uinC NewsLetter #52, 2015


Приветствуем!

Новости из Security Мира

22/12/2015 13:55 Взломаны веб-сайты торрент-клиентов Deluge и qBittorrent
Сообщается о взломе ряда сайтов, связанных с разработкой и обсуждением технологий Bittorrent. Среди скомпрометированных ресурсов оказались форумы свободных Bittorrent-клиентов Deluge и qBittorrent, вся пользовательская база которых оказалась в руках атакующих. Базы хэшей паролей и email-адресов пользователей форумов Deluge и qBittorrent уже выставлены на продажу на сайте Databoss.io. В качестве подтверждения взлома атакующие разместили на скомпрометированных сайтах файл "hello.txt". В настоящий момент сайт Deluge полностью отключен на время разбора инцидента, а у проекта qBittorrent отключен только форум, который был запущен на отдельном сервере. Подробности взлома инфраструктуры Deluge и qBittorrent пока не сообщаются. Также пока не ясно, какой уязвимостью воспользовались атакующие. Проект Deluge использовал для форума движок phpBB, а qBittorrent - SMF. Разработка обоих проектов велась на GitHub (qBittorrent, Deluge), поэтому злоумышленники были лишены возможности скрыто модифицировать кодовую базу. При этом не исключено, что некоторые разработчики, хэши паролей которых попали в руки атакующих, могли использовать одни и те же пароли на разных ресурсах в сети.
Источник

22/12/2015 19:51 Обязательная регистрация квадрокоптеров одобрена в России
Госдума РФ в окончательном третьем чтение приняла закон "О внесении изменений в Воздушный кодекс Российской Федерации в части использования беспилотных воздушных судов", который обязывает регистрировать все беспилотники, за исключением тех, у которых максимальная взлетная масса составляет 250 грамм и менее. Это будет касаться даже игрушечных вертолетов и квадрокоптеров, впрочем, для них предусмотрят упрощенный учет. "Если он игрушечный (вертолет), но весом больше, чем 250 граммов, то для него будет упрощенный учет", - сказал журналистам глава комитета Госдумы по транспорту Евгений Москвичев. Он пояснил, что заниматься учетом таких маловесных беспилотных воздушных судов могла бы негосударственная структура или общественная организация. В то же время регистрация необходима, так как даже такой беспилотник может быть "опасен в случае применения в условиях терактов", например, использоваться для доставки груза. "Раз нет практики применения, пока мы прописали 250 граммов, посмотрим и проанализируем. Если увидим, что это слишком низкая планка, надо выше килограмма, то мы внесем поправки", - пообещал Москвичев, напомнив при этом, что по опыту европейских стран и США беспилотники весом 250 граммов и выше "уже подлежат учету и сертифицируются".
Источник

23/12/2015 14:11 Почта Mail.Ru разрешила создавать временный адрес почты
В Почте Mail.Ru заработал Анонимайзер — сервис, позволяющий создавать временные адреса. Они помогут пользователям защитить свою конфиденциальность в случаях, когда по каким-то причинам не хочется раскрывать основной адрес электронной почты. В интернет-пространстве регулярно возникают ситуации, когда пользователь хочет сохранить анонимность: общение на форумах, потребление различного контента, регистрация на веб-сервисах, заключение сделок (завершив которые, человек не хочет продолжать получать отклики). Раньше в таких случаях приходилось заводить еще один ящик, а значит, тратить время и силы на его создание, запоминание пароля и последующую проверку корреспонденции. Теперь же в настройках Mail.Ru в разделе «Анонимайзер» можно создать временный адрес — Почта сама предложит название и заведет одноименную папку, в которую будут автоматически поступать соответствующие письма. Как только потребность в этом адресе исчезнет, его можно удалить буквально в пару кликов в настройках аккаунта.
Источник

24/12/2015 15:23 Ошибка в ПО отпускала вашингтонских заключенных по УДО
Ошибка в программном обеспечении, которое используется пенитенциарной системой штата Вашингтон, привела к досрочному освобождению (УДО) из местных тюрем около 3,2 тыс. человек. Информация о «баге» появилась в 2012 году, однако существовал он как минимум с 2002 года и с тех пор не был исправлен. Властям еще предстоит выяснить, по каким причинам ошибка в ПО не была исправлена, пишет Kiro7. Она приводила к сокращению срока заключения в среднем на 55 дней за счет неверного подсчета баллов «за хорошее поведение»: накопив определенное их количество, заключенный может рассчитывать на сокращение срока. Правительство штата вынесло предписание приостановить программу досрочного освобождения для лиц, время заключение которых может зависеть от сбойного алгоритма подсчета. Также ведется работа по возврату в тюрьмы тех, кто вышел на свободу раньше положенного для отбывания остатка срока (пятеро уже добровольно вернулись). Некоторым, впрочем, наказание могут заменить на общественные работы или иной способ погасить «долг». Патч, который уберет ошибку, выйдет 7 января.
Источник

24/12/2015 17:08 Экс-сотрудник "Яндекса" осужден за продажу исходников
В Тушинском районном суде Москвы на днях состоялось рассмотрение уголовного дела в отношении бывшего сотрудника "Яндекса" Дмитрия Коробова, обвиняемого в совершении преступления по ч.3 ст.183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую тайну). Согласно обвинительному заключению, зачитанному прокурором в ходе заседания, в марте 2015 года Дмитрий Коробов, еще работая в "Яндексе", "осуществил копирование с сервера "Яндекса" программного обеспечения "Аркадия", содержащего исходный код и алгоритмы поисковой системы "Яндекс", в отношении которого установлен режим коммерческой тайны, на съемный носитель информации с целью последующей передачи третьим лицам". Источник, знакомый с ходом расследования, утверждает, что стоимость похищенных исходного кода и алгоритмов поиска оценили в "миллиарды рублей, что, по сути, представляет собой значительную часть стоимости "Яндекса", так как поисковик — основной сервис компании". Сотрудник юридического департамента "Яндекса" Анастасия Адилова в суде заявила: "Речь идет о программном обеспечении, которое составляет ключевую часть нашей компании, то есть это программное обеспечение относилось непосредственно к поисковой системе "Яндекс", которая является основным источником дохода компании, а потому наше руководство очень серьезно восприняло данный инцидент". Дмитрий Коробов предпринял действия по поиску желающих приобрести исходный код и алгоритмы, в частности, предлагал их компании ООО "Предприятие НИКС" (работает под брендом "НИКС — Компьютерный супермаркет") и в подтверждение своих намерений и возможности продажи направил на корпоративный почтовый ящик этой компании часть программного обеспечения "Аркадия", говорится в обвинительном заключении. Источник добавляет, что Дмитрий Коробов пытался продать похищенную интеллектуальную собственность на черном рынке: в даркнете и на специализированных хакерских форумах, для доступа к которым использовал Tor, где привлек к себе внимание сотрудников ФСБ. В обвинительном заключении говорится, что за похищенную интеллектуальную собственность Дмитрий Коробов установил цену $25 тыс. и 250 тыс. руб., затем назвал покупателю дату и место ее передачи, а в назначенное время был задержан органами УФСБ России по Москве и Московской области. Суд признал Дмитрия Коробова виновным и назначил ему наказание в виде двух лет условного срока.
Источник


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru