Закон против спама может его узаконить

В конце июня в Государственную думу поступил на рассмотрение закон против спама, который привлек к себе большое внимание интернет-общественности. Законопроект состоит из поправок к в федеральному закону "О рекламе", к Уголовному кодексу РФ и в кодексу РФ об административных правонарушениях. При удачной разработке законопроект может избавить интернетчиков от главной напасти - незапрашиваемой корреспонденции. Но уже через несколько недель, в середине июля, стало ясно, что разработка такого документа совсем не проста, и работа предстоит масштабная,сообщает Компьюлента. Многие недостатки законопроекта обсуждались на недавнем заседании Экспертного совета Комитета Государственной Думы по безопасности. В законе не упоминается механизм оценки масштабов рассылки и порядок отказа от получения писем, а эти пункты чрезвычайно важны. Так как основной идеей закона является запретить рассылки больше 1000 писем лицам, не отказавшимся от получения. Этот метод носит название opt-out, то есть пользователю посылаются письма до тех пор, пока он не откажется. Если закон легализирует такую схему, то практически будет узаконен спам, ведь как оценить деятельность "законных спаммеров" еще никто не знает. При разработке законопроекта не учли опыт западных стран, где схема opt-out была признана неэффективной для борьбы по спамом.Также были проигнорированы замечания экспертов, которые критиковали закон. В частности заместитель начальника управления информационной безопасности аппарата Совета Безопасности РФ Анатолий Стрельцов отметил, что в законопроекте не предусмотрен спам в виде объявлений частных лиц, открытых писем. Старший научный сотрудник Института государства и права РАН Ирина Богдановская также отметила недостатки законопроекта. В рамках обзора зарубежного законодательства, касающегося спама, она отметила, что попытка перенести зарубежные законы на российскую почву очевидна, но контекст зарубежного законодательства, откуда эти нормы были взяты, при этом не учитывался.

Юных хакеров могут выгнать из Оксфорда

Двум первокурсникам Оксфордского университета, проникшим в компьютерную систему университета и впоследствии опубликовавшим историю своих деяний в студенческой газете, грозит штраф в размере £500 либо исключение.

Первокурсники Патрик Фостер (Patrick Foster) и Роджер Уэйт (Roger Waite), взломавшие университетскую компьютерную систему, в свое оправдание утверждают, что намеревались лишь показать узкие места компьютерной системы. Им удалось добраться до материалов, содержащихся во внутренней закрытой сети университета, а также получить доступ к информации об использовании компьютера студентами. Затем они опубликовали рассказ о своем «подвиге» в студенческой газете Oxford Student.

По словам Фостера, бывшего редактора этой газеты, ему потребовалось всего несколько минут, чтобы добраться до закрытых данных. Для этого он использовал программу, которую легко раздобыть с помощью поисковой системы Google. Пытливые первокурсники смогли проникнуть в компьютерную сеть и получить доступ к системе видеокамер, установленных в одном из колледжей, входящих в состав университета. Этого им показалось мало. Хакеры добрались до паролей электронной почты других студентов и проверили, какие именно сайты они посещали.

Теперь «героям» не до шуток. Расследованием их деяний занимаются теперь и полиция, и университетское начальство.

«Каждым, кто будет уличен в нарушении университетских правил пользования компьютерами, займутся университетские кураторы, а его поступки будут расследованы, - заявила официальный представитель университета. – Каждым, кто совершит уголовно наказуемое деяние, займется управление полиции долины реки Темзы. Университетскому руководству известно, что подавляющее большинство студентов всецело одобряют предоставленный им режим свободного доступа к выдающимся компьютерным ресурсам и не намерены злоупотреблять им».

По мнению студентов, с ними обошлись излишне сурово за то, что, по их словам, они совершили «с наилучшими намерениями». Перед университетским начальством они полностью раскаялись в содеянном. В сентябре им предстоит предстать перед университетским судом общей юрисдикции, который может наложить на них штраф и исключить из университета.

Спам становится орудием преступников

Компьютерная преступность - в официальной статистике не значится

В 2003 г. 94% британских компаний имели инциденты, связанные с компьютерной безопасностью. В 91% из них – преднамеренные. Как сообщает газета Financial Times, такие данные приводятся в отчете о проблемах в сфере информационной безопасности, подготовленном британским министерством торговли и промышленности.

Отмечается, что за последние четыре года общее число инцидентов в этой области возросло в три раза. Быстрое развитие Интернета, которое вывело Британию на второе место в мире по удельному весу его пользователей, принесло, вместе с тем, значительные риски.

Средний размер ущерба от серьезных инцидентов с компьютерной безопасностью достигает 10 тысяч фунтов стерлингов. Для крупных компаний эта сумма уже равняется 120 тысячам. В отчете зарегистрирован случай с одной из фирм, которая понесла ущерб в размере 250 тысяч фунтов, вследствие кражи конфиденциальной информации.

Одной из информационно-технических опасностей для личности, общества и государства является новый класс социальных преступлений, основанных на использовании современной информационной технологии (махинации с электронными деньгами, компьютерное хулиганство и др.). Широкое распространение получили кредитные карточки, заменяющие обычные деньги. Их подделка, воровство с помощью ЭВМ приняли характер подлинного бедствия. Компании, особенно банки, пытаются скрыть факты компьютерного воровства, поскольку опасаются падения доверия вкладчиков, акционеров, партнеров. Поэтому в официальной статистике масштабы потерь почти не регистрируются. Да и жертвы часто не подозревают, что их обокрали. Эксперты полагают, что в США с помощью ЭВМ из банков похищают вчетверо больше, чем при вооруженных ограблениях. За последние 10 лет ежегодные потери возросли более чем в 20 раз и составляют десятки миллиардов долларов.


Подробнее : http://www.crime-research.ru/articles/Akhtirsk07

Биометрика: ошибка идентификации по отпечатку «пальчиков» минимальна, если их несколько

Компьютерные дактилоскопические системы достигли такого совершенства, что позволяют правильно идентифицировать человека по его отпечаткам пальцев более чем в 99% случаев. На конкурсе таких систем, проведенном национальным институтом стандартов и технологий США, выявилась тройка призеров.

Специалисты Национального института стандартов и технологий министерства торговли США (NIST) провели всестороннее тестирование 34 представленных на рынке систем идентификации по отпечаткам пальцев, разработанных 18 различными компаниями. Финансировалось исследование министерством юстиции США в рамках программы по интеграции систем идентификации по отпечаткам пальцев, используемых в ФБР и в министерстве внутренней безопасности США.

Для исследования характеристик систем использовался набор из 48105 наборов отпечатков пальцев, принадлежащих 25309 людям. Наилучшие (и примерно одинаковые) результаты показали системы, производимые японской компанией NEC, французской Sagem, а также американской Cogent.

Исследование показало, в частности, что процент ошибок для различных систем существенно зависел от того, по какому количеству отпечатков пальцев, взятых у конкретного человека, осуществлялась идентификация. Рекордный результат составил 98,6% при идентификации по одному отпечатку пальца, 99,6% - по двум, и 99,9% по четырем и более пальцам.

Билл Гейтс предупреждает об опасности открытых исходников для экономики

Из ядерной лаборатории в США пропали секретные документы

В США прекращены все секретные разработки в Национальной лаборатории в Лос-Аламосе - главном в стране центре исследований в области ядерных вооружений. Об этом сообщили сегодня представители лаборатории.

По их словам, работа над секретными проектами была временно прекращена после того как была обнаружена пропажа секретных данных из исследовательского центра.

На пресс-конференции представители лаборатории заявили, что пропажа двух электронных устройств, на которых была записана секретная информация, была обнаружена 7 июля в ходе инвентаризации. Никаких других подробностей о том, какого рода информация исчезла, они не сообщили.

"Information Security": оценка человеческого фактора в IT-Security

В одном из ближайших номеров журнала выйдет материал О. Чепикова "Безопасность и доверие". Вопросы безопасности информационных систем тесно связаны с понятием риска, которое означает степень вероятности реализации той или иной угрозы. Нельзя свести риск до нуля – это либо будет слишком дорого, либо вступит в противоречие с другими требованиями, например, к скорости или удобству работы. Практической задачей построения системы информационной безопасности является снижение рисков до приемлемого уровня.

Специалисты и разработчики прикладывают массу усилий, чтобы минимизировать дополнительные риски, связанные с проектированием, установкой и эксплуатацией самой системы информационной безопасности, и добиться возможности принимать решения, базируясь на некоторой методологии. Однако и при этом нельзя поручиться за 100% результат. Где гарантия, что продукты одной компании обеспечат более высокую степень защиты, чем продукты ее конкурентов? Или сотрудник, имеющий доступ к секретной информации, не передаст ее компании конкуренту? Важным фактором здесь оказывается доверие, механизмы которого мы зачастую бессознательно используем, принимая решение в сложной для нас ситуации.

Справки по тел.: (095) 251-6654, 251-6845, факс: (095) 251-3389, http://www.groteck.ru

Отказ в обслуживании в Novell BorderManager

Программа: Novell BorderManager Опасность: Cредняя Наличие эксплоита: Нет Описание: Отказ в обслуживании в Novell BorderManager в обработке VPN пакетов позволяет удаленному пользователю аварийно завершить работу VPN службы. Удаленный пользователь может послать специально обработанный ISAKMP пакет, чтобы аварийно завершить работу VPN сервера. URL производителя: http://support.novell.com/cgi-bin/search/searchtid.cgi?/10093576.htm Решение:Установите обновленную версию программы: http://support.novell.com/cgi-bin/search/searchtid.cgi?/2969251.htm

Несколько уязвимостей в 4D WebSTAR

Программа: 4D WebSTAR 5.3.2 более ранние версии Опасность: Критическая Наличие эксплоита: Нет Описание: Несколько уязвимостей обнаружено в 4D WebSTAR. Удаленный пользователь может получить root привилегии. Удаленный пользователь может просматривать некоторые директории и файлы на системе. Локальный пользователь может получить root привилегии. Переполнение буфера обнаружено в FTP сервере. Удаленный пользователь может представить специально обработанные FTP команды, чтобы вызвать стековое переполнение буфера и выполнить произвольный код с привилегиями Web сервера. Также сообщается, что удаленный пользователь может просмотреть содержание директорий, используя '/cgi-bin/ShellExample.cgi' типовой сценарий. Также удаленный пользователь может загрузить php.ini файл, в '/cgi-bin' и '/fcgi-bin' директориях. Эти файлы могут содержать пароль базы данных. Также сообщается, что уязвимость символьных ссылок позволяет локальному пользователю перезаписать файлы на целевой системе с привилегиями Web сервера. URL производителя:http://www.4d.com/products/webstar.html Решение: Установите обновленную версию программы (5.3.3): http://www.4d.com/products/downloads_4dws.html

Локальный DoS в Linux ядре в эквалайзере балансировки нагрузки для серийного сетевого интерфейса

Программа: Linux Kernel 2.6.7 Опасность: Средняя Наличие эксплоита: Нет Описание: Уязвимость в Linux ядре в эквалайзере балансировки нагрузки для последовательных сетевых интерфейсов. позволяет локальному пользователю аварийно завершить работу системы. Локальный пользователь может вызывать функцию eql_g_slave_cfg() и eql_s_slave_cfg() и представить не существующее имя slave устройства, чтобы аварийно завершить работу ядра. Уязвимость расположена в 'drivers/net/eql.c'. URL производителя:http://kernel.org/ Решение:Патч доступен тут: http://linux.bkbits.net:8080/linux-2.6/cset@40d4aa72hPLWy-jMLr0eJAXMxHcNZg

Межсайтовый скриптинг в Moodle

Программа: Moodle 1.3.2+ stable; 1.4 dev Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость в Moodle позволяет удаленному пользователю выполнить XSS нападение. Пример/Эксплоит: http://[target]/help.php?file={XSS} URL производителя:http://www.moodle.org/ Решение:Установите обновление через CVS: http://cvs.sourceforge.net/viewcvs.py/moodle/moodle/help.php

DoS в PureFTPd

Программа: PureFTPd до версии 1.0.19 Опасность: Наличие эксплоита: Нет Описание: Отказ в обслуживании в PureFTPd позволяет удаленному пользователю аварийно завершить работу FTP сервера. FTP сервер аварийно завершит свою работу, когда достигается максимальное количество подключений. URL производителя: http://www.pureftpd.org/ Решение:Установите новую версию программы (1.0.19): ftp://ftp.pureftpd.org/pub/pure-ftpd/