Вот реально, иногда хочется адынсникам и гарантам, точнее представителям компаний “интеграторов” которые шарахаются по клиентам с целью обновления баз, форм и прочее; просто поотрывать к чертовой матери руки, а флешки их адовы засунуть туда, откуда достать их бывает не так просто, как могло бы подуматься. Имея двух клиентов, с поддерживаемой в актуальном состоянии 1С, имею также и перманентный аврал через день -два после визита специалиста обновляющего базу. Каждый раз на компьютере оказывается какой то зоопарк состоящий из 3-4 разновидностей троянов. Пока ума не приложу, как быть и что с этим делать, поскольку антивирус в любом случае это дело просыпает, а в результате работы, оказывается зараженной не только администраторская машина, с которой происходит обновление, но и все машины, которые в последствии начинают работать с базами. Сейчас так вообще столкнулся с вирем, прописавшимся в папочку 1С- а что, крайне удобно.
В пору делать все самому, но тогда придется чаще наносить незапланированные визиты, а это конечно не очень здорово.
Не ловил никаких пакостей уже года 4 наверное. А тут возникла необходимость найти себе найтивного копирайтера на несколько своих английских проектов, поэтому все выходные лазил по различным копирайтерским сообществам, ну и каюсь- также прошерстил какое то количество порноведческих форумов, поскольку там эти нужные люди чаще всего и обитают.
В результате этих изысканий, других явных причин я не вижу, хотя точно и не могу понять когда именно произошло заражение (и как, учитывая приблуды вроде NoScript и прочие), бродилка Mozilla Firefox стала себя странно вести: компьютер загружается и все прекрасно, пока я не поднимаю Firefox. После этого в логе фаервола генерится порядка 200+ пакетов длиной в 63 байта на 80 порт десятка различных IP адресов, из тех что успел поймать были www.yandex.ru, www.google.ru, www.eset.com (естественно, что пакеты генерятся от антивируса, поскольку он перехватывает их отправку и не видя ничего подозрительного передает фаерволу). Если Firefox закрыть, процессы, по выполнению, завершаются и их количество стремится к нулю. Если бродилку не закрывать, то делать она ничего не может, на часть сайтов не ходит, тупит и не хочет ничего скачивать, поскольку я сперва было решил её просто тупо переставить.
По ходу дела я словил какую то пакость загнавшую меня в bot-сеть использующуюся для DDoS различных, в том числе и вышеназванных, сайтов по алгоритму HTTP flood, т.е из основных это могут быть либо BlackEnergy DDoS Bot либо Dream System DDoS Bot либо еще кто нить о ком я не имею ни малейшего представления. Самое пакостное, что антивири никого мне не смогли найти, а только грохнули Agava Spam-Filter для Bat, благодаря чему я теперь не могу даже получать почту, поскольку скачать из дома новую версию у меня естественно не вышло. Прогнав всеми имеющимися антивирями, антимальварями и антитроянами я пришел к тому, что у меня почти идеально чистая система, но поскольку проблема не исчезает, то вероятнее всего вирь крепко зашифрован, то есть как вариант было бы снести все файлы к которым система не может получить доступ.
Так что сегодня вечером, видимо, битва продолжится, и как говорил герой Никулина “Будем искать”.
На волне скандала возникшего между компанией Google и правительством Китая, снова поднялся вопрос о китайских хакерах, которые являются наибольшей головной болью для всех специалистов по информационной безопасности во всем мире. Последнее время участились целевые атаки с использованием различных механизмов на сайты и корпоративные сети частных компаний, и в данный момент китайские умельцы предлагают абсолютно уникальный, в этом плане, продукт.
Недавно появившийся продукт- сайт предлагает своим пользователям провести анализ целевого сайта на предмет выявления уязвимостей, после чего высылает на указанный при регистрации почтовый адрес полный отчет о проведенном тестировании в формате Adobe Acrobate. Сам сервис принадлежит китайской компании NOSEC Technologies Co., Ltd и располагает так же на территории Китая.Но самое главное, что данный сервис, который является ни много ни мало как аудитом безопасности, предлагается совершенно БЕСПЛАТНО. Достаточно пройти регистрацию на сайте и после указать в форме, адрес для целевого сканирования, после завершения которого пользователю будет прислан PDF о проделанной работе и найденных уязвимостях.
Вот небольшой список уязвимостей на предмет которых проводится сканирование:
SQL injection
Cross Site Scripting (XSS)
File Upload Vulnerability
Information Leakage
Insecure Direct Object References
Buffer overflow
Появление подобного продукта на рынке конечно не может вызвать озабоченности, особенно в ключе того, что многие найденные уязвимости по прежнему остаются не закрытыми, а в это время продолжают появляются все новые и новые бреши в безопасности приложений и серверов. И даже если предположить, что компания NOSEC Technologies Co., Ltd является законопослушной компанией, не собирающейся взламывать сайты, а занимающаяся сугубо аудитом безопасности, по запросу клиентов, остается вопрос- как долго подобному сервису понадобится времени, чтобы собрать внушительную базу открытых для публичного доступа сайтов, с полным списком их уязвимостей. Который при этом, составят пользователи интернета своими руками, то есть выбираться будут заведомо частные сайты, которые могут быть интересны, в плане безопасности, как потенциальным злоумышленникам, так и потенциальным инженерам по безопасности, пытающимися залатать бреши в обороне. Зачем сканировать миллионы сайтов на предмет поиска уязвимостей и дальнейшего выяснения вопроса, что с них можно поиметь, если бесплатные “внештатные сотрудники” могут это сделать сами, своими руками, и вроде бы для своих интересов.
И самый главный вопрос, кто воспользуется полученными данными в дальнейшем: хакеры, для получения доступа к сайтам, организации ботнетов, похищения денег со счетов клиентов, или само правительство страны, для проведения спланированных акций, по преследованию несогласных, или нанесения ударов по компаниям так или иначе вошедших в конфронтацию с официальной политикой, проводимой правительством.
Как было заявлено 11 января на офф. блоге, компания Google рассматривает вариант своего ухода с китайского рынка, на который они вышли в январе 2006 года, и на данный момент предоставляют свой сервис порядка 350 миллионам китайских пользователей. Для того чтобы попасть на китайский рынок, гугль даже пошел на уступки в отношении введения цензуры на информацию, доступную для китайских пользователей на китайском зеркале Google.cn.
Такое решение было вызвано последней атакой, выявленной в середине декабря прошлого года и представлявшей собой софистическую и целевую атаку на инфраструктуру компании Google, исходившую из Китая. Помимо этого были выявлены атаки, как минимум, на 12 крупнейших компаний из различных сфер бизнеса от финансов до промышленных секторов.
К наступающему новому году, специально для админов, мне прислали по почте админискую новогоднюю ёлочку. Наряжать видимо предполагается винтами и платами.
Вечного аплинка, стоящих серваков, непадающих упсов и толковых пользователей. Пиво и трава прилагаются по пожеланиям заказчика.
Ночью 17 декабря сайт популярной социальной сети Twitter подвергся кибер атаке, результатом которой стал дефейс портала,- на заглавной странице некоторое время висело сообщение о том, что сайт взломан иранской кибер армией (Iranian Cyber Army). Несколько часов спустя, после длительного оффлайна, на странице статуса появилось сообщение о том, что DNS записи домена Twitter.com были скомпрометированы, но данная проблема находится в стадии устранения, которая и была устранена к середине 18го числа. Надо отметить, что атаку провела группировка Iranian Cyber Army, судя по своему названию и тону послания имевшая ввиду, что пока штаты пытаются контролировать Иран, сам Иран контролирует кибер пространство США.
На сайте Malware Threat Center появился прекрасный бот клиента iKee.B (duh) Apple iPhone зарегистрированного 25 Ноября 2009 года в нескольких странах Европы, и заражавшего телефоны iPhone через литовский бот сервер. Обзор представляет собой детализацию логистики и функционала программного кода iKee, конфигурационные файлы и различные технические подробности. iKee бот является последним из обнаруженных уязвимостей для смартфонов и его целью становились телефоны iPhone, прошедшие процедуру джейлбрейка.
Сама атака была направлена на клиентов Dutch ING Direct, которые при попытке соединения с веб-порталом банка переправлялись на японский eCommerce сайт, содержавший фишинговые страницы, выглядевшие совершенно идентично сайт ING Direct. В случае введения логина информация становилась доступной злоумышленникам, которые использовали её для коммерческих махинаций.
В это связи рассматривается потенциальная возможность тесного взаимодействия хакеров, занимающихся процедурами разблокирования устройств и злоумышленниками использующими эти устройства для своих целей.
