Новости:

Премьер-министра Эстонии не уберегли от нападения хакеров

В понедельник премьер-министр Эстонии Март Лаар провел первую в истории страны виртуальную встречу с населением в режиме реального времени, которая была омрачена вмешательством неизвестных хакеров, сообщает радиостанция "Эхо Москвы".

Встреча была организована на веб-странице эстонской партии "Союз Отечества". По словам ее генерального секретаря Андреса Аммаса, фирма, обеспечивавшая поддержку страницы, не сумела добиться необходимой в таких случаях степени защищенности от постороннего вторжения.

В результате по окончании встречи Лаара с посетителями страницы неизвестные хакеры еще какое-то время распространяли от его имени вольные дополнения к его ответам, часть из которых даже успела попасть в СМИ.

В связи с этим пресс-секретарь главы правительства попросил всех журналистов отнестись с "повышенной критичностью" к ответам премьер-министра на вопросы жителей страны, помещенным в Интернете. Он также рекомендовал представителям СМИ при использовании информации, опубликованной под именем М.Лаара, перепроверять ее в пресс-службе или в правлении партии "Союз Отечества".

Copyright (C) Lenta.ru

Взломан сайт - echonet.ru

Не повезло сегодня "Эху Москвы". В разделе "Эхонет" первая страница выглядит непривычно: "СЛОМАЛ ЧЕПЧУГОВ.. тра-лялялялял-ляяляляля в натуре лялялялялллтраа а ляляляляля.. вот дураки ;o)"
Видимо, весь интеллектуальный запал хакер израсходовал на процесс взлома, на письмо не осталось.

Copyright (C) YTPO

Онлайновый банк подвергся атаке "отказ в обслуживании"

Сайт английского банка Св. Георгия, позволяющий клиентам совершать операции через интернет, 1 сентября подвергся атаке "отказ в обслуживании" (Denial-of-Service). Представители банка считают, что сбой произошел по причине внутренних проблем, хотя, возможно это была попытка скомпрометировать банковский интернет-сервис. Управляющий банка заявил, что сбоев в системе безопасности не было и информация о клиентах и счетах осталась нераскрытой. Происшествие расследуется властями и работниками банка. Банк смог справиться со всеми проблемами и продолжает оказывать все электронные услуги как и раньше.

Copyright (C) РосБизнесКонсалтинг

Должны ли интернет-банки возвращать деньги клиентам после хакерских атак?

Британская Национальная ассоциация банковских клиентов (National Association of Bank Customers - NABC) и Ассоциация потребителей (Consumers' Association) выступили с заявлением, что все онлайновые банки должны возмещать своим клиентам финансовые потери в случае успешной атаки на банковский сервер. Это совместное выступление было вызвано участившимися в последнее время атаками на интернет-банки, в частности на службы таких крупных компаний, как Barclays и Powergen. В Британии не все банки имеют четко выработанную политику по возмещению потерь клиентов и представители NABC считают такую ситуацию неприемлемой. Как отметил директор NABC Стюарт Клиф (Stuart Cliffe), учитывая размеры финансовых средств, которыми оперируют банки, для них не составит никакой проблемы вернуть деньги нескольким пострадавшим клиентам.

Copyright (C) РосБизнесКонсалтинг

"Троянский конь" в обличье Дональда Дака

Как сообщает ZDNet News, в пятницу был обнаружен новый вирус. О его появлении собщил американский центр по защите национальной инфраструктуры. Очередной "троян" крайне схож с нашумевшим I Love You. Создан от также на Филиппинах. Накануне американского Дня труда были заражены несколько компьютеров в США. Сведений о дальнейшем распространении программы пока не поступало.

Вирус носит имя известного диснеевского героя - утенка Дональда Дака. Как и I Love You, он распространяется в виде приложения к электронному письму. В теме письма содержатся слова erap estrada (это одно из прозвищ филиппинского президента). Стоит пользователю открыть вложение, файл с названием DonaldD.trojan активизируется и собирает имена пользователей и все пароли, имеющиеся в компьютере.

В пресс-релизе центра по защите национальной инфраструктуры отмечено, что существующие антивирусы способны отследить новинку и своевременно оповестить пользователя о вторжении.

Copyright (C) Lenta.ru

"Веб-жучки" неистребимы?

No easy way to exterminate 'Web bugs' Роберт Лемос (Robert Lemos). 

Потребители, обеспокоенные вмешательством в их частную жизнь, в обозримом будущем вряд ли получат средства от "веб-жучков". Веб-жучки - особый HTML- код, запрашивающий информацию по интернету и возвращающий сведения о пользователе, - позволяют онлайновым маркетологам отслеживать поведение потребителей, а корпорациям - защищать свои секреты. "Получаемые от этого преимущества перевешивают риски, связанные со слежкой", - говорит главный технолог организации Privacy Foundation из Денвера Ричард Смит (Richard Smith). В среду эта организация опубликовала отчет, в котором называет все интернет-приложения - а не только Microsoft Word, Excel и PowerPoint - питательной средой, позволяющей маркетологам и работодателям наблюдать за пользователями. Их можно идентифицировать по интернет-адресам, встраивая HTML-код в документ, отправляемый по почте или загружаемый пользователями. "Компании пользуются этим для выявления утечек информации, а маркетинговые фирмы применяют веб-жучков в своей повседневной работе, - утверждает Смит, который сам несколько лет пользуется этим методом для поиска хакеров и авторов вирусов. - По мере стирания граней между веб- и настольными приложениями данная практика будет применяться все чаще". Рой сгущается Веб- жучки - это остроумный метод использования технологии HTML- программирования, которая позволяет веб-мастеру сохранять компоненты своих страниц в разных местах. Например, все изображения могут храниться на отдельном сервере, а при загрузке страницы пользователем извлекаются оттуда. Жучок срабатывает, когда сервер, у которого запрашивается контент, регистрирует, от кого исходит запрос. "Многие бесполезные электронные письма переносят идентифицирующих вас веб-жучков, - говорит президент правозащитной группы Junkbusters Джейсон Кэтлетт (Jason Catlett). - Другие, со скрытыми кодами, рассказывают отправителям много интересного". Например, приложения Microsoft Office могут читать данные cookies, созданные браузером Internet Explorer. "Во многих случаях веб-жучок позволяет извлекать ваши cookies", - говорит Кэтлетт. По его мнению, защититься от этого очень трудно. Защиты нет Несмотря на то что некоторые программы блокировки баннеров способны отловить веб-жучков, пытающихся установить связь с серверами, принадлежащими хорошо известным охотникам за данными, таким как DoubleClick, против менее популярных сайтов эти программы бессильны. Некоторые персональные сетевые экраны способны предотвратить отдельные действия веб-жучков. Так, бесплатный продукт ZoneAlarm компании Zone Labs запрещает всем приложениям пользователя, за исключением браузера, подключаться к интернету. А новая технология, разработанная Microsoft для Internet Explorer, позволяет управлять cookies, предотвращая утечку определенной информации. Однако ни одно средство не решает проблему полностью. Веб-жучок, встроенный в веб-страницу или электронное сообщение, может обойти Zone Alarm, а новая технология Microsoft блокирует лишь cookies, а не самих веб-жучков. "Мы очень скоро предложим способ надежной защиты, - обещает вице-президент Zone Labs по маркетингу Фред Фелман (Fred Felman). - Анонсировать новые функции мы пока не готовы, но они уже разработаны". Юридическое решение? Возможно, решение должно лежать не в технологической плоскости. "WWW - идеальная среда для слежки, - говорит Кэтлетт из Junkbuster. - Американцы должны получить юридическую возможность защищать свои права. Я не вижу иного способа избавиться от угрозы веб-жучков". Аналитик из организации "Центр технологии и демократии" Эйри Шварц (Ari Schwartz) тоже считает, что требуется иное - не технологическое - решение. "Нужно запретить компаниям заниматься подобным тайным сбором информации, - говорит он. - Требуется такое законодательство, которое заставило бы их предупреждать людей об этом, предоставляя им право выбора". Пока же пользователи веба не знают, какую информацию их компьютер распространяет по Сети, и у них практически нет выбора.

Copyright (C) ZDNet.ru

НЕ ОТДАМ СВОЮ АСЬКУ...

Николай ЯНИШЕВСКИЙ

ICQ пользуется огромной популярностью пользователей во всем мире. Подключившись к Интернету, пользователь с помощью аськи может сразу узнать, кто из его друзей находится сейчас в Сети, и может, при желании, начать общение с ними. Программа, объединяющая одновременно чат, пейджер и e-mail завоевала сердца многих. На сегодняшний день услугами ICQ, предоставляемыми компанией AOL (America Online), пользуется около 70 млн. человек, и эта цифра продолжает постоянно расти. Для того, чтобы воспользоваться этой Интернет-службой, пользователю необходимо скачать и установить небольшую программу на свой персональный компьютер, а затем зарегистрироваться на web-сайте ICQ. После регистрации в системе пользователь получает свой идентификационный номер, а также задает свой логин, пароль и почтовый адрес.

На тот случай, если пользователь забыл свой пароль, предусмотрена специальная страница для забывчивых. На этой станице владелец аськи должен ввести свои данные, после чего пароль высылается ему по электронной почте, на тот адрес, который был введен этим пользователем изначально.

Уже довольно давно служба ICQ столкнулась с таким видом мошенничества, как захват красивых номеров ICQ, например 111111 или 85858585. У пользователей крадут пароль доступа, после чего меняют его, а заодно другие данные, включая e-mail, который был указан при регистрации в системе ICQ. После этой операции законные пользователи больше не могут воспользоваться своим номером. При этом обращение к web-станице для забывчивых не помогает, поскольку пароль все рано высылается мошеннику по адресу, который он ввел. Учитывая многочисленные пожелания своих пользователей, компания AOL решила изменить правила регистрации и практику восстановления паролей. Теперь пароль высылается пользователю по тому e-mail адресу, который указывался во время первой регистрации и изменить который нельзя. Поэтому права на украденную аську теперь легко восстановить. "Нет сомнений, что новые правила для восстановления паролей позволяют лучше поддерживать целостность учетных записей ICQ для законных пользователей", заявил представитель AOL Николас Грэхэм (Nicholas Graham).

Copyright (C) YTPO

Trust no one

Жители Сети, совершенно истерзанные посягательствами на их личную информацию, изобрели собственный оригинальный и простой способ сохранения приватности. Согласно исследованию проведe:нному Pew Charitable Trust, при регистрации на различного рода бесплатных web-ресурсах до четверти всех американских пользователей Интернет просто-напросто прикрываются вымышленными именами. Слегка отстаe:т по популярности проставление в анкетах запасного e-mail адреса, что позволяет избежать практически неизбежных почтовых рассылок на основной ящик. А 10% пользователей подошли к вопросу охраны своей цифровой личности от посторонних глаз и вовсе серьe:зно: они шифруют свою корреспонденцию и пользуются специальным программным обеспечением, затрудняющим идентификацию и отслеживание их перемещений в Сети. Обрисован и портрет типичного анонимщика: чаще всего это мужчина в возрасте от 18 до 29 лет, проведший в Интернете более трe:х лет. Как и в реальном мире, возраст, очевидно, достаточный для того, чтобы научившись мало-мальски разговаваривать, уже начать лгать - родителям или web-шпионам. Впрочем, основания для этого есть: произошедшие в конце августа события показывают, что верить в Сети нельзя абсолютно никому. TRUSTe, известнейшая независимая организация, занимающаяся сертификацией web-компаний на предмет их соответствия жe:стким правилам работы с персональными данными пользователей, сама попалась на горячем. Оценка, проведe:нная частной компанией Interhack, показала, что сайт TRUSTe содержит т.н. "печенье" (cookies) и некоторые предметы интерфейса, предназначенные для скрытого исследования предпочтений посетителей. Использование этих элементов не было продекларировано должным образом (что, между прочим, является обязательным условием для владельцев сертификатов этой организации) в пользовательском соглашении, т.е. посетители оставались в неведении. Интересно, что программисты TRUSTe среагировали почти мгновенно, удалив вызвавший полемику код с сервера, однако это лишь доказывает общее правило, вынесенное в заголовок: не верь никому, тем более в Сети. В свете всего вышеописанного очень своевременным выглядит решение портала Yahoo о предоставлении возможности шифровать почту при отправке. В качестве системы шифрования будет использована технология, разработанная компанией ZixIt. Прочесть зашифрованное сообщение смогут только пользователи web-почты Yahoo и те, кто установил на своe:м компьютере плагины ZixIt.

Copyright (C) Компьютерра

"Информзащита" получила сертификат Гостехкомиссии России на аппаратно-программный комплекс "Континент-К"

НИП "ИНФОРМЗАЩИТА", российский разработчик и поставщик решений по защите информации, получило сертификат Гостехкомиссии России э 352 на новый продукт - аппаратно-программный комплекс "Континент-К". Комплекс "Континент-К" является межсетевым экраном, обеспечивающим создание виртуальных частных сетей, и удовлетворяет требованиям 3 класса защищенности для межсетевых экранов в соответствии с РД Гостехкомиссии России. Отличительной особенностью комплекса является поддержка функций фильтрации для большого (до16) количества сетевых интерфейсов. В настоящее время продукт проходит опытную эксплуатацию в ряде организаций. По результатам комплексного тестирования "Континент-К" рекомендован к применению в Банке России.

Copyright (C) РосБизнесКонсалтинг

"Инфракрасные" платежи

Ассоциация Infrared Data Association сообщила об успешном тестировании системы подтверждения чеков, использующей инфракрасные соединения. Проект рабочей группы IrDA Special Interest Group for Financial Messaging предполагает выработку протокола Infrared Financial Messaging, с помощью которого можно использовать существующее оборудование, сетевую структуру и системы инфракрасной связи для передачи сообщений об оплате.

Первая транзакция, в которой вместо бумажных чеков или пластиковых карт использовался карманный компьютер, была продемонстрирована компаниями CrossCheck и Personal Solutions в июле. С помощью Palm, оснащенного инфракрасным портом, и ноутбука Toshiba Libretto запрос на подтверждение чека передавался на POS-терминал с подключенным к нему устройством инфракрасной связи. После чего через сервер коммутируемого доступа отсылался в центр обработки транзакций, ответ возвращался на терминал. При этом вся процедура заняла менее 4 секунд.

Copyright (C) Издательство "Открытые системы"

Cпонсор: Доступный РЕМОНТ PDA, Notebook и PC