Программа по формированию навыков безопасного поведения на дорогах и улицах «Добрая дорога детства» 2
Скачать 0.54 Mb.
|
George Heron, McAfeeMicrosoft's own antivirus software, Live OneCare, is unable to fully protect Vista users against viruses, and one of security firm McAfee's antivirus software packages also fails to protect users, according to independent research released Friday. Security news site Virus Bulletin, backed by a team of security researchers based in Oxfordshire, U.K., tested 15 antivirus software packages used by businesses and designed specifically for Vista, Microsoft's newest operating system. The packages were released to businesses two months ago. The researchers tested whether each of the antivirus products would stop a set of viruses known to be currently circulating. In order to be awarded a pass, the software had to detect all the viruses with no false positives. But out of the 15, four failed: Microsoft Live OneCare 1.5; McAfee VirusScan Enterprise version 8.1i; G DATA AntiVirusKit 2007 v17.0.6353; and Norman VirusControl v5.90. The other 11, including software from CA, Fortinet, F-Secure, Kaspersky, Sophos and Symantec, detected all the viruses. "With the number of delays that we've seen in Vista's release, there's no excuse for security vendors not to have got their products right by now," said John Hawes, technical consultant at Virus Bulletin. "In these days of hourly updates, it's always a surprise and a disappointment to see major products missing them (viruses). Vista cannot fend off today's malware without help from security products. It certainly looks like people upgrading to the new platform are going to need additional security solutions." Joe Telafici, vice president of operations for McAfee's Avert Labs, told ZDNet UK that, in his opinion, Virus Bulletin had not used its latest antivirus updates, causing the failure. He said McAfee would issue further results with the updated software. Microsoft pledged to improve Live OneCare. "We are looking closely at the methodology and results of the test to ensure that Windows Live OneCare performs better in future tests and, most importantly, as part of our ongoing work to continually enhance Windows Live OneCare," a company representative told ZDNet UK. On the subject of Vista, the Microsoft representative added: "It's important to remember that no software is 100 percent secure. Microsoft is working to keep the number of security vulnerabilities that ship in our products to a minimum, through our Security Development Lifecycle process, and that work is paying off. The release of Windows Vista is the first Microsoft operating system to use the Security Development Lifecycle from start to finish and was tested more, prior to shipping, than any previous version of Windows." A new virus, however, will not yet have a signature characteristic, as it has not yet been studied by the virus research team, so this zero-day attack will slip past the traditional antivirus checks in the kernel. Then, when the infected carrier file runs, and the virus ultimately then gets launched, it is born on the computer and immediately begins doing its dastardly deeds; in the case of it being a mass mailer, it ravages the e-mail client's address book and begins sending out tons of e-mails. The cool part of the story next happens when the security software engages to stop the virus dead in its tracks. All modern antivirus software contains--in addition to the basic signature file scanning mentioned earlier--a technique termed heuristical behavior detection that is designed to stop a zero-day attack like the mass-mailer worm being described. The calls being made by the worm into the kernel are studied by means of the antivirus hooking the APIs (application program interfaces), and it can be determined from the specific API calls and order/frequency of the calls that a worm is active in the system. The antivirus then kills the worm by issuing an Application Terminate call to the kernel, and the user is once again safe. Of course, some other details are not depicted in this simple example. But the main point is that this is the way state-of-the-art antivirus operates today--to first detect the virus signature and in using behavioral techniques to detect the new, zero-day presence of new outbreaks. And the killer part of this example is that PatchGuard will prevent this type of behavior-based zero-day detection from operating. The standard technique employed by security vendors for years and years--hooking the APIs and the ability of killing applications--is specifically being blocked. Further, Microsoft, which has no similar detection technique, is preventing security vendor antivirus packages from using these advanced features--even though Microsoft does not have the ability to do this itself. The net-net is that the user is demonstrably less safe as compared to during the XP days, when security vendors could use their advanced behavioral features. I'm not sure how we can end this story on a positive note. With Microsoft's design of Windows Security Center and PatchGuard, the restrictions on user choice of security solution, the stifling of innovation being forced upon the industry and, most of all, the clear and present danger of dramatically reduced user safety all comes to a head in Vista. I suppose one can only hope that Microsoft can come to the realization at some point soon that the simple Vista alterations suggested by the industry must be taken seriously and implemented. Evasion bug bites virus shieldsA flaw in several virus scanners could let a malicious file evade detection, a security researcher has warned. But some in the industry dispute that it's a security bug. By adding some data to a file, an attacker could trick virus scanners into letting a malicious executable file pass through, security researcher Andrey Bayora wrote in an advisory last week. The problem lies in the scanning engine, which won't detect files that have the extra data. Bayora refers to that extra data as the "Magic Byte." The problem affects numerous antivirus products, including software from Trend Micro, McAfee, Computer Associates and Kaspersky Lab, said Bayora, who works as a computer security consultant in Israel. His advisory also lists several products that are not affected, including software from Symantec, F-Secure and BitDefender. "This is one of the most significant antivirus vulnerabilities of recent times, as it affects the majority of scanner software," Bayora wrote in an article on his Web site that details the issue. Bayora originally disclosed details of the flaw on Oct. 24. Since then, the topic has been the topic of lively discussions on the popular Full Disclosure security mailing list. The issue is further evidence that researchers are increasingly looking for holes in security products. Protective technology is commonly installed on PCs, servers, network gateways and mobile devices. As security software becomes more widespread, it becomes a more attractive target to cybercriminals, experts have said. But in this case, what Bayora calls out as a vulnerability in virus-scanning engines, some in the industry see as inherent to signature-based protection of antivirus software. "It's not a real security vulnerability, as this is the way antivirus scanners work: If someone creates a new malware, the antivirus industry will create a new signature for it," said Andreas Marx, an antivirus software expert at the University of Magdeburg in Germany. "This way always leaves a detection and protection gap." The signature lists used in antivirus software are like a dictionary of descriptions of known viruses. The virus-scanning process looks for matches against that dictionary. If a new threat is found, a signature is added. Bayora actually created a variant of a virus, said Ken Williams, a representative of Computer Associates. "Modifying a virus to the point where it is no longer detectable does not qualify as a vulnerability. Most viruses are modified in this way over time on a regular basis, and CA treats this as a new virus variant," he said in a statement. But Kaspersky and Trend Micro do see the Magic Byte issue as a software flaw and are offering updates to fix it. "A patch for affected products is currently being tested and should be available within a week," Kaspersky said in a notice on its Web site. Trend Micro has addressed the "potential vulnerability" in the latest version of its virus pattern files, a representative said in an e-mailed statement. According to Trend Micro, the problem in its product is limited to one specific type of potential virus file that typically would be blocked in most enterprise e-mail systems and would need to be executed manually. In a posting to a security mailing list, Bayora identified that file type as a batch, or .bat, file. McAfee did not respond to requests seeking comment for this story. Rendering Инциденты, связанные с нарушением безопасности, становятся все серьезнее Число сообщений о взломах компьютерных сетей сокращается, между тем средняя степень тяжести последствий от них удвоилась, утверждают авторы исследования. Исследование Ассоциации производителей вычислительной техники (CompTIA), основанное на опросе более чем тысячи ИТ-специалистов, обнаружило, что в 2006 году в 34% организаций были случаи серьезного нарушения ИТ-безопасности — это меньше, чем в 2005 году (38%) и в 2004 году (58%). Однако среднюю степень тяжести инцидентов респонденты оценили в 4,8 балла (по десятибалльной шкале), тогда как в предыдущие годы их оценки колебались в пределах от 2,3 до 2,6 балла. Это не удивительно, учитывая количество громких взломов, таких как взлом сети TJX, когда были украдены миллионы номеров кредитных и дебитных карт. ИТ-профессионалы сообщили о росте своих расходов на технологию безопасности, обучение и сертификацию. В 2006 году доля ассигнований на обеспечение безопасности в ИТ-бюджете компаний составила 20%, вместо 15% в 2005 и 12% в 2004 году. Более двух третей (68%) организаций выделяет какую-то часть своего ИТ-бюджета на обучение или сертификацию, тогда как год назад их было 55%. На эти цели выделяется в среднем 12% бюджета, вместо 8% в 2005 году. 78% опрошенных сказали, что теперь их руководство считает защиту информации высшим приоритетом. «Мы достигли реального прогресса в сокращении числа инцидентов, но угрозы становятся более изощренными», — сказал операционный директор CompTIA Брайан Маккарти. Главной угрозой для безопасности свыше половины (55%) опрошенных ИТ-профессионалов назвали шпионское ПО, за которым следует недостаточная осведомленность пользователей (54%). Почти половина считает, что вирусы и черви по-прежнему представляют опасность, а около 44% назвали главной угрозой злоупотребления авторизованных пользователей. Инциденты, вызванные ошибкой человека, произошли в 42% организаций, тогда как год назад их было 59%. В числе других проблем называют атаки через браузеры (41%), дистанционный доступ (40%), беспроводные сети (39%) и недостаточное соблюдение правил безопасности (36%). «Свыше половины всех организаций утверждает, что угрозы для безопасности, связанные с использованием карманных устройств, шпионским ПО, технологией «голос поверх IP», беспроводными сетями и удаленными/мобильными устройствами значительно усилились по сравнению с предыдущим годом», — говорится в отчете. CompTIA отмечает, что правила безопасности и обучение могут помочь организациям не стать жертвами атак. 62% опрошенных сказали, что в их организациях составлены правила безопасности, хотя в предыдущие два года таких организаций было 47%. В 81% организаций, имеющих писаные правила безопасности, эти правила содержат сведения по защите удаленных и мобильных сотрудников. Средняя стоимость одного взлома в 2006 году составила $369 388; среднюю экономию от проведения тренинга по ИТ-безопасности для персонала CompTIA оценивает в $352 тыс. Еще $656 тыс. организации могут сэкономить, проведя сертификацию по безопасности сотрудников своего ИТ-подразделения. Потребители только думают, что они в кибербезопасности2 октября, 2007  Из опубликованного в понедельник отчета следует, что хотя большинство американских потребителей считает, что их компьютеры защищены от кибератак, на самом деле они мало что делают для этого. Как показало исследование, проведенное в США Национальным альянсом кибербезопасности (NCSA) и аналитической фирмой McAfee, 87% опрошенных потребителей считает, что на их компьютерах установлен антивирус, между тем при сканировании этих систем обнаружилось, что лишь у 52% действительно имеется обновленное за последний месяц антивирусное ПО. При этом более девяти десятых участников опроса уверены, что их компьютеры защищены от вирусов. Аналогично, 70% потребителей убеждены, что на их компьютерах установлено антишпионское ПО, но только 55% установили его на самом деле. А 61% утверждает, что у них есть защита от спама, хотя фильтры обнаружены лишь у 21%. «У потребителей сложилось ложное чувство безопасности, — говорит вице-президент по международному маркетингу среди потребителей McAfee Бари Абдул. — То, что они говорят о защищенности своих ПК, не соответствует действительности». На 78% обследованных McAfee компьютеров не установлено то, что Абдул называет «ядром защиты» — комплект из антивируса, антишпионского ПО и межсетевого экрана. Опрос проводился по электронной почте, и 378 ответивших разрешили проверить свои компьютеры. McAfee и NCSA, просветительская организация, в которую входят госучреждения и частные компании, представили отчет на однодневном мероприятии в Вашингтоне, посвященном началу «месячника национальной осведомленности о кибербезопасности», который проходит в октябре. На мероприятии выступили председатель Федеральной торговой комиссии США Дебора Плат Махорас и помощник секретаря по кибербезопасности и коммуникациям при Министерстве внутренней безопасности США Грег Гарсия. Оба они призвали компании сотрудничать с правительством в сфере просвещения потребителей и организаций по поводу важности киберзащиты. «Индивидуальная и корпоративная киберзащита — две стороны одной медали, — сказал Гарсия. — Одно без другого невозможно». По словам Махорас, одна из насущных проблем, «которая меня очень тревожит», — фишинговые атаки. Она убеждена, что проблему фишинга можно было бы решить, если бы потребителям было известно о таком явлении, как «кража личности». В ходе опроса McAfee/NCSA 75% респондентов сказали, что они слышали о фишинге, но только 54% смогли точно описать это явление. 44% сказали, что на их компьютерах установлено шпионское или рекламное ПО. Почти 90% респондентов хранят персональную информацию в своих компьютерах и в то же время пользуются онлайновыми услугами банков, совершают операции с ценными бумагами и занимаются другой подобной деятельностью. Необходимо усилить просветительскую работу, сказал Абдул: «Чрезвычайно важно перевести этот диалог на новый уровень». Вирус охотится на файлы МР33 августа, 2007 Эксперты по безопасности обнаружили вирус, который реализует заветную мечту индустрии звукозаписи: он отыскивает файлы МР3 и удаляет их из зараженного ПК. Секьюрити-компании считают уровень риска невысоким, однако необычная вредоносная нагрузка может стать неприятным сюрпризом для меломанов. Не ясно, какими мотивами руководствовались создатели вируса. «Скорее всего, его соорудили шкодливые мальчишки, а не организованные банды, которые, как правило, ищут финансовых выгод, — прокомментировал старший консультант Sophos Грэм Клули. — Это не то, из-за чего можно лишиться сна, однако пользователи ПК, которые мало заботятся о том, чтобы минимизировать опасность заражения, получили еще один урок». Вирус распространяется через флэш-диски USB, напоминая о временах, когда основным способом заражения компьютеров служили дискеты. Возможно, тем самым авторы вируса пытаются обойти фильтры e-mail и веб-шлюзов. Symantec, которая назвала этот вирус W32.Deletemusic, предупреждает, что он копирует себя на все диски, имеющиеся в ПК, и создает файл автозапуска, активизирующий его при каждом обращении к диску. Вирус работает в системах Windows 2000, 95, 98, Me, NT, Server 2003, XP и Vista. Его можно заблокировать, отключив функцию Windows autorun, которая автоматически запускает программы с CD или USB-дисков. Это не первый случай, когда вредоносные программы охотятся за музыкальными файлами. Два года назад появился червь Nopir-B, который распространялся под видом утилиты для копирования DVD. Оказавшись в машине, он отображал антипиратский плакат и пытался удалить МР3 и другие файлы. А в прошлом году объявился троян Erazer, который пошел еще дальше, удаляя не только записи МР3, но и кинофильмы. IE и Firefox вместе создают «критическую» угрозу для безопасностиИспользование Firefox в сочетании с Internet Explorer на одном и том же компьютере делает систему уязвимой, утверждают специалисты по безопасности. Пользователи, у которых наряду с IE установлен Firefox версии 2.0 или выше, подвергаются повышенному риску. Проблемы начинаются с посещения посредством IE вредоносного сайта, который регистрирует обработчик URI (uniform resource identifier handler) "firefoxurl://" позволяющий браузеру взаимодействовать с определенными веб-ресурсами. В конечном итоге система пользователя может оказаться управляемой дистанционно. Специалист по безопасности Тор Лархольм, обнаруживший эту проблему, и компания Symantec обвиняют главным образом IE, однако главный технолог Secunia Томас Кристенсен считает виновником Firefox 2.0. «Вообще-то виноваты оба, — прокомментировал директор Symantec Security Response Center Оливер Фридрихс. — Это два чрезвычайно сложных приложения, которые не очень хорошо сочетаются друг с другом. Каждое по отдельности может быть безопасно, а вместе — нет». Фридрихс отметил, что хотя Firefox, у которого в прошлом году вышла версия 2, становится все популярнее, на компьютерах большинства пользователей этого браузера установлен также IE, поставляемый вместе с операционной системой Windows. Для инъекции в систему пользователя кода, исполняемого в Firefox, злоумышленник может использовать chrome-контекст — элементы интерфейса браузера, которые создают рамку вокруг отображаемых страниц. «Обработчик URI должен быть выполнен тщательнее, так как Windows не может знать, какие входные данные потенциально опасны для каждого приложения, — пояснил Кристенсен. — Например, откуда Windows может быть известно, что строка chrome опасна для Firefox?» Во избежание риска он рекомендует системным администраторам снять регистрацию обработчика URI firefoxurl или удалить его, или же изменить способ приема браузером Firefox данных chrome. UNIT 5. BYPASS. PHISHING & PHARMING. |
