Выпуск No. 64 

Новостной

Электронный журнал

Security Computers & Internet

  от 20.01.2007

Лаборатория информационной безопасности iDefense Labs объявила конкурс критических уязвимостей (позволяющих удаленно выполнять произвольный код в системе), а также эксплойтов к Windows Vista и Internet Explorer 7.

Конкурс пройдет в течение текущего квартала. По его окончании — 31 марта — заявки будут оценены, и первые 6 человек получат по $8-12 тыс. за каждый из присланных материалов об уязвимостях.

Присланные материалы будут оцениваться по работоспособности в новейших версиях ОС и браузера с уже установленными патчами. Уязвимости в релизе-кандитате и бета-версиях рассматриваться не будут. Также уязвимость должна относиться непосредственно к продуктам и не требовать для срабатывания наличия в системе сторонних приложений или модулей.

Кроме приза в $8 тыс. за факт обнаружения уязвимости, организаторы заплатят от $2 тыс. до $4 тыс. за реализацию эксплойта. Требование к эксплойту: отсутствие вредоносных проявлений. Верхний лимит выплачиваемой суммы относится к эксплойтам с хорошо оформленной документацией и качественным исходным кодом.

Источник: lenta.ru

Операция немецкой полиции «Микадо», проводимая в течение полугода в Магдебурге, успешно завершилась арестом 322 пользователей платного сайта с детской порнографией.

В процессе операции был проведён самый масштабный в истории страны поиск в базе данных об операциях с кредитными картами. Практически каждый из 22 млн. владельцев карт был проверен на предмет платежей ресурсам с детским порно. Торстен Майер (Torsten Meyer), следователь отдела уголовного розыска земли Саксон-Анхальт, поблагодарил банки и другие финансовые учреждения за сотрудничество.

По результатам анализа данных, были арестованы 322 человека, подозреваемые в приобретении нелегальных изображений и видео по своим кредитным картам. Их отследили по ежемесячным переводам €61 на определённый банковский счет. За эту плату они получали доступ к платному сайту с детской порнографией, территориально расположенному на Филиппинах.

В ответ на опасения правозащитников по поводу столь масштабного вторжения полиции в банковскую информацию о гражданах полицейские заявили, что они непосредственно не заглядывали в записи. Выборка была сделана по их просьбе банками, и в полицию попала подборка только на 322 лиц, любителей порнографии.

По немецким законам, распространение изображений полового сношения лица, не достигшего 14-летнего возраста, карается тюремным заключением на срок от 2 до 5 лет, а хранение таких материалов — сроком до 1 года.

Источник: cnews.ru

На рассмотрение Сената США снова подан билль, предписывающий всем провайдерам придерживаться сетевого нейтралитета — обеспечения равного доступа всех провайдеров контента к пользователю. Инициаторами билля cтали республиканец из Мэна Олимпия Сноу (Olympia Snowe) и демократ из Северной Дакоты Байрон Дорган (Byron Dorgan), объединившие два своих практически идентичных проекта.

«Акт о сохранении свободы интернета», представленный ими ранее, не прошёл через Сенат в прошлом году. Повторное рассмотрение билля, по словам Сноу, «отмечает ещё один шаг в сторону передачи интернета в руки пользователей, а не в руки небольшого числа «привратников».

Согласно законопроекту Сноу-Дорган, провайдеры не смогут блокировать или уменьшать канал доступа поставщикам контента, не заключившим с ними специальный договор. Также они не смогут, к примеру, брать с YouTube деньги за доставку их видео быстрее, чем, скажем, с Revver.com, а предоставляя дополнительные мощности одному ресурсу, будут обязаны сделать то же самое и для других ресурсов того же типа.

Билль также лишает провайдеров права определять круг устройств, которые пользователи подключают к сетевому соединению, кроме тех, которые могут навредить безопасности или другим пользователям.

Интернет-провайдеры не во всём согласны с сенаторами — сторонниками сетевого нейтралитета. Если с запретом на намеренное уменьшение канала для тех, кто не заплатил за доставку, можно согласиться, то улучшение канала определённому сервису за дополнительную плату без ущерба для других видится им вполне приемлемым способом работы. Уолтер Маккормик (Walter McCormick), президент US Telecom Association, представляющий более 1200 телекоммуникационных компаний, сказал, что билль делает незаконным инвестиции провайдеров в специализированные сервисы. Если все поставщики контента должны быть равны, то «это означает, что мы потеряем преимущества интернета в области удалённого здравоохранения, улучшения защиты финансовых транзакций, лишимся новых развлекательных средств и возможностей для новых видов телекоммуникаций», — сказал он.

В прошлый раз билль не прошёл: было отдано равное количество голосов «за» и «против» — по 11. В числе сторонников билля оказалось больше демократов, чем республиканцев. Поскольку в новом созыве демократов чуть больше, чем в прошлом, у сетевого нейтралитета появился шанс пройти.

Источник: cnews.ru

Системы IP-телефонии в ближайшее время станут вторым по величине сегментом рынка информационной безопасности, сообщает сайт The Register со ссылкой на аналитическую компанию InStat. По оценкам экспертов этой компании, число проданных IP-телефонов вырастет с 9,9 миллиона в 2006 году до 45,8 миллиона в 2010 году.

Несмотря на то, что системы IP-телефонии получают все большее распространение, многие компании все еще не готовы для новых угроз безопасности, свойственных этой технологии. Тем самым, беспечные компании создают благодатную почву для дискуссий в среде продавцов защитных программ. Создатели и распространители защитных программных средств обсуждают существующие угрозы в надежде раскачать рынок, участниками которого они являются.

Согласно прогнозам компании Symantec, сети, работающие с протоколом VoIP, станут новым вектором фишинг-атак. В письмах мошенников уже появляются варианты предложений передавать конфиденциальную информацию о пользователях по телефону, а не через фальшивые веб-сайты, заявляет представитель Symantec Зульфикар Рамзан (Zulfikar Ramzan). Подобные случаи пока редки, но они свидетельствуют о нарастающей угрозе, подчеркивает Рамзан.

«Так называемые голосовые фишинг- или вишинг-атаки предусматривают использование протокола VoIP. В результате организация такой атаки может обойтись достаточно дешево, что позволит фишерам получать существенную прибыль. В то же время, большого числа сообщений о подобных атаках не зафиксировано, поэтому о тенденциях их развития нет четкого представления», — пишет в своем отчете Рамзан.

В отчете Symantec также упоминаются случаи отправки мошенниками SMS. Речь идет о так называемых смишинг-атаках. Пользователи получают предупреждения о том, что с их мобильного счета ежедневно будет списываться определенная сумма, если они не отменят некий несуществующий заказ, сделанный на сайте мошенников. Обеспокоенная жертва посещает сайт, чтобы отменить заказ и либо оставляет информацию о своем банковском счете, либо натыкается на ресурс с вредоносным программным обеспечением. Новые антифишинговые технологии (например, использование двухступенчатой идентификации пользователя, которое не делает знание учетных данных пользователя достаточным для взлома его счетов) сейчас находятся в стадии разработки, подчеркивает Рамзан.

Создатели защитных программ беспокоятся о том, что сети VoIP могут быть использованы для распространения вредоносного кода. Вместо того, чтобы использовать программы-клиенты для мгновенного обмена сообщениями вроде Skype, хакеры будут создавать коды для переключения телефонных линий. Таким образом, ожидая соединения с банком, клиент на самом деле будет соединяться с преступниками, прогнозирует представитель Panda Software Фернандо де ла Куадра (Fernando de la Cuadra).

Для этого преступникам придется выйти на новый уровень развития, но в случае их успеха, новый подход потребуется и разработчикам антивирусных программ, заявляет де ла Куадра.

Источник: lenta.ru

Антивирусная лаборатория компании Panda Software сделала прогноз главных угроз для компьютеров в 2007 году. По мнению специалистов лаборатории, основные проблемы как для пользователей, так и для компаний, обеспечивающих безопасность, будут те же, что и в 2006 году. Целевые атаки, т.е. атаки, целенаправленно ориентированные на поражение конкретных объектов; уязвимости в системном программном обеспечении и онлайновое мошенничество, особенно фишинг будет снова играть ведущую роль. Очевидно, общим знаменателем для всех этих атак снова будет финансовая прибыль.

PandaLabs также прогнозирует развитие методов социальной инженерии, особенно по отношению к спаму, принимая во внимание, что в последние месяцы 2006 года почтовая макулатура широко использовалась для подъема котировок ценных бумаг, и даже для воздействия на результаты выборов.

Использование уязвимостей – вот еще один фактор, который следует принять во внимание. Киберпреступники постараются воспользоваться временем между обнаружением уязвимости и выходом соответствующего патча от разработчиков. Хакеры постараются идентифицировать неизвестные проблемы безопасности во всех типах популярных приложений.

Источник: webplanet.ru

Таинственный обратный отсчет на сайте. Флэш-драйв с ключами шифра. Загадочные послания от девушки, которая называет себя Локи. Блоггеры по всему миру получают экстравагантные подарки с обратным адресом в штаб-квартире Microsoft. Все эти цепочки сходятся в одном месте — в «исчезающей точке».

Всплеск интереса к загадке Vanishing Point произошел во время выставки CES 2007, которая проходила 8-11 января в Лас-Вегасе. Тысячи зрителе видели феерическое водное видеошоу на улице, где картинка проецировалась на водяную стену в воздухе (фото). Девушка, которая сообщает шифр из полупрозрачной водяной завесы — это и есть Локи. В конце своей презентации она называет адрес сайта, где можно подробно изучить головоломку Vanishing Point.

Локи появилась в фонтане в воскресенье, как раз во время выступления Билла Гейтса на выставке CES 2007. Сайт же начал работать несколько недель назад. На сайте был указан десяток городов в США и Европе и осуществлялся обратный отсчет по каждому из них. Первым в списке был Лас-Вегас. После вышеупомянутого шоу стало понятно, в чем дело: в эту минуту на сайте стала доступна первая дюжина головоломок. Выступление Локи (его видеозапись прилагается) — ключ к решению задач. Игроки общаются на специальном wiki-форуме, где делятся своими советами и догадками, но главный приз достанется только одному.

Теперь стало совершенно очевидно, что игра «Исчезающая точка» — это часть вирусной маркетинговой кампании Microsoft по распространению операционной системы Windows Vista, которая должна появиться на полках магазинов 30 января 2007 г. Собственно, об этом можно было догадаться с самого начала, потому что Локи не скрывала своей причастности к Microsoft, а главный приз онлайнового соревнования — суборбитальный полет на четырехместном самолете Rocketplane — рекламировался как «полная виста на орбиту».

До 30 января 2007 г. аналогичные водяные шоу с выступлением Локи состоятся еще в десяти городах, в том числе в немецком Берлине. До этого времени любой игрок, который зарегистрируется на сайте, сохраняет возможность выиграть главный приз, независимо от его вклада в коллективный процесс решения этой головоломки. Правда, к розыгрышу допускаются жители только 11 стран.

Еще один, специальный приз ожидает того, кто определит истинную личность Локи. Имя победителя будет выгравировано на партии микропроцессоров AMD, сказал представитель Microsoft в интервью AP.

Источник: habrahabr.ru

Гигант кредитных карт и крупнейший в мире поставщик мобильных телефонов ввели в строй глобальную систему, которая превратит сотовые трубки миллионов потребителей в портмоне.

Чтобы оплатить покупку, достаточно поднести телефон к считывателю, который устанавливает связь с микрочипом в трубке, после чего владелец аппарата подтверждает платеж нажатием кнопки.

Платформа, ставшая результатом многолетних испытаний во всем мире, позволит организовать бесконтактные и дистанционные платежи, безналичные платежи между физическими лицами и систему мобильных купонов. Потребители смогут также управлять своими счетами через мобильные устройства. В создании мобильной платежной системы принимала участие IBM.

Беспроводным стандартом, который свяжет мобильные телефоны с платежной системой в магазинах и других заведениях, станет чип Near Field Communication (NFC), который устанавливает контакт при поднесении телефона к считывателю. Технология NFC, разработанная бывшим подразделением микросхем Philips NXP и Sony, уже сейчас широко применяется для проездных билетов.

Visa, крупнейший в мире эмитент кредитных карт, утверждает, что ее карты и платежные системы участвуют в операциях на общую сумму $4 трлн в год. В октябре Visa объявила о планах реструктуризации своих международных подразделений и создания новой компании открытого типа Visa Inc.

Вступившая в строй в понедельник первая версия мобильной платежной платформы поддерживает бесконтактные мобильные платежи, персонализацию в мобильных телефонных сетях, купоны и прямой маркетинг. Последующие версии, которые планируется ввести в эксплуатацию в этом году, обеспечат также дистанционные платежи — тоже через мобильные телефонные сети — и платежи между физическими лицами.

До сих пор мобильные платежные системы проходили лишь ограниченные испытания. В октябре ведущий японский эмитент кредитных карт JCB совместно с Nokia и нидерландским оператором связи KPN начал испытания первой мобильной платежной системы в Европе, установленной в семи магазинах в Нидерландах, при участии 100 держателей карт. Опытные мобильные платежные системы на транспорте работают также в Германии и Финляндии.

Источник: algonet.ru

Недавний выход программы, которая может декодировать фильмы на HD DVD и Blu-ray дисках, является первым шагом на пути к устареванию стандарта кодирования, использующегося в видеоплейерах следующего поколения, заявляют исследователи Принстонского университета. 

В прошлом месяце хакер Muslix64 выпустил приложение, декодирующее фильмы, созданные с применением системы AACS (Advanced Access Content System), поддерживающейся Голливудом и многими производителями видеоплееров. Впервые введенная в апреле 2005 года, AACS нашла поддержку в лице Microsoft, Panasonic, Sony, Toshiba, Walt Disney и Warner Bros. 

Исследования показали, что приложение BackupHDDVD не может взломать AACS, но для "продвинутых" пользователей существенно облегчает задачу декодирования фильмов. AACS первоначально была предложена как замена CSS (content scrambling system), системы защиты DVD. Последняя была взломана через несколько лет после появления усилиями трех хакеров, среди которых был 16-летний Джон Джохансен (Jon Johansen), разработавший BackupHDDVD. В итоге аналитики предсказывают, что молодой норвежский хакер положил "начало конца" распространенной ныне системе защиты авторских прав.

Новая версия системы защиты информации применялась при выпуске в широкую продажу фильмов «Metal Jacket», «The Last Samurai», и «The Fugitive». Сейчас каждая из этих картин находится в серьезной опасности. Потребителя больше не будут интересовать «лицензионные» версии этих фильмов, поскольку они смогут получить их точные копии за меньшие деньги.

Источник: lenta.ru

Компания Microsoft призналась, что одним из партнеров принимавшим участие в разработке операционной системы Windows Vista является Агентство Национальной безопасности США, более известная как организация, занимающаяся подслушиванием иностранных чиновников и американских граждан, как часть новой стратегии администрации Буша в борьбе с терроризмом.

Агентство призналось, что помогало усовершенствованию безопасности новой операционной системы Microsoft – чтобы “защитить ее от червей, Троянов и других коварных компьютерных злоумышленников”

“Наша цель состоит в том, чтобы каждому помочь с безопасностью” – сказал Тони В. Саджер, руководитель управления анализа
уязвимостей и операций.

В результате влияние АНБ огромно – операционная система Windows установлена более чем на 90% рабочих станциях в мире, и Vista, релиз которой назначен на 30 января, согласно прогнозам аналитиков,  будет использоваться более чем на 600 миллионах компьютерах к 2010 году.

По утверждению NSA, для проверки Windows Vista использовались 2 команды  – “красная команда ” и “голубая команда ”.  Красная команда, например, выступала в роли “Решительного, технически грамотного противника”, чтобы перехватить, изменить или украсть информацию. Синяя же команда помогала системным администраторам Департамента Безопасности в настройке Vista.

В Microsoft заявили, что это уже не первый случай, когда компания обращается в АНБ. На протяжении четырех лет, Microsoft использовало шпионское агентство для экспертизы безопасности других операционных систем, включая Windows XP и Windows 2003 для корпоративных клиентов.

Источник: cnews.ru

Ведущий журнала: dean777
e-mail: dj-dean777@mail.ru
ICQ: 865-810
Skype: dean-777

Портал: скоро будет