uinC NewsLetter #38, 2014


Приветствуем!

Новости из Security Мира

15/09/2014 11:17 Спецслужбы США и Великобритании следят за немецкими сетями
Агентство национальной безопасности США и британский Центр правительственной связи, по-видимому, имеют доступ к сетям крупнейшей телекоммуникационной компании Deutsche Telekom и провайдера Netcologne. Об этом сообщил немецкий журнал Spiegel со ссылкой на секретные документы, предоставленные редакции Эдвардом Сноуденом. По данным Spiegel, речь идет о графических визуализациях, созданных в программе АНБ под названием "Treasure Map", которая призвана "создать полную карту интернета". На этих "картах" Deutsche Telekom и Netcologne отмечены красными точками, означающими, что к этим сетям есть "точки доступа", которые позволяют осуществлять техническое наблюдение. Благодаря "Treasure Map" аналитики спецслужб способны "практически в режиме реального времени" визуализировать и крупные сетевые узлы, и отдельные маршрутизаторы, а также компьютеры, смартфоны и планшеты, пока они подключены к интернету. Кроме того, эта программа позволяет "планировать компьютерные атаки" и вести "сетевой шпионаж". По данным Spiegel, помимо Deutsche Telekom и Netcologne красной точкой отмечены также немецкие провайдеры Stellar, Cetel и IABG. В документах, оказавшихся в распоряжении Spiegel, были указаны имена сотрудников компании Stellar, а также пароли к серверам ее клиентов. Глава Stellar Кристиан Штеффен в разговоре с Spiegel отметил, что подобные действия спецслужб "по немецкому закону определенно наказуемы". В компаниях Deutsche Telekom и Netcologne изданию заявили, что проведенные ими дополнительные проверки не выявили подозрительных устройств или потоков информации. "Если иностранные спецслужбы имеют доступ к нашей сети, это совершенно неприемлемо, — прокомментировал глава службы безопасности Deutsche Telekom Томас Черзих. — Мы расследуем каждое указание на возможные манипуляции. Кроме того, мы обратились в органы безопасности Германии".
Источник

15/09/2014 12:10 РЖД переходит с Microsoft Exchange и Lync на CommuniGate Pro
Российская компания «СталкерСофт» заключила два контракта с РЖД: первый на поставку 250 тыс. бессрочных лицензий CommuniGate Pro, второй (годовой) – на поддержку и развитие этого решения под задачи заказчика, поделился своими успехами коммерческий директор «СталкерСофт» Олег Никитин. Решение CommuniGate Pro предназначено для построения систем объединенных коммуникаций - электронной почты, IP-телефонии, видео-звонков, мгновенных сообщений, коллективной работы. Оно поддерживает стандартные протоколы (SMTP, SIP, IMAP, XMPP, LDAP, XIMSS, CalDAV, WebDAV) и может быть развернуто на любой операционной системе (Windows, Linux, Unix, Mac). Сейчас коммуникации в РЖД построены на решениях Microsoft - Exchange и Lync. Лицензии у РЖД на эти продукты истекают в ближайшие месяцы, и продлять их не планируется. Внедрение CommuniGate Pro в РЖД уже началось в пилотном режиме, а полностью завершить проект планируется в течение года, говорит Никитин. Интегратором выступает компания Digital Design. Сумма заключенных с РЖД контрактов не раскрывается, но по приблизительным расчетам: стоимость лицензий составляет около 35-40 млн рублей, а стоимость годовой поддержки – около 7 млн руб. Несмотря на то, что переход на CommuniGate Pro обуславливается российскими корнями его основателя Владимира Бутенко, данный продукт разрабатывается американской компанией при поддержке зарубежных инвестфондов. Среди клиентов американской компании CommuniGate Systems, по данным официального сайта, Verizon, British Telecom, Deutsche Telecom, NASA, Mercedes-Benz, Ebay и др. Российский офис CommuniGate Systems был открыт в 2005 г. На территории России CommuniGate Pro применяется в МВД, Госдуме, «Ростелекоме», «Сбербанке» и др. Директор «СталкерСофт» оправдывает внедрение тем, что права на CommuniGate Pro принадлежат Владимиру Бутенко, который является гражданином России. По данным базы "Фокус.Контур", он зарегистрирован как индивидуальный предприниматель. Разработка ядра продукта, говорит Никитин, ведется непосредственно Владимиром Бутенко, а заказчикам предоставляется богатый API для доработок системы собственными силами.
Источник

15/09/2014 14:27 Раскрыты подробности защищенного варианта ОС openSUSE
Дэвид Штерба (David Sterba), разработчик ядра Linux, трудоустроенный в компании SUSE, рассказал о создании проекта openSUSE-gardened, в рамках которого развивается набор пакетов, включающих дополнительные механизмы обеспечения безопасности. Дэвид считает, что штатных средств обеспечения безопасности, таких как SELinux и AppArmor, недостаточно для формирования защищённого окружения. Поэтому, предлагает дополнительно использовать в дистрибутиве наработки проекта Grsecurity для ядра Linux и средства повышения защиты на уровне сборочного инструментария GCC. Формально проект пока находится на стадии бета-тестирования, но вариант openSUSE-gardened для настольных систем на основе openSUSE 13.1 и графических чипов Intel уже оценивается как пригодный для ежедневного использования. Для систем с видео-картами NVIDIA и AMD, а также для не входящих в состав openSUSE 13.1 окружений рабочего стола, пока существуют нерешённые проблемы. Для openSUSE 13.1 и openSUSE Factory подготовлены сценарии упрощённой установки компонентов openSUSE-gardened, которые можно использовать в YaST для настройки репозитория и установки набора пакетов в один клик. В будущем наработки openSUSE-gardened планируется по возможности интегрировать в основной состав openSUSE. В openSUSE-gardened пользователю предлагается вариант штатного ядра openSUSE, собранный с использованием плагинов и дополнений к GCC и от проекта grsecurity. Обеспечивается поддержка механизмов для защиты от записи исполняемых областей памяти, рандомизации адресного пространства, эмуляции NX-бита на не поддерживающих данную технологию CPU. Хранение PaX-флагов осуществляется только в обрасти расширенных атрибутов файлов на уровне файловой системы (xattr user.pax.*) без внесения изменений в ELF-заголовки исполняемых файлов. Для автоматического обновления PaX-флагов для свежеустанавливаемых исполняемых файлов подготовлен применяемый на стадии установки пакетов плагин к zypper (zypp-plugin-pax-flags).
Источник

16/09/2014 12:45 Московские СИЗО внедряют аппарат 3D-сканирования ладони
В трех московских следственных изоляторах в 2015 году будет внедрен аппарат 3D-сканирования для идентификации заключенных, сообщает Агентство «Москва» со ссылкой на пресс-бюро ФСИН РФ. Такой аппарат планируется внедрить в СИЗО №1, СИЗО №4 и в СИЗО №7. При поступлении заключенного в СИЗО будет проводиться 3D-сканирование ладони, информация будет вноситься в банк данных. В случае любого перемещения заключенного, если он покидает СИЗО, если его переводят в другой следственный изолятор или доставляют в суд — он будет проходить через процедуру сканирования и идентификации, что позволит исключить подмену заключенного при его транспортировке.
Источник

16/09/2014 16:09 Mail.ru Group продала 4% QIWI и выкупила ВКонтакте
Mail.Ru Group сообщила о приобретении 48,01% VK.Com Limited (социальной сети "ВКонтакте"). Приобретение 48,01% было завершено 16 сентября 2014 г. В результате совокупная доля "ВКонтакте", принадлежащая Mail.Ru Group, составила 100%. Приобретение 48.01% было полностью оплачено денежными средствами в размере $1,47 млрд. Таким образом, полная стоимость приобретения "ВКонтакте" для Mail.Ru Group составила $2,07 млрд. UCP, Mail.Ru Group и Павел Дуров также пришли к соглашению, что одновременно с приобретением все незавершенные судебные процессы будут немедленно прекращены, а претензии к "ВКонтакте" и связанные с этим вопросы — сняты. Комментируя приобретение, Павел Дуров сказал: «Приветствую решение моих бывших партнеров об отказе от претензий к Telegram и о возврате американских компаний под мой контроль. Подтверждаю снятие претензий к UCP с моей стороны и поздравляю всех участников с мировым завершением споров». Данное приобретение является очередным знаковым событием для Mail.Ru Group с точки зрения финансовых успехов. Ранее, подобным событием в истории Рунета стало приобретение Mail.Ru Group интернет-мессенджера ICQ, не менее функционального и популярного по тем временам, чем "ВКонтакте". Компания ICQ llc была приобретена Mail.Ru Group в 2010 году всего за $187.5 млн. При этом ICQ обладал всем необходимым, чтобы стать национальной системой интернет-общения и, самое главное, объединял российских пользователей с иностранцами в едином информационном пространстве. Многие пользователи, после успешного приобретения ICQ российской компанией, отказались от его дальнейшего использования, ждет ли такая же судьба пользователей "ВКонтакте" покажет время. Для тех, кто привык отказываться от продуктов Mail.Ru Group есть и хорошая новость: 12 сентября, Mail.ru Group продала 2,165 млн акций класса "B" компании QIWI plc, владеющей одноименными платежными сервисами. Стоимость сделки не сообщается. После сделки доля Mail.Ru Group в QIWI сократилась на 4% и достигла 1,3%. Продажа акций связана с возможностью хорошо заработать на акциях QIWI, которые весьма успешно прошли IPO на NASDAQ и SPO в 2013 году. В дальнейшем, Mail.Ru планирует полностью исключить QIWI из "портфельных" компаний, хотя ранее была вторым по величине держателем ее акций.
Источник

16/09/2014 21:35 Минкомсвязи предлагает ввести 10% налог на продажу ПО в России
Министерство связи и массовых коммуникаций РФ (Минкомсвязи) намерено обеспечить «информационный суверенитет» страны за счёт введения нового налога с продаж для производителей программного обеспечения. Предполагается, что до 10% от объёма российских продаж лицензий на ПО отечественных и зарубежных разработчиков будет перечисляться в так называемый Фонд универсального ПО. Он будет работать наподобие действующего сейчас Фонда универсальной услуги связи, куда все операторы перечисляют 1,2% от своей выручки. Участники рынка полагают, что идея создания фонда является совместной инициативой Минкомсвязи и силовых структур администрации президента. Её основной задачей станет снижение зависимости России от зарубежных программных продуктов. Из фонда планируется финансировать разработку отечественного ПО. Предполагается, что поначалу работы будут поддерживаться по десяти направлениям: это, в частности, операционные системы для персональных компьютеров, серверов и мобильных устройств, пакеты офисных приложений, системы управления базами данных, системы проектирования и системы управления предприятием. Для контроля работы фонда планирует создать «госкомпанию с инновационным профилем деятельности». Для получения субсидий российским компаниям-разработчикам придётся передать государству блок-пакет своих акций (25% плюс 1 ценная бумага). Важно отметить, что средства можно будет направить исключительно на зарплату разработчиков софта. Кроме того, планируется предусмотреть механизм возврата средств, благодаря которому деньги, удержанные от продажи российских лицензионных продуктов, будут возвращены их разработчикам. Однако участники рынка говорят, что проект может навредить ИТ-отрасли из-за сложной экономической обстановки. Вызывает сомнения и эффективность распределения средств в её нынешнем виде.
Источник

16/09/2014 23:37 Американские IT-компании создают группу развития открытого ПО
В то время, по Минкомсвязи России ищет источник финансирования для развития процесса создания русифицированных графических оболочек для зарубежного открытого ПО за счет введение дополнительных налогов и взносов, несколько американских IT-компаний объявили о создании группы TODO (Talk Openly, Develop Openly). Участники TODO намерены объединить свои возможности для решения проблем, возникающих с использованием и подготовкой открытого ПО. В состав группы вошли компании Google, Facebook, Twitter, GitHub, Dropbox, Box, Khan Academy, Stripe, Square и Walmart Labs, которые уже сейчас активно участвуют в разработке открытых проектов и выделяют ресурсы для их развития. В рамках инициативы компании надеются сформировать площадку для обмена опытом, координации работы над типовым инструментарием и создания более эффективных методов, нацеленных на решение задач по использованию, участию в разработке и сопровождению открытых проектов различного уровня. В том числе будут развиваться средства для повышения эффективности контроля за качеством, обеспечения предсказуемого цикла подготовки релизов, налаживания взаимодействия с сообществом разработчиков, внедрения открытых продуктов и возврата изменений в основные проекты. Общая цель сотрудничества - сделать работу с открытым ПО проще для всех. Участники инициативы заинтересованы в создании более эффективных программ по разработке открытого ПО в своих компаниях, упрощению доступа к собственным технологиям, переводимым в разряд открытых продуктов, и предоставлении плана по организации процесса разработки открытых проектов в компаниях, желающих начать работу с открытым кодом, не не знающих как это сделать.
Источник

17/09/2014 01:58 США лидирует по числу запросов данных пользователей Google
Компания Google обновила данные отчета Transparency Report, раздела, касающегося числа запросов на раскрытие данных пользователей различных веб-сервисов Google. Отчеты Google Transparency Report публикуются с 2009 года, они содержат статистические данные по числу и категориям запросов, поступаемых от различных государственных структур. Компания Google всегда трепетно относилась к таким запросам и старалась предупредить своих пользователей в случае попыток раскрытия данных, предпринимаемых с нарушением международных норм и прав человека. Число запросов в 2009 году возросло на столько, что в Google решили посвятить этой теме целый раздел. Но, несмотря на повышенный интерес госорганов разных стран, побудивший открыть этот раздел, за очередной отчетный период число таких запросов продолжило расти. Так, с 2009 года, суммарное число запросов выросло в 3 раза. К тому же, структура запросов изменилась, теперь один запрос касается раскрытия данных целой группы пользователей. Чаще других, раскрытие данных запрашивают власти США, их число уже превысило 12.5 тыс. запросов на раскрытие информации о 21.5 тыс. пользователей. При этом 84% запросов за отчетный период (январь-июнь 2014 года) были признаны правомочными и удовлетворены. Другими лидерами по числу запросов стали: Индия (5 тыс. аккаунтов); Германия (4 тыс. акк.); Франция (3,8 тыс. акк.); Великобритания (1,9 тыс. акк.); Италия (1,4 тыс. акк.) и Сингапур (1,1 тыс. акк.). Но не по всем этим запросам данные были предоставлены, в отличие от другого списка стран, где процент раскрытия данных превышает 72%: США (18,1 тыс. аккаунтов); Великобритания (1,4 тыс. акк.); Бельгия (374 акк.); Япония (126 акк.); Голландия (78 акк.); Новая Зеландия (35 акк.); Финляндия (29 аккаунтов); Литва (6 акк.). Что же касается России, то за отчетный период (за полгода 2014 года) поступило 93 запроса, лишь 10% из них были удовлетворены - раскрыта информация о 10 аккаунтах. Украина в двух запросах требовала предоставить данные 18 пользователей, данные 9 из них были переданы госорганам страны. Беларусь в списках не числится.
Подробности

17/09/2014 14:40 10-летняя уязвимость TCP/IP-стека устранена в ОС FreeBSD
Во всех поддерживаемых версиях сетевой ОС FreeBSD устранена уязвимость (CVE-2004-0230), обнаруженная еще в 2004 году и исправленная в продуктах Microsoft в апреле 2005 года, как впрочем и 10 лет назад в другом BSD-дистрибутиве - NetBSD. Уязвимость CVE-2004-0230 позволяет нарушить связанность нескольких уязвимых узлов сети путем отправки всего двух TCP-пакетов со специальным значение SYN-флага. Для успешной эксплуатации уязвимости, злоумышленникам необходимо знать всего лишь номера активных портов, либо произвести отправку менее 2^17 поддельных пакетов, что может быть сделано менее чем за 1 секунду, при наличии высокоскоростного доступа в сеть. Уязвимость вызвана ошибками в реализации TCP-стека, из-за которой при поступлении сегмента с SYN-флагом для уже установленного соединения производилось завершение данного соединения, без выполнения проверки корректности указанного в пакете номера последовательности (Sequence Number), идентифицирующей соединение. Т.е. соединение можно сбросить отправив пакет с указанием фиктивного IP-адреса, без необходимости подбора Sequence Number. Проблема устранена в свежих обновлениях, выпущенных для веток FreeBSD 8.x, 9.x и 10.x. Кроме применения исправления модуля ядра ОС, в качестве мер защиты рекомендуется применить традиционные методы борьбы со спуфингом на стороне маршрутизатора или добавлением нескольких правил обработки TCP-трафика на межсетевом экране. Стоит отметить, что после обнаружения в апреле 2004 года, данная уязвимость активно использовалась злоумышленниками против продуктов компании Microsoft. Разработчикам Microsoft потребовался целый год на устранение этой уязвимости, что также вызвало волну очередного недовольства со стороны ее клиентов.
Источник

18/09/2014 14:39 Блогеры заставили Роскомнадзор внедрить анти-спам защиту
Со дня вступления в силу федерального закона №97-ФЗ («закон о блогерах») Роскомнадзор фиксирует стабильно высокое количество заявок в реестр блогеров, которое квалифицируется специалистами ведомства как спам. В общем массиве поступающих обращений такие заявки составляют около 20 – 25%: они содержат ненормативную лексику, неполную информацию, недостоверные данные от имени популярных блогеров и известных персон. Для уменьшения количества такого рода заявок, обработка и отсев которых требуют значительных трудовременных затрат, Роскомнадзором введена дополнительная система верификации данных, содержащихся в заявлении. Система идентификации позволяет избежать неточной/неполной поданной информации, а также минимизирует возможность подачи ложных заявлений от имени блогеров. С 15 сентября 2014 года при подаче заявления на регистрацию сайта или страницы сайта в интернете заявителю необходимо подтвердить личность. Для этого существует три способа: подтверждение через адрес электронной почты (адрес указывается при регистрации); подтверждение через SMS (пользователь указывает телефон, на который ему приходит необходимый для ввода код); подача заявления через единую систему идентификации и аутентификации (портал государственных услуг). Роскомнадзор ведет реестр владельцев сайтов или страниц сайтов в сети Интернет (блогеров), суточная посещаемость которых превышает 3000 посещений, с 1 августа 2014 года. Регистрация осуществляется по обращениям граждан либо по заявлению блогеров в инициативном порядке. За время действия закона было подано около 700 заявок на регистрацию, более 100 из них обработаны. В реестре содержится 46 записей, 35 из них полностью верифицированы, остальные проходят верификацию.
Источник

18/09/2014 16:12 В Архангельске арестованы создатели мобильной бот-сети
Компания Group-IB сообщила об успешном завершение очередного своего сотрудничества с «Управлением К» МВД России и Сбербанком России, результатом которого стало пресечение деятельности преступной группы, занимавшейся хищениями с банковских счетов физических лиц с использованием мобильной платформы Android. В конце 2013 года службой безопасности Сбербанка России была зафиксирована кибер-атака на владельцев смартфонов на платформе Android. Злоумышленники заражали их вредоносным программным обеспечением через массовую рассылку MMS-сообщений от имени «RomanticVK» или «VK_Gift» с обещанием «романтического подарка»: переход по ссылке приводил к загрузке SMS-трояна. Зловред совершал операцию пополнения счета мобильного телефона клиента, а затем через SMS-сервисы мобильных операторов средства выводились на счета других абонентов операторов связи и электронных платежных систем. Первая волна атаки, благодаря оперативной реакции подразделения безопасности Сбербанка России и взаимодействию с операторами сотовой связи, была успешно отражена. Рассылки, содержащие вирус, блокировались, а сервис Bot-Trek, разработанный Group-IB выявлял скомпрометированные устройства. Собранные таким образом данные были переданы в правоохранительные органы. После небольшой паузы, злоумышленники продолжили противоправную деятельность, усовершенствовав вредоносную программу. На этот раз их действия были задокументированы сотрудниками МВД. В результате расследования состоялось задержание двух жителей Архангельска 1989 и 1990 года рождения. Возбуждено уголовное дело по части 2 ст. 158 (Кража). Один из злоумышленников арестован сроком на 2 месяца, второй находится под подпиской о невыезде. Свою противоправную деятельность организатор преступной группы начал в 2010 году, как разработчик вредоносных программ и владелец сайта агрегатора мобильных платежей. Навыки, полученные в работе с мобильными платформами позволили ему достаточно быстро создать крупную бот-сеть из мобильных устройств. В сети Интернет злоумышленник использовал псевдонимы «ItBill» и «tripfon».
Источник

19/09/2014 10:52 Кремль рассматривает возможное отключение от Интернета
Пресс-секретарь президента России Дмитрий Песков подтвердил, что Россия разрабатывает защитные меры в Рунете. При этом он исключил возможность отключения России от глобального интернета. Об этом он заявил Интерфаксу. «Естественно, не может быть и речи о том, что Россия может быть отключена от глобального интернета, о том, что она готовится к этому или рассматривает такую возможность», – заявил Песков. Однако в последнее время в действиях партнеров из США, и в Европе «появилась изрядная доля непредсказуемости, и мы должны быть готовы на все случаи». «Известно, кто является главным администратором глобального интернета. И в связи с этой их непредсказуемостью мы должны думать о том, как обеспечить свою национальную безопасность», – добавил пресс-секретарь. Сегодня газета «Ведомости» со ссылкой на источники в интернет-компаниях, российских операторах связи, НКО и спецслужбах сообщила, что в России власти рассматривают возможность отключения России от интернета в случае чрезвычайных ситуаций. Среди мер может быть введен особый порядок управления интернетом в таких случаях. Решения в этой области будут приняты после серии мероприятий с участием высокопоставленных чиновников. В частности, вопрос будут рассматривать на совещании Совета безопасности России с участием президента Владимира Путина. При этом источники «Ведомостей» подчеркивали, что речь идет не о постоянном отключении, а такой настройке оборудования, чтобы в случае различных чрезвычайных ситуаций можно было изолировать российский сегмент интернета от мирового. Собеседник издания заявил, что такими чрезвычайными ситуациями могут считаться военные действия или протестные выступления внутри страны. Также чиновники собираются рассмотреть вопрос о возможной передаче функций администратора доменов Федеральному агентству связи при Минкомсвязи. Сейчас эти функции выполняет Координационный центр национального домена сети интернет. В администрирование доменов входит регулирование правил делегирования доменов .ru и .рф, технологическое развитие инфраструктуры интернета, аккредитация регистраторов доменов.
Источник

19/09/2014 11:34 Ассанж сравнил деятельность Google с АНБ США
Основатель портала WikiLeaks Джулиан Ассанж назвал работу Google шпионажем и сравнил компанию со спецслужбами США. Об этом он заявил в интервью BBC News. «Бизнес-модель Google — по сути, шпионаж. Компания зарабатывает около 80 процентов выручки, собирая информацию о людях, сводя ее воедино, храня и индексируя ее, создавая профили пользователей, чтобы предсказывать их интересы и поведение. Потом она продает эти профили — в основном, рекламодателям, но и другим заинтересованным сторонам тоже. В результате смысл работы Google практически идентичен Агентству национальной безопасности США», — заявил Ассанж. В конце этой недели в продажу в США выходит книга Ассанжа под названием «When Google Met Wikileaks» («Когда Google встретилась с Wikileaks»). Наиболее громкими разоблачениями его проекта — WikiLeaks — стала публикация архивов Вооруженных сил США о войнах в Ираке и Афганистане, а также дипломатической переписки Госдепартамента США. Корреспондент BBC News поинтересовался, почему Ассанж выделяет именно Google из числа других крупных американских корпораций, которым тоже приходится считаться с правительством и сотрудничать с ним. По словам Ассанжа, за счет маркетинга Google не воспринимается людьми как «большая злая корпорация». «С этим можно спорить, но я считаю, что Google сейчас является наиболее влиятельной среди корпораций и коммерческих организаций мира», — отметил он.
Источник

19/09/2014 13:11 Зафиксирована спам-рассылка трояна в ARJ-архиве
Эксперты антивирусной компании Eset обнаружили новые образцы спам-рассылки, содержащей троян Win32/Injector.BLWX. Наибольшее число заражений приходится на Украину и Великобританию. Вредоносное ПО распространяется в приложении к письмам под видом финансовых документов. Троян содержится в файловом архиве, упакованном раритетным архиватором ARJ, который был первоначально разработан для DOS и использовался в ранних версий Windows. «Давным-давно, когда о широкополосном интернете можно было только мечтать, IT-шники использовали любую возможность уменьшить объем файла. Тогда появился формат ZIP, но у него были и конкуренты. Один из них — ARJ — получился весьма удачным и был незаслуженно забыт впоследствии. Представьте себе мое удивление, когда я обнаружил, что ARJ еще пользуются, пусть даже это мошенники», — заявил Грэм Клули, эксперт по информационной безопасности Eset. По информации Eset, трояны семейства Win32/Injector обладают обширным функционалом. Различные модификации данного ПО используются для скрытой установки других вредоносных программ, кражи персональных данных жертвы, объединения зараженных устройств в ботнет, рассылающий спам или участвующий в DDoS-атаках.
Источник

19/09/2014 13:59 «Элвис-Плюс» разработала защищенный ноутбук для чиновников
Компания Александра Галицкого «Элвис-Плюс» готовит к релизу защищенный ноутбук с технологией «Базовый доверенный модуль». Устройство адресовано потребителям из госструктур. Его разработка велась в соответствии с техзаданием, предварительно согласованным с ФСБ. Зеленоградская компания «Элвис-Плюс» собирается вывести на рынок линейку защищенных отечественных устройств, работающих с использованием ее собственной технологии «Базовый доверенный модуль» (БДМ). Как рассказал директор департамента развития «Элвиса» Роман Кобцев, линейка защищенных устройств будет включать ноутбук, планшет, сервер, и, возможно, смартфон. Ноутбук Lenovo с БДМ-функциональностью будет представлен в конце сентября 2014 г., БДМ-планшет и сервер компания рассчитывает вывести на рынок до конца 2015 г., а запуск БДМ-смартфона будет зависеть от результатов продаж первых продуктов линейки. По заявлению компании, технология позволяет контролировать целостность операционной системы, ПО, системных файлов и пр., что обеспечивает защиту информации несанкционированного доступа при потере ноутбука или при попытках несанкционированного доступа. Защищенная техника «Элвис-Плюс» адресована, главным образом, государственному заказчику, который уже выказал внимание к продукту. Дополнительный интерес к БДМ-устройствам проявили частные компании, что стало для разработчиков сюрпризом, говорит Роман Кобцев. Названий госзаказчиков и коммерческих компаний, проявивших интерес к готовым ноутбукам Lenovo с БДМ, Роман Кобцев не раскрывает, как и объема закупок, который они хотели бы совершить. Свои расчеты емкости российского рынка защищенных устройств «Элвис» не раскрывает. Из публикации газеты «Ведомости» известно о намерении госкорпорации «Ростех» приобрести 3000 защищенных ноутбуков для своих топ-менеджеров. В числе потенциальных поставщиков защитной технологии фигурировал «Элвис-Плюс» со своей разработкой. Роман Кобцев в разговоре с интерес «Ростеха» к разработкам «Элвиса» подтвердил. Аппаратная часть технологии БДМ основана на криптографическом чипе TPM (Trusted Platform Module, «Модуль доверенной платформы»), интегрированном в большинство современных ноутбуков. Программная часть БДМ разработана в «Элвис-Плюс» и реализована с помощью российского криптографического алгоритма, описанного в ГОСТ 28147-89 и использования разрешенных защитных функций чипа безопасности. По словам Романа Кобцева, вся разработка продукта велась в строгом соответствии с техническим заданием, предварительно согласованным с ФСБ. Сейчас «Элвис-Плюс» находится в процессе получения своей разработкой сертификата ФСБ класса КС3, который, как ожидается, может быть им выдан до окончания 2014 г. Системы, сертифицированные по классу КС3, могут использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну. Интересно, что нынешний релиз «Базового доверенного модуля» в исполнении «Элвис-Плюс» - это уже второе за последние 10 лет появление защитной технологии под тем же названием, разработанной в той же компании.
Источник

19/09/2014 16:02 Депутаты ускоряют перенос персональных данных россиян в РФ
Госдума в пятницу, 19 сентября, в первом чтении приняла законопроект о переносе срока вступления в силу закона, обязывающего операторов персональных данных хранить данные российских граждан только на территории России. Об этом «Ленте.ру» сообщил один из авторов законопроекта Вадим Деньгин. В начале сентября рядом депутатов был внесен на рассмотрение в Госдуму законопроект о внесении изменений в закон, касающихся переноса срока вступления в силу данного закона с 1 сентября 2016 года на 1 января 2015 года. Согласно пояснительной записке к законопроекту, перенос срока на более раннюю дату «будет способствовать более оперативному и эффективному обеспечению прав граждан Российской Федерации на сохранность персональных данных и соблюдение тайны переписки в информационно-телекоммуникационных сетях». В июле 2014 года президент России Владимир Путин подписал закон о внесении поправок в законы «О персональных данных» и «Об информации, информационных технологиях и о защите информации». В частности, закон «О персональных данных» был дополнен статьей: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан Российской Федерации, в базах данных, расположенных на территории Российской Федерации». Принятый закон предоставляет Роскомнадзору полномочия требовать от операторов связи ограничения доступа к интернет-ресурсам, которые не гарантируют хранение персональных данных внутри страны. В законе также не прописано, касается ли он только российских или также и зарубежных интернет-ресурсов, хранящих данные россиян. Поэтому не вполне понятно, будут ли такие компании, как, например, Google или Facebook, подпадать под действие данного закона, и если да, то каким образом планируется контролировать его выполнение зарубежными компаниями.
Источник

20/09/2014 10:37 Google вслед за Apple закроет от госслужб данные пользователей
Следующее поколение устройств на платформе Android получит встроенную функцию шифрования данных, что станет преградой для госслужб на пути получения пользовательской информации. Об этом сообщает The Washington Post. С 2011 года на устройствах Android уже было предложено решение шифрования данных, однако функция была опциональной и не многие знали, как ее включить, приводит слова экспертов газета. Теперь на планшетах и смартфонах на платформе Android L — следующей версии операционной системы от Google, релиз которой запланирован на октябрь — данная функция будет работать автоматически: получить доступ к контенту смартфона станет возможным только после ввода пароля. Однако шифрование, представленное Google, направлено только на защиту данных, сохраненных непосредственно на смартфоне, отмечает The Wall Street Journal. Так, функция не будет работать для сообщений Google Hangouts, потому что они зашифровываются не в самих серверах Google. Нововведение, аналогичное вышедшему ранее на новой iOS 8 у Apple, послужит преградой для полиции к получению пользовательских данных на смартфонах, даже при предъявлении ордера на обыск. Apple и Google начали уделять в своей стратегии политике конфиденциальности большое внимание после разоблачений Эдварда Сноудена, который рассказал, что госслужбы сотрудничали с технологическими компаниями с целью сбора данных пользователей.
Источник

20/09/2014 11:19 «Рамблер-Почту» обязали полгода хранить данные пользователей
Роскомнадзор внес в реестр организаторов распространения информации в сети интернет почтовый сервис Rambler&Co. Об этом свидетельствуют данные реестра. Теперь, согласно федеральному закону, вступившему в силу с 1 августа, «Рамблер-Почта» обязана хранить в течение полугода данные пользователей и предоставлять их по требованию полномочных структур. Ранее в реестр попали почтовые клиенты Mail.ru и «Яндекса», облачный сервис «Яндекс.Диск», соцсети «Мой мир», «Мой круг» и «ВКонтакте», сайт знакомств Mamba и мессенджер «Агент@Mail.ru». Аналогичные требования могут быть предъявлены и к иностранным интернет-сервисам, таким как GMail, Facebook, YouTube и другие. Однако пока неизвестно, будет ли это сделано.
Источник

20/09/2014 12:45 Минкомсвязи планирует потратить 3,75 млрд рублей на ЧМ-2018
Минкомсвязи за три года рассчитывает привлечь из бюджета 3,75 миллиарда рублей на подготовку инфраструктуры связи и IT, необходимой для проведения чемпионата мира по футболу в 2018 г. Министерство просит в нынешнем году выдать на указанные цели 0,42 миллиарда рублей, в будущем — 1,73 миллиарда рублей, в 2016 году — 1,6 миллиарда рублей. Такие показатели прописаны в проекте концепции развития информационных технологий и связи к ЧМ-2018. В программе указано, что будут созданы сети с пропускной способностью в 6600 Гбит/с, которые должны обеспечить телетрансляции с чемпионата и фиксированную связь. Наряду с этим, Минкомсвязи рассчитывает наладить работу 18 информационных систем и спецсвязь на 2000 пользователей при помощи транкинговой сети стандарта TETRA. Пока ведомство не расписало конкретные статьи расходов. Считается, что наиболее капиталоемкими из них станут проектирование информационной и вещательной инфраструктуры. Придется одновременно транслировать много матчей в HD-формате, что требует больших ресурсов. А при проектировании IT-систем основные работы придутся на разработку ПО, решений по управлению персоналом, транспортом, посетителями, видеоконтроль, построение интернета. Кроме того, для выполнения требований FIFA во время проведения мероприятия для 600 тысяч абонентов должна быть организована сотовая связь как на стадионах, так и в целом в городах-организаторах Мундиаля-2018. Представители крупнейших отечественных операторов пока не разглашают свои планы относительно участия в организации ЧМ-2018. К примеру, в «Вымпелкоме» заявили, что будут готовить сети к работе при повышенных нагрузках. Возможность участия оператора в качестве спонсора ЧМ-2018 пока не озвучена. Также нет решений и по участию «Ростелекома» в подготовке к чемпионату, однако компания рассматривает такую возможность. В сравнении с февральской Олимпиадой нынешнего года на футбольный чемпионат Минкомсвязи просит вдвое меньше финансов. В частности, в сочинскую инфраструктуру связи было потрачено 6,87 миллиардов рублей. На эти средства Россвязь проложила 800-километровую оптоволоконную линию связи, соединяющую Анапу, Краснодар и Сочи, а также обустроило ситуационный центр, почтовое отделение Красной Поляны и сеть TETRA. Представитель ведомства Владимир Калинин сообщил, что вопросы о госзаказчике работ для Мундиаля пока не обсуждался. Впрочем, Россвязь уже сейчас готова участвовать в таком масштабном проекте.
Источник

20/09/2014 18:48 Роскомнадзор и операторы оценят качество связи
Роскомнадзор совместно с ведущими российскими операторами дорабатывает методику оценки качества связи. Также предусмотрен выпуск бесплатного приложения, которое позволит привлечь к мониторингу услуг связи абонентов-владельцев смартфонов. Новая методика измерения качества 2G и 3G-связи, согласованная Роскомнадзором и ДИТ, впервые была апробирована в минувшем году. Контроль осуществлялся по 25 параметрам оценки, среди которых доля неуспешных вызовов, время доставки sms-сообщений, среднее время установки вызова и авторизации пользователей в сети. Операторы большой тройки участвовали в тестировании добровольно. Поскольку методика пока не утверждена в качестве обязательного отраслевого стандарта, официальные данные о качестве функционирования сетей конкретных операторов не были представлены. С тех пор тестирование услуг связи с участием операторов проводилось еще несколько раз с целью доработки методики оценки. 19 августа в Минкомсвязи состоялось совещание рабочей группы, на котором сотрудники Роскомнадзора, ДИТ Москвы и основных игроков рынка связи обсудили нюансы комплекса мероприятий по улучшению услуг сотовой связи. Было решено учесть замечания операторов при отработке методики. 11 сентября в Роскомнадзоре прошло повторное совещание с участием представителей операторов мобильной связи МТС, «МегаФон», «Теле 2» и «ВымпелКом», которые представили свои предложения по совершенствованию методики. Как заявили в Роскомнадзоре, сейчас ведутся практические работы по их анализу для включения в проект документа. Также на совещании было решено, что до 17 сентября ведущие операторы представят свои предложения по разработке единого унифицированного приложения для пользовательских смартфонов, которое может быть задействовано для оценки качества мобильной связи. В частности, предложения должны касаться рекомендаций по распространению и продвижению среди абонентов этого бесплатного приложения, а также порядка хранения, обработки, анализа, декларирования результатов мониторинга. По мнению заместителя руководителя Роскомнадзора Олега Иванова, участие абонентов в проведении мониторинга будет добровольным и позволит операторам и регулирующим органам лучше оценить качество услуг мобильной связи.
Источник

21/09/2014 10:21 Хакеры опубликовали новые откровенные снимки знаменитостей
Хакеры опубликовали в Интернете новую порцию личных фотографий знаменитостей. Об этом пишет в воскресенье, 21 сентября, The Daily Mail. От действий кибер-преступников в этот раз пострадали известная фотомодель Ким Кардашьян, американская футболистка Хоуп Соло, актрисы Кейли Куоко-Свитинг, Ванесса Хадженс, Хейден Панеттьер, Мэри-Кейт Олсен, Эмма Стоун, Лили Собески и Лэйк Белл, а также певица Аврил Лавин. По данным сайта TMZ, откровенные снимки были выложены на популярных сайтах 4chan и Reddit, однако вскоре удалены. Тем не менее, снимки успели попасть в социальные сети. Это уже второй подобный случай за последний месяц. В начале сентября в публичном доступе в Сети появились десятки фотографий известных актрис и певиц, включая Дженнифер Лоуренс и Кирстен Данст, на которых они частично или полностью обнажены. В СМИ появились версии, что утечка произошла через взлом системы «облачного» хранения данных iCloud или функции Find My Phone. Компания Apple официально отвергла эти обвинения, заявив, что хищение снимков не было связано с прямым взломом систем Apple, включая iCloud и Find My iPhone. Чтобы защитить себя от подобных инцидентов, Apple посоветовала пользователям использовать сложные пароли и активировать двухступенчатую верификацию аккаунта.
Источник

21/09/2014 11:24 Apple вернула двухфакторную аутентификацию в iCloud
Apple совершенствует систему безопасности ее сервиса хранения данных iCloud. Ранее глава компании Тим Кук пообещал улучшить систему аутентификации после череды громких скандалов, связанных с фото на iCloud. С 17 сентября компания реактивировала систему двухфакторной аутентификации для iCloud. Напомним, что изначально эта система была запущена еще в июне, но вскоре после этого она была отключена. С марта 2013 года Apple реализовала двухфакторную аутентификацию для Apple ID, что улучшило систему безопасности для iTunes и App Store. Напомним также, что на прошлой неделе Apple объявила о снижении цен на облачный сервис хранения данных iCloud, а также представила новый тарифный план, предоставляющий 1 терабайт дискового пространства. При этом, снижение цен оказалось не столь значительным, как ожидали многие и как сделали ранее конкуренты в лице Google и Dropbox. Согласно обновленному ценнику компании, сейчас система облачного хранения iCloud предоставляет 5 Гб пространства бесплатно, 20 Гб за 1 доллар в месяц, 200 Гб за 4 доллара в мес, 500 Гб за 10 долларов и 1 терабайт за 20 долларов в месяц. Изменения цен происходят накануне запуска системы iCloud Drive, которая будет интегрирована в Mac OS X Yosemite и iOS 8. Она позволяет работать с iCloud прямо из окна Finder в операционной системе. Помимо этого система позволит делиться файлами между пользователями.
Источник

21/09/2014 13:02 PayPal критикует безопасность Apple Pay
PayPal раскритиковала Apple Pay за низкий уровень безопасности. В компании сравнили платёжную систему Apple с её облачным сервисом iCloud, который недавно оскандалился утечкой фотографий знаменитостей. PayPal опубликовала в газетах New York Times, San Francisco Chronicle и USA Today рекламный блок размером с целую страницу, в котором "бросила пару камней в огород" Apple. Последняя напрямую не упоминается, однако слоган очень красноречив: «Мы, люди, хотим, чтобы наши деньги были в большей безопасности, чем наши селфи». Намёк на недавний скандал с iCloud, из которого утекли фото знаменитостей, виден невооружённым глазом. В рекламе предлагается «загрузить приложение PayPal прямо сейчас и безопасно покупать почти что угодно всего одним касанием». С другой стороны, столь агрессивная реклама в пику Apple Pay говорит о том, что PayPal серьёзно обеспокоило появление новой платёжной системы и она видит в нём грозного конкурента. Не все разделяют мнение о том, что у Apple Pay низкая безопасность. Номера карт не отправляются на сервер Apple, а если телефон украдут, все карты можно заблокировать через Find My iPhone. «Система выглядит защищённой и надёжной», — сказал аналитик Тони Сакконаги (Toni Sacconaghi).
Источник

21/09/2014 13:31 ЛДПР предлагает запретить деятельность такси Uber в России
Заместитель председателя комитета Государственной думы по транспорту, депутат от ЛДПР Александр Старовойтов призвал запретить в России деятельность американского сервиса такси Uber. По его словам, структура обвалила рынки уже в 50 странах мира, в том числе европейских — 3 сентября ее деятельность приостановили в Германии, немного ранее — в Бельгии. Суд Германии счел, что сервис Uber нарушает законодательство страны, поскольку позволяет заниматься частным извозом лицам, не имеющим профессиональных лицензий. Используя мобильное приложение Uber, любой водитель может попробовать себя в роли таксиста. Ну, а если взять во внимание участившиеся случае нападения на нелегальных перевозчиков, то и в роли жертвы неизвестных противников Uber. Депутат Старовойтов рассказал, что Uber недавно объявил о выходе на российский рынок бюджетных перевозок, предложив минимальную цену поездки 99 руб. Основные претензии депутата к Uber заключаются в том, что сервис работает с нелегальными извозчиками и санкциями США против России. «Благодаря деятельности диспетчерских служб уже начало происходить обрушение рынка такси, потому что данные службы предпочитают работать с нелегалами. Из-за этого многие таксопарки вынуждены были закрыться, люди теряют работу, государство не получает налоги», — считает Старовойтов. Ранее, депутат также предлагал запретить сервис «Яндекс.Такси» и ряда других компаний, в числе которых «Сатурн», «Везу», «Максим». По заявлениям депутата эти сервисы нарушают закон, предоставляя водителям без профессиональных лицензий выполнять пассажирские перевозки. "Сегодня ни одна из российских таксомоторных фирм, обладающих лицензией и всей разрешительной документацией на свою деятельность, просто не в состоянии конкурировать с минимальными тарифам нелегалов", - заключил депутат.
Источник


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru