В Далласе (США) открылся первый Всемирный саммит по вопросам кибербезопасности. В его работе принимают участие 400 делегатов более чем из тридцати стран. Мероприятие организовано научным институтом EastWest.

"Мы живём в тревожное время, — заявил на торжественном обеде помощник замминистра национальной безопасности США Филипп Рейтинджер. — Если мы позволим себе колебаться, то заработаем серьезную головную боль".

Майкл Делл, генеральный директор американского компьютерного гиганта Dell, отметил, что главная проблема, которую следует решить в первую очередь, заключается в способности киберпреступников с легкостью заметать следы. "Существует огромное количество "плохих мальчиков", которые могут оставаться полностью анонимными, — подчеркнул Делл. — Можете ли вы вспомнить какую-нибудь надежную систему, в которой людям позволено действовать анонимно? Это важный вопрос и для властей, и для общества. Я думаю, в конечном счете, если вы сохраняете анонимность участников системы, которая становится критически важной для инфраструктуры, бизнеса и всего остального, — это очень плохо".

Не показывая ни на кого пальцем, Делл добавил, что страны, которые не займутся этими вопросами вплотную, могут оказаться менее привлекательными для ведения бизнеса.

"Нынешний Интернет не имеет требующегося сегодня уровня безопасности, — подытожил Филипп Рейтинджер. — Впрочем, давайте не будем демонизировать высокие технологии. Подавляющее большинство пользователей — хорошие люд ... Читать дальше »

Верховный федеральный суд ФРГ признал законным поиск Google по картинкам, отклонив тем самым иск художницы из Веймара, которая утверждала, что результаты поиска, отображающие уменьшенные копии оригинальных изображений, нарушают ее авторские права.

Как говорится в решении суда, художница сама сделала содержание своего сайта доступным для поиска по ключевым словам, и Google должен был исходить из того, что она тем самым соглашается, чтобы ее картины были показаны в результатах поиска в виде уменьшенных копий более низкого разрешения.

Стоит отметить, что ранее суды низших инстанций не смогли вынести однозначного решения по этому вопросу, поэтому иск перешел на рассмотрение Верховного суда. В случае, если бы иск был удовлетворен, это означало бы, что Google ежедневно совершает миллионы нарушений, показывая в результатах поиска копии изображений, защищенных авторским правом.

На одном из русскоязычных форумов были выставлены на продажу полтора миллиона учетных записей Facebook. В качестве продавца аккаунтов выступил некий пользователь, зарестрированный под именем "kirllos".

Злоумышленник оценил стоимость тысячи учетных записей пользователей соцсети с 10 друзьями и меньше в 25 долларов. Аккаунты с более чем 10 контактами продаются по цене 45 долларов за тысячу.

По словам представителя iDefence, с помощью украденных у пользователей соцсети аккаунтов могут распространять спам и вредоносное ПО. Контактная информация, указанная пользователями Facebook при создании учетных записей, также может использоваться для взлома банковских счетов и других мошеннических финансовых операций.

Facebook не смог подтвердить точное количество украденных у пользователей учетных записей. Однако представитель соцсети Эндрю Нойес сообщил изданию, что соцсеть постоянно подвергается атакам извне. Нойес подчеркнул, что пользователи Facebook в случае кражи их учетных записей могут восстановить пароль и вернуть себе контроль над аккаунтом.

Одному из хакеров из команды Dev Team удалось портировать оперативную систему Google Android на коммуникатор iPhone первого поколения.

Хакер под ником Planetbeing использовал для взлома iPhone загрузчик OpeniBoot, которым в 2008 году был взломан коммуникатор на базе Linux 2.6. При запуске пользователь имеет возможность выбрать между операционными системами iPhone или Android. При загрузке операционной системы Android на экране появляются иконки и кнопка запуска меню, ставшие классическим рабочим столом Android.

Операционная система поддерживает работу различных программ. Например, Wi-Fi соединение, а также поиск в браузере и общение по Skype. Planetbeing пообещал в скором времени внедрить поддержку Adobe Flash в iPhone. По словам хакера, портирование операционной системы Android iPhone 3GS займет больше времени, чем на iPhone 3G. Также участник команды Dev Team выложил в интернете руководство по установке Android на iPhone для тех, кто захочет попробовать его установить.

Более 2 тыс. российских туристов не сумели вернуться из Китая в Россию из-за компьютерного вируса, который вывел из строя электронную пропускную систему.

Инцидент произошел на таможенном пункте города Хэйхэ на российско-китайской границе. Россиянам, которые не сумели попасть на российский берег реки Амур, пришлось ночевать в Китае, многим - прямо на улице.

В настоящее время все неполадки ликвидированы, однако на контрольно-пропускном пункте в Хэйхэ образовалась огромная очередь.

Города Благовещенск и Хэйхэ, между которыми действует безвизовый режим, разделяет река Амур, ширина которой в этом месте составляет около 800 м. Хэйхэ является территорией свободной торговли между Россией и Китаем.

Разработчики из швейцарской компании Dreamlab Technologies создали вторую версию устройства, позволяющего перехватывать данные с беспроводных устройств и систем. С помощью Keykeriki 2 можно перехватывать информацию с беспроводных клавиатур, пультов управления или медицинских аппаратов.

Первую версию своего устройства швейцарцы показывали еще несколько лет назад. Новая же версия прибора позволяет не только перехватывать данные с беспроводных устройств, но также и раздавать им собственные несанкционированные команды.

На конференции CanSecWest в Ванкувере главный специалист по безопасности компании Dreamlab Торстен Шредер продемонстрировал, как Keykeriki 2 можно использовать для атаки на беспроводные клавиатуры производства Microsoft.

В этих устройствах данные шифруются при помощи логической операции XOR, так что расшифровать их не составляет особого труда. В время демонстрации возможностей перехватчика данных Шредер смог перехватить нажатия клавиш и перенаправить команды на удаленный компьютер. По словам специалистов по безопасности, XOR – не самый лучший метод защищать данные.

Однако и устройства с более развитой защитой перехватчик умеет взламывать. Например, у специалистов Dreamlab Technologies пока не получилось перехватить данные устройств производства Logitech. Но в Dreamlab уверены, что это лишь вопрос времени.

Сотрудник Microsoft Research Кормак Херли полагает, что эксперты по компьютерной безопасности слишком многого требуют от пользователей, практически ничего не предлагая им взамен. Правил, которых нужно придерживаться пользователям, слишком много, но даже строгое следование всем советам экспертов не дает никаких гарантий — лишь снижает вероятность пострадать от действий злоумышленников.

Например, по мнению Херли, совет по периодической смене паролей на деле почти не имеет никакого смысла, потому что если ваш пароль попадёт в руки злоумышленнику, он вряд ли будет ждать, пока вы его смените.

Не так много толку и от создания "сильного" пароля (длинного, не из словаря, с цифрами и спецсимволами). Причина: многие веб-сервисы всё равно блокируют доступ после нескольких попыток подобрать пароль к аккаунту.

Также для рядового пользователя слишком сложны правила, позволяющие распознать фишинговые письма и сайты — и то не всегда пользователи могут наверняка сказать, что посетили стопроцентно настоящий сайт. Что до понимания SSL-сертификатов и предупреждений, которые выдаются о них браузерами, то это, опять-таки, слишком сложно, в то время как фишеры все равно практически не занимаются подделкой сертификатов.

Эксперт считает, что от пользователей для обеспечения приемлемой безопасности требуется слишком много — и будет требоваться еще больше с появлением новых ... Читать дальше »

Благодаря развитию Интернета, онлайн-платежи сегодня совсем не редкость. Однако при всем удобстве такой способ расчетов таит в себе серьезную опасность — похитить денежные средства в Сети порой не сложнее, чем украсть кошелек из открытой сумки. Персональные данные пользователя, необходимые для авторизации в платежных системах, злоумышленники могут раздобыть с помощью троянских программ, коих сегодня в глобальной сети огромное множество. На сегодняшний день одним из них является ZeuS.

ZeuS создан для кражи данных, необходимых пользователю для авторизации в платежных системах. Благодаря простоте конфигурации, этот зловред в одних только Соединенных Штатах заразил 3,6 миллиона компьютеров. Общемировая же статистика фактически не поддается исчислению. И это не удивительно.

Логин, пароль или сертификат соответствия легко становятся доступны троянцу: при посещении пользователем веб-страниц онлайн-банкинга или платежных систем ZeuS отслеживает ввод информации с клавиатуры, после чего отправляет ее злоумышленнику.

Однако наиболее интересный способ кражи персональных данных, реализованный в Zeus, выглядит иначе — при открытии сайта, адрес которого присутствует в файлах конфигурации ZeuS, троян меняет код страницы до того, как она появляется в браузере. Как правило, зловред добавляет новые поля для ввода секретных данных (таких как, PIN-код), которые после ввода п ... Читать дальше »

Независимые разработчики программного обеспечения обнаружили в ядре операционной системы Linux серьезную уязвимость, позволяющую нелегитимным пользователям получить полный контроль над открытой операционной системой.

Проблема кроется в ошибочном коде ядра, точнее в одном из нулевых указателей. Группа разработчиков ядра сообщила, что уязвимость может быть устранена только в предстоящем релизе ядра 2.6.32, что потенциально делает уязвимыми всех пользователей данной ОС. Однако коммерческие производители Linux, такие как Red Hat или Novell, уже выпустили обновления для ядер в своих дистрибутивах, поэтому пользователям соответствующих дистрибутивов, имеющих действующие подписки, рекомендуется как можно скорее скачать патч для ядра или обновленную версию ядра.

Как пояснили в компании Red Hat, уже закрывшей данный баг для RHEL4 и 5, уязвимость кроется в функции mmap_min_addr, где не реализована должным образом защита. В том случае, если ИТ-администратор лично компилирует ядро из исходных кодов, то данную функцию в принципе можно временно отключить, а когда выйдет новая версия ядра, перекомпилировать его.

Впервые о данной уязвимости было сообщено 22 октября, когда в компании GRsecurity сообщили о концептуальной уязвимости, позже стало очевидно, что уязвимость вполне практическая и может быть использована при помощи эксплоита.

Популярное приложение Quip позволяет пользователям iPhone бесплатно обмениваться фотографиями, не тратясь на дорогие MMS. Однако у халявы оказалась обратная сторона - реализован обмен был в отличном стиле, при каждой подобной операции фотография выкладывалась на веб-сервер, получая имя из всего лишь пяти случайных букв и цифр. Мало того, что эти адреса было элементарно подобрать, они еще и не были закрыты от поисковиков, так что их часть просто попала в гуглевский индекс. Собственно говоря, факт того, что фотографии передаются совершенно открыто, был известен уже несколько месяцев. Но никто на это не обращал особого внимания, пока пару дней назад эту информацию не опубликовали в очередной раз на reddit.com, снабдив на этот раз разжеванной инструкцией по вытаскиванию фото. Ну а дальше все пошло по нарастающей - разумеется, уже появился сайт с аккуратной подборкой обнаруженных фото, включая, мягко говоря, очень личные. Пока авторы программы срочно отрубили свои серверы, пообещав вернуться после исправления проблемы. Даже интересно, какая волна исков от разгневанных пользователей накроет их после этого.