MS выпустила средства борьбы с SQL injection; Объявлено о детектировании Blue Pill; Страшный пользователь номер 12111 оказался системным ботом; Первая уязвимость в FireFox 3; Что они там курят у Касперского?

#260, 26.06.2008

MS выпустила средства борьбы с SQL injection
dl // 25.06.08 22:24
Выпущенные во вторник инструменты включают бета-версию URLScan 3.0 и Microsoft Source Code Analyzer for SQL Injection (MSCASI), доступный в качестве Community Technology Preview. Кроме того, в тот же день HP выпустила средство обнаружения SQL-инъекций Scrawlr, разработанное совместно HP Web Security Research Group и Microsoft. Предполагается совместное использование всех трех инструментов, поскольку все они рассматривают проблему SQL injection с разных точек зрения: MSCASI анализирует исходный код ASP, UrlScan позволяет блокировать подозрительный HTTP-запросы, содержащие нечто, похожее на SQL-код, и Scrawlr является анализатором, прощупывающим сайт извне без доступа к исходному коду веб-приложений.
Источник: InfoWorld

Объявлено о детектировании Blue Pill
dl // 23.06.08 23:57
Группа разработчиков North Security Labs объявила о детектировании и блокировании руткитов на базе гипервизоров (Blue Pill, Vitriol).

Метод заключается в перехвате запуска гипервизора другим гипервизором (North Security Labs называют его VIPS, Virtual Intrusion Protection System). Для этого VIPS должен быть запущен раньше перехватываемого гипервизора. При перехвате происходит разрешение либо запрет запуска. Разрешение происходит за счет эмуляции виртуализационных возможностей процессора (технологии Intel VT-x, AMD-V). При запрете эмулируется отключенная в BIOS виртуализация. В обоих случаях VIPS получает доступ к коду руткита для его анализа.

На данный момент реализована поддержка лишь варианта с запретом запуска. Обещана поддержка варианта с разрешением запуска в будущем.
Источник: North Security Labs

Страшный пользователь номер 12111 оказался системным ботом
dl // 20.06.08 21:29
Появившийся на днях в контакт-листах многих пользователей ICQ пользователь с UIN 12111 и именем "ICQ System" вызвал большой переполох и всплеск страшилки в стиле "юзер xxx крадет пароли, срочно снеси его из контакт листа и передай всем-всем-всем".

Впрочем, по сообщению самой ICQ LLC, пользователь ICQ System является всего лишь системным ботом, предназначенным для улучшения взаимодействия с пользователями.
Источник: ICQ

Первая уязвимость в FireFox 3
dl // 19.06.08 02:36
DVLabs сообщили о том, что в рамках инициативы Zero Day Initiative получили информацию о первой критической уязвимости в FireFox 3 примерно через пять часов после его официального выхода. Успешное ее использование может привести к исполнению произвольного кода - как в последней версии браузера, так и в линейке 2.х. Обнародование деталей обещано после исправления уязвимости.
Источник: cnet

Что они там курят у Касперского?
dl // 13.06.08 00:39
Так вкратце звучит мнение известного специалиста по криптографии Брюса Шнейера относительно недавней инициативы Лаборатории Касперского "Stop Gpcode".

Gpcode - недавно обнаруженная модификация вируса-шантажиста, использующая при шифровании пользовательских файлов алгоритм RSA с длиной ключа 1024 бита (используется стандартная комбинированная схема - данные шифруются с помощью симметричного алгоритма RC4 случайно сгенерированным ключом, который в свою очередь зашифрован публичным RSA-ключом; так что восстановить симметричный ключ, а вместе с ним и пользовательские данные, может только владелец приватного ключа). По мнению ЛК, для определения искомого ключа потребуется совместная работа 15 миллионов современных компьютеров в течение года, на организацию чего и направлена упомянутая инициатива (хотя, честно говоря, организация - это сильно сказано: ЛК не планирует самостоятельно заниматься организацией распределенных вычислений; с технической точки зрения вся эта инициатива сводится к созданию форума и призыву в стиле "люди доброй воли, вы тут организуйтесь по-быстрому и найдите этот ключ").

По мнению же Шнейера, это является либо непониманием проблемы, либо попыткой саморекламы. Никому до сих пор не удавалось взламывать 1024-битные RSA-ключи (по крайней мере, за пределами секретных государственных агентств :) ). Текущий рекорд факторинга - разложение 1023-битного числа на сомножители, потребовавшее 11 месяцев работы вычислительного кластера трех институтов; причем число имело специфический вид 2ⁿ-1. Рекорд по "честному" разложению - 663-битный ключ.

Наконец, все эти усилия просто несопоставимы с усилиями, которые потребуются автору вируса для смены ключа.
Источник: Schneier on Security