У Linux Kernel версії до 2.6.19.2 була віднайдена вразливість( рівень небезпеки низький). Належить вразливість до серії атака на відмову системи. Атака реалізується через функцію zlib_inflate(), що відповідає за обробку певних видів даних. Для реалізації вразливості необхідно сформувати cramfs образ, що спричинить відмову обслуговування системи. До цієї категорії належить і вразливість, що виникає при обробці семафорів функції mincore(). При використанні цієї функції на нерозмічених сторінках система може зависнути. Ну і націкавіша вразливість існує через те, що ядро некоректно обробляє пошкоджені структури даних в Ext2. Через спеціяльно сформований образ система знову зависає. Слід зауважити, що всі вразливості працюють тільки для локального користувача. Для вирішення цих проблем необхідно поставити ядро 2.6.19.2 , а стягнути його можна за адресою www.kernel.org.

Лабораторія iDefense Labs оголосила конкурс на взлом Vista та Internet Explorer 7. Конкурс триватиме до 31 березня. В кінці 6 переможців повинні отримати від 8 до 12 тис. долярів. Експлойт буде оцінюватися за оформленою до нього документацією та якістю коду. Він повинен ломати без допомоги сторонніх та додаткових програм. Хочу сказати, що я не знайшов переконливих гарантій отримання цих грошей. Тут або 8 000$ або 8 років без права переписки. Але те, що на облік поставлять це без сумніву. Проте все ж шанси взлому зараз звісно є великі. За повідомленням аналітика Gartner Майкла Сільвера (Michael Silver) Vista не готова до масового випуску. Нагадаю, що ще не готові тисячі драйверів до різних пристроїв.

З'явився на світ новий вид спаму - спам приватних повідомлень. Бот реєструється на форумах (а може використовує ручками зареєстрований запис) і потім з під нього розсилає повідомлення через систему приватних повідомлень.
На початках ефективність такої методики спаму буде дуже висока, адже забезпечується:
- цільова тематична аудиторія, що відповідає тематиці вибраної вибірки форумів;
- високий відклик людей (у багатьох двигунах форумів попередження про повідомлення висилається на пошту, але без самого тексту повідомлення), користувач часто реагує на такі сигнали;
- низькі витрати на розсилку (нема розсилання на мільйони напівмертвих адресів).
Проте, імовірно, якщо така форма спаму буде популярною та створюватиме масові проблеми, двигуни форумів у нових версіях міститимуть захист від такого спаму. А захиститися не так вже і складно - достатньо використати систему візуального захисту (наприклад набір випадкових контрольних цифр).

За кілька годин після того як всі були вже п’яні, 1 січня в Інтернеті з’явився код вразливості Gmail. Вразливість дозволяла викрасти контакт лист цільового користувача. Вона пов’язана із тим, що перелік контактів зберігався в javascript і його можна було викликати через довільний сайт. Gmail не робив провірки, який сайт викликав цю функцію і як результат будь-хто міг прочитати перелік контактів цільового користувача. Єдина вимога використання вразливості полягає у тому, що потрібно мати активну сесію в Gmail. І за 30 годин діру залатали. Хочу ще раз нагадати, що це було 1 січня, коли всі нормальні люди сплять під ялинкою.
Чомусь перше, що спало мені на думку так це Microsoft. Мені стало цікаво, скільки їй потрібно було б місяців для ліквідації дірки такого типу. Якби корпорація навчилась працювати як Google, мені здається кількість ліцензій на їх продукти значно зросла б. Microsoft має значно більші кошти, більше працівників, так чому так повільно працюють? Буде справедливе народне прислів’я – маленька рибка краща від великого таргана.

Компанія Digital Security (www.dsec.ru) представила Digital Security ScreenSaver. Цей програмний продукт (скачати: www.dsec.ru/downloads/ds_screensaver_demo.zip, 1,2 Mb) це періодично обновлювальна серія скрінсейверів, що допомагає користувачам закріпити деякі правила з області інформаційної безпеки. Пропонується 3 версії програми : стандартна – сюжет та дизайн універсальні, логотип компанії заміняється на логотип вашої компанії; корпоративний дизайн – сюжет універсальний, дизайн за замовленням; корпоративна – сюжет та дизайн за замовленням.
В сумі кожен випуск містить 10 різних сюжетів, а обновлення відбувається один раз на два місяці. Програма дуже нагадує звичайнісіньку презентацію.
Річ ця звісно хороша, проте на мою думку – малоефективна. Скрінсейвер вмикається коли користувач зазвичай відходить від свого комп’ютера і інформацію, яка з’являється на моніторі можуть побачити хіба інші особи. Форма представлення такої важливої інформації, мені здається – занадто дитяча. Слід зауважити, що я оцінюю демо-версію. Наведу живий приклад. Я не користуюсь антивірусними програмами, хоч і мій комп’ютер-клієнт працює в локалці на 150 компів під’єднаних до Інтернет (зовсім віднедавна. Слава адміну!!!). І в цьому скрінсейвері з’являється картинка із малим щеням і внизу написано, що так беззахисно виглядає мій комп’ютер без антивірусного програмного забезпечення. І навіть після побаченого я не встановив навіть Касперского. Можливо було б ефективніше, якби мені показали ілюзію краху операційки та внизу написали, що таку каку може зробити мені вірус і обов’язково треба захищатися. Антивірус від побаченого я б все одно собі не поставив, але це могло б спонукати до більш рішучіших дій користувачів. Доки їх не настрашиш – не перехрестяться. А настрашити вірусами їх треба так, щоб вночі не спали і думали якби то від них відбитися.

З чим я всіх і вітаю. Свято засноване у 1988 році і підтримує його 50 країн. Для того щоб правильно його відсвяткувати і потім зранку ще й вийти на роботу майже з світлою головою можна скористатись лінком http://www.computersecurityday.org/. Тільки наперед кажу, що ця адреса від похмілля не рятує (але якщо хтось знає таку, обов’язково дайте знати).

www.securitylab.ru чемно нам повідомляє про вихід російського перекладу британського стандарту BS 7799-3:2006 “Системы управления информационной безопасностью – Часть 3: Руководство по управлению рисками информационной безопасности”. Експерти передбачають, що до кінця наступного року даний стандарт ISO затвердить як міжнародний з індексом 27005 . Стандарт містить інформацію про основні фактори ризику, процеси керування ризиками, описує взаємозв’язок між ризиками інформаційної безпеки та іншими ризиками, вимоги та рекомендації щодо вибору методології та інструментів для оцінки ризиків. Зараз проводиться робота над стандартами по застосуванню та вимірюванню ефективності систем керування інформаційною безпекою які повинні отримати індекси 27003 та 27004. Їх випуск запланований на 2007 рік. Буде доступною і російськомовна версія.

За повідомленням www.lenta.ru у Скотланд-Ярд виникли проблеми. 16 листопада було викрадено 3 лептопи у яких містилась інформація про банківські реквізити, номера соціальних страхівок, адреси проживання та розмір зарполатні 15 тис. сівробітників Скотланд-Ярду. Керівництво закладу наказало своїм працівникам прослідковувати стан своїх рахунків і про несанкціоновані зміни відразу повідомляти.
Перше, що мене здивувало так це чому така інформація зберігалась на лептопах, які не були захищені відповідним чином (хоч би до стіни цвяхами поприбивали). Така подія може свідчити про недотримання (незнання, небажання дотримуватись) політики безпеки. Адже тільки коплекс фізичних та програмних засобів захисту може гарантувати збереження такого роду інформації. Вони просто повинні були передбачити можливість підкупу працівників, випадок ядерної війни і що найгірше – планового відключення електроенергії. І на кожен з випадків повинна існувати інструкція по протидії цьому. Не спрацювала служба безпеки Служби безпеки. А може то хтось із трудоголіків-працівників просто взяв ці комп’ютери додому, щоб трохи більше попрацювати і забув про це сказати ...

Нещодавно мені вдалось натрапити на сторінку www.virustotal.com . Якщо у вашій системі завівся хробачок – не спішіть видаляти файл. Відправте його на цю сторінку. Це безкоштовний сервіс на якому 26 антивірусних програм провірять ваш файл і видадуть інформацію про вірус і на скільки він є шкідливим. Це такі програми як DrWeb 4.33, Kaspersky 4.0.2.24, McAfee 4902, UNA 1.83, eSafe 7.0.14.0, ClamAV devel-20060426, AntiVir 7.2.0.44 та ін. Звісно, що програмне забезпечення не є найновішим, проте за даними цієї online служби бази оновлюються щодня. Відвідувачу на сторінці пропонуються наступні послуги : звичайна пересилка файлу, пересилка файлу по SSL, пересилка файлу антивірусним компаніям ( не зовсім зрозуміла опція – яким саме корпораціям я відсилаю файл, навіщо це робити). Отримавши файл система починає його сканувати. Перед користувачем з’являється таблиця, стрічки якої складають назву антивірусної програми, її версію, дата оновлення баз та результат сканування.

SANS Institute (SysAdmin, Audit, Networking and Security) опублікувала щорічний список 20 програмних продуктів, що є улюбленими цілями хакерів (Top 20 Security Targets). І як завжди на першому місці продукти Microsoft: Internet Explorer, Office, Windows Libraries.
Ця ж організація виявила 45 вразливостей Microsoft Office, які попали у категорію критичних, серйозних. Десять з них дають можливості до zero-day атак ( коли атака здійснюється раніше, ніж розробник випустить відповідну заплатку). І мені як прихильнику та шанувальнику FreeBSD напрочуд приємно читати такі факти. З нетерпінням очікую вихід Windows Vista там буде про що писати.
У веб ресурсах найбільш поширені атаки типу SQL injection (введення спеціального коду для отримання доступу до бази даних) та cross-site-scripting (використання скритого коду в вікні браузера користувача). Це може свідчити про безграмотність розробників ПЗ, оскільки вже давно є готові скрипти для запобігання атак такого типу. А у мови PHP є навіть вбудовані функції для фільтрування введеного тексту, так невже так складно їх використати.

Spamhaus виділела десятку найбільш злосних спамерів. Ця онлайн служба провела дослідження і в результаті з’ясувалося, що 80% масового розсилання небажаних повідомлень зводиться до конкретного числа осіб – 200 чол. А це за повідомленням голови антиспамної компанії Outblaze означає – на 100 тис. легітимних повідомлень додається ще 1 млн. спам-листів. І перше місце в світі по розсиланню таких листів посідає Україна – Олексій Поляков. В основному він розсилає спам порнографічного вмісту ( зокрема і дитяча порнографія) та рекламу лікарських засобів. Друге місце належить Росії – Леонід Куваєв. Третє – Майкл Линдсей із сонячної Каліфорнії, четверте – Руслан Ібрагімов із Росії, та п’яте – Амічай Інбар з Ізраїлю.

Для початку визначимо що ми будемо розуміти під терміном ризику. Ризик це певна подія, що здатна вплинути на хід проекту. Основна його характеристика – ймовірність виникнення. Ризик, який реалізувався будемо розуміти під проблемою. Слід розрізняти поняття – вирішення проблеми та вирішення задачі.
В більшості випадків керівники проектів (розглянемо розробку програмного проекту) не враховують ризик через те, що виявлений ризик він сприймає як недолік його роботи. Але ж значно простіше внести зміни у проект у процесі відладки, ніж після його здачі. І продукт буде працювати стабільніше.
Ризик виникає із зародженням проекту. Він виникає за наступних умов: неправильно оцінений розмір та складність задач розробки, необхідні ресурси; використовуються недосконалі інструменти розробки проекту; проект розробляють не фахівці; визначення строків закінчення проекту проходить без врахування структури проекту та його складності; існування сильної залежності від конкретних людей; постійно змінюються вимоги до розробки; розміри проекту не відповідають його бюджету.

На ринку з’явився шлюз інформаційної безпеки D-Link DFL-M510 . Про його характеристики можна прочитати за адресою http://www.ritm-it.ru/protection/d-link/dlink-firewalls/m90464/7730.htm . Він підключається між міжмережевим екраном та локальною мережею. Пристрій дозволяє заблокувати роботу програм чи їх окремих функцій, коли він виявить в них шкідливий код, обмежити роботу із поштовими службами, програмами-завантажувачами(GetRight та ін.), обмежити пропускну здатність каналу, блокування несанкціонованого трафіка, керування передачею Р2/Р-сервісів, захищає від більшості атак DOS/DDOS. Якщо атака йде із середини мережі, то використовується технологія Zone Defense і пристрій може заблокувати порт комутатора до якого під’єднаний хакер.

На сторінці 73 журналу “Компьютерное обозрение” №41(560) за 31 жовтня – 6 листопада 2006р розміщена стаття Евгения Куценко “Знание правил не гарантирует их выполнение”. Автор повідомляє про проведення глобального соціологічного дослідження.
Було опитано більше 1000 чоловік із 10 країн. Ціль проведення такого дослідження полягала у вивченні такого питання як – на скільки користувачі інформаційної системи створюють додаткову загрозу для своєї інформаційної безпеки. По отриманим відповідям було виділено окрему категорію – віддалені працівники. Дві третини респондентів відмітили що віддалена робота потребує підвищеної обережності, проте вони це ігнорують. Більше 21% учасників дозволяють особам що не мають відношення до роботи використовувати свій комп’ютер для доступу в Інтернет. Кожен четвертий заявив що в процесі роботи за службовим комп’ютером відкриває електронні листи від невідомих адресатів. Крім цього 29% опитаних призналися у використанні службових комп’ютерів у приватних цілях, 40% використовують для проведення закупів в Інтернет. За словами Jeff Platon віце-президента компанії Cisco, необережне поводження 11 віддалених працівників компанії зі штатом у 100 чоловік може повністю вивести з ладу корпоративну мережу, викликати витік конфіденційної інформації та персональних даних. До цього може призвести всього одна вразливість у системі захисту.

Уже минув місяць з часу сенсаційної купівлі фірмою "СУП" прав керування кириличним сегментом популярного сервісу блогів LiveJournal, що відомий у нас як "ЖЖ".
Про якісь результати (окрім скандального закриття окремих блогів) говорити ще рано. Проте, декілька вкрай суб'єктивних вражень:
1. У черговий раз українські користувачі та український контент стали об'єктом чужоземної гри (хоча напевно не головним і не пріоритетним, але про це далі). Відсутність потужних вітчизняних форумів та блогосервісів (а, окрім того, незрозуміла для мене любов наших блогерів до досить обмеженого сервісу LJ) призвела до ще одної втрати української території в Інтернеті. Раніше ЖЖ був немов би "нічийною землею", тепер ним (кириличним куском) заволоділи люди, вочевидь чітко політично та економічно зорієнтовані.

Я вже тривалий час з тривогою очікую появи нових системних атак, які будуть провадитися через Інтернет і носити комплексний характер – експлуатуватимуть різні вразливості серверів та комп'ютерів користувачів.
Тобто у найпростішому описі така атака може виглядати як:
- початкове інфікування багатьох авторитетних сайтів (через вразливе серверне ПЗ);
- подальше розміщення на інфікованих серверах коду, який вражатиме комп'ютери користувачів (не обов'язково через дірки – значна частина користувачів може сама встановити шкідливий код зі сайтів, котрим вони довіряли);
- Уже комп'ютери користувачів можуть стати площадками подальших атак (зокрема захоплення нових серверів).

В мережі опубліковані Підсумкові документи Всесвітнього саміту з питань інформаційного суспільства (ВСІС)

• Підсумкові документи ВСІС (перекладені з англійської) та англо-український словник термінів, ужитих при перекладі

Впевнений, що ця робота сприятиме:

• розробці й обґрунтуванню законодавчих актів, а також загальнонаціональних, галузевих та регіональних програм і проектів, пов’язаних з інформатизацією та побудовою інформаційного суспільства;
• розвиткові та усталенню української термінології у сфері інформаційно-комунікаційних технологій;

Що ж таке все-таки Веб 2.0? І в чому проблема України?
Я вже був написав статтю на тему Веб 2.0 http://it.ridne.net/uaweb2 , проте стаття була написана для одного науково-популярного українського видання і так і застряла (поки що, сподіваюся) в редакції. Я змучився чекати і кинув її в Мережу. Після цього я отримав непоганий зворотній зв'язок від читачів, з відгуків яких я зрозумів, що далеко не все там у статті очевидно. Крім того, тема Веб 2.0 та Уанету почала обговорюватися і широким загалом, зокрема в дискусійному листі Вебман.
Тому зараз пишу виключно для Вебу – простіше та практичніше.
Отже давайте з початку.

По світу уже відбулося кілька судових процесів проти власників Інтернет-форумів щодо інформації, яка розміщується користувачами на форумах.
У деяких з позовів винними було визнано власників, у деяких - власники змогли уникнути відповідальності.
Типовим аргументом позивачів було те, що раз форум є сайтом, який має власника, то власник повинен нести відповідальність за інформацію, що на сайті розміщено.
Аргументом захисту було те, що інформація розміщається користувачами, тому не відповідає позиції власників сайту.
Проте, коли суди приймали рішення на користь позивача, вони виходили з наступної логіки - "раз ви є власниками, ви могли усунути таку інформацію зі сайту, якщо ж ви її зберегли - значить вона відповідає вашій позиції".
Тепер дана нитка суджень отримала нове, цілком логічне (в дусі судження) продовження. "Раз у розділу форуму є модератор, значить він повинен нести відповідальність за зміст розділу. І якщо в розділі є інформація, що суперечить закону, а він її не усунув - значить він підтримує дану точку зору".
Таке ріщення було прийнято судом німецького Гамбурга щодо форуму Heise Online згідно позову фірми Universal Boards. Деталі процесу є тут
http://www.theregister.co.uk/2006/04/21/moderator_liable_for_comments/

Укртелеком відзначився. Це вже факт. Якщо вірити ось цьому - http://www.broadband.org.ua/content/view/333/329/ то Укртелеком використав домени Ukrpost.net та Ukrpost.ua. Мені невідомо на яких засадах і чому домени перейшли до Укртелекому. Але таке буває. Не в цьому питання. Питання в іншому.
Має місце дуже серйозне порушення інформаційної безпеки України. І шкода, що таке порушення є ініційованим працівниками такої серйозної державної інституції як Укртелеком. Поясню, у чому справа.
По наведеній адресі є стаття автор якої відобразив першу частину проблеми – те, що внаслідок брутального переходу поштової служби до Укртелекому всі поштові скриньки було видалено. Користувачі залишилися без поштових адрес, якими вони користали. Відзначу, що Укрпост був свого часу досить популярним онлайн-поштамтом. Так, по запиту "@ukrpost.net" у Google знаходиться близько 150 тисяч сторінок (це в 20 раз менше ніж @ukr.net але все-таки значне число). Таким чином, багато користувачів несподівано для себе втратило доступ до своїх поштових скриньок.
Проте, і це не найбільша проблема. Найбільшою проблемою може стати інше. Не дай Бог Укртелеком дозволить повторну реєстрацію скриньок з існуючими раніше назвами! У таком разі ми можемо зіткнутися з масовим планованим захопленням чужих адресів.
Чим це може загрожувати? Перехватом конфіденційної інформації, доступом до приватної кореспонденції, маскуванням та фішингом, захопленням (через систему нагадування паролів) логінів до різноманітних онлайн-сервісів (навіть до таких, як служби управління доменами!).
Я перевірив. На Форумі Рідного Міста існує 25 користувачів з поштовими скриньками з ukrpost.net . І що тепер з ними робити?
Ну це форум. Хоча також неприємно. А як бути з онлайн-службами типу реєстраторів доменних імен чи онлайн-банкінгу?
Вважаю, що власникам таких служб потрібно терміново провести вибірку клієнтів з поштовими адресами з ukrpost.net і встановити з ними прямий контакт.
Сподіваюся, що мій допис можливо ще врятує Укртелеком від безглуздої помилки, якою може стати дозвіл реєстрації скриньок, з назвами що існували раніше.
А компетентні державні служби повинні ІМХО дуже уважно відстежувати такі ситуації та упереджувати їх.

----
Вношу правки у свій допис.
Як виглядає з відгуків користувачів, зокрема ось тут http://misto.ridne.net/viewthread.php?tid=4451&page=1#pid55343
Укртелеком зберіг існуючі скриньки та не віддав їх стороннім користувачам.
Такий розвиток ситуації однозначно радує.

© Андрій Пелещишин