На днях зіштовхнувся з наступною проблемою: в ОС Windows постійно почало з'являтись повідомлення про критичну помилку Generic Host Process, після чого не працювали ні мережа, ні служба маршрутизації. Подивившись журнал безпеки, побачив, що дана помилка (код помилки 1000) генерується файлами svchost.exe та kernel32.dll.

Пройшов уже добрий тиждень від того часу, як WWW (особливо близькі нам сегменти) сколихнула новина про можливий взлам ICQ.
Уже відомо, що саме трапилося, і з якою метою з'явився таємничий контакт в списках користувачів ICQ. У принципі уже нема що і обговорювати.
Тому я про інше. Я про реакцію соціуму на події навколо таємничих змін у контакт-листі.
Можна сказати, що цей допис є елементом “третьої хвилі” реакції соціуму. Хвилі слабої та непомітної.
Перша хвиля була створена користувачами. Це була масова тривога на різних форумах та інших спільнотах. У цій хвилі переважали некомпентні заяви користувачів про можливий взлам комп'ютерів, користувачі займалися взаємним підтвердженням появи проблеми на взірець заяв “у мене також”. Важливим елементом хвилі стали повідомлення інтернет-ЗМІ про можливий взлам ICQ.
Друга хвиля, як це не дивно, накрила першу. Це була хвиля сакразму з приводу низької комп'ютерної грамотності користувачів, що згенерували першу хвилю. Маса вигуків навзірець “вони думають, що запит на авторизацію може зламати ICQ!!” і тому подібне.
Характерно, що ця хвиля накрила першу ще до появи офіційних роз'яснень з боку адміністрації сервісу ICQ про те, що насправді відбулося. Характерною ознакою цієї хвилі (за винятком професійних спільнот з комп'ютерної безпеки) була відсутність якогось змістовного аналізу, чому саме це не взлам.
Ну що ж, давайте трохи розберемо цю ситуацію.
Xiaomi does not turn on. user Experience

Якщо вірити ось цьому повідомленню: http://blog.trendmicro.com/more-than-a-half-a-million-web-sites-compromised/
з'явився новий троян, який з одного боку - інфікує окремі форуми на базі вразливих версій phpBB, а потім, після розміщення на серверах (використовується механізм SQL-ін'єкції), робить спроби інфікації персональних комп'ютерів відвідувачів форумів.
На мою думку, такий вид атаки є чи ненайнебезпечнішим. Адже, в даному випадку користувач може необдумано клікнути по посиланню чи завантажити файл з сайту, якому він звик довіряти та де він спілкується, можливо, роками. Тим більше, що небезпечне посилання може бути розміщене від імені його приятеля чи адміна форуму.
За даними джерела, на цей час постраждало до півмільйона (!) сайтів.

Нещодавно мені вдалось натрапити на сторінку www.virustotal.com . Якщо у вашій системі завівся хробачок – не спішіть видаляти файл. Відправте його на цю сторінку. Це безкоштовний сервіс на якому 26 антивірусних програм провірять ваш файл і видадуть інформацію про вірус і на скільки він є шкідливим. Це такі програми як DrWeb 4.33, Kaspersky 4.0.2.24, McAfee 4902, UNA 1.83, eSafe 7.0.14.0, ClamAV devel-20060426, AntiVir 7.2.0.44 та ін. Звісно, що програмне забезпечення не є найновішим, проте за даними цієї online служби бази оновлюються щодня. Відвідувачу на сторінці пропонуються наступні послуги : звичайна пересилка файлу, пересилка файлу по SSL, пересилка файлу антивірусним компаніям ( не зовсім зрозуміла опція – яким саме корпораціям я відсилаю файл, навіщо це робити). Отримавши файл система починає його сканувати. Перед користувачем з’являється таблиця, стрічки якої складають назву антивірусної програми, її версію, дата оновлення баз та результат сканування.

Я вже тривалий час з тривогою очікую появи нових системних атак, які будуть провадитися через Інтернет і носити комплексний характер – експлуатуватимуть різні вразливості серверів та комп'ютерів користувачів.
Тобто у найпростішому описі така атака може виглядати як:
- початкове інфікування багатьох авторитетних сайтів (через вразливе серверне ПЗ);
- подальше розміщення на інфікованих серверах коду, який вражатиме комп'ютери користувачів (не обов'язково через дірки – значна частина користувачів може сама встановити шкідливий код зі сайтів, котрим вони довіряли);
- Уже комп'ютери користувачів можуть стати площадками подальших атак (зокрема захоплення нових серверів).

У Голандії заарештовано зловмисників, причетних до огранізації ботнету на 1.5 мільйона станцій! Мережа інфікованих комп'ютерів з'явилася завдяки троянському коневі Toxbot.
Інфіковані комп'ютери використовувалися для кражі персональних даних та як засіб погрози власникам онлайн-магазинів (напевно як джерело DDOS-атак). Підозрюваним в організації такої мережі загрожує до 6 років тюремного увязнення.

У законодавстві України з'явилось наступне визначення:

Спам - не замовлені попередньо споживачами електронні повідомлення, які або є масовими, або в яких не наведено достовірні відомості про повну назву, власну поштову чи електронну адресу замовника чи відправника цих повідомлень, або подальше отримання яких споживач не може припинити шляхом інформування про це замовника чи відправника.

Визначення введено у постанові Кабінету міністрів України від 9 серпня 2005 р. N 720 "Про затвердження Правил надання та отримання телекомунікаційних послуг"

Моя теза про наявність передумов для появи глобальних загроз для інтернету, яку я висловив пару на своєму персональному блозі, таки знаходить, на жаль, підтвердження.
Нарешті на широкі маси винесено аналітичну інформацію про таку загрозу, як ботнети – мережі користувацьких комп’ютерів, що можуть віддалено керуватися зловмисниками. Дана інформація широко обійшла спеціалізовані сайти, з нею зокрема можна познайомитися тут - SecurityLab.ru - ПК-зомбоиды нацеливают на кражу персональных данных

Деякі цифри – вражають. Мільйон зазомбованих робочих станцій – це вже серйозно. Проте, насправді, я підозрюю, що число таких станцій може бути суттєво більше і вимірюватися десятками мільйонів або може бути швидко доведене до даного числа.

Намітилися прогнозована тенденція до активного використання глобальних пошукових машин (таких як Гугл) шкідливим ПЗ, в першу чергу хробаками, які шукають жертв для атаки
Тепер цим займається нова версія хробака MyDoom
New MyDoom worm uses search engines to spread: Internet News: The Industry Standard

В своїй діяльності вірус користає послугами Google, Lycos, Yahoo

Вкрай небезпечний хробак нового класу Net-Worm.Perl.Santy.a останніми днями поширювався мережею Інтернет. Особливістю хробака є його орієнтація на високорівневі прикладні серверні рішення (у даному випадку форум phpBB), а не робочі станції користувачів.
Крім того, хробак має ряд інших особливостей, які можна в певній мірі вважати визначальними для шкідливого ПЗ нового покоління.

Ось така новина обійшла комп'ютерні ленти новин. Автора хробака Sasser прийнято на роботу в німецьку компанію, що займається питаннями інформаційної безпеки.

Ніби й правильно - фахівець повинен робити суспільно корисну роботу, а не шкодити. Проте виникає інше питання - а чи не буде такий приклад сильним стимулом для тисяч молодих фахівців в галузі ІТ до самореалізації шляхом здійснення комп'ютерних злочинів?

Згідно до такого принципу виходить, що відповідальні посади в правоохоронних органах повинні обіймати професійні злочинці. Проте, наразі в цивілізованих країнах такої практики ніби не спостерігається.

Досвідчених користувачів сервісу електронної пошти не дивує кількість спама, яка надходить у їх скриньки. Нажаль помітно ряд тендецій, які свідчать - інформаційного сміття у пошті буде більше.

На сьогодні в цифрових інформаційних системах активно використовують алгоритми цифрового підпису, такі як MD5, SHA-0 і SHA-1, не зважаючи на те, що ніхто строго не довів можливість простого зламання цих алгоритмів багато серйозних систем їх використовує свято вірячи у їх незламність, навіть у нашій країні з початку цього року діє закон, що юридично прирівнює електронні підписи до традиційних, зовсім нещодавно з'явились деякі публікації, що покладають тінь сумніву на хибність таких переконань, це викликало серйозне занепокоєння у сфері цифрового захисту інформації.
Детальна інформація тут http://www.securitylab.ru/47227.html

Багато програм і операційних систем зара

Цього тижня стало відомо про появу нового хробака, який який може підглядати через Веб-камеру

Хробак Rbot-GR, який поширюється через мережу, користаючись дирами в системі безпеки Віндовсів, вміє передавати зловмиснику зображення, що поступає з Веб-камери, під'єднаної до комп'ютера.

Припускаю, що з технічної точки зору даний вірус не являє собою нічого особливого та принципового нового. Принциповим тут є інше:

Зявилася нова версія вірусу Sasser. Поширюється так само як і попередні - через діри в системі захисту Віндовсів (не користайтесь Інтернетом без файрволів!). Записує вірус себе в директорії Віндовса під назвою avserve3.exe та прописується в реєстрі. Далі з інфікованого компютера пробує атакувати інші.

Свого часу кілька моїх знайомих сильно постраждали від вірусів такого типу. Цього ж Sasser та Blaster. Виїдання трафіку, обвал системи - традиційні наслідки вірусу. В одному з випадків було витрачено трафіку на пару тисяч гривень