uinC NewsLetter #01, 2011


Приветствуем!

Новости из Security Мира

3/01/2011 10:12 Франция вводит михалковский оброк на планшеты без Windows
14 января 2011 г. налог на копирование во Франции может быть распространен на планшеты и приемники GPS. Для многих видов гаджетов и носителей ставка налога возрастет, но при этом не затронет планшеты, работающие на Windows. Французский налог «на копирование для личных нужд» 14 января 2011 г. может быть распространен на планшеты. Если закон пройдет второе слушание в парламенте, то, по замыслу французского законодателя, налог для гаджетов с объемом памяти более 40 ГБ составит 12 евро. Интересно, что во Франции налог в новом виде не будет распространяться на планшеты, работающие под управлением Windows. В своей нынешней формулировке он предназначен для устройств, «снабженных операционной системой для мобильных терминалов или собственной операционной системой». Это определение хорошо подходит для iPad и планшетов на Android, но не касается Windows, которая была разработана не специально для планшетов, а для ПК. «Они серьезно думают, что планшеты под Windows хуже предназначены для копирования, чем планшеты под Android?» - интересуется Анри Кроха (Henri Crohas), основатель и гендиректор компании Archos. Если 14 января слушания о законе на копирование пройдут успешно, то французский производитель планшетов, аудио- и видеоплееров Archos поддержит иск к Государственному совету Франции, который уже выдвинул местный профсоюз производителей бытовой электроники Simavelec. Как ожидается, помимо «планшетов не на Windows» действие закона на копирование в январе будет расширено на GPS-приемники и автомобильные магнитолы, с возможностью хранения данных. На некоторые устройства ставка налога будет повышена. Так, например, для жесткого диска объемом 2 ТБ налог увеличится с 23,92 до 38,27 евро, то есть повысится на 60%. Французское издание Numerama указывает, что для некоторых видов устройств правообладатели просили увеличить ставку налога на 800%. В 2007 и 2008 г. французские правообладатели уже планировали провести через парламент и правительство повышение ставки налога, подобное тому, которое ожидается 14 января 2011 г. Руководитель Archos Анри Кроха утверждает, что если бы их планы осуществились, то выплаты его компании составили бы 3 млн евро при обороте 58 млн евро. Налог на личное копирование в Европе напоминает компенсационный авторский сбор, который в отечественной практике появился в 2010 г. по инициативе Росохранкультуры. Он взимается при продаже или импорте устройств с возможностью копирования аудио- видеопроизведений или носителей аудиовизуальной информации. В России право его сбора передано Российскому союзу правообладателей во главе с Никитой Михалковым.
Источник

4/01/2011 09:27 По данным StatCounter Firefox стал самым популярным браузером в Европе
По данным ресурса StatCounter, осуществляющего мониторинг использования web-браузеров, Firefox в декабре 2010 года отвоевал 38.11% (год назад 40.8%) европейского рынка web-браузеров, обогнав по популярности Internet Explorer, занимающего 37.52% (44.84) рынка. Google Chrome в Европе занимает 14.58% рынка, при том, что в декабре 2009 года его доля составляла всего 5.06%. В России Firefox (33.22%) идет почти вровень с браузером Opera (31.51%), в то время как Internet Explorer предпочитает всего 21.81% пользователей, а Google Chrome - 11.33%. В США лидером пока остается Internet Explorer (48.27%), доля Firefox составляет 26.93%, Chrome - 12.44%, Safari - 10.95% , а Opera - 0.57%. Что касается общемировой доли, то Firefox отвоевал 30.76% (год назад 31.97%), Microsoft Internet Explorer занимает 46.94% (55.72%), Chrome - 14.85% (5.45), Opera - 2.07% (2.06). Как видно из представленной статистики, за 2010 браузер Google Chrome утроил свое присутствие на рынке, главным образом за счет Internet Explorer. Напомним, что основными пользователями веб-браузера Internet Explorer и его модификаций являются китацы, это обеспечивает Internet Explorer лидертво в мировом рейтинге браузеров.
Подробности статистики

4/01/2011 10:20 AMD выпустила гибридные процессоры Fusion
Компания AMD представила гибридные компьютерные процессоры Fusion. Эти процессоры сочетают возможности обычных чипов и графических процессоров (видеокарт), сообщается в официальном пресс-релизе. Компьютерный и графический процессоры во Fusion располагаются на одном кристалле. При этом чип поддерживает интерфейс DirectX 11, имеет встроенный модуль для воспроизведения HD-видеороликов. Ожидается, что благодаря использованию новых процессоров производителям удастся увеличить время автономной работы устройств по сравнению с нынешним поколением чипов. Как заявила AMD, первые устройства на базе Fusion появятся в первом квартале 2011 года. Всего будет представлено несколько линеек Fusion - для компьютеров, ноутбуков, нетбуков и планшетов. В частности, компания анонсировала два семейства гибридных процессоров: семейство C с энергопотреблением 9 ватт и E, потребляющее 18 ватт. В обе линейки вошли по одному одно- и двухъядерному процессору. Впервые чип Fusion был продемонстрирован в июне 2010 года. Тогда AMD показала компьютер, собранный на его базе. При этом уточнялось, что сами чипы будут официально представлены в 2011 году. Их стоимость пока не называется. AMD является вторым по величине производителем компьютерных процессоров после Intel. Компания готовила выход Fusion с 2006 года, и несколько раз переносила выход гибридных процессоров.
Источник

4/01/2011 11:33 В Германии и США полиция провела обыски у ряда провайдеров
Правоохранительные органы в Германии и США провели серию обысков у нескольких крупных интернет-провайдеров с целью получения доказательств действий хакеров, которые недавно организовали DDOS-атаки на сайты PayPal, Visa и MasterCard. Известно, что как минимум в ФБР США выработан комплексный план расследования и здесь надеются найти администраторов машин, где хакеры обсуждали действия, связанные с атаками на различные сайты. По сведениями, опубликованным Германской Федеральной полицией, самые масштабные обыски были проведены у провайдера Host Europe, а также на площадках, где располагались IRC-серверы провайдера Tailor Made Services в Далласе (США). Часть мероприятий, связанных с поиском хакеров, проводились у калифорнийского провайдера Hurricane Electric. На сегодня представители всех озвученных компаний пока отказываются от комментариев и не сообщают о результатах полицейских визитов. Напомним, что в первых числах декабря в рамках серии атак Operation Payback были проведены нападения на сайты, отказавшиеся работать с ресурсом Wikileaks, задуманные с целью оказания давления на эти компании. По официальным данным, за Operation Payback стоит некая хакерская группировка Anonymous. Однако по последней информации, эта же группировка организовала атаки и на ресурсы, которые не были связаны с Wikileaks. Это, в частности, сайты отраслевой организации Motion Picture Association of America, американской Церкви Сайентологии и некоторых других. Атаки, проводимые Anonymous, были достаточно сильными, но реальный ущерб от них был минимальным. Атаки были направлены на блокирование доступа к сайтам, но они не имели своей целью уничтожение какой-либо информации. Кроме того из-за данных атак, а также того факта, что Anonymous выступали в поддержку Wikileaks, группировка получила широкую огласку и общественную поддержку.
Источник

5/01/2011 10:59 Intel представит 29 новых процессоров
Корпорация Intel выпустит в общей сложности 29 новых процессоров, построенных на архитектуре Sandy Bridge. Слайды из корпоративной презентации Intel, в которой описана новая линейка чипов Intel Core, опубликовал техноблог Engadget. Данные об обновлении линейки чипов Intel появились до официальной презентации. Ожидается, что само мероприятие, на котором Intel расскажет о новинках, пройдет в рамках выставки CES 2011, открывающейся в Лас-Вегасе 6 января. Исходя из информации, содержащейся в слайдах, Intel обновит все три линейки процессоров для ноутбуков и компьютеров - Core i3, i5 и i7. Процессоры будут оснащаться новой графической подсистемой (HD2000 или HD3000). При этом сам чип, контроллер памяти и графическая система будут располагаться на одном кристалле. Всего Intel выпустит четыре новых чипа в линейке Core i3, по 12 процессоров Core i5 и Core i7, а также один процессор Core i7 Extreme Edition для ноутбуков. По данным интернет-издания Computer Base, самый производительный процессор для ноутбуков будет продаваться по цене 1096 долларов. Цены на "десктопные" процессоры составят от 117 до 317 долларов. Ожидается, что новая линейка процессоров, известная как "второе поколение Intel Core" поступит в продажу в первом квартале 2011 года. Эти процессоры используют новый тип разъема для материнской платы LGA 1155.
Источник

5/01/2011 12:03 Во время конгресса 27C3 была организована работа GSM-сети на базе свободного ПО
На прошедшей в Берлине конференции Chaos Communication Congress группа энтузиастов при участии Харальда Вельте организовала работу GSM-сети, основанной только на открытых компонентах, сообщает opennet.ru. В отличие от ранее проводимых экспериментов, пользователям была предоставлена не только возможность совершения и приема звонков/SMS, но и был обеспечен выход в интернет через GPRS и EDGE. Сеть была построена с использованием 6 базовых станций, выполненных на основе модулей nanoBTS. Подсоединение с внешней телефонной сетью было произведено через E1 / DSS1 поток, предоставленный немецким оператором Eventphone. Модули nanoBTS были объединены в единую сеть через контроллер базовых станций, построенный на базе обычного компьютера с Linux и установленным стеком OpenBSC. OpenBSC представляет собой программную реализацию минимального набора архитектурных элементов GSM сетей - BSC (Base Station Controller), MSC (Mobile Switching Center), HLR (Home Location Register). Работа GPRS была организована при помощи программного обеспечения OsmoSGSN. Сеть была организована официально, для чего на время проведения эксперимента в немецком комитете по надзору за связью была получена временная лицензия, закрепляющая за сетью определенный диапазон частот (1800 MHz) и допускающая мощность передатчика 200 mW (23dBm). Для тестирования работы сети, все посетители конференции имели возможность приобрести SIM-карту за символическую плату 2 Евро (все доступные в сети сервисы предоставлялись бесплатно). С графиками загрузки сети во время эксперимента можно познакомиться на данной странице (суммарная ёмкость сети - 45 таймслотов). Кроме тестирования обеспечивающих работу GSM-сети компонентов, целью развертывания сети также была отладка свободного GSM-стека для мобильных телефонов OsmocomBB, а также эксперименты с перехватом трафика и определением ключей шифрования, проводимые с использованием таких инструментов, как airprobe и Kraken, без опасения нанести ущерб реальному оператору связи.
Источник

5/01/2011 16:54 Google создаст платформу для бесконтактных платежей NFC
Компания Google разрабатывает собственную платформу для бесконтактных платежей NFC (Near Field Communication), которая позволит использовать мобильный телефон в качестве бесконтактной платежной карты. По данным от источников BusinessWeek, знакомых с планами компании Google, платформа будет запущена в течение 2011 года. Платформа позволит пользователям оплачивать товары и услуги с помощью мобильного телефона - для осуществления покупки телефон, оснащенный чипом NFC, нужно просто поднести к специальному считывающему устройству, и средства будут списаны с мобильного счета пользователя. Разрабатывая платформу для бесконтактных платежей NFC, Google рассчитывает выйти на рынок, на который уже претендует сразу несколько крупных игроков. По данным Bloomberg BusinessWeek, крупнейшие американские сотовые операторы Verizon Wireless, AT&T и T-Mobile USA планируют запустить совместную NFC-платформу Isis к 2012 году. В компании Visa запуск платформы для бесконтактных платежей намечен на середину 2011 года. NFC-платформа платежной системы PayPal будет запущена во второй половине 2011 года. По мнению издания, у Google хорошие шансы занять выгодную позицию на рынке NFC, поскольку большое количество представителей бизнеса и простых пользователей уже широко используют другие технологии этой компании. Сама Google заранее провела подготовку к выходу на рынок бесконтактных мобильных платежей: в 2010 году компания приобрела канадский стартап Zetawire и компанию Corduro. Деятельность обеих компаний связана с разработками в области мобильных платежей. В начале декабря 2010 года в американском городе Портленд компания Google проводила тестирование рекламной платформы Hotpot, использующей возможности NFC: на витринах магазинов, кафе и ресторанов, участвовавших в тестировании, размещались специальные наклейки, оснащенные считывающим устройством. Владельцы смартфонов, оснащенных модулем NFC, могли поднести свои телефоны к наклейкам и получить дополнительную информацию о заведении прямо на экран телефона. Немного позже, в середине декабря 2010 года, компания представила смартфон Google Nexus S, а также мобильную операционную систему Android 2.3 (Gingerbread), поддерживающие технологию NFC. Помимо Google собственные разработки в области технологии NFC ведет компания Apple: в середине августа стало известно, что компания наняла Бенджамина Вижье (Benjamin Vigier), специалиста, имеющего шестилетний опыт работы с технологией NFC. В России так же ведутся разработки в этой области: в ноябре 2010 года все три мобильных оператора "Большой тройки" начали тестирование собственных бесконтактных систем оплаты.
Источник

5/01/2011 17:06 Microsoft предупреждает о новой уязвимости в ОС Windows
Корпорация Microsoft сегодня опубликовала экстренное предупреждение об обнаружении ранее неизвестной уязвимости в операционной системе Windows. В компании подчеркивают, что для новой уязвимости уже существует эксплоит, который активно распространяется в Интернет. По словам представителей компании, именно факт наличия эксплоита побудил их опубликовать предупреждение, а также сообщить, что Microsoft уже работает над проблемой. Обнаруженной уязвимости подвержена система Windows Graphic Rendering Engine (shimgvw.dll), предназначенная для создания миниатюры предпросмотра содержимого мультимедиа данных в контексте файлового менеджера ОС семейства Windows. Используя эту уязвимость, атакующий при помощи специально сгенерированного кода может выполнить в системе действия с полномочиями работающего в данный момент пользователя. Выпущенный Security Advisory 2490606 описывает уязвимость в Microsoft Windows Graphics Rendering Engine в операционных системах Windows Vista, Server 2003 и Windows XP. Уязвимость не касается Windows 7 или Windws Server 2008 R2. В бюллетене говорится, что для того, чтобы достичь своей цели атакующий должен разместить код в файле Word или PowerPoint и каким-либо способом передать его пользователю, тогда как сам пользователь должен в данный момент находиться в системе и открыть от имени своей учетной записи полученный файл. В Microsoft говорят, что корпорация уже работает над соответствующим исправлением и надеется включить его в запланированный на 11 января выпуск ежемесячного набора обновлений для продуктов компании. Для временного устранения уязвимости рекомендуется ограничить права доступа к файлу "shimgvw.dll".
Источник

6/01/2011 10:37 Motorola представила конкурента iPad
Компания Motorola Mobility представила на выставке в Лас-Вегасе новый планшетный компьютер, получивший название Xoom. Об этом сообщает Bloomberg. Устройство основано на двухъядерном процессоре и оснащено экраном с диагональю 10,1 дюйма. Xoom будет использовать операционную систему Android 3.0 Honeycomb, разработанную Google Inc. Отметим, что в сентябре 2010 года компания Samsung выпустила в продажу планшетник Galaxy Tab, который также использует в качестве операционной системы Android. Однако устройство Motorola Mobility будет работать с обновленной версией программного обеспечения. Предполагается, что Xoom поступит в продажу в первом квартале 2011 года. Разработчики пока не уточняют, сколько будет стоить их устройство. По мнению специалистов, цена Xoom не должна превышать 500 долларов, чтобы планшет мог конкурировать на рынке с другими подобными устройствами - например, с портативным компьютером iPad компании Apple. 4 января 2011 года Motorola разделилась на две компании - Motorola Mobility и Motorola Solutions. Первая специализируется на мобильных устройствах, вторая - на телекоммуникационном оборудовании. Компания готовилась к разделению на протяжении последних трех лет.
Источник

6/01/2011 11:24 DoS-уязвимость в PHP
В интерпретаторе PHP версий 5.2 и 5.3 была обнаружена довольно странная ошибка: при обработке некоторых числовых значений (в частности, 2.2250738585072011e-308) интерпретатор зависал (достаточно выполнить "$a = 2.2250738585072011e-308;" или "$a = '2.2250738585072011e-308'; echo $a + 0;"), сообщает opennet.ru. Как показали дальнейшие исследования, такое поведение интерпретатора вызвано наличием ошибки округления, порождающей бесконечный цикл при попытке преобразования строки в число. Что характерно, сходные аномалии при операциях с вещественными значениями были замечены при работе с gcc еще в 2000 году. Однако, стоит подчеркнуть, что корень ошибки кроется не в конкретной реализации компилятора, а в некорректной работе процессоров архитектуры x86 с вещественными 64-битными типами данных, при задействовании набора инструкций x87. На других архитектурах, включая x86_64, данная ошибка не возникает (в x86_64 вместо x87 используются инструкции SSE2). Возникшая в результате этой ошибки DoS-уязвимость PHP может быть задействована удаленно — достаточно передать «магическое число» в качестве значения параметра, с которым в коде производятся какие-либо арифметические операции (в виде обычной стоки такое число, естественно, угрозы не представляет — проблема возникает при преобразовании этой строки в число). Кроме числа 2.2250738585072011e-308, подобный эффект вызывают числа 0.22250738585072011e-307, 22.250738585072011e-309 и 22250738585072011e-324. Как уже упоминалось, данной проблеме подвержены ветки PHP 5.2 и 5.3. В готовящейся к выходу версии 5.3.5 она уже исправлена, для остальных версий можно задействовать простой патч (добавляет спецификатор volatile перед некоторыми объявлениями типа double). Другим вариантом решения проблемы является пересборка PHP с опцией "-ffloat-store" или "-mfpmath=sse". В настоящий момент доступен для загрузки релиз PHP 5.3.5 с устранением уязвимости
Подробности

6/01/2011 11:47 Microsoft рассказала правду о новой Windows
Глава Microsoft Стив Балмер (Steve Ballmer) рассказал потребителям, разработчикам и производителям устройств, чего в ближайшее время им ожидать от его корпорации. Рассказ прошел в Лас-Вегасе при открытии выставки CES-2011 (Consumer Electronics Show), и его главной новостью стали подробности о следующем поколении ОС Windows. Новая Windows (в слайдах к докладу Балмера не упоминалось название Windows 8) по замыслу разработчиков получит поддержку двух новых архитектур: SoC («система на чипе», System on a Chip) и ARM. Обе архитектуры предназначены построения портативных устройств и отличаются более низким энергопотрблением и стоимостью, нежели традиционная x86. Когда планы Microsoft осуществятся, будущие устройства планшетного класса могут получить поддержку полноценной Windows 8 без потери во времени автономной работы. О сроках появления Windows 8 для SoC Стив Балмер не рассказал. Слухи о предстоящем портировании Windows на ARM ходили по рынку довольно давно. Помимо переноса собственно Windows, Стив Балмер рассказал о планах разработки Microsoft Office для ARM. Во время доклада он продемонстрировал Word и PowerPoint, работающие на устройстве под управлением ARM. Согласно материалам презентации Балмера, портированная версия Windows 8 будет работать как минимум на чипах AMD, Intel, Qualcomm, NVidia и Texas Instruments. Интересно, что, по словам главы Microsoft, разработчики приложений будут избавлены от необходимости создавать различные версии своих программ для x86 и SoC. Обозреватель Пол Тарот (Paul Thurrott), ссылаясь на авторитетные источники в Microsoft, сообщил в своем блоге две дополнительные интересные подробности о новой Windows. По его словам, следующее поколение ОС получит «плиточный» пользовательсикй интерфейс Mosh, напоминающий тот, которым снабжена Windows Phone 7 - система Microsoft, разработанная для коммуникаторов. В отличие от интерфейсных решений Apple и Google Android, Windows Phone 7 управляется крупными тайлами (tile), покрывающими рабочий стол устройства. Тарот полагает, что в Windows 8 это решение будет альтернативным интерфейсом, и наряду с ним пользователь сможет использовать элементы рабочего стола, знакомые ему по прежним версиям Windows. Второе касается распространения приложений в Windows 8. По информации Тарота, Microsoft создает для новой ОС «магазин приложений», подобный тем, которые уже существуют для устройств на iPhone и Google Android. Проект носит кодовое название Jupiter. Как ожидается, аналогичный магазин приложений для компьютеров Apple, работающих под управлением старших версий Mac OS X, начнет работать сегодня.
Источник

6/01/2011 12:52 Десятки австралийцев были ошибочно арестованы из-за неполадок в базе данных
Эксперты признали онлайн-сервис хранения судебных документов штата Новый Южный Уэльс, который разрабатывался в течение почти 10 лет, неэффективным. И это, если честно, мягко сказано. Судите сами. Электронная база данных JusticeLink используется на всех уровнях гражданского и уголовного судопроизводства. С её помощью можно получить доступ ко всем документам, фигурирующим в судебных процессах этого австралийского штата. Работа над системой была завершена в июне 2010 года, с опозданием на несколько лет и дополнительными бюджетными затратами. Согласно аудиторскому отчёту, проект с самого начала не был до конца продуман, что в итоге и привело к беспрецедентным проблемам. А именно. Одна из основных неурядиц системы заключается в том, что статус обвиняемых по тому или иному делу не всегда отображается корректно и своевременно. К примеру, если человек был отпущен под поручительство, полиция может не знать об этом и вновь его арестовать. Вдобавок ко всему неизвестно, кто отвечает за обновление информации в JusticeLink и в целом за её надлежащую работу: полиция "кивает" на прокуратуру, а та в свою очередь заявляет, что это зона ответственности полицейских. Пока они не могут договориться друг с другом об устранении неполадок, страдают, как всегда в таких случаях, простые граждане. В прошлом финансовом году компенсацию за моральный ущерб получили 22 человека, включая нескольких подростков, которых взяли и вдруг арестовали! Суммарный размер выплат составил 2,7 млн австралийских долларов. Ещё 10 пострадавших раздумывают, подавать ли иск. Неизвестно, когда и как разрешится вопиющая ситуация. Местные оппозиционные политики уже разыграли эту карту, набрав дополнительные очки, а общественная организация Public Interest Advocacy Centre (PIAC) намерена возбудить дело против властей штата. Но стоит ли это делать? Ведь все судебные документы будут проходить через "кривую" JusticeLink...
Источник

7/01/2011 09:18 В США вынесен приговор российскому интернет-мошеннику
Гражданину России и фигуранту громкого дела об интернет-мошенничестве Александру Федорову вынесен приговор, сообщает Российское агентство правовой и судебной информации (РАПСИ). Россиянин получил 10 месяцев тюрьмы. Всего Федорову было предъявлено обвинение по одному пункту - отмывание денег. Сообщается, что мужчина через отечественные социальные сети координировал действие курьеров, которые переводили деньги со счетов, взломанных при помощи компьютерного вируса, на нужные злоумышленникам счета. После этого деньги снимались и вывозились за границу. По данным РАПСИ, Федоров занимался мошенничеством в октябре-декабре 2009 года. Россиянин вместе с подельниками был арестован 30 марта 2010 года при участии ФБР. Позже он был отпущен под подписку о невыезде, а в сентябре признал вину, согласившись сотрудничать со следствием. Примечательно, что защита требовала для Федорова условного срока. Федоров стал третьим фигурантом дела, которому был вынесен приговор. Двое других участников преступной группы - Антон Юферицын и Александр Сорокин - получили по 10 и 6 месяцев лишения свободы соответственно. Кроме этого Сорокин и Юферицын заплатят штрафы в размере 100 долларов и более 38 тысяч долларов. Дело 21-летней россиянки Кристины Свечинской, которая после ареста также признала свою вину, будет рассмотрено в июне 2011 года. О раскрытии банды, в состав которой входили выходцы из Украины, Белоруссии, Молдавии, Казахстана и России, было объявлено 30 сентября 2010 года. Всего было арестовано 16 человек, из которых, по некоторым данным, 11 граждан России. При этом количество курьеров, перевозивших деньги, составляло около 3,5 тысяч человек.
Источник

7/01/2011 10:22 Китайские хакеры продают 50 000 аккаунтов iTunes
Несколько десятков тысяч краденных аккаунтов iTunes выставлены на продажу на крупном китайском аукционном веб-сайте. Всего к продаже предложено около 50 000 аккаунтов пользователей, приобрести которые полностью или частично можно на сайте TaoBao, китайском эквиваленте Ebay. Покупателям обещан временный неограниченный доступ к музыкальному каталогу Apple. Продавцы просят за один краденный аккаунт по 1 юаню, что составляет около 14 центов. Напомним, что ранее компания Apple признала имевшие в прошлом факты кражи учетных записей на iTunes и возможность их наличия у хакеров. Однако тогда же в компании сообщили, что оповестили пользователей об опасности и предложили им сменить вероятно скомпрометированные пароли. Согласно описанию на Taobao, покупатели получают доступ не только к музыкальным записям, но и к играм, программам и фильмам. Также продавцы предупреждают, что по большинству краденных аккаунтов при несанкционированном входе может сработать система предупреждения, которая заблокирует доступ через 12 часов, поэтому время пользователя на скачивание ограничено. В прошлом году Apple сообщила об удалении нескольких десятков ранее одобренных приложений в магазине App Store после того, как с недавно взломанных аккаунтов iTunes были произведены многократные действия по покупке этих приложений, что вывело их в топ-листы. Сообщается, что большая часть приложений предназначена для чтения электронных книг. Точный список авторов, чьи приложения были удалены, не сообщается, но известно, что среди удаленных есть некий вьетнамский разработчик Туат Нгуен, который был обвинен в нарушении правил работы iTunes, а также в использовании "мошеннических схем покупки приложений". Кроме того, в Apple говорят, что убрали статус бестселлеров и с десятков других приложений.
Подробности

7/01/2011 10:54 "Песочница" Adobe Flash взломана
Технический специалист Google Билли Риос в своем блоге утверждает, что им был найден способ обойти новую систему безопасности, реализованную в новой версии Adobe Flash Player с целью затруднения атак. Риос говорит, что его метод позволяет обойти локальную файловую "песочницу", которая изначально должна была предотвратить доступ Flash-файлов к удаленной информации, расположенной за пределами изолированного сегмента памяти компьютера. По своей конструкции SWF-файлы должны были быть заблокированы в рамках периметра, который не мог бы общаться с внешним миром. Это предназначено для предотвращения ущерба в случае попадания злонамеренных файлов в систему и блокировки случаев передачи информации злоумышленника. Однако Риос обнаружил, что предпринятые меры безопасности можно обойти с помощью запроса вида file:// и использования протокола GET для обращения к удаленный адресам, например file://\\192.168.1.1. Этот пример работает в локальных сетях. Для выхода во внешние сети нужно указывать конкретный IP-адрес, который не должен был заблокирован межсетевым экраном на компьютере. Кроме того, метод использует доступны в Windows протокол mhtml, который может обращаться к удаленным адресам без предупреждения. Тем не менее, в Adobe говорят, что характеризуют эту опасность, как "умеренную", ведь для проведения атаки злоумышленник вначале должен получить доступ к локальной файловой системе пользлователя и разместить в ней файл, после чего приложение уже должно к нему обратиться. Просто так запустить файл двойным кликом не получится.
Источник

8/01/2011 12:20 Во FreeBSD добавлена поддержка Sony PlayStation 3
В дерево исходных текстов FreeBSD 9 (HEAD) началась интеграция кода для обеспечения поддержки работы на игровых приставках Sony PlayStation 3. Код подготовлен для порта FreeBSD/powerpc64 и уже достиг должного уровня стабильности. Следует отметить, что работа по портированию FreeBSD на PlayStation 3 ведется уже достаточно длительное время и началась еще до блокирования компанией Sony возможности загрузки альтернативных ОС. Работа FreeBSD протестирована на приставке Sony Playstation 3 Fat с прошивкой версии ниже 3.21, установка осуществляется в режиме сетевой загрузки с монтированием файловой системы по NFS. Из видеорежимов поддерживаются только 480i/480p (640 × 480). Несмотря на то, что еще отмечается отсутствие поддержки некоторых аппаратных особенностей приставки, работа FreeBSD на Playstation 3 оценена как стабильная. Порт проходит тестирование собственной пересборкой (self-hosting). Из оборудования поддерживается USB и Ethernet. В ближайших планах реализация поддержки SATA, SPU-блоков (Synergistic Processing Unit) процессора Cell и создание интерактивного загрузчика. Напомним, что в апреле компания Sony исключила из прошивки для PlayStation 3 функцию загрузки сторонних ОС, после чего был найден ряд способов обхода запрета, но все они были сопряжены с определенными техническими трудностями и блокировались Sony в очередном обновлении. В конце прошлого года был представлен принципиально другой способ обхода введенных ограничений - энтузиастам удалось подобрать закрытые ключи для формирования корректных цифровых подписей, позволяющих обеспечить запуск на игровой приставке любых приложений и прошивок, без необходимости сертификации данных программ у Sony. Несколько дней назад энтузиастами был опубликован инструментарий для модификации прошивок для PlayStation 3 и подготовлена измененная прошивка, в которой была возвращена функция загрузки сторонних ОС. Тем временем, представители Sony заявили, что рассматривают утечку ключей для формирования цифровых подписей как уязвимость и планируют блокировать данную возможность в ближайшем сервисном обновлении. Каким образом будет выполнена блокировка не сообщается. Полностью решить проблему можно только путем смены секретных ключей и пересертификации выпущенных приложений или формирования белого списка для всех ранее выпущенных программ.
Источник

8/01/2011 23:07 Хакеры взломали Twitter КНДР в день рождения сына Ким Чен Ира
Неизвестные хакеры взломали официальный Twitter-аккаунт КНДР и разместили в нем записи, призывающие к свержению режима Ким Чен Ира. Об этом в субботу, 8 января, сообщает южнокорейское агентство "Ренхап". Сообщения, появившиеся в северокорейском микроблоге, обвиняют партийную верхушку страны в использовании труда 24-милионного населения КНДР для личной наживы и разработке ядерного оружия. "Создадим новый мир, выкорчуем заклятого врага народа Ким Чен Ира и его сына Ким Чон Ына!", - говорится в одном из сообщений. Кроме того, был взломан профиль КНДР на YouTube. Хакеры разместили в нем мультфильм, в котором лидер страны и его сын представлены убийцами и богачами. Взлом официальных интернет-страниц Северной Кореи был, по видимому, приурочен ко дню рождения Ким Чон Ына, младшего сына нынешнего лидера КНДР Ким Чен Ира, которому, по данным из разных источников, 8 января исполнилось 28 или 29 лет. Наблюдатели неоднократно называли Ким Чон Ына преемником отца. В минувшем году он был введен ЦК Трудовой партии Кореи. В конце сентября 2010 года его произвели в генералы армии КНДР. Отметим, что доступ к интернету в коммунистической Северной Корее имеют лишь несколько государственных служб, в число который входят МИД, секретная служба и несколько научно-технических учреждений.
Источник



OnAir - События:

4/01/2011 21:23 - Virtual Security Research (VSR) сообщили об обнаружение опасной уязвимости в популярном медиа-плеере VLC Media Player до версии 1.1.5 включительно. Уязвимым оказался модуль "libreal_plugin", предназначенный для обработки файлов формата Real Media. Таким образом, при помощи специально сформированного файла можно вызвать переполнение буфера с возможностью последующего исполнения произвольного программного кода. Разработчики медиа-плеера сообщили об устранение уязвимости в VLC Media Player версии 1.1.6, однако на текущий момент данная версия еще не выпущена.
Подробнее

4/01/2011 22:40 - Отсутствие достаточной проверки вводимых пользователем данных в веб-интерфейсе маршрутизатора Linksys DSL Router BEFSR41 V2 привели к возникновению множественных XSS-уязвимостей, позволяющих злоумышленнику внедрить произвольный HTML-код или JavaScript через, практически все возможные, формы ввода данных. Уязвимыми являются прошивки версии от 1.30 до 1.46.2 включительно.
Подробнее

9/01/2011 14:11 - Раздел разработчиков "developerWork" официального веб-сайта компании IBM подвергся хакерской атаке, в результате которой был произведен дефейс веб-страниц. Ответственность за дефейс взял на себя хакер под ником "Hmei7". Учитывая характер взлома, причинами могли стать инъекция кода и установка некорректных прав доступа на ресурсы взломанного раздела.
Подробнее



Программы дня за прошедшую неделю:

4/01/2011 Bruter
Утилита для подбора связки логин/пароль путем прямого перебора (брутфорс). Повышение эффективности перебора обеспечивается возможностью задания параметров соединения с сервером, что позволяет осуществлять подбор в несколько потоков с заданной временной задержкой. Перебор паролей и логинов может быть произведен как по словарю, так и через задание регулярным выражением. Bruter поддерживает следующие протоколы и типы аутентификации: веб-формы, FTP, HTTP, IMAP, MSSQL, MySQL, POP3, PgSQL, SIP, SMB, SMTP, SNMP, SSH2, Telnet, VNC.
ОС: All Win
Тип программы: Взломщики паролей


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru