Выпуск No. 84 

Новостной

Электронный журнал

Security Computers & Internet

  от 14.03.2007

B прошлый четверг был дан старт проекту "Month of PHP Bugs", в рамках которого,  весь март будут раскрываться уязвимости в безопасности скриптового языка PHP. На данный момент были раскрыты 11 уязвимостей, некоторые из них позволяют захватывать контроль над системой, использующей PHP. "Эта инициатива – попытка улучшить безопасность PHP", - сообщает на сайте проекта его создатель, специалист Стефан Эссер (Stefan Esser).

Сообщения об уязвимостях будут сосредоточены на ошибках в ядре PHP и не коснутся кода PHP, делающего уязвимыми отдельные приложения на его основе. Данный проект более чем актуален: согласно данным информационного портала Security Focus, за 2006 год около 43% всех сообщений об уязвимостях касались PHP. "Month of PHP Bugs" получил поддержку проекта "Hardened-PHP", запущенного тремя немецкими специалистами еще в 2004 году для укрепления безопасности PHP.

"Month of PHP Bugs" следует за схожими проектами, раскрывавшими недавно уязвимости в Mac OS и различных браузеров. По словам создателей проектов, раскрытые уязвимости были в скором времени устранены разработчиками. Однако в нынешнем проекте будут опубликованы не только новые ошибки, но и уже пропатченые, а также наиболее опасные из обнаруженных ранее.

Источник: compulenta.ru

Видеосервис YouTube в очередной раз помог правоохранительным органам поймать преступников. Брайан Джонсон, сотрудник полицейского управления Франклина (штат Массачусетс) изучал видеозапись с камер наблюдения, на которой двое мужчин используют ворованные кредитные карты, и пытался установить личности злоумышленников. Не сумев справиться с этой задачей самостоятельно, полицейский решил обратиться за помощью к интернетчикам и выложил видеоклип на сайте YouTube. Кроме того, Джонсон разослал по электронной почте ссылку на ролик 300 пользователям и организациям с просьбой опознать подозреваемых. Как и ожидалось, посетители YouTube смогли помочь полиции и сообщили имена воришек, которых вскоре удалось арестовать.

В декабре прошлого года благодаря YouTube канадская полиция нашла подозреваемого в убийстве. Полицейские из Гамильтона (провинция Онтарио) разместили тогда короткий клип, в котором были запечатлены два молодых человека, пришедших в ноябре в ночной клуб на концерт исполнителя хип-хопа. После концерта на парковке рядом с клубом завязалась драка, в результате которой двое юношей получили ножевые ранения, и один из них - двадцатидвухлетний Райан Миллер - скончался. Посетители YouTube просмотрели видеоролик более 35000 раз и за две недели снабдили правоохранительные органы информацией, которая помогла следствию.

Однако так полицейским везет не всегда. К примеру, в Авентуре (штат Флорида) с 2001 года расследуется дело об убийстве, но преступник до сих пор не найден. В распоряжении правоохранительных органов имеется видеозапись с камер наблюдения в супермаркете, где жертва беседует с молодым человеком, вероятным убийцей. Полиция выложила клип в интернет и попросила пользователей обратить внимание на походку подозреваемого и на татуировку на руке. Однако по сей день ни одного стоящего сообщения от интернетчиков получено не было, и неопознанный убийца разгуливает на свободе.

Примечательно, что YouTube помогает еще и бороться с правонарушениями среди сотрудников правоохранительных органов. Общественные группы, которые следят за поведением полицейских, частенько размещают на сайте популярнейшей видеослужбы записи арестов, в ходе которых копы злоупотребляют властью. Так, в прошлом году ФБР начало собственное расследование, после того как на YouTube появилась запись избиения подозреваемого полицейским.

Источник: compulenta.ru

Политики любят придумывать законы, которые создают видимость деятельности, считают авторы портала Addict3d.org. Так, в Нью-Йорке предложили ввести закон, согласно которому продажа террористу доменного имени будет считаться преступлением.

Пользователи Интернета восприняли новость с долей скепсиса: по их мнению, законодатели борются с ветряными мельницами вместо с того, чтобы решать реальные проблемы.

Если закон будет принят, он только усложнит работу регистраторов. Сейчас большинство процессов продажи доменов автоматизированы. В будущем, вероятно, регистраторам придется перепроверять "вручную", не является ли организация террористической группой, а физическое лицо - террористом.

Очевидно, что если бы террористы регистрировали домены под своими реальными именами с указанием реальных контактов, это только бы облегчило процесс их поимки, что, конечно же, не входит в планы настоящих преступников.

Источник: info.nic.ru

В начале марта Комитет по авторским гонорарам (Copyright Royalty Board, CRB) объявил ставки роялти для интернет-радиостанций. CRB отмел пожелания радиовещательных компаний и принял систему ставок, которую предложила SoundExchange - организация по сбору отчислений за цифровую музыку, созданная Американской ассоциацией звукозаписывающих компаний (RIAA) в 2000 году.

Если в 2006 году онлайновые радиостанции должны были платить авторам песен по 0,008 доллара США за композицию в расчете на одного слушателя, то в 2007 году ставка вырастет до 0,011 доллара США, в 2008 году она составит 0,014 доллара США, в 2009 году - 0,018 доллара США, а в 2010 году - 0,019 доллара США. Сумма роялти, выплачиваемых интернет-радиостанцией, будет зависеть от численности ее аудитории, сообщает Radio and Internet Newsletter. Неясно, каким образом авторские гонорары будут отчислять те службы, которые составляют для слушателей индивидуальные плейлисты.

В течение пятнадцати дней радиостанции могут обратиться в CRB с просьбой пересмотреть систему ставок. Через шестьдесят дней Комитет по авторским гонорарам вынесет окончательное решение, которое будет опубликовано в Федеральном регистре. В течение тридцати дней после публикации радиостанции могут обжаловать решение CRB в апелляционном суде округа Колумбии.

По данным исследовательской фирмы comScore, в ноябре 2006 года аудитория радиостанции AOL Radio Network с шести утра до полуночи составляла, в среднем, 210694 слушателя. Если учесть, что радио работает 31 день в месяц, а песни транслируются восемнадцать часов в день (по шестнадцать композиций в час), то ежемесячно AOL Radio проигрывает 2,1 миллиарда треков. Таким образом, сумма авторских гонораров, которые радиостанция должна выплатить за ноябрь, равна 1,65 миллиона долларов США. А за 2006 год компания должна выложить роялти в размере около 20 миллионов долларов США.

Новая система ставок роялти крайне негативно отразится на бизнесе средних и маленьких радиостанций. Они просто не смогут выплачивать авторам такие огромные гонорары (150-200% от дохода радио) и будут вынуждены уйти с рынка. Компенсировать расходы на роялти онлайновым радиостанциям не поможет даже прибыль от видеорекламы и рекламных баннеров, размещаемых на их сайтах.

Источник: lenta.ru

VMware, лидер рынка программного обеспечения виртуализации, утверждает, что Microsoft старается лишить пользователей Windows возможности устанавливать инструменты виртуализации от независимых поставщиков.

Что это, сгущение красок, или же VMware старается избежать участи Netscape, которая ее ожидает в результате введения в операционную систему собственной технологии виртуализации Microsoft?

В опубликованном на веб-сайте VMware документе говорится, что Microsoft не будет поддерживать работу Windows или своих приложений поверх виртуальной машины от независимого поставщика, если пользователь не купит услуги технической поддержки Microsoft уровня Premier. Microsoft не отрицает этого: требование контракта Premier связано со стремлением «обеспечить высококачественную техническую поддержку», — пояснил менеджер по стратегии виртуализации Майк Нил.

Однако если Microsoft может поддерживать своих заказчиков Premier, работающих со сторонними виртуальными машинами, то «нет никаких технических причин, по которым нужно лишать этой возможности всех остальных», — пишет VMware.

Формат Microsoft Virtual Hard Disk позволяет пользователям создать копию операционной системы Windows и приложения в виде единого виртуального файла, который теоретически может работать на любой виртуальной машине. VMware говорит, что некоторые из этих файлов VHD «самодеактивируются, если обнаруживают, что работают не внутри продуктов Microsoft Virtual Server или Virtual PC».

Директор VMware по управлению продуктами Сринивас Кришнамурти обвиняет Microsoft в создании искусственных преград для внедрения заказчиками продуктов VMware. Нил из Microsoft не отвечает прямо на претензии к Virtual Hard Disk, но говорит, что политика Microsoft в отношении ее продуктов виртуализации «прогрессивна и справедлива… она создает для партнеров и заказчиков ровное игровое поле».

Это ровное игровое поле очень хорошо известно Netscape.

Источник: algonet.ru

EMI приостановила переговоры с компаниями - владельцами онлайновых музыкальных сервисов. Переговоры касались возможного отказа EMI от использования технологии защиты от копирования, которую она встраивает в музыку из своего каталога.

Перспективы лицензирования музыки, которую можно свободно копировать, EMI обсуждала с Apple, Microsoft, RealNetworks, Yahoo и Amazon. Договориться о том, сколько ритейлерам придется за это платить звукозаписывающей компании, сторонам не удалось. Все четыре компании посчитали эту сумму слишком высокой, и переговоры застопорились. То, что компании должны заплатить вперед в качестве компенсации за возможность копирования музыки, EMI обозначила главным условием сделки. Продавцов музыки через интернет, в первую очередь, беспокоит другое: насколько им придется повысить стоимость песен и альбомов, если они согласятся с требованиями EMI.

Напомним, что заявления звукозаписывающей студии о том, что она продает часть своих дисков без встроенной защиты от копирования, вызвали настоящий ажиотаж внутри индустрии и получили одобрение со стороны ярых противников DRM. Однако до недавнего времени представители лейбла утверждали, что EMI никогда не пойдет на полный отказ от использования DRM.

Источник: compulenta.ru

Вместо форума, по адресам noputin.com и noputin.ru была размещена фотография Путина со ссылкой на официальный сайт президента. В настоящее время на сайте идут работы по устранению причин взлома.

Напомним в прошлом месяце был взломан сайт движения против нелегальной миграции dpni.org, на котором хакеры расположили зеркало сайта Единой России. В ближайшее время ожидается резкий рост политических взломов в интернете как инструмент конкурентной политической борьбы перед ближайшими выборами депутатов и президента.

 

Источник: lenta.ru

Инженер Гродненского филиала РУП «Белтелеком» подозревается в несанкционированном доступе к чужой информации. Жертвой стала его бывшая возлюбленная. В компьютере обвиняемого была найдена информация, подтверждающая его причастность к преступлению.

Как сообщил начальник отдела по раскрытию преступлений в сфере высоких технологий УВД Гродненского облисполкома Сергей Черняк, таким способом мужчина решил отомстить своей бывшей возлюбленной. Путем подбора и изменения пароля хакер получил несанкционированный доступ к информации, содержащейся в анкете потерпевшей на одном из сайтов знакомств. В результате его действий владельцы сайта заблокировали данную анкету. После обращения девушки с заявлением в милицию сотрудники отдела по раскрытию преступлений в сфере высоких технологий УВД облисполкома вышли на бывшего приятеля пострадавшей.

В отношении инженера Гродненского филиала РУП "Белтелеком" возбуждено Уголовное дело по статье "Компьютерный саботаж". В соответствии с законодательством мужчине грозит от 3 до 10 лет лишения свободы.

Источник: lenta.ru

Компания NGS Software, специализирующаяся в области информационной безопасности, предупредила о появлении нового типа хакерских атак, повышающих опасность наиболее распространенных уязвимостей в программах для построения баз данных Oracle. Новый прием, которым пользуются взломщики, позволяет получить полный контроль над сервером базы данных, обладая минимальными привилегиями.

На конференции Black Hat эксперт NGS Software Дэвид Литчфилд сообщил, что уже появились образцы хакерского кода, использующего для взлома баз данных Oracle все основные уязвимости в SQL. С помощью новой техники взлома, эксплуатировать эти уязвимости может любой подключенный к базе данных пользователь.

Oracle, в свою очередь, заявила, что знает о новом типе хакерских атак и рекомендует пользователям пропатчить все известные уязвимости. По мнению Литчфилда Oracle должна обратить особое внимание на новые приемы хакеров и в дальнейшем отказаться от использования системы привилегий в качестве инструмента для снижения опасности существующих уязвимостей. Эксперт считает, что по этой причине сейчас многие клиенты Oracle не торопятся устанавливать необходимые патчи.

Источник: compulenta.ru

По сообщениям газеты The Financial Times, представитель компании Microsoft выступит с докладом перед Ассоциацией издателей США (AAP), в котором содержится критика в адрес компании Google. Крупнейшую интернет-фирму собираются обвинить в незаконном использовании книг, музыки, фильмов и телевизионных программ без соответствующего разрешения.

Критиковать Google будет Том Рубин, главный советник Microsoft. В его докладе говорится, что в то время, как авторы и издательства с трудом покрывают расходы на выпуск книг, "компании, не создающие никакого контента и зарабатывающие деньги исключительно за счет чужой информации, получают миллиарды за счет рекламы и размещения акций".

Претензии к Google возникают у издательств, недовольных тем, что на страницах сервиса books.google.com можно найти книги, размещенные в Сети без разрешения правообладателей. Возмущены деятельностью Google и телекомпании, не согласные с размещением на сайте YouTube (купленным поисковиком в 2006 году) фрагментов телевизионных шоу.

Источник: lenta.ru

В Дмитровском районе Московской области будет построен технопарк в сфере высоких технологий, соответствующее постановление было принято на заседании правительства Московской области, сообщает РБК. Согласно документу, общий объем инвестиций в строительство объекта составит 15,8 млрд руб. Финансирование будет поступать из различных источников, в том числе и из федерального бюджета в рамках федеральной адресной инвестиционной программы.

В документе указано, что технопарк будет построен до 2010 г. Он займет участок площадью 215 га. Как отмечалось на заседании, уже в текущем году для проведения проектно-изыскательских работ по созданию объектов технопарка из бюджета РФ выделяется 42,5 млн руб.

По информации членов правительства области, на территории промышленного округа планируется разместить высокотехнологичные предприятия различного профиля и научно-исследовательские организации, учебные центры, посреднические и сервисные компании, которые, опираясь на единую инфраструктуру в округе, будут участвовать в разработке и общей коммерческой организации проектов в сфере высоких технологий. До 2012 г. в округе будет введено 75 тыс. кв. м производственно-складских помещений, 145 тыс. кв. м офисных площадей, объекты социальной инфраструктуры займут почти 70 тыс. кв. м, учебные корпуса и общежития для студентов и ведомственное жилье займут 65 тыс. кв. м.

К 2012 г. планируется выход объекта на проектную мощность, после чего налоговые поступления в консолидированный бюджет региона составят, согласно расчетам, ежегодно не менее 2 млрд руб.

Источник: lenta.ru

В подмосковном городе Сергиев-Посад за распространение sms-сообщения антисемитского содержания осужден студент одного из московских юридических вузов, сообщается в понедельник на сайте прокуратуры Московской области. Приговором суда студенту назначено наказание в виде 150 часов обязательных работ.

По данным облпрокуратуры, 9 мая 2006 года Сергиево-Посадская муниципальная телерадиокомпания "Радонежье" в прямом эфире транслировала цикл передач, посвященных Дню Победы. От телезрителей принимались звонки в студию, а также sms-сообщения с мобильных телефонов, которые выводили на экран бегущей строкой.

"В 16:31 многочисленные зрители телеканала увидели бегущее" текстовое сообщение, которое "своим содержанием унижало национальное достоинство как представителей еврейской национальности, так и не россиян в целом, и призывало к экстремистским действиям по отношению к ним", - отмечается в сообщении.

По данному факту Сергиево-Посадская городская прокуратура возбудила уголовное дело. В ходе следствия было установлено, что это sms-сообщение отправил на студию со своего мобильного телефона 22-летний студент одного из московских юридических вузов Андрей Качанов.

Действия Качанова прокуратура квалифицировала по ст.282 ч.1 УК РФ (возбуждение ненависти или вражды, а равно унижение человеческого достоинства человека, либо группы лиц по признакам пола, расы, национальности, языка, происхождения, отношения к религии, а равно принадлежности к какой-либо социальной группе, совершенные с использованием средства массовой информации).

7 декабря 2006 года Сергиево-Посадский городской суд, рассмотрев дело, согласился с мнением государственного обвинителя, признал подсудимого виновным в инкриминируемом преступлении и приговорил студента к 150 часам обязательных работ.

В настоящее время судебное решение вступило в законную силу.

Источник: compulenta.ru

Сообщество свободного программного обеспечения — FSF — инициировало кампанию против Microsoft Windows Vista. Сторонники открытого кода считают, что крупные производители аппаратного обеспечения должны гарантировать пользователю свободу выбора ПО. Как выяснилось, и российские вендоры поддерживают эту точку зрения.

FSF выступает за уважение прав пользователей, за безопасность и конфиденциальность данных, которые можно получить, используя альтернативные программные продукты с открытым исходным кодом. Для реализации кампании FSF открыла блог BadVista.fsf.org, на котором будут освещаться, в частности, вопросы безопасности использования Vista на компьютерах пользователей. По мнению участников сообщества, производители аппаратного обеспечения могут способствовать распространению бесплатного ПО, предустанавливая его на новые компьютеры, поставляя драйвера для своих устройств и предлагая бесплатный BIOS (базовая система ввода-вывода компьютера, код которой расположен на чипе), в котором не будут установлены различные системы защиты цифровых прав (DRM).

Вместе с тем, не имея способов прямого воздействия на производителей компьютеров, FSF намерено убеждать их в том, что компьютеры с Vista продаются хуже. «Мы находим подтверждение тому, что продажи новых компьютеров с Windows Vista не так хороши, как планировала Microsoft», — отметил исполнительный директор FSF Питер Браун (Peter Brown). В FSF говорят о том, что предложения о сотрудничестве с сообществом открытого кода отправлены в Sun, HP и Dell еще в январе. Между тем в Dell уже принято решение предустанавливать Linux на некоторые корпоративные модели ноутбуков, рабочие станции и настольные ПК. Решение вендора основано на данных, полученных в процессе организованного им опроса потенциальных покупателей на форуме IdeaStorm, на них же ссылаются и в FSF. По мнению организаторов форума, «качественное свободное и открытое исходное программное обеспечение значительно понижает стоимость новых ПК и помогает предотвратить пиратство программного обеспечения».

Источник: cnews.ru

Правоохранительные органы Франции подтвердили факт взлома компьютеров в штаб-квартире Национального фронта - крайне правой организации, сформированной в 1966 г. на базе Лиги имперских лоялистов.

В похищенных из штаб-квартиры файлах, как сообщает Reuters, содержался список должностных лиц, согласившихся поддержать на выборах президента Франции Жана-Мари Ле Пена, основателя Национального фронта. Кандидатов на пост президента страны достаточно много, однако более пяти процентов голосов теоретически смогут набрать лишь четверо. Это - упомянутый Жан-Мари Ле Пен, представительница Социалистической партии Франции Сеголен Руаяль, кандидат от центристов Франсуа Бэру и министр внутренних дел Николя Саркози. Именно между этой четверкой и должна разгореться основная борьба.

Первый тур выборов президента Франции запланирован на 22 апреля, второй - на 6 мая. С каждым днем предвыборная гонка разгорается все с большей силой, при этом методы борьбы, использующиеся сторонами, зачастую оказываются не совсем законными. Основатель Национального фронта, в частности, опасается, что похищенный из штаб-квартиры организации список может быть использован соперниками по выборам с целью оказания давления на официальных лиц, изъявивших намерение поддержать Ле Пена.

Спецслужбы, проводящие расследование инцидента в штаб-квартире Национального фронта, задержали сотрудника, чей компьютер стал источником утечки конфиденциальных данных. Однако впоследствии работник был отпущен. Киберпреступник, осуществивший взлом, пока не пойман.

Источник: compulenta.ru

Главный надзорный орган над финансовым рынком Британии – FSA – собирается ввести обязательное правило, согласно которому компании будут обязаны предавать гласности утечки персональных данных.

Организация FSA (Financial Services Authority - Управление финансовыми услугами) выразил свое недовольство тем, что британские компании часто скрывают утечки персональных данных от общественности. В качестве одной из возможных контрмер представители FSA называют принятие правила, требующего немедленного уведомления всех пострадавших в случае утечки приватных сведений. Предполагается, что такой шаг мотивирует компании бережнее обращаться с личной информацией граждан. В то же время представители FSA признают, что иногда уведомлять потерпевших не следует (например, пока идет расследование или были украдены надежно зашифрованные данные).

О новых правилах FSA стало известно вскоре после того, как надзорный орган наложил на Nationwide Building Society штраф почти в 1 млн. фунтов стерлинга. Расследование, проведенное в связи с кражей информации об 11 млн. членах общества, выявило серьезные бреши в системе безопасности компании.

Напомним, что компания Nationwide Building Society уведомила об утечке всех пострадавших. Хотя остается неизвестным, это было сделано по доброй воле или под давлением FSA. В любом случае, по мнению аналитического центра InfoWatch, извещения начали рассылать с большой задержкой, что свидетельствует об инициативе со стороны FSA. Таким образом, можно утверждать, что именно опыт общения с компаниями, которые желают скрыть факт утечки, заставил FSA создать новые правила и распространить их на все финансовые компании.

Источник: cnews.ru

Ведущий журнала: dean777
e-mail: dj-dean777@mail.ru
ICQ: 865-810
Skype: dean-777

Портал: скоро будет