«БЕЗОПАСНЫЕ» НОВОСТИ

[Eldar Fattakhov]

Публикация в интернет-издании The Daily Attack (источник, 7 сентября 2012 года) гласит:

Have a laptop with a fingerprint reader and use that biometic security? Most popular laptops shipped with a UPEK fingerprint reader. If yours did, then sadly your password is not secure. It’s easy to crack and, in fact, destroys ‘the entire security model of Windows accounts.’

If your password management system is to use your “fingerprint as your master password,” and if your laptop uses UPEK software, then you’ll not be happy to know your Windows password is not secure and instead is easily crackable. In fact, “UPEK’s implementation is nothing but a big, glowing security hole compromising (and effectively destroying) the entire security model of Windows accounts.” UPEK fingerprint reader and software came installed on laptops manufactured from any of these 16 companies: Acer, Amoi, ASUS, Clevo, Compal, Dell, Gateway, IBM/Lenovo, Itronix, MPC, MSI, NEC, Sager, Samsung, Sony and Toshiba.

Я никогда не пользовался встроенными сканерами отпечатков.

[Dmitriy Nikolaev]

Сброс Samsung Galaxy при просмотре веб-страниц

Цитата:

Фантастический подарок получили пользователи Samsung Galaxy SII (насчет третьей и Note пока противоречивые сведения). Попытка открыть адрес вида tel:*2767*3855%23 (в том числе простое открытие страницы с iframe, в url которого есть эти символы) приводит к честному отрабатыванию USSD-кода *2767*3855# с немедленным сбросом всех настроек и потерей пользовательских данных.
Понятно, что эта схема заставляет уязвимый аппарат выполнить любую USSD-команду, полный сброс - лишь наиболее яркая демонстрация. Не исключено, что подобная проблема присутствует и в некоторых смартфонах HTC.
Поневоле заставляет вспомнить золотые времена, когда некоторые модемы честно выполняли AT-команды, встретившиеся в передаваемых текстовых файлов.

Источник: Pocket-lint


Старая уязвимость позволяет подобрать пароли Oracle

Цитата:

Протокол аутентификации, используемый в Oracle Database 11g Release 1 и 2, отправляет пользователю сессионный ключ до завершения полной аутентификации. В результате атакующий может передать имя, получить сессионный ключ, отключиться и спокойно приступить к подбору пароля (в качестве демонстрации восьмисимвольный пароль был подобран на обычном процессоре за пять часов).
Уязвимость стала известна Oracle в мае 2010, всего-то через год с небольшим она была исправлена, но Oracle предпочла включить исправление в новую версию протокола аутентификации под номером 12, переход на которую требует обновления как серверов, так и клиентов. Версия же 11.1 осталась неисправленной, причем Oracle не предпринимает особых усилий по активизации перехода пользователей на новый протокол.

Источник: The Register


Софос-суицидник

Цитата:

Антивирус Sophos повторил прошлогоднее достижение Avira, обнаружив в своих собственных исполняемых файлах подозрительную деятельность и обозвав их Shh/Updater-B. В некоторых случаях это мешало обновить программу на уже исправленную, поскольку критичные для обновления компоненты уже были благополучно перенесены в карантин.

Источник: Sophos


Исправление критичной уязвимости в IE

Цитата:

MS выпускает исправление обнародованной в минувшие выходные критичной уязвимости в IE, которая уже активно используется для раздачи трояна Poison Ivy. Пока исправление доступно в виде заплатки "Fix It", окончательный вариант войдет во внеочередное кумулятивное обновление, запланированное на пятницу.

Источник: Microsoft Security Responce Center


Microsoft перестанет работать с короткими RSA-ключами с октября

Цитата:

Со следующего месяца обновленные продукты Microsoft перестанут воспринимать сертификаты, содержащие RSA-ключи длиной менее 1024 бит. IE перестанет открывать сайты с такими сертификатами, Outlook перестанет подписывать ими письма и не сможет соединяться с Exchange-серверами и т.п.

Источник: InfoWorld


Oracle обновила Java 7

Цитата:

Шум, поднятый вокруг уязвимости в Java 7, не прошел даром - Oracle прекратила сидеть на патчах в ожидании октября и выпустила обновление Java SE 7u7, которое и рекомендуется установить всем оставившим у себя этот привет из девяностых.
Обновление закрывает три уязвимости, способные привести к удаленному исполнению кода. При этом некоторые уязвимости, о которых Oracle сообщили в апреле, остались неисправленными.

Источник: Oracle

[Eldar Fattakhov]

Согласно выполненному Ponemon Institute (спонсировано HP) иследованию "the 2012 Cost of Cyber Crime Study", количество кибератак за прошедшие три года увеличилось в два раза, а их финансовые последствия выросли на 40%. Динамика роста такова:

• 2012 год - 102 успешных атаки в неделю
• 2011 год - 72 успешных атаки в неделю
• 2010 год - 50 успешных атаки в неделю

Немного подробнее (англ.) - на сайте HP

[Dmitriy Nikolaev]

Бэкдор в phpMyAdmin

Цитата:

Разработчики популярного веб-интерфейса предупреждают о том, что одно из зеркал SourceForge раздавало вариант phpMyAdmin с модифицированным файлом server_sync.php, допускающим удаленное выполнение произвольного php-кода. Затронут был только phpMyAdmin-3.5.2.2-all-languages.zip.

Источник: phpMyAdmin

[Armenco]

помните недавно инфа шла о том, что Штаты обвиняли оборудование ZTE и Huawei в шпионаже?
при этом америкосы скромно молчат, что поступают также
Американское телеком-оборудование шпионит за российскими чиновниками

Цитата:

11.10.2012 11:08:37
США обсуждается вопрос шпионажа со стороны китайских телекоммуникационных компаний, аналогичной практики придерживаются в других странах и сами американские компании-производители аппаратуры связи, включая Cisco.

Однако эти потенциальные угрозы, в том числе для безопасности российских государственных и коммерческих структур, а также всей инфраструктуры связи в России, не мешают американским производителям систем связи активно продвигать свои продукты на российском рынке. Например, недавно Polycom снова выиграл несколько государственных конкурсов на поставку оборудования ВКС, в том числе в Верховный Суд и Правительство Москвы.

Как говорят отечественные силовики, никакой прослушки не надо, когда в кабинете у руководителя или в переговорной стоит камера, микрофон и система связи иностранного производителя, подсоединенная к каналам связи. Угрозы информационной безопасности отечественных министерств и ведомств только усугубляются с появлением облачных технологий, когда данные физически размещены на внешних для организации серверах. Даже МВД России уже закупило ВКС оборудование иностранного производителя, и по словам осведомленных источников готовится далее закупать оборудование связи и софт Cisco, сообщает представитель отрасли.

«Мы не раз наблюдали, как программы отечественных разработчиков, демонстрирующие высокую производительность и эффективность работы «в полевых условиях» на нестабильных сетях связи проигрывали государственные проекты гораздо более дорогим зарубежным аналогам, с раскрученным брендом», - заявляет источник CNews.

По его словам, выбор зарубежных систем связи и ВКС в государственном секторе России часто обусловлен далеко не соображениями экономии средств и качеством продукта, и уж точно не учитывает информационную безопасность с точки зрения кибершпионажа.

Источник: CNews

как надоели эти двойные стандарты... действительно, куда уж лучше, отлично - и камера, и микрофон - все в комплекте Polycom - все жучки в одном флаконе

[Armenco]

"Глобальное исследование информационной безопасности-2012", Ernst & Young
опрошены 1863 топ-менеджера, отвечающих в компаниях за информационную безопасность, из 64 стран, в том числе из России....
ЧТО ИМЕЕМ НА СТАРТЕ :NAUGHTY:

Цитата:

В то же время абсолютные цифры затрат даже у крупных компаний довольно умеренные: 35% респондентов сообщили, что общие расходы на обеспечение информбезопасности (включая траты на персонал и оборудование) в год составляют менее $100 тыс., у 29% респондентов — $100-200 тыс., и только 3% компаний тратят $5-10 млн.

ЧТО ИМЕЕМ КАК РЕЗУЛЬТАТ ПОТРАЧЕННЫХ И ОСВОЕННЫХ ФИНАНСОВ :NAUGHTY:

Цитата:

Однако надо отметить, что реальный финансовый ущерб от атак, видимо, пока не слишком велик и сопоставим с объемом годовых расходов на информбезопасность. Так, 65% опрошенных сообщили, что общий ущерб за последний год составил менее $200 тыс., у 3% компаний — до $500 тыс., тогда как 32% респондентов заявили, что не знают объемов ущерба или даже о факте его наличия.

IT SECURITY НЕ СПИТ...

[Armenco]

почитал и решил поделиться.. вдруг кому интересно
исследование PWC "The Global State of Information Security 2013".
онлайн-исследование проводилось с 1 февраля по 15 апреля 2012. 40% респондентов - Северная Америка, 26% - Европа, 18% - Азия, 14% - Южная Америка и 2% - с Ближнего Востока и Южной Африки.
опрошено 9300 топ-менеджеров, руководителей предприятий и специалистов по информационной безопасности из 128 стран.
если интересно, то качать тут можно

[Armenco]

тем, кто все еще использует IE... сам факт с бородой, конечно, но предупреждение свежее...

[netklon]

Вышел отчет о безопасности в третьем квартале 2012 года от Kaspersky Lab (англ.)

Из интересного. Согласно отчету почти половина (46%) интернет-пользователей Узбекистана подвержены риску подхватить вирус в Интернете.
Что характерно, столь же удручающая ситуация и в остальных странах бывшего СНГ. Хуже всего ситуация в соседнем Таджикистане.

Из смешного. В обзоре этой новости на Forbes.com бывшее СНГ мило так обозвали: "According to a third quarter threat assessment report released Friday by Moscow-based cyber security firm Kaspersky Lab, Russia and the neighboring ‘stans are nightmares for internet users."

[Armenco]

Цитата:

Сообщение от netklon

Вышел отчет о безопасности в третьем квартале 2012 года от Kaspersky Lab (англ.)

Из интересного. Согласно отчету почти половина (46%) интернет-пользователей Узбекистана подвержены риску подхватить вирус в Интернете.
Что характерно, столь же удручающая ситуация и в остальных странах бывшего СНГ. Хуже всего ситуация в соседнем Таджикистане.

Из смешного. В обзоре этой новости на Forbes.com бывшее СНГ мило так обозвали: "According to a third quarter threat assessment report released Friday by Moscow-based cyber security firm Kaspersky Lab, Russia and the neighboring ‘stans are nightmares for internet users."

да пусть засунут этот обзор себе в ... ящик стола умники, блин... для них везде кошмар... а как же иначе? иначе деньги не на чем делать..