Безопасность
30.05.02 Первый российский криптопровайдер на основе смарт-карт зарегистрирован в MicrosoftКриптопровайдер FTCGPK, разработанный компанией "Центр Финансовых Технологий" (ЦФТ), зарегистрирован компанией Microsoft. Таким образом, FTCGPK стал первым, основанным на смарт-картах российским криптопровайдером прошедшим регистрацию в Microsoft.
Новый продукт в первую очередь предназначен для использования в финансовых информационных системах - системах удаленного предоставления банковского сервиса, выставления счетов, системах электронной торговли, фондовых системах, а также для систем управления ресурсами предприятий, защиты электронной почты и прочих многочисленных приложений.
Технология, которую реализует FTCGPK, соответствует требованиям федерального закона "Об электронной цифровой подписи" в части, касающейся корпоративных информационных систем.
FTCGPK формирует и принимает сообщения в формате, соответствующем международным стандартам, что позволяет владельцу взаимодействовать как с пользователями FTCGPK, так и с пользователями средств защиты других производителей, например средств Microsoft.
Регистрация FTCGPK компанией Microsoft и соответствие его программного интерфейса спецификациям Microsoft CryptoAPI 2.0 позволит любым Windows приложениям использовать новый продукт для защиты информации, в том числе для защиты электронных документов электронной цифровой подписью и шифрованием, а также для защиты передаваемых через интернет данных по протоколу SSL.
Функционально FTCGPK соответствует криптопровайдеру производства Microsoft FULL RSA. Основное отличие состоит в том, что для создания криптографических ключей, подписи и расшифровывания данных используется специализированная смарт-карта GPK 1600 производства компании GemPlus, что позволяет предотвратить компрометацию секретных ключей владельца вредоносным программным обеспечением, а также в случае, если носитель ключей попал в руки злоумышленника.
Источник: CNews
29.05.02 S-mail перенес независимый аудитКомпания Network Research Lab (NR Lab), владелец S-Mail.com, сообщает о проведении независимого аудита безопасности своего сервиса защищенной электронной почты. В качестве эксперта выступил известный российский специалист в области безопасности электронных почтовых систем А.В. Комлин (A.V. Komlin).
По утверждению Network Research, аудит подтвердил основной принцип работы сервиса S-Mail.com: переписка действительно защищена, раскодирование и прочтение сторонними злоумышленниками текстов писем признано невозможным.
Экспертом были обнаружены непринципиальные ошибки в работе сервиса, которые были устранены в течение 3 часов после извещения. Данные уязвимости не позволяли получить доступ к паролю пользователя и его секретному ключу.
Источник: Компьюлента
29.05.02 КПК - легкая добыча для информационных грабителейКак показывает исследование, проведенное фирмой Pointsec, КПК - легкий путь для несанкционированного доступа к личной информации. Оказывается, люди очень часто оставляют свои секреты (и секреты своих компаний) без надлежащей защиты.
Так, например, каждый десятый британец хранит в КПК номер банковского счета, причем многие из них даже не защищают доступ к этому номеру паролем. На КПК, без соответствующей защиты хранят PIN-коды, пароли, номера счетов, кредитных карт икарт социального страхования.
Четверть людей, хранящих на КПК пароли и PIN'ы не защищают их паролем, 65% опрошенных не шифруют данные о банковском счете. 6% теряли в прошлом свой КПК, но около трети из них до сих пор не защищают новые машинки с помощью пароля.
Опрос, кстати, проводился среди IT-профессионалов, которые, казалось бы должны представлять, что такое информационная безопасность.
Источник: CNews
29.05.02 Российские компании объединяют усилия в борьбе с угрозами СетиЧетыре российских IT-компании - "ЛАНИТ", Aladdin Software Security, "Лаборатория Касперского", ASPLinux - объявили о старте нового системного проекта в сфере антивирусной защиты.
Главная цель проекта - предоставление заказчикам новых возможностей и решений для отражения вирусных атак как распространенных угроз информационной безопасности.
Повышение уровня информационной безопасности достигается за счет системной интеграции следующих продуктов: комплексной технологии антивирусной защиты eSafe, операционной системы Linux (представлена в России дистрибутивом ASPLinux 7.2) и антивирусных технологий от "Лаборатории Касперского".
Система eSafe Gateway/eSafe Mail в реальном времени сканирует трафик HTTP, SMTP и FTP, обнаруживает и нейтрализует возможные угрозы безопасности сети или пользователя. Продукты линии eSafe защищают от вирусных атак почтовые серверы SMTP, серверы групповой работы MS Exchange/Lotus Notes и в целом корпоративные сети (на уровне шлюзов Интернет).
Теперь пользователи eSafe могут встраивать в систему eSafe антивирусное ядро "Лаборатории Касперского". В свою очередь, пользователи eSafe в версии для ОС Linux получают возможность повысить уровень защищенности этой набирающей популярность операционной системы.
Пользователи eSafe Gateway/eSafe Mail могут приобрести эту систему и в аппаратно-программном исполнении э в комплекте со специализированной платформой eSafe Appliance.
Источник: CNews
29.05.02 Qwest устроила открытый доступ к счетам и кредитным карточкам своих клиентовКрупная телекоммуникационная компания из США Qwest Communications признала факт ошибки в системе доступа к счетам клиентов, из-за чего база была доступна всем желающим в течение недели, сообщает сайт информационной безопасности SecurityFocus.
Обычно клиенты услуг междугородной связи вводят для доступа к счету свой номер телефона или имя и PIN-код, или пароль. Некоторое время назад сайт стал игнорировать пароли. Кроме информации о состоянии счета, можно было посмотреть и данные о кредитной карточке. Сайт был закрыт для исправления ошибки только в прошлый четверг, хотя два пользователя утверждают, что сообщили о проблеме еще за неделю до этого. Возмутившись, они сообщили об этом еще и в электронную прессу. Но компания отрицает этот факт и сообщает, что устранила ошибку, как только узнала о ней. "Дыра" появилась после того, как Qwest изменила титульную страницу с соглашением об использовании услуг, через которую необходимо пройти для входа.
Кстати, один из пунктов соглашения гласит: "компания не несет ответственности за неавторизованный доступ к пользовательским счетам".
Источник: CNews