Как стать автором
Обновить

Leopard появился в торрентах

IT-компании
Бета-версия Mac OS X Leopard с недавней конференции WWDC успела появиться на сайте Oink, приватном BitTorrent-трекере, который помимо музыки содержит бóльшую часть ПО для операционной системы от Apple. Появление бета-версии Leopard по существу новостью назвать нельзя — это происходит с каждой тестовой сборкой. Но данная бета с WWDC имеет номер 9A466 и является практически окончательным вариантом новой операционной системы. Apple прикладывала большие усилия, чтобы данная сборка не «утекла» в Сеть, однако, Leopard оказался в интернете.

Данный Torrent-файл после шумихи по поводу утечки был удалён администрацией Oink, но его вскоре загрузили снова. Теперь бета-версия Leopard появилась во многих публичных BitTorrent-трекерах, как The Pirate Bay. Да что там The Pirate Bay — Leopard уже появился на NNM.ru!

via TechCrunch.
Всего голосов 38: ↑33 и ↓5 +28
Просмотры 272
Комментарии 48

Сеть отелей Рэдиссон взломали

Информационная безопасность *
Неприятное известие ожидает клиентов сети отелей Рэдиссон. В распространенном администрацией письме за подписью директора по операционной деятельности Фредерика Коралуса, говорится о том, что компьютерная сеть отелей была взломана в период с ноября 2008 по май 2009. Были украдены данные о кредитных и дебетовых банковских карточках. В сообщении не говорится о масштабе трагедии — не названо ни приблизительное число пострадавших, ни объем потерянной информации, ни ни конкретные отели. Известно, что сейчас сеть Рэдиссон насчитывает порядка 400 гостиниц в 65 странах мира.
Всего голосов 34: ↑29 и ↓5 +24
Просмотры 623
Комментарии 22

Утечки и законы. Кто виноват?

Информационная безопасность *
Уже высказано много эмоций по поводу виновности относительно недавних утечек.

Однако давайте быстренько разберемся, как на все это можно посмотреть с точки зрения закона.

Для примера возьмем случай, когда утекли именно полные паспортные данные (например, из базы РЖД), ибо под это легче всего подвести законодательную базу.
Читать дальше →
Всего голосов 93: ↑65 и ↓28 +37
Просмотры 3.3K
Комментарии 213

Google сохраняет в кэше ссылки на «удаленные» и скрытые фото пользователей ВКонтакте

Информационная безопасность *
Здравствуй, %username%!

Череда утечек персональных данных сподвигла меня к более подробному изучению этого вопроса.

Если с robots.txt всё понятно, то как же быть с секретными GET параметрами? Холиварящие в комментариях разделились на две группы: одни утверждают, что в GET никогда и ни при каких обстоятельствах нельзя передавать конфиденциальных данных, другие, что поисковики не должны индексировать ссылки, полученные от баров и систем статистики. Думаю, что правы и те, и те, однако, существует еще один вариант: прямая ссылка была, потом исчезла. Должна ли страница удаляться из индекса? Если страница существует — да, если не существует — нет. Ответ очевиден, но не для всех российских вебмастеров.
Под катом много картинок
Всего голосов 220: ↑196 и ↓24 +172
Просмотры 195K
Комментарии 160

«Рунет сегодня», 5 сентября 2011 года. Эксперты: Николай Евдокимов, Антон Мажирин

Чулан
В студии «Финам FM» — основатель портала Free-lance.ru Антон Мажирин и руководитель проекта SeoPult Николай Евдокимов. Вместе с ведущим, Максимом Спиридоновым, они обсуждают финансовые результаты Mail.ru Group за первую половину текущего года, возможное наказание виновных за июльскую утечку приватной информации покупателей из интернет-магазинов в поисковики, открытие нового бизнес-инкубатора в Рунете, запуск авторизации в сервисах «Яндекса» через сторонние сайты, замедление выхода PayPal на российский рынок и перспективы частичной продажи бизнеса компании SUP Media.
Читать дальше →
Всего голосов 9: ↑3 и ↓6 -3
Просмотры 267
Комментарии 1

Персональные данные 1,6 млн абонентов МТС в открытом доступе

Информационная безопасность *
В открытом доступе в сети Интернет оказались персональные данные данные 1,6 миллиона абонентов МТС в Башкирии и Санкт-Петербурге — имена, фамилии, адреса и номера телефонов.

База данных, опубликованная в свободном доступе на сайте zhiltsy.net, содержит имена, фамилии и телефоны абонентов МТС, а в некоторых случаях их паспортные данные и адреса. Обнаруживший информацию о себе на указанном сайте Федор Пономарев 23 октября написал по этому поводу жалобу в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Пономарев так же рассказал журналистам, что ссылка на этот сайт пришла к нему через спам-рассылку в соцсети «ВКонтакте». В базе он нашел свой старый уже несколько лет неиспользуемый номер и действительные номера своих знакомых.
Интересные подробности
Всего голосов 124: ↑86 и ↓38 +48
Просмотры 104K
Комментарии 111

Госслужбы будут распространять дезинформацию, чтобы вычислить инсайдеров

Информационная безопасность *
Среди новых проектов, которые получили финансирование американского военного агентства DARPA, обнаружилась интересная разработка от компании Allure Security Technology под замысловатым названием «Обнаружение аномалий в различном масштабе» (Anomaly Detection At Multiple Scales), сокращённо — ADAMS.

Система ADAMS направлена на борьбу с утечками секретных документами, которые потом попадают в открытый доступ (например, на сайте Wikileaks). По мнению разработчиков, пример Wikileaks демонстрирует «новую системную угрозу просачивания и массового раскрытия государственной конфиденциальной информации». Противопоставить ей предлагают «техники и механизмы для идентификации опасных инсайдеров внутри организации путём применения автоматически сгенерированной правдоподобной дезинформации и современных систем сетевого мониторинга, таких как Data Leakage Prevention (DLP)».
Читать дальше →
Всего голосов 25: ↑15 и ↓10 +5
Просмотры 916
Комментарии 17

Отчет ФБР о криптовалюте Биткойн

Информационная безопасность *Платежные системы *


Федеральное бюро расследований США обеспокоено потенциалом отмывания денег и другой криминальной деятельности в анонимной платежной системе Биткойн. Таковы выводы, которые можно сделать, ознакомившись с появившимся на этой неделе в сети документом под названием «Виртуальная валюта Биткойн: уникальные особенности представляют отдельные затруднения сдерживания незаконной деятельности» (Bitcoin Virtual Currency: Unique Features Present Distinct Challenges for Deterring Illicit Activity).

Опубликованный 24-ого апреля отчет не засекречен, но помечен как документ исключительно для официального использования, и 9-ого мая произошла его утечка в Интернет. В документе показаны не только оценки системы, но и непреднамеренно описаны советы пользователям криптовалюты, следуя которым они могут оставаться более анонимными.

Читать дальше →
Всего голосов 85: ↑76 и ↓9 +67
Просмотры 13K
Комментарии 32

DLP Lite – легче уже некуда

Информационная безопасность *
Из песочницы
Системы DLP (Data Leak Prevention) бывают разные.
Для специалиста по информационной безопасности основных критериев выбора, как известно, всего два: функциональность продукта и его стоимость. Стоимость DLP-системы чаще всего прямо пропорциональна ее возможностям, хотя так бывает и не всегда.

Что же касается набора возможностей DLP-систем, то принято выделять следующие три «класса функциональности»:
Enterprise DLP – эти системы осуществляют мониторинг и контроль широчайшего перечня возможных каналов утечки данных. Вендоры, разрабатывающие такие системы, у всех на слуху: Symantec, McAfee, Websense, etc. Именно они штурмуют правый верхний квадрант Gartner'а.
Channel DLP – эти системы уже менее функциональны, и в первую очередь – за счет своей «узкой специализации». Примером здесь может служить DLP-система, которая контролирует данные, передаваемые только по электронной почте. Иногда функции DLP такого класса встраиваются в другие продукты (в почтовый сервер, если следовать тому же примеру).
DLP-lite – эти системы выделились в отдельный класс относительно недавно, и представляют собой совсем легкие продукты (читай: утилиты). Основное их назначение – быстро развернуться в инфраструктуре и быстро решить несложную конкретную задачу.

В настоящей статье я хочу привести пример работы программного продукта, который как нельзя лучше подпадает под третий класс «сложности». Речь пойдет про DLP Lite производства американской компании STEALTHbits Technologies. Продукт этот абсолютно бесплатен и решает одну-единственную задачу: ищет в расположенных на диске файлах чувствительные sensitive данные.
Читать дальше →
Всего голосов 8: ↑5 и ↓3 +2
Просмотры 21K
Комментарии 8

Утечка. Tegra4 ChromeOS устройство с кодовым именем PUPPY обнаружилось в исходниках ОС. Упоминается Android

Google Chrome
image
В исходниках ChromeOS, было обнаружено упоминание о Tegra4 устройстве, с кодовым именем PUPPY. О чем свидетельствует данный фрагмент:
puppy: Add bct ebuild

This includes cfg files for generating a bct that works with T114 dalmore

Но самое интересное, что анализ кода энтузиастом с chromestory.com, привел к еще более интересной строчке:
CROS_WORKON_SUBDIR=”android-files”
Читать дальше →
Всего голосов 26: ↑20 и ↓6 +14
Просмотры 17K
Комментарии 20

Evernote вероятно был взломан

Информационная безопасность *
По информации из официального блога Evernote, взломщикам вероятно удалось получить доступ к некоторым данным пользователей:
Вместе с тем расследование показало, что у неизвестных лиц была возможность получить доступ к пользовательским данным, включая имена пользователей и адреса электронной почты, к которым были привязаны аккаунты Evernote и зашифрованные пароли. Несмотря на то, что информация о паролях оказалась доступной, обратите внимание, что все хранящиеся в Evernote пароли защищены односторонним шифрованием (говоря техническим языком, они хешированы с солью).
На данный момент, разработчики принудительно инициировали процедуру сброса паролей, поэтому не удивляйтесь, если ваш клиент просит ввести пароль.
Всего голосов 45: ↑36 и ↓9 +27
Просмотры 20K
Комментарии 36

Двойные стандарты в шифровании учетных записей

Информационная безопасность *Криптография *
Из песочницы
image
Думаю каждый, кто хоть немного интересовался информационной безопасностью, да и просто периодически читает про события в сфере IT, встречал новости, что очередная компания или интернет-сервис были взломаны, и у них были украдены учетные записи пользователей, куда обычно входят электронные адреса, пароли, номера кредитных карт, как зовут вашего домашнего питомца и многое другое (далеко ходить за примером не нужно, в октябре этого года Adobe «поделилась» базой на 130-150 миллионов учетных записей). И хорошо еще, если сервис позаботился о хешировании паролей хотя бы без применения соли, в таком случае можно надеяться, что если злоумышленники захотят воспользоваться украденным, то им придется приложить некоторые усилия для этого.

Но достаточно продолжительное время меня удивляло другое — почему в большинстве случаев хешируются лишь пароли, почему такое пренебрежение к другим важным данным пользователя, как электронные адреса или номера кредитных карт?

Эта статья не претендует на открытие в сфере безопасности и, вероятно, будет содержать неточности и домыслы. Это скорее мысли вслух о проблеме защиты данных и случаях их утечки.
Читать дальше →
Всего голосов 24: ↑12 и ↓12 0
Просмотры 7.4K
Комментарии 17

Произошла утечка данных 4,6 млн пользователей мессенджера Snapchat

Информационная безопасность *Мессенджеры *


Телефонные номера и юзернеймы более 4,6 млн пользователей фотомессенджера Snapchat были выложены в открытый доступ, пишет The Verge. На специально запущенном сайте SnapchatDB (на момент публикации сайт уже не открывался) опубликованы два файла — SQL-дамп и CSV-текст — в которых указаны номера и юзернеймы, а также географическое месторасположение пользователей.

Авторы сайта скрыли две последние цифры номеров, чтобы «минимизировать спам и злоупотребления», но в то же время они говорят, что к ним можно обращаться за полной версией базы данных, которую они могут передать исследователям безопасности или юристам.
Читать дальше →
Всего голосов 55: ↑52 и ↓3 +49
Просмотры 22K
Комментарии 8

Snapchat подтвердил утечку данных своих пользователей, но не извинился

Информационная безопасность *Мессенджеры *
image

Snapchat назвал недавнюю утечку юзернеймов и телефонных номеров 4,6 млн своих пользователей «злоупотреблением» API сервиса. В то же время компания фактически признала, что её способ хранения информации сделал возможным использовать базу номеров для определения имён пользователей и их сопоставления с номерами, пишет TechCrunch.

Как заявил Snapchat, в приложения и в сам сервис будут внесены дополнительные изменения для того, чтобы предотвратить будущие утечки. В том числе будет добавлена возможность отказаться от функции поиска друзей, которая использует номера телефонов.
Читать дальше →
Всего голосов 40: ↑33 и ↓7 +26
Просмотры 14K
Комментарии 11

Беспечное отношение к данным: сколько стоит ваш бэкап?

Блог компании Acronis
Привет, хабр. Ответьте себе на один простой вопрос: давно ли вы в последний раз делали резервную копию данных своего компьютера? На Хабре, конечно, отношение “забэкапленных” пользователей и “незабэкапленных” чуть отличается от среднего по миру (в лучшую, разумеется, сторону), но всё равно показатель далёк даже от 50%. Так что вопрос “давно ли вы делали бэкап”, скорее, риторический: хорошо если встроенные в ОС средства восстановления после сбоев были настроены и занимались каким-то своим резервным копированием, полный бэкап всех критических, чувствительных или просто важных данных делают всё ещё очень и очень редко. И это при копеечной стоимости (и внушительных объёмах) современных жёстких дисков.

Image #2073660, 70.1 KB

Почему пользователи беспечно относятся к своим данным? Ответ, на самом деле, простой:
Читать дальше →
Всего голосов 44: ↑28 и ↓16 +12
Просмотры 28K
Комментарии 76

Утечка пользовательских данных в QIWI

Информационная безопасность *
Из песочницы


Вкратце, существует возможность собрать огромное количество данных о платежах по выставленным счетам, произведённых в системе. Эти данные включают в себя назначение платежа, описание, сумму. И самое главное: номер мобильного телефона плательщика, который, в некоторых случаях, по совместительству, является логином в кошельке. В описаниях же обычно доступна и иная информация, которая не должна быть достоянием общественности, как и всё ранее упомянутое.
Подробности
Всего голосов 71: ↑65 и ↓6 +59
Просмотры 40K
Комментарии 39

Google судят за невыдачу данных о юзере

Законодательство в IT
Банк Rocky Mountain из Вайоминга (США) подал в суд на компанию Google, требуя выдать личные данные об одном пользователе Gmail. Дело в том, что банк по ошибке выслал на адрес этого пользователя конфиденциальные данные о своих клиентах. Компрометированными оказались 1325 юридических и физических лиц, а в отправленных файлах были их имена, адреса, номера УНН и социального страхования, а также полное кредитное досье на каждого из них.

Как написано исковом заявлении (PDF), инцидент произошёл в августе 2009 года, а виноват в этом один из сотрудников банка. Отвечая на письмо одного из клиентов банка, он приаттачил к письму абсолютно секретные документы, а потом ещё и отправил их по неправильному адресу. Работник сразу же обнаружил ошибку и «попытался отозвать письмо», но безуспешно.
Читать дальше →
Всего голосов 106: ↑104 и ↓2 +102
Просмотры 1.2K
Комментарии 144

Утечка «Панамских документов»: новая реальность?

Блог компании Varonis Systems
Recovery mode
Перевод
Киберпреступность стала настолько ожидаемым и нормальным явлением, что при освещении в средствах массовой информации утечки Panama Papers едва упоминается провал юридической фирмы Mossack Fonseca, которая не защитила самые ценные и чувствительные активы: файлы и электронные письма, которые идентифицируют клиентов и их операции. Новая неделя, новый провал.

В новом докладе PwC говорится, что киберпреступность вот-вот станет экономическим преступлением №1 среди компаний в США, превзойдя «вековое незаконное присвоение активов» или кражу денег. Исследование PwC также показало, что только 40 процентов систем запрашивают информацию о состоянии данных чаще, чем один раз в год, предполагая сбои в управления.
Читать дальше →
Всего голосов 15: ↑8 и ↓7 +1
Просмотры 2.5K
Комментарии 5

Анализ поведения пользователя (User Behaviour Analytics). Как здесь может помочь Varonis?

Блог компании Varonis Systems
В современном мире серьезную угрозу информационной безопасности представляют утечки данных, которые происходят в результате случайных или преднамеренных действий самих пользователей информационных систем. Большинство утечек – это, так называемые «неструктурированные данные», то есть данные, которые созданы и используются самими пользователями и хранятся на файловых серверах или в почтовых ящиках пользователей. Таким образом, разумно было бы начать анализ состояния информационной безопасности изнутри, предположив, что потенциальный или уже действующий нарушитель уже находится внутри локальной сети. И чтобы понять, где возможна потенциальная утечка, необходимо выявить наличие конфиденциальных данных на файловом сервере и понять, кто имеет к ним доступ, и кто пользуется ими чаще всего. Кроме того, также следует выявить пользователей, которые не должны иметь доступ к конфиденциальной информации, потому что либо не пользуется этими данными, либо использует их очень редко.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 4.7K
Комментарии 0