Информационная безопасность компьютерных систем и защита конфиденциальных данных
Статьи

Уязвимость SVN: Полгода спустя

автор: Administrator | 18 февраля 2010, 20:45 | Просмотров: 7094
теги: Статьи, Безопасность, SVN, уязвимости, веб-сайт, исходные коды, защита информации

В продолжение работы, которую пол-года назад проделали компания 2Товарища и Антон Исайкин, мы (aldonin и dasm32) решили провести сканирование 1000000 самых популярных сайтов современного Web-а, начиная от google.com и заканчивая wordpress.com.

Мы использовали Perl для написания сканера. Первая его версия не использовала богатые возможности по созданию и использованию потоков. Но когда в течении 3х дней в результате было просканировано всего лишь 25% сайтов — жалкие 250000, срочно был поднят вопрос о повышении производительности :)

После небольшой, но неоценимой помощи товарищей с perlmonks.org многопоточность была вполне задействована, и всего за день была проверена остальная часть имеющейся у нас базы.

Результаты, конечно же, нас удивили.
Было обнаружено около 4500 (точнее — 0.43%) сайтов с вышеуказанной «уязвимостью». Процент оказался даже несколько выше, чем у 2Товарищей и Антона Исайкина. Среди них оказалось очень много крупных и популярных порталов и сервисов, имена и адреса которых мы не будем публиковать, последуя принципу авторов, обнаруживших этот аспект невнимательности многих веб-мастеров и администраторов.

Также за время сканирование на наш сервер было прислано всего одно гневное письмо от одного немецкого сайта, в котором, кстати, было написано, что мы «нагружаем» их веб-сервер :)). Одним жалким запросом. Ну да ладно.
Статьи

Война ботов, или как зарабатывают киберпреступники?

автор: Administrator | 17 февраля 2010, 13:42 | Просмотров: 6127
теги: Статьи, Zeus, Spy Eye, боты, трояны, киберпространства, HTTP, персональные данные

Мы уже давно наблюдаем за развитием ситуации, связанной с вредоносной программой Win32/TrojanDownloader.Bredolab, в народе известной больше, как Zeus bot, или еще проще — Зевс. Это довольно успешное вредоносное поделье (не поворачивается язык назвать это продуктом) вирусописателей, уже давно прижилось на рынке злонамеренных программ, и пользуется большой популярностью среди киберприступников.

Ресурс ZeuS Tracker до сих пор фиксирует большое количество активных центров управления, созданных благодаря распространению данного троянца. Каждый такой центр может управлять огромным количеством ботов. Но чтобы не концентрировать в одном месте управление большим ботнетом, злоумышленники дробят его на несколько более мелких, на случай, если один из них выйдет по каким-либо причинам из строя.
Статьи

От BackDoor.Tdss.565 и выше (aka TDL3)

автор: Administrator | 16 февраля 2010, 11:47 | Просмотров: 11918
теги: Статьи, BackDoor.Tdss.565, TDL3, троян, Безопасность, троянец, руткит, драйверы, автозапуск

Инсталляция
Уже с первых минут знакомства данная вредоносная программа начинает преподносить сюрпризы. Например, на этапе инсталляции используется оригинальный способ внедрения в системный процесс. Способ документированный, но ранее ни в одном вирусе не применявшийся. Это позволило обойти (обмануть) большинство поведенческих анализаторов и безнаказанно инсталлировать свой драйвер.

Теперь инсталляция продолжается уже в режиме ядра. Руткит проходит по стеку устройств, обслуживающих системный диск, и определяет соответствующий драйвер - свою будущую жертву для заражения. На какой именно модуль упадет выбор, зависит от конфигурации оборудования. Так, например, для системы, где системный диск имеет IDE- интерфейс, это будет atapi.sys, а в другой системе им может оказаться iastor.sys. Инфицирование драйверов файловой системы, сетевых драйверов и даже самого ядра уже не раз встречалось (BackDoor.Bulknet, Win32.Ntldrbot, Trojan.Spambot и т.д.) для обеспечения автозагрузки, и данный случай не является исключением.

Стоит отметить, что размер зараженного файла не изменяется, так как код вируса перезаписывает часть секции ресурсов. Причем код этот совсем небольшой - 896 байт (в более поздних версиях уже всего 481 байта) и представляет собой загрузчик основного тела руткита. При этом меняется точка входа, обнуляется ссылка на подпись драйвера и пересчитывается новая контрольная сумма файла. Адреса API-функций, необходимых этому загрузчику во время заражения, фиксируются в его теле в виде RVA. С одной стороны, это позволило существенно сократить его размер, а с другой - затруднить исследование зараженного драйвера на системе с другой версией ядра.

Затем вирус оценивает размер диска и выделяет для себя небольшой участок (24064 байта) с конца диска, где будет храниться основное тело руткита. Фактически, основным телом руткита становится часть драйвера, который занимается инсталляцией, но уже в виде бинарных данных, а не исполняемого образа. Этот блок начинается с маркера 'TDL3', далее следует 896 байт оригинальной секции ресурсов из зараженного драйвера. Там же, в конце диска, организуется отдельный виртуальный диск для компонентов пользовательского режима и файла конфигурации. Очень похоже, что на этот шаг авторов вдохновил BackDoor.Maxplus, который также создавал отдельное виртуальное устройство-диск для внедряемых компонентов. Подробнее об этом будет рассказано ниже.

В более поздних версиях (BackDoor.Tdss.1030) оригинальные данные ресурсов и само тело руткита сохраняются уже непосредственно на скрытом шифрованном диске в файлах rsrc.dat и tdl соответственно, что позволяет заметно облегчить возможность его обновления. После завершения инсталляции драйвер возвращает ошибку STATUS_SECRET_TOO_LONG (0xC0000154), что на самом деле информирует компоненты пользовательского режима об успехе, а систему заставляет выгрузить уже не нужный драйвер.
Обзор

Glary Utilities Pro 2.19 — обзор + пожизненный лицензионный ключ в подарок

автор: Administrator | 16 февраля 2010, 05:56 | Просмотров: 31231
теги: Статьи, обзор, Glary Utilities, утилита, защита компьютера, оптимизация, Безопасность, Сервис

Glary Utilities Pro — это функциональный набор системных твикеров и утилит, для тонкой настройки, повышения общего уровня производительности и защиты ПК. Данное приложение позволяет пользователю избавиться от ненужных файлов, от устаревших регистрационных записей и истории Интернет-активности (посредством установки различных плагинов, можно добиться полной совместимости данного приложения с более чем 45 различным программами).

При помощи Glary Utilities Pro, пользователь также может управлять (в том числе и удалять) различными модулями, используемыми для расширения функциональных возможностей браузера, производить анализ эффективности использования дискового пространства и поиск существующих копий определенных файлов.

Более того, Glary Utilities Pro оптимизирует процесс использования системной памяти, осуществляет поиск, а также исправление или удаление неработающих ярлыков, редактирование списка программ, загружающихся вместе с операционной системой, и удаление указанных приложений. Также поддерживаются функции поиска пустых директорий и удаления файлов, без возможности их последующего восстановления.

В этой статье Вас ждет:
# Описание программы
# Системные требования
# Установка программы
# Возможности программы
# Бесплатный пожизненный ключ, стоимостью $39.95
Статьи

Файлы «cookie»: часто задаваемые вопросы

автор: Administrator | 11 февраля 2010, 01:26 | Просмотров: 35482
теги: Статьи, cookie, куки, веб-сервер, браузер, обозреватель, компьютер, данные, HTTP-запрос

Cookies (куки) — небольшой фрагмент данных, созданный веб-сервером и хранимый на компьютере пользователя в виде файла, который веб-клиент (обычно веб-браузер) каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта. Применяется для сохранения данных на стороне пользователя, на практике обычно используется для:
  • аутентификации пользователя;
  • хранения персональных предпочтений и настроек пользователя;
  • отслеживания состояния сессии доступа пользователя;
  • ведения статистики о пользователях;

Далее приведены ответы на некоторые распространенные вопросы о файлах «cookies»:
  1. Для чего используются файлы «cookie»?
  2. Можно ли заблокировать или удалить файлы «cookie»?
  3. Следует ли блокировать все файлы «cookie»?
  4. Что такое временные файлы «cookie»?
  5. Что такое постоянные файлы «cookie»?
  6. Что такое основные файлы «cookie»?
  7. Что такое сторонние файлы «cookie»?
  8. Приватность и сторонние куки
  9. Заблуждения
Обзор

Обзор бесплатного антивируса Avast! 5

автор: Administrator | 10 февраля 2010, 03:29 | Просмотров: 18497
теги: Статьи, обзор, бесплатный антивирус, Avast, Безопасность, Windows, защита от вирусов

Avast! 5 Free Antivirus — на сегодняшний день один из лучших бесплатных антивирусов в мире, к тому же специально разработанный для использования на домашних компьютерах. Продукт потребляет минимальное количество ресурсов и практически не оказывает негативного влияния на скорость загрузки операционной системы и общую производительность компьютера. Он получил совершенно новый более удобный и понятный интерфейс, который обеспечивает быстрый доступ ко всем параметрам программы.

Значительным усовершенствованием в Avast! 5 Free Antivirus является поддержка механизмов эвристического анализа, которые позволяют выявлять большее количество новых модификаций вредоносных программ. Также Avast! 5 Free Antivirus укомплектован механизмами обнаружения потенциально нежелательных программ и новым компонентом Code Emulator, способным идентифицировать вредоносный код, для упаковки которого использовались неизвестные ранее упаковщики.

В данном обзоре эксперты расскажут о новейшей версии очень популярного домашнего антивируса Avast! 5 Free Antivirus от компании ALWIL Software:
1. Системные требования
2. Обзор продукта
3. Выводы
Статьи

Когда можно доверять веб-сайту?

автор: Administrator | 29 января 2010, 04:28 | Просмотров: 8372
теги: Статьи, Безопасность, сертификат, безопасные транзакции, доступ, кредитные карты, HTTPS, HHTP

Возможность доверять веб-узлу зависит отчасти от того, кто является издателем веб-узла, какие сведения пытается получить веб-узел и как пользователь будет использовать веб-узел. Если пользователь не уверен, что веб-узлу следует доверять, можно попробовать ответить на следующие вопросы:
1. Вы посещаете защищенный веб-узел?
2. Сертифицирован ли данный веб-узел сертифицирующей интернет-организацией?
3. Принадлежит ли веб-узел хорошо известной компании или организации?
4. Запрашивает ли веб-узел личные сведения?
5. Есть ли на веб-узле розничного магазина контактные данные, позволяющие связаться с сотрудниками магазина по телефону или по почте?
6. Если веб-узел вам неизвестен, существуют ли какие-либо дополнительные сведения, которые могут помочь в принятии решения?
7. В каких случаях не следует доверять веб-сайту?
Статьи

Как оценить безопасность интерактивной транзакции в Internet Explorer

автор: Administrator | 28 января 2010, 23:56 | Просмотров: 6238
теги: Статьи, Internet Explorer, безопасные транзакции, Безопасность, сайт, браузер, сертификат

Здесь приведены ответы на некоторые типичные вопросы об интерактивных транзакциях:
1. Что такое безопасное подключение?
2. Являются ли безопасные подключения закрытыми?
3. Каковы признаки безопасного подключения?
4. Почему строка состояния безопасности меняет цвет?
5. Требуется ли обновлять учетные записи в Интернете для использования сертификатов высокой надежности (EV)?
6. Что делать, если данный веб-сайт, возможно, пытается выдать себя за другой?
7. Если веб-сайт поддерживает безопасные транзакции, означает ли это, что он безопасен?
8. Как повысить безопасность интерактивных транзакций?
9. Что означает наличие безопасного и небезопасного (смешанного) содержимого?
Статьи

Фильтр фишинга Internet Explorer: вопросы и ответы

автор: Administrator | 26 января 2010, 05:11 | Просмотров: 13040
теги: Статьи, Internet Explorer, фильтр, фишинг, вопросы и ответы, Безопасность, обозреватель

Ниже приведены ответы на некоторые распространенные вопросы о фильтре фишинга Internet Explorer:
- Что такое фишинг
- Что такое фильтр фишинга и как работает его защита?
- Какую информацию фильтр фишинга отсылает в корпорацию Майкрософт?
- Включен ли фильтр фишинга постоянно?
- Как проверить веб-сайт вручную?
- Что означает отметка веб-сайта в качестве подозрительного?
- Что означает: веб-сайт помечен как обнаруженный поддельный?
- Один из посещаемых сайтов был помечен фильтром фишинга, но он не является поддельным. Что можно сделать?
- Как сообщить о поддельном веб-сайте?
- Следует ли доверять веб-сайту, рекомендующему пропустить предупреждение фильтра фишинга?
- Каким образом фильтр фишинга избегает ошибочной идентификации веб-сайтов как поддельных?
- Можно ли создать пользовательский список надежных сайтов для фильтра фишинга?
- Почему Internet Explorer сообщает, что служба фильтра фишинга недоступна?
- Как отключить фильтр фишинга?
- Как снова включить фильтр фишинга?
- Каковы способы защиты от фишинга в Интернете?
- Что делать, если личная или финансовая информации была введена в форму на поддельном веб-сайте?
- Что делать пострадавшему от мошенничества в Интернете?
Обзор

Обзор программного комплекса COMODO Internet Security 4

автор: Administrator | 19 января 2010, 18:57 | Просмотров: 65675
теги: Статьи, обзор, COMODO, Internet Security, Безопасность, firewall, антивирус, Sandbox, защита

Не секрет, что 10 января на сайте компании COMODO Group, появилось официальное сообщение, которая порадовала многих — разработчики объявили, что бесплатный программный комплекс Comodo Internet Security 4.0 будет доступен для скачивания в феврале этого года.

В новой версии COMODO Internet Security, для обеспечения более высокого уровня защиты, реализованы новые функции, улучшены старые, а также удалены ненужные, и, самое важное, добавлена новая технология — «Sandbox» (песочница), которая "умеет" виртуализировать файловую систему и реестр.

Чтобы настроить песочницу, нужно открыть программу, перейти в раздел:
Defense+ —> Sandbox —> Sandbox Settings

Здесь можно отключить или включить:
1. технология Sandbox;
2. виртуализация файловой системы;
3. виртуализация реестра;
4. автоматически запускать в песочнице неизвестные приложения;
5. автоматически обнаружить инсталляторы и не запускать их в песочнице;
6. автоматически отправить/получить данные о неизвестных приложениях;
7. автоматически доверять файлам доверенных инсталляторов;
Сравнение

Сравнение продуктов PandaLabs: Antivirus for Netbooks, Antivirus Pro 2010, Internet Security 2010 и Global Protection 2010

автор: Administrator | 3 января 2010, 02:56 | Просмотров: 8383
теги: Статьи, Panda, Antivirus for Netbooks, антивирус, сравнение антивирусов, защита, Безопасность

Не так уж давно, известная антивирусная компания, Panda Security, специализирована в производстве систем для обеспечения информационной безопасности — выпустила новую серию анти-вредоносных продуктов:
» PANDA Antivirus for Netbooks
» PANDA Antivirus Pro 2010
» PANDA Internet Security 2010
» PANDA Global Protection 2010


Так как различия между продуктами — минимальные, часто, пользователи не могут понять, в чём разница между этими продуктами. Для того чтобы избежать такие ситуации, представляю таблицу сравнений, в которой кратко приведены основные сведения...