Аналитики из Gartner не видят в Linux угрозу для Windows
Аналитическое агентство Gartner опубликовало результаты опроса, касающегося использования Linux на настольных компьютерах в американских компаниях. Как оказалось, вопреки стараниям поставщиков настольных дистрибутивов Linux, существенным успехом их продукция не пользуется. По данным, собранным в конце 2004 года, лишь чуть больше 1% компаний используют Linux и офисные приложения с открытым кодом на настольных ПК. То есть, Linux остается прежде всего серверной ОС и пока не годится на роль убийцы Windows, которые многие ей предрекали.

В будущем, по мнению аналитиков Gartner, доля Linux на рынке ОС для настольных ПК будет расти, но рост будет очень медленным. В 2008 году доля корпоративных настольных ПК Linux составит, в лучшем случае, 3,2%. Поэтому в корпоративном секторе Linux пока не может считаться серьезным конкурентом Windows.

Главная причина, по которой компании не хотят использовать Linux на настольных компьютерах, лежит в экономической сфере. Несмотря на открытость кода Linux - отнюдь не бесплатная платформа. За качественную техническую поддержку и сервисное обслуживание нужно платить. Еще большими оказываются издержки, связанные с переносом приложений на Linux (а компании зачастую используют весьма экзотические программные продукты, в том числе и собственной разработки) и переучиванием персонала.

Несколько лучше обстоит дело с общественными и государственными организациями, особенно за пределами США. Правительства некоторых стран, например Бразилии, поощряют использование открытого софта вместо закрытых разработок американских компаний. В США же распространению Linux в общественных и государственных организациях, по мнению Garner, могут помешать политические соображения, например, желание поддержать американских разработчиков софта.

Разумеется, данные Gartner не отменяют растущей популярности Linux как серверной платформы. Здесь позиции Linux весьма сильны и продолжают укрупняться. Чрезвычайно популярен Linux и у создателей высокопроизводительных вычислительных кластеров. Например, недавно кластер на базе Linux ввело в эксплуатацию НПО "Сатурн" - разработчик двигателей легендарных истребителей Су-27. Кластер будет использоваться при проектировании новых реактивных и газотурбинных силовых агрегатов.

Новые технологии помогают избавиться от вредных привычек
В мире появился новый наркотик - мобильный телефон. Ради него наркоманы идут на любые жертвы - даже избавляются от вредных и дорогостоящих привычек.

Как сообщает газета The Age, подростки в Японии, например, чрезвычайно зависят от сотовой связи. Если у них не хватает денег на разговоры и SMS, они ограничивают потребление сигарет, а некоторые даже бросают курить.

Социологический опрос показал, что из ста тысяч учеников старших классов уровень курения среди мальчиков снизился до 22 процентов в 2004 году. Если сравнить с 37 процентами курящих ребят, которых опрашивали в 2000 году, - результат налицо. Девочки курят меньше, но и тут статистика не в пользу вредной привычки: 10 процентов балующихся сигаретами против 12 в 2000 году.

С одной стороны, это очень радует родителей: вместо того, чтобы смолить пачку в день, ребенок тихо сидит и набивает SMS лучшему другу. С другой стороны, врачи пока не решили, что вреднее - сигареты или сотовый телефон. Кроме того, в отличие от сигареты, телефон очень мешает разговаривать с родителями. Кстати, один из выходов - воспитывать ребенка по телефону.

В общем, все как в том старом анекдоте: что делать, если ваш ребенок тратит слишком много денег на мобильник? Попробуйте приучить его к более традиционным порокам: вину, картам и девочкам:

Психологи выступают против "кровавых" игр
Ассоциация американских психологов (APA) опубликовала доклад, в котором утверждается, что сцены насилия в видеоиграх крайне негативно воздействуют на детей и подростков, провоцируя их на насильственные мысли и настроения. Основной причиной подобных суждений выступает то, что, по статистике, в 73% случаев игровые персонажи, совершившие акты насилия, уходят безнаказанными.

Поэтому Ассоциация рекомендовала развивать у детей и подростков критическое отношение к интерактивным развлечениям, призвала развлекательную индустрию обозначить чёткую связь между агрессивным поведением и негативными социальными последствиями, а также разработать рейтинговую систему, которая чётко отражает содержание видеоигр и других интерактивных развлечений.

Естественно, в ответ на эти утверждения и рекомендации тотчас же послышались возмущённые заявления <с другой стороны>: Дуглас Ловенштайн, президент Ассоциации производителей развлекательного ПО (Entertainment Software Association) обвинил APA в пренебрежении результатами авторитетных сторонних исследований, в которых ставится под сомнение опасность насилия в видеоиграх, и желании внедрить ограничения, противоречащие Первой поправке Конституции США.

Одним из таких авторитетных исследований, очевидно, является опубликованная ранее работа команды профессора Университета штата Иллинойс Дмитрия Уильямса, в которой утверждается, что насильственных настроений видеоигры не провоцируют.

В ходе исследований группе людей было предложено провести в общей сложности 56 часов за игрой в MMORPG Asheron's Call 2, которая, как и всяческая игра такого рода, изобилует вполне кровавыми сценами. После окончания испытательного периода, игроки статистически ничем не отличались от контрольной группы, которая в Asheron's Call 2 не играла. Степень агрессивности игроков в повседневном общении также не возросла.

Хакер украл личную информацию 33 тысяч офицеров ВВС США
Более 33 000 офицеров военно-воздушных сил США подвергались серьезному риску кражи персональной информации в результате несанкционированного доступа злоумышленника в базу данных, сообщает агентство Reuters.

Хакер использовал существующий пароль для доступа в базу данных, содержащую даты рождения, номера страховых полисов и данные о трудовой биографии почти половины офицеров военно-воздушных сил США и многих отставных сотрудников. К счастью, в эту базу данных не входит личная финансовая и конфиденциальная военная информация. Пока не выявлены случаи кражи персональной информации, однако пострадавших призывают проверить свои кредитные записи.

Многочисленные случаи вскрытия систем защиты баз данных коммерческих организаций, университетов и других учреждений поставили под угрозу персональную информацию не менее 50 миллионов потребителей США за последний год.

До свидания MD5
В мире хеш-функций кризис. Последние достижения криптоаналитиков вызывают ожесточенные споры о целесообразности использования криптографических хеш функций. MD5 больше не защищает от взлома, поскольку благодаря таким проектам как passcracking.com, мы больше не можем доверяться односторооним криптографическим функциям.

Что такое однонаправленная хеш функция

Коротко можно сказать, что по определению однонаправленная хеш функция H(M) принимает сообщение М произвольной длины и возвращает хеш значение фиксированной длины h = H(M). Кроме того эта функция H(M) должна иметь следующие свойства:

1. Имея M легко найти h.
2. Имея h трудно найти M такое что H(M) = h
3. Имея M трудно найти M' такое что H(M) = H(M')

В некоторых случаях налагается условие, что трудно найти два случайных M и M' таких что H(M) = H(M')

Более подробно можно прочитать в книге Брюса Шнаера "Прикладная криптография".

Проблема в том что хеш функции используются для хранения паролей

1. При регистрации пользователь вводит пароль, от его пароля берется хеш функция и сохраняется на диске.
2. При проверке пароля во время аутентификации пользователь вводит пароль, от его пароля берется хеш функция и сравнивается с имеющейся на диске. Если равны, значит и пароли с высокой вероятностью равны. Вероятность тем выше, чем длиннее h и чем лучше функция H(M). Однако на сайте http://passcracking.com/ мы можем обнаружить пароли с одинаковым хешем.

И PKI под угрозой?

В своих недавних работах исследователи Ленстра, Ванг и Вежер показали что возможно построить два пересекающихся сертификата X.509, используя технику поиска совпадающих MD5 хешей разработанную Вангом. Подробнее читаем тут: http://www.wi n.tue.nl/~bdeweger/CollidingCertificates/CollidingCertificates.pdf. Эта работа разрушает основные принципы доверия на которых покоится PKI. И даже более того, китайские исследователи показали как реализовать атаку на другую хеш функцию SHA-1: http://www.infosec.sdu.edu .cn/paper/sha1-crypto-auth-new-2-yao.pdf

Что делать?

• Использовать хеш функции внося дополнительные параметры.
• Комбинировать несколько функций.
• Использовать другие функции.

Первое плохо тем, что можно украсть и эти доп параметры вместе с хешем, второе загрузит процессор но вряд ли поможет, а третье хорошо, но мы не знаем других функций.

Значит нам надо их придумать, либо изучить что уже есть:

• WHIRPOOL
• RIPEMD
• SHA-2

Источник: http://www.darksideprogramming.org/

Музыкальный интернет-провайдер легализует файлообмен
В сентябре в Великобритании начинает работу первый в мире <музыкальный интернет-провайдер>. За фиксированную плату он легализует для своих клиентов использование P2P-программ Kazaa и eDonkey.

Музыкальный интернет-провайдер Playlouder MSP практически ничем не отличается от <нормального> ISP, разве что абонентская плата у него чуть больше обычного - 27 фунтов стерлингов в месяц (около $48,5). Он предоставляет такой же широкополосный доступ в интернет (1 Мбит/с), электронную почту и т.д. Но вдобавок к этому каждый пользователь получает бонус - внутренняя P2P-сеть провайдера, откуда можно скачивать неограниченное количество музыкальных композиций. Все они - в идеальном качестве и бесплатно. Каждый файл снабжен цифровой меткой для учета трафика (технология Audible Magic). Интернет-провайдер будет подсчитывать количество загрузок и делать отчисления правообладателям из своей собственной прибыли. Это принципиально новый подход к легализации файлообмена.

Вдохновленные успехом интернет-магазинов по розничной продаже музыкальных композиций, звукозаписывающие гиганты настойчиво ищут альтернативные варианты для продаж музыки в цифровом виде. До сих пор они никак не могут совладать с неконтролируемом файлообменом через P2P-сети. Мы уже сообщали об их последнем изобретении - глобальном файлообменном сервисе Peer Impact, <изюминкой> которого является принцип сетевого маркетинга и возможность заработать на обмене файлами. Если выложенный вами файл кто-то купит, то вы получаете небольшой процент от сделанных им отчислений. Корпорации надеются, что самые активные <файлообменщики> перейдут туда. Но это вряд ли. Фактически, Peer Impact - это тот же интернет-магазин, только замаскированный под сеть P2P.

Провайдер Playlouder исповедует принципиально новый подход, который вполне может оказаться перспективным. Вместе с доступом в интернет пользователь получает возможность легального обмена музыкальными файлами с помощью распространенных программ Kazaa, eDonkey или Limewire. Провайдер будет отслеживать файлообмен в сети и выплачивать компенсации правообладателям в соответствии с количеством загрузок каждой композиции. В то же время пользователи не будут платить за композиции поштучно, а только вносить абонентскую плату за доступ в интернет.

Компания Playlouder уже заключила соглашение с корпорацией Sony BMG как <музыкальный интернет-провайдер>. Впервые звукозаписывающая корпорация согласилась на легализацию настоящего P2P.

Возможно, таким образом корпорации тестируют новую модель продажи музыкальных композиций, когда лицензионные отчисления делают не пользователи, а интернет-провайдеры. Это предположение подтверждается заявлениями руководителей Playlouder. Они говорят, что если все провайдеры в мире применят такую же модель отчислений, то музыкальная индустрия будет дополнительно получать $13,5 млрд в год.

Количество шпионских программ удвоилось, а количество сайтов, на которых происходит заражение, учетверилось по сравнению с данными предыдущего квартального отчета. Так, в интернете насчитывается уже более трехсот тысяч сайтов, на которых можно подхватить шпиона.

Эксперты обнаружили. что spyware становится более изощренным, а вред, наносимый им, постоянно увеличивается. Современные шпионские программы проникают на компьютер совершенно незаметно даже для продвинутого пользователя и получают гораздо больше конфиденциальной информации, чем раньше.

Вот список нескольких наиболее распространенных spyware.

CoolWebSearch. Перенаправляет пользователя на страницу собственного поисковика, изменяет настройки IE, создает уязвимость в Java Virtual Machines.

Elite Bar. Следит за тем, какие страницы посещает пользователь и регулярно демонстрирует ему попап-рекламу. Также может менять настройки IE.

PowerScan. Изучает поведение пользователя в сети, показывает попапы. Может скачивать и выполнять произвольные программы без ведома пользователя. Обычно проникает на компьютер через ActiveX.

Look2Me. Следит за поведением пользователя в Сети и докладывает на базовый сервер. Имеет функцию автообновления и загрузки программ, при помощи которых затрудняется его обнаружение и удаление. Проникает на компьютер через ActiveX и дырки в веб-приложениях.

PurityScan. Следит за поведением пользователя в Сети и докладывает на базовый сервер. Его весьма сложно обнаружить и удалить. Может автообновляться и скачивать и запускать программы. Показывает назойливую рекламу и снижает производительность браузера. Попадает на компьютер через файлообменные сервисы, такие как Grokster или Kazaa.

Clkoptimizer. Следит за пользователем, показывает попапы. Может скачивать и запускать программы. Попадает на компьютер через ActiveX.

Также в интернете весьма популярны ISTBar, AbberInternet, 180search и Web Search Toolbar.

В Китае вводятся "нормы здоровой игры"
В Китае вводятся в действие новые правила для играющих в многопользовательские онлайновые игры, передает Financial Times.

Власти Китая убеждены, более чем 25 миллионам китайцев грозит настоящая зависимость от многопользовательских игр, на которые они тратят слишком много времени. Для того, чтобы избавить их от этой опасности, в стране вводятся "нормы здоровой игры", определяющие, сколько времени желательно тратить на игры.

Согласно стандартам, разработанным китайской Администрацией прессы и публикаций, "здоровой" будет считаться игра, не превышающая по продолжительности трех часов. Соответствующее соглашение подписала уже большая часть китайских компаний, занимающихся многопользовательскими играми.

Для того, чтобы убедить игроков не играть более трех часов, будут введены специальные меры: игроки, проводящие в игре больше положенного времени, будут получать меньше очков опыта, находить менее ценные предметы и тому подобное.

Если же игроки проведут в игре более пяти часов, то каждые 15 минут они будут получать сообшение: "Вы вступили в нездоровое время игры. Пожалуйста, прекратите пользование интернетом и отдохните. Если вы этого не сделаете, то пострадает ваше здоровье, а все очки, заработанные вами в игре, обнулятся". Windows XP оказалась уязвимой для червей типа Zotob
Уязвимость plug-and-play, которая на прошлой неделе всполошила пользователей Windows 2000, представляет серьезный риск и для некоторых систем Windows ХР, сообщила Microsoft.

В распространенной во вторник рекомендации компания предупреждает, что компьютеры с Windows XP Service Pack 1 в определенной конфигурации уязвимы к атакам червей, аналогичных тем, что поражают системы Windows 2000.

Червь Zotob и его производные, плюс несколько других червей, поразили массу компьютеров Windows 2000, включая системы ABC, CNN и The New York Times. Все эти черви используют ошибку функции Windows plug-and-play, которую Microsoft исправила в начале этого месяца и оценила как <критическую>.

Ранее считалось, что к дистанционным атакам с использованием ошибки plug-and-play уязвимы только машины Windows 2000. Однако Microsoft в своих рекомендациях приводит сценарий возможного заражения и отдельных систем Windows ХР. Уязвимы также системы Windows XP SP1 с обобщенными файлами и принтерами и с включенной учетной записью пользователя Windows guest. Microsoft отмечает, что в основном это домашние пользователи, так как если ПК подключен к сетевому домену, то уязвимость не проявляется.

<Существует сценарий атак, работающий для ограниченного, узкого круга пользователей, - говорит директор Microsoft Security Response Center Дебби Фрай-Уилсон. - Однако, поскольку на прошлой неделе заказчики Windows 2000 подверглись атакам, мы хотим принять дополнительные меры предосторожности, предоставив пользователям эту проясняющую информацию>.

Вероятность того, что существует много таких уязвимых систем, очень мала, сказала Фрай-Уилсон. Большинство потребителей уже обновило свои машины Windows ХР на Service Pack 2. В организациях же, где Windows XP SP1 встречается чаще, компьютеры обычно подключены к сетевым доменам и неуязвимы.

О возможности атак на Windows XP Microsoft сообщил производитель программных средств защиты Symantec. Microsoft не известно о каких-либо реальных атаках на Windows ХР с использованием уязвимости plug-and-play, тем не менее компания настоятельно рекомендует пользователям установить поправки.

Microsoft Anti-Spyware обнаружила шпионский модуль в MSN Messenger plus

Недавно выпущенный MSN Messenger plus от Microsoft классифицируется как spyware (шпионское ПО) собственной же программой компании - Microsoft Anti-Spyware.

Выражается это в том, что Anti-Spyware уведомляет пользователя о наличии в исполняемом файле "msgplus.exe" явного алгоритма spyware.

При этом, по утверждению самой Microsoft, никаких spyware или adware (рекламных материалов) этот файл не содержит и происшедшее - это случайное недоразумение и недоработки в программе.

Microsoft выпускает антифишинговую утилиту
Компания Microsoft в ближайшее время выпустит в коммерческую эксплуатацию антифишинговую утилиту.

По данным Associated Press, работа этой утилиты будет заключаться в обнаружении попыток фишинга и предупреждении пользователя о таких попытках.

Сейчас утилита поставляется только с Internet Explorer 7.0 и только для ограниченного числа разработчиков и тестеров. Однако в ближайшие несколько недель Microsoft планирует внедрить ее в тулбар, так что утилита будет доступна также пользователям более старых версий браузеров.

Работа утилиты будет выглядеть примерно следующим образом. Как только пользователь переходит на подозрительный URL, утилита предложит ему сверить этот адрес с базой данных Microsoft. Если пользователь соглашается, производится проверка, после которой сообщается, безопасный этот адрес или нет.

Китайцы атакуют правительственные сети США
Китайские веб-страницы постоянно используются для взлома сетей Департамента безопасности и других агентств США, таких как Департамент энергетики, Департамент внутренней безопасности, а также электронных систем военных подрядчиков, сообщает агентство AFP со ссылкой на Washington Post.

К счастью, системы, содержащие секретную информацию, не подвергаются нападению хакеров, однако есть опасения, что информация, собранная из разных источников, сможет нанести определенный ущерб - заявляют официальные лица.

Согласно другим источникам, ФБР начали расследования по ряду случаев взлома систем. Операция получила название <Титановый дождь>. Однако официальные лица ФБР отказываются давать комментарии, ссылаясь на то, что расследование не дало достаточных показаний относительно того, кто же реально стоит за этими атаками. Это может быть как организованная группа из КНР (Китайской Народной Республики), так и далекие друг от друга хакеры.

Например, некоторые эксперты Пентагона уверены в причастности Китая, в то время как другие считают, что вскрытие электронных систем - это проделки других хакеров, использующих китайские сети для конспирации.

НР разрабатывает новую проекционную технологию для борьбы с пиратством
Экранные копии кинокартин, снимаемые с помощью портативных видеокамер во время премьеры, являются одной из самых больших проблем кинобизнеса. Чтобы приструнить видеопиратов, HP принялась за создание новой проекционной технологии.

По заявлению компании, разрабатываемая ее специалистами система сделает нелегальную запись с "большого экрана" невозможной. Других подробностей HP пока не сообщает.

Попытки решить проблему экранного пиратства предпринимались и ранее. На создание технологий борьбы с ним компания Cinea в 2002 году получила грант $2 млн. Компания предложила вносить небольшие изменения в синхронизацию кадров и модуляцию светового луча, формирующего изображение, в результат чего экранная копия оказывалась запорченной.