uinC NewsLetter #49, 2011


Приветствуем!

Новости из Security Мира

5/12/2011 09:11 Новая интернет-атака маскируется под платежные системы
В интернете отмечена новая сетевая атака, организаторы которой обещают переводы электронных денег на счета жертв. ИТ-компания Solera Networks сообщила о новой атаке, использующей популярные веб-эксплоиты для загрузки злонамеренного программного обеспечения по принципу drive-by. Для сокрытия местоположения атакующих сайтов, злоумышленники используют сервис сокращения гиперссылок Google goo.gl. Организаторы утверждают, что сама атака происходит, якобы, от организации Electronic Payments Association. В кампании хакеры утверждают, что некая система платежей не смогла провести в отношении пользователей операцию прямого депонирования средств. Когда же пользователь переходит по ссылке, надеясь получить более подробную информацию, то ему через браузер пытаются загрузить через Java- и Flash-эксплоиты ряд вредоносных программ. Эндрю Брандт, директор по исследованию сетевых угроз Solera Networks говорит, что обнаруженная ими атака является частью более широкой тенденции по использованию браузерных эксплоитов и компонентов сторонних, направленных на кражу пользовательских данных. "Можно сказать, что нечто подобное мы фиксируем постоянно и если суммировать все эти попытки, то получаются очень масштабные кампании", - говорит он. Также он отметил, что данная атака демонстрирует и еще одну нездоровую тенденцию - использование сервисов сокращения ссылок для маскировки вредоносных ресурсов.
Источник

5/12/2011 10:01 Появились бесплатные утилиты для обнаружения Carrier IQ
На прошлой неделе ряд экспертов указали на наличие "миллионов" смартфонов, где производителями и операторами было тайно установлено программное обеспечение Carrier IQ, вызвавшее неоднозначную реакцию пользователей и независимых экспертов, так как данный софт позволял регистрировать многие действия мобильного устройства и его пользователей. Особенность Carrier IQ заключалась в том, что данную разработку можно было встроить совершенно тайно от пользователя и присутствие программы в системе ничего бы не выдавало. В компании Lookout Labs, производящей антивирусное ПО для системы Android, говорят, что им удалось изучить систему Carrier IQ и составит так называемую цифровую сигнатуру продукта, а также выпустить бесплатную утилиту Carrier IQ Detector, позволяющую обнаруживать следы присутствия Carrier IQ на смартфоне. В Lookout говорят, что их утилита представляет собой простейший детектор Carrier IQ, которая после установки на телефон полностью сканирует устройство и обнаруживает (или не обнаруживает) указанный продукт. Отметим, что в Android Market за последние несколько дней появился целый ряд различных утилит, предлагающих обнаружить и уничтожить Carrier IQ. Кроме продуктов от известных производителей, таких как Bitdefender, в Android Market опубликовано большое число утилит, разработанных энтузиастами и велика вероятность того, что под теми или иными программами будут распространяться вредоносные программы, которые под видом трудности излечения смартфона от Carrier IQ будут получать полный контроль над устройством и производить действия куда более опасные чем Carrier IQ. Разработчики из Lookout Labs утверждают, что Carrier IQ как правило обнаруживается в system.img или boot.img, что не позволяет удалить Carrier IQ средствами обычных утилит. Сами разработчики говорят, что если пользователь обнаружил шпионское ПО у себя на устройстве, то он может обратиться к оператору или к производителю (либо в суд).
Источник

5/12/2011 10:35 Пенсионный фонд в спешке закупает серверы IBM по 70 млн руб. за штуку
Пенсионному фонду срочно требуются серверы IBM для использования в СМЭВ. Их стоимость вместе с системным ПО производитель и потенциальные поставщики оценили в 70 млн руб. за штуку. Требуемые сроки поставки – до 15 декабря, скорее всего, идут вразрез с законом о защите конкуренции, считают в ФАС. Сегодня, 5 декабря, Пенсионный фонд России (ПФР) проводит два аукциона на закупку оборудования и лицензий на ПО на общую сумму в 277 млн руб. Как следует из конкурсной документации, они необходимы для «портала ПФР». Сроки поставки по обоим конкурсам обозначены «не позднее 15 декабря», т.е. – всего 10 дней с момента проведения аукциона. Заявки на участие в аукционе традиционно состоят из двух частей – первая должна содержать согласие потенциального участника поставить товар и показатели этого товара, вторая - информацию о самом поставщике. По закону о госзакупках контракт с поставщиком может быть заключен не ранее, чем через 10 дней с момента публикации на сайте итогового протокола о рассмотрении вторых частей заявок, сообщил CNews начальник управления ФАС по контролю за размещением госзаказа Михаил Евраев. Этот срок отводится для того, чтобы не допущенные к участию в нем поставщики имели возможность обжаловать решение комиссии. Рассмотрение первых частей заявок по обоим аукционам прошло в пятницу, 2 декабря. Протоколы по итогам их рассмотрения до сих пор не опубликованы. Тем временем, уже опубликована информация о проведении аукциона на закупку оборудования. Полный текст протокола на официальном сайте госзакупок отсутствует, однако там говорится, что аукцион проводился на площадке etp.zakazrf.ru и насчитывал два предложения. Максимально цена была снижена до 149,7 млн руб. В данном случае речь может идти о нарушении закона о конкуренции: сроки установлены таким образом, что это приводит к ограничению количества участников, говорит Евраев. «При наличии официальной жалобы по этому поводу, она, как положено по закону, будет рассмотрена в течение пяти дней», - заявил он CNews. «Порталом» в документации называется не сайт ПФР, а система информационного обмена, использующаяся в рамках системы межведомственного электронного документооборота (СМЭВ) и для оказания госуслуг в электронном виде, говорит источник в ПФР. Изначально максимальную стоимость оборудования по первому аукциону ПФР оценил почти в 180 млн руб., однако с учетом того, что «снижение цены может составить до 18%», установил ее для участников аукциона на уровне 152 млн руб. Основная часть суммы приходится на два высокопроизводительных сервера IBM Power Systems 750 с системным ПО, стоимость которых без учета возможной 18% «скидки» оценена в 70 млн руб. за штуку. Цена высчитывалась на основании информации, которую прислала IBM и дистрибуторы ее техники «Ландата» и Digital Machines, говорится в документации. Один Power Systems 750 может включать от 1 до 4 сокетов под процессоры с 4, 6, и 8 ядрами. Из тендерного ТЗ следует, что ПФР хочет получить по 32 ядра в каждом сервере, 128 ГБ оперативной памяти, 56 HDD объемом 283 ГБ. Работать они должны под управлением ОС IBM i5/OS версии 6.1, а помимо нее включать ряд другого системного ПО – например, средства управления и мониторинга. Начальная цена второго аукциона – на закупку лицензий на ПО для портала – составляет 129 млн руб. Среди ПО, право пользования которым хочет приобрести ПФР, серверы приложений IBM WebSphere Application Server Network Deployment (свыше 15 тыс. лицензий) и IBM WebSphere Application Server (840 лицензий), софт для обмена данными между приложениями IBM WebSphere MQ (7,2 тыс. лицензий), сервер порталов IBM WebSphere Portal Enable (320 лицензий), а также ряд других продуктов IBM, на каждый из которых фонду нужно небольшое число лицензий. Помимо ПО IBM, список включает пару продуктов VMware.
Источник

5/12/2011 12:05 Обновление iOS 5.1 не решило проблем с аккумулятором в iPhone 4S
Обновление iOS 5.1 beta по-прежнему не может решить проблемы, связанные с быстрым разрядом аккумулятора в смартфоне Apple iPhone 4S. Решение проблемы с аккумулятором было одной из главных задач при разработке новой версии прошивки. Однако многочисленные жалобы пользователей, которые получили разработчики, а также заявления, что ситуация с аккумулятором только ухудшилась, свидетельствуют о том, что выход из данной ситуации все же не был найден. По мнению аналитика Майкла Гартенберга (Michael Gartenberg), увеличение срока работы аккумулятора от одной зарядки может быть достигнуто либо в результате уменьшения многозадачности смартфона, либо в ущерб сроку службы батареи. Возможно, продление автономной работы iPhone 4S будет достигнуто в результате отключения несущественных уведомлений при помощи услуг сервиса iCloud. По мнению Майкла Моргана (Michael Morgan), эксперта в области мобильных устройств, именно использование этого сервиса, путем уменьшения количества синхронизаций смартфона, сможет продлить время работы батареи. Морган также отметил, что отключение Siri сможет улучшить показатели аккумулятора.
Источник

5/12/2011 15:12 Для работы Windows 8 потребовалось изменение BIOS
Компания Phoenix Technologies, специализирующаяся на разработке BIOS, анонсировала выпуск решения Phoenix SCT 2.2, которое должно помочь производителям ПК с ОС Windows 8. По словам Phoenix, в SCT 2.2 добавлено более 60 новых функций, связанных с поддержкой Windows 8. Они позволяют оптимизировать производительность, безопасность, средства подключения и другие аспекты. Решение соответствует требованиям стандартов UEFI 2.3.1, TCG 1.2/2.0, ACPI 4.0/5.0, USB 3.0, SMBIOS 2.7 и NIST-SP800-147. Кроме того, Phoenix разрабатывает BIOS для платформы Windows on ARM (WoA), сотрудничая в этом с Qualcomm и Texas Instruments. Предполагается, что платформа WoA включится в конкуренцию на рынке ноутбуков уже 2013 году. К достоинствам WoA относят малое энергопотребление и меньшую цену, а основой проблемой может стать недостаток программного обеспечения. В настоящее время Phoenix занимает 45% рынка BIOS для ноутбуков. Оставшиеся 55% принадлежат Insyde Software. В настольных ПК доминирует American Megatrends (AMI).
Источник

6/12/2011 09:20 "Эхо Москвы" пожаловалось на хакеров в Генпрокуратуру и управление "К" МВД
Руководство радиостанции "Эхо Москвы" направило заявление в Генеральную прокуратуру, Министерство внутренних дел и управление "К" МВД, занимающееся борьбой с киберпреступлениями, по факту DDoS-атаки на сайт радиостанции 4 декабря. Об этом сообщается на сайте "Эха Москвы". Как сообщает "Эхо", заявления были поданы с целью проинформировать правоохранительные органы о произошедшей атаке на сайт. Кроме того, в заявлении содержится просьба "принять срочные меры по обеспечению защиты" радиостанции "Эхо Москвы" и ее сайта. Заявления в Генпрокуратуру и МВД были подписаны главным редактором радиостанции "Эхо Москвы" Алексеем Венедиктовым и главным редактором сайта "Эха" Андреем Ходорченковым. О подготовке обращений в правоохранительные органы в блоге радиостанции сообщалось еще вчера. Кроме того, в воскресенье, 4 декабря, "Эхо Москвы" направило заявление с сообщением о DDoS-атаке в ЦИК. В документе говорилось, что руководство радиостанции связывает атаку на свой сайт с информацией о нарушениях на выборах, которую публиковало "Эхо". В частности, сайт "Эха Москвы" стал информационным партнером проекта "Карта нарушений" после того, как баннер "Карты" был убран с сайта "Газеты.ру". Алексей Венедиктов добавил в понедельник в своем Twitter, что холдинг "Газпром-Медиа", в который входит "Эхо Москвы", уже начал работу "по выявлению организаторов и участников вчерашней атаки на сайт Эха". В день выборов в Государственную Думу DDoS-атаке подверглись сразу несколько сайтов независимых СМИ. В их числе сайты "Коммерсанта", "Большого города", The New Times и Slon.ru.
Источник

6/12/2011 09:48 "Яндекс" предложил пользователям бесплатный антивирус
Компания "Яндекс" предложила пользователям скачать бесплатную версию антивируса Касперского с лицензией на полгода. О предложении сообщается в блоге компании. Предложением могут воспользоваться пользователи из России, Украины, Белоруссии и ряда стран бывшего СССР. По истечении полугода с момента загрузки пакета можно будет приобрести антивирус со скидкой 20 процентов. Скидка будет доступна только при оплате "Яндекс.Деньгами". При этом подчеркивается, что для данной версии продукта недоступна техническая поддержка, а в случае возникновения проблем пользователям советуют обращаться к "Базе знаний" на сайте "Лаборатории Касперского". Вместе с антивирусом пользователям будет предложено установить "Яндекс.Бар" - надстройку над браузерами, предоставляющую быстрый доступ к ряду функций ресурса. Помимо совместного с "Лабораторией Касперского" продукта, "Яндекс" обладает собственной антивирусной технологией, направленной на защиту пользователей от перехода на вредоносные сайты. Технология работает на стороне сервера и предупреждает о возможных опасностях.
Подробности

6/12/2011 10:11 Хакеры украли данные 3,5 млн пользователей покер-рума Ultimate Bet
Стало известно об утечке большого количества личных данных пользователей популярного в Сети покер-рума Ultimate Bet. Утечка произошла в результате хакерской атаки. Злоумышленникам удалось взломать сервер Ultimate Bet и получить доступ к данным более чем 3,5 млн игроков. Позже данная информация была опубликована в свободном доступе. Слитая в Сеть информация включает в себя полные имена пользователей, ники, IP-адреса, домашние адреса и прочие контактные данные, номера аккаунтов (идентификаторы на сайте), дни рождения и методы внесения депозитов, сообщает PokerStrategy.com. При этом, хакерам, судя по всему, не удалось получить доступ к финансовым данным пользователей. В украденной базе данных содержалась информация о 2 млн игроков из США, более 300 тыс. канадцев, более 100 тыс. британцев, а также около 1 млн аккаунтов игроков остального мира. «Мотивы атак на подобные финансоемкие сервисы очевидны — злоумышленники охотятся за наживой. То, что по первым признакам взлома кажется, что хакерам не удалось добраться до данных о счетах пользователей, еще не означает, что они не получат их в дальнейшем, — считает директор по маркетингу разработчика DLP-систем SecurIT Александр Ковалев. — Ведь собственная ценность украденных персональных данных не столь велика (тем более что вскоре после взлома они были опубликованы в свободном доступе), зато они дают доступ к аккаунтам владельцев и, возможно, управлению их активами. Именно поэтому первая срочная мера, которую могут и должны предпринять пострадавшие, весьма проста — сменить пароли от аккаунтов».
Источник

6/12/2011 11:38 Opera Software выпустила Opera 11.60
Компания Opera Software представила новую версию своего веб-браузера Opera 11.60. В Opera 11.60 появилось несколько значительных новшеств, а кроме того включает новый HTML5 парсер, помогающий унифицировать программный код сайтов для всех браузеров. «Почти 50% людей в мире никогда не пробуют новые браузеры. Это те, кто живут с нами по соседству, и, быть может, кто-то, кого мы знаем лично. Почему бы не помочь им попробовать что-то лучшее в уходящем году? Люди проводят с браузером больше времени, чем в своих автомобилях, и то, чем они пользуются для выхода в Интернет не менее важно, чем то, на чём они ездят», - говорит Ян Стандал, вице-президент по настольным продуктам Opera Software. В заявлении норвежского разработчика браузеров говорится, что ядро браузера Opera 11.60 было существенно усовершенствовано, что обеспечило более быструю и стабильную работу в Интернете. Функционал адресной строки был дополнен новыми поисковыми подсказками, и теперь можно быстрее находить любимые веб-сайты в результатах поиска. Также в браузере был обновлен встроенный почтовый клиента Opera, позволяющий автоматически управлять почтовыми сообщениями. Вдобавок в этому, В версии 11.60 представлено множество улучшений, в том числе более чистая раскладка, группировка писем, интуитивно более понятное представление входящих писем и упрощенная навигация.
Список изменений

6/12/2011 12:21 ТТК и Ростелеком заключили соглашение о пиринге трафика
«Компания ТрансТелеКом» (ТТК), один из крупнейших федеральных операторов связи в России, и телекоммуникационная компания «Ростелеком» заключили договор о присоединении сетей передачи данных и взаимном пропуске Интернет-трафика (пиринге). Договор предусматривает установление прямых соединений между сетями «Ростелеком» и ТТК. Данные соединения позволяют оптимизировать маршруты обмена данными между пользователями и Интернет-ресурсами в сетях обеих компаний, а также повысить эффективность использования собственных сетей связи. В рамках договора стороны организовали пиринговые соединения в Москве, Санкт-Петербурге, Новосибирске и Иркутске. В настоящее время рассматривается техническая возможность организации стыков в Нижнем Новгороде, Самаре, Хабаровске, Казани, Перми, Калининграде и других городах Российской Федерации. «Сотрудничество двух крупнейших магистральных игроков, ТТК и «Ростелеком», контролирующих порядка 70% рынка IP-транзита России, позволит существенно повысить качество услуг доступа в Интернет для региональных клиентов операторов», – сказал Виталий Котов, вице-президент ТТК и руководитель блока «Магистраль». По словам исполнительного директора - директора департамента по работе с операторами связи «Ростелеком» Евгения Секерина, «соединение сети «Ростелеком» с сетью ТТК позволит обеим компаниям оптимизировать маршрутизацию трафика, повысить качество услуг для клиентов - пользователей Интернет, а также будет способствовать улучшению связности всего российского сегмента сети Интернет».
Источник

6/12/2011 14:19 Национальный банк Украины пытается убедить банки в незаконности WebMoney
За последнее время украинские банки неоднократно получали информацию Генерального департамента платежных систем Национального банка Украины о «незаконности системы WebMoney в Украине». Об этом сообщается на сайте Украинской межбанковской Ассоциации членов платежных систем, которые выступают за законность системы Webmoney в рамках действующего законодательства страны. Ассоциация располагает правовой экспертизой института Государства и Права при АН Украины о деятельности предприятий, использующих в Украине ТМ «WebMoney». В частности, заключение включает в себя анализ деятельности и выводы, согласно которым «введение и использование Титульных знаков как единиц учета количества прав требования (денежного требования в гривнах) не противоречит действующему законодательству». Кроме того, согласно выводам, «переуступка прав требования, учитываемых в системе учета имущественных прав WebMoney Transfer с помощью Титульных знаков, ... не могут быть отнесены к деятельности по выпуску, погашению или обеспечения оборота электронных денег (в контексте Положения «Про электронные деньги в Украине» – 481 Постановление Правления НБУ)» и «WebMoney Transfer (система учета имущественных прав) не является платежной системой, поскольку не выполняет главную функцию платежной системы – не осуществляет перевод денег». Экспертиза, о которой идет речь на сайте Ассоциации, также определила, что «деятельность финансовых учреждений (банков, небанковских финансовых учреждений) по приему платежей от населения и их переводу ... в пользу компаний, которые приобрели у ООО «УГА» права требования и осуществляют их дальнейшую продажу физическим лицам, соответствует законодательству Украины». Вместе с тем Ассоциация не располагает информацией о том, что Гендепартамент платежных систем обращался к компаниям, использующим ТМ «Webmoney» в Украине, с требованием представить какие-либо документы об использовании ТМ «Webmoney» для вынесения правовой оценки деятельности компаний.
Источник

6/12/2011 14:41 Украденные у Restaurant Depot кредитки были размещены на российском сервере
Американский оптовый поставщик продуктов питания Restaurant Depot разослал своим клиентам письмо с известием о том, что его система обработки платежей с банковских карт подверглась хакерской атаке, в результате которой данные карт были украдены. Письмо опубликовал в интернете один из получивших его клиентов. Restaurant Depot является одним из крупнейших поставщиков еды для общепита в США: его склады расположены более чем в половине штатов страны. Для широкой общественности они закрыты – закупаться в них возможно только по подписке. В сети покупают продукты местные рестораны, бары, пиццерии, ночные клубы и другие заведения, говорится на сайте компании. «Следователи установили, что воры внедрили вредоносное ПО в систему обработки кредитных и дебетовых карт, которую мы используем в наших магазинах. Оно собирало информацию о картах в то время как они обрабатывались, временно хранило ее, а затем пересылало на сервер, расположенный в России», - говорится в сообщении Restaurant Depot. Для расследования оптовик нанял фирму Trustwave, специализирующуюся на ИТ-криминалистике, говорится в письме клиентам. Она выясниля, что хакерам стали доступны имена владельцев банковских карт, их номера, а также коды верификации. Появление в системе вредоносного ПО в Restaurant Depot заметили не сразу. В письме клиентам говорится, что кража информации относится к картам, использовавшимся в магазинах Restaurant Depot в период с 21 сентября по 18 ноября. При этом, как следует из письма, за расследованием в Trustwave сеть обратилась только 10 ноября, через два дня после того, как узнала о том, что некоторые их клиенты столкнулись с карточными аферами. Не слишком расторопно, судя по всему, cработали и ИТ-криминалисты из Trustwave: в письме говорится, что у них ушла неделя на то, чтобы идентифицировать вредоносное ПО и заблокировать механизмы, позволявшие экспортировать данные из системы обработки карт. Данные скольких всего карт были экспортированы на российский сервер, в письме Restaurant Depot не сообщается. Стоит отметить, что это далеко не первый случай кражи данных банковских карт в США, где присутствует «русский след». Так, в 2011 г. американская полиция обезвредила одну из крупных хакерских сетей, действовавшую несколько лет. За ней также стояла преступная группа из России, уверена местная полиция. Как и в случае с Restaurant Depo, участники группы получали данные кредитных карт с помощью вредоносного ПО. По оценкам правоохранительных органов, объем похищенных средств может достигать $100 млн. В 2011 г. в США также завершился громкий процесс, связанный с кражей данных о банковских картах при помощи вируса Zeus. Группа, насчитывавшая более 25 человек, состояла из выходцев из России и других стран Восточной Европы, большинство из которых въехали в страну по студенческим визам. Общий объем украденных с помощью Zeus средств оценивается примерно в $70 млн.
Источник

6/12/2011 15:09 Первые телефоны с поддержкой карт nano-SIM появятся в 2012 году
Европейский институт стандартов по телекоммуникациям (ETSI) до конца года утвердит стандарт SIM-карт нового типа — nano-SIM, о разработке которых немецкая компания Giesecke & Devrient объявила в ноябре. Размеры nano-SIM составляют 12×9 мм, что примерно на треть меньше, чем у micro-SIM. Если сравнивать с обычными сим-картами, то размеры уменьшились на 60%. При этом карты утончились на 15%. Сообщается, что первые мобильные телефоны и смартфоны с поддержкой nano-SIM появятся в 2012 году. Через специальные переходники использовать SIM-карты нового формата можно будет и в нынешних сотовых аппаратах. Ожидается, что появление nano-SIM даст производителям возможность несколько уменьшить толщину телефонов или высвободить место под дополнительные электронные компоненты. Образцы SIM-карт нового типа уже доступны для тестирования.
Источник

6/12/2011 15:15 15-летний хакер обнаружил XSS-уязвимости в Twitter и Facebook
В ходе изучения функций Twitter для разработчиков 15-летний эксперт по безопасности Белмин Вехабович (Belmin Vehabovic) на одной из страниц обнаружил XSS-уязвимость. По данным специализированного ресурса The Hacker News, уязвимость найдена на странице для разработчиков с описанием возможностей применения кнопки Follow. После обнаружения уязвимости исследователь сообщил о ней специалистам Twitter. К моменту написания данной заметки уязвимость была закрыта. Несмотря на свой возраст, Вехабович периодически мелькает в сводках новостей по интернет-безопасности. Незадолго до обнаружения уязвимости в Twitter юный хакер сообщил инженерам Facebook о наличии аналогичного изъяна в безопасности социальной сети, за что получил вознаграждение в размере $700. Кроме того, он является активным участником команды добровольцев по поиску уязвимостей в продуктах корпорации Google и в ближайшее время, после окончания учебы, планирует примкнуть к команде Google Security Team.
Источник

6/12/2011 15:44 Microsoft выпустила Service Pack 2 для Exchange Server 2010
Корпорация Microsoft выпустила обновление Service Pack 2 для программного обеспечения MS Exchange Server 2010, предназначенного для организации почтового сервера, поддержки контакт-листов и управления календарями. Service Pack 2 включает в себя не только традиционные исправления ошибок и улучшения, повышающие стабильность, но и реализует в Exchange Server 2010 возможность "гибридного развертывания" в локально-облачной среде. После установки SP2, пользователи этого серверного программного обеспечения получат возможность инсталляции Exchange как на локальных серверах, так и частично в вычислительном облаке. Впервые гибридные развертывания были презентованы в RTM-версии (Release to Manufacturing) набора Exchange 2010. Они позволяют компаниям плавно мигрировать с серверов, используемых локально, в вычислительные облака, делая это плавно и не нарушая функциональности работы электронной почты в даже очень крупной компании. Изменения, реализованные в SP2, позволяют гарантировать, что с собственными почтовыми ящиками могут работать как локальные клиенты, так и клиенты, подключающиеся к облачной среде. Помимо этого, SP2 включает в себя новые шаблоны и мастера конфигурации и настройка продукта специально под гибридные развертывания. Мастера позволяют выбрать оптимальный вариант использования и установить правила маршрутизации, обмена данными и миграции с локальной среды в облачную и наоборот. В компании не исключают, что в перспективе подобный подход будет реализован и для других корпоративных решений Microsoft, которые смогут беcшовно взаимодействовать с Office 365 и Azure.
Источник

6/12/2011 16:18 Google поставил под вопрос будущее Mozilla Firefox
Будущее популярного браузера Firefox от Mozilla оказалось под вопросом после того, как соглашение о сотрудничестве компании с интернет-гигантом Google, продленное в 2008 г. и приносившее Mozilla львиную часть дохода, завершилось. Поисковая сделка с Google, в рамках которой поисковик этой компании является поиском по умолчанию в Firefox, а Google.com - домашней страницей по умолчанию, истекла в ноябре текущего года и до сих пор не была продлена. Как отмечают эксперты, это говорит о том, что Mozilla может остаться без крупнейшего для себя источника доходов. Ранее компания сообщала, что сотрудничество с Google приносило ей 84% доходов в 2010 г. и 86% - в 2009 г. Для справки, выручка компании по итогам прошлого года достигла $123 млн (то есть около $100 млн из них принесла сделка с поисковым гигантом). Компания Mozilla не комментирует вопрос о том, ведут ли они переговоры с Google о продолжении сотрудничества. Ответ не был дан ни несколько дней назад, в декабре, ни в июле, когда журналисты уже поднимали эту тему. В компании заявили, что «не располагают какой-либо информацией, которой могли бы поделиться». Что интересно, даже в финансовом отчете Mozilla «поисковый партнер» не упоминается по имени, что может говорить о весьма натянутых отношениях между сторонами. По мнению некоторых аналитиков, в случае отказа Google от поискового партнерства (что вероятно ввиду конкуренции компаний на рынке) браузер Firefox ожидают сложные времена. По информации StatCounter, в ноябре доля Chrome достигла 25,70% против 25,23% у Firefox. Internet Explorer же занял 40,63% рынка. Согласно Net Applications, за последние 2 года доля Firefox на мировом рынке сократилась с 25% до 22%, тогда как Chrome - выросла с 5% до более чем 18%.
Источник

6/12/2011 20:23 Download.сom уличён в распространении Nmap с троянскими вставками
Гордон Лион (Fyodor), автор известного сканера безопасности Nmap, обнаружил, что данная программа распространяется с троянскими вставками крупнейшим в мире каталогом программного обеспечения Download.com, который принадлежит CNET. Технически это реализовано в виде инсталлятора, который является оберткой для родного инсталлятора Nmap для Windows. Данный инсталлятор при его запуске скрытно устанавливает различные расширения для браузера Internet Explorer, такие как тулбар "Start Now ", а также изменяет поисковую систему по-умолчанию на Microsoft Bing и в качестве домашней страницы устанавливает Microsoft MSN. Интересно, что на странице для загрузки на Download.com утверждается, что это оригинальный инсталлятор от Nmap, и даже приводится его правильный размер, несмотря на то, что он не совпадает с размером реально скачиваемого дистрибутива программы. Автор Nmap отправил на проверку инсталлятор CNET в сервис VirusTotal.com, где 10 из 42 антивирусов (в частности Panda, McAfee, F-Secure и другие) обнаружили различные троянские вставки. Подобные случаи обмана описывают и авторы других программ, например, медиаплеера VLC. Дальше Fyodor гневно объясняет, что код Nmap поставляется под лицензией GPL, расширенной рядом дополнительных требований, в которых явно запрещены подобные манипуляции. Кроме того nmap является зарегистрированной торговой маркой в США, и попытки использовать их названия, программу и логотип сторонними лицами - незаконны. Хуже того, Fyodor говорит, что он и представить себе не мог, что с помощью Nmap будут продвигать сервисы Microsoft (CNET принадлежит CBS, спонсором которой является Microsoft, оплачивая установку подобного стороннего ПО). Своё письмо Fyodor заканчивает нецензурным выражением и просьбой подсказать ему стоящего адвоката, специализирующегося на авторских правах.
Источник

7/12/2011 09:42 Nokia и Mail.ru Group представили мобильный браузер
Производитель мобильных устройств Nokia и интернет-холдинг Mail.Ru Group запустили мобильный браузер для телефонов Nokia на платформе Series 40. Об этом сообщается в поступившем в редакцию "Ленты.ру" пресс-релизе. Браузер будет интегрирован с сервисами Mail.ru, в том числе с почтой, социальной сетью "Мой мир" и новостным агрегатором. Загрузить его можно, зайдя на сайт m.mail.ru с мобильного телефона. В браузере используется технология сжатия данных, что позволит пользователям сэкономить на расходах на интернет-трафик. Она применяется и в мобильных браузерах других производителей, в частности, в Opera Mini. Сообщается, что браузер будет совместим в общей сложности с 27 моделями телефонов Nokia на платформе Series 40. В их число вошли Nokia 2700, X2-00, 5130, C3-00, 6700, 6303. Платформа Series 40 была представлена в 2002 году. Ее используют, в основном, бюджетные модели телефонов Nokia, хотя она применялась и в некоторых моделях элитных телефонов Vertu. Series 40 поддерживает приложения на Java и технологию Flash Lite. Nokia является лидером по числу проданных мобильных телефонов несмотря на то, что на рынке смартфонов проигрывает устройствам на Android и iOS. По оценкам Gartner, за третий квартал года компания продала 105,4 миллиона телефонов.
Источник

7/12/2011 10:26 Власти Украины переходят на СПО с опозданием на год
Глава правительства Украины утвердил государственную программу миграции органов власти на СПО. В течение ближайших трех лет на это потребуется чуть больше $5,2 млн. Внедрение СПО в украинских органах власти было перенесено на год. Это следует из постановления правительства, глава которого Николай Азаров утвердил программу «Программы использования в органах государственной власти программного обеспечения с открытым кодом на 2012-2015 г.г.». Прежняя версия программы предполагала, что отказ властей Украины от проприетарного программного обеспечения и их миграция на СПО будет осуществляться в 2011-2014 г.г. Можно вспомнить, что сама концепция госпрограммы была разработана Государственным агентством по вопросам науки, инноваций и информатизации (Госинформнаукой) еще в 2009 г. В бюджете Украины на программу миграции (обновленный текст которой CNews любезно предоставила киевская редакция газеты «Коммерсант») суммарно выделено 41,843 млн гривен ($5,23 млн). При этом 37,688 млн ($4,71 млн) будут поступать за счет государственного бюджета, а 4,155 млн гривен ($520 тыс.) - «за счет иных источников». Все суммы финансирования, указанные в программе перехода на СПО, названы ориентировочными. Авторы программы видят три пути сокращения бюджетных расходов на ПО. Первый предполагает дальнейшее использование проприетарного ПО и ведет к рискам, связанным с использованием широко распространенных на Украине нелицензионных программ и требует «раз в четыре-пять лет» тратить на лицензирование до 1,5 млрд гривен или около $187 млн. Второй путь - это полная замена в органах госвласти проприетарного ПО на ПО с открытым кодом. Наконец, третий путь, связанный с постепенным внедрением СПО, в программе называется оптимальным.
Источник

7/12/2011 10:49 Закрытые фотографии пользователей Facebook стали общедоступными
В результате очередной небрежности разработчиков Facebook владельцы аккаунтов в сети смогли получить доступ к закрытым фотографиям других пользователей, включая фото основателя социальной сети Марка Цукерберга. Глава Facebook Марк Цукерберг (Mark Zuckerberg) стал жертвой ошибки в системе безопасности собственной социальной сети, в результате которой возможность доступа к его личным фотографиям ровно как и фотографиям других пользователей смогли получить владельцы других аккаунтов, сообщает Bloomberg. Доступ к фотографиям можно было получить, совершив ряд манипуляций. Во-первых, пользователю было необходимо указать на любую фотографию, размещенную в свободном доступе в целевом аккаунте, как содержащую некорректный материал, например, порнографию или сцены насилия. После отправки жалобы сеть Facebook предлагала пользователю указать дополнительные фотографии выбранного аккаунта, которые могут содержать аналогичный контент. При выборе соответствующей опции открывались несколько последних загруженных фото, закрытых для просмотра сторонним лицам. Метод доступа к закрытым фотоснимкам был описан на форуме веб-сайта Bodybuilding.com, что вызвало искреннюю радость пользователей, сумевших подсмотреть за людьми, которые их интересуют. Однако метод заработал не у всех и не во всех браузерах. Самые же расторопные проникли в учетную запись Марка Цукерберга и анонимно разместили в интернете его личные фотографии. В Facebook достаточно оперативно отреагировали на обнаруженную брешь, немедленно отключили систему оповещения и приступили к поиску недочета. В компании сообщили, что ошибка возникла после одного из последних обновлений движка Facebook, и что воспользоваться данным методом можно было в течение весьма короткого периода.
Подборка из 14 фотографий

7/12/2011 12:27 В Adobe Reader и Acrobat вновь обнаружена критическая уязвимость
Компания Adobe Systems подтвердила наличие незакрытой уязвимости в программном обеспечении Adobe Reader и Acrobat. Уязвимость CVE-2011-2462 уже взята на вооружение интернет-преступниками. В заявлении Adobe говорится, что компания выпустит исправление для Windows-версии Reader и Acrobat 9 не позднее конца будущей недели. Напомним, что во вторник 12 декабря корпорация Microsoft также проведет ежемесячный выпуск исправлений для своих продуктов. Согласно описанию Adobe, критически опасная уязвимость была найдена в Adobe Reader X 10.1.1 и более ранних версиях для Windows и Mac, а также в Adobe Reader 9.6 для всех поддерживаемых ОС (Unix, Windows, Mac). Уязвимость позволяет провести переполнение буфера, выполнить произвольный программный код и потенциально получить контроль над системой. В опубликованном Adobe бюллетене безопасности сказано, что на сегодняшний день использование уязвимости носит очень ограниченный и целенаправленный характер. Большинство попыток нападения зарегистрировано на Reader 9.6 под Windows. Сама компания идентифицирует уязвимость как "U3D memory corruption vulnerability". U3D представляет собой технологию Universal 3D и файловый формат для хранения трехмерных графических данных. Уязвимость исходит из того, что злоумышленники могут внедрить в PDF-документ вредоносный U3D-контент, исполнение которого в системе вызывает переполнение буфера. Отметим, что первыми об обнаружении уязвимостей заявили технические специалисты американских компаний Lockheed Martin и MITRE, где U3D применяется для трехмерного моделирования и хранения данных. В Lockheed говорят, что обнаружили уязвимость, работая над данными для истребителя F-22 Raptor и F-35 Lightning II. В MITRE - когда работали с данными Федерального управления авиации США. Напомним, что ранее Lockheed уже сообщала, что в мае этого года стала жертвой хакерской атаки.
Источник

8/12/2011 09:28 МВД предложило запретить анонимность в интернете
Начальник бюро специальных технических мероприятий МВД России Алексей Мошков выступил против анонимности в интернете. В интервью "Российской газете", опубликованном 8 декабря, Мошков предложил ввести в киберпространстве "фейс-контроль", который поможет бороться с преступностью. "Зарегистрируйся под реальным именем, сообщи настоящий адрес - и общайся, - заявил он. - Если ты - честный, законопослушный человек, зачем прятаться?". По мнению Мошкова, социальные сети нередко "несут в себе потенциальную угрозу устоям общества". Начальник бюро уточнил, что через интернет "экстремистские группы организуются, ведут агитацию", а также "координируют свои акции". В качестве примера подобных мероприятий он привел выступления на Манежной площади Москвы в декабре 2010 года. Кроме того, Мошков заявил, что анонимность в социальных сетях способствует вовлечению несовершеннолетних в проституцию, мошенничеству, распространению вредоносных программ и порнографии. При этом он подчеркнул, что "в большинстве случаев" полиции удается найти преступников, действующих через интернет. Глава правозащитного центра "Мемориал" Олег Орлов в интервью "Интерфаксу" назвал выступление Мошкова "первой ласточкой", которая предвещает наступление российских правоохранительных органов на свободу в интернете. В состав бюро специальных технических мероприятий МВД, которое возглавляет Мошков, входит управление "К". Именно оно занимается борьбой с вредоносными программами, распространением порнографии и другими компьютерными преступлениями. Ранее 8 декабря стало известно, что Россия и некоторые другие государства выступили против "Декларации о фундаментальных свободах в цифровой век", которая рассматривалась на сессии министров ОБСЕ. По данным "Радио Свобода", проект документа, касающегося соблюдения прав граждан в интернете, поддержали большинство из 56 стран-членов ОБСЕ. Однако принятие декларации, как утверждает корреспондент радиостанции, "натолкнулось на сопротивление группы государств, считающих интернет опасным для своего политического устройства". Кроме того, наблюдатели от ОБСЕ отчитались на сессии о нарушениях в ходе выборов в Госдуму 4 декабря. Глава российского МИДа Сергей Лавров, в свою очередь, обвинил организацию в "навязывании двойных стандартов" и досрочно покинул сессию.
Источник

8/12/2011 09:59 Создатель "Вконтакте" рассказал о требовании ФСБ закрывать оппозиционные группы
Создатель социальной сети "ВКонтакте" Павел Дуров заявил о давлении со стороны Федеральной службы безопасности. Свою переписку с Дуровым в блоге опубликовал пользователь edvvvard (Эдуард Котище Кот), который является администратором группы "- РосПил - война коррупции - Алексей Навальный -". По словам Эдуарда, вечером 6 декабря в группе оказалась отключена возможность заводить новые темы и оставлять комментарии. Он написал об этом в твиттере, на что Павел Дуров ответил: "Группа вошла в ограничение 16384 постов за сутки. Сейчас мы меняем алгоритмы ради вас". В результате максимальное число публикаций было увеличено до 64 тысяч. После этого между Эдуардом и Павлом Дуровым состоялся диалог через сообщения "ВКонтакте". Администратор группы Навального поблагодарил создателя соцсети за быстрое решение проблемы. "Все ОК. Последние дни ФСБ просит нас блокировать оппозиционные группы, включая Вашу. Мы принципиально этого не делаем. Не знаю, чем это может кончиться для нас, но мы стоим", - написал Дуров в ответ. Эдуард спросил разрешения на публикацию этого сообщения. Получив согласие, он выложил скриншот переписки в интернет. Павел Дуров отметил, что "ВКонтакте" не поддерживает "ни власть, ни оппозицию". "Оппозиционные группы мы не блокируем, но пользователей, призывающих к физическому насилию по жалобам мы блокировали и продолжим", - пообещал он. В группе Алексея Навального состоит почти 80 тысяч человек. В ней, в частности, обсуждается задержание и арест известного блогера на 15 суток за неповиновение сотрудникам полиции во время несогласованного шествия. Кроме того, участники группы обсуждают участие в митинге против фальсификаций на выборах в Госдуму, который состоится 10 декабря на площади Революции в Москве. По данным "РБК Daily", сейчас "оперативники активно мониторят блоги и соцсети на предмет выявления договоренностей о встрече националистов". Речь идет о возможной акции в годовщину беспорядков на Манежной площади 11 декабря. О своем участии в митинге на площади Революции националисты не заявляли.
Источник

8/12/2011 10:33 Представителей Groupon обвиняют во взломе email и подделке контракта
Американская компания подала иск в федеральный суд против крупнейшего в мире скидочного сервиса Groupon, обвинив его в том, что представители Groupon незаконно изменили условия своего контракта с этой компанией, получив несанкционированный доступ к ее электронной почте. Иск был подан сайтом BidMyCrib, который предоставляет услуги поиска подрядчиков для строительства и ремонта в нескольких штатах США. BidMyCrib сотрудничал с Groupon в рамках одной из акций по предоставлению скидок, сообщает Business Insider. По словам представителей BidMyCrib, Groupon специально получил незаконный доступ к электронному ящику этой компании, чтобы изменить условия контракта с BidMyCrib, продлив его действие. Представители Groupon пока не давали своих комментариев по поводу данного иска.
Источник

8/12/2011 11:05 84% приложений содержат потенциальные проблемы с безопасностью
Компания Veracode, специализирующаяся на разработке средств для проведения аудита безопасности, опубликовала результаты исследования кода около 10 тысяч различных приложений, проверенных за последние 6 месяцев в cloud-сервисе статического анализа кода, развиваемом данной компанией. Всего было проанализировано несколько миллиардов строк кода, который предоставлен как проприетарными, так и открытыми проектами. По данным отчета только 16% из всех приложений смогли пройти тестирование с первого раза, в остальных случаях были выявлены те или иные проблемы с безопасностью. При аналогичном исследовании проведённом полгода назад проверку сразу прошли 42% приложений, столь значительное различие объясняется ужесточением требований к тестовым проверкам, в частности, уязвимости XSS и "SQL Injection" более не относятся к категории незначительных, так как часто становятся причиной утечки важных данных. Отдельно отмечается низкое качество программ для мобильных систем и web-приложений, используемых на государственных сайтах. Интересно, что для коммерческих и открытых проектов уровень прохождения тестов оказался одинаковым, обе категории программ прошли тест с первого раза только в 12% случаев. Степень прохождения проверки для кода, разработанного для внутреннего применения составила 17%, а для кода разработанного по аутсорсингу - 7% (частично, оправданием для аутсорсинга является относительно небольшое число проверенных проектов, что не позволило собрать достаточной статистики). Среди наиболее часто эксплуатируемых уязвимостей, которым подвержены web-приложения, отмечаются атаки по подстановке SQL-кода и по встраиванию JavaScript/HTML контента (XSS-уязвимости). Именно за счет данных проблем совершено большинство атак групп Anonymous и LulzSec в последнее время. Только атака по подстановке SQL-кода, проведённая в апреле с использованием вредоносного ПО Lizamoon, привела к поражению тысяч сайтов. Проникновение через связанные с подстановкой SQL уязвимости становится эпидемией. Проблемы, связанные с XSS-уязвимостями, выявлены в 68% проверенных web-приложений, а "SQL Injection" - в 32%. При анализе государственных сайтов было выявлено, что 40% из них могут использоваться для подстановки SQL-кода, а 75% подвержены XSS-уязвимостям. Для финансового сектора данные показатели составляют 29% и 67%, а для производителей ПО - 30% и 55%. Что касается обычных приложений, не связанных с web, то в 19% случаев наблюдаются проблемы с обработкой ошибок, в 15% некорректная работа с буферами, 14% - переполнение буфера, 11% - возможность переопределения путей или имен файлов (например, отсутствие проверки на "../"), 9% - целочисленные переполнения, 9% - потенциальное наличие бэкдоров (!), 8% - некорректное использование криптографических средств, 4% - утечка информации, 2% - возможность подстановки SQL-запросов. Кроме того, выявлено, что от 30 до 70% разработанных для внутреннего использования приложений так или иначе повторно используют чужой код, например, в виде вызова функций сторонних библиотек. Часто именно сторонний код становится причиной проблем. Например, большое число XSS-уязвимостей в приложениях гос. учреждений связано с использованием платформы Adobe ColdFusion.
Подробности

9/12/2011 09:09 Сайт движения "Наши" подвергся DDoS-атаке
Сайт движения "Наши" подвергся вчера DDoS-атаке, в связи с чем он функционировал с перебоями. Об атаке пресс-служба движения рассказала агентству ИТАР-ТАСС. Первые сообщения о проблемах с сайтом поступали еще шестого декабря. Вечером седьмого и утром восьмого декабря в некоторых микроблогах (к примеру, в "Твиттер-аккаунте ультраправой русской молодежи") появлялись призывы присоединяться к атакам на сервер. Также были опубликованы инструкции по участию в атаке: это предлагалось сделать как штатными средствами операционных систем, так и с помощью специальных программ. Позднее в том же "аккаунте ультраправой молодежи" появился призыв отказаться от атак. Это объяснялось тем, что представители "Наших" могут увязать атаки с назначенным на 10 декабря митингом против нарушений на выборах, принять участие в котором на момент написания новости планируют только в Facebook более 28 тысяч человек. Также указывалось на неопытность участников акции, использовавших для атаки домашние компьютеры. Примечательно, что представители движения, по словам ИТАР-ТАСС, связывают произошедшее с аналогичными атаками на блогохостинг LiveJournal, которые вновь усилились накануне выборов в Госдуму. Также 8 декабря "Наши" заявили о "политической цензуре" в видеохостинге YouTube. Как пишет пресс-секретарь движения Кристина Потупчик в своем блоге, видео "Ждет ли Путина судьба Каддафи?" с описанием одной из версий причин свержения ливийского режима было удалено со страниц сервиса. Удаляются, по ее словам, также и все копии ролика. Для привлечения внимания к проблеме, пишет Потупчик, видео было опубликовано в аккаунте My Duck's Vision, у которого на момент написания заметки более 144 тысяч подписчиков. О DDoS-атаках на сайты движений "Наши" и "Сталь" сообщалось 28 апреля 2011 года. Тогда пресс-служба движения также связывала происходящее с имевшими место ранее атаками хакеров на сервис LiveJournal.
Источник

9/12/2011 09:46 Нургалиев назвал фейс-контроль в Интернет глупостью
Министр внутренних дел России Рашид Нургалиев назвал глупостью идею ввести в интернете "фейс-контроль" в целях борьбы с анонимностью пользователей, сообщает "Интерфакс". "Это глупость, и никто этого вводить не собирается", - заявил министр. С предложением ограничить анонимность интернет-пользователей ранее выступил глава бюро специальных технических мероприятий МВД Алексей Мошков. В интервью "Российской газете", опубликованном 8 декабря, он назвал социальные сети источником "потенциальной угрозы устоям общества". По словам Мошкова, в социальных сетях "организуются и ведут агитацию экстремистские группы", а также действуют мошенники, педофилы, шантажисты и вымогатели. Чиновник заметил, что в таких условиях анонимность значительно облегчает задачу преступников. "Зарегистрируйся под реальным именем, сообщи настоящий адрес - и общайся. Если ты - честный, законопослушный человек, зачем прятаться?" - задался вопросом Мошков. По его мнению, в интернете был бы полезен фейсконтроль наподобие того, который существует в ночных клубах. Помощник президента России Аркадий Дворкович, комментируя предложение Мошкова, написал в своем твиттере, что запрещать анонимность нельзя, но заметил: "Хотя я эту анонимность не понимаю". "Пишите анонимно, если не хотите серьезного к вам отношения", - заявил он в дискуссии с пользователем @korbenzokolonki. Против предложения Мошкова выступили правозащитники. "Вполне очевидно, что сейчас на интернет начнется мощная атака, они еще много чего другого выдумают", - высказал свои опасения глава центра "Мемориал" Олег Орлов.
Источник

9/12/2011 10:18 В почте "Яндекса" по умолчанию включили защищенное соединение
В почтовом сервисе компании "Яндекс" включили по умолчанию защищенное SSL-соединение. Об этом сообщается в блоге "Яндекс.Почты". Возможность включить шифрование передаваемых данных присутствовала в сервисе и ранее, однако в ближайшее время представители "Яндекс.Почты" планируют переключить на нее всех пользователей. Как пояснили "Ленте.ру" в пресс-службе компании, нововведение никак не связано с текущими событиями в стране, а подобная функция по умолчанию появится в "Яндексе" первой среди российских почтовых сервисов. Одной из первых шифрование доступа к почте установила компания Google в сервисе Gmail в январе 2010 года. В октябре 2011 года корпорация заявила о включении SSL-шифрования также для поисковых запросов пользователей. Зашифрованное соединение позволяет защитить передаваемые данные при, к примеру, выходе в интернет через публичную Wi-Fi точку. Кроме "Яндекс.Почты", SSL-шифрование действует и в платежной системе "Яндекс.Деньги".
Пресс-релиз

9/12/2011 10:29 Глава "ВКонтакте" ответил ФСБ на запрос по блокировке оппозиционных групп
Создатель и руководитель социальной сети "ВКонтакте" Павел Дуров опубликовал в своем Twitter-аккаунте скан запроса из Федеральной службы безопасности на блокировку ряда оппозиционных групп. В запросе, подписанном начальником Управления ФСБ по Санкт-Петербургу, содержится просьба заблокировать пять сообществ (четыре из которых содержат в названии словосочетание "против 'Единой России'") и две встречи. На момент написания заметки шесть из семи ссылок оставались действующими, и только одна закрытая встреча содержит нейтральное название ("Приглашение на четверть века для группы товарищей") и не имеет изображения профиля. Свое требование к "ВКонтакте" представитель ФСБ основывает на федеральном законе "Об оперативно-розыскной деятельности" и статье 9 закона "Об информации, информационных технологиях и о защите информации", регулирующей ограничение доступа к информации, в том числе "в целях защиты основ конституционного строя, ... обеспечения обороны страны и безопасности государства." Вместе с копией запроса Дуров опубликовал фотографию собаки, показывающей язык, и сопроводил ее комментарием: "Официальный ответ спецслужбам на запрос о блокировке групп". Сообщение о требованиях ФСБ заблокировать оппозиционные сообщества в социальной сети было опубликовано утром 8 декабря в блоге пользователя edvvvard. Блогер обратился к Дурову по поводу проблемы с добавлением новых записей, возникшей с группой "- РосПил - война коррупции - Алексей Навальный -". Руководитель социальной сети пояснил, что проблема возникла из-за достижения участниками группы ограничения в 16384 записей в сутки. Вскоре разработчики "ВКонтакте" изменили алгоритм работы сервиса и смягчили ограничение. В ходе дальнейшей переписки с администратором группы Дуров рассказал, что социальная сеть не соглашается с требованием ФСБ заблокировать определенные группы. При этом он подчеркнул, что "ВКонтакте" является аполитичной компанией, не поддерживающей ни властей, ни оппозицию. Позже пресс-секретарь социальной сети Владислав Цыплухин заявил, что ни о каком давлении или угрозах со стороны ФСБ речи не идет. По его словам, подобные запросы являются "привычным явлением" для компании, но вместо закрытия групп она ограничивается блокировкой определенных пользователей, призывающих в этих группах к совершению противоправных действий.
Подробности

9/12/2011 11:35 Россия отказалась принять декларацию о свободе в киберпространстве
Россия и ряд других стран встретили сопротивлением инициативу США принять декларацию ОБСЕ, выражающую уважение к реализации прав и свобод граждан через интернет и соцсети. На прошедшем вчера собрании министерского совета ОБСЕ в Вильнюсе США предложили странам-участникам организации принять «Декларацию о фундаментальных свободах в цифровой век». По данным издания The New York Times и агентства Reuters, Россия оказалась в числе стран, которые заблокировали этот документ. Текст декларации пока не опубликован в интернете. В сообщении одной из поддержавших документ правозащитных организаций – Article 19 – говорится, что он ставит целью подтвердить приверженность министерского совета ОБСЕ к уважению реализации прав и свобод граждан через использование новых технологий, таких как интернет, соцсети и мобильные сети. Декларация отталкивается от факта, что в странах-участниках ОБСЕ и во всем мире увеличивается использование людьми новых технологий для получения информации и реализации гражданами своих прав и свобод. Эти технологии способствуют выражению и распространению идей и информации от граждан и организаций, а также упрощают возможность создавать и поддерживать различные объединения, планировать и проводить мирные собрания и различные акции онлайн и оффлайн, говорится в сообщении Article 19 по поводу документа. По установленным ОБСЕ правилам, декларации и различные решения могут приниматься лишь при наличии консенсуса между всеми 56 странами-участниками. По данным зарубежных изданий, среди тех, кто не одобрил документ, помимо России оказались также Белоруссия, Турция и ряд других стран. В The New York Times считают, что заблокировали декларацию те страны, «которые видят в интернете угрозу своим политическим системам». Выступая на одной из сессий, госсекретарь США Хилари Клинтон (Hillary Clinton) заявила, что инициатива по принятию этой декларации обладает особой важностью, поскольку киберпространство в 21 веке является полноценной общественной площадкой, говорится на сайте Министерства иностранных дел США. «Сегодня активисты держат Хельсинскую декларацию в одной руке, а в другой – смартфон. Это нервирует многие правительства, и они пытаются ограничить доступ к интернету, свободные собрания и объединения, а также свободу слова в киберпространстве», - цитирует своего госсекретаря сайт американского ведомства. - Это одна из причин, по которым США и почти две дюжины других стран призывают принять эту декларацию – потому что мы считаем, что человеческие права нужно уважать и оффлайн, и онлайн»
Источник

9/12/2011 13:23 Сайт фракции "Единой России" отключен системным администратором
Сайт фракции "Единой России" в Госдуме РФ, расположенный по адресу www.er-duma.ru, 9 декабря перестал работать из-за возможной атаки хакеров, об этом сообщила глава пресс-службы фракции Ольга Портнова. "В настоящее время сайт отключен нашим системным администратором", - заявила Портнова. Она уточнила, что злоумышленники попытались вскрыть и уничтожить данные, размещенные на сайте. "Причем, как только системный администратор включает сайт, эти попытки возобновляются с новой силой", - сообщила представитель пресс-службы. В день голосования на выборах в Госдуму РФ - 4 декабря - массированным атакам хакеров подвергся ряд сайтов независимых СМИ. Перестали работать страницы "Эха Москвы", Slon.ru, "Большого города", The New Times, а также "Карта нарушений" и сайт ассоциации наблюдателей "Голос". Главный редактор "Эха Москвы" Алексей Венедиктов напрямую связал атаку на сайт радиостанции с выборами и пообещал подать жалобу в Генпрокуратуру РФ, Центризбирком, отдел "К" МВД России и службу безопасности компании "Газпром", которой принадлежит "Эхо Москвы". Также 1 декабря хакеры взломали сайт газеты "Коммерсантъ", разместив на нем изображение медведя с флагом "Единой России", висящего на Спасской башне, и текст с призывом прийти на "народный сход против фальшивых выборов".
Источник

9/12/2011 13:51 Система Senseye позволит управлять смартфоном при помощи взгляда
Компания Senseye разрабатывает одноимённую систему, которая, как ожидается, позволит управлять коммуникаторами при помощи глаз. Технология основана на использовании фронтальной камеры смартфона и специального программного обеспечения, определяющего, куда направлен взгляд пользователя. Теоретически точности распознавания будет достаточно для осуществления прокрутки документов, запуска программ и даже управления в играх. Senseye сейчас пытается наладить партнёрские отношения с производителями смартфонов. Ожидается, что первые аппараты под управлением Android с программным обеспечением Senseye появятся на рынке в 2012 или 2013 году. Кстати, похожую систему в действии на примере ноутбука в начале года демонстрировала компания Lenovo. Технология, разработанная специалистами Tobii, основана на использовании невидимого для нашего глаза инфракрасного излучения и специальных камер. После калибровки система может применяться для определения направления взгляда сидящего перед экраном человека независимо от того, носит он очки или нет.
Источник

9/12/2011 16:20 BlackHole активно использует уязвимость Java
С начала декабря Лаборатория Касперского зафиксировала резкий рост количества срабатываний на эксплойты (Exploit.Java.CVE-2011-3544), использующие уязвимость CVE-2011-3544 в виртуальной машине Java. Обновление для этой уязвимости было выпущено 18 октября, но использоваться она стала не так давно. Она позволяет злоумышленнику исполнять произвольный код на удаленной машине. Ее можно использовать в эксплойтах, применяемых в drive-by атаках, для загрузки и запуска вредоносных программ. Согласно данным KSN, большая часть эксплойтов к CVE-2011-3544 используется в одном из наиболее популярных в настоящее время наборе эксплоитов – BlackHole Exploit Kit. На сайтах, которые участвует в атаках с помощью BlackHole, используется эксплоит старой уязвимости CVE-2010-0188, выполненный в виде PDF-файла, а также новый Java-эксплойт, эксплуатирующий уязвимость CVE-2011-3544. Эксперт компьютерной безопасности, Брайан Кребс, подтвердил, что разработчики BlackHole успешно внедрили новый эксплойт в свой набор и активно его использует в Интернет. Согласно статистике KSN, атакам новых эксплойтов подвергаются пользователи из России, США, Великобритании и Германии. По-видимому, это связано с тем, что новые эксплойты к уязвимости CVE-2011-3544, интегрированные в BlackHole, устанавливают троянскую программу Carberp, ворующую банковскую информацию, и SMS-блокеры. SMS-блокеры используются преимущественно в России, а трояны-банкеры атакуют пользователей в более развитых странах. Всем пользователям очень важно регулярно устанавливать обновления для Java от Oracle. Обновление, устраняющее 20 уязвимостей, в том числе, уязвимость CVE-2011-3544, можно получить через систему автоматического обновления Java, либо на официальном веб-сайте компании.
Источник

9/12/2011 19:54 Основатель социальной сети "ВКонтакте" получил повестку из прокуратуры
Один из основателей и генеральный директор социальной сети "ВКонтакте" Павел Дуров получил повестку из прокуратуры. Об этом Дуров написал в твиттере вечером 9 декабря. При этом Дуров отметил, что не успел явиться к назначенному времени - 17:00 9 декабря, так как ознакомился с повесткой слишком поздно. "Жаль, не успел вовремя прочитать! Наверняка в прокуратуре хотели поздравить с Новым годом", - написал глава "ВКонтакте". Дуров также уточнил, что повестка пришла в офис "ВКонтакте" примерно в 15:55 - то есть за час до назначенного времени явки. В документе говорится, что в случае неявки Дуров может быть привлечен к ответственности по статье 17.7 Кодекса об административных правонарушениях (невыполнение законных требований прокурора, следователя, дознавателя или должностного лица, осуществляющего производство по делу об административном правонарушении). 8 декабря 2011 года в открытый доступ попала информация о том, что ФСБ попросило прекратить деятельность ряда тематических сообществ "ВКонтакте", имеющих оппозиционную направленность. Дуров заявил об этом сначала в закрытой переписке с модератором одной из групп (скрин переписки с согласия Дурова был выложен в сеть), а затем в личном микроблоге. В качестве "официального ответа спецслужбам" глава "ВКонтакте" приложил фотографию собаки с высунутым языком. В тот же день глава пресс-службы "ВКонтакте" Владислав Цыплухин заявил, что ни о каком давлении или угрозах со стороны ФСБ речи не идет. По словам Цыплухина, подобные запросы являются "привычным явлением" для компании, но вместо закрытия групп она ограничивается блокировкой определенных пользователей, призывающих в этих группах к совершению противоправных действий. По мнению экспертов, включение в послевыборные дебаты социальной сети "ВКонтакте", обусловлено желанием органов госбезопасности России показать безопасность и демократичность одной из самых популярных сетей в Рунете. Обсуждаемое давление ФСБ на руководство "ВКонтакте", связанное с закрытием оппозиционных групп, является технически безграмотным, ведь куда более эффективное воздействие имеют экономические и технические санкции, применяемые к веб-ресурсам, которые нарушают действующие законодательство страны.
Источник

9/12/2011 22:58 Mozilla реализовала поддержку джойстиков в Firefox
Компания Mozilla вслед за Google собирается улучшить привлекательность своего веб-браузера Firefox в качестве игровой платформы. Компания недавно представила Gamepad API, который позволяет разработчикам игр получать доступ к игровым контроллерам прямо из Firefox. До сих пор джойстики не были доступны в веб-обозревателях, но с помощью Gamepad API разработчики могут создавать игры, поддерживающие USB- или Bluetooth-контроллеры. Пока Gamepad API используется лишь в специальной сборке Firefox, но можно не сомневаться, что со временем он станет частью одной из финальных сборок этого веб-обозревателя. После этого можно ожидать появления веб-игр, в которых игроки смогут применять не только клавиатуру и мышь, благодаря чему спортивные проекты и поединки станут несколько более привлекательными внутри браузера. Некоторые аналитики предполагают, что с течением времени игры могут почти полностью переместиться в веб-браузеры. Так это будет или нет — большой вопрос, однако отвергать растущую роль Интернета и веб-обозревателей в современных вычислительных устройствах невозможно, значит число и качество веб-игр будет только возрастать с течением времени.
Источник

10/12/2011 09:18 Компания OpenDNS представила технологию шифрования DNS-трафика
Компания OpenDNS анонсировала проект DNSCrypt, в рамках которого продвигается новый способ защиты от атак, связанных с модификацией и манипулированием транзитным трафиком DNS. Основная задача DNSCrypt - полное шифрование всего канала связи между клиентом и сервером DNS, примерно как SSL используется для шифрования HTTP-трафика. Шифрование DNS-трафика позволит защитить клиента от атак "человек посередине", при которых злоумышленник вклинивается в канал связи и притворяется DNS-сервером. Кроме того, шифрование предотвращает наблюдение за трафиком и блокирует активность злоумышленников, связанную с подбором идентификаторов пакетов или отправкой фиктивных DNS-ответов. DNSCrypt дополняет собой технологию DNSSEC, которая в первую очередь нацелена на обеспечение аутентификации, верификации и гарантирования получения исходных данных, но не предоставляет средств для шифрования передаваемых данных. От проекта DNSCurv, осуществляющего полный цикл шифрования всех запросов DNS, DNSCrypt отличается значительным упрощением как реализации, так и конфигурации. DNSCrypt ориентирован только на шифрование канала связи между пользователем и резолвером DNS, не затрагивая при этом шифрование данных между DNS серверами. Вместо RSA DNSCrypt использует реализацию алгоритма Curve25519 (шифрование по эллиптическим кривым). Серверная часть DNSCrypt выполнена в виде прокси, поддерживающего работу на большинстве серверных систем, включая OpenBSD, NetBSD, Dragonfly BSD, FreeBSD, Linux и Mac OS X. DNSCrypt не поддерживает кэширование, поэтому разработчики рекомендуют использовать его в сочетании с поддерживающими кэширование резолверами, такими как Unbound, PowerDNS и dnscache. Для обхода фильтров DNSCrypt может организовать канал связи с клиентом поверх TCP, используя порт 443, обычно используемый для HTTPS. Клиентская часть пока поддерживает только Mac OS X. Код всех компонентов открыт под ISC-подобной лицензией, используемой в таких продуктах как DNS-сервер BIND.
Источник

10/12/2011 10:05 HP решила открыть исходные коды WebOS и сделать ее свободной
После продолжительных размышлений руководители Hewlett-Packard, наконец, приняли решение по поводу программной платформы WebOS, приобретенной вместе с Palm за $1,2 млрд. Вопреки слухам о предстоящей продаже, компания решила открыть исходный код WebOS для сообщества. Это решение позволит сторонним компаниям использовать WebOS в своих устройствах, хотя при этом HP по-прежнему будет управлять развитием платформы, с тем, чтобы избежать ее фрагментации. Компания заявила, что останется «активным участником и инвестором проекта». Эксперты предупреждают о предстоящих сокращениях в подразделении WebOS, так как для продвижения платформы с открытым кодом в нем уже не требуется такое количество сотрудников. Если подытожить, то это неплохая новость для потребителей, так как в будущем можно ожидать появления устройств различных компаний с WebOS на борту. Вдобавок, пользователи, купившие со значительной скидкой в цене планшеты TouchPad, теперь могут надеяться на появление в будущем обновлений для WebOS. Вместе с тем, высказывается мнение, что данное решение означает завершение жизнедеятельности WebOS. То, что код будет открытым — неплохо для разработчиков, получивших базу для совершенствования платформы, но, с другой стороны, у нее больше нет будущего в качестве коммерческого проекта.
Источник

10/12/2011 10:33 Разработчики jQuery случайно и безвозвратно удалили содержимое каталога плагинов
Разработчики популярной JavaScript-библиотеки jQuery прояснили ситуацию с недоступностью сайта "plugins.jquery.com", на котором была размещена коллекция плагинов. Сайт был отключен примерно неделю назад, как было заявлено "в связи с проблемами со спамом и переработкой механизма добавления плагинов". На самом же деле, при попытке удаления спама с помощью плагина Drupal Views Bulk Operations все хранящиеся на сайте плагины были случайно удалены. Самое неприятное в этой ситуации, что последняя резервная копия данных была сделана год назад, всё что было добавлено с того момента - безвозвратно потеряно. Разработчик, по чьей вине произошел инцидент, просит у сообщества прощения и оправдывается, что "в идеальном мире это должно было сработать совсем не так, как произошло". В настоящий момент он уже работает над совершенно новым сайтом для распространения плагинов к jQuery. Ещё до потери данных сайт "plugins.jquery.com" уже был помечен в планах проекта jQuery для обновления, отчасти из-за проблем со спамом, а также по причине неудобного механизма отображения плагинов через CMS. Произошедшие события вынудили начать эту перестройку прямо сейчас. Данный инцидент мотивировал создать современный сайт, основанный на возможностях GitHub (подобно таким сайтам, как npmjs.org). Теперь у разработчиков появится возможность создания файла "package.json", который будет полностью описывать их плагин и содержать в себе прямую ссылку на его репозиторий в GitHub. При появлении новой версии плагина – сайт будет автоматически обновляться. Новый сайт, код которого можно найти по адресу "github.com/jquery/plugins.jquery.com" все ещё в разработке, а дата его запуска пока неизвестна.
Источник

11/12/2011 10:21 Релиз Linux-дистрибутива CentOS 6.1
Спустя семь месяцев с момента выхода дистрибутива Red Hat Enterprise Linux 6.1, представлен основанный на его пакетной базе свободный вариант, развиваемый независимым сообществом, - CentOS 6.1. В CentOS пакеты из различных репозиториев RHEL, например, из серверной и из десктоп редакции, объединены в единый репозиторий пакетов и распространяются одним установочным комплектом. Дистрибутив на 100% бинарно совместим с RHEL, внесенные в пакеты изменения как правило сводятся к ребрендингу и замене художественного оформления. CentOS 6.1 поставляется для платформ i386 и x86_64 в виде DVD-сборки (4.6 Гб), минимального установочного образа (278 Мб) и сокращенного образа для установки по сети - netinstall.iso (195 Мб). Минимальный установочный образ сформирован впервые и содержит набор пакетов, необходимых для формирования минимальной работоспособной системы с полноценной поддержкой сети и устройств хранения. Пакеты SRPMS и debuginfo пока не доступны и будут размещены на зеркалах в течение 48 часов. Дополнительно представлены LiveCD и LiveDVD. Ключевым отличием Live-версии CentOS 6.x от ранее выпускаемых Live-сборок 5.x является обеспечение поддержки установки дистрибутива на жесткий диск, в дополнение к штатной возможности обособленной работы, после загрузки с CD или USB Flash. Для запуска установки в графическом режиме требуется минимум 512 Мб ОЗУ, для систем с меньшим объемом ОЗУ можно запустить терминал и выполнить вручную команду "liveinst". В состав LiveCD входит базовый десктоп GNOME, просмотрщик изображений gthumb, web-браузер Firefox, почтовый клиент Thunderbird и клиент для мгновенного обмена сообщениями Pidgin. Из полезных для администратора приложений можно отметить: программа для тестирования памяти memtest86+, утилиты для работы с LVM и RAID, сканер портов Nmap, traceroute, samba, интерфейс для проверки и управления аппаратной конфигурацией. С целью высвобождения дополнительного свободного места из LiveCD исключен графический редактор Gimp. В поставку включены rdesktop, tigervnc, vinagre и tsclient. Так как уже вышел релиз RHEL 6.2, для CentOS 6.1 будет использован непрерывный репозиторий с обновлениями, который позволит сделать доступными для CentOS 6.1 связанные с безопасностью исправления, выпущенные в рамках ветки RHEL 6.2, не дожидаясь выхода CentOS 6.2. Несмотря на то, что релиз вышел значительно позднее RHEL 6.1, выпуск штатных обновлений для ветки CentOS 6.0 был возобновлен в сентябре благодаря созданию непрерывно обновляемого репозитория (CR - Continuous Release), в рамках которого для CentOS 6.0 выполнялась перепаковка связанных с безопасностью исправлений, выпускаемых для уже вышедшего релиза RHEL 6.1. Пользователи CR-репозитория для CentOS 6.0 могут обновить свои системы до CentOS 6.1 обычным способом, выполнив 'yum update', при этом число устанавливаемых пакетов будет минимально - так как все обновления уже установлены, будут добавлены только новые и связанные с обновлением номера версии пакеты (centos-release ).
Подробности

11/12/2011 11:33 Hotmail усовершенствовал фильтрацию входящих сообщений
Компания Microsoft объявила о запуске новых возможностей и функций в своем сервисе Hotmail. Изменения произошли также и в онлайн-хранилище SkyDrive. В наибольшей степени изменения в Hotmail затронули систему фильтрации и поиска писем, а также позволили усовершенствовать методы борьбы с так называемой «серой почтой». При помощи технологии фильтрации SmartScreen почтовый сервис автоматически распознает новостные рассылки и прочие «серые» сообщения и сортирует их в отдельную папку. Таким образом, в папке «Входящие» нет ничего лишнего и отвлекающего внимание. Точность фильтрации сегодня составляет 95%, однако пользователи сами могут повысить ее, помечая и отправляя подобные нежелательные сообщения в соответствующую папку. Еще одним дополнительным преимуществом стала возможность создавать новые папки и менять их местоположение (т.е. перемещать из одной корневой папки в другую) непосредственно в левом меню, не выходя ради этого из раздела с письмами, в котором вы в данный момент находитесь. Приятные и полезные перемены затронули не только почтовый сервис Hotmail, но и тесно интегрированное с ним онлайн-хранилище SkyDrive, использующееся для отправки и хранения больших объемов фотографий, документов и прочих файлов, а также для совместной работы с друзьями и коллегами. Новая версия SkyDrive получила функциональность множественного выбора файлов и папок. Теперь групповые операции выполняются еще проще: достаточно выделить несколько файлов и можно загрузить их в виде zip-архива на локальный компьютер, переместить в другую папку или удалить все сразу.
Источник


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru