uinC NewsLetter #38, 2013


Приветствуем!

Новости из Security Мира

16/09/2013 10:14 "Яндекс.Деньги" позволил пользователям переводить деньги в США
Через сервис "Яндекс.Деньги" теперь можно переводить средства из электронного кошелька прямо на банковские счета юридических и физических лиц в США. Как сообщили в пресс-службе компании, пользователи сервиса смогут, например, бронировать номера в американских отелях, платить за аренду автомобилей, различные курсы или бизнес-услуги. "Отправить перевод можно как со счета в "Яндекс.Деньгах", так и с привязанной к нему банковской карты. В любом случае комиссия составит 3 проц плюс 15 рублей", - уточнили в компании. Помимо США, с сегодняшнего дня все пользователи сервиса могут отправлять переводы еще в 22 страны, на счета в долларах, евро и локальных валютах. В этом списке, например, Китай, Великобритания, Франция, Германия, Испания и другие. В общей сложности для переводов сейчас доступно более 200 стран. "Яндекс.Деньги" активно работают в международном направлении, так как российский пользователи начинают тратить все больше денег за рубежом. Они платят за вещи, услуги, онлайн-игры, переводят деньги близким", - пояснили в пресс-службе компании. По данным ЦБ, в 2012 году россияне перевели в дальнее зарубежье 28,5 млрд долларов, больше всего переводов отправлено в Швейцарию, Китай, США, а также Великобританию и Германию.
Источник

16/09/2013 10:47 Dropbox заглядывает в хранящиеся на нем файлы
Авторы блога WNC InfoSec уличили компанию Dropbox в чтении загружаемых в облачное хранилище документов в формате Microsoft Office. В компании, однако, объясняют, что чтение файлов необходимо для создания изображений, которые затем будут использоваться для предварительного просмотра файлов. Авторы WNC InfoSec воспользовались сервисом HoneyDocs. Этот недавно открывшийся сервис позволяет установить, когда и где в последний раз открывался указанный документ. Авторы вложили документ в каталог HoneyDocs, автоматически синхронизирующийся с каталогом Dropbox. Первое сообщение об открытии документа поступило от HoneyDocs они получили примерно через десять минут после того, как файл был загружен. Открыты был только файлы формата ".doc", а программой, которой они открывались, оказался офисный пакет с открытым кодом LibreOffice. Компания Dropbox объясняет, что чтение файлов и создание изображений предварительного просмотра происходит автоматически. Доступ к загружаемым данным имеет очень узкий круг сотрудников. Доступ к метаданным предоставляется проще, но в компании подчеркивают, что строгая политика и средства технического контроля позволяют предотвратить проблемы.
Источник

16/09/2013 18:01 Мосгорсуд попросил 100 миллионов на защиту от DDoS-атак
Мосгорсуд просит выделить 100 миллионов рублей на защиту своего интернет-сайта от хакеров, об этом 16 сентября сообщило РИА Новости. По данным информационного агентства, средства планируется направить на закупку специального оборудования для защиты от DDoS-атак. Выделить деньги в ходе парламентских слушаний попросила председатель Мосгорсуда Ольга Егорова. По словам Егоровой, только в августе 2013 года на сайт суда были совершены хакерские атаки из 12 стран мира, в том числе из Китая, Англии, Польши и Нидерландов. Среди прочего в компетенцию Мосгорсуда входит вынесение решений о временной блокировке интернет-ресурсов, подозреваемых в распространении пиратского контента. Этими полномочиями суд наделил вступивший в силу 1 августа 2013 года «антипиратский закон». Решение о блокировке принимается на основании заявления правообладателя и действует до 15 дней. В течение всего этого срока представители ресурса могут самостоятельно удалить все спорные материалы и избежать дальнейших судебных исков и продления блокировки. За первые полтора месяца действия закона в Мосгорсуд поступило более 40 жалоб от правообладателей. Блокировке по представлению суда подверглись 26 ресурсов.
Источник

16/09/2013 19:36 Ученые считают, что 3-значный пароль защитит кардиостимулятор
Сотрудники Университета Райса и специализирующейся на компьютерной безопасности компании RSA разработали систему шифрования, которая позволяет защитить электрокардиостимуляторы от атак хакеров и одновременно не требует сложной системы аутентификации. Подробности системы приводит блог Массачусетского технологического института. Система предназначена для вживляемых устройств, которые способны обновляться по беспроводному каналу. В настоящее время такие системы обычно никак не защищены от действия потенциальных хакеров, которые могут отключить кардиостимулятор, заставить его работать в неправильном режиме или тратить заряд впустую. Чтобы защитить устройство от незаконного проникновения, ученые предлагают проводить аутентификацию на основе сравнения данных о пульсе. При этом устройство будет предоставлять доступ только в том случае, когда собственные данные устройства совпадут с теми, которые транслирует внешняя система, которая предлагает обновление. Таким образом доступ к имплантированному устройству получит только тот, кто сможет находиться в непосредственном контакте с пациентом. По словам авторов, одним из главных преимуществ такой системы аутентификации является отсутствие каких либо паролей, которые в экстренной ситуации будет сложно вспомнить и относительная простота реализации. Тем не менее, при должном желании со стороны злоумышленника у него остаются достаточно широкие возможности для незаконного проникновения. Дело в том, что сердечные сокращения, как показали недавние исследования, можно считывать на расстоянии с помощью искусственного усиления незаметной для глаза пульсации крупных сосудов. По мнению аналитиков, для получения доступа не обязательно прибегать к таким изощренным методам, достаточно использовать грубый перебор в диапазоне от 60 до 120, что займет считанные секунды для выяснения верной комбинации.
Источник

16/09/2013 21:23 ESET выпустила онлайн-приложение для защиты Twitter и Facebook
Антивирусная компания ESET представила бета-версию бесплатного приложения для защиты пользователей социальных сетей Twitter и Facebook - ESET Social Media Scanner 2 Beta. Выход нового онлайн-приложения предшествовала публикация отчета ESET о возросшем числе вредоносных ссылок в социальных сетях, что привело к взлому 65% российских пользователей социальных сетей. Если первая версия Social Media Scanner была ориентирована только на пользователей соцсети Facebook, которая не особо популярна среди русскоязычных пользователей, то вторая бета-версия уже охватывает социальную сеть Twitter, которая чуть более популярна, но очень далека от "ВКонтакте" и "Одноклассники". Разрешив досутп к своему профилю онлайн-приложению Social Media Scanner в соцсети, пользователь сможет в ручном или автоматическом режиме сканировать свои сообщения, хронику и ленту новостей на наличие вредоносных ссылок. Сканирование производится из личного кабинета ESET. При сканирование производится анализ укороченных ссылок и детектирование угроз. Кроме того, ESET Social Media Scanner ведет мониторинг текущего уровня безопасности аккаунтов Facebook и Twitter, а также сообщает, если какая-либо конфиденциальная информация пользователя находится в публичном доступе. Приложение доступно для тестирования пользователям Facebook и Twitter. При этом его текущая версия Social Media Scanner не является финальной и рекомендована исключительно для тестирования.
Подробности

17/09/2013 10:35 В Госдуму внесли поправки к антипиратскому закону
В Госдуму внесен проект расширенного закона о защите интеллектуальной собственности в интернете. Об этом 17 сентября сообщается на сайте нижней палаты парламента. Авторами документа (текст доступен на сайте ГД) стали депутаты от «Единой России» Роберт Шлегель и Мария Максакова. Законопроект направлен на защиту авторских прав музыкантов, литераторов и разработчиков компьютерных программ. Новый законопроект расширяет сферу применения антипиратского закона, вступившего в силу 1 августа. Действующий закон распространяется только на видеопродукцию. Он предусматривает возможность досудебной блокировки сайтов с нелегальным контентом по жалобе правообладателя. Принятый закон неоднократно подвергался критике со стороны крупных интернет-компаний. Представители отрасли заявляли, что документ был принят без консультаций с ними и грозит злоупотреблениями. С момента принятия закона ряд крупнейших компаний, таких как Яндекс и Google, выступали со своими предложениями о его изменении. В середине сентября СМИ со ссылкой на источники в администрации президента сообщили о готовности властей переработать закон с учетом требований отрасли. О неэффективности предусмотренной в законе процедуре блокировки интернет-сайтов 17 сентября заявили в Роскомнадзоре. В ведомстве заключили, что эта мера может нанести вред добропорядочным ресурсам и может применяться лишь в крайнем случае. Кроме того, на сайте Российской общественной инициативы (РОИ) была запущена петиция за отмену антипиратского закона. Она собрала 100 тысяч подписей, необходимых для рассмотрения Госдумой. К отмене закона также призывала фракция КПРФ.
Текст документа

17/09/2013 10:54 Технический сбой вызвал рекламу курительных смесей в Facebook
Баннерная реклама курительных смесей появилась на сайте Facebook в результате технического сбоя, над устранением которого работает служба техподдержки соцсети, рассказали в пресс-службе Facebook. Ранее ряд пользователей соцсети жаловались на своих страницах на появление в Facebook рекламы курительных смесей, которая вела на сайт продавца. В подтверждение своих слов пользователи публиковали скриншоты баннеров. «Реклама действительно появилась на Facebook, однако причиной тому стал технический сбой. Сейчас служба техподдержки занимается устранением последствий инцидента. Мы постараемся, чтобы такого рода реклама не появлялась в соцсети», — говорят в пресс-службе Facebook. По словам представителей соцсети, в Facebook существует система премодерации рекламных сообщений, в которой, среди прочих, работают русскоязычные специалисты, поэтому подобная реклама может появиться на сайте только в результате сбоя. Они напомнили, что у пользователей Facebook также есть возможность пожаловаться администрации соцсети на каждую конкретную рекламу. Суммарная аудитория Facebook оценивается почти в 1,2 миллиарда пользователей. Во втором квартале текущего года рекламный доход Facebook составил 1,6 миллиарда долларов.
Источник

17/09/2013 11:37 На сайте Nasdaq ликвидирована XSS-уязвимость
Швейцарская компания заявляет, что сайт торговой площадки Nasdaq более двух недель содержал в себе критический опасную XSS-уязвимость, однако вчера она уже была закрыта. Илья Колоченко, гендиректор швейцарской High-Tech Bridge, говорит он он недавно сообщил о бреши в системе ИТ-безопасности Nasdaq. "Если в двух словах, то я могу их спамить", - говорит Колоченко. Сайт nasdaq.com позволяет пользователям создавать аккаунты и профили для отслеживания курсов акций и биржевых новостей. Оператор площадки Nasdaq говорит, что указанная XSS-уязвимость не была использована в реальной атаке и никакие пользовательские данные не были скомпрометированы. "Мы немедленно ответили ему, всем вопросам, связанным с безопасностью, мы уделяем приоритетное внимание", - заявили в Nasdaq. Напомним, что XSS-атаки или атаки типа межсайтовый скриптинг представляют собой хакерское нападение, когда на целевом сервере запускается скрипт, который там запускаться не должен. Это может привести к краже данных c атакуемого сайта, привести к запуску другого вредоносного кода и прочим нежелательным последствиям. Колоченко говорит, что выявленная уязвимость могла использоваться атакующим несколькими путями, например для кражи браузерной истории, а также cookie-файлов пользователя. Также ее можно было применять для встраивания HTML-кода для запроса персональных данных пользователей таким образом, как будто запрос был от имени Nasdaq. Помимо этого, XSS-уязвимость могла использоваться для размещения вредоносных ссылок на сайте Nasdaq.
Источник

17/09/2013 13:34 Технический сбой разблокировал Facebook и Twitter в Иране
Доступ к социальной сети Facebook и сервису микроблогов Twitter для иранских пользователей был открыт в результате технической ошибки. Об этом со ссылкой на правительство Ирана сообщило 17 сентября информационное агентство Reuters. По словам главы иранского госкомитета по контролю за интернетом Абдулсамада Хоромабади (Abdolsamad Khoramabadi), сбой в системе фильтрации, открывший доступ к нескольким запрещенным в стране сайтам и социальным сетям, произошел по вине иранских интернет-провайдеров. «В настоящее время правительство проводит расследование произошедшего и устанавливает компании, ответственные за сбой», — сообщил Хоромабади. О том, что Facebook и Twitter стали доступны для иранских пользователей стало известно в ночь на вторник, 17 сентября. Об этом сообщили корреспонденты американских изданий The New York Times и The Washington Post в Тегеране, сославшись на сообщения пользователей внутри страны. При этом никаких официальных сообщений о снятии блокировки с сайтов не поступало. Twitter и Facebook были заблокированы властями Ирана в 2009 году. В 2013 году, после избрания президентом страны Хасана Рухани, в Иране заговорили об ослаблении ограничений в интернет-сфере. В частности, в сентябре 2013 года страницы в Facebook и Twitter завели все члены иранского кабинета министров. Однако никаких конкретных шагов по снятию блокировки для рядовых пользователей до сих пор не предпринималось.
Источник

17/09/2013 14:21 Минобороны Беларуси создает элитное подразделение кибер-войск
В Вооруженных силах Беларуси идут активные поиски кадров для работы в сфере информационных технологий, передает БелаПАН. Приоритет отдается молодым людям не старше 25 лет – выпускникам военных кафедр белорусских вузов, обладающим навыками программирования и имеющим опыт практической работы по аудиту безопасности информационных систем, настройке сетевых служб и сервисов. В ходе собеседований определяется уровень знаний в области сетевых технологий, архитектуры построения локальных вычислительных сетей. Обязательным условием является знание иностранных языков, в первую очередь, английского. «Немаловажное значение имеют также личностные качества. В претендентах ценятся высокие аналитические и коммуникативные способности, стрессоустойчивость, усидчивость. Потенциальные работодатели предлагают стать частью молодого, высокопрофессионального и дружного военного коллектива со всеми условиями для профессионального роста (языковая практика и повышение квалификации за рубежом)», — сказал собеседник агентства. Заявлено, что оплата специфического воинского труда предполагается выше, чем в среднем по Вооруженным силам.
Источник

17/09/2013 16:45 Sailfish OS стала полностью совместима с платформой Android
Финская компания Jolla, основанная бывшими разработчиками операционной системы Nokia MeeGo, продолжает развитие этой мобильной платформы под именем Sailfish. Компания сообщила о важном прогрессе в развитии своей системы — Sailfish OS теперь совместима с экосистемой Android в программном и аппаратном отношениях. Сообщается, что Android-приложения исполняются под Sailfish OS без каких-либо модификаций. Пользователи получат уникальный мультисенсорный интерфейс платформ и смогут в полной мере воспользоваться преимуществами экосистемы приложений Android. Jolla сотрудничает с ведущими магазинами приложений Android, чтобы обеспечить удобный и простой доступ пользователей к загрузке программ (по аналогии с Google Play под Android). «Например, очень популярные приложения вроде Instagram, WhatsApp и Spotify исполняются прямо на Sailfish OS. Китайское WeChat с пользовательской базой в 400 млн человек тоже работает на Sailfish OS», — подчеркнул исполнительный директор Jolla Томи Пиенимяки. Кроме того, создатели Sailfish OS сообщают о том, что их детище получило широкую поддержку мобильных аппаратных платформ. Прежде всего, обеспечена совместимость с наиболее популярными чипами и оборудованием, используемыми для создания смартфонов и планшетов. Теперь производители, заинтересованные в выпуске продуктов на базе Sailfish OS, смогут без лишних проблем с совместимостью создавать устройства на базе популярных однокристальных систем и аппаратных конфигураций. Глава Jolla отмечает, что программно-аппаратная совместимость Sailfish OS с экосистемой Android создаёт большие возможности роста для Sailfish OS на мировом рынке и особенно в Китае: «Мы считаем, что Sailfish с Android-совместимостью — очень подходящая платформа для многих компаний в Европе и Азии. Мы уже обсуждаем дальнейшие планы с рядом крупных азиатских марок». Первые аппараты от Jolla, как обещает компания, поступят в продажу к концу 2013 года. Они получат 2-ядерный процессор, поддержку 4G, 16 Гбайт встроенной флеш-памяти, microSD, 8-мгп тыльную камеру с автофокусом, сменную батарею и конечно, платформу Sailfish OS. Особенностью дизайна смартфона являются разноцветные сменные задние крышки, причём при установке крышки определённого цвета, дизайн ОС автоматически подстраивается под неё, загружая ассоциированные с ней настройки.
Источник

17/09/2013 17:08 Лига безопасного интернета учредила научный журнал
Лига безопасного интернета учредила журнал Russian Review, в котором будут публиковаться новейшие научные исследования отечественных ученых и специалистов для дальнейшего продвижения в международной академической среде. Как сообщили сегодня в пресс-службе Лиги, публикации будут посвящены проблемам безопасности в интернете, а также исследованиям в области социологии, экономики и юриспруденции, выполненным с помощью новых технологий. "Идея такого журнала вынашивалась нами давно, - отметил исполнительный директор Лиги Денис Давыдов. - Ведь о российских исследованиях, за редким исключением, на Западе ничего не известно". По его словам, Лига решила самостоятельно учредить журнал для публикации отечественных исследований и распространять его на западную аудиторию. "Тем более что в последние годы в России появилось немало авторов, которые занимаются исследованиями мирового уровня, абсолютно новыми. Для них и создан журнал. Он даст им возможность относительно легко, по сравнению с авторитетными западными научными изданиями, донести свои работы до экспертов мирового уровня, а вузам или организациям, которые они представляют, занять свое место в мировой академической среде", - сказал Давыдов. Авторы лучших статей получат гранты для дальнейшей работы над своими исследованиями в размере 300 тыс., 150 тыс. и 100 тыс. рублей. Выход первого номера журнала запланирован на январь следующего года. Его планируемый тираж составит 10 тыс экземпляров. Почти весь тираж, как уточнили в Лиге, будет распространен по наиболее авторитетным зарубежным вузам, исследовательским центрам и консалтинговым организациям. В номер войдут пять переведенных на английский язык исследований, отобранных по конкурсу, который уже объявлен на сайте журнала. "Главное требование к участникам - статьи должны иметь ярко выраженную оригинальность и новизну и должны быть рассчитаны на читателя из академической среды", - отметили организаторы. Жюри конкурса составят авторитетные специалисты, представляющие ведущие вузы и аналитические центры страны. Итоги конкурса будут подведены после 16 декабря этого года.
Источник

17/09/2013 17:32 Bing меняет логотип и внешний вид поисковой выдачи
Поисковая система Bing компании Microsoft представила на суд широкой аудитории обновлённый интерфейс страницы поисковой выдачи и новый дизайн логотипа. «В заключительной стадии разработки наш логотип стал отличаться простым, реалистичным и лаконичным дизайном, вобравшим в себя основные принципы дизайна логотипа Microsoft. При создании логотипа Bing мы решили использовать оранжевый и жёлтый – т.е. исключительно тёплые цвета палитры», - сообщается в официальном блоге поисковой системы. Что же касается интерфейса страницы поисковой выдачи Bing, то её выход в свет в новом интерфейсе стал естественным продолжением предыдущих запусков поисковой системы. Так, например, в правой части страницы выдачи теперь отображается контент, наиболее активно обсуждаемый пользователями Facebook, Twitter и т.п, связанный с тематикой поискового запроса. Кроме того, теперь, кликнув по картинке предпросмотра в результатах поиска, пользователь по ссылке попадает на нужный веб-сайт. Изображения также появились и в автоматических подсказках Bing. Таким образом, можно утверждать, что поиск от Microsoft стал еще более наглядным. Что же касается развития поискового функционала, то теперь поиск Bing, интегрированный в игровые консоли Xbox и в мобильные устройства, работающие на платформе Windows Phone, получил широкие возможности пользовательской настройки и умеет анализировать поведение владельцев устройств, исходя из их предыдущих поисковых запросов.
Источник

18/09/2013 09:48 YouTube позволит смотреть видео оффлайн
Видеохостинг YouTube анонсировал новую функцию, которая позволит смотреть загруженные заранее видео без подключения к интернету. Сообщение об этом 17 сентября появилось в официальном блоге YouTube Creators. Как говорится в посте, возможность смотреть видео оффлайн будет доступна только для пользователей мобильных приложений YouTube. Функция оффлайн-просмотра, по словам представителей видеохостинга, станет доступна в ноябре 2013 года. В 2012 году в мобильном приложении YouTube для Android уже появилась схожая функция, позволяющая досматривать оффлайн видео, просмотр которого был начат при подключенном интернет-соединении. Однако в целом сохранение видео для дальнейшего просмотра без подключения к Сети противоречила правилам пользования сервисом. Видеохостинг YouTube был запущен в 2005 году. В 2006 году сервис был куплен компанией Google. YouTube является самым популярным видеохостингом в мире — в марте 2013 года ежемесячная аудитория сайта достигла одного миллиарда человек.
Источник

18/09/2013 10:20 ЛДПР попросила Роскомнадзор заблокировать Facebook в России
Проект партии ЛДПР «Интернет без наркотиков» потребовал от Роскомнадзора заблокировать доступ к социальной сети Facebook на территории России. Об этом говорится в пресс-релизе на сайте ЛДПР. Как отмечается в документе, заблокировать соцсеть следует в связи с появлением на ее страницах рекламы наркотических веществ. В соответствии со статьей 6.13 КоАП РФ размещение подобной информации может караться блокировкой ресурса на срок до 90 дней. По мнению представителей проекта «Интернет без наркотиков», нельзя исключать, что реклама запрещенных веществ была размещена в Facebook целенаправленно. В таком случае, говорится в тексте пресс-релиза, привлекать к ответственности нужно непосредственно основателя и главу соцсети Марка Цукерберга. О том, что в Facebook появилась реклама запрещенных курительных смесей, 16 сентября сообщили пользователи социальной сети. По их словам, логотип интернет-магазина, продающего смеси, а также контактный телефон для заказа товара появились в рекламном блоке платных объявлений Facebook. Представители сети объяснили появление рекламы техническим сбоем. Ранее просьбу проверить Facebook в связи с появлением в сети рекламы запрещенных веществ уже направлял в Федеральную антимонопольную службу и Госнаркоконтроль Совет Федерации. Веб-проект «Интернет без наркотиков» был создан на базе партии ЛДПР и представляет собой сообщество специалистов в области информационной безопасности, занимающихся борьбой с продажей наркотиков в сети.
Пресс-релиз

18/09/2013 10:45 Microsoft объявила стоимость перехода на Windows 8.1
C 18 октября пользователи смогут скачать или купить в рознице Windows 8.1 Стоимость системы будет равна текущей стоимости Windows 8. Обновление с Windows 8 до 8.1 будет бесплатным. Стоимость Microsoft Windows 8.1 для покупателей, не имеющих Windows 8, составит $120, купить Windows 8.1 Pro (включает поддержку удаленного рабочего стола, шифрования файлов и некоторые другие возможности для бизнес-пользователей) можно будет за $200. Цены в официальном блоге сообщил глава по внешним коммуникациям Microsoft Брэндон Леблан (Brandon LeBlanc). Стоимость Windows 8.1 будет такой же, как и стоимость Windows 8 на сегодняшний день, подчеркнул он. Приобрести Windows 8.1 можно путем загрузки с сайта Windows.com. Кроме того, Microsoft сохраняет возможность приобретения DVD с Windows в рознице, в то время как компания Apple от розничных продаж своей настольной операционной системы отказалась еще с выходом OS X Lion в 2011 г. Леблан рассказал, что тот установочный пакет, который будет размещен в Сети и записан на DVD, будет содержать полную версию Windows 8.1 и не потребует предварительной установки предыдущей версии Windows 8 в случае, если инсталляция будет выполняться на чистый диск. Обновление с Windows 8 до Windows 8.1 будет бесплатным. Загрузить новую версию можно будет в магазине приложений Windows Store, начиная с 18 октября 2013 г. В числе основных нововведений в Windows 8.1 Леблан отметил улучшенную персонализацию, новую функцию Bing Smart Search и более 20 новых и улучшенных приложений и сервисов Microsoft. Пользователи, на чьи компьютеры установлена Windows 7, при обновлении до Windows 8.1 смогут сохранить все файлы, но потребуется переустановить все настольные приложения, включая Microsoft Office. Если на компьютер установлена Windows XP или Windows Vista, будет выполнена чистая установка. файлы и настройки автоматически сохранены не будут. При покупке компьютера с предустановленной Windows 8.1 пользователь сможет приобрести пакет Windows 8.1 Pro Pack по цене $100, который добавит все функции редакции Pro, включая Windows Media Center. Если будет приобретен компьютер с Windows 8.1 Pro, пользователь сможет докупить приложение для работы с мультимедиа Windows Media Center за $10. Помимо улучшенной персонализации, в Windows 8.1 будет включена новая версия браузера - Internet Explorer 11 - и появятся дополнительные возможности для работы с несколькими одновременно запущенными приложениями, включая возможность делить экран поровну на два приложения (в режиме сенсорного интерфейса).
Источник

18/09/2013 11:34 Apple выпустила операционную систему iOS 7
Компания Apple начинает сегодня распространение финальной версии операционной системы для мобильных устройств iOS 7. Ключевым изменением новой ОС является полностью переработанный дизайн. Главный дизайнер Apple Джонатан Айв принял решение отказаться от скевоморфизма (принцип дизайна, при котором одному объекту придаётся внешний вид другого объекта) в пользу более популярного "плоского" дизайна". Это было первое радикальное изменение внешнего вида системы с момента её появления в 2007 году (тогда она называлась iPhone OS). Одним из функциональных нововведений является "Пункт управления", с помощью которого можно получать доступ к быстрым настройкам. "Пункт управления" вызывается жестом снизу вверх. Вызвав его, пользователь может изменять такие параметры, как авиарежим, настройки подключений, автоповорот экрана, яркость, а так же переключать треки в музыкальном проигрывателе и вызывать приложения из меню быстрого доступа. Улучшение в новой версии получил и виртуальный помощник Siri. Помощник, вышедший из статуса Beta, получил улучшенную интеграцию с системными функциями, Twitter, Wikipedia и поисковой системой Bing от Microsoft. Новая версия ОС поддерживает также фирменную технологию Apple AirDrop, предназначенную для передачи данных между устрйоствами по Wi-Fi. Установить iOS 7 на свои устройства смогут пользователи iPhone 4, iPhone 4S, iPhone 5, iPhone 5S, iPhone 5C, iPod Touch /5-го поколения/, iPad 2, The New iPad /3, 4/ и iPad Mini.
Источник

18/09/2013 14:15 АНБ уличили в покупке сведений об уязвимых местах интернет-сайтов
Агентство национальной безопасности США (АНБ) покупало данные об уязвимых местах интернет-сайтов у частной французской компании VUPEN. Об этом говорится в обнародованном американской организацией MuckRock документе. Согласно полученной MuckRock информации, компания VUPEN проводила для АНБ предоставляла агентству так называемый «сервис эксплойтов». Эксплойтом называется использование компьютерной программы или фрагмента компьютерного кода для выявления уязвимых мест в программном обеспечении или интернет-ресурсе. Также под этим словом может подразумеваться разработка и проведение атаки на ресурс при помощи обнаруженной уязвимости. Контракт между VUPEN и АНБ сроком на один год был заключен 14 сентября 2012 года. Получить данные о зарубежных контрактах АНБ удалось благодаря американскому закону о свободе информации (Freedom of Information Act, FOIA), который позволяет СМИ и общественным организациям запрашивать публикацию правительственных документов. Ранее французская компания VUPEN сотрудничала с представителями НАТО. По заявлениям представителей фирмы, они действительно продают свою информацию военным и спецслужбам, однако сотрудничают только с «достойными доверия демократическими странами».
Источник

18/09/2013 14:45 В Internet Explorer обнаружена критическая уязвимость
Microsoft сегодня распространила заявление, согласно которому хакеры используют ранее неизвестную критически опасную уязвимость в браузере Internet Explorer 8 и 9. Также в корпорации заявили, что уже работают над устранением данной проблемы. Кроме того, Microsoft, как обычно, попыталась снизить масштаб проблемы. "Есть лишь несколько сообщений о проведении таргетированных атак на небольшие группы пользователей, работающих c Internet Explorer 8 и 9, хотя существующие эксплоиты потенциально могут затрагивать все поддерживаемые версии браузера", - пишет Дастин Чайлдс, менеджер Microsoft Trustworthy Computing Group. "Мы активно работаем над созданием обновления для данной проблемы". По его словам, сегодня же Microsoft опубликовала бюллетень по безопасности. В самом бюллетене говорится, что баг затрагивает все версии internet Explorer, начиная с выпущенной 12 лет назад Internet Explorer 6 до бета-версий IE 11 для Windows 8.1, релизная версия которого появится 18 октября. По словам независимых экспертов, уязвимость можно реализовать посредством Drive By-атаки, что позволит разместить на компьютере-жертве вредоносный софт. До тех пор, пока у Microsoft нет рабочего патча, компания предлагает защищаться при помощи EMET 4.0, а также при помощи запуска инструментов Fixit.
Подробности

18/09/2013 16:13 Мосгорсуд уже принял 56 обращений по "антипиратскому" закону
С начала действия закона о защите авторских прав в интернете (так называемый "антипиратский" закон) с 1 августа 2013г. в Мосгорсуд поступило 56 обращений от правообладателей контента, сообщил сегодня в ходе пресс-конференции в РБК член комитета Госдумы по информационной политике, информационным технологиям и связи Роберт Шлегель. "При этом отличная динамика по тому, что основные легальные площадки и правообладатели ищут возможности друг с другом сотрудничать, ищут возможности монетизировать контент. Это делает и Mail.ru, это делает Yandex.ru, это делает "ВКонтакте", это делают все крупные интернет сайты", - сказал депутат. При этом, по словам Р.Шлегеля, с начала действия закона были заблокированы несколько торрент-трекеров (ресурсы в интернете, бесплатно раздающие аудио- и видео-контент). Федеральный закон от N187-ФЗ "О внесении изменений в отдельные законодательные акты РФ по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях" вступил в силу с 1 августа 2013г. Закон закрепляет правовые основания и определяет порядок ограничения доступа к информационным ресурсам в информационно-телекоммуникационных сетях, в том числе в сети интернет. В Гражданском кодексе РФ (ГК РФ) определяются особенности привлечения к ответственности (освобождения от ответственности) информационных посредников (интернет-провайдеров, хостинг-провайдеров), меры по защите гражданских прав, требование о применении которых может быть предъявлено информационному посреднику (удаление информации, ограничение доступа к ней).
Источник

19/09/2013 10:01 Аргентина создала операционную систему для школ на базе Linux
Правительство Аргентины официально аносировало релиз операционной системы под названием Huayra GNU/Linux, разработанной по госзаказу для использования в школьном образовании. Новая операционная система, базирующаяся на Debian GNU/Linux, будет предустановлена на ноутбуках, которые ученики аргентинских школ получат в ходе национальной программы информатизации образования. Новая открытая ОС появится в школах в рамках государтвенной программы Conectar Igualdad (Connection Equality), реализация которой финансируется Министерство социальной защиты Аргентины. К завершению программы правительство Аргентины рассчитывает оборудовать в аргентинских школах более 5 тыс. компьютерных классов и выдать школьникам около 5 млн. нетбуков для выполнения учебных заданий в школе и дома. Программа Conectar Igualdad стартовала в апреле 2010 г., и за полные два года аргентинские школы получили уже 1428 компьютерных классов, а их ученики - почти 3,32 млн. нетбуков. На первых двух этапах проекта нетбуки получали ученики средних учебных заведений. На третьем этапе проекта к декабрю 2013 г. более 300 тыс. портативных компьютеров для учебы получат учащиеся старших школ (10-й, 11-й и 12-й класс). Компьютеры для старшеклассников закупаются у одиннадцати вендоров. Ноутбуки для средних школ поставлялись с предустановленной Windows, однако для старшеклассников было решено установить в режиме dual boot две операционные системы - Windows и специально разработанный для этой цели дистрибутив Linux под названием Huayra GNU/Linux. Проект Huayra стартовал полтора года назад в стенах аргентинского Национального научно-исследовательского центра свободных технологий (Centro Nacional de Investigación y Desarrollo de Tecnologías Libres). Точная стоимость проекта не раскрывается, однако известно, что финансирование ведется за счет бюджета программы Conectar Igualdad, составляющего около 4 млрд песо (более $658 млн). Как сообщают создатели проекта, необходимость разработки «школьного дистрибутива» была продиктована педагогической целью с серьезной экономической подоплекой: отучить школьников от бездумного потребления проприетарного ПО. Первые 300 тыс. пилотных нетбуков с Huayra имеют предустановленную Windows, однако при запуске компьютера по умолчанию будет загружаться Linux. «Сегодня корпорации используют школы как теплицы для выращивания потребителей, - рассказал генеральный координатор проекта Huayra Хавьер Кастрильо (Javier Castrillo). - "Раздавая" школам свое ПО, они в действительности формируют будущих пользователей этого ПО. После того, как система образования привыкает к нестандартным форматам, которые де-факто являются проприетарными, она сама начинает вести политику продвижения этих продуктов». По словам Кастрильо, внедрение Linux в школьную программу позволит противостоять коммерческим интересам в образовании. «Корпорации вмешиваются в государственную политику не из патриотических побуждений, а ради финансовой выгоды, - заявил он. - В случае образовательных программ, их внедрение ведется на наши деньги, и ни одна корпорация не может указывать нам, какие программы использовать и что потреблять».
Источник

19/09/2013 10:37 Symantec раскрыла группировку кибер-шпионажа Hidden Lynx
Компания Symantec сообщила о раскрытии хакерской группировки Hidden Lynx, которую называют одной из самых профессиональных и самых ярких кибер-преступных групп, причастной к самым громким атакам последних лет. Компания Symantec объявила о разоблачении группы хакеров Hidden Lynx, ответственных за организацию нескольких кибер-атак, происходивших из Китая. От десятков известных хакерских группировок, занятых кибер-шпионажем, Hidden Lynx отличается высокой технической подкованностью и недоказанностью своих связей с властями КНР, о чем прямо говорит эксперт Symantec Лайам О'Мирчу (Liam O'Murchu): его компании не удалось выявить ни персоналии людей, стоящие за Hidden Lynx, ни установить степень связи этой группировки с властями Китая. В Symantec предполагают, что Hidden Lynx - это группировка, специализирующаяся на похищении информации на заказ. Именно наемным характером их деятельности объясняется чрезвычайное разнообразие целей их атак: в отчете компания подчеркивает, что атаки этой группировки бывают одновременно направлены на множество организаций в разных странах мира. В отчете Symantec Hidden Lynx приписывается известная атака Operation Aurora, при которой в 2009 г. были атакованы более 20 крупных технологических компаний. Из всех жертв атаки факт кибер-нападения признали только Google и Adobe, а вице-президент по изучению угроз McAfee Дмитрий Альперович (Dmitri Alperovitch) заявил, что «никогда не видел настолько технически продвинутых атак в коммерческом пространстве. Ранее такие атаки наблюдались только на правительственные ресурсы». Одной из самых ярких кибер-нападений Hidden Lynx в Symantec назвали атаку VOHO в июне 2012 г. Целями атаки были подрядчики министерства обороны США, защищенные ПО компании Bit9. Для получения доступа к их серверам хакеры Hidden Lynx взломали Bit9, и скомпрометировали ее систему подписи безопасных файлов. Вредоносные файлы с поддельными сертификатами были использованы для непосредственной атаки на военных подрядчиков. Всего с 2011 г. Hidden Lynx, по данным Symantec, провела шесть крупных кибер-кампаний.
Подробности

19/09/2013 10:49 Microsoft выпустила превью Internet Explorer 11 для Windows 7
Корпорация Microsoft выпустила превью-версию браузера Internet Explorer 11 для Windows 7, добавив новинке скорости в работе, а также несколько новых функций, связанных с сенсорными экранами. Для тех, кто скачал предварительную версию Windows 8.1 несколько месяцев назад, браузер IE11 должен быть уже знаком, но для Windows 7 предварительная версия IE11 - это новинка, так как прежде корпорация поставляла лишь Internet Explorer 11 Developer Preview для ограниченного круга разработчиков. В новой версии Microsoft по-прежнему утверждает, что Internet Explorer 11 - это самый быстрый браузер в мире, он на 10% быстрее IE10 и на 5% быстрее в сравнении с IE11 Developer Preview, а также на 30% быстрее, чем "ближайший конкурирующий браузер". Ранее Microsoft регулярно сравнивала по производительности свой браузер и Google Chrome или Mozilla Firefox, опираясь на данные тестового инструмента SunSpider 1.0.1. Сейчас в корпорации говорят, что новинка еще и обзавелась рядом полезных сенсорных функций для работы на Windows-планшетах c диагональю 10 и 8 дюймов. Кроме того, браузер обзавелся поддержкой Skype и вызывать абонентов этой системы интернет-телефонии теперь можно просто кликнув по их номеру в Skype в том же окне барузера, без открытия сторонних окон и запуска приложений. Также тут появилась поддержка безпрефиксной версии Pointer Events для работы с сенсорными устройствами, новые инструменты управления для более точного указания объектов пальцем. Появились в новой сборке и некоторые новые функции для разработчиков. Что касается общих улучшений, то здесь заявлена поддержка стандарта W3C Resource Priorities, позволяя разработчикам решать, какие именно элементы веб-страницы грузить в первую очередь. Также браузер обзавелся поддержкой нового протокола SPDY, разработавнного Google для ускоренной загрузки страниц. Наконец, в браузере улучшена поддержка современных GPU для более скоростного рендеринга страниц и снижения нагрузки на центральный процессор.
Источник

19/09/2013 11:35 Google назвали главным инструментом поиска пиратского контента
Более 80 процентов всех пиратских ресурсов, незаконно распространяющих в интернете видеоконтент, пользователи находят с помощью поисковика Google. Об этом говорится в отчете, опубликованном 18 сентября Американской ассоциацией кинокомпаний (MPAA). Как сказано в документе, Google является главным инструментом поиска нелегального контента в Сети. Всего же для перехода на пиратские интернет-ресурсы тем или иным поисковиком пользуются три четверти всех опрошенных авторами исследования респондентов. При этом, как отмечают в MPAA, 58 процентов поисковых запросов приводящих к открытию пиратских ресурсов, не содержат слов, связанных с пиратством и нелегальным скачиванием фильмов. По мнению MPAA, это позволяет говорить о том, что пользователи изначально не настроены нарушать закон и смотреть фильмы нелегально, однако делают это, когда легко обнаруживают ссылки на пиратские ресурсы в результатах поисковой выдачи. Google подвергается критике со стороны правообладателей не впервые. В начале сентября 2013 года за отказ удалить из поисковой выдачи ссылки на пиратский ресурс The Pirate Bay с резкой критикой в адрес интернет-компании выступили представили Британской ассоциации производителей фонограмм (BPI). Для борьбы с пиратами правообладатели требуют от Google не индексировать пиратские сайты в принципе. Большинство запросов на удаление ссылок на конкретные пиратские ресурсы Google удовлетворяет, однако представители поисковика выступают против введения единого механизма изменения результатов поиска.
Отчет MPAA

19/09/2013 12:27 Аппеляционный суд оштрафовал «Рамблер» за тайну переписки
Апелляционный суд в Москве подтвердил законность решение Федеральной службы по финансовым рынкам (ФСФР) против компании «Рамблер» за отказ вскрывать адреса электронной переписки пользователей. Об этом 19 сентября сообщает «Прайм». Таким образом суд удовлетворил жалобу ФСФР на предыдущее решение суда, который признал привлечение компании к ответственности незаконным. О том, что ФСФР оштрафовала «Рамблер» на 500 тысяч рублей за отказ выполнять свое предписание, стало известно в апреле 2013 года. Ведомство требовало передать ему материалы электронной переписки для расследования возможного случая инсайда и манипулирования акциями компании «Проектные инвестиции». В компании обжаловали решение, заявив, что подобные требования не могут выдвигаться без санкции суда. 23 июля арбитражный суд удовлетворил жалобу «Рамблера». Однако суд высшей инстанции постановил, что закон дает ФСФР необходимые полномочия и счел аргумента компании несостоятельными.
Источник

20/09/2013 09:19 Facebook отчиталась перед Роскомнадзор за курительные смеси
Администрация социальной сети Facebook удалила всю запрещенную информацию по требованию Роскомнадзора. «После проверки ссылки Роскомнадзор сообщает, что все требования службы выполнены и инициирована процедура исключения соответствующей записи из реестра», — говорится на сайте ведомства. Днем 19 сентября Роскомнадзор внес Facebook в «черный список» сайтов и направил администрации социальной сети требование удалить всю запрещенную информацию в трехдневный срок. О какой именно запрещенной информации идет речь, до сих пор достоверно не известно. Ранее пресс-секретарь Роскомнадзора Владимир Пиков объяснил, что в адрес Facebook поступило около 10 жалоб, в том числе и в связи с рекламой запрещенных курительных смесей. Из десяти заявок ведомство направило на экспертизу только три. Рекламу запрещенных курительных смесей пользователи обнаружили в Facebook 16 сентября. Объявление с логотипом и контактным телефоном магазина, продающего курительные смеси, появлялось в рекламном блоке русскоязычного Facebook. В администрации социальной сети объяснили появление этой рекламы техническим сбоем и заявили, что начали удалять ее. Запрещенной рекламой в Facebook, тем не менее, заинтересовалась Федеральная антимонопольная служба. Кроме того, Совет Федерации попросил Госнаркоконтроль проверить рекламу, а представители партии ЛДПР потребовали временно заблокировать Facebook на территории России. «Черный список» сайтов действует в России с ноября 2012 года. В него вносятся ресурсы, на которых размещена пропаганда суицида, наркотиков и детская порнография. Вносить сайты в реестр запрещенных сайтов могут три ведомства: Роскомнадзор, Роспотребнадзор и Федеральная служба по контролю за оборотом наркотиков. Следит за исполнением закона Роскомнадзор. В первые несколько месяцев работы реестра в него попадали по ошибке такие сайты, как Google, YouTube, «ВКонтакте» и «Википедия». Однако Роскомнадзор ни разу не доходил до блокировки общественно значимых ресурсов, даже если запрещенная информация не удалялась в течение трех дней.
Источник

20/09/2013 10:08 «Сирийская электронная армия» распространяет Mac-троян
Аналитики по ИБ обнаружили новый тип трояна, который заражает компьютеры Mac. Представленные данные указывают на связь с сирийской группой хакеров Syrian Electronic Army, ответственной за множественные атаки за последнее время. Компания Intego, занимающаяся выпуском антивирусов, сообщила в своем блоге об обнаружении хакерской атаки, направленной на владельцев компьютеров Apple Mac. Образец трояна, с помощью которого была проведена атака, был прислан в Intego пользователем из Беларуси. В данный момент командный сервер, с которым соединялось вредоносное приложение, бездействует и не отправляет на компьютеры жертв какие-либо команды. Специалисты Intego предполагают, что троян распространялся по электронной почте и через зараженные веб-сайты, маскируясь под файл с изображением целующейся пары с именем DSC00117 - как у файлов фото, сделанных цифровой камерой. Когда пользователь пытался его открыть, троян копировался в папку /Users/Shared/UserEvent.app и создавал файл ~/Library/LaunchAgents/UserEvent.System.plist для запуска UserEvent.app. В результате в операционной системе создавался постоянный бэкдор - лазейка, с помощью которой хакеры удаленно могли получить доступ к компьютеру жертвы. Исследовав троян, специалисты выяснили, что после установки в систему он отправлял на удаленный сервер данные зараженного ПК, а также пытался загрузить с сервера на компьютер жертвы изображение. Обнаруженный троян не представляет угрозы для основной массы пользователей, так как с его помощью выполнялась атака, направленная лишь на определенные сообщества, как считают эксперты Intego: в частности, активистов и журналистов, выступающих против правительства. Источник атаки специалистами Intego не упоминается, однако, исходя из характера изображения, которое троян пытался загрузить на компьютер жертвы, можно сделать явный вывод о связи с сирийской хакерской группой «Сирийская электронная армия», Syrian Electronic Army (SEA), действующей в поддержку президента Сирии Башара Хафез аль-Асада. Цели атакующих также остаются неясны. Однако стоит напомнить, что недавно SEA взяла на себя ответственность за атаку на веб-сайт крупных американских изданий The New York Times, Washington Post и других популярных ресурсов.
Источник

20/09/2013 10:32 На сервисе Google устранены три критических уязвимости
Российская компания Digital Security сообщает, что ее сотрудник Сергей Белов, аудитор ИБ, обнаружил серьезные уязвимости на сервисе Waze.com, не так давно купленном Google за 1 миллиард долларов. Эксперт обнаружил три уязвимости на данном ресурсе, две из которых имеют высокую степень риска. Первая из них - Раскрытие полных путей (Full Path Traversal) - позволяет узнать полные пути до приложения. Вторая – CSRF via GET – позволяла изменять любые данные (пароль, почта, другие данные профиля) любому пользователю, если тот откроет пост с вредоносным кодом на любом сайте, где поддерживается вставка картинок с внешних ресурсов (например, на форуме ресурса). После того, как компания Digital Security официально сообщила о существующей уязвимости Google, она была некорректно исправлена, что позволяло провести ту же самую атаку, но через POST. После совместной работы с сотрудниками Google уязвимость была окончательно исправлена.
Источник

20/09/2013 10:54 Обнаружена бот-сеть из 200 тыс. зараженных устройств
Специалисты компании «Доктор Веб» обнаружили самую крупную в мире бот-сеть из инфицированных мобильных устройств на базе ОС Android. На сегодняшний день известно о более чем 200 000 смартфонах, которые были заражены вредоносными программами семейства Android.SmsSend и входят в ее состав. Основной источник заражения в этом случае – принадлежащие злоумышленникам или взломанные интернет-ресурсы. Наибольшее число инфицированных устройств принадлежит российским пользователям, на втором месте по данному показателю располагается Украина, далее следуют Казахстан и Белоруссия. По предварительным оценкам ущерб, нанесенный пользователям злоумышленниками в результате данного инцидента, может исчисляться многими сотнями тысяч долларов. Для заражения мобильных устройств и включения их в состав бот-сети злоумышленники использовали несколько вредоносных приложений: среди них новый троянец Android.SmsSend.754.origin, а также вредоносные программы Android.SmsSend.412.origin (известна с марта 2013 года, распространяется под видом мобильного браузера), Android.SmsSend.468.origin (известна с апреля 2013 года) и маскирующийся под мобильный клиент для социальной сети «Одноклассники» троянец Android.SmsSend.585.origin, известный антивирусному ПО Dr.Web с июня 2013 года. Троянец Android.SmsSend.754.origin представляет собой apk-приложение с именем Flow_Player.apk. Устанавливаясь в операционной системе, он просит пользователя запустить данную программу с привилегиями администратора устройства — это позволит вредоносному приложению осуществлять управление блокировкой дисплея. Кроме того, Android.SmsSend.754.origin в дальнейшем скрывает свой значок с главного экрана мобильного устройства. После завершения процедуры установки троянец отправляет злоумышленникам информацию об инфицированном устройстве, включая уникальный идентификатор IMEI, сведения о балансе, код страны, номер телефона жертвы, код оператора, модель мобильного телефона и версию ОС. Затем Android.SmsSend.754.origin ожидает поступления от злоумышленников соответствующей команды, по которой он может отправить СМС-сообщение с определённым текстом на заданный номер, выполнить СМС-рассылку по списку контактов, открыть заданный URL в браузере или продемонстрировать на экране мобильного устройства сообщение с определённым заголовком и текстом. По сведениям, собранным специалистами, в бот-сеть на сегодняшний день входит более 200 000 мобильных устройств, работающих под управлением Google Android, при этом наибольшая их часть (128 458) принадлежит российским пользователям, на втором месте располагается Украина с показателем 39 020 случаев заражения, на третьем — Казахстан: здесь от действий злоумышленников пострадали 21 555 пользователей.
Источник

20/09/2013 11:45 Продемострирован обход кода защиты в Apple iOS 7
Первая обнаруженная в iOS 7 уязвимость позволяет получить полный доступ к фотографиям с возможностью их отправки в Сеть на iPhone и iPad со включенной парольной защитой. Как сообщает TechCrunch, ее обнаружил 36-летний испанский солдат Хосе Родригез (Jose Rodriguez), который ранее уже неоднократно раскрывал аналогичные ошибки в платформе Apple. Путем серии манипуляций на защищенном пароле iPhone, с установленной на него прошивкой iOS 7, Родригез смог получить доступ ко всем фотографиям, хранящимся в памяти смартфона, без ввода пароля, а также к функции отправки любой фотографии по электронной почте, в Twitter, Facebook или Flickr. Как пишет автор статьи в журнале Forbes Энди Гринберг (Andy Greenberg), уязвимость позволяет «похищать аккаунты электронной почты, аккаунты в Twitter, Facebook и Flickr». Однако, по мнению, авторов ресурса TechCrunch, Гринберг драматизирует ситуацию. Как рассказал Родригез, для того чтобы получить доступ к фотографиям на заблокированном устройстве, необходимо сперва открыть «Центр управления» (провести пальцем по экрану от нижнего края вверх), затем открыть будильник, затем нажать и удерживать кнопку питания, затем выбрать отмену, после чего дважды нажать на кнопку «Домой», после чего появится список запущенных приложений, включая камеру. К большинству приложений пользователь не сможет получить доступ, однако доступ к приложению камеры будет открыт. Из этого приложения далее можно перейти к фотоальбомам. По словам Родригеза, баг можно воспроизвести в том числе на iPad. Однако пока не известно, будет ли он присутствовать на iPhone 5S и iPhone 5C, отмечает Forbes. Родригез рассказал, что он находит уязвимости в iPhone благодаря наличию у него массы свободного времени - он работает водителем в государственном аппарате и часто проводит в автомобиле часы в ожидании чиновников. Он добавил, что этот баг, по всей видимости, будет последним, о котором он рассказал, потому что он нашел новую работу, которая потребует от него больше времени. По данным Apple, перед выпуском iOS 7 в новой операционной системе было устранено 80 уязвимостей. В компании сообщили, что о новой уязвимости уже осведомлены и исправят ошибку в ближайших обновлениях. Пользователи, обеспокоенные находкой Родригеза, могут легко заблокировать описанный им метод взлома, отключив «Центр управления» в настройках. После этого воспроизвести обход уже не удастся.
Источник

21/09/2013 10:55 RSA Security заявила о наличии АНБ-бэкдора в своих продуктах
Компания RSA Security, один из крупнейших поставщиков средств коммерческого шифрования данных, сегодня порекомендовала клиентам не использовать функции шифрования в программном обеспечении RSA Data Protection и RSA Bsafe, так как в их компонентах содержатся бэкдоры, созданные в Агентстве национальной безопасности США. В бюллетене по безопасности RSA, разосланном сегодня компанией, говорится, что в крипто-механизме обоих продуктов содержится генератор ключей Dual EC_DRBG. Этот генератор использует механизм, ранее утвержденный институтом NIST (National Institute of Standards and Technology). На этой неделе стало известно, что NIST сертифицировал этот механизм со встроенным бэкдором АНБ. Механизм работает с генератором случайных чисел, который в реальности генерирует не случайные числа, а позволяет обладателю данных о бэкдоре предугадывать генерации. "Чтобы гарантировать высокий уровень безопасности наших приложений, RSA настоятельно рекомендует клиентам более не применять Dual EC_DRBG и использовать иную систему генерации случайных чисел", - говорят в компании. "Технический гид по тому, как переключиться на другой механизм, доступен в разделе документации для клиентов". Напомним, что библиотека Bsafe используется для развертывания криптографических функций в стороннем программном обеспечении, например в McAfee Firewall Enterprise Control Center. В свою очередь RSA Data Protection Manager используется для управления криптоключами. В McAfee сообщили, что их продукт McAfee Firewall Enterprise Control Center 5.3.1 полагается на Dual EC_DRBG, но лишь в той его версии, что применяется для государственных нужд или нужд господрядчиков. Более новая версия уже перешла на генератор SHA1 PRNG.
Источник

21/09/2013 11:23 Создатель Linux отверг сотрудничество со спецслужбами США
Отвечая на вопрос, обращались ли к нему американские власти с просьбой поместить в Linux бэкдоры, создатель ядра Линус Торвальдс ответил в свойственной ему шутливой манере: он сказал «нет», при этом утвердительно кивая головой. Создатель Linux Линус Торвальдс, принимая участие в панельной дискуссии на конференции LinuxCon в Новом Орлеане, США, не дал однозначного ответа на вопрос, обращалось ли к нему американское правительство с просьбой поместить в ядро Linux бэкдоры - лазейки, которые бы позволили властям незаметно шпионить за пользователями открытого программного обеспечения на ядре Linux. После того как ведущий панели задал вопрос, Торвальдс сделал небольшую паузу и затем громко ответил «нет», многозначительно кивая головой, то есть выполняя жест, означающий утвердительный ответ. Такая реакция вызвала бурный смех присутствующих на конференции слушателей. Затем он сказал «нет» и покачал головой, на этот раз уже подтверждая жестом свой ответ. Сидевший рядом разработчик Red Hat из Южной Кореи Теджун Хео (Tejun Heo) после ответа Торвальдса прокомментировал, что тот, вероятно, не может говорить об этом открыто. Данный комментарий вызвал смех некоторых людей в зале. После такого ответа у прессы появились вопросы, и в ответ изданию Mashable Торвальдс написал в электронном письме, что он пошутил. «Конечно же, это была шутка. Ни одно правительственное агентство никогда не просило меня поместить в Linux бэкдор. Честно», - написал он. Добавим, что в 9 сентября 2013 г. разработчики Linux начали сбор подписей за исключение из ядра алгоритма RDRAND, который Торвальдс своей властью добавил в ядро два года назад. Этот генератор псевдослучайных чисел RDRAND был разработан компанией Intel и для формирования случайных значений использует тепловой шум процессора - непредсказуемую физическую величину. Позже появились подозрения, что этот генератор вполне предсказуем, что может ослаблять криптостойкость ключей, а к его разработке приложило руку Агентство национальной безопасности США. В ответ Товальдс заявил о некомпетентности инициатора сбора подписей Кайла Кондона (Kyle Condon), объяснив, что в Linux инструкция RDRAND используется только как один из множества источников в пуле случайных чисел. Вероятность внедрения бэкдора в генератор случайных чисел отлична от нуля. В 2013 г. факт такого внедрения в генератор Dual_EC_DRBG был отчасти подтвержден Национальным институтом стандартов и технологий (NIST). Независимыми экспертами по информационной безопасности он был найден еще в 2007 г. Наличие бэкдоров в популярном программном обеспечении является актуальной темой в последние месяцы в средствах массовой информации.
Источник

22/09/2013 11:50 Продемонстрирован способ внедрения троянов в чипы Intel
Независимая группа исследователей говорит, что ей удалось создать специальную технику, которая саботирует криптографические возможности современных процессоров Intel Ivy Bridge. Техника работает без внесения физических модификаций в чип и не требует размещения в компьютере дополнительного оборудования. Авторы методики говорят, что их подход позволяет полностью скомпрометировать системы аппаратной безопасности Пентагона, где аппаратные процессорные шифраторы применяются около 8 лет. Правда, пока созданная техника - это в большей степени концептуальный подход и для его практического использования придется применять другие вспомогательные методики хакинга. В своем руководстве авторы говорят, что их исследование - это стартовая точка для дальнейших работ в направлении так называемых аппаратных троянцев. На сегодня в ИТ среде не так много работ, посвященных крэкингу аппаратных решений, таких как процессоры, с целью внедрения секретных инженерных ключей. В своей работе исследователи говорят о создании двух похожих бэкдоров, которые можно встроить в инструкции процессора, чтобы тот передавал шифруемые данные по обводным каналам и информация, которая по логике вещей должна быть защищена, таковой не оказывается. При этом ни антивирус, ни операционная система никакого подвоха не замечают. Авторы говорят, что если бы они опубликовали свои изыскания еще полгода назад, на них смотрели бы под одним углом, но сейчас, когда вокруг американской разведки один за одним всплывают скандалы с прослушками, данные сведения выглядят более остро. Является ли это багом чипмейкера или же это специальный лаз, который был оставлен для АНБ или ЦРУ, чтобы те могли проще декодировать чужие данные, которые должны были бы быть нечитаемыми для внешних зрителей. Так или иначе, но атака работает против генератора случайных чисел, встроенного в процессоры Intel Ivy Bridge. Данный блок является аппаратным и был создан в Intel. Модифицировать его без физической поломки чипа нельзя. Эксплоит при помощи нехитрых манипуляций снижает уровень энтропии (случайного подбора) в блоке со 128 до 32 бит. Очевидно, что чем меньше исходная вариативность, тем проще угадать ключ. На практике это значит, что потенциальный атакующий может вскрыть ключ энтропии в разы быстрее, чем должен был бы. Отметим, что данный генератор случайных чисел был проверен в рамках так называемого Built-In Self-Test на заводе производителя, а также одобрен американским Национальным Институтом стандартов и технологий NIST. Сам NIST буквально на днях погорел на том, что в сертифицированном им алгоритме шифрования была найдена АНБ-ориентированная закладка, которая компрометировала криптоалгоритм. В NIST отказались комментировать наличие бэкдоров. Авторы доклада говорят, что они намеренно не делают заключений о том, является ли баг в RNG чипах Intel ошибкой или злым умыслом, оставляя суждения на суд читателей. Также они не пока по понятным соображениям не публикуют в открытом доступе эксплоиты, но они говорят, что для того, чтобы открыть возможность взлома, в процессоре нужно в определенной последовательности выполнить всего пару десятков команд. Точно также они говорят, что с аппаратной точки зрения изменение логики работы чипа - это релокация нескольких десятков транзисторов из более чем миллиарда транзисторов на чипе. Также они говорят, что изюминка данного бага в том, что он спрятан на столько низкоуровнево, что ниже уже просто невозможно, поэтому выявить его было непросто, хотя сама по себе реализация там несложная. Также в работе авторы ничего не указывают про чипы AMD и других производителей.
Технические подробности (PDF)
Технические подробности (PDF)

22/09/2013 12:23 Бельгийский Belgacom прослушивался британской разведкой GCHQ
Новые документы, переданные Эдвардом Сноуденом немецкому изданию Der Spiegel говорят о том, что британская разведка GCHQ стояла за взломом ИТ-систем крупнейшего в Бельгии оператора связи Belgacom, а также за размещение шпионских кодов на серверах оператора. Ранее в этом подозревали американские спецслужбы. Газета сообщает, что британские разведчики целенаправленно инфицировали компьютеры нескольких сотрудников Belgacom в рамках атаки, известной как Quantum Insert, которая изначально была создана представителями АНБ США, но реализовывалась полностью британцами. Конечной целью атаки было получение доступа к корневым сетевым маршрутизаторам бельгийского оператора, чтобы проводить анализ перехваченного трафика в интернете и сотовых сетях. Также в документах, полученных Der Spiegel, говорилось, что британские разведчики интересовались компанией BICS - совместным предприятием Belgacom, Swisscom и южноафриканской MTN, которая занималась оптовыми продажами услуг проводной телефонии другим операторам, в частности в Йемене и Сирии. Кроме того BICS имела доступ к ряду трансконтинентальных интернет-кабелей для передачи трафика. Сообщается, что в задачи британских разведчиков входило детальное исследование VPN-инфраструктуры Belgacom и BICS, а также проведение атак типа man-in-the-middle. Напомним, что в начале этой недели Belgacom официально заявила, что ее внутренние системы были скомпрометированы, однако в компании заявили, что взломщикам не удалось добраться до "инфраструктуры доставки трафика". Der Spigel отмечает, что по-хорошему Belgacom следовало бы подать в суд на GCHQ, однако скорее всего этого не будет и Бельгия с Великобританией обменяются просто обменяются дипломатическими колкостями на этот счет, так как две страны являются партнерами по НАТО.
Источник

22/09/2013 13:15 Пользователи обвиняют LinkedIn в сборе адресов электронной почты
Пользователи сети профессиональных контактов LinkedIn обвинили администрацию ресурса в том, что она ворует электронные адреса из их почтовых ящиков и рассылает приглашения по списку контактов. Об этом в воскресенье, 22 сентября, сообщает агентство Bloomberg. Иск подан в суд города Сан-Хосе в Калифорнии 17 сентября. Истцы требуют от компании прекратить подобную практику и вернуть прибыль, полученную нечестным путем. Они намерены добиваться рассмотрения дела судом присяжных. Согласно иску, LinkedIn, заставляя указывать в качестве имени пользователя внешний электронный адрес, получала доступ к адресам в списке контактов пользователя. Затем эти данные использовались, чтобы рассылать приглашения вступить в сеть. При этом пользователи никак не могут остановить этот процесс. Представитель LinkedIn заявил, что иск является необоснованным и компания намерена доказать его несостоятельность в суде. Администрация никогда не пользуется доступом к электронной почте клиента без его разрешения и не «притворяется» пользователем, чтобы проникнуть в чужие почтовые ящики, подчеркнули в LinkedIn. Между тем, одна из истиц заявила Bloomberg, что LinkedIn разослал от ее имени не менее 3000 приглашений вступить в профессиональную соцсеть, причем использовались не только непосредственные адресаты писем, но и те, кому направлялась копия. Другой пользователь рассказал, что он якобы пригласил пообщаться в LinkedIn людей, с которыми не разговаривал почти десять лет, в том числе нескольких бывших подруг, чьи контакты забыл удалить. Как указывают истцы, частью стратегии LinkedIn является «обеспечение вирусного роста клиентской базы». По данным самой соцсети, в нее уже вступили более 238 миллионов профессионалов со всего мира. В мае 2011 года LinkedIn, запущенная в 2003 году, провела первичное размещение акций (IPO). По итогам последних торгов на Нью-йоркской бирже, акции компании упали на 2,1 процента.
Источник

22/09/2013 13:57 Google анонсировал новый логотип и меню навигации
Интернет-поисковик Google анонсировал обновление своей главной страницы. Изменения коснутся логотипа поисковика, а также навигационной панели, на смену которой придет новое меню. Сообщение об этом появилось 19 сентября в официальном блоге Google Search. Как говорится в посте, черная полоса навигации между приложениями исчезнет с главной страницы ресурса. Все приложения Google (Youtube, карты, диск, почта, новости и другие) вместо этого будут объединены в одном месте — соответствующая иконка появится в правой верхней части основной страницы поиска. Как говорится в посте, изменения коснутся и логотипа Google — шрифт названия станет более плоским и немного изменит свою цветовую палитру. Нововведения будут внедряться постепенно в течение нескольких недель и затронут как стандартную версию сайта, так и мобильные приложения Google для iOS и Android. О том, что логотип компании может в ближайшее время измениться впервые стало известно 13 сентября 2013 года. Тогда пользователи сообщили, что обнаружили новый логотип Google в бета-версии браузера Chrome для Android. В начале сентября другая крупная интернет-компания — Yahoo! — также представила новый логотип. Буквы, которыми написано слово «Yahoo», стали тоньше, сохранив при этом свой традиционный фиолетовый цвет. Пошел на смену логотипа и поисковик компании Microsoft — Bing. Новый логотип (буква b) выполнен в оранжево-желтой цветовой гамме. Для слова «Bing», написанного рядом, используется шрифт Segoe.
Подробности

22/09/2013 14:22 Пиратские ссылки на итальянских сайтах грозят 6 годами тюрьмы
Владельцы испанских интернет-сайтов, содержащих ссылки на пиратские материалы, могут получить до 6 лет тюрьмы, сообщает в пятницу новостное агентство EFE. Такое ужесточение наказания за нарушение авторских прав и содержание пиратских материалов является частью реформы уголовного кодекса. По словам министра юстиции Испании Альберто Руис-Гальярдона, новые поправки в УК являются балансом между защитой авторских прав и технологиями. Пользователи незаконных интернет-ресурсов, в свою очередь, не будут нести никакого наказания за скачивание и использование пиратского материала. Как заявила так называемая "Коалиция создателей", в которую входят федерация кинематографа Испании, ассоциация продюсеров Испании и другие организации, призвала правительство продолжать предпринимать действия по обеспечению защиты владельцев интеллектуальной собственности. По данным коалиции, в 2012 году в Испании было незаконно скачено более 2 миллиардов песен, более 536 миллионов видеофильмов, более 226 миллионов книг и 168 миллионов видеоигр.
Источник


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru