uinC NewsLetter #05, 2015


Приветствуем!

Новости из Security Мира

26/01/2015 21:26 Ким Дотком запустил защищенный онлайн видео-чат MegaChat
Ким Дотком (Kim Dotcom), известный по проекту Megaupload, запустил свой новейший продукт MegaChat, который позиционируется как безопасная замена Skype. От последнего его отличает работа через веб-браузер, мощное шифрование и неподконтрольность американским спецслужбам — компания Доткома Mega зарегистрирована в Новой Зеландии. Проект с адресом mega.nz уже доступен в Сети и представляет собой гибрид файл-хранилища и чата. Создав аккаунт (и получив при этом 50 Гбайт бесплатно), можно хранить в облаке файлы, обмениваться ими с друзьями, ну и просто общаться. Сайт частично русифицирован. «Мы запускаем #MegaChat в бета-версии шаг за шагом. Сегодня заработает видео-чат. Текстовый чат и видеоконференции появятся позже», — написал Дотком в Twitter. На начальной стадии проект не отличается безупречной работой. Обозреватели TechCrunch пишут, что установить соединение удалось не сразу, но когда проблема решилась, качество видео и аудио было сопоставимым со Skype. А вот передача файлов работала без проблем. Можно делиться как файлами, так и целыми папками. MegaChat использует для этой цели технологию под названием User Controlled Encryption (UCE), при которой пользователь получает ключ и затем должен отправить его другим людям, которым нужно скачать его файлы. Одно из важных преимуществ MegaChat — отсутствие любого устанавливаемого ПО. Вся работа осуществляется через веб-браузер. Безопасность MegaChat обещает быть на высоком уровне. Чтобы лишний раз это подтвердить, Mega предлагает вознаграждение за найденные уязвимости.
Источник

27/01/2015 09:20 Google раскрыла информацию трех уязвимостей в OS X от Apple
Специалисты по инфобезопасности компании Google публично раскрыли три уязвимости в операционной системе OS X для компьютеров Mac. Об этом сообщает издание Ars Technica. Ошибку обнаружила команда Project Zero в составе Google, которая занимается поиском уязвимостей во всех программных продуктах. Как правило, специалисты Google сообщают о проблемах разработчикам в частном порядке и дают им 90 дней на устранение ошибки до того, как объявляют о ней публично. Apple получила оповещение об ошибках в период с 20 по 23 октября 2014 года. По данным СМИ, выявленные уязвимости нельзя отнести к критическим, поскольку для их использования хакер должен заранее получить доступ к атакуемому компьютеру. Кроме того, одна из ошибок уже исправлена Apple в текущей версии OS X Yosemite. Однако оставшиеся уязвимости могут быть использованы в сочетании с другими методами взлома, чтобы увеличить шансы хакеров на успешный взлом Mac. По данным издания iMore, Apple выпустит исправление этих ошибок в обновлении платформы OS X 10.10.2, которое сейчас находится на стадии бета-версии. Ранее Google также опубликовала отчет, в котором сообщила об уязвимости в процессе создания пользовательских профилей в Windows 8.1, за что подверглась критике со стороны Microsoft.
Источник

27/01/2015 10:02 Google отказалась исправлять уязвимости в старых версиях Android
Компания Google официально признала, что больше не намерена устранять ошибки в системе безопасности веб-браузера, установленного в некоторых старых версиях платформы Android. Об этом глава по безопасности Android Адриан Людвиг написал на своей странице в Google+. На прошлой неделе The Wall Street Journal сообщил о том, что Google, по всей видимости, больше не исправляет ошибки в браузере, по умолчанию используемом в устройствах на базе Android 4.3 Jelly Bean и более ранних версий платформы. Это ставит под угрозу взлома примерно две трети пользователей Android-устройств, которых всего насчитывается свыше миллиарда. «Поддержка программного обеспечения в актуальном виде — одна из главных проблем специалистов по инфобезопасности. Однако лишь WebKit состоит из более 5 миллионов строк кода, причем сотни разработчиков вносят тысячи дополнений каждый месяц. Поэтому в некоторых случаях выпуск исправлений для уязвимостей в разделах WebKit более чем двухлетней давности требует изменений значительной части кода и больше не имеет смысла в плане безопасности», — пишет представитель Google. В то же время, Google продолжит выпускать обновления системы безопасности для браузера в Android 4.4 KitKat, которую компания выпустила в октябре 2013 года, а также в Android 5.0 Lollipop, выпущенной в ноябре 2014 года. Кроме того, проблема не затронет пользователей, установивших на устройства на более ранних версиях платформы альтернативные браузеры — например, Google Chrome или Mozilla Firefox. Однако многие пользователи остаются под угрозой, поскольку могут не знать об альтернативах браузеру в Android по умолчанию или испытывают трудности с их установкой. Возможно, таким образом Google пытается мотивировать пользователей быстрее переходить на новые версии ПО либо приобретать устройства, которые их поддерживают.
Источник

27/01/2015 10:23 Apple запатентовала легальный торрент-обмен
Apple запатентовала метод обмена лицензионным контентом в пиринговых сетях, которые обычно используются для пиратства. Компания Apple получила патент на метод обмена лицензионным контентом между пользователями. Он называется «Отделение прав на загруженную единицу цифрового контента» (Decoupling rights in a digital content unit from download) и был выдан Бюро США по патентам и товарным знакам 13 января 2015 г. В патенте говорится, что пользователи могли бы получить преимущества, если бы загружали контент не с iTunes Store, а с компьютеров других пользователей, используя пиринговые сети (P2P). Для этого Apple предлагает сделать возможной передачу приобретенного контента по технологии P2P, но с условием, что человек, получивший файлы от другого пользователя, сможет открыть их только после того, как оплатит лицензию на контент отдельно. Если такой метод будет доступен, у поставщиков контента появится возможность снизить стоимость фильмов, музыкальных треков, книг и т. д., так как они смогут сократить расходы на содержание инфраструктуры и оплату выделенных каналов доступа к интернету. Как вариант, Apple предлагает покупать контент по двум тарифам. Первый тариф останется прежним. Он будет действовать в том случае, когда пользователь загружает контент с сервера поставщика, как и в настоящее время. Второй тариф будет более низким — в том случае, если пользователь загружает контент у других участников P2P-сети. В данном тарифе не будут заложены расходы поставщика на инфраструктуру. В компании считают, что более низкая стоимость контента и возможность делиться с другими приобретенными файлами приведут к тому, что пользователи будут реже заходить на торрент-трекеры в поисках нелегального контента. То есть в целом новый метод позволит сократить уровень пиратства. Но есть у этого метода и обратная сторона, отмечает TorrentFreak. Наличие дополнительного слоя защиты может внести ограничения, которым некоторые пользователи могут оказаться не рады. Например, Apple может сделать так, чтобы переданный контент можно было воспроизводить только в фирменных приложениях — том же плеере iTunes.
Источник

27/01/2015 10:29 Госорганы скроют своих сотрудников от интернет-провайдеров
Минкомсвязи подготовило проект постановления, которое освободит госорганы от необходимости передавать провайдерам список сотрудников, пользующихся интернетом на рабочем месте, с указанием их паспортных данных и домашних адресов (такая обязанность появилась у корпоративных клиентов полгода назад). По мнению министерства, раскрытие информации о чиновниках создает "угрозы безопасности РФ". Изменения в "Правила оказания услуг связи", включающие требование для всех корпоративных клиентов интернет-доступа сообщать оператору связи перечень всех своих сотрудников, были внесены постановлением правительства №758 от 31 июля 2014 года (тогда же "Правила" были дополнены обязанностью идентифицировать личность пользователей публичных Wi-Fi-сетей). Все операторы связи включили в свои договоры с корпоративными клиентами пункт, предусматривающий раскрытие информации о сотрудниках (фамилия, имя и отчество; место жительства; документ, удостоверяющий личность), пользующихся интернетом и ее ежеквартальное обновление. Однако по словам представителей крупных операторов, госорганы, как правило, отказываются сообщать эту информацию, и провайдеры вынуждены закрывать на это глаза. Постановление, которое готовит Минкомсвязи, позволит госструктурам сохранить анонимность своих сотрудников, и фактически узаконит уже сложившуюся практику. Внесение изменений, как указано в сопроводительных документах, "необходимо в целях устранения угроз безопасности Российской Федерации при оказании телематических услуг связи и оказании услуг связи по передаче данных органам государственной власти". В настоящее время документ проходит стадию публичного обсуждения, которая завершится 4 февраля. По статистке Минкомсвязи, которую приводит информационное агентство РБК, совокупный доход операторов связи России от услуг документальной электросвязи (доступ в интернет и передача данных) организациям в 2013 году составил 111,3 млрд руб., а за 9 месяцев 2014 года – 90,6 млрд руб. Корпоративных организаций –абонентов ШПД на конец второго квартала 2014 года в России насчитывалось 1,14 млн, а пользователей мобильного доступа в интернет (данные на конец первого квартала 2014 года) – 7 млн.
Источник

27/01/2015 10:33 Идентификация пользователей Wi-Fi все-таки появится в метро
Компания "Максима Телеком" планирует весной нынешнего года ввести на всех линиях московского метро процедуру обязательной идентификации при предоставлении беспроводного доступа к сети Интернет. Для разового использования доступа во всемирную паутину предоставляется одна сессия без авторизации. Необходимость идентификации пользователей в сетях публичного беспроводного Интернета предусматривает федеральный закон от 5 мая минувшего года. Наряду с этим, в августе правительством был утвержден новый порядок выхода в Интернет в публичных местах при помощи технологии Wi-Fi, который предусматривает подтверждение личности пользователя. Пока процедура обязательной идентификации действует только на двух ветках метрополитена. До недавнего времени в подземке бесплатный Интернет предоставлялся без необходимости в подтверждении личности - для упрощенной авторизации пользователи просто вводили номер телефона на портале vmet.ro. Но в декабре минувшего года пассажиры Кольцевой линии обнаружили, что вход во всемирную паутину требует идентификации. Представитель оператора беспроводного Интернета московского метро - компании "Максима Телеком" - И. Грабовский сообщил, что, если пассажир раньше уже идентифицировался по телефонному номеру, то заново не потребуется прохождение этой процедуры. Чуть позже была включена соответствующая процедура на Сокольнической линии. Весной пользователям, чтобы войти в Интернет через Wi-Fi-сеть столичного метрополитена, будет необходимо пройти обязательную идентификацию. Для авторизации нужно подтвердить номер мобильного телефона, а, при необходимости, во время ожидания содержащего специальный код SMS-сообщения пользователь сможет воспользоваться однократным доступом в Интернет. В компании подчеркивают, что, даже не находясь в метро, можно завершить процесс идентификации: достаточно перейти по ссылке, которая содержится в полученном сообщении. Способ авторизации с помощью SMS при подключении к публичной сети Wi-Fi выбрали пользователи городской системы "Активный гражданин", проводящей электронные референдумы.
Источник

27/01/2015 11:35 Перебои в работе Facebook и Instagram устранили
Социальные сети Facebook и Instagram возобновили работу после сбоя, произошедшего утром во вторник, 27 января. В настоящее время сайт Facebook загружается, пользователи могут войти в свои аккаунты. Полностью устранены неполадки и в работе Instagram. Пользователи стали испытывать трудности с доступом к Facebook примерно с 9:30 по московскому времени. Сайт не загружался, в мобильных приложениях Facebook и Messenger не обновлялась лента, обмен сообщениями был невозможен. Приблизительно в это же время перестал работать Instagram. Недоступно было и обновление постов в мобильных приложениях соцсети. По данным Associated Press, с подобными проблемами столкнулись пользователи Instagram и Facebook в США и азиатских странах. После сообщения в твиттер хакерской группировки Lizard Squad о недоступности Facebook, Instagram, Tinder, а также сервисов AIM, Hipchat, многие СМИ решили, что таким образом хакеры сообщили о своей атаке. Однако, компания Facebook отрицает воздействие третьих сил на свое оборудование, заявили, что причиной недоступности стало ошибочное изменение конфигурации оборудования. Ошибки оперативно устранены, и все сервисы соцсети стали доступны пользователям.
Источник

28/01/2015 09:43 Бывший глава Opera представил новый Chrome-браузер
Бывший гендиректор и сооснователь Opera Software Джон фон Тетцчнер (Jon von Tetzchner) представил свой браузер Vivaldi. Об этом сообщает техноблог The Next Web. Vivaldi построен на движке Chromium от Google. Отличительными функциями нового браузера стала продвинутая работа с вкладками, унаследованная еще из Opera. Так, несколько вкладок с сайтами по одной теме могут быть сгруппированы в одну для удобства, передвигать вкладки можно в любое пространство браузера. Другая заметная опция — возможность делать заметки и скриншоты, не выходя из программы. Дизайн браузера минималистичен. Примечательной особенностью является функция изменения интерфейса под основной цвет открытого сайта. Как отмечает The Next Web, новый продукт, скорее, нацелен на более опытных пользователей. «Мы ощущаем, что люди нуждаются в более продвинутом браузере, и люди хотят получить нечто большее от этого продукта», — прокомментировала порталу компания. Предварительная версия браузера уже доступна для пользователей Windows, Mac и Linux. Так называемая Technical Preview представляет собой не конечный продукт, а предназначена для публичного тестирования. В ближайшие месяцы компания планирует добавить поддержку электронной почты и возможность устанавливать расширения. Vivaldi была основана фон Тетцчнером в 2013 году, когда двумя годами ранее он ушел из Opera. В компании работает 25 человек, половина из которых является бывшими сотрудниками Opera. Фон Тетцчнер пока является единственным спонсором проекта. В будущем основатель Vivaldi планирует монетизировать сервис за счет стороннего сотрудничества. На прошлой неделе компания Microsoft анонсировала свой новый браузер под кодовым названием Spartan. Браузер станет частью операционной системы Windows 10. Он будет интегрирован с голосовым помощником Cortana.
Источник

28/01/2015 10:08 YouTube полностью перешел с Flash на HTML5
Видеохостинг YouTube спустя пять лет после ввода экспериментальной поддержки HTML5 перешел на эту технологию в качестве технологии для воспроизведения видео по умолчанию. У пользователей данный шаг вызвал неоднозначную реакцию, некоторые расценили его как несколько поспешный. Крупнейший видеохостинг YouTube, принадлежащий корпорации Google, отказался от использования Adobe Flash в качестве технологии для воспроизведения видео в веб-браузерах по умолчанию. Место Flash заняла технология HTML5, сообщил в блоге хостинга руководитель технических работ в YouTube Ричард Лейдер (Richard Leider). Google около пяти лет назад ввела в YouTube наряду с Flash поддержку HTML5. Однако, если пользователь желал получать видео именно в формате HTML5, до сих пор ему для этого приходилось проходить по ссылке YouTube.com/HTML5. Компания не делала HTML5 стандартом по умолчанию из-за некоторых присутствующих в нем ограничений. Наиболее важным из них было отсутствие поддержки метода Adaptive Bitrate (ABR), рассказал Лейдер. ABR позволяет сократить время буферизации при медленном соединении и открывать большее количество видеороликов одновременно за счет автоматической адаптации параметров видео, таких как разрешение и битрейт. По данным YouTube, ABR позволил сократить время буферизации на 50% в среднем и на 80% — в перегруженных сетях. Помимо отсутствия поддержки ABR, в HTML5 были и другие недочеты. «Последние четыре года вместе с разработчиками браузеров их устранили, и теперь YouTube использует тег HTML5 video по умолчанию в Chrome, IE 11, Safari 8 и бета-версиях Firefox», — сообщил Лейдер. Пользователи нововведение YouTube восприняли неоднозначно. Трое из них в комментариях к записи сослались на ошибка в Google Chrome, возникающий при обработке тега video. Он заключается в том, что браузер создает два HTTP-запроса при открытии видео, один из которых висит до тех пор, пока пользователь не закроет вкладку. Это приводит к тому, что при открытии большого количества вкладок с видео, видео на новых вкладках не начинает грузиться, пока не будут закрыты другие вкладки (с подвисшими запросами). «Вы не оставляете нам другого выбора, кроме как перейти на Firefox, так как такая работа браузера раздражает», — написал в комментариях Дэвин МакКейб (Devin McCabe).
Источник

28/01/2015 10:33 Microsoft перевозит Windows Azure в российские ЦОДы
Microsoft наделил ряд российских компаний статусом участников новой партнерской программы. Часть из них сможет впервые начать предоставлять через собственные ЦОДы облачные услуги по аренде инфраструктуры и платформы на базе технологии Windows Azure Pack. Для другой части вступление в программу означает углубление уже существующих отношений с вендором на обозначенном направлении, а также возможность получить инвестиции в совершенствование своих дата-центров. По данным, ряд партнеров Microsoft в России получили статус участников программы Cloud OS Network Russia, который позволит им предоставлять клиентам собственные услуги по аренде облачной инфраструктуры и платформы на базе технологий Microsoft, в частности Windows Azure Pack. Windows Azure Pack позволяет провайдерам и заказчикам работать в собственном ЦОДе с сервисами, основанными на тех же технологиях, что и в публичном облаке Windows Azure, которое функционирует на мощностях зарубежных дата-центров Microsoft. После установки в локальном ЦОДе, Windows Azure Pack предоставляет возможность создать портал самообслуживания для управления веб-сайтами, виртуальными машинами и пр. Среди упомянутых участников новой программы вендора источник назвал «Крок», «Ростелеком», DataLine, Infobox, «Электронную Москву» и Softline. Как пояснил в беседе с заместитель гендиректора, руководитель направления ЦОД и облачных вычислений компании «Крок» Руслан Заединов, раньше его организация в рамках лицензионных соглашений могла предоставлять на базе продуктов Microsoft только различные SaaS-услуги (ПО как сервис). В качестве облачных сервисов, в частности, были доступны Exchange Server (почта), SharePoint Server и Lync Server (системы объединенных коммуникаций и совместной работы), а также Dynamics CRM. «После вступления в программу мы будем использовать технологии Microsoft также и на уровне облачной инфраструктуры и платформы», — говорит Заединов. Аналогичным образом комментирует ситуацию и гендиректор компании Infobox Алексей Бахтиаров: «До программы мы предлагали нашим клиентам SaaS-решения для коммуникаций под маркой «Офис24», в который входят почта бизнес-класса, корпоративный портал, голосовые и видео-конференции, а также телефония. Теперь мы добавим в нашу линейку предложение облачной инфраструктуры (IaaS) на базе Windows Azure Pack». В свою очередь в «Ростелекоме» сообщили, что перечень услуг, предоставляемых компанией в рамках сотрудничества с Microsoft, «не меняется, но они будут наращиваться». Так, например, услуга «виртуальный офис на базе продуктов Microsoft» получит дополнительный функционал и более гибкие возможности тарификации. В Microsoft факт предоставления партнерских статусов подтвердили и сообщили, что компания готова осуществить денежные инвестиции в совершенствование облачных платформ ЦОДов партнеров, а также оказать им экспертную поддержку. По всей видимости, финансовую помощь от Microsoft планируют принять не все участники программы. По крайней мере, именно так можно трактовать комментарий представителя «Ростелекома», сообщившего, что «в настоящее время компания развивает сеть ЦОДов за счет собственных ресурсов». Зато другой партнер Microsoft — компания Softline — перечисляет пункт соглашения о готовности вендора к инвестициям в числе наиболее важных преимуществ сотрудничества. Softline запустил хостинговое решение на базе Windows Azure Pack в собственном облаке еще в сентябре 2014 г. Однако новый, получаемый сейчас статус обеспечит компании более тесную интеграцию со службой поддержкой Microsoft, ускорит развитие платформы Softline и запуск новых сервисов.
Источник

28/01/2015 11:06 Критическая уязвимость в системной библиотеке Linux
В системной библиотеке Glibc выявлена критическая уязвимость (CVE-2015-0235), которая может использоваться для организации выполнения кода в системе и проявляется при обработке специально оформленных данных в функциях gethostbyname() и gethostbyname2(), которые используются во многих программах для преобразования имени хоста в IP-адрес, сообщает щзуттуеюкг. По степени опасности уязвимость, которая получила кодовое имя GHOST, сравнима с уязвимостями в Bash и OpenSSL. Для демонстрации уязвимости подготовлен рабочий прототип эксплоита, позволяющий организовать удалённое выполнение кода на почтовом сервере Exim, обойдя все доступные механизмы дополнительной защиты (ASLR, PIE, NX) на 32- и 64-разрядных системах. Проблема вызвана переполнением буфера в функции __nss_hostname_digits_dots(), используемой в gethostbyname() и gethostbyname2(). Несмотря на то, что вызовы gethostbyname() и gethostbyname2() устарели (следует использовать getaddrinfo()), они продолжают применяться для преобразования имени хоста во многих актуальных приложениях. Атака затруднена в серверных программах, которые используют gethostbyname() для обратной проверки данных, полученных через DNS, а также в привилегированных suid-утилитах, в которых вызов getaddrinfo() применяется только при сбое выполнения inet_aton(). Опасность представляют в основном приложения, передающие в getaddrinfo() данные, полученные извне, такие как почтовые серверы и манипулирующие именами хостов утилиты. Например, уязвимость подтверждена в Exim (при использовании настроек "helo_verify_hosts", "helo_try_verify_hosts" или ACL "verify = helo"), procmail и clockdiff. Примечательно, что проблема присутствует в коде Glibc начиная с версии 2.2, выпущенной в ноябре 2000 года. При этом проблема была молча устранена в мае 2013 года без указания на то, что исправленная ошибка имеет отношение к серьёзным проблемам с безопасностью. Glibc 2.18 и более новые выпуски не подвержены уязвимости. Уязвимость не проявляется в дистрибутивах, построенных на основе свежих версий Glibc, например, в последних версиях Fedora и Ubuntu. При этом, уязвимости подвержены длительно поддерживаемые промышленные дистрибутивы, которые требуют незамедлительного обновления. В частности, проблема проявляется в Debian 7 (wheezy), Red Hat Enterprise Linux 6 и 7, CentOS 6 и 7, Ubuntu 10.04 и 12.04, SUSE Linux Enterprise 10 и 11. В настоящее время обновление уже выпущено для Ubuntu 10.04/12.04, Debian 7 и RHEL 7,6,5. На стадии подготовки обновления для SUSE и CentOS. После обновления glibc следует не забыть перезапустить сетевые приложения.
Источник

28/01/2015 11:19 Голливуд открыл сезон охоты на «пиратов»
Кинокомпании Голливуда намерены всерьез взяться за борьбу с пиратством. Решительный шаг в этом направлении – заявление Американской ассоциации кинокомпаний (Motion Picture Association of America, MPAA) о намерении редактировать записи DNS, изымать домены и исключать ссылки на пиратский контент из поисковой системы. Об этом сообщает TorrentFreak со ссылкой на оказавшиеся в распоряжении издания документы. МРАА обращается с просьбой к авторитетным DNS-провайдерам (таких как .com, .org) в содействии: а именно рекомендует не предоставлять свои услуги для демонстрации пиратских сайтов. Совместно с некоторыми провайдерами Ассоциация на данный момент проводит технические испытания системы, которая будет применена в борьбе с нелегальным контентом. Сам процесс преследования пиратской продукции будет проходить по следующей схеме: DNS-провайдеры получат судебные уведомления с предписанием удалить ту или иную запись из таблиц маршрутизации. Если требования будут выполнены, URL сайта с нелегальным видео исчезнет из сети. Несмотря на то, что в MРAA считают: вышеописанные меры будут менее эффективны, чем блокировка сайтов, здесь надеются, что тактика принесет свои плоды. В частности, даст опыт в закрытии пиратских сайтов и изменение их посещаемости в пользовательской среде. Некоторые кинокомпании, например, Warner Brothers ведет самостоятельную борьбу с пиратством посредством армии ботов, которые выявляют сайты с пиратскими копиями фильмов. Ассоциация считает, что "централизованность" действий сможет дать более заметный результат.
Источник

29/01/2015 10:15 Google признала сложности в отслеживании экстремизма на YouTube
Интернет-компания Google признала, что большой объем контента на YouTube не позволяет ей эффективно выявлять все экстремистские видеоролики. Об этом пишет Associated Press со ссылкой на заявление менеджера Google Верити Хардинг в Европарламенте. По словам Хардинг, каждую минуту на YouTube загружается около 300 часов видеоконтента. Это затрудняет поиск видеороликов, связанных с терроризмом и захватом заложников. В то же время, она отметила, что «проверку видеороликов до их загрузки можно сравнить с прослушкой звонка до того, как он совершен». Глава антитеррористического ведомства Евросоюза считает, что настало время помочь интернет-компаниям снижать риски распространения экстремистского контента путем привлечения экспертов из европейских стран. «Мы должны помочь им, сообщать о контенте. Каждое государство должно иметь ведомство со специально обученными людьми», — говорит Джиллес де Керчове. Пользователи YouTube могут сообщать администраторам о видеороликах, нарушающих политику сайта. После этого они изучаются сотрудниками Google. По словам де Керчове, когда Скотланд-Ярд недавно сообщил Google об экстремистских материалах, около 93 процента этого контента было удалено с сайта. При этом когда о проблемах сообщают обычные люди, с YouTube удаляется лишь треть роликов по таким запросам.
Источник

29/01/2015 10:50 Yota устранила проблемы с доступом к YouTube у своих абонентов
Российский оператор Yota восстановил доступ к видеохостингу YouTube для своих абонентов после сбоя в системе автоматической блокировки. Об этом «Ленте.ру» сообщили в пресс-службе Yota. Ранее «Ведомости» сообщили, что несколько российских операторов связи заблокировали доступ к YouTube для своих абонентов. По данным газеты, проблемы были зафиксированы у операторов Yota и «Акадо». Ресурс Roem.ru обнаружил, что в Нижнем Новгороде на сайт YouTube не могли зайти абоненты «Ростелекома», затруднения с доступом на сервис есть в Москве у абонентов провайдера RopNet и «Дом.ру». «Произошел кратковременный сбой в системе автоматизированной блокировки запрещенных ресурсов по реестру Роскомнадзора. На текущий момент корректный доступ к ресурсу полностью восстановлен», — сообщили «Ленте.ру» в Yota. В Google о ситуации также осведомлены. «Действительно, некоторые пользователи жалуются, что у них нет доступа к YouTube. Мы сейчас разбираемся в ситуации», — заявили «Ленте.ру» в пресс-службе компании. Ряд страниц YouTube действительно включены в черный список Роскомнадзора за пиратство, экстремизм и другие нарушения российского законодательства. Однако, как сказал «Ведомостям» представитель Роскомнадзора Вадим Ампелонский, взаимодействие ведомства с YouTube не предполагает полной блокировки ресурса, даже если в реестр попадают отдельные его страницы. В связи с этим прокомментировать ситуацию он затруднился.
Источник

29/01/2015 11:22 Apple начала блокировать доступ жителей Крыма к App Store
Жители Крыма начали сталкиваться с проблемами при попытке загрузить приложения из App Store, а также с обновлением программ. На экране возникает сообщение об ошибке, в котором говорится о введенных США санкциях. Apple начала блокировать доступ жителей Крыма к App Store — магазину приложений для iPhone и iPad. Об этом сообщает TJournal со ссылкой на пользователя «яблочной» продукции Антона Лучникова, который одним из первых столкнулся с новым ограничением. Лучников разместил в Twitter скриншот сообщения об ошибке с iPhone, которое появилось при попытке обновить бесплатные программы, загруженные из App Store ранее. «Доброе утро. Не смог обновить и бесплатные приложения. Покупки недоступны», — прокомментировал он, добавив, что с компьютера Mac наблюдает такую же картину. Пользователь рассказал, что блокировку можно обойти, выполнив вход с американского аккаунта или изменив в персональных данных место проживания. «Через американский Apple ID все работает. Надолго ли, не знаю», — сообщил он в Twitter. «Сменил в российском Apple ID Симферополь на Петропавловск-Камчатский и все завелось. Качается и покупается», — добавил Лучников. Ситуацию обсуждают и жители Севастополя на городском интернет-форуме forum.sevastopol.info. Пользователь с ником SKAy сообщил, что у него возникла такая же ошибка, и он смог обойти блокировку, сменив свой адрес в Apple ID на адрес знакомого в Санкт-Петербурге. Официально компания Apple об отключении пользователей в Крыму от магазина App Store не объявляла и не уведомляла. Ранее в январе уведомления Apple о прекращении сотрудничества получили крымские разработчики iOS-приложений. Компания запретила им разрабатывать приложения и публиковать их в App Store и потребовала уничтожить все инструменты и материалы, которые они использовали. Apple также уведомила своих партнеров о запрете с 1 февраля 2015 г. продажи своих устройств на территории Крыма, что вызвало ответную реакцию российской некоммерческой организации «Общественная потребительская инициатива». В ней сочли действия Apple противоправными и подали судебный иск на российский филиал компании.
Источник

29/01/2015 11:52 Провайдеры научились блокировать запрещенные SSL-сайты
Российские провайдеры стали полностью блокировать зашифрованные с помощью протокола SSL интернет-ресурсы, страницы которых внесены в реестр запрещенных сайтов. Это привело к полной блокировке ряда добропорядочных сайтов, в том числе и к временной блокировке YouTube. В среду, 28 января пользователи ряда крупных российских интернет-провайдеров испытывали сложности с доступом в видео-хостингу YouTube. Жалобы поступали от абонентов «Акадо», «Эр-Телеком», Yota и др. В Роскомнадзоре сообщили, что ссылки на некоторые ролики из YouTube действительно находятся в курируемом ведомством реестре запрещенных сайтов, в соответствие с которым провайдеры должны осуществлять блокировку, однако полная блокировка YouTube не должна была производиться. К вечеру 28 января доступ к этому ресурсу был восстановлен. Согласно неофициальной копии реестра, в среду в него было добавлено три ролика из YouTube, посвященных созданию «Русской повстанческой армии». Решением Генпрокуратуры они были признаны экстремистскими. Вечером один из этих роликов был исключен из реестра, хотя он продолжает быть доступным на YouTube. Источник, близкий к регулирующим органам, пояснил, что речь идет об ошибке, потому что включение в реестр отдельной страницы не должно приводить к полной блокировке сервиса. Причиной ошибки стал тот факт, что адрес ролика, указанный в реестре, начинался не с «http» (как у остальных включенных в реестр роликов с YouTube), а с «https». То есть речь шла о версии протокола http, зашифрованного с помощью стандарта SSl, разработанного для повышения безопасности связи. Напомним, с 1 февраля 2014 г. Генпрокуратура получила полномочия по внесудебной блокировке экстремистских интернет-ресурсов, включая сайты с призывами к участию в несанкционированных акциях. Правда, американские компании Google (владеет YouTube и блог-сервисом Blogspot) и Livejournal, фактически, стали игнорировать данный закон. Запросы от российских властей на блокировку тех или иных страниц остаются либо без ответа, либо блокировка происходит через длительный промежуток времени. По подсчетам, сейчас в реестре содержится около 60 ссылок на страницы с Livejournal, 15 — на YouTube и 11 — на Blogspot. Между тем, массовых жалоб на блокировки данных ресурсов до сих пор не было, потому что, как ранее писал, в реестре в отношении вышеупомянутых ресурсов указаны IP-адреса, которые не используются для работы с российскими пользователями. Соответственно, у провайдеров, которые осуществляют блокировку по IP-адресу, в отношении этих ресурсов ничего не происходит. Не было до недавнего времени у зарубежных сервисов проблем и с другой частью российских провайдеров, которые используют технологию DPI, позволяющую блокировать конкретные страницы (а не весь ресурс) по их адресам (URL). Однако DPI не может распознать адрес страницы в случае, если интернет-ресурс использует зашифрованный протокол https. Это привело к тому, что на него стали переходить владельцы заблокированных сайтов, как это сделали, например, ряд интернет-казино и магазинов наркотических средств. В ответ, как пояснил источник, провайдеры с системами DPI, начали «по старинке» блокировать эти сайты по IP-адресам и доменным именам — а значит целиком. Проверка, проведенная в отношении ряда провайдеров с системами DPI — МТС, «Мегафон», Yota, МГТС, Netbynet, показала, что большинство включенных в реестр SSL-сайтов действительно заблокированы. То есть сейчас даже если в реестре указан не весь сайт целиком, а лишь его отдельные страницы, блокировке подвергается весь ресурс, что и произошло с YouTube. Аналогичным образом полностью был закрыт доступ к нескольким так называемым имидж-бордам — 4chan.org, 2-chru.net, touhochan.org — из-за размещенных на них картинок в стиле «хентай» (анимированная детская порнография). Оказался полностью заблокированным и ресурс Pinvents.com, позволяющий анонсировать различные события. Один из его пользователей разместил анонс намечавшейся на 15 января акции в защиту оппозиционера Алексея Навального, которая не была санкционирована.
Источник

29/01/2015 12:13 Минобороны РФ получит систему наблюдения за СМИ и соцсетями
"Объединенная приборостроительная корпорация" (ОПК) создает для Национального центра управления обороной (НЦУО) РФ системы мониторинга и анализа военно-политической обстановки в стране и мире, способные автоматически моделировать прогнозы развития ключевых мировых событий для руководства Минобороны РФ, сообщила в среду пресс-служба корпорации. НЦУО, расположенный на Фрунзенской набережной Москвы, начал штатную работу 1 декабря 2014 года. По словам министра обороны РФ Сергея Шойгу, центр "позволяет не только отслеживать обстановку, но и в реальном масштабе времени обеспечить управление всей военной организацией государства". "Специалисты холдинга "Системы управления" (входит в ОПК) разрабатывают программно-аппаратный комплекс анализа военно-политической обстановки (ПАК ВПО) и анализа общественно-политической и социально-экономической ситуации в стране (ПАК ОПС). В данный момент завершается изготовление опытного образца и подготовка к предварительным испытаниям. Окончание работ запланировано на середину 2016 года", — говорится в сообщении. Комплексы предназначены для оперативного наблюдения через открытые источники — СМИ и социальные сети. По словам генерального директора холдинга "Системы управления" Андрея Ризныка, цитируемого в сообщении, ПАК ВПО и ПАК ОПС полностью обеспечат руководство военного ведомства информацией о наиболее значимых событиях в стране и за рубежом, а также сценариями развития обстановки. "Мы также внедряем кросс-языковую поддержку: системы способны отбирать в потоке информации мировых СМИ те сообщения, которые относятся к заданному запросу, переводить иноязычный текст, анализировать его и включать данные в статистику и итоговый материал. На начальных этапах работы комплексы будут работать с 5-6 языками, в дальнейшем их число может быть увеличено по требованию заказчика", — сказал Ризнык. Кроме того, ПАК ВПО и ПАК ОПС, в отличие от аналогичных систем мониторинга, способны анализировать не только печатный текст, но и эфирное вещание, работая с материалами прямого эфира. В них также внедрена функция графического отбора: системы распознают изображения и способны идентифицировать людей и объекты, считывают бегущую строку и обрабатывают радиосюжеты.
Источник

30/01/2015 10:55 Китай потребовал предоставить исходные коды американского ПО
Китайские власти ввели правила, согласно которым американские и другие иностранные производители ИТ-решений теперь обязаны предоставлять им исходный код закрытых продуктов, если хотят продавать оборудование местным финансовым организациям. Власти Китая приняли закон, согласно которому все иностранные компании, включая компании из США, желающие осуществлять поставку вычислительного оборудования китайским финансовым организациям, обязаны раскрыть исходный код своих проприетарных продуктов и быть готовыми к их тщательным проверкам, сообщает New York Times со ссылкой на копию документов, оказавшуюся в распоряжении газеты. Документ содержит 22 страницы, он был принят в конце 2014 г. и является первым шагом на пути реализации новой стратегии китайского правительства. Предполагается, что более подробная информация об этой стратегии будет обнародована в ближайшие месяцы. Ее цель — обеспечить информационную безопасность важнейших отраслей экономики государства, пишет газета. В письме, отправленном комитету Коммунистической партии Китая по информационной безопасности на этой неделе, иностранные компании выразили свое несогласие с новыми правилами и пожаловались на то, что они облегчат местным компаниям конкуренцию за рынок. Представители Торговой палаты США призвали к «немедленному диалогу». Они заявили, что обеспокоены набирающей обороты в Китае тенденции, когда под предлогом кибер-безопасности китайские власти стремятся заблокировать зарубежным компаниям поставки своей продукции на местный рынок. Проблема заключается в том, что формулировки Пекина довольно размыты. Поэтому у властей остается достаточно большое поле для маневра. Китай предъявляет более жесткие требования к поставщикам оборудования в сравнении с другими странами, пишет New York Times. Помимо иностранных компаний, соблюдать принятые правила должны и местные производители. Но им это будет сделать легче, так как их клиенты в основном находятся здесь же, добавляет издание. В настоящее время в Китае действует «Великий китайский фаервол» — национальный интернет-фильтр, установленный правящей Компартией. Он блокирует доступ китайским пользователям ко многим американским сервисам, включая Facebook, Gmail, YouTube и Google Play. По мнению The New York Times, введение новых правил относительно раскрытия исходного кода «еще больше разделит мир технологий», то есть заставит производителей выпускать оборудование отдельно для Китая и отдельно для всего остального мира.
Источник

30/01/2015 11:15 Военные США собрались избавить человечество от паролей
США разрабатывают технологию, которая позволит мобильным устройствам и ПК узнавать авторизованных пользователей по особенностям их поведения. Пока систему планируется внедрить в военных ведомствах, а затем — выпустить на коммерческий рынок. Разработчики из военная академия США в Вест-Пойнте создают новую систему идентификации служащих, которая будет способна заменить пароли и биометрию. Правительство выделило на проект «миллионы долларов», пишет Sky News. Конкретная сумма не уточняется. Проект называется cognitive fingerprint («когнитивные отпечатки») и посвящен способам идентификации человека по особенностям использования мобильного устройства или ПК. Например, как быстро он печатает на клавиатуре, перемещает курсор мыши или как частно допускает орфографические ошибки. Новая технология может изменить рынок систем идентификации — такой вывод содержится в посвященных проекту документах, доступ к которым получил Sky News. «Когда вы взаимодействуете с технологией, ваш мозг обрабатывает информацию индивидуальным образом. Таким образом, вы как бы оставляете присущий только вам «когнитивный отпечаток», точно так же, как оставляете отпечаток своего пальца на датчике отпечатка», — говорится в документах. «Наша задача — создать систему идентификации нового поколения, которую можно было бы использовать на стандартном оборудовании Министерства обороны», — говорят авторы. Подобные технологии в настоящее время используются в коммерческом ПО, например, в приложениях для проверки на плагиат. Они сравнивают два текста и делают вывод, является ли второй текст оригинальным или измененной копией первого. Точно также и здесь система будет понимать, работает с ней авторизованный пользователь или чужой человек. «Мы живем в мире, где любой пользователь может стать жертвой мошенничества, угроз или действий спецслужб вследствие отсутствия достаточно надежных средств идентификации в интернете. По этой причине любая новая технология, которая бы смогла определять личность человека в фоновом режиме, могла бы сделать всемирную сеть более цивилизованным местом», — прокомментировал Sky News консультант по стратегии Шариф Сакр (Sharif Sakr) из компании ViaTheWire. Власти планируют внедрить новую технологию во всех военных ведомствах и не исключают, что в будущем она выйдет на коммерческий рынок. Предполагается, что она сможет повысить уровень защиты банковских счетов, аккаунтов платежных систем и интернет-магазинов. Новая технология также может использоваться для доступа к «умной» бытовой электронике, пишет Sky News со ссылкой на документы.
Источник

30/01/2015 12:07 TopFace выплатил премию хакеру за взлом ресурса
Сервис знакомств TopFace заплатил хакеру, который получил доступ к электронным адресам пользователей ресурса, говорится в сообщении TopFace. "В связи с тем, что он никому не продавал полученные данные и не собирается делать этого в будущем, мы не будем привлекать его к ответственности, более того, мы выплатили ему премию за обнаруженную уязвимость и договорились о дальнейшем сотрудничестве в сфере безопасности данных", - отмечается в сообщении. Информация о том, что в результате хакерской атаки были похищены адреса электронной почты пользователей TopFace, появилась в начале недели. Агентство Bloomberg сообщало, что технический директор Easy Solutions Inc. Дэниел Ингевальдсон увидел объявление о продаже данных на форуме, которым пользуются кибермошенники. По оценкам агентства, жертвами могли стать 20 млн пользователей TopFace. Специалисты компании инициировали расследование, по результатам которого выявили уязвимость в системе безопасности ресурса. "Речь идет только о самих адресах электронной почты; мы уверены, что доступа к другой информации - ни к паролям, ни к содержанию самих аккаунтов (личная переписка или фотографии) - у взломщика не было", - подчеркнули в пресс-службе TopFace. Ранее в компании поясняли, что для авторизации на сервисе практически все пользователи используют Facebook, "ВКонтакте" и другие социальные сети. TopFace знает только адреса электронной почты пользователей, "которые не могут быть использованы без другой информации для доступа к какой-либо секретной информации". Пользователям, которые используют электронную почту в качестве логина, было направлено уведомление о смене пароля. Сервис знакомств TopFace, основанный в Санкт-Петербурге Дмитрием Филатовым, работает в 14 странах мира. Пользователи могут общаться через веб-сайт, приложения в социальных сетях Facebook и "ВКонтакте", а также мобильные приложения для устройств на iOS и Android. Аудитория TopFace составляет 1,6 млн посетителей в день, количество зарегистрированных пользователей - 81,87 млн человек.
Источник

30/01/2015 12:21 Роскомнадзор опроверг данные о блокировке YouTube
Роскомнадзор не блокировал работу видеосервиса YouTube, сообщил ТАСС представитель ведомства Вадим Ампелонский. На отсутствие доступа к сайту жаловались абоненты интернет-провайдеров «Ростелеком», Yota и Дом.ru. «В реестре есть несколько ссылок на ролики YouTube, но наша схема взаимодействия с этим ресурсом не подразумевает ограничения доступа по всему ресурсу», - пояснил Вадим Ампелонский. Напомним, что 28 января появилась информация об ограничении доступа к сайту по решению Мосгорсуда за распространение информации с нарушением исключительных прав. "Произошел кратковременный сбой в системе автоматизированной блокировки запрещенных ресурсов по Реестру Роскомнадзора. На текущий момент корректный доступ к ресурсу полностью восстановлен", - пояснили в пресс-службе Yota.
Источник

31/01/2015 10:50 Минкомсвязи рекомендует использовать российские домены
Минкомсвязи порекомендовало российским гражданам и компаниям, владеющим зарегистрированными за рубежом доменами, перенести свои интернет-сайты в российские доменные зоны. Об этом говорится в сообщении на сайте ведомства. Министерство предложило юридическим и физическим лицам рассмотреть возможность регистрации или переноса своих интернет-доменов в компании-регистраторы в российской юрисдикции. Тем самым ведомство предлагает защитить сайты россиян от «одностороннего прекращения работы указанных доменов». «Это связано с поступающими уведомлениями о прекращении обслуживания доменных имен в связи с санкциями со стороны США в отношении Республики Крым. Данные сообщения в последнее время получают российские клиенты от зарубежных компаний-регистраторов доменных имен в сети интернет», — говорится в сообщении Минкомсвязи. На сайте ведомства также опубликован список из 29 российских компаний-регистраторов доменов со ссылками на их веб-сайты. Ранее американская компания Go Daddy, являющаяся крупнейшим регистратором доменных имен в мире, заявила, что перестанет работать в Крымском регионе в связи с санкциями США против Крыма.
Источник

1/02/2015 10:32 Китай совершенствует «Великий файервол»
Китайское правительство ужесточило контроль за интернетом, сделав умнее интернет-фильтр, отделяющий китайских пользователей от всемирной сети. Об этом сообщает The Wall Street Journal (WSJ). Последняя модернизация системы веб-фильтров Китая, называемых «Великим файерволом», затруднила для китайцев использование виртуальных частных сетей (virtual private networks, VPN), которые обычно применяются, чтобы обойти блокировку и подключиться к американским сервисам, таким как Facebook и Twitter. Пользователи отмечают, что государство перешло на автоматическое блокирование VPN. Если раньше прекращался доступ только к известным серверам с поддержкой этого сервиса, то теперь прерывается трафик, напоминающий связь через виртуальную частную сеть. Китайские власти официально подтвердили блокирование VPN-сервисов, объяснив, что для развития интернета были необходимы такие меры. Неработоспособность своих сервисов зафиксировала компания Astrill, крупнейшая из предоставляющих доступ через виртуальные частные сети. Введение новых мер показывает дальнейшую работу Китая по созданию собственного интернета, который будет находиться под полным государственным контролем. Такой подход позволяет правительству блокировать доступ к контенту, критикующему государственный строй, а также обеспечивает преимущество китайских интернет-компаний на внутреннем рынке. VPN позволяет шифровать данные, передаваемые между пользователем и сервером сервиса. Затем сервис может делать запрос к сайтам, запрещенным в месте расположения пользователя (задавать ключевое слово в поиске Google, оставлять пост в Facebook), а потом передавать пользователю полученную информацию. Работа сервиса VPN протекает для пользователя незаметно, однако оператор не может контролировать, к каким ресурсам и с какими запросами обращается абонент. Таким образом, через VPN китайские пользователи обходили «Великий файервол».
Источник

1/02/2015 11:23 Экс-кандидат в мэры Екатеринбурга обвинил Google в слежке
Экс-кандидат в мэры Екатеринбурга, зав.кафедрой европейского права Гуманитарного университета Антон Бурков подал в суд на компанию Google, обвинив ее в краже личных данных. Бурков обратил внимание на то, что робот поисковика читает его почту. По мнению истца, это нарушает право на неприкосновенность частной жизни, поэтому он просит выплатить ему компенсацию в размере 50 тысяч рублей. По словам Буркова, в одном из отправленных с помощью почтового сервиса Gmail писем, он упомянул Европейский суд по правам человека в Страсбурге, после чего заметил, что сервис контекстных объявлений Google AdWords начал предлагать ему рекламу турфирм, дешевых авиабилетов в Страсбург, а также юридических контор. Сопоставив факты, экс-кандидат на пост мэра пришел к выводу, что робот компании Google прочел его конфиденциальное письмо, и теперь использует эту информацию, чтобы предложить ему релевантную рекламу. Разъяренный нарушением своих прав, Бурков обратился в Замоскворецкий районный суд Москвы с гражданским иском к корпорации Google. Он просит взыскать с ответчика 50 тысяч рублей, а также запретить читать его личную переписку и вообще, собирать о нем любую конфиденциальную информацию. Рассмотрение иска назначено на 16 февраля 2015 года. Эксперты, однако, сомневаются в успехе дела. Они считают, что доказать факт слежки интернет-гигантом за Бурковым будет практически невозможно. Дело в том, что такой анализ совершается не человеком, а программами-роботами и ни один сотрудник не имеет к ней доступа, таким образом, доступа к персональным данным у интернет-корпорации нет. Как заявляет Google, вся информация тщательно защищается от несанкционированного доступа. "Мы ограничиваем нашим сотрудникам, подрядчикам, агентам доступ к данным, а также при помощи SSL-шифрования и системы двухэтапной аутентификации защищаем пользователей от возможных попыток изменения, раскрытия или уничтожения хранящихся у нас данных", — сообщили представители компании. Кроме того, чтобы уличить Google в нарушении, необходимо знать алгоритм работы поисковика, а сама компания с большой долей вероятностью не станет этого делать, поскольку данная информация является частью коммерческой тайны.
Источник

1/02/2015 11:56 Мобильный банковский троян атаковал жителей Кировской области
За последние полгода более 100 жителей Кировской области обратились в полицию с заявлением о пропаже денег с банковских счетов. Злоумышленники сняли с каждой карты от 1 000 до 55 000 рублей. Как сообщают в УМВД России по Кировской области, кражи совершаются с использованием мобильных устройств, которые подключены к Интернету, при помощи вредоносного программного обеспечения. В результате злоумышленники получают возможность удаленного управления услугой SMS-сервиса, например «мобильный банк» и другими. Таким образом, деньги переводятся с расчетного счета банковской карты на лицевые счета абонентских номеров из других регионов. Полицейские советуют не подключать услугу «SMS-сервиса» или подключить ее на SIM-карту, поместить которую следует в самый простой мобильник, в котором не будет доступа в Интернет. Кировчанин, ставший жертвой злоумышленников, рассказал о том, что 18 января 2015 года на его телефон пришло уведомление о том, что с его банковского счета снята одна тысяча рублей. Молодой человек сначала не обратил внимания на это сообщение. Но уже после семнадцати подобных уведомлений парень позвонил в банк, заблокировал свою карту и обратился в полицию. В общей сложности у него с карты были сняты 17 тысяч рублей. Сейчас преступников разыскивают. Также возбуждено уголовное дело в отношении злоумышленников.
Источник


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru