www.blackhat.kz

Прошу обратить внимание на советы специалистов информационной безопасности Cisco :
# Data Leakage Worldwide White Paper: The High Cost of Insider Threats New!
# Data Leakage Worldwide: Common Risks and Mistakes Employees Make
# Data Leakage Worldwide: The Effectiveness of Security Policies

“Стирание границ между работой и домом, а также между частными и корпоративными данными означает, что данные могут быть получены, переданы, сохранены и выкрадены в любом месте и в любое время, – говорит главный директор Cisco по вопросам безопасности Джон Стюарт (John N. Stewart). – Это диктует необходимость изменения существующих подходов к защите информации. Мы все, от самой крупной корпорации до самого молодого индивидуального пользователя, должны соблюдать в этом деле дисциплину и постоянно держать в поле зрения эти проблемы. Как уже говорилось, данное исследование позволяет поднять информационную безопасность на новый уровень за счет концентрации усилий в области обучения, разработки правил и внедрения новых технологий”.

DrWeb выложили LiveCD со своей продукцией, для более точной проверки рабочих станций.

OpenBSD 4.4 Released, mirrors..

NetBSD 4.0.1 является первым Security/critical обновлением для NetBSD 4.0 релиза.

В блоге F-Secure появилась запись о том как они нашли вредоносное ПО (Worm.Win32.AutoRun.nox), которое использует GDI Local Elevation of Privilege Vulnerability для восстановления адресов функций в SSDT (System Service Descriptor Table). Это используется для того чтобы обходить проактивые защиты, которые контролируют загрузку драйверов. Потому что настоящие руткит технологии, которые можно использовать массово, можно реализовать только в ядре. Раньше я встречал ПО которое использует эту (старую) уязвимость для загрузки драйверов в обход проактивной защиты. Теперь же разработчики пошли дальше..Очень интересная реализация.

Уязвимые версии: NetBSD-current, NetBSD 4.0.
Тип уязвимости: Denial of service

Неправильная реализация RFC 2710 – Multicast Listener Discovery (MLD) for IPv6 запросов. Сформированный особым образом ICMPv6 пакет может привести к отказу в обслуживании. Эта уязвимость была возложена CVE-2008-2464.

Ошибка возникает при обработке MLD пакет с определенными значениями в поле «Maximum Response Delay» ( максимальное время задержки ).

Хочу заметить что уязвимы ядры скомпилированные с опцией

options INET6

Для того что бы обновить из CVS, пересобрать и переустановить ядро выполните следующие действия.:

# cd src
# cvs update -d -P sys/netinet6/mld6.c
# ./build.sh kernel=KERNCONF
# mv /netbsd /netbsd.old
# cp sys/arch/ARCH/compile/obj/KERNCONF/netbsd /netbsd
# shutdown -r now

IBM представила новую систему поиска ошибок в программных кодах
Корпорация IBM разработала новое программное решение Rational AppScan, предназначенное для изучения исходных кодов с целью обнаружения проблем в безопасности.
ITnews.com.ua

BSQL (Blind SQL) Hacker is an automated SQL Injection Framework / Tool designed to exploit SQL injection vulnerabilities virtually in any database.
BSQL Hacker aims for experienced users as well as beginners who want to automate SQL Injections (especially Blind SQL Injections).

It allows metasploit alike exploit repository to share and update exploits.

Пример использования | Скачать | Сайт

p.s. совсем нет времени писать в блог, новостей много, есть пару статей..не хватает времени. Если среди вас есть кто нибудь кто хочет взять на себя ленту новостей, добро пожаловать в icq 984541.

Immunity Security выложили в public руткит под IA-32 Linux.
Руткит не использует банальные технологии на подобии модификации таблицу системных вызовов,либо прямой перехват функций.

An IA32 Debug Register based rootkit (last updated: 9/4/2008 SHA1: 2048f537ab3459b21150c2d0b09a042737758d39)

Отличная вещь для тестирование ваших анти-руткитов ;)

Нашлось время прочесть README:
О рутките
=====

DR rootkit использует регистры предназначенные для отладки, т.е. отладочные регистры.
Руткит не модифицирует IDT или syscall_table на прямую, но все равно позволяет перехватывать системные вызовы на архитектуре IA32.

Возможности
========
Перехват системных вызовов без модификации IDT или syscall_table.
Руткит устанавливает аппаратные прерывания на описатель системного вызова, и в момент прерывания подменивает адрес обработчика. Т.е. когда ядро пытается считать адрес обработчика того или иного вызова, срабатывает исключение, в котором руткит заменяет адрес функции.
И не важно как вызывается обработчик, через INT 0×80 или sysenter.

Execute global breakpoint on syscall handler in dr0, syscall is called,
breakpoint kicks in. Modified do_debug handler places global read watch
on syscall_table[__NR_syscall]. When syscall is called, memory access
breakpoint kicks in. Modified do_debug handler places function pointer
to hooked syscall in task regs eip. Execution is redirected to hooked
syscall. Repeat.

В недавно обнаруженной уязвимости в Microsoft Windows версии nslookup.exe, инструмент для поиска IP-адреса с помощью системы DNS, затрагивает :

- Microsoft Windows 2000 Professional SP3
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 98
- Microsoft Windows 98SE
- Microsoft Windows ME
- Microsoft Windows NT Workstation 4.0 SP6a
- Microsoft Windows NT Workstation 4.0 SP6
- Microsoft Windows NT Workstation 4.0 SP5
- Microsoft Windows NT Workstation 4.0 SP4
- Microsoft Windows NT Workstation 4.0 SP3
- Microsoft Windows NT Workstation 4.0 SP2
- Microsoft Windows NT Workstation 4.0 SP1
- Microsoft Windows NT Workstation 4.0
- Microsoft Windows XP Home SP1
- Microsoft Windows XP Home
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Professional 

Как считают специлаисты уязвимость во всю используется «in the wild» ( в природе ).
Согласно SecurityFocus, неустановленное уязвимость позволяет злоумышленникам удаленно выполнять код.

В настоящее время не существует патч для проблемы. Microsoft заявила, что они знают о проблеме и идет расследование, однако не известно, когда Microsoft будет предоставлять патч.

Video of Poc (Ivan Sanchez)