Веблог

Датские исследователи уязвимостей готовят к выпуску бесплатную мета-систему автоматического обновления, которая поможет держать в тонусе 70-80% приложений, функционирующих на платформе Windows конечного пользователя.

Proof-of-concept проект был выполнен на базе корпоративного сканера непропатченных уязвимостей Secunia Corporate Software Inspector (CSI), интегрированного с сервером обновлений Microsoft Windows Server Update Services (WSUS). В январе технология успешно прошла бета-тестирование и к концу года, как надеются ее авторы, будет реализована в бесплатной версии индивидуального сканера уязвимостей Secunia Personal Software Inspector (PSI). По словам разработчиков, в итоговой системе будет предусмотрена опция дифференцированного отключения функции автоматического обновления.

Идея унификации механизмов автообновления ПО давно витает в воздухе. Согласно результатам исследования [PDF 502 Кб], проведенного Secunia, безопасность пользовательских приложений находится в плачевном состоянии. Согласно статистике компании, половина домашних ПК под ОС Windows оснащены в среднем 66 программами от 22 разных вендоров. Чтобы надежно защищать свой компьютер, 90% пользователей должны ежегодно устанавливать 51-86 патчей, которые закрывают 200-342 уязвимости в программах 9-36 вендоров.

Это означает, что в среднем раз в пять дней один из многочисленных автоматов (сколько вендоров — столько и механизмов обновления) сигнализирует о наличии очередного патча, который следует установить. Даже самые отчаянные фанаты сетевой безопасности не способны уделять столько времени и внимания ликвидации брешей, и компьютер быстро превращается в удобную мишень для интернет-атак.

Несмотря на такое положение вещей, единого механизма обновления для всех штатных и сторонних программ пока на рынке нет. Secunia решила создать прецедент, и если ее попытка окажется успешной, а сторонние производители софта не будут препятствовать внедрению новой технологии, число жертв drive-by атак значительно сократится.

На Twitter запущен сервис Twt.tl, который обеспечит обнаружение, перехват и предотвращение распространения зловредных ссылок в сообществе твиттерян.

Теперь все URL в твит-сообщениях будут проверяться с помощью «черных списков». URL-сканер аналогичен тем, что применяются на других сервисах — таких, как Gmail. Как дополнительная мера безопасности все «чистые» ссылки будут автоматически заменяться короткими. На Twitter теперь работает собственный полнофункциональный генератор сокращенных ссылок (ранее социальный сайт по умолчанию использовал сервис Bit.ly).

Усиление защиты Twitter вызвано повышенным вниманием фишеров и других недоброжелателей к этой социальной сети. Поскольку они внедряют свои ссылки, в основном, в приватные сообщения (direct messages), URL-фильтр пока поставлен только на эту ленту. Проверка производится в фоновом режиме, и пользователь может обнаружить лишь ее результат — короткие ссылки в персональных сообщениях и соответствующих почтовых уведомлениях.

События → IT-образование: «Лаборатория Касперского» в МГУ Юрий Наместников опубликовано 10 мар 2010, 10:51  MSK Сюжеты: Выставки и конференции рейтинг постинга 0

В этот вторник, 2 марта 2010 года Антивирусная школа снова посетила студентов факультета вычислительной математики и кибернетики МГУ. Визит этот был не праздным, а вполне себе деловым: руководитель отдела образования «Лаборатории Касперского» Станислав Шевченко прочитал первую лекцию в рамках спецкурса «Вредоносные программы и антивирусные технологии». Да-да! Вы не ослышались, вернее, вы все правильно прочитали: антивирусная школа дала старт целому курсу лекций для студентов МГУ.

Курс этот тем интереснее, что он разработан и составлен людьми, работающими на острие — сотрудниками отдела антивирусных исследований и отдела образования. К тому же, профессионалы, работающие в ЛК, выступают в этом курсе не только авторами, но и лекторами. Они расскажут студентам о тех предметных областях, в которых им практически нет равных.

Логично, что специалисты антивирусной лаборатории сами читают этот курс, ведь кто ответит на вопросы студентов лучше, чем человек, сталкивающийся с предметом обсуждения ежедневно.

Однако вернемся к Станиславу Шевченко и его вводной лекции. Разумеется, вводная лекция, она на то и вводная, что в начале Станислав рассказал о том, что ожидает слушателей в процессе обучения, о темах, которые будут затронуты в курсе и объяснил схему, по которой студентам и лекторам лаборатории предстоит работать в этом семестре. Кроме того, с удовольствием и интересом были выслушаны ожидания и пожелания самих студентов относительно стартующего курса. Во время работы над лекциями мы постоянно старались исходить из того, что, на наш взгляд, будет интересно студентам, тем приятнее было узнать, что во многом мы не ошиблись и нашим слушателям интересно узнать именно то, о чем мы сами хотели бы им рассказать.

В Испании арестованы трое операторов ботнета Mariposa — многомиллионной зомби-сети, недавно потерявшей управление благодаря целенаправленным действиям борцов за безопасность интернета.

Задержанные оказались местными жителями без криминального прошлого. Не владея особыми хакерскими навыками, они просто приобрели на подпольном рынке готовый комплект для создания ботнета и воспользовались системой теневых сервисов, чтобы монетизировать результаты его функционирования. Согласно законодательству страны, правонарушителям грозит тюремное заключение на срок до шести лет. Расследование идет полным ходом, ожидаются новые аресты. Сумма ущерба, нанесенного этой группировкой, пока не определена, но, по оценкам, исчисляется миллионами долларов.

Ботнет Mariposa специализировался на краже персональных идентификаторов к веб-аккаунтам и банковских реквизитов. Его боевые порядки насчитывают 12,7 млн. IP-адресов, привязанных к ресурсам 190 стран, а среди жертв числятся половина компаний из списка Fortune 1000 и более 40 крупнейших банков. Ботнет появился в Сети в конце 2008 года, а осенью 2009-го попал под прицел канадских экспертов по сетевой безопасности.

Когда выяснилось, что управляющие центры Mariposa находятся на территории Испании, была сформирована интернациональная рабочая группа по оказанию противодействия. Помимо канадцев и американцев, в ее состав вошли представители Panda Security. К концу декабря при содействии хостинг-провайдеров ботнет удалось обезглавить. Один из его операторов попытался восстановить управление сетью через свой домашний компьютер и даже отомстил обидчикам DDoS-атакой, но только обнаружил себя: обычно связь с командными серверами осуществлялась скрытно, через VPN-соединения.

По отзывам экспертов, червь-полиморфик Mariposa (в классификации ЛК P2P- Worm.Win32.Palevo) выполнен с большим профессионализмом и обладает большой эффективностью. Он распространяется через р2р-сети, USB-накопители и системы мгновенного обмена сообщениями. Содержит функционал бэкдора, способен по удаленной команде загружать другие вредоносные файлы — кейлоггеры, банковских троянцев, компоненты для проведения DDoS-атак.

По свидетельству исследователей, червь постоянно видоизменяется, иногда с интервалом в двое суток. На настоящий момент канадские эксперты насчитали более 200 вариантов этого зловреда. Он все еще присутствует на множестве домашних, корпоративных, университетских ПК, и рабочая группа экспертов начала кампанию по их очистке.

Создатель и дирижер хакерского форума Darkmarket проведет под стражей около пяти лет, таково решение британского суда.

33-летний уроженец Шри-Ланки, британский гражданин Ренукантх Субраманиям (Renukanth Subramaniam), известный в Сети под ником Jilsi, управлял своим детищем из интернет-кафе. Крупнейший криминальный ресурс Darkmarket специализировался на купле-продаже краденых банковских реквизитов и хакерского инструментария, а также предоставлял «курс молодого бойца» по взлому аккаунтов, махинациям с кредитными картами и отмыванию денег.

Услугами одиозного сервиса пользовались около 2 тыс. привилегированных участников из Великобритании, Канады, США, России, Турции, Франции и Германии, которые общались друг с другом только в виртуальном пространстве. На форуме соблюдалась строгая конспирация, действовали свой кодекс чести и третейский суд. По оценкам, ущерб от деятельности этого криминального интернет-сообщества измеряется десятками миллионов долларов.

В 2008 году усилиями ФБР Darkmarket был закрыт, а некоторые из его участников и функционеров оказались под арестом, — в их числе и Субраманиям. Он признался в преступном сговоре с целью мошенничества и махинациях с ипотечными кредитами, получив совокупно 4 года и 8 месяцев тюремного заключения. Его «коллега по бизнесу» 66-летний Джон Мак-Хью (John McHugh), поставивший производство поддельных кредиток на поток, был осужден британскими властями на 2 года. Судебного вердикта ожидают еще пятеро соучастников. В рамках процесса проводится также финансовое расследование.