Выпуск No. 95 

Новостной

Электронный журнал

Security Computers & Internet

  от 16.04.2007

Японский хакер Такаши Тойя (Takashi Toya) не просто взломал культовый гибрид, но ещё и продемонстрировал, что его квалификация выше, чем у инженеров компании Toyota. После взлома компьютерного «мозга» автомобиля и переделки шин он уменьшил потребление топлива в два раза: с 5 литров на 100 км до 2,46 л. Для Японии это очень актуально, потому что там бензин стоит около доллара за литр.

В Японии взлом современных «компьютерных автомобилей» стал настоящим хобби для десятков фанатиков. Такаши Тойя говорит, что они с коллегами относятся к этому как к спорту и гонятся за рекордами. Например, Такаши переоборудовал свою машину так, что спокойно ездит на одной заправке (49 литров) по 1600 км, что на 40% выше заводской нормы.

Источник: crime-research.ru

Сетевое издание Macsimum News провело опрос среди своих читателей. Опрос касался того, готовы ли потребители покупать музыку без ограничений DRM по более высокой цене. 77% пользозователей ответили утвердительно.

Таким образом получено дополнительное подтверждение верности тезисов "Мысли о Музыке", высказанных Стивом Джобсом (Steve Jobs) в начале февраля 2007 года. Он полагает, что уже до конца 2007 года половина контента iTunes будет поставляться без ограничений DRM.

Соглашение со звукозаписывающим гигантом EMI, достигнутое 2 апреля 2007 года стало, по мнению главы компании Apple, первым шагом в этом направлении. Отказ от ограничений DRM предполагает возможность воспроизведения контента на неограниченном числе устройств. При этом сама модель устройства не лимитируется.

Источник: maccentre.ru

Власти США объявили о возбуждении новых исков против Китая, касающихся распространения контрафактной продукции и установления торговых барьеров.

Как заявил представитель американского министерства торговли Сьюзан Шваб, ежегодно компании США теряют миллиарды долларов на китайском рынке из-за контрафакта. По ее словам, сегодня власти США направят два иска во Всемирную торговую организацию (ВТО) по данным вопросам.

Первый иск будет касаться неспособности властей Китая защитить права интеллектуальной собственности и бороться с распространением контрафактной продукции, второй - запрещения на продажу в Китае аудио-, видео- и печатной продукции американского производства, передает Associated Press.

Китайское правительство уже успело отреагировать на обвинения в свой адрес. Как передает агентство "Синьхуа", Пекин выступает с резкой критикой решения властей США обратиться в ВТО для возбуждения новых исков. В сообщении агентства не уточняется, какие именно ответные меры намерен принять Пекин в этой связи.

"Правительство Китая выражает большое сожаление и сильное недовольство решением властей США", - говорится в заявлении.

США ранее неоднократно предупреждали КНР о том, что потребуют от Всемирной торговой организации решительных мер, если власти Китая не усилят свои действия по защите авторских и интеллектуальных прав.

По данным группы международных корпораций, входящих в состав организации "Бизнес в борьбе с контрафактом и пиратством" (BASCAP) при Международной торговой палате, Китай является мировым лидером по производству контрафактной и пиратской продукции.

Источник: rbc.ru

Компания Google принесла извинения китайской фирме Sohu, которая в конце прошлой недели заговорила о возможности подачи иска против поискового гиганта.

Недовольство Sohu вызвал выпуск компанией Google программного пакета Pinyin IME. Пиньин (Pinyin) представляет систему письменности в китайском языке, основанную на латинице. Продукт Google Pinyin IME, в свою очередь, предназначен для ввода иероглифов путем набора на QWERTY-клавиатуре их эквивалентов в системе пиньин. В процессе работы программа Google Pinyin IME обращается к специальному словарю и, в зависимости от забитых на латинице символов, предлагает наиболее подходящие варианты.

Практически сразу после выпуска Pinyin IME многие пользователи заметили, что данный продукт имеет значительные сходства с решением Sogou от компании Sohu. Впоследствии и сама Sohu заявила, что Google Pinyin IME, похоже, использует базу данных Sogou. При этом руководство Sohu отметило, что не исключает возможности подачи иска против Google.

В итоге на днях Google извинилась перед Sohu за несанкционированное использование базы данных и внесла изменения в словарь Pinyin IME. Теме не менее, по заявлениям Sohu, сейчас содержимое словарей Google Pinyin IME и Sogou совпадает на 79%. Впрочем, до внесения изменений данный показатель составлял 96%.

Источник: compulenta.ru

Большинство фреймворков (стандартов и готовых программных модулей), предназначенных для реализации интерактивного функционала в веб-приложениях, некорректно используют язык JavaScript. Это обстоятельство может привести к утечке данных о пользователях из веб-приложений,  утверждают сотрудники американской компании Fortify Software.

Проблема, которую в Fortify Software назвали «взломом яваскрипта», возникает по причине того, что многие утилиты на базе популярного комплекса технологий AJAX используют скриптовый язык как транспортный механизм, не уделяя при этом должного внимания безопасности. Основная угроза при этом исходит от сайтов, применяющих так называемую подделку http-запросов (XSRF). С помощью подобных запросов владельцы вредоносных сайтов воруют данные из AJAX-приложений. Пока эта проблема актуальна для относительно небольшого числа сайтов, однако использование AJAX растет, а вместе с ним будет расти и число уязвимых систем, отмечает ведущий научный специалист Fortify Software Брайан Чесс (Brian Chess).

«Мы стараемся донести до разработчиков, что у них появился по крайней мере один повод для размышлений, которого не существовало ранее. Обычно специалисты по информационной безопасности появляются спустя длительное время после того, как что-то случается. Однако на этот раз у нас есть шанс решить проблему до ее реального возникновения», — заявил Чесс.

За последние два года JavaScript стал существенно чаще использоваться для атак на компьютеры интернет-пользователей. Так, в 2005 году червь Samy распространялся среди посетителей сайта MySpace. В прошлом году исследователи предупредили о том, что степень распространения интернет-червей увеличивается вместе с развитием интерактивных технологий, получивших общее название Web 2.0. Угрозы стали особо заметны в течение нескольких последних месяцев, когда хакеры направили усилия на создание сайтов, рсодержащих вредоносные коды для редиректа пользователей на опасные ресурсы.

Если AJAX-атаки используют язык скриптов вполне понятным образом, то «взлом JavaScript» оказывается абсолютно новой угрозой. «Это тот случай, когда даже опытные разработчики не представляли масштаб угрозы, поскольку о ней не подозревали даже члены информационного сообщества», — подчеркивает Чесс.

«Взлом яваскрипта» реализует тенденцию, существующую в современных веб-приложениях, — сбор данных через скрипт-структуры. Например, сайты, в которых предусмотрен формат обмена данными JavaScript Object Notation (JSON), обрабатывают информацию, оперируя JavaScript-переменными. Учитывая это, хакер может настроить вредоносную веб-страницу для отправки запросов к атакуемому сайту через пользовательский браузер.

Уязвимы для взлома приложения, собирающие данные из одного или нескольких внешних источников и включающие в себя при этом функцию обратного вызова. Такая функция, как правило, используется для многократного повторения задачи. Кроме того, уязвимыми являются приложения Microsoft's ASP.NET Atlas, XAJAX, Google's Web Toolkit. Список можно дополнить еще целым рядом созданных веб-программистами фреймворков.

По мнению Fortify Software, представители которой обсудили сложившуюся ситуацию с ведущими разработчиками AJAX-фреймворков, существует два пути решения проблемы. Первый — научиться защищать сайты от подделки http-запросов. В этом случае одновременно будет найдена защита также от «взлома яваскрипта». Наилучшей реализацией данного способа экспертам американской компании представляется встраивание в каждый запрос хорошо замаскированных символов-маркеров. Вторым путем может стать внедрение в JavaScript внешнего кода, который перед обработкой необходимо удалять. В противном случае выполнение скрипта будет приостанавливаться.

Источник: viruslist.ru

Терять пользовательскую почту способен не только Mail.ru — это по зубам даже такому гиганту, как Yahoo. А точнее, японскому подразделению почтовой службы компании.

Работникам японского Yahoo! Mail удалось случайно удалить более 4,5 млн электронных сообщений, которые почему-то оказались помечены как спам. Ещё 5 млн писем были в течение некоторого времени недоступны клиентам. Представители Yahoo! Mail в Америке пока что никак не прокомментировали эту ситуацию.

Источник: habrahabr.ru

Компания ИТ-безопасности NextSentry призвала руководителей компаний запретить сотрудникам пользоваться портативными цифровыми плеерами на рабочих местах, или ограничить такое использование. Большой объём портативных дисков и простота копирования информации способствуют кражам корпоративных данных, считают специалисты.

Такие «карманные кражи», как назвала их компания в своём пресс-релизе, предоставляют соблазн к хищению данных о клиентах и интеллектуальной собственности для перепродажи конкурентам. Это относится к портативным плеерам iPod от Apple, а также любым другим устройствам, позволяющим через USB копировать большие объёмы информации. Распространённость подобных краж доказывается появлением в английском языке неологизма iPod slurping, что можно перевести как «пожирание данных при помощи iPod». Ссылаясь в пресс-релизе на данные Ernst & Young, компания указывает, что «атака инсайдера против крупной компании обходится примерно в $2,7 млн». National Fraud Survey, чьи данные также приводятся в пресс-релизе, приводит астрономические цифры потенциального ущерба от внутренних краж данных в США: $400 млрд в год.

Компания непосредственно заинтересована в таких ограничениях, поскольку предлагает на рынке продукт StealthAgent, позволяющий закрыть передачу данных на подключённые к USB внешние накопители и запись на CD- и DVD-носители.

Источник: cnews.ru

Microsoft демонстрирует первые признаки успеха с версией Windows, предназначенной для рынка технических вычислений, где сегодня доминирует Linux.

Windows Compute Cluster Server (CCS) работает на группе из нескольких соединенных друг с другом серверов, решающих общую задачу. Такие высокопроизводительные кластеры преобладают в списке топ-500 суперкомпьютеров — но обычно работают на Linux, а не на Windows.

Выпустив меньше года назад Windows CCS, Microsoft пыталась найти новую рыночную нишу, а не конкурировать с Linux напрямую. Компания старается привлечь владельцев небольших кластеров, часто связанных с той работой, которую заказчики выполняют на своих Windows-ПК. «Мы видим здесь плодотворную почву, которую еще никто не возделывал, — комментирует аналитик Gartner Джон Энк. — Когда они вышли на этот рынок, мы были настроены скептически, но результаты намного превзошли ожидания».

Microsoft часто сопутствует успех при переходе с рынка, где она сильна, на новый для нее смежный рынок. Например, Microsoft удачно перешла с программного обеспечения операционной системы на настольное ПО и с Windows для ПК на Windows для серверов.

Сама Microsoft высоко оценивает результаты. «Мы признаем, что здесь еще есть над чем поработать, но за первый год мы достигли значительного прогресса, — говорит директор по маркетингу Microsoft HPC (high-performance computing) Шон Хансен. — Мы очень довольны итогами и спросом».

Microsoft нелегко конкурировать на рынке HPC. «Десятилетиями HPC-сообщество воспитывалось на Unix и Linux, — отмечает аналитик Gartner Карл Кланч. — Университетская среда, откуда многие вышли, в основном ориентирована на Linux. Позиции Linux в области HPC и кластеров очень сильны». К техническим преимуществам Linux-кластеров Кланч относит их зрелость, больший выбор ПО, расширенные возможности и испытанную способность к решению крупномасштабных задач.

Однако Microsoft не остановилась на Windows CCS. Недавно компания выпустила Service Pack 1, основанный на Windows Server 2003 Service Pack 2. Эта новая версия позволяет создать кластер одним махом, вместо того, чтобы устанавливать ПО на каждую машину отдельно. Еще более серьезные изменения добавятся в версии CCS 2, основанной на ОС Longhorn Server, которая должна выйти в этом году. Хансен обещает, что она будет проще в развертывании, внедрении, эксплуатации и интеграции. Особые усовершенствования направлены на облегчение работы сетевого ПО, в частности, TCP/IP, и поддержку более крупных сетей. Версия 2 должна также лучше поддерживать ПО, исполняемое на нескольких машинах параллельно.

Microsoft заключила ряд партнерских соглашений с IBM, Dell, Hewlett-Packard и SGI, направленных на облегчение для заказчиков приобретения кластеров с уже установленным программным обеспечением. Например, SGI любит предлагать вариант Windows CCS тем, кто работает с анимацией.

Источник: lenta.ru

Министр образования Великобритании Алан Джонсон (Alan Johnson) намерен обязать интернет-сайты строже относиться к контенту, размещаемому в Сети юными пользователями. Наибольшее количество нареканий у Джонсона вызвал популярнейший видеосервис YouTube, на котором учащиеся периодически размещают любительские ролики, компрометирующие и унижающие других детей и учителей.

Критика в адрес YouTube и ряда других сервисов содержится в докладе Джонсона, посвященном унижениям в учебных заведениях, с которым министр образования выступит перед Национальной ассоциацией школьных учителей/Союзом женщин-учителей (National Association of Schoolmasters/Union of Women Teachers).

Кроме YouTube Джонсон расскажет учителям о ресурсе Rate My Teachers, посетители которого (школьники и их родители) могут оценивать работу преподавателей и даже оставлять короткие комментарии соответствующего содержания. В свою очередь, владельцы этого ресурса заявляют, что практически не модерируют сообщения пользователей, а более 70 процентов рецензий на учителей являются позитивными.

"Дедовщина, перенесенная в интернет, является жестоким и безжалостным издевательством, преследующим детей не только в стенах школы, но и дома. Издевательство над учителями часто становится причиной, по которой они увольняются" - считает Джонсон.

Кроме жесткого контроля над размещаемой в Сети информацией министр образования предлагает позволить учителям конфисковать у учеников мобильные телефоны и MP3-плееры, так как подобная аппаратура может использоваться для создания компрометирующих записей.

Источник: lenta.ru

Ведущий журнала: dean777
e-mail: dj-dean777@mail.ru
ICQ: 330-990-323
Skype: dean-777

Портал: скоро будет