Сайты Азиатско-Тихоокеанского отдела ООН подверглись взлому на этой неделе, однако на этот раз главные страницы ресурсов не заменяли на политические сообщения, как это произошло две недели назад. Злоумышленники встроили в код страниц невидимые для посетителя плавающие рамки с JavaScript-кодом, незаметно загружающие вредоносный код.

Специалисты Websense предполагают, что в атаке виновна та же группа, которая недавно встроила вредоносный код в ресурсы американской Информационной биотехнологической организации (BIO) и известного индийского банка Syndicate.

Вредоносный код состоит из трояна и клавиатурного шпиона, которые внедряются, используя уязвимости в Microsoft Internet Explorer и Mozilla Firefox. Троян открывает в системе «черный ход», подключая захваченный компьютер к ботнету, а также отсылает найденную конфиденциальную информацию.

Websense обнаружила зараженные страницы на сайтах The United Nation Aids и портале HIV Web Portal в ходе дежурной проверки 600 тыс. веб-сайтов.

Автор множества вредоносных программ типа SymbOS/Appdisabler и SymbOS/MultiDropper – создал WAP-сайт для распространения malware.

Сам автор на главной странице заявляет, что основная миссия WAP-сайта – это сбор всех известных (старых и новых) вредоносных программ для Symbian. Также на «портале» предусмотрен форум, в котором «разработчики» смогут обмениваться опытом и дискуссировать на вирусные темы.

В настоящее время – ресурс предлагает скачать две злонамеренные программы: SymbOS/Romsilly.B и SymbOS/Cardblock.A. Эксперты Avertlabs полагают, что Трояны не получат массового распространения среди пользователей: все вирусы содержатся в защищенных паролем ZIP-архивах.

Уникальность этого сайта в том, что он впервые загружает malware непосредственно в смартфон. То есть, любознательные пользователи больше не нуждаются в ПК, чтобы «подцепить заразу».

Суд вынес приговор в отношении двадцатисемилетнего Кристофера Смита, считающегося одним из самых злостных спамеров.

Специалисты компании Core Security Technologies на открывшейся сегодня в Лас-Вегасе (Невада, США) конференции Black Hat продемонстрировали новый тип атаки на коммерческие базы данных, при помощи которой злоумышленники смогут получать из баз данных закрытую информацию, причем в самой системе управления базами данных или в связующем программном обеспечении может и не быть каких-либо уязвимостей.

Во время демонстрации уязвимости специалисты компании заявили, что в данном случае используется так называемая атака тайминга, техника применяемая для взлома многих криптографических систем.

Новая атака эффективно работает против алгоритма Btree, используемого для создания индексов почти во всех популярных СУБД, например в MySQL или Oracle.

"На сегодня угрозы безопасности касаются в основном ошибок в программном обеспечении или неверной конфигурации сетевого окружения и дополнительного связующего программного обеспечения, поэтому злоумышленники могут получить доступ к данным, так или иначе обойдя систему авторизации и аутентификации" - говорят в Core Security.

Новый же тип атак полностью полагается на наследственные характеристики алгоритмов индексирования данных.

В криптографии, атаки, использующие метод тайминга, представляют собой специальную технику, когда атакующий анализирует время, затраченное программой на выполнение криптографического алгоритма.

Далее, при помощи статистических данных о скорости работы всех используемых алгоритмов хакер из открытых источников получает информацию о том, какой алгоритм используется (на основании данных по времени), а также какая именно криптографическая система развернута. После чего, работа злоумышленника сводится к обнаружению готовых эксплоитов для связки алгоритм шифрования - программа шифрования, либо к созданию собственного "ключа" для этого алгоритма, что более трудоемко, но и более эффективно.

В случае с базами данных подход тот же. Злоумышленник, желающий, например, получить закрытые данные из БД какого-либо сайта, заходит на этот сайт, после чего производит тестовые замеры время выполнения команды Insert, отвечающей за добавление данных в БД. Сделать это можно массой способов, например, написав в форуме сайта сообщения различной длины. Далее сравниваются данные вставки малого и большого объема данных. В результате временнЫх замеров (тайминга) у злоумышленника появляются данные об используемой СУБД и ее версии.

Еще более эффективен метод тайминга в случае одновременной вставки данных различного объема.

В результате получения данных о времени выполнения, можно будет получить информацию о структуре данных и дереве индексов СУБД, после чего задача злоумышленника по получению закрытых данных многократно упрощается.

Еще одна опасность данного метода в том, что обнаружить данную атаку при активном посещении сайта практически невозможно, так как помимо злоумышленника с данными активно работают и легитимные пользователи.

Группа исследователей из Калифорнийского университета взломала систему защиты почти каждой автоматической системы голосования в штате. Взлом системы голосования был осуществлен по инициативе властей штата Калифорния в ходе подготовки к предстоящим президентским выборам 2008 года.

Для проверки защищенности системы голосования исследователям были предоставлены исходные коды и инструкции для программного обеспечения, а также полный доступ к машинам для приема голосов. В результате взломщикам удалось обойти все системы защиты и изменить имена кандидатов в списке претендентов на пост президента США. Так, на смену Бушу, по версии калифорнийских специалистов, могут прийти Бэтмен, Супермен и Доктор Зло.

По результатам работы взломщиков будут проведены усовершенствования системы защиты машин для голосования. Напомним, выборы президента США пройдут 4 ноября 2008 года.

Стоит отметить, что в 2006 году в ходе выборов губернаторов в ряде штатов было отмечено много сбоев в работе автоматических систем для приема голосов. Ряд машин отказывались принимать голоса за определенных кандидатов, а часть аппаратов отдавали голоса избирателей самостоятельно, лишая американцев установленного конституцией права выбирать.

Атака, начавшаяся 16 июля, к пятнице насчитывала уже 120 млн. электронных писем. Вирусы и другой вредоносный код рассылались как во вложениях к письмам, так и в виде ссылок на зараженные веб-страницы, эксплуатирующие уязвимости в браузерах для заражения компьютеров. Впервые в истории «штормовых червей» большинство писем содержали именно ссылки, а не вредоносные вложения. Для заражения компьютеров инициаторы атаки использовали уязвимости в WinZip, ANI, QuickTime и др.

Свое название атака «штормовых червей» получила в январе прошлого года, когда после ураганных ветров в Европе начались рассылки с исполняемыми файлами наподобие video.exe и темами, касающимися стихийного бедствия, например: «230 погибли от шторма в Европе».

На этот раз повод был куда более мирный: получателю спама сообщали о том, что он получил открытку от члена семьи, коллеги, одноклассника и т.д.

По словам старшего менеджера Postini по маркетингу решений Адама Свидлера (Adam Swidler), последняя атака была в пять раз больше, чем самая крупная до этого. «В URL [ведущих на вредоносную страницу] использовались IP-адреса вместо доменных имен, — сказал он. — И мы отлавливали письма по этому признаку». Атака, по его словам, продолжалась 9 дней.

В Краснодаре на выходных и в понедельник отмечались перебои с доступом в интернет в связи с распределенной атакой отказа в обслуживании против местного провайдера «Южная телекоммуникационная компания».

«Приносим извинения за перебои в предоставлении интернет-доступа, вызванные мощной вирусной атакой на сети компании. Подобные действия предпринимаются с целью дезорганизовать работу сети и нанести экономический ущерб провайдеру. Вирусная атака различной степени интенсивности ведется из-за границы, что дает возможность инициаторам скрываться от ответственности», — говорится в заявлении на сайте провайдера.

Провайдер находится под атакой уже почти месяц, однако до сих пор ее интенсивность не приводила к затруднениям в обслуживании пользователей. DDoS-атаки, представляющие собой поток «мусорных» запросов к интернет-сервисам с целью вызвать замедление или остановку их работы, проводятся обычно через зараженные, «зомбированные» компьютеры, объединенные в сеть (ботнет) через IRC-сервер для получения и исполнения команд атакующего.

В Петербурге распространился новый способ лохотрона: технически безграмотных абонентов "Билайна" и МТС легко "разводят" без обещания золотых гор.

Начинается он классически: со звонка на мобильный телефон "жертвы" с неизвестного номера. При этом часто используется "красивый" номер – например, заканчивающийся четырьмя или пятью нулями. Звонящий представляется сотрудником службы поддержки и сообщает "новость", что "действующий диапазон закрывается на профилактику". Чтобы продолжить пользоваться телефоном, абоненту необходимо "перевести аппарат в резервный диапазон" путем набора комбинации цифр.

На самом деле комбинация, которую просят набрать, хоть и выглядит очень похожей на служебную команду, на самом деле является управляющим кодом для услуги "Мобильный перевод", позволяющей моментально перечислить определенную сумму со своего счета на счет мошенника – как правило, аппетиты их ограничиваются $5–10. Получив эти деньги, "лохотронщик" таким же образом переводит их на подставные номера.

Новый способ появился благодаря усилиям СМИ: сегодня практически каждый знает, что необходимость тем или иным способом сообщить код с карточки экспресс-оплаты – верный признак лохотрона. Здесь же неподготовленный абонент (а услуги по переводу денег между счетами появились у операторов относительно недавно) не видит ничего подозрительного, а приходящее после ввода команды SMS-сообщение с просьбой подтвердить перевод порой внимательно не читает.

Сами операторы призывают к бдительности: при возникновении любых подозрений они советуют позвонить в службу поддержки по официально опубликованному номеру и уточнить, что на самом деле происходит и что обозначает тот или иной код. "Абонент всегда может обратиться в абонентскую службу компании, чтобы сообщить о случае мошенничества. Наша компания ведет планомерную работу с этими случаями, способствуя их сокращению", – говорят в "Билайне".

Студент вашингтонской высшей школы Джош Глейзбрук (Josh Glazebrook) был признан виновным в рассылке ложных угроз о взрыве по электронной почте в конце мая — начале июня этого года. ФБР выследило лжетеррориста, вставив в его страницу на MySpace вредоносный код, который собрал информацию, достаточную для обнаружения и ареста.

Высшая школа Тимберлайн (Timberline) начала получать предупреждения о бомбах по электронной почте. «В школе заложены 4 бомбы. Одна — в математическом кабинете, другая — в библиотеке, третья — в главном офисе и еще одна — портативная. Они будут взрываться с интервалом в 5 минут, начиная с 9:15 утра», — говорится в одном из предупреждений. Всего пришло несколько десятков писем.

Суд приговорил Глейзбрука к заключению сроком на 90 дней в тюрьме для несовершеннолетних, компенсации в $8,852 тыс. за меры безопасности, предпринятые пострадавшей школой и запрету использования компьютеров, видеоигр и мобильных телефонов на 2 года. Кроме того, он был исключен из школы.

Злоумышленник создал на MySpace дневник с именем Timberlinebombinfo. ФБР внедрило в страницу программу CIPAV («Подтверждение адреса компьютера и интернет протокола»), которая при посещении автором своего дневника переслала агентам IP-адрес компьютера, MAC-адрес сетевой карты, список запущенных программ, версию ОС, браузера и другие статистические данные. Данные были получены отделом ФБР в Вирджинии. Затем программа переключилась на сбор информации об адресах, используемых злоумышленником, и вскоре он был арестован.

Хакер под псевдонимом Seventhson заявил на сайте Xboxhacker.com об успешном взломе ключа DVD (DVD Key) и защиты по коду региона для Xbox360. Таким образом, мера по ограничению запуска DVD по коду региональных рынков стала неэффективной.

Хакеру удалось расшифровать сигнатуру хранилища ключа, Key Vault, и модифицировать содержимое этой области. В своей работе он использовал наработки других хакеров в области криптоалгоритмов SHA1 и RC4.

В Таиланде через день после принятия нового закона о борьбе в сфере компьютерных преступлений неизвестные взломали сайт министерства информации и связи, сообщает в пятницу национальное информационное агентство ТНА.

Хакеры разместили на главной странице изображения свергнутого премьера Таксина Чинавата и лидера военного переворота генерала Сонтхи Бунъяраткалина - нынешнего главы правящего совета страны.

Также взломщики поместили критику в адрес нынешнего правительства и недавно утвержденного проекта конституции королевства.

Компьютерная атака, отмечает агентство, была совершена всего через день после того, как вступил в силу новый закон о борьбе в сфере компьютерных преступлений, которые могут расцениваться как угроза национальной безопасности.

Согласно принятому в среду закону, полиция имеет право изымать компьютеры в частных домах и офисах, "если имеются основания полагать, что они используются для распространения порнографических материалов или клеветы", - заявил представитель министерства информации и связи.

По данным агентства, сотрудники министерства уже вычислили злоумышленников, но отказались сообщить, где они находятся - в пределах страны или за границей. В случае, если они будут пойманы, им грозит до пяти лет лишения свободы и штраф в 3 тысячи долларов.

Отвечая на вопрос, как нарушителям удалось взломать сайт, представитель министерства информации и связи сказал, что безопасность сайта не идеальна, и в ближайшее время необходимо ее усилить, передает агентство.

С тех пор, как к власти в стране пришли военные, уже закрыто более 45 тысяч сайтов и их число продолжает расти. Противники нового закона считают, что он нарушает право человека на частную жизнь.

Почтового спама в будущем станет меньше, но на смену ему придёт нежелательная реклама в IP-телефонии и видео, заявил бывший спамер на конференции клиентов компании почтовой безопасности IronPort. Спам никогда не прекратится, считает он.

Анонимный спамер, названный X, зарабатывал порядка $350 тыс. в год на своём занятии, а затем отошёл от дел.

«Спам никогда не уйдёт, - уверен X. - Через 20 лет вы не будете получать спам по почте, но появятся другие механизмы доставки. Следующее поколение фильтров столкнётся с видеоконтентом. Как вы собираетесь анализировать mpeg?»

По мнению X, видеоспам появится к 2015 году, а к 2020 станет большой проблемой. «Если вы думаете, что изображения – это проблема, то представьте себе 60-секундную рекламу виагры с частотой 25 кадров в секунду – сейчас нет технологий, которые бы могли это остановить».

Хотя X назвал современные фильтры «очень умными», он считает, что они не способны в полной мере защитить от спам-эпидемий. Наиболее эффективное решение в борьбе со спамом - это создать такие условия, когда спам будет экономически невыгоден. «Содержание ПК в защищённом состоянии поможет уменьшить количество ботнетов, сделать их более дорогими и, таким образом, снизить прибыль. Также необходимо пресекать деятельность тех, кто «питает» индустрию спама: владельцев ботнетов, веб-хостеров и администраторов спамерских форумов».

По словам X, в некоторых ИТ-компаниях существуют инсайдеры, продающие спамерам списки электронных адресов сотрудников.

Это утверждает Microsoft на основе статистики приложения Windows Malicious Software Removal Tool, собранной с 5,7 млн. компьютеров.

С января 2005 г. по март 2006 г. приложение удалило 16 млн. экземпляров вредоносного кода с 5,7 млн. компьютеров в ходе 2,7 млрд. сканирований. Вредоносные программы обнаруживались при 0,32% сканирований, или 1 случай на 311. Хотя конкретный процент зараженных компьютеров не указан, а 5,7 млн. из 270 млн. — это 1 из 47 случаев, общее количество просканированных компьютеров было больше 270 млн., и настоящий показатель зараженности оказался ниже.

По мнению Мэтью Брейвермана (Matthew Braverman), руководителя программы Microsoft по борьбе с вредоносными программами, ситуация улучшается. По подсчетам компании, количество вредоносного кода упало для 41 из 53 семейств за последние 15 месяцев. Для 21 семейства спад составил более 71%. Вместе с тем растет количество случаев комбинирования руткитов с другими видами вредоносных программ. Руткиты были найдены на 14% зараженных компьютеров, и в 20% случаев они были связаны с троянами.

Доклад будет представлен на конференции для пользователей TechEd в Бостоне.

Хакеры признали, что защита iPhone оказалась существенно серьезнее, чем они ожидали. GeoHot, лидер сообщества хакеров, работающих над взломом коммуникатора от Apple, обнаружил модуль, отвечающий за привязку мобильника к оператору, но взломать его не представляется возможным.

GeoHot обнаружил, что блокировка коммуникатора, позволяющая использовать его только в сетях американского оператора AT&T, находится непосредственно в GSM-модуле. Причем, защита проверяет не только уникальный для каждого оператора регистрационный номер SIM-карты, но и код страны. Мало того, программное обеспечение, отвечающее за защиту, имеет собственную уникальную цифровую подпись, что не позволяет его подделать. Последним рубежом защиты коммуникатора является индивидуальный для каждого телефона ключ, отсылаемый оператору при активации. Необходимо отметить, что стандартная блокировка мобильника на определенного оператора сотовой связи ограничивается только проверкой серийного номера SIM-карты.

Напомним, что в начале июля 2007 года хакер DVD-Jon успешно взломал систему активации устройства. Но взломанный таким методом мобильник может быть использован только как плеер и интернет-коммуникатор с большим сенсорным дисплеем.