uinC NewsLetter #28, 2007


Приветствуем!

Новости из Security Мира

9/07/2007 05:33 Израиль намерен запретить анонимное посещение порно-сайтов
Министерская комиссия одобрила законопроект, предлагающие ограничить доступ к сегменту "для взрослых" сети интернет идентификацией пользователей. Согласно законопроекту, пользователю чтобы попасть на сайт "фривольного содержания" придется ввести свой год рождения и номер удостоверения личности. По мнению законодателей, это поможет избежать посещения подобных сайтов людьми не готовыми официально заявить о своих пристрастиях. Напомним, что проект закона был подан депутатом от партии ШАС Амноном Коэном, предложивший потребовать от интернет-провайдеров предоставлять доступ к порно-сайтам гражданам только по требованию, и регистрировать их в определенной базе данных. Многие коллеги Коэна опасаются, что утечка подобной информации, может серьезно повредить пользователям и нарушит их личную свободу. Но сам парламентарий считает эти меры единственной возможностью предотвратить просмотра порноматериалов несовершеннолетними. По данным, которые он приводит, 60% молодежи в возрасте от 9 до 18 лет уже сталкивалась с порнографией в Интернет, и многие из них впервые попадали на подобные сайты случайно. Коэн утверждает, что 44% родителей даже не подозревают, что их дети могут посещать порносайты.
"MIGnews.com"

9/07/2007 08:12 Немецкие исследователи записали на HD-DVD полтерабайта данных
Исследователи из Берлинского университета создали технологию, позволяющую записать на HD-DVD или Blu-ray диск 500 гигабайт данных, сообщает The Register. Максимальная емкость обычных однослойных дисков высокой плотности составляет 15 гигабайт для HD-DVD и 25 - для Blu-ray. В отличие от стандартного метода записи на поверхность, разработанная технология использует наноструктуры диска, за счет чего и достигается такая высокая плотность записи. Профессор Сюзанна Орлик, руководящая разработкой, сообщила, что 500-гигабайтный диск содержит 50 слоев для хранения информации. Потенциально на один диск можно записать до терабайта данных, добавила Орлик.
Подробности

9/07/2007 09:19 Google обновила службу Code Search
Компания Google внесла изменения в службу Google Code Search, предназначенную для поиска программного кода. Служба Google Code Search ориентирована, в первую очередь, на программистов. Для поиска фрагментов кода можно использовать ключевые слова, например, запрос может выглядеть как "go{2}gle", "hello,\ world" или "^int printk". Результаты могут быть отфильтрованы по таким критериям, как язык программирования, лицензия, по которой распространяется код, и имя файла. Сервис способен осуществлять поиск внутри архивов в форматах .tar и .zip. Google Code Search обеспечивает возможность составления запросов с учётом языка программирования и лицензии, по которой распространяется код. Отныне поисковая система Code Search проводит индексацию не только архивов и репозиториев (к примеру, Subversion и CVS), но отдельных файлов и фрагментов кода, встречающихся на веб-страницах. По словам разработчиков, был улучшен общий механизм поиска. Кроме того, доступ к Google Code Search теперь открыт с локализованных сайтов Google, предназначенных для жителей Бразилии, Китая, Японии, Германии, Италии, Испании, Польши, Кореи, Нидерландов, Франции и России, сообщается в блоге одного из разработчиков системы.
Блог

9/07/2007 09:52 BSA заплатит миллион долларов за информацию об использовании нелицензионного ПО
Ассоциация производителей коммерческого ПО (BSA) увеличила размер максимального вознаграждения за информацию о компаниях, использующих нелицензионное ПО до 1 миллиона долларов. Эту сумму сможет получить тот, кто сообщит о наиболее масштабном использовании контрафакта. Программу денежного поощрения информаторов организация проводит уже не первый год довольно успешно. Например, в прошлом году BSA заплатила троим информаторам по 15500 долларов за донос, а всего получила около 2000 доносов. Выплачивать миллион долларов за наводку на корпоративных пиратов ассоциация готова до октября и в поддержку этой промо-акции планирует организовать рекламные кампании на радио и в интернете. Потом размер максимального вознаграждения снизится до 200 тысяч долларов. В BSA считают, что столь высокое вознаграждение подтолкнет гораздо большее количество людей рассказать о своих работодателях, использующих нелицензионное ПО. Кстати, размер максимального вознаграждения для доносчиков в BSA рассчитали, учитывая те суммы, которые компании выплачивают ей по итогам судебных разбирательств или в ходе досудебного урегулирования. Так, за 2005 год BSA получила около 22 миллионов долларов от компаний, уличенных в использовании пиратских программ. По данным IDC, софтверная индустрия ежегодно теряет 7,3 миллиарда долларов из-за пиратства. Впрочем, многие эксперты считают, что эта цифра сильно завышена.
Подробности

9/07/2007 11:30 В Ростовских электричках установили системы видеонаблюдения
В десяти пригородных поездах Ростовского отделения СКЖД установили системы видеонаблюдения. Средства для реализации этого проекта, 18 миллионов рублей, выделены администрацией области. Системы смонтированы в скоростных электропоездах на направлениях Ростов — Кисловодск, Ростов — Краснодар, Ростов — Успенская, Ростов — Чертково и других направлениях, обслуживаемых СКЖД. Вагоны оснащены цифровыми системами видеонаблюдения и регистрации «Видеолок». Это оборудование позволяет отображать ситуацию в вагоне в режиме реального времени. В системе используются видеокамеры специального скрытого «вандалозащищенного исполнения», сообщает пресс-служба СКЖД. Их устанавливают в салонах и тамбурах вагонов так, чтобы обеспечить панорамный обзор. Наблюдение ведётся и за салонными, межвагонными и автоматическими дверями. Всё происходящее круглосуточно записывается и сохраняется в специальном блоке архивирования информации. Благодаря системе видеонаблюдения удаётся вовремя пресечь попытки порчи имущества. «За этот год было раскрыто четыре преступления, в том числе кражи сотовых телефонов. Задержаны нарушители, возбуждены уголовные дела. Административных нарушений пресечено более двухсот: мелкие хулиганства, распитие спиртных напитков», — рассказывает заместитель начальника Северо-Кавказского УВД на транспорте Сергей Левченко.
Источник

9/07/2007 12:14 Суд в Житомирской области признал хакера виновным
Новоград-Волынский горрайонный суд Житомирской области признал 37-летнего жителя города Новограда-Волынского Сергея К. виновным в совершении преступления, предусмотренного частью 2 статьи 361 ("Незаконное вмешательство в работу электронно-вычислительных машин (компьютеров), систем и компьютерных сетей") Уголовного кодекса Украины, и назначил наказание в виде трех лет лишения свободы с конфискацией программных и технических средств, с помощью которых было содеяно несанкционированное вмешательство. Как сообщает пресс-группа Управления Службы безопасности Украины в Житомирской области, чей следственный отдел возбудил и расследовал относительно него уголовное дело, гражданин Украины Сергей К. обвинялся в несанкционированном вмешательстве в работу электронно-вычислительной машины, что привело к утечке информации в виде логина и паролей газеты "Звягель-информ", необходимых для выхода в сеть Интернет, а также неоднократном несанкционированном вмешательстве в работу компьютерной сети житомирского филиала "Уктрелекома" и глобальной компьютерной сети Интернет, который привел к блокированию информации газеты "Звягель-информ". С учетом смягчающих обстоятельств Сергей К. освобожден от отбывания основного наказания с заменой его испытательным сроком на 1,5 года.
Житомир.info

9/07/2007 15:36 Одновременный DDoS и спам как экономическое оружие против «Сургутнефтегаз»
3 июля, используя DDoS атаку был атакован веб-сайт ОАО «Сургутнефтегаз», пока сайт не отвечал на запросы пользователей, злоумышленниками от лица «Сургутнефтегаза» был разослан сфабрикованный пресс-релиз об аресте генерального директора Богданова и председателя совета директоров "Сургута" Николая Захарченко — якобы за неуплату налогов. (Богданов в это время находился в командировке в Якутии.) Представители «Сургутнефтегаза» говорят, что собираются обратиться в правоохранительные органы, чтобы те попытались найти злоумышленников, а со своей стороны дают происшедшему следующее объяснение: "Время распространения ложной информации и само содержание "пресс-релиза" говорят о том, что целью авторов затеи была попытка манипулирования западными фондовыми рынками (в частности, рынком США), участники которых из-за разницы во времени не могли проверить информацию и убедиться в том, что она не является разновидностью спам-рассылки". Но так как, у злоумышленников оказалось не очень хорошо со знаниями русского языка, написанное с грубыми грамматическими ошибками сообщение на русском языке, путаница в названиях российских налоговых органов ("Министерство по налогам и сборам" вместо "Федеральной налоговой службы") особого влияние не оказали, да и информацию такого уровня узнают обычно по другим информационным каналам, более надежным. По мнению uinC Team, если бы злоумышленники действительно хотели оказать какое-то воздействие на курс акций компании, они бы использовали более грамотно составленный пресс-релиз и организовывали атаку не накануне Дня независимости США, когда рынки закрываются раньше обычного. Короче говоря, на попытку манипулирования фондовым рынком все это было мало похоже, скорее все-таки на обычную хакерскую выходку, высокотехнологичную, но безграмотную. Рынок на провокацию и не поддался — ничего особенного с котировками "Сургутнефтегаза" не произошло.
"SmartMoney"

9/07/2007 17:05 Взаимная нелюбовь между «Лаборатория Касперского» и Rising Tech вылилась в судебную тяжбу
«Лаборатория Касперского» (Kaspersky Labs) подала в Китае в суд на китайского разработчика антивирусов Rising Tech, обвиняя его в нечестной конкуренции посредством попыток опорочить репутацию компании. Война между компаниями началась после того, как «Лаборатория Касперского» добавила в базу вредоносных программ сигнатуру одного из файлов, относящихся к антивирусам Rising Tech. После выяснения этого факта проблема была устранена, однако китайская компания выдвинула в адрес «Лаборатории Касперского» обвинения в 22-кратном совершении подобных действий в течение полугода. В мае Rising Tech объявила о намерении подать в суд на китайский филиал «Лаборатории Касперского» в Пекине за нечестные методы ведения конкуренции, однако «Лаборатория Касперского» сделала это раньше. По мнению uinC Team, для крупных ИТ-компаний, судебные разбирательства - один из относительно недорогих методов рекламы в СМИ.
CNews

9/07/2007 17:30 Шведы заблокируют The Pirate Bay за распространение детской порнографии
Полиция Швеции собирается заблокировать доступ к крупнейшему торрент-порталу The Pirate Bay за распространение детской порнографии. Запросы к этому сайту от клиентов шведских провайдеров Telia, Tele2 и Bredbandsbolaget будет перенаправлены на страницу полиции. Стефан Кронквист, глава ИТ-департамента полиции, заявил, что торрент-портал будет внесен в "черный список" распространителей порнографии, если материалы не будут удалены с сайта в течение недели. Представители The Pirate Bay считают, что обвинения несостоятельны, а полиция некомпетентна. "Во-первых, портал не занимается хостингом контента, он только хранит ссылки на материалы. Я никогда не видел на портале ссылок на детскую порнографию. Наши модераторы просматривают все присылаемые материалы и незамедлительно связываются с соответствующими организациями в случае обнаружения подозрительного контента", - сообщил в своем блоге представитель портала Brokep. Основатель портала Фредрик Нейж заявил в интервью шведскому информационному сайту The Local, что не получал от полиции никаких уведомлений. "Первое, что должны были сделать власти, это сообщить нам об обнаружении материалов, содержащих детскую порнографию. Чтобы мы смогли проверить информацию и удалить ссылки".
Источник

9/07/2007 17:58 Google объявила о покупке компании Postini
Компания Google объявила о покупке компании Postini, разрабатывающей решения для работы с электронной почтой. Сумма сделки составила 625 млн долларов. Стоит отметить, что решения Postini на сегодня довольно популярны среди западных компаний. Помимо средств для работы с E-mail, Postini продает программное обеспечение для шифрования сообщений, создания архивов и работы с сервисами мгновенных сообщений. В Google говорят, что решения Postini будут предложены бизнес-пользователям системы Gmail и онлайнового офисного пакета Google Apps. По данным Google, на сегодня насчитывается более 100 000 пользователей коммерческой версии Gmail. Аналитики агентства Bloomberg отмечают, что поглощение Postini стало третьим по величине за историю Google. Два других крупных поглощения, это покупка DoubleClick за 3,1 млрд. долларов и YouTube за 1,65 млрд. долларов.
Пресс-релиз
Источник

9/07/2007 18:20 Появление iPhone вызвало новую волну мошенничества
Как стало известно uinC Team, многие владельцы зарубежных блогов отмечают, что после публикации анонсов нового телефона Apple iPhone в своем блоге, они начали получать письма от неизвестных, содержащие предложения пополнить свою коллекцию программ для iPhone. В тексте письма указывалась как прямая ссылка на программу-троян, так и просто адрес веб-сайта оформленного в стиле iPhone, где под различными ссылкам также располагались троянские программы. Для тех же, кто так и не обзовелся iPhone, но желает его получить бесплатно, мошенники проводят рассылку писем, содержащих призыв принять участие в розыгрыше смартфона Apple iPhone. Для участия в розыгрыше предлагается установить специальную программу, которая несет в себе вредоносный код, позволяющий злоумышленникам получить контроль над системой пользователя. Будьте осторожны, не поддавайтесь на провокации!
uinC

9/07/2007 20:17 Средняя продолжительность жизни уязвимости 348 дней
Эксперты компании Immunity в своем докладе на конференции SyScan '07 подсчитали продолжительность жизни "уязвимостей нулевого дня". В среднем, продолжительность существования уязвимости в программном обеспечение составила 348 дней. Компания Immunity занимается покупкой информации о такого рода уязвимостях, не публикуя ее, изучает и ведет статистику времени, проходящего до того момента, как ошибка "нулевого дня" будет исправлена или обнародована. По данным Immunity, самый короткий срок существования уязвимости составил 99 дней, самый длинный - 1080 дней. По словам представителя компании Immunity, именно эти уязвимости используются для взлома корпоративных систем, а из-за неправильно организованной системы безопасности, это приводит к утечки важной информации, которая нередко составляет коммерческую и государственную тайну.
"Открытые системы"

10/07/2007 10:14 Опасные уязвимости в Symantec Norton Ghost
Компания Eleytt сообщает об обнаружение ряда опасных уязвимостей в программе резервного копирования и восстановления данных Symantec Norton Ghost 12.0. Уязвимости были обнаружены в следствие недостаточной обработки входным параметров некоторыми функциями DLL файлов: FileBackup.DLL и RemoteCommand.DLL. Так, используя уязвимость в функции "UpdateCatalog()" библиотеки FileBackup.DLL злоумышленник может вызвать "отказ от обслуживания", а и при использование переполнения буфера, которому подвержена функция "Connect()" в RemoteCommand.DLL, выполнить произвольнй программный код.
Symantec Norton Ghost 12.0 FileBackup.DLL DoS
Symantec Norton Ghost 12.0 Arbitrary Code Execution

10/07/2007 10:58 Индийцы оказались самыми некомпьютеризированными азиатами
Согласно данным опроса, проведенного в мае 2007 года компанией comStore Inc., интернетом пользуется только три процента индийцев, сообщает contentSutra. Таким образом, из всего азиатско-тихоокеанского региона Индия является страной с наименьшим распространением интернета. Наиболее популярными сайтами у жителей Индии являются страницы Yahoo!, Google и Microsoft. Южная Корея лидирует в списке стран азиатско-тихоокеанского региона по пользованию Сетью - в мае в интернет выходило 65 процентов населения этой страны. Также корейцы являются самыми активными пользователями, проводя в Сети 17,4 дня в месяц. Китай является лидером по количеству людей, подключенных к интернету, с показателем в 91,5 миллиона уникальных посетителей. Всего в мае из Азии в интернет вышло 284 миллиона человек в возрасте от 15 лет.
Подробности

10/07/2007 11:13 Пиринговые сети угрожают теле- и кинокомпаниям
В структуре P2P-трафика за последний год произошли неожиданные изменения: объемы скачиваемой музыки остались практически на прежнем уровне, а вот обмен видеофайлами значительно возрос. Об этом свидетельствует недавнее исследование, проведенное организатором онлайновых рекламных кампаний Big Champagne. Так, в мае 2006 наибольшее число одновременно подключенных пользователей к популярным сетям обмена музыкальными треками составляло 9 миллионов человек, а в этом году их стало чуть больше - 9,35 миллиона. Еще несколько лет назад число приверженцев музыкального пиринга росло в геометрической прогрессии. По мнению экспертов Big Champagne замедление притока новых пользователей отчасти связано с ростом популярности легальных ресурсов, в частности, iTunes Store, однако, в первую очередь, это вызвано насыщением рынка. Впрочем, представителям телевизионной и киноиндустрии статистика вряд ли покажется обнадеживающей, так как за минувший год трафик обмена видео по технологии BitTorrent в файлообменных сетях увеличился почти в два раза. Если в прошлом году на один торрент приходилось, в среднем, 817588 участников с обеих сторон, то сейчас их стало 1357318 человек, то есть на 66% больше. Примечательно, что объем "музыкального" BitTorrent-трафика также увеличился, а на P2P-серверах появилось больше видеойфалов высокого качества, "залитых" с DVD, особенно телевизионных шоу.
Источник

10/07/2007 11:45 Китайцы обвинили в своей высокой рождаемости Интернет
По мнению государственных китайских СМИ, Интернет самым непосредственным образом влияет на ситуацию с подростковой беременностью. СМИ Китая опубликовали информацию о том, что в Шанхае, финансовой столице этой страны, около половины несовершеннолетних беременных девушек находили будущих партнеров в Интернет. Чанг Ченгронг (Zhang Zhengrong), доктор, исследовавший работу городской горячей линии помощи беременным подросткам, сказал, что из 20 тысяч позвонивших за последние два года 46% девушек познакомились с будущими отцами в Интернет. "Большинство отцов просто исчезли после того, как узнали о беременности, а некоторые мамы даже не знали их имен", - сообщается в China Daily. Интересен вывод Ченгронг о причинах таких данных. Часть ответственности доктор справедливо возлагает на "взрослые" веб-сайты, видео и книги. При этом он призывает родителей, учителей и общество в целом уделять большее внимание сексуальному образованию, хотя та же статистика США показывает, что введение сексуального образования способно увеличить подростковую беременность чуть ли не в два раза. Впрочем, современные дети прекрасно обходятся и без помощи общества , и без помощи родителей в познани основ "любви". Из числа опрошенных китайских студентов 79% сказали, что всю необходимую информацию о сексе находили в Интернет.
TechLabs

10/07/2007 12:29 Нелицензионный Windows XP обнаружили в двух школах Домодедово
В Подмосковье возбуждено уголовное дело по факту установки на школьные компьютеры нелицензионного программного обеспечения Windows XP. "В ходе оперативных мероприятий было установлено, что гендиректор одной из фирм заключил контракты с двумя школами в подмосковном Домодедово на поставку компьютерной продукции. В результате на 30 системных компьютерных блоках был установлен нелицензионный программный продукт Windows XP, - сообщили в правоохранительных органах Московской области. - Тем самым, компании Microsoft был причинен ущерб на сумму 493 тысячи 906 рублей.". По данному факту проводится расследование. Возбуждено уголовное дело по статье 346 УК РФ - "нарушение авторских и смежных прав" в отношение фирмы, установившей нелицензионное ПО.
ИТАР-ТАСС

10/07/2007 12:45 В продуктах Fujitsu Siemens обнаружены две уязвимости
Две уязвимости - в серверном инструменте ServerView и в коммутаторе BX300 Fujitsu Siemens - обнаружили исследователи группы RedTeam Pentesting. Как сообщает Heise-Security.co.uk, инструмент управления ServerView содержит уязвимость к удалённому выполнению команд в CGI-сценарии DBAsciiAccess. Сценарий представляет собой реализацию команды ping. Ошибка скрывается в обработке параметра - IP-адреса, передаваемого в адресной строке браузера. Произвольную команду можно дописать к IP-адресу через «;». Команда будет выполнена с привилегиями веб-сервера. Уязвимость была устранена в версии 4.50.09 для Linux. Ещё одна уязвимость - к раскрытию информации - обнаружена в коммутаторе Fujitsu Siemens BX300 Switch Blade. Веб-интерфейс устройства может отображать информацию о настройках даже в случае неудачной аутентификации. Компания осведомлена об уязвимости, но решила её не устранять.
CNews

10/07/2007 20:10 Официальное открытие Microsoft Malware Protection Center Portal
Компания Microsoft, как и обещала в апреле месяце этого года, объявила об официальном полнофункциональном запуске портала компьютерной безопасности Microsoft Malware Protection Center Portal. По мнению uinC Team, новый портал безопасности, прежде всего, ориентирован на рядовых пользователей и предназначен для представления им информации о существующих компьютерных угрозах, активных вирусах и вредоносных программах, в доступном для их восприятия виде. Основу веб-сайта составляет энциклопедия компьютерных угроз, в которой содержится описания угроз, их краткие характеристики, включая дату обнаружения, рейтинг и тип. На веб-сайте существует раздел обратной связи, с помощью которого пользователи могут направлять подозрительные файлы на экспертизу в компанию Microsoft или просто задавать интересующие их вопросы, связанные с работой портала. Основным нововведением, по сравнению с тестовой версией портала, стало появление раздела Tools&Resource, который представляет собой набор ссылок на ресурсы компании Microsoft, связанные с компьютерной безопасностью. Среди них можно найти ссылку на TechNet Security Center, ссылки на блог Anti-Malware Team Blog и Microsoft Security Response Center Blog, а также ссылки на программные продукты Windows Defender, Microsoft Forefront и Windows Live OneCare, Malicious Software Removal Tool.
Microsoft Malware Protection Center Portal

10/07/2007 20:58 Датацентр DataHouse (Москва) отключался на 30 минут
Как стало известно из сообщения системного администратора хостинг-провайдера "Петерхост", "утром, 10 июля, в датацентре DataHouse (Москва) в районе 10:15 произошла серьёзная авария в системе электроснабжения технической площадки. В результате произошло кратковременное отключение электроэнергии." В течение получаса проблему удалось устранить, о чем было сообщено дополнительно: "Все сервера сейчас уже запущены, с консоли производятся действия по проверке файловой системы и осуществляется корректный запуск ОС. В случае возникновения непредвиденных осложнений Вы можете обратиться в нашу службу поддержки P8.ru."
PeterHost.Ru

10/07/2007 22:09 Помощь благотворительным фондам как ритуал кардеров
В блоге компании Symantec, Язен Гейбл (Yazan Gable), сообщает, что в последнее время участились случаи, когда преступники проверяют ворованные кредитки на благотворительных фондах. Как правило, делаются переводы не очень больших сумм на счет таких организаций, как Красный Крест и подобных. Переводы на небольшие суммы не привлекают внимания банков, и тем более, не вызывают подозрения благотворительные взносы. Таким образом, преступники проверяют, рабочая ли кредитка, не заблокирована ли она, а уж потом, если платеж проходит, используют ее в корыстных целях. Автор сообщения выражает уверенность в том, что такая тенденция будет продолжаться. "Я думаю, что очень хорошо, что, по крайней мере, некоторая часть украденных денег идет на благое дело", - написал он.
"Вебпланета"

11/07/2007 00:19 Выход ежемесячного обновления безопасности от Microsoft
Компания Microsoft представила очередной ежемесячный выпуск обновления безопасности для своих программных продуктов. Кроме очередного обновления утилиты Malicious Software Removal Tool для обнаружения и удаления вредоносного ПО, в пакет обновления вошли следующие патчи:
Microsoft Security Bulletin MS07-036
Пакет обновлений офисных приложений, устраняющий уязвимости в программе Microsoft Excel. Уязвимости позволяли злоумышленнику, используя специально сформированный XLS-файл выполнить произвольный программный код на уязвимой системе с установленным Excel 2000 и привести к утечке данных в Excel 2003/2007.
Microsoft Security Bulletin MS07-037
Патч, устраняющий уязвимость в офисном приложение Microsoft Publisher 2007. Устраненая уязвимость позволяла выполнить произвольный программный код на уязвимой системе с правами текущего пользователя. Для использования уязвимости необходим специально сформированный PUB файл.
Техническое описание
Microsoft Security Bulletin MS07-038
Обновление безопасности для встроенного в Windows Vista (x64 bit) брандмауэра. Обновление устраняет уязвимость, приводящию к утечки информации о работе файрвола, что позволило бы злоумышленику удаленно составить портрет уязвимой системы.
Microsoft Security Bulletin MS07-039
Обновление безопасности Active Directory для операционных систем Windows 2000 Server и Windows Server 2003. Использование устраненной уязвимости чаще всего приводит к "отказу от обслуживания", но возможно и удаленное выполнение программного кода. В Windows 2000 Server при достаточных полномочиях текущего пользователя, злоумышленник может получить полный контроль над системой, вплоть до установки программ, изменения и удаления файлов и получения доступа к логам.
Microsoft Security Bulletin MS07-040
Пакет обновлений, устраняющий ряд уязвимостей в .NET Framework 1.1/2.0, приводящих к возможности выполнения произвольного программного кода на уязвимой системе.
Техническое описание
Microsoft Security Bulletin MS07-041
Патч, устраняющий уязвимость в веб-сервер Internet Information Services (IIS) 5.1 для операционной системы Windows XP Professional, с установленным Service Pack 2. Используя специально сформированный URL запрос злоумышленник может получить полный доступ к системе и выполнить произвольный программный код.
Все обновления доступны через веб-сайты Microsoft Download Center и Microsoft Update.
Microsoft Security Bulletin Summary for July 2007

11/07/2007 10:06 Россия опровергла отказ от помощи Эстонии в расследовании кибератак
Эстонские СМИ "существенно исказили" ответ российской Генпрокуратуры на запрос о помощи в расследовании кибератак, произошедших весной этого года, передает РИА Новости, ссылаясь на заявление посольства России в Таллине. 6 июля эстонские информагентства со ссылкой на пресс-службу прокуратуры сообщили, что 10 мая в Генпрокуратуру РФ было направлено прошение о правовой помощи, однако в ответе от 28 июня российская сторона отказалась его исполнить. Прошение было предъявлено согласно заключенному между Эстонией и Россией Договору о правовой помощи и правовых отношениях. В распространенном во вторник заявлении посольства России сообщается, что Генпрокуратура России в соответствии с Договором готова оказать помощь компетентным органам Эстонии в расследовании хакерских атак на эстонские серверы. "В письме Генеральной прокуратуры Российской Федерации четко заявлено, что в соответствии со статьей 3 Договора... правовая помощь охватывает выполнение процессуальных действий, предусмотренных законодательством запрашиваемой Договаривающейся Стороны, и не предусматривает проведения оперативно-розыскных мероприятий, направленных на установление места нахождения интересующих следствие лиц", - говорится в заявлении диппредставительства. С учетом этого Генпрокуратура России попросила эстонскую сторону направить в ее адрес новый запрос, оформленный в соответствии с Договором, и подтвердила готовность "оказывать компетентным органам Эстонии аналогичную или иную правовую помощь в соответствии с международными договорами, участниками которых являются Российская Федерация и Эстонская Республика", подчеркивает российское посольство.
Источник

11/07/2007 10:28 Microsoft назвала точную дату выхода Windows Server 2008
Корпорация Microsoft назвала точную дату презентации новой серверной операционной системы Windows Server 2008. Windows Server 2008 в настоящее время находится на стадии бета-тестирования. В новой ОС реализован интерфейс на основе командной строки PowerShell, имеются усовершенствованный брандмауэр и консоль Server Manager с расширенными возможностями удаленного администрирования. Программная платформа поддерживает технологии виртуализации и многоядерные процессоры. В качестве ориентировочной даты выпуска окончательной версии Windows Server 2008 до настоящего времени назывался конец нынешнего года. Однако во вторник в рамках Всемирной конференции для партнеров Microsoft главный операционный директор корпорации Кевин Тернер объявил, что презентация финальной модификации Windows Server 2008 состоится 27 февраля. Серверная операционная система будет представлена в рамках специального мероприятия, которое пройдет в Лос-Анджелесе. Одновременно с операционной системой Windows Server 2008, как ожидается, будут анонсированы два других продукта Microsoft - база данных SQL Server 2008 и среда разработки приложений Visual Studio 2008. По словам Тернера, это будет самая крупная презентация новых версий программных продуктов корпорации, которая запланирована на будущий год. Тернер также отметил, что корпорация Microsoft планирует в следующем году расширить партнерскую сеть и увеличить инвестиции в исследования и разработки.
Подробности

11/07/2007 11:33 Уязвимость в Mozilla Firefox
Известный исследователь компьютерной безопасности Михал Залевски сообщил о наличии уязвимости в популярном браузере Mozilla Firefox версии 2.0.0.4 и ниже. Уязвимость заключается в возможности доступа к "wyciwyg://" документам через HTTP 302 переадресацию, которую можно осуществить в обход обходя правила безопасности same-domain. What You Cache Is What You Get URLs - спецификация Mozilla, указывающая, что запрашиваемый ресурс будет отображен из кэша браузера и не загружен с реального веб-сайта. Атакующему необходимо специальным образом подготовить веб страничку, предварительно внедрив вредоносный код, чтобы похитить конфиденциальную информацию через кэш браузера.
Описание уязвимости и патч

11/07/2007 12:10 Биржевой протокол FIX полон уязвимостей
Основной протокол обмена данными при торговле ценными бумагами Financial Information Exchange (FIX) не соответствует современным требованиям к безопасной связи, утверждает компания ИТ-безопасности Matasano Security. Протокол был создан в 1992 году для передачи информации о торговле акциями между Fidelity Investments и Solomon Brothers. В настоящее время он является стандартом де факто в серверных приложениях для обмена данными о финансовых транзакциях и используется как продавцами, так и покупателями акций. Протокол изначально не предусматривал систем защиты, утверждают специалисты Matasano. Вследствие этого, он может быть уязвим к атакам отказа в обслуживании, захвата сеанса связи и перехвату трафика. Дэйв Джи (Dave G) и Джереми Рауч (Jeremy Rauch), изучавшие проблемы FIX, представят свои открытия в Лас-Вегасе 2 августа на конференции Black Hat USA. Пока же они ограничились лишь анонсом. По предположению исполнительного директора Matasano Дэвида Голдсмита (David Goldsmith), слабость протокола заключается в отсутствии встроенной системы шифрования сессий, а также в том, что его реализации написаны на «нестрогих» языках C и C++, допускающих при неаккуратном программировании возникновение уязвимостей к переполнению буфера и других эксплуатируемых ошибок. Ещё один фактор, говорящий о ненадёжности протокола – его приватность: приложения, работающие с ним, создавались для служебного пользования и, таким образом, при их создании доступ посторонних не предполагался в принципе.
Источник

11/07/2007 12:43 SP1 для Windows Vista: уже в июле?
В Сети появилась неподтвержденная информация, что Microsoft собирается выпустить Service Pack 1 для Windows Vista уже летом текущего года, сообщает Arstechnica. Ранее представители Microsoft заявляли, что бета-версия Service Pack 1 появится в конце текущего года, а полная версия — в начале 2008 года. Но сейчас несколько не связанных друг с другом сайтов, ссылаясь на неназванные источники, сообщают, что бета-версия Service Pack 1 может появиться уже 16-го июля текущего года, а полная будет выпущена в ноябре. Представители Microsoft не давали опровержений или подтверждений этой информации, а менеджер компании по связям с общественностью заявил, что «обсуждать даты выхода Service Pack 1 для Windows Vista еще слишком рано». Он также сообщил, что команда разработчиков Service Pack 1 планирует выпустить бета-версию около осени текущего года, что позволяет назвать дату 16-го июля несколько преждевременной. Service Pack 1 для Windows Vista будет содержать большое количество различных исправлений и улучшений, но, кроме того, в него также войдут новые функции, которые обязал Microsoft добавить Департамент юстиции США. Теперь пользователи смогут выбирать альтернативу встроенному поиску в Windows Vista. Напомним, что именно из-за того, что пользователям не было выгодно применять для поиска приложения от конкурентов Microsoft, недавно разгорелся судебный скандал между Microsoft и Google. На днях мы сообщали о том, что выход финального релиза Service Pack 1 для Windows Vista откладывается до 2008 года.
Источник

11/07/2007 13:22 Фишеры научились создавать подставные сайты за считанные секунды
Специалисты компании RSA Security обнаружили программный код, при помощи которого можно буквально за считанные секунды разместить в интернете фишерский сайт. Как сообщает PC World, обнаруженная сотрудниками RSA Security программа содержит все элементы, необходимые для формирования веб-страницы, включая HTML-код и графику. Правда, для того чтобы воспользоваться фишерской утилитой, злоумышленнику вначале необходимо получить доступ к серверу. После этого достаточно просто запустить код на выполнение, и программа самостоятельно разместит файлы в нужных директориях. Специалисты RSA Security подчеркивают, что программа позволяет киберпреступникам сократить число обращений к серверу, необходимых для загрузки составляющих фишерского сайта. Благодаря этому теоретически снижается вероятность того, что администраторы обнаружат факт несанкционированного проникновения на сервер. Найденная программа формирует подставной сайт некоего финансового учреждения, однако, какого именно, в компании RSA Security не уточняют. Согласно статистике, собранной аналитической компанией Gartner, количество фишинговых махинаций за последние два года выросло в два раза. Средняя продолжительность жизни фишинговой веб-страницы в мае составляла 3,8 суток. На уловки сетевых злоумышленников попадаются миллионы пользователей интернета. Причем каждая из жертв фишеров теряет в среднем 1250 долларов США.
"Компьюлента"

11/07/2007 13:46 Mozilla откладывает выпуск Firefox 3.0 Beta
Как сообщили инженеры Mozilla Corp., первая бета-версия Firefox 3.0 задержится, как минимум, на шесть недель и теперь появится не раньше середины сентября. В воскресном постинге на mozilla.dev.planning Майк Шрепфер, вице-президент Mozilla по инжинирингу, предложил изменить график выпуска версий следующего капитального обновления популярного браузера с открытым исходным кодом Firefox 3.0. В частности, первая бета-версия, которую всего неделю назад обещали выпустить 31 июля, откладывается, как минимум, до 18 сентября. «В соответствии с нашими критериями, М7 не будет готова к присвоению статуса бета-версии», — пишет Шрепфер. В своем постинге, который оформлен как протокол совещания, проходившего на прошлой неделе, Шрепфер использует обозначение «М» для промежуточных версий — в зависимости от их стабильности они могут называться «альфа-» или «бета-» версиями. Например, версия Firefox 3.0 Alpha 6, последняя альфа-версия перед началом бета-тестирования, которая вышла 4 июля, обозначалась как М6. «Talos показывает примерно на 18% больший объем занимаемой памяти, и тестеры сообщают о некоторых других серьезных недостатках», — продолжает Шрепфер (Talos – это проект Mozilla по тестированию производительности ПО). К тому же несколько функций, которые должны войти в Firefox 3.0, еще не включены в его код, в том числе средства защиты от вредоносного ПО и интерфейсы прикладных программ для офлайновой поддержки веб-приложений. В новом графике, опубликованном в понедельник, указаны даты выпуска М8 и М9. Две последние версии могут быть бета-версиями, а могут и не быть. «Мы перейдем с альфа- на бета-версии, как только убедимся в стабильности Firefox и его пригодности для ежедневного браузинга большого числа людей... Когда выйдет последняя бета-версия? Как только будет готова», — уточняет Шрепфер. Ни в его комментариях, ни в календаре нет никаких упоминаний о сроках выхода окончательной версии Firefox 3.0, которую раньше обещали выпустить в этом году. График не идет дальше 16 октября, когда должен быть заморожен код М9.
Источник

11/07/2007 14:08 Уязвимость в Active Directory ОС Windows
Peter Winter-Smith из NGSSoftware обнаружил уязвимость в службе Active Directory (AD), применяемую в сетях, построенных на базе Windows-серверов и рабочих станций. Уязвимость позволяет неавторизованному пользователю вызвать отказ этой службы на стороне контроллера домена, тем не менее, она охарактеризована автором низкой степенью риска. Дыра связана с некорректной обработкой LDAP-запроса с полем ASN.1 имеющим тип 0x08. При попытке обработки подобного запроса нагрузка процессора достигает 100%, что приводит к полной неработоспособности системы без возможности дальнейшего восстановления. Уязвимость устранена и описана в бюллетене Microsoft MS07-039.
Описание уязвимости

11/07/2007 22:45 Кроссплатформенная уязвимость в Flash Player
Компания Adobe представила на своем веб-сайте обновление для Adobe Flash Player, которое призвано закрыть уязвимость, обнаруженную в Adobe Flash Player 9.0.45.0 (и раньших версиях), 8.0.34.0 (и раньших версиях) и 7.0.69.0 (и раньших версиях) для Win, Mac, Solaris и Linux платформ. Используя эту уязвимость злоумышленник мог получить полный контроль над уязвимой системой используя специально сформированный SWF файл. Обладателям уязвимых версий Flash Player, компания Adobe рекомендует произвести обновление этой программы, при помощи встроенной функции автообновления или через веб-сайт компании.
APSB07-12

11/07/2007 22:48 Обнаружена опасная уязвимость в Photoshop CS2 и CS3
На веб-сайте компании Adobe было опубликовано новое обновление безопасности, которое позволяет устранить уязвимость в Photoshop CS2 и CS3 для Mac и Windows систем. Уязвимость возникает при обработке специально сформированных BMP, DIB, RLE или PNG файлов, используя которые, злоумышленник может выполнить произвольный программный код на уязвимой системе. Компания Adobe рекомендует внимательней относиться к письмам с вложениями, содержащих файлы BMP, DIB, RLE или PNG форматов, для устранения уязвимости необходимо установить патч, размещенный на веб-сайте компании.
APSB07-13

12/07/2007 09:44 В Ростове обнаружено 50 компьютеров с пиратскими программами
Сотрудники правоохранительных органов Ростова-на-Дону обнаружили и изъяли "около 50" системных блоков с контрафактным программным обеспечением в различных учреждениях города. Среди пользователей пиратской продукции оказались туристическая фирма, строительная компания, несколько магазинов по продаже аудио-видео-продукции, а также торгово-закупочные организации, сообщает Интерфакс. По сложившейся традиции, контрафактное ПО было обнаружено и в учебных заведениях. Так, в ходе проверки одного из местных профтехучилищ, пиратские программы были найдены на 12 компьютерах, при том, что на покупку лицензионного ПО деньги были выделены Министерством образования. Напомним, два дня назад пиратские программы были найдены в подмосковном городе Домодедово, а в начале 2007 года широкую известность получил суд над педагогом из Пермской области Поносовым, в школе которого были также обнаружены машины с пиратским ПО. По факту выявленных нарушений было возбуждено уголовное дело по статье 146 УК РФ (нарушение авторских и смежных прав). Кроме того, пользователям пиратской продукции грозит гражданская и административная ответственность.
Источник

12/07/2007 10:03 Червь Storm предупреждает жертв о вирусной эпидемии
Специалисты по вопросам компьютерной безопасности предупреждают о повышении активности вредоносной программы Storm, впервые обнаруженной в начале нынешнего года. На сайте австралийского координационного центра CERT сообщается о резком увеличении количества спамерских писем, разосланных злоумышленниками с целью распространения червя Storm. В письмах говорится о том, что с IP-адреса получателя якобы распространяется большое количество электронных сообщений. Далее пользователю предлагается загрузить средства безопасности, которые позволят удалить вредоносное ПО с компьютера. Однако если получатель письма рискнет перейти по ссылке, указанной в письме, на его компьютер вместо обещанной утилиты удаления вируса будут загружены троянские компоненты, открывающие "черный ход" в систему. Специалисты CERT обнаружили, по крайней мере, 50 веб-сайтов, к которым может происходить обращение при загрузке вредоносного ПО. Причем эксперты подчеркивают, что далеко не все антивирусные программы на текущий момент способны эффективно блокировать новую модификацию Storm.
Подробности

12/07/2007 11:06 Через браузер IE можно выполнить произвольный код в Firefox
Эксперты по вопросам компьютерной безопасности из датской компании Secunia предупреждают об обнаружении опасной уязвимости в браузере Firefox последних версий. Проблема, как сообщается, связана с методом обработки универсальных идентификаторов ресурса (Uniform Resource Identifier, URI). Дело в том, что Firefox при инсталляции автоматически прописывает в реестре операционной системы Windows обработчик URI вида "firefoxurl://". Это позволяет злоумышленникам при помощи сформированной специальным образом веб-страницы выполнить произвольный вредоносный код без ведома пользователя. Для организации нападения необходимо, чтобы на компьютере наряду с Firefox был инсталлирован браузер Internet Explorer. В этом случае при помощи вредоносного веб-сайта злоумышленник может задействовать обработчик URI и заставить Internet Explorer запустить Firefox с последующим выполнением произвольного JavaScript-кода. По данным Secunia, проблема затрагивает версии Firefox 2.0 и выше при использовании браузера на полностью пропатченных компьютерах с Windows ХР со вторым сервис-паком. Ситуация ухудшается тем, что браузер Internet Explorer, необходимый для организации атаки, установлен на многих компьютерах с Firefox, поскольку входит в стандартную поставку Windows. Сообщество Mozilla.org подтвердило факт наличия проблемы и пообещало устранить ее в готовящейся к выпуску модификации браузера Firefox с индексом 2.0.0.5. Между тем, в интернете уже появился пример вредоносного кода, позволяющего задействовать уязвимость. Впрочем, практических случаев эксплуатации дыры пока зафиксировано не было.
Описание

12/07/2007 12:10 В США создан интернет-сайт для борьбы со взятками
Некоммерческая организация Trace International, представляющая интересы десятков американских компаний, имеющих филиалы за рубежом, запустила интернет-сайт, призванный помочь борьбе со взяточничеством. Этот ресурс позволяет как сотрудникам корпораций, так и частным лицам оставлять анонимные сообщения о взятках, которые требуют чиновники, международные организации, представители служб безопасности и руководство государственных компаний. Как полагают представители Trace International, сбор подобной информации позволит в дальнейшем готовить регулярные отчеты об уровне коррупции в различных регионах мира. Как отмечает AFP, деятельность данного ресурса будут поддерживать такие известные международные брэнды, как Wal-Mart, FedEx, Rolls-Royce и многие другие. Создатели сайта отдают себе отчет в том, что сообщения о взятках, большинство из которых невозможно будет проверить, не помогут объективно оценить уровень коррупции, но все же надеются, что количество ложных "сигналов" окажется невелико.
"Лента.Ру"

12/07/2007 12:31 Военные секреты США попали в открытый доступ
Сотрудникам Associated Press удалось обнаружить в Интернет ряд попавших в открытый доступ документов, принадлежащих военным организациям, агентствам и исследовательским лабораториям США. Как сообщается, в руки обозревателей АР, среди прочего, попали фотографии и детальные схемы американских военных баз в Ираке с указанием расположения топливных резервуаров, охранных вышек и бараков для заключенных. Кроме того, сотрудники Associated Press нашли планы строительства новых военных объектов, презентацию в формате PowerPoint с информацией о новых системах GPS и средствах противодействия станциям умышленных помех, а также документы с описанием новых технологий борьбы со снайперами в городских условиях. Военная документация, в частности, была найдена на серверах Национального агентства графических и картографических работ США, Лос-Аламосской национальной лаборатории министерства энергетики США, Национальной лаборатории Сандиа и ряда других организаций. В одном из случаев документы были защищены паролем, однако сам пароль был прописан в другом незащищенном файле, находившемся на том же сервере. Associated Press подчеркивает, что доступ к найденной информации мог получить любой пользователь интернета. Между тем, сведения, содержащиеся в открытой военной документации, теоретически могли бы быть использованы террористами или вражескими войсками с целью организации атак на американские базы. Примечательно, что на прямой запрос выдать уже попавшие в открытый доступ файлы власти ответили сотрудникам АР отказом, сославшись на секретность запрашиваемых сведений. В настоящее время все документы, найденные сотрудниками Associated Press, из открытого доступа убраны. Информационное агентство АР также уничтожило секретные файлы. Однако не исключено, что при желании на серверах военных ведомств США можно найти другие документы, не предназначенные для всеобщего использования.
"Компьюлента"

12/07/2007 13:13 Анонсирован CentOS 5 LiveCD
Объявлено о выходе LiveCD редакции Linux дистрибутива CentOS 5. Судя по дате создания iso образа, официальный анонс представлен спустя два месяца после сборки LiveCD. Для создания LiveCD использовался пакет ADIOS. В комплект включены: OpenOffice.org 2.0.4, Firefox 1.5.0.10, Thunderbird 1.5.0.10, Gaim-2.0.0, Scribus-1.3.3, xchat-2.6.6, k3b-0.12.17, Gimp-2.2.13, QTParted, Nmap, samba-3.0.23c, GUI Hardware Device Manager и т.д, сообщает opennet.ru.
Анонс

12/07/2007 13:49 NanoScan от Panda: теперь и для Vista
Panda Software сообщила о том, что NanoScan beta, новый быстрый антивирусный сканер, теперь полностью совместим с Windows Vista – как с 32-битной, так и с 64-битной версиями (для последней следует использовать 32-битный браузер). В результате пользователи новой ОС могут просканировать свои компьютеры с помощью данной утилиты, способной обнаруживать более миллиона вирусов, троянов, шпионских программ и других активных угроз менее чем за минуту. NanoScan от Panda совместим с такими браузерами, как Internet Explorer и Firefox. Своей мощностью обнаружения сканер обязан, прежде всего, новому принципу «коллективного антивредоносного разума» - системе, объединяющей сбор информации с компьютеров, проверенных с помощью NanoScan beta, автоматический анализ этой информации в PandaLabs и распространение полученных знаний внутри системы. NanoScan beta особенно пригодится пользователям, желающим получить мнение Panda о безопасности своего компьютера, поскольку сканер способен обнаружить даже те угрозы, которые смогли проникнуть сквозь установленные в системе решения безопасности.
Источник

12/07/2007 14:37 В Москве обнаружена крупная партия фальшивых карточек "Master Card"
Оперативники столичного управления по борьбе с экономическими преступлениями (УБЭП) задержали жителя Санкт-Петербурга, у которого изъяли около 900 фальшивых пластиковых карточек "MasterCard", на общую сумму около 45 тысяч евро, сообщил начальник пресс-службы УБЭП ГУВД Москвы Филлип Золотницкий. По его словам, предполагаемый сбытчик подделок был задержан в прошедший вторник на Тверской улице столицы в ходе специальной операции при проведении контрольной закупки. "Мужчина, имя которого не называется в интересах следствия, намеревался сбыть фальшивки намного дешевле их номинальной стоимости. Так, за 880 фальшивых чеков он хотел получить 13 тысяч долларов, при их действительной стоимости около 45 тысяч евро", - сказал Золотницкий. Изъятые пластиковые карточки выполнены очень качественно, и отличить их от оригинала может только специалист, добавил он. "Это первая попытка сбыта такой крупной партии фальшивых дорожных карт. До этого в столице отмечались единичные случаи использования подобных подделок. Если бы с аферистом встретились преступники, могли пострадать сотни туристов, выезжающих за рубеж", - отметил Золотницкий. Он добавил, что "уже установлено, что фальшивки были произведены в одной из стран Восточной Европы. Сейчас совместно с сотрудниками Интерпола мы совместно разрабатываем дальнейшие оперативные мероприятия по выявлению всего канала поставок фальшивок и мест их изготовления".
РИА "Новости"

12/07/2007 15:02 Американские старушки захватили ночной Интернет
Больше половины американских женщин считают Интернет первостепенным источником информации, говорится в исследовании поведения женщин в Сети, проведенной маркетинговой компанией Burst Media. А две трети заявили, что их жизнь будет сильно нарушена, если они лишатся Интернета хотя бы на неделю. Всего в опросе приняло участие более 1800 женщин старше 25 лет. Кстати, как утверждают в компании comScore Media Metrix, женщин среди американской интернет-аудитории сейчас уже больше, чем мужчин. В дневное время в Сети находятся около 80% представителей слабого пола. В первой половине дня большинство использует Интернет для работы, вечером – в личных или семейных целях. Ночью в Сеть выходят в основном женщины в возрасте – так ответили 53,1% респонденток в возрасте 65 лет и старше. Интернет сегодня становится для женщин важнейшим источником информации о товарах и услугах. Об этом заявили более половины опрошенных. «Ничто даже рядом не стоит с Интернетом по способности влиять на решения, принимаемые женщинами в отношении потребляемых ими товаров и услуг, а также по степени влияния на их повседневную жизнь, - считают авторы доклада. - Маркетологам следует пристально изучать изменения привычек женщин в том, что касается Интернета, если они собираются ориентироваться на женскую аудиторию».
Источник

12/07/2007 17:40 Ошибка в работе банкомата обогатила жителей Лондона
Банкомат банка HSBC, расположенный в центральном районе Лондона Клеркенвелл (Clerkenwell), в течение двух с лишним часов выдавал банкноты достоинством 20 фунтов стерлингов вместо 10 фунтовых. Сбой произошел из-за ошибки работника, обслуживающего банкоматы, который перепутал местами картриджи с банкнотами. К "щедрому" банкомату немедленно выстроилась длинная очередь. По словам очевидцев, узнав, в чем дело, люди звонили по сотовому своим знакомым, приглашая их поскорее прийти и воспользоваться случаем, пока банкомат не починили и в нем еще есть деньги. За два с половиной часа банкомат выдал несколько тысяч фунтов стерлингов. Со своей стороны, представители банка HSBC заявили, что из-за ошибки, вызванной "человеческим фактором", банкомат выдал небольшую сумму лишних денег. В банке HSBC сообщили, что, скорее всего, не будут требовать от граждан возвращения денег.
Источник

12/07/2007 18:32 Миниатюры в электронных лампах
По сообщению Компьюленты, американец Питер Любер более двух десятков лет увлекался изготовлением миниатюрных моделей в свободное от работы время. Однако с течением времени простое копирование Люберу надоело и он решил заняться изготовлением миниатюр на основе собственных идей. После серии экспериментов было решено размещать миниатюры внутри старых электронных ламп. Сейчас изготовление скульптурных "ламповых миниатюр" стало основным занятием Любера. Большинство миниатюр посвящены бытовым сюжетам, автор продает их от 500 долларов за штуку. Кроме электронных ламп Любер использует для миниатюр корпуса более крупных ламп промышленного освещения, а также рисует картины и занимается литературным творчеством.
Страница Питера Любера

12/07/2007 20:00 Уязвимость в QuickTime
iDefense сообщает о наличии уязвимости в популярном медиа-плеере QuickTime, выпускаемом компанией Apple. Уязвимость связана с алгоритмом обработки полей названия и автора SMIL-файла. SMIL (Synchronized Multimedia Integration Language) является языком описания мультимедийных презентаций. SMIL-файл имеет XML-синтаксис и представляет собой текстовый файл. Наличие уязвимости может позволить удалённому атакующему выполнить произвольный код в системе с полномочиями пользователя, запустившего специальным образом сформированный SMIL-файл. Разумеется, для проведения атаки необходимо убедить жертву запустить подобный файл. Уязвимость подтверждена в версиях 7.1.3 и 7.1.5 плеера в ОС Windows и Mac OS X. Apple выпущена новая версия QuickTime - 7.2, в которой уязвимость устранена.
Описание уязвимости

13/07/2007 09:26 Sony BMG подала в суд на партнера за ошибку в программе
Звукозаписывающая компания Sony BMG Entertainment подала в суд на производителя технологий защиты от копирования за дефект в программе MediaMax, сообщает Associated Press. Истец требует возмещения убытков в размере 12 миллионов долларов. Представители Sony BMG утверждают, что ошибка в программе вынудила компанию потратить несколько миллионов долларов на урегулирование многочисленных жалоб потребителей и проведение исследований. Например, осенью 2006 года Sony BMG выделила на эти цели 5,75 миллиона долларов. Производитель технологии The Amergence Group Inc. (бывшая SunnComm International) обвиняется в небрежности, нечестности при ведении бизнеса и нарушении лицензионного соглашения программы, поскольку MediaMax "не работает так, как гарантировала компания". Представители The Amergence Group заявили, что большинство исков против Sony BMG, связанных с защитой CD от копирования, не относятся к MediaMax, поэтому обвинения абсолютно беспочвенны. Sony BMG начала использовать продукцию The Amergence Group в 2003 году. К 2005 году звукозаписывающей компанией было реализовано около четырех миллионов компакт-дисков, оснащенных защитой MediaMax. Программа ограничивает количество копий, которые может сделать владелец носителя. Некоторые пользователи сообщали о проблемах воспроизведения дисков с MediaMax на компьютере. Также сообщалось о проблемах с аналогичной системой защиты от копирования от другого производителя, используемой Sony BMG. Эти ошибки неоднократно приводили к судебным искам против звукозаписывающей компании.
Подробности

13/07/2007 10:01 FreeBSD 7 и Sun Solaris увеличивают совместимость с Linux
В новой версии FreeBSD 7 готовятся улучшения, многие из которых уже давно присутствуют в Линуксе, например поддержка файловой системы tmpfs, технологии TCP/IP segmentation offload, протокола SCTP и многое другое. Самое главное это то, что в новой версии FreeBSD будет включена подсистема Linuxulator, которая позволит запускать бинарные файлы Linux Fedora без модификации и без потерь на трансляцию системных вызовов одной ОС в другую. Из неофициальных источников стало также известно, что Sun работает над технологией Project Indiana, которая позволит новой версии Open Solaris быть более похожей и совместимой с Linux'ом.
FreeBSD
Solaris

13/07/2007 10:46 Выход Oracle 11g
Корпорация Oracle официально представила новую версию базы данных, получившую название 11g. Oracle приурочила выпуск программного продукта 11g к тридцатилетию компании. Oracle подчеркивает, что база данных 11g включает свыше 400 новых функций, а на ее создание ушли порядка 26 миллионов человеко-часов работы. Согласно предварительным опросам, в течение ближайшего года на новую версию базы данных планируют перейти около 35% корпоративных клиентов Oracle. Среди основных нововведений в Oracle 11g можно упомянуть комплекс Real Application Testing и средства безопасности Data Guard. Система Real Application Testing позволяет существенно ускорить процесс тестирования и внедрения прикладных программ. Что касается инструментария Data Guard, то он позволяет быстро переключаться на резервные копии базы данных в случае сбоев. В Oracle 11g появились усовершенствованные средства шифрования и компрессии информации. Обновленная версия программного продукта, в частности, поддерживает компрессию всех типов данных, что позволяет экономить дисковое пространство. Кроме того, разработчики улучшили производительность и надежность. Компания Oracle пока не называет ни ориентировочную цену, ни дату начала продаж 11g. Известно лишь, что на начальном этапе заказчики смогут приобрести модификацию базы данных для операционной системы Linux. Версия для Windows появится несколько позднее.
Подробности

13/07/2007 11:30 Глобальная сеть на рабочем столе
Компания Itheon Networks предлагает малогабаритное сетевое устройство INE Compact, представляющее собой имитатор глобальной сети для проверки производительности приложений. Создатели INE Compact описывают приставку в качестве "настольного симулятора сети", простого в использовании и доступного по цене, который поможет программистам тестировать свои разработки на функционирование в глобальных и беспроводных сетях. Устройство комплектуется набором готовых сценариев применения, а дополнительные можно загружать на сайте производителя. Приставка подключается между хост-системой и тестируемым клиентским приложением - либо напрямую, либо через маршрутизаторы и коммутаторы. По словам представителей Itheon, она реалистично воспроизводит основные условия работы приложений при передаче данных по линиям T1, E1, ADSL, по модему, по сетям GPRS, 3G, WiMAX и спутниковым каналам. При этом учитывается соответствующие пропускная способность, время отклика, неравномерность скорости передачи, потери пакетов и нарушение порядка их следования. Устройство является совместимым с приложениями для тестирования под нагрузкой, такими как Mercury Loadrunner и Facilita Forecast.
Источник

13/07/2007 11:54 Haute Secure обезопасит серфинг через Internet Explorer
Новая компания безопасности, Haute Secure, предлагает бета-версию своего приложения безопасного серфинга для браузера Internet Explorer, которое блокирует загрузку вредоносного кода на рабочем столе, сообщает TechCrunch. Представители Haute Secure также обещают в ближайшее время добавить поддержку Firefox. Разработчики заявляют, что их приложение возьмет все лучшее от Exploit Prevention Labs Linkscanner Pro и McAfee SiteAdvisor, а также будет располагать большим количеством эффективных слоев защиты. В отличие от McAfee SiteAdvisor, который, как правило, блокирует доступ к инфицированному сайту, приложение от Haute Secure будет уничтожать вредоносный код, а потом открывать доступ к веб-странице.
Источник

13/07/2007 13:57 Интернет-подруга оштрафовала собеседника на 30 тыс. руб
В Чите областной суд Центрального района вынес приговор интернет-пользователю, который обвинялся в публичных оскорблениях женщины в Сети. Потерпевшая сообщила, что познакомилась с Сергеем Глухих в Интернет. Они поддерживали сетевое общение какое-то время, после чего Глухих без согласия потерпевшей выложил на одном из интернет-ресурсов ее адрес и телефон, а также оскорблял ее с использованием ненормативной лексики. Обвиняемый был приговорен читинским мировым судом Центрального района к штрафу в 30 тысяч рублей по ч. 2 ст. 130 УК РФ (оскорбление, содержащееся в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации) и ч. 1 ст. 137 (незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации).
CNews

13/07/2007 15:10 PHP4 больше не будет
На официальном веб-сайте PHP Group, были объявлены даты прекращения поддержки популярного скриптового языка программирования PHP4. Как говорится в анонсе: "Сегодня, ровно три года с момента выпуска PHP5. В течение этих трех лет PHP5 во много раз превзошел своего предшественника. PHP5 стал быстрым, стабильный и завершенным, а поскольку на подходе уже PHP6, то выпуск PHP4 планируется прекратить." Тем самым, группа разработчиков PHP будет производить поддержку PHP4 до конца этого года, а критические исправления будут выходить до 8 августа 2008 года. В своем обращение разработчики призывают всех пользователей PHP4 постепенно перходить на PHP5.
Migrating from PHP 4 to PHP 5

13/07/2007 15:50 Рост объемов PDF-спама: тревожная тенденция
Количество спама, содержащего PDF-файлы с графическим текстом, искажённым во избежание обнаружения фильтрами, резко выросло в среду, составив 10-15% от общего числа спама, перехваченного за день. Всплеск обнаружила израильская компания ИТ-безопасности Commtouch Software, сообщает BCS.org. По словам старшего директора компании по маркетингу Ребекки Херсон (Rebecca Herson), было разослано от 14 до 21 млрд писем с PDF-файлами. Учитывая то, что подобные письма почти в 4 раза больше стандартных, рост спамерского трафика составил 30-40%. Анализ рассылок за 6 часов, проведенный в среду, показал, что источником спама были зомбированные компьютеры из 167 стран. Около 24% писем были разосланы из США, 14% - из Тайваня, 10% - из Китая и 4% - из России. В целом, доля спама, содержащего текст в графическом виде, с начала года уменьшается в пользу спама, в котором указываются только ссылки на подобные изображения, сказал Дуг Боуверс (Doug Bowers), старший директор по проектированию антиспамерских технологий Symantec. Вложения в PDF-файлах рассылаются уже давно, однако лишь недавно количество такого спама стало расти, что позволяет говорить о тенденции. С начала месяца доля спама, содержащего вложенные изображения с графическим текстом, упала с 38% до 19%, по данным Secure Computing.
Источник

13/07/2007 16:53 "Форматных" пиратов впервые поймали за руку
Активность российских правоохранительных органов в сфере информационных технологий коснулась не только пиратского программного обеспечения. Теперь настала очередь форматов. Арбитражный суд города Москвы рассмотрел дело о нарушении прав на формат интернет-конкурса «Любовь России». В результате суд запретил пиратам использовать формат данного интернет-конкурса и потребовал выплатить компенсацию в размере 100 тыс. руб. Для России это первый случай наказания «форматных» интернет-пиратов. В 2006 г. стартовал конкурс «Любовь России». Особенности формата интерактивного конкурса заключаются в том, что он напоминает социальную сеть: отсутствие жюри (все решается голосованиями самих пользователей), расширенная система вычисления рейтинга каждого участника, использование новых типов контента (подкастинг), отсутствие возрастных или каких-либо иных ограничений на участие в конкурсе и т.д. Это событие оказалось интересным не только поклонникам подобного рода развлечений, но и пиратам, которые в кратчайшие сроки сделали ресурс такого же формата и стали переманивать пользователей оригинального проекта к себе. В декабре 2006 г. компания «Инфоком», обладающая исключительными авторскими правами на формат данного интерактивного конкурса, обнаружила существование пиратского сайта и подала иск с требованиями о запрете использования принадлежащего ей формата и взыскании штрафа за незаконное использование его пиратами. Первое слушание состоялось в начале марта 2007 г. Согласно решению по делу, вынесенному в июне 2007 г., пираты проиграли дело. Сумма компенсации потерпевшему составила 100 тыс. руб. Отметим, что для России это первый подобный случай, когда «форматные» интернет-пираты понесли наказание. Как рассказала CNews Лейла Нейман, генеральный директор и партнер юридической фирмы «Штайнер, Нейман и партнеры», представлявшей в судебном процессе интересы истца, штраф далек от реальной суммы ущерба, нанесенной компании «Инфоком». В данном случае, по ее мнению, речь идет о так называемой «упущенной выгоде», поэтому убытки могут исчисляться миллионами рублей. «Судебная практика в России практически никогда не учитывает фактор "упущенной выгоды" при расчете суммы ущерба», — посетовала г-жа Нейман.
Источник

13/07/2007 17:15 Проект по созданию полностью свободной редакции Ubuntu
Mark Shuttleworth рассказал о начале работы над дистрибутивом Gobuntu, - полностью открытой редакцией Ubuntu Linux, лишенной каких-либо закрытых компонент, таких как драйверы, firmware и ограниченный лицензиями контент (PDF, видео, изображения, звуки). Цель Gobuntu - построение дистрибутива все файлы в котором лишены ограничений на модификацию и распространение, сообщает opennet.ru. По мнению uinC Team, Марк Шаттлворт несколько переусердствовал с обилием Ubuntu-дистрибутивов, многие, наверное, уже начинают путаться в их обилии.
Подробнее

13/07/2007 18:10 Google может лишиться имени в Китае
Компания Google выступит в китайском суде с целью защиты своего права на использование названия "Google" на территории Китая. В качестве инициатора иска выступила пекинская компания Guge Science and Technology. Причина нашлась довольно существенная. Дело в том, что эта компания в свое время зарегистрировала название, которое при транслитерации с китайского на английский звучит как "Google". Из-за этого в компанию Guge Science and Technology постоянно поступают звонки пользователей, которые пытаются связаться с поисковым гигантом Google, что препятствует нормальной работе Guge Science and Technology. В суде Guge Science and Technology желает добиться только смены поисковым гигантом торгового имени в Китае. Представитель Guge Science and Technology отказался рассказать, чем именно занимается эта компания. Пока неизвестно, имеет ли поданный иск шансы на победу. В свою очередь Google отказалась давать какие-либо комментарии до выяснения подробностей поданного иска. Недавно Google уже потеряла торговую марку GMail в Германии. Если в Китае Google вообще лишится своего имени, маркетинговому отделу компании придется хорошенько поработать над созданием нового имени Google.
Источник

13/07/2007 23:55 Одаренным детям вредно смотреть новости
Ведущий австралийский эксперт по воспитанию одаренных детей предупреждает родителей о последствиях просмотра новостей по телевидению. Профессор университета Мирика Гросс говорит, что одаренные дети более чувствительны и глубоко переживают трагедию других людей уже в очень маленьком возрасте. Это может случиться в четыре-пять лет. Она приводит в пример детей, которые испытывают страх после просмотра репортажей о взрывах. По ее словам, дети переживают, когда представляют чувства членов семьи, чьи близкие не вернулись домой. Гросс говорит, что родители должны беседовать с детьми после просмотра новостей и помогать им избавиться от беспокойства.
По мнению uinC Team, исследования австралийских ученых ничего нового в науку воспитания детей не привносят, достаточно вспомнить легенды о Сиддхартха Гаутама или Гаутама Будда, которому один из браминов предсказал "уход из мира", после того как тот увидит четыре знака, означающих страдание и горе - "старика, больного человека, труп и отшельника". Отец Будды, пользуясь своей царской властью пытался всячески оградить своего сына от горя и страдания, которые подстерегали его за воротами дворца, но ему это не удалось. Гаутама осознав суровую правду жизни — что смерть, болезнь, старение и мучение неизбежны, что бедных больше, чем богатых, и что даже удовольствия богатых в конечном счете превращаются в прах, в возрасте 29 лет оставил свой дом, семью и имущество, посвятив остаток своей жизни изучению того, как преодолеть страдание. Появление телевидения не внесло никаких изменений в "суровую правду жизни", а оградив одаренных детей от фактов, истории и образования, которое "ничего хорошего не дает" мы рискуем потерять тот дар, которым владели эти дети. Жаль, что ученые никак не поймут, что все дети этот дар потеряют, как только станут взрослыми, и этому ничто и никто не сможет помешать.
MIGNews

14/07/2007 03:37 Обетование.ру создаст православный Рунет
Представители православного проекта "Обетование.Ру" намерены навести порядок в "рядах" христианских сайтов. "Последнее время посетители православного РуНета столкнулись с массой проектов, заведомо несущих ложную информацию. Это не только баловство, но и финансовые махинации начиная со сбора пожертвований, заканчивая продажей пиратской продукции, при том деньги идут отнюдь не на восстановление храмов, чем пестрят такие сайты, а на личное обогащение их создателей" - рассказал Илья Дроздихин, руководитель православной веб-студии "Обетование.Ру". "Сейчас мы готовим запуск собственной системы управления сайтом, которая совершит революцию в христианской части Интернета, а далее, думаю, и РуНета", добавил Илья Дроздихин. В этом году "Обетование.Ру" планирует оканчательно побороть низкий уровень в православном сайтостроительстве, проведя ряд семинаров, как реальных, так и виртуальных. "Обетование.Ру" , - крупнейшая церковная студия дизайна, работает с 2005 года по благословению патриарха Алексия II, бессменным руководителем является Илья Дроздихин.
Некоторые представители uinC Team, в недалеком прошлом проводили исследования о возможности создания в Интернет христианского сектора. Однако, в наших исследованиях не предполагалось объединение всего христианства как единого религиозного течения, без его такого важного деления как католичество, протестантизм и православие. Основываясь на недавние заявление, санкционированное Папой Римским, в котором говорилось, что римско-католическая церковь является единственной правильной, а протестантская и православная вера названы "неправомочными", ни о каком обобщение разных течений в едином дизайне речь идти не может, что говорит о неосведомлености Ильи Дроздихина о положение дел в христианстве.
Прогнозируя дальнейшее развитие событий, в случае, если проекту "Обетование.Ру" все-таки удастся воплотить свои задумки двухгодовалой давности в реальность, римская-католическая церковь может начать продвижение собственной системы управления сайтами на просторах РуНета, что вызовет довольно интересную конкуренцию. На данный момент, как показывает исследование uinC Team, католическая церковь очень слабо представлена в РуНете, развитие ее сдерживает некий консерватизм свойственный этой церкви. Интересной особенностью католической церкви является возможность выбирать покровителей для различных сфер деятельности человека, даже предпринимались неоднократные попытки назначить покравителя Интернет, предлагаемая кандидатура Исидора Севильского так и не была официально подтверждена в этом статусе, из-за разногласией возникших внутри церкви. Русская провославная церковь не имеет такой традиции, как назначение покровителей для областей деятельности, в этом отношение православная церковь более демократична, что позволяет ее приверженцам выбирать личного покровителя. С точки зрения развитий христианского Интернета, много проще было бы начинать именно католикам, создав сайт-храм, посвященный покровителю Интернет, а уже на его базе организовывать различные социальные проекты, с целью привлечения аудитории. Православная церковь развивая христианский Интернет может отталкиваться именно от популярного термина "священное" - т.е. дело, имеющее благословление церкви, популяризация которого берет свое начало с различных "священных войн". Таким образом, возможно организовать православный каталог ресурсов, которые будут выполнены в одном формате, используя единую систему управления и содержащие логотип, сообщающий, что данный проект находится под благословление Русской Православной Церкви.
Для дальнейшего развития двух отраслей этого проекта, возможно виртуализировать иконы, организовать виртуальные церковные приходы и храмы. Также, может рассматриваться идея создания виртуального кладбища, где могут быть похоронены с почестями служители виртуальных храмов и церковные веб-сайты. Места захоронения могли бы стать своего рода местами поклонения памяти усопших виртуальных сподвижников церкви. С целью оказания внимания со стороны посетителей такого сервиса вполне возможно было бы брать символическую плату за СМС сообщения, с помощью которых можно было оплачивать виртуальные цветы и свечи. Так же, можно было бы использовать онлайн-заказ молитв, внедрение которого уже предпринималась рядом христианских сайтов. А возможно, это просто корыстные цели преследуемые Ильей Дроздихиным с целью формирования крупной торговой площадки собственными компакт-дисками, а об онлайн-противостояние двух церквей говорить еще рано.
Все выше сказанное не является богохульством со стороны uinC Team, мы с пониманием относимся ко всем верующим вне зависимости от их веры исповедания, поэтому и хотим показать реальную ситуацию, к которой могут привести подобные мероприятия.
uinC

14/07/2007 09:03 Yahoo дает советы пользователям поисковика
Компания Yahoo несколько расширила возможности своей поисковой системы, добавив функцию под названием Search Suggestions. Система Search Suggestions предлагает возможные варианты поисковых запросов на основании нескольких символов, вбитых в поисковом окне. Для того чтобы воспользоваться функцией, достаточно начать набирать то или иное слово или термин. После ввода первых трех букв на экране появится ниспадающее окно с несколькими словами или словосочетаниями, содержащими набранные символы. Пользователь может либо выбрать подходящий вариант при помощи стрелок управления курсором или мыши, либо продолжить набор запроса. При необходимости функцию Search Suggestions можно отключить. Нужно отметить, что система автоматического формирования вариантов поискового запроса на основании нескольких введенных пользователем символов с марта нынешнего года доступна через панель инструментов Yahoo для браузера. Кроме того, подобную технологию тестирует и один из основных конкурентов Yahoo, компания Google.
Источник

14/07/2007 09:39 Apple может выпустить iPod с поддержкой Wi-Fi
Не исключено, что в модельном ряду портативных плееров Apple в скором времени появятся устройства с поддержкой беспроводной связи. Контроллер Wi-Fi встроен в мобильный телефон Apple iPhone, поступивший в продажу на территории Соединенных Штатов в конце прошлого месяца. Однако существующие модели плееров iPod обмениваться данными по беспроводной связи не могут. Спекуляции на тему возможного выпуска компанией Apple плеера со встроенным адаптером Wi-Fi ходят в Сети достаточно долго. Теперь эти слухи нашли косвенное подтверждение. Apple подала в Управление США по патентам и торговым маркам (USPTO) патентную заявку с описанием системы обмена данными между портативными устройствами, основанной на использовании беспроводной связи. Заявка зарегистрирована 12 июля нынешнего года. Судя по описанию, данная система может быть реализована в портативных плеерах и карманных компьютерах. В этом случае владельцы смогут загружать данные в память устройств, а также устанавливать соединение с находящимися поблизости гаджетами по беспроводной связи. Впрочем, в Apple в отношении собственных планов по выпуску новых продуктов традиционно хранят молчание.
Подробности

14/07/2007 10:11 IBM начинает открытое тестирование операционной системы AIX 6
Корпорация IBM объявила о запуске программы открытого бета-тестирования новой, шестой версии операционной системы AIX, которая использует преимущества архитектуры микропроцессора IBM Power6, предлагая существенное улучшение энергоэффективности серверов IBM System p, а также позволяя полностью раскрыть потенциал технологии виртуализации, сообщает linux.org.ru.
Подробности

14/07/2007 12:05 Киевские школы возьмут под видеонаблюдение
Для усиления охраны столичных школ Киевская городская государственная администрация намерена установить видеонаблюдение в учреждениях. Об этом говорится в сообщении пресс-службы Киевгордаминистрации со ссылкой на решение совместного совещания Главных управлений образования и науки, по делам семьи и молодежи и отдела криминальной милиции по делам несовершеннолетних. "Давно уже назрела необходимость усилить охрану учреждений образования", - заявил заместитель председателя Киевгорадминситрации Виталий Журавский. Кроме того, администрация намерена усилить охрану помещений школ, прилегающих территорий, а также организовать для учеников лекции на правовые темы для предотвращения преступности.
MIGNews

14/07/2007 12:12 12 миллионов консолей Xbox 360 содержат заводской брак
Microsoft официально признала, что при сборке каждой из 11,6 миллионов консолей Xbox 360, отгруженных за последние 19 месяцев, были допущены критические ошибки, которые и вызывают поломки. Microsoft не планирует отзывать все консоли или устраивать полномасштабную операцию по обмену консолей, однако первым шагом для решения данной проблемы стало увеличение гарантийного срока Xbox 360 до трех лет. Глава игрового подразделения Microsoft Робби Бач заявил на последней пресс-конференции, что причины, вызывающие столько частые поломки Xbox 360, были обнаружены совсем недавно: «В последнее время мы стали наблюдать за ситуацией, когда процент поломанных Xbox 360 резко возрос. Конечно же, после огромного количества писем и официальных обращений в наш адрес, мы не могли не отреагировать». Microsoft не сообщает, в чем конкретно состоит проблема, однако представители компании уверяют, что необходимые изменения в дизайне уже проделаны и поставлены на конвейер - все отремонтированные приставки будут усовершенствованы. Как подсчитали финансисты Microsoft, ориентировочные затраты на ремонт поломанных консолей превысят 1 миллиард долларов.
IXBT

14/07/2007 13:30 В Италии разработан первый CSS/XSS червь для веб-почты
Итальянский исследователь безопасности Розарио Валотта (Rosario Valotta) разработал первого червя, способного распространяться через уязвимости к межсайтовому выполнению сценариев (CSS/XSS) в интерфейсах сразу нескольких почтовых веб-сервисов. Концептуальный червь Nduja Connection может распространяться намного быстрее, чем любой из червей, привязанных лишь к одному почтовому сервису. Почтовые черви обычно распространяются по адресам, найденным в адресной книге жертвы. Для того чтобы червь начал распространяться, пользователю достаточно просто открыть письмо. Старые почтовые черви «охватывали» только один почтовый клиент, а червь от Валотты может распространяться сразу в четырёх: Libero.it, Tiscali.it, Lycos.it и Excite.com. Провайдеры были выбраны не случайно, говорит исследователь. Все они подвержены одинаковой уязвимости CSS/XSS. Уязвимости этого типа есть и у почтовых служб поизвестнее: Gmail, Yahoo, Hotmail, но они не настолько серьёзны, чтобы помочь распространению червей подобного рода. История червей для веб-почты началась с Yamanner, появившегося в 2006 году и распространявшегося через уязвимость в Yahoo. Одним из факторов, способствующих распространению червей в почтовых веб-интерфейсах, является практически обязательное требование – включённый JavaScript.
Источник

15/07/2007 10:51 Компания Intel присоединилась к проекту One Laptop Per Child
Компания Intel вступила в совет управляющий развитием проекта One Laptop Per Child, оказав существенную финансовую помощь и заключив соглашение об обмене технологиями и совместной деятельности. Ранее Intel независимо развивала собственный проект Classmate PC по созданию дешевого ноутбука для школьников на базе Linux, что вызывало опасения полного вытеснения проекта OLPC, сообщает opennet.ru
Подробности

15/07/2007 11:33 Yoomba распространяет бесплатную IP-телефонию по e-mail
В четверг молодая компания Yoomba представит новую коммуникационную платформу peer-to-peer, которая делает бесплатную телефонную связь «голос поверх IP» и интернет-пейджинг доступными каждому, у кого есть адрес e-mail. Yoomba ставит перед собой задачу разрушить границы, препятствующие взаимодействию разрозненных служб интернет-телефонии и IM. Правда, бета-версия ПО Yoomba не совсем достигает этой цели: оно требует Windows 2000 или ХР, хотя соучредитель и генеральный директор компании Элад Гемар утверждает, что со временем будут поддерживаться и Linux с Mac OS X. Firefox на сегодняшний день поддерживается лишь частично. Для распространения своего ПО Yoomba опирается на сетевой маркетинг. Пользователи могут пытаться звонить или посылать IM-сообщения любому, у кого есть адрес e-mail. Но если у адресата не установлена программа Yoomba, он получит лишь письмо со ссылкой, инициирующей ее установку. Надо сказать, что программа устанавливается чрезвычайно легко и сразу создает окно со списком контактов, автоматически импортируемых из Outlook и популярных служб e-mail на базе Web (Hotmail, Gmail, Yahoo Mail). Этим контактам можно отправлять IM-сообщения или звонить (для этого на обоих компьютерах должны быть включены динамики и микрофоны). Yoomba устанавливает также кнопки для инициирования IM-сеансов и звонков из списка контактов Outlook и почтовых служб на базе Web. Платформа Yoomba построена с применением протоколов Session Initiation Protocol (SIP) и Real-time Transfer Protocol (RTP). Гемар объяснил, что компания выбрала SIP, потому что это открытый протокол. «В будущем мы, возможно, захотим интегрировать ПО в IP-телефоны и другую аппаратуру». Со временем Yoomba намерена выйти за пределы телефонии компьютер-компьютер и соединять мобильные телефоны с фиксированными линиями. Пока Yoomba предлагает свои услуги бесплатно, но после окончания этапа бета-тестирования планирует добавить рекламу.
Источник

15/07/2007 11:55 Школьные компьютеры оказались в кабинетах директоров
Прокуратура Приморского края выявила множество нарушений при реализации национального проекта «Образование», сообщает информагентство REGNUM. Выяснилось, например, что во многих образовательных учреждениях, подключенных к Интернету, существуют проблемы с выходом в Сеть как по техническим причинам, так и в связи с отсутствием финансирования на оплату трафика. Более того, в ходе проверки выявлены факты установки полученных образовательным учреждением компьютеров и подключения их к Интернету не в учебном классе, а в кабинете директора, что лишает учеников возможности пользоваться этим оборудованием. Такие нарушения выявлены в четырех школах Спасского района Приморского края. Список нарушений этим не ограничивается. Выявлены факты поставки учебного оборудования в школы Владивостока компаниями, не выигравшими конкурс на заключение муниципального контракта. Победитель тендера - ООО «Востокэнергокомплект СУ - 8» - сославшись на производственную загруженность, не занимался поставками пособий и оборудования. «Фактически муниципальные контракты были заключены с ООО «Приморский учколлектор» на поставку компьютерного, учебного и лабораторного оборудования в рамках приоритетного национального проекта на общую сумму 7,2 млн рублей», - говорится в отчете прокуратуры Приморского края. Большая часть виновных, судя по всему, отделается легким испугом. По результатам проверки прокуратура Приморского края внесла девять представлений, вынесла 14 протестов и объявила одно предостережение. Возбуждено лишь два уголовных дела - в отношении руководителей средних школ села Первомайское Ханкайского района и села Прохоры Спасского района. Предварительное следствие по этим делам уже завершено, дела направлены в суд.
Подробности

15/07/2007 13:44 В России готовится законопроект, регулирующий доступ к интернет-сетям
Отношения между провайдером и пользователем интернет-услуг в России планируется законодательно урегулировать до конца 2007 года. Такие правила уже до конца лета намерено представить на рассмотрение правительства Мининформсвязи. Какого рода эти правила, в министерстве не уточнили. Однако дали понять, что регулировать они будут, в частности, вопросы скорости интернет-связи. Сейчас в России многие пользователи сталкиваются с проблемой, когда скорость интернет-связи резко падает, а повлиять на оператора возможности нет, отметила замдиректора департамента госполитики в области инфокоммуникационных технологий Мининформсвязи Тамара Моисеева. Как ранее сообщил глава Мининформсвязи Леонид Рейман, число пользователей Интернета в следующем году в России достигнет 40 млн человек. Сейчас в стране насчитывается 20 млн пользователей, что соответствует европейскому уровню, уточнил он. 80% всех пользователей в Москве предпочитают выходить в Интернет через локальные районные сети. А в целом по России этот показатель равен 55%. Способ выхода во всемирную паутину через телефонную линию, когда приходится платить и как за разговор, и как за доступ в Интернет, сейчас теряет популярность.
Подробности

15/07/2007 14:23 Новый сервис найдет на компьютерах весь opensource
Занимающаяся информационной безопасностью фирма OpenLogic предоставила на днях для свободного использования свою программу OpenLogic Discovery, сообщает TechNewsWorld. Эта программа сканирует компьютетер (ОС Windows, Linux или Solaris) и определяет все установленные на нем программы с открытым исходным кодом (opensource). OpenLogic Discovery идентифицирует более 5000 версий 900 наиболее распространенных opensource программ, используемых предприятиями. Файлы опознаются по их контрольным суммам (fingerprints). Определяя, какие программы установлены, OpenLogic Discovery помогает пользователю управлять программным обеспечением и поддерживать его. "Аналогов не существует. Мы разработали программу в ответ на потребности клиентов, которые не знают, что за opensource-программы они используют", - говорит Ким Вайнс, вице-президент по маркетингу OpenLogic. "Клиенты обычно предполагают, что в их локальной сети присутствуют от силы 15-20 opensource-продуктов, и бывают удивлены узнав, что работники используют 200 и более opensource-приложений", - говорит она. Новый сервис OpenLogic Discovery позволяет бесплатно анализировать сеть до 500 машин. Управляя OpenLogic Discovery через командную строку или графический интерфейс, пользователь может быстро отсканировать до 500 компьютеров и отправить результаты сканирования в OpenLogic для анализа и инвентаризации. Результат анализа содержит информацию о том, какие версии opensource-программ обнаружены и в скольких экземплярах. В нем также указанно, какие программы установлены на каких машинах и как часто они используются. Также отображается, установлены ли программы напрямую или в составе других программных продуктов. XML формат отчета позволяет легко интегрировать его в базы данных или системы отчетности предприятия. Кроме того, детализируются результаты тестирования найденного ПО с на соответствие сертификату OpenLogic, содержащему 42 критерия и перечень лицензий, под которыми распространяется обнаруженное программное обеспечение. Бета-версия OpenLogic Discovery выпущена 15 мая. Полная версия содержит дополнительный функционал анализа. Услуга по инвентаризации более чем 500 машин является платной, причем стоит от $5000.
Ссылка на программу

15/07/2007 16:19 В Испании за детскую порнографию арестовано 66 человек
В Испании по обвинению в изготовлении и распространении детской порнографии арестованы 66 человек. Как сообщили правоохранительные органы королевства, широкомасштабная операция по задержанию членов одной сети распространителей и изготовителей порнографических фотографий и видеороликов стала результатом 10-месячного расследования. Операции, которая проводилась в сотрудничестве с Интерполом и немецкой полицией в 40 испанских провинциях, было присвоено название "Наказание". В ней были задействованы 300 специальных агентов. Испанским полицейским удалось изъять жесткие диски с 48 млн порнографических фотографий и видеороликами.
"РБК"

15/07/2007 16:56 В 2006 году СБУ было возбуждено 28 уголовных дел по фактам НСД
Специалисты Службы безопасности Украины опровергают широко распространенное мнение о том, что при передаче гражданином Украины персональной информации государственному органу эти конфиденциальные данные будут надежно защищены от разглашения и использования во вред. «Речь идет прежде всего о несанкционированном распространении баз, банков данных, реестров, которые принадлежат органам государственной власти и содержат информацию с ограниченным доступом», — рассказывает руководитель подразделения контрразведывательного обеспечения информационной безопасности государства департамента контрразведки СБУ Виталий Хлевицкий. Только в 2006 году следственными подразделениями СБУ было возбуждено 28 уголовных дел по фактам несанкционированных действий с конфиденциальными базами данных государственных органов. Практически во всех случаях в базах содержались персональные данные граждан Украины. По мнению экспертов, такое положение дел — результат неопределенности основных правовых механизмов сбора информации о гражданах. К слову, Международная конвенция о защите лиц в связи с автоматизированной обработкой данных нашей страной подписана, но до сих пор не ратифицирована. Соответствующий закон Украины не принят. «Как следствие возникает проблема обеспечения конституционного права граждан на невмешательство в личную жизнь в процессе развития национальных электронных информационных ресурсов», — констатирует Хлевицкий. Эксперты считают, что в первую очередь необходимо категорически запретить на законодательном уровне доступ к такой информации посторонним лицам. Для этого необходимо упорядочить процессы сбора персональных данных, определить требования к их защите во время автоматизированной обработки и ограничения в формировании баз персональных данных.
Источник



Программы дня за прошедшую неделю:

14/07/2007 WinSCP
Графический SFTP (SCP) клиент с открытым исходным кодом. Предназначен для защищённого копирования файлов между компьютером и серверами, поддерживающими эти протоколы. Основные возможности программы:
+ два простых пользовательских интерфейса, двухпанельный графический интерфейс и интерфейс в стиле Проводника Windows;
+ интеграция в ОС с поддержкой drag&drop и ярлыков;
+ поддержка протоколов SFTP и SCP поверх как SSH-1, так и SSH-2;
+ возможность автоматизации работы с применением скриптов;
+ синхронизация папок по нескольким автоматическим и полуавтоматическим алгоритмам;
+ встроенный текстовый редактор;
+ поддержка авторизации по паролю, открытым ключом, Керберос (GSS) и keyboard-interactive;
+ интеграция с Pageant (PuTTY Agent) для поддержки авторизации по открытым ключам;
+ менеджер соединений.
ОС: All Win
Тип программы: FTP


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru