Похоже, спам в США стал действительно серьезной проблемой: им вовсю занимаются как специалисты IT-индустрии, так и законодательные органы.

Как сообщает газета Washington Post, Конгресс США сейчас, как никогда, близок к принятию закона о спаме.

В то же время, специалисты из IT-области рассматривают проблему спама со своей точки зрения. Вся суть борьбы со спамом состоит в том, что электроная почта изанчально задумывалась таким образом, чтобы всякий мог послать письмо любому адресату, при этом, по возможности, сохраняя анонимность. Именно благодаря этому механизму электронная почта стала такой популярной, и именно из-за него провалились множество начинаний в борьбе со спамом. Другая причина неудачи предпринимавшихся до сих пор мер заключалась в их несогласованности, а сегодня отдельная компания, как бы велика она не была, не сможет повлиять на все интернет-сообщество (более подробно о предпринимающихся антиспамерских мерах по можно ознакомиться здесь).

Сейчас крупнейшие американские компании, среди которых Microsoft, America Online, Yahoo и EarthLink, предоставляющие услуги доступа к электронной почте, объединившись, пытаются пересмотреть саму концепцию сервиса. В частности, они предлагают ввести в структуру электронного письма некоторую дополнительную информацию об отправителе. Получив ее, компьютер сможет эффективно анализировать приходящие почтовые сообщения и фильтровать спам.

"Мы должны предоставить возможность добропорядочным пользователям отличать друг друга от спамеров", - сказал Гарри Кац, представитель Microsoft, занимающийся разработкой данной программы. Предполагается, что люди, занимающиеся массовой рассылкой, должны предоставлять некоторую дополнительную информацию о себе, а также явным образом давать получателям писем возможность быстро отказаться от рассылки.

Предполагается, что первые шаги в области борьбы со спамом, например, составление интернет-провайдерами списка IP-адресов, с которых ведется массовая почтовая рассылка, будут приняты уже в этом году.

Текущий год был обозначен Минсвязи России как год регионов. Для выявления реального состояния региональной информатизации и определения целей и задач реализации Федеральной целевой программы "Электронная Россия (2002 – 2010)" в субъектах Российской Федерации в плане мероприятий министерства было предусмотрено проведение в текущем году семи региональных конференций "Электронная Россия – человеку, бизнесу, обществу" во всех федеральных округах России и итоговой в Москве.

13 ноября в Санкт-Петербурге (отель "Астория") состоится седьмая региональная конференция "Электронная Россия – человеку, бизнесу, обществу", которая соберет представителей органов государственной власти, министерств и ведомств, научного, образовательного и бизнес сообществ субъектов Северо-Западного федерального округа для обсуждения вопросов реализации основных положений Федеральной целевой программы Электронная Россия (2002 – 2010)" на территории округа.

Откроет конференцию первый заместитель министра Российской Федерации по связи и информатизации А. Н. Киселев. В пленарной части мероприятия примут участие заместитель полномочного представителя Президента Российской Федерации в Северо-Западном федеральном округе Е. И. Макаров, генеральный директор ОАО "Северо-Западный Телеком" С. И. Кузнецов. Программой конференции предусмотрены так же выступления председателя Комитета по информатизации и связи администрации г. Санкт-Петербурга А. В. Спиридонова, начальника Управления по связи и информатизации администрации Калининградской области А. П. Бавула, заместителя руководителя Управления МНС России по Санкт-Петербургу И. Н. Задворного, начальника Управления информационных ресурсов и технологий Департамента экономики Правительства Вологодской области А. М. Полянского, директора ГУ "Новгородский информационно-аналитический центр" администрации Новгородской области П. Ф. Иванова, директора ГУ "Центр автоматизированных систем" Администрации главы Республики Коми и Правительства Республики Коми И. И. Лавреша и др.

Информацию о конференции можно получить по телефонам оргкомитета: 095-234-5321, 974-7110 (факс) или на сайте. Участие в конференции для государственных служащих – бесплатное. Регистрация обязательна.

Компании Thales e-Security и CompuTel провели конференцию “Аппаратная платформа безопасности для приложений электронного бизнеса”, посвященную продукту WebSentry, который Thales e-Security разработала для приложений электронного бизнеса.

На конференции рассматиривались вопросы криптографической защиты данных, предпочтений программной или аппаратной защиты, тенденций развития отрасли.

Обсуждались возможности платформы WebSentry, ее преимущества для разработчиков приложений и системных интеграторов, пути применения нового продукта, примеры его использования в различных отраслях промышленности и сферы услуг.

Слушатели получили информацию о деятельности компании Thales e-Security, входящей в европейский концерн Thales.

С докладами выступали зарубежные партнеры и специалисты CompuTel. Они отмечали рост интереса российских структур к системам сильной защиты информации в целом и к продукции Thales e-Security в частности.

Организаторы конференции выразили уверенность, что ее итоги окажут положительное влияние не только на российский рынок систем безопасности, но и на отношение деловой общественности к электронному бизнесу.

Компания Wind River Systems выступила с инициативой, отвечающей растущим требованиям повышения надежности и безопасности встраиваемых систем. Специалисты этой организации разработали программу The Safe and Secure Programme, базирующуюся на созданных в компании интегрированных встраиваемых платформах, которая ориентирована на международные сертификационные стандарты. В рамках реализации первого этапа Secure Programme предусмотрена поддержка наиболее критичных к требованиям безопасности платформ, выполненных в соответствии с такими стандартами, как RTCA DO-178B и IEC61508. Наряду с сертификацией решений, подтвержденной выдачей свидетельств, программа обеспечивает предоставление заказчикам Wind River профессиональных услуг и поддержку в интеграции приложений.

Житель Сингапура, мечтавший быстро разбогатеть, стал очередной жертвой нигерийских интернет-аферистов. По собственным словам пятидесятилетнего отца семейства, он поплатился за собтсвенную жадность. Он отдал почти 330 тысяч долларов США жуликам, которые предложили ему долю в несуществующем двадцатипятимиллионном наследстве.

По электронной почте ему прислали письмо, подписаное "менеджером Алмазного банка Нигерии", в котором предлагалась 30-процентная доля в 25-миллионном наследстве. Взамен бедолаге пришлось перечислить сначала 17 тысяч долларов на оплату услуг юриста, а затем еще 18 тысяч долларов на его дорожные расходы. Затем его попросили перевести еще 129 тысяч долларов на расходы по переводу денег и прибыть в Лондон, где ему показали большую сумму якобы незаконных денег.

"Увидев деньги, которые были уже почти моими, я решил не останавливаться на полпути, - говорит неудавшийся миллионер. - Жена говорит, что от долгих разговоров по мобильному телефону я повредился умом и повсюду вижу только деньги". Пострадавший теперь должен 40 тысяч долларов банку, 230 тысяч долларов многочисленным друзьям и уже выставил свой дом на продажу.

Нигерия в последние годы приобрела дурную репутацию центра массовой индустрии афер, в которых простаков убеждают расстаться с крупными суммами денег в обмен на перевод огромных нелегальных сумм из Нигерии. Естественно, никаких переводов на самом деле не делают, и простаки остаются с носом. Эта схема получила название "419", по номеру статьи нигерийского уголовного кодекса, предусматривающего ответственность за мошенничество. Правительство страны уже давно и безрезультатно пытается положить конец этому виду мошенничества.
4

Анализ различных источников позволяет прогнозировать значительное увеличение в будущем различных проявлений киберпреступности. За последние 12 месяцев 82% американских компаний, опрошенных Институтом компьютерной безопасности (Computer Security Institute), сталкивались с проблемой компьютерных вирусов, а нанесенный им ущерб оценивается в $27,3 млн.

Следует также обратить внимание на преступления с электронными пластиковыми карточками. По экспертным оценкам, на международном уровне этот вид трансграничных преступлений причиняет ущерб банковской системе в размере до 10% объемов операций с карточными счетами. Так, в международной системе электронных платежей Mastercard зарегистрировано мошенничеств с карточками на сумму 703 млн.долл. США, VISA из-за мошенничеств с кредитными и дебиторскими карточками понесла ущерб в размере 1,2 млрд.долл. США.

У сотрудников 59% компаний преступники похищали лэптопы, в которых содержалась ценная информация (ущерб составил $6,8 млн.). У 42% компьютерные сети давали сбои (потери превысили $65,4 млн.). У 21% фирм из электронных баз данных была похищена ценная информация (ущерб - почти $71,2 млн.), а 15% компаний стали жертвами финансового мошенничества ($10,1 млн.).

Американская ассоциация компаний, работающих в сфере высоких технологий (ITAA), в конце июня этого года объявила о возможном создании коалиции для борьбы с интернет-мошенничеством. В ближайшее время ITAA планирует привлечь IT-компании к совместной разработке новых схем продажи товаров в интернете, более безопасных для клиентов. В число уже предложенных проектов входят, в частности, своевременное распространение информации о случаях Интернет-мошенничества и некоторые другие инициативы профилактического характера.

По прогнозу компании IDC, в 2002-2007 годы затраты американских фирм на обеспечение безопасности своих компьютерных баз данных вырастут на 15-18%. На 16% увеличатся затраты на оборудование и программное обеспечение, которое позволяет выявить факт незаконного проникновения в корпоративные компьютерные сети.
5

Массачусетская компания Legra Systems объявила о выпуске WLAN-коммутатора CryptoFlex, который, по ее заявлению, позволяет устранить все недостатки в системе безопасности беспроводных локальных сетей. Коммутатор работает под управлением собственного криптографического процессора с параллельными приоритетами (PCC - Parallel Priority Cryptography). Программная реализация выполнена на базе "беспроводной операционной системы" (WOS) Linux, движка TrueApp и протокола RemoteRadio. В комплект решения, помимо коммутатора, входят радиопередатчики LR11b и LR54a/g, устройство интеграции в сети с оборудованием Legra - LM6000 и программа автоматической оптимизации трафика - LM-AO-SW.

Legra Systems основана в 2002 году ветеранами сетевой индустрии. Ее владельцами являются венчурные фирмы Kodiak Venture Partners и Genesis Partners.

По материалам пресс-релиза компании.

Жители США ежегодно теряют миллионы долларов в результате действий мошенников. Преступники, как обычно, апеллируют к наивности и жадности людей. По данным ФБР\FBI, в 2002 году в США было арестовано более 330 тыс. человек, обвиненных в мошенничестве. Подобное преступление совершается в США каждые 7.5 секунд.

По данным Бюро Юридической Статистики\Bureau of Justice Statistics, в 2002 году жертвой мошенников стал каждый десятый американец. Эти данные были получены на основе опроса и не в полной мере отражают реальное положение дел. Этот же опрос показал, что в 2002 году о случаях мошенничества в полицию сообщали 49% пострадавших. Типичная жертва жуликов - пожилой человек с невысоким уровнем образования и доходом. Из-за развития телекоммуникаций в США, все больше мошенников начинает оперировать в виртуальном пространстве - в 2001 году впервые ущерб от мошенничеств, совершенных с помощью Интернета и электронной почты, превысил ущерб, нанесенный "традиционными" жуликами, не использовавших компьютер для проведения афер. По данным Центра Анализа Интернет-Мошенничества\Internet Fraud Complaint Center, среднестатистическая жертва интернет-преступления в 2002 году потеряла $845, жертва "традиционных мошенников" - $840 (данные ФБР).

Лишь 3-5% мошенничеств совершается реальными бизнес-структурами. Мошенники, в большинстве случаев, используют принцип "курочка по зернышку клюет" и наносят своим жертвами относительно небольшой ущерб. В 32% случаев жуликам удается похитить от $100 до 499, в 18% - от $1 тыс. до $3 тыс.. Лишь в каждом десятом случае, финансовые потери жертвы превышают $3 тыс. Вероятно это происходит и из-за активности правоохранительных органов. Статистика также показывает, что чем крупнее потери ограбленных, с тем большим усердием полиция стремится обнаружить злоумышленника. Большинство мошенников, похитивших суммы более $5 тыс., арестовываются в течение трех-четырех месяцев. Впрочем, несколько лет в розыске находятся мошенники, которые обманом получили от $100 до $1.5 млн.

Эксперты Юридического Центра Общества Потребителей США\National Consumer Law Center считают, что действия мошенников не отличаются разнообразием, и они используют лишь несколько широко известных приемов. Однако эти методы работают, несмотря на то, что об опасности подобных действий хорошо известно. К примеру, некий Марк Броуни\Mark Browne с 1998 года совершил, как минимум, шесть мошенничеств по одной и той же схеме. Он открывал виртуальный магазин и обзванивал людей с предложениями покупки бытовой электроники по супернизким ценам. Собрав $10-20 тыс., Броуни исчезал.

Статистика показывает, что в США наиболее успешно срабатывают следующие методы завлечения жертв: сообщение, что шанс купить предлагаемую вещь по столь дешевой цене - единственный в жизни; обещание получения денежного приза; обещание, что здоровье человека значительно улучшится; предложение секретной информации, которая позволит жертве заработать и использование запутанных правил, которые потребитель не в состоянии осмыслить. Общаясь с потенциальными жертвами, мошенники обычно подчеркивают, что их деятельность абсолютно законна. Они стремятся использовать названия хорошо известных и солидных фирм (например, для того, чтобы потребитель принял их за сотрудников компании Ivanov & С, используется название Evanov & С). Почти в половине случаев, мошенники смогли уловить жертву в свои сети после телефонного разговора.

За последние 12 месяцев 26% семей в США стала жертвой преступления (25% в 2002 году, 22% - в 2001 году). Исследование службы Gallup показало, что из них 15% семей стали жертвами актов вандализма. 14% пострадали от краж. 5% стали жертвами квартирных воров, 3% - жертвами угонщиков. 2% были ограблены, а 1% опрошенных угрожали сексуальным насилием. 6% стали жертвами преступников, действовавших в Интернете. Опрос показал, что 32% пострадавших от действий преступников не обращаются в полицию, вероятно поэтому данные официальной статистики расходятся с данным Gallup.

По данным Бюро Судебной Статистики\Bureau of Justice StatisticsI, в 2002 году в США было совершено около 23 млн. преступлений. В среднем, на 1 тыс. жителей США старше 12-ти лет приходится 23 преступления (25 в 2001 году). За последние 10 лет количество насильственных преступлений уменьшилось на 54%, количество имущественных преступлений (к ним относится и разрушение чужой собственности -вандализм) - уменьшилось на половину, количество изнасилований - на 53%.

Семнадцатилетний подросток из Бразилии был арестован в японском городе Осака по подозрению в участии в международной хакерской группе Cyber Lords, ответственной за дефейс (замену главной страницы) 1032 веб-сайтов в 33 странах только за последние несколько месяцев.

Японская полиция пытается нащупать следы группы в стране с марта этого года, после того как к ней поступила информация от Интерпола и полиции Южной Кореи. Кроме Кореи и Японии, от рук хакеров пострадали заглавные страницы сайтов США, Тайваня и Голландии.

Арестованного тинейджера полиция подозревает во взломе сайтов фирм компьютерного сервиса, частной школы в Токио и университетского госпиталя Киото. Все это, по данным полиции, было сделано за последние 13 месяцев. На допросах арестованный признал свое участие в группе и сообщил о том, что вместе с ним взломами занимаются еще 7 человек из США, Бразилии и Португалии. Таким образом, японской полиции удалось впервые арестовать члена группы. Он живет в центральной части Японии в городе Отавара и работает по контракту.

По словам следователей, группа использовала в своей "работе" известные дыры, которые забыли закрыть администраторы сайтов, и вывешивала вместо главной страницы сайта свое название и клички участников, с целью таким образом прославиться. Вместе с именами и названием группы измененные страницы снабжались списком уже взломанных сайтов. "Это только облегчит расследование", - заявили представители японской полиции газете Japan Times.

То, что обман и надувательство наводнили Сеть – не секрет; с помощью печально известного «мошенничества 419», или нигерийского спама, австралийскому аферисту, использовавшему интернет и телефон, удалось выманить у доверчивых простофиль более £2 млн.

Ник Маринеллис (Nick Marinellis) предстал перед судом города Даббо, штат Новый Южный Уэльс, в результате масштабного международного расследования. Как пишет австралийская газета The Age, если верить обвинению, Маринеллис нажил себе состояние на так называемом нигерийском спаме, или "мошенничестве 419", по номеру статьи в уголовном кодексе Нигерии. От одного шейха из Саудовской Аравии ему удалось получить £240 тыс., другие суммы и жертвы мошенника не называются, известно лишь, что среди них были венгры и японцы.

Напомним, что чаще всего «нигерийские письма» связаны с якобы конфиденциальным выводом из страны денег по одному или нескольким контрактам, договорам или вкладам, по которым отсутствуют живые получатели. Это либо банковский вклад, владелец которого умер, не оставив наследников, либо контракт, сумма по которому также стала никому не нужной, выигрыш в лотерею и так далее. Обычно подобные сообщения сразу же отправляют в мусорную корзину, прочитав только первую строчку, если они сразу не отфильтрованы средствами защиты от спама; однако, как выясняется, так поступают далеко не все.

Автор обычно обещает некие проценты или награду за помощь в перемещении средств на другие счета и просит жертву предоставить для этого данные по банковским счетам для быстрого перечисления платежа и другую персональную информацию – номер паспорта и социального страхования. Лишь однажды ответивший респондент через некоторое время начинает получать просьбы оплатить дополнительные взятки таможенникам, налоговым органам или перевести деньги на любые другие цели. Эти выплаты, часто колеблющиеся от десятков до тысяч долларов, и являются истинной целью мошенников. Ну а если жертва аферистов совершает хотя бы один платеж, жулики получают доступ к ее счетам и обчищают их до последнего цента.

Об аресте Ника Маринеллиса были уведомлены международные правоохранительные организации, включая Интерпол, разведывательное управление США и британское Бюро криминальных расследований (Criminal Intelligence Bureau). Однако адвокат обвиняемого, Кетрин Колкахун (Catherine Colquhoun), описала своего подзащитного как добропорядочного семьянина, регулярно посещающего церковь и заботящегося о своих престарелых родителях, живущего, к тому же, на пенсию по нетрудоспособности. Однако, несмотря на прошение адвокатов подсудимого, где говорилось, что Маринеллису необходимо выйти на свободу, чтобы пройти курс лечения от шизофрении, судебные органы отказались выпустить его под залог. Слушанья по делу о «мошенничестве 419» назначены на 12 декабря и состоятся в Сиднее.

Как рассказал CNews.ru директор по развитию бизнеса РБК СОФТ Тимур Аитов, «зацепить нашего человека «нигерийским» письмом невозможно - для нас это слишком примитивно». По словам г-на Аитова, другой хорошо известный западный способ мошенничества - невинная просьба прислать реквизиты карточного счета под предлогом поступления на новую работу - в России вообще представляется анекдотом: у подавляющего числа российских граждан никаких карточных счетов нет. Соответственно, многие проблемы западных интернетчиков для России не характерны. Тем не менее, общий уровень фрода по карточным транзакциям остается действительно высоким, и в "международный" миллиард долларов мошеннических транзакций россияне вносят свой достойный вклад. Например, многие западные сайты из сферы игорного бизнеса вообще не позволяют россиянам играть на деньги и предоставляют нашим соотечественникам ограниченный доступ "for fun" - только для удовольствия. «Что поделать, владельцы западных виртуальных казино минимизируют свои риски», - отмечает Тимур Аитов.

30 октября 2003 года в конференц-зале гостиницы «Измайловская» состоялась конференция «Безопасность в торговле". Ее организатором явился «Центр безопасности торговли»(ЦБТ). На конференцию были приглашены более 70 руководители ЧОПов и служб безопасности (СБ) крупных торговых предприятий из Москвы и регионов, в том числе сетевого ритейла, сообщает пресс-служба Холдинга «ШЕРИФ». В ходе семинара обсуждались широкий круг вопросов уменьшения потерь и борьбы с различного рода рисками в сфере торговли.

В условиях обострившейся конкурентной борьбы наиболее остро сегодня стоит вопрос о привлечении, помимо собственных ЧОПов и СБ, ресурса и наработок сторонних охранных структур, специализирующихся на охране торговых предприятий.

Особое внимание присутствующих, по мнению организаторов, привлекло выступление Александра Магрицкого, руководителя одной из структур в составе Холдинга предприятий безопасности «ШЕРИФ», который рассказал о новых технологиях по обеспечению комплексной безопасности торговых центров силами охранного предприятия.

В сообщении г-на Магрицкого был предложен системный подход к методам и способам обеспечения безопасности, включая «солидарную ответственность» охранного предприятия за недостачи магазина по итогам инвентаризации. Были конкретизированы порядок и способы отчетности ЧОПа перед руководством торгового предприятия. Сообщение сопровождалось красочно оформленными компьютерными диапозитивами, проецируемыми на большой экран. По словам Александра Магрицкого, наиболее востребованными в сфере торговли сегодня являются услуги по проведению экспертизы охраняемого объекта и по предоставлению руководителю торгового предприятия детальных рекомендаций по обеспечению мер комплексной безопасности.

В выступлениях экспертов на конференции были затронуты также темы: эффективного использования техсредств безопасности (видеонаблюдения, зеркал, противокражных систем и пр.), соответствия действующего законодательства юридическим нормам задержания «воришек» охранниками, категорирования угроз и рисков в торговых объектах различной сложности (супермаркеты, магазины, склады и т.д.)

Штрихкоды с вкраплениями магнитных частиц диаметром в несколько миллионных миллиметра помогут распознавать фальшивые товары и документы. Рассел Кауберн из университета Дарема предложил новую технологию защиты от подделок – линии штрих-кода, содержащие пермаллой - сплав никеля и железа. Подобным образом печатаются электронные микросхемы – каждый оттиск организует находящиеся в нем магнитные частицы особым образом. Каждый оттиск уникален, отличается уникальным магнитным полем. Последнее можно измерить, зафиксировать и потом проверять, чтобы убедиться, что штрих-код подлинный.

Различные магнитные поля разным образом взаимодействуют со светом. Поэтому отражения поляризованного лазерного луча со штрих-кода позволят определить его магнитные свойства. Из подробностей можно составить базу данных, связанную с каждым штрих-кодом.

При проверке штрих-кода новый аппарат, похожий на обычный кассовый лазер, измеряет магнитное поле и зашифрованное в нем число. Сканер сверяется с базой данных, проверяя, соответствуют ли эти данные номеру штрих-кода. Операция занимает несколько секунд. Безопасность системы связана с тем. Что подобные штрих-коды нельзя делать на заказ. Заранее задавая характеристики. Чтобы остаться незамеченными, авторам подделок придется взламывать базу данных.

Возможный способ подделки – переклеивание оригинального кода с одного товара на другой – можно избежать, если печатать штрих-код на таких материалах, которые обеспечивают его разрушение при переклеивании. Сканер и база данных могут поместиться в приборе размером с обычный плеер, поэтому товары можно проверять практически в любом месте.

Ежедневно в мире $2000 млрд. перечисляются с использованием электронных систем связи. Учитывая возрастающую сложность электронных банковских технологий, вопросы обеспечения информационной безопасности становятся все более важными.

Специалисты Межбанковского Финансового Дома (МФД) совместно с Ассоциацией Российских Банков (АРБ) провели опрос среди 200 российских банков по поводу проблем обеспечения безопасности интернет-технологий.

Хотя в 88,57% опрошенных банков автоматизированы все бизнес-процессы, 9,14% сообщили о том, что используют информационные технологии только в некритичных сегментах из-за отсутствия решений для надежной защиты информации. Существующей практикой обеспечения безопасности интернет-технологий, используемых для банковской деятельности, удовлетворены лишь 25,71% респондентов. При этом сложившаяся на рынке защиты информации ситуация не устраивает 27,43% опрошенных, поскольку рынок, по их мнению, монополизирован, а 65,14% отмечает, что рынок ограничен.

При решении вопросов информационной безопасности банки сталкиваются со следующими проблемами: организационными – 37,14%, кадровыми -- 37,71%, правовыми – 69,14%, техническими – 40,57%, финансовыми – 43,43%. Более трех четвертей (78,86%) считает необходимой регламентацию (разработку новых стандартов, методик, единых критериев оценки) процессов использования информационных систем.

Решать проблемы информационной безопасности своими силами считают правильным 12% опрошенных, 37,14% уповают на кооперацию кредитных организаций, а 54,86% респондентов считают, что необходима широкая кооперация, включая федеральные структуры. По их мнению, координирующий центр должен выполнять следующие функции: организационные (46,86%), кадровые (8,00%), нормативно-правовые (85,71%), технические (29,71%), учебно-методические (82,29%), аудита информационной безопасности (42,29%), страхования (23,43%). Кроме того, 89,14% опрошенных высказали заинтересованность в оценке экономической эффективности принятых в банке решений по защите информационных ресурсов.
12

Анализ различных источников позволяет прогнозировать значительное увеличение в будущем различных проявлений киберпреступности. За последние 12 месяцев 82% американских компаний, опрошенных Институтом компьютерной безопасности (Computer Security Institute), сталкивались с проблемой компьютерных вирусов, а нанесенный им ущерб оценивается в $27,3 млн.

Следует также обратить внимание на преступления с электронными пластиковыми карточками. По экспертным оценкам, на международном уровне этот вид трансграничных преступлений причиняет ущерб банковской системе в размере до 10% объемов операций с карточными счетами. Так, в международной системе электронных платежей Mastercard зарегистрировано мошенничеств с карточками на сумму 703 млн.долл. США, VISA из-за мошенничеств с кредитными и дебиторскими карточками понесла ущерб в размере 1,2 млрд.долл. США.

У сотрудников 59% компаний преступники похищали лэптопы, в которых содержалась ценная информация (ущерб составил $6,8 млн.). У 42% компьютерные сети давали сбои (потери превысили $65,4 млн.). У 21% фирм из электронных баз данных была похищена ценная информация (ущерб - почти $71,2 млн.), а 15% компаний стали жертвами финансового мошенничества ($10,1 млн.).

Американская ассоциация компаний, работающих в сфере высоких технологий (ITAA), в конце июня этого года объявила о возможном создании коалиции для борьбы с интернет-мошенничеством. В ближайшее время ITAA планирует привлечь IT-компании к совместной разработке новых схем продажи товаров в интернете, более безопасных для клиентов. В число уже предложенных проектов входят, в частности, своевременное распространение информации о случаях Интернет-мошенничества и некоторые другие инициативы профилактического характера.

По прогнозу компании IDC, в 2002-2007 годы затраты американских фирм на обеспечение безопасности своих компьютерных баз данных вырастут на 15-18%. На 16% увеличатся затраты на оборудование и программное обеспечение, которое позволяет выявить факт незаконного проникновения в корпоративные компьютерные сети.
13

Подделывать документы станет сложнее.

Исследователи из университета канадского города Торонто создали новый метод защиты от подделок графических элементов на бумажных документах. Теперь подделать подписи, подменить фотографии или отпечатки пальцев будет несравненно сложнее. Разработкой руководила профессор Евгения Кумачева, которая возглавляет также канадский Комитет по исследованиям в области современных полимерных материалов.

Тонкая пленка полимера состоит из трех слоев, каждый из которых, в свою очередь, состоит из крошечных (диаметром всего лишь несколько нанометров) капсул красителей трех различных типов. Один из слоев воспринимает излучение на определенной длине волны в видимом участке спектра, другой - в инфракрасном диапазоне, а третий - в ультрафиолетовой области спектра. Облучая бумагу излучением высокой интенсивности и на определенной длине волны, можно нанести специальные знаки на различные документы и удостоверения. На таких документах, например, невооруженным глазом можно увидеть только фотографию, при освещении в ИК-диапазоне - подпись, а в УФ-области - отпечатки пальца владельца.

Канадские исследователи подали патентную заявку на новую технологию защиты документов от подделок. По их мнению, технология найдет применение в таможенном и паспортном контроле, на пропускных пунктах в правительственных учреждениях и в различных организациях, где есть специальные требования по секретности и ограничению доступа на объекты.

Один из крупнейших японских производителей персональных компьютеров, японская компания NEC решила позаботиться о покупателях своих ПК и оградить их от проблем с компьютерными вирусами и несанкционированным доступом к данным. С начала ноября 2003 года на все компьютеры этой компании предустанавливается специальное программное обеспечение, следящее за установками безопасности в браузере Internet Explorer и сигнализирующее при изменениях, вносимых в настройки рекомендуемого среднего уровня безопасности. По словам пресс-секретаря NEC Аки Ота, это позволяет предотвратить возможное снижение уровня безопасности без ведома пользователя, что стараются сделать компьютерные вирусы.

Кроме того, с середины ноября текущего года компании NEC будет напоминать всем своим клиентам о необходимости установки патчей для операционной системы: перед установкой "заплаток" пользователь компьютера получит соответствующее уведомление, а сам процесс загрузки и установки будет проходить в автоматическом режиме.

Все эти полезные функции касаются не только новых компьютеров, но и машин, проданных, начиная с октября 2002 года, на которых установлена фирменная программа технической поддержки. Эта программа соединяется с сервером NEC, с которого, по желанию пользователя, могут быть загружены соответствующие обновления. По сообщению PC World, компания Microsoft намерена последовать примеру NEC и реализовать механизм автоматической загрузки патчей: на одном из дисков, которые эта фирма бесплатно распространяла в сентябре среди японских пользователей, имеется утилита, принудительно включающая функцию обновления Windows.

На своей конференции для профессиональных разработчиков (PDC), проходившей в Лос-Анджелесе, штат Калифорния, на прошлой неделе, корпорация Microsoft продемонстрировала одну из первых версий технологии обеспечения безопасности компьютеров NGSCB. Эта технология, ранее известная под названием Palladium, объединяет программные и аппаратные средства (специальный крипточип, входящий в набор системных микросхем) с целью достижения максимально надежной защиты информации. Предварительная версия NGSCB была предоставлена для тестирования участникам конференции.

За время, прошедшее с момента появления первой информации о Palladium, в Microsoft несколько скорректировали свои планы в отношении данной технологии. Первая полнофункциональная версия NGSCB, которая появится в операционной системе Longhorn в 2005-2006 годах, будет предназначена исключительно для использования в бизнесе. От продвижения NGSCB на потребительском рынке пока решено отказаться. Дебют технологии для рядовых потребителей может состояться лишь после выхода в свет NGSCB 2. Сроки создания второй версии NGSCB пока неизвестны даже самой Microsoft.

В перспективе, NGSCB позволит создавать на компьютере защищенное рабочее пространство. Защищены будут не только файлы, но и каналы обмена информацией между приложениями, периферийными устройствами и интернетом. Обратной стороной этого является необходимость закупки нового оборудования, в котором новые возможности реализованы аппаратно.

Что касается версии NGSCB, представленной на PDC, то в Microsoft подчеркивают, что она является предварительной, и по словам менеджера Microsoft по безопасности Марио Хуареса, нет гарантии, что продукты на базе нынешней версии будут совместимы с окончательным вариантом NGSCB.

Сразу несколько антивирусных компаний распространили предупреждения о появлении в интернете нового почтового червя Mimail.C. Он представляет собой новый вариант уже известного червя Mimail.

Mimail.C маскируется под письмо с вложенными частными эротическими фотографии, попавшее к получателю по ошибке. При открытии вложенного файла с именем photos.zip вирус активируется и выполняет три действия: рассылает свои копии по всем адресам электронной почты, найденным в файлах на компьютере, организует DoS-атаку на сайты darkprofits.net и darkprofits.com, а также перехватывает информацию из некоторых окон и переправляет ее на почтовый адрес своего автора.

По классификации Symantec, опасность вируса оценивается как средняя. Тем не менее, Mimail.C уже довольно широко распространился в интернете.

Впрочем, России эпидемия Mimail.C вряд ли угрожает: потенциальные жертвы вируса редко знают английский и не клюнут на приманку.

Программа: MPM Guestbook 1.2

Опасность:

Наличие эксплоита: Да

Описание: Уязвимость обнаружена в MPM Guestbook. Удаленный пользователь может выполнить XSS нападение.

Уязвимость обнаружена при обработке данных, представленных в "lng" параметре.

Пример/Эксплоит:

http://[victim]/guestbook/?number=5&lng=%3Cscript%3Ealert(document.domain);%3C/script%3E

URL производителя: http://mpm.pahviloota.net/index.php?p=4

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Программа: Ethereal 0.9.16

Опасность: Средняя

Наличие эксплоита: Нет

Описание: Несколько уязвимостей обнаружено в Ethereal. Злонамеренный пользователь может вызвать отказ в обслуживании или скомпрометировать уязвимую систему.

1. Переполнение буфера обнаружено в обработке GTP и SOCKS протоколов. В результате удаленный пользователь может выполнить произвольных код на уязвимой системе.

2. Уязвимость обнаружена в обработке ISAKMP м MEGACO пакетов. Удаленный пользователь может аварийно завершить работу программы.

URL производителя: http://www.ethereal.com/

Решение: Установите обновленную версию программы (0.9.16) или отключите анализ GTP, ISAKMP, MEGACO, и SOCKS протоколов.

Программа: IA WebMail Server 3.1.0 Опасность: Критическая Наличие эксплоита: Нет Описание: Уязвимость обнаружена в IA WebMail Server. Злонамеренный пользователь может скомпрометировать удаленную систему. Уязвимость связанна с ошибкой в проверке границ в Web службе при обработке HTTP GET запросов. В результате удаленный пользователь может послать чрезмерно длинный, специально обработанный HTTP GET запрос, чтобы вызвать переполнение буфера и выполнить произвольный код на уязвимой системе. URL производителя: http://www.tnsoft.com Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

IA WebMail Server 3.x Buffer Overflow Vulnerability

Программа: ThWboard 2.x

Опасность: Средняя

Наличие эксплоита: Нет

Описание: Несколько уязвимостей обнаружено в ThWboard. Злонамеренный пользователь может выполнить нападение SQL инъекции и XSS нападение.

Уязвимость связанна с ошибкой в проверке правильности входных данных в различных частях программы. Дополнительные подробности не раскрываются.

URL производителя:http://www.thwboard.de/

Решение: Обновите программу до beta 2.82: http://sourceforge.net/project/showfiles.php?group_id=40643

Программа: SnapGear до версии 1.8.5

Опасность: Критическая

Наличие эксплоита: Нет

Описание: SnapGear выпустила обновление, которое устраняет несколько уязвимостей.

Удаленный пользователь может вызвать DoS нападение или скомпрометировать уязвимое устройство.

URL производителя:http://www.snapgear.com/

Решение:Установите обновленную версию программы (release candidate 1.8.5): http://www.snapgear.com/downloads.html

Программа: FirstClass 7.1

Опасность: Низкая

Наличие эксплоита: Да

Описание: Уязвимость обнаружена в FirstClass. Удаленный пользователь может просмотреть содержание Web root каталога.

Следующий запрос раскроет содержание Web root каталога:

http://[victim]/Search

URL производителя:http://www.centrinity.com

Решение: Не помещайте чувствительную информацию в Web каталог.