Выпуск No. 97 

Новостной

Электронный журнал

Security Computers & Internet

  от 21.04.2007

Разработчики проекта Harmony — открытого Java — уже почти год воюют с Sun, намереваясь изменить лицензию, которая значительно ограничивает область применения открытого Java. Но дело до сих пор не сдвинулось с мертвой точки. Теперь представители Apache Foundation, создатели Harmony, с целью привлечения внимания общественности написали открытое письмо в Sun Microsystems и требуют решить вопрос в течение 30 дней.

Harmony — проект Apache Foundation по разработке реализации Java SE 5 с открытым кодом — уже около года не может преодолеть юридическое препятствие. Речь идет о лицензии на JCK — Java Compatibility Kit, инструменте, необходимом для проверки сторонних разработок Java SE 5 на совместимость с официальным стандартом.

JCK-лицензия направлена в сторону защиты коммерческих проектов и значительно ограничивает возможности open-source проектов; прежде всего — сферу их применения. Если вопрос JCK-лицензии не будет решен, проект Harmony нельзя будет использовать на большинстве закрытых аппаратных систем, таких, как системы проверки багажа в аэропортах, рентгеновские машины, различных информационных терминалах и проч.

«Точки зрения на ситуацию — Sun и наши — прямо противоположны», — заявил Гейр Магнассон, вице-президент Java Community Process в Apache. В открытом письме к Sun, опубликованном на Apache.org 10 марта 2007 года, г-н Магнассон однозначно высказал свою точку зрения: «JCK-лицензия Sun значительно ограничивает поле использования нашего проекта пользователями. Мы считаем это неприемлемым для себя». Также он добавил, что ограничения напрямую противоречат ряду принципов Java Community Process, описывающему применение Java-технологий. Это «конфликт с базовой философией интеллектуальной собственности JCP, концепцией Java как экосистемой, основанной на открытых стандартах, контрактными обязательствами Sun по соглашению Java Specification Participation Agreement. Это противоречит букве и духу открытого кода, уважение к которому стало ключевым элементом бизнес-стратегии Sun».

Г-н Магнассон в своем письме указал, что, по его мнению, должно быть изменено в лицензии, и потребовал предоставить ее новую версию в течение 30 дней. Sun пообещала разрешить конфликт как можно скорее, но посоветовала Магнассону запастись терпением. Впрочем, cпециалисты считают низкой вероятность того, что Sun пойдет навстречу Apache Foundation. «Прогнозировать решение Sun довольно сложно, но мне кажется маловероятным, что Sun сделает этот шаг навстречу open-suorce, — считает Тимофей Королев, исполнительный директор компании Linux-Online. — Наличие такого альтернативного проекта, как Harmony, без сомнения, очень положительный факт, но мы, как, я думаю, и все системные интеграторы, используем Java компании Sun, поскольку можно быть уверенным в том, что продукт гарантированно работает».

Источник: cnews.ru

Компания Oracle 17 апреля планирует выпустить 37 патчей для своих программных продуктов. Данный релиз пройдет в рамках ежеквартального обновления.

Патчи будут выпущены для пока еще не описанных брешей в Oracle Database, Application Server, E-Business Suite. 13 обновлений приходится на разные версии СУДБ Oracle. Три «заплатки» являются особо важными, поскольку ликвидируют уязвимости, которые хакеры могут эксплуатировать, не имея данных об учетных записях пользователей. 2 из 11 брешей в E-Business suite также могут быть удаленно взломаны, предупреждает Oracle в пресс-релизе.

В октябре прошлого года компания начала ранжировать собственные программные бреши по степени их серьезности в соответствии с общей системой учета уязвимостей (CVSS). CVSS — широко распространенная в IT-индустрии методика, предназначенная для стандартизации рейтингов уязвимостей.

Набор патчей этого квартала Oracle оценивает в 7 баллов по 10-бальной шкале (максимально возможные 10 означают грядущую Интернет-катастрофу). Аналогичную оценку получил и предыдущий, январский набор «заплаток», число которых составило 31. На сей раз системным администраторам придется иметь дело с 37 патчами.

Источник: viruslist.ru

Официально объявлено о решении, какие проекты будут финансироваться Google в рамках программы Summer of Code 2007.

Приняты 900 заявок из 6200 для 139 проектов, среди которых Apache, Blender, Creative Commons, Django, Drupal, FreeBSD, Inkscape, The Mozilla Foundation, Subversion и многие, многие другие. Как и в прошлом году, по личным запросам для некоторых проектов было расширено количество принятых проектов.

Официально работа над проектами начинается 28 мая, когда Google выплачивает студентам аванс. Несмотря на это, в CVS/SVN ряда проектов уже пару недель наблюдается активность подававших заявку.

В июле будет сделана промежуточная оценка результатов работы студентов, которые выложат готовый код на code.google.com/hosting.

В конце августа написанный исходный код снова выкладывается на code.google.com/hosting, руководители пишут отзывы на студентов, студенты -- на руководителей, а Google решает, кто успешно завершил проекты, и кто -- нет. По итогам решения выплачиваются оставшиеся деньги студентам и руководителям.

Источник: linux.org.ru

Компания F-Secure предложила ICANN создание новой зоны для финансовых учреждений. Основным аргументом стала возможность значительно повысить защиту от фишеров.

В настоящее время злоумышленники часто создают сайты-обманки известных банков на доменах, отличающихся от оригинала в одну букву и с помощью спама завлекают на них клиентов соответствующего банка. Под видом технических работ или проверки данных счета, злоумышленники выманивают у клиента данные и используют их в корыстных целях.

Новая зона .safe позволила бы свести подобные махинации к минимуму - увидев, что домен находится в зоне .safe, клиент будет уверен в его легитимности. Обеспечивать безопасность предлагается жестким отбором финансовых учреждения на получение домена, из-за чего путь фишеров на домены .safe будет закрыт. F-Secure предлагает вести базу регистраций самой ICANN или ограниченному числу регистраторов с лучшей репутацией.

Но и минусы подобного решения очевидны - немногие компании решатся на прохождении многих проверок ради получения нового домена. Да и необходимость указания во всех промо-материалах нового домена также на взгляд компаний - большая проблема. До сих пор многие авиакомпании так и не обзавелись доменом в зоне .aero, так что же говорить о более труднодоступных профильных зонах.

Проблема фишинга с каждым годом встает все острее - количество мошенников стремительно растет, их технические средства постоянно улучшаются, хотя сами преступники становятся все наглее и ленивее. Лишь за декабрь прошлого годы бало зарегистрировано 23 787 сообщений о попытках фишинга на территории США и было выявлено 28 531 поддельных сайтов.

Источник: webplanet.ru

Передача файлов по P2P-сетям может происходить значительно быстрее, чем сейчас. Компьютерные исследователи из университетов Carnegie Mellon и Purdue создали новый протокол Similarity-Enhanced Transfer (SET), который реализует принципы BitTorrent на более высоком уровне. В отличие от BitTorrent, протокол SET может разбивать на множественные закачки не только абсолютно одинаковые файлы с совпадающей контрольной суммой, но также файлы, которые совпадают лишь частично.

Некоторые файлы на самом деле совпадают не на 100%, а на 99,9%. Например, это могут музыкальные файлы с разными названиями или две версии кинофильма с разными звуковыми дорожками. С помощью протокола SET гигабайтный файл разбивается на 64 000 фрагментов по 16 килобайт — все они сравниваются и могут скачиваться из разных источников.

Как известно, чем больше источников торрента — тем выше скорость. В зависимости от количества источников, с помощью SET скорость загрузки файла может вырасти и на 5%, и на 500%. Во время тестов реальное повышение скорости скачивания MP3 составило 71%. На видеотрейлере ускорение составило 30% за счёт подкачки информации из других трейлеров, у которых совпало 47% содержания.

Исходный код разработки исследователи показали на 4-м симпозиуме USENIX по сетевым дизайнам и реализациям. Учёные утверждают, что и не думают о коммерческом успехе, а просто хотят ускорить обмен научными документами по P2P.

Авторы разработки — профессор Дэвид Андерсен из Carnegie Mellon и программист Михаил Каминский из Intel Research Pittsburgh. Им помогал студент Химабинду Пуча.

Источник: lenta.ru

Киберпреступники подходят к своему делу все более профессионально и применяют новейшие технологии для совершения атак. По прогнозам McAfee, в течение нынешнего года все виды сетевых угроз будут становиться все более опасными.

При этом рост и, наоборот, сокращение отдельных видов киберпреступлений будет определяться стремлением хакеров к получению максимальной прибыли. Поэтому, специалисты предполагают, что направленные виды атак, такие как фишинг и кража данных, будут преобладать, а рассылка вредоносных программ и вирусописание, наоборот, отойдут на второй план.

Эксперты также отмечают, что международные сообщества кибепреступников все более разрастаются. Сети, в которые объединяются хакеры, фишеры и спамеры, становятся все более разветвленными, а взаимодействуют они с помощью обширной системы "подпольных" коммуникаций - закрытых чатов и форумов.

В докладе McAfee говорится, что рост число бот-сетей будет стабильно расти, а пополнять их по-прежнему будут в основном Windows-компьютеры. Кроме того, в в 2007 году киберпреступники уделят особое внимание смартфонам и карманным компьютерам. Самыми распространенными угрозами для мобильных устройств эксперты называют в первую очередь фишинг, а также рассылку шпионских и других программ, нацеленных на кражу персональных данных.

Источник: compulenta.ru

На просматриваемых веб-сайтах нас поджидают вирусы, фишинг, непрошеные загрузки, pop-ups и прочая нечисть. Компания SiteAdvisor, специализирующаяся на web-безопасности, опубликовала отчёт Mapping the Mal Web, анализирующий 265 доменов верхнего уровня (TLD) с точки зрения вероятности попадания на опасные сайты.

Результаты исследования наглядно представлены на интерактивной карте мира. Вот некоторые любопытные факты и цифры из отчёта:

* Из доменов больших стран наиболее опасными являются Румыния (.ro) - 5,6 процентов опасных сайтов и Россия (.ru) - 4,5 процента.

* Островные страны, предлагающие бесплатную или анонимную регистрацию доменов, занимают верхние строчки в списке опасных TLD. Среди них Сан-Томе и Принсипи (.st) у берегов Африки с чудовищными 19 процентами, Токелау (.tk) в Тихом океане с 10 процентами, Туркс и Кайкос (.tc) также с 10 процентами, и, наконец, острова Южная Георгия/Южные Сандвичевы (.gs) вблизи Антарктиды с 9 процентами.

* Из числа доменов общего назначения самым опасным признан .info - 8 процентов сайтов признаны опасными. За ним идёт повсеместный .com - 6 процентов.

* Наименее опасные сайты - у честных скандинавских парней. Четыре страны с наилучшими показателями - это северные Финляндия, Норвегия, Швеция и Исландия. Пятое место занимает Ирландия.

* Самое безопасное место в Интернете: .gov. Предназначенное для правительственных учреждений США это единственный домен верхнего уровня, в котором не обнаружено опасных сайтов.

* Наихудшие места для скачивания файлов - Самоа (.ws), .biz и Болгария (.bg). Скачивая файлы в этих доменных зонах вы в одном случае из 10 будете иметь дело с опасным сайтом.

* Наихудший домен с точки зрения спама: .info. 73,2 процента из более чем 6000 протестированных в этой зоне сайтов отнесены к опасным. За ним следуют Россия (22 процента) и Южная Корея (20 процентов). Другими словами, вводя ваш e-mail в формы на сайтах в этих зонах, вы рискуете получить шквал спама.

* Вывод: подумайте дважды, прежде чем загружать файлы с болгарских сайтов и регистрироваться на сайтах из зоны .info. Это настоящие виртуальные джунгли.

Источник: habrahabr.ru

Компания ИТ-безопасности Sophos опубликовала рейтинг стран по количеству спама за I квартал. На первом месте продолжают стоять США с 19,8%. Россия занимает 10-е место с 3%.

Исследователи Sophos отметили спад объёмов спама в Китае, резкий подъём в Польше - до третьего места с 7,4%, что всего на 0,1% уступает Китаю. В первом квартале 2006 года спама в этой стране было почти вдвое меньше – 3,8%. В список впервые попала Индия, заняв 11-е место с 2,8%. Общее количество спамерских писем за квартал увеличилось на 4,2% по сравнению с тем же периодом прошлого года.

Из новинок квартала: впервые появился спам «накачки и сброса» акций компании, торгующей акциями в Европе – на франкфуртской бирже; до сих пор он встречался только для компаний, торгующих на бирже в США. Схема заключается в создании искусственного ажиотажа вокруг дешёвых акций.

Первый квартал также был отмечен двумя крупными случаями рассылки спама по SMS. Однако оба случая закончились для инициаторов судебными исками: в январе засудили пару из Флориды за отправку 5 млн спамерских сообщений с рекламой таймшера, а в феврале Verizon Wireless добился через суд запрета деятельности компании, разославшей 100 тыс. сообщений его абонентам.

Среди континентов Европа заняла первое место с 35,1% спама; второе с небольшим отставанием взяла Азия с 33,4%, на третьем - Северная Америка (22,9%). На Южную Америку, Африку и Австралию и Океанию приходится соответственно 6,6%, 1,4% и 0,6%. Замыкает список Антарктида, откуда спама не шлют – 0,0%.

Источник: cnews.ru

«Живой журнал» в последнее время все больше привлекает внимание правоохранительных органов. Еще не успела закончиться история с оскорблением в ЖЖ депутата Виктора Алксниса, а в самом популярном сервисе блогов произошел новый случай, который может стать прецедентом. По факту враждебного комментария в сторону сотрудников управления «К» было возбуждено уголовное дело по статье, предусматривающей до 4 лет тюрьмы.

В Сыктывкаре (Республика Коми) на рассмотрение в прокуратуру было направлено уголовное дело, возбужденное в отношении Саввы Терентьева, местного музыканта, сообщают «Новые Известия». Последний оставил в дневнике журналиста Бориса Суранова комментарий на пост, сообщавший о действиях отдела «К» в редакции местной газеты «Искра». Представители правоохранительных органов в феврале 2007 года пришли в редакцию издания и изъяли несколько жестких дисков, мотивируя свои действия тем, что на них было записано нелицензионное ПО.

Г-н Терентьев в ответ на указанное сообщение написал комментарий, где в весьма недоброжелательной форме отозвался о представителях милиции. Позднее его высказывание было удалено, однако сотрудники управления «К» успели его зафиксировать и возбудили уголовное дело по статье 282 («Возбуждение ненависти либо вражды»). Наказание за проступок такого рода варьируется от 500 минимальных зарплат до 4 лет заключения.

Прокуратура Сыктывкара уже допросила как владельца «Живого журнала» г-на Суранова, так и автора комментария. В настоящее время Терентьеву никаких обвинений не предъявлено, он выступает в качестве подозреваемого. Милиция изъяла его компьютер и взяла подписку о невыезде. Как заявил сам Савва Терентьев, виновным он себя не считает, и предъявленное ему обвинение считает необоснованным.

Источник: cnews.ru

Ведущий журнала: dean777
e-mail: dj-dean777@mail.ru
ICQ: 330-990-323
Skype: dean-777

Портал: скоро будет