Новости Software за день

По следам эпидемии червя Santy
23 декабря мы опубликовали новость об эпидемии, вызванной вредоносным кодом Net-Worm.Perl.Santy.a. Червь использовал уязвимость в "движке" для создания web-форумов phpBB версии ниже 2.0.11, благодаря которой распространялся по web-узлам и обезображивал сайты. Сегодня появилась возможность проследить эпидемию по комментариям экспертов, представленных на VirusList.com.



Сайт после знакомства с червем Santy

Пользователи начали сообщать экспертам об инцидентах, связанных с форумами и досками объявлений на основе phpBB - с самого утра 21 декабря. Довольно быстро удалось выяснить, что исправления для "движка" phpBB, как такового, нет. Удалось обнаружить лишь горячие обсуждения событий на форуме phpbb.com. Эксперты обратили внимание, что червь очень быстро распространяется и замещает файлы с расширениями asp/php/htm/shtm, а, значит, не только стирает данные на web-узле, но и подрывает деятельность других web-сайтов, использующих информацию с зараженного web-узла.

В течение часа эксперты выяснили, что червь не способен причинить вред "движкам" на основе phpBB 2.0.11, а все версии ниже - уязвимы. Пользователям было рекомендовано немедленно обновить используемую технологию.

На следующий день, 22 декабря, утром антивирусные аналитики московского офиса "Лаборатории Касперского" обнаружили уже вторую версию червя. Первая называлась Net-Worm.Perl.Santy.a, вторая получила название Net-Worm.Perl.Santy.b.

Напомню, что червь отыскивал уязвимые узлы с помощью поисковой системы Google. Ближе к вечеру компания Google заявила, что ее поисковая машина будет блокировать запросы червя Santy, чтобы затруднить его распространение. Но оставалась вероятность, что автор вредителя быстро выпустит новую версию, которая будет использовать не Google, а, скажем, MSN или Yahoo. Вторая версия червя Santy отличалась от первой лишь несколькими текстовыми строками. На этом основании было высказано предположение, что к исходному коду червя получили доступ те, кого мы называем "script kiddies".

Следует отметить, что к полудню 22 декабря число инфицированных узлов уже исчислялось тысячами. К вечеру в Интернет появился исходный код червя (скорее всего, он появился раньше, но отыскать его антивирусные аналитики смогли лишь к вечеру). Это подтвердило догадку об авторах второй версии червя.

Опубликование исходного кода и появление целой серии клонов Santy в будущем не явилось весомым аргументом в пользу вредителя. Дело в том, что стратегия победы над Santy очень проста: администраторы могут обновить версию своего "движка" phpBB, а поисковые системы могут игнорировать запросы клонов.

В течение нескольких дней ситуация постепенно начала стабилизироваться. К 26 декабря было обнаружено уже несколько версий червя. Причем новые версии были намного опаснее и функциональнее прототипа. Во-первых, они осуществляли поиск не только в Google, но и в Yahoo. Во-вторых, атаке подверглись сайты с "движком" версии "phpBB pre 2.0.11", которые тоже уязвимы. В-третьих, новые версии Santy пытались установить в системе компонент, который позволит удаленно управлять компьютером. Как следствие предыдущего пункта, станут возможны массовая рассылка спама и сильные атаки типа отказ в обслуживании (ведь инфицированные узлы часто имеют широкополосное соединение с Интернетом). Например, Net-Worm.Perl.Santy.e пытался инсталлировать в систему вредителя Backdoor.Perl.Shellbot.b, некоторые другие версии Santy пытались установить perl-бэкдоры. Как будут дальше развиваться события - не известно. Однако до сих пор антивирусные аналитики не меняют красный цвет (самый опасный) вирусной угрозы...

Автор: Алексей Доля Дата: 27.12.2004 02:21
Троянец для мобильных телефонов на базе Symbian OS
Сразу несколько антивирусных компаний, и в первую очередь информационный ресурс SecurityFocus.com, сообщили о возобновлении старой угрозы в лице троянца Skull (точное название Trojan.SymbOS.Skuller) для пользователей мобильных телефонов на базе Symbian OS. На этот раз вредоносный код маскируется под одну из версий игры Metal Gear Solid и может доставить беспокойство пользователям телефонов Nokia, Siemens, Panasonic и Sendo.


Считается, что первой компанией, обнаружившей новую ипостась троянца Skull, является компания SimWorks, специализирующаяся на информационной безопасности Symbian OS и поставляющая собственный антивирус для этой системы. Согласно информации, предоставленной SimWorks, троянец выводит из строя установленное на мобильном телефоне антивирусное программное обеспечение (в том числе и то, что поставляет сама компания SimWorks). Для распространения троянец использует не только маскировку под полезную игровую программу, но и функции "старого" мобильного червя Cabir, который заражал мобильные телефоны через Bluetooth. Напомню, что червь Cabir получил некоторое распространение в июне этого года в Китае, Индии, Турции, Финляндии и на Филиппинах.

Антивирусные эксперты не рекомендуют пользователям, получившим файлы MetalGear.sis, открывать его и запускать инсталляцию. Если же несчастье все же произойдет, то троянец не только расправится с антивирусом, но и установит червя Cabir и еще один инсталляционный файл SEXXXY.sis, который содержит код для отключения кнопки входа в меню. Следует отметить, что Cabir будет распространяться по Bluetooth не только в своем чистом виде, но и вместе с файлом SEXXXY.sis.

Эксперты компании F-Secure сообщили, что за последний месяц они смогли зафиксировать пять новых модификаций мобильного червя Cabir и три новые модификации троянца Skull. Согласитесь, тенденция отнюдь не позитивная.

Представители Symantec обратили внимание на то, что угрозы для мобильных телефонов полностью копируют общий вектор развития вредоносных технологий. Это значит, что в ближайшем будущем появятся мобильные черви, столь же опасные, как и MSBlast (2003 год) и Sasser (2004 год) в свое время. Еще один яркий факт, замеченный экспертом Symantec, в том, что разносчиками мобильных вредителей сегодня являются самолеты, так как пока именно этим способом мобильные паразиты в основном путешествуют с континента на континент.

Напоследок замечу, что антивирусные разработчики, поставляющие решения для мобильных пользователей, уже обновили свои базы и готовы дать несколько запоздалый отпор троянцу Skull. Опасность подобных вредителей заключается не столько в испорченных иконках главного меню телефона (они заменяются изображением черепа с костями), сколько той потенциальной брешью, которую паразит может создать в корпоративной информационной инфраструктуре после того, как хозяин мобильного телефона подключится к ней. Тенденции развития мобильных вредоносных кодов позволяют предположить, что уже, возможно, через год мы не будем описывать каждого нового представителя мобильных паразитов, а будем останавливаться лишь на тех, что вызвали эпидемию. Другими словами, пользоваться мобильным телефоном станет также опасно, как и персональным компьютером в режиме online.
Автор: Алексей Доля Дата: 27.12.2004 02:52
Новая Зеландия на тропе войны со спамом
Парламент Новой Зеландии должен был рассматривать закон о борьбе со спамом еще в этом году, но по некоторым причинам обсуждение закона было перенесено на январь. Как заявили законодатели, разрабатывать закон на практике оказалось несколько сложнее, чем они думали в начале.

Хотя как такового закона еще нет, уже известны его ключевые элементы, которые вряд ли изменятся после парламентских слушаний. Закон должен запретить рассылки рекламных и коммерческих электронных сообщений, текстовых сообщений и мгновенных сообщений. Запрету подвергнутся и телефонные сообщения, записанные на аудио-носитель и носящий все тот же характер. Предполагается, что закон вступит в силу уже в 2005 году.

Закон не сможет положить конец спаму вообще и наказать спамеров, рассылающих свои сообщения из-за океана. Тем не менее, законодатели надеются, что Новая Зеландия вступит в общемировую борьбу со спамом и внесет свою, хоть небольшую, но все же ощутимую лепту.
Автор: Алексей Доля Дата: 27.12.2004 02:58
Вредоносные коды: итоговый отчет за 2004 год
"Лаборатория Касперского" наконец-то представила итоговый отчет по развитию вредоносных кодов за 2004 год. От аналогичного документа за авторством, например, F-Secure, отчет "Лаборатории" отличается довольно большой технической подробностью, а, следовательно, и большим объемом.

Многие из опубликованных фактов уже известны нашим читателям. Поэтому остановимся на небольшом числе моментов, все же представляющих интерес. С полной версией отчета можно ознакомиться по адресу: http://www.kaspersky.ru/news?id=156730524.

Авторы отчета (Евгений Касперский, Дэвид Эмм, Александр Гостев, Марк Бланшар) обратили внимание на то, что в 2004 году наблюдалась миграция IT-преступников в сторону создания adware (о терминах не спорят, о них договариваются, поэтому я бы сюда добавил еще spyware и pornware). Причем adware и сопутствующие вредоносные коды разрабатываются на профессиональной и коммерческой основе. Как результат этих процессов, под конец 2004 года spyware и adware стали "одной из основных проблем компьютерной безопасности" (цитата). Должен признаться, отчеты других антивирусных компаний на проблеме шпионских и рекламных кодов внимание не акцентировали.

Довольно оригинальное определение авторы отчета дали термину "социальная инженерия". Вот оно: "Социальная инженерия - просто забавный способ описать "не-технические" дыры в системе безопасности: в случае с вирусами и червями этот термин означает обман ничего не подозревающих пользователей с целью запуска ими зараженного вложения". Оказывается, пользователи, позволяющие собой манипулировать с помощью социальных приемов, являются ничем иным, как "не-техническими дырами".

Последним любопытным моментом стал акцент на мобильных вредоносных кодах. Здесь в арсенале злоумышленников уже есть червь Cabir, который позволяет заражать телефон по Bluetooth, и троянец Skull, который маскируется под полезные программы. Уже сейчас из этих двух строительных блоков преступники складывают новые версии вредителей. В ближайшем будущем строительных кубиков станет больше, а, следовательно, значительно возрастет число мобильных паразитов.

Заканчивая отчет, авторы задают себе резонный вопрос: "Что день грядущий нам готовит?". Но ответ они дают, к сожалению, самый обыденный: "Все то же самое, только больше". Новые вирусы, новые платформы, новые угрозы...

Автор: Алексей Доля Дата: 27.12.2004 03:02
Временные сотрудники - почти инсайдеры
Компания FAST Corporate Services провела исследование и выяснила, что временные сотрудники представляют большую угрозу для внутренней IT-безопасности любой компании. Сразу оговорюсь, что речь здесь идет не только о специально внедренных или подкупленных служащих, но и добропорядочных работниках, способных неумышленно нанести серьезный вред компании.

Основная причина такого положения в том, что компании не уделяют достаточного внимания проблеме и не тратят никаких сил и средств на предварительную работу с временными служащими. 45% компаний в Великобритании не требуют от временных сотрудников выполнения тех же самых правил, что и для постоянных служащих.

Проблема усугубляется тем, что временные сотрудники чаще всего используют свои собственные ноутбуки. Таким образом, в корпоративной IT-инфраструктуре появляются новые уязвимые узлы, через которые легко может проникнуть самый банальный вредоносный код. Исследование FAST Corporate Services выявило, что IT-службы вообще не проверяют содержимое ноутбуков временных сотрудников до подключения к корпоративной сети.

Еще одной опасностью, которую несут временные сотрудники, являются юридические проблемы. Например, временный служащий может запросто переписать защищенные законом об авторских правах музыкальные и видео файлы, получить доступ к материалам порнографического характера или распространять оскорбительные сообщения и записки. За все действия временного сотрудника несет ответственность компания-работодатель. Если временный служащий, например, будет рассылать сообщения, оскорбляющие чью-то личность, то оскорбленный сотрудник может подать в суд на всю компанию и почти наверняка - выиграть немалые деньги.

В качестве выхода из сложившейся ситуации эксперты FAST Corporate Services предлагают создать специальную политику и процедуры для временных сотрудников. Таким способом действия временных служащих должны быть ограничены. Если же такой работник использует ноутбук, то должна быть организована служба карантина, которая проверит мобильное устройство на наличие вредоносных кодов и шпионских программ.

Интересно, что многие компании не вводят подобных мер для временных сотрудников, так как не используют их и для постоянных служащих! Такое случается потому, что эти компании не представляют степень опасности, исходящую от умышленных и неумышленных вредоносных действий работников компании. Другими словами предприятия еще не сталкивались с крупной утечкой конфиденциальной информации, а на нецелевое использование IT-ресурсов компании руководство просто закрывает глаза.

Между тем временные сотрудники уже привыкли к своим полномочиям и считают, что в компании-работодателе они могут переписывать из Интернет любую информацию. Так было на их прежнем рабочем месте. Так, они думают, будет и впредь.

Напоследок, хочется заметить, что, заставляя временных сотрудников подписывать документы, ограничивающие полномочия служащего, любая компания может обеспечить себе надежный аргумент в случае любого судебного разбирательства, связанного с незаконными действиями временного работника. Реализовать такую процедуру на практике довольно просто.
Автор: Алексей Доля Дата: 27.12.2004 03:09
Суд отклонил признание спамера
Интересный юридический казус произошел в Нью-Йорке. Бывший сотрудник America Online, двадцатичетырехлетний Джейсон Сматерс (Jason Smathers) признал себя виновным в рассылке спама, но судья отказался принять это признание.

Джейсона Сматерса обвиняют в похищении 92 млн. почтовых адресов и продаже их спамерам. Манхеттенский судья считает, что в деле Сматерса не все так просто, и оно не подпадает под новый федеральный закон "can-spam". Судья заявил, что Джейсон Сматерс специально хочет взять на себя вину по рассылке спама, лишь бы скрыть сам факт продажи украденной собственности. Но план обвиняемого не удался и новое слушание назначено на январь.

Симпатичная деталь - сам судья отказался от использования почтового ящика America Online, так как туда приходит слишком много спама. Прокурор, пытаясь убедить судью принять признание обвиняемого, сказал буквально следующее: "Миллиарды нежелательных писем приходят таким людям, как Вы, Ваша честь, из-за людей, подобных Сматерсу!". Судья же ответил: "Все ненавидят спамеров, вопрос не в этом. Но я пока не готов идти в этом деле дальше. Мне нужно убедиться, что преступление было совершено".

Считается, что Сматерс до того, как его уволили из America Online в июне, использовал свой персональный код, чтобы выкрасть список клиентов AOL за 2003 год и продать его спамерам за 100 тыс. долларов.
Автор: Алексей Доля Дата: 27.12.2004 03:13
Бесплатные почтовые ящики от AOL
Компания AOL начала тестировать почтовую службу под названием "AOL Mail on the Web". Пока почтовые ящики могут получить только клиенты AOL, но в 2005 году это сможет сделать любой желающий, причем бесплатно. Предполагается, что почтовая служба AOL должна составить конкуренцию аналогам от Yahoo, MSN и Google.

Представители AOL заявили, что 18 млн. пользователей каждый месяц посещают сайт aol.com, а 90% из них используют этот web-сайт для проверки своей почты. Новая почтовая служба будет опробована, прежде всего, на клиентах компании, в начале 2005 года для более широкого круга тестеров, а потом в 2005 году станет доступна всем и каждому.

Замечу, что AOL предлагает почтовые ящики уже много лет. Но за деньги. Сейчас у компании America Online большие проблемы - многие пользователи отказываются от модемного dial-up доступа в пользу широкополосного соединения. Компания терпит убытки. За последние два года AOL потеряла 4 млн. пользователя. Появление бесплатной почтовой службы должно, по мнению AOL, привлечь часть пользователей обратно. В ближайшем будущем число подобных сервисов должно увеличиться, так как одной бесплатной почтой ситуацию сильно не исправишь.

Почтовые ящики AOL, как и у других компаний, позволяют группировать почту по папкам, создать список контактов, осуществлять поиск по письмам и фильтровать спам с помощью встроенных технологий. По сравнению с ящиками конкурентов можно выделить возможность использования rich-text (разные шрифты, разные цвета и т.д.). Технологии для борьбы со спамом разработаны компанией Mailblocks, которую AOL купила в августе.

Новая почтовая служба будет интегрирована с AOL Instant Messaging. Клиенты смогут отвечать на письма либо с помощью кнопки "reply", либо кнопки с иконкой "Running Man". Во втором случае запустится чат Instant Message.

Ограничение почтового ящика AOL составляет 100 Мб. Напомню, что Hotmail и Yahoo Mail предоставляют 250 Мб, а Google GMail - 1 Гб. Кстати, AOL пытается перестроить свой бизнес не только с помощью новых услуг, но и за счёт сокращения издержек. В начале этого месяца, например, было уволено 750 сотрудников...
Автор: Алексей Доля Дата: 27.12.2004 03:16
Финансовые итоги Red Hat
Компания Red Hat опубликовала финансовый отчет за третий квартал: чистый доход увеличился на 155% по сравнению с аналогичным периодом предыдущего года и составил 10,8 млн. долларов. Эти же цифры можно представить иначе: каждая акция Red Hat принесла своему владельцу 6 центов прибыли.

Общий доход компании Red Hat за третий квартал составил 50,9 млн. долларов, что на 55% больше аналогичного периода в прошлом году, но несколько меньше прогноза аналитиков (которые предсказывали 51,8 млн. долларов).

В своем бизнесе Red Hat приходится соревноваться с Novell, Microsoft и Sun Microsystems. Следует отметить, что Red Hat занимается в основном серверными системами. Что же до настольных систем, то, хотя каждая Linux-компания имеет далеко идущие планы, реально здесь похвастаться нечем.

За прошедший квартал Red Hat продала 132 тыс. подписки на свой продукт Red Hat Enterprise Linux. 199 тыс. из них пришлось на серверы в корпоративной среде, а 13 тыс. - на вычислительные кластеры или web-сайты. Клиенты, которые приобретают продукт для кластеров и web, обычно берут ПО в больших количествах и, следовательно, меньше платят.

Тем не менее, компания Red Hat планировала продать больше подписок на свои продукты. Причина проста: компания не успела договориться о цене в некоторых сделках и, соответственно, заключить их в данном отчетном периоде.

Red Hat также объявила, что значительно расширила свой бизнес за последний квартал, наняв новых сотрудников и организовав новые каналы распространения в других странах. Компания ведет очень агрессивную политику в Индии и уже имеет там 55 местных партнеров по разработке ПО и 100 авторизованных партнеров для обучения персонала. Стоит также упомянуть о присутствии Red Hat в Китае. В частности в Пекине открыт отдельный офис. Главным партнером в Китае является Red Flag.

В заключение хотелось бы привести основную причину, сдерживающую развитие бизнеса компании Red Hat. Это трудности с тем, чтобы развернуть действительно мощный маркетинг и организовать хорошие каналы сбыта. То есть именно то, чем совсем не страдают крупные компании и монополисты...
Автор: Алексей Доля Дата: 27.12.2004 03:36
Споры вокруг .MOBI
Споры вокруг появления нового доменного имени .mobi ведутся постоянно. Новое имя для доменов должно быть предназначено для мобильных устройств. Однако некоторые представители индустрии считают, что принятие этого имени лишь навредит сети Интернет. Например, Device Independence Working Group (DIWG), входящая в состав World Wide Web Consortium (W3C), против .mobi на том основании, что Всемирная Сеть задумывалась как независимая от каких-либо устройств.

На прошлой неделе Internet Corporation for Assigned Names and Numbers (ICANN) начала обсуждать принятие имени .mobi. Однако у DIWG есть серьезные аргументы: предполагается, что пользователям мобильных устройств необходимо собственное пространство в Интернет, но что именно называется "мобильным устройством" пока неизвестно, так как никто не дал четкого определения. Если не будет ясности, то пространство для мобильных устройств может конфликтовать с аналогичным для ПК.

Продолжая развивать эту тему, эксперты доходят до своего любимого примера: мобильный ноутбук сегодня является столь же мощным, как и ПК, а вот мобильный телефон ограничен в своих возможностях маленьким экраном и слабым процессором.

Предполагается, что W3C создаст XML-технологию Capability/Preference Profiles (CC/PP), которая позволит устройству во время посещения web-сайта самому объявить о своих возможностях и предпочтениях своего пользователя. Web-сервер, получив эту информацию, будет выдавать страницу, совместимую с устройством-клиентом.

В любом случае URL должен однозначно определять ресурс, доступный в сети, а также те технологии, с помощью которых ресурс спроектирован, создан - и будет доступен пользователю. То есть необходимо учитывать интересы не только мобильных клиентов, но и серверов, предоставляющих информацию.

За введение нового доменного имени выступают такие компании, как Microsoft, Vodafone, Ericsson, Hewlett-Packard, Samsung, Sun Microsystems, Telecom Italia Group и T-Mobile International. Возглавляет эту группу компания Nokia. Представители этих компаний заявляют, что новая зона необходима для того, чтобы удовлетворить специфические нужды мобильных пользователей (например, ограничения по представлению информации на маленьком экране). Создание такой зоны позволит присвоить телефонам идентификаторы, основанные на доменных именах. Другими словами, вам, уважаемый читатель, можно будет позвонить по номеру типа "firstname.lastname@nokia.mobi".

Обсуждая проблемы мобильных пользователей, стоит упомянуть Японию, в которой более 40% пользователей Интернет являются одновременно и мобильными пользователями. В Японии также распространен доступ к Интернет посредством мобильных телефонов. Представители японских компаний заявляют, что опыт использования мобильных телефонов для доступа в Интернет показывает, что новое пространство имен просто не нужно. Пользователям от этого не будет пользы.

Ранее в этом году Microsoft опубликовала свое мнение о .mobi. Софтверный гигант собирается создать беспроводные сервисы для клиентов и компаний. Представители Microsoft также заявили, что .mobi позволит и дальше развивать телекоммуникации, мобильность и Интернет рука об руку.

Компания Nokia заявила, что .mobi вовсе не собирается делить Интернет на мобильных пользователей и всех остальных. А необходимость введения новой зоны продиктована специфическими требованиями мобильных устройств. Представитель Nokia заметил, что возглавляемая его компанией группа скоро закончит работу над спецификациями, но какая именно технология (CC/PP или какая-то еще) будет использоваться для определения контента - еще неизвестно. По мнению представителя Nokia, сами доменные имена с расширением .mobi должны поступить в продажу уже во второй половине 2005 года...
Автор: Алексей Доля Дата: 27.12.2004 03:41
Три новых уязвимости в Microsoft Windows
В Интернет появилась информация о трех новых уязвимостях в операционных системах Microsoft Windows (включая Windows XP SP2). Несколько крупных security-компаний, в том числе Symantec, подтвердили, что эти уязвимости действительно существуют и носят серьезный характер.

Первая уязвимость имеет отношение к обработке изображений (эта проблема для Windows и Unix уже не нова), вторая - к системе помощи в Windows и ее hlp-файлам, третья - к средствам аутентификации Windows ANI (Automatic Number Identification).

Проблема с изображениями возникает в функции Windows API - LoadImage (описание функции в MSDN). Данная функция отвечает за загрузку иконок, курсоров и изображений. Специально спроектированное изображение может вызвать переполнение буфера. Очевидно, что возможности по использованию этой уязвимости здесь самые разные. Например, легко можно создать HTML-страницу с вредоносным изображением, а потом послать ее по e-mail или выложить в Интернет.

Система помощи Windows некорректно декодирует некоторые hlp-файлы во время их загрузки. Злоумышленник может вызывать переполнение буфера (как и в предыдущем) случае и потом делать с системой все, что заблагорассудится.

Уязвимость в средствах ANI известна под названием Windows Kernel ANI File Parsing Crash. Она позволяет провести атаку типа отказ в обслуживании, если пользователь загрузит вредоносный ANI-файл, нажав на ссылку или открыв сообщение. Китайские эксперты в сфере IT-безопасности c www.xfocus.org опубликовали уже целых два эксплоита для данной уязвимости. Считается, что эта же китайская группа была первой, кто обнаружил и сообщил обо всех трех уязвимостях.

Системы Windows NT, Windows 2000 и Windows XP SP1 имеют все вышеперечисленные проблемы. Система Windows XP SP2 защищена от уязвимости в LoadImage и ANI, но некоторые аспекты неправильной работы системы помощи ее все равно касаются.

Пользователям рекомендуется с большой осторожностью относиться к почтовым вложениям, если те содержат hlp-файлы, и просматривать текст электронных писем в формате plain-text, так как это предотвратит автоматическое использование уязвимости в LoadImage.

Напоследок хочется заметить, что на носу праздники, а, следовательно, пользователям придется подождать, пока Microsoft выпустит соответствующие исправления. Другими словами, у злоумышленников будет большая фора во времени, чтобы, используя ошибку, например, в LoadImage, сколотить себе не одну сеть зомби-машин. Обязательно установите Service Pack 2 для Windows XP и будьте осторожны...

Автор: Алексей Доля Дата: 27.12.2004 03:46