uinC NewsLetter #10, 2015


Приветствуем!

Новости из Security Мира

2/03/2015 01:06 Uber допустил утечку данных о 50 тысячах таксистов
Интернет-сервис заказа такси Uber, где любой водитель может подработать таксистом, в своем блоге заявила об обнаружение утечки данных своих водителей. С одного из серверов компании похищен файл базы данных с 50 тысячами персональных данных таксистов Uber, при этом около 21 тысячи из них касались водителей штата Калифорния, США. В базе данных хранились только имена таксистов и номера водительских прав. По мнению представителей Uber, похищен малый процент данных, не влияющий на работу сервиса. Между тем, компания начала оповещение пострадавших об инциденте. Возможность несанкционированного доступа к базе данных обнаружена специалистами Uber еще в сентябре 2014 года, после чего был проведен анализ, который показал возможную утечку данных в мае того же года. Уязвимость базы данных оперативно устранена программистами интернет-сервиса. По предположению, в публичном доступе на ресурсе GitHub оказались ключи аутентицифкации для подключения к одному из серверов БД компании Uber. Ведется дальнейшее расследование, а пострадавшим от инцидента обещается вознаграждение в виде бесплатной подписки на ограниченный срок. Несмотря на преграды со стороны законодательства во многих странах, интернет-сервис заказа такси Uber доступен уже в 54 странах, а в декабре прошлого года проекту удалось привлечь новые инвестиции - более 1 млрд долларов США на дальнейшее развитие своего бизнеса.
Источник

2/03/2015 09:33 Госзакупки отдадут отечественному ПО
Минкомсвязи опубликовало проект постановления правительства о приоритетных закупках российского программного обеспечения для государственных и муниципальных нужд. Согласно проекту, будет сформирован реестр отечественного программного обеспечения и соответствующих услуг. Для попадания в него программный продукт должен соответствовать нескольким требованиям. Самое главное из них это то, что права на интеллектуальную собственность должны принадлежать резиденту/там России с более чем 50% участия (оставшиеся могут принадлежать иностранным компаниям). Так что оффшорные схемы, когда якобы российская компания на деле принадлежит фирме на островах в океане, больше не будут действовать. Ещё одно важное требование – выплаты не резидентам теперь не могут быть выше 30% от общей выручки компании. Теперь зарегистрировать очередные "Рога и копыта", нанять индусов и стать "отечественным" не получится. Если хочешь попасть в реестр, изволь нанимать программистов и выполнять основные работы в Российской Федерации. Забавно, но приведённым выше требованиям не соответствует смартфон YotaPhone 2, который Николай Никифоров называет не иначе, как "отечественным". Тех, кто соответствует всем требованиям, внесут в реестр и предоставят преференции в виде приоритета при закупке для госнужд. Проектом предусмотрен специальный перечень "программных средств и информационных продуктов вычислительной техники, в отношении которых устанавливается ограничение допуска для целей осуществления закупок для обеспечения государственных и муниципальных нужд". И всё было бы хорошо, если бы не одно большое "но": заказчик может отказаться от закупок отечественного ПО в случае, если такая закупка нецелесообразна или невозможна. Учитывая печальное состояние большинства конкурентов зарубежных продуктов, а также большой опыт в обосновании невозможности чего угодно, вряд ли ответственные лица будут заменять Windows на какой-нибудь AltLinux. Впрочем, невозможность разработчикам полноценно взаимодействовать на мировом рынке представляет куда большую угрозу для проекта – мало кто захочет отказаться от иностранных инвестиций взамен на мифическую возможность поучаствовать (только поучаствовать, без каких-либо гарантий) в государственных конкурсах. Скорее всего, получится обратная ситуация – лучшие продукты будут уходить на экспорт, а на внутренний рынок будут поставляться многочисленные "спутники". Со временем же вся идея прикажет долго жить, как это было со всеми предыдущими подобными попытками.
Источник

2/03/2015 10:05 Беларусь заставит Skype поделиться доходами
Гуляющая по планете идея обложить дополнительными налогами и сборами IP-телефонию добралась и до Беларуси. Местное министерство связи начало искать способы введения соответствующих "налогов" на Skype и Viber. Об этом сообщил глава ведомства Сергей Попков. По его словам, рабочая группа при министерстве будет предлагать правительству Беларуси меры по монетизации Skype и подобных ему технологий. Объяснение разрабатываемых мер пользователи могут воспроизвести уже по памяти: программы IP-сервисов (была названа цифра 11 для всего мира) по мнению "российских и европейских экспертов" отнимают прибыль у местного телекома в размере 10-15% ежегодно. Эту вопиющую ситуацию и предлагается исправить. Конечно, аргументы о страдающих местных игроках не выдерживают никакой критики. По очень простой причине – если у кого-то что-то отнимается, то это "что-то" компенсируется в чём-то другом. К примеру, проводным и беспроводным операторам ШПД работа того же Skype не наносит вообще никакого ущерба, так как они не занимаются телефонией. Более того, возможность бесплатно звонить родственникам или знакомым является одним из стимулов для потребления их услуг. Сотовым операторам IP-сервисы, конечно, являются конкурентами. Но есть одно "но", которое с лихвой покрывает потери. Всё дело в том, что за интернет-трафик надо платить, в связи с чем бесплатно пользоваться Viber-ом не получится. Цены же на интернет-доступ таковы, что абоненты, пользующиеся в основном услугами передачи данных, в среднем приносят больше денег, чем абоненты, пользующиеся только голосовыми услугами. Что же касается традиционной стационарной телефонии, то её губят все современные технологии вместе взятые, начиная от SMS и заканчивая "Одноклассниками". В общем, никакого отношения к "справедливому" распределению затрат на развитие инфраструктуры данная инициатива не имеет. Скорее всего, это банальное желание найти новые источники дохода для бюджета.
Источник

2/03/2015 10:37 Китай запрещает анонимность в Интернете
C 1 марта китайским интернет-пользователям пришлось окончательно расстаться с анонимностью. Согласно утвержденному в начале февраля порядку, каждый автор сообщений на форумах, в блогах и социальных сетях при регистрации обязан указать свое реальное имя и приложить к заявке официальный документ. Использовать «провокационные» и «дезориентирующие» псевдонимы также запрещено – представляться именами известных политиков или актеров пользователям из КНР теперь не удастся. «Хаос с псевдонимами стал серьезной проблемой мировой сети, – приводит слова представителя регулирующего ведомства китайское государственное информагентство China News Service. – Фальшивые учетные записи вредят Интернету, наносят ущерб народным интересам и подрывают систему социалистических ценностей». В запретный список попали псевдонимы, содержащие отнесенную к государственной тайне информацию, разжигающие межэтнические конфликты или наносящие вред государственному единству. «Подрывными» были признаны и обозначения, поощряющие порнографию, азартные игры, насилие, суеверия и слухи. Это далеко не первый шаг на пути контроля доступа китайских граждан к мировой сети: уже с 2003 года «Золотой щит» заслоняет пользователей Поднебесной от вредоносной по мнению властей информации. Проект, за свою масштабность заслуживший сравнение с Великой Китайской стеной, ограничивает доступ пользователей к ряду иностранных веб-сайтов, запрещает китайским новостным ресурсам напрямую ссылаться на своих зарубежных коллег без специального одобрения и фильтрует интернет-ресурсы по ключевым словам. Помимо общих для многих стран ограничений сайтов порнографического или криминального содержания, китайские пользователи лишены доступа к интернет-страницам, на которых рассказывается о событиях на площади Тяньаньмэнь, обсуждаются вопросы независимости Тибета или поднимаются проблемы ограничения прав человека в Китае.
Источник

2/03/2015 11:41 Auto.ru научился проверять автомобили на угон
На портале Auto.ru появилась возможность проверять объявления о продаже подержанных машин, зарегистрированных в Москве и Московской области, на предмет соответствия заявленных продавцом характеристиках реальным данным. В частности можно проверить объем и мощность двигателя, а также узнать, не числится ли автомобиль в угоне. Об этом сообщила компания «Яндекс», владеющая порталом с 2014 г. Проверка проводится по VIN-коду — уникальному 17-значному идентификатору автомобиля, присвоенному машине его производителем на заводе. «Сейчас закон не требует от частных продавцов непременно указывать VIN-код при продаже машины, — говорит Кирилл Смолин, менеджер проектов Яндекс.Авто. — Мы предлагаем им сделать это добровольно». Располагая идентификационным номером, система автоматически определит, можно ли продавать данный автомобиль, и либо пометит объявление специальным значком доверия, либо удалит публикацию. Соответственно, покупатели при выборе машины могут воспользоваться фильтром и посмотреть только те объявления, которые успешно прошли верификацию. Если продавец по какой-либо причине не указал VIN-код или данные госномера в объявлении, но согласился предоставить их по запросу потенциальному покупателю, последний может осуществить проверку самостоятельно. Для этого на главной странице Auto.ru появилась соответствующая форма. В «Яндексе» заверяют, что в ближайшем будущем Auto.ru также научится проверять, можно ли снимать автомобиль с учета и разрешено ли произвести его перерегистрацию. Проверка сведений осуществляется за счет интеграции Auto.ru с базой данных портала «Автокод», запущенного департаментом информационных технологий Москвы. Авторизованные пользователи этого ресурса могут на нем получить подробную справку об автомобиле по VIN-коду, просмотреть свои штрафы и обжаловать те, которые показались необоснованными, а также проверить, не находится ли машина на штрафстоянке.
Подробности

3/03/2015 10:09 Медийные проекты Mail.ru перешли на протокол HTTPS
Все контентные проекты Mail.ru Group перешли на защищенный протокол HTTPS, особенность которого заключается в шифровании данных пользователей во избежание их перехвата злоумышленниками. Об этом говорится в сообщении компании, поступившем в редакцию «Ленты.ру». Таким образом на сервисах Mail.ru «Новости», «Спорт», Hi-Tech, «Здоровье», «Авто», «Дети», «Афиша», «Недвижимость», Cars, «Леди» и «Погода» шифрование включено по умолчанию. При этом защищенный протокол будет использован, даже если в адресе попытаться вручную поставить HTTP или перейти на проект из «старых» закладок. HTTPS работает в десктопных и в мобильных версиях проектов Mail.ru. Хотя контентные проекты хранят не так много пользовательских данных по сравнению, например, с электронной почтой, они содержат форму ввода логина и пароля: при входе в аккаунт Mail.ru или почту по умолчанию осуществляется авторизация и на все сервисы поисковика. Переход на HTTPS позволяет избежать ситуаций с перехватыванием личных данных в ходе SSLstrip-атаки, довольно популярной среди кибер-преступников. «HTTPS — это практически "золотой стандарт" защиты сервисов, которым пользователи доверяют конфиденциальную информацию — например, таких как почта. Однако мы решили дополнительно оградить пользователей от потенциальных атак злоумышленников», — сказал директор по медийным проектам Mail.ru Group Анатолий Рожков. Ранее безопасный протокол был реализован в «Почте.Mail.ru» и на главной странице портала. Для сравнения, другая крупная российская интернет-компания «Яндекс» включила протокол HTTPS на сервисах «Паспорт», «Почта», «Директ», «Метрика», «Такси» и «Яндекс.Деньги». «За последнее время добавилась главная страница портала: yandex.ru и ya.ru, которую чаще всего открывают с мобильных устройств. Кроме того, результаты поиска Яндекса тоже даются по HTTPS», — сказали «Ленте.ру» в пресс-службе компании. По этому протоколу также уже работают сайты крупнейших компаний, как Facebook, Twitter, «ВКонтакте».
Источник

3/03/2015 10:51 Microsoft создает компактную версию Windows Server
Microsoft разрабатывает компактную версию Windows Server под названием Nano Server. Она позволит экономить дисковое пространство и даст некоторые другие преимущества. Новая версия Microsoft Windows Server, выход которой состоится в 2016 г., будет включать элемент под названием Nano Server, следует из скриншотов презентации, опубликованных инсайдером Microsoft WZor. В одном из слайдов Nano Server расположен на том же топологическом уровне, что и ядро Windows Server (Server Core). При этом он представлен как обособленный элемент, более компактный в сравнении с ядром Windows Server. На другом слайде видно, что Nano Server включает поддержку драйверов и функцию защиты от вирусов. При этом в нем нет ни одного компонента, отвечающего за функциональность сервера (серверные роли) или дополнительные функции. Он не включает ни исполняемых файлов, ни метаданных. По мнению ZDNet, Nano Server — это «урезанная» версия будущего Windows Server 2016, которая позволит заказчикам экономить на дисковом пространстве и устанавливать только компоненты, действительно необходимые для работы. Nano Server можно будет устанавливать на физическую, виртуальную машину или в контейнер. При этом администраторы смогут обслуживать систему удаленно с помощью таких инструментов, как PowerShell и Windows Management Instrumentation (WMI). Обновление системы будет выполняться так же, как установка отдельных приложений, следует из презентации. Решив создать Nano Server, корпорация стремится учесть пожелания своих клиентов. Как следует из презентации, среди основных жалоб — необходимость перезагружать машину после установки исправлениеей к ненужным компонентам; объемные образы, установка которых занимает много времени и ведет к большому расходу сетевого трафика. Кроме того, пользователи отмечают, что более компактная система позволила бы увеличить плотность виртуальных машин. В презентации говорится, что тестирование Nano Server начнется в начале 2015 г. Предполагается, что оно уже началось. Но в финальный релиз Windows Server 2016 этот элемент не попадет и будет выпущен отдельно после его выхода. Выход новых версий Windows Server, как правило, происходит почти одновременно с клиентской платформой Windows, но в этот раз Microsoft решила нарушить традицию. В январе 2015 г. представители корпорации сообщили, что Windows Server нового поколения появится лишь в 2016 г.
Источник

3/03/2015 17:40 ZTE поставит оборудование для российских «умных городов»
Холдинг «Росэлектроника», входящий в Ростех, на Mobile World Congress 2015 в Барселоне заключил соглашение о сотрудничестве с китайской корпорацией ZTE. Ожидаемый масштаб сотрудничества между холдингом «Росэлектроника» и корпорацией ZTE может достигнуть 1 миллиарда 200 миллионов китайских юаней. Соглашение предусматривает развитие взаимодействия в области инновационных технологий, решений «Умный город», «Интеллектуальная транспортная система» и «Интеллектуальная антенная система». «Условия соглашения предполагают формирование инновационных фирм и организаций для осуществления совместных проектов по созданию новой техники и технологий», – отметил генеральный директор холдинга «Росэлектроника» Андрей Зверев. Китайские партнеры обладают успешным опытом внедрения новых технологий для проведения крупных мероприятий. В частности, для Национальных спортивных игр в Цзянсу (Китай) была создана специализированная система связи, объединявшая несколько десятков тысяч абонентов (организаторов соревнований, медицинский персонал, сотрудников службы безопасности и других служб), обеспечивая комплекс мер по защите информации внутри системы. Между тем, еще в октябре 2012 года, Конгресс США вынес решение о том, что китайские телекоммуникационные компании Huawei и ZTE представляют угрозу для госбезопасности США. Также, корпорация ZTE известна перепродажей, в обход США, оборудования Cisco и внедрением бэкдоров в свое телекоммуникационное оборудование, в том числе и смартфоны.
Источник

4/03/2015 09:58 Половина пользователей рунета не знают о HTTPS
Жертвами кибер-мошенничества хотя бы однажды становились 64% российских интернет-пользователей. Об этом говорится в совместном исследовании аналитической компании Neilsen и Mail.ru Group. Как отмечают исследователи, россияне по-прежнему уделяют недостаточно внимания своей безопасности в сети. Так, одно из важных правил интернет-безопасности — частая смена пароля. Однако, согласно исследованию, его соблюдает лишь 20% респондентов. Каждый пятый участник исследования, напротив, никогда не менял пароль от основного почтового ящика, а каждый третий — от дополнительного. К смене пароля в социальных сетях пользователи прибегают еще реже: 38% меняют его не чаще раза в год, а 18% опрошенных вообще никогда этого не делали. Более того, почти четверть владельцев электронной; почты используют на других ресурсах тот же пароль, что и для основного ящика, из них 62% повторяют этот же PIN-код в социальных сетях, 27% — в онлайн-магазинах и 5% — в дополнительном почтовом ящике. Почти половина респондентов не проверяют наличие безопасного соединения на сайтах (протокол HTTPS, на котором работают большинство крупных ресурсов Рунета и мира и который позволяет защититься от перехвата информации злоумышленниками), когда вводят на них свои личные данные. При этом опрошенные пользователи среди причин, по которым они становились жертвами злоумышленников, чаще всего называют простой пароль, вирус или переход на мошеннический сайт. Среди других вариантов, которые давали респонденты в два раза реже, значатся ответ на мошенническое сообщение и использование одинакового пароля на нескольких сервисах. «Более 99% кибер-атак на пользователей носят не таргетированный, а массовый характер. Иными словами, в подавляющем большинстве случаев злоумышленник взламывает не конкретный аккаунт, а как можно больше любых аккаунтов», — поясняет вице-президент Mail.ru Group Анна Артамонова. Эксперты рекомендуют придумывать уникальные коды идентификации для наиболее важных ресурсов, таких как почта и социальные сети, тогда как для всех остальных можно устанавливать одинаковые пароли.
Источник

4/03/2015 10:29 Власти Китая планируют раскрыть крипто-ключи по закону
Президент США Барак Обама (Barack Obama) жестко раскритиковал новый антитеррористический законопроект Китая. Если этот документ будет принят, то американские поставщики ИТ-решений будут обязаны предоставлять китайским властям криптографические ключи, используемые для шифрования пользовательских данных, и снабжать свои продукты «лазейками», с помощью которых власти Китая смогут следить за пользователями. «Я поднимал этот вопрос в беседе с президентом КНР Си Цзиньпинем. Мы абсолютно четко донесли до них свою позицию. Если они желают работать с США, им потребуется изменить свой подход», — заявил Обама в интервью агентству Reuters. Законопроект о терроризме, о котором говорит Обама, был внесен в конце 2014 г. На прошлой неделе Всекитайское собрание народных представителей рассмотрело его во втором чтении. Его принятие ожидается в ближайшие недели или месяцы, пишет Reuters. В настоящее время в Китае отсутствует специальный антитеррористический закон. Помимо укрепления мер по безопасности в кибер-пространстве, его проект подразумевает усиление обмена информацией между правительственными органами, военными, полицией, проверку безопасности в транспорте, предотвращение финансирования террористической деятельности и контроль за государственными границами. В случае принятия законопроекта, любая иностранная высокотехнологичная компания, желающая присутствовать на китайском рынке, будет обязана предоставить властям Китая возможность следить за пользователями ее продуктов и услуг. «Как вы понимаете, компании, конечно же, не готовы этого делать», — заявил Обама. Помимо этого, законопроект требует от иностранных компаний хранить данные китайских пользователей на территории Китая. Такой же закон, как ожидается, начнет действовать в России 1 сентября 2015 г.
Источник

4/03/2015 11:10 Мобильные устройства Apple и Google уязвимы из-за законов США
Недавно стало известно об уязвимости в криптографической оснащение операционных систем для смартфонов от компаний Apple и Google, сообщило в среду агентство Associated Press. Уязвимость получила название FREAK и идентификатор CVE-2015-0204. На данный момент нет подтверждений того, что хакеры использовали ее для похищения информации. Исследователи считают, что недостаток в ПО связан со сложностями американского законодательства в этой области, поскольку оно не совершенствовалось около десяти лет. По устаревшим правилам авторы программ вынуждены использовать несовершенные системы шифрования, если их продукт продается за рубежом. Такие правила действуют в интересах национальной безопасности США. Как сообщил специалист Университета Мичигана Закир Дурумерич, около трети всех сайтов, использующих шифровку, по состоянию на вторник были уязвимы через для FREAK-атаки. Среди них сайты American Express, Groupon и ряд страниц государственных ведомств. Риск утечки информации существует, если пользоваться браузерами компании Apple и предустановленными браузерами на Android. Это не касается последних версий браузеров Google Chrome, Mozilla и Internet Explorer. Apple и Google пообещали выпустить обновления, исправляющие ошибку. Apple пообещала обновление на следующей неделе. В Google сказали, что передали обновление всем производителям устройств с их операционной системой.
Источник

5/03/2015 10:00 Социальная сеть Google+ распадается на онлайн-сервисы
Поисковый гигант фактически признал провал своей социальной сети. Вице-президент Google Брэдли Горовитц сообщил, что назначен директором новых продуктов: Google Photos и Streams. Это две из трёх составляющих Google+, которые представляют собой сервис фотографий и ленту событий. Третьим является сервис общения Hangouts. Запуск их в свободное плавание означает, что как единое целое социальная сеть перестанет существовать, а разработчик будет продвигать каждый продукт по отдельности. Такой поворот событий не стал слишком уж неожиданным. Ранее старший вице-президент по продуктам Сундар Пичаи в интервью Forbes сообщил, что корпорация всё чаще рассматривает составляющую соцсеть сервисы как отдельные продукты, некоторыми из которых уже сейчас можно пользоваться как самостоятельными приложениями. Забавно, но в своё время сама Google+ запускалась как интеграция наборов разнообразных сервисов. Не прошло и пяти лет, как стратегия была признана неудачной, и социальную сеть было решено привести в исходное "разобранное" состояние. Сама история отношений между Google и социальными сетями полна драматизма. Уже более 12 лет поисковик пытается создать популярную платформу для общения или на худой конец купить уже достигших успеха. И каждый раз его планы проваливаются. Очередную попытку в лице Google+ постигло тоже самое: при всех усилиях она даже близко не приблизилась к популярности Facebook. Хотя пользовательская база и составляет несколько сотен миллионов человек, но основная "движуха" проходит в уже упомянутом Facebook, а также в Twitter. Кроме того, существуют проблемы, связанные с качеством: пользователи не раз жаловались на нелогичный интерфейс, различные неудобства и навязывание сервисов. Поэтому ничего удивительного в том, что владелец решил обновить стратегию, нет. Вопрос, скорее, иной: удастся ли хотя бы на этот раз сделать что-то приемлемое, или всё закончится тем же, что и все предыдущие попытки.
Источник

5/03/2015 11:28 Вирус Gazon для Android распространяется по всему миру
Компания AdaptiveMobile заявила о всплеске активности вируса для Android, получившего название Gazon. Эта вредоносная программа рассылает всем контактам жертвы сообщение со ссылкой на приложение, якобы предоставляющее купоны в Amazon. Главная цель программы — генерирование кликов, которые используются для обогащения её авторов, а также самораспространение. По данным AdaptiveMobile, впервые угроза была обнаружена в США, но за последнюю неделю программа распространилась в Европу, Азию и Австралию. Вредоносная программа сгенерировала более 16 000 кликов и продолжает распространятся, заражая всё новые смартфоны. SMS, которые отправляет Gazon, формируются по простому шаблону: «Слушай [имя контакта], я отправляю тебе подарочную карту в Amazon на $200. Её можно получить здесь: [ссылка на ложное приложение]». После загрузки программа открывает форму веб-опроса, после ответа на который пользователь отправляется на следующую страницу со ссылкой на какое-либо другое приложение или просто на ещё один мошеннический ресурс. «Пока вы беззаботно переходите от страницы к странице, автор зарабатывает деньги на ваших кликах», — говорится в отчёте AdaptiveMobile. В это же время приложение считывает контактные данные смартфона и рассылает им такое же сообщение со ссылкой. «Скорость, с которой Gazon удалось распространится по всему Земному шару, показывает, что передача мобильных сообщений является наиболее эффективным методом распространения вирусов в глобальных масштабах», — говорится в уведомлении AdaptiveMobile. Антивирусное решение компании заблокировало отправку более 200 тысяч SMS со ссылкой на вирус и свыше 4 тысяч попыток вредоносной программы Gazon получить контроль над устройствами пользователей. Сайт программы, которая выдает себя за спутник Amazon, был заблокирован провайдером, но авторы схемы, скорее всего, скоро выпустят аналогичную вредоносную программу.
Источник

5/03/2015 12:33 Новый вид атаки на SSL/TLS с целью перехвата HTTPS-трафика
Исследователи из французского института INRIA выявили новый вид атаки на SSL/TLS, который получил название FREAK, по аналогии с ранее выявленными атаками POODLE, BREACH, CRIME и BEAST, сообщает opennet.ru. Суть атаки сводится к инициированию отката соединения на использование разрешённого для экспорта набора шифров, включающего недостаточно защищённые устаревшие алгоритмы шифрования. Проблема позволяет вклиниться в соединение и организовать анализ трафика в рамках защищённого канала связи, используя уязвимость (CVE-2015-0204), выявленную во многих SSL-клиентах и позволяющую сменить шифры RSA на RSA_EXPORT и выполнить дешифровку трафика, воспользовавшись слабым эфемерным ключом RSA. Предоставляемый в RSA_EXPORT 512-битный ключ RSA уже давно не применяется в серверном и клиентском ПО, так как считается небезопасным и подверженным атакам по подбору. Для подбора ключа RSA-512 исследователям потребовалось около семи с половиной часов при запуске вычислений в окружении Amazon EC2. Ключ достаточно подобрать для каждого сервера один раз, после чего подобранный ключ может использоваться для перехвата любых соединений с данным сервером (mod_ssl по умолчанию при запуске сервера генерирует один экспортный RSA-ключ и повторно использует его для всех соединений). На стороне клиента уязвимость затрагивает OpenSSL (исправлено в 0.9.8zd, 1.0.0p и 1.0.1k), браузер Safari и разнообразные встраиваемые и мобильные системы, включая Google Android и Apple iOS. Что касается серверов, то сканирование сети показало, что набор RSA_EXPORT поддерживается приблизительно на 36.7% из общей массы сайтов и на 9.7% из миллиона крупнейших сайтов. Для защиты сервера на базе Apache к параметрам директивы SSLCipherSuite следует добавить "!EXPORT". Протестировать сайт на наличие уязвимости можно на данной странице.
Источник

5/03/2015 12:54 «МойОфис» планирует заменить Microsoft Office и Google Docs
Компания «Новые облачные технологии» готовится выпустить набор офисных приложений, которые будут продаваться по облачной модели в России и других странах. К 2020 г. разработчики намерены занять 25% отечественного рынка, а также значительную долю в Европе и Латинской Америке. Весной 2015 г. откроется публичный доступ к отечественному сервису «МойОфис» - аналогу облачных приложений Microsoft Office 365 и Google Docs. О предстоящем запуске проекта рассказал его руководитель, гендиректор компании «Новые облачные технологии» (НОТ) Дмитрий Комиссаров. Сервис «МойОфис» разрабатывается с 2013 г. группой специалистов более чем из 130 человек, часть которых, как утверждает сайт проекта, в свое время принимали участие в создании редакторов «Лексикон» и пакета QuickOffice. Инвестиционную поддержку проекту оказывает компания «Сервис Плюс», которая, по информации участников рынка, связана со старшим вице-президентом «Ростелекома» Андреем Чеглаковым. По данным сервиса «Контур.Фокус», ей принадлежит 88% НОТ, еще 7% у вице-президента «Ростелекома» Алексея Басова, владельцем оставшихся 5% является Дмитрий Комиссаров. «МойОфис» будет представлять собой платформу для совместного редактирования документов и облачного хранения файлов. В составе платформы типичный для облачных офисов набор приложений: редакторы текстовых документов, электронных таблиц, презентаций, почтовая служба, книга контактов и календарь. Приложения поддерживают форматы ODF, форматы Microsoft Office - как современный, так и версий 97-2003 (хотя, как говорит Комиссаров, сложная верстка документов Microsoft Office пока не поддерживается), а также экспорт в PDF. Как рассказывает Дмитрий Комиссаров, во всех продуктах сервиса используется единое написанное с нуля на C++ программное ядро, что позволяет, во-первых, при необходимости портировать разработку на любую программную платформу, а, во-вторых, обеспечивает единообразное воспроизведение документов на различных платформах. Сейчас сервис представлен закрытыми бета-версиями для веб и приложений для iOS (пока только iPad) и Android. Открытый запуск версий для веб, Windows, Android и iOS ожидается в апреле-мае, а для Linux и OS X в сентябре 2015 г. Разработчик сервиса «МойОфис» - компания «Новые Облачные Технологии» - не планирует предоставлять коммерческий доступ к нему самостоятельно, по крайней мере, на первых порах.
Подробности

6/03/2015 10:10 В Кремле задумались о дополнительных сборах с Google и Apple
В администрации президента России обсудили возможность дополнительного налогообложения иностранных интернет-компаний, сообщает газета «Ведомости» со ссылкой на источники. Эта тема обсуждалась сотрудниками администрации, представителями Роскомнадзора и Госдумы по инициативе помощника президента Игоря Щеголева. Как отмечает газета, поводом для встречи стала жалоба «Яндекса» в Федеральную антимонопольную службу (ФАС) на Google в связи с предположительным нарушением конкурентом антимонопольного законодательства России. По другой версии, данная инициатива появилась после предложений властей Евросоюза заставить американские IT-компании платить налоги там, где они осуществляют свою деятельность, в том числе и в ЕС. Российские власти считают, что иностранные компании, такие как Google и Apple, недостаточно отчисляют в российский бюджет, говорят источники. В пример приводится практика, когда платежи российских пользователей в онлайн-магазинах AppStore, iTunes и Google Play за приложения, музыку или фильмы не облагаются налогами в России, так как покупки совершаются напрямую у иностранных компаний. Также участники встречи отметили, что, сравнивая финансовые отчеты «Яндекса» и Google в России, можно сделать вывод, что «дочка» американской корпорации платит в несколько раз меньше налогов, чем российский поисковик. При этом доля у Google на рынке онлайн-поиска хоть и меньше, чем у «Яндекса», но не в разы: по данным Liveinternet.ru на февраль текущего года, 58,8 процента у российской компании против 32,8 процента у американской. Ранее в феврале председатель комиссии Общественной палаты по развитию информационного общества, СМИ и массовых коммуникаций Дмитрий Бирюков предложил ввести в России аналог европейского «налога на Google», когда интернет-поисковики обязаны отчислять средства СМИ за показ их материалов у себя на сайтах. Два года назад бывший тогда сенатором Руслан Гаттаров обвинил Google в уклонении от уплаты налогов с сервиса AdSense. В 2014 году он возглавил комиссию, которая должна изучить, как интернет-компании соблюдают российское законодательство.
Источник

6/03/2015 10:42 Microsoft выпустила ознакомительный Office 2016 для Mac
Microsoft выпустила предварительную версию нового офисного пакета для «маководов» — Office 2016 для Mac. В новой версии обновлен графический интерфейс, добавлены функции OS X Yosetmite и поддержка дисплеев Retina. Корпорация Microsoft выпустила публичную предварительную версию пакета Office 2016 для Mac. Он включил обновленные приложения Word, Excel, PowerPoint, Outlook и OneNote. В Office 2016 для Mac сохранился «ленточный» интерфейс, но он приобрел обновленный вид. И теперь Office 2016 для Mac стал похож на Office 2013 для Windows. В Microsoft рассказали, что стремились создать продукт с единым стилем вне зависимости от платформы — Windows, iOS, Android или Mac. Вместе с тем новая версия содержит функции, которые Apple недавно реализовала в своей платформе: поддержку дисплеев Retina и полноэкранного режима. В приложениях Word и PowerPoint появилась функция совместной работы. Авторы документов могут приглашать своих коллег, вносить изменения в документ или проект и в режиме реального времени видеть, какие правки вносят коллеги. В случае если два или большее количество людей попытаются изменить один и тот же фрагмент файла, приложение выдаст предупреждение. Помимо этого, появилась поддержка диалогов в комментариях. В PowerPoint появился новый режим просмотра презентации для ведущего. В нем отображаются следующий кадр, комментарии, текущая позиция в презентации и таймер. В то время как аудитория видит только презентацию. Также добавлены новые эффекты анимации. В Excel 2016 для Mac появилась функция фильтрации в сводных таблицах. Раньше она была доступна только в Windows. Microsoft также добавила поддержку функци Excel 2013 для Windows и горячих клавиш из Excel для Windows, тем самым упростив переход с одной платформы на другую. Одним из нововведений в Outlook стал режим просмотра двух календарей рядом. В этом режиме пользователь может объединить календари и проверить свой график на наличие конфликтов. В Office 2016 для Mac компания добавила поддержку облачного хранилища OneDrive, включая синхронизацию документов на всех платформах. Это привело к появлению области недавних файлов в функции открытия файла. То есть, например, если пользователь в последний раз редактировал документ в Office на своем iPad и затем он открыт Office на Mac, он увидит конечную версию файла в списке недавних и сможет продолжить работу над ним уже на компьютере.
Подробности

6/03/2015 11:25 Сайты с фильмами «Батальонъ» и «ДухLess 2» будут заблокированы
«Роскомнадзор по решению Мосгорсуда исполняет предварительные обеспечительные меры защиты исключительных прав в отношении фильмов «Батальонъ» и «ДухLess 2». В результате мониторинга было обнаружено 374 URL-адреса, с которых происходило незаконное распространение фильмов. Усилиями Роскомнадзора доступ к пиратским копиям фильмов оперативно прекращается», - указано на официальной странице ведомства в социальной сети Facebook. По состоянию на 5 марта текущего года заблокировано 170 интернет-ресурсов, 49 - удалены. В 19 сайтах пиратские копии были удалены еще до блокировки, а в 136 - после блокировки, затем ресурсы были исключены из реестра. Ранее пиратская версия фильма Андрея Звягинцева «Левиафан» появилась на пяти сайтах. «Утечка» в сеть пиратских копий произошла задолго до официального релиза. В 2009 году за два месяца до официального релиза на торрент-трекеры попала пиратская копия фильма «Люди Икс: Начало. Росомаха». В июле 2014 года на интернет-ресурсах стал доступен боевик «Неудержимые 3», а в конце ноября того же года - копии фильмов «Ярость», «Энни», «Уильям Тернер» и «Все еще Элис».
Источник


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru