Выпуск No. 83 

Новостной

Электронный журнал

Security Computers & Internet

  от 12.03.2007

Члены палаты представителей - демократ Рик Баучер и республиканец Джон Дулитл - в конце февраля представили законопроект под названием Freedom And Innovation Revitalizing U.S. Entrepreneurship Act of 2007 (FAIR USE Act). Законопроект призван решить все проблемы, возникшие в последние годы вокруг копирайта, и усовершенствовать закон DMCA (Digital Millennium Copyright Act), сообщает Ars Technica.

Если FAIR USE Act будет принят, потребители получат возможность использовать приобретенный цифровой контент, не нарушая копирайта. Однако законопроект не отменит большинства существующих сегодня ограничений: пользователи как и прежде не смогут копировать DVD, удалять защиту с купленных в онлайновых сервисах музыкальных треков, чтобы прослушивать их на любых устройствах, и т.п. DMCA предоставляет компаниям свободу в наложении драконовских ограничений относительно того, как пользователи могут использовать аудио- и видеоконтент. FAIR USE Act, напротив, предоставит большую свободу потребителям, а не поставщикам контента.

Новый законопроект поддерживают такие организации, как Ассоциация производителей бытовой электроники, Американская библиотечная ассоциация, Американская ассоциация правовых библиотек, Ассоциация научных библиотек, Ассоциация специализированных библиотек, организация HRRC (Home Recording Rights Coalition), отстаивающая право частных пользователей на некоммерческое копирование информации, Ассоциация компьютерной и коммуникационной индустрии и другие.

Разумеется, противником проекта документа FAIR USE Act выступает Американская ассоциация звукозаписывающих компаний (RIAA). Студии звукозаписи считают, что законопроект может аннулировать DMCA и легализовать хакерство. Кроме того, принятие FAIR USE Act якобы позволит производителям электроники подстрекать потребителей к нарушению закона для получения собственной выгоды.

Сторонники законопроекта, в свою очередь, заявляют, что FAIR USE Act легализует только "хакерство с целью ненарушающего закон использования контента", сообщает Ars Technica.

Источник: compulenta.ru

В первой строке списка лучших антивирусных программ значится Anti-Virus Kit германской компании G Data Security Software, а продукт Microsoft оказался на последнем, 17-м месте.

Оценку проводил Андреас Клементи, который в Инсбруке (Австрия) ведет веб-сайт AV Comparatives, где публикуются результаты независимого тестирования антивирусного ПО. В его февральском отчете оцениваются 17 продуктов — от BitDefender Anti-Virus 10 Professional Plus до Fortinet FortiClient 3.0.308, McAfee VirusScan 11.1.124 и Symantec Norton AntiVirus 14.0.0.89. Клементи говорит, что все продукты были обновлены 2 февраля и настроены для достижения наилучших возможных результатов. Для теста использовались свыше 1 млн образцов вирусов.

AVK от G Data Security задержал 99,45% пропущенных через него вредоносных программ. Второе место занял TrustPort Antivirus Workstation 2.5.0.957, перехвативший 99.36% вирусов; третий результат показал Avira Antivir Personal Edition Premium 7.03.01.34 (98,85%); четвертый — F-Secure Anti-Virus 2007 7.01.128 (97.91%), a пятый — «Антивирус Касперского» (97,89% задержанных вирусов). Symantec заняла шестое место (96.83%), Fortinet — 10-е (93.99%), а McAfee — 14-е место с результатом 91,63% перехваченных вирусов. Продукт Microsoft задержал всего 82,40% вредоносных программ.

По словам Клементи, для тех, кто постоянно следит за продукцией поставщиков антивирусов, такие итоги были ожидаемыми, и месяц назад другой аналогичный тестер получил похожие результаты. Он отметил также, что продукт Symantec работает очень хорошо, надежно обнаруживая все полиморфные вирусы.

Группа Клементи тестирует только те продукты, которые способны задерживать не менее 85% вредоносных программ. «Я ожидал и надеялся, что OneCare удовлетворяет этому критерию — но оказалось, что это не так, — пишет он. — В результате участие этого продукта в будущих тестах придется пересмотреть».

Он предупредил также, что прежде чем принимать решение о покупке на основе его тестов, нужно попробовать антивирусные продукты на своих собственных системах. «Существует множество других особенностей и важных факторов (совместимость, графический интерфейс пользователя, язык, цена, частота обновлений, простота управления и т.п.), которые нужно учитывать, — говорится в его отчете. — Уровень обнаружения — лишь одно из качеств антивирусного продукта, хотя и очень важное, так что необходимо ознакомиться с результатами других независимых тестов».

Источник: algonet.ru

Американские разведслужбы теряют прежний интерес к электронным способам сбора и обработки информации о других странах и возвращаются к традиционным методам наблюдения и анализа.

На этой неделе Сенат рекомендовал ЦРУ, ФБР и военной разведке развивать в первую очередь свои человеческие ресурсы.

В Вашингтоне военные неудачи в Ираке и Афганистане часто сваливают на бывшего министра обороны Дональда Рамсфелда, который якобы слишком большой упор делал на применении сверхсовременного оружия и не ожидал, что простой пехоте придется так много воевать.

Провалы разведки объясняют тем, что она велась в основном с помощью спутников и электронной аппаратуры, которыми заменяли глаза и уши агентов на местах, а вместо умных специалистов информацию обрабатывали компьютеры.

Бывший сотрудник ЦРУ Брюс Райдел отмечает преимущества традиционных методов шпионажа. "Самые лучшие технические средства сбора данных создают лишь представление о том, чем обладает какой-либо режим, но они не могут вам сказать о его намерениях. Только человек может передать вам информацию такого рода", - считает эксперт.

Это осознали и законодатели. Член сенатского комитета по разведке Кит Бонд указывает на нехватку шпионов.

"Их численность далеко недостаточна, - признал сенатор. Причем для эффективной работы за рубежом резиденту нужна постоянная помощь из центра, он не может работать один - прикрывать его должны офицеры поддержки".

А член сенатского комитета по делам вооруженных сил Джон Уорнер считает, что технический прогресс зашел слишком далеко. "Нам нужно увеличить количество и качество разведчиков, улучшить языковые способности и понимание культур, - сказал он. - Мы убедились в этом, когда пытались понять происходящее в Ираке и Афганистане".

ЦРУ тем временем приглашает на работу специалистов со знанием русского языка. Впрочем, на такую должность подойдет далеко не каждый.

Новый директор разведслужб Майкл Макконнел объясняет: "Мы нанимаем американцев в первом и втором поколении, владеющих разными языками, глубоко знающих их культурные особенности и понимающих нависшие над нами угрозы".

Макконнел приступил к исполнению новых обязанностей на прошлой неделе, но в деятельности шпионских ведомств уже происходят перемены к старому.

Как в Пентагоне отменяют "доктрину Рамсфельда", предусматривавшую боевые действия малым числом, и увеличивают армию, так и штаб-квартира ЦРУ в Лэнгли расширяет штаты.

Источник: news.bbc.co.uk

Подобрать ключ для активации Microsoft Windows Vista можно методом прямого перебора всех возможных вариантов. Об этом сообщает Inquirer со ссылкой на форумы Keznews. Из всех доступных ранее вариантов взлома новейшей ОС Microsoft этот представляется наиболее опасным, так как позволяет нечестным пользователям сгенерировать ключ, закрепленный за ещё не проданной легальной копией системы.

Данный метод атаки может стать большой проблемой для Microsoft.  Мощность сегодняшних компьютеров позволяет разделаться с 25-символьными серийными номерами за приемлемое время и получить вполне легальный код, пригодный для активации Vista. Если обнаруженный метод взлома получит широкое распространение, то люди просто начнут активировать ключи, приобретенные другими пользователями, а покупатели лицензионной версии ОС с аналогичным кодом может при активации столкнуться с проблемами и быть обвиненным в пиратстве.

Хакерское ПО перебирает все возможные варианты "в лоб" - по заявлениям тестировавших его пользователей, на генерацию ключа в лучшем случае уходит около 3-7 часов, в зависимости от вычислительной мощности компьютера и удачливости. Впрочем, некоторые сообщают и о том, что даже после 24 часов вычислений на достаточно мощных машинах ключи так и не были подобраны.

Если данный метод действительно работает, то Microsoft оказывается в очень щекотливом положении: под удар попадают легальные пользователи Windows Vista. Разумеется, Microsoft может ввести ограничение на количество попыток ввода до одной в минуту на новом программном обеспечении, но первоначальные версии ОС уже распространены.

Код программы-генератора открыт, и в ближайшее время (до 3 дней, по мнению Inquirer) появятся более наглядные и оптимизированные варианты подобного ПО.

 

Источник: lenta.ru

В ближайшее время свет может увидеть специализированный словарь, содержащий унифицированные термины для описания уязвимостей в программном обеспечении.

Сейчас различные компании, специализирующиеся на вопросах компьютерной безопасности, и независимые исследователя применяют для описания дыр в ПО самые разнообразные понятия и определения. В итоге аналогичные по своей сути уязвимости зачастую оказываются охарактеризованными совершенно разными языками. Это усложняет анализ дыр и затрудняет их устранение. Инициатива Common Weakness Enumeration по созданию словаря унифицированных терминов как раз и должна решить проблему.

Проект Common Weakness Enumeration (CWE) организован Министерством внутренней безопасности США. В настоящее время, как сообщает CNET News, словарь CWE содержит порядка 300 категорий уязвимостей в программных продуктах, таких как, например, "ошибки переполнения буфера" и "ошибки форматирующей строки". Данные в словарь собираются из многих источников. Специалисты анализируют и корректируют информацию и вырабатывают унифицированные определения.

В декабре прошлого года участники проекта Common Weakness Enumeration выпустили пятую черновую версию словаря. Сейчас специалисты работают над шестым черновым вариантом. Правда, сроки появления окончательной версии сборника терминов для описания дыр в ПО пока не называются.

Источник: compulenta.ru

В конце февраля в Нью-Йорке прошла Седьмая ежегодная конференция Digital Music Forum East. В двухдневном мероприятии участвовали 425 человек, включая представителей звукозаписывающих лейблов Sony BMG Music, Universal Music, EMI Music, Warner Music и компаний Microsoft, Motorola, YouTube, Google, AOL, eMusic, RealNetworks.

На конференции обсуждались вопросы, связанные с компанией Apple, средствами управления цифровыми правами (Digital Right Management, DRM) и желанием пользователей заниматься пиратством, сообщает CNET News. Тэд Коэн, управляющий директор музыкальной консалтинговой фирмы TAG Strategic, заявил, что компании должны получать деньги от потребителей и действовать таким образом, чтобы пользователям хотелось платить за музыку и впредь.

Сейчас музыкальная индустрия переживает настоящий кризис. В период с 2000 по 2006 годы продажи CD по всему миру сократились на 23%. В секторе цифровой музыки ситуация несколько лучше: в прошлом году там наблюдался рост продаж на 131%, но в целом доходы индустрии упали на 4%.

На открытии конференции представители некоторых компаний раскритиковали Стива Джобса, который недавно призвал отказаться от использования технологий DRM и продавать музыку через интернет без защиты от копирования. В обращении к крупнейшим звукозаписывающим студиям, опубликованном на сайте Apple, Джобс подчеркнул, что отказ от DRM положительно скажется на развитии музыкальной индустрии за счет притока новых инвесторов, готовых вкладывать деньги в развитие рынка цифровой музыки. По словам Джобса, студии много не потеряют, ведь 90% выпускающихся компакт-дисков можно свободно копировать.

Участники конференции назвали призыв Джобса "лицемерным" и "отвлекающим маневром". В частности, Коэн заявил, что если Джобс так ратует за отмену DRM, тогда вскоре и киностудия Disney должна начать выпускать фильмы без какой бы то ни было защиты. Большинство присутствующих на форуме считают, что некоторые формы DRM просто необходимы.

Источник: compulenta.ru

Еврокомиссия готова увеличить штраф американской компании Microsoft, доведя его размер с нынешних 2 млн евро до 5 млн в день. Об этом сообщил в четверг официальный представитель Еврокомиссии Джонатан Тодд, подчеркнув, что производитель программного обеспечения продолжает нарушать установленные требования в области конкуренции.

Накопительный штраф компании Билла Гейтса начисляется с 16 декабря 2005 года в размере 2 млн евро в день. Таким образом, его общая сумма приближается к 1 млрд евро.

В этой связи Тодд призвал Майкрософт до конца месяца выполнить требования антимонопольного законодательства ЕС и, тем самым, избежать новых санкций со стороны Еврокомисии.

В октябре 2006 года Майкрософт подала в Европейский суд юстиции в Люксембурге жалобу на Еврокомиссию, обязавшую компанию в июле выплатить дополнительный штраф в 280,5 миллиона за ненадлежащее выполнение решения, вынесенного Брюсселем в марте 2004 года.

Первый уплаченный Майкрософт штраф за нарушение антимонопольного законодательства ЕС составил 497 миллионов евро. Это самый крупный штраф из тех, что когда-либо применялись Еврокомиссией в отношении компаний.

Признав Майкрософт виновной в злоупотреблении доминирующим положением на рынке операционных систем, исполнительная власть ЕС дала компании 90 дней для того, чтобы мультимедийный проигрыватель "Media Player" был исключен из предлагаемого на европейском рынке пакета операционной системы "Windows".

Кроме того, Еврокомиссия потребовала от Майкрософт в течение 120 дней открыть часть исходных кодов системы "Windows", чтобы позволить другим производителям программного обеспечения для серверов выпускать продукты, совместимые с этой системой.

В сентябре прошлого года стало известно, что Еврокомиссия может наложить запрет на продажу в странах-членах ЕС новой операционной системы Майкрософт "Windows Vista". В Брюсселе настаивают на том, чтобы из нового программного продукта Майкрософт, который должен поступить в Европе в продажу в 2007 году, были удалены встроенные средства безопасности. В Еврокомиссии считают, что компания нарушает антимонопольное законодательство ЕС, навязывая пользователям свои продукты и лишая их возможности выбора.

Источник: lenta.ru

Один из самых известных специалистов и фанатов языка Perl Рэндал Шварц был приговорён к пяти годам условно и выплате 68 тысяч долларов отступных в пользу Intel

Всё началось почти 15 лет назад. Тогда Шварц работал в компании Intel и занимался вопросами безопасности, выполняя при этом роль системного администратора. Проблемы у него начались после того, как другой администратор заметил, что в системе загружены некоторые посторонние программы. Как выяснилось, это была утилита для взлома паролей в UNIX. Таким образом Шварц проверял все пароли на стойкость к взлому, чем значительно укреплял безопасность в целом. Сегодня это стандартный приём, используемый многими специалистами по компьютерной безопасности, однако в 1993 году такие действия были восприняты как хакерство и дело было тут же передано в суд.

И вот наконец суд штата Орегон принял решение. Рэндал Шварц приговорён к пяти годам тюрьмы условно, а кроме того он обязан выплатить 68 тысяч долларов отступных.

Источник: cyberstyle.ru

Окружной суд штата Делавэр отклонил иск Кристофера Лэнгдона против компаний Google, Yahoo и Microsoft. Американец подал исковое заявление 17 мая 2006 года, обвинив поисковики Google, Yahoo и MSN в том, что они отказались размещать его объявления в системе контекстной рекламы.

Истец владеет двумя сайтами - NCJusticeFraud.com и ChinaIsEvil.com - и хотел разместить на них рекламу, содержащую политические лозунги и призывы. Google мотивировала свой отказ тем, что рекламные объявления пропагандировали насилие, MSN просто проигнорировала запрос Лэнгдона, а Yahoo заявила, что не примет рекламу, поскольку сайты не с ее хостингов.

В иске Лэнгдон заявил, что своим отказом компании нарушили Первую и Четырнадцатую поправки к Конституции США, а также Конституцию Делавэра. Кроме того, ответчики якобы преступили делавэрский закон тем, что занимались мошенничеством, нарушили условия контракта и вели вводящий в заблуждение бизнес.

Больше всех от истца досталось Google: поисковик не только отказался разместить рекламу, но и удалил сайт NCJusticeFraud.com из результатов поиска по запросам "Рой Купер" (Генеральный прокурор штата Северной Каролины) и "Генеральный прокурор Рой Купер". Кристофер Лэнгдон также обвинил Google в том, что компания позволяет правительству КНР цензурировать китайскую версию поисковика.

Как и ожидалось, суд отклонил иск Лэнгдона, назвав его обвинения "ложными" и "несерьезными". Судья заявил, что поисковые системы имеют право отказывать в размещении рекламы согласно Первой поправке к Конституции США, гарантирующей свободу слова. Кроме того, поисковики не являются государственными учреждениями и потому не могут нарушать чью-либо свободу слова, отвергая рекламные объявления. И, наконец, поисковые системы имеют право фильтровать "нежелательный" контент и выбирать, какую рекламу им демонстрировать.

Лишь одно обвинение Лэнгдона против Google суд не отклонил: компании придется ответить за то, что она нарушила условия контракта.

Источник: compulenta.ru

Во Вьетнаме в 2006 году зарегистрировано более 16 миллионов атак компьютерных вирусов, в том числе около 900 "новых" вирусов, сообщили местные СМИ.

Согласно данным Центра сетевой безопасности BKIS, только с начала года уже появилось более 300 новых вредоносных программ, что в четыре раза превышает данные 2005 года. За последний месяц около 400 тысяч местных компьютеров было заражено вирусами.

Кроме того, специалисты предупредили о возможном росте в текущем году точечных атак хакеров на местные веб-сайты. В прошлом году было зарегистрировано 350 атак.

Источник: rian.ru

Неизвестные злоумышленники снабдили свастикой рекламный баннер Партии реформ, размещенный на домашней странице государственного Эстонского радио.

К настоящему времени, как сообщила служба связей с общественностью Эстонского радио, обнаруженный "довесок" к рекламе партии, которую возглавляет премьер-министр Эстонии Андрус Ансип, удален, а полиция занялась расследованием взлома интернет-страницы радио.

IP-адрес хакера, проникшего на домашнюю страницу радио, имеет чешскую прописку, однако полиция не исключает, что злоумышленник пытается ввести дознавателей в заблуждение.

Взлом сайта и появление свастики имело место незадолго до парламентских выборов, которые состоялись 4 марта. Не исключено, что хакеры пытались таким образом напомнить потенциальным избирателям о том, кто именно стоит за принятыми недавно эстонским парламентом законами, создающими правовую основу для сноса расположенного в центре Таллина памятника Солдату- освободителю города от гитлеровской оккупации.

Источник: lenta.ru

Если вы загрузили WordPress 2.1.1 последние 3-4 дня, ваши файлы могут содержать бекдор, позволяющий удаленному злоумышленнику получить полный контроль над уязвимым сайтом.

В разъяснении говорится, что после получения сообщений от пользователей, разработчики проверили опубликованные на сайте файлы и обнаружили, что дистрибутив версии 2.1.1 был изменен и отличается от оригинала. Выяснилось, что некий взломщик получил доступ к серверу, обслуживающему wordpress.org, и подменил два файла ("theme.php" и "feed.php") в дистрибутиве, добавив туда возможность для удаленного выполнения PHP-кода. Изменению подвергся только дистрибутив версии 2.1.1, остальные остались нетронутыми.

Отмечается, что пользователей, получающие обновления через SVN, данный инцидент не затронул – репозиторий не был подвержен изменениям – и они могут не волноваться.

Разработчик рекомендует пользователям незамедлительно обновить WordPress до версии 2.1.2 и сменить пароли всех зарегистрированных пользователей. Обещано, что будут предприняты все меры для того, чтобы избежать подобных инцедентов в будущем, в том числе и посредством постоянной внешней проверки опубликованных дистрибутивов на предмет их подмены.

Источник: lenta.ru

Специалист по руткитам Джоанна Рутковска в ходе конференции Black Hat продемонстрировала, что аппаратные средства, использующиеся для захвата информации из памяти, не столь надежны, как считалось ранее.

Аппаратные решения, в частности, специализированные платы PCI, применяются экспертами по вопросам компьютерной безопасности для получения образов содержимого оперативной памяти. Анализ полученных таким образом данных позволяет выявлять следы присутствия на компьютере даже самых сложных и хитроумных шпионских программ и руткитов.

Однако Рутковска показала, что информация, захваченная из памяти при помощи аппаратных средств, теоретически может быть фальсифицирована. Джоанна Рутковска продемонстрировала три типа различных атак против систем на основе 64-разрядных процессоров AMD. При этом специалист по руткитам показала, что злоумышленник может заполнить результаты, полученные при считывании памяти, как произвольной информацией так и мусорными данными. Кроме того, возможно проведение DoS-атак.

По мнению Джоанны Рутковской, проблема заключается в самой архитектуре современных ПК и решить ее можно лишь путем внесения изменений в компьютерные системы. С Рутковской соглашается и специалист по руткитам Джейми Батлер. По словам Батлера, исследование Рутковской является доказательством того, что даже аппаратные средства не могут дать стопроцентной гарантии того, что считанная из памяти информация является достоверной. Более подробно с исследованием Рутковской можно ознакомиться здесь.

Кстати, стоит отметить, что не так давно Рутковска выступила с критикой в адрес комплекса управления доступом пользователей UAC (User Account Control), встроенного в операционную систему Windows Vista. Средства UAC при установке программы либо предоставляют ей полный доступ к системе, либо не предоставляют вообще. Джоанна Рутковска называет данную особенность "очень ощутимой брешью в дизайне UAC".

Источник: webplanet.ru

В ходе первой интернет-конференции первого вице-премьера Российской Федерации Дмитрия Медведева был задан вопрос о переходе госструктур на программное обеспечение с открытым исходным кодом. Первый вице-премьер назвал пограммное обеспечение с открытым исходным кодом "полезным" и подчеркнул преимущество таких программ.

По мнению Медведева, открытость "в значительной мере способствует совершенствованию систем". Однако ничего более конкретного, в том числе, о возможности перехода отечественных госструктур на open source, первый вице-премьер не сказал.

"В то же время", - сказал Медведев, - "нельзя забывать о проблеме пиратства". Первый вице-премьер признал, что многие организации эксплуатируют лицензионное программное обеспечение с нарушениями законодательства. Причиной Медведев назвал высокую стоимость лицензий на ПО и монопольную политику отдельных разработчиков. "Одним из условий вступления в ВТО является решение проблемы нарушения авторских прав. И правительство приняло на себя обязанность исправить ситуацию с пиратством." - сказал Медведев.

Источник: lenta.ru

Органы биржевого надзора США раскрыли одну из крупнейших сетей по торговле инсайдерской информацией за всю историю Уолл-стрит. В скандале замешаны сотрудники швейцарского банка UBS, а также инвестиционных банков Morgan Stanley и Bear Stearns. С 2001 года они незаконно заработали свыше 15 млн долл.

Комиссия по ценным бумагам США (SEC, Securities and Exchange Commission) предъявила обвинение в инсайдерской торговле 14 гражданам. Представители Комиссии утверждают, что эти люди заработали $15 млн, осуществив несколько тысяч биржевых сделок, используя информацию, украденную из UBS Securities и Morgan Stanley, сообщает британское издание HedgeWeek.

По заявлению прокурора, 8 профессионалов с Уолл-стрит приняли участие в двух взаимосвязанных случаях инсайдерской торговли. Среди них директор по исследованиям UBS и адвокат из Morgan Stanley, два брокера-дилера и фирма для дневной торговли (спекулятивных операций с ценными бумагами в течение одной торговой сессии). В результате всех этих махинаций наживались в основном два хедж-фонда. Суть махинаций состояла в том, что участники биржевых торгов заранее узнавали о результатах аналитических исследований UBS, а также о сделках по слиянию и поглощению клиентов инвестиционного банка Morgan Stanley.

Представители Комиссии по ценным бумагам утверждают, что возглавляли эту преступную группу люди из UBS, обменивающиеся информацией посредством секретных кодов и сотовых телефонов, которые потом уничтожались. Вдобавок, они не гнушались делать откаты и давать взятки.

Расследование SEC не закончено. Представитель комиссии указывает, что государство будет стремиться раскрыть всех остальных участников сети и в дальнейшем не допускать их к работе с ценными бумагами. В американской прессе уже появились сообщения, что участникам заговора грозит от 15 до 90 лет тюрьмы в зависимости от того, как суд оценит степень личного участия каждого в деле. Четверо подозреваемых согласились помогать следствию и признали свою вину.

Репутации UBS и Morgan Stanley не в первый раз нанесен урон из-за обвинений в нечистоплотности ее аналитиков. В 2003 году 10 инвестиционных банков, самыми известными из которых были UBS, Morgan Stanley и Goldman Sachs, были оштрафованы за инсайд на $1,4 млрд.

Источник: compulenta.ru

Ведущий журнала: dean777
e-mail: dj-dean777@mail.ru
ICQ: 865-810
Skype: dean-777

Портал: скоро будет