...
...

Новый список Top 20 ФБР: во главе по-прежнему MS IIS

Безопасность и защита информации Новый список Top 20 ФБР: во главе по-прежнему MS IIS
Обычно чрезвычайно трудно выявить уязвимые места в защите своих систем, однако ситуация меняется. Престижный институт SANS, сотрудничающий с ФБР, предложил список top 20 (http://www.sans.org/top20.htm) общих уязвимостей, которые открывают хакерам доступ к интернет-сайтам. Он содержит описания пробелов в защите, рекомендации по их устранению и перечень продуктов, с помощью которых системные администраторы могут исключить уязвимые места или удостовериться, что в сети все в порядке.
Директор SANS Institute по исследованиям Алан Паллер (Alan Paller) и сотрудники ФБР обнаружили, что некоторые проблемы распространены более других. "Этот год, несомненно, год Microsoft IIS, — говорит Паллер, — так этот сервер популярен и так легко его взломать". Проблема усугубляется тем, что компании часто не знают обо всех своих инсталляциях IIS. В конфигурацию Windows NT, Windows 2000 или Windows XP может входить полнофункциональный веб-сервер, но многие администраторы даже не догадываются о его существовании. А если эту версию IIS специально не отключить, то она будет работать в фоновом режиме, открывая лазейку в компьютер.
Но не надо думать, что уязвима только операционная система Microsoft. Многие Unix- или Linux-серверы тоже имеют черный ход, который часто остается незапертым. Обычно это примеры скриптов, помогающие администраторам веб-серверов писать свои собственные скрипты. Они не предназначены для использования в Интернете, поэтому в них не предусмотрена встроенная защита. К тому же они могут быть так плохо составлены, что при исполнении этих скриптов открываются лазейки, о которых администратор даже не подозревает.
К счастью, большинство уязвимостей устранить легко, так что они существуют лишь до тех пор, пока администратор не займется ими. Впрочем, сказать легче, чем сделать, так как производители и дистрибьюторы операционной системы не спешат на помощь. Паллер полагает, что Microsoft следовало бы выпустить усиливающие защиту апдейты для более ранних версий Windows. А программы инсталляции Unix и Linux хорошо бы изменить так, чтобы примеры скриптов с ними не устанавливались.
Теперь пользователи будут знать, что проблемы нужно решать. В этом и заключается цель создания списка SANS Top 20. Он будет, обещает Паллер, постоянно обновляться, так что новые методы, решающие проблемы защиты, а также вновь обнаруженные уязвимости будут публиковаться сразу же, как только появятся. "В первые восемь дней мы опубликовали около 20 дополнений", — сказал Паллер, отметив, что у SANS есть целый ряд верных кандидатов на включение в список. 10.12.2001

Кевин Митник выпил со своим обвинителем
В ходе конференции, посвященной вопросам компьютерной безопасности, самому известному хакеру планеты Кевину Митнику пришлось пообщаться со своим бывшим обвинителем — Кристофером Пейнтером.
В интервью Wired News Митник сказал, что если бы он знал, что на вечере будет присутствовать его обвинитель, на несколько лет засадивший его за решетку, он ни за что бы не пришел на это мероприятие.
На прошедшей в четверг в Вашингтоне в "Национальном пресс-клубе" (http://www.press.org/) конференции по вопросам компьютерной безопасности "The State of Cybersecurity" в качестве главного докладчика был заявлен Ричард Кларк, правая рука нынешнего президента США в вопросах компьютерной безопасности. Именно его бывший хакер и хотел послушать.
Однако сам Кларк отказался приехать, и вместо него на конференцию был послан Кристофер Пейнтер, исполняющий сейчас обязанности главы подразделения по борьбе с кибер-преступностью в Министерстве юстиции США, а раньше — главный обвинитель Митника.
Несмотря на то, что поначалу оба были настроены друг к другу не слишком дружелюбно, после того, как лекция была прочитана и обсуждение состоялось, а все присутствовавшие приступили ко второй части вечера — "кибер-коктейлю", бывший прокурор и экс-хакер мирно побеседовали о "давних временах". Возможно, что этому способствовал открывшийся после лекции бар.
"Я и подумать не мог раньше, что буду мило беседовать за коктейлем со своим главным обвинителем", — рассказал Wired News Кевин Митник. 11.12.2001

"Неуязвимый" Oracle
Неделю назад корпорация Oracle развернула мощную маркетинговую акцию под лозунгом своих продуктов как "Неуязвимых" (Unbreakable).
Это вызвало резкий рост числа хакерских атак на электронные системы, работающие под управлением приложений от Oracle. В течение семи недель число хакерских атак на системы Oracle возросло в десятки раз. Если раньше системные администраторы корпорации, в среднем, сталкивались с 3000 попыток взлома еженедельно, то за указанный период их число доходило до 30.000.
До настоящего момента защита Oracle так и не взломана. В основном благодаря тому, что хакеры, как правило, пытаются использовать слабые места Windows NT, однако сервер приложений Oracle 9i Application Server работает под управлением OC Unix и нового собственного сервера Oracle — 9i Application Server.
Эксперты называют новую маркетинговую акцию Oracle одной из самых успешных в истории "новой экономики". Так, слоган "Unbreakable", продвижение которого началось одновременно с выходом одноименного фильма с Брюсом Уиллисом в главной роли, обошелся Oracle в $30 млн, что по меркам крупной корпорации является ничтожным рекламным бюджетом. В самое ближайшее время Oracle намерена инвестировать в рекламную кампанию дополнительные $70 млн, вероятно, для того, чтобы объявить себя первой корпорацией-победителем в войне с сетевыми взломщиками.
По словам главы корпорации Ларри Эллисона (Larry Ellison), рекламная акция Oracle вовсе не направлена на то, чтобы люди перестали пользоваться почтовым клиентом главного конкурента — Microsoft Outlook. "Мы лишь хотим, чтобы люди отказались от Microsoft Exchange ради сервера, который работает". 11.12.2001

ФБР призналось в слежке за Интернетом
В минувшую среду представитель Федерального Бюро Расследований Пол Брессон (Paul Bresson) официально подтвердил, что правительство США ведет разработку системы слежения за активностью интернет-пользователей Magic Lantern ("Волшебный фонарь"). По его словам, технология, которая значительно расширит возможности ФБР в области слежения за действиями подозреваемых в совершении и планировании преступлений в Сети, находится в стадии разработки и до настоящего времени не применялась, однако ее внедрение — вопрос всего лишь времени.
Первая информация о правительственной программе Magic Lantern появилась в ноябре и сразу же вызвала протест со стороны правозащитных организаций.
При этом ФБР ранее уже признавало, что в ряде случаев им используются программы слежения, позволяющие перехватывать информацию, вводимую пользователем с клавиатуры. Данная технология используется с целью получения паролей к зашифрованным электронным посланиям.
Magic Lantern, по-видимому, будет представлять собой службу слежения, основанную на программах, схожих с троянскими вирусами, что позволит ФБР контролировать практически любые формы сетевой активности подозреваемых пользователей.
На вопрос о том, будет ли необходимо решение суда для использования применения в отношении граждан новой технологии, представитель ФБР заявил, что его ведомство продолжает работать в рамках правового поля и Magic Lantern будет использоваться в соответствии с существующим законодательством.
Тем не менее, ряд ведущих разработчиков антивирусного ПО уже выступили с заявлениями о том, что со стороны этих компаний ФБР не получит никакой поддержки.
Общая позиция вендоров сводится к тому, что пользователи ждут от них гарантированной защиты от любых вредоносных программ независимо от того, кто является их разработчиком и распространителем. 13.12.2001

Хакеры дорвались до серьезной уязвимости Solaris и AIX
Пробел в защите программного обеспечения от Sun Microsystems и IBM позволяет злоумышленникам получить контроль над мощными серверами, установленными во многих корпорациях и университетах.
Специалисты Internet Security Systems Inc. (ISSX.O) обнаружили в чат-румах свидетельства того, что хакеры уже приступили к разработке инструментов, использующих данную уязвимость. Об этом сообщил руководитель группы лаборатории исследований и разработок ISS X-Force Дэн Ингевалдсон (Dan Ingevaldson).
Согласно рекомендациям, распространенным центром Computer Emergency Response Team (CERT) при Карнеги-Меллонском университете, уязвимость проявляется в последней версии операционной системы Sun Solaris 8 и в более ранних ее версиях, а также в версиях IBM AIX 4.3 и 5.1. Дыра находится в программе login, позволяющей дистанционно входить в операционную систему, набирая имя пользователя и пароль. Лазейкой можно воспользоваться только в том случае, если разрешены определенные протоколы дистанционного управления, такие как Telnet, а по умолчанию, как правило, это так.
По словам Ингевалдсона, ISS обнаружила уязвимость в октябре и работала над решением проблемы вместе с Sun и CERT. "Нам не известны случаи практического использования этой лазейки", — сказал представитель Sun Расс Кастроново (Russ Castronovo). Он считает уязвимость чрезвычайно серьезной, так как в корпорациях и университетах очень много компьютеров, использующих Solaris, а если злоумышленник получит полный контроль над такой машиной, он может причинить очень большой вред. "Получив доступ привилегированного пользователя, можно делать все, что угодно: изменять файлы, создавать их или перехватывать сетевой трафик", — пояснил Ингевалдсон.
Временную заплатку можно скачать со страницы http://sunsolve.sun.com/securitypatch, а полностью поддерживаемую и оттестированную поправку обещают выпустить на будущей неделе. Готовятся поправки и для AIX. 13.12.2001

Microsoft подкупает специалистов по безопасности, чтобы те не болтали о дырах в программах компании
Компания Microsoft объявила о введении новой партнерской программы для компаний, специализирующихся на информационной безопасности. Участники программы "Сертифицированные партнеры Microsoft по безопасности" должны соблюдать этические нормы, разработанные самой компанией и касающиеся случаев нахождения в программном обеспечении дыр в защите.
Согласно правилам, разработанным в Microsoft, при обнаружении уязвимости, компания должна хранить полученную информацию в секрете, уведомив только производителя ПО. Публикация данных о дыре в защите не может быть произведена до выпуска компанией-производителем соответствующего патча, решающего проблему.
Так как насаждаемая софтверным гигантом политика "умалчивания" вызвала волну критики специалистов по безопасности, компания Microsoft предлагает таким специалистам довольно выгодную сделку. Сертифицированный "молчальник" Microsoft получает скидки на программное обеспечение, например, при покупке одной лицензии на Windows XP, вторую он получает бесплатно. Таким образом, согласно правилам программы, можно получить до 20 бесплатных копий операционной системы. Далее следует полный список "пряников", предлагаемых компанией специалистам по безопасности:
До пяти бесплатных лицензий на Visio 2002 Pro и Project 2002 Pro.
До 10 лицензий Office XP Developer Edition.
До 20 лицензий на Windows XP Pro.
1 лицензия на SQL Server 2000 Enterprise Server и 10 лицензий на клиентский SQL Server 2000.
Соответственно 1 и 10 лицензий на MS Exchange Server и Client.
Windows 2000 Advanced Server и другое.
Естественно, что компания Microsoft не раздает такие привилегии бесплатно. Вкупе с обещанием "помалкивать" необходимо также платить за участие в программе 1450 дол. в год. Кроме того, сертифицированные партнеры Microsoft обязаны нанять по крайней мере двух специалистов, имеющих сертификат Microsoft. Наличие определения "Эксклюзивные специалисты" дает повод полагать, что данные сотрудники будут назначены самим софтверным гигантом. 13.12.2001

Подготовил Евгений Сечко, safeman@mail.ru

(c) компьютерная газета


© Компьютерная газета

полезные ссылки
IP камеры видеонаблюдения