Обзор
высоких технологий в области защиты и взлома
Анонс:
Тест мобильных
телефонов и смартфонов:
Nokia 5210
На сей раз компания
Nokia решила порадовать любителей экстремального
отдыха и представила их вниманию новую модель –
5210, ударопрочную, пыле- и влагозащищенную. Надо
сказать, что компания уже выпускала телефон с
аналогичными характеристиками, а именно модель
6250. Однако 5210 представляет собой совершенно иной
подход к решению данного вопроса.
Компания eEye Digital Security сообщила
об обнаружении опасной уязвимости в модуле
PGP-шифрования для почтового клиента Microsoft Outlook.
Этот модуль выпускается компанией Network Associates и
предоставляет пользователям Outlook возможность
шифрования электронной почты с использованием
стандарта PGP. Используя уязвимость,
злоумышленник может захватить управление чужим
компьютером, а в некоторых случаях даже читать
зашифрованные сообщения.
Для реализации атаки на
компьютер с установленным PGP-плагином для Outlook
необходимо отправить на него специальным
образом составленное электронное письмо, при
попытке расшифровки которого произойдет
переполнение "кучи" - области памяти,
выделяемой для динамически размещаемых структур
данных. При этом хакер сможет запустить на
компьютере любой программный код.
Необходимо отметить, что для
успеха атаки достаточно, чтобы пользователь
просто попытался прочитать письмо, а запуска
каких-либо вложенных файлов при этом не
требуется. Уязвимыми для подобных атак являются
компьютеры, на которых установлен Outlook совместно
с программами NAI PGP Desktop Security 7.0.4, NAI PGP Personal Security 7.0.3,
NAI PGP Freeware 7.0.3. Пользователям же пакета PGP Corporate
Desktop, по данным eEye, пока ничего не угрожает.
Для того чтобы заделать дыру в
PGP-плагине, эксперты eEye рекомендуют загрузить
одну из заплаток, находящихся здесь.
Киберсквоттеры
теперь крадут не только сайты, но и пароли, адреса
и номера кредиток
Ирландская компания Zerflow
предупреждает о появлении нового вида
киберсквоттеров, охотящихся за персональной
информацией пользователей интернета. Для этого
мошенники регистрируют доменные имена, похожие
на названия популярных коммерческих сайтов,
копируя их дизайн и формы сбора пользовательских
данных.
В результате, если
невнимательный пользователь чуть-чуть ошибется
в наборе URL любимого магазина, он увидит перед
собой знакомую картинку и окошко для ввода имени
и пароля. Если киберсквоттер достаточно похоже
клонирует коммерческий сайт, а пользователь
попадется не слишком бдительный, то пароль
окажется в полном распоряжении мошенника. Если
же посетитель такого сайта захочет что-то купить,
то в чужие руки могут запросто попасть его имя,
адрес, телефон и номер кредитной карты.
Как правило, после того как
пользователь введет данные на фальшивом сайте,
от получает сообщение об ошибке и предложение
посетить сайт позже. При этом введенные данные
отправляются в базу данных мошенника, а иногда
может производиться и снятие денег со счета
владельца кредитной карты.
В Zerflow также отмечают, что найти
таких мошенников чрезвычайно сложно, поскольку
при регистрации доменов они используют чужие или
просто вымышленные имена и личные данные.
Liberty Alliance
представит новый стандарт аутентификации в
интернете
Организация Liberty Alliance готовится
представить собственный стандарт единой системы
аутентификации пользователей интернета. По
данным агентства AP,
презентация нового стандарта состоится в
понедельник 15 июля. Напомним, что инициатива
создания Liberty
Alliance принадлежала Sun Microsystems, а после к проекту
также присоединились такие компании как Sony, American
Express, Mastercard и Bank of America.
Задачей Liberty Alliance является
создание единого механизма аутентификации
пользователей в интернете. Это позволит
отказаться от утомительной процедуры заполнения
форм в каждом онлайновом магазине или
интернет-представительстве банка и от
запоминания огромного числа паролей. Стоит
отметить, что члены Liberty Alliance напрямую
конкурируют с корпорацией Microsoft, которая сегодня
доминирует на рынке средств аутентификации со
своей системой Passport. Сама Microsoft в свое время отказалась
от вступления в Liberty Alliance.
По словам Эрика Дина (Eric Dean),
главы правления Liberty Alliance и, по совместительству,
руководителя информационной службы
авиакомпании United Airlines, альянс начнет с
продвижения упрощенной версии единой системы
аутентификации. Она позволит лишь "связать"
несколько сайтов, назначив для них единый пароль,
в результате чего при переходе с одного из
объединенных сайтов на другой повторное
введение пароля не потребуется.
В дальнейшем система будет
совершенствоваться и позволит создавать единые
пользовательские профили с указанием реальных
имен, адресов, телефонов и номеров кредитных
карт. И хотя такой подход создает реальную
опасность сохранности персональных данных, в
Liberty Alliance уверены, что новый стандарт позволит
обеспечить их надежную защиту