uinC NewsLetter #51, 2015


Приветствуем!

Новости из Security Мира

14/12/2015 23:57 CША ввели обязательную регистрацию квадрокопетров
Федеральное управление по авиации США объявило в понедельник об обязательной регистрации беспилотных летательных аппаратов, которые набирают популярность на потребительском рынке страны. Владельцы беспилотников весом более 250 грамм (0,55 фунта) и менее 25 килограммов (55 фунтов) должны будут зарегистрировать свои аппараты в срок с 21 декабря 2015 до 19 февраля 2016 года. Стоимость регистрации составит 5 долларов США, но для облегчения процесса регистрации оплату не будут взимать до 20 января. Беспилотники можно запускать только на высоту до 120 метров и так, чтобы они не пропадали из поля зрения владельца. Кроме того, беспилотники запрещены вблизи аэропортов, в центре крупных городов и в особо охраняемых зонах (например, в районе государственных учреждений в Вашингтоне). Потребительские беспилотники, используемые для развлечения, очень популярны в нынешнем праздничном сезоне в качестве подарка. Крупнейшие онлайн-магазины создали отдельные разделы на своих сайтах по продаже беспилотников. Власти США неоднократно заявляли, что намерены регламентировать порядок использования БПЛА населением, чтобы избежать проблем для воздушного движения и опасности для людей. Примечателен тот факт, что за период с 17 декабря 2013 по 12 сентября 2015 в США зафиксирован 921 случай нахождения дрона рядом с самолетом. При этом, существует лишь несколько неподствержденных случаев столкновений с самолетом, которые не привели к повреждению самолета или угрозе безопасности людей.
Источник

15/12/2015 13:59 Процессоры "Эльбрус" защитят межгосударственную связь СНГ
Объединенная приборостроительная корпорация создала комплекс технических средств, которые объединят в единую сеть каналы шифрованной документальной связи стран СНГ и России. Новая аппаратура базируется на отечественных процессорах «Эльбрус» и гарантирует высокий уровень защиты от утечек информации. В комплекс, разработанный в рамках опытно-конструкторской работы «Мост-СНГ» по заказу Федеральной службы охраны (ФСО), входят универсальные вычислительные машины, консоль оператора и специальное программное обеспечение. Техника позволяет достоверно и в гарантированные сроки передавать между государствами юридически значимую информацию и документы. Она обеспечивает высокую степень информационной безопасности и может использоваться для передачи самых конфиденциальных сведений. Все технические средства абсолютно прозрачны с точки зрения конструкции и программного обеспечения. В них гарантированно отсутствуют незадекларированные возможности и закладки для негласного съема информации. Проект, включая разработку ПО и вычислительного блока, реализовало НИИ «Масштаб». Вычислительные машины базируются на российских платах МПУ-АТХ с использованием процессоров «Эльбрус» разработки Института электронных управляющих машин (ИНЭУМ) им. И.С. Брука, также входящего в ОПК. По словам Александра Якунина, элементы комплекса сейчас проходят сертификацию, завершить работы планируется до конца декабря. Напомним, с 2015 года Объединенная приборостроительная корпорация определена головным холдингом Ростеха в области разработки, производства и внедрения вычислительной техники и телекоммуникационного оборудования. До конца 2017 года корпорация планирует разработать и запустить в серийное производство более 40 образцов доверенного телекоммуникационного оборудования, которое обеспечит высокую защищенность данных за счет использования отечественного ПО и российской компонентной базы.
Источник

15/12/2015 17:07 Mail.Ru Group поделилась проектами своих сотрудников
Компания Mail.Ru Group решила систематизировать ранее опубликованные исходники своих открытых программных проектов и различных наработок своих сотрудников, коими они занимаются паралельно с выполнением основной работы. Информационный портал получил название - OpenSource.Mail.Ru. Среди наиболее известных проектов Mail.Ru Group: MAPS.ME — приложение для iOS, Android, Blackberry и т.п., позволяющее просматривать карты OpenStreetMap в офлайне; Tarantool — уникальное решение, совмещающее неблокирующий сервер приложений на Lua с NoSQL базой данных. Среди опубликованных исходных кодов проектов сотрудников интернет-компании: Centrifugo — сервер для обмена сообщениями в режиме реального времени, поддерживающий клиентские соединения по протоколу Websocket или использующих SockJS; Fest — шаблонизатор общего назначения, компилирующий XML шаблоны в самодостаточные JavaScript функции; File API — библиотека функций, предназначенная для обработки и редактирования изображений в веб-браузер и последующей их загрузки на сервер; Sophia — встраиваемая транзакционная Key-Value СУБД Sophia, построенная с использованием новой архитектуры хранения данных, спроектированной, как ответ на недостатки LSM-деревьев; Mail.Ru Agent Notifications — плагин для JIRA, позволяющий отправлять уведомления в Mail.Ru Агент об изменениях в задачах; Mail.Ru Calendar — плагин для JIRA, позволяющий наглядно отслеживать работы, отпуска и другие события, основанные на запросах в JIRA; VaOceanMobile — шейдер океана для Unreal Engine 4, созданный специально для мобильных устройств. Материал полностью поддерживает PBR шейдинг и динамическое освещение; VaRest — плагин для движка Unreal Engine 4, созданный специально для работы с REST архитектурой.
Подробнее

16/12/2015 09:51 Компьютерную мышь применили для анализа эмоций человека
Джеффри Дженкинс, профессор Университета Бригама Янга, утверждает, что если человек грустит или злится, это влияет на точность движений указателя компьютерной мыши, а также на скорость перемещения курсора. С помощью современных технологий Дженкинс и его коллеги создали технологию, которая, используя эти данные, способна по перемещениям мыши «расшифровать» эмоциональное состояние того, кто держит её в руке. Исследователь считает, что его полученные им результаты позволит сайтам в интернете стать совершеннее и привлекать больше посетителей. Исследование, проведённое Джеффри Дженкинсом, показало, что если человек спокоен, движения мыши представляют собой прямые или плавно изгибающиеся линии. Если же он растерян или расстроен, движения эти становятся резкими и непредсказуемыми. К тому же, как оказалось, человек, испытывающий негативные эмоции, начинает передвигать компьютерную мышь медленнее, даже если самому ему в гневе кажется, что его движения, напротив, стали быстрее. «Раньше было трудно вычислить конкретный момент, когда пользователя огорчает что-то, обнаруженное им на каком-либо сайте, и он принимает решение на этот сайт более не возвращаться, – размышляет Джеффри Дженкинс. – Возможность зафиксировать негативную эмоциональную реакцию поможет сделать сайты дружелюбнее». В перспективе учёный рассчитывает выяснить, можно ли как-либо применить полученные им результаты к смартфонам – они не требуют мыши, однако прикосновения пальцев к экрану тоже могут отличаться в зависимости от настроения человека.
Источник

16/12/2015 13:13 Взломаны сайты Европейского космического агентства
Как оказалось, ни одно государственное учреждение не может оставаться в безопасности вечно — даже если оно работает в космосе. Это доказала хакерская группировка Anonymous, взломавшая на этой неделе серверы Европейского космического агентства (ЕКА) - "esa.int". Хакерам удалось с помощью SQL-инъекции получить доступ к базам данных некоторых поддоменов агентства ("due.esrin.esa.int", "exploration.esa.int" и "sci.esa.int"). Злоумышленникам удалось похитить имена пользователей и пароли работников учреждения, а также имена, электронные адреса и пароли примерно восьми тысяч подписчиков поддоменов ЕКА. Хакеры никак не объясняют свои действия, направленные на агентство — они уверяют, что взлом был произведён исключительно ради развлечения.
Источник

16/12/2015 18:26 Начался выпуск платежных карт НСПК "Мир"
Во вторник, 15 декабря, банки начали эмиссию карт национальной платежной системы «Мир». В числе первых выпустивших карты — Газпромбанк, МДМ Банк, МИн-Банк, РНКБ, Россия, Связь-банк и СМП Банк. На них сотрудники бюджетных организаций должны будут получать зарплату — это требование закона. Еще 21 банк начал тестирование карт «Мир» (планируют завершить до конца 2015 года), а всего среди участников платежной системы 35 кредитных организаций. «На сегодняшний день карту принимают около 1,5 тыс. банкоматов и 100 тыс. POS-терминалов. К концу третьего квартала 90% от сети приема карт России будут принимать карту «Мир», — заявил глава НСПК Владимир Комлев в ходе пресс-конференции. Ранее сообщалось, что выпуск карт национальной платежной системы «Мир» обойдется банкам дороже, чем Visa и MasterCard. По словам директора департамента платежных систем СМП Банка Елены Биндусовой, разница в цене составляет 35–45% в пользу зарубежных платежных систем. Топ-менеджер крупного банка говорил, что их банк заложил расходы на выпуск карт «Мир» в три раза выше, чем на Visa и MasterCard. Увеличение затрат связано с использованием в картах "Мир" более дорогих и вместительных чипов российской компании "Микрон", а также платежного приложения НСПК, использующего платформу Java. Однако, компания "Микрон" работает над созданием собственной версии Java, на базе доступных исходников, дабы снизить зависимость от постоянно совершенствующейся зарубежной платформы.
Источник

16/12/2015 23:45 Через статью The Guardian о хакерах распространялся вирус
У некоторых кибер-преступников очень специфическое чувство юмора. Специалисты FireEye обнаружили, что сайт издания The Guardian заражен эксплоит китом Angler. Интересно, что поражена оказалась конкретная страница, конкретной статьи. Эта публикация носит название: «Киберпреступность вышла из-под контроля?». Похоже, хакеры ответили на заданный в заголовке вопрос. Статья о сорвавшейся с поводка сетевой преступности не нова, она датирована 2011 годом. Похоже, преступники выбрали данный материал не из-за его популярности, а именно из-за заголовка и содержания. Вместе со статей, в фоновом режиме подгружается и ряд ссылок, одна из которых перенаправляет жертву на зараженный сайт, используя инъекцию HTML. Специалисты FireEye пишут, что атакующие использовали уязвимость в OLE Automation через VBScript. Некоторые улики указывают и на возможность эксплуатации уязвимостей Flash. Набор эксплоитов Angler, это один из попялрных инструментов среди кибер-преступников. В основном с его помощью распространяется вымогательская малварь и шифровальщики. По данным компании Sophos в 50% случаев, это Teslacrypt, также часто встречается CryptoLocker. Это далеко не первый случай, когда Angler размещают на страницах популярных СМИ. В августе 2015 года эксплоит кит распространялся через MSN, тогда Angler был внедрен в рекламу. В октябре 2015 года от вредоносной рекламы, ведущей прямиком к экплоит киту, пострадало издание Daily Mail. В прошлом месяце малварь несколько недель распространялась через сайт издания Reader’s Digest, взломанный посредством WordPress эксплоита. В конце прошлой недели Angler был обнаружен в WordPress-блоге издания The Independent. Специалисты FireEye сообщают, что администраторы The Guardian уже устранили проблему.
Источник

17/12/2015 02:16 Нажатие одной кнопки позволяло обойти ограничения GRUB
В загрузчике GRUB2 выявлена критическая уязвимость (CVE-2015-8370), позволяющая обойти режим блокировки загрузки паролем и выполнить любые команды в консоли GRUB. Проблема проявляется с декабря 2009 года, начиная с выпуска 1.98 и заканчивая веткой 2.02, находящейся в разработке. Исправление пока доступно только в виде исправлениеа. Обновления пакетов уже опубликованы для Ubuntu, Debian, Fedora, CentOS и Red Hat Enterprise Linux и ALT Linux. Через многократное нажатие клавиши Backspace злоумышленник, имеющий физический доступ к компьютеру, может инициировать целочисленное переполнение и получить доступ к системной консоли GRUB независимо от установки парольной защиты. Для атаки достаточно 28 раз нажать Backspace в поле с именем пользователя или паролем, после чего будет запущена консоль GRUB, из которой можно загрузить собственное ядро (например, с USB-накопителя), получить доступ к данным на дисках или повредить имеющиеся данные. Работа эксплоита сводится к тому, что каждое нажатие клавиши Back Space обнуляет определённую ячейку за пределами буфера. Задача атакующего подобрать число нажатий Backspace (28 раз), чтобы обнулить данные до адреса перехода к консоли, в этом случае вместо обработчика ввода пароля или перезагрузки будет запущена консоль ввода команд.
Источник



Программы дня за прошедшую неделю:

19/12/2015 Slax
Linux-дистрибутив на базе Slackware, облегчающий создание LiveCD и загрузочных флэш-накопителей с произвольным набором компонентов. Установка дистрибутива на USB-накопителеь не требует специализированных утилит - достаточно скопировать содержимое архива на носитель и запустить BAT-скрипт создания загрузочной области. Модульная структура Slax позволяет за несколько минут собрать собственный LiveCD из готовых компонентов без каких-либо дополнительных знаний. Достаточно скопировать модули в специализированный каталог. ОС Slax обладает богатым набором утилит и различных компонентов, в том числе установленный графический интерфейс KDE с набором сетевых утилит, веб-браузера и многих других. После запуска система готова к использованию, все настройки системы автоматически сохраняются в специализированном файле и будут доступны при последующих запусках системы.
ОС: Cross-platform
Тип программы: Операционная система


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru