Выпуск No. 99 

Новостной

Электронный журнал

Security Computers & Internet

  от 25.04.2007

17-летнему ученику высшей школы Молдин (Mauldin), США, Роберту Чарльзу Сайпсу (Robert Charles Sipes), были предъявлены обвинения в нарушении акта о компьютерных преступлениях штата, после того, как он уведомил полицию о лёгкости, с которой ему удалось взломать школьную сеть графства Гринвиль. В результате инцидента со своего поста был уволен глава ИТ-департамента округа.

Школьник заявил полиции, что предупреждал школьный округ о ненадёжности системы за несколько месяцев до того, как в декабре сеть взломали двое школьников школы J.L. Mann. Через 10 дней после взлома официальный представитель округа заявил в полицию о факте взлома, но затем обвинения против школьников были сняты. В то же время сеть сотряс ряд инцидентов с хищением персональной информации, но официального заявления округ не сделал.

Сайпс сказал, что взломал сеть для того, чтобы узнать, исправили ли ошибку, о которой он сообщал по электронной почте главе ИТ-отдела. О своих действиях он собирался сообщить в прессу.

Студенты другой школы, J.L. Mann, не попали под следствие, а отказываться от преследования Роберта Сайпса школьный департамент пока не намерен. Школьник может быть осуждён к штрафу до $200 или 30 дням тюремного заключения. Сайпса и его младшего товарища, помогавшего во взломе, временно отстранили от занятий за «ненадлежащее использование компьютера в школе».

Источник: cnews.ru

Участники Российского интернет-форума (РИФ), прошедшего в Подмосковье 5-7 апреля, в среду обнародовали итоговую резолюцию, предполагающую фундаментальное изменение отношений между интернет-сообществом и государством. В документе, опубликованном на сайте Форума (pdf, 255К), сначала отмечается большой вклад государства в развитие российского сегмента Сети. Сразу же после этого авторы документа констатируют наличие "острых проблем, требующих неотложного решения и угрожающих его дальнейшему развитию".

Далее следует призыв к интернет-сообществу сосредоточиться на выработке и донесении до органов власти пакета предложений по шести направлениям.

В первую очередь интернет-сообществу предлагается добиться изменений или отсрочки принятия Четвертой части Гражданского кодекса, в которой идет речь об интеллектуальной собственности и которая вступает в силу с начала 2008 года.

Вторым пунктом стоит проведение семинаров для государственных служащих - с целью объяснить им, в чем заключаются проблемы Рунета, а также для выработки и утверждения терминологии, отсутствие которой "затрудняет общение между работниками отрасли ИКТ и государственными служащими".

Далее интернет-сообществу предлагается добиться снижения или отмены НДС в области интернет-рекламы и интернет-торговли до 2015 года - с целью привлечения инвестиций и повышения конкурентоспособности российских ИТ-компаний.

Четвертый, пятый и шестой пункты посвящены соответственно развитию практики удаленной работы, модернизации государственных программ подготовки кадров и, наконец, привлечению интернет-сообщества к оценке готовящихся нормативных актов, затрагивающих интересы интернет-провайдеров, операторов телематических услуг и интернет-СМИ.

Источник: lenta.ru

База данных, содержащая персональную и финансовую информацию более чем о 60 миллионах студентов, несколько раз становилась объектом несанкционированного доступа с подачи кредитных организаций, сообщает сайт SecurityFocus.com со ссылкой на газету Washington Post.

В базе содержатся практически исчерпывающие сведения о студентах: имена, даты рождения, адреса, телефоны, номера в системе социального страхования и даже суммы непогашенных ссуд. По всей видимости, некоторые кредитные организации давали доступ к этим данным по запросу маркетинговых компаний.

«Мы просто в шоке от того, что информация о студентах могла быть раскрыта подобным образом», — заявила директор отдела финансовой помощи одного из американских университетов. Сообщение о несанкционированном доступе к базе появилось на фоне критики кредитных организаций и учебных заведений за неподобающие взаимоотношения. По меньшей мере три директора отделов финансовой помощи были вынуждены покинуть свои посты после обнаружения их связи с кредитной студенческой организацией Student Loan Xpress.

Утечка персональных студенческих данных сопоставима по масштабу с недавней атакой на сеть CardSystems Solutions, результатом которой стала кража из системы учета транзакций торговой системы TJX информации о 46,5 миллионах держателей кредитных карт.

Источник: viruslist.ru

Пятый подсудимый по делу D-Elite, связанному с сайтом Elite Torrents, признал свою вину. Об этом в понедельник объявили помощник генерального прокурора Элис Фишер и прокурор Канзаса Эрик Мелгрен. Двадцатичетырехлетний Сэм Куонен признал себя виновным в сговоре с целью нарушения копирайта, а также в нарушении закона Family Entertainment Copyright Act. Молодому человеку грозит лишение свободы на срок до пяти лет, штраф в размере 250 000 долларов США и три года пребывания под наблюдением после освобождения из тюрьмы. Вынесение приговора Куонену состоится 16 июля текущего года.

Операция D-Elite была направлена против нелегального распространения защищенных копирайтом фильмов, компьютерных игр, программного обеспечения и музыки по файлообменным сетям, работающим по протоколу BitTorrent. Кампанию организовало ФБР совместно с Иммиграционной и таможенной полицией США и Американской ассоциацией кинокомпаний (MPAA). В результате операции 25 мая 2005 года была прекращена работа пиринговой сети Elite Torrents - одного из самых крупных torrent-ресурсов, имевшего более 133 000 зарегистрированных пользователей. На ресурсе следственные органы разместили послание, которое гласило, что сайт закрыт по причине расследования факта нарушения авторских прав. За одну неделю это сообщение было просмотрено посетителями сайта свыше полумиллиона раз.

Следствие установило, что за последние четыре месяца работы через Elite Torrents прошло 17 800 наименований фильмов, игр, песен и различных программных продуктов. Гнев властей сеть навлекла после того, как в ней появились ссылки на фильм Джорджа Лукаса "Звездные войны. Эпизод III. Месть ситхов". Третий эпизод "Звездных войн" появился на сайте за шесть часов до мирового премьерного показа, и за первые 24 часа ее скачало порядка 10 000 пользователей. Причем копия содержала даже временные метки, что свидетельствует об "индустриальном" происхождении файла.

В рамках следственно-розыскных работ ФБР произвело ряд арестов и обысков в десяти городах США, в которых проживали люди, одними из первых скачавшие премьерный фильм и выложившие его на своих компьютерах для загрузки другими пользователями Elite Torrents. Сэм Куонен стал пятым из арестованных в рамках операции D-Elite. Он был "источником" первой пиратской копии фильма или другого контента.

Источник: compulenta.ru

Эксперты уже не раз предупреждали пользователей о низком уровне защиты большинства функционирующих Wi-Fi сетей. Технический директор компании TraceSecurity в прямом эфире телеканала NBC еще раз подтвердил этот факт, показав, как хакеры могут организовать фальшивые беспроводные точки доступа и украсть конфиденциальную информацию.

Технический директор и соучредитель компании TraceSecurity Джим Стикли (Jim Stickley) в передаче Today телеканала NBC наглядно продемонстрировал высокую степень уязвимости беспроводных Wi-Fi сетей.

Г-н Стикли показал, как функционирующая в гостинице Wi-Fi сеть может стать весьма привлекательной для хакеров, специализирующихся на краже идентификационных данных. Суть атаки несложна: хакер создает внутри этой же гостиницы подставную точку доступа, к которой подсоединяются ничего не подозревающие клиенты и через которую проходит весь трафик.

Как только клиент подключается к Wi-Fi, злоумышленник получает доступ к его ноутбуку, включая сетевые соединения и передаваемые по ним данные. Так, если бы владелец ноутбука подключился через Wi-Fi точку доступа к корпоративной сети своей компании, хакер смог бы перехватить все передаваемые данные.

«Wi-Fi соединения — еще один лакомый кусочек для хакеров. Они могут без особого труда украсть конфиденциальную информацию или, хуже того, получить доступ к сетям компаний тех пользователей, которые воспользовались подставной Wi-Fi точкой доступа», — заявил г-н Стикли. Также он добавил, что теперь, когда злоумышленники повсеместно и систематически воруют конфиденциальные данные, пользователям необходимо следить за целостностью не только своих личных данных, но и данных компаний, в которых они работают.

Источник: cnews.ru

Налоговая служба США, IRS, в ходе проверки систем компьютерной безопасности обнаружила возможность несанкционированного доступа к сети через Wi-Fi. Уязвимыми для сторонних подключений оказались беспроводные сети 20 зданий в 10 городах.

В докладе об оценке надёжности защиты сетей налоговой службы говорится, что признаков эксплуатации этих уязвимостей отмечено не было, а также неизвестно, были ли доступные компьютеры подключены к общей системе. «Однако любой человек с инструментом определения беспроводных сетей может принять беспроводной сигнал и получить доступ к компьютеру», — написал генеральный инспектор Майкл Филипс (Michael Phillips).

В сети налоговой службы находятся данные более чем о 226 млн американских налогоплательщиков. Уязвимости были обнаружены в Денвере, Техасе и Флориде.

Доклад также охватывает вопросы политики внутренней безопасности: в тексте говорится, что налоговая служба не занимается эффективным мониторингом использования беспроводных технологий, в частности — не проводит сканирования сетей на уязвимости.

Источник: lenta.ru

Законы, обязывающие компании обнародовать случаи хакерских атак и утечки данных, наподобие калифорнийского, необходимы индустрии, считает большинство британских ИТ-специалистов, опрошенных компанией-поставщиком систем защиты WebSense.

По мнению 79% опрошенных, такие законы — хорошая идея. 64% считают, что, в конечном счёте, за утечки информации будет отвечать руководство компаний, в частности, совет директоров.

«Опрос показывает, что компании настолько заняты отражением внешних угроз безопасности, что когда дело доходит до утечки информации, они не могут решить эту более широкую проблему, — сказал менеджер по продуктам мирового рынка Росс Пол (Ross Paul). — Проактивный подход, обеспечивающий внедрение чётких политик для защиты конфиденциальной информации, должен остановить попадание этой информации в чужие руки».

Большинство опрошенных ИТ-специалистов, 59%, по-прежнему считают одной из ключевых угроз инсайдеров. Год назад об этой угрозе говорили лишь 44% респондентов. Лишь каждый десятый опрошенный полагает, что его компания принимает профилактические меры. 26% полагают, что утечки информации могут обходиться компании примерно в 2–5% от годового дохода. В среднестатистической британской компании с приблизительным годовым оборотом в £5,6 млн, утечка информации может стоить до £280 тыс. 15% опрошенных полагают, что большинство компаний сталкивались с утечками данных в течение последних 12 месяцев.

Источник: cnews.ru

Заметив ноутбук в припаркованном неподалеку от дома автомобиле, владельцы точки доступа предпочли вызвать полицию, а не обезопасить свою сеть стандартами WEP или WPA (в ней не использовалось никакой защиты). Как сообщает BBC, в Великобритании зарегистрированы первые случаи обращения в полицию по поводу использования чужой открытой беспроводной сети.

И если в одном случае владелец машины не скрывал ноутбука, то в другом случае женщина-водитель закрыла окна автомобиля картоном. Владельцы дома (и точки доступа в нем), впрочем, все же разглядели ноутбук в щели между картоном. Оба «хакера» были доставлены в полицию, где им было вынесено предупреждение о недопустимости использования чужой сети с целью избежания оплаты за услуги интернет-доступа.

Корреспондент BBC приводит, в свою очередь, убедительный (для британцев) аргумент против использования чужих сетей – дескать, таким образом можно заходить на запрещенные порносайты, а пользователя при этом будет трудно отследить.

Американцы из Techdirt.com вполне обоснованно опровергают необходимость наказания за использование чужой открытой сети. В первую очередь, они говорят о том, что пользователь никак не может различить открытую частную сеть и публичную сеть. «Если человек попадает в открытую сеть Wi-Fi без физического проникновения, должен ли он быть наказан, или же владелец сети должен сам позаботиться о ее безопасности?», - спрашивают авторы Techdirt.

И если в Британии дело ограничивается лишь предупреждениями, то в Сингапуре принят закон, по которому человек, подключившийся к чужой сети, может сесть в тюрьму. Двое сингапурцев уже под арестом, но в их случае пока что не ясно – была ли сеть открытой и как судьи собираются доказывать факт совершения преступления.

Судя по комментариям пользователей Techdirt, отключить автоматическое подключение к беспроводным сетям в своем ноутбуке стоит жителю любой страны – от греха подальше. Потому что даже в Америке одни пользователи призывают к здравому смыслу, а другие тут же предлагают производителям оборудования Wi-Fi добавлять надпись «Not public» к названию сети по умолчанию. И все это делается лишь оттого, что некоторые владельцы точек доступа не в состоянии прочитать документацию к устройству и настроить хоть какое-нибудь шифрование!

Источник: webplanet.ru

Житель Торонто нашел на парковке возле своего дома тысячи анкет с персональными данными горожан. Оказалось, что все документы являются заявками на подключение интернет-кабеля компании Rogers. Сведения в анкетах были исключительно полными: имена, адреса, телефоны людей дополнялись номерами социального страхования, водительскими правами и даже банковскими карточками.

Стоит отметить, что проблема кражи личности чрезвычайно актуальна в Канаде. Убытки людей только по документированным случаям за 2006 год составили свыше $16 млн. Многие же пострадавшие обнаруживают кражу значительно позже.

В офисе Rogers отказались прокомментировать ситуацию, но заверили, что уже начали внутреннее расследование. Настоящую же заботу о клиентах Rogers проявил мужчина, который обнаружил бумаги. Чтобы сведения не попали в руки недоброжелателей, он прошелся по стоянке и собрал все документы.

Еще один случай утечки данных произошел в Небраске. Девушка зашла на сайт налоговой компании Turbo Tax и случайно обнаружила брешь, через которую получила доступ к приватным сведениям других налогоплательщиков. Файлы содержали полную информацию, включая и банковские счета и, разумеется, номера соцстрахования.

Если бы доступ к сведениям получил злоумышленник, тысячи клиентов Turbo Tax понесли огромные потери. Солидные издержки понесла бы и сама компания. Но девушка сообщила в Turbo Tax. Фирма быстро заделала брешь.

Источник: cnews.ru

Ричард Ф. Сильвестри (Richard F. Sylvestre), житель штата Массачусетс, приговорён к 12-18 месяцам заключения в федеральной тюрьме США и штрафу в $10 тыс. за установку троянца в сети управления подводными лодками ВМФ США.

Мотивом действий наёмного ИТ-специалиста, получившего доступ к компьютерам высокого уровня секретности, было недовольство тем, что принадлежащая ему компания, Ares System, не смогла выиграть выгодный контракт с ВМФ.

Троянец, установленный на 3-х из пяти компьютеров итальянского штаба 6-го флота США, базирующегося в средиземноморье, должен был подвесить систему. В худшем случае, это могло бы привести к столкновению с участием атомных подводных лодок.

Сильвестри выплатил флоту $25 тыс. на восстановление систем. Малый срок – 1-1,5 года, и небольшой штраф в $10 тыс. был присуждён ему по причине психического расстройства: психиатр обнаружил у него депрессию и биполярное расстройство, известное так же как маниакально-депрессивный психоз.

Источник: lenta.ru

Ведущий журнала: dean777
e-mail: dj-dean777@mail.ru
ICQ: 330-990-323
Skype: dean-777

Портал: скоро будет