Новости информационной безопасности (2008)

[lastmylove]

Для тех, кто хочет просто отдохнуть и узнать какие события происходят
в мире информационной безопасности.
Здесь только новости и никакого обсуждения.

Новости за предыдущие месяцы

(Новости взяты с сайтов www.securitylab.ru и www.cnews.ru )

[lastmylove]

Хакерам удалось частично «починить» iPhone

Группа разработчиков программ разблокировки iPhone, iPhone Dev Wiki, создала приложение для восстановления работоспособности взломанных телефонов, которые вышли из строя после установки обновления 1.1.1.

С помощью новой программы пользователи могут восстановить работу телефона до версии 1.0.2 в разблокированном состоянии, сообщает Vnunet.com. Восстанавливая программное обеспечение аппарата до предыдущей версии, пользователи, однако, останутся с десятью уязвимостями, включая критические, которые были устранены в 1.1.1.

Новая программа также не поможет тем, кто взломал телефон при помощи инструмента «free SIM lock», заменившего прошивку. Восстановление старой прошивки лишает iPhone функции телефона, SMS и EDGE.

В настоящее время способов разблокировки телефонов с программным обеспечением 1.1.1 не найдено.

[lastmylove]

NBC призывает к войне против пиратства

Джеф Закер (Jeff Zucker), исполнительный директор NBC Universal, на саммите, посвященном борьбе с пиратством, который проходил в Вашингтоне (США), призвал общественность объединиться против этой проблемы.

По его словам, руководители различных компаний, правительство, владельцы интернет-сервисов и прочие люди и организации должны вместе начать полномасштабную войну против пиратства.

Исполнительный директор NBC Universal отметил, ссылаясь на исследования компании, что 300 тыс. человек в индустрии США ежегодно теряют свою работу из-за пиратства, сообщает Mashable.

«Владельцы авторских прав проигрывают войну против пиратства. Оно наносит огромный ущерб нашей экономике и всему обществу в целом, и мы сможем устранить эту проблему только объединившись», - заявил г-н Закер.

[lastmylove]

Sun закрыла множественные уязвимости в Java

Sun Microsystems объявила об устранении ряда уязвимостей в Java Runtime Environment, Java SDK и Java JDK, позволяющих обходить ограничения безопасности и осуществлять несанкционированный доступ к файлам.

Уязвимости обнаружены в Sun Java JDK 1.5.x, 1.6.x, Java Runtime Environment (JRE) 1.3.x, 1.4.x, 1.5.x / 5.x, 1.6.x / 6.x, SDK 1.3.x, 1.4.x. Некоторые из них, содержащиеся в Java API, позволяют скомпрометировать защиту пользовательской системы при помощи вредоносных Java-апплетов, встраиваемых в веб-страницы. В частности, злоумышленник может установить соединение со сторонним сервером для передачи конфиденциальных данных или данных о системе, которые могут быть использованы для последующих атак.

Ограничения безопасности в Java-апплетах не разрешают соединяться с серверами, кроме как с тем, с которых загрузился апплет. Используя уязвимости в Java Web Start, атакующий может создать апплет, которому будут доступны на чтение и запись любые файлы в локальной системе, включая кэш Java Web Start.

Подробности уязвимостей не раскрываются, поскольку о них сообщил разработчик вместе с выпуском патчей.

[lastmylove]

Yahoo Mail научится лучше блокировать спам

Компания Yahoo! объявила о том, что в ближайшем будущем будет усовершенствован ее сервис электронной почты Yahoo Mail.

По словам представителей компании, Yahoo Mail сможет лучше блокировать спам, который рассылается пользователям от имени eBay и системы электронных платежей PayPal.

Этого удастся достичь с помощью новой технологии под названием DomainKeys, которая будет проверять домен отправителя и блокировать письма от спамеров, сообщает Mashable.

Ожидается, что новая технология будет интегрирована в Yahoo Mail в течение ближайших двух-трех недель.

[lastmylove]

Enterprise Password Vault: новая версия системы управления паролями

Cyber-Ark выпустила новую версию системы управления администраторскими паролями в корпоративных средах - Enterprise Password Vault 4.5. В нее добавлена функция замены паролей, встроенных в код различных приложений.

В частности, система заменяет встроенные «инженерные» пароли в наиболее популярных корпоративных серверах приложений WebSphere и WebLogic, сообщает ITWeek.co.uk. Замена инженерных паролей – одно из требований по укреплению безопасности, предъявляемых правительственными регулирующими органами США. Вместо встроенных паролей приложение от Cyber-Ark предоставляет единовременные коды доступа и записывает информацию о доступе в журнал.

В новой версии Enterprise Password Vault также упрощен интерфейс аудита, и администратор может просмотреть все случаи нарушения политик доступа на единой панели.

[lastmylove]

Apple выпустила «критический» патч для QuickTime

Apple в среду, 3 октября 2007 г., выпустила патч к QuickTime 7.2, устраняющий критическую уязвимость к удаленному выполнению JavaScript и локальных приложений через файлы ссылок QTL (QuickTime Link), используя Firefox, в Windows-системах.

Уязвимость была обнаружена в середине сентября. Firefox устранила ее почти сразу же, выпустив новую версию браузера, 2.0.0.7, однако до выхода патча у злоумышленников оставалась возможность частичной эксплуатации. Вскоре после обнаружения уязвимости в Сети появились эксплойты к ней.

Патч исправляет ошибки при обработке QTL, устраняя возможность указания приложений в дополнительных параметрах URL.

[lastmylove]

Австралия: Google продолжают обвинять в мошенничестве

Австралийская комиссия по защите потребителей и честной конкуренции (Australian Consumer and Competition Commission), которая ранее подала судебный иск против компании Google, а также ее представителей в Ирландии и Австралии, заявила о том, что обвинения против Google Australia и Google Ireland будут сняты.

«Мы продолжим судебное разбирательство с Google, но все претензии теперь адресуем только в адрес руководства главной компании», - сказано в заявлении ACСС.

Представители ACCC считают, что результаты поисковых запросов Google вводят пользователей в заблуждение из-за того, что ранжированные по значимости результаты мало отличаются от рекламных ссылок, которые появляются в верхней части веб-страницы, сообщает AFP.

Также ACCC подала иск на компанию Trading Post, которая якобы нарушила Закон о торговой практике (Trade Practices Act) в 2005 г., когда использовала названия фирм-автомобильных дилеров Kloster Ford и Charlestown Toyota в качестве гиперссылок на собственный сайт.

[lastmylove]

Microsoft подготовила четыре апдейта для Windows Vista

Корпорация Microsoft подготовила очередную порцию обновлений для операционной системы Windows Vista.
Всего будут выпущены четыре апдейта для различных компонентов программной платформы. В состав одного из пакетов войдут обновления, улучшающие надежность беспроводных соединений и совместимость операционной системы с некоторыми антивирусными продуктами. Кроме того, установка данного апдейта, как ожидается, позволит повысить время работы портативных компьютеров от аккумулятора.

Еще один пакет обновлений представляет собой сборник из двенадцати патчей, решающих различные проблемы, связанные с реализацией поддержки интерфейса USB. Кумулятивный апдейт также будет выпущен для компонентов Media Center программной платформы Windows Vista. Наконец, четвертое обновление призвано устранить недоработки в медиаплеере Windows Media Player 11.

В корпорации Microsoft отмечают, что апдейты будут доступны через систему обновлений Windows Update в ближайшее время. Однако точную дату начала распространения пакетов в Microsoft уточнять не стали.

Нужно отметить, что примерно полторы недели назад началось закрытое бета-тестирование первого сервис-пака для операционной системы Windows Vista. В состав пакета обновлений войдут уже выпущенные заплатки и исправления, а также дополнения, которые позволят улучшить совместимость операционной системы с новыми видеоадаптерами, некоторыми типами мониторов и принтеров. Финальная версия SP1 для Windows Vista, как ожидается, выйдет в первом квартале следующего года.

compulenta.ru

[lastmylove]

Опубликован доклад «Правовое положение спама в России - 2007»

28 сентября 2007 года в Москве в рамках Международной выставки-конференции Infosecurity Russia 2007, проведенной при поддержке МОО ВПП ЮНЕСКО «Информация для всех», прошел круглый стол «Спам и борьба с ним: прогнозы индустрии».
В рамках круглого стола российские и зарубежные эксперты обсудили различные аспекты проблемы спама и пути противодействия его распространению; российский и мировой опыт борьбы со спамом с помощью технических средств, правовых инструментов и информационно-образовательных кампаний.

В круглом столе принял участие координатор Проекта «АнтиСпам» Евгений Альтовский, который рассказал о правовых инструментах противодействия распространению спама и опыте их применения в России.

Как отметил в ходе своего выступления Альтовский, эффективность новой редакции закона «О рекламе» в части борьбы со спамом оказалась нулевой. «Декларативный запрет на распространение спама установлен, однако механизм контроля над соблюдением соответствующей нормы закона создан не был, - сообщил Альтовский, - контроль над соблюдением законодательства в области рекламы возложен на Федеральную антимонопольную службу, которая не наделена достаточными полномочиями для расследования случаев рассылки спама».

Более подробно о ситуации в этой области рассказывается в очередном выпуске ежегодного доклада Рабочей группы Проекта «АнтиСпам» - «Правовое положение спама в России - 2007», опубликованном 4 октября 2007 года. Кроме анализа уже упомянутого закона «О рекламе», в нем также рассматривается возможность применения в борьбе со спамом положений законов «Об информации, информационных технологиях и о защите информации», «О персональных данных» и утвержденных недавно Правительством России «Правил оказания телематических услуг связи».

«Мы собираемся проверить эффективность применения против спамеров положений законов «Об информации, информационных технологиях и о защите информации» и «О персональных данных» на практике, - добавил Альтовский, - а в ближайшее время опубликуем полные материалы по своим обращениям в Федеральную антимонопольную службу, свидетельствующие, что отвлекать ее от работы жалобами на спамеров совершенно бессмысленно».

[lastmylove]

Сотрудники правительственной IT-службы по ошибке удалили официальный сайт штата Калифорния

Сотрудники американской правительственной ИТ-службы по ошибке удалили домен ca.gov, принадлежащий органам управления штата Калифорния.
2 октября 2007 года главной ИТ-службе США стало известно о том, что неизвестный хакер взломал сайт Транспортного департамента округа Марин, зарегистрированный на субдомене tam.ca.gov, и перенаправил запросы на порнографический интернет-ресурс. Необходимо отметить, что, по данным некоторых СМИ, взлом tam.ca.gov произошел еще в начале сентября 2007 года. Специалисты из Вашингтона выбрали в качестве меры противодействия закрытие всего домена ca.gov.

Из-за разницы в часовых поясах между Вашингтоном и Калифорнией сотрудники правительства штата были лишены доступа к электронной почте и веб-ресурсам в течение нескольких часов, а письмо с уведомлением об удалении домена было прочтено уже после окончания рабочего дня вашингтонских сисадминов.

По данным Network World, для восстановления данных и функциональности ресурса потребовалось семь часов.

lenta.ru

[lastmylove]

Demonoid.com возобновил работу

Один из крупнейших торрент-порталов Demonoid.com возобновил работу.
В общей сложности портал был недоступен около пяти дней. Как и предполагалось, причиной отключения стало адресованное владельцам портала письмо от канадского отделения Американской ассоциации звукозаписывающих компаний (CRIA) с угрозой возбуждения дела по факту нарушения закона об авторских правах. Об этом свидетельствует сообщение на заглавной странице портала. По этой же причине Demonoid.com теперь недоступен для жителей Канады.

Напомним, 25 сентября 2007 года Demonoid.com был отключен от Сети. Пользователи портала высказывали разные версии произошедшего. Большинство из них сошлось во мнении, что портал отключен по инициативе CRIA.

lenta.ru

[lastmylove]

Британские военные остались без зарплаты из-за сбоев в электронной системе оплаты

Около 300 служащих вооруженных сил Великобритании, многие из которых находятся в Ираке и Афганистане, остались без зарплаты из-за сбоев в электронной системе оплаты.

По информации издания, военные пытаются добиться выплаты денег, которые они не получали с июля 2007 года. Кроме того, из-за ошибок системы более 1100 военнослужащих получают свою зарплату не полностью, а служащим Королевской Морской пехоты не заплатили обещанную в ноябре 2006 года премию в размере 3000 фунтов стерлингов.

Британские военные перешли на новую систему оплаты Joint Personnel Administration 18 месяцев назад, и с тех пор она постоянно работает с ошибками. В течение первых нескольких месяцев работы системы было зафиксировано 6639 ошибок, которые впоследствии привели к общему сбою системы.

Тем не менее пресс-секретарь Министерства обороны Великобритании заявил, что по состоянию на июль-август 2007 года 99,9 процентов военнослужащих получили правильные зарплаты. По его словам, в такой крупномасштабной системе всегда будут возникать сбои и отдельные ошибки.

Lenta.ru

[lastmylove]

Инциденты, связанные с нарушением безопасности, становятся все серьезнее

Число сообщений о взломах компьютерных сетей сокращается, между тем средняя степень тяжести последствий от них удвоилась, утверждают авторы исследования.
Исследование Ассоциации производителей вычислительной техники (CompTIA), основанное на опросе более чем тысячи ИТ-специалистов, обнаружило, что в 2006 году в 34% организаций были случаи серьезного нарушения ИТ-безопасности — это меньше, чем в 2005 году (38%) и в 2004 году (58%). Однако среднюю степень тяжести инцидентов респонденты оценили в 4,8 балла (по десятибалльной шкале), тогда как в предыдущие годы их оценки колебались в пределах от 2,3 до 2,6 балла. Это не удивительно, учитывая количество громких взломов, таких как взлом сети TJX, когда были украдены миллионы номеров кредитных и дебитных карт.

ИТ-профессионалы сообщили о росте своих расходов на технологию безопасности, обучение и сертификацию. В 2006 году доля ассигнований на обеспечение безопасности в ИТ-бюджете компаний составила 20%, вместо 15% в 2005 и 12% в 2004 году. Более двух третей (68%) организаций выделяет какую-то часть своего ИТ-бюджета на обучение или сертификацию, тогда как год назад их было 55%. На эти цели выделяется в среднем 12% бюджета, вместо 8% в 2005 году. 78% опрошенных сказали, что теперь их руководство считает защиту информации высшим приоритетом.

«Мы достигли реального прогресса в сокращении числа инцидентов, но угрозы становятся более изощренными», — сказал операционный директор CompTIA Брайан Маккарти.

Главной угрозой для безопасности свыше половины (55%) опрошенных ИТ-профессионалов назвали шпионское ПО, за которым следует недостаточная осведомленность пользователей (54%). Почти половина считает, что вирусы и черви по-прежнему представляют опасность, а около 44% назвали главной угрозой злоупотребления авторизованных пользователей. Инциденты, вызванные ошибкой человека, произошли в 42% организаций, тогда как год назад их было 59%. В числе других проблем называют атаки через браузеры (41%), дистанционный доступ (40%), беспроводные сети (39%) и недостаточное соблюдение правил безопасности (36%).

«Свыше половины всех организаций утверждает, что угрозы для безопасности, связанные с использованием карманных устройств, шпионским ПО, технологией «голос поверх IP», беспроводными сетями и удаленными/мобильными устройствами значительно усилились по сравнению с предыдущим годом», — говорится в отчете.

CompTIA отмечает, что правила безопасности и обучение могут помочь организациям не стать жертвами атак. 62% опрошенных сказали, что в их организациях составлены правила безопасности, хотя в предыдущие два года таких организаций было 47%. В 81% организаций, имеющих писаные правила безопасности, эти правила содержат сведения по защите удаленных и мобильных сотрудников.

Средняя стоимость одного взлома в 2006 году составила $369 388; среднюю экономию от проведения тренинга по ИТ-безопасности для персонала CompTIA оценивает в $352 тыс. Еще $656 тыс. организации могут сэкономить, проведя сертификацию по безопасности сотрудников своего ИТ-подразделения.

algonet.ru

[lastmylove]

30-летняя американка Джэмми Томас была признана виновной в незаконном распространении 24 музыкальных композиций в Интернете

В четверг 30-летняя американка Джэмми Томас была признана виновной в незаконном распространении 24 музыкальных композиций в Интернете и приговорена к штрафу в 220 тысяч долларов, то есть по 9250 долларов за каждую песню, передает агентство France Presse.

Томас отказалась от мирового соглашения, которое ей предложила Звукозаписывающая ассоциация Америки (RIAA), поясняет агентство. Одинокая мать двоих детей решила не платить несколько тысяч долларов штрафа и предпочла предстать перед судом.

Ответчица утверждала, что доказательства, собранные против нее компанией SafeNet, которая контролирует распространение защищенных авторским правом материалов в сети, ошибочны. Сама Томас заявила, что никогда не скачивала и не распространяла музыку с помощью файлообменной сети Kazaa, в то время как ее адвокат пытался убедить присяжных, что доказать это невозможно.

Тем не менее присяжные решили иначе и признали женщину виновной в нарушении авторских прав. Как отмечает агентство, приговор мог быть гораздо строже - если бы нашлись доказательства преднамеренного нарушения авторских прав, то Томас пришлось бы заплатить по 150 тысяч долларов за песню. А если бы RIAA подала иск по всем 1702 песням, обнаруженным у нее, то штраф превысил бы 15 миллионов долларов.

Между тем в ближайшее время перед судом могут предстать еще почти 26 тысяч пользователей файлообменных сетей из США, которые отказались от мирового соглашения и против которых RIAA уже подала иски, обвинив их в незаконном распространении музыки.

Lenta.ru

[lastmylove]

Microsoft откроет исходный код .Net

В среду компания объявила, что в этом году она сделает исходный код .Net Framework общедоступным — правда, только для изучения, но не для редактирования.

Генеральный менеджер Microsoft по .Net Framework Скотт Гатри объявил в своем блоге, что компания разрешит разработчикам «загружать и просматривать» исходный код библиотек .Net Framework при помощи Visual Studio 2008 и .Net Framework 3.5, а также введет в Visual Studio 2008 поддержку отладки .Net Framework. «Доступ к исходному коду и интеграция отладчика библиотек .Net Framework принесет большую пользу разработчикам .Net, — пишет Гатри. — Возможность пошагового выполнения и проверки исходного кода обеспечит гораздо лучшее понимание того, как реализованы библиотеки .Net Framework, а это, в свою очередь, позволит разработчикам создавать лучшие приложения и еще эффективнее использовать их».

Система отладки не потребует инсталлятора; в пакете Visual Studio 2008, который выйдет в будущем году, будет предусмотрена возможность загрузки исходного кода .Net Framework a la carte – со специального сервера Microsoft, который будет загружать код, необходимый для проверки тех мест, в которых программа дает сбой.

Первоначально код, который должен быть выпущен примерно в то же время, что и Visual Studio 2008, будет включать .Net Framework Base Class Libraries, ASP.Net, Windows Forms, ADO.Net, XML и Windows Presentation Foundation. Со временем, по словам Гатри, компания позволит разработчикам ознакомиться с полным кодом .Net Framework. Microsoft выпустит .Net Framework по одной из лицензий Microsoft shared source — лицензии на ограниченное использование Microsoft Reference License. Она позволит изучать код .Net Framework в режиме read-only в качестве справочного материала для отладки вновь создаваемого ПО «и особо исключает право распространять программное обеспечение за пределы своей компании».

Такая весьма ограничивающая лицензия, скорее всего, служит мерой борьбы против проектов, подобных возглавляемому Novell проекту Mono, который работает над open-source реализацией отдельных частей .Net Framework. Есть и другие, такие как проект DotGNU Portable.Net. Тем не менее, это знак того, что Редмонд движется в сторону некоторой прозрачности: до сих пор исходный код .Net Framework был абсолютно закрыт – разве что можно было познакомиться с отдельными спецификациями. Microsoft уже открыла для разработчиков в рамках своей инициативы CodePlex другие программы, включая открытую спецификацию Shared Source Common Language Infrastructure, описывающую часть ядра .Net Framework.

«По существу, мы создаем платформу для этого, — сказал директор Microsoft по .Net Шон Берк в беседе со старшим менеджером программы Microsoft Скоттом Хансельманом, опубликованной на веб-странице последнего. — Теперь подразделения Microsoft имеют возможность, если посчитают это полезным для своего бизнеса, публиковать исходный код в качестве справочного пособия для разработчиков».

algonet.ru