новости информационных технологий

XSpider

Администрация социальной сети Facebook заблокировала плагин KIPI (KDE Image Plugin Interface), используемый пользователями для загрузки фотографий. Плагин применяется в различных популярных приложениях, таких как digiKam и Gwenview. Вместе с блокировкой плагина, без предупреждения были скрыты все фотографии пользователей, загруженные с его помощью.
Блокировка произошла в результате действий службы безопасности. Ее сотрудники обнаружили, что секретный ключ и идентификационные данные плагина были указаны в его исходном коде в незашифрованном виде. Злоумышленники использовали эту лазейку для того, чтобы, указывая параметры аутентификации плагина KIPI, рассылать спам.
Следуя рекомендациям независимых специалистов, пользователи Facebook оформили обращение к администрации сервиса. В настоящий момент сотрудники Facebook убрали приложение из черного списка и восстановили скрытые фотографии.

[далее...]

Хакеры взломали сайт дайджеста новостей для оборонной промышленности «DefenseNews». В результате взлома злоумышленники получили информацию об именах, логинах, паролях, адресах электронной почты, занимаемых постах, уровне зарплаты и месте несения службы зарегистрированных на сайте пользователей. Полученные данные могут использоваться для проведения последующих атак на компьютерные системы, принадлежащие военнослужащим или их подрядчикам.
Владение подобной информацией позволяет злоумышленникам использовать приемы социальной инженерии для получения доступа к секретным данным, рассылки и установки вредоносного ПО.
От атак, проведенных при помощи выуживания информации таким способом, уже пострадали Международный Валютный Фонд, Cлужба Безопасности Южной Африки и Окриджская национальная лаборатория.

[далее...]

В этом месяце вышло в свет приложение FaceNiff, при помощи которого можно получать учетные данные пользователей Facebook, которые используют Wi-Fi для подключения к социальной сети. Приложение разработано компанией Lookout и работает с устройствами на базе ОС Android. FaceNiff работает по тому же принципу, по которому работал Firesheep плагин к Firefox, заявил Кевин Махаффи (Kevin Mahaffey), основатель компании Lookout.
FaceNiff имитирует MAC-адрес маршрутизатора, в результате чего трафик всех компьютеров, подключенных к беспроводной сети, проходит через устройство, на котором установлено приложение. По словам Махаффи, приложение использует ARP-спуфинг для перенаправления и перехвата трафика на устройство и умеет работать с зашифрованными Wi-Fi сетями.
FaceNiff позволяет взламывать учетные записи Facebook, Twitter,YouTube, Amazon и Nasza-Klasa. Для того чтобы защититься от подобных атак рекомендуется использовать шифрованный канал передачи данных (https), если последний поддерживается сервисом. Скорость передачи данных при помощи данного протокола немного уменьшается, однако это в значительной мере обезопасит передачу данных через Wi-Fi сети.

[далее...]

Компания News Corporation продала социальную сетьMySpace, по непроверенным данным стоимость проекта составила $35 миллионов. Напомним, что в 2005 году корпорация Руперта Мердока купила MySpace за $580 миллионов. В скором времени бизнес стал убыточным, поскольку пользователи и рекламодатели перешли к конкурирующим социальным порталам, таким как Facebook и Twitter.
Один из директоров News Corporation Чейз Кэри (Chase Carey) заявил в ноябре прошлого года, что потери на MySpace были «неустойчивыми». Согласно данным компании ComScore, в августе 2005 года MySpace и Facebook имели 21.8 и 8,3 миллиона уникальных посетителей соответственно. В мае текущего года количество посетителей из США на Facebook и MySpace составляет 157,2 и 34,9 миллионов соответственно.
Оптимистически настроенное руководство Specific Media сообщает, что актер Джастин Тимберлейк (Justin Timberlake) будет участвовать в раскрутке MySpace. Представители компании считают, что он будет играть важную роль в развитии творческой и стратегической направленности ресурса.

[далее...]

Группа бизнесменов обратилась к Конгрессу США с просьбой снять с повестки дня принятие закона Protect IP Act (PIPA). Согласно этому закону, web-сайты нарушающие авторские права должны быть заблокированы. В своем открытом письме бизнесмены заявляют, что PIPA «задушит инновации и навредит конкурентоспособности США».

[далее...]

Хакерская группа, именующая себя как YGN Ethical Hacker Group, сообщила об обнаружении уязвимостей в системе безопасности веб-сайта Apple, в частности раздела для разработчиков приложений под Mac и iOS. Согласно сообщению хакеров, указанные уязвимости могут быть использованы для получения доступа к персональным данных пользователей Apple Developer Connection.

Сейчас известно как минимум о трех потенциальных уязвимостях на указанном сайте, в частности о возможности создания URL-редиректов, XSS-атаки и подделки HTTP-ответов. При помощи них потенциальные атакующие могут различными способами перехватывать или похищать данные пользователей.

[далее...]

Аккаунт основателя социальной сети Facebook подвергся хакерской атаке.

Взломщики разместили от имени М.Цукерберга сообщение следующего содержания: "Дадим волю хакерам: если Facebook нуждается в деньгах, вместо того, чтобы обращаться в банки, почему бы не позволить пользователям инвестировать в Facebook? Почему бы не трансформировать Facebook в "социальный бизнес", так, как это описывал нобелевский лауреат Мухаммад Юнус? Что вы думаете на этот счет?".

[далее...]

Неизвестные хакеры на время лишили террористов возможности общаться с миром через интернет. Специалисты пришли в выводу, что у бандитов не осталось ни единого канала, по которому они могли бы передавать сообщения о своей деятельности.

Онлайн атака на коммуникативные системы "Аль-Каиды" была проведена в течение последних нескольких дней. Она была хорошо спланирована и поражала изысканными приемами проникновения.

[далее...]

Банки США начнут работу над оптимизацией систем безопасности для предотвращения попыток краж денежных средство со счетов клиентов. Инструкции, выпущенные во вторник Федеральной резервной системой США совместно с Федеральной корпорацией страхования депозитов, нацелены на борьбу с организованной преступностью и требуют создание многоуровневых системы защиты данных, основанной на поведенческом анализе пользователей. Участники экспертной группы отметили, что сотни миллионов долларов были украдены с онлайн счетов вкладчиков посредством использования кейлоггеров. А информацию о «девичьем имени матери» легко найти в интернете.
Новые правила содержат конкретные рекомендации по защите клиентов банков. В частности, банкам предлагается изменить подход к верификации данных при помощи паролей, файлов куки и стандартных вопросов. В США физическим лицам гарантировано возмещение убытков в случае взлома их банковских счетов, однако корпоративные клиенты банков не имеют такой защиты. Согласно новым правилам, банкам придется обеспечить дополнительные меры безопасности для защиты данных фирм-клиентов. Кроме того, со вступлением в силу новых правил, ответственность за безопасность онлайн транзакций полностью возлагается на банки.
На практике первые изменения будут применяться в начале следующего года. Инструкции по безопасности онлайн-банкинга для финансовых учреждений США пересматриваются впервые с 2005 года. Некоторые эксперты считают их требования все же недостаточно строгими для эффективного обеспечения безопасности онлайн операций.

[далее...]

На пользователей сервиса микроблогов Tumblr был совершен ряд фишинг-атак. На страницах ресурса пользователям предлагалось ввести логин и пароль для подтверждения прав на просмотр контента порнографического характера.
Сотрудники GFI Labs Кристофер Бойд (Christopher Boyd) и Джови Умавинг (Jovi Umawing) сообщили о том, что им удалось получить доступ к архиву с похищенными учетными данными, состоящими из 8200 строк с логинами и паролями.
В рамках фишинг-атаки также было создано несколько дополнительных сайтов. На таких сайтах, как сайтах http://tumblriq.com , http://tumblrlogin.com и http://tumblrsecurity.com , была размещена форма авторизации, идентичная форме авторизации на портале Tumblr. Посетителям сайтов предлагалось ввести логин, который используется им на сайте Tumblr.

[далее...]

Юридическая фирма DLA Piper больше не представляет в суде права Пола Чельи (Paul Ceglia), оспаривающего у Марка Цукерберга (Mark Zuckerberg) права на владение половиной корпорации Facebook.
«Грязное мошенничество» - это словосочетание часто употребляется при упоминании спора в отношении прав на владение половиной корпорации Facebook. Возможно, это является основной причиной того, что такая известная юридическая компания как DLA Piper отказалась представлять дело в суде. Потеря поддержки именитых адвокатов вряд ли поможет Полу Челье выиграть дело.
Теперь его интересы будут представлять юристы из Сан-Диего Jeff & Lake.

[далее...]

Популярные сервис микроблогов Twitter будет использоваться МИД РФ для оповещения российских граждан о чрезвычайных ситуациях.
Министерство Иностранных Дел РФ объявило об официальном открытии микроблога в Twitter. Согласно заявлению официального представителя МИД РФ Александра Лукашевича, основное внимание будет уделяться работе главы министерства, а также важным международным событиям и мероприятиям, к которым МИД имеет отношение.
Также с помощью Twitter МИД планирует информировать граждан РФ о чрезвычайных ситуациях, в которые они могут попасть, находясь за границей.

[далее...]

Skype станет средством общения между политиками высшего ранга. Правительство США объявило, что будет использовать ПО инновационной телекоммуникационной компании Skype для связи членов Конгресса. Связь по Skype известна своей безопасностью, обеспеченной использованием особого алгоритма шифрования сигналов, которые фактически невозможно декодировать.
Интересен факт, что корпорация Microsoft, сообщившая в мае о намерении купить компанию-разработчика Skype, несколькими неделями позже подала документы на получение патента на технологию, позволяющую незаметно для пользователя декодировать и записывать телефонные разговоры.
Что получит Конгресс США - обещанную безопасную связь или легальное шпионское ПО - покажет время.

[далее...]

Около 380 мегабайт данных в рамках кампании #AntiSec на днях выложили на ресурсе The Pirate Bay хакерские группы Anonymous и LulzSec . Среди опубликованной информации данные с серверов правительств Бразилии и Зимбабве, муниципальных властей Мосмана (Австралия), компаний-партнеров Universal Music Group, учетные данные ресурса umusic.com, конфигурацию серверов Viacom и другую информацию.

[далее...]

23 июля компания Trustwave, разработчик Web Application Firewall ModSecurity организовала открытое тестирование эффективности защиты веб-приложений. В рамках SQL Injection Challenge, было предложено легально обойти механизмы ModSecurity, блокирующие атаки типа типа SQL Injection.
Тестирование состояло из двух этапов. В рамках первого этапа участники  должны были использовать уязвимость SQL Injection для получения данных из СУБД тестовых сайтов. На втором этапе задание усложнялось тем, что при выполнении тех же самых действий участникам было необходимо обойти правила фильтрации ModSecurity и не вызвать срабатывание межсетевого экрана.  
Иннициатива «ModSecurity SQL Injection Challenge» привлекла внимание множества исследователей. Участие в тестировании приняли и эксперты инновационного подразделения компании Positive Technologies – исследовательского центра Positive Research. Вопросы эффективности средств защиты привлекают внимание экпертов исследовательского центра не в первый раз. Так, еще в 2009 году ведущий эксперт Positive Research Дмитрий Евтеев предложил универсальный способ обхода фильтрации ModSecurity ( http://ptresearch.blogspot.com/2009/11/another-fine-method-to-exploit-sql.html ).  Его замечания были приняты во внимание при разработке новой версии ModSecurity.  

[далее...]