Безопасность
22.02.07 Skype путает банковские счета со своими номерамиSwedbank порекомендовал своим клиентам, пользующимся онлайновым интерфейсом банка, удалить программу интернет-телефонии Skype со своих компьютеров. Причина этого — опасения угрозы, вызванной тем, что Skype реагирует на номера счетов как на номера учетной записи в сети интернет-телефонии.
В новой версии Skype — 3.0 — есть возможность трактовать номера банковских счетов как телефонные номера. Пользователь может установить специальный плагин к браузеру, который отображает последовательности цифр на веб-страницах как гиперссылки-телефонные номера. На эти номера можно позвонить одним кликом.
Таким образом, возникает потенциальная угроза безопасности: получатель ошибочного звонка может узнать, что у звонившего есть счет с соответствующим номером. Клиенты Swedbank, пользующиеся Skype, сообщили об этом в банк, и им было рекомендовано удалить программу интернет-телефонии со своих компьютеров.
Однако эксперты по информационной безопасности оценивают угрозу как незначительную. «Мне сложно представить, что пользователь будет бездумно тыкать мышкой в телефонные номера и звонить на них, не понимая, с кем его соединят, — говорит Алексей Раевский, генеральный директор SecurIT. — Кроме этого, зная только номер счета и не имея никакой другой информации о его владельце, очень сложно использовать это в незаконных целях. Поэтому вероятность реализации этой угрозы, на мой взгляд, очень мала».
Источник: linuxcenter.ru
22.02.07 В системе обнаружения вторжений Snort найдена брешьВ системе обнаружения вторжений Snort выявлена опасная уязвимость, используя которую, злоумышленники могут получить несанкционированный доступ к удаленным компьютерам.
Snort представляет собой пакет с открытым исходным кодом, использующийся в качестве основы многих коммерческих продуктов класса IDS. Система способна отслеживать попытки взлома в режиме постоянного наблюдения, информируя пользователя об атаках с помощью всплывающих окон. Сторонники Snort утверждают, что пакет обеспечивает более высокую надежность по сравнению с коммерческими решениями, поскольку его код доступен для анализа сторонним специалистам по вопросам безопасности. Это упрощает поиск и устранение возможных ошибок.
О новой дыре в Snort сообщили эксперты Internet Security Systems. Проблема связана с ошибкой переполнения буфера, возникающей при определенных условиях в предварительном обработчике (preprocessor) DCE/RPC. Используя уязвимость, нападающий может получить полный доступ к компьютеру и выполнить на нем произвольный вредоносный код.
Брешь присутствует в пакетах Snort версий 2.6.1, 2.6.1.1, 2.6.1.2 и 2.7.0 beta 1, Sourcefire Intrusion Sensors версий 4.1.x, 4.5.x и 4.6.x, а также Sourcefire Intrusion Sensor Software for Crossbeam версий 4.1.x, 4.5.x и 4.6.x. Пользователям названных программных продуктов настоятельно рекомендуется обновить систему Snort до версии 2.6.1.3, в которой ошибка отсутствует. Решить проблему также можно путем деактивации предварительного обработчика DCE/RPC, который включен по умолчанию. Во второй бета-версии Snort 2.7 разработчики обещают устранить уязвимость.
Источник: Компьюлента
22.02.07 В северной Европе начнутся продажи телефонного дверного звонкаНидерландская компания Waleli объявила о выходе на международный рынок со своей технологией GSM Doorbell, передающей сигнал от дверного звонка на мобильный телефон, работающий в сетях GSM. Первым рынком за пределами родной для компании страны станут страны северной Европы, сообщает официальный сайт Waleli.
GSM Doorbell состоит из интеркома, электронного замка, звонка, передающего сигнал по сети GSM, и модуля идентификации владельца (SIM) для телефона. Использование этой системы позволяет находящимся вне дома людям реагировать на звонки в собственную входную дверь, разговаривать с посетителями и открывать двери на расстоянии посредством сотового телефона.
Технология GSM Doorbell может быть полезна людям, ожидающим прибытия гостей, так как позволит дистанционно открывать двери прямо с рабочего места. Вдобавок, если пользователи системы забудут ключи дома, им не придётся дожидаться прихода сожителей и даже приезда спасателей.
Источник: Компьюлента
21.02.07 Закон "О персональных данных": причины провала26 января 2007 года вступил в силу ФЗ "О персональных данных". Однако приватные базы данных как лежали на прилавках, так и продолжают там оставаться. Изменил ли новый закон практику нелегального оборота персональных данных? Нет. Сможет ли он остановить очередные утечки? Вряд ли. По мнению экспертов, закон бессилен, поскольку его требования недостаточно конкретны.
В первую очередь отметим, что при беглом знакомстве требования ФЗ "О персональных данных" выглядят достаточно правильными и в некоторой степени даже убедительными. Так, в сферу действия этого нормативного акта попадают все юридические и физические лица, на попечении которых находятся приватные сведения других граждан. Новый закон требует, чтобы каждая организация, владеющая персональными данными своих сотрудников, клиентов, партнеров и т.д., обеспечила конфиденциальность всей этой информации. В случае нарушения положений закона компания может лишиться лицензии и подвергнуться судебному преследованию со стороны граждан, чьи приватные записи были скомпрометированы. Кроме того, виновные лица, нарушившие требования закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.
Чтобы посмотреть, насколько эффективным считают специалисты по ИТ-безопасности применение нового закона на практике, обратимся к результатам исследования компании InfoWatch "Защиты персональных данных по закону". В ходе этого проекта было опрошено 300 профессионалов в сфере защиты информации, каждый из которых получил возможность ознакомиться с требованиями ФЗ перед анкетированием. Как оказалось, по началу респонденты с большим энтузиазмом восприняли принятие нового закона. Так, практически все опрошенные специалисты (94%) убеждены, что России был просто необходим закон "О персональных данных". Против этой точки зрения выступили лишь 6%, из которых ровно половина (3%) сомневается в своем ответе.
Возможно, респондентам просто надоело находить свои персональные и особо чувствительные, например, финансовые сведения в общедоступных базах данных. Другими словами, проблема утечек и нелегальный оборот приватной информации стали больной мозолью общества. Именно поэтому принятие закона было встречено с радостью.
Требования к ИТ-безопасности
Руководителям организаций, специалистам в области ИТ и защиты информации следует ознакомиться с основными положениями нового ФЗ в сфере защиты персональных данных. Согласно ч.2 ст.5, "хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки", а "по достижении целей обработки или утраты необходимости в их достижении" чувствительная информация "подлежит уничтожению". Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, это является нарушением закона. Срок, в течение которого ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.
Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: "В случае если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности … и безопасности персональных данных при их обработке". Таким образом, на первый план выходит требование конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона. Согласно этой статье, "операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных". Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.
Однако особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор "обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных" от целого ряда угроз. Среди них закон выделяет "неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия". Как указывает Олег Смолий, главный специалист управления по обеспечению безопасности "Внешторгбанка", отсюда следует, что представителям бизнеса необходимо обеспечить мониторинг всех операций, которые внутренние нарушители осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.
Источник: CNews
21.02.07 В Швеции вводится закон, запрещающий DoS-атакиОрганизация распределённых DoS-атак в Швеции с 1 июня 2007 года может стать уголовно наказуемым преступлением. В настоящее время в этой стране нет специального закона, запрещающего подобные действия. В соответствие с опубликованным правительством Швеции планом поправок в существующий закон о киберпреступлениях организаторам DoS-атак будет грозить до двух лет тюремного заключения.
Летом 2006 года под действием DoS-атак из строя был введен сайт шведской полиции и правительства. Предполагается, что атака была вызвана действиями представителей правопорядка, направленными против сайта The Pirate Bay. Это происшествие было отнесено полицией как незаконные действия, но к настоящему времени никто не был привлечён к ответственности.
Новый закон сделает незаконным проведение DoS-атак в независимости от того, осуществлялись ли они вручную или роботами. Обвинителям придётся доказывать, что действия обвиняемых привели к выходу из строя систем жертвы атаки. Тайный сговор с целью организации DoS-атак также будет считаться уголовным преступлением, сообщает The Local.
В ноябре 2006 года в Великобритании получил королевское одобрение принятый парламентом законопроект Police and Justice Bill 2006, в котором к разряду уголовных преступлений отнесен умышленный вывод из строя любой компьютерной системы. В законе, в частности, предполагается заключение в тюрьму сроком на два года за предоставление программного обеспечения для осуществления DoS-атак, а также открытие доступа к бот-сетям.
Источник: Компьюлента