Amerykańskie władze federalne postawiły w stan oskarżenia dwóch rosyjskich hackerów. Odpowiedzą oni za włamanie do systemów komputerowych kilku firm działających w branży e-commerce i kradzież numerów kart kredytowych.
Istotna rzeczą jest to, iż hackerzy – po dokonaniu włamania – zgłaszali się do firmy, której serwery sami zhackowali oferując swoje usługi jako konsultanci ds. bezpieczeństwa systemu.
Grupa badawcza CERT, założona przez rząd USA w celu szybkiego wykrywania zagrożenie sieci komputerowych, będzie udostępniać zainteresowanym przedsiębiorstwom swe najnowsze odkrycia także prywatny sektor otrzyma dostęp do danych, które są przygotowywane specjalnie dla władz ale niestety, za to usługę jednak będzie musiał zapłacić.
Computer Emergency Response Team z siedzibą w Carnegie Mellon University w Pittsburghu, otrzymuje od władz federalnych ok. 3,5 mln USD na działalność. Obecnie badania nad bezpieczeństwem wesprą również przedsiębiorstwa komercyjne. Firmy skupione w organizacji Internet Security Alliance w zamian za wnoszone opłaty otrzymają dostęp do wykrytych luk na 45 dni przed ich upublicznieniem. Opłaty, w zależności od wielkości firmy, wyniosą od 2,5 tys. do 70 tys. USD. Ponadto zainteresowane firmy otrzymają raporty analizujące stan bezpieczeństwa w danym okresie, specjalny biuletyn poświęcony tym zagadnieniom oraz dostęp do szkoleń.
Jak stwierdził Rich Pethia, dyrektor CERT/CC, firmy uzyskają również możliwość współdecydowania o kierunkach badań. Obecnie Internet Security Alliance skupia 2100 firm, głównie z branży elektronicznej i komputerowej. Dzięki szybszemu uzyskiwaniu danych o zagrożeniach będą one mogły szybciej na nie reagować i zabezpieczać się przed podobnymi zdarzeniami w przyszłości. Powinno to się przyczynić do zmniejszenia strat z tytułu działania wirusów czy ataków hakerów.
Japońskie firmy NTT i Mistubishi Electronic udostępniły publicznie specyfikację szyfru Camelia, opracowanego na zasadach konkursu CRYPTREC mającego wyłonić standardy szyfrowania i ochrony danych w administracji japońskiej.
Camelia jest szyfrem blokowym o kluczu długości 128 bitów, wydajnym w implementacji sprzętowej oraz programowej. Szyfr został także zgłoszony do konkursu Nessie, mającego wyłonić podobny zestaw standardów na potrzeby Unii Europejskiej.
Stegdetect, bo tak nazywa się nowe narzędzie do automatycznego wykrywania i dekodowania danych, potrafi wykryć dane ukryte za pomocą innych popularnych narzędzi steganograficznych, takich jak JSteg, JPHide oraz wcześniejszej wersji samego OutGuess. Nie trzeba chyba dodawać, że możliwość wykrycia takich danych jest dość sporą wadą dla programów, których zadaniem jest ukrywanie informacji. Jednak według Provosa ostatnia wersja OutGuess nie poddaje się żadnej z przetestowanych przez niego analiz statystycznych.
Pojawił się nowy moduł, implementujący szyfrowanie urządzeń blokowych, na przykład dysku twardego lub CD-ROM przeznaczony dla Linuxa. Według autora Jari Ruusu, nowy moduł posiada kilka zalet w stosunku do stosowanej dotychczas łaty international kernel patch.
Moduł szyfruje urządzenia blokowe podmontowane za pomocą loop device, będącego standardowym elementem kernela Linuxa. Do szyfrowania używany jest algorytm AES-128, AES-192 lub AES-256, dla którego kluczem jest skrót SHA obliczony na pod�tawie podanego przez użytkownika hasła. Szyfrowanie kolejnych bloków danych na nośniku jest realizowane w trybie CBC (Cipher Block Chaining).
To rozwiązanie jest bezpieczne i wydajne, a jego największą przewagą nad innymi metodami szyfrowania całych systemów plików dostępnymi dla systemów unixowych jest prawdopodobnie wydajność – wykorzystanie loop device zmniejsza do minimum narzut czasowy w porównaniu do operacji na niezaszyfrowanym systemie. Najlepszą wydajność można osiągnąć konfigurując szyfrowane loop device na fizycznej partycji dysku, na którym następnie można założyć dowolny system plików. Wszystkie zapisywane bloki danych będą szyfrowane w sposób przezroczysty dla systemu plików, analogicznie ma się sprawa z odczytem.
BSDi ogarnęła fala czarnych kłopotów. Ostatnio trzech głównych developerów Slackware zostali zwolnieni z pracy, a tym razem został wyłączony serwer ftp.freesoftware.com, przy okazji, na jego obsłudze nie działa również serwer ftp.slackware.com.
Panowie ze Slackware szukają teraz wolnego miejsca gdzie mogliby postawić swój serwer FTP. Sama dystrubucja również ucierpi na tym. Ukazanie się Slackware 7.2 prawdopodobnie jeszcze bardziej się opóźni.
Temat oraz treść wiadomości napisane są w języku rosyjskim. Nazwa załączonego pliku (PE EXE) to photo1.jpg.pif.
Przetłumaczona treść wiadomości wygląda następująco:
Witaj!
Otrzymałam Twój adres od naszego wspólnego znajomego. Od niedawna używam Internetu i jest to mój pierwszy list elektroniczny!!! Nasz wspólny przyjaciel powiedział mi, że jeśli będę miała jakieś pytania, mogę zwrócić się do Ciebie…
Jestem ładna i towarzyska. (Zobacz załączone zdjęcie) Czekam na Twoją odpowiedź!!! Napisz coś o sobie i co chciałbyś wiedzieć o mnie. Pa pa! :)))))))))
Sveta Kovaleva
Dodatkowo robak instaluje się w systemie i infekuje klika plików systemowych, jak również wysyła hasła i inne poufne informacje o zaatakowanym komputerze.
Aby ukryć swoje działanie, robak wyświetla obrazek przedstawiający dziewczynę.
Po uruchomieniu robak instaluje się w systemie na kilka sposobów. Po pierwsze, infekuje pliki MPLAYER.EXE, WINHLP32.EXE, NOTEPAD.EXE, CONTROL.EXE oraz SCANREGW.EXE zapisane w katalogu Windows.
Wirus zmienia rozszerzenia tych plików na .VXD, po czym kopiuje się na miejsce oryginalnych plików z rozszerzeniem .EXE.
Następnie umieszcza kilka swoich dodatkowych kopii: SCANREGW_EXE oraz LOADPE.COM do katalogu systemowego Windows oraz IFNHLP.SYS katalogu Windows. Plik LOADPE.COM jest umieszczany w sekcji auto-run rejestru systemowego:
HKCR\exefile\shell\open\command = LOADPE.COM
Podczas uruchamiania dowolnego pliku Win32 EXE jest on infekowany przez kopię wirusa.
Następnie plik SCANREGW.EXE jest umieszczany w sekcji auto-run rejestru systemowego:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices ScanRegistry = %SystemDir%\scanregw.exe
Robak wysyła z zainfekowanego komputera następujące informacje:
hasła i loginy umożliwiające zdalny dostęp do zaatakowanej maszyny;
hasła i loginy lokalnej sieci;
informacje o programach BCSoft NetLaunch, PySoft AutoConnect oraz CureFtp (jeśli są zainstalowane);
parametry systemowe programów Netscape i TheBat! (jeśli są zainstalowane);
listę serwerów ftp FAR (jeśli istnieje);
hasła FIDO ftp (jeśli istnieją);
konfigurację systemu i inne informacje systemowe.
Kolejny groźny, pasożytniczy wirus Win32, infekujący wykonywalne pliki PE EXE Win32. Podczas zarażania wirus dopisuje swój kod na końcu plików, w punkcie wejścia do programu umieszcza procedurę, która przekazuje mu kontrolę nad systemem. Ponieważ bakcyl posiada wiele błędów, zdarza się, że infekowane pliki ulegają zniszczeniu.
Gdy zarażony plik zostanie uruchomiony wirus wyszukuje pliki EXE w bieżącym katalogu i infekuje je. Następnie zaraża pliki NOTEPAD.EXE i CALC.EXE w katalogu Windows.
Wirus przejmuje funkcję Windows API CreateFileA i instaluje się w pamięci jako podproces zarażonej aplikacji. W wyniku tego wirus działa tylko wtedy, gdy zainfekowana aplikacja jest aktywna. Podczas otwierania zarażonej aplikacji aktywowany jest wirus, który wyszukuje wszystkie pliki .EXE w katalogu bieżącym i infekuje je.
Gdy zarażony program uruchomiony zostanie o 10:00 (według czasu systemowego), wirus umieszcza na dysku plik C:\NEO.BMP i rejestruje go w systemie jako tapetę pulpitu.
Pierwsza generacja wirusa wyświetla następującą wiadomość:
Win32.Neo Virus by [TiPiaX/VDS]
Miam ! I love PE files 😉