Новости Software 26 октября 2011 года

По информации от исследователей, работающих в компании F-Secure, новая версия трояна DroidKungFu, созданная для заражения операционной системы Android, маскируется под легальные обновления приложений.

Тактика распространения вредоносного ПО под видом обновлений является довольно новой и в первый раз была замечена в июле этого года. При этом основным способом заражения мобильных устройств на сегодняшний день остаётся встраивание троянов в легальные приложения, однако получаемые таким образом вредоносные приложения довольно легко распознать, поскольку для своей установки они запрашивают чересчур широкие права доступа.

По мнению исследователей, новая атака через обновления может проводиться более успешно, благодаря тому, что пользователи, как правило, не подвергают сомнению подлинность обновлений уже установленных приложений. Более того, в случае использования такого метода вместе с троянами, подобными DroidKungFu, атаки через обновления будет сложно обнаружить, по крайней мере, без использования специальных программных инструментов. Причиной тому служит использование подобными троянами уязвимостей Android для получения root-доступа, после чего установке компонентов вредоносной программы ничто не мешает.

Новый вариант DroidKungFu распространяется с помощью легального приложения, доступного в китайских электронных магазинах приложений. Однако, судя по тому, что более ранние версии этого трояна в прошлом обнаруживались и в официальном магазине Android Market, угроза является глобальной.

"После установки приложение оповестит пользователя о том, что для него есть обновление; [...] это обновление будет обладать специфическими функциями, аналогичными тем, что обнаруживаются во вредоносном ПО, содержащем DroidKungFu", - предупреждают исследователи из F-Secure.

Вредоносное обновление запрашивает только доступ к сообщениям SMS/MMS и местоположению, при этом оно содержит root-эксплойт для Android 2.2 (Froyo), который разблокирует системные файлы и функции. Несмотря на то, что данная версия DroidKungFu не нацелена на устройства, находящиеся под управлением Android 2.3 (Gingerbread), существуют другие трояны, инфицирующие эту версию операционной системы. В будущем распространители этих троянов тоже могут начать использовать технику с обновлениями.

Между тем, есть основания полагать, что авторы вредоносного ПО тестируют и другие техники заражения. На прошлой неделе исследователи из компании Lookout обнаружили другую версию DroidKungFu, которая не использует root-эксплойт вообще. Вместо этого, троян, названный исследователями LeNa, задействует техники социальной инженерии, чтобы пользователи сами наделили установщик правами супер-пользователя. Такое возможно проделать на устройствах, пользователи которых уже самостоятельно запускали root-эксплойт.

"Это первый случай, когда троян для Android полностью полагается на родной бинарный формат ELF, в отличие от типичных приложений для Android, исполняемых в виртуальной машине [Dalvik]", - поясняют исследователи. Некоторые приложения, распространяющие этот вредоносный код, были обнаружены в официальном магазине Android Market.

Несмотря на прыжок к новому красивому номеру, AIDA64 2.00 — обычное эволюционное обновление.

В AIDA64 2.00:

• Добавлен модуль автоматического обновления:
  • периодичность от ежедневной до ежемесячной (по умолчанию ежедневная);
  • возможность загружать бета-версии или только финальные;
  • возможность сохранять загруженные дистрибутивы в локальной папке.
• Новый механизм обработки таблицы ACPI с поддержкой 64-разрядных EFI BIOS и систем на Intel Itanium.
• Поддержка нового оборудования и ПО с отображением детальной информации:
  • процессоры Intel «Ivy Bridge» и «Sandy Bridge-E», Atom «Cedarview», AMD «Krishna» и «Wichita»;
  • чипсеты Intel 7-й серии, северные мосты AMD 970, 990X, 990FX и южный мост AMD SB950.
  • видеокарты AMD Radeon HD 6450A, Radeon E6460/E6760, Radeon HD 6625M, FirePro 2270; NVIDIA GeForce 610, GeForce GTX 570M, GeForce GT 630M;
  • SSD-накопители Kingston HyperX, Mach Xtreme MX-DS Turbo, Patriot Memory Pyro SE;
  • виртуальная машина VMware Workstation 8.
  • улучшенная поддержка жестких дисков Western Digital.
• Обновленные бенчмарки:
  • 64-разрядные бенчмарки оптимизированы для запуска на новых процессорах AMD FX;
  • бенчмарк CPU Hash оптимизирован для работы с процессорами Intel Core i3/i5/i7 2-го поколения;
  • поддержка инструкций AVX и AES-NI в новейших процессорах Intel.
• Windows 8: исправлено измерение температур через ACPI и вычисление частоты через APIC.

AIDA64 — прямой наследник Lavalys EVEREST, пожалуй, лучшая информационно-диагностических утилита. AIDA64 позволяет получить максимально точную и достоверную информацию об аппаратной и программной начинке ПК, текущих режимах работы оборудования, протестировать быстродействие и стабильность встроенными бенчмарками, контролировать данные системного мониторинга.

• AIDA64 Extreme Edition 2.00 (Windows, shareware, $40)
  • Инсталлятор — aida64extreme200.exe (12 МБ)
  • Portable — aida64extreme200.zip (13 МБ)

Недавно выпущенный инструмент для DoS-атак может довольно легко перегружать серверы, использующие протокол SSL. Для успешной атаки достаточно средней мощности лэптопа, подключённого к интернету через стандартное соединение DSL. Авторы этой программы - хакеры из группы The Hacker's Choice - назвали её THC-SSL-DOS.

"Мы надеемся, что сомнительная безопасность SSL не останется незамеченной. [Программная] индустрия должна вмешаться и решить проблему для того, чтобы граждане снова оказались в безопасности", - заявил один из членов THC.

Для установления SSL-соединения серверу требуется произвести примерно в 15 раз больше вычислений, чем клиенту. Этим и пользуется THC-SSL-DOS. Кроме того, программа использует уязвимость в SSL, позволяющую спровоцировать тысячи повторных SSL-согласований при помощи одного TCP-соединения. Стоит отметить, что даже если функция повторного SSL-согласования на сервере отключена, атакующие всё равно смогут успешно воспользоваться THC-SSL-DOS. Однако в этом случае потребуется нечто более мощное, чем лэптоп.

"Оно всё равно работает, даже если повторное SSL-согласование не поддерживается, но требует некоторых модификаций и большего количества ботов перед тем, как эффект [от атаки] станет заметен, - отмечают хакеры. - Атака на серверные фермы большего размера, использующие балансировщики нагрузки SSL, потребовала 20 лэптопов средней мощности и ширину полосы около 120 кбит/с".

Это не первый случай, при котором повторное SSL-согласование подвергло серверы опасности. В ноябре 2009 года выпускник одного из турецких университетов разработал атаку "человек посередине", использующую данную уязвимость в SSL, для кражи аутентификационных данных учётных записей Твиттера, передаваемых через защищённое соединение.

Google Chrome представляет собой браузер, обладающий минималистичным дизайном и изощрёнными технологиями, делающими веб-сёрфинг быстрым, безопасным и простым. Код браузера Chrome является открытым, а архитектура браузера изначально разрабатывалась на основе уже существующих программных компонентов WebKit и Mozilla Firefox. Для обработки JavaScript в Chrome реализован исключительно быстрый движок виртуальной машины JavaScript - V8. Целью разработки браузера является создание простого и быстрого приложения для просмотра веб-страниц, которые постепенно превращаются в веб-приложения.

Каждая закладка Chrome помещается в так называемую "песочницу", таким образом содержимое закладок может взаимодействовать с пользователем, но не имеет доступа к рабочему столу или персональным файлам. По словам Google, они "взяли существующие границы процесса и превратили их в тюрьму". Для этого правила есть исключения: плагины для браузера, вроде Adobe Flash Player, исполняются вне этой песочницы, и поэтому системы пользователей останутся уязвимыми для кросс-браузерных эксплойтов до тех пор, пока эти плагины не будут приспособлены для работы с системой безопасности Chrome. Помимо прочего, Google разработала новый антифишинговый чёрный список сайтов, который будет встроен в Chrome и который будет доступен через отдельный публичный API.

Архитектура Chrome является многопоточной: для каждой закладки и каждого плагина создаётся отдельный процесс, что позволяет нескольким задачам выполняться, не мешая друг другу. Подобная архитектура улучшает стабильность браузера и его безопасность. Кроме того, благодаря этой архитектуре в целом сокращается потребление памяти, так как при выделении новых областей памяти она фрагментируется в рамках отдельных небольших процессов, а не в рамках одного большого. Chrome также обладает менеджером процессов, который позволяет пользователю увидеть, как много памяти и процессорного времени отдаётся отдельной закладке, и завершить работу зависших закладок.

Так же, как и в Opera, в Chrome закладки располагаются в самой верхней части окна браузера. Каждая закладка в Chrome имеет свои собственные элементы управления и адресную строку. Если одна закладка по каким-то причинам зависла, остальная часть браузера может спокойно продолжать работу. При наборе различных слов в панели адреса можно получить подсказки как для адресов веб-сайтов, так и для поисковых запросов.

Google Chrome обладает режимом инкогнито, который позволяет вам просматривать сайты всемирной паутины полностью конфиденциально, так как в этом режиме браузер не записывает никакой активности пользователя, а все куки после завершения работы с браузером удаляются.

Хотя Google Chrome напрямую и не подвержен атакам на SSL, в 15 версии браузера была включена обновлённая сетевая библиотека NSS, содержащая защиту от действий вредоносного кода, известного под именем BEAST.

Ознакомиться со всеми уязвимостями, закрытыми в новой версии браузера, вы можете на этой странице. Загрузить Google Chrome 15 вы можете по этой ссылке.

Два с половиной года находилась в разработке новая версия OCCT — удобного и наглядного теста стабильности ключевых компонентов системы. Несмотря на статус финальной, версия 4.0 не доработана и лишилась тестов видеокарты и локализации, их еще предстоит создать заново.

В OCCT 4.0 заявлены следующие ключевые изменения:

• Переработан интерфейс, упрощены настройки.
• Появились настраиваемые графики, отображающие показатели мониторинга в реальном времени.
• Переработан модуль мониторинга и системной информации, добавлена поддержка процессоров класса Sandy Bridge и Bulldozer.
• Тест CPU: OCCT теперь поддерживает неограниченное число процессорных ядер.
• Тест CPU: LINPACK обновлен и поддерживает новейшие инструкции процессоров Intel.
• Тест GPU: Memtest отсутствует, он будут полностью переработан (вместе с тестом GPU: 3D) и возвращен в будущих версиях.
• Добавлена кнопка сохранения скриншота (PNG).
• По умолчанию тестирование производится бесконечно, а не 1 час.
• Добавлена настройка периода простоя до и после тестирования.
• Инсталлятор автоматически устанавливает .NET 2.0 и DirectX 9 в случае их отсутствия.
• Механизм локализации переделан под XML, старые переводы упразднены (русского нет), новые ожидаются в скором времени.

OCCT Perestroïka 4.0 (Windows, freeware):

• Инсталлятор — OCCTPT4.0.0.exe (6 МБ)
• Portable — OCCTPT4.0.0.zip (6 МБ)