В Германии был арестован 18-летний студент из Ротенберга Свен Джашан, который обвиняется в создании трех версий червя Sasser. Считается, что он же принимал участие в разработке червей NetSky. Однако уже через три часа после ареста в Internet появился новый вариант Sasser.E. Источник нового вируса пока не установлен: либо его изготовили другие члены преступной группы (здесь опять вспоминают о России), либо те за пятнадцать минут, пока полиция стучала в дверь дома Джашана, он успел отослать в Internet новый вариант червя. Кроме Свена, в Валдшате задержан 21-летний гражданин Германии, который обвиняется в разработке троянских программ Agobot и Phatbot. Кроме того, сообщается, что по подозрению в различных компьютерных преступлениях в Германии задержано еще пять человек.

Оригинал на OSP: http://www.osp.ru/news/events/2004/05/14_02.htm

Связанные записи:
http://www.liveinternet.ru/users/czerro/#post195432
http://www.liveinternet.ru/users/czerro/#post1901490

Ссылки:
for-ua.com: http://for-ua.com/it/2004/05/06/113403.html
utro.ru: http://www.utro.ru/news/2004/05/05/304892.shtml
utro.ru: http://www.utro.ru/news/2004/05/08/305825.shtml
korrespondent.net: http://www.korrespondent.net/main/94088/
utro.ru: http://www.utro.ru/news/2004/05/08/305802.shtml
liga.net: http://www.liga.net/news/show/?id=108409
zdnet.ru: http://zdnet.ru/?ID=448045
utro.ru: http://www.utro.ru/news/2004/05/10/306171.shtml
samaratoday.ru: http://news.samaratoday.ru/showNews.php?id=17250
utro.ru: http://www.utro.ru/articles/2004/05/11/306687.shtml
km.ru: http://www.km.ru/magazin/view.asp?id=23241AF99B9C42D49D79E171C2AAEFC8
bybanner.com: http://bybanner.com/show.php3?id=142
km.ru: http://www.km.ru/news/view.asp?id=1E53EF9D0EAE46269C56B93467F5A3BE
"Компьютераная газета": http://www.nestor.minsk.by/kg/news/2004/05/4051807.html

Демонстрационный диск (Live CD) дистрибутива SuSE Linux 9.1 Personal Edition имеет серьезные проблемы с безопасностью - с его помощью можно проникнуть в компьютер. Дело в том, что конфигурация демо-диска такова, что пароль для пользователя root не устанавливается. В результате удаленный пользователь может подключиться к компьютеру от имени этого привилегированного пользователя и полностью подчинить себе систему. Чтобы избежать такой неприятности рекомендуется использовать обновленную версию демо-дистрибутива - LiveCD 9.1-01.

Оригинал на OSP: http://www.osp.ru/news/comm/2004/05/14_03.htm

Ставропольский провайдер "Таисия-Телеком" предлагает новый бесплатный сервис WebFile для временного хранения больших файлов. Сервис предлагается для тех пользователей Internet, которые не могут переслать файл в качестве почтового вложения. В этом случае можно положить файл в такое временное хранилище и переслать получателю только ссылку. Сервис WebFile позволяет хранить временные файлы объемом до 20 Мбайт в течение 7 дней, но срок можно продлить до 14 дней.

Оригинал на OSP: http://www.osp.ru/news/comm/2004/05/14_01.htm

Линус Торвалдс объявил о выпуске новой версии ядра Linux 2.6.6. В основном изменения связаны с такими процессорными архитектурами как PowerPC, S390, Sparc и ARM. Кроме того, обновлены драйверы файловых систем NTFS, XFS и FAT и поддержка USB и DVB. Также исправлены все найденные ошибки.

Оригинал на OSP: http://www.osp.ru/news/soft/2004/05/14_01.htm

Прошло чуть более двух недель с момента публикации компанией Microsoft исправлений в своих продуктах, а по Internet гуляет новый червь. Первые эксплойты, направленные на эксплуатацию исправляемых ошибок появились практически на следующий день, а в течение последующих двух недель разработчики совершенствовали средства нападения. Получившийся в результате этой работы червь, который назван Sasser, распространяется через ошибку в реализации протокола SSL и не требует никаких действий со стороны пользователя. Он построен по клиент-серверной схеме: проникая на незащищенную машину, он скачивает себя с уже зараженного компьютера по протоколу FTP, а затем запускает FTP-сервер и раздает с него свои экземпляры. По некоторым оценкам этим червем заражены сотни тысяч или даже миллионы компьютеров по всему миру. Впрочем, в самом исправлении, породившем червя, также найдены определенные проблемы с VPN-клиентом от Nortel Networks, так что устанавливать его стоит с осторожностью.

Оригинал на OSP: http://www.osp.ru/news/comm/2004/05/13_03.htm

Связанная запись в днивнике: http://www.liveinternet.ru/users/czerro/#post1901490

Материалы по теме:
lenta.ru: http://lenta.ru/internet/2004/05/02/sasser/
internet.ru: http://www.internet.ru/index.php?itemid=9392
relib.com: http://www.relib.com/news/news.asp?id=2997
mignews.com: http://www.mignews.com/news/technology/world/030504_185533_98340.html
km.ru: http://www.km.ru/news/view.asp?id=9B6AF6C949EF47F88FF7D748AF3186E4
lenta.ru: http://lenta.ru/internet/2004/05/04/sasser/
УАЦ: http://www.unasoft.com.ua/rus/news.php?id=143
for-ua.com: http://for-ua.com/it/2004/05/05/135032.html
km.ru: http://www.km.ru/news/view.asp?id=78DD5C45C35E46FA89FCB0D8155C3CF7
utro.ru: http://www.utro.ru/news/2004/05/05/304497.shtml
itar-tass.com: http://www.itar-tass.com/level2.html?NewsID=776171&PageNum=0
liga.net: http://www.liga.net/news/show/?id=108126
webplanet.ru: http://www.webplanet.ru/news/lenta/2004/5/5/sasser_ua.html
УАЦ: http://www.unasoft.com.ua/rus/news.php?id=144
internet.ru: http://www.internet.ru/index.php?itemid=9401
uinc.ru: http://www.uinc.ru/news/show.php?id=1088
nbsp.ru: http://www.nbsp.ru/news/3350/
uinc.ru: http://www.uinc.ru/news/show.php?id=1107
km.ru: http://www.km.ru/news/view.asp?id=695DB91A5E184E908F103AEC1830E29E
for-ua.com: http://for-ua.com/it/2004/05/05/180031.html
webplanet.ru: http://www.webplanet.ru/news/lenta/2004/5/7/sasser.html
Компьютерная газета: http://www.nestor.minsk.by/kg/news/2004/05/4050711.html
km.ru: http://www.km.ru/news/view.asp?id=C668A6AD300D4CA5A001E1823C2ACAE7
km.ru: http://www.km.ru/news/view.asp?id=9ED9BD1554C34322867E5B7AB0F196E2
Компьютерная газета: http://www.nestor.minsk.by/kg/news/2004/05/4051109.html
lenta.ru: http://lenta.ru/internet/2004/05/10/warm/
ibusiness.ru: http://www.ibusiness.ru/project/safety/33579/
ain.com.ua: http://ain.com.ua/?itemid=244

Немецкая группа Phenoelit объявила об ошибке, найденной в телефоне Siemens S55, которая позволяет рассылать SMS-сообщения без разрешения владельца телефона. Хотя телефон запрашивает разрешение на отсылку SMS-сообщений, но стороннее Java-приложение может перехватить и самостоятельно обработать этот запрос. К сообщению приложен примерный Java-код приложения, которое позволило бы использовать эту ошибку. В сообщении указано, что код действует только на Siemens S55, но для других телефонов он не проверялся. Ошибка создает основу для разработки троянских программ для мобильных телефонов.

Оригинал на OSP: http://www.osp.ru/news/comm/2004/05/05_02.htm
Ошибка в мобильном телефоне

В Web-сервере Apache обнаружилась ошибка работы со старыми, даже не 32-разрядными процессорами. В функции ebcdic2ascii() обнаружилось некорректное преобразование 64-разрядной величины в переменные процессора. Из-за этого возникает переполнение буфера с возможностью исполнения постороннего кода. Опасная функция вызывается из модулей mod_auth, mod_auth3 и mod_auth4. Для этой ошибки распространяется эксплойт, а исправлений - нет, поэтому рекомендуется перенести Web-серверы на более современные процессорные архитектуры.

Оригинал на OSP: http://www.osp.ru/news/soft/2004/04/28_02.htm

Суд города Мюнхена признал справедливым иск создателя iptables/netfilter Гаральда Велте против компании Sitecom Germany, которая специализируется на выпуске телекоммуникационного оборудования. Велте удалось доказать, что в своем беспроводном продукте WL-122 компания использовала код его продукта и тем самым нарушила лицензию GPL. Эта лицензия, в частности, запрещает распространять под другими лицензиями продукты, в которых используется ПО защищенное GPL. Суд запретил компании продавать свои продукты без исходных текстов и самой лицензии GPL. Компании пришлось выполнить требования суда.

Оригинал на OSP: http://www.osp.ru/news/events/2004/04/27_03.htm

Материалы по теме:
Источник: http://www.netfilter.org/news/2004-04-15-sitecom-gpl.html
nixp.ru: http://www.nixp.ru/cgi-bin/go.pl?q=news;n=3807

Компания Red Hat объявила об обнаружении потенциальной ошибки в функции panic(), которая вызывается в случае неразрешимой ситуации, возникшей в ядре Linux. Поскольку функция не возвращает никаких данных, то эксплуатировать эту уязвимость практически невозможно. Вторая ошибка обнаружилась в системе изменения производительности процессора CPUFreq, драйвер которой содержит целочисленное знаковое переполнение буфера. В результате его можно заставить читать и модифицировать любую часть ядра, что может использовать локальный пользователь для внедрения опасного кода. Обе ошибки уже устранены - рекомендуется обновить ядро.

Оригинал на OSP: http://www.osp.ru/news/soft/2004/04/27_01.htm

Британским национальным центром NISCC опубликовано сообщение об архитектурной ошибке в протоколе TCP, которая позволяет внешнему нападающему разорвать уже установленный сеанс с помощью пакета с установленным флажком TCP RST. Для этой атаки уязвимы достаточно много программных продуктов разных производителей, и еекоторые из них уже выпустили соответсвующие исправления. Наиболее опасной является атака на протокол BGP, который используется для обмена маршрутной информацией в Internet. Разрыв сеансов BGP может привести к серьезным проблемам с маршрутизацией, что позволяет устраивать DoS-атаки на целые сети.

Оригинал на OSP: http://www.osp.ru/news/comm/2004/04/23_04.htm

Материалы с других сайтов:
Источник: http://www.uniras.gov.uk/vuls/2004/236929/index.htm
securitylab.ru: http://www.securitylab.ru/44747.html
korrespondent.net: http://www.korrespondent.net/main/93170/
zdnet.ru: http://zdnet.ru/?ID=447317
cnews.ru: http://www.cnews.ru/newtop/index.shtml?2004/04/21/158107
internet.ru/index.php?itemid=9329: http://www.internet.ru/index.php?itemid=9329
ione.ru: http://www.ione.ru/sсripts/events.asp?id=15477
oborot.ru: [url]http://www.oborot.ru/news/2466/19{/url}
"Компьютерная газета": http://www.nestor.minsk.by/kg/news/2004/04/4042807.html

Вирус Netsky.V в новой версии применяет новый способ распространения - теперь он может запуститься без участия получателя. Для этого используются две ошибки. Одна связана с обработкой XML-письма, при которой возникает обращение на удаленный Web-сервер, - эта ошибка была исправлена Microsoft 6 октября прошлого года. Вторая, исправленная 21 марта 2003 года, связана с управлением ActiveX-компонентами. Она позволяет запускать на атакуемом компьютере любой код. Опасное письмо содержит XML-код, который еще до показа содержимого обращается к заращенному вирусом компьютеру и сгружает с него все необходимые компоненты вируса, а затем запускает их при помощи второй ошибки. После запуска вирус устанавливает на порт 5557 собственный Web-сервер, на порт 5556 - FTP-сервер и далее начинает рассылать по всем найденным почтовым адресам письма-ловушки, где в качестве сервера для загрузки вируса указывается захваченный компьютер. В тело червя заложена возможность DoS-атаки на некоторые хакерские сайты.

На сайте OSP: http://www.osp.ru/news/comm/2004/04/20_02.htm

Компания Cisco признала две ошибки в своих продуктах, которые позволяют перехватить защищенное соединение по IPSec VPN. Первая ошибка связана с тем, что пользователь, просматривая память VPN-клиента, может найти в ней групповой пароль, который хранится в открытом виде. Для этой ошибки уже появилось несколько эксплойтов. Дальше злоумышленник может выступить в качестве посредника при общении VPN-клиента с VPN-сервером, если для обмена ключами использовался перехваченный ранее пароль. Исправлений для данных ошибок нет - в качестве меры предохранения Cisco рекомендует разворачивать систему PKI и использовать ее для организации подключения удаленных клиентов к VPN.

Оригинал на OSP: http://www.osp.ru/news/comm/2004/04/20_03.htm

Обнаружено несколько ошибок в ядре Linux, связанных с файловыми системами. Одна из них найдена в реализации систем JFS, XFS и EXT3. Она позволяет локальному пользователю, имеющему права прямого доступа к устройствам хранения, получить в свое распоряжение сохраняемые этими системами некоторые внутренние данные, такие как ключи шифрования. Вторая ошибка обнаружена в реализации ссылок в файловой системе ISO9660, которая используется для CD-ROM. Используя брешь, нападающий имеет возможность с помощью специально подготовленного CD-ROM исполнить на атакуемой системе любой код. Разработчики дистрибутивов Linux уже опубликовали необходимые исправления для устранения ошибок.

Оригинал на OSP: http://www.osp.ru/news/soft/2004/04/19_03.htm

Материалы по теме:
uinc.ru: http://www.uinc.ru/news/show.php?id=1045

Компания MandrakeSoft официально выпустила десятую версию своего дистрибутива Linux. Он основан на ядре 2.6.3, в качестве графической оболочки использует KDE 3.2. В комплект включен браузер Mozilla 1.6 и пакет офисных приложений OpenOffice 1.1. В дистрибутиве штатно поддерживаются интерфейсы USB2, IEEE 1394 и SATA, усовершенстовованы механизмы поддержки работы в многопроцессорных конфигурациях и на процессорах с технологией HyperTheading. Кроме того, появилась поддержка аутентификации по протоколам LDAP и NIS. Дистрибутив поставляется в трех вариантах: Discovery, PowerPack и PowerPack+. В пробной версии с дистрибутивом можно было около месяца тому назад - она вышла под названием Mandrake 10.0 Community Edition.

Оригинал на OSP: http://www.osp.ru/news/soft/2004/04/19_04.htm

Иранский исследователь Арман Найери опубликовал два эксплойта для организации DoS-атак против Microsoft Outlook Express и Internet Explorer. Ошибка работы с указателями в Outlook возникает при обработке EML-файла, если в нем указано поле Sender, но нет поля From. При обработке такого файла Outlook аварийно завершает свою работу. Вторая ошибка найдена в IE - возникает она при обработке изображения в формате BMP. Злоумышленник может составить такой BMP-файл, при обработке которого IE поглотит всю оперативную память компьютера. Автор предупредил Microsoft о найденных ошибках еще три месяца назад. Другой исследователь, Бен Гарвей, обнаружил в IE еще одну ошибку, которая позволяет без разрешения напечатать Web-страницу, - ошибка, очень полезная для рекламных целей. Исправлений для этих ошибок Microsoft еще не опубликовала.

Оригинал на OSP: http://www.osp.ru/news/comm/2004/04/16_02.htm

Опубликован метод организации локальной DoS-атаки на ОС Linux. Проблема возникает в многопоточных приложениях: когда потоку посылается сигнал с номером 33 (SIGRT_1), то при определенных условиях он становится "зомби", который невозможно удалить списка потоков. С помощью такой ошибки локальный пользователь может реализовать классическую DoS-атаку, исчерпав ограничения по количеству одновременно запущенных процессов. Хотя в Linux 2.6 используется другой механизм планирования процессов, но возможность такой атаки все еще остается.

Оригинал на OSP: http://www.osp.ru/news/soft/2004/04/16_02.htm

Корпорация Microsoft опубликовала исправления к двадцати ранее найденным ошибкам в разных продуктах. В частности, 14 ошибок найдено в различных службах Windows, из которых шесть признаны критическими, и четыре - в RPC/DCOM (одна критическая), по одной критической ошибке есть также в Outlook Express и Jet Database Engine. Найденные ошибки создают условия для появления новых типов вирусов, которые будут распространяться через изображения (Metafile Vulnerability), обращения к help-файлам (Help and Support Center Vulnerability) и даже через подсистему VoIP (H.323 Vulnerability). Рекомендуется установить исправления для всех опубликованных ошибок. Шесть из обнародованных ошибок были найдены компанией eEye Digital Security, причем самая первая из них была обнаружена в сентябре прошлого года.

Оригинал на OSP: http://www.osp.ru/news/comm/2004/04/15_01.htm

Материалы по теме:
microsoft.com: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
"Компьютерная газета": http://www.nestor.minsk.by/kg/news/2004/04/4042607.html
rostov.ru: http://www.rostov.ru/news871180
km.ru: http://www.km.ru/magazin/view.asp?id=6BFA7CA88D3C467CB81F3498964B86AE
cnews.ru: http://www.cnews.ru/newsline/index.shtml?2004/04/27/158369
km.ru: http://www.km.ru/news/view.asp?id=9B6AF6C949EF47F88FF7D748AF3186E4

Компания Cisco признала существование двух ошибок в созданном ею оборудовании. Первая связана с продуктом IPSec VPN Services Module, работа которого может быть аварийно прервана с помощью специально подготовленной последовательности Internet Key Exchange (IKE) пакетов. В результате удаленный пользователь может привести к аварийной остановке и перезагрузке маршрутизатора или коммутатора, на котором используется данный продукт. Уязвимыми являются коммутатор Catalyst 6500 Series Switch и маршрутизатор Cisco 7600 Series Internet Router. Другая ошибка найдена в продукте Cisco Wireless LAN Solution Engine версий 2.0, 2.0.2, 2.5 - в нем есть встроенная учетная запись, которую администратор не может удалить, но которая дает удаленному пользователю возможность получить полный контроль над приложением. Чтобы не пострадать от найденных ошибок, рекомендуется обновить соответствующее программное обеспечение.

Оригинал на OSP http://www.osp.ru/news/comm/2004/04/13_08.htm

Молдавская компания "Декарт", специализирующаяся на производстве ПО для управления идентификационной информацией и шифрования данных, вышла на российский рынок, где ее представителем стала компания Bristol. Одним из флагманских продуктов "Декарт" является система Logon для трехфакторной идентификации по USB-ключу или смарт-карте, PIN-коду и отпечатку пальца. При этом сигнатура отпечатка пальца хранится на USB-ключе, то есть для аутентификации по отпечатку не требуется подключения к серверу. Система поддерживает все ключи, распространяемые на территории России: "РуТокен" от "Актив", iKey от Rainbow, eToken от Aladdin и CryptoIdentity от Eutron, а также множество смарт-карт.

Оригинал: на сайте OSP: http://www.osp.ru/news/soft/2004/04/13_02.htm
Сайт компании: http://www.dekart.com

Это дневник Валерия Коржова.
Посвящен он будет, скорее всего, вопросам компьютерной безопасности, Internet и OpenSource.