Безопасность
09.02.02 Выпущено обновление утилиты telnet для дистрибутивов Red Hat 6.2-7.1Компания Red Hat выпустила обновление для собственных дистрибутивов на базе операционной системы Linux, версий 5.2, 6.2, 7.0 и 7.1. Обвновление содержит новую версию утилиты telnet, в которой решена проблема с безопасностью.
Как сообщают в компании Red Hat, версия telnet, имеющаяся в поставке данных дистрибутивов, подвержена ошибке переполнения буфера, с использованием которой существует возможность для локальных пользователей получить права root. Всем пользователям данных дистрибутивов рекомендуется обновить версию программы.
Источник: Компьюлента
09.02.02 Между государственными учреждениями в Москве будет проложена компьютерная сеть.На открытии конференции "Информационная безопасность России в условиях глобального информационного общества" генеральный директор ФАПСИ Владимир Матюхин объявил, что все находящиеся в Москве министерства и ведомства будут объединены в единую компьютерную сеть. Как сообщает РИА "Новости", будет налажена связь между 28 министерствами и ведомствами, а также офисами полномочных представителей президента в регионах.
Матюхин cчитает, что такая сеть позволит упростить работу чиновников и защитит информацию, которая хранится в настоящее время на бумаге и в обычных персональных компьютерах на рабочих местах. По его словам, в настоящее время в Доме правительства "уже заложена основа системы защищенного электронного документооборота". Планируется создать внутренний и внешний документооборот, с различными степенями защиты от проникновения постронних пользователей в министерские сети, сообщил Матюхин. Основой нового электронного принципа межминистерского документооборота, сказал лн, станет цифровая подпись, закон о которой уже подписан президентом.
Источник: Компьюлента
09.02.02 Sardonix проанализирует код программ с открытыми исходниками на безопасность.Правительственное агентство DARPA (Defense Advanced Research Project Agency) созадала инициативу Sardonix Audit Portal, цель которой анализировать код и повысить частоту анализа кода одних программистов другими.
Главный специалист по науке компании WireX Communications Криспин Коуэн (Crispin Cowan), занимающейся созданием безопасных Linux-систем, и соучредитель Sardonix, считает, что "аудит программ проводится куда менее тщательно, чем об этом думают люди. Ядро Linux, возможно, подвергается приличному аудиту, а вот браузер Mozilla уже нет. Но все это догадки, и их надо проверить".
Дыры в безопасности ПО, вызванные недостатком анализа кода - беда не только открытых систем. После обращения в прошлом месяце Билла Гейтса (Bill Gates) к сотрудникам Microsoft с призывом сосредоточиться на безопасности выпускаемых программ, руководители компании заявляют, что в течение 3-4 недель разработчики будут обучаться технике безопасного программирования и аудита существующего кода.
Подобная инициатива в обществе открытых исходников существует уже в течение нескольких лет. В 1998 году разработчики Linux начали проект Linux Security Audit Project, призванный собрать экспертов для анализа ПО с открытым кодом и поиска ошибок, но было проанализировано очень малое количество кода, а список рассылки проекта очень быстро сошелся к постоянному обсуждению дел с безопасностью в Linux.
Потенциал программ с открытым кодом как максимально безопасных еще не реализован. Преимущество открытого кода состоит в том, что много людей может взглянуть и проанализировать его, но в реальности этого не происходит.
Сегодня г-жа Коуэн и DARPA надеются, что Sardonix поможет Linux и сообществу открытого ПО переориентироваться в сторону лучшей безопасности. Сайт Sardonix содержит списки приложений, которые были и которые еще не были подвергнуты аудиту. Кроме этого, сайт содержит ссылки на утилиты, которые могут быть использованы для поиска ошибок в коде и помочь в написании более безопасного кода. И наконец, г-жа Коуэн собирается создать рейтинг программистов-анализаторов кода на основании того, как хорошо они выполняют эту работу.
Однако другие специалисты по безопасности считают, что данная инициатива хороша только в теории. Любой код определенно выиграет, если квалифицированный обозреватель взглянет на него. Ключевым же словом в этом предложении является "квалифицированный". Хотя код открытого приложения может быть проанализирован большим количеством людей, чем, скажем, продукт от Microsoft, немногие из этих людей будут иметь хоть какое-то представление о безопасном программировании.
Основатель проекта OpenBSD Тео де Раадт (Theo de Raadt) считает, что процесс разработки Linux имеет проблемы, которые не решатся анализом кода. По его словам, "в области безопасности Linux страдает некоторыми болезнями". Особенности в кодировании низкого уровня вырастают до неконтролируемых размеров, почти до уровня Microsoft, и это делает сложным контроль качества.
Основные библиотеки, используемые программистами, также не подвергаются должному аудиту, и лидеры проектов не всегда принимают во внимание технологии безопасности.
DARPA поддерживает большое количество проектов, связанных с безопасностью открытых систем. В июле было выделено $1,2 млн. на проект по обеспечению дополнительных средств безопасности в FreeBSD. Было также поддержано 11 других проектов, включая Sardonix Audit Portal.
Как часть соглашения с DARPA, WireX выпустит также два программных продукта для сообщества ПО с открытыми исходниками: StackGuard - добавка к стандартному компилятору C, позволяющая создавать программы, устойчивые к переполнению буфера, и OpenBIND - новый сервер DNS. Появление последней программы объясняют тем, что создатели самого популярного на сегодняшний день сервера DNS - BIND - приняли решение менее открыто обсуждать аспекты безопасности.
Источник: CNews
09.02.02 "ДиалогНаука" предсказывает большое будущее резидентным вирусамКомпания "Сонгор Телеком", поставщик устройств Maximus USB Drive в России и странах СНГ, и производитель антивирусных программ "ДиалогНаука" начинают совместную акцию. Продаваемые на территории России устройства Maximus будут комплектоваться трехмесячной лицензией на Антивирус Doctor Web.
По истечении срока действия лицензии, пользователи могут продлить подписку и приобрести годовой абонемент на Антивирус Doctor Web с 30% скидкой.
Еще несколько лет назад главными "средствами доставки" вирусом являлись
преимущественно обычные floppy-дискеты, в настоящее время значительное число
вирусов ориентируется на электронную почту, интернет-пейджеры и т.д. Однако, по-мнению представителей компании "ДиалогНаука", широкое распространение доступных по цене портативных носителей информации большой емкости, те же USB Drive, например, заставит "вновь вспомнить" о вирусах, которые перемещаются с компьютера на компьютер не по электронным каналам, а, как выразился генеральный директор "ДиалогНауки" Сергей Антимонов, "в наших карманах и портфелях".
Как сообщили в компании, буквально в день подписания контракта стало известно о том, что редакция журнала "Virus Bulletin" провела в феврале сравнительное тестирование антивирусных программ и присвоила "Doctor Web" первое место.
Стоит также отметить, что аналогичное соглашение неделю назад было заключено между "Лабораторией Касперского" и U.S. Robotics - в течение первого полугодия модемы U.S. Robotics будут комплектоваться шестимесячной лицензией на "Антивирус Касперского".
Источник: Компьюлента
09.02.02 Управление "Р" раскрывает секреты.Об оперативниках подразделений по борьбе с преступлениями в сфере высоких технологий - пресловутых "управлений "Р" - ходит множество легенд. По данным "Независимой газеты", кто-то утверждает, что на них работает чуть ли не половина российских хакеров, кто-то подозревает "оперов" в прослушивании всех и вся, кто-то утверждает, что никто из них не платит за свои мобильные телефоны и Интернет.
Подтвердить или опровергнуть эти слухи могут только сами сотрудники Управления "Р". И лучше многих это может сделать человек, прослуживший в "компьютерной контрразведке" почти 20 лет, - начальник Управления по борьбе с преступлениями в сфере высоких технологий ГУВД Москвы Дмитрий Чепчугов.
По его словам, многие считают, что Управление "Р" было образовано год-два назад. Это не так, служба была создана еще в 1983 году. В то время, конечно, еще не существовало понятие "компьютерная преступность", и поэтому служба не была правоохранительным органом в полном понимании этого смысла, а являлась своего рода спецподразделением, обеспечивающим собственную безопасность органов МВД СССР и его подразделений от посягательств извне. Уже тогда, говорит Дмитрий Чепчугов, "мы ощущали, что преступность пытается проникнуть в наши ряды. Совместно с чекистами мы обнаруживали такие попытки. Кроме того, мы защищали наши системы связи и телекоммуникаций от вторжения радиохулиганов. Борьба с радиохулиганством в 80-е годы была очень серьезным этапом нашей работы. Сегодня подобного явления практически нет, и в этом наша заслуга".
Отвечая на вопрос о букве "Р" в наименовании подразделения, его начальник объясняет, что она "досталась нам в наследство еще с того времени, когда мы были не правоохранительным органом, а внутренним подразделением МВД". Ошибается тот, кто полагает, что "Р" - это радиоразведка. Просто существовала номенклатура, и именно эта буква "выпала" данному подразделению. А когда в 1997 году был принят новый кодекс, в котором появился целый параграф, посвященный компьютерным преступлениям, когда увидели свет статьи конституционного раздела, которые защищают права граждан и юридических лиц на защиту собственной информации от подслушивания, просматривания, банковскую тайну, - естественно, встал вопрос, кто этим будет заниматься. По словам Дмитрия Чепчугова, "наша служба была к этому уже готова. И на нас возложили функцию настоящего правоохранительного органа. Сегодня мы как субъект оперативно-розыскной деятельности структурно входим в систему службы криминальной милиции, так же как, например, уголовный розыск".
Род занятий сотрудников Управления за годы существования данной службы изменился радикально. Ранее его сотрудники в первую очередь должны были быть толковыми техническими специалистами, то есть людьми, которые прекрасно владеют техникой, с определенными оперативными познаниями. Сегодня, по словам Дмитрия Чепчугова, "на первое место встал Его Величество Закон. Сейчас наш личный состав - это прежде всего оперативные работники, люди с большим опытом розыскной работы. И, конечно, они прекрасно разбираются в тонкостях своего участка работы - либо компьютерной техники, либо радиоэлектроники".
При этом ни одно учебное заведение ни готовит специалистов для работы в Управлении "Р". Из вузов выходят прекрасные технические специалисты в области защиты информации, но Управление занимается в первую очередь раскрытием преступлений, и его сотрудник обязан быть еще и хорошим оперативником - хотя бы для того, чтобы можно было вести с противником разговор на равных, а еще лучше - быть на голову выше него, ведь на той стороне не только талант юных дарований, но и очень большие деньги.
Рассказывая об успехах Управления "Р", Дмитрий Чепчугов поведал об уникальном преступлении - своего рода новшестве в криминальном мире. Несколько юношей от 16 до 20 лет создали свой интернет-магазин, в котором торговали, по сути, воздухом. А командовал ими опытный мошенник: он ничего не понимал в высоких технологиях, но зато гениально выдумывал криминальные схемы. Эта группа разделилась на три части: одни продавали рейтинговые обзоры российского леса, другие занимались взломом кредитных карточек по всему миру, а третья группа специализировалась на обналичивании денег. Работа по раскрытию этого преступления была необычной: требовались постоянные круглосуточные контакты с представителями правоохранительных органов США, Канады, Англии и Франции. По словам Дмитрия Чепчугова, "мошенники предполагали, что использование Интернета сделает их практически невидимыми, но это иллюзия. Сеть только кажется непрозрачной - на самом деле она весьма упорядочена. В итоге группу задержали, почти все деньги - несколько сотен тысяч долларов - были возвращены".
Источник: CNews