Статьи

Полиморфные макровирусы радикально изменяют свой код с каждым новым шагом «размножения», что позволяет им избегать обнаружения антивирусными сканерами. Это может достигаться изменением ключа шифрования или самого криптографического механизма, изменением последовательности инструкций, или другими подобными изменениями в поведении вируса. Данная статья - первая из двух частей, в которых будет  приведен краткий обзор использующихся полиморфных стратегий в мире макро-вирусов. Первая статья, в основном, посвящена некоторым более ранним примерам полиморфных технологий.

Большинство программ межсетевых защит используют таблицы состояния, чтобы определить, принадлежит ли данный пакет существующему сеансу между двумя хостами на противоположных сторонах межсетевой защиты. Если новые записи добавляются в таблицу состояния быстрее, чем межсетевая защита удаляет их, таблица, в конечном итоге, заполнится до отказа. Когда это произойдет, большинство межсетевых защит откажутся принимать входящие пакеты, которые не соответствуют существующим сеансам.

Существуют некоторые несоответствия в реализациях TCP/IP протокола в различных операционных системах. Эта особенность в течение долгого времени используется для снятия отпечатков операционной системы, однако до сих пор никто не исследовал воздействие на защиту различных TCP/IP выполнений. Пауль Старзетз провел несколько экспериментов с открытой семантикой TCP/IP-соединений, которая очень важна для безопасности сетевых систем. Обнаруженные недостатки могут воздействовать на работу межсетевых защит и пакетных фильтров, и могут приводить к серьезным проблемам защиты.

Рассмотрим обычную ситуацию: вы работаете в крупной российской компании в удобно расположенном центральном офисе с системой центрального кондиционирования и другими благами цивилизации. В ваши обязанности входят все вопросы работы компьютеров, серверов, в том числе, естественно, и вопросы компьютерной безопасности. Коллектив попался хороший, зарплата достойная. Все бы хорошо, но ваша компания имеет удаленный IIS Web сервер. Может быть, даже в другом городе, на расстоянии этак километров в пятьсот от вашего любимого офиса. Сеть, в принципе, устойчива, да и вопрос цены для вашего руководства является важным, но не первостепенным.

Обычно трояны используют TCP или UDP соединения между своими клиентской и серверной частями. Любой файрволл между хакером и жертвой, блокирующий входящий трафик, обычно предотвращает работу троянов. Некоторое время существовало ICMP-туннелирование, но если вы заблокируете на файрволле ICMP, вы обезопасите себя от этого. В этой статье описана другая концепция, называеvая ACK-туннелированием. ACK-туннелирование работает через файрволлы, которые не имеют в своих наборах правил TCP ACK сегментов (к этому классу файрволлов принадлежат обычные фильтры пакетов).

+ выбор режима реакции на подозрительную ситуацию:
(1) - оповестить и игнорировать атаку
(2) - оповестить и прописать IP как статический
(3) - оповестить и заблокировать IP
+ при атаке выводится сообщение "cached haddr: ... twin haddr: ...", детализирующее ситуацию

Уже давно известна уязвимость протокола ARP к атаке, получившей название arpoison. Атака позволяет перенаправлять данные, предназначенные одному компьютеру в локальной сети, на другой. Это широко используется, особенно в атаках типа Man in the Middle, позволяющих перехватывать информацию, передаваемую по "защищенным" протоколам: ssh, ssl, https. arp_antidote - средство для активной борьбы с атаками типа arpoison (arp spoofing), используемых для осуществления MitM-атак утилитами типа ettercap.

Большинство здравомыслящих пользователей ПК используют сейчас антивирусное ПО при работе на своих компьютерах. Однако большинство пользователей не знает, как работает антивирусное ПО. Эта статья содержит краткий обзор антивирусного механизма, известного как антивирусные сканеры «при обращении». Эти программы запускаются при загрузке системы и работают в фоновом режиме до выключения системы. В мире Microsoft Windows, на который ориентирована эта статья, они должны работать надежно и быстро, независимо от особенностей Windows.

Корректные действия по устранению последствий инцидентов в компьютерной безопасности стоят на втором месте по важности, уступая лишь превентивным мерам по предотвращению этих инцидентов. Неправильная обработка, или сбор имеющейся информации может нанести непоправимый вред исследованию. Исследователи должны хорошо знать, какую информацию они намерены собирать, а также какие инструменты они могут использовать, и какое влияние окажут эти инструменты на саму систему.

Windows ICF (Internet Connection Firewall – файрволл интернет-соединений) встроен в Windows XP (и в Home, и в Professional). Это действительно превосходный файрволл, который предотвратит большинство атак из Интернет. Однако, недостаточные возможности настройки ограничивают его использование опытными пользователями. В этой статье мы дадим обзор ICF, посмотрим, как он действует при моделируемой атаке, и обсудим все плюсы и минусы ICF.

Можно возразить, что быстродействие и автоматизация являются наиболее ценными составляющими любых технологий. Нет сомнений, что современные электронные устройства позволяют нам сделать значительно больше за короткое время. Действительно, мы пользуемся программным обеспечением, чтобы избежать монотонной работы и сократить время работы, быстро просмотреть информацию. С другой стороны, мы знаем, что взломщики - умны..., но ленивы. Поэтому не удивительно, что они используют те же технологии, чтобы уменьшить количество рабочих входов. Чего же они достигли? Придуман тип вредных программ известный, как авторутер.

Цель этой статьи состоит в том, чтобы определить, что такое виртуальные honeynets, какие существуют их разновидности, как их развертывают. Виртуальный honeynets использует технологии honeynet, и комбинирует их на отдельной системе. Это делает их более дешевыми, более простыми для развертывания и обслуживания. Однако, как можно и было ожидать, не бывает получения многочисленных преимуществ без каких-либо недостатков, и виртуальные honeynets не являются исключением. В любом случае, именно будущим пользователям решать, какой метод является лучшим в их условиях и именно для их операционных сред. Так или иначе, желающие могут «открыть охоту на хакеров» или по долгу службы, или просто ради спортивного азарта.

За последние несколько лет honeynets достигли неплохих результатов в качестве механизма защиты, позволяющего узнавать все об инструментальных средствах, тактике, и мотивах хакеров. На сегодняшний день эта информация особенно важна  для лучшего понимания имеющихся тенденций в области компьютерной безопасности и организации защиты от окружающих нас угроз. Успех проекта Honeynet Project показал новую возможность – создание виртуальных honeynets. Эти фиктивные компьютерные сети и системы обладают большинством преимуществ традиционных honeynets, но выполняются на единственной, отдельно взятой машине, что делает виртуальные honeynets дешевыми, простыми для развертывания, легко поддерживаемыми и контролируемыми.

Положительный возврат инвестиций (ROI - return on investment) в системы обнаружения вторжения (IDS - intrusion detection systems) зависит от стратегии организации и от того, насколько хорошо применение и управление этой технологией помогает организации в достижении поставленных тактических и стратегических целей. Инвестиции организаций, желающих рассчитать пользу от IDS до ее установки, напрямую зависят от их возможности продемонстрировать положительный ROI. Как правило, трудно рассчитать ROI для устройств сетевой безопасности, в частности потому, что сложно точно рассчитать риск вследствие субъективности его измерения. Кроме того, не всегда для учета доступна статистика риска, связанного с бизнесом.

Мировая общественность всполошилась после заявления "эксперта" FOON о том, что все члены семейства Windows содержат неисправимую Design Error, могущую привести к локальной эскалации привелегий вплоть до LocalSystem. Однако НИКАКИЕ Windows Messages НЕ ПРИВОДЯТ к выполнению произвольного кода "сами по себе", в том числе, упомянутый в эксплоите WM_TIMER, который в качестве параметра может принимать адрес любой процедуры.