Информационная безопасность *

Властям штата Вермонт (США) был предложен законопроект, предусматривающий ответственность за онлайновые издевательства (появился даже термин — cyberbullying). Его инициатором стал некий Джон Хэллиган (John Halligan). Его сына-восьмиклассника Райана довели до самоубийства одноклассники, отправляя ему мгновенные сообщения, в которых называли мальчика геем.

Джон Хэллиган уверен, что ответственность за кибер-издевательства должна быть введена во всей стране. Однако чиновники от образования считают, что это явление нельзя побороть никакими законами.

via Wired

Китайские хакеры – главная угроза национальной системе управления войсками США. Об этом сообщил представитель Naval Network Warfare Command – организации, ответственной за сетевое управление американского ВМФ.

По его словам, китайские умельцы «атакуют всё, что только можно». При этом атаки производятся для похищения секретной информации (в частности, о том, какие исследования проводятся в США) и для создания «плацдармов» для будущих атак. «Сложно поверить, что эти атаки не связаны с властями Китая», — заявили в Netwarcomm.

Шведским хакерам, планирующим DDoS-атаки, следует поторопиться сделать это до 1 июня — именно с этого дня в стране будет введена уголовная ответственность за данный вид компьютерных преступлений, пишет сайт The Local.

Согласно поправкам, которые планируется внести в уже существующие законы (не предусматривающие наказания за компьютерную атаку, направленную на отказ в обслуживании), злоумышленники, реализовавшие DDoS-нападение, смогут вполне реально присесть за решётку на срок до двух лет.

Где курильщик — там и открытая дверь. Тотальный запрет на курение в офисах заставляет зависимых от никотина компьютерщиков бегать на улицу. Заднюю дверь оставляют открытой для них. По мнению британских специалистов, социальные хакеры могут использовать эту «дыру».

За последний месяц я от нескольких моих контактов в ICQ получил сообщение следующего содержания: «Оцени плиз мой новый сайт — www.counter-pr.info». И все, контакт сразу исчезает из онлайна. Попытки задать вопрос, а о чем это, успехов не принесли — контакты молчали. Заинтересовавшись этим феноменом, решил погуглить. Результаты более чем интересные…

Хотя в США по-прежнему обеспокоены по поводу Real ID Act касающийся создания внутреннего идентификатора для стандартизации водительских прав, Китай уже создал крупнейшую онлайновую базу идентификаторов граждан, который по мнению правительства позволит предотвращать случаи мошенничества.

На сайте The Inquirer появилась информация о том, что интернет-телефон Skype якобы тайно занимается тем, что читает BIOS пользовательской машины и извлекает оттуда номер материнской платы. Вся эта история началась ещё в декабре, и вот уже около двух месяцев Skype получает в своё распоряжение всё новые серийники материнских плат пользователей.

Сбором этой информации занимается программа, разработанная в EasyBits Software и используемая с целью управления плагинами для Skype. В составе функционала, предлагаемого EasyBits, имеются DRM-функции, предупреждающие незаконное использование и распространение плагинов для Skype. По этой причине Skype 3.0 и проверяет настройки BIOS на компьютерах пользователей. Считывание серийного номера позволяет EasyBits быстро идентифицировать компьютер, на котором установлено программное обеспечение Skype. Впрочем, в четверг Skype выпустила новую версию программы — Skype 3.0.0.216, которая уже не проверяет настройки пользовательских машин.

Сами работники Skype считают, что никакого криминала тут нет, пишет Viruslist.com. «Это вполне нормально — смотреть на индикаторы, которые уникальным образом идентифицируют платформу. В считывании параметров BIOS нет ничего тайного», — написано в официальном блоге компании.

Бюджет США на 2008 год будет ориентирован на информационную безопасность. Об этом заявили представителя президента страны Джорджа Буша, пишет InfoWorld.

Из $65,5 млрд. $31,4 млрд. получит Министерство обороны, $5,6 млрд. — Министерство здравоохранения, $4,1 млрд. — Министерство национальной безопасности.

В ходе пресс-конференции, посвящённой этому событию, также был упомянут жёсткий диск, содержащий личные данные о 26,5 млн. военных ветеранов и членов их семей и украденный из дома одного из работников Министерства по делам ветеранов. Кроме того, известно, что за последние пять лет сотрудники различных госструктур потеряли несколько тысяч ноутбуков с секретной информацией.

Специалисты из компании Microsoft выпустили «заплатку» для браузера Internet Explorer, в которой обновлён модуль антифишинговой защиты.

Обновление заключалось в том, чтобы при просмотре веб-страниц, содержащих несколько фреймов, модуль защиты от фишинга не занимался определением уровня безопасности для одной и той же страницы по несколько раз (что приводило к чрезмерному потреблению ресурсов процессора и замедлению работы системы).

Ознакомиться с проблемой подробнее можно в блоге MSDN.

Основатель Microsoft Билл Гейтс (Bill Gates) считает, что пароли являются слабым звеном в цепи компьютерной безопасности. В об этом он в очередной раз заявил на конференции RSA в Сан-Франциско.

По мнению Билла Гейтса, пароли, вводимые пользователем вручную, должны быть заменены на смарт-карты и другие средства аутентификации. Например, в Windows Vista добавлен CardSpace — «кошелек», предоставляющий пользователю возможность использования виртуальных карт сетевой идентификации. Аналогичная программа для использования на предприятиях называется Identity Lifecycle Manager 2007 и будет выпущена в мае нынешнего года, пишет CNet.

Ругать безопасность Windows и хвалить Linux — это уже как речевой штамп. Никто уже особо и не задумывается, почему это происходит, поскольку классическое «Microsoft suxx» как бы объясняет все и сразу.

Но добрый человек Richard Stiennon подошел к этому более серьезно. На примере одной и той же несложной задачи — отдача веб-сервером HTML-страницы с картинкой — он построил карту системных вызовов.

Верховный суд Германии вынес необычное (и вместе с тем историческое) решение, запретив работникам полиции устанавливать на компьютеры подозреваемых в тех или иных преступлениях программы-шпионы без их, подозреваемых, ведома.

В качестве аргумента суд привёл такую аналогию: поиск чего-либо на пользовательском компьютере равносилен обыску дома, для которого необходимо иметь ордер. Кроме того, в Германии является незаконным взлом компьютеров и прослушивание телефонных разговоров, пишет InfoWorld.

20-летний Сами Камкар (Samy Kamkar) был приговорён к трём годам условно, трём месяцам общественных работ и выплате штрафа за создание вируса (приводится описание), позволившего ему обмануть JavaScript-фильтры сайта MySpace и добавить в друзья около миллиона пользователей.

Кроме того, юноше, признавшему себя виновным, запрещено пользоваться интернетом в личных целях. Сам Камкар заявил, что написал вирус для забавы, а сайт никакого ущерба не понёс, пишет SC Magazine.

Интересный глюк сегодня выловили в «Яндекс.Ленте». Оказывается, этот аггрегатор блогов некорректно обрабатывал фиды, из-за чего вы могли увидеть чужие пароли к Livejournal.

Суть проблемы в том, что некоторые юзеры при подписке на фид в «Яндекс.Ленте» вводят свой пароль прямо в URL (чтобы видеть в «Ленте» подзамочные записи из «ЖЖ»). Если вы потом захотите подписать на тот же фид и введете его нормальный URL, то «Яндекс.Лента» могла выдать на экран URL с чужим паролем, как видно на скриншоте (внизу).

Известнейший криптолог, автор бестселлеров по криптологии, разработчик шифров Blowfish и Twofish, начал интересоваться человеческой психологией. Брюс Шнайер считает, что для создания хороших систем компьютерной безопасности нужно изучить мозг хомо сапиенс, особенно тщательно — неокортекс и миндалину.

В минувший вторник голландский суд приговорил к тюремному заключению двух хакеров, организовавших сеть типа «ботнет», состоящую из нескольких миллионов компьютеров. Злоумышленники, молодые люди 20 и 28 лет, собирали личные данные пользователей, чтобы затем использовать их eBay и PayPal-аккаунты для совершения онлайновых покупок.

Одному хакеру дали два года, второму — 18 месяцев. Оба они уже «отмотали» свои сроки в ходе предварительного заключения, поэтому их выпустят на свободу. Кроме того, им придётся заплатить весьма символические штрафы в размере 4 тыс. и 9 тыс. евро, пишет CNet.

Специалисты полагают, что такая мера наказания является слишком мягкой. Эксперты считают «ботнеты» самой главной угрозой интернету.

Компания Microsoft оповестила пользователей о новой уязвимости типа «zero-day» в редакторе Microsoft Word 2000.

Уязвимость позволяет злоумышленнику выполнять произвольный программный код на атакованной машине. Жертве достаточно открыть специальным образом отформатированный DOC-файл, который некорректно обрабатывается текстовым редактором, после чего хакер получает полный доступ к системе. В минувшую пятницу об уязвимости сообщила компания Secunia, присвоив ей статус «экстремально критической». На сайте Microsoft ошибка уже описана, хотя компания старается преуменьшить опасность этой дыры.

В обсуждении недавно опубликованной мною ccылки на поиск по коду, сожержащему пароли доступа к MySQL базам промелькнула ещё одна интересная ссылка.


Некто Джонни оказывается ведёт целый каталог подобных ссылок, именуемый Google Hacking Database (GHDB). Там же представлена книжка по использованию возможностей Google. Просто праздник какой-то :)

Знаете ли вы, что radmin версий до 2.2 позволяет делать перебор паролей по сети со скоростью, ограниченной каналом и мощностью машины? Говорят, в 2.2 исправили, не проверял.

Знаете ли вы, что в radmin версий до 2.2 при авторизации по паролю, клиент передаёт на самом деле хэш пароля, который сервер хранит открытым в реестре, поэтому «подпатченный» клиент может соединяться по украденному ключу.

Знаете ли вы, что в radmin версии 2.1 (дальше не знаю) используется библиотека zlib с древней дырявой версией?

Знаете ли вы, что radmin пользуется собственными алгоритмами шифрования, чудесным образом совпадающими с Twofish?

Знаете ли вы, что реально существуют (и можно нарыть, чуток поискав) компоненты ActiveX, которые осуществляют перебор пароля radmin на произвольном количестве IP и проверку реестра компьютера на наличие хэша пароля radmin, на котором исполняются?

Знаете ли вы, что есть готовые perl-скрипты, осуществляющие перебор пароля к radmin?

Вот так вот.

Сегодня в ЖЖ во френдленте обнаружил интересную ссылку lang:php .... По этой ссылке можно увидеть результаты простого поискового запроса к Google'евскому поиску по коду.

То что искушённый читатель видит на экране, а видит он красивую таблицу различных логинов и паролей к базам данных MySQL (достаточно много ссылок работают), является ярким примером того, почему надо чётко разделять код и данные, и тем более настроечные данные. И чем именно плох php, не сам по себе, а тот стиль разработки, который он прививает у неискушённого программиста.

Перед комментарием проверьте, нет ли там пароля от Вашей базы? А то, возможно, ОНИ уже идут к Вам :)

P.S. Представляю, в каком объёме сейчас горе-разработчики переведут стрелок на возмутительное поведение поисковой машины.