Новости Software за день

Уязвимость в Gmail
Gmail - электронная почтовая служба, поддерживаемая известной компанией Google. На данный момент Gmail работает в тестовом режиме (бета-версия). Пока что свободной регистрации нет, хотя почтовая служба будет функционировать абсолютно бесплатно, как только пройдет период тестирования. Судя по всему, зарегистрировались и создали себе ящики лишь те пользователи, которым компания Google разослала приглашения, либо профессиональные тестеры, предложившие свои услуги самостоятельно. Сегодня есть лишь возможность оставить заявку на получение почтового ящика. Заявку можно оставить здесь gmail.google.com/gmail/help/about.html, для этого надо указать свой e-mail. Разработчики, правда, предупреждают, что будут использовать этот e-mail для рассылки новой информации о Gmail, а не организации очереди на получение ящиков.


Несколько слов о том, что, по мнению разработчиков, отличает Google от конкурентов. Во-первых, это размер предоставляемого почтового ящика, равный 1000 Мб (в начале хотелось написать 1 Гб, но это на 24 Мб больше). Во-вторых, система поиска по всей корреспонденции (отправленной, полученной и т.д.). Таким образом, пользователю вообще нет необходимости удалять какие-нибудь из своих писем. Вся корреспонденция автоматически архивируется, а "в случае чего" - возвращается в исходное состояние.


Несколько дней назад в Gmail была обнаружена уязвимость, позволяющая злоумышленнику получить полный контроль над почтовым ящиком жертвы. Предполагается, что злоумышленник не знает пароля жертвы, но знает имя пользователя и владеет cookie, который почтовая служба создала на компьютере пользователя-жертвы.

Уязвимость обнаружил израильский хакер - Нир Голдшлаггер (Nir Goldshagger). По его словам, чтобы попасть в ящик жертвы, злоумышленник должен обладать "базовыми знаниями о компьютерах". Хотя на самом деле ему требуется получить копию файла cookie жертвы.

Суть уязвимости - в том, что при аутентификации Gmail использует лишь имя пользователя и файл cookie, а пароль не требуется. Более того, если злоумышленник уже имеет все необходимые данные, а легальный пользователь возьмет, да и изменит пароль, это ровным счетом ничего не изменит. Хакер все время сможет получить доступ к ящику жертвы без обновления уже имеющегося cookie.

Представители Google уже заявили, что проблема исправлена. Проверить это пока нет возможности, так как нет под рукой почтового ящика на Gmail. Между тем, стоит отметить чрезвычайную опасность подобной уязвимости именно для Gmail. Если пользователь действительно не будет удалять свои письма, то за довольно короткий промежуток времени там накопится много важной корреспонденции, возможно, какие-то счета и бланки заказов. Все это может быть использовано для того, чтобы получить еще больший контроль над деятельностью пользователя.

Чрезвычайно неприятным аспектом полного контроля над чужим почтовым ящиком является кража личности. Злоумышленник, захвативший e-mail, может посылать и получать письма от имени другого пользователя, что таит в себе огромные потенциальные возможности для различных махинаций.

В любом случае надо признать, что обнаружение уязвимости еще на этапе тестирования службы вполне терпимо. Gmail еще официально не запущен в эксплуатацию, поэтому можно легко устранить уязвимость без каких бы то ни было потерь для пользователей...
Автор: Алексей Доля Дата: 03.11.2004 01:18
Спам и фишинг: наши будни
Хочу поделиться двумя новыми сообщениями, которые недавно пришли на мой компьютер. Первое - электронное письмо, классический пример фишинга. Видимо, на этот раз злоумышленники рассылали поддельные письма всем подряд. В результате мне пришло письмо, адресованное клиенту CitiBank'а. Тема письма была "Regular Citibank verification of the accounts [Mon, 19 Jul 2004 07:32:16 +0100]", а обратный адрес "users-support60@citibank.com". Письмо состояло всего из одного html-файла и картинки, которая отображалась в левом верхнем углу html-файла. Никакого другого текста кроме этой картинки не было. Сама картинка представлена ниже:


Эта картинка, по сути, является гиперссылкой, но не на страницу CitiBank, а на что-то по адресу: http://219.160.57.109:85/cit/index.htm. Если пользователь щелкнет на ссылке, нарисованной на картинке (см. выше), то у него откроется окно браузера и очень быстро перейдет по адресу http://219.160.57.109:85/cit/index.htm, а потом очень быстро откроет страницу CitiBank со стандартной ошибкой "404". Следует также отметить, что фильтры, отсекающие спам, в данном случае бессильны: даже если они и смогут распознать текст на картинке, совсем не ясно - может быть, пользователь действительно является клиентом CitiBank’а. Вот такие вот вполне правдоподобные письма вводят пользователей в заблуждение. В таких случаях всегда следует проверять истинность послания - позвонить в банк или посмотреть новости на официальном сайте (может, действительно руководство проводит какую-нибудь реорганизацию).

Второе сообщение мой компьютер получил через службу сообщений Windows:


В последнее время такие сообщения стали приходить все чаще и чаще, причем содержание было далеко не самым приличным - все время предлагали посетить какой-то порно-сайт, приобрести всем известные пилюли и т.д. В связи с возросшей активностью этих сообщений, я, как пользователь лицензионной версии "Антивируса Касперского", написал большущее письмо в службу поддержки. Думал, что на компьютере завелась шпионская программа, которая и показывает рекламу. Но потом пришел ответ от экспертов: оказывается это - новый вид спама. Чтобы избавиться от него, надо отключить службу сообщений Windows, что и рекомендуем сделать всем пользователям...
Автор: Алексей Доля Дата: 03.11.2004 02:02
Принят стандарт отправки MMS
В начале мая начала функционировать промышленная группа по принятию стандарта отправки мультимедиа сообщений (MMS). Несколько дней назад эта группа объявила, что стандарт принят и разработан. Как только компании, предоставляющие услуги беспроводной связи, реализуют этот стандарт, пользователи смогут обмениваться мультимедиа сообщениями также легко, как сегодня люди обмениваются электронными почтовыми сообщениями в Интернет.

Сегодня довольно много моделей сотовых телефонов оснащено цифровыми камерами. Людям нравится делать цифровые фотографии и записывать короткие ролики. Однако пользователи по-прежнему не могут послать все эти мультимедиа данные родственникам или друзьям, так как получатель, вполне возможно, использует несколько другой мобильный сервис.

Если спроецировать эту ситуацию на мир Интернет, то получится следующая безрадостная картина. Пользователи крупных провайдеров услуг Интернет (если в США, то MSN, AOL и Yahoo!) могут обмениваться потовыми электронными сообщениями только в пределах пользователей своего провайдера.

Если вспомнить ситуацию с короткими текстовыми сообщениями (SMS), то там - было то же самое. До принятия стандарта каждый пользователь мобильного телефона в Австралии отправлял 50 SMS-сообщений в месяц (столько же отправлял каждый пользователь в Великобритании). После принятия стандарта австралийцы начали отправлять по 500 SMS-сообщений, а британцы - по 180.

Принятие стандарта отправки MMS должно благоприятно отразиться на дальнейшем развитии мобильной отрасли во всем мире. Видимо, следующим шагом на этом пути будет видео-телефония...
Автор: Алексей Доля Дата: 03.11.2004 02:08
Новое лицо Viruslist.com
Известный ресурс viruslist.com обновил свой дизайн и контент. Новое лицо ресурса представлено в суровом корпоративном дизайне (ничего лишнего), вместе с тем содержащего очень много полезной информации. Пока что доступна лишь версия сайта на английском языке, русскоязычная версия появится в районе декабря этого года.

Новая версия содержит отдельные разделы (вирусы, хакеры, спам), каждый из которых имеет свою новостную ленту. Пользователю также доступна общая новостная лента.

Стоит отметить глоссарий (тематические разделы: спам, хакерские атаки, черви, вирусы и т.д.), в котором приведены основные термины в сфере информационной безопасности, и существенно обновленную энциклопедию (все определяемые Антивирусом Касперского вредоносные коды, даже если к ним еще не готово техническое описание).

Одним из самых главных нововведений сайта стал раздел аналитических статей, посвященных конкретным и достаточно узким темам информационной безопасности. Лично мне больше всего понравился раздел сайта "Дневник Аналитика" (Analyst's Diary). Там почти каждый день представители "Лаборатории Касперского" выкладывают свои заметки о чем-нибудь интересном. Среди авторов этого online-дневника: Евгений Касперский, Костин Раю (румынский эксперт, доставшийся "Лаборатории Касперского" вместе с UNIX-подразделением RAV), Дэвид Эмм (антивирусный эксперт, который раньше работал в McAfee) и Алекс Гостев (российский эксперт):


Второго ноября, например, Евгений Касперский добавил очень интересные сведения о рекламной программе (adware) - TrojanClicker.Win32.Agent.af. По словам Евгения, он первый раз в жизни увидел, как две различные рекламные программы сражаются друг с другом. Новый исполняемый Win32-файл (размером 21 Кб) удаляет файлы данных и ключи в реестре, которые принадлежат EliteBar AdWare, а затем открывает одну из двух рекламных ссылок. Евгений делает вывод, что рынок рекламного ПО накалился до того, что различные рекламные коды тайно борются друг с другом за место в системе, не привлекая внимания пользователя. В конце заметки Евгений напоминает читателям о войне между Bagle, NetSky, Mydoom.

Подобный дневник действительно помогает заглянуть в будни антивирусного аналитика. Выкладываемая информация очень интересна и не содержит никаких маркетинговых и технических тайн, поэтому ее вряд ли сильно чистят пиарщики. Аналитики действительно делятся интересными мыслями. Важно заметить, что пользователи (посетители сайта) могут обсуждать записи в дневники и задавать вопросы.

Автор: Алексей Доля Дата: 03.11.2004 02:35
Очередной удар по хакерам: 28 человек арестованы
Службы United States Secret Service и U.K. National Hi-Tech Crimes Unit, Королевская Полиция Канады, Europol, American Express, Discover, Mastercard и Visa - объединили свои усилия по борьбе с компьютерными злоумышленниками. В результате такого масштабного сотрудничества удалось в течение одного часа осуществить задержание двадцати одного злоумышленника в США и шестерых злоумышленников в шести других странах мира. Предполагается, что преступники не должны были успеть уничтожить или зашифровать все противоправные данные.

Арестованные были связаны электронным порталом ShadowCrew, на котором встречались в чатах и форумах самые разные категории злоумышленников. По сведениям Секретной Службы США, на этом сайте всегда можно было приобрести номера краденных кредитных карточек и различные документы для скрытия личности. В ходе одного из арестов оперативникам удалось обнаружить фальшивые ЕВРО и поддельные паспорта.

Если вы сейчас откроете в своем браузере сайт ShadowCrew, вашим глазам предстанет следующее зрелище:


Главная страница сайта содержит логотип Секретной Службы США, а так же несколько интересных фраз:

"Several arrests have recently been made...with many more to follow.
Proxies, vpns, ip spoofing, encryption, etc....you are no longer anonymous!!"
"If you are a member who is confused and/or concerned by your actions...please read the following:
Recent news reports should inform you that the secret service is investigating your criminal activity.
Contact your local united states secret service field office....before we contact you!"


Текст дан в оригинале, чтобы лучше передать атмосферу сайта (вкратце он повествует о закрытии преступной группы и ведущемся расследовании, а также предлагает придти с повинной всем оставшимся на свободе участникам группы). Еще одной важной деталью является музыка из фильма "Миссия Невыполнима", которая играет после открытия страницы. Если вы решите посмотреть на оригинал страницы, то имейте в виду, что музыкальный файл занимает 2.5 Мб.

Секретная Служба США оставила возможность посмотреть на форум, содержащийся на этом сайте. Меня немного удивил "Русский раздел" этого форума, так как все остальное было только на английском языке. Оказывается, российские злоумышленники имели собственное пространство для переговоров.


Представители Секретной Службы заявили, что в их распоряжении оказалось около 2 Тб данных. После того, как специалисты разберутся в них и проведут детальный анализ, последует ряд новых арестов. Предполагается, что это удастся сделать в течение одного месяца...
Автор: Алексей Доля Дата: 03.11.2004 02:49
Вирусная активность в октябре
"Лаборатория Касперского" опубликовала очередной ежемесячный отчет о вирусной активности - на этот раз за октябрь 2004 года.

Рейтинг вирусной активности в октябре 2004 года
 Поз. Название Доля
 1 I-Worm.NetSky.q 15,59%
 2 I-Worm.NetSky.aa 14,45%
 3 I-Worm.NetSky.b 10,52%
 4 I-Worm.Bagle.as 7,43%
 5 I-Worm.Bagle.z 6,59%
 6 I-Worm.Mydoom.m 5,90%
 7 I-Worm.Bagle.at 4,01%
 8 I-Worm.Zafi.b 3,03%
 9 I-Worm.NetSky.t 2,90%
 10 I-Worm.NetSky.d 2,83%
 11 I-Worm.NetSky.y 2,31%
 12 I-Worm.LovGate.w 2,30%
 13 I-Worm.Mydoom.l 1,82%
 14 I-Worm.Mydoom.ab 1,75%
 15 I-Worm.NetSky.r 1,39%
 16 I-Worm.Bagle.gen 1,37%
 17 I-Worm.MyDoom.r 1,31%
 18 I-Worm.NetSky.c 0,95%
 19 I-Worm.Bagle.ah 0,87%
 20 Backdoor.Win32.Rbot.gen 0,68%
   
  Другие вредоносные программы 12%

Таким образом, основную опасность представляют лишь три типа червей: NetSky, Bagle и Mydoom. Все версии червя NetSky распространяются по электронной почте в виде инфицированных вложений. Размер вложения варьируется от версии к версии, но обычно не превышает 45-50 Кб. Если пользователь запустит зараженный файл, червь начнет сканировать файловую систему и выискивать в ней адреса электронной почты. Многие версии червя обладают функцией размножения через P2P-сети и доступные HTTP и FTP-каталоги. В качестве деструктивных функций червь может использовать зараженную машину для проведения DoS-атаки. Почти каждая версия червя способна превратить удаленный компьютер в зомби-машину, исполняющую любые команды удаленного злоумышленника. Наиболее вероятное использование зомби-компьютера - рассылка спама.

Червь Bagle в большинстве своих версий занимает меньший объём, чем NetSky. Вредоносный код Bagle распространяется так же в виде инфицированных вложений, и так же превращает зараженный компьютер в послушного зомби. Отличительной особенностью некоторых версий червя является тот факт, что они противодействуют установленным у пользователя антивирусным программам и межсетевым экранам. Червь Bagle так же умеет распространяться и через P2P-сети.

Червь Mydoom распространяется в виде исполняемых файлов размером около 50 Кб, прикрепленных к сообщениям электронной почты. В некоторых версиях червя исполняемый файл может быть заархивирован в формате ZIP. Червь устанавливает на компьютер компоненты удаленного администрирования и превращает машину в послушный инструмент злоумышленника. В плане распространения Mydoom мало чем отличается от своих собратьев Bagle и NetSky.

Чтобы не заразиться этими вредоносными кодами, достаточно регулярно (раз в день минимум) обновлять антивирусные базы. Если же ваш компьютер не обладает антивирусной защитой, и оказался под властью червя - необходимо воспользоваться одной из бесплатных утилит, которая удалит основные компоненты вируса из системы. Взять такую утилиту можно, например, здесь: http://www.kaspersky.ru/removaltools. Напомню, что в любом случае после использования утилиты, систему необходимо просканировать штатным антивирусом с полностью обновленными базами.

Автор: Алексей Доля Дата: 03.11.2004 03:15
Российские спамеры поживились австралийскими деньгами
Эффективный пример использования социальных технологий продемонстрировали спамеры из России. Они разослали австралийским пользователям Интернет письма с предложением пройти бесплатные online-курсы по управлению финансами. Злоумышленники утверждали, что курсы проводит немецкая компания Credit Suisse Group, целью которой является подобрать хорошо обученный персонал. Через две недели после начала курсов, когда бдительность обучаемых максимально притупляется, и люди действительно начинают верить в реальность происходящего, пользователей просят в качестве одного из учебных примеров перевести немного денег со своего счета на счет преступников.

Представитель компании Sophos по достоинству оценил трюк спамеров из России, отметив его оригинальность. Согласитесь, спам чаще всего содержит рекламу чего-нибудь нецензурного и обычно не нужного. Российские же спамеры предложили тренировочный курс, направленный на обучение пользователей. Это, по крайней мере, оригинально. Еще один удачный ход - подождать две недели и предложить пользователю перевести часть своих денег именно в качестве учебного примера.

Мошенники использовали web-сайт в домене .de (сейчас сайт уже закрыт). Предполагается, что место под сайт было куплено с помощью краденной немецкой кредитной карточки.

Эксперты отмечают возросшую утонченность атак со стороны web-мошенников. Злоумышленники явно не страдают отсутствием творческой мысли и ленью. Ведь им, по крайней мере, надо было составить курс по управлению финансами минимум на неделю!
Автор: Алексей Доля Дата: 03.11.2004 12:28