uinC NewsLetter #46, 2015


Приветствуем!

Новости из Security Мира

9/11/2015 15:37 3D-принтер сможет заменить стоматологов
В Университете Гронингена разработали антимикробный пластик, который можно использовать для печати искусственных имплантов. Одним из перспективных направлений использования 3D-принтеров может оказаться протезирование зубов. По прогнозам, 3D-сканирование и 3D-печать уже в скором будущем придут на смену традиционным методам изготовления имплантов. Однако, в Университете Гронингена (Нидерланды) решили пойти дальше и разработали антимикробный пластик, который можно использовать для 3D-печати искусственных зубов. Новый материал изготовлен из уже используемых в стоматологии полимерных смол с добавлением четвертичных аммониевых солей, которые обладают антибактериальным эффектом. Голландские исследователи утверждают, что для человека подобный пластик совершенно безвреден. Для проверки свойств нового материала на их поверхность нанесли смесь слюны и бактерий Streptococcus mutans, которых считают одним из главных виновников возникновения кариеса. Согласно данным, содержащимся в статье, опубликованной в журнале Advanced Functional Materials, на поверхности нового материала погибло 99% бактерий.
Источник

10/11/2015 09:41 Госдума РФ обсудит изменение «прописки» региона SIM-карт
В Госдуме хотят разрешить смену «прописки» региона SIM-карты по требованию владельца номера, передаёт информационный портал Москва24. Если инициатива получит практическую реализацию, то абонентам, желающим сохранить свой старый номер при переезде в другой российский регион, больше не придётся переплачивать за роуминг — достаточно будет сменить регион SIM-карты и продолжать пользоваться услугами связи на домашних условиях. Как отметил первый заместитель председателя комитета по информационной политике, информационным технологиям и связи Госдумы Владимир Крупенников в своем интервью, инициатива о смене региона SIM-карты несомненно будет полезна для граждан, однако при этом может вызвать недовольство среди сотовых операторов. Именно поэтому, для лучшего понимания технической стороны реализации проекта, данный вопрос сначала необходимо обсудить с операторами мобильной связи, считает Крупенников. При этом советник руководителя Федерального агентства связи Владимир Калинин убеждён, что с технической точки зрения осуществить перенос «прописки» SIM-карты из одного региона в другой, в принципе, возможно, однако операторам это может влететь в копеечку. «Сегодня в каждом регионе есть коммутатор мобильной связи, который перенаправляет сигналы и соединяет абонентов. Объём памяти у каждого коммутатора конечен и уже заполнен лимитом номеров, которые выделены на регион. Сверх этой нормы в него ничего прописать нельзя, поэтому для реализации инициативы нужно будет построить большой всероссийский коммутатор», — пояснил он. Как отметила пресс-секретарь «Билайна» Анна Айбашева, привязка SIM-карт к региону осуществляется с целью снижения нагрузки на сеть и повышения качества связи. В случае же если абонент сменит «прописку» своей SIM-карты, качество связи для него может заметно ухудшиться. Кроме того, эксперты высказывают опасения по поводу того, что введение сервисов, позволяющих менять регион SIM-карты, неизбежно приведёт к удорожанию тарифов.
Источник

10/11/2015 13:24 В армейские столовые будут пускать по отпечатку пальца
«Ростех» ведет масштабное внедрение системы контроля питания военнослужащих на 600 объектах Министерства обороны РФ. «Разработку и внедрение системы управления доступом и заказа питания в составе корпорации ведет Центральный НИИ экономики, информатики и систем управления (ЦНИИ ЭИСУ) – один из основных поставщиков ИТ-решений для Минобороны и других силовых структур, - рассказал директор департамента инновационного развития «Объединенной приборостроительной корпорации» Александр Калинин. – Система базируется на отечественной платформе 1С и работает на ОС «Рассвет» и СУБД «Рассвет» нашего производства. ОС «Рассвет» является логическим продолжением линейки специальных операционных систем «Заря», так же созданных ЦНИИ ЭИСУ. Все разработанные нами компоненты сертифицированы Министерством обороны России для обработки служебной информации ограниченного распространения». Базовое решение включает в себя управляющий сервер и два инфомата с сенсорными экранами и биометрическими датчиками, которые считывают отпечатки пальцев. На сервере происходит регистрация и учёт военнослужащих, а также заказ питания и формирование разнообразных отчетов о деятельности столовых, включая количество питающихся на каждом приеме пищи. С помощью первого инфомата военнослужащий может заранее сняться с довольствия, если он убывает из части. Для этого ему необходимо приложить палец к сканеру и отметить дни и приёмы пищи, которые он пропустит. Получив необходимые данные, система автоматически рассчитывает необходимое количество продуктов, убирая «излишки» и помогая точно спланировать рацион военнослужащих каждого подразделения в зависимости от графика командировок, учений, задач, связанных с передислокацией и т.д. Второй инфомат позволяет идентифицировать военнослужащего на линии раздачи при получении питания. В зависимости от размера столовой и количества линий раздачи могут устанавливаться несколько инфоматов снятия с довольствия и получения питания. Система базируется полностью на отечественном программном обеспечении, в том числе на специальной операционной системе, обеспечивающей защиту данных личного состава воинских частей. По оценкам МО РФ автоматизация армейских столовых может сократить издержки ведомства на сумму до 3,5 млрд. рублей ежегодно.
Источник

11/11/2015 09:29 Google Maps научился прокладывать маршрут в оффлайне
Компания Google расширила функциональность картографического сервиса: отныне осуществлять поиск и навигацию можно без подключения к Интернету. Теперь в офлайне пользователям доступны просмотр детальной карты, полноценное ведение по маршруту, поиск адресов, а также другая полезная информация, например, часы работы организаций, их рейтинги и контакты. Для того чтобы воспользоваться новой функциональностью, необходимо заранее загрузить нужную часть карты на мобильное устройство. Сделать это можно, введя интересующий адрес, название района, города или региона в строке поиска на «Google Картах» с последующим нажатием кнопки «Скачать». Кроме того, можно зайти в главное меню «Карт», выбрать пункт «Скачанные области» и нажать на значок «+». Если на устройстве есть скачанные карты, сервис автоматически перейдёт в офлайн-режим, когда это понадобится. Как только связь с Сетью снова станет стабильной, система самостоятельно подгрузит актуальные данные, включая информацию о загруженности дорог, и учтёт прогноз пробок при построении маршрута. По умолчанию функция скачивания карт работает только при подключении к Wi-Fi. Сделано это с целью экономии расходов на сотовую связь.
Источник

11/11/2015 13:38 МВД спасло российские банки от "глобальной хакерской атаки"
Сотрудники полиции задержали участников международной группы хакеров, которые с помощью разработанных вредоносных программ планировали парализовать работу всей банковской системы России, сообщает пресс-центр МВД России. По данным полиции, участники группы имели четко распределенные обязанности, а также налаженный производственный цикл – от разработки устройств и программного обеспечения до непосредственного хищения денег. В Московской области была создана тренировочная база для оттачивания навыков работы с аппаратными средствами и тестирования "скимминговых" устройств на реальных банкоматах. Атакам подвергались банки на территории России, США, стран европейского и азиатского регионов. В группу входил молодой "хакер", способный осуществлять атаки на мировые системы обмена межбанковскими финансовыми сообщениями. Также установлены личности соучастников, занимавшихся оформлением банковских карт на подставных лиц и координировавших вывод и обналичивание похищенных денег. Участниками группы были скомпрометированы крупнейшие международные платежные системы. Кроме того, они специализировались на "взломе" банкоматов, используя специальные техустройства и модифицируя программное обеспечение терминалов. Для атак на системы дистанционного банковского обслуживания они разрабатывали и применяли вредоносные программы. Ущерб от деятельности сообщников исчисляется сотнями миллионов рублей. При этом предотвращены хищения на сумму более 1.5 млрд руб. В ходе обысков у задержанных фигурантов обнаружены документы по подготовке к глобальной "хакерской" атаке практически на все российские банки. Кроме того, изъяты тысячи банковских карт и SIM-карт мобильных операторов, сотни телефонов, а также десятки компьютеров, содержащих переписку между сообщниками. В настоящее время все они дают признательные показания.
Источник

12/11/2015 09:58 ФБР оплатило атаку по деанонимизации пользователей Tor
Роджер Дингледин (Roger Dingledine), руководитель проекта Tor, опубликовал вскрывшиеся подробности прошлогодней атаки на сеть Tor, которая могла привести к деанонимизации пользователей. По имеющимся у представителей проекта Tor данным, ФБР заплатил университету Карнеги — Меллон как минимум один миллион долларов за работу по организации атаки, способной раскрыть реальные IP-адреса владельцев скрытых сервисов Tor. Руководитель проекта Tor считает, что атака создаёт тревожный прецедент, в котором "исследования" стали ширмой для вторжения в неприкосновенность частной жизни, нарушения гражданских свобод и обхода правил сбора доказательств. Подобное сотрудничество, в котором правоохранительные органы делегируют работу по проведению расследований университетам, отмечено как недопустимое и подрывающее этические нормы исследователей безопасности. Исследователи безопасности не должны допускать практического применения атаки до раскрытия информации разработчикам уязвимой системы. В случае атаки на Tor, подставные узлы были внедрены в январе 2014 года, а данные о проблеме раскрыты только в июле. В результате соглашения с ФБР исследователями университета был разработан и применён метод атаки, основанный на создании большого числа подставных ретрансляторов Tor. Проблема состоит в том, что деанонимизация была организована в рамках сбора доказательств для инициирования судебных разбирательств. Скорее всего атака была организована без ордера, так как формально ФБР стремился получить IP-адреса лишь нескольких скрытых сервисов Tor, но на деле атака затрагивала всех пользователей скрытых сервисов, в том числе тех, которые не занимаются криминальной деятельностью. Т.е. атака не была ограничена конкретными преступниками, а охватывала многих пользователей с последующим отсеиванием информации, которая могла иметь отношение к криминальной деятельности.
Источник

12/11/2015 15:01 Сторонний Instagram-клиент InstaAgent оказался трояном
Компании Apple и Google удалили из своих магазинов приложений один из самых популярных клиентов Instagram, после того как выяснилось, что оно похитило множество паролей пользователей и публиковало фотографии без разрешения пользователя. Речь идёт о приложении InstaAgent, которое сохраняло данные пользователей Instagram в зашифрованном виде, а затем отправляло их на неизвестные серверы. Google очень быстро отреагировала на эту ситуацию, удалив приложение из Play Store, Apple сделала то же самое лишь спустя несколько часов. Несмотря на то, что официальное приложение Instagram рекомендует не использовать сторонние программы для пользования сервисом, многие пользователи всё равно решили загрузить InstaAgent, поскольку оно даёт ряд дополнительных возможностей. В частности, многие купились на то, что приложение позволяет видеть, кто просматривал ваш профиль в Instagram. Следы вредоносного приложения были стёрты, но сотни тысяч аккаунтов всё равно уже похищены. Приложению удалось стать одним из самых популярных в британском и канадском App Store, а вот в США InstaAgent почему-то не снискало популярности. Если вы пользовались данным приложением, то вам строго рекомендуется сменить свой пароль в Instagram.
Источник

13/11/2015 16:11 Критическая уязвимость Google Chrome для ОС Android
В веб-браузере Google Chrome обнаружена уязвимость, которая позволяет удаленно получить контроль над Android-устройством. Об этом на мероприятии MobilePwn2Own в рамках конференции PacSec в Токио рассказал исследователь Гуан Гун (Guang Gong) из компании Quihoo 360. Гун сообщил подробности корпорации Google и уже был награжден за это бесплатной поездкой на конференцию CanSecWest в 2016 г. Он также получит денежное вознаграждение. Уязвимость находится в компоненте JavaScript-движке V8 в Google Chrome. Других подробностей Гун об уязвимости не стал раскрывать. Но отмечается особенность его находки: для того чтобы взломать Android-смартфон, достаточно лишь этой одной уязвимости. Это редкий случай, так как обычно хакерам приходится эксплуатировать несколько уязвимостей для проведения одной атаки, подчеркнул исследователь. На мероприятии в Токио исследователь продемонстрировал уязвимость на смартфоне Nexus 6 с установленной Android 6.0 "Marshmallow". Это аппарат Google следующего поколения. Устройства Nexus первыми получают обновления системы Android, в том числе обновления безопасности. По словам Гуна, на разработку эксплойта у него ушло четыре месяца. «Как только пользователь открывает зараженный веб-сайт, посредством ошибок в функциях библиотеки V8 в браузере Chrome выполняется установка произвольного приложения на смартфон, без каких-либо действий со стороны пользователя», — рассказал изданию Vulture South организатор PacSec Драгош Руйу (Dragos Ruiu). Он добавил, что Гун в качестве произвольного приложения выбрал безобидную игру BMX Bike. Руйу добавил, что организаторы мероприятия проверили работоспособность эксплойта на конкретном смартфоне. По его словам, при желании эксплойт можно разработать для любого Android-смартфона, так как уязвимость содержится в компоненте Google Chrome.
Источник

13/11/2015 19:07 Обновление сертификатов Apple вызвало сбой Mac OS X
Из-за ошибки в OS X у владельцев Mac возникли проблемы при запуске загруженных из Mac App Store приложений. Это произошло после истечения срока действия одного из сертификатов. Некорректный сертификат Apple вызвал вчера, 12 ноября 2015 г., проблемы у пользователей Mac, заставив их выполнять переустановку приложений. Первым проблему обнаружил разработчик Tweetbot Пол Хадад (Paul Haddad), сообщает AppleInsider. При попытке запуска приложений, скачанных из Mac App Store, пользователи, включившие Mac в минувший четверг, видели различные ошибки: от «Это приложение повреждено и не может быть запущено» до «Это приложение было приобретено на другом компьютере». В некоторых случаях решить проблему помогла повторная аутентификация в приложении Mac App Store или перезапуск компьютера. Большинству же пользователей пришлось удалять и заново устанавливать скачанные приложения. «Когда вы загружаете приложение из Mac App Store, оно предоставляет удостоверение с криптографической подписью. Эти удостоверения подписаны различными сертификатами, которые имеют различные сроки действия. Один из них — Mac App Store Receipt Signing, срок действия которого истекает каждые два года. Срок действия последнего сертификата закончился 11 ноября в 21:58:01 по по Гринвичу. Это привело к тому, что большинство существующих удостоверений в App Store стали недействительными», — объяснил Хадад. «Сейчас Apple создает сертификаты со сроком действия по 2017 г. Но по каким-то причинам иногда эти сертификаты не запрашиваются, пока пользователь не выполнит перезагрузку. Это, в любом случае, ошибка OS X», — добавил он. Если ее не исправить, через два года возникнет такая же ситуация. Хадад рекомендовал пользователям, в первую очередь, выполнить перезагрузку Mac. При загрузке операционная система заново получает сертификат. Интересен тот факт, что подобный сбой уже имел место быть в 2013 году.
Источник


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru