News-IT

Twitter объясняется по поводу уязвимости

Beggins — Sat, 25 Sep 2010 06:18:03 GMT

Twitter опубликовал официальное объяснение об упущении в безопасности, так называемой уязвимости "onMouseOver", которая поразила веб-сайт Twitter.com вчера.

В официальном сообщении Боб Лорд, член группы безопасности Twitter, сообщает о хронологии атаки, ее исходных причинах и охвате.

Злонамеренные пользователи, используя межсайтовый скриптинг (XSS), автоматически перенаправляли блогеров на другие веб-сайты, а также автоматически рассылали приглашения другим пользователям с целью их привлечения на сайт Twitter.

Этот тип атаки особенно опасен, потому что ему подвержены все, кто просто наводил указатель мыши на ссылку на странице сайта. В некоторых случаях, обычного посещения сайта Twitter было достаточно для создания шаблонов автоматической рассылки твитов.

Twitter говорит, что обнаружил дыру, которая привела к подобной атаке, еще в прошлом месяце и исправила уязвимость. Однако, недавнее обновление сайта (как подчеркивает Twitter, оно не имело отношения к новому сайту Twitter) привело к повторному появлению уязвимости.

Данная атака повлияла только на пользователей Twitter.com, и не затронула пользователей мобильного веб-сайта или других сторонних приложений Twitter. Twitter говорит, что был уведомлен о проблеме в системе безопасности в 2:54 ночи и исправил самые значительные проблемы уже к 7:00 утра.

Служба микро-блогов сообщает, что скорее всего атака была произведена как шутка или в целях рекламы. Лорд пишет, что Twitter не известно о каком-либо негативном влиянии на компьютеры пользователей или на их учетные записи Twitter. Личные данные учетных записей пользователей не были под угрозой, поэтому смена пароля не обязательна.

Хотя и очевидно, что данная атака была просто сильно раздражающим инцидентом, а не каким-либо серьезным повреждением, это событие – хорошая демонстрация того, как быстро можно навредить даже большому веб-сайту. Ради блага Twitter мы надеемся, что Twitter будет проводить больше проверок соответствия спецификациям при применении патчей, чтобы избежать подобных инцидентов в будущем.

Microsoft предлагает бесплатные средства обеспечения безопасности для малого бизнеса

Beggins — Sat, 25 Sep 2010 06:17:13 GMT

Компания Microsoft предлагает свои средства обеспечения безопасности пользователям из сферы малого и среднего бизнеса совершенно бесплатно.

Компания утверждает, что предоставит малому и среднему бизнесу возможность устанавливать и использовать Security Essentials в фирмах, имеющих не более 10 компьютеров.

Компания Microsoft уверена, что данное предложение обеспечит основную и необходимую защиту против вредоносного программного обеспечения для малых фирм, которые испытывают недостаток в программном обеспечении, не имея отдела ИТ, и не нуждаются в более обширных средствах защиты и централизованных инструментах управления.

"Microsoft Security Essentials предоставит превосходное решение для вашего малого бизнеса во многих отношениях", - написал в блоге компании Эрик Лигмен, ведущий специалист группы международного партнерства компании Microsoft. "Это ПО очень легко установить и очень просто использовать. Программа не требует регистрации, не имеет испытательного срока или срока пользования и доступно для скачивания непосредственно с сайта Microsoft."

Этот шаг ставит компанию Microsoft в одну линию с группой производителей, предлагающих бесплатные средства защиты против вредоносных программ, таких как AVG и ClamAV.

Однако, Microsoft рекомендует, чтобы пользователи, кому необходима более серьезная защита, выбрали более серъезные программы.

Компания рекомендует малому и среднему бизнесу установить Windows 7 для лучшей работы и надежности. В то же время компании, которые имеют возможность или желание централизованно управлять безопасностью и политикой безопасности и ввести отдел ИТ, могут рассчитывать на платформу безопасности Forefront.

Microsoft планирует бесплатно предоставить Security Essentials для скачивания уже в октябре.

McAfee создает сервис коротких ссылок

Beggins — Sat, 25 Sep 2010 06:16:51 GMT

Производитель антивирусного программного обеспечения McAfee сообщил о своем собственном сервисе сокращения ссылок, который препятствует пользователям посещать веб-сайты с вредоносными программами.

Сервисы коротких ссылок используются в социальных сетях, особенно в Twitter, для уменьшения размера ссылки и занимаемого ею места. Однако при сокращении ссылки не существует какого-либо способа предвидеть, на какой из веб-сайтов перейдет пользователь. Этот дефект часто используется спамерами и хакерами, чтобы обмануть пользователей Twitter и Facebook и перекинуть на веб-сайты, которые могут оказаться вредными для их компьютерных систем.

Согласно McAfee, их новый безопасный сервис сокращения ссылок укорачивает ссылку сразу же, без сканирования ее адреса назначения. Вместо этого, при переходе по сокращенной ссылке, сканируется веб-сайт на наличие любого злонамеренного содержания.

Саймон Хант, вице-президент и главный инженер компании, написал в своем блоге, что "повышая уровень глобальных интеллектуальных средств по предотвращению угроз McAfee, новая программа создает сокращенные ссылки и проверяет их по базам данных на наличие известных угроз, спама, хостингов вредоносных приложений, контроля загрузки и т.д. до того, как сайт откроется".

Хабр атакован DDoS

Beggins — Sat, 25 Sep 2010 06:16:36 GMT

"Хабрахабр" упал вчера под DDoS-атакой - по крайней мере, так утверждает администрация сайта.

Атака началась вчера вечером и даже была анонсирована на самом "Хабре". Написано там было следующее:

"Сегодня вечером на Хабр началась DDos-атака. Так что сайт время от времени может «уходить в себя». Посмотрим, как проживем ночь, если завтра будет продолжаться — будем подключать тяжёлую артиллерию. DDoS'ят ботнетом с разных адресов, от Китая до Мексики тупым UDP-флудом, который временами забивает канал целиком (а в проводе пока всего 100 мегабит). Мы, конечно, догадываемся, кто заказчик атаки, но пока об этой информации распространяться не будем. Можно только выразить сожаление, что некоторые не совсем адекватные личности только так, исподтишка могут решать споры".

В комментариях к данному анонсу высказывались различные предположения о том, кто мог бы это сделать. Судя по числу вариантов, сообщество действительно нажило себе немало врагов.

Сisco выпустила исправления для операционной системы IOS

Beggins — Sat, 25 Sep 2010 06:15:38 GMT

22 сентября, компания Cisco Systems выпустила очередной набор патчей для операционной системы Cisco Internetwork Operating System (IOS), управляющей сетевыми маршрутизаторами и коммутаторами Cisco.

Как правило, компания выпускает исправления дважды в год, если же обнаруживается критический баг, то проводится внеплановый выпуск патча. На сей раз выпуск исправлений коснулся таких компонентов операционной системы, как VPN, Session Initiation Protocol (SIP), Internet Group Management Protocol и Network Address Translation (NAT). Всего было закрыто 12 уязвимостей. В заявлении компании говорится, что эксплуатация некоторых из них позволяла получить контроль над теми или иными функциями сетевого оборудования. Также в Cisco сообщили, что если в IOS не будет обнаружено чрезвычайно серьезных багов, то следующий выпуск путчей намечен на 23 марта 2011 года.

Oracle начала поставку собственного Linux-ядра

Beggins — Tue, 21 Sep 2010 19:59:22 GMT

Компания Oracle анонсировала подготовку пакета "Unbreakable Enterprise Kernel" для собственного дистрибутива Oracle Linux, основанного на пакетной базе Red Hat Enterprise Linux 5. По заявлению Oracle, в отличие от стандартного ядра из поставки RHEL 5, представленное ядро специально оптимизировано для выполнения промышленного программного обеспечения Oracle и для работ на оборудовании Sun/Oracle, позволяя достичь повышения производительности OLTP-тестов на 75%, а Infiniband-тестов на 200%.

Особенности нового пакета с Linux-ядром:
В качестве основы для "Unbreakable Enterprise Kernel" взято ванильное ядро 2.6.32, в который продолжено бэкпортирование улучшений и кода драйверов из более новых выпусков Linux-ядра;
Ядро "Unbreakable Enterprise Kernel" теперь является единственным Linux-ядром, рекомендуемым компанией Oracle, что на первый взгляд является достаточно сильным ударом на продукцию компании Red Hat, но при детальном рассмотрении выясняется, что Oracle начала поставку нового ядра не только для своего дистрибутива, но и оформила пакеты для RHEL 5 (пользователям RHEL достаточно установить новое ядро из репозитория Oracle, нарушив при этом условия поддержки от Red Hat);
В Oracle Linux продолжена поставка в качестве опции возможности использования стандартного ядра от компании Red Hat, при необходимости обеспечения полной совместимости с дистрибутивом RHEL;
Новое ядро проверено на совместимость с большинством приложений RHEL 5, для запуска которых не потребуются какие-либо системные изменения;
Повышение производительности при работе с SSD-накопителями на 137%;
Специальные оптимизации для серверов, базирующихся на архитектуре NUMA. Улучшение системы управления питанием и контроля эффективности энергопотребления. Более точный контроль потребления ресурсов CPU и памяти;
Поддержка расширений по контролю целостности данных (Data Integrity Extensions) и информационной модели T10-защиты (T10 Protection Information Model), что позволяет защитить данные от их повреждения при их записи в хранилище за счет сохранения дополнительных корректирующих блоков. Добавлена поддержка аппаратных платформ по управлению сбоями. Интегрирована подсистема Performance Counter, позволяющая задействовать для выявления узких мест, отладки и профилирования специальных "PERFMON" регистров, доступных в современных CPU (например, Intel Core 2);
Реализован ряд оптимизаций, специфичных для продуктов Oracle: дополнительная поддержка оборудования Oracle/Sun и более полное тестирование ядра на данных аппаратных платформах;
Более тесная интеграция с продуктами Oracle Exadata Database Machine и Oracle Exalogic Elastic Cloud.

Microsoft выпустила временный пакет исправлений от утечки информации в ASP.Net

Beggins — Tue, 21 Sep 2010 19:59:02 GMT

Microsoft выпустила временный пакет исправлений для криптографической уязвимости в программном средстве, широко используемом в веб-программировании, которая позволяла хакерам прочитать файлы паролей и другие конфиденциальные данные.

Опубликованный в эту пятницу метод описывает то, что известно как "криптографический оракул" ("cryptographic padding oracle") в ASP.Net – набор приложений для веб-программирования, которые работают поверх IIS. Уязвимость, продемонстрированная на прошлой неделе на конференции Ekoparty в Аргентине, позволяет посторонним читать или вмешиваться в конфиденциальные данные, которые ранее считались зашифрованными.

Выражаясь языком криптографии, оракул – это то, что неумышленно обнаруживает едва уловимые нити зашифрованного содержания. Уязвимость в ASP.Net может быть использована при отправке серверу огромного количества запросов и затем анализа полученных сообщений об ошибках различий. Снова и снова повторяя этот процесс, атакующий может прочитать данные View State, который используется для отслеживания изменений в веб-формах. Страница View State, которая может быть использована для хранения паролей, подключения к базам данных и другой конфиденциальной информации, считалась недоступной для чтения.

Используя уязвимость в ASP.Net, у хакеров появилась возможность раскрыть информацию о контейнере, используемом для шифрования данных, и в итоге прочитать или вмешаться в зашифрованные данные, находящиеся на сервере с веб-приложением.

Microsoft в пятницу признала существование уязвимости и сообщил, что команда по безопасности работает над патчем, который бы устранил эту дыру.

А пока, пользователи ASP.Net могут использовать скрипт, который будет выявлять, степень уязвимости их систем. Системы, получившие положительный результат после прохождения теста, должны быть переконфигурированы таким образом, чтобы все сообщения об ошибках привязывались к единой странице ошибок, что помешает атакующему прослеживать отличия между различными типами ошибок.

Исследователи Тай Дуонг и Джулиано Риццо на прошлой неделе продемонстрировали средство типа "point-and-click", называемое POET, краткое от "Padding Oracle Exploitation Tool", которое было модифицировано для того, чтобы расшифровывать куки, просматривать режимы, тикеты форм идентификации и другую конфиденциальную информацию, зашифрованную при помощи ASP.Net. На видео ниже можно посмотреть демонстрацию атаки.

Второй годовой отчет Qualys показал повышение изощренности хакеров

Beggins — Tue, 21 Sep 2010 19:58:07 GMT

Исследование, недавно опубликованное специалистом Qualys по "облачной" безопасности, выдвинуло на первый план увеличивающуюся изощренность хакеров в их компьютерных атаках, а также то, что компания называет увеличением ориентирования на потребителя корпоративной компьютеризации.

Второй годовой отчет Qualys по тенденциям в компьютерной безопасности, составленный из данных HP TippingPoint DVLabs, the SANS Institute и Qualys Research Labs, упоминает, что наиболее серьезные вопросы безопасности в этом году возникают из-за все увеличивающегося использования пользовательских технологий на предприятиях.

Эта тенденция, говорит Qualys, включает скачивание приложений и использование социальных медиа-инструментов на компьютерах организаций, что открывает двери рискам безопасности и атакам через некоторые веб-направления.

Другая проблема, отмеченная в отчете, заключается в "затянувшейся и упорной" атаке веб-приложений, которые продолжают представлять собой один из самых больших рисков для сетей организаций, часто из-за уязвимостей в режимах интегрирования продуктов.

Но настоящей проблемой кажется увеличившаяся организованность и изощренность хакеров.

В соответствии с исследованием, уровень совершенствования атак увеличивается во всех типах угроз, начиная от атак на стороне клиента, таких как злоумышленные скрипты JavaScript, до атак со стороны на сервера, таких как атака файлов PHP.

Хакеры, говорится в отчете, становятся все более организованными, намного более разрушительными и неприметными в своих атаках.

Исследование утверждает, что атаки хорошо известных вредоносных программ и устаревших технологий также продолжают оставаться проблемой, которая, как говорит Qualys, подчеркивает важность непрерывной защиты против уже известных угроз.

Вольфганг Кандек, ведущий специалист-технолог фирмы, сказал, что его команда сотрудничали с HP и Институтом SANS в работе по созданию этого отчета.

"Отчет включает всеохватывающую информацию о последних уязвимостях и угрозах, для того, чтобы помочь организациям в применении процессов и решений для лучшей защиты их систем, чтобы они могли использовать проактивный подход к безопасности", - объяснил он.

Более глубокое изучение отчета показывает, что веб-приложения продолжают оставаться чрезвычайно привлекательной целью для хакеров, предлагая компьютерным преступникам легкий путь к организациям, занимающимся созданием интерактивных отношений между клиентами, сотрудниками, партнерами и их внутренними системами.

"Из-за того, что веб-приложения сравнительно легко разрабатываются и предлагают недорогую возможность расширяемости, они имеют значительные достоинства и функциональность", - говорится в отчете, при этом отмечая, что это приводит к тому, что количество веб-приложений будет неизменно расти.

Twitter заразили вирусом

Beggins — Tue, 21 Sep 2010 19:57:38 GMT

В результате заражения вирусом сервиса микроблогов Twitter, заразились около полумиллиона аккаунтов.

"Сегодня в социальной сети Twitter была обнаружена серьезная XSS-уязвимость. Ее использование началось несколько часов назад с относительно безобидного раскрашивания страниц пользователей в разные цвета. Уязвимость быстро стала использоваться и поражать новых пользователей", - сообщил во вторник главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев.

По его словам, такому "раскрашиванию" подвергся, в частности, аккаунт жены бывшего премьер-министра Великобритании Сары Браун.

Специалист отметил, что потенциальные возможности данной уязвимости довольно быстро были изучены киберпреступниками, в результате чего появилось минимум два "червя", стремительно распространяющихся в Twitter. Их функционал позволяет злоумышленникам похитить аккаунты доступа к этой социальной сети.

В настоящий момент администрация Twitter пытается оперативно устранить уязвимости. Возможно, они уже исправлены - у нас уже есть тому некоторые подтверждения. Что касается количества пострадавших, то системы наблюдения "Лаборатории Касперского" фиксировали примерно 100 зараженных пользователей в секунду. На данный момент от уязвимости пострадали около полумиллиона пользователей", - резюмировал эксперт.

США будут блокировать пиратские сайты

Beggins — Tue, 21 Sep 2010 19:57:20 GMT

В Сенате США представлен новый законопроект, в рамках которого правоохранительные органы страны получат новые полномочия для борьбы с веб-сайтами, связанными с распространением пиратского контента - фильмов, телешоу и музыки, а также поддельных товаров.

В случае принятия нового законопроекта, правоохранительные органы США получат целый ряд новых полномочий. Среди самых значимых нововведений - правоохранители смогут обращаться в суд за ордерами на блокировку доменных имен сайтов, которые подозреваются в распространении пиратского контента или поддельных товаров.

Кроме того, власти страны получат возможность требовать у местных интернет- и хостинг-провайдеров закрытия доступа к незаконным сайтам. От поставщиков платежных услуг и владельцев рекламных сетей будут требовать прекращения сотрудничества с пиратскими ресурсами. Как считают авторы законопроекта, прекращение сотрудничества с платежными сервисами или рекламными сетями лишит пиратские сайты большей части их доходов.

Как сообщает Аssociated Рress, новый законопроект под названием "О борьбе с онлайн-пиратством и контрафактом" (Combating Online Infringement and Counterfeits Act) получил поддержку и демократической, и республиканской партий, и был внесен на рассмотрение сенаторами Париком Лихи и Оррином Хэтчем.

Как отмечают авторы документа, веб-сайты по всему миру распространяют через Сеть целый ряд различных товаров, от пиратских фильмов и телешоу, до фармацевтической продукции и потребительских товаров.

"Каждый год из-за онлайн-пиратства и торговли контрафактными товарами американский бизнес теряет миллиарды долларов, в результате чего сотни тысяч людей остаются без работы", - заявил Парик Лихи.

"В сегодняшней мировой экономике интернет дает потребителям доступ к широкому спектру продуктов и услуг по всему миру. Но Сеть также стала эффективным инструментом для онлайн-воров, с помощью которого они торгуют поддельными и пиратскими товарами, зарабатывая миллионы долларов на краже интеллектуальной собственности. Принятие данного законопроекта имеет критическую важность для продолжения нашей борьбы против онлайн-пиратства и продажи контрафактных товаров", - подчеркнул Оррин Хэтч.