News ProLogic.Su

Skype расследует информацию об уязвимости в системе, раскрывающей IP-адрес

Wed, 02 May 2012 16:53:32 +0000

В Skype рассказали, что расследуют данные о новом хакерском инструменте, собирающем IP-адреса пользователей их системы интернет-телефонии, что потенциально может негативно отразится на приватности последних. Ранее на сайте Pastebin были размещены инструкции о том, как можно получить данные об IP-адресе пользователя, даже не связываясь с ним, просто посмотрев личные данные о нем через модифицированный клиент с включенной функцией отладки.

В Skype говорят, что предварительные данные их расследования показали, что указанный метод угрожает не только Skype, но и большинству других программ, работающих по пиринговому принципу. Также в компании заявили, что сейчас делают все возможное, чтобы защитить своих пользователей. Напомним, что в октябре прошлого года Skype признала, то IP-адрес пользователя их системы может быть определен потенциальным злоумышленником без уведомления пользователя-жертвы. Также в компании сообщили, что подобный метод работает и в направлении ряда других P2P-технологий, в частности BitTorrent.

Независимые специалисты говорят, что у пользователей, беспокоящихся о том, что их IP-адрес может стать известен потенциальным хакерам, есть возможность подсунуть злоумышленникам неверный IP-адрес через анонимайзер TOR (The Onion Router). Кроме того, данный метод не работает, если пользователь работает через VPN, датацентр маршрутизации которой может быть расположен в любой точке мира. В Skype пока не сообщают о том, когда пользователи смогут получить исправление, маскирущее данные об IP.

30 лет ZX Spectrum!

Mon, 23 Apr 2012 10:24:54 +0000

Несмотря на то, что один из крупнейших игроков компьютерного рынка IBM в 1981 году выпустила персональный компьютер IBM PC, британская компания Sinclair Research, возглавляемая Клайвом Синклером, 23 апреля 1982 года выпустила на рынок дешёвую модель компьютера Sinclair ZX Spectrum, число продаж которого за 17 месяцев превысило один миллион штук.

Компьютер был выпущен в двух вариантах — с 16 Кб и 48 Кб памяти, стоимость обоих устройств составляла соответственно 125 и 175 фунтов стерлингов. При этом любопытно отметить, что в Советском Союзе стоимость клона (почти все детали можно было заменить отечественными; на этот счёт существует любопытное интервью с бывшими сотрудниками «Львовской политехники», которые 1985 году сумели «скопировать» ZX Spectrum, взяв компьютер на 2 часа у иностранных студентов) ZX Spectrum составляла около 100 рублей и в дальнейшем только снижалась. При наличии столь привлекательной цены у устройства была и еще немаловажная особенность, способствующая популярности: Spectrum можно было подключить к обычному телевизору, а в качестве внешней памяти использовать бытовой магнитофон.

История компьютерной техники могла пойти по совсем другому пути, если бы глава компании Sinclair не ставил перед собой чересчур амбициозные цели. За счёт успехов продаж Spectrum компания спонсировала ряд необычных для того времени проектов как электромобиль и плоский телевизор, однако уже в 1985 году Синклеру пришлось приложить немало усилий, чтобы избежать банкротства — проекты успеха не имели. В 1986 году глава компании продал своё детище, получив 5 миллионов фунтов стерлингов наличными, и ушёл из компьютерной индустрии.

p.s. Был у кого?

Критическая уязвимость в OpenSSL

Sat, 21 Apr 2012 20:11:58 +0000

В экстренном порядке выпущены корректирующие релизы библиотеки OpenSSL 1.0.1a, 1.0.0i и 0.9.8v в которых устранена критическая уязвимость, которая потенциально может быть применена для совершения атаки на приложения, использующие функции OpenSSL. При успешном совершении атаки может быть инициировано выполнение кода злоумышленника.

Проблема выявлена группой исследователей безопасности из компании Google, информации о наличии в публичном доступе готового к использованию эксплоита пока нет, но теоретически создание такого эксплоита не составит труда, поэтому всем пользователям рекомендуется в кратчайшие сроки осуществить обновление OpenSSL. На момент написания новости, пакеты с устранением уязвимости пока анонсированы только для Mandriva Linux, проследить за выходом обновлений для других популярных дистрибутивов можно на данных страницах: FreeBSD, Ubuntu, Gentoo, Slackware, openSUSE, CentOS, Scientific Linux, Fedora, RHEL и Debian.

Проблема вызвана ошибкой приведения типов в функции asn1_d2i_read_bio() при разборе данных в формате DER, используемого при работе с S/MIME и CMS. Уязвимость позволяет инициировать переполнение буфера и выполнить код злоумышленника при обработке специально оформленных данных. Теоретически эксплуатация уязвимости ~~возможна только на 64-разрядных системах~~ (проблема не ограничена 64-разрядными платформами).

Опасность эксплуатации отмечается для приложений, использующих для разбора MIME-блоков функции SMIME_read_PKCS7 и SMIME_read_CMS, а также любые другие функции, связанные с декодированием DER-блоков через функции на базе BIO (d2i_*_bio) и FILE (d2i_*_fp), например, 2i_X509_bio или d2i_PKCS12_fp. В частности, уязвимости подвержена штатная утилита коммандной строки из состава OpenSSL, которая может быть эксплуатирована при обработке данных в формате DER. Приложения, использующие только процедуры PEM или функции ASN1 (d2i_X509, d2i_PKCS12 и т.п.) не подвержены данной уязвимости. Код, связанный с SSL и TLS, проблеме не подвержен, тем не менее следует обратить внимание, не используют ли приложения кроме SSL/TLS проблемных функций, подобных d2i_X509_bio.

«МегаФон» запустил новую услугу «Противодействие DDoS атакам»

Sat, 21 Apr 2012 12:31:17 +0000

«МегаФон» запускает новую услугу «Противодействие DDoS атакам» для использования в работе государственных структур, крупных бизнес-клиентов и операторов связи. «МегаФон» развернул на своей сети решение операторского класса «Периметр» отечественного производителя «МФИ-Софт». Эта платформа позволяет реализовать актуальную услугу с широким спектром возможностей по защите от интернет-угроз.

Она позволяет проводить фильтрацию трафика в сетях передачи данных. В случае обнаружения DDoS атаки оборудование защиты автоматически пропускает полезный трафик, блокируя вредоносный. Подавляются атаки мощностью вплоть до 10 Гбит/с. Благодаря новой услуге обеспечивается про-активный мониторинг сетевого трафика в режиме 24х7, что способствует обнаружению DDoS атак различного типа.Также обеспечивается возможность доступа к статистической информации о трафике через личный кабинет с возможностью самостоятельного противодействия DDoS атакам (при необходимости). Услуга противодействия DDoS атакам доступна клиентам, использующим услуги доступа в интернет от «МегаФона». Воспользовавшись ею, клиенты получат пакет услуг, обеспечивающий высокий уровень защиты, постоянное обновление базы сигнатур, а также круглосуточную сервисную поддержку.

Eset сообщила об обнаружении необычной Drive-by атаки в Рунете

Tue, 10 Apr 2012 12:22:49 +0000

Антивирусный вендор Eset сегодня сообщил об обнаружении новой атаки, распространяющей новое вредоносное ПО. Изюминка атаки в том, как ее организаторы пытаются скрыть присутствие вредоносного ПО - скрипт, вызывающий вредоноса, иниицируется при особом движении курсора мышки на сайте. Новая атака типа drive-by была обнаружена Eset в Рунете и как таковая не требует, чтобы пользователь напрямую взаимодействовал в вредоносным ПО.

Большинство атак подобного типа полагаются на скрытые ifame, размещаемые внутри нормального кода, но скомпрометированные сайты переводят посетителей на атакующие ресурсы. Новая же атака фактически не использует никаких подозрительных включений, которые бы могли вызвать включение антивирусного сканера. Вместо этого, вредоносный код JavaScript подгружается из другого JS-файла, расположенного удаленно, однако подгрузка происходит только во время движения курсора мыши. Подобным образом злоумышленники, судя по всему, пытаются отсеять реальных жертв (людей) от автоматизированных кодов, сканирующих веб-сайты на наличие вредоносов, что позволит продлить срок жизни данной атаки.

В Eset называют найденную атаку дальнейшим развитием атак drive-by, предусматривающих прямую инъекцию кода. Так как тут используется более продвинутый алгоритм, то обнаружить реальный вредоносный код значительно сложнее. В случае, если система детектирует, что на сайте присутствует реальный человек, то производится инсталляция кода, ранее присутствовавшего в наборе эксплоитов Nuclear Pack. В самом Nuclear Pack большая часть кодов эксплуатирует уязвимости в Java, Adobe Reader или Flash Player. В случае последней атаки, злоумышленники используют нашумевшую Java-уязвимость CVE-2012-0507, устраненную для Windows еще в феврале, а для Mac - на прошлой неделе.

Trojan.Neloweg встраивается в браузеры и крадет банковские реквизиты

Mon, 09 Apr 2012 10:48:56 +0000

Корпорация Symantec сообщила об обнаружении банковского трояна Trojan.Neloweg, нацеленного на кражу данных пользователей, в том числе банковских реквизитов. Изучив данную угрозу, специалисты Symantec пришли к выводу о том, что Trojan.Neloweg работает таким же образом, как и другой банковский троян — Zeus. Обе вредоносные программы определяют, на каком сайте находится пользователь и добавляют туда специальный JavaScript. Но в отличие от Zeus, который использует свой файл конфигурации, Trojan.Neloweg хранит данные на вредоносном сервере. При переходе на известную страницу банка, Trojan.Neloweg маскирует часть страницы белым цветом, используя скрытый тег DIV, и запускает свой код JavaScript, расположенный на специальном сервере. Как удалось выяснить специалистам Symantec, чаще всего троян атакует браузеры, использующие движки Trident (Internet Explorer), Gecko (Firefox), и WebKit (Chrome/Safari).

По данным компании, троян стремится украсть не только банковские реквизиты, но также другие логины и пароли. Чтобы добиться этого вирусописатели наделили Trojan.Neloweg способностью придавать браузерам функции ботов. Браузер (в данном случае Firefox) теперь может работать как бот и выполнять команды. Например, браузер может обработать контент страницы, на которой находится, перенаправить пользователя на другую страницу, украсть пароли, запустить приложение или даже уничтожить себя. Функция самоуничтожения, по мнению специалистов Symantec, несколько избыточна, так она удаляет критически важные системные файлы и не дает пользователю войти в систему.Между тем, способ интеграции в Firefox также уникален.

Ранее можно было наблюдать угрозы, которые создают вредоносные дополнения браузеров. Поэтому пользователи, отключившие плагины, могли чувствовать себя в безопасности. Но с Trojan.Neloweg такие меры бесполезны. Являясь компонентом, он не отображается на панели расширений Firefox в отличие от других дополнений и плагинов. Более того, используя архитектуру Firefox, Neloweg заново себя создает или устанавливает при каждом подключении Firefox к интернету, сообщили Symantec.

Троян от Mail.Ru

Mon, 09 Apr 2012 03:01:10 +0000

В последнее время много говорят об успехах Мейл.ру. Надо заметить, что компания действительно движется вперед и планомерно улучшает свои сервисы. Но параллельно она занимается строительством ботнета и массовой раздачей весьма подозрительного софта. Софт этот выглядит, как троян, ведет себя, как троян, даже воспринимается, как троян, но таковым почему-то не признается. Данная статья попробует пролить свет на методы распространения продуктов Мейл.ру. Некоторые из этих методов не только делают жизнь российских пользователей значительно хуже, но и портят рыночные условия, поощряя другие компании участвовать в таких играх.

Есть у компании такая программа - Guard.mail.ru. Она не имеет собственного дистрибутива, его невозможно скачать на компьютер отдельно от других программ Мейл.ру. В каталоге софта на Мейле нет упоминания данного продукта. Он не имеет собственного Пользовательского Соглашения. Единственное место, где можно что-то о нем прочитать – это Помощь по Агенту@Mail.ru, но там перечислены не все функции. Не надейтесь найти этот раздел с помощью поиска по Помощи.

При установке он не обозначается как отдельный компонент (исключение - Агент@Mail.ru) - впрочем, как и AlterGeo magic scanner Guard.mail.ru устанавливается в систему всегда, как отдельный компонент, не связанный ни с одним из продуктов. То есть вы можете удалить Спутник, Интернет@Мейл.ру или ICQ, но Guard останется в системе, тихо ожидая своего часа.

Как установить Guard.mail.ru? Есть несколько способов.

Установить Agent@Mail.ru. В процессе вам покажут окошко с чекбоксами, где предлагается сделать Мейл стартовой страницей, поиском по умолчанию, поставить Спутник@Mail.ru и Guard.mail.ru. Кстати, обе программы будут вам установленны даже в том случае, если вы сняли галочки.
Установить себе ICQ – с сайта http://icq.com, либо с http://icq.mail.ru. В процессе установки, вам про Guard не скажут и отказаться от его установки не дадут. Зато в списке "настройка установки" будет пункт "защищать настройки браузеров".

Получить письмо от любого абонента почты Мейл.ру со вложением, добавленным с помощью сервиса http://files.mail.ru. Вы открываете письмо, хотите скачать файл. Вам предлагают воспользоваться быстрым скачиванием, которое вы и выбираете и вместо ожидаемого файла получаете exe "загрузчика@mail.ru". При его установке тоже появляются опции, в которых спрятан Guard. Если снять галочки, Спутник и Guard все равно будут установлены.
Установить себе Спутник@Мейл.ру. Установить браузер Интернет@Мейл.ру.
Установить софт одного из партнеров Mail.ru, прикрепляющих к своему софту Спутник и Гард. Например, Мультибар. Во время установки вам предложат установить Спутник.

Попутно прилетит Guard, но вы об этом не узнаете… до поры, до времени. Надо заметить, что это очень популярный способ установки тулбаров. Его используют Яндекс, Google, Microsoft и многие другие.
Установить любой софт с поддерживаемых Мейлом "каталогов софта". Хотите установить Opera, Skype, uTorrent или что угодно еще - во время установки вам предложат поставить Спутник. Эта тема была раскрыта еще в прошлом году на Хабре. Разумеется, снятие галочек во время установки не мешает попасть на пользовательский компьютер Спутнику и Гарду. Основное преимущество данного канала распространения в том, что Мейлу не нужно договариваться с партнерам, издающими софт – достаточно договориться с порталами и дать им свою обертку. Получается, что компания вроде как и ни при чем (представители компании говорят, что их цифровая подпись, украшающая, например, Internet Explorer или Google Toolbar является абсолютно нормальным делом).
При обновлении Агента, ICQ, Спутника. Вы можете удалить Guard (сложно, но возможно, об этом ниже), но, если на компьютере остается установленным другой софт от компании Мейл.ру, при обновлении этих продуктов обновится и Гард, а если он был удален, то молча установится заново.

Предположим, что вы выполнили один из перечисленных выше шагов и стали обладателем самого совершенного средства защиты вашего компьютера. Какую пользу вы можете из этого извлечь?
Функционирование Guard.Mail.ru

1. Защита поисковых настроек

Любой браузер содержит в себе модуль защиты поисковых настроек. Это не удивительно, так как партнерский поиск – это основной, а местами единственный способ монетизации браузеров. Если бы не возможность партнерства с поисковыми машинами, браузерам бы пришлось продавать себя, как это делает ряд мобильных браузеров (например, iCab для iPhone) и как делала Opera лет десять назад. Исключение - Chrome, который хочет, чтобы использовался поиск Google. Кстати, он скоро начнет привязывать пользователей и к Google+ (первые эксперименты уже ведутся). Другое исключение - Internet Explorer, который является "окном" в интернет для компонентов Windows.

Но после установки Guard@Mail.ru вас начнут защищать куда более интенсивно. Без предупреждения "В настройках интернета что-то изменилось" вы не сможете поменять поиск в браузере (любом). Нам предложат "принять" изменения или "заблокировать" их. Помимо этого, можно войти в настройки, чтобы отключить уведомления (невозможно, если вы поставили галочку "не предупреждать в дальнейшем", отключать уведомления не рекомендуется) и узнать что именно Гард блокирует в данный момент.

Например, если у вас стоит Internet Explorer, после установки Гарда он сообщит об изменении установленной по умолчанию поисковой системы (Bing). Подумав, вы оставляете Bing, и тут уже выскочит Guard: "ой-ой, что-то изменилось"(установка Гарда в большинстве случаев сопровождается изменением поисковой системы по умолчанию, от чего отказаться с помощью снятия галочки в чекбоксе нельзя).

Замечу, что подобные модули есть не только у браузеров, но и у большинства тулбаров (Яндекс, Google, Microsoft, Qip и т.д), но то, что Guard идет отдельным компонентом, никак с основным продуктом не связанным, немного удивляет: предположим, вы удалили все видимые невооруженным взглядом программы Мейла, а Гард, который прячется в процессах, не заметили. В этом случае будьте готовы получать подобные сообщения, с завидной регулярностью.

Угомонить Guard с его раздражающей опекой можно только одним способом – нажать чекбокс "больше не предупреждать" и кликнуть по кнопке "заблокировать". С этого момента изменения станут необратимыми, а главное – предупреждений, а следовательно, и настроек Гарда, вы больше не увидите. Наслаждайтесь полной безопасностью.

2. Защита домашней страницы

Работает по аналогичному принципу, но защищает только от смены homepage на Google или Яндекс. Любой другой сайт вы можете без проблем установить в качестве домашней страницы.

3. Защита браузера, используемого по умолчанию.

Если вы стали счастливым обладателем набирающего популярность браузера "Интернет" от компании Мейл.ру, то любая попытка сменить установленный по умолчанию браузер на Firefox, Internet Explorer, Opera, Chrome, Яндекс.Интернет и т.д., будет жестко пресекаться Гардом.

Как только Firefox предложит вам установить себя в качестве браузера по умолчанию, вы увидите знакомое окошко.

4.Своевременные рекламные предложения

Что происходит, если вы не пользуетесь самым безопасным, быстрым и удобным браузером "Интернет" от Мейл.ру? Вам снова поможет Guard.Mail.ru Однажды, когда вы будете серфить веб с помощью Оперы, например, или Google Chrome, Гард покажет вам вот такое окошко. Чувствуете заботу?

5.Удаление лишних продуктов

На данный момент "лишними" Guard@Mail.ru считает продукты Рамблера, QIP и малоизвестной компании get-styles.ru. После установки, например, ICQ (и идущего комплектом Гарда), ничего не происходит. Но после вашего согласия с предложением Гарда – “больше не предупреждать”. Вот, например, последовательнсость, которую удалось зафиксировать:

Windows XP, IE7

Ставим ICQ c http://icq.mail.ru

Ставим get-styles c http://get-styles.ru

Запускаем IE, соглашаемся с предложением Гарда "больше не предупреждать" и жмем "заблокировать"

Перезапускаем IE – тулбара get-styles больше нет

А если копнуть чуть глубже, то можно посмотреть и большую конкретику:

Качаем GuardMailRu.exe версии 1.0.0.300 или 1.0.0.303 (оба файла добыты с серверов обновления Гарда) и с помощью Process Explorer видим такую картину:

Аналогично с QIP:

И c Рамблером:

Казалось бы, как Guard.Mail.Ru относится к чужой программе? Зачем имеет в своем процессе строки обращения к Кипу, Рамблер-ассистенту или get-styles? Интересно, много ли пользователей пишет в службы поддержки пострадавших компаний, что их программы перестали работать?

И еще любопытный вопрос – почему Guard таким же образом не удаляет Яндекс.Бар, Google Chrome и Google Toolbar? Ваши предположения?

Возможно, кто-то более скрупулезный, чем я, найдет здесь больше интересного. Например, иногда удаление происходит при апдейте Гарда, однако, зафиксировать точную последовательность действий для воспроизведения данного поведения не удалось.

6.Хитрая корневая система Обратите внимание, как элегантно прописывает себя Мейл в браузер Internet Explorer 9 – стрелочка для отвлечения внимания – оцените картину целиком. Микрософт и не подозревает, как в России обращаются с Бингом

А вот откуда ноги растут:

А вот еще пример. Пусть это и не работа Гарда, но техника Мейл.ру узнаваема – скрипт Спутника в Firefox 9 замещает любые обращения к адресной строке браузера, если они не обращены к поиску Мейла, а до кучи блокирует своим плотным телом любые аддоны, которые так или иначе взаимодействуют с адресной строкой.

7.Замещение собой чужих продуктов

Яндекс распространяет панель для Оперы. Но зачем, спрашивается, она нужна? Ведь есть более приятная на ощупь и милая панель Мейл.ру. Казалось бы, почему нельзя пользоваться обеими? Пока не известно, чем именно панель Яндекса не угодила нашему Холдингу, но панель Мейл.ру удаляет ее во время собственной установки. Проверить это просто. Скачайте по указанной выше ссылке панель для Оперы от Яндекса, после чего установите Агент или ICQ. Кстати, на случай, если вдруг, файлы, о которых я пишу после выхода статьи в свет будут заменены на другие (логика "а руки-то вот"), снизу будут приведены ссылки на те файлы, которыми я и мои знакомые пользовались для исследования каждой из этих ситуаций – пожалуйста, пользуйтесь ими, все файлы подписаны компанией Mail.ru и вы можете не сомневаться в их подлинности. Думаю, что панели для Оперы что Яндекса, что Мейла нужны лишь очень преданным фанатам этих компаний, но зачем удалять чужой продукт при установке?

Как удалить Guard.Mail.Ru?

Если вдруг вы вдруг осознали, что помощь Мейла в охране вашего покоя вам больше не нужна, то самое время удалить его и следы его пребывания. Сначала удалите Спутник, Агент, Аську, Интернет@МейлРу. Затем найдите Гард, он прячется в процессах и службах.

Чтобы удалить его следует выполнить следующие действия:

Отключить службу Guard
Отключить процесс Guard
Удалить Guard через панель управления Windows
Удалить из системы все файлы, раскиданные Гардом по системным папкам
Удалить из about:config в Firefox все, что содержит в себе Мейл.ру (или сбросить на дефолт), и почистить файлы настроек в остальных используемых браузерах
Удалить из реестра все связанные с Гардом ветви

Здесь проще описано, но речь про сам Гард, и ничего про продукты его жизнедеятельности.
Итого

Программа Guard Mail.ru защищает только саму себя и продукты компании Мейл.ру, а не пользовательские настройки. Помимо этого несет незаявленную рекламную функцию, а также функцию удаления сторонних продуктов. В совокупности, все поведение данной программы, а также методы ее распространения требуют огласки.

А теперь о главном. Ради чего все это написано?

Ради того, чтобы люди, которые пишут такие статьи чуть больше понимали, как именно Холдинг завоевывает популярность
Ради того, чтобы большие компании относились к своим пользователям с уважением – без открытого диалога о подобных сторонах бизнеса этого вряд ли можно добиться
Ради того, чтобы некоторыми перечисленными примерами (благо, все файлы доступны к скачиванию, и любой пытливый ум может найти еще много из того, чего я не нашел) заинтересовались другие компании. Google, Яндекс, Рамблер, РБК, Microsoft, Опера, Mozilla, Скайп, вам нравится, когда ваши программы оборачивают в "загрузчики Мейл.ру" или в Спутник установщики? Или может быть вы боитесь, что не хватит аргументов, чтобы бороться с Мейлом в суде? Так потренируйтесь на тех, кто у себя ваши программы выкладывает в "оболочке" от Мейла. А в других примерах вы ничего криминального не видите? От ваших браузеров пользователя защищают – если не ошибаюсь, это как-то связано с конкуренцией, возможно, даже с недобросовестной
Ради того, чтобы те, кому мы доверяем в вопросах безопасности – антивирусные компании (Лаборатория Касперского, Eset, Аваст, Avira, AVG, TrendMicro, McAfee и многие другие) стали наконец защищать менее просвещенных пользователей от программы Guard@Mail.ru в ее текущем виде (блокировать, удалять, нейтрализовывать)
Ради того, чтобы журналистам, которые пишут о взрывном росте рыночной доли браузера Mail.ru или его поиска, было понятно, что влияет на этот рост и как он влияет на чистоту Рунета
Ради того, чтобы Яндекс наконец перестал быть таким безразличным по отношению к пользователям. Больше половины Рунета пользуется вашим поиском – научитесь уже отличать обычные программы от тех, что обернуты в тулбарный установщик, от которого нельзя отказаться. У вас же есть антивирусы – свой и партнерский. Начните уже удалять из индекса сайты типа besplatnyeprogrammy.ru, openprog.ru и softportal.com (Почему?), как делаете это с фишинговыми сайтами. Они не приносят пользы обществу, а наносят лишь ущерб (я потратил почти час восстанавливая компьютер мамы после ее попытки установить архиватор – про WinRar она не слышала). Google, а вы почему чистотой не занимаетесь? Думаете, раз у вас доля рынка меньше, значит и внимания к вам меньше?
Ради того, чтобы компании Мейл.ру стало стыдно, и она начала наконец развивать свои сервисы, а не думать о том, как бы навязать то, что есть. Помимо пользователей, поймите, вы своими действиями не только с конкурентами воюете, но и людям жизнь портите, а также неконкурирующим с вами компаниям вредите – неужели прямо-таки цель оправдывает любые средства?
Ради того, чтобы инвесторы компании видели не только удачные инвестиции ее основателя в Zynga, Groupon, Facebook и т.д, но и задумались о бизнесе компании в России сегодня. Как относиться к акциям – это выбор инвесторов, но нет ничего хуже, чем заблуждение, вызванное красивой вывеской и отсутствием информации о том, что творится за ней

Пожалуйста, не подумайте, что это все. В ближайшие месяц-два я напишу статьи с подборками материалов о Яндексе, Google, Microsoft, QiP и других интернет-компаниях. Если у вас вдруг накопилось – в смысле есть информация, которая поможет мне в более полном отражении картины мира - не поленитесь – напишите в комментах, про какую компанию вам известно о ее грязных методах, мы свяжемся и обменяемся информацией. Отдельно благодарен буду тому, кто перепостит статью на Хабр. Еще больше буду благодарен, если кто-нибудь не поленится мой труд перевести и запостить на Techcrunh. Есть знакомые IT или экономические журналисты? Не поленитесь зашерить им ссылочку на эту статью.

Спасибо тем, кто мне помогал в подборке фактов. И спасибо тем, кто дочитал до конца.

«Доктор Веб» обнаружил ботнет из более чем 550 тыс. «маков»

Thu, 05 Apr 2012 13:23:33 +0000

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — провели специальное исследование, позволившее оценить картину распространения троянской программы BackDoor.Flashback, заражающей компьютеры, работающие под управлением операционной системы Mac OS X. По данным «Доктор Веб», по состоянию на 4 апреля в бот-сети действует более 550 тыс. инфицированных компьютеров, работающих под управлением ОС Mac OS X. При этом речь идет только о некоторой части ботнета, использующей данную модификацию трояна BackDoor.Flashback.

Большая часть заражений приходится на долю США (56,6%, или 303449 инфицированных узлов), на втором месте находится Канада (19,8%, или 106379 инфицированных компьютеров), третье место занимает Великобритания (12,8%, или 68577 случаев заражения), на четвертой позиции — Австралия с показателем 6,1% (32527 инфицированных узлов). Заражение трояном BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много — все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт.

Среди недавно выявленных вредоносных сайтов фигурируют, в частности: godofwar3.rr.nu, ironmanvideo.rr.nu, killaoftime.rr.nu, gangstasparadise.rr.nu, mystreamvideo.rr.nu, bestustreamtv.rr.nu, ustreambesttv.rr.nu, ustreamtvonline.rr.nu, ustream-tv.rr.nu и ustream.rr.nu. По информации из некоторых источников, на конец марта в выдаче Google присутствовало более 4 млн зараженных веб-страниц, отметили в «Доктор Веб». Кроме того, на форумах пользователей Apple сообщалось о случаях заражения трояном BackDoor.Flashback.39 при посещении сайта dlink.com. Начиная с февраля 2012 г. злоумышленники начали использовать для распространения вредоносного ПО уязвимости CVE-2011-3544 и CVE-2008-5353, а после 16 марта стали применять другой эксплойт (CVE-2012-0507).

Исправление для данной уязвимости корпорация Apple выпустила только 3 апреля 2012 г. Эксплойт сохраняет на жесткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удаленных управляющих серверов и ее последующего запуска. Специалистами «Доктор Веб» было выявлено две версии трояна: приблизительно с 1 апреля злоумышленники стали использовать модифицированный вариант BackDoor.Flashback.39. Как и в предыдущих версиях, после запуска вредоносная программа проверяет наличие на жестком диске следующих компонентов: /Library/Little Snitch; /Developer/Applications/Xcode.app/Contents/MacOS/Xcode; /Applications/VirusBarrier X6.app; /Applications/iAntiVirus/iAntiVirus.app; /Applications/avast!.app; /Applications/ClamXav.app; /Applications/HTTPScoop.app; /Applications/Packet Peeper.app.

Если указанные файлы обнаружить не удалось, то троян формирует по определенному алгоритму список управляющих серверов, отсылает сообщение об успешной установке на созданный злоумышленниками сервер статистики и выполняет последовательный опрос командных центров. По мнению специалистов «Доктор Веб», вредоносная программа использует весьма интересный механизм генерации адресов управляющих серверов, позволяющий в случае необходимости динамически перераспределять нагрузку между ними, переключаясь от одного командного центра к другому. Получив ответ управляющего сервера, BackDoor.Flashback.39 проверяет переданное с командного центра сообщение на соответствие подписи RSA, а затем, если проверка оказывается успешной, загружает и запускает на инфицированной машине полезную нагрузку, в качестве которой может выступать любой исполняемый файл, указанный в полученной трояном директиве.

Каждый из ботов передает управляющему серверу в строке запроса уникальный идентификатор инфицированного компьютера. С использованием метода sinkhole специалистам «Доктор Веб» удалось перенаправить трафик ботнета на собственные серверы, что позволило осуществить подсчет инфицированных узлов. Для того чтобы обезопасить свои компьютеры от возможности проникновения трояна BackDoor.Flashback.39 специалисты «Доктор Веб» рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности.

Данные 10 млн пользователей кредитных карт попали к мошенникам

Sat, 31 Mar 2012 03:50:26 +0000

Visa и Mastercard предупредили американские банки о том, что личные данные большого числа пользователей кредитных карт могли попасть к мошенникам. По неофициальным данным, опасность грозит 10 миллионам граждан.
Данные об утечке появились в Интернете, в блоге KrebsonSecurity. Лишь после этого Visa и MasterCard вынуждены были сделать официальное заявление, в котором говорится о том, что платежные системы знают о возникших проблемах и занимаются мониторингом ситуации. При этом Visa и MasterCard не называют, сколько именно людей пострадали из-за действий злоумышленников.
Платежные системы утверждают, что в их системах безопасности утечки сбоя не было, но при этом не спешат обвинять в случившемся некую третью сторону.
По данным блогеров, большинство жертв утечки информации проживают на Восточном побережье США. Предполагается, что данные были украдены при оплате в последние нескольких месяцев услуг нью-йоркских таксистов.

Мексикано таксисто .

Новый троян-блокировщик изменяет пароль пользователя

Thu, 15 Mar 2012 06:34:00 +0000

Компания «Доктор Веб» сообщает о появлении нового трояна-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей. Традиционно программы-вымогатели используют для блокировки входа в операционную систему специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл "userinit.exe" и демонстрирующее на экране компьютера соответствующий текст.

Одновременно вредоносная программа обычно отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка, Редактор реестра и т. д. Совершенно по иному, гораздо более простому, но весьма оригинальному пути пошли авторы Trojan.Winlock.5729. Троян скрывается в модифицированном злоумышленниками установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх. Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл "logonui.exe" с именем "iogonui.exe" (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы.

При загрузке инфицированного инсталлятора запускается первый из них, "password_on.bat". Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка "c:\users\", что является характерным признаком операционной системы Windows Vista и Windows 7, вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP. В этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный "logonui.exe" собственным файлом "iogonui.exe", и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если текущий пользователь работает в ограниченной учетной записи, работа трояна прекращается.

Еще один bat-файл — "password_off.bat" — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost. Файл "iogonui.exe" представляет собой настоящий аутентичный файл "logonui.exe" из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное SMS-сообщение. Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей пользователей были изменены. Если вы стали жертвой этого троянца, для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра "HKLM\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon" на "logonui.exe".