uinC NewsLetter #50, 2010


Приветствуем!

Новости из Security Мира

13/12/2010 09:27 Хакеры получили доступ к БД издательской компании Gawker Media
Компания Gawker Media, один из крупнейших западных операторов новостных сайтов и ИТ-блогов, сегодня призвала всех пользователей своих ресурсов сменить пароли и обновить свои регистрационные данные, так как неизвестные хакеры смогли получить доступ к корпоративной базе данных, где хранились данные о пользователях. В сообщении Gawker говорится, что по умолчанию пароли в базе данных хранятся в зашифрованном виде, но если пользователь использовал простой пароль на базе распространенных слов, то его взлом может оказаться несложным. В компании заявили, что атаке оказались подвержены, скорее всего, все сайты, включая такие проекты, как Gizmodo. "Нам ужасно неудобно за данный инцидент, но мы вынуждены признать факт данного инцидента. Не стоит полагаться на сознательность хакеров, нашедших слабости в наших ИТ-системах", - говорится в сообщении компании. По предварительным данным Gawker, в результате взлома в руках злоумышленников могут оказаться данные примерно миллиона пользователей. В то же время, практически все данные в базе - это логины, пароли и электронные адреса пользователей, поэтому пользы от них не слишком много. Более опасной становится проблема, когда в БД хранятся платежные реквизиты пользователей. Компания Gawker и сайт Gizmodo стали довольно популярными после публикации сайтом Gizmodo прототипа iPhone 4 весной этого года за несколько месяцев до выхода смартфона на рынок.
Источник

13/12/2010 10:08 Банкиры: наших клиентов грабят хакеры, милиция бездействует
Российские банкиры обеспокоены бездействием милиции в сфере расследования компьютерных преступлений. МВД оправдывается тем, что не имеет достаточного числа специалистов. Заместитель директора департамента безопасности-начальник управления информационной безопасности «Россельхозбанка» Артем Сычев раскритиковал работу правоохранительных органов по мошенническим инцидентам в дистанционном банковском обслуживании. «В прошлом году в отношении наших клиентов было совершено значительное число покушений на хищение денежных средств с их счетов. По 67 случаям банк обращался в правоохранительные органы. При участии банка по заявлениям клиентов было возбуждено всего 12 уголовных дел», - заявил Сычев. Ни по одному из заведенных дел их банк до сих пор не знает результатов, добавил он. По словам Сычева, нередки отказы по надуманным причинам. Смысл одного из них он озвучил как: «да, деньги украдены, но состава преступления нет, потому что мы не знаем, кто это сделал». «Я прекрасно понимаю, что проблема взаимодействия управления «К» и следственных органов - процессуальная, но это не проблема банка – решать эти вопросы взаимодействия. Есть конкретные хищения, есть конкретные обращения, если сложно внутри МВД наладить это взаимодействие, давайте выносить это на уровень выше», - рассуждает Сычев. Начальник управления ИБ «Россельхозбанка» также отметил, что в начале лета Центробанк РФ собирал банки с привлечением Управления «К» и ФСБ, чтобы обсудить проблему хищений в дистанционном банковском обслуживании. На этой встрече, по словам Сычева, была предложена помощь банковского сообщества, в том числе - банковских ассоциаций. «К сожалению, до сих пор нет никакой реакции ни от ФСБ, ни от МВД. Из этого мы делаем вывод, что помощь не нужна», - говорит он. Помимо ущерба, наносимого клиентам, есть и другая проблема хищений - вывод средств в теневую экономику, продолжил эксперт. По данным, приведенным Сычевым, покушениям на хищение в их банке подвергается 1% клиентов, использующих дистанционное банковское обслуживание. В других банках, по его словам, этот показатель может достигать 10-15%. «Если вы посчитаете всю банковскую систему, вы поймете масштаб бедствия. Это приводит к тому, что у государства появляется реальный ущерб, и как следствие, повышенные риски, на которые мы как банки должны реагировать – повышением процентных ставок и по кредитам, и по услугам, которые мы предоставляем», - подытожил Сычев. Представитель «Россельхозбанка» не одинок в своем недовольстве милицией. По мнению Александра Токаренко, председателя правления НП «Датум» по защите прав операторов и субъектов персональных данных, правоохранительные органы плохо реагируют на попытки хищений, в которых фигурируют небольшие суммы, а уголовные дела, как правило, заводятся, если в инциденте задействована сумма от нескольких тысяч долларов. «Хищения денежных средств в дистанционном банковском обслуживании были, есть и будут – если есть возможность украсть, мошенники обязательно ею воспользуются. В некоторых банках процент клиентов, подвергающихся попыткам хищений средств, может превышать 15%. Среди причин этого – не только возможные «бреши» в системе защиты самого банка, но и неграмотность клиентов в области защиты своих данных», - заключил Токаренко. Показатель заведения уголовных дел от общего числа обращений, связанных с компьютерными преступлениями, составляет 50%, сообщил Борис Мирошников, начальник бюро специальных технических мероприятий МВД (БСТМ) - одного из подразделений Управления «К». По его мнению, это высокая цифра, принимая во внимание недостаточное число специалистов. «По всей России есть только горстка специалистов линии «К», которых, между прочим, нигде не готовят, это пока еще наша самодеятельность», - говорит Мирошников.
Подробности

13/12/2010 10:41 Атака на Exim
Разработчики популярной почтовой службы Exim сообщают о набирающей обороты атаке, использующей переполнение буфера в Exim 4.69 (и более ранних версиях). Уязвимость неприятная, допускаюшее удаленное использование, а атакующий код уже добавлен в Metasploit exploitation kit, что делает его применение элементарным. Особый шарм ситуации придает тот факт, что уязвимость была устранена еще в Exim 4.7, релиз которого вышел в ноябре прошлого года, но разработчикам не пришло в голову оформить исправление в качестве патча для более ранних версий, поскольку не обратили внимания на то, что проблема может иметь какое-то отношение к безопасности. Не менее удивительно, что старые версии до сих пор входили в поставку ряда популярных linux-дистрибутивов. Разработчики Debian и Red Hat "уже" выпустили патчи - ну да, всего-то год прошел с появления радикального решения проблемы.
Источник

13/12/2010 10:58 Хакерский конкурс от Facebook
Facebook объявил о проведении первого кубка Hacker Cup 2011, который станет «ежегодным конкурсом для хакеров со всего мира по алгоритмическому программированию». «Хакинг занимает центральное место в культуре Facebook. Создаём ли мы новый революционный продукт во время одного из наших хакатонов или разрабатываем более грамотный поисковый алгоритм, всегда нужен хак, чтобы найти лучший способ делать вещи», — сказано на официальной странице конкурса. Марк Цукерберг в недавнем интервью для “60 Minutes” объяснял, что «хакер» — это лучший комплимент для программиста. По его словам, хакнуть — значит, разработать что-то очень быстро. Соревнование будет проходить в три онлайновых раунда, после чего 11 марта 2011 г. состоится финал в центральном офисе Facebook. Регистрация начинается 20 декабря, а все три раунда пройдут в январе. Для начала будет проведён квалификационный раунд, который начнётся 7 января 2011 г. в 0:00 UTC и закончится 10 января 2011 г. в 0:00 UTC. За эти 72 часа участники должны решить хотя бы одну из трёх предложенных задач, чтобы быть допущенными к первому раунду. Первый онлайновый раунд 15-16 января будет состоять из трёх трёхчасовых подраундов в разное время суток. Дальше проходят по тысяче лучших из каждого подраунда. Второй онлайновый раунд 22 января с 15:00 по 18:00 UTC определит 300 лучших, которые получат по официальной майке Hacker Cup. Ну а лучшие 25 хакеров из этого раунда получат бесплатные билеты в Калифорнию и проживание в кампусе Facebook (Пало-Альто). Призы для победителей чисто символические: $5000 за первое место, $2000 за второе, $1000 за третье, и по $100 за места с 4-го по 25-е. Плюс различные сувениры.
Пресс-релиз

13/12/2010 13:37 Хакеры взломали базу данных клиентов McDonald's
Неизвестные хакеры получили доступ к базе данных клиентов сети ресторанов McDonald's - в их распоряжении оказались личные и контактные данные посетителей, подписавшихся на рассылку McDonald's о специальных предложениях и акциях, сообщила компания. Злоумышленники смогли обойти защиту данных, принадлежащих компании Arc Worldwide, - именно она, будучи партнером McDonald's, занимается массовыми рассылками писем на адреса посетителей ресторанов McDonald's, согласившихся получать рекламные сообщения. Представители McDonald's не сообщают точное число возможных жертв хакерской атаки. Российские представители McDonald's не смогли предоставить комментарий по запросу корреспондента РИА Новости о том, пострадали ли персональные данные российских посетителей ресторанов McDonald's.
Источник

13/12/2010 17:41 Челябинский подросток осужден за DDoS-атаку на государственный сайт
Металлургический районный суд Челябинска приговорил к году заключения условно и штрафу в три тысячи рублей юношу, который блокировал работу сайта одной из государственных структур на 16 часов. Молодой человек признан виновным по части 1 статьи 273 УК РФ («Использование и распространение программ для ЭВМ, заведомо приводящих к несанкционированному блокированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети»). «Несовершеннолетний Никита Б., общаясь в Интернете с другими пользователями, получил от неустановленного лица заказ на проведение вредоносной компьютерной атаки на сервер доступа в глобальную сеть одного из органов исполнительной власти РФ, – говорится в сообщении районного суда. – Действуя по заказу, подсудимый со своего домашнего компьютера распространил и использовал в Интернете специальную программу, которая заблокировала и парализовала работу сервера. Вследствие этого сотрудники аппарата органа исполнительной власти в течение 16 часов не имели доступа в сеть, и другие добросовестные пользователи сети Интернет не имели возможности получить доступ к информации о деятельности органа». Действия несовершеннолетнего хакера не были безвозмездными. За блокировку сайта на счет Никиты заказчик перевел денежное вознаграждение. В судебном заседании подсудимый полностью признал свою вину. При назначении суд учел в качестве смягчающих обстоятельств, то, что преступление совершено юношей впервые и в несовершеннолетнем возрасте, его раскаяние, наличие постоянного места жительства и положительные характеристики. Обстоятельством, отягчающим наказание, послужило совершение преступления в составе группы лиц.
Источник

14/12/2010 09:31 Закон о национальной платежной системе исправили ради США
На днях среди очередной порции документов дипломатической почты США, выложенных на WikiLeaks, появилась секретная депеша посольства США в Москве, посвящённая намерению России создать собственную платёжную систему. Американские дипломаты выразили обеспокоенность тем, что создание такой системы ударит по компаниям Visa и MasterCard, и порекомендовали своему правительству надавить на Россию. Депеша, датированная 1 февраля 2010 года, ссылается на последнюю на тот момент черновую версию законопроекта "О национальной платёжной системе". Согласно этому документу, Visa и MasterCard должны были остаться в проигрыше, независимо от того, присоединятся они к национальной платёжной системе (НПС) или же нет. Отказ от участия в этом проекте лишит эти компании заметной доли прибыли (обработка платежей картами россиян оценивается в $4 мрлд, при этом на Visa и MasterCard приходится 85% этого рынка в России), отмечается в документе. Согласие же потребует открытия процессинговых центров на территории России, поскольку черновиком законопроекта запрещается передача информации о платежах внутри страны за рубеж. Создание таких центров якобы повлечёт очень серьёзные расходы, говорится в депеше. Наконец авторы депеши рекомендовали американскому правительству оказать давление на российское, с тем чтобы в законопроект "О НПС" были внесены изменения, которые бы не привели к негативным последствиям для Visa и MasterCard. Стоит отметить, что представление законопроекта на суд депутатов в своё время было отложено на несколько месяцев. Изначально предполагалось, что он будет внесён в Госдуму к 1 апреля этого года, но затем он был отправлен на доработку. В результате до парламента он дошёл только 15 ноября и на днях был принят в первом чтении. Как отмечает Gzt.ru, в последней редакции билля отсутствует жёсткий запрет на передачу данных о внутренних транзакциях за пределы России. Неизвестно, появились ли эти изменения благодаря неким тайным международным переговорам на верхнем уровне - однако известно, что поправки к законопроекту, внесённые профильными комитетами, не имели отношения к этому вопросу.
Подробности

14/12/2010 09:58 Индусы заподозрили АФК «Систему» во взятках
Индийские власти просят у российского правительства информацию о возможных мошеннических сделках АФК «Система», благодаря которым ее «дочка» Sistema Shyam Teleservices получила лицензию на всю территорию Индии. Сама процедура распределения телекоммуникационных лицензий в Индии была признана крайне непрозрачной. Дирекция по контролю за исполнением законодательства Индии (ДКИЗ, структура министерства финансов) направила в ряд иностранных правительств, включая Россию, запросы относительно сделок, совершенных индийскими сотовыми операторами, их акционерами и посредниками. Об этом пишет индийская газета Economic Times. В частности, в отправленном в Россию запросе речь идет об АФК «Система», владеющей 74% акций индийского сотового оператора Sistema Shyam Teleservices (SSTL, работает в стандарте CDMA под брендом MTS India). ДКИЗ подозревает, что ряд компаний, включая Shyam Teleservices, получивших универсальные телекоммуникационные лицензии в начале 2008 г., занимались мошенничеством и подкупом официальных лиц. При этом в этих схемах могли использоваться иностранные фирмы для сокрытия реальных выгодоприобретателей получаемых частот. Помимо SSTL, индийские власти также интересуются операторами Etisalat DB (образован в результате покупки Etisalat из ОАЭ индийской компании Swan Telecom), Unitech (приобретен норвежским Telenor), S Tel и Idea Cellular. Запросы направлены в правительства Великобритании, Норвегии, ОАЭ, Кипра, Маврикия, Ливиии, о. Джерси и Сингапура. Причиной скандала стал аудит распределения телекоммуникационных лицензий, проведенный Главным аудитором и контролем Индии (ГАК). В отчете аудитора говорится, что процесс выдачи лицензий был крайне непрозрачным и нанес государству значительный ущерб, поскольку позволил ряду ранее неизвестных компаний получить лицензии с целью дальнейшей перепродажи. Лицензии выдавались по фиксированной цене, приоритет отдавался компаниям, подававшим заявки раньше остальных, в связи с чем при подаче заявлений на получение частот возникла драка. А ряд допущенных к распределению лицензий компаний, в частности, Uninor, Swan Telecom, Vedeocon, Now Loop Telecom и S-Tel, как выяснил ГАК, не соответствовали требуемым критериям.
Источник

14/12/2010 10:28 Рекламные сети MSN и DoubleClick обслуживали вредоносное ПО
Две крупнейшие западные рекламные сети - DoubleClick и MSN - обслуживали рекламу, которая вела на сайты со злонамеренным программным обеспечением, активируемым посредством атак типа Drive-by. По словам экспертов, обе сети обслуживали вредоносные сайты как минимум неделю, причем обе сети злоумышленники ввели в заблуждение, предоставив ложные данные, а работники обеих сетей так и не провели должную проверку размещаемого объявления. Сообщается, что использованная схема включала в себя группу атакующих, которые зарегистрировали доменное имя, всего на одну букву отличающееся от сайта известной рекламной компании ADSHuffle.com. Атакующие использовали домен ADSufffle.com, чтобы размещать на сайте вредоносное программное обеспечение. Известно, что злоумышленники использовали как графическую, так и текстовую рекламу. На сайте применялись сразу несколько типов вредоносного программного обеспечения, большая часть которого инсталлировалась посредством Drive-by скачек. В компании Armorize, обнаружившей мошенническую схему, говорят, что прежде эта схема достаточно редко использовалась мошенниками, причем прежде она довольно быстро отлавливалась рекламными сетями. Новая недельная рекламная кампания поставила своего рода рекорд по длительности. В сообщении Armorize говорится, что злонамеренные баннеры располагались на различных серверах MSN и Doubleclick, например на rad.msn.com, scout.com (принадлежит DoubleClick), realestate.msn.com, msnbc.com и mail.live.com, причем некоторые из этих площадок сами были замечены в рекламе вредоносных сайтов за счет работы автоматической системы показа баннеров. Для заражения компьютеров пользователей злоумышленники применяли самые разные схемы - предлагали фальшивые антивирусы, зараженную вирусами программу HDD Plus, несуществующие аудио и видео-кодеки. В реальности на сайтах размещались многочисленные эксплоит-паки, такие как Eleonore, Neosploit и другие. Все атаки полагались на уязвимости в программном обеспечении Adobe Reader и веб-браузерах. Технический директор Armorize Уэйн Хуанг комментирует ситуацию: "Мы связались с DoubleClick спустя несколько часов после обнаружения проблемы и консультаций с независимыми специалистами по безопасности. Ответ, который нам дали в DoubleClick, был довольно оперативным, там сообщили, что занимаются этой ситуацией".
Источник

14/12/2010 11:17 Тотальный взлом Gawker Media: украдено 1.5 млн аккаунтов
Группа анонимных хакеров внедрилась в сервера Gawker Media и «вынесла сор из избы» на половину гигабайта – поменявшись ролями с одним из наиболее безжалостных интернет-изданий, специализирующихся на сплетнях и скандалах. Известная под названием Gnosis, группа оказывала поддержку 4chan и операции Payback, которая имела место на прошлой неделе и была направлена против PayPal, MasterCard, Visa и других компаний, которые обрубили связи с WikiLeaks. Статья, которая была выложена на этих выходных на BitTorrent, содержала данные регистрации электронной почты и Твиттера Ника Дентона и других шишек Gawker, а также логины тысяч зарегистрированных читателей Gawker (это сам сайт Gawker, крупнейшие блоги Gizmodo, Kotaku, Lifehacker). В ней также содержался резкий упрек по поводу системы безопасности Gawker. «Можно было бы подумать, что сайт, который любит высмеивать других людей, должен иметь лучшую систему безопасности и действительно понимать, что они делают», написали авторы, которые неоднократно ссылались на предыдущие перепалки между этим сайтом и группой Anonymous. «Вы бы могли подумать, что такой человек как Ник Дентон, любящий трепать языком и дразнить таких непростых людей как Anonymous, будет использовать такой „надежный“ пароль, как '24862486,'?», — они написали в другом месте. «Печально то, что он, вероятно, полагает, что его пароль „надежен“, так как он использует его повсюду!». На первой странице Gawker вечером в воскресенье находилось предупреждение: «Вероятно, что база данных наших пользователей была взломана». В сообщении читателям рекомендовалось считать все свои аккаунты во всех сайтах, принадлежащих Gawker, взломанными и немедленно поменять пароли. «Мы чрезвычайно обеспокоены этим взломом», — сообщалось в рекомендации. «Не нам полагаться на добрую волю хакеров, которые нашли слабое место в наших системах. И тем не менее ирония нам не изменяет». Утверждается, что в файле размером 486 Мб находится 1,5 миллиона паролей, защищеных DES — это достаточно слабый алгоритм хеширования, чтобы достойно противостоять подбору. Хакеры заявляют, что даже после того, как Дентон обнаружил, что один из его онлайн-аккаунтов, возможно, был взломан, он продолжал использовать тот же самый слабый пароль на других аккаунтах. В загруженном файле также находилось то, что считается исходным кодом Gawker, предварительная версия с новым дизайном сайта Gawker, и, как говорят, пароли к дюжине административных аккаунтов Gawker. Gawker и Anonymous конфликтуют с июля, когда злоумышленники начали веб-атаки, которые периодически выводили сайт в оффлайн.
Источник

15/12/2010 09:25 Минсвязи обеспечит интернетом большинство россиян к 2015 году
В течение пяти лет широкополосный доступ к интернету будет у 60-80 процентов россиян, пообещал министр связи и массовых коммуникаций РФ Игорь Щеголев. Об этом пишут "Ведомости". По словам Щеголева, на данный момент, уровень проникновения широкополосного доступа (ШПД) в России составляет немногим более 30 процентов. Согласно прогнозу министра, в ближайшие пять лет этот показатель увеличится примерно в 2,5 раза, а к 2020 году - вырастет более чем в 3 раза. Росту охвата сетей ШПД будет сопутствовать и увеличение парка персональных компьютеров у населения. По итогам 2010-го прирост составит более 18 процентов по сравнению с прошлым годом - сейчас россияне используют около 62 миллионов ПК. К 2015 году персональных машин станет в 1,8 раза больше, а еще через пять лет - в 2,2 раза больше, чем было в 2009 году. Прогнозы Щеголева назвали вполне реалистичными представители крупных телекоммуникационных компаний - "Вымпелком", МТС и "Мегафон". Они также сообщили о том, что планируют крупные инвестиции в сети ШПД, а представитель "Мегафона" сообщил о том, что компания уже инвестировала в этот сектор около 5 миллиардов долларов.
Источник

15/12/2010 09:56 ФАС проверит школы по поводу закупок софта у Microsoft
Федеральная антимонопольная служба проверит российские школы на предмет закупок лицензионного программного обеспечения, пишет "Коммерсант". Поводом для возможной глобальной проверки стал прецедент в Томской области, где, по данным ФАС, местные власти в массовом порядке склоняли муниципалитеты к заключению соглашений с компанией Microsoft на поставку новых версий операционной системы Windows. В частности ФАС заинтересовало письмо, подписанное начальником департамента общего образования Леонидом Глоком, который дал муниципалитетам указание до 31 декабря 2010 года закупить программное обеспечение Microsoft, ссылаясь на "специальные ценовые условия", предложенные компанией. Начальник управления информационных технологий ФАС Владимир Кудрявцев заявил, что если в ходе слушаний 23 декабря комиссия по томскому делу выявит нарушения закона "О защите конкуренции" и в других регионах России, то ФАС начнет схожие проверки по всей стране. "Специальные ценовые условия" Microsoft для школ составляют 8 долларов (246 рублей) за пакет ПО для одного компьютера или 14 долларов (чуть более 430 рублей) за расширенный пакет. Эти расценки действуют в случае "централизованной закупки на уровне соответствующего региона". В случае если закупка происходит децентрализованным образом, стоимость одного пакета ПО вырастает до 45 долларов (около 1400 рублей). Конкурентом Microsoft на этом рынке является, например, Linux. Установка этой операционной системы выполняется бесплатно, а стоимость годового обслуживания для школы вне зависимости от числа компьютеров составляет примерно 3,5 тысячи рублей. В 2007 году за счет федерального бюджета для всех государственных школ России был заключен контракт на поставки ПО от Microsoft. При этом было запланировано с 1 января 2011 года отказаться от закупок коммерческого ПО за счет государства и перевести школы на аналогичное по функциональности свободное программное обеспечение, которое должно было быть разработано к концу 2010 года.
Подробности

15/12/2010 10:28 ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD
Тэо де Раадт (Theo de Raadt), лидер проекта OpenBSD, опубликовал в списке рассылки тревожное сообщение, в котором опубликовал письмо, свидетельствующее о том, что некоторые разработчики проекта, принимавшие участие в разработке IPSEC-стека OpenBSD на ранней стадии его развития, приняли от правительства США денежное вознаграждение за интеграцию в IPSEC-стек кода бэкдора, сообщает opennet.ru. Информация раскрыта Грегори Пири (Gregory Perry), бывшим техническим директором компании NETSEC, занимавшимся в 2000-2001 годах развитием поддержки шифрования в OpenBSD и работавшим совместно с ФБР над рядом проектов. Во время работы с ФБР Пири дал подписку неразглашении информации в течение 10 лет, поэтому вынужден сообщить имеющие у него сведения только сейчас. По утверждению Пири, у него имеется информация, что ФБР профинансировал работу по интеграции в IPSEC-стек OpenBSD техники, приводящей в определенных обстоятельствах к утечке ключей шифрования и возможности мониторинга трафика внутри шифрованных VPN-соединений. В письме также выдвигаются предположения о том, что агентство по оборонным разработкам DARPA прекратило финансирование OpenBSD после того, как по внутренним каналам была получена информация о внедрении бэкдора. Также подозрение вызывает активная позиция ФБР в плане продвижения использования OpenBSD для создания VPN и межсетевых экранов. Пока не ясно удалось ли на самом деле внедрить бэкдор и работоспособен ли он в настоящее время. Пири сообщил какой именно разработчик OpenBSD занимался внедрением бэкдора и порекомендовал провести аудит коммитов данного человека. С момента первого выпуска IPSEC-стека от проекта OpenBSD прошло более 10 лет, с тех пор код был подвергнут многочисленным изменениям, поэтому степень опасности можно определить только после проведения полного аудита. Вызывает опасение также то, что некоторые большие части кода IPSEC от OpenBSD были заимствованы в других открытых проектах и проприетарных продуктах.
Источник

15/12/2010 10:41 Ричард Столлман предупреждает об опасности ChromeOS и облачных вычислений
ChromeOS компании Google подталкивает людей к "беспечным вычислениям" (careless computing), заставляя их хранить свои данные и информацию в облаке, а не на машинах, непосредственно контролируемых людьми, которым принадлежит эта информация - предупреждает Ричард Столлман в своём интервью газете Guardian, сообщает opennet.ru. Ещё два года назад Столлман говорил о том, что чрезмерное увлечение использованием облачных вычислений ещё хуже, чем глупость, потому что обозначает потерю данных. Теперь Столлмана ещё больше тревожит предстоящий выход ChromeOS, разработанной с упором на минимальное хранение локальных данных в пользу облака серверов с неизвестным местоположением. Столлман указывает, что существует риск потери законных прав на данные, хранящиеся в облаке: "чтобы получить доступ к вашим локальным данным, полиция обязана предъявить ордер на обыск; но если данные хранятся на сервере какой-то компании, полиция получит их, не предъявляя никаких документов. Они даже могут не предъявлять ордер представителям компании". Столлман считает, что маркетингу нравятся облачные вычисления потому, что за этим не стоит какого-либо конкретного смысла. Смысл этого термина - не какая-то сущность, а подход. "Пусть Том, Дик и Гарри хранят ваши данные, пусть Том, Дик и Гарри производят ваши вычисления за вас (и контролируют их). Возможно, понятие "беспечные вычисления" подойдёт здесь лучше". Пусть правительство США поощряет людей к хранения информации в облаке, где правительство США может получить информацию, не предъявляя никаких бумаг. Но пока многие из нас будут продолжать держать под контролем свои данные и информацию, у нас есть для этого возможности. И лучше нам так и делать, иначе эта возможность может и исчезнуть". Подконтрольность провайдеров облачных вычислений находится в центре внимания в последние две недели в связи с прекращением обслуживания компанией Amazon ресурса Wikileaks на своем облачном сервисе EC2 под предлогом того, что были нарушены условия договора и без предоставления посредника для урегулирования конфликта. Единственным плюсом, который Столлман видит в операционной системе ChromeOS, является её истоки GNU/Linux. "В сущности, ChromeOS - это операционная система GNU/Linux, но предоставляемая без привычных приложений и сконструированная так, чтобы препятствовать и не поощрять установку приложений. Я бы сказал, что проблема в сущности той деятельности, для которой разработана ChromeOS, а именно - поощрение хранения данных в неопределённо месте, и работа в неопределённом месте, вместо работы на локальном компьютере".
Интервью Столлмана

15/12/2010 10:56 Минкомсвязи изобретает антипиратский фильтр для Рунета
Вопрос о создании «пиратского» фильтра, способного выявлять нелегальный контент в Рунете, изучается в Минкомсвязи. Пока фильтр существует только в виде общего замысла. Не исключено, что при проработке этой идеи чиновники обратятся к опыту Google, создавшего для YouTube антипиратскую систему Content ID. Министерство связи и массовых коммуникаций рассматривает возможность установления технических ограничений на распространение пиратского контента в Рунете. Фильтр, препятствующий передаче данных, нарушающих авторские права, не упоминается в программе «Информационное общество» и пока существует в виде абстракции, но возможность его создания регулятор изучает уже сейчас. Замглавы Минкомсвязи Илья Массух полагает, что с технической точки зрения построить его было бы нетрудно: «Все интернет-каналы у нас проходят через «Ростелеком». Если понадобится купить несколько тысяч серверов для их контроля, то, я вас уверяю, государство даст указание их купить и поставить, если это действительно решит проблему пиратства». Массуху известно, что в России существует контролирующая интернет-трафик система СОРМ (Система технических средств для обеспечения функций оперативно-розыскных мероприятий), однако, ее применение для фильтрации пиратского контента затруднительно: чтобы воспользоваться данными СОРМа, нужно иметь специальные полномочия и решение суда. По мнению замминистра, «весь вопрос состоит в том, действительно ли существует технология», способная отличать пиратский контент от легального. С этой точки зрения Илью Массуха заинтересовала система Content ID, с помощью которой на принадлежащем Google портале YouTube правообладатели блокируют загрузку пиратских видеороликов. «Хотя, сначала нужно понять, есть ли аналоги такой системы у Яндекса», - добавляет он. Технология контроля за авторским контентом Content ID применяется на видеопортале YouTube с октября 2007 г. Она позволяет сличать загружаемые на сайт видеоролики с образцами, заблаговременно предоставленными правообладателями - партнерами Google. При совпадении контента в загружаемом ролике с эталоном система автоматически применяет один из трех сценариев, выбранных партнером: либо автоматически блокирует нелегальный контент, либо включает программу его монетизации, либо игнорирует нарушение авторского права. Кроме того, Content ID позволяет осуществлять поиск по уже загруженному видео. По словам директора по разработкам YouTube в Европе Оливера Хэкмана (Oliver Hackman), помимо видеороликов, Content ID способен анализировать аудиофайлы, а теоретически и любой цифровой контент. Представитель «Яндекса» Очир Манджиков рассказал CNews, что систем идентификации пользовательского контента, подобных Content ID, российский поисковик не имеет и не разрабатывает. Позиция «Яндекса» по вопросу нелегального контента осталась неизменной со времен публикации «Обращения интернет-компаний» 14 октября 2010 г. В документе, подписанном главами «Google Россия», Mail.ru, «Вконтакте», Rambler и «Яндекса» (а также присоединившейся к обращению «Викимедиа Ру») указано, что сервис-провайдеры интернета «не имеют ни правовых оснований, ни технических возможностей, чтобы отслеживать каждое действие каждого пользователя и оценивать его законность или незаконность». В самом Google, по-видимому, не будут спешить с предоставлением технологии Content ID в распоряжение российского регулятора. Директор по взаимодействию с органами государственной власти из российского офиса Google Марина Жунич пояснила CNews, что, хотя теоретическая возможность использования Content ID вне Youtube существует, она не обсуждалась даже внутри компании.
Источник

15/12/2010 11:38 Вирусы снова научились удалять антивирусы
Компания «Доктор Веб» сообщила о выявлении нового метода противодействия работе антивирусов. Несмотря на то что несколько лет назад большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы, говорится в сообщении компании. Один из таких методов реализован в трояне Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети «В Контакте». Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1. После запуска этого файла открывается окно «Проводника Windows», в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса. После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов, подчеркнули в «Доктор Веб». Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троян использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов трояну дополнительные модули не требовались. После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 руб. на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут. После разблокировки компьютера троян имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой. При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создаётся иллюзия, что антивирусная защита системы продолжает работать в штатном режиме.
Источник

15/12/2010 12:08 Microsoft выпустила декабрьский набор исправлений для своих продуктов
Корпорация Microsoft накануне выпустила последний ежемесячный набор исправлений для своего программного обеспечения, из тех, что был запланирован на 2010 год. В выпущенном наборе патчей компания публикует 17 исправлений уязвимости и закрывает 40 различных уязвимостей в своем программном обеспечении. Два из 17 бюллетеней имеют критическую степень опасности - это бюллетени для Internet Explorer и бюллетень, затрагивающий сразу три уязвимости в драйвере Windows OpenFont. Еще 14 бюллетеней промаркированы как "важные" и один, как "средней опасности". Бюллетень, затрагивающий Internet Explorer описывает сразу семь уязвимостей и затрагивает все поддерживаемые версии браузера. "Это определенно самый важный момент для декабрьского набора патчей, который закрывает еще и шесть уязвимостей нулевого дня", - говорит Эндрю Стормс, директор по безопасности компании nCircle. Еще один критический бюллетень затрагивает систему ядра Windows, точнее ту ее часть, что отвечает за шрифты OpenType. Здесь потенциальный атакующий может внедрить в систему злонамеренный OpenType-файл и выполнить собственный код на уровне ядра системы. В случае успешного выполнения кода, атакующий получает полный контроль над компьютером. Другие четыре бюллетеня - MS10-093, MS10-094, MS10-095, MS10-096 и MS10-097 - устраняют опасность в технологии загрузки системных библиотек в различных программах Microsoft. Впервые эта проблема была обнаружена еще в августе.
Декабрьский список обновлений

15/12/2010 12:41 Пользователи "ВКонтакте" под ударом нового троянца
Компания «Доктор Веб» сообщила о выявлении нового метода противодействия работе антивирусов. Несмотря на то что несколько лет назад большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы. Один из таких методов реализован в троянце Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети «В Контакте». Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1. После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса. После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов. Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались. После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут. После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой. При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создаётся иллюзия, что антивирусная защита системы продолжает работать в штатном режиме.
Источник

15/12/2010 12:53 Тульский провайдер режет оппозиционные онлайн-новости
У тульских интернетчиков вот уже полторы недели нет доступа к сайту информационного агентства "Тульские новости". На этот ресурс не могут пробиться клиенты регионального провайдера ТК "Альтаир", в то время как пользователи, подключённые к Сети иными способами, не испытывают с доступом никаких проблем, рассказал "Вебпланете" гендиректор информагентства Андрей Мазов. История с выпадением "Тульских новостей" из области видимости клиентов "Альтаира" началась 5 декабря. Сперва, по свидетельству журналистов этого агентства, в техподдержке посоветовали обратиться со своей проблемой к разработчикам сайта, мотивируя это тем, что не работает только один этот сайт. На прямой вопрос о том, не отключал ли "Альтаир" доступ к сайту, здесь заверили, что "провайдер таким не занимается". Через несколько дней на вопрос о том, когда у клиентов появится доступ к "Тульским новостям", гендиректор ТК "Альтаир" Александр Ядыкин ответил: "А с чего вы взяли, что вас отключили? Вы мне звонили, я сказал, проблемы на узле, они все еще решаются". По словам Андрея Мазова, эти "технические" проблемы не решились до сих пор. Мазов расценивает сложившуюся ситуацию одновременно как политическую цензуру и недобросовестную конкуренцию. Это не первый конфликт между "Альтаиром" и "Тульскими новостями". По данным Мазова, "Альтаир" контролируется депутатом Тульской городской думы, совладельцем холдинга "ФМ-Медиа" Григорием Нуждихиным. Если верить сайту с характерным названием "Нуждихину - нет!", контроль над этой телекомпанией был получен силовыми методами два года назад. Следствием этого стали DDoS-атаки на ряд сайтов, освещавших эти кровавые события, среди которых был и сайт ИА "Тульские новости". Что конкретно не понравилось в действиях "Тульских новостей" людям, стоящим за "Альтаиром", на этот раз, Мазов наверняка не знает, хотя и строит некоторые предположения. Он полагает, что это - продолжение событий, начавшихся месяц назад, когда у его компании отняли право на вещание в эфире "Эха Москвы в Туле". В тот период СМИ Мазова активно освещали процесс по делу директора департамента природных ресурсов Тулы Алексея Лазарева. В середине ноября Лазарев был осуждён на 7,5 лет за взятку в 3 млн рублей. Но за несколько дней до этого редакцию "Тульских новостей" отключили от радиоэфира. "Что касается причин возникновения данной ситуации, то они, на мой взгляд, лежат на поверхности, — заявил тогда Мазов. — Сначала звонок губернатора, затем просьба освободить офис, далее отключение нашей редакции от эфира. Во всем этом видится политический подтекст, и явно просматривается давление власти на СМИ". По словам Мазова, его компания уже написала в связи с блокировкой доступа к сайту заявление в прокуратуру. Завтра ожидается получение экспертного заключения, затем Мазов планирует нанести визит в ФАС, а когда будут собраны все документы — обратиться в суд.
Источник

15/12/2010 16:06 Кинотеатр снова судят за пиратский саундтрек
Прокуратура Амурской области передала в суд дело компании "Мир кино", которая демонстрировала фильм "Гарри Поттер и дары смерти" со звуком, но без выплаты авторского вознаграждения композиторам. Как установила прокуратура, 8 декабря 2010 года кинокомпания "Мир кино" при демонстрации "киновидеофильма "Гарри Поттер и дары смерти" в нарушение п. 3 ст. 1263 Гражданского кодекса Российской Федерации осуществляла публичное исполнение аудиовизуальных произведений при кинопрокате в г. Благовещенске в кинотеатре "ДК Профсоюзов" без выплаты вознаграждения авторам музыки к фильмам". В отношении генерального директора компании Романа Горбунова возбуждено дело об административном правонарушении по ч. 1 ст. 7.12 КоАП РФ "Нарушение авторских и смежных прав", которое передано в суд для рассмотрения по существу. Тем временем, прокуратура уже добилась устранения выявленных нарушений: генеральный директор "Мира кино" подписал договор о выплате авторского вознаграждения, а юрист компании привлечена к дисциплинарной ответственности. Напомним, что "пиратские саундтреки" в российских кинотеатрах находят уже не впервые - как правило, это происходит с подачи Российского авторского общества. Так, в апреле 2010 года администрация кинотеатра "Кинофокс" (г. Каменск-Уральский) была признана виновной в демонстрации "Аватара" и других зарубежных фильмов без отчисления средств авторам музыки. С другой стороны, екатеринбургскому кинотеатру "Салют" в ноябре этого года удалось отбиться от претензий, выдвинутых Российским авторским обществом. В ходатайстве, которое подали суду представители кинотеатра, утверждалось, что РАО не обладает статусом истца по данному делу и не представило доказательств, подтверждающих полномочия действовать в интересах иностранных граждан. Никаких возражений на это представители РАО представить не смогли.
Источник

16/12/2010 10:14 Англичанин использовал ворованные кредитки для покупки собственных песен
19-летний англичанин использовал украденные данные кредитных карт для покупки собственных песен в интернете. По результатам махинации ему полагалось 500 тысяч фунтов стерлингов авторских отчислений, пишет BBC News. Ламар Джонсон, житель английского города Вулвергемптон, покупал собственные песни в интернет-магазинах iTunes и Amazon с помощью украденных данных чужих кредитных карт. В промежуток с января 2008 по июнь 2009 он купил свои песни 2 тысячи раз. Вместе с ним в мошенничестве было задействовано 12 человек, среди которых Джонсон был самым молодым. Всего ими было скачано 6 тысяч песен. Таким образом, с продажи одной песни группа зарабатывала около 80 фунтов, в то время как средняя стоимость песни в iTunes составляет 99 пенсов. 15 декабря местный суд признал его виновным как соучастника в деятельности мошеннической группы. В данный момент Ламар Джонсон отбывает пятилетний тюремный срок за нанесение тяжелых телесных повреждений. Слушания по делу остальных 11 участников назначены на 25 января.
Источник

16/12/2010 10:41 Выпущена новая версия браузера Opera
Норвежская компания Opera Software выпустила финальную версию веб-браузера Opera 11. Об этом сообщается в официальном пресс-релизе. Одиннадцатая версия Opera позволяет группировать открытые вкладки в специальные папки, формирующиеся над адресной строкой. Чтобы просмотреть содержимое папки, необходимо либо навести на нее курсор мыши. Представленная еще в пятой версии Opera функция "жестов" (возможность навигации в браузере с помощью движений курсора мыши) в новой версии проиллюстрирована подсказками и новым круговым интерфейсом. Также в новой версии браузера осуществлена поддержка "расширений" (extensions). На основе данных, собранных во время бета-тестирования браузера, самыми популярными стали блокировщик рекламных баннеров NoAd, менеджер паролей LastPass, переводчик Translate, а также программы для предварительного просмотра изображений Image preview и скачивания видео с сервиса YouTube FastestTube. Opera 11 доступна в версиях для операционных систем Windows, Mac OS X и Linux. Загрузить программу можно на официальном сайте Opera. Бета-версия одиннадцатой версии Opera была запущена 23 ноября 2010 года. По опубликованной сайтом StatCounter статистике, в ноябре 2010 года доля веб-браузера Opera среди общего числа пользователей всех браузеров составляет 2,01 процента. При этом доля пользователей Opera в России составляет 31,3 процента.
Пресс-релиз

16/12/2010 11:32 Google затруднился выбрать победителей конкурса на гигабитный интернет
Компания Google назовет города-победители конкурса на проведение гигабитных оптоволоконных интернет-каналов в начале 2011 года. Об этом сообщается в официальном блоге компании. Ранее планировалось, что победители конкурса станут известны до конца года. В рамках проекта под названием Google Fiber поисковик планирует развернуть широкополосные оптоволоконные сети в городах США. Предполагается, что пропускная способность каналов составит гигабит в секунду, что позволит Google протестировать в этих сетях новые типы интернет-сервисов, подразумевающие существенное увеличение объема передачи данных по сравнению с современными сетями. Отметим, что эта скорость в сто раз превышает среднюю скорость доступа в интернет в США. Прием заявок от американских городов и населенных пунктов стартовал в феврале 2010 года и уже завершился. Всего за это время в Google поступило более тысячи заявок. Известно, что в планы Google входит вывод в Сеть от 50 до 500 тысяч человек. При этом дата ввода оптоволоконных сетей в эксплуатацию не уточняется.
Источник

16/12/2010 12:34 В России создали защищенный BIOS
Российский сборщик Kraftway спроектировал материнскую плату с собственной сборкой BIOS: ее основательно «почистили» от уязвимых модулей и встроили модуль доверенной загрузки. Основные предполагаемые заказчики ПК с защищенным BIOS – государство и корпоративный сектор. Kraftway спроектировал и начал производить собственные материнские платы с модифицированной BIOS Phoenix Award, рассказал CNews старший вице-президент компании Ренат Юсупов. По его словам, это было сделано в рамках проекта по созданию защищенного ПК, для которого было необходимо создать материнскую плату с интегрированными функциями информационной безопасности, соответствующими российскому законодательству. Компьютеры Kraftway с защищенным BIOS были представлены на выставке, прошедшей в рамках CNews FORUM 2010. Прозводство платы, по словам Юсупова, размещается на контрактных площадках за пределами России, а финальные операции по прошивке BIOS, проверке работоспособности и сборки плат осуществляются на сертифицированной площадке на территории России – заводе Kraftway, что гарантирует отсутствие недекларированных возможностей и закладок гипервизоров на уровне BIOS. Собственная сборка BIOS, по словам Юсупова, лишена модулей, составляющих потенциальную угрозу безопасности. Речь в данном случае идет о модулях, взаимодействующих со встроенными аппаратными возможностями чипсета по реализации функций управления - например, были убраны модули, отвечающие за Management Engine (механизма управления), а также отредактированы и отлажены модули, отвечающие за работу SPI (последовательный периферийный интерфейс). «Кроме того, наши специалисты основательно «почистили» BIOS, исключив все известные на текущий момент возможности по перехвату управления загрузкой, что делает невозможным разрушение целостности доверенной программной среды, а также загрузку низкоуровневых - на уровне BIOS - виртуальных машин для перехвата управления ПК», - говорит Юсупов. Вышесказанное относится и к новым угрозам ИБ, против которых пока нет «инструментов адекватной защиты», добавляет он. Помимо «чистки» BIOS, Kraftway интегрировала в него дополнительный программный модуль доверенной загрузки, разработанный компанией «Алладин-РД», исполняющий функции многофакторной авторизации, контроля программной среды, управления пользователями и регистрации событий безопасности.
Подробности

16/12/2010 12:49 Oracle выпустила стабильную версию MySQL 5.5
Корпорация Oracle и разработчики из MySQL сегодня сообщили о выходе новой стабильной версии популярной СУБД MySQL, рекомендованной для промышленного внедрения. Версия MySQL 5.5 станет первым масштабным релизом открытой СУБД, которая будет продвигаться уже силами маркетологов из Oracle. Уже по первым словам анонса новой MySQL 5.5 видно, что новая версия СУБД успела обзавестись традиционной для Oracle "корпоративностью". Новая версия СУБД будет позиционироваться не только как решение для веб-проектов, но и как продукт для бизнеса, который можно будет использовать для бэк-энда многих корпоративных систем управления деятельностью. Моника Кумар, старший директор Oracle по маркетингу, презентуя новую версию MySQL 5.5, сказала, что Oracle рассматривает эту версию СУБД, как продукт самой широкой направленности и пригодных для использования не только в интернет-среде. По ее словам, корпорация в будущем намерена создать тандем MySQL-Oracle. "MySQL - это великолепная СУБД для веб-приложений, выделенных корпоративных приложений, а также для встроенного использования. В то же время СУБД Oracle - это лидирующая разработка для больших корпоративных систем и систем, к которым предъявляются самые высокие требования в плане отказоустойчивости и скорости доступа к данным", - говорит он. По ее словам, два продукта "прекрасно" дополняют друг друга. Говоря о новой СУБД MySQL 5.5, Кумар сказала, что компании-разработчики намерены укрепить роль MySQL в известной всем Linux-администраторам системе LAMP (Linux-Apache-MySQL-PHP/Python/Perl), широко используемой для работы сотен тысяч сайтов и блогов. Для того, чтобы MySQL стала более успешной, в версии 5.5 было внедрено несколько новых решений, повышающих масштабируемость. Так, теперь для MySQL 5.5 1000 одновременных клиентских подключений не выглядят таким уж заоблачным показателем. Отдельно в Oracle говорят, что MySQL 5.5 получает новые диагностические решения, включая низкоуровневую схему ERFORMANCE_SCHEMA. Также новая версия получила значительный прирост скорости (до 1500%) на ряде операций чтения/записи в Windows и до 500% на операциях чтения.

Интересно отметить, что Oracle приняла решение не включать в стандартный вариант поставки новый вариант движка для работы с данными MariaDB, который был разработан сотрудниками MySQL, ушедшими из компании. А от создания нового движка Falcon, запланированного к релизу в шестой версии, было вообще решено отказаться. Напомним, что ранее Oracle объявила, что высокопроизводительный движок InnoDB станет стандартным для MySQL. В версии 5.5 он таковым стал. Причем, в новой версии реализована и новая версия самого InnoDB, который теперь лучше поддерживает многопроцессорность и многопоточность, что важно в условиях современных серверов и операционных систем. В заявлении Oracle говорится, что новая InnoDB обеспечивает лучшее восстановление данных в случае краха системы, улучшенные возможности по интеграции данных, работу с ACID-транзакциями. В листе рассылки для пользователей MySQL говорится, что MySQL 5.5 во многом базируется на версии MySQL 5.4, а та в свою очередь является минорным апгрейдом с MySQL 5.1, используемой на большинстве стабильных систем в данный момент. Большинство коммерческих пользователей перейдут сразу с MySQL 5.1 на MySQL 5.5.
Источник

17/12/2010 09:35 Уязвимость в пакете OpenSC
Уязвимость в открытой библиотеке OpenSC, предназначенной для организации работы систем аутентификации через смарт-карты, позволяет злоумышленнику получить контроль над сервером аутентификации, сообщает opennet.ru. Используя симулятор смарт-карты, передающий некорректно сформированный серийный номер, злоумышленник может добиться выполнения своего кода в системе с правами занимающегося аутентификацией процесса. Уязвимости подвержены драйверы card-atrust-acos.c, card-acos5.c и card-starcos.c из состава OpenSC, включая последнюю версию 0.11.13. Исправления пока доступны в виде патча. Обнаружившие уязвимость исследователи безопасности уже подготовили прототип эксплоита.
Источник

17/12/2010 10:06 Yahoo удалит все пользовательское видео
Yahoo Video больше не будет принимать пользовательские видеоролики, сообщает TechCrunch. Пользователи не могут загружать свое видео, но до 14 марта 2011 года могут скачать уже загруженное. 15 марта весь UGC будет удален с серверов Yahoo. В копилке компании остается другой сервис, позволяющий пользователям загружать и просматривать видеоролики - фотохостинг Flickr. Yahoo Video же, несмотря на то, что существует достаточно долго, не смогло составить конкуренцию Youtube и другим популярным видеохостингам. Сейчас компания активно снижает затраты (несколько дней назад было объявлено об увольнении 600 сотрудников). За время существования видеохостинга Yahoo не смогла не только привлечь на него достаточного количества посетителей. Помимо этого, компания так и не придумала способа борьбы с загрузкой контента, на который у пользователей нет прав (например, фильмов и видеоклипов). Возможно, именно это и стало причиной фактического закрытия хостинга. "Скорее всего, Yahoo отказалась от пользовательского контента из-за отсутствия у компании механизма определения пиратского контента. Разработка его дорога и едва ли имеет смысл в случае, когда этот контент, вероятно, сам по себе убыточен", - пояснил "Вебпланете" экс-директор департамента массовых сервисов "Медиа Мира" Даниль Хасаншин. Антипиратские фильтры крайне важны для того, чтобы сервис существовал, не раздираемый судами от правообладателей. Один такой сервис в России уже есть, еще один хочет создать государство. Без таких разработок правообладателям или самим хостингам приходится удалять пиратское видео вручную. Этот подход губителен, поскольку отвлекает слишком большое количество человеческих ресурсов.
Подробнее

17/12/2010 10:38 На следующей неделе в России разрешат IPTV
В ближайшие дни Роскомнадзор издаст приказ, разрешающий телеканалам указывать в лицензиях на кабельное телевидение номер канала вместо частоты. Это должно легализовать вещание в цифровых кабельных и IPTV-сетях, которое до сих пор не в полной мере соответствуют закону. На следующей неделе глава Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Сергей Ситников подпишет приказ, разрешающий телеканалам в лицензиях на кабельное вещание указывать не частоту вещания, а номер, под которым канал распространяется в сети. Об этом заявил сам Ситников, отвечая на вопрос CNews о регулировании IPTV. «К сожалению, последние несколько лет нормативная база в области телевещания не развивалась, в связи с чем она отстала от современных технологий», - рассказал глава Роскомнадзора. Ситников надеется, что в будущем эта проблема будет разрешена на законодательном уровне, пока же служба вынуждена будет прибегнуть к изданию нормативного акта временного характера. В прошлом году Роскомнадзор обратил внимание операторов кабельного телевидения на несоблюдение законодательства, выражающегося в вещании не имеющих соответствующих лицензий каналов, и потребовал прекратить нарушения к 1 марта текущего года. По закону в приложении к лицензии на кабельное вещание телеканал обязан указать города вещания, сети, абонентам которых доступен просмотр телеканала, и конкретные частоты, на которых внутри кабельных сетей осуществляется вещание канала. Коллизия заключается в том, что в цифровых кабельных сетях на одной частоте вещает несколько каналов, при том что на одну частоту может быть выдано только одно разрешение. Еще хуже ситуация состоит с IPTV, где частотного распределения нет как такого. При этом, в связи с отсутствием отдельных лицензий для IP-телевидения, для легализации вещания в этих сетях телеканалы пробуют получать лицензии на кабельное вещание. Но известен как минимум один случай, когда Роскомнадзор аннулировал казахскому спутниковому каналу «К-Плюс» лицензию на кабельное вещание за распространение сигнала в сетях IPTV. Сам телеканал пытался прописать эти сети в приложении к своей лицензии, но получил отказ в связи с отсутствием в заявке частот вещания.
Подробности

17/12/2010 10:51 Европейская полиция проводит задержания активистов группировки Anonymous
Сразу в нескольких европейских странах сегодня прошли задержания молодых людей, которые, как полагает полиция, являются активными членами хакерской группировки Anonymous, поддерживающей интернет-сайт Wikileaks. Всем задержанным предъявлены обвинения в организации DDOS-атак на различные сайты, в том числе на сайты компаний Mastercard, Visa, PayPal и Ebay. Известно, что лондонская городская полиция задержала сегодня представителей нескольких британских компаний, которые помогали в организации хакерских атак. Всем задержанным предъявлены обвинения в хакерских атаках, а также незаконном файлообмене. По данным полиции, многие из задержанных стоят за созданием программного обеспечения LOIC, использованного для проведения атак. Сегодня же в Греции полиция арестовала молодого человека, подозреваемого в организации ряда действий, организованных группировкой Anonymous. Вчера полиция также задержала 19-летнего жителя Нидерландов, несколькими днями ранее был арестован 16-летний житель этой страны. Всем им предъявляется набор обвинений, в том числе незаконный доступ к информации, DDOS-атаки и кража пользовательских данных.
Источник

17/12/2010 11:14 Опубликовано опровержение слухов о бэкдорах в OpenBSD
Минувшим вечером один из разработчиков OpenBSD, некий Джейсон Райт (Jason Wright), очень недвусмысленно отреагировал на появившиеся на днях слухи о том, что в реализации IPsec содержатся закладки от американской правительственной организации - ФБР, сообщает linux.org.ru. История началась с письма лидеру OpenBSD Тео де Раадту от Грегори Перри, занимавшегося разработкой криптографического кода в OpenBSD много лет назад. В своем сообщении он обвинил во внедрении зловредного кода Джейсона Райта. От Джейсона же последовал ответ, в котором просит Грегори держать свои домыслы подальше. Джейсон Райт в почтовой рассылке openbsd-tech, отвечая на письма Тео, четко заявил, что «не добавлял никаких бэкдоров в операционную систему OpenBSD и OpenBSD crypto framework (OCF)» (I will state clearly that I did not add backdoors to the OpenBSD operating system or the OpenBSD crypto framework (OCF)). Кроме того, тот код, которым занимался Джейсон, по большей части относится к драйверам устройств. Также Джейсон сообщил, что во время разработки OCF не работал в NETSEC, которая, по слухам, сотрудничает с ФБР. Джейсон Райт полностью поддерживает идею аудита кода OpenBSD.
Источник

17/12/2010 12:07 Взломщиц почты Киркорова потребовали посадить на восемь лет
Обвинение потребовало приговорить обеих обвиняемых во взломе электронной почты Филиппа Киркорова к восьми годам лишения свободы, сообщает РИА Новости 17 декабря. Процесс по делу Нины Юровой и Веры Японцевой проходит в Пресненском суде Москвы в закрытом режиме. Помимо этого, гособвинитель просит, чтобы суд удовлетворил гражданский иск представителей Киркорова на сумму один миллион долларов США. Приговор по этому делу, по предварительным данным, будет оглашен 24 декабря. Юрова и Японцева были задержаны в июне 2009 года. По версии следствия, женщины взломали электронную почту исполнителя и его страницу в социальной сети "Одноклассники.Ру" с целью шантажа, а затем вымогали у певца крупную сумму. Сами женщины утверждали, что Киркоров не оплатил выполненную ими работу (Японцева работала администратором певца, а фирма Юровой организовывала рекламную кампанию исполнителя). Впоследствии Киркоров подал иск на миллион долларов, заявив, что из-за взлома лишился доступа к материалам нового альбома и своим фотографиям, но не исключил, что откажется от требований, потому что доступ был восстановлен. Также в июне 2010 года певец пообещал, что будет просить самого мягкого наказания для Юровой и Японцевой.
Источник

18/12/2010 03:00 В Алтайском крае мошенники похитили хакера
В Алтайском крае возбуждено уголовное дело в отношении двух мужчин, подозреваемых в том, что они похитили человека и требовали от него осуществлять незаконные переводы с банковских счетов, сообщили в региональном ГУВД. По данным следствия, недавно вышедший из тюрьмы 42-летний житель Панкрушихинского района вспомнил о своем знакомом хакере, который вместе с ним отбывал наказание в колонии за мошенничество в сфере высоких технологий, и решил использовать его возможности в своих корыстных целях. Взяв с собой двух подельников, злоумышленник приехал в Барнаул, где живет хакер, и под предлогом ремонта компьютера выманил его из дома. Затем молодого человека насильно посадили в машину и увезли в одно из местных сел. Приковав компьютерщика наручниками к батарее, они потребовали от него реализовать их преступный план: взламывать сайты банков и переводить деньги на различные счета. Однако мужчина отказался это делать, после чего был избит. Тогда злоумышленники придумали новый план: они позвонили сожительнице похищенного и потребовали от нее выкуп в размере 1,5 млн руб. Впоследствии, 13 декабря, когда похитители, употребив большое количество алкоголя, уснули, молодому человеку удалось отстегнуть наручники от батареи и сбежать. После его обращения в милицию сотрудники уголовного розыска оперативно задержали организатора похищения. На следующий день было произведено еще одно задержание с участием бойцов ОМОНа и обыски в тех домах, где держали похищенного. При обыске были изъяты две единицы незаконно хранящегося оружия. Уголовное дело в отношении злоумышленников было возбуждено по ст.126 УК РФ (похищение человека). Им грозит лишение свободы на срок от шести до 15 лет. В ближайшее время против них будет возбуждено еще одно уголовное дело по факту незаконного хранения оружия.
Источник

18/12/2010 03:52 Facebook учится автоматически распознавать лица пользователей на фото
В социальной сети Facebook появится функция распознавания лиц пользователей на фотоснимках. Об этом сотрудник Facebook Джастин Митчелл (Justin Mitchell) сообщил в блоге компании. Сейчас пользователи Facebook отмечают своих друзей на загруженных фотографиях вручную. Функция распознавания лиц позволит автоматизировать этот процесс. После того как пользователь загрузил новые фотографии, Facebook выделит на снимках лица людей. Затем соцсеть «просканирует» фото друзей пользователя в поисках соответствий. Во внимание будут приниматься как аватары, так и фотографии, на которых эти пользователи были отмечены. Чем больше в Facebook фотографий с отметкой того или иного человека, тем выше вероятность, что социальная сеть правильно его опознает. Закончив сканирование снимков друзей, Facebook сообщит пользователю, кто из них присутствует на фотографиях. Окончательное решение о том, отмечать человека на снимке или нет, принимает пользователь. При этом пользователи Facebook смогут запретить социальной сети распознавать их на фотографиях. Сделать это можно будет в разделе настроек. Внедрять технологию распознавания лиц Facebook начнет уже на следующей неделе. Первое время сервисом смогут воспользоваться только жители США. Facebook сообщила, что каждый день на ее сервера загружаются около 100 млн. фотографий. Примерно столько же раз за день пользователи отмечают друг друга на снимках.
Источник

18/12/2010 04:15 Google выпустила Chrome для бизнеса
Разработчики веб-браузера Chrome представили широкой публике набор инструментов администрирования под общим названием Chrome for Business, который обеспечивает возможность развертывание браузера в корпоративных средах. С помощью нового инструментария предприятия смогут централизованно развертывать и настраивать браузер в средах Windows, Mac и Linux. Разработчики выделяют четыре основных преимущества Chrome for Business для корпоративных пользователей: наличие установщика в формате MSI, которое позволяет включить Chrome в системы автоматического развертывания и управления ПО; поддержка управления через групповые политики – это доминирующий способ управления правами доступа ПО и пользователей; шаблоны, которые позволяют администраторам настраивать параметры браузера, контролируя безопасность и приватность; новое расширение Google Frame, которое действует внутри браузера Internet Explorer. Расширение Google Frame фактически подменяет основной механизм IE для обработки веб-страниц, но если какое-то веб-приложение требует именно IE, тогда управление вновь возвращается к IE. На данный момент доля браузера Chrome в корпоративных системах крайне мала, если сравнивать с Internet Explorer и Firefox. Тем не менее, Chrome значительно опережает их по скорости работы и безопасности, так что у него есть все шансы быстро завоевать признание корпоративных пользователей. Таким образом, совмещение веб-браузера Chrome и бизнес-сервисов Google может стать окном для формирования инфраструктуры компаний на базе облачных технологий компании Google.
Источник

19/12/2010 10:24 Microsoft придумала интерактивные электронные письма
Компания Microsoft 16 декабря запустила новую платформу электронных писем Active View для почтового сервиса Windows Live Hotmail. С ее помощью некоторые письма сервиса стали полностью интерактивными, сообщается в официальном блоге Windows Live. По своей функциональности письма на новой платформе почти идентичны веб-страницам: в них можно совершать поиск, заполнять формы и перемещаться по различным вкладкам, не выходя из окна письма. Платформа Active View, в отличие от языка JavaScript, который тоже используется для создание интерактивных элементов внутри электронного письма, является безопасной и не может быть использована для взлома компьютера. В настоящий момент Microsoft запустила пилотную версию платформы. Пока интерактивные письма рассылаются только тем пользователям Hotmail, которые выразили желание принять участие в ее тестировании. Сейчас Active View поддерживают служба резерва гостиничных номеров Orbitz и онлайн-служба по поиску вакансий Monster.com. В дальнейшем Microsoft планирует значительно расширить базу партнеров.
Источник

19/12/2010 11:29 Microsoft выпускает бесплатный антивирус Security Essentials 2.0
Корпорация Microsoft выпустила вторую версию своего бесплатного антивирусного и антивредоносного программного обеспечения Security Essentials, предназначенного для базовой безопасности компьютеров под управлением Windows. В корпорации рассказали, что, как и предшественник, вторая версия Security Essentials остается бесплатной, однако в Security Essentials 2.0 все же были сделаны некоторые важные улучшения. В заявлении софтверного гиганта сказано, что новая версия обладает более быстрым движком и обновленным алгоритмом для обнаружения изощренных компьютерных угроз. Также теперь разработка поддерживает интеграцию с Windows Firewall, что позволяет включать и выключать из антивируса межсетевой экран. Помимо этого новая версия интегрируется с Internet Exlorer и детектирует веб-угрозы, обнаруживая их удаленно, однако эта опция работает только в Windows 7 или Vista. Напомним, что бета-версия второй версии продукта вышла в июле этого года. Напомним, что изначально Microsoft позиционировала Security Essentials только как базовое индивидуальное средство защиты домашних компьютеров, однако в октябре компания смягчила условия лицензии и разрешила использование Security Essentials в малом бизнесе, где заняты до 10 пользователей.
Ccылка для загрузки

19/12/2010 21:20 В Москве задержали серийного похитителя телефонных проводов
На северо-западе Москвы с поличным задержан мужчина, из-за действий которого жители Тушина несколько раз оставались без телефонной связи. "С середины октября в Тушине стали регистрироваться случаи краж телефонного кабеля, из-за которых десятки квартир оставались без городской телефонной связи. Накануне на улице Героев Панфиловцев при выходе из подземного колодца с поличным был задержан 39-летний приезжий из Курской области", - сообщил источник в правоохранительных органах столицы. У задержанного были изъяты плоскогубцы и моток провода длинной около 9 метров, он подозревается, по меньшей мере, в шести кражах. Как установлено, задержанный проникал в подвалы жилых домов и колодцы телефонной связи, срезал провода, а затем сдавал их в пункты приёма цветного металла, сообщил собеседник агентства. Сотрудники МГТС намерены выставить вору счёт на все работы, связанные с восстановлением повреждённых линий. Свободный доступ к телефонным линиям столицы используется не только для сдачи цветного металла, но и для организации нелегальных сетей междугородней связи. Все еще большое число столичных телефонных линий остаётся доступным для мошенников разной квалификации. В свою очередь, операторы связи делают основной упор на увеличение прибыли, нежели на повышение качества предоставляемых услуг и обеспечения безопасности каналов передачи данных.
Источник



OnAir - События:

15/12/2010 00:54 - Компания Microsoft представила очередное ежемесячное обновление безопасности своих продуктов. В декабрьское обновление входит 15 бюллетеней безопасности, описывающих 38 уязвимостей. "Критические" обновления касаются накопительного обновления для веб-браузера Internet Explorer и модуля обработки файлов формата OpenType Font (OTF). Использование "критических" уязвимостей позволяет выполнить произвольный программный код без каких-либо подтверждений со стороны пользователя.
Подробнее

17/12/2010 13:47 - РосНИИРОС, как администратор доменов NET.RU, ORG.RU, PP.RU, планирует 27 декабря 2010 года передать деятельность по регистрации и поддержке доменных имен третьего уровня в доменах NET.RU, ORG.RU и PP.RU в компанию RU-CENTER. Поддержка доменов третьего уровня .COM.RU, доступ к которым также осуществляется через веб-интерфейс РосНИИРОС, переходит в RU-CENTER аналогично доменам .NET.RU, .ORG.RU и .PP.RU. Стоимость регистрации доменов .NET.RU, .ORG.RU и .PP.RU составит 450 рублей в год. Стоимость продления — 360 рублей в год.
Подробнее


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru