Vinni Опубликовано 5 декабря, 2007 Автор Поделиться Опубликовано 5 декабря, 2007 _ttp://www.honeynet.org/papers/mws/KYE-Malicious_Web_Servers.htm The first recommendation is to reduce the likelihood that a successful attack will do harm. An attack on your browser will inevitably occur, and there are several measures that can make this attack hit a brick wall even if your browser is vulnerable and the attack succeeds. Using the browser as a non-administrator user or within a Sandbox will not allow malware to install itself on the machine. This is already the default on a Windows Vista and Internet Explorer 7 installation, but there are several products freely available for older versions as well, such as AMUST Defender or Sandboxie. Further, we recommend using a host-based firewall that blocks inbound and outbound connections per application. Many firewalls support a learning mode that dynamically configures the firewall via prompting the user to accept/reject a connection. As users tend to accept the prompts without much consideration, we believe this might result in an insecure configuration of the firewall, and should rather be configured by an expert after the installation. Running a host based firewall would restrict malware from performing its malicious deeds. The malware pushed by the Keith Jarrett site, for instance, could not send the collected user data to a malicious data collection server if a host-based firewall is installed. The outgoing connection would have been blocked based on the fact that the malware application wasn’t authorized to make an outbound connection on port 80. Inbound connection blocking is also important. If malware starts a service that allows the attacker to remotely connect to the machine, for instance via a remote desktop software, the firewall could successfully prevent inbound connections from being established. While malware is able to disable such a firewall once it has gained control of the machine, we did not observe such behavior on our client honeypots. Second, we are recommending methods that stop the attack. We have shown that blacklisting is an effective technique. Since the landscape of malicious servers is quite dynamic, it is important to update such a blacklist on a regular basis just as one updates antivirus signatures. Alternatively, one can use one of the many browser toolbars that make a safety assessment of the site. Patching is the other mechanism that can prevent attacks. Of course, this only works on attacks for which patches are readily available. We recommend patching not only the operating system and browser, but also plug-ins and non-browser applications. As the exploit found on the Keith Jarrett site has shown, attacks also target applications that one might have not think about patching, such as Winzip. Since it is quite difficult to determine whether insecure and unpatched software is running on a system, several tools exist that make this assessment easier. One of these tools is the Secunia Software Inspector that performs an online scan of the machine to determine whether unpatched software is running. Disabling JavaScript might be another very effective method to stop attacks. Most attacks we observed did need JavaScript to be enabled. Disabling JavaScript, however, might not be feasible as it would severely impact the functionality of many legitimate web sites. Some tools address this problem by globally disabling JavaScript, but selectively enabling it for certain trusted site. NoScript for the Firefox browser is an example of such a tool. When choosing a search engine to access sites, ensure that you use one that assesses the safety of the sites in its index. Google for instance, displays warning messages on the search results page next to sites that are not safe. While Google’s internal blacklist is probably also not complete, it provides another protection layer that might prevent a successful compromise on the machine you are using. Finally, we make a recommendation on the software to use. Attackers are criminals that would like to attack as many people as possible in order to get the largest return on their investment. As such, they target popular, homogenous systems. The tests we conducted show that a simple but effective way to remove yourself as a targeted user is to use a non-mainstream application, such as Opera. As mentioned above, despite the existence of vulnerabilities, this browser didn’t seem to be a target. We have just listed a few recommendations that would allow you to reduce the risk of falling victim to an attack by a malicious web server. Implementing such measures does not guarantee full protection, but it does lower the risk. One should practice security in breadth and depth and there are additional measures one can take that are beyond the scope of this paper, such as measures that would detect a successful compromise. To best secure your operating system and browser we suggest contacting your vendor directly for specific instructions on configuration or patching against client-side attacks. You can reference our paper directly with them and inquire as to their specific instructions for mitigating these types of attacks with their software. Ссылка на комментарий Поделиться на другие сайты More sharing options...
человек Опубликовано 5 декабря, 2007 Поделиться Опубликовано 5 декабря, 2007 Сегодня нашел средство защиты от гадостей в JS-скриптах на странице - хотелось встроить в прокси-сервер обнаружение ключевых строк, характерных для хакерских скриптов (как уже писалось в теме "Куда течет..."). Оказалось, что в версии 0.6devel 3proxy есть плагин pcre, с помощью которого можно задать список регулярных выражний и он заблокирует загрузку страницы с такой ключевой строкой. Изначально он разрабатывался под родительский контроль, но и для этого пойдет (проверил). Можно делать и исключения из правил - чтобы не блокировались хорошие сайты :smile3: Желающие получить файл конфигурации - пишите в личку. :smile1: Ув.Vinni!Хотелось бы получить такой файл! :smile4: Заранее спасибо! :smile21: Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 5 декабря, 2007 Автор Поделиться Опубликовано 5 декабря, 2007 Ув.Vinni!Хотелось бы получить такой файл! :smile4: Заранее спасибо! :smile21: Уважаемый Человек, там не все так просто (возможны ложные срабатывания при неправильной настройке ключевых слов для блокирования). :smile17: Итак, нужна программа 3proxy (_ttp://3proxy.ru/current/3proxy-0.6-devel.zip). В ней используется плагин PCRE (документация - http://3proxy.ru/plugins/PCREPlugin/). В директории, куда установлен 3proxy, должен быть файл PCREPlugin.dll . Код ошибки для страниц, на которых найдены "вредные" ключевые слова - 019. :smile3: Этот прокси-сервер надо ставить локально. То есть надо будет сконфигурировать свой браузер таким образом, чтобы он обращался к веб-серверам не напрямую, а через этот прокси (в моем примере - прокси на 127.0.0.1:8080) Ниже пример конфигурации (еще раз предупреждаю - возможно блокирование совсем не хакерских страниц, в которых есть строка document.write. Поэтому в "белый список" добавлен it2b-forum.ru :smile5: ). И еще - доступ к прокси заблокирован с других машин и разрешен только с локальной машины. service log c:\3proxy\logs\3proxy.log D logformat "L%d-%m-%Y %H:%M:%S %z %N.%p %E %U %C:%c %R:%r %O %I %h %T" flush auth iponly # pcre plugin plugin c:\3proxy\PCREPlugin.dll pcre_plugin pcre srvdata dunno "document\.write" pcre_extend allow * it2b-forum.ru pcre_extend deny * * pcre srvdata deny "eval\(" pcre srvdata deny "arguments\.callee\.toString" # allow * 127.0.0.1 * * * deny * * * * * proxy -p8080 -a0 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 10 декабря, 2007 Автор Поделиться Опубликовано 10 декабря, 2007 _ttp://www.securitylab.ru/news/309558.php В четверг в баннерной сети издания Utro.ru появился вредоносный код. После заражения на компьютере пользователя устанавливаются боты, которые принимают участие в DDoS-атаках, сообщает блог по безопасности urs-molotoff. Специалисты предупредили РБК, но вредоносный баннер до сих пор крутится в сетке Utro.ru и заражает компьютеры ботами - а те, в свою очередь, заваливают "заказанные" сайты. Называется этот ботнет Black Energy, и его автор, по некоторым сведениям - наш соотечественник. Западные эксперты отмечают, что в последнее время ботнеты все чаще приходят из России. В конце ноября ФБР рапортовало о завешении второй части операции Bot Roast по борьбе с ботнетами у себя в США. В то же время в Рунете как раз в ноябре стали ходить рассылки с рекламой услуг про организации DDoS-атак с помощью ботнетов. А теперь дошло и до баннерной сети Utro.ru в качестве рекламной площадки. Стоит отметить также, что это уже третий в этом году случай распространения вредоносных кодов через проекты РБК. В июле благодаря предыдущему заражению баннерной сети Utro.ru несколько известных новостных сайтов стали распространителями трояна, который занимался кражей идентификационных данных пользователей Quik. Ранее в июне трояны для кражи паролей распространялись через главный сайт РБК.... Ссылка на комментарий Поделиться на другие сайты More sharing options...
john644 Опубликовано 21 декабря, 2007 Поделиться Опубликовано 21 декабря, 2007 Похоже все это уходит в прошлое, начали действовать новые программы. В Windows Vista нашли шпионский модуль 21 декабря 2007, 10:34 Версия для печати Вставить в блог Эксперты подозревают, что один из алгоритмов в новой версии Windows Vista был создан по указанию спецслужб США. В новейшую версию операционной системы Windows Vista, в ее первый пакет обновлений, будет включен генератор псевдослучайных чисел со странным алгоритмом. По мнению некоторых экспертов, данный модуль стандартизирован по указанию спецслужб США и имеет «черную дверь», позволяющую «заинтересованным лицам» получать доступ к ценной информации пользователя. Алгоритм под кодовым названием Dual_EC_DRBG вошел, как опция в пакет обновления Service Pack 1 операционной системы Windows Vista. По умолчанию в Vista SP1 используется другой алгоритм - CTR_DBG, основанный на AES. Релиз-кандидат пакета доступен для загрузки уже несколько дней. О своих плохих подозрениях относительно Dual_EC_DRBG ранее заявляли несколько криптоаналитиков. Известный эксперт по безопасности Брюс Шнейер указывал на то, что спецслужбы США непосредственно вовлечены в установление криптографических стандартов страны. По его словам, именно Агентство национальной безопасности предложило сделать Dual_EC_DRBG национальным стандартом, несмотря на его низкую производительность, что и было реализовано американским Национальным институтом стандартов и технологий. Об этом сообщает Cnews. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.