Безопасность
27.11.02 CD с секретными данными переписи населения продаются на рынкахОбещаниям властей в нашей стране верить нельзя - эта прописная истина в очередной раз напомнила о себе. Личные данные граждан, полученные в ходе одного из последних масштабных проектов государственного уровня - всероссийской переписи населения, обещали сделать конфиденциальными, однако, не получилось.
По сообщениям Госкомстата, предварительные данные переписи по Москве должны были появиться в ноябре сего года. Общественности обещали рассказать, сколько всего человек в Москве, сколько среди них мужчин, а сколько женщин. Более полная обработка данных требует большего отрезка времени. Однако, по данным "Финансовых Известий", уже сегодня на столичных компьютерных рынках предлагают диск с переписными данными по Москве за $150. После опроса населения все переписные листы были собраны в едином центре (отделении Госкомстата). Содержащиеся в них сведения занесли в компьютер, была создана общая база данных.
Как же эта база попала на диск? Возможны два варианта. Вариант первый. Созданную базу данных, засекреченную и зашифрованную (информация-то как-никак конфиденциальная), взламывает какой-нибудь хакер. Получив доступ к сведениям, он "скачивает" их на диск. Далее отдает этот диск в руки распространителей, которые с помощью обычного пишущего СД-рома делают копии Вариант второй. В Госкомстате нашелся "добрый" системный администратор, который отвечает за обработку данных. Ему не надо ничего взламывать, он и так имеет свободный доступ к информации. Именно сей "чиновник" и делает первую копию базы. Далее план действий тот же.
Таким же образом когда-то удалось заполучить на дисках базы ГИБДД, МГТС, ОВИР-ов, различных регистрационных палат, Таможни, МВД и даже ФСБ.
Источник: CNews
27.11.02 Последние патчи Microsoft не выполняют свои задачиВыпущенный на прошлой неделе компанией Microsoft патч обеспечивает неполную защиту пользователей, заявила на днях датская консультативная фирма по вопросам безопасности. Бюллетени N65 и 66, о которых идет речь, связаны с уязвимостями в ОС Windows и Internet Explorer, охарактеризованными как "критическая" и "важная" соответственно. В частности, N66 с патчем для IE версий 5 и 6 должен исправлять 6 определенных ошибок в браузере.
По заявлению представителей Microsoft, обновление с помощью этих патчей позволит исправить все известные на текущий момент ошибки в защите. Однако датская компания Secunia заявила о том, что обнаружила недостатки в обоих патчах. Сам Microsoft признался, что патч 65 может быть недостаточно эффективен, однако ничего не заявил про патч 66.
Хотя патч 65 предлагает комплексное решение, остается вероятность вредительства через веб-сайты и почтовые вложения в html-формате при автоматической загрузке средств управления ActiveX. Софтверный гигант предложил пользователям удалить его продукты из списка "надежных издателей" и проверять оригинальность ПО перед загрузкой. Ошибка в патче 66 оставляет возможность запускать исполняемые файлы на удаленном компьютере.
Secunia обнаружила недостатки при инсталляции и проверке патчей. Детали своих исследований компания изложила в опубликованных на ее сайте рекомендациях. Сам Microsoft до сих пор никак не прокомментировал заявление датчан.
Источник: CNews
26.11.02 Websense защитит пользователей Сети от "шпионских" программКомпания Websense Inc, предлагающая системы фильтрования веб-трафика, добавила в ассортимент услуг "защиту от шпионского ПО" - программ, которые незаметно отправляют компаниям-создателям информацию о работе пользователя в интернете. Шпионское ПО обычно устанавливается либо прямо с веб-сайта, либо является придатком к какой-нибудь бесплатной программе, загруженной из интернета. Такая информация затем используется в маркетинговых целях.
Категория "spyware" будет добавлена в фильтр Premium Group III, продающийся компанией по $5 за рабочее место. После того, как очередная "шпионская программа" пошлет информацию на сервер-сборщик, адрес этого сервера будет занесен в базу данных фильтра Premium Group III, и доступ к нему заблокируется.
Компания продемонстрировала серьезный вред "шпионских программ" на следующем примере: во время тестирования новой функции фильтра на 12 компьютерах в течение месяца была предотвращена отправка 340 мегабайт "шпионских данных".
Источник: CNews
26.11.02 Праздники принесут онлайновым мошенникам $300 млн.предпраздничный сезон распродаж онлайновые магазины США - от самых крупных, типа Amazon.com, до мелких - будут ограблены приблизительно на $285 млн., - пишет в своем ежегодном отчете компания CyberSource. В 2002 году индустрия электронной коммерции потеряла из-за мошенничеств 3% дохода, и даже такая именитая компания, как Amazon.com, "попала" на 2,5%.
Хотя в процентном соотношении это и немного, в денежном выражении набегает немалая сумма, которая будет расти по мере приближения католического Рождества - всего за первые две недели ноября 60% американских интернет-магазинов объявили о росте своих доходов на четверть в сравнении с аналогичным периодом прошлого года.
Согласно "Отчету о мошенничестве", составленному на основании проведенных опросов, две трети продавцов намерены защищать свои доходы, для чего они приняли более серьезные, чем в прошлом году, меры. 71% продавцов заявили CyberSource, что планируют использовать сервис подтверждения адреса владельца кредитки для сверки с адресом доставки заказа. Год назад такой сервис использовали только 46% опрошенных. Для того чтобы бороться с кражей баз данных кредитных карточек прямо с сервера, 59% (против 48% год назад) ввели у себя шифрование этой информации. Половина онлайновых магазинов позаботилась о найме специалистов по управлению рисками, которые периодически проверяют, не взломан ли сайт. Год назад таких специалистов держала на работе только четверть компаний.
Примечательно также, что магазины стали меньше бояться воров - доля тех, кто утверждает, что мошенничество с кредитными картами представляет "очень серьезную" или "серьезную" опасность, упала с 59% до 46%. Однако настораживает то, что, несмотря на все анонсированные меры, 29% респондентов заявили, что, по их мнению, в этом году им придется столкнуться с большим количеством жульничеств с кредитными картами, чем в 2001-м.
Опрос проводился для CyberSource компанией Mindwave Research из техасского города Остин. Он проходил со 2 по 9 октября и собрал 341 анкету (против 220 года назад), заполненную представителями компаний, занятых в сфере электронной коммерции.
Источник: CNews
25.11.02 В безопасности ПО с открытым кодом начали сомневатьсяБлагодаря нескольким серьезным уязвимостям и увеличения общего числа дыр, ПО с открытым кодом вполне может занять место Microsoft среди "неблагонадежных" систем. В опубликованном недавно отчете аналитиков Aberdeen Group, ПО с открытым кодом и дистрибутивы Linux названы "мальчиками для битья - 2002" по вопросам безопасности. Из 29 рекомендаций, выпущенных координационным центром CERT в питтсбургском университете Карнеги Меллона, 16 связаны с уязвимостями в открытом коде или Linux-продуктах, и лишь 7 - с продуктами Microsoft.
"ПО с открытым кодом стало теперь главным источником повышенной уязвимости в защите для покупателей информационных технологий, - говорится в отчете Aberdeen Group. - Теперь не Microsoft - мальчик для битья из-за дыр в защите, это звание переходит к открытому коду и Linux-продуктам".
Не заставили себя ждать и комментарии Microsoft. Как заявил вице-президент подразделения по вопросам безопасности Security Business Unit Майк Нэш (Mike Nash), этот отчет показал, что как промышленное производство компания уделяет большое внимание вопросам защиты. Главной целью в этой области является уверенность в том, что число возможных дыр в фирменном программном обеспечении, найденном сторонними экспертами, будет минимально. Однако еще один не менее важный вопрос - как быстро реагирует компания на эти находки.
Похоже, данные CERT разобьют общую уверенность в том, что ПО с открытым кодом более защищено, чем фирменные продукты. Приверженцы открытого кода считают, что их продукты более защищены благодаря тому, что большее количество специалистов занимается отладкой кода, выискивая в нем дыры и ошибки. Однако теперь в этой позиции можно усомниться.
Источник: CNews