Новости:

Онлайновые банки не защищают клиентов

Джейн Уэйкфилд (Jane Wakefield ) и Уилл Найт (Will Knight), ZDNet UK

Онлайновые банки защитить клиентов не в состоянии. Такой вывод сделан в отчете Электронная коммерция: на кого ложится риск, связанный с мошенничеством, опубликованном в среду британским институтом Foundation for Information Policy Research. В отчете утверждается, что в контрактах на онлайновое банковское обслуживание есть пропечатанный мелким шрифтом пункт, который переносит бремя доказательства факта мошенничества на клиента. В контрактах, заключаемых с традиционными банками, такой пункт отсутствует.

Автор отчета Брайан Глэдман (Brian Gladman) поясняет: Допустим, кто-то украл ваши данные защиты. Вы поняли это в момент получения банковского отчета и пожаловались в свой онлайновый банк. В этом случае вы сами должны доказать, что не производили этой финансовой операции. Традиционные банки брали риск на себя, но теперь этот риск переносится на клиента. В качестве самых неблагополучных в этом плане банков Глэдман называет шотландский Egg, Smile the Royal Bank и банк Halifax.

Представительница Egg + онлайнового банка, учрежденного компанией Prudential, + сказала об отчете, что он вводит в заблуждение. Он учитывает лишь часть условий и обязательств. Если клиенты не могут доказать, что имело место мошенничество, они получают свои деньги назад, + утверждает она. Однако Глэдман настаивает на своем. В условиях и обязательствах Egg значится следующее: Вы отвечаете за любые действия, даже если они произведены не вами, если не предоставите свидетельства. Это написано черным по белому в договоре между банком и клиентом. Разве не очевидно, кто остается в выигрыше.

Банк Barclays, предоставляющий услуги в онлайне, отказался обсуждать с Глэдманом детали своих условий и обязательств, но заявил, что они те же, что и для обычных текущих счетов. Если мы решим, что поведение клиента не было беспечным, и если мошенничество не связано с его ошибкой, то у него нет причин для беспокойства. Он получит свои деньги назадe:, + заявила представительница Barclays.

Copyright (C) ZDNet

Nike обвиняет Network Solutions

Андрей Кононович

Компания Nike уверена, что именно Network Solutions виновата в краже ее домена Nike.com, которая состоялась 21 июня этого года. Группа хакеров под названием S-11, использовав технику, известную как "e-mail spoofing", сумела изменить регистрационные данные домена в базе NSI. При этом весь трафик с сайта Nike был перенаправлен на ничего не подозревающую хостинговую компанию FirstNET Online из Шотландии. Эта "бомбардировка" привела к значительному замедлению работы серверов хостера и ухудшению сервиса для клиентов.

Теперь, когда домен был возвращен законному владельцу (это произошло примерно через 12 часов после взлома), а напряжение немного улеглось, все пострадавшие решили обратиться в суд. FirstNET Online сначала попыталась выставить Nike счет за несанкционированное использование своих серверов. Когда это не удалось, компания подала иск, обвиняя Nike в недостаточном внимании к защите своего доменного имени. Nike, в свою очередь, "перевела стрелки" на NSI, считая, что именно прорехи в системе авторизации NSI привели к такому печальному исходу. Теперь стороны будут долго выяснять, кто прав, а кто виноват. Впрочем, FirstNET Online едва ли сможет отсудить хоть что-нибудь у Nike.

Copyright (C) Компьютерра

Интерпол собирается привлечь к борьбе с хакерами частную компанию

[www.usatoday.com] Интерпол, который, по всей видимости, не успевает справляться с быстро распространяющейся Internet-преступностью, сейчас рассматривает возможность привлечения к борьбе с хакерами частной компании AtomicTangerine из Калифорнии. Если подобный договор действительно будет оформлен, то это будет первый случай, когда международное полицейское агентство, каковым является Интерпол, станет сотрудничать с частной фирмой. AtomicTangerine - это консалтинговая фирма, которая отделилась от компании SRI International, ранее известной под названием Stanford Research Institute.

Инициатором подобного сотрудничества стала сама компания AtomicTangerine. Она предложила генеральному секретарю Интерпола Рэймонду Кендаллу (Raymond Kendall) создать систему "раннего оповещения", которая помогла бы частным компаниям защитить себя от кибератак. В свою очередь, информация, собранная частными компаниями о действиях хакеров, стала бы доступной для Интерпола.

По словам руководителя Интерпола, предложение AtomicTangerine представляется довольно интересным и своевременным, так как киберпреступность не знает границ, и правительствам отдельных стран уже трудно координировать свои усилия по борьбе с этим явлением. В самом Интерполе Internet-преступностью заняты сейчас 5-6 специалистов, а этого явно недостаточно.

В общем, к середине октября Интерпол должен рассмотреть все юридические и технические аспекты возможного сотрудничества с AtomicTangerine и решить, будет ли он привлекать к борьбе с международной преступностью частную фирму.

Представитель AtomicTangerine заявил, что они решили предложить свои услуги Интерполу, так как компания AtomicTangerine связана с одной из ведущих в мире исследовательских лабораторий Stanford Research Institute и имеет доступ к огромной базе данных об Internet-преступлениях за многие годы. Поэтому стать партнером Интерпола для AtomicTangerine было бы вполне логично.

Copyright (C) InfoArt

Пользователи Norton Antivirus нашли дыру в Windows 2000

Компания Symantec объявила о том, что на прошлой неделе некоторые пользователи ее антивирусного ПО Norton Antivirus, работающие на компьютерах с ОС Windows 2000 пережили несколько неприятных минут. Оказалось, что при запуске Norton Antivirus 2000 курсор мыши перестает двигаться, световые индикаторы клавиатуры гаснут, компьютер зависает, и его работоспособность восстанавливается только после перезагрузки. Причем во время тестирования специалисты Symantec не обнаружили такого эффекта. По просьбам пострадавших пользователей проблема была исправлена, как сообщается, за несколько часов. Обладатели Norton Antivirus 2000 уже могут загрузить соответствующую заплату через функцию Live Update.

Оказалось, что эта проблема возникала после обновления версии Norton Antivirus, в которой была усовершенствована работа ПО, определяющего тип программы, вызывающей скрипт, который может скрываться в файлах некоторых типов. В Windows некоторые виды данных, например, поток информации, передаваемой через последовательный порт, считаются файлами. Такие файлы фактически не имеют конца, поэтому Norton Antivirus сканировал их до бесконечности, чем и были вызваны зависания компьютера.

Пока неизвестно, существует ли такая проблема с другими версиями Windows или Norton Antivirus.

Copyright (C) InfoArt

Удаленный root в proftpd

Описание: Дырка похожая на аналогичную в WU, связана с использованием ввода пользователя в качестве форматной строки.

• Затронутые продукты: proftpd 1.2.0
• Оригинальный текст: lamagra, proftp advisory

Источник: BUGTRAQ
Copyright (C) Infection

Дырка в Razor

Описание: пароли администрирования хранятся в открытом начтение файле. При этом используется легко декодируемый алгоритм (битовое вращение).

• Затронутые продукты: Razor
• Оригинальный текст: Clifford, Shawn A, Recovering Passwords in Visible Systems' Razor
• Дополнительные файлы:
  • Razor passwd decoder (c)
  • Razor passwd decoder (Perl)

Источник: FREEBSD
Copyright (C) Infection

Дырка в CGI PollIt

Описание: Классическое сочетание дырок - обратный путь в директориях, "ядовитый 0" и др. приводят в к возможности доступа к любому файлу: /cgi-bin/pollit/Poll_It_SSI_v2.0.cgi?data_dir=/etc/passwd%00

• Затронутые продукты: Poll It 2.0
• Оригинальный текст: Adrian Daminato, Vulnerability in Poll_It cgi v2.0

Источник: BUGTRAQ
Copyright (C) Infection

3Com анонсировала систему безопасности Layer 3 для беспроводных локальных сетей

Компания 3Com представила первую систему защиты передачи данных в рамках беспроводных локальных сетей уровня Layer 3. Она предлагает более высокую степень защиты, чем современные Layer 2 решения. Новинка рассчитана на работу с сетевыми системами серии 3Com AirConnect. Она также поддерживает системы управления удаленным доступом, такие как RADIUS (Remote Authentication Dial-In User Service) и MPPE (Microsoft Point to Point Encryption).

Copyright (C) РосБизнесКонсалтинг

InterNap приобрела специалиста в области сетевой безопасности VPNX.com за $92 млн.

Компания InterNap Network Services сообщила о своe:м согласии приобрести VPNX.com - разработчика программного обеспечения в области Интернет-безопасности. По условиям сделки, акционеры VPNX.com получат 2,3 млн. акций InterNap на общую сумму около $92 млн.
ПО компании VPNX.com служит для защиты передаваемой информации в так называемых "виртуальных частных сетях" (VPN) - сетях, образуемых посредством Интернет, но обеспечивающих простой механизм обмена информацией (как в локальных сетях).

Copyright (C) РосБизнесКонсалтинг

AOL и Netscape обвиняются в шпионаже за пользователями

В прошлую пятницу в окружном суде Нью-Йорка начался процесс против AOL и Netscape. Кристофер Спечт, права которого отстаивает Abbey, Gardy & Squitieri, подал иск, в котором утверждается, что AOL нелегально отслеживает действия пользователей Интернета, осуществляющих серфинг с помощью Netscape Communicator, в нарушение всех законов, которые гарантируют гражданам частную неприкосновенность при использовании электронных коммуникаций (в их числе - Electronic Communications Privacy Act). Истец требует фининсовой компенсации ущерба.

Согласно иску, программа SmartDownload, которая распространяется среди пользователей AOL в пакете Netscape Communicator, тайно отслеживает и транслирует в службы Netscape данные о скачивании пользователями файлов .exe и .zip. Специально внедряемые cookies, которые остаются на компьютерах пользователей при посещении сайтов, идентифицируют программное обеспечение, получаемое этим способом. Таким образом, AOL и Netscape получает информацию о популярности различных программ в среде своих пользователей. Ни AOL, ни Netscape пока не комментировали эту ситуацию.

В отсутствие четких законов о защите прав личности в Интернете, количество частных исков подобного характера в Штатах все увеличивается. В недавнем скандале даже правительственные сайты обвинялись в сборе персональной информации о пользователях с помощью cookies.

Copyright (C) РосБизнесКонсалтинг

Сколько Вы знаете о защите и взломах в Интернет ?

Второй тура закончен ! Скринсейверы просим больше не присылать !
Полный список победителей:

1. Edward Maljavin - edd@sumz.uralnet.ru
2. Dmitry Andrejchuk - D.Andrejchuk@VAZ.RU
3. Maksimov Maksim - maksim@tts.tomsk.su
4. sse - sse@dalchem.khv.ru
5. DeWiL - dewil@dwl.org.ru
6. Juriy Synoptics - j_screep@mail.ru
7. Vadim Gazizov - free@baltnet.ru
8. Zemlanovsky Valeriy aka MA[3D]OG - maddog0@inbox.ru
9. Бешкильцева Ольга Владимировна - OKominova@svrw.ru
10. Alien Ufo ibk@nyagan.wsnet.ru
11. Andrey Sudakov - andy@econ.dcn-asu.ru
12. Oleg Titov - oleg@dsi.ru
13. Dmitry Gaikovoy fidel@ICL.kazan.RU
14. Andrew V. Kustov - vip@ucapital.ru
15. Evgeny Eruslanov - Jean@avp.ru
16. Eugen Shlapakov - eugensh@belinform.com
17. Chimkinov Sanal J. - sana@egf.tsure.ru
18. Edouard Ter-Minasyan - cat@Robert.YerPhI.AM
19. Соркин Александр Александрович - kibizoid@mail.ru
20. Anton Plokhotnyuk - anton@psbst.ru

После 20 победителей подсчет правильных скринсейверов был приостановлен, так как нужное количество людей набрано. Те, кто прислал правильные ответы но позже - опоздал.

Итого: прошедших тест 1120 человек, победителей - 20.

Победители получат первый номер журнала Inroad в течение месяца с момента его выхода из печати. Для этого нужно каждому, кто указан выше, прислать свои точные координаты ИФО, страна, город, a/я и тд. по адресу psy@kulichki.rambler.ru с обязательным заголовком в теме "Победитель 2 тура - координаты" !

Внимание ! Тем, кто победил и в 1 и во 2 туре свои координаты присылать _НЕ_ надо - они у нас уже есть. Присылают только "новички".

В игре будет 5 этапов - 5 тестов, сложность которых будет постепенно повышатся. Однако все ответы на вопросы можно найти в рассылке Inroad - нужно только уметь правильно читать ;-) В каждом этапе определяется от 15 до 20 победителей, которые смогли прислать наивысшие результаты в течении 48 часов с момента выхода рассылки (по техническим вопросам см. ниже). В конце будет подведен итог из 3 главных призов.

3 тур не за горами, а пока рекомендуем посмотреть на свою личность с точки зрения психологии и пройти психологические тесты на сайте "Пси-корпус" - http://kulichki.rambler.ru/psy

Russian Security Newsline:

Обзор RSN Forum за 6 июля.
/HackZone.Ru/RSN Forum 7.07.2000 01:22:02/:

Ошибка в libedit для reeBSD.
В Razor пароли администрирования хранятся в открытом файле, да ещe: используют легко декодируемый алгоритм.
Примеры декодировщиков пароля на C и Perl( DcD).
D.o.S. -аттака на LocalWEB HTTP Server 1.2.0.
XFree for Linux создаe:т '*.so' файлы в /tmp c предсказуемыми именами .

Ведущий ( A.V.Komlin).

Cпонсор: Доступный РЕМОНТ PDA, Notebook и PC

Обновлен сервер "Проекта - Inroad"

Приглашаем к сотрудничеству авторов материалов и
информационных сайтов компьютерной тематики.

Весь архив рассылки на CityCat

 

Беспроводный доступ в Интернет
предоставлен  фирмой  InterStrada