uinC NewsLetter #52, 2010


Приветствуем!

Новости из Security Мира

27/12/2010 09:20 У платежной системы Chronopay угнали сайт
Сегодня утром на сайте платежной системы "Хронопей" более часа висело странное объявление о взломе, которое звучит так:
"Мы с сожалением вынуждены сообщить, что в период 25-26 декабря 2010 года в нашей компании произошел взлом базы данных, приведший к полной утечке всех имеющихся персональных данных пользователей Хронопей за 2009-2010 годы, включая полные номера кредитных карт и cvv-кодов. В связи с произошедшей компроментацией базы данных кредитных карточек, для предотврашения массового списания злоумышленниками денег в период новогодних и рождественских праздников, мы рекомендуем выполнить следующие действия:
1.Незамедлительно позвонить в свой банк (телефон вы найдете на обратной стороне своей кредитной карты) и немедленно заблокировать ее.
2.Сообщить данную информацию всем своим знакомым, которые могли пользоваться нашей системой в указанный период, для того что бы они не потеряли свои деньги из-за действий злоумышленников.
Руководство нашей компании уже обратилось в правоохранительные органы и надеется на скорейшее расследование этого преступления. В связи с произошедшим инцидентом руководством компании Хронопей принято решение временно прекратить работу на рынке приема платежей по пластиковым картам до прояснения ситуации. Приносим самые искренние извинения своим партнерам и клиентам. Компания Хронопей готова возместить ущерб всем пострадавшим от инцидента сторонам в установленном законом порядке".
Данное сообщение было подписано именем генерального директора ЗАО "Хронопей" Павла Врублевского. Однако сам Павел Врублевский сообщил "Вебпланете", что этот текст он не писал и никакой "полной утечки данных" тоже не было. Злоумышленники взломали только сайт компании и разместили там поддельный текст с подписью Врублевского. Сейчас компания восстанавливает работу сайта. На данный момент сайт chronopay.com уже не показывает объявление об "утечке данных", он просто не открывается - как впрочем и русский сайт chronopay.ru. Более существенно, что кроме главной страницы chronopay.com злоумышленники также подменили веб-форму платежного шлюза "Хронопей". Но на данный момент непонятно, пострадал ли кто-нибудь из клиентов из-за этого редиректа.
Источник

27/12/2010 10:01 Разработчик «Иглы» и «Искандера» получил российскую CAD-систему
Разработчик «Искандера» и «Иглы» коломенское КБМ ввело в промышленную эксплуатацию систему CAD\CAM\CAE. Проект на 120 рабочих мест длился три года, затраты заказчика составили 50 млн руб., генеральным подрядчиком выступал разработчик ПО «Аскон». Коломенское «Конструкторское бюро машиностроения» (КБМ) завершило трехлетний проект по автоматизации проектирования и дизайна. О том, что работы приняты заказчиком и система информационного обмена между подразделениями КБМ введена в промышленную эксплуатацию, CNews рассказал Ринат Исмагилов, технический директор «Аскон-Центральная Россия». Компания выступала генеральным подрядчиком проекта, обновила сеть предприятия, построив новые ВОЛС и ЛВС, поставила КБМ серверное оборудование, ПК. КБМ поставлены главный управляющий сервер и серверы приложений, вычислительный кластер и графические станции. Что касается лицензий на ПО, то заказчик получил системы автоматизированного проектирования среднего и тяжелого класса в области машиностроения и электроники, системы инженерных расчетов, системы автоматизированного проектирования технологических процессов, системы управления инженерными данными, системы управления производством и системы управления бизнес-процессами. Поставлялось ПО не только собственной разработки «Аскон»: «Компас», «Вертикаль», «Лоцман:PLM» и «Гольфстрим», но и партнерское, среди которого в компании называют американскую САПР высокого уровня для проектирования в электронике MentorGraphics и российскую САПР для теплового моделирования электронных узлов «Асоника». С помощью «Компаса» автоматизированы разработка конструкторской и технологической документации, за хранение такой документации отвечает «Лоцман». «Вертикаль» автоматизирует процессы подготовки производства, а «Гольфстрим» - управление им. Кроме того ПО других вендоров отвечает за разработку управляющих программ для станков с ЧПУ и автоматизацию управления качеством. В «Асконе» добавляют, что это не все ПО, которое было установлено в КБМ, но полный список не позволяет назвать соглашение о неразглашении. Общая стоимость работ по контракту составила 50 млн руб. Всего автоматизированы 120 рабочих мест конструкторов, технологов, расчетчиков и администраторов.
Источник

27/12/2010 10:40 Skype выплатит компенсацию пользователям
Продолжая восстанавливать работу, руководство Skype объявило о намерении выплатить некоторым пользователям сервиса компенсацию в виде купонов. Российские пользователи также могут рассчитывать на эти выплаты. Skype выплатит компенсацию владельцам аккаунтов, пользующихся платными услугами сервиса, в виде купонов Skype Credit. Об этом в официальном блоге сообщил главный исполнительный директор компании Тони Бейтс (Tony Bates). Он, однако, не добавил, когда можно будет рассчитывать на эти выплаты. Представитель Skype в России Арсений Расторгуев подтвердил CNews, что руководство компании планирует предоставить пользователям компенсацию за простой сервиса, но тоже не смог сообщить подробностей, сказав, что они появятся через один-два дня. Согласно последнему официальному сообщению, касающегося недавнего сбоя, к настоящему моменту восстановлены функции передачи звука, видео и мгновенных сообщений. В последнюю очередь в компании планировали восстановить групповые видеозвонки. Сообщение о том, что инженеры работают над восстановлением этой функции, было опубликовано в пятницу, 24 декабря. Новых сообщений после этого не поступало. Напомним, что самый популярный в мире сервис интернет-телефонии перестал функционировать вечером 22 декабря. Ночью 23 декабря компания официально подтвердила наличие проблемы и сообщила о том, что приступила к ее решению. К вечеру команда Skype доложила, что в онлайн вернулось более 10 млн пользователей. Тем не менее, у некоторых пользователей сервиса связь отсутствовала более 48 часов.
Источник

27/12/2010 10:55 «Мегафон» не расплатился за московские частоты
Выплаты $9,45 млн за помощь в получении дополнительных частот в Москве требует ООО НРТБ от «Мегафона». Ранее в ГУВД было направлено заявление о том, что компания с аналогичным названием – ЗАО НРТБ - собиралась получить от «Мегафона» те же $9,5 млн и потратить их на выплату «благодарностей» чиновникам. ООО «Национальное радиотехническое бюро» (НРТБ) обратилось в суд против «Мегафона» с требованием выплатить $9,45 млн. Иск зарегистрирован в Арбитражном суде Москвы. 20 января текущего года стороны заключили договор, в соответствие с которым НРТБ в интересах истца должно было провести работы по снятию пространственно-энергетических ограничений и высвобождению дополнительного радиочастотного спектра в Москве. Как сказало в иске, копия которого имеется в распоряжении CNews, работы были закончены в июне. Благодаря проделанным исследованиям «Мегафон» получил в столице дополнительную полосу частот шириной 4,6 МГц в диапазоне E-GSM (расширенная версия стандарта GSM-900, 880-915 МГц и 925-960 МГц). Соответствующее разрешение было выдано оператору 23 ноября Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций. «Мегафон» должен был оплатить работу тремя траншами, однако последняя, третья часть платежа так и не была переведена, говорится в иске. В результате НРТБ обратилось в суд с требованием выплатить оставшиеся $9,45 млн плюс предусмотренную контрактом неуйстойку в размере 0,1% от суммы транша за каждый день просрочки. Общая сумма контракта, по словам двух знакомых с ситуацией источников, составляет $24 млн. В «Мегафоне» от комментариев отказались.
Подробности

27/12/2010 11:25 ICQ обзавелась поддержкой протокола Mail.Ru Агента
ICQ объявила о выходе новой мобильной версии мессенджера для Java-платформы. Ее ключевая особенность – поддержка протокола Mail.Ru Агента, позволяющая общаться с аудиторией этой программы. Новая ICQ Java создана с использованием наработок мобильных версий Mail.Ru Агента. Благодаря этому в программе появилась поддержка протокола Агента, а также возможность получения уведомлений о новых письмах, пришедших в ящик на Mail.Ru. Более того, в ICQ Java теперь встроен почтовый клиент, позволяющий читать, пересылать и отвечать на письма сразу с нескольких аккаунтов на Mail.Ru. Кроме того, поддержка протокола Jabber в новой ICQ Java позволяет общаться с друзьями из социальной сети «ВКонтакте», мессенджеров LJTalk и «Я.Онлайн». Среди других нововведений стоит отметить возможность хранения и просмотра архива сообщений, расширенный функционал настройки внешнего вида мессенджера, удобный механизм управления контакт-листом и усовершенствованный АнтиСпам-сервис. Новая версия ICQ доступна для установки на популярных мобильных устройствах Nokia, Sony Ericsson, Samsung, LG и многих других. «Будущее коммуникационных проектов, на наш взгляд, во взаимной интеграции и формировании единой среды для общения, в рамках которой пользователи могут не задумываться, с каким конкретно сервисом они работают – почтой, мессенджером или социальной сетью. Новая версия ICQ уникальна не только тем, что полностью отвечает этой современной тенденции – очень важно, что ее богатый функционал доступен именно пользователям мобильного Интернета, который сейчас является одним из самых быстроразвивающихся и востребованных пользователями направлений», - сказал Александр Горный, глава ICQ в России.
Страница загрузки

27/12/2010 12:58 Блогер нашел свои данные в украденной базе Chronopay
Главный редактор и владелец сайта Roem.ru Юрий Синодов обнаружил собственные данные во фрагменте украденной базы Chronopay, который был опубликован неизвестными в интернете. Об этом Синодов написал в своем блоге на LiveJournal. Синодов также по телефону подтвердил достоверность опубликованной информации корреспонденту "Ленты.ру". Информацию о том, что пользователи Chronopay находят свои данные в опубликованных фрагментах базы, подтверждают и пользователи Twitter, например, bobun. Также в ЖЖ появился блог chronofail, который ведется от лица взломщиков. Достоверность этого ресурса пока ничем не подтверждена. Пресс-служба Chronopay категорически опровергла сообщение об утечке персональных данных, объяснив появление новости об этом на своем официальном сайте тем, что некие злоумышленники украли домен chronopay.com. "Данная информация является сфальсифицированной и никакого отношения к работе компании ChronoPay не имеет. В настоящее время возможны перерывы в работе сервиса, связанные с восстановлением регистрации доменного имени. О факте кражи доменного имени были проинформированы соответствующие органы и принимаются необходимые меры в установленном законом порядке", - говорится в заявлении, поступившем в редакцию "Ленты.ру". В сообщении, опубликованном на сайте утром 27 декабря, говорилось о том, что взлом базы хакерами привел "к полной утечке всех имеющихся персональных данных пользователей Хронопей за 2009-2010 годы, включая полные номера кредитных карт и cvv-кодов". На момент написания новости сайт chronopay.com ушел в офлайн.
Источник

28/12/2010 09:17 Утвержден план перехода государственных учреждений РФ на свободное ПО
Председатель Правительства Российской Федерации издал распоряжение №2299-р от 17.12.2010 "О плане перехода федеральных органов исполнительной власти и федеральных бюджетных учреждений на использование свободного программного обеспечения ( 2011 - 2015 годы )". В Распоряжении изложены мероприятия по техническому обеспечению перехода федеральных органов исполнительной власти на использование СПО, мероприятия в сфере образования и развития профессиональных навыков федеральных государственных гражданских служащих, а также мероприятия по организационному обеспечению перехода федеральных органов исполнительной власти на использование СПО.
Распоряжение №2299-р

28/12/2010 09:45 Разработчики выпустили RC-версии операционных систем FreeBSD 7.4 и 8.2
Разработчики популярной открытой операционной системы FreeBSD сегодня сообщили о выходе версий ОС FreeBSD 7.4/8.2RC1, рекомендованной для тестирования и проверки работы программного обеспечения. Выпущенные сборки имеют завершенный функционал и возможности, которые планируется проверить на наличие ошибок и возможностей. Выпущенные версии операционных систем доступны для процессорных архитектур amd64, i386, pc98 и SPARC 64, причем для 8.2RC1 доступна также и версия под ia64 и powerpc. Скачать обе версии систем можно с публичного списка FTP-зеркал проекта FreeBSD. Выход финальных версий ОС запланирован на 31 января 2011 года.
Источник

28/12/2010 11:16 На смартфонах Google к Рождеству стерли все данные
На некоторых смартфонах Google Nexus S после обновления до последней версии прошивки сбросились пользовательские настройки и пропали все установленные приложения. Предполагается, что данная проблема присуща исключительно тестовым образцам устройства. Некоторые пользователи смартфонов Google Nexus S жалуются на то, что после обновления до последней версии прошивки, Android 2.3.1, выпущенной к Рождеству, с устройств пропали персональные настройки и данные. Воздержаться от обновления рекомендует журналист британского издания Guardian Чарльз Артур (Charles Arthur). Он рассказал, что после установки патча сбросились настройки почты, камеры, рабочего стола и исчезли все скачанные приложения, в том числе платные, отметив с сарказмом, что хотя бы данные на SIM-карте остались целы. О проблеме на форуме Google сообщила американский фотограф Анна Куперберг (Anna Kuperberg). По ее словам, новый Nexus S был приобретен ею взамен iPhone. Она не отмечает, что устройство было передано ей в целях тестирования. «С iPhone было просто. Я подключала телефон к компьютеру и перед каждым обновлением создавалась резервная копия. Было бы странно, если бы в Android не было такой возможности», - заметила она. Android позволяет создавать резервные копии приложений, но делает это в «облаке» - на сервере Google. Такая возможность появилась в версии 2.2 платформы. Для того, чтобы избежать подобных проблем, владельцам аппарата рекомендуется воспользоваться либо этой функцией, либо сторонним сервисом синхронизации, таким как AppBrain. По словам редактора журнала What Mobile Джонатана Морриса (Jonathan Morris), который принял участие в дискуссии в Twitter, проблема присуща выданным журналистам тестовым образцам устройства, которые при перезагрузке уходят в режим Bootloader. По его словам, с приобретенными в рознице аппаратами все должно быть нормально. Прошивка 2.3.1 вышла 23 декабря и предназначалась для устранения ряда критических ошибок. Кроме того, она включила новую версию Google Maps. Это обновление размером всего около 2 МБ стало одним из самых маленьких в истории платформы. Напомним, что Nexus S стал вторым смартфоном Google и первым устройстом на базе Android 2.3 (Gingerbread). В России новинка появится в феврале 2011 г.
Источник

28/12/2010 11:47 Хакерам не удалось взломать защиту CodeMeter
Компания Rainbow Security, российский дистрибьютор в области информационной безопасности, сообщила о том, что ни один из участников «Хакерского чемпионата 2010», проводившегося в Китае, не смог получить приз в полмиллиона рублей от компании Wibu-Systems за взлом аппаратного ключа защиты CodeMeter. На участие в чемпионате было подано 128 официальных заявок. Среди зарегистрировавшихся участников были крупные разработчики программного обеспечения, студенты технических институтов, профессоры, ведущие профессионалы хай-тек индустрии и известные хакерские группы Китая, говорится в сообщении Rainbow Security. Основной задачей «Хакерского чемпионата» был взлом приложения, защищённого системой CodeMeter, таким образом, чтобы его можно было запустить без соответствующего аппаратного ключа защиты CmStick. Всем зарегистрировавшимся бесплатно предоставлялись приложение и аппаратный ключ CodeMeter CmStick. На решение поставленной задачи отводилось четыре недели. Примечательно, что за месяц проведения чемпионата никто не смог предложить готового решения по взлому системы CodeMeter. Большинство участников попали в ловушку при попытке поэтапного обхода встроенного в защиту CodeMeter функционала обнаружения и блокировки незаконного вторжения в работу (отладчиков, декомпиляторов и т.д.). После неудачного «скрытия» реализуемой атаки ключи CmStick оказывались заблокированными на физическом уровне. Последующие попытки взлома акцентировались на «брутфорс» атаках (от английского brute force – «грубая сила», перебор всех возможных комбинаций) алгоритма AES, которые, в конечном итоге, ни к чему не привели. Ряд участников, не сумевших преодолеть защиту, сконцентрировались на анализе и обнаружении уязвимостей, впоследствии предоставив уникальный набор потенциально реализуемых методов использования подобных недостатков системы. Результат работы хакеров и взломщиков в данном направлении был предложен техническим специалистам Wibu-Systems в виде интересных решений по обнаружению уязвимостей, ранее не замеченных разработчиками, отметили в Rainbow Security.
Подробности

29/12/2010 00:42 Путину показали российский аналог iPhone 4
Вице-премьер Сергей Иванов и глава АФК "Система" Владимир Евтушенков представили председателю правительства РФ Владимиру Путину мобильный телефон российского производства, оборудованный двойной системой навигации ГЛОНАСС-GPS. "Это первый в мире телефон с чипом ГЛОНАСС-GPS. Он соответствует iPhone 4", - заявил Евтушенков. Отличием отечественной модели от телефона компании Apple глава АФК "Система" назвал двойную навигационную систему. Он особо отметил, что чип российского телефона сделан по 90-нанометровому технологическому процессу, что соответствует "европейскому уровню". По его словам, это первый российский чип, изготовленный по данной технологии. Продажи нового телефона, разработанного совместно компаниями "Ситроникс", Qualcomm и ZTE, начнутся 1 марта следующего года. Аппарат будет стоить 10 990 рублей. Отмечается, что серийное производство российского телефона будет налажено во второй половине 2011 года. Также в ходе беседы Владимир Евтушенков сообщил, что в 2011 году Россия начнет производство чипов по процессу 45-65 нанометров, который считается более современным. Как добавил Сергей Иванов, "такой размер в основном идет в оборону".
Отметим, что крупнейшие мировые производители процессоров, такие как Intel и AMD, представили чипы на основе 90-нанометрового процесса в 2004 году. Серийные процессоры Intel на основе 45-нанометрового процесса были представлены в ноябре 2007 года. По данным компании Chipworks, специализирующейся на анализе электронных систем, процессор iPhone 4 производится фирмой Samsung по 45-нанометровому процессу. Также напомним, что телефоны компании Apple подвержены дефекту, связанным с расположением антенны сотовой связи. В представленном российском аналоге iPhone 4, кроме антенны сотовой связи, в корпусе необходимо разместить приемное устройство системы ГЛОНАСС, очень интересно, чем пожертвовали разработчики для реализации этой функции. Кроме того, модули ГЛОНАСС пока не обладают полной функциональностью, в лучшем случае рабочая группировка спутников ГЛОНАСС будет реализована лишь к концу 2011 года, но уже весной 2011 года пользователи российского аналога iPhone смогут ощутить на себе взрывной эффект от применения навигационной системы ГЛОНАСС.
Источник

29/12/2010 09:48 Опытную сеть LTE будет строить близкая к Минобороны компания
Компания "Основа телеком" получила разрешение на строительство опытной сети связи четвертого поколения по стандарту LTE. Об этом заявил заместитель руководителя Минкомсвязи Наум Мардер, передает РИА Новости. Соответствующее разрешение было выдано по итогам заседания государственной комиссии по радиочастотам (ГКРЧ), прошедшего 28 декабря. Ранее сообщалось, что на этом заседании может быть объявлено о передаче "Основе телеком" спектра частот в диапазоне 2,3-2,4 гигагерца для развертывания сетей LTE. Мардер уточнил, что пока ГКРЧ не планирует проводить дополнительные конкурсы по раздаче частот для сетей LTE. Вначале организация намеревается дождаться результатов тестирования сети "Основы телеком". Предполагается, что сеть "Основы телеком" будет иметь двойное (гражданское и военное) назначение. При этом решение о том, в каких регионах будут развернуты опытные сети будет принято министерством обороны. Чиновник не исключил, что по итогам тестирования результаты конкурсов по распределению частот под сети 4G, состоявшиеся в начале 2010 года, могут быть отменены. Напомним, что тогда победителями конкурсов в большинстве регионов стали дочерние структуры "Связьинвеста". 25,1 процента акций "Основы телеком" принадлежат компании "Воентелеком", принадлежащей Минобороны РФ. Оставшимися акциями владеет компания "Айкоминвест". В июле представители "большой тройки" сотовых операторов написали письмо Владимиру Путину, в котором попросили главу правительства не отдавать частоты под сети 4G компаниям-новичкам. В конце августа компания "Скартел" (бренд Yota) запустила пилотную сеть стандарта LTE в Казани. Через день компания была вынуждена закрыть сеть по предписанию Минкомсвязи.
Источник

29/12/2010 10:07 Хакеры похитили устаревшую базу данных с сайта Mozilla
В Mozilla Foundation сообщили, что база данных с неактивными именами пользователей и паролями была получена злоумышленниками и размещена в открытом доступе в интернете. Сообщается, что база была размещена в свободном доступе ранее в этом месяце. Согласно сообщению компании, база содержала 44 000 неактивных пользовательских аккаунта, прежде использованных на сайте addons.mozilla.org. Кис Лион, директор Mozilla по инфраструктурной безопасности, в блоге Mozilla сообщил, что имевший место инцидент с утечкой базы, конечно, неприятен для компании, но по факту он представляет минимальный риск для пользователей, так как большинство информации - это устаревшие данные, кроме того, Mozilla удалила все пароли, что были зашифрованы и оказались в руках организаторов утечки. "Нынешние пользователи addons.mozilla.org не подвержены утечке, так как Mozilla сменила программное обеспечение и алгоритмы шифрованная в апреле 2009 года", - говорит Лион. По его словам, о факт утечки стало известно 17 декабря, когда ряд пользователей-добровольцев обнаружили проблемы и позже были установлены факты распространения баз данных. Оповещать пользователей Mozilla начала 27 декабря.
Источник

30/12/2010 09:57 Продемонстрирована реальность перехвата GSM-переговоров
На конференции Chaos Computer Congress продемонстрирована техника подслушивания переговоров по GSM-сети, используя лишь обычный ноутбук и дешевый телефон Motorola за 15 долларов, сообщает opennet.ru. Методы перехвата публиковались и ранее, но для их реализации требовалась покупка специализированного оборудования, стоимостью минимум $1500 (по другим данным - $5000). Год назад, была продемонстрирована возможность расшифровки данных в сетях GSM, использующих 64-разрядные шифры A5/1. В то время представители сотовых сетей заявили, что метод представляет лишь теоретический интерес, так как требует подбора специального оборудования, организации корректного перехвата и выделения нужного шифрованного сигнального канала из достаточно насыщенного эфира. Энтузиасты опровергли подобное мнение и преодолели возникшие на их пути трудности. В частности, за год в рамках проекта OsmocomBB удалось разработать свободный GSM-стек для мобильных телефонов, который позволяет полностью контролировать процесс передачи данных. Используя для перехвата телефон с прошитым GSB-стеком OsmocomBB в рамках конференции за несколько минут была продемонстрирована запись телефонного звонка одного участника конференции другому. Техника определения приблизительного местоположения телефона (прослушивание GSM-эфира должно производиться в пределах досигаемости базовой станции, с которой взаимодействует телефон жертвы) построена на основании анализа служебного GSM-трафика, определяющего маршрут доставки данных, после отправки жертве поврежденного или пустого SMS-сообщения, которое не отображается на телефоне получателя. Для выделения нужного потока для перехвата также используется отправка пустого SMS с последующим выявлением случайного идентификатора сессии путем сниффинга. После того как удалось выявить нужный поток, остается решить вопрос его расшифровки. Используя особенность заполнения пустых областей в периодически отправляемых проверочных пакетах, используемых для определения активности абонента, с большой долей вероятности можно предсказать содержимое текста в зашифрованных идентификационных сообщениях, что в комбинации с ранее сформированной двухтерабайтной таблицей предгенерированных ключей шифрования, позволяет подобрать используемый для шифрования GSM-сессии секретный ключ примерно за 20 секунд. Так как большинство сотовых операторов используют один и тот же сессионный ключ и для других сессий, не представляет проблем расшифровать перехваченный в процессе отправки пустого SMS ключом следующий телефонный звонок. По утверждению участвовавшего в разработке эксперта, чем больше удается узнать о GSM, тем более незащищенной выглядит данная технология. GSM напоминает компьютеры в сети начала 90-х годов, когда люди совершенно не задумывались о вопросах безопасности. Представленный метод перехвата использует тривиальные недоработки, которые могут быть легко устранены. Например, для защиты операторам достаточно усложнить доступ к информации о маршрутизации между узлами своей сети, использовать разные ключи шифрования для каждой новой абонентской сессии и заполнять пустые блоки в пакетах не нулями, а случайным набором данных. Например, в стандарте 3G данные недоработки уже устранены и он способен обеспечить защиту от представленной техники перехвата.
Подробности

30/12/2010 10:19 Энтузиастам удалось обойти проверку цифровой подписи в Sony Playstation 3
На проходящей в Берлине конференции Chaos Communication Congress анонсирован новый способ обхода защиты, мешающей установке альтернативных операционных систем и приложений на приставке Sony Playstation 3, сообщает opennet.ru. В отличие от ранее разработанных методов, эксплуатирующих отдельные уязвимости определенных версий прошивок, новый метод основан на обходе механизма проверки цифровой подписи (удалось подобрать мастер-ключ для формирования цифровой подписи), что значительно усложняет блокирование обнаруженной лазейки компанией Sony. В настоящий момент представлен лишь прототип эксплоита, доступный для конечных пользователей пакет для замены прошивки будет опубликован в январе на сайте fail0verflow.com, при этом для установки прошивки не потребуется задействования сторонних устройств. Пакет сможет формировать для сторонних прошивок и приложений валидные цифровые подписи. Чтобы блокировать возможность установки таких программ, компании Sony придется обновить закрытый мастер-ключ, что нереально, так как вызовет потерю совместимости с уже выпущенными для приставок PS3 играми.
Источник

30/12/2010 10:51 Хакеры похитили базу с записями о 2 млн клиентах Honda
Японский автопроизводитель Honda Motor сообщил о масштабной утечке клиентских данных. Согласно сообщению компании, неизвестные похитили базу данных о почти 2 млн клиентах Honda в США. В базе содержались персональные данные, адреса электронной почты и другие закрытые сведения. Стоит отметить, что накануне о взломе своих ИТ-систем сообщила маркетинговая компания Silverpop Systems, обслуживающая маркетинговые кампании Honda. Несмотря на то, что о прямой связи этих инцидентов открыто не сообщается, многие косвенные факты все-таки на эту связь указывают, тем более, что как рекламный подрядчик Silverpop наверняка владела клиентской базой Honda. Также компания Silverpop обслуживает McDonald's и devianArt, но по этим клиентам пока не сообщается об утечках закрытых данных. Что касается Honda, то здесь были похищены полные имена клиентов, логины и пароли для их входа в закрытый раздел сайта Honda, email-адреса, VIN-номера автомобилей и некоторые другие сведения. По большей части пострадали владельцы автомобилей Honda Accura. В автокомпании говорят, что сейчас заняты оповещением клиентов об инциденте и заявляют, что больше всего их беспокоит масштабная утечка VIN-номеров автомобилей, которые в дальнейшем могут быть "перебиты" на угнанные автомобили. Также в компании заявляют, что сейчас готовят несколько "специальных акций" для пострадавших клиентов и они смогут воспользоваться ими у своего местного автодилера.
Источник

30/12/2010 11:33 Skype представила технические детали глобального сбоя в системе
Представители компании Skype вчера опубликовали данные, объясняющие природу мощнейшего сбоя в популярной системе интернет-телефонии, а кроме того представили сведения, задача которых заключается в том, чтобы убедить пользователей в неповторении подобного в дальнейшем. Напомним, что в прошлый вторник и среду система телефоне Skype вышла из строя по всему миру, в результате чего произошло каскадное отключение командных серверов Skype, а также "суперузлов", отвечающих за коммутацию трафика. Сразу после сбоя компания сообщила, что инженеры Skype работают над устранением проблемы, но тем не менее, полное восстановление заняло почти сутки. Накануне информационный директор Skype Ларс Рабби заявил, что сеть полностью восстановилась и готова обслуживать своих пользователей в полном объеме. Он также отметил, что последний сбой в Skype стал возможен из-за специфической архитектуры системы интернет-телефонии. В блоге компании он говорит, что Skype стала заложницей своей же собственной сетевой архитектуры. Cильная сторона архитектуры Skype заключается в том, что она позволяет системе передавать очень большие объемы трафика в реальном времени, избегая критических нагрузок, но с другой стороны, когда происходит какой-либо сбой в системе, выводящий из строя один или несколько центров коммутации, то остальные "сыпятся" вслед за ними. Технически, пишет Рабби, Skype может выдержать большие нагрузки и отказ любого узла, но только не корневых центров коммутации - "суперузлов". Именно последнее и произошло со Skype на прошлой неделе. По словам представителя компании, нагрузка в сети Skype распределяется по пиринговому принципу, то есть два или более коммутирующих узла могут передавать друг другу данные в случае загрузки. Технически, система строится на базе технологии Global Index, которая также привязана к P2P-технологии. Эта технология позволяет управлять различными функциями "суперузлов" и подчиненных серверов. На прошлой неделе из-за большого потока коротких сообщений некоторые серверы, отвечающие за данный функционал, оказались перегружены, что спровоцировало очереди в доставке сообщений. Некоторые пользователи Skype работали с Windows-клиентом системы 5.0.0152, который имел ошибку, не позволявшую работать с отложенными сообщениями. Таким образом, примерно половина пользователей Skype пользовалась сборной версией, причем 40% пользователей явно столкнулись в данной проблемой. Таким образом, 25-30% суперузлов оказались загружены очередями, которые не могли распознать клиенты. Рабби говорит, что многие пользователи, столкнувшись с одновременным сбоем в системе, начали перезапускать "залогиненные" клиенты, спровоцировав на серверы еще бОльшую нагрузку. Таким образом, в системе получился своего рода информационный коллапс. Сейчас в Skype были установленный суперузлы обновленной конфигурации, обладающие бОльшей емкостью, а кроме того, новая версия создана по принципу "облачного P2P", что теоретически должно добавить отказоустойчивости всей системе.
Источник

30/12/2010 12:12 Щеголев пообещал отобрать неиспользуемые домены .РФ
Доменные имена в зоне .РФ, которые не использовались в течение года после регистрации, будут изыматься у владельцев, - об этом рассказал министр связи и массовых коммуникаций РФ Игорь Щеголев в интервью телеканалу "Россия-24". "Когда мы вводили правила, мы договорились с Координационным центром национального домена сети Интернет, что если кто-то набрал себе лишнего, и через год по адресу ничего не появилось, адреса будут отозваны", - утверждает Щеголев. Правда, заявления Щеголева пока не подтверждаются документально. Так, представители того же RU-CENTER напоминают, что подобное положение в нынешних правилах отсутствует - следовательно, перед "изъятием" потребуется внести определенные изменения в документы. При этом глава КЦ Андрей Колесников сообщил информационному агентству "РИА-Новости", что правила меняться не будут. А пресс-служба Минкомсвязи теперь и вовсе утверждает, что министр имел в виду только домены, которые были зарегистрированы на этапе приоритетной регистрации. Так что RU-CENTER, который в самом начале открытой регистрации зарегистрировал на себя весь словарь русского языка, может не сильно беспокоиться. С другой стороны, и на этапе приоритетной регистрации было немало интересного. Особо предприимчивые ради возможности получить "вкусный" домен специально регистрировали товарные знаки и юридические лица. Например, у небезызвестного ООО "ЦЭТИС", получившего права на товарные знаки "секс", "досуг", "знакомства", "ипотека" и др., имеется 21 домен, из которых используются лишь два. Кстати, ранее "ЦЭТИС" обещал, что сайт секс.рф заработает в полноценном режиме в декабре 2010 года, но, похоже, этому обещанию уже не суждено сбыться. Других "отличившихся", к сожалению, в лицо никто не знает, зато весь Рунет наслышан о доменах порно.рф (зарегистрированный Потребительским Обществом рекреации "Наше Озеро"), книги.рф (принадлежащий Кооперативу независимых исследователей "Городское исскуство") и многих других в том же духе. Могут ли такого рода домены считаться "используемыми", если с ними связаны малоосмысленные одностраничные сайты, - к сожалению, сказать затруднительно. Очевидно, что, помимо регламента изъятия, в соответствующих документах должно быть отражено и само понятие "неиспользуемого" домена. Заметим, что если бы такой регламент уже существовал и был в силе, вышеупомянутому ООО "ЦЭТИС" к настоящему времени пришлось бы расстаться как минимум с 19-ю доменными именами - поскольку с момента их регистрации прошло более года.
Источник

30/12/2010 12:46 Обнаружен первый Android-троян с ботнет-функционалом
В Китае зафиксированы случаи заражения коммуникаторов п/у Android новой вредоносной программой, получившей название Geinimi. Троян прячется внутри платных и бесплатных Android-приложений, распространяющихся через сторонние сайты. Некоторые из этих программ уже загружены не одну тысячу раз. Попав на коммуникатор, Geinimi собирает информацию о пользователе и отправляет её на удалённый сервер. Туда же отсылаются сведения об инфицированном аппарате, в частности данные о сим-карте и номер IMEI. В общей сложности Geinimi может связываться с десятью доменными именами. Специалисты компании Lookout Mobile Security, проанализировавшие поведение трояна, подчёркивают: это первый Android-вирус с ботнет-функционалом. Программа может получать команды от удалённого сервера, например, на загрузку или деинсталляцию ПО. Такие операции потребуют согласия со стороны владельца инфицированного устройства, однако злоумышленники всегда могут рассчитывать на невнимательность пользователей. Не исключено, что при помощи Geinimi киберпреступники испытывают новые способы обмана владельцев смартфонов и захвата контроля над мобильными устройствами.
Источник

30/12/2010 13:55 Основатель Microsoft снова подал в суд на Google и Apple
Компания Пола Аллена, одного из основателей Microsoft, подала повторный иск против крупнейших IT-компаний мира, в том числе Google, Apple, Facebook и Yahoo!. Об этом пишет газета The Seattle Times. В иске Аллен обвиняет компании в нарушении патентов, принадлежащих его бывшей компании Interval Licensing. Эти технологии касаются всплывающих окон в поисковиках, а также в интернет-магазинах. Впервые Аллен подал иск против IT-компаний в августе 2010 года. Помимо перечисленных компаний в иске ответчиками также указывались AOL, YouTube, Netflix, Office Depot, OfficeMax, Staples и eBay. В ноябре суд отклонил иск, заключив, что Аллен не указал в нем, как именно были нарушены патенты Interval Licensing. Вместе с тем суд оставил основателю Microsoft возможность заново подать уточненное исковое заявление в срок до 28 декабря. В иске Аллен требует обязать нарушителей прекратить незаконное использование технологий, а также взыскать с нарушителей компенсацию. Ее сумма пока не называется.
Источник

31/12/2010 20:07 Хакеры обошли защиту Windows Phone 7 приложений
Веб-ресурс WPCentral уведомил компанию Microsoft о существовании серьезных проблем в системе защиты от копирования WP7-приложений. Всего шесть часов ушло у хакеров на то, чтобы написать программу FreeMarketplace. Она позволяет обходить DRM-защиту приложения из Windows Marketplace и буквально в несколько кликов устанавливать его на смартфон под управлением Windows Phone 7. WPCentral подчеркивает, что способ обхода защиты не будет представлен в открытом доступе. Главная цель FreeMarketplace — продемонстрировать Microsoft несовершенство нынешней системы цифровой защиты и необходимость ее доработки, на что ранее указывали разработчики. Комментариев от Microsoft пока не последовало.
Источник

31/12/2010 20:35 Новые форматы SMS способны вызвать сбой на дешевых моделях телефонов
Входящее текстовое сообщение способно вывести из строя сотовый телефон, заявили немецкие исследователи Коллин Муллинер (Collin Mulliner) и Нико Голде (Nico Golde) на конференции 27C3 в Берлине. Муллинер и Голде утверждают, что многие недорогие телефоны без собственной ОС не могут правильно обработать определенные виды сообщений — например, MMS или текстовые сообщения из нескольких частей. Это происходит из-за ошибок в программном обеспечении телефона. Если на телефон приходит SMS, которое он не может обработать, последствия могут быть самыми разными — от временной потери сигнала соты до циклической перезагрузки. К такому выводу исследователи пришли опытным путем. В своей лаборатории они создали модель сети GSM, подключили к ней несколько телефонов разных производителей и разослали на них 120 тыс. SMS. Ошибки при обработке сообщений были зафиксированы в бюджетных аппаратах Samsung, Sony Ericsson, Motorola, LG. Муллинер и Голде предупредили производителей телефонов и сотовых операторов, что обнаруженной ими уязвимостью могут воспользоваться злоумышленники для организации SMS-атак.
Источник

31/12/2010 20:50 Британские банки скрывали информацию об уязвимости пластиковых карт
Торгово-промышленная ассоциация UK Cards Association, представляющая интересы крупнейших в стране банков, попыталась скрыть от общественности результаты исследования, проведенного сотрудниками Кембриджского университета. Ученым удалось доказать, что с помощью электронного устройства, стоимостью в 20 фунтов стерлингов, любой злоумышленник сможет оплачивать покупки краденой банковской картой без указания правильного персонального идентификационного номера (PIN). Система «Chip and PIN», впервые представленная в 2006 году, изначально считалась практически идеальным механизмом защиты от краж. По словам разработчиков системы, банковская карта, попавшая в чужие руки, превращается в бесполезный кусок пластика. Злоумышленник, не знающий PIN-кода, не сможет совершать никаких манипуляций с банковским счетом законного владельца. Однако исследователи из Кембриджа смогли обнаружить уязвимости в системе защиты. Поводом к проведению исследований в данной области стало заявление от одного из клиентов, который заявил о пропаже денег со счета после кражи пластиковой карты. Студент Омар Чудари (Omar Choudary) воспользовался материалами проекта MPhil Project и сконструировал портативное устройство, позволяющее обмануть терминал. С помощью этого небольшого девайса, размером с пачку сигарет, любой желающий сможет воспользоваться чужой пластиковой картой без указания PIN-кода. В процессе испытаний устройства изобретатель приобрел несколько книг и компакт-дисков на сумму 50 фунтов стерлингов и без труда рассчитался за покупки картой, позаимствованной у одного из коллег. Бывший министр финансов Мелани Джонсон (Melanie Johnson), ныне занимающая пост председателя UKCA, попыталась помешать обнародованию компрометирующих материалов. Мисс Джонсон обратилась в университетский пресс-центр с требованием удалить всю информацию об устройстве сайта учебного заведения. По мнению председателя UKCA, опубликованная статья содержит слишком подробную информацию о способах обхода защиты «Chip and PIN», которая может пригодиться преступникам. Однако, профессор Росс Андерсон (Ross Anderson) из Cambrifge Computer Lab отверг предъявленные претензии, посчитав их совершенно необоснованными. «Выбор материалов для публикации не входит в компетенцию PR-департамента, - заявил профессор Андерсон. - Мы также не собираемся подвергать цензуре результаты исследований, проведенных нашими студентами в тех случаях, когда публикуемые материалы не противоречат законам и являются достоянием общественности».
Источник

31/12/2010 20:55 Предложена концепция проведения DDoS-атаки через BitTorrent DHT
На 27-м конгрессе CCC (Chaos Communication Congress) обсуждалась тема DDoS-атак через DHT. Использовать BitTorrent для DDoS умели и раньше: нужно было прописать IP-адрес жертвы в качестве трекера — и он получал множество запросов. Но проблема в том, что для подобного способа нужен популярный торрент. Новая методика экплойта DHT даёт возможность использовать уже существующую сеть пиров. Если вкратце, то алгоритм такой: надо стать популярным пиром в сети, чтобы получать много запросов find_node от соседних пиров. Каждый день миллионы людей скачивают торренты, а в некоторых случаях один и тот же файл качают более 100 000 пользователей одновременно. Такие скопления юзеров вполне естественно привлекают внимания злоумышленников, которые ищут способ применить толпу с пользой. Протокол DHT позволяет обнаруживать новые пиры, скачивающие тот же файл, без обращения к трекеру. Это позволяет продолжать закачку даже в случае падения трекера и удаления изначального торрента. В своей презентации на CCC хакер под ником Astro рассказывает, как работает протокол Kademlia для DHT и почему в нём возможен обман соседних пиров с помощью фальшивых узлов (NodeID). В комментарии для TorrentFreak он объяснил, что «хэширование адресов и схема верификации хороша для старого интернета, но становится практически бесполезной в большом адресном пространстве IPv6». В результате, в сеть пиров можно подсунуть фальшивые «узлы», а пользователи будут участвовать в DDoS-атаке, сами того не замечая. Конечно, практическое использование этого метода можно легко предотвратить. Например, запретить коннектиться к портам ниже 1024-го, где находится большинство критических сервисов.
Источник

31/12/2010 21:07 У Российской академии наук появился суперкомпьютер мощностью 100 терафлопс
Россия обзавелась ещё одним мощным суперкомпьютером — системой К-100, в разработке которой принимали участие специалисты Института прикладной математики имени Мстислава Келдыша и НИИ «Квант». К-100 — это проект Российской академии наук, получившей на его реализацию 65 млн. государственных (общественных) рублей. Суперкомпьютер использует гибридную архитектуру на основе процессоров общего назначения и графических карт (тип которых, увы, не уточняется). Система обладает быстродействием на уровне 100 терафлопс (триллионов операций с плавающей запятой в секунду). В текущем рейтинге мощнейших вычислительных комплексов мира Тор500 суперкомпьютер К-100 мог бы стать лишь 73-м. А лидирует в нём гибридная китайская система Tianhe-1A, которая обладает быстродействием в 2,57 петафлопс (квадриллионов операций с плавающей запятой в секунду). Самый мощный отечественный суперкомпьютер, комплекс «Ломоносов», находился на 17-й строке: его производительность оценивается в 350 терафлопс. Ожидается, что К-100 займётся решением ресурсоёмких задач Института прикладной математики РАН.
Источник

2/01/2011 10:07 Сбой в почтовом сервисе Hotmail стёр письма пользователей
В работе почтового сервиса Hotmail компании Microsoft 1 января произошел сбой. В первый день 2011 года на форуме Microsoft появились многочисленные сообщения от пользователей Hotmail с жалобой на исчезновение всех прочитанных сообщений, хранившихся в их почтовых ящиках. Ряд пользователей почтового сервиса также сообщили, что прочитанные сообщения без их ведома были перемещены из "Входящих" в "Удаленные". Сообщения об исчезновении почты, по состоянию на 02:30 по московскому времени, занимают на форуме 476 страниц. Служба техподдержки Windows Live в ответ на поступившие жалобы распространила в форуме объявление, в котором говорится, что сотрудники Hotmail знают о неполадках и работают над их устранением. В свою очередь, официальный представитель Microsoft Кэтрин Брукер (Catherine Brooker) в субботу также признала факт некорректной работы почтового клиента, однако подчеркнула, что с неполадками столкнулось "лишь незначительное число пользователей". От дальнейших комментариев Брукер воздержалась, не став, в частности, выдвигать какие-либо версии происшествия. По данным на конец 2010 года, у Hotmail было около 360 миллионов пользователей, что делало его самым популярным в мире почтовым сервисом.
Источник

2/01/2011 11:09 Система аудита cross_fuzz выявила более 100 ошибок в различных веб-браузерах
После полугода с момента создания был представлен публичный релиз инструмента аудита безопасности "cross_fuzz", который призван находить ошибки в веб-браузерах. Cross_fuzz выявляет проблемы путём создания чрезвычайно длинных последовательностей DOM-операций, которые затрагивают несколько документов одновременно, при этом проверяя возвращаемые объекты, рекурсивно используя их и создавая круговые зависимости, анализируя способности веб-браузеров по правильному и эффективному освобождению памяти для более не используемых объектов. Код утилиты написан с использованием HTML/JavaScript. С помощью cross_fuzz было найдено более 100 ошибок во всех популярных веб-браузерах, включая Internet Explorer, Mozilla Firefox, Opera и веб-браузерах, работающих на основе движка WebKit. Как утверждают разработчики, несмотря на разосланные уведомления производителям веб-браузеров о найденных ошибках, многие уязвимости все еще остаются открытыми и могут использоваться для проведения эффективных атак по заражению компьютеров пользователей.
Источник

2/01/2011 11:56 Китай запретил Skype
Министерство промышленности и информационных технологий Китая выпустило постановление, которое объявляет вне закона все компании, предоставляющие услуги VoIP-телефонии, помимо China Telecom и China Unicom, сообщает People's Daily. Предполагается, что в результате данной меры самая популярная в мире служба интернет-телефонии Skype и ее аналоги могут оказаться недоступными для жителей материковой части Китая. Сроки вступления документа в силу министерство не уточняет. Решение уже вызвало волну критики в средствах массовой информации, поскольку оно фактически предоставляет полную свободу действий двум государственным операторам, то есть создает монополию. По информации, полученной «РИА Новости» от респондента на территории Китая, запрет пока не отразился на работоспособности сервиса Skype в стране. С сентября 2007 г. услуги пользователям компания Skype предоставляет совместно с гонконгской фирмой TOM Online. В ней также сообщили, что служба работает в обычном режиме. Между тем, некоторые китайские пользователи Skype уже пожаловались в микроблогах Twitter, что не могут скачать программу с сайта Skype.tom.com, сообщает The Telegraph. В Китае под полным или частичным запретом уже находится ряд популярных интернет-ресурсов - социальная сеть Facebook, сервис микроблогов Twitter и видеохостинг YouTube. Однако многие жители страны пользуются сервисами в обход государственного запрета. По сообщению Associated Press, китайское правительство выделило несколько «горячих» телефонных линий, по которым жители Поднебесной могут сообщить о нарушении нового закона. Таким образом, регуляторы демонстрируют полную готовность защищать местный рынок от конкуренции. Для справки, стоимость звонка из Китая в Японию или Южную Корею составляет около 3,99 юаня (60 центов) в минуту, по сравнению с 10 центами в минуту при звонках через Skype или вовсе отсутствием платы, если соединение осуществляется между пользователями системы.
Источник


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru