Безопасность
27.07.04 В Samba найдены две уязвимостиНедавно в сервере обмена данными между Linux- и Windows-машинами, Samba некоторых версий из ветвей 2 и 3 были обнаружены уязвимости, связанные с ошибкой переполнения буфера. Первая уязвимость кроется в превышении границы данных при расшифровке информации, закодированной в base64, во время обработки запроса на HTTP-аутентификацию. Ошибка найдена в версиях 3.0.2 и 3.0.4, и для ее устранения рекомендуестя перейти на версию 3.0.5. Вторая уязвимость связана с дополнительными настройками Sambа, при изменении которых становится возможно переполнение буфера. Уязвимы версии 3.0.0, 3.0.4 и 2.2.9 с измененной конфигурацией. С настройками по умолчанию проблема не проявляется.
Источник: Компьюлента
27.07.04 В США обсуждают новый законопроект о конфиденциальности электронной почтыАмериканские законодатели приступили к рассмотрению нового законопроекта, регламентирующего доступ к электронной переписке, сообщает Infoworld.. Законопроект был внесен на рассмотрение Палаты представителей Конгресса США Джеем Инсли. Предложенный им законопроект о конфиденциальности электронной почты запрещает чтение чужой электронной корреспонденции без санкции суда. Это касается, в том числе, и перехвата и анализа корреспонденции в режиме реального времени.
В случае провайдеров доступ к тексту электронных писем будет разрешен только в той степени, которая необходима для предоставления услуги. То есть, сервер сможет заглянуть внутрь письма, чтобы узнать адрес получателя или проверить письмо на принадлежность к спаму. Использование же текста письма для других целей будет запрещено. В настоящее время американские законы не регламентируют доступа к текстам электронных писем.
По этой причине в конце июня апелляционный суд удовлетворил жалобу адвокатов Брэдфорда Каунселмена - руководителя компании Interloc, занимавшейся размещением объявлений о продаже редких книг и предоставлявшей букинистам бесплатные почтовые адреса. В свое время Каунселмен дал указание создать программу для чтения почты, которой пользователи его обмениваются с компанией Amazon, владеющей крупнейшим книжным магазином в Сети. За эти действия на Каунселмена подали в суд, который удовлетворил иск. Однако апелляционный суд это решение отклонил, так как действия Каунселмена формально не нарушали законов США.
Источник: Компьюлента
24.07.04 C октября Microsoft начнет проверять подлинность отправителей электронных писемКомпания Microsoft намерена ввести обязательную проверку подлинности отправителей для все почты, приходящей на поддерживаемые компанией почтовые адреса. Это не только корпоративные адреса в домене microsoft.com, но и почтовые ящики пользователей MSN и бесплатной почтовой службы MSN Hotmail. Проверка подлинности отправителя будет вестись с помощью технологии Sender ID.
Sender ID позволяет установить подлинность отправителя путем сопоставления IP-адреса, с которого было отправлено письмо, с IP-адресом, соответствующим домену, в котором находится заявленный адрес отправителя. Письма с поддельными адресами в этом случае можно будет отбросить.
Чтобы обеспечить беспрепятственное прохождение почты на свои адреса, Microsoft рекомендует всем провайдерам электронной почты реализовать обеспечить поддержку Sender ID до конца сентября. Впрочем, письма с серверов без поддержки Sender ID не будут отбрасываться. Однако, в отличие от писем с Sender ID, им придется проходить через фильтры спама, основанные на статистических алгоритмах. Sender ID уже поддерживают некоторые почтовые службы. В частности, недавно о поддержке Sender ID объявила компания "Яндекс".
Источник: Компьюлента
23.07.04 Обнаружена дыра в GmailВ начале июля на сайте SecurityTracker появилась информация об уязвимости в почтовой службе Gmail. Эта система, напомним, была создана компанией Google и спровоцировала настоящую революцию на рынке бесплатной электронной почты. Практически все поставщики подобных сервисов начали увеличивать объемы почтовых ящиков (в Gmail почтовый ящик имеет объем в 1 Гб) и вносить другие усовершенствования. В настоящее время Gmail находится на стадии бета-тестирования, и завести ящик можно только по приглашению от другого тестера или сотрудника Google.
Именно с процессом регистрации почтового ящика и связана обнаруженная уязвимость. В ходе процедуры регистрации пользователь имеет возможность проверить занятость выбранного имени ящика. Однако, если данная функция используется очень интенсивно скрипт может дать ошибку и показать пользователю данные другого человека, который также решил проверить доступность адреса на Gmail. Никаких конфиденциальных данных в этом случае не разглашается - по ошибке можно увидеть только чужой логин (тот самый, который подвергался проверке) и имя с фамилией. которые также требуется указать при регистрации.
Источник: Компьюлента
23.07.04 В России изловили троих хакеров-шантажистовРоссийские правоохранительные органы арестовали троих хакеров, подозреваемых в проведении атак и шантаже нескольких британских букмекерских контор. Расследование проводилось российским МВД совместно с подразделением британской полиции по борьбе с преступлениями в сфере высоких технологий (NHTCU). Следственные мероприятия проводились в трех городах: Санкт-Петербурге, Саратове и Ставрополе.
Как сообщает издание The Register, злоумышленники действовали по следующей схеме. Вначале они организовывали DoS-атаки на сайты букмекерских контор, практически выводя их из строя. Затем хакеры обращались к владельцам контор с требованием заплатить за прекращение атак. Таким способом хакеры выудили у своих жертв несколько десятков тысяч фунтов стерлингов.
Расследование инцидентов с букмекерскими конторами было начато еще в прошлом году - первые жалобы на атакие появились прошлой осенью. В декабре в связи с расследованием были арестованы десять жителей Риги, а теперь удалось добраться и до российских участников преступной группы.
Источник: Компьюлента