Свежие посты   По годам   По датам
  • 15 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (19/2012)
    Новая неделя и новый обзор от специалистов Fortinet, посвящённый основным событиям информационной безопасности. Обновления, опять обновления и, ну надо же, патчи! Завершившаяся 19 неделя года 7-11 мая ознаменовалась серьёзными обновлениями, выпущенными крупными игроками рынка. Теперь наиболее распространённые операционные системы, web-браузеры и приложения стали чуть более безопасными. Представляем основные новости информационной безопасности за неделю. Три критических обновления во «вторник патчей». В своём регулярном вторничном обновлении по безопасности компания Microsoft представила в общей сложности семь бюллетеней, три из которых получили рейтинг «критический». Всего же было исправлено 23 уязвимости в Microsoft Windows, Office, Silverlight и .NET Framework. В своём блоге Microsoft акцентирует внимание на установке критического обновления MS12-034 для исправления 10 уязвимостей в Office, Windows, .Net Framework и Silverlight. Данные уязвимости подвергали пользователей опасности быть атакованными при открытии заражённого документа или посещении заражённого web-сайта, в которых используются внедрённые файлы шрифтов TrueType. Кроме того, Редмонд рекомендует пользователям повысить приоритет установки патча, исправляющего другую уязвимость в Microsoft Word, также считающуюся критической. Данная уязвимость позволяет хакеру удаленно выполнить вредоносный код, когда пользователь открывает специально подготовленный файл RTF, доставленный ему, например, по электронной почте. Побудить пользователя к открытию файла злоумышленник может при помощи какого-либо метода социальной инженерии. Сайт Amnesty International заражал трояном Ghost RAT. На прошлой неделе сайт организации по борьбе за права человека Amnesty International стал жертвой хакеров, которые внедрили вредоносное программное обеспечение, заражавшее ничего не подозревающих посетителей сайта троянской программой Gh0st RAT. Для заражения хакеры использовали известную уязвимость Java. По словам исследователей из Websense, обнаруживших данную атаку, в код сайта Amnesty International был внедрён Java-скрипт, загружавший Gh0st RAT на «непропатченные» Windows-машины посетителей web-сайта. В случае успешной загрузки и установки троян позволял похищать финансовую, личную и другую конфиденциальную информацию с компьютера жертвы, включая данные учётных записей и пароли к ним. В настоящее время вредоносное программное обеспечение с сайта Amnesty International удалено полностью. Троянец Gh0st RAT, впервые обнаруженный в прошлом году, относится к так называемым Advanced persistent threat (APT), угрозам, включающим в себя многочисленные сложные методы атак. Считается, что Gh0st RAT был создан по инициативе китайских хакеров, известных в частности получившей название "Nitro" атакой на энергетические компании в 2011 году. Adobe пересматривает подход к платам за обновления. Хорошая новость заключается в том, что компания Adobe выпустила на прошлой неделе крупное обновление безопасности, закрывающее, среди прочего, уязвимость в Photoshop 12 (Creative Suite 5) как для Windows, так и для Mac платформ. Проблема же заключалась в том, что пользователям пришлось бы заплатить за это обновление. Описываемая уязвимость возникает при обработке TIFF-изображений и в случае успешной атаки предоставляет злоумышленникам возможность удалённого выполнения вредоносного кода для получения доступа к сетевым ресурсам с правами самого пользователя, открывшего заражённый TIFF-файл. Однако, вместо разработки отдельного патча, компания Adobe сообщила, что исправление будет включено в обновление программного обеспечения до последней платной версии Photoshop CS6. Данное заявление вызвало резко негативную реакцию со стороны пользователей, недовольных тем, что их вынуждают платить за ошибки в программном обеспечении, совершённые самой Adobe, поэтому идя навстречу пожеланиям Adobe сообщила всё же в итоге, что сейчас готовит к выпуску бесплатный патч. Apple выпускает обновления системы безопасности. На прошлой неделе компания Apple выпустила обновление, исправляющее четыре уязвимости в web-браузере Safari и блокирующее запуск старых уязвимых версий проигрывателя Adobe Flash Player. Обновление относится к Safari 5.1.7 для Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X v10.7.4 Lion Server, OS X v10.7.4 Lion, Windows 7, Vista, XP SP2 или более поздней версии. Помимо прочего, последнее обновление от Apple предотвращает доступ к Safari проигрывателя Adobe Flash Player 10.1.102.64 и более ранних версий, так как Adobe уже выпустила Flash Player 11 для Mac. В дополнение к предотвращению запуска старых версий Flash Player в браузере Safari, обновление исправляет четыре уязвимости в WebKit, движке рендеринга с открытым исходным кодом, на базе которого построены и Safari и Google Chrome. Данные уязвимости делали возможными атаки межсайтового скриптинга и вызывали ошибки при работе с оперативной памятью. Одна из уязвимостей, исправленных обновлением, как сообщает Computerworld, была выявлена участником конкурса Pwnium, организованном Google в рамках конференции CanSecWest в марте этого года. Победитель получил денежный приз в $60,000 за успешное использование уязвимости в браузере Chrome. U.S. Computer Emergency Readiness Team предупреждает, что несвоевременная установка обновления может привести к тому, что злоу

  • 11 Мая 2012 » Сертифицированные межсетевые экраны (часть 2)
    В прошлом обзоре сертифицированных межсетевых экранов (напомню, что отбираем только присутствующие в реестре ФСТЭК изделия, сертифицированные серией или крупной партией по требованиям соответствующего руководящего документа ФСТЭК) мы остановились на продукте «ИВК Кольчуга». Итак, судя по описанию на сайте, ИВК Кольчуга представляет собой «программный комплекс, управляемый специально разработанной операционной системой на базе дистрибутива Linux». На практике в моём понимании это обозначает примерно следующее: взяли дистрибутив Linux, накатили нужные пакеты и сертифицировали. Что-то подобное сделал и АльтЭль, только там сразу ещё и аппаратная платформа поставляется. Согласно записям в реестре, ИВК Кольчуга была сертифицирована в 2005 году в двух вариантах: обычном и «ИВК Кольчуга-К». Не знаю как тогда, а сегодня эти варианты предназначены для работы с гостайной и для обработки конфиденциальной информации соответственно. Каждого варианта было сертифицировано по 500 экземпляров (читай – дисков), но уже в 2006 то ли закончились сертифицированные диски, то ли потребовалась сертификация по НДВ (т.е. на отсутствие недекларированных возможностей), но для ИВК Кольчуга был получен очередной сертификат ещё на 500 экземпляров и уже с НДВ. Следующая сертификация была завершена только в августе 2011 года, но теперь уже сертифицирована была серия. В целом, если посчитать число месяцев (с ноября 2005 по август 2011) и число сертифицированных экземпляров (500+500+500), то самый оптимистичный уровень продаж получается около 20 штук в месяц, что, конечно, совсем мало. Не удивительно, что до написания этого обзора про ИВК Кольчуга я вообще не припомню, чтобы слышал. Далее в реестре следует великое множество просроченных уже сертификатов на 1-2 (реже - больше) устройств Cisco PIX на МЭ3/МЭ4 но, естественно, без НДВ. Видимо, на этот период (2005-2006 гг) как раз приходится начало экспансии компании Cisco в госучреждения. Почему «естественно» без НДВ? Дело вот в чём. Сертификация по НДВ означает выполнение требований другого руководящего документа ФСТЭК: Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Четыре уровня контроля (от низшего четвёртого до высшего первого), придуманные ещё в 1999 году, призваны с разной степенью уверенности давать гарантию отсутствия в программном обеспечении (в том числе в прошивках аппаратных устройств) всяческих закладок, чёрных ходов и пр. Такие проверки подразумевают открытие исходных кодов в том или ином объёме. Вот здесь-то и кроется важное конкурентное преимущество российских разработок: крупные мировые компании с большой неохотой идут на предоставление своего исходного кода нашим с вами коллегам из испытательных лабораторий, опасаясь за свою коммерческую тайну и ноу-хау. Отечественным же вендорам, часто вчистую сдувающим разрабатывающим свои продукты на основе открытых (open-source) операционных систем и прикладных пакетов, скрывать особо нечего. Их «ноу-хау» часто заключается в лоббистских возможностях и коррупционных схемах, а вовсе не в уникальных технологиях. Ну, да мы немного отвлеклись. Следующий сертифицированный межсетевой экран, подпадающий под заданные критерии – Cisco PIX 501. Сертификат №1247/1, выданный на их серию заявителю ЗАО “АМТ-Груп”, будет действовать ещё до июля 2013 года, да вот только все PIX’ы давно уже сняты с продаж и поддержки, так что введём ещё один критерий – «немёртвость» сертифицированного межсетевого экрана. Хотя, к сожалению, не всегда сразу можно понять реальную судьбу продукта, особенного отечественного. Некоторые вендоры до последнего не убирают описание с сайта в надежде, видимо, кому-нибудь да продать залежалый товар. Но в случае с Cisco всё проще: снят с продаж обычный PIX, так что и сертифицированного уже не купить, поэтому пропускаем Cisco PIX 506, 515, 525, 535 и добираемся до Cisco ASA. Ещё в далёком 2007 году всё та же компания АМТ-Груп сертифицировала как серии три межсетевых экрана Cisco: ASA-5510, 5520 и 5540 по классу МЭ4 и на соответствие ТУ. Строго говоря, МЭ4 – это потолок, если не раскрывать исходные коды, но, судя по реестру, иногда поставщикам Cisco удавалось находить какие-то компромиссы и получать сертификаты без НДВ, но «по 3 классу для МЭ при ограничениях» или «по 3 классу в соответствии с РД МЭ при ограничениях в ТУ». Вообще, Cisco ASA, похоже, рекордсмен по числу сертификатов. Многие сертифицировали «под проект» собственные «АСЫ» либо не желая платить «монополисту» АМТ, либо в случае потребности в других, менее ходовых, версиях, например, 5505 или 5580. Чуть позже (в 2009-2010) АМТ сертифицировала и другие ASA, став, похоже, окончательным монополистом. Только у Kraftway есть ещё серийный сертификат на 5510, а всего по состоянию на сегодня действуют 7 сертификатов на серии Cisco ASA. Все они представлены в таблице. Продолжение следует…

  • 10 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (18/2012)
    Короткая российская рабочая неделя, заканчивающаяся третьей подряд рабочей субботой, вносит хаос и сумятицу в ряды офисных сотрудников. Попробуем настроиться на рабочий лад чтением очередного обзора от специалистов Fortinet. Тон событиям в области информационной безопасности на этой 18й неделе года задавали множественные уязвимости. Так, компания Adobe исправила критическую ошибку в Flash, а эксперты по безопасности предупредили об обнаруженных «дырах» в PHP. Intel между тем, похоже наконец-то решила, что делать с ранее приобретённой McAfee. Представляем очередной обзор событий информационной безопасности. Adobe выпускает критический патч. Компания Adobe на прошлой неделе выпустила исправление для уязвимости в Flash, которая играла ключевую роль в атаках на Windows-версию Flash, используемую в web-браузере Interner Explorer. В целом, последние обновления безопасности Adobe для платформ Windows, Mac, Linux и Android направлены на исправление уязвимостей, позволявших хакерам удалённо осуществлять DOS-атаки (атаки вида «отказ в обслуживании»), приводившие к сбоям в системах пользователей и позволявшие получать доступ к удалённому управлению компьютерами пользователей для последующей кражи личных данных и информации. Согласно последним распространённым отчётам данная уязвимость активно используется при адресных атаках, когда пользователя обманом с применением методов социальной инженерии заставляют запускать заражённые файлы, присланные по электронной почте. Ошибка в PHP открывает путь для атак. На прошлой неделе U.S. Computer Emergency Response Team предупредила о критической уязвимости в PHP, позволяющей удалённо выполнить вредоносный код, что может рассматриваться как возможный инструмент для проведения атак на web-сайты, использующие уязвимую версию PHP. В частности, уязвимость возникает при обработке параметров строки запроса из PHP-файлов. Когда широко используемый для web-разработок язык сценариев PHP используется в связке с CGI, в исполняемый код передаются параметры строки запросов, которые из-за выявленной ошибки в PHP могут обрабатываться скриптом таким образом, что позволят злоумышленнику совершить удалённую атаку. В случае успешности атаки хакеры могут использовать брешь для получения финансовой или иной конфиденциальной информации, запуска сбоя системы, проведения атаки отказа в обслуживании или выполнения вредоносного кода с привилегиями web-сервера, что даст им возможность взять под свой контроль всю систему целиком. Команда, которая обнаружила ошибку, сообщила, что они ожидали выхода патча для PHP уже в течение нескольких месяцев и не сообщали об уязвимости широкой общественности. Тем не менее, по чьей-то случайности помеченная как «закрытая» ошибка в PHP была перенесена в категорию «публичных» и в конечном итоге была опубликована в Reddit. Google знала о сборе данных автомобилями Street View. Кто бы мог подумать? На прошлой неделе FCC опубликовала доклад, согласно которому Google действительно знала, что её автомобили, разъезжающие по улицам и фотографирующие местность для сервиса Street View, занимались съёмом данных с личных Wi-Fi-маршрутизаторов на протяжении добрых трёх лет до того, как это стало всем известно в апреле 2010 года. Первоначально, в 2007 году, выяснилось, что Google сканировала идентификаторы (SSID) и MAC-адреса, но впоследствии выяснилось, что собиралось больше информации: e-mail адреса и даже пароли. В ходе расследования FCC вскрылось, что один из инженеров Google обсуждал со старшим менеджером вопрос сбора личной информации пользователей из беспроводных сетей street-view-мобилями в период с мая 2007 по май 2010 года. Тем не менее, не доказано, что любопытство Google нарушало законодательство, а FCC пока не может предоставить достаточно доказательств того, что поисковый гигант незаконно использовал собранную информацию. Спустя почти два года Intel раскрывает свои планы относительно McAfee. Intel поделилась планами по встраиванию в свою продуктовую линейку решений компании McAfee, приобретённой ранее, как это впервые было объявлено летом 2010 года, за 7.6 миллиарда долларов. Основное направление интерграции согласно заявлению связано с облачными технологиями. В частности, Intel сообщила, что планирует интегрировать разработку McAfee для управления политиками в физических, виртуальных и облачных средах – ePolicy Orchestrator (ePO) – в собственные устройства обеспечения безопасности, оснащённые Intel Trusted Execution Technology (Intel TXT). Встроенные проверки и управление политиками Intel TXT также могут быть интегрированы с решением Management for Optimized Virtual Environments AntiVirus (MOVE AV), предлагающим набор стандартных защитных механизмов, включающих антивирус, а также средств повышения производительности и эффективности использования виртуальных рабочих станций и серверов. Кроме того, процессорный гигант заявил, что планирует использовать Cloud Security Platform (CSP) от McAfee в целях повышения безопасности при использовании мобильных устройств и центров обработки данных. Предлагаемый функционал защиты будет дополнять Deep Defender – совместная разработка Intel и McAfee, обеспечивающая на аппаратном уровне защиту с использованием встраиваемой в процессоры технологии виртуализации Intel. Deep Defender эффективен при обнаружении угроз, которые трудно выявить традиционными механизмами безопасности операционных систем. Android вновь стал мишенью для атак. Пользователи Android при посещении заражённого сайта могут стать жертвами атаки со стороны вредоносного программного обеспечения, самостоятельно скачивающегося в фоновом режиме. Новая атака, получившая название NotCompatible, реализуется с использованием встраивания IFRAME в заражённые сайты. Автоматически скачанное вредоносное программное обеспечение впоследствии устана

  • 04 Мая 2012 » Отличный сервис по рисованию анимированых gif
    Адрес: http://gifovina.ru/

  • 04 Мая 2012 » Сертифицированные межсетевые экраны (часть 1)
    Сегодня межсетевой экран – это один из немногих компонентов системы информационной безопасности, принуждать приобретать который практически никого не надо. Даже систему предотвращения вторжений уже нужно активно продавать, а, например, до внедрения системы мониторинга событий информационной безопасности некоторые компании и вовсе, что называется, «не доросли». Зато межсетевой экран покупают и крупные компании и небольшие организации, даже домашние пользователи понемногу привыкают к «сетевым экранам», «файерволам» и прочим дополнениям к антивирусам.

  • 02 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (17/2012)
    Пока у нас майские праздники и почти повсеместная расслабленность, злоумышленники не дремлют, как, впрочем, и доблестные борцы с ними =) Представляю очередной перевод обзора событий информационной безопасности от компании Fortinet. Атакам на этой неделе подвергалось буквально всё – от Mac OS X до серверов баз данных Oracle. Тон событиям задавали также проблемы с утечками учётных данных пользователей и процесс принятия спорного законопроекта об обмене информацией. Утечка исходного кода VMware. На прошлой неделе компания VMware подтвердила факт утечки, в результате которой в сети был опубликован исходный код ESX гипервизора, и сообщила, что публикации могут быть продолжены. Ответственность за случившееся взял на себя хакер под псевдонимом Hardcore Charlie, известный также своим заявлением о причастности к взлому сети военного подрядчика China National Import & Export Corp (Китайская Национальная Экспортно-Импортная Компания), совершённому ранее в этом месяце. «Общедоступность исходного кода не обязательно означает, что для клиентов VMware возникли дополнительные риски. VMware всегда активно делилась своими исходными кодами при взаимодействии с другими участниками отрасли с целью расширения области применимости средств виртуализации», - заявил в своём блоге Иэн Малхолланд (Iain Mulholland), директор VMware Security Response Center. Хакер Hardcore Charlie в своём твиттере поделился планами публикации исходных кодов EMC, которыми он по его словам обладает. Microsoft усиливает парольную защиту сервиса Hotmail. Редмондская компания доработала на прошлой неделе службу восстановления паролей почтового web-сервера Hotmail, исправив уязвимость из-за которой опасности подвергались учётные записи более чем 360 миллионов пользователей. Ошибка в программном обеспечении позволяла злоумышленникам, в частности, использовать расширение для браузера Firefox для удалённого сброса пароля от учётной записи Hotmail путём модификации отправляемых данных, а также автоматически распознавать символы защитного механизма CAPTCHA при помощи модуля MSL Live Hotmail. После нажатия кнопки «Reset» хакеры могли подменять запрос и вводить собственные данные в запрос о сбросе пароля. К счастью для 360 миллионов пользователей Hotmail, ошибка была обнаружена и исправлена достаточно быстро. В Microsoft узнали об уязвимости 20 апреля и выпустили обновление уже на следующий день. Широкая общественность об исправлении была информирована ещё в конце прошлой недели. Нижняя палата конгресса США приняла CISPA. Спорный законодательный акт Cyber Information Sharing and Protection Act (CISPA) с 248 голосами «за» и 168 «против» был принят на прошлой неделе Палатой представителей США (The United States House of Representatives), несмотря на негативную общественную реакцию со стороны защитников частной жизни и представителей научных кругов, которые утверждали, что этот акт нарушает неприкосновенность права тайны частной жизни. Законопроект, поддерживаемый такими компаниями как Facebook, AT&T, Intel и рядом других торгово-финансовых и технологических организаций, помимо прочего предоставляет федеральному правительству широкую свободу действий в обмене секретной информацией о киберпреступниках и киберугрозах с компаниями США. Одновременно CISPA устраняет многие ограничения на обмен информацией между самими коммерческими компаниями. Главный сторонник законопроекта и его разработчик Майк Роджерс (Mike Rogers) расценивает случившееся как важный шаг в правильном направлении обеспечения комплексной защиты сетей США от киберпреступников из России и Китая. Тем не менее, противники CISPA, в том числе Центр демократии и технологий (Center for Democracy and Technology), а также Американский союз гражданских свобод (ACLU), называют применительную базу законопроекта «слишком размытой» и утверждают, что он будет использоваться для нарушения свобод и прав на частную жизнь обычных пользователей Интернета. Критические проблемы у Oracle. Критическая уязвимость во всех версиях сервера базы данных Oracle, позволяющая удалённо выполнять произвольный код, остаётся неисправленной до конца даже после выпущенного компанией накануне критического обновления Critical Patch Update (CPU), сообщается в отчётах за прошлую неделю. Из-за ошибки в службе TNS Listener, отвечающей за перенаправление запросов на соединение от клиента к серверу, злоумышленники могут перехватить трафик сервера и выполнить в системе произвольный вредоносный код. Уязвимость, которой подвержены все версии Oracle 8i, 9i, 10g и 11g (11g R2), позволяет получать полный контроль над данными, передаваемыми между сервером и клиентами, подменять сессии пользователей и внедрять в них произвольный код и данные. В апрельском обновлении Oracle уже исправляла ошибки в TNS Listener, но, как выяснилось, исправление не применимо к текущим версиям базы данных Oracle, в результате чего многие пользователи остались беззащитными перед атаками, эксплуатирующими эту уязвимость. Новый вариант Flashback атакует Mac. Очередной вариант троянца Flashback был обнаружен на инфицированных машинах пользователей Mac OS X на прошлой неделе. На этот раз компания Intego, специализирующаяся на разработках по обеспечению безопасности Mac, сообщила о вредоносном программном обеспечении, устанавливающемся на компьютеры пользователей Mac без необходимости ввода пароля. По словам представителей Intego, новая версия Flashback, известная как Flashback.S, копирует себя полностью в одну из домашних папок пользователя, содержащих ~/Library/LaunchAgents/com.java.update.plist или ~/.jupdate, после чего удаляет всё содержимое папки ~/Library/Caches/Java/cache, чтобы стереть вредоносный java-апплет из заражённого Mac и избежать обнаружения себя антивирусными программами. Троянец Flashback,

  • 27 Апреля 2012 » Бесплатные антивирусы для Mac OS X
    Привыкшие жить в безвирусной среде, пользователи Mac OS X внезапно столкнулись с жестокой реальностью, кишащей вредоносным программным обеспечением. Всегда красивые и стильные компьютеры и ноутбуки компании Apple, став популярными не только в среде дизайнеров и получив заметную долю рынка, автоматически превратились в мишень для злоумышленников, а посему антивирусы для Mac OS X, видимо, вот-вот станут такой же обыденностью, коей они являются для платформы Windows. Ну, а если вы пока ещё не решились на покупку антивируса для своего iMac или MacBook, воспользуйтесь бесплатными продуктами для удаления и лечения вирусов в среде Mac OS X. Их краткий обзор предлагаю вашему вниманию. Начать, пожалуй, стоит с утилиты для удаления ставшего уже знаменитым трояна Flashback от самой компании Apple с замысловатым названием Java SE 6 version 1.6.0_31 for OS X Lion 2012-003. Собственно, специально что-то скачивать и устанавливать не требуется - достаточно в главном меню Mac OS X выбрать пункт “Обновление ПО…”. Строго говоря, обновление системы - это то, что и так желательно делать регулярно, ну а если есть желание дополнительно убедиться в чистоте своего “Мака”, то можно прибегнуть к помощи специальных антивирусных программ. Вообще, версия для Mac есть практически у каждого уважающего себя антивирусного вендора, но в данном обзоре рассмотрим только представленные в магазине App Store и распоcтраняемые бесплатно. Присутствие в официальном магазине приложений компании Apple, во-первых, дополнительная гарантия надёжности самого приложения (проверка всех публикуемых приложений - это очень важное преимущество App Store перед, например, Android Marketplace), а во-вторых, это очевидное удобство в установке, что для неискушённых в вопросах “допиливания” операционной системы до рабочего состояния путём установки десятка-другого приложений пользователей Mac является не менее важным. Бесплатными же версиями выбор ограничен из тех соображений, что проблема заражения вредоносным программным обеспечением Mac OS X всё же не так актуальна, как это преподносится маркетинговыми службами антивирусных компаний и на данном этапе платить за антивирус для Mac далеко не обязательно. Всего в App Store удалось найти четыре бесплатных антивируса для Mac и самый, по моему мнению, сомнительный кандидат на установку - VirusBarrier Express. Работает продукт, как и все участники обзора, только в режиме сканирования - проактивной защиты не предусмотрено. К плюсам можно было бы отнести наличие русского языка, но так как текста практически нет, а качество перевода справки оставляет желать лучшего, то преимущество не принципиальное. Разработчик (Intego) мало известен, хотя и позиционирует себя как эксперта со специализацией на защите именно Mac, а сигнатуры обновляются раз в месяц, так что продукт в целом производит впечатление рекламного буклета для своих двух платных “старших братьев” VirusBarrier Plus и VirusBarrier X86. Следующее приложение - ClamXav. Движок используется известный и неплохо себя зарекомендовавший - ClamAV, так что качеству поиска вирусов вполне можно доверять, но вот интерфейс какой-то уж совсем неказистый, хотя и простой. Третий участник обзора - Dr.Web Light. Продукт российской компании набрал в App Store на удивление много негативных отзывов: и про неприлично долгое время сканирования, и про чрезмерную загрузку процессора с критическим перегревом, и даже просто про зависания. Может, конечно, это всё происки конкурентов, но, вообще, очень похоже, что приложение писалось в спешке и по маркетинговому заказу: Dr.Web изо всех сил старается сделать себе имя на новой волне угроз для Mac (война за Windows-машины уже проиграна?) - и пресс-релизы публикуют и специальный портал по тематике защиты от трояна Flashback запустили, так что приложение в App Store, вполне возможно, пришлось выпускать полуготовым. Ну, ничего, антивирус-то сам по себе не плохой - допилят, докрутят и можно будет пользоваться постоянно, а пока для самоуспокоения и разовой проверки тоже нормальный вариант. Наконец, четвёртый из доступных в App Store бесплатных антивирусов для Mac - Bitdefender Virus Scanner. Продукты Bitdefender не так широко известны в России, но в мировых рейтинга неизменно занимают призовые места. Обновление сигнатур заявлено ежечасное, интерфейс вполне приятен, а фоновое полное сканирование на моём не самом производительном Mac без проблем позволило работать и даже просматривать фильм. К тому же Bitdefender - единственный, кто с настройками по умолчанию обнаружил на подключенном внешнем диске в ISO-файлах букет malware под Windows-платформу. Не понравилось в Bitdefender только разве что отсутствие возможности задавать расписание для автоматического сканирования, а так - впечатление более, чем положительное. Бесплатность всех рассмотренных антивирусов для Mac OS X позволяет скачать и произвести сканирование всеми четырьмя, а для периодического повторения этой операции оставить тот, который больше понравится. Ну, по состоянию на сегодня, например, рейтинг приложений, в описании которых встречается слово “virus”, выглядит так (попали, правда, несколько штук нетематических): Изображение: http://thenewsit.ru/2012/04/mac-bolshe-ne-boitsya-virusov-flashback-10922.html

  • 24 Апреля 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (16/2012)
    Продолжаем публикацию переводов еженедельного обзора событий в области информационной безопасности от компании Fortinet. Среди прочих событий (Анонимусы как обычно устраивали свои проделки) на этой неделе (неделя 16) важными событиями информационной безопасности стали новая атака на платформу Android (ей подверглось популярное приложение для обмена фотографиями) и очередное вредоносное программное обеспечение, сбивающее с толку неискушённых в вопросах безопасности пользователей Mac. Сюрприз! Очередная угроза для Mac. На прошедшей неделе был обнаружен ещё один троянец, сеющий хаос в рядах привыкших чувствовать себя в безопасности пользователей Mac OS X. Данный мак-троянец, получивший название Backdoor OSX SabPub.a, использует уязвимость в Java (Exploitl.Java CVE-2012-0507.bf), знаменитую помимо прочего своей применимостью для эффективного обхода антивирусных сканеров. SabPub, появившийся чуть более месяца назад, создаёт для платформы Mac OS X бэкдор-туннель, который может использоваться для целенаправленных атак. После своей активации троянец соединяется с удалённым web-сайтом, являющимся командно-контрольным центром, в ожидании дальнейших инструкций от своего создателя. Как только устанавливается удалённое подключение, троянец воссоздаёт на скомпрометированной машине скриншот текущего сеанса пользователя, позволяя параллельно незаметно выполнять поступающие команды. Точные механизмы заражения, используемые троянцем Backdoor SabPub, остаются до конца не изученными, а по одному из предположений его распространение была начато с применением социальной инженерии – с рассылки фишинговых писем, содержащих ссылки на заражённые web-сайты, размещённые на территории США и Германии. Oracle выпускает «впечатляющий» патч. На прошлой неделе Oracle выпустила Critical Patch Update (CPU) – критическое обновление, содержащее 88(!) исправлений множества уязвимостей, некоторые из которых позволяют злоумышленникам получить удаленный доступ в обход механизмов аутентификации. В патч включены исправления шести брешей в безопасности, четыре из которых позволяют удалённо атаковать Oracle Enterprise Manager, а также множества других брешей в безопасности таких продуктов как Oracle Database Server, Oracle Fusion Middleware, продуктов Oracle Sun, MySQL, Oracle Enterprise Manager Grid Control, Oracle e-Business Suite, Oracle Supply Chain, Oracle PeopleSoft, Oracle Industry Applications, Oracle Financial Services, а также продуктов Oracle Primavera. «Из-за угрозы успешной атаки, Oracle настоятельно рекомендует пользователям установить данное обновление как можно скорее,» - говорится в сообщении Oracle. Ранее в этом году, 31 января, Oracle в своём ежеквартальном обновлении уже выпускала обновления, устраняющие уязвимости во множестве продуктов, возникавшие из-за коллизий при использовании функции хеширования. Ошибка в программном обеспечении Oracle WebLogic Server, Oracle Application Server и Oracle IPLANET Web Server позволяла хакерами получать удалённый доступ без прохождения аутентификации с использованием, например, имени пользователя и пароля. Анонимусы атакуют Гран-при Формулы-1. Сторонники движения Anonymous ("Анонимусы") отвлеклись на этой неделе от своих обычных шалостей и организовали распределённую атаку типа отказ в обслуживании (DDoS) на web-сайт Формулы-1, проходящей в эти дни в Бахрейне, в знак поддержки протестного антиправительственного движения в этой стране. В своём заявлении глобальная хакерская группировка сообщила, что нападение было произведено с целью привлечения внимания к замалчиваемым нарушениям прав человека, совершаемых по указаниям короля Хамада Бахрейна бен Аль Халифа, и выразила мнение, что решение организаторов знаменитой автогонки о проведении этапа Формулы-1 в Бахрейне в конечном итоге означает поддержку правительства страны, где граждан безнаказанно угнетают, пытают и убивают. Анонимусы отметили, что представители этого жестокого режима, угрожающие применением огнестрельного оружия в отношении граждан, если протесты продолжатся, получат значительную прибыль от проведения гонки. За истекшие годы Анонимусы с их постоянной вовлечённостью в дискуссии о важнейших мировых политических вопросах сделали, что называется, себе имя и даже попали в список 100 самых влиятельных людей в мире по версии журнала Тайм. Правда, несмотря на то, что коллектив хакеров занял первое место среди web-аудитории журнала с 395 793 голосами, в итоговом списке их поставили только на 36 место. «Фотонапасть» для Android. Создатели вредоносных программ для мобильных платформ пририсовали себе ещё одну звёздочку на фюзеляже, реализовав успешную атаку на приложение для обмена фотографиями Instagram. Пользователей Instagram обманом принуждали установить на свой телефон с Android фальшивую копию популярного приложения, которая в фоновом режиме начинала рассылать SMS-сообщения на платные короткие номера. Вредоносная программа, родина авторов которой предположительно является Россия, показывает пользователям сетевого магазина приложений Android Marketplace фальшивую главную страницу, выдавая себя за популярное приложение Instagram, и ничего не подозревающая жертва скачивает поддельное приложение, позволяющее злоумышленникам рассылать с его телефона SMS-сообщения. За последний год число вредоносных программ для Android стремительно увеличивалось по мере роста интереса киберпреступников к этой открытой и слабо контролируемой самой Google мобильной платформе. Приложение для обмена фотографиями Instagram стало одной из главных мишеней для хакеров после того как в начале месяца небольшая компания-раз

  • 23 Апреля 2012 » Ой, он и меня посчитал!
    "Большая и уважаемая" компания IDC имеет весьма и весьма специфичный взгляд на рынок информационной безопасности. Вот, например, выпустили они очередной свой отчёт (новость на CNews), в котором посчитали доли на российском рынке аппаратных решений в области информационной безопасности: Cisco - 27,1% Код Безопасности - 13,9% Аладдин - 12,2% Check Point  - 12% Juniper - 7,4% остальные - 27,4 % "Лидеры рынка", конечно, перепечатали эту новость, да вот только отчёт-то весьма и весьма сомнительный... Буквально несколько вопросов: Что такое "рынок аппаратных ИБ-решений"? Сервер с установленным ПО UserGate - это аппаратное решение или программное? А как быть с продуктами, поставляемыми в виде законченных устройств с предустановленным ПО (appliance), просто ПО (software) или виртуальных решений (virtual appliance), - их куда относить? К трём разным рынкам? Компании какого типа участвовали? Если производители, тогда при чём здесь Аладдин (правильно - Аладдин Р.Д., кстати), формально до сих пор не имеющий никакого статуса у SafeNet? Что за цифры оценивались? Суммы поставок конечным пользователям в розничных ценах? А кто тогда из них стоимость очень часто включаемых услуг по внедрению вычитал? Как можно суммировать рынки межсетевых экранов, средств аутентифкации и электронных замков? Хотя, вроде как электронные замки не учитывались вовсе: "В терминологии IDC рынок аппаратных решений информационной безопасности два основных функциональных сегмента: решений по защите внешнего периметра и решений по аутентификации. В первый сегмент входят решения класса FW/VPN, IDS & IPS, UTM, Content Management, во второй – токены и смарт-карты, помогающие обеспечивать более надежную идентификацию пользователей при доступе к информационным ресурсам." В общем, отчёт хоть и занятный, но абсолютно не показательный. С таким же успехом можно было в соответствующем каталоге Яндекса аппаратные решения искать и по тематическому индексу цитируемости выводы делать, например. Изображение: http://www.e-reading.org.ua/cover/90/90628.jpg

  • 18 Апреля 2012 » Как узнать номер недели в году по дате?
    Удобнее всего использовать Excel, введя в ячейку A1 дату, а в любую другую - формулу: =ЦЕЛОЕ((A1-ДАТА(ГОД(A1-ДЕНЬНЕД(A1-1)+4);1;3)+ДЕНЬНЕД(ДАТА(ГОД(A1-ДЕНЬНЕД(A1-1)+4);1;3))+5)/7)