uinC NewsLetter #33, 2011


Приветствуем!

Новости из Security Мира

15/08/2011 15:59 Google покупает мобильное подразделение компании Motorola
Корпорация Google 15 августа договорилась о приобретении компании Motorola Mobility, занимающейся выпуском мобильных телефонов и смартфонов. Как сообщается в официальном пресс-релизе Motorola, сумма сделки составит 12,5 миллиарда долларов. За каждую акцию Motorola Mobility интернет-гигант заплатит по 40 долларов наличными. Это на 63 процента больше, чем стоимость ценных бумаг компании на момент закрытия бирж 12 августа. Google разрабатывает мобильную операционную систему Android, которая устанавливается на смартфоны нескольких производителей, в том числе и Motorola. Как отмечает Bloomberg, новое приобретение поможет Google успешнее конкурировать с iPhone от Apple. В пресс-релизе сказано, что сделка еще должна быть одобрена в США, ЕС и других юрисдикциях. Кроме того, за слияние должны проголосовать акционеры Motorola Mobility. Ожидается, что все формальные процедуры будут завершены к концу 2011 года или к началу 2012-го. В середине 2000-х годов телефоны Motorola были одними из самых популярных в мире, однако потом американская компания растеряла значительную часть своей доли на рынке. По итогам первого квартала аппараты Motorola занимали 2,1 процента мирового рынка по количеству проданных устройств. Для сравнения, годом ранее этот показатель составлял 2,7 процента. Google никогда ранее не тратил столько денег на одну покупку. До сих пор самым крупным поглощением со стороны интернет-поисковика считается приобретение DoubleClick более чем за три миллиарда долларов.
Источник

15/08/2011 17:15 Anonymous украли личные данные пассажиров американских электричек
Участники хакерской группировки Anonymous взломали один из интернет-ресурсов BART - системы скоростных электропоездов, обслуживающей городскую агломерацию Сан-Франциско. Атаке подвергся сайт myBART.org, на котором хранилась персональная информация пассажиров. Данные по меньшей мере 2,4 тысяч пользователей, включая имена и фамилии, адреса, телефоны и электронные ящики, Anonymous выложили в открытый доступ. В общей сложности в системе зарегистрированы 55 тысяч пользователей. Сайт myBART.org был атакован в воскресенье, 14 августа. Помимо кражи личных данных, участники Anonymous также разместили на главной странице ресурса свою символику. Несколько часов спустя сайт ушел в оффлайн и по состоянию на момент написания заметки все еще был недоступен. Атака на myBART.org была предпринята Anonymous в ответ на решение руководства BART отключить мобильную связь на нескольких станциях в четверг, 11 августа. На этот день была запланирована акция протеста против действий полиции BART. 3 июля на станции Civic Center двое полицейских застрелили 45-летнего бездомного, который якобы угрожал им ножом. Участники Anonymous также заявили о намерении провести собственную акцию протеста на станции Civic Center. Ее назначили на 15 августа. Anonymous планируют подать жалобу на действия администрации BART, из-за которых без связи на несколько часов остались тысячи людей. Поезда BART курсируют между городами, располагающимися рядом с заливом Сан-Франциско. Общая протяженность линий составляет 167 километров. BART располагает собственным полицейским управлением, которое насчитывает 296 сотрудников.
Источник

16/08/2011 10:39 В США создана компьютерная программа, предугадывающая правонарушения
Полицейские американского города Санта-Круз (штат Калифорния) применили уникальную компьютерную программу, позволяющую предугадывать преступления, такие как квартирные кражи и угоны машин. "Программа уже помогла офицерам предотвратить несколько преступлений и совершить пять арестов", - заявил аналитик криминального отдела полиции города Зак Френд. К примеру, две преступницы были арестованы на автостоянке в квартале, который новая программа определила как место с наибольшей вероятностью совершения правонарушений. Одна из них была в розыске, а у другой обнаружены наркотики. Компьютерная программа была разработана группой ученых, включая двух математиков, антрополога и криминолога. Они использовали данные, предоставленные полицией Лос-Анджелеса, которая также планирует перейти к использованию этой технологии в скором времени. Нововведение предполагает, что защитники порядка будут заранее выезжать на места, где наиболее высока вероятность совершения преступлений, что поможет более эффективно распределять и использовать силы полиции. По словам Зака Френда, "первые результаты были впечатляющими: в июле количество ограблений снизилось на 27% по сравнению с аналогичным месяцем прошлого года, что говорит о том, что программируемый контроль может иметь сдерживающий эффект". Оригинальная идея превентивных мер полиции привлекает все большее внимание со стороны органов правопорядка по всей стране, противостоящих преступности во время массовых бюджетных сокращений. "Мы сталкиваемся с ситуацией, когда нам поступает на 30% больше звонков от населения, в то время как у нас на 20% меньше личного состава, чем в 2000 году", - отметил Френд. По его словам, такое положение вещей вряд ли изменится, и эту реальность нужно учитывать. Попытки систематического прогнозирования места и времени совершения преступлений предпринимаются в нескольких городах США. Чикагское управление полиции, к примеру, еще в прошлом году организовало подразделение предупреждения правонарушений. Однако, метод, которым пользуется полиция Санта-Круз, наиболее совершенный. Она основана на методах предсказания остаточных подземных толчков после землетрясений. Программа генерирует прогнозы относительно наиболее вероятных мест и времени совершения преступлений в будущем путем анализа и сопоставления правонарушений за последние восемь лет. Причем, прогнозы ежедневно корректируются с учетом совершения новых преступлений и обновленных данных, вносимых в программу. Полицейские Санта-Круза, по словам Френда, довольны нововведением, однако его успех можно будет оценить наиболее полно через полгода.
Источник

16/08/2011 20:20 Microsoft позволит опробовать Windows 8 в ближайшие месяцы
Корпорация Microsoft запустила новый блог "Создание Windows 8", посвященный разработке ожидаемой операционной системы Windows 8. В блоге представители компании планируют регулярно освещать подробности разработки ОС. Блог ведется сразу на нескольких языках: английский, немецкий, французский, португальский, корейский, китайский, японский и русский. Согласно блогу разработчиков, выход бета-версии Windows 8 скорее всего произойдет еще до окончания этого года. «Мы упорно работали над разработкой и созданием Windows 8, и сегодня мы хотим начать диалог с теми из вас, кто будет использовать предварительную версию в течение следующих нескольких месяцев», – говорится в первом сообщении блога. Кроме того, журналистам стало известно о конференции для разработчиков BUILD, которая пройдет в сентябре. На конференции Microsoft планирует раскрыть подробности, касающиеся новых возможностей и инструментария Windows 8, в числе которых: методы организации информации и хранение данных, сетевое взаимодействие, игровой потенциал операционной системы и механизмы защиты.
Источник

17/08/2011 13:30 Компания Millenniata разработала «вечные» оптические диски
Компания Millenniata при содействии компании LG разработал новый формат оптических дисков. Отличительной особенностью нового формата стала отнюдь не вместительность или время доступа. Производители утверждают, что диски формата M-Disc могут хранить данные вечно. Как говорят в Millenniata, M-Disc можно утопить в жидком азоте, а затем достать и бросить в кипящую воду – это не нанесет ему особого вреда. Состав материала, из которого производятся «вечные» оптические диски, не разглашается, однако известно, что это «натуральное камнеподобное вещество». Кроме того, как говорят разработчики, материал этот не деградирует со временем, поэтому данные, записанные на него, можно хранить годами. M-Disc полностью совместим со всеми существующими на данный момент DVD- и Blu-ray-плеерами. Однако записать такой диск можно только на специальном оборудовании. Здесь не используется какой-либо специальный отражающий или красящий слой, при записи M-Disc данные наносятся непосредственно на тело «болванки» и отпечатываются на нем «навсегда». В настоящий момент, его объем составляет 4,7 Гб, то есть размер обычного однослойного DVD. Скорость записи составляет всего лишь 4x – в два раза медленнее скорости записи современного перезаписываемого DVD-диска. Инженеры Millenniata работают над улучшением эти параметров. Исполнительный директор компании, Скотт Шамвэй (Scott Shumway), утверждает, что вместительность M-Disc вполне возможно довести до объема формата Blu-Ray. Новинка позиционируется как надежный носитель для архивных данных. Архив, записанный на M-Disc можно содержать, не беспокоясь о температуре и влажности в помещении хранилища. Из-за столь необычных свойств, перспективной разработкой уже заинтересовались в министерстве обороны США. Можно не сомневаться, что «вечным» дискам найдется достойное применение в экстремальных условиях.
Источник

17/08/2011 15:19 Деньги Bank of America нашлись в молдавском селе
Офицеры Центра по борьбе с экономическими преступлениями и коррупцией (ЦБЭПК) Молдавии по запросу американских спецслужб заблокировали 200 тысяч долларов, поступивших 8 августа в один из молдавских банков, сообщил сотрудник пресс-службы ЦБЭПК. Владелец счета, 60-летний житель села Тэнэтарь Кэушанского района на вопросы оперативников сообщил, что не знает, откуда взялись деньги и написал заявление об отказе от них. Мужчина не был задержан, его причастность к данному эпизоду выясняется. По информации, предоставленной молдавским силовикам американской стороной, деньги одного из клиентов Bank of America N.A "увела" группа хакеров, получивших реквизиты при помощи информационных технологий. Предстоит установить личности преступников и их пособников, а также то, почему украденные средства было решено укрыть в Молдавии.
Источник

17/08/2011 17:05 Intel исправила ошибку, выводившую из строя SSD серии 320
Специалисты компании Intel выявили причину ошибки «Bad Context 13x Error», постигшей твердотельные накопители серии 320, которые были представлены в марте этого года. Появление ошибки приводило к уменьшению объёма накопителя до 8 МБ и невозможности доступа к данным за пределами этой области. Новая версия прошивки проходит последние проверки и появится в течение двух недель. Тем пользователям, кого дефект обошёл стороной, производитель советует выключать компьютер «через кнопку Пуск» и регулярно производить резервное копирование важной информации, а по возможности – обновить прошивку. Те пользователи, кому не посчастливилось, могут обратиться в сервисный центр для замены устройства, либо попытаться самим «оживить» накопитель, выполнив полное стирание с помощью утилиты SSD Toolbox или подобной. Вернув устройство в работоспособное состояние, стоит всё же установить новую прошивку.
Источник

17/08/2011 17:18 Здание новой штаб-квартиры Apple по размерам превысит Пентагон
Новая американская штаб-квартира корпорации Apple, которую планируется ввести в эксплуатацию в 2015 году, по размерам будет превосходить Пентагон - здание Министерства обороны США, сообщает издание Mac Observer. Согласно подсчетам журналистов издания, диаметр здания новой штаб-квартиры Apple, которое будет иметь цилиндрическую форму, составит около 492 метров. При этом диаметр круга, в который вписывается здание Пентагона, выполненное в форме пятиугольника, равен 477 метрам. Пентагон считается крупнейшим офисным зданием в мире. В здании работают около 26 тысяч сотрудников, а суммарная площадь пяти этажей составляет около 604 тысяч квадратных метров. Как отмечает Mac Observer, диаметр новой штаб-квартиры Apple превышает высоту нью-йоркского небоскреба Empire State Building (443,2 метра), длину круизного лайнера и американского атомного авианосца. Строительство комплекса должно начаться в следующем году, а рассчитано здание будет на 12 тысяч сотрудников компании. Общая площадь штаб-квартиры, согласно материалам на сайте калифорнийского города Купертино, составит 260 тысяч квадратных метров. В новой штаб-квартире, помимо офисов, будут располагаться исследовательские центры, конференц-зал на тысячу мест, корпоративный фитнес-центр и паркинг. В настоящий момент проект должен пройти экологическую экспертизу и исследования на предмет влияния на трафик в городе, а окончательно он будет принят после публичных слушаний.
Источник

17/08/2011 18:02 Более 27 тысяч владельцев iPhone подали на Apple в суд за "слежку"
Более 27 тысяч владельцев смартфонов iPhone в Южной Корее подали коллективный иск против компании Apple, требуя компенсации в 1 миллион вон (940 долларов) на человека за незаконный сбор информации о местоположении устройства и его обладателя. Скандал по поводу "слежки" за владельцами iPhone разгорелся в апреле текущего года, когда два исследователя обнародовали информацию, что устройства Apple с сотовыми модулями записывают в память данные о перемещениях аппарата и передают их в компанию. За этим последовали обвинения в сборе геоданных пользователей мобильных устройств и в адрес компаний Microsoft и Google. В начале августа регуляторы телеком-рынка Южной Кореи оштрафовали местное подразделение Apple за сбор информации о владельцах iPhone на 3 миллиона вон (2,855 тысячи долларов США). Несмотря на небольшой размер, штраф стал прецедентом - впервые Apple подверглась по данному делу наказанию со стороны официальных властей. Ранее Apple выплатила компенсацию в размере 998 тысяч вон (примерно 942 доллара) за аналогичный проступок частному лицу - юристу из Южной Кореи Ким Хен-суку (Kim Hyung-seok). Он и стал инициатором коллективной судебной претензии к Apple со стороны своих сограждан. Иск подан в Сеуле, где расположена юридическая фирма Mirae Law, представляющая интересы истцов. Apple обвинения в намеренной "слежке" за пользователями отрицает. Согласно заявлению компании, хранящийся на устройствах файл с геоданными содержит координаты не самого пользователя, а лишь окружающих его станций сотовой и Wi-Fi-связи. Хотя получение таких данных предусмотрено пользовательским соглашением, Apple ранее признала, что долгое хранение информации, а также работа системы даже после отключения геосервисов в настройках iOS вызваны программными ошибками. В мае компания выпустила новую версию операционной системы iOS 4.3.3, призванную исправить ошибки в работе геолокационных сервисов.
Источник

18/08/2011 13:51 Сбербанк на два часа прекратит обслуживание миллионов пластиковых карт
Сбербанк, крупнейший банк России, приостановит проведение операций по своим картам в ночь с 21 на 22 августа с 1:00 до 3:00 по московскому времени, сообщает РИА Новости со ссылкой на кредитную организацию. "Сбербанк просит своих клиентов воздержаться от использования банковских карт, выпущенных Сбербанком, в этот период. Банк приносит своим клиентам извинения за возможные неудобства", - говорится в сообщении Сбербанка. Плановые работы, которые Сбербанк проведет для модернизации программного обеспечения процессингового центра, не затронут обслуживание карт, эмитированных другими банками, в банкоматах и терминалах Сбербанка. 12 августа Сбербанк сообщил, что выдал 60-миллионную банковскую карту. Сейчас, по оценке Сбербанка, каждый третий россиянин обладает его банковской картой. Сбербанк начал эмитировать банковские карты в 1994 году, заняв к 2008 году первое место в Европе по объему эмиссии карт. Большинство карт, которые эмитировал Сбербанк, являются дебетовыми. Однако в марте 2011 года Сбербанк занял второе место на рынке кредитных карт России с рыночной долей в 10,9 процента (2,25 миллиона активных карт). Для этого крупнейшему банку страны потребовалось менее года. Лидером на рынке кредитных карт по-прежнему является банк "Русский стандарт", который по данным на март текущего года контролировал 20 процентов рынка.
Источник

18/08/2011 18:09 Стандарт шифрования AES стал чуть более уязвим
Технические специалисты из корпорации Microsoft обнаружили уязвимости в распространенном криптографическом стандарте AES (Advanced Encryption Standard), применяемом многими, в том числе, правительственными организациями и крупными корпорациями для защиты данных. Также данная схема применяется для шифрования данных в системах онлайн-банкинга, сетевых соединений и других решений. Инженеры Андрей Богданов, Дмитрий Ховратович и Кристиан Речбергер обнаружили способ взлома AES в четыре раза более быстрый, чем использовался до сих пор. Несмотря на то, что формально AES по-прежнему считается защищенным и пригодным для практического использования, факт ускоренного взлома снижает степень его устойчивости и для особо секретных систем его применение уже не так безопасно. Защита информации в случае AES требует наличия секретного ключа, длина которого, как правило, составляет 128, 192 или 256 бит. Более длинные ключи означают более высокую стойкость, однако специалисты нашли способ искусственного сокращения данных ключей на два последних бита. Эти данные хоть и не являются критичными для безопасности стандарта, все-таки являют собой заметное снижение сложности стандарта. По словам экспертов, прежние попытки взлома AES исходили из того, что атакующий знает хотя бы что-то о секретном ключе, которым защищены данные. Обладая этими данными, с математической точки зрения можно было вычислить остальную часть ключа. На практике это требовало больших усилий и времени, но технически это было возможно. Новый тип атаки отличается и работает с любым типом секретного ключа. Он использует распространенную атаку meet-in-the-middle, когда злоумышленник использует список вероятных открытых текстов и шифротекстов, затем шифрует их и расшифровывает поочередно, чтобы увидеть, как они стыкуются в середине шифра. Исследователи говорят, что новая техника, получившая название Biclique, использует выборочные фрагменты данных, сопоставляя и пытаясь определить исходный ключ. Авторы методики говорят, что она является самой быстрой из существующих в отношении стандарта AES. Однако, даже в ее случае у злоумышленника теоретически должен быть триллион компьютеров, который будет тестировать миллиард операций в секунду, чтобы примерно за 2 млрд лет взломать любой AES-ключ. Технически, это означает, что через гипотетические 2 млрд лет любая защищенная информация будет взломана, правда, к тому времени, она, почти наверняка, потеряет актуальность.
Источник

18/08/2011 22:45 С помощью инфракрасной камеры можно красть PIN-коды
Метод определения порядка нажатия кнопок по остаточному теплу почти безотказно работает, если клавиатура пластиковая. Китон Моуэри, Сара Майклджон и Стефан Саваж из Калифорнийского университета в Сан-Диего (США) обнаружили способ, которым злоумышленники могут воспользоваться, чтобы узнать PIN-код кредитной карты жертвы. Тепловые следы, оставляемые человеческими пальцами, зачастую «живут» столько, сколько нужно для их съёмки на ИФ-камеру. Команда провела эксперимент с участием 21 волонтёра, добросовестно вводивших 27 PIN-кодов. Металлические кнопки банкоматов (ввиду высокой теплопроводности) не позволяли получить удовлетворительный результат, но на пластиковых остаточные тепловые следы позволяли определить очерёдность нажатий с вероятностью 80% через 10 секунд после введения кода и с вероятностью 60% — через 45 секунд (на первой нажатой кнопке тепла остаётся меньше всего). Исследователи зачем-то написали программу для распознавания кодов, анализирующую размер и «свечение» следов. Даже если порядок нажатия кнопок определить невозможно, снятие тепловых показателей сокращает набор возможных вариантов PIN до 24. Вывод, который делают исследователи: необходимо оснащать все банкоматы металлическими клавиатурами. Правда, коды доступа, вводимые через клавиатуры и сенсорные экраны, имеют настолько широкое распространение, что лучше нажимать на кнопки авторучкой или всегда носить с собой перчатки, так как не все люди обладают холодными пальцами или молниеносными движениями (эти факторы, как показало исследование, сильно затрудняют работу злодеям с ИК-камерами). Методика кражи PIN-кодов с помощью считывания инфракрасного излучения в настоящее время используется (возможно) только секретными агентами и прочими профессионалами, но может получить распространение в будущем: камеры, чувствительные к тепловому излучению, постепенно дешевеют.
Источник

18/08/2011 23:01 IBM разработала мыслящие процессоры
Компания IBM объявила о том, что компания разработала уникальные компьютерные чипы, которые способны анализировать, понимать и интерпретировать данные, имитируя мыслительные процессы человеческого мозга. IBM уже разработала два новых чипа, которые функционируют на базе новых вычислительных технологий, и способны анализировать данные, создавать гипотезы, запоминать результаты и учиться на них, во многом так же, как это делает человеческий мозг. Согласно доступной информации, в новых чипах применяются наработки в области нанотехнологий, нейротехнологий и сверхбыстрых вычислений. В настоящий момент исследователям удалось добиться от процессоров успехов в прохождении лабиринтов, игре в Pong, а также в распознании и анализе данных. «Эти чипы являются еще одним значительным шагом в эволюции компьютеров от калькуляторов до самообучающихся систем, и ознаменовывают начало нового поколения компьютеров и их применения в областях бизнеса и науки», – заявил Дамендра Модха (Dhamendra Modha) руководитель проекта в IBM Research. Исследовательская программа проводится в лаборатории IBM, расположенной в штате Нью-Йорк, в США. Лаборатория сотрудничает с несколькими крупнейшими университетами Америки.
Источник

18/08/2011 23:15 IBM ускорила поиск информации с помощью флэш-дисков
Исследователи из корпорации IBM создали сверхбыструю систему хранения, которая просканировала 10 млрд файлов за 43 минуты. У предыдущей системы, продемонстрированной на выставке Supercomputing 2007, на обработку 1 млрд файлов ушло три часа. Ключевым условием повышения производительности стало применение флэш-памяти, в которой хранились метаданные, использовавшиеся для поиска запрашиваемой информации. В ходе нынешней демонстрации IBM построила кластер из 10 восьмиядерных серверов, оборудованных 3205 твердотельными накопителями компании Violin Memory общим объемом 6,8 терабайт. В результате, скорость чтения файлов достигла 5 Гбайт/с. В кластере использовалась адаптированная версия файловой системы IBM General Parallel File System (GPFS) версии 3.4. Исследователи из университета Карнеги-Меллона и корпорации Intel в свою очередь представили собственную серверную архитектуру на основе процессоров с низким энергопотреблением и флэш-памяти. Такая архитектура способна заметно увеличить скорость обработки транзакций на крупных веб-сайтах. И хотя твердотельные диски сегодня стоят в десять раз дороже традиционных, они обеспечивают двукратный прирост производительности.
Источник

18/08/2011 23:57 Новая версия PHP устраняет 6 уязвимостей и более 100 ошибок
Разработчики интерпретатора PHP объявили о выходе новой версии PHP версии 5.3.7, которая устраняет более 100 ошибок и 6 уязвимостей в предыдущей версии. Среди устраненных уязвимостей и ошибок в системе безопасности: переполнение буфера путем передачи некорректного salt в функцию crypt(); возможность подстановки части файлового пути из-за некорректного очищения в функции rfc1867_post_handler имен файлов, передаваемых через multipart/form-data POST-запросы, такимо образом атакующий может изменить заданный логикой приложения абсолютный путь и создать или переписать произвольные файлы (CVE-2011-2202); переполнение стека в функции socket_connect() может быть использовано атакующим для выполнения своего кода через указание излишне длинного файлового пути для Unix-сокета (CVE-2011-1938); использование памяти, после её очистки (use-after-free) в функции substr_replace(), в зависимости от контекста позволяет атакующему соверщить атаку типа "отказ от обслуживания" через повреждение областей памяти или осуществить другие воздействия, используя одну и ту же переменную для нескольких аргументов (CVE-2011-1148); обновлена библиотека crypt_blowfish, из-за возникновения проблемы, упрощающей подбор некоторых паролей (CVE-2011-2483); возможность инициирования краха из-за ошибки в error_log(). Разработчики напоминают, что ветка PHP 5.2 больше не поддерживается и все находящиеся в ней уязвимости остаются неисправленными, поэтому пользователям рекомендуется обновить PHP до версии 5.3.7.
Источник

19/08/2011 00:03 На разработку прототипа национальной программной платформы отвели 30 дней
Минкомсвязи объявило первый тендер по программе «Информационное общество». Он состоит из 7 лотов на общую сумму 88 млн руб. Один из лотов – на 27 млн руб. - посвящен созданию прототипов базовых компонент национальной программной платформы (НПП), а также написанию порядка сборки, приемки, размещения и эксплуатации ПО в фонде алгоритмов и программ. В конкурсной документации подробно приведен расчет трудозатрат и стоимости этапов работ по этому лоту. На все исполнителю дается от 16 (минимальный срок) до 30 дней (максимальный). За это время он должен провести документальную и техническую работу. В частности, требуется проанализировать разные варианты создания НПП, написать финансово-экономическое обоснование и техническое задание, дать рекомендации по изменению законодательства для эффективной работы фонда алгоритмов и программ и т.п. Под технической частью подразумевается создание эскизного проекта платформы, прототипа репозитория, СУБД и ОС. Трудозатраты на все перечисленные работы Минкомсвязи оценило в 115 человеко-месяцев. Временные рамки проекта вызвали вопросы у экспертов. «Судя по срокам, отведенным на выполнение работ, с большой долей вероятности можно говорить о том, что все уже сделано и исполнитель фактически определен», - считает бизнес-консультант Михаил Козлов, ранее возглавлявший российский офис VDEL, эксклюзивного дистрибутора Red Hat в России. Название предполагаемой «компании-победителя» эксперт назвать затруднился, но перечислил участников рынка, которым тендер мог бы быть интересен: «Альт Линукс», «Роса» (разработчик дистрибутива на базе Mandriva) и ВНИИНС/НЦПР (партнер Red Hat). В «Альт Линукс» и ВНИИНС воздержались от обсуждения условий тендера. В Минкомсвязи также отказались от комментариев. Член совета директоров "Росы" Дмитрий Комиссаров заявил CNews, что компания будет участвовать в конкурсе не самостоятельно, а в составе консорциума с "большинством членов РАСПО" (Российская ассоциация СПО). "Указанный в конкурсных условиях срок категорически мал, - считает Комиссаров. - Кроме того определение "эталонной ОС" подразумевает единственную ОС и противоречит многократно обсуждавшейся концепции. Надеюсь, что это техническая ошибка Минкомсвязи". Как говорится в конкурсной документации, конверты с предложениями участников должны быть вскрыты 15 сентября 2011 г. Подведение итогов тендера состоится 26 сентября.
Источник

19/08/2011 18:30 Крупный сбой в сетях Яндекс
С 17 часов 19 августа сервисы "Яндекса" недоступны для пользователей Интернета, проблемы с доступом возникли не только к проектам самого "Яндекса", но и к тем сайтам, которые размещают у себя внешние коды проектов "Яндекса" - карты, Яндекс.Директ, Метрика и другие. В московском офисе компании также пропал доступ к Интернет. Аудитория поиска почти равномерно распределилась между поисковыми системами Google и Mail.ru - по данным LiveInternet.ru, Google стал раздавать на 11000 больше переходов на сайты Рунета в минуту по сравнению с обычными значениями, а Mail.ru на 9000 больше переходов. На момент публикации материала было частично восстановлено функционирование главной страницы сайта и ряда других сервисов. По предварительной версии, проблемой, повлекшей сбой, стали технические работы с маршрутизацией в сети компании. Вместе с тем, другой поисковый сервис компании Рамблер также испытывает трудности в работе сервиса, связанные с ранее заключенным контрактом на сотрудничество с Яндекс.
Источник

19/08/2011 18:55 Путину показали электронную фоторамку назвав ее планшетом
Председатель правления "Роснано" Анатолий Чубайс в четверг вечером провел рабочую встречу с Председателем Правительства Владимиром Путиным, где продемонстрировал созданный при поддержке "Роснано" компьютерный планшет, созданный из пластика. По словам Чубайса, созданный компьютер является первым в своем роде планшетом, где нет кремниевых компонентов. В Роснано говорят, что будут позиционировать планшет, как электронный учебник. Показанная Путину модель полностью создана на пластиковой основе, а в память планшета загружены электронные копии школьных учебников за шестой класс. Конкретные технические характеристики планшета пока неизвестны. "Сегодня в него закачан полный комплект учебников по всем дисциплинам 6-го класса. Причём это не просто комплект учебников: они адаптированы для компьютера, с гиперссылками, как положено. И при поддержке Минобразования мы с 1 сентября 1 000 таких образцов будем обкатывать в нескольких регионах страны. По сути дела, вот здесь, в руках, – полный комплект учебников для школьника одного класса", - сказал Чубайс. Создан планшет на базе разработок британской компании Plastic Logic, контрольный пакет акций которой "Роснано" приобрела ранее в этом году. Корпорация в январе этого года гарантировала 650 млн долларов для развития производства Plastic Logic. В обмен на данные инвестиции, британский производитель дешевых пластиковых чипов должен был открыть производство в России (в Зеленограде). До сделки с "Роснано" Plastic Logic собственными силами занималась выпуском гибких дисплеев и планшетов, но из-за нехватки средств не достигла в этом больших успехов. Сейчас у Plastic Logic есть свой центр разработки в Кембридже (Великобритания), а также производственные мощности в Дрездене (Германия) и штаб-квартира в Маунтин Вью (штат Калифорния, США). Что касается пластикового планшета, то по словам главы "Роснано", его ориентировочная цена составит 12 000 рублей. "Главное для нас – то, что если эксперимент удастся, а он займёт год, если нам через год Минобразования подтвердит, что он работоспособный, то мы выходим на очень крупную серию, тем более что мы, собственно, сейчас в Зеленограде начали строительство завода - очень масштабное строительство, там капвложения – более 700 млн долларов, который должен нас увести в большую серию уже такого, российского масштаба. А вывод на поток означает, что мы сможем и снизить цену, и выйти на следующие изделия", - сказал Чубайс. Параллельно с идущим процессом обкатки в школах с 1 сентября, строительство завода запланировано на ноябрь этого года и одновременно с этим в МИЭТе (Московский институт электронной техники), который находится в Зеленограде, будет создан исследовательский центр, который будет развивать саму технологию. "Мы считаем, что у неё сфера применения не ограничивается только учебником. В принципе, пластиковая электроника может иметь целый ряд других применений, но если это сработает, то, мне кажется, это прорывное направление", - отметил Чубайс.
Источник

19/08/2011 19:10 HP отказывается от смартфонов и планшетов на webOS
Компания Hewlett-Packard прекратит продажу мобильных устройств на базе операционной системы webOS. Об этом говорится в заявлении, которое HP распространила 18 августа. HP откажется от всей линейки устройств на webOS, в которую входят смартфоны Veer и Pre3 и планшет TouchPad. Глава HP Лео Апотекер (Leo Apotheker) заявил, что продажи смартфонов и планшетов будут свернуты в четвертом квартале года, сообщает блог This is my next. При этом Апотекер не уточнил, какой год имеется в виду - календарный или финансовый. Конкретных заявлений о дальнейшей судьбе webOS Апотекер не сделал, заявив, что компания рассматривает несколько вариантов развития событий. Не исключено, что HP разрешит использовать ОС другим производителям устройств. Планшет HP TouchPad поступил в продажу в США 1 июля и не пользовался спросом у покупателей. 16 августа блог All Things Digital сообщил, что американский ритейлер Best Buy из партии в 270 тысяч планшетов смог реализовать только 25 тысяч. Best Buy был вынужден сделать на TouchPad скидку в размере ста долларов. HP также пересмотрит стратегию развития. Свое подразделение по производству компьютеров (Personal Systems Group) она планирует выделить в отдельный бизнес. Компания намерена сосредоточиться на программном обеспечении и сервисах. HP объявила, что покупает компанию Autonomy Corp, разработчика корпоративных систем поиска и управления базами знаний. Как сообщает Bloomberg, за Autonomy Corp HP заплатит 10,3 миллиарда долларов или по 42,11 долларов за акцию. Это на 64 процента больше стоимости акций Autonomy Corp на момент закрытия бирж 17 августа. После известия о готовящейся сделки цена на акции компании на американских биржах увеличилась на 45 процентов и составила 37 долларов. Владельцем операционной системы webOS HP стала после покупки компании Palm Inc. О сделке между HP и Palm Inc. было объявлено в апреле 2010 года. Сумма сделки составила 1,2 миллиарда долларов.
Источник

19/08/2011 23:19 Россия выкинула в космос очередной спутник связи
В ночь на 18 августа с космодрома Байконур стартовала ракета "Протон-М" с разгонным блоком "Бриз-М" и космическим аппаратом "Экспресс-АМ4". При выведении головного блока на орбиту возникли сбои с передачей телеметрической информации и получением сигнала с "Бриза-М" и с борта спутника. Таким образом, результат запуска спутника связи "Экспресс-АМ4" оказался далек от ожидаемого - связь со спутником была утеряна, а на заданной орбите спутник обнаружен не был. Позже, американская система NORAD зафиксировала новый космический объект, предварительно определяемый как пропавший российский спутник "Экспресс АМ4". По мнению специалистов, текущая позиция обнаруженного объекта не оставляет возможности использовать этот космический аппарат по целевому назначению. Создавшаяся ситуация как таковая ставит под вопрос планы по коммерческим запускам "Протонов-М" с разгонными блоками "Бриз-М" в ближайшие месяцы. Опять же, полагаясь на достижения советской космонавтики, многие государственные проекты остались под угрозой. ФГУП "Российская телевизионная и радиовещательная сеть" (РТРС) заявил, что, несмотря на ситуацию со спутником, не допустит срыва сроков внедрения в России цифрового телерадиовещания, запланированного на 2015 год. РТРС является исполнителем ФЦП "Развитие телерадиовещания в Российской Федерации на 2009-2015 годы". "РТРС, совместно со всеми заинтересованными организациями, принимает все необходимые меры для обеспечения своевременной доставки сигналов, чтобы зрители могли смотреть передачи цифрового телевидения", - сказал представитель РТРС, признав при этом, что ситуация с возможной утратой спутника может затруднить работу по обеспечению в установленные сроки цифровым телевизионным вещанием 19 регионов России. Представитель РТРС указал на то, что спутник - не единственный способ передачи цифрового телевизионного сигнала: "В ходе выставки "Связь-Экспокомм" РТРС и "Ростелеком" подписали соглашении об использовании проводных сетей "Ростелекома" для доставки цифрового телевизионного контента." Другая пострадавшая сторона - оператор связи ОАО "РТКомм.РУ", являющийся исполнителем мероприятий по завершению проекта "Обеспечение высокоскоростного доступа к информационным сетям через системы спутниковой связи" (РСС-ВСД), будет искать альтернативные пути для тестирования услуги, если подтвердится потеря спутника "Экспресс-АМ4". "Альтернативного варианта в рамках программы РСС-ВСД у нас пока нет, но мы начнем его разработку, если подтвердится потеря космического аппарата. В таком случае, мы, в частности, не исключаем использование зарубежных спутников", - заявил директор департамента маркетинга ОАО "РТКомм.РУ" Александр Степанов.
Источник

19/08/2011 23:51 Следующий запуск спутника "Глонасс-М" состоится 25 августа
Запуск космического аппарата "Глонасс-М" будет осуществлен 25 августа 2011 года с космодрома Плесецк (Архангельская область), сообщил журналистам официальный представитель Минобороны по Космическим войскам (КВ) подполковник Виталий Вяткин. "Запуск космического аппарата "Глонасс-М" будет осуществлен боевыми расчетами Космических войск 25 августа 2011 года с космодрома Плесецк, руководить пусковыми работами будет командующий КВ генерал-лейтененат Олег Остапенко", - сказал он. Предыдущий пуск аппарата серии "Глонасс" из Плесецка состоялся 26 февраля. Тогда спутник "Глонасс-К" был успешно выведен на целевую орбиту. Однако ранее - 5 декабря 2010 года - три спутника "Глонасс-М", которые должны были стать частью российской глобальной навигационной системы ГЛОНАСС, упали в Тихий океан. Как выяснила комиссия, все ступени и системы ракеты-носителя "Протон" отработали штатно, а спутники были утрачены из-за того, что в разгонный блок ДМ-03 из-за ошибки в конструкторской документации залили 1,5 тонны лишнего топлива. Тогдашнему главе Роскосмоса Анатолию Перминову после этого инцидента был объявлен выговор, а замглавы ведомства Виктор Ремишевский и главный конструктор по средствам выведения РКК "Энергия" Вячеслав Филин были уволены. Позднее поста лишился и сам Перминов. Еще через два месяца не вышел на связь в расчетное время геодезический космический аппарат военного назначения "Гео-ИК-2", запущенный 1 февраля с космодрома Плесецк ракетой "Рокот". Позднее он был обнаружен на нерасчетной орбите. На текущий момент навигационная система ГЛОНАСС все еще не способна обеспечивать постоянным сигналом всю территорию Российской Федерации, но, несмотря на это, ведутся крупномасштабные работы по внедрения проектов на ее основе.
Источник

20/08/2011 16:47 Опубликован список самых уязвимых модулей Red Hat Enterprise Linux 4
Марк Кокс (Mark J. Cox), возглавляющий команду, занимающуюся решением проблем безопасности в продуктах Red Hat, представил отчет, в котором представлен анализ уязвимостей, исправленных за шесть лет существования дистрибутива Red Hat Enterprise Linux 4. В отчете анализируется степень риска при игнорировании обновлений с устранением проблем безопасности и оценка влияния отдельных уязвимостей на защищенность системы. Используемая в Red Hat политика полной открытости в области устранения уязвимостей, позволяет пользователям дистрибутива реально оценить имеющиеся риски. Отмечается, что в наборе пакетов, устанавливаемых по умолчанию в серверной редакции RHEL 4 AS, за всю историю было найдено 20 критических уязвимостей. При рассмотрении всех пакетов из репозитория RHEL 4 AS число критических уязвимостей составляет 252 (из них 227 - уязвимости в веб-браузерах). В устанавливаемом по умолчанию наборе пакетов в редакции дистрибутива для настольных систем RHEL 4 AS в сумме найдено 247 уязвимостей. Наиболее уязвимыми приложениями являются: Firefox (185 критических/34 опасных проблем); Mozilla/Seamonkey (148/26); Thunderbird (49/22); ядро Linux (0/154); HelixPlayer (25/0) ; Samba (6/2); cups (0/34); krb5 (4/11); kdegraphics (0/31); xpdf (0/30). 85% критических ошибок были исправлены не позднее чем через 1 день после публичного обнародования уязвимости. Наиболее вероятным исходом использования готовых эксплоитов для неисправленной уязвимости является получения прав root локальным пользователем. Наиболее опасным признан эксплоит позволяющий удаленно получить root-доступ через почтовый сервер Exim. За историю существования дистрибутива RHEL4 зафиксировано два самораспространяющихся червя, но они поражали систему только через сторонние веб-приложения на языке PHP, не входящие в репозитории RHEL. 48.5% уязвимостей были исправлены после того как информация по ним была опубликована публично. При этом, данные по наличию таких уязвимостей в 24.8% случаев были получены из специализированных списков рассылки, 12.8% - получено уведомление от других вендоров (производителей других дистрибутивов), 6.3% - через CVE-уведомления, 2.8% - присланы иные уведомления, и только 1.7% - найдены сотрудниками Red Hat.
Подробнее

20/08/2011 17:30 Новый российский пилотируемый корабль сможет летать на Луну
Новый российский пилотируемый космический корабль, который в будущем может заменить "Союзы", будет способен совершать полеты не только к Международной космической станции (МКС), но и "путешествовать" на Луну, сообщил президент-генконструктор РКК "Энергия" (предприятие-разработчик нового корабля) Виталий Лопота. "Задачи могут быть разные: облеты Луны, полет в составе экспедиционного корпуса, возвращения людей. Корабль должен, так сказать, иметь возможность вернуть космонавтов и с первой космической скорости, и со второй. Это полет к Луне и далее", - сказал Лопота, слова которого приводятся в сообщении на сайте Роскосмоса. РКК "Энергия" представляет макет нового корабля на международном авиасалоне "МАКС-2011". Полноразмерный космический корабль ближайшего будущего почти вдвое больше своего предшественника "Союза" и рассчитан на шестерых участников экспедиции, четверо из которых могут быть туристами. Существенное отличие - кресла экипажа не в одном ряду, а друг напротив друга. Новый корабль, скорее всего, получит название "Русь", отмечается в сообщении. В апреле 2009 года корпорация "Энергия" победила в тендере на разработку эскизного проекта перспективного российского пилотируемого космического корабля. Предусматривается создание нескольких модификаций корабля, предназначенных для полетов на земную и окололунную орбиту, ремонта космических аппаратов, а также для сведения с орбиты вышедших из строя спутников и крупных фрагментов космического мусора. Летные испытания корабля начнутся в 2015 году. Разрабатываемый пилотируемый космический корабль нового поколения будет приземляться в десять раз точнее "Союза" за счет применения парашютно-реактивной системы посадки, сообщил ранее Лопота. Планируется, что парашют будет раскрываться на нижнем участке спуска корабля и работать вместе с реактивными двигателями.
Источник

20/08/2011 19:07 Эпидемия поддельных веб-сайтов добралась до правительственных веб-сайтов
Последними громкими атаками ряда хакерских группировок, среди которых политической направленностью отличились LulzSec и Anonymous, внимание пользователей сети Интернет было привлечено к слабой защищенности правительственных веб-сайтов. Правительственные веб-сайты, размещаемые в региональном поддомене GOV, пользуются повышенным уровнем доверия у пользователей Сети. Однако, как показывает наблюдение - с каждым месяцем количество взломов таких ресурсов растет. Взломанные правительственные веб-сайты используются для размещения поддельных веб-сайтов популярных веб-ресурсов и распространения вирусов. Еще одним источником угроз является информация, размещаемая в базе данных правительственных веб-сайтов. Наибольшую опасность представляют веб-ресурсы, оказывающие различные государственные услуги, в том числе справочные системы. Слабая защита таких ресурсов, позволяет злоумышленникам не только получить полный контроль над веб-сайтом, но и над всем содержимым базы данных, которая содержит большие объемы личной информации граждан страны. Информация в такие базы данных помещается без согласия пользователей и не требует от них регистрации. Этой ошибкой в проектирование зачастую пользуются мошенники. Наиболее уязвимыми правительственными веб-ресурсами являются веб-сайты Перу, Бразилии, Тайланда, Мексики и Китая. Большинство взломов направлены не столько на изменение содержимого веб-сайта с целью самовыражения, сколько на использование доверенной правительственной доменной зоны для финансового мошенничества, а именно создания целых сетей поддельных веб-сайтов, направленных на сбор пользовательской информации. Одним из распространенных способов взлома остается использование протокола FTP. Слабая защищенность протокола и его широкое распространение делает его основным источником опасности. Специально сформированный FTP-адрес позволяет перенаправить пользователя на внутренний ресурс веб-сайта недоступный из веб. Большинство современных веб-браузеров с легкостью обработают FTP-соединение и отобразят поддельное содержимое. Рядовой пользователь не заметит подмены протокола и с большой вероятностью предоставит свои авторизационные данные еще до момента осознания того, что стал жертвой мошенничества. Более грамотный пользователь, обратив внимание на домен и обнаружив, что запрос направлен к правительственному веб-сайту предоставит свои данные с еще большей уверенностью в своей защищенности. Основной проблемой защищенности правительственных веб-сайтов является отсутствие квалифицированной поддержки веб-ресурсов, которая ограничивается лишь наполнением веб-ресурса контентом, а не обеспечением безопасности ранее опубликованной информации и непосредственно защиты и сопровождения систем автоматизированной поддержки веб-ресурсов.
Источник

20/08/2011 20:52 В Германии признали незаконной кнопку "Like"
Кнопка "Like", дающая пользователям Facebook возможность поделиться контентом, не заходя на свой аккаунт в социальной сети, нарушает законодательство Германии. Как сообщает The Local, об этом журналистам заявил руководитель независимого центра защиты приватности Тило Вайхерт (Thilo Weichert). Вайхерт заявил, что когда на сайте размещена кнопка "Like", данные о его посетителях, их переходах и продолжительности сессий передаются на серверы в США, даже если посетитель не зарегистрирован в социальной сети Facebook. Это противоречит как законодательству Германии, так и юридическим нормам Евросоюза. Как сочли эксперты центра, Facebook использует информацию для таргетирования рекламы, а также для сбора данных об активности пользователей. В связи с заключением специалистов Тило Вайхерт призвал все компании, расположенные на территории земли Шлезвиг-Гольштейн, убрать со своих сайтов кнопку "Like" до конца сентября. Тем, кто проигнорирует это требование, грозит штраф на сумму до 50 тысяч евро. Как уточняет DW-WORLD, такое же наказание может быть применено к тем, кто продолжит поддерживать страницу поклонников в социальной сети Facebook. Ранее не соответствующей законодательству Германии уже была объявлена система распознавания лиц пользователей на фотографиях, загружаемых в Facebook. Это было объяснено тем, что законодательство страны запрещает нелицензированный сбор биометрической информации, такой, как расстояние между глазами или форма лица.
Источник

20/08/2011 21:05 Фишинговая атака на пользователей «Вконтакте»
Компания «Доктор Веб» предупреждает о появлении очередной фишинговой схемы, которую применяют кибермошенники для похищения логинов и паролей пользователей социальной сети «Вконтакте». Для реализации данной модели злоумышленники активно используют появившийся недавно в «Вконтакте» сервис хранения и обмена файлами. Первоначально владелец учетной записи социальной сети «Вконтакте» получает сообщение от одного из пользователей, зарегистрированных в его списке друзей. Такое послание обычно не вызывает подозрений, поскольку люди привыкли относиться с некоторой степенью доверия к информации, получаемой от своих знакомых. На момент отправки такого послания учетная запись отправителя уже взломана, а его логин и пароль находятся в руках злоумышленников. Сообщение, как правило, содержит ссылку на графический файл, предлагающий посетить сайт злоумышленников для установки какого-либо приложения, например утилиты, позволяющей отслеживать случайных посетителей на страничке пользователя социальной сети. Тонкость заключается в том, что рекламирующее фишинговый сайт изображение хранится на одном из серверов внутренней системы файлового обмена «Вконтакте», и потому при переходе по ссылке пользователю не демонстрируется сообщение о том, что он покидает сайт социальной сети. Это еще сильнее притупляет его бдительность: ведь на экране появляется объявление, подписанное якобы администрацией «Вконтакте» и расположенное на одном из доменов сети «Вконтакте». Стоит пользователю перейти на рекламируемый сайт, оформление которого копирует интерфейс данной социальной сети, и ввести свои учетные данные в форму авторизации, как они тут же попадают в руки злоумышленников, и от его имени по списку друзей начинается отправка сообщений, содержащих фишинговые ссылки. Следует отметить, что ссылки на аналогичные фишинговые сайты нередко рассылаются троянцем Trojan.VkSpam. В некоторых случаях для установки или активации какого-либо приложения незадачливому пользователю предлагается отправить SMS на короткий номер: например, услуга активации приложения MyGuests, якобы показывающего гостей странички «Вконтакте», обойдется в 169 рублей 33 копейки. При этом, отправив сообщение на указанный злоумышленниками короткий номер, пользователь получит ссылку на приложение, которое можно установить на сайте vkontakte.ru совершенно бесплатно. В настоящее время используется множество подобных мошеннических схем, однако в большинстве случаев алгоритм действия злоумышленников схож с описанным выше. Чтобы обезопасить себя, пользователям социальной сети «Вконтакте» следует придерживаться следующих несложных правил: не открывать подозрительные ссылки, полученные даже в сообщениях от знакомых вам людей; не устанавливать и не запускать игры и приложения, рекламируемые в спам-рассылках; никогда и ни при каких обстоятельствах не вводить логин и пароль от своей учетной записи в «Вконтакте» на сайтах, URL которых отличается от vkontakte.ru.
Источник

20/08/2011 21:52 Акселерометр позволяет следить за пользовательским вводом данных
В рамках конференции HotSec'11 группа энтузиастов компьютерной безопасности опровергла факт безопасного доступа мобильных приложений к акселерометру. Акселерометр и гироскоп в мобильных устройствах используется для отслеживания движения и положения устройства относительно поверхности Земли и считается безопасным. Большинство современных мобильных устройств на платформе Android и iOS предоставляют возможность любому приложению зарегистрировать системный сервис для преобразования данных с акселерометра во внутренние данные программы. Установка такого сервиса не использует дополнительных привилегий и поэтому не требует одобрения пользователя. Кроме того, акселерометр может быть использован веб-приложениями через технологию JavaScript. Такое упущение было использовано для создания клавиатурного шпиона с целью отслеживания использования виртуальной клавиатуры мобильного устройства. Результатом проведенного исследования стало демонстрационное приложения TouchLogger для ОС Android, позволяющее отслеживать ввод с цифровое виртуальной клавиатуры. Точность определения введенных данных составила более 70%. По заверению исследователей, на текущий момент нет ограничений для переноса продемонстрированной технологии на другую популярную мобильную платформу iOS, а определение буквенных нажатий лишь дело времени.
Видео-презентация

20/08/2011 22:16 Microsoft патентует способ загрузки ОС при помощи «облака»
Управление США по патентам и торговым маркам (USPTO) обнародовало патентную заявку Microsoft на «Быструю загрузку вычислительной машины через систему потоковой передачи данных» (Fast Machine Booting Through Streaming Storage). Фактически речь идёт о способе запуска операционной системы через «облачный» сервис в Интернете или локальной сети. По задумке Microsoft, такой подход обеспечит ряд преимуществ по сравнению с полностью локальной загрузкой ОС. В частности, говорится о более высокой степени защиты от хакерских атак за счёт своевременного и централизованного обновления компонентов. Работа из «облака» также затруднит пиратство и в ряде случаев обеспечит более высокую скорость запуска операционной системы. Например, созданный виртуальный образ операционной системы в «облаке» позволяет инициализировать начальную загрузку среды, а затем подгрузить необходимые компоненты уже в процессе работы. При этом администратор «облака» может определить параметры и настройки операционной системы с учетом особенностей каждого из пользователей. Кроме того, новая технология подразумевает разбиение памяти приложения между локальным и удаленным хранилищем данных. В качестве сетевых хранилищ данных Microsoft планирует использовать технологии FibreChannel, iSCSI, SAN, SMB. Не исключено, что для следующих версий Windows, которые появятся после Windows 8, в качестве одного из вариантов загрузки будет предусмотрено получение программного кода из «облака» для его последующего локального использования. Заявка на технологию была подана в феврале 2010 года от имени трёх сотрудников Microsoft. В настоящее время документ находится на рассмотрении.
Источник

21/08/2011 12:45 Развитие информационных угроз во втором квартале 2011 года
Лаборатория Касперского опубликовала отчет о "Развитие информационных угроз во втором квартале 2011 года", в котором рассматриваются основные источники угроз и их распространение в мире. Прежде всего, внимание исследователей привлекло увеличение числа фальшивых антивирусов. Видимо, в этом процессе виноваты сами эксперты информационной безопасности, которые рекламируют антивирусы как панацею от всех информационных угроз. С этим утверждением отчасти соглашается и Лаборатория Касперского, указывая в отчете, что установленное антивирусное программное обеспечение не закрывает уязвимости в сторонних приложениях. В отчете уточняется, что основным источником угроз во втором квартале 2011 года стали продукты компании Oracle (Java) и Adobe (Reader, Flash и Shockwave Player), содержащие наибольшее число используемых злоумышленниками уязвимостей. В среднем на каждом уязвимом компьютере Лабораторией Касперского было обнаружено порядка 12 различных уязвимостей. Еще одной причиной увеличения числа заражений при помощи лжеантивирусов называется широкое распространение лжеантивирусов FakeAV под ОС MacOS.
Следующим объектом вирусных атак стали мобильные платформы, существенно увеличилось число заражений через J2ME-приложения, а также приложения для Android и SymbianOS. Открытость приложений для ОС Android является основным недостатком этой системы, которым активно пользуются вирусописатели. Распространяемые с открытым исходным кодом приложения подвергаются добавлению в них вредоносной составляющей. Затем ссылки на модифицированные приложения распространяются на тематических форумах. Таким образом, число заражений растет пропорционально увеличению популярности платформы Android.
Продолжает расти число интернет-угроз, а именно распространение вредоносного программного обеспечения через наборы эксплоитов. В Лаборатории Касперского отмечают простоту блокировки таких угроз с использованием "черных" списков адресов, с которых происходит установка зловредов. Как правило, зловреды размещаются на веб-серверах США и России, а наибольшему риску заражения через интернет подвержены страны Ближнего Востока, такие как Оман, Россия, Ирак, Азербайджан и Армения.
Однако, основным источником информационных угроз остаются локальные источники, такие как ресурсы в локальных сетях и переносные устройства хранения информации. Число заражений через такие источники примерно в 2 раза превышает число заражений через Интернет. Среди самых распространенных вирусов остаются Kido и Sality, также в этом квартале отмечается повышенная активность вируса Nimnul.
Но не только заражение вредоносным программным обеспечением представляет угрозу пользовательской информации. Во втором квартале 2011 года отмечается резкое увеличение числа публикаций в открытом доступе личной информации о пользователях различных сервисов. Распространение такой информации может быть использовано мошенниками в различных сферах, в том числе в реальной жизни для причинения финансового ущерба. Персональные данные пользователей попадают в руки злоумышленников несколькими способами - через уязвимости в программном обеспечение и с использованием методом социальной инженерии против администраторов крупных веб-ресурсов.
В "Заключение" отчета говорится об открытие новой социальной сети компании Google, которая, по мнению экспертов Лаборатории Касперского неминуемого станет источником новых угроз и плацдармом для мошенников. От себя хочется добавить, что поверхностное исследование безопасности социальной сети Google+ говорит о том, что на текущий момент данная сеть куда более защищена от злоумышленников, чем популярная социальная сеть Facebook. Google+ использует сразу несколько технологий защиты своих пользователей, среди которых: безопасное хранение Cookie; работа только по защищенному протоколу SSL; применение механизма Nosniff; дополнительная защита от XSS-атак и внедрений X-Frame; а также ряд других технологий, с которыми во втором квартале 2011 года, еще не успели ознакомиться авторы отчета.
Отчет

21/08/2011 23:28 В хакерской группировке Anonymous появились разногласия
По сообщению интернет-издания CNET News, спустя неделю после публикации информации о пользователях американской системы скоростных электропоездов BART (myBART.org), с ними на связь вышел SparkyBlaze, один из активных членов хакерской группировки Anonymous. В общение с изданием он заявил, что выходит из состава группировки, поскольку не поддерживает действия Anonymous, направленные на раскрытие информации пользователей различных веб-сервисов: "За последние несколько месяцев многое внутри группы изменилось. Я говорю об операциях AntiSec и LulzSec. Обе они идут против того, за что выступаю Я и противоречат заявлениям Anonymous. Результатом AntiSec стала публикация персональных данных обычных пользователей. С какой целью? В чем виноваты эти люди? Имеет ли право группировка нарушать права людей на анонимность, отстаивая это право в своих заявлениях? На каких основаниях Anonymous лишили невинных людей этого права?" Общаясь с изданием SparkyBlaze рассказал немного о себе, сказав, что живет в Манчестере, Великобритания и зовут его Мэтью. Говоря о своем участие в операциях группировки, он заявил, что не жалеет об атаках на веб-сайты правительства Ирана и других антиправительственных операциях, но он сожалеет о результатах атаки на веб-сервера компании Sony, где результатом стала крупная утечка персональных данных пользователей. О возможном своем аресте Мэтью говорит следующие: "Если меня арестуют, я справлюсь с этим. Мне всё равно, чем занимаются Anonymous сейчас, Я просто хочу быть услышанным. Не все участники Anonymous так плохи, как некоторые... Некоторые хотят перемен, но они ошибаются в выборе направления..." Уход SparkyBlaze из группировки Anonymous подтвердил другой участник группы Commander X, обращаясь через сервис Pastebin к другим участникам группы, чтобы те перестали поддерживать контакт со SparkyBlaze. По утверждению других источников, уход SparkyBlaze из группы Anonymous связан с возможным раскрытием одного из звеньев группировки, а опубликованные имена и названия являются указаниями для активации ранее незадействованных ресурсов группировки.
Источник



OnAir - События:

21/08/2011 12:30 - Опубликована информация о незакрытой уязвимости в приложении интернет-телефонии Skype версии до 5.5.0.113 включительно. Уязвимость заключается в возможности внедрения произвольного HTML-кода в поля профиля пользователя. Причиной уязвимости стала недостаточная проверка отображаемой информации, и применение дополнительных средств обработки HTML синтаксиса для полей телефонного номера (Home, Office, Mobile). Теоретически, обнаруженную уязвимость можно использовать для внедрения удаленного JavaScript-кода с целью похищения информации о текущей сессии и последующей компрометации учетной записи пользователя.
Подробнее

21/08/2011 13:02 - В популярной системе для организации социальных сетей Elgg версии 1.7.10 включительно были обнаружены три опасные уязвимости. Все обнаруженные уязвимости связаны с недостаточной проверкой входных данных. Причиной первой уязвимости стала недостаточная проверка параметра "internalname" модулем "embed-media", что приводило к возможности проведения XSS-атаки. Две других уязвимости имели более серьезный характер и позволяли атакующему выполнить произвольный SQL-запрос, используя параметры "tag_names", "container_guid" и "owner_guid" поискового модуля "search". Уязвимости устранены в последующих версиях Elgg, начиная с 1.7.11, доступных на веб-сайте разработчика.
Подробнее

21/08/2011 14:45 - Веб-сайт южнокорейского представительства одного из крупнейших азиатских банков Hongkong and Shanghai Banking Corporation (HSBC) подвергся взлому. Ответственность за взлом взяла на себя турецкая хакерская группировка Turkguvenligi (Turkish Trust League), ранее известная взломами корейских представительств Microsoft, F-Secure, Adobe, BitDefender, Dell, а также бразильского представительства Microsoft, веб-сайта Secunia и многих других. Взом был произведен путем подмены DNS-записей и перенаправления запросов на IP-адрес 68.68.20.116. На текущий момент, нет информации о перехвате пользовательских данных клиентов банка.
Подробнее


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru