В Германии был арестован 18-летний студент из Ротенберга Свен Джашан, который обвиняется в создании трех версий червя Sasser. Считается, что он же принимал участие в разработке червей NetSky. Однако уже через три часа после ареста в Internet появился новый вариант Sasser.E. Источник нового вируса пока не установлен: либо его изготовили другие члены преступной группы (здесь опять вспоминают о России), либо те за пятнадцать минут, пока полиция стучала в дверь дома Джашана, он успел отослать в Internet новый вариант червя. Кроме Свена, в Валдшате задержан 21-летний гражданин Германии, который обвиняется в разработке троянских программ Agobot и Phatbot. Кроме того, сообщается, что по подозрению в различных компьютерных преступлениях в Германии задержано еще пять человек.
Демонстрационный диск (Live CD) дистрибутива SuSE Linux 9.1 Personal Edition имеет серьезные проблемы с безопасностью - с его помощью можно проникнуть в компьютер. Дело в том, что конфигурация демо-диска такова, что пароль для пользователя root не устанавливается. В результате удаленный пользователь может подключиться к компьютеру от имени этого привилегированного пользователя и полностью подчинить себе систему. Чтобы избежать такой неприятности рекомендуется использовать обновленную версию демо-дистрибутива - LiveCD 9.1-01.
Ставропольский провайдер "Таисия-Телеком" предлагает новый бесплатный сервис WebFile для временного хранения больших файлов. Сервис предлагается для тех пользователей Internet, которые не могут переслать файл в качестве почтового вложения. В этом случае можно положить файл в такое временное хранилище и переслать получателю только ссылку. Сервис WebFile позволяет хранить временные файлы объемом до 20 Мбайт в течение 7 дней, но срок можно продлить до 14 дней.
Линус Торвалдс объявил о выпуске новой версии ядра Linux 2.6.6. В основном изменения связаны с такими процессорными архитектурами как PowerPC, S390, Sparc и ARM. Кроме того, обновлены драйверы файловых систем NTFS, XFS и FAT и поддержка USB и DVB. Также исправлены все найденные ошибки.
Прошло чуть более двух недель с момента публикации компанией Microsoft исправлений в своих продуктах, а по Internet гуляет новый червь. Первые эксплойты, направленные на эксплуатацию исправляемых ошибок появились практически на следующий день, а в течение последующих двух недель разработчики совершенствовали средства нападения. Получившийся в результате этой работы червь, который назван Sasser, распространяется через ошибку в реализации протокола SSL и не требует никаких действий со стороны пользователя. Он построен по клиент-серверной схеме: проникая на незащищенную машину, он скачивает себя с уже зараженного компьютера по протоколу FTP, а затем запускает FTP-сервер и раздает с него свои экземпляры. По некоторым оценкам этим червем заражены сотни тысяч или даже миллионы компьютеров по всему миру. Впрочем, в самом исправлении, породившем червя, также найдены определенные проблемы с VPN-клиентом от Nortel Networks, так что устанавливать его стоит с осторожностью.
Немецкая группа Phenoelit объявила об ошибке, найденной в телефоне Siemens S55, которая позволяет рассылать SMS-сообщения без разрешения владельца телефона. Хотя телефон запрашивает разрешение на отсылку SMS-сообщений, но стороннее Java-приложение может перехватить и самостоятельно обработать этот запрос. К сообщению приложен примерный Java-код приложения, которое позволило бы использовать эту ошибку. В сообщении указано, что код действует только на Siemens S55, но для других телефонов он не проверялся. Ошибка создает основу для разработки троянских программ для мобильных телефонов.
В Web-сервере Apache обнаружилась ошибка работы со старыми, даже не 32-разрядными процессорами. В функции ebcdic2ascii() обнаружилось некорректное преобразование 64-разрядной величины в переменные процессора. Из-за этого возникает переполнение буфера с возможностью исполнения постороннего кода. Опасная функция вызывается из модулей mod_auth, mod_auth3 и mod_auth4. Для этой ошибки распространяется эксплойт, а исправлений - нет, поэтому рекомендуется перенести Web-серверы на более современные процессорные архитектуры.
Суд города Мюнхена признал справедливым иск создателя iptables/netfilter Гаральда Велте против компании Sitecom Germany, которая специализируется на выпуске телекоммуникационного оборудования. Велте удалось доказать, что в своем беспроводном продукте WL-122 компания использовала код его продукта и тем самым нарушила лицензию GPL. Эта лицензия, в частности, запрещает распространять под другими лицензиями продукты, в которых используется ПО защищенное GPL. Суд запретил компании продавать свои продукты без исходных текстов и самой лицензии GPL. Компании пришлось выполнить требования суда.
Компания Red Hat объявила об обнаружении потенциальной ошибки в функции panic(), которая вызывается в случае неразрешимой ситуации, возникшей в ядре Linux. Поскольку функция не возвращает никаких данных, то эксплуатировать эту уязвимость практически невозможно. Вторая ошибка обнаружилась в системе изменения производительности процессора CPUFreq, драйвер которой содержит целочисленное знаковое переполнение буфера. В результате его можно заставить читать и модифицировать любую часть ядра, что может использовать локальный пользователь для внедрения опасного кода. Обе ошибки уже устранены - рекомендуется обновить ядро.
Британским национальным центром NISCC опубликовано сообщение об архитектурной ошибке в протоколе TCP, которая позволяет внешнему нападающему разорвать уже установленный сеанс с помощью пакета с установленным флажком TCP RST. Для этой атаки уязвимы достаточно много программных продуктов разных производителей, и еекоторые из них уже выпустили соответсвующие исправления. Наиболее опасной является атака на протокол BGP, который используется для обмена маршрутной информацией в Internet. Разрыв сеансов BGP может привести к серьезным проблемам с маршрутизацией, что позволяет устраивать DoS-атаки на целые сети.
Вирус Netsky.V в новой версии применяет новый способ распространения - теперь он может запуститься без участия получателя. Для этого используются две ошибки. Одна связана с обработкой XML-письма, при которой возникает обращение на удаленный Web-сервер, - эта ошибка была исправлена Microsoft 6 октября прошлого года. Вторая, исправленная 21 марта 2003 года, связана с управлением ActiveX-компонентами. Она позволяет запускать на атакуемом компьютере любой код. Опасное письмо содержит XML-код, который еще до показа содержимого обращается к заращенному вирусом компьютеру и сгружает с него все необходимые компоненты вируса, а затем запускает их при помощи второй ошибки. После запуска вирус устанавливает на порт 5557 собственный Web-сервер, на порт 5556 - FTP-сервер и далее начинает рассылать по всем найденным почтовым адресам письма-ловушки, где в качестве сервера для загрузки вируса указывается захваченный компьютер. В тело червя заложена возможность DoS-атаки на некоторые хакерские сайты.
Компания Cisco признала две ошибки в своих продуктах, которые позволяют перехватить защищенное соединение по IPSec VPN. Первая ошибка связана с тем, что пользователь, просматривая память VPN-клиента, может найти в ней групповой пароль, который хранится в открытом виде. Для этой ошибки уже появилось несколько эксплойтов. Дальше злоумышленник может выступить в качестве посредника при общении VPN-клиента с VPN-сервером, если для обмена ключами использовался перехваченный ранее пароль. Исправлений для данных ошибок нет - в качестве меры предохранения Cisco рекомендует разворачивать систему PKI и использовать ее для организации подключения удаленных клиентов к VPN.
Обнаружено несколько ошибок в ядре Linux, связанных с файловыми системами. Одна из них найдена в реализации систем JFS, XFS и EXT3. Она позволяет локальному пользователю, имеющему права прямого доступа к устройствам хранения, получить в свое распоряжение сохраняемые этими системами некоторые внутренние данные, такие как ключи шифрования. Вторая ошибка обнаружена в реализации ссылок в файловой системе ISO9660, которая используется для CD-ROM. Используя брешь, нападающий имеет возможность с помощью специально подготовленного CD-ROM исполнить на атакуемой системе любой код. Разработчики дистрибутивов Linux уже опубликовали необходимые исправления для устранения ошибок.
Компания MandrakeSoft официально выпустила десятую версию своего дистрибутива Linux. Он основан на ядре 2.6.3, в качестве графической оболочки использует KDE 3.2. В комплект включен браузер Mozilla 1.6 и пакет офисных приложений OpenOffice 1.1. В дистрибутиве штатно поддерживаются интерфейсы USB2, IEEE 1394 и SATA, усовершенстовованы механизмы поддержки работы в многопроцессорных конфигурациях и на процессорах с технологией HyperTheading. Кроме того, появилась поддержка аутентификации по протоколам LDAP и NIS. Дистрибутив поставляется в трех вариантах: Discovery, PowerPack и PowerPack+. В пробной версии с дистрибутивом можно было около месяца тому назад - она вышла под названием Mandrake 10.0 Community Edition.
Иранский исследователь Арман Найери опубликовал два эксплойта для организации DoS-атак против Microsoft Outlook Express и Internet Explorer. Ошибка работы с указателями в Outlook возникает при обработке EML-файла, если в нем указано поле Sender, но нет поля From. При обработке такого файла Outlook аварийно завершает свою работу. Вторая ошибка найдена в IE - возникает она при обработке изображения в формате BMP. Злоумышленник может составить такой BMP-файл, при обработке которого IE поглотит всю оперативную память компьютера. Автор предупредил Microsoft о найденных ошибках еще три месяца назад. Другой исследователь, Бен Гарвей, обнаружил в IE еще одну ошибку, которая позволяет без разрешения напечатать Web-страницу, - ошибка, очень полезная для рекламных целей. Исправлений для этих ошибок Microsoft еще не опубликовала.
Опубликован метод организации локальной DoS-атаки на ОС Linux. Проблема возникает в многопоточных приложениях: когда потоку посылается сигнал с номером 33 (SIGRT_1), то при определенных условиях он становится "зомби", который невозможно удалить списка потоков. С помощью такой ошибки локальный пользователь может реализовать классическую DoS-атаку, исчерпав ограничения по количеству одновременно запущенных процессов. Хотя в Linux 2.6 используется другой механизм планирования процессов, но возможность такой атаки все еще остается.
Корпорация Microsoft опубликовала исправления к двадцати ранее найденным ошибкам в разных продуктах. В частности, 14 ошибок найдено в различных службах Windows, из которых шесть признаны критическими, и четыре - в RPC/DCOM (одна критическая), по одной критической ошибке есть также в Outlook Express и Jet Database Engine. Найденные ошибки создают условия для появления новых типов вирусов, которые будут распространяться через изображения (Metafile Vulnerability), обращения к help-файлам (Help and Support Center Vulnerability) и даже через подсистему VoIP (H.323 Vulnerability). Рекомендуется установить исправления для всех опубликованных ошибок. Шесть из обнародованных ошибок были найдены компанией eEye Digital Security, причем самая первая из них была обнаружена в сентябре прошлого года.
Компания Cisco признала существование двух ошибок в созданном ею оборудовании. Первая связана с продуктом IPSec VPN Services Module, работа которого может быть аварийно прервана с помощью специально подготовленной последовательности Internet Key Exchange (IKE) пакетов. В результате удаленный пользователь может привести к аварийной остановке и перезагрузке маршрутизатора или коммутатора, на котором используется данный продукт. Уязвимыми являются коммутатор Catalyst 6500 Series Switch и маршрутизатор Cisco 7600 Series Internet Router. Другая ошибка найдена в продукте Cisco Wireless LAN Solution Engine версий 2.0, 2.0.2, 2.5 - в нем есть встроенная учетная запись, которую администратор не может удалить, но которая дает удаленному пользователю возможность получить полный контроль над приложением. Чтобы не пострадать от найденных ошибок, рекомендуется обновить соответствующее программное обеспечение.
Молдавская компания "Декарт", специализирующаяся на производстве ПО для управления идентификационной информацией и шифрования данных, вышла на российский рынок, где ее представителем стала компания Bristol. Одним из флагманских продуктов "Декарт" является система Logon для трехфакторной идентификации по USB-ключу или смарт-карте, PIN-коду и отпечатку пальца. При этом сигнатура отпечатка пальца хранится на USB-ключе, то есть для аутентификации по отпечатку не требуется подключения к серверу. Система поддерживает все ключи, распространяемые на территории России: "РуТокен" от "Актив", iKey от Rainbow, eToken от Aladdin и CryptoIdentity от Eutron, а также множество смарт-карт.