvio Cesare, предложившего более 10 лет назад простой способ для накладывания патчей на Linux ядро без остановки работы системы, через прямое изменение частей ядра посредством /dev/mem интерфейса для доступа к физической памяти.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 22 апр 2009, 18:07

В вышедшем на прошлой неделе обновлении проприентарных драйверов Nvidia 180.51 исправлена ошибка, которая могла привести к повреждению содержимого EDID памяти встроенного LCD экрана ноутбуков Fujitsu Celsius H270. Повреждение сохраняется между перезагрузкой по питанию и требует для исправления обращения в сервис-центр.

Кроме того, статус драйверов Nvidia 180.51 изменен с кандидата в релизы на официальный релиз.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 09 май 2009, 12:10

На проходившей в конце апреля — начале мая конференции Eurocrypt 2009 была продемонстрирована серьезная системная уязвимость алгоритма SHA-1, способная скомпрометировать использующее его приложения. Кстати сказать, подобный факт видимо уже какое-то время циркулировал в кругах криптоаналитиков, т.к. незадолго до опубликования отчета на Eurocrypt Национальный институт стандартов США (NIST) распорядился к 2010 году прекратить использование SHA-1 в правительственных учреждениях.

Проблема миграции с SHA-1 имеет положительный и отрицательный аспекты: с одной стороны и gpg, и gpg2 поддерживают семейство алгоритмов SHA-2 (SHA512, SHA384, SHA256 и SHA224), что явно указывает направление перехода. С другой стороны использование более стойких дайджестов может повлечь отказ работы приложений предыдущего поколения. И самое главное, концепция Web of Trust, в том виде, в котором мы ее знаем сегодня, практически полностью полагается на SHA-1. Поэтому, до тех пор, пока все существующие сигнатуры не будут заменены на SHA-2 невозможно говорить о безопасности хождения сообщений в сети интернет.

Для начала постепенного процесса миграции с SHA-1 предлагается предпринять следующие действия:

* Добавить к собственным подписям и сертификатам новые, использующие более стойкий хеш.
* Указать предпочтения к использованию SHA-2 при получении защищенной корреспонденции.
* При использовании 1024 битного первичного DSA ключа (основанного на 160 битном хеше, обычно SHA-1) необходимо предпринять меры по переходу на 2048 битный RSA ключ.

На сайте Debian Administration опубликовано небольшое практическое руководство по подготовке к отказу от использования цифровой подписи SHA-1 в различных криптосистемах и в частности в системе обеспечения подлинности цифровых сообщений OpenPGP.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 15 май 2009, 15:19

А я-то думал, чего это форум убунты.ру чинят уже вторую неделю... а оказывается, его не совсем чинят:
http://ubuntu.ru/pr/forum
Краткая хронология:

* В конце апреля — начале мая некими неизвестными злоумышленниками был создан механизм, эксплуатирующий ошибки в работе программного обеспечения, которое используется в том числе и на нашем форуме — Simple Machines Forum. Ошибки присутствуют во всех известных на данное время релизах SMF 1.1.x.
* В начале мая с использованием данного механизма начался процесс «заражения» всех работающих инсталляций SMF, в результате которого подобные форумы организовали рекламный «ботнет», с помощью которого генерировался рекламный трафик на интернет-ресурсы, а также, возможно, рассылка спама и использование в качестве подставных хостов для иных противоправных и деструктивных действий.
* При взломе форума его функциональность не страдает и внешне проблему в работе заметить практически невозможно. Это осложняет ситуацию и, к текущему моменту, как минимум несколько тысяч форумов находятся в «зараженном» состоянии.
* 5 мая взлому подвергся наш форум. В результате стандартной проверки администратором форума, это было обнаружено 7 мая.
* Администраторы хостинговой площадки оперативно отключили все ресурсы использующие SMF (3 форума разных LoCo), чтобы ресурсы хостинга не могли быть использованы для противоправных действий. Условие восстановления работы форума — официальное решение проблемы безопасности в SMF.

Любое ПО имеет ошибки и эти ошибки могут быть использованы в корыстных целях. Доступные он-лайн open source программы часто являются целями успешных атак. Однако конкретная ситуация вокруг SMF довольно уникальна — наличие неизвестной, эксплуатируемой с помощью неизвестного инструмента, уязвимости и быстрое скрытое распространение. Обычно ситуация с использованием уязвимостей не выходила на такой уровень и исправления выходили ранее широкого распространения информации о проблеме. К сожалению, уровень текущей проблемы оказался достаточно высок и официального патча для устранения уязвимости сейчас нет.

Тем не менее, в настоящее время, при обсуждении вопроса о возможном переходе на другое ПО форума, мы исходим не только из соображений скорейшего восстановления работы ресурса, но и из необходимости сохранения содержания. Ссылки на материалы форума расположены на тысячах внешних ресурсов, у пользователей есть не завершенные обсуждения и не решенные вопросы, в рамках форума сложились определенные связи. Таким образом, смена SMF на что-то иное должна быть, как минимум, хорошо продумана — это не вариант быстрого решения текущей проблемы. Тем более, что от проблем с безопасностью не застрахован ни один «движок» форума.

Интернет-ресурсы нашего сообщества размещены на спонсируемой технической площадке ubuntu-eu, где вместе с нами хостится еще несколько LoCo ресурсов. Это достаточно производительная хостинг-платформа, состоящая из нескольких мощных серверов, что позволяет хорошо справляться с высокой посещаемостью наших сайтов. Таким образом переезд на другую площадку в настоящее время также не обсуждается, так как проблем с хостингом мы не испытываем.

Таким образом, мы, как и все члены нашего сообщества, ожидаем решения проблемы, стараясь помочь авторам SMF и сообщаем всю информацию, которую имеем по результатам анализа механизма взлома.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение BarS » 15 май 2009, 17:33

Йох! Мне уже страшно за наш форум. Может он уже тоже часть ботнета?
Всех убью, один останусь
Сироту всякий норовит обидеть
Аватара пользователя
BarS
Неприкасаемый
Неприкасаемый
 
Сообщения: 4478
Зарегистрирован: 11 фев 2007, 19:38
Откуда: 194.145.199.200
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 15 май 2009, 18:15

У нас пыхпыхбебе :) Ну и я всёже по мелочам мониторю. В случае резкого увеличения отправки мыл, например, факт будет замечен в течении дня.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

След.

Вернуться в Софт

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron