Российская Госдума займется спамом

Российские законодатели всерьез озаботились проблемой борьбы с непрошеной электронной корреспонденцией - спамом. Как пишут сегодня "Ведомости", в Госдуму внесено сразу два антиспамерских законопроекта.

Авторы законопроектов полагают, что в случае быстрого принятия этих документов российский спам можно будет побороть уже до конца этого года, но сами спамеры не верят, что закон будет работать.

Сегодня инициаторы от "Единой России" намерены внести в Госдуму законопроект с касающимися спама поправками к федеральному закону "О рекламе", к Кодексу об административных правонарушениях и к Уголовному кодексу. Также за разработку и внесение в Госдуму аналогичного документа проголосовала 23 июня Мосгордума.

По сути оба законопроекта довольно похожи, но более жесткий - вариант "Единой России". Он, в частности, дает конкретное определение массовой рассылки и спама. За распространение спама предполагается налагать административные штрафы от 300 до 1000 МРОТ (т. е. до 100 000 руб.), а за рассылки от чужого имени - до 1 млн руб. или в размере дохода осужденного за период до 18 месяцев. Если же спамом от чужого имени занимается группа лиц или по предварительному сговору, это может караться исправительными работами на срок от одного до двух лет. В московском законопроекте спаму дается чуть более широкое определение, а ответственность - несколько более мягкая.

Генеральный директор Удостоверяющего центра ekey.ru принял участие в расширенном заседании Правления и Попечительского совета Центра развития информационного общества

В повестку дня юбилейного заседания были включены :
1. Проблемы перехода к инновационной экономике.
2. Первые итоги и перспективы административной реформы

Министр информационных технологий и связи РФ Л.Д.Рейман в приветственном слове перечислил основные достижения центра Развития Информационного Общества за истекший год. В числе весьма результативных мероприятий был упомянут круглый стол "Развитие электронной торговли и коммерции в России".

Напоминаем, что в своем докладе "Сеть Удостоверяющих центров ekey.ru как инфраструктура низкого уровня для систем электронных торгов" генеральный директор Удостоверяющего центра ekey.ru Афанасьев Георгий Эдгардович выступил с инициативой согласования единого профиля сертификата электронной цифровой подписи для систем электронной торговли. Необходимость принятия единого профиля сертификата ЭЦП вызвано тем, что сейчас список обязательных полей сертификата не является общепринятым, и разработчики программного обеспечения для электронных тогров принимают собственные списки обязательных полей, кроме полей оговоренных явно в законе об Электронной цифровой подписи, разработчики добавляют поля, которые обязательны и программа электронных торгов воспринимает сертификат, только при наличии этого поля. Так как в России около пятнадцати организаций позиционируются как разработчики систем для электронных торгов, столько же создается и профилей сертификатов. В результате чего возникает взаимная несовместимость сертификатов ЭЦП. Для принятия общего профиля не требуется финансовые затраты, а только добрая воля фирм-разработчиков и удостоверяющих центров

Любого пользователя Hotmail могут записать в спамеры и лишить ящика

Интернет-почта Hotmail.com так активно борется со спаммерами, что от этого страдают обычные пользователи, собщает Maariv.

Журналисты выяснили, что для закрытия почтового ящика ни о чем не подозревающего пользователя необходимо лишь сообщить в службу поддержки пользователей Hotmail о том, что с его адреса рассылается спам. В трех случаях, отслеженных журналистами, почтовые ящики были удалены в течение 24 часов после отправления жалобы без каких-либо дополнительных проверок.

В двух случаях почтовые ящики были закрыты из-за того, что злоумышленники, рассылавшие спам через израильского интернет-провайдера, изменили заголовки писем таким образом, как будто спам рассылался пользователем Hotmail.

В третьем случае журналисты Maariv создали специальный почтовый ящик, который ни разу не использовался для отправления писем. Затем с другого почтового ящика в службу поддержки пользователей Hotmail было направлено письмо с жалобой на спам, к которому были приложены заголовки старого спама, где адрес отправителя был заменен адресом созданного ящика.

Вскоре служба поддержки пользователей Hotmail ответила, что жалоба рассмотрена и меры будут приняты, и созданный почтовый ящик был закрыт.

Интернет-пирамида или обыкновенное мошенничество

По данным Центра исследования компьютерной преступности, в 2001 году убытки от виртуальных аферистов во всем мире составили 17 миллионов долларов, в 2002 году - 54 миллиона, в прошлом году сумма достигла 1,5 миллиарда долларов.

Зарабатывать в Интернете пробуют по-разному. Кое-кто пытается обогатиться с помощью сетевого маркетинга в Интернете. Но это все так, мелочи. Самые большие барыши приносит прием денег в «ВебМани» под проценты. Самый известный в этой области проект –«ДДД-фонд». Его руководителей сейчас разыскивает Интерпол, однако с самим сайтом по-прежнему можно ознакомиться. Раздел «Гарантии» начинается так: «Вкладываете, но волнуетесь, что в один момент наш проект исчезнет? Вам кажется, что это очередная «пирамида» и вместо реального дела вы услышите только слова? Множество так называемых коммерсантов предлагали неправдоподобные проценты, ссылаясь на что-то реальное, а в действительности все гарантии оказывались простой фикцией...»

Фикцией оказались и обещания «ДДД-фонда» - обычной «пирамиды», выстроенной по типу легендарной компании МММ. Клиенты фонда вкладывали свои виртуальные деньги фактически под честное слово, но это их не останавливало: суммы-то небольшие - доллар, пять, десять - для эксперимента вроде как не жалко. В итоге в «ДДД-фонде» осели значительные суммы. Сначала он деньги возвращал, и действительно с процентами, - за счет притока новых членов, а потом в один прекрасный момент просто перестал выполнять обязательства. Руководитель «ДДД-фонда» исчез, прихватив с собой около 50 тысяч совсем не виртуальных долларов.

«Пирамида» развалилась, а миф о деньгах, которые можно с легкостью заработать в Интернете, до сих пор живет. Поэтом другие фонды и клубы находят себе новых простаков. Огромное количество Интернет-пользователей, даже никого не спрашивая, просто отдают свои деньги, поверив в реальность космической прибыли - до 2 тысяч процентов годовых. Причем говорить о невинных жертвах подлых мошенников не приходится. Практически все участники новых МММ-ов прекрасно понимают, что сверхприбыли возможны лишь в «пирамиде», но надеются успеть заработать. Объемы этого бизнеса аналитики оценивают по-разному. Считается, что хорошо раскрученная «пирамида» может принести аферисту за полгода своего существования и 100, и 200, и 400 тысяч долларов.

Сотрудник AOL подозревается в продаже списка клиентов спамерам

Сотрудник компании America Online арестован по подозрению в краже списка клиентов интернет-провайдера и продаже его спамерам, сообщает Reuters. Прокурор Южного округа Нью-Йорка Дэвид Келли сказал, что сотрудник AOL, проживающий в Западной Вирджинии, обвиняется в похищении списка, который насчитывает 92 миллиона имен, и продаже его частному лицу, занимающемуся торговлей в интернете. Последний, который также был арестован, использовал список для рекламы своего онлайнового игорного бизнеса, а также продавал его другим спамерам, утверждает Келли. Пресс-секретарь AOL, в свою очередь, сказал, что обвиняемый уже уволен.

Microsoft вступает в войну "почтовых ящиков"

Не желая отставать от конкурентов — Google и Yahoo — Microsoft собирается уже в начале июля предоставить платным пользователям своей службы Hotmail почтовые ящики размером до 2 ГБ, а также увеличить размер ящиков для бесплатных пользователей.

Бесплатные клиенты Hotmail, которым предоставлялись почтовые ящики размером 2 МБ, по планам Microsoft, смогут теперь увеличить их размер до 250 МБ. Допустимый размер вложенных файлов также увеличится с 1 МБ до 10 МБ. Платные пользователи нового сервиса Microsoft Hotmail Plus за $19,95 в год получат ящики по 2 ГБ, а также возможность отправлять вложения размером до 20 МБ. Объем ящиков остальных платных пользователей Hotmail увеличится к концу лета.

Microsoft заявляет также о том, что предоставит всем 170 млн. клиентов MSN Hotmail бесплатный сервис по защите почты от вирусов и «червей». Те, кто заплатит за Hotmail Plus, не будут также получать графической рекламы (ее заменит текстовая), а их электронный адрес будет бессрочным. Бесплатным же пользователям придется заходить за почтой не реже, чем раз в 30 суток.

Первым среди крупнейших мировых поисковиков в войну «почтовых ящиков» вступил Google, предоставив клиентам своей службы Gmail бесплатные ящики размером 1 ГБ. Реакция конкурентов последовала незамедлительно. Размер почтовых ящиков (платных — до 2 ГБ, бесплатных — до 100 МБ) вскоре увеличил и Yahoo, теперь же настала очередь Microsoft.

Отметим, что российские почтовые службы решили пойти дальше своих западных конкурентов: и Mail.ru, и «Яндекс» предоставляют теперь своим пользователям неограниченный объем бесплатных почтовых ящиков. У Mail.ru функция расширения почтового ящика еще с 14 апреля была доступна в тестовом режиме ограниченному количеству пользователей — предложенной возможностью за неделю тестового периода воспользовались 11,3% из них.

Владельцы почтовых ящиков «Яндекса» также могут самостоятельно установить нужный им размер, увеличивая его каждый раз по запросу на 20 МБ. Максимальный размер письма остался прежним — 10 МБ. Отметим, что почтой «Яндекса» ежемесячно пользуется около 3 млн. человек, Mail.ru — 9 млн. человек.

Сканер отпечатков пальцев будет защищать сумки от воров

23-летняя британская специалистка по промышленному дизайну из университета Брунэля (Brunel University) Луиза Уилсон (Louise Wilson) придумала, как защитить сумки от воров — нужно встроить в ручную кладь сканер отпечатков пальцев.

Устройство уже отмечено престижной наградой (AOL Broadband Innovator Award), а его создательница ведет переговоры с производителями сумок о выпуске Anti-Theft Handbag на рынок

Уитфилд Диффи желает успехов российской инфраструктуре PKI

Вчера Россию посетил создатель и основоположник современной инфраструктуры цифровой идентификации на основе шифрования с открытым ключом Уитфилд Диффи (Whitfield Diffie). Диффи выступил с двумя докладами перед представителями отечественного рынка информационной безопасности на конференции по безопасным компьютерным решениям, которую организовало и провело российское подразделение корпорации SUN. В первом докладе Уитфилд Диффи изложил свою версию развития истории криптографии, это сообщение было особенно интересно, тем, что Диффи сам является частью этой истории. Гуру мировой криптографии выглядит, как настоящий хиппи - седовласый длинноволосый человек, который после своего выступления садится в последний ряд и открывает ноутбук, чтобы сосредоточиться на работе. В кулуарах участники конференции поделились шептались, что образ Диффи идеально сочетается с поколением Харлеев. Второй доклад Диффи посвятил рассмотрению перспектив криптографии и ее приложений. Если первое сообщение было посвящено систематизации прошлого, то во втором Диффи постарался структурровать будущее, изложив свои прогнозы в области технологий цифровой идентификации.

Диффи Уитфилд, совместно с Хелманом , в семидесятых годах прошлого столетия разработали теорию цифровых подписей, основанную на идее пары открытый-закрытый ключ. Символично, что изначально алгоритмы ЭЦП разрабатывались для прикладной задачи – защиты обеспечения защиты транзакций покупки и продажи, выполняемых с домашних терминалов. 

После завершения  официальной части конференции, состоялась неформальная встреча создателя алгоритма шифрования Диффи-Хеллмана Уитфилда Диффи и генерального директора Удостоверяющего центра ekey.ru Афанасьева Георгия Эдгардовича. Взяв в руки программку конференции Диффи написал автограф с пожеланиями успехов и процветания российской инфраструктуре электронной цифровой подписи.

Уитфилду Диффи удалось решить главную задачу криптографии прошлого века: как при обмене зашифрованными посланиями уйти от необходимости передачи секретного кода расшифровки, который, как правило, не меньше самого послания. Открытое распространение ключей  Диффи-Хеллмана позволяет паре пользователей системы выработать общий секретный ключ, не обмениваясь секретными данынми. Предположим, что двум абонентам необходимо провести конфиденциальную переписку, а в их распоряжении нет первоначально оговоренного секретного ключа. Однако, между ними существует канал, защищенный от модификации, то есть данные, передаваемые по нему, могут быть прослушаны, но не изменены (такие условия имеют место довольно часто). В этом случае две стороны могут создать одинаковый секретный ключ, ни разу не передав его по сети, по следующему алгоритму. Сначала генерируются два больших простых числа n и q. Эти два числа не обязательно хранить в секрете. Далее один из партнеров P1 генерирует случайное число x и посылает другому участнику будущих обменов P2 значение A = qx mod n По получении А партнер P2 генерирует случайное число у и посылает P2 вычисленное значение B = qy mod n Партнер P1, получив В, вычисляет Kx = Bx mod n, а партнер P2 вычисляет Ky = Ay mod n. Алгоритм гарантирует, что числа Ky и Kx равны и могут быть использованы в качестве секретного ключа для шифрования. Ведь даже перехватив числа А и В, трудно вычислить Kx или Ky. При помощи специальных приемов время формирования общего ключа в системе ОРК Диффи-Хелмана с простым числом P из 150 десятичных знаков может быть сокращено в 5-6 раз по сравнению с системами ОШ ЭльГамаля и Шамира, использующими то же число P, т.е. оно становится в 30-35 раз меньше чем время обработки блока в RSA с тем же уровнем стойкости. Это с точки зрения большинства практических приложений оказывается заметным преимуществом. Источник (см. также RFC-2786 "Diffie-Helman USM Key Management Information Base and Textual Convention. M. St. Johns. March 2000".)  Дополнительные ссылки: Интервью с Уитфилдом Диффи "Пророк privacy", Wired

Крупнейшие интернет-компании договорились о едином подходе к борьбе со спамом

Ведущие американские интернет-компании, сформировавшие ранее организацию "Технический альянс против спама" (ASTA), опубликовали перечень мер и рекомендаций по борьбе с нежелательной почтовой корреспонденцией. В число учредителей ASTA вошли компании Microsoft, Yahoo, провайдеры Earthlink и AOL. Все эти компании в настоящее время внедряют технологии борьбы с подделкой адресов отправителя.

В основе всех разработок лежит принцип проверки IP-адреса сервера-отправителя, хотя реализуется это по-разному. В частности, Yahoo предлагает технологию Domain Keys, использующую для подтверждения истинности адреса отправителя принципы электронной подписи. Microsoft, в свою очередь, предлагает собственную технологию Caller ID, а Earthlink и AOL предпочитают использовать систему Sender Policy Framework (SPF).

Поскольку каждая из компаний предлагает собственную систему, часто высказывается опасение, что из-за несовместимости этих решений друг с другом борьба с подделкой электронных адресов обречена на провал, ведь если поддержка указанных технологий не получит повсеместного распространения, толку от них не будет никакого. Впрочем, в мае Microsoft и разработчики SPF объявили о намерении объединить свои технологии проверки подлинности адресов и создать новую систему под названием Sender ID.

Что касается Domain Keys, то эта система вполне может использоваться параллельно с Sender ID. Во всяком случае, AOL и EarthLink намерены включить поддержку разработок Yahoo в свои почтовые службы. В перечне мер, предложенном ASTA, рекомендуются к применению обе эти технологии, причем применение метода электронной подписи называется перспективным в долгосрочном периоде.

В числе прочего, стоит отметить и рекомендации ASTA для провайдеров. Помимо традиционного призыва ввести аутентификацию пользователей при отправке почты, ограничивать объем исходящей почты для каждого пользователя и обеспечить возможность жаловаться на спам, в рекомендациях содержится пункт, предлагающий внедрить средства отключения от сети компьютеров, использующихся для рассылки спама без ведома их хозяев (например, с помощью троянов или вирусов). Ознакомиться с полной версией рекомендаций ASTA можно здесь (файл PDF объемом 162 кб).

"Антивирус Касперского" интегрирован в интернет-шлюз Eye box ONE NG Series

"Лаборатория Касперского" сообщила о заключении соглашения о технологическом партнерстве с французской компанией Right Vision, европейским лидером в области производства интернет-шлюзов. Специальная OEM-версия технологии антивирусного сканирования "Лаборатории Касперского" внедрена в комплекс программного обеспечения нового поколения интернет-шлюзов Right Vision под названием Eye box ONE NG Series.

Семейство интернет-шлюзов Eye box ONE NG Series представляет собой новое поколение средств связи конечных пользователей с корпоративными базами данных и интернетом. Это решение включает в себя полный набор функций, обеспечивающих взаимодействие корпоративной сети с интернетом. Оно оптимизировано для использования в сетях предприятий среднего и малого масштаба, а также компаний с территориально распределенной структурой. Отличительной особенностью Eye box ONE NG Series является полная готовность к эксплуатации в рамках уже существующей IT-инфраструктуры заказчика за счет предварительной настройки, а также простоты в установке и использовании. Серверы семейства Eye Box поддерживают до 500 пользователей, обеспечивая эффективное управление всеми интернет-сервисами.

Интегрированная антивирусная технология "Лаборатории Касперского" предоставляет пользователям Eye Box защищенное от вредоносных программ соединение с внутрикорпоративными инфоресурсами и интернетом.

Новое поколение интернет-шлюзов Eye box ONE NG Series с интегрированной антивирусной технологией "Лаборатории Касперского" можно приобрести у следующих дилеров RightVision: Softway, Risc Technology, Iscambe. Стоимость антивирусного модуля, включающая техническую поддержку, базируется на количестве защищаемых пользователей. В частности, ценовое решение при организации защиты сети из 150 объектов составит от €900, в то время как антивирусная защита 300 пользователей будет стоить от €1620 евро за один год.

Защита информации. Шифрование обеспечивает защиту

IPSec — одна из важнейших технологий обеспечения безопасности, получившая широкое распространение в виртуальных частных сетях. Но в чем заключаются ее сильные и слабые стороны и как работает этот комплект протоколов?

Протокол IPSec изначально разрабатывался как часть IPv6, наследника являющегося сегодня стандартом сетевого протокола IPv4. Последний сам по себе не предлагает никаких гарантий безопасности. Так, получатель пакета IP не может быть уверен в том, что сообщение пришло с указанного в заголовке IP-адреса и что оно не было прочитано или изменено третьими лицами.

Таким образом, протокол безопасности на уровне IP должен позволить предотвратить несанкционированное чтение и изменение данных, а также проводить двустороннюю аутентификацию взаимодействующих партнеров.

IPSec дает возможность справиться с некоторыми потенциальными проблемами безопасности. Для обеспечения конфиденциальности предлагается шифрование данных. Однако при единовременной отправке большого числа пакетов криптографические методы с асимметричным ключом оказываются непригодными в силу их недостаточной производительности. А при использовании альтернативного симметричного метода (Preshared Keys) взаимодействующим партнерам требуются надежные способы обмена и управления ключами. Кроме того, в протоколе должна быть предусмотрена возможность работы с дополнительными параметрами, к примеру для задания применяемых алгоритмов шифрования и сроков годности ключей.

Полностью статью можно прочитать здесь: http://www.osp.ru/lan/2004/05/090.htm

Распределенное время

В прошлом году массовым распределенным вычислениям исполнилось пятнадцать лет, а наиболее крупный из таких проектов - SETI@home - в этом году отмечает свое пятилетие. В таком возрасте уже можно подвести некоторые итоги, оценить достигнутое и сделать прогнозы на будущее.

В начале 1997 года распределенные вычисления впервые привлекли внимание широкой публики. Компания RSA Data Security, продвигающая на рынок свой криптоалгоритм, объявила, что заплатит десять тысяч долларов тому, кто взломает небольшое сообщение, зашифрованное старомодным алгоритмом DES. Перебор ключей для DES-шифровки на одной машине был безнадежен (количество вариантов равнялось 7х1016), но RSA ожидала, что солидный приз заставит энтузиастов объединится в команды, связанные по Сети, и перебирать ключи совместно. Расчет оправдался - за дело взялось множество групп, и одна из них - DESCHALL - нашла ключ (и получила приз) уже в июне 1997 года. Таким образом RSA продемонстрировала, что общепринятая DES-криптография устарела и надо использовать новую, разработанную ею. Кроме DES-шифровки RSA предложила взломать свою собственную, и вот вокруг одной из команд, собравшейся для решения этой задачи, само собой сложилось крупное сетевое сообщество, координировавшее усилия через сайт Distributed.net. Сайт предлагал новичкам понятную инструкцию, удобную статистику и хорошую программу для подбора ключей, работавшую в фоновом режиме. В уставе сообщества заявлялось, что если денежный приз достанется им, то большая часть будет передана в Project Gutenberg, занимающийся переводом книг в электронную форму.

Project Gutenberg тоже распределенный проект, хотя не столько вычислений, сколько распознаваний. В октябре 2003 года силами его участников была выложена в свободный доступ десятитысячная книга.

В течение 1997 года количество участников Distributed.net росло как на дрожжах. Интернет-бум был в самом разгаре, проект часто освещали масс-медиа (включая "КТ"), а множество веб-сайтов размещали у себя баннеры сервера. В результате этот стихийно образовавшийся коллектив быстро перевалил за 10 тысяч человек, потом за 50, потом за сто и между делом бил прежние рекорды распределенных вычислений. Компания RSA вовремя подкидывала новые задания с денежными призами, но уже в начале 1998 года многим стало ясно, что затея переросла в нечто большее и взлом какой-то шифровки мало кого интересует, - не будь этого задания, было бы другое.

Сообщество Distributed.net стало первым, набравшим более ста тысяч участников. Оно же первым превратилось в своеобразную самоподдерживающуюся реакцию, которая длится по сей день. Его размеры со временем не уменьшаются: хотя большинство зарегистрировавшихся теряет к проблеме интерес и уходит - расширение интернета обеспечивает постоянный приток новичков, которые полностью компенсируют потери. Из-за этого даже спустя семь лет сообщество активно работает и периодически берется за новые задачи.

Участники Distributed.net (как и большинства других проектов) могут образовывать команды, и одна из них ноcит название "Команда Компьютерры". 159 ее участников занимают 21-е место в командном рейтинге проекта. Подробнее см. www.myportal.ru/team.

С 1998 года, после стремительного взлета Distributed.net, проекты распределенных вычислений начали расти как грибы. Сегодня только действующих насчитывается больше полусотни, а если прибавить к ним те, что за истекшее время были начаты и закрыты, то окажется, что последние шесть лет ежемесячно запускалось не меньше двух новых проектов, открытых для всех желающих. Большая часть из них канула в небытие, и это подводит нас к интересной теме - огромной разнице в размерах распределенных сообществ и, как следствие, разнице их судеб.

Читайте продолжение статьи - об истории распределённых вычислений и малоизвестных проектах Distributed Computing.

Раскрытие паролей в nCipher netHSM

DoS атака в GNU RADIUS Server

Программа: GNU RADIUS Server 1.1; более ранние версии могут быть также уязвимы Опасность: Высокая Наличие эксплоита: Да Описание: Обнаружена уязвимость в обработке SNMP сообщений. Удаленный атакующий может вызвать отказ в обслуживании. Удаленный атакующий может с помощью специально сформированного SNMP пакета с некорректным OID (например: -1) заставить RADIUS сервер (radiusd) аварийно завершить работу. URL производителя:http://www.gnu.org/software/radius/radius.html Решение: Установите исправление: http://ftp.gnu.org/gnu/radius/

Межсайтовое выполнение сценариев в SqWebMail

Программа: SqWebMail 4.0.4.20040524 Опасность: Низкая Наличие эксплоита: Да Описание: Обнаружена уязвимость в SqWebMail. Удаленный атакующий может получить важные данные пользователей. Уязвимость существует в файле 'folder.c' в функции print_header_uc() из-за некорректной фильтрации HTML кода. Удаленный атакующий может с помощью специально сформированного e-mail сообщения выполнить произвольный сценарий в браузере жертвы. URL производителя:http://www.inter7.com/sqwebmail/ Решение: Установите обновление: http://www.courier-mta.org/download.php#sqwebmail

Повышение привилегий в Sun StorEdge Enterprise

Программа: Sun StorEdge Enterprise Storage Manager 2.1 Опасность: Низкая Наличие эксплоита: Нет Описание: Обнаружена уязвимость в Sun StorEdge Enterprise. Локальные пользователи могут получить привилегии root на уязвимой системе. Локальный пользователь, с привилегиями роли ESMUser может получить root-доступ на целевой системе. URL производителя:http://sunsolve.sun.com/ Решение: Установите исправление: http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F57581

Раскрытие паролей в aMSN

Программа: aMSN 0.90 Опасность: Низкая Наличие эксплоита: Нет Описание: Обнаружена уязвимость в aMSN. Локальный пользователь может получить доступ к хешам паролей пользователей. Пароли хранятся в файле 'hotlog.htm'. Локальный пользователь может расшифровать пароли. URL производителя: http://sourceforge.net/tracker/index.php?func=detail&aid=976450&group_id=54091&atid=472655 Решение: На данный момент решение не существует.

Обход ограничений в ZoneAlarm Pro

Программа: ZoneAlarm Pro 5.0.590.015 Опасность: Низкая Наличие эксплоита: Да Описание: Обнаружена уязвимость в ZoneAlarm Pro. Удаленный атакующий может обойти ограничения ‘Mobile Code Blocking’. ZoneAlarm Pro неспособен контролировать злонамеренный код web-страниц во время SSL соединения. Удаленный атакующий может выполнить произвольный сценарий в браузере жертвы. URL производителя: http://www.zonelabs.com/ Решение: На данный момент решение не существует.

Несколько уязвимостей в osTicket

Программа: osTicket Опасность: Низкая Наличие эксплоита: Да Описание: Обнаружена уязвимость в osTicket. Удаленный атакующий может просмотреть документы и выполнить произвольный php сценарий на уязвимой системе. 1. Уязвимость обнаружена в настройках по умолчанию в osTicket. Удаленный ататкующий можт просматривать документы в директории '/osticket/attachments'. 2. Удаленный атакующий также может загрузить произвольный php файл на систему и выполнить его. Также атакующий может обойти ограничения по размеру файла путем изменения скрытого поля формы HTML страницы. URL производителя:http://www.osticket.com/ Решение: На данный момент решение не существует.