Новости интернета:
- раздел основам самым свежим новостям из мира интернет.
На
официальном сайте Интерпола любой желающий мог "объявить в розыск" кого
угодно На сайте международной правоохранительной организации "Интерпол"
пользователями Интернета была обнаружена уязвимость, позволяющая любому желающему
создать в рамках сайта страницу с произвольной фотографией и подписью к ней.
Чтобы воспользоваться уязвимостью, нужно было сформировать адресную строку (URL)
вида http://www.interpol.int/ Viewer/viewphoto.asp? ImageName=[адрес фотографии]
&Text=[произвольный текст]. Фотография может быть любая и может находиться
в произвольном месте в Интернете. Текст также может быть любой.
При заходе
с помощью браузера по сформированному таким способом адресу на подлинной странице
сайта Интерпола появлялась указанная пользователем произвольная фотография и введенный
им текст. Такую страницу можно было легко принять за реально размещенную на сайте
этой организации информацию.
Таким образом можно было, например, фальсифицировать
сообщения о том, что кого-либо якобы разыскивает Интерпол - это могло быть использовано
в разных целях - например, для розыгрышей.
Пользователи Интернета после
первых сообщений о "дыре" занималисьаподделыванием объявлений на сайте
в течение почти всего дня в пятницу, однако после 19:00 в пятницу программисты
сайта interpol.int изменили уязвимый скрипт. В результате стало невозможным размещение
изображений взятых с произвольных сайтов кроме сайта "Интерпола". Возможность
размещать произвольный текст, в то же время, осталась.
Тюменский
хакер воплотил в жизнь схему увеличения зарплаты
Хакер, забравшийся
в базу данных одного из крупнейших предприятий Тюмени, смог с помощью одного клика
"мышкой" повысить зарплату не только себе, но и ряду водителей транспортного
цеха.
По словам Александра Пиманова, старшего следователя прокуратуры
Тюменского района, к нему поступило заявление руководства предприятия с просьбой
привлечь виновного к уголовной ответственности. Кстати, хакера удалось "просчитать"
бухгалтерам этого ОАО.
С августа по декабрь прошлого года нормировщик цеха
заметила, что зарплата двух водителей транспортного цеха почему-то оказалась выше
установленных расценок и сообщила о своих подозрениях начальнику отдела труда
и заработной платы. Та немедленно распорядилась провести проверку. В поле зрения
попало пятеро водителей и … 24-летний экономист отдела труда и заработной платы.
Сотрудники службы собственной безопасности этого предприятия в ходе бесед с водителями,
получивших повышенную зарплату, установили ряд любопытных фактов. Как выяснилось,
экономист по труду, обслуживавший всех работников предприятия, кроме специалистов,
провернул аферу и наказал собственное предприятие на солидную денежную сумму.
Все
компьютеры предприятия были подключены к локальной сети. Он разработал и воплотил
в жизнь схему увеличения зарплаты. Зная о том, что база данных бухгалтерской программы
"Заработная плата" находится на общем диске, аферист, не сходя со своего
рабочего места, умудрялся взламывать код и вносить нужные изменения в программу.
По
долгу службы он знал время, когда бухгалтерия заносит в базу данных сведения о
заработной плате, и сам вносил изменения. Чтобы сразу не попасться, он решил использовать
одного из водителей. Он предложил ему повысить зарплату на тысячу рублей, но с
условием, что автоматически начисляемую премию (а это 200% от оклада) водитель
должен был отдавать изобретателю.
Первый пробный шар "покатился"
в августе. Подопытный водитель получил повышенную зарплату и рассчитался с благодетелем.
Афера заработала и, вроде бы, осталась не замеченной. Программисту ОАО периодически
поступала информация о сбоях в программе и ее недоступности. Но он находился в
отпуске и не мог предпринять каких-либо мер по выявлению хакера.
Окрыленный
успехом экономист в сентябре на тех же условиях привлек еще нескольких водителей
к получению повышенной зарплаты. Это "объегоривание" собственного предприятия
продолжалось до декабря. В общей сложности жулику удалось похитить у предприятия
более 20 тысяч рублей.
Кстати, руководство ОАО неплохо характеризует деловые
качества криминального экономиста. Он прекрасно разбирается в программном обеспечении,
сам разработал компьютерную программу по работникам автопарка и учету маршрутных
листов водителей. Ей до сих пор пользуется бухгалтерия при начислении зарплаты.
По
факту мошенничества в Главном следственном управлении при ГУВД Тюменской области
возбуждено уголовное дело.
ЕС потратит $60 млн. на защиту
детей от интернет-преступников
Европейский Союз запустил $60-миллионный
проект по защите детей от порнографии и расизма в интернете.
«Дети используют
интернет все чаще. В процессе серфинга они находят опасный контент. Необходимо
обеспечить родителей необходимым инструментарием для защиты своих детей», — говорит
Вивиан Рединг (Viviane Reding), член Европейской комиссии по информационной безопасности.
Около 60% детей из развитых европейских стран регулярно пользуются интернетом.
Большая часть родителей не осведомлена о рисках, с которыми это связано. В рамках
проекта будут созданы «горячие линии» для сбора информации о вредном и опасном
онлайновом контенте. По словам г-жи Рединг, деятельность подобной «горячей линии»
в Испании привела к аресту 90 преступников. Также в ходе реализации проекта планируется
просвещение родителей и детей и разработка методов фильтрации контента, сообщил
Reuters.
Adware-программы пожирают друг друга
Компании,
использующие бесплатное ПО для доставки веб-серферам навязчивой рекламы, схватились
в борьбе за клиента внутри его ПК.
Эта тактика всплыла на поверхность
в малозаметном юридическом споре в Сиэттле. 24 ноября зарегистрированный на Карибах
распространитель рекламы Avenue Media обвинил нью-йоркскую фирму DirectRevenue
в использовании конкурирующего ПО для обнаружения и удаления из компьютеров клиентов
его программы Internet Optimizer.
Согласно иску Avenue Media, ПО DirectResponse
обнаруживает Internet Optimizer, а затем посылает команду «убить», в результате
чего все файлы программы удаляются из системного реестра и с жесткого диска ПК.
Истец утверждает, что в результате действий DirectRevenue он потерял 1 млн клиентов
— около половины своей клиентской базы — и несет убытки $10 тыс. в день.
«DirectRevenue
преднамеренно и тайно превышала свои полномочия по доступу к компьютерам пользователей…
автоматически деинсталлируя Internet Optimizer после установки или обновления
конкурирующего браузера DirectRevenue», — утверждается в иске, поданном в окружной
суд Сиэттла.
Этот иск вписывает очередную главу в запутанную и полную драматизма
сагу о всевидящих и иногда неистребимых программах-носителях рекламы, называемых
adware, malware или spyware. Связанная с ними индустрия напоминает Дикий Запад,
где не существует никаких действующих правил и самоограничений и где могут запачкаться
даже уважаемые компании.
По словам юристов, иск Avenue Media важен тем,
что приговор, если он будет вынесен, прольет свет на права производителей ПО по
внесению изменений в параметры настройки персональных компьютеров пользователей.
Кроме того, этот процесс может спровоцировать громкие проклятия со стороны потребителей
и правозащитников в адрес spyware- и malware-программ в онлайне.
«Когда
компьютер заражен десятком разных непрошеных программ, его владельцу, вероятно,
надо принимать какие-то меры по разруливанию ситуации», — говорит научный сотрудник
Гарвардского университета Бен Эдельман. Он сам был свидетелем того, как программа
DirectRevenue деинсталлировала программу Avenue Media. «Если это окажется законным,
то подобные вещи могут стать очень выгодными», — отметил он.
DirectRevenue,
основанная в 2002 году, производит ПО для наблюдения за поведением веб-серферов
и целенаправленной рассылки рекламы при посещении пользователем определенных веб-сайтов.
Например, когда посетитель открывает веб-сайт Dollar, программа может выдать рекламу
[службы проката автомобилей] Hertz.
DirectRevenue признает, что она иногда
деинсталлирует конкурирующие приложения в соответствии со своим лицензионным соглашением
с пользователем: «Устанавливая эту программу, вы соглашаетесь с тем, что эта программа
без всяких дополнительных предупреждений может удалять, блокировать или выводить
из строя другие adware-программы, находящиеся в вашем компьютере».
Компания
производит также веб-игры и другое подобное ПО, включая плагин для синхронизации
времени по атомным часам правительства США, заинтересовывая ими людей, чтобы те
загружали комплект ее приложений, куда входит и adware. ПО компании носит несколько
разных названий, включая A Better Internet, BI, Twaintek и Thinstall, говорится
в исковом заявлении.
Эксперты считают, что выдвинутые обвинения отражают
широкую тенденцию, когда производители тайно загружаемого ПО все чаще блокируют
и деинсталлируют конкурирующие приложения, как только их программы оказываются
на ПК пользователя. Так как многие такие программы предназначены для изучения
онлайнового поведения потребителей с целью целенаправленной доставки рекламы,
очистка ПК пользователя от конкурирующих приложений может привести к увеличению
доходов или помочь избежать обнаружения в будущем.
DirectRevenue не откликнулась
на просьбу прокомментировать ситуацию. В постинге на своем веб-сайте компания
клянется, что ее ПО не шпионит и не собирает персональную информацию в неблаговидных
целях.
Avenue Media, зарегистрированная на острове Кюрасао, не ответила
на письмо с просьбой о комментариях.
Неправильный пароль
Много
лет Microsoft вычищает секьюрити-баги из своей настольной операционной системы.
Теперь компания вознамерилась закрыть другую дыру: слабые пароли.
Люди
обычно выбирают пароли, которые легко запомнить — а значит и взломать. Сложный
пароль тоже можно украсть. Вместо меры безопасности они получают риск безопасности,
сказал председатель правления Microsoft Билл Гейтс, который в прошлом году публично
призывал заказчиков перестать полагаться на пароли.
В прошлом месяце софтверный
гигант подал пример этим заказчикам, начав большую программу по принятию второй
меры безопасности в своих внутренних сетях: смарткарт для каждого сотрудника.
К концу 2005 года десятки тысяч работников Microsoft начнут пользоваться картами,
без которых нельзя будет войти в сети компании. «Будущее за биометрическими параметрами
и смарткартами, и мы видим, что наши главные заказчики движутся в этом направлении,
— сказал Гейтс в ноябре участникам конференции IT Forum в Дании. — Со временем
мы совсем откажемся от паролей».
Microsoft не впервые выдвигает смарткарты
в качестве второй линии обороны для предприятий. Однако на этот раз компании уже
осознали важность мер безопасности. Они лучше осведомлены о ненадежности паролей
после терактов 11 сентября и введения инспирированных делом Enron правил, которые
требуют от организации отчетности по принимаемым мерам информационной безопасности.
Чтобы
запереть свои сети на замок, многие фирмы переходят на централизованные серверы
управления авторизацией пользователей, пытающихся войти в сеть — будь то сотрудники,
регистрирующиеся в корпоративной системе, или покупатели, посещающие сайт электронной
коммерции. Эти системы управления идентификацией упрощают управление сетями, но
при этом собирают наиболее ценные данные о сети в одном месте — защищенном паролем.
Простая
система доступа по имени и паролю, каким бы он ни был сложным, не может гарантировать
от несанкционированного доступа к критически важным системам. Пароли, выбираемые
самими пользователями, обычно очень легко угадать при помощи специальных программ.
Как правило, это слово и число, комбинация из двух слов или слово, в котором буквы
заменены числами. Все это взламывается за считанные минуты. «Любой пароль, который
человеку легко запомнить, может быть взломан с применением грубой силы», — говорит
главный технолог Counterpane Internet Security и автор нескольких книг по безопасности
Брюс Шнайер.
Индивидуальные пользователи тоже взбудоражены. По некоторым
оценкам, фишинг-атаки — попытки при помощи сообщений e-mail заманить жертву на
фальшивый веб-сайт и выудить персональную информацию — обойдутся им в $150 млн
- $500 млн. Исследования показали также, что 80% домашних ПК заражены spyware
— программами, которые тайно собирают сведения о привычках пользователей и данные.
Обе тенденции подчеркивают главную проблему паролей: даже лучшие из них
можно украсть. Цифровой вор, вооруженный паролем, выглядит в системе как легитимный
пользователь. Решение секьюрити-эксперты видят в использовании для защиты сетей
двух ключей — так называемой двухфакторной аутентификации. Это сочетание защитного
устройства, которое нужно иметь при себе, и пароля, или PIN-кода. Такая защита
традиционно используется военными и государственными агентствами.
Министерство
обороны США выдает большинству своих сотрудников «универсальную карту доступа»,
а Администрация по обеспечению режима на транспорте начала использовать идентификационные
карты, планируя к июню 2005 года обеспечить смарткартами 200 тыс. работников системы
грузового и пассажирского транспорта
Microsoft надеется преодолеть слабость
защиты, оснастив более чем 60 тыс. штатных и внештатных сотрудников, входящих
в сети компании через 175 разных узлов удаленного доступа во всем мире. Подобные
меры могут стоить компаниям десятки долларов на каждого сотрудника. Централизованные
системы управления электронными персонами позволяют сократить расходы и повысить
безопасность. В большинстве случаев двухфакторные системы аутентификации только
увеличивают расходы, говорит генеральный менеджер Microsoft по стратегии платформ
Чарльз Фицжеральд. «Предпринимаемый нами шаг вызван исключительно соображениями
безопасности, а не экономии», — сказал он.
В своем внутреннем проекте Microsoft
испытывает собственную технологию: смарткарты с поддержкой .Net, изготовленные
компанией Axalto (бывшая Schlumberger). Это делает софтверную платформу Microsoft
.Net универсальной, так что она сможет конкурировать с ПО для смарткарт JavaCard
от Sun Microsystems.
Перед этим Microsoft постиг ряд неудач в сфере управления
идентификационными данными. Миниатюрная операционная система Windows CE for Smart
Cards не приглянулась пользователям. А служба Passport, попытка заняться управлением
электронными персонами онлайновых покупателей, не обрела достаточной поддержки
со стороны поставщиков услуг, чтобы стать полезной.
Страх перед мошенничеством
с электронной коммерцией придал импульс движению в направлении смарткарт. Проблема
паролей — это надвигающийся айсберг, и сайты электронной коммерции, финансовые
учреждения и другие крупные компании видят только его вершину, — говорит Перакаш
Рамамурти, вице-президент по продуктам и технологии производителя систем управления
электронными персонами Oblix. Потребители и сотрудники заводят множество учетных
записей, где содержится персональная информация, и злоумышленнику достаточно найти
одну из них, с самой слабой защитой. «Идентификационную информацию часто дублируют.
А когда эта информация хранится хотя бы в двух разных местах, это уже пробел в
защите».
Сейчас Microsoft занята устранением этого пробела в своих внутренних
системах и пока не собирается предлагать технологию потребителям. Им придется
подождать и посмотреть, перенесет ли компания что-нибудь из этих идей в свое ПО.
«Предприятия всё чаще готовы вкладывать средства в решение этих проблем, — сказал
Фицжеральд. — Что касается индивидуальных пользователей, то я не говорю, что мы
ничего не делаем в этом плане, но то, чем мы заняты последние несколько недель,
имеет мало отношения к широкому потребителю».
9 лет тюрьмы
за взлом интернет-магазина
За взлом компьютерной системы крупной торговой
сети "Lowe's", хакера Брайана Салседо (Brian Salcedo) приговорили к
9 годам лишения свободы. Приговор был вынесен вчера федеральным судом США.
Более года назад 21-летний хакер взломал систему компании Lowe's в надежде получить
информацию о кредитных картах клиентов компании. Вместе с сообщником им удалось
получить доступ к корпоративной сети Lowe's при помощи беспроводной связи (Wi-Fi).
После этого злоумышленники установили на компьютеры сети модифицированную
программу для обработки информации кредитных карт клиентов. Их деятельность удалось
засечь, так как несколько компьютеров в точках продаж вышли из строя.
Сотрудники
Lowe's призвали на помощь ФБР.
Ранее в этом году Брайан Салседо (Brian Salcedo)
был признан виновным в мошенничестве.
Теперь Салседо установил своеобразный
рекорд, получил самый длительный срок за хакерскую деятельность. До этого "рекорд"
принадлежал Кевину Митнику (5,5 лет).
Ожидалось, что Салседо получит более
суровый приговор, срок был уменьшен за сотрудничество в улучшении безопасности
сетей компании.
Главное-2004: Заря биокомпьютеров
"Где-то
во Флориде 25 тысяч разрозненных нейронов крысиного мозга думают о том, как управлять
самолётом F-22", - такой строчкой начинается статья Wired News. Первые шаги
своеобразные биокомпьютеры из живых клеток делали уже год назад: в 2003 году был
создан робот, управлявшийся массивом из тысяч нейронов, полученных из эмбрионов
крыс. Теперь же массив из крысиных клеток медленно, но верно учится управлять
самолётом.
Информация о горизонтальном и вертикальном движении самолёта
передаётся нейронам в виде стимулирующих электроимпульсов, и те реагируют, посылая
свои структурированные импульсы, которые переводятся в инструкции по управлению
симулятором самолёта.
Собственно, главное, чему сначала научили нейроны,
так это двигать виртуальный джойстик вперёд-назад и вправо-влево. Теперь же "пилоту"
из крысиных нейронов удаётся вполне эффективно управлять самолётом в различных
погодных условиях: от штиля до штормового ветра, - нервные клетки усвоили, как
стабилизировать самолёт в зависимости от внешних условий. В сущности, это лишь
принятие решение, когда и насколько двигать "рычаг управления".
Главная
задача исследователей, - это выяснить, как отдельные нейроны сообщаются между
собой. Учёные могут изучать активность групп нервных клеток в чашке Петри, но
невозможно понять, как нейроны растут и обучаются, пока им не предоставлено что-то
вроде тела.
Эксперимент с управлением симулятором самолёта - это как раз
предоставление колонии нейронов подобия тела; если учёным удастся понять, как
происходит взаимодействие между отдельными клетками, то впоследствии возможно
будет разработать компьютеры с принципиально новой архитектурой.
Год назад...
Год
назад стало известно о выпуске миниробота, также управляемого крысиными нейронами.
Для
управления использовалась сеть из нескольких тысяч нейронов, выращенных на подложке
из шестидесяти компактных электродов. Нейроны были взяты из мозга крысиных эмбрионов.
Электроды фиксировали испускаемые нейронами электрические импульсы и через усилитель
передавали на схемы, управляющие движением робота.
Те же самые электроды
использовались и для обратной связи. Сигнал со встроенного в робот фотоэлемента
через электродную матрицу поступал на нейроны.
Реагируя на это воздействие,
"мозг" робота может дать команду на приближение или удаление от источника
света. В принципе, опыт с управлением виртуальным F-22 крысиными нейронами - примерно
того же уровня мероприятие, что и попытка создать миниробота. В основе обоих экспериментов
- идея о придании "искусственного тела" живым нейронам.
