На этой неделе эксперты компании Positive Technologies в ходе тестирований на проникновение, аудитов безопасности и других работ проанализировали 185 тыс. паролей, используемых пользователями для доступа к различным корпоративным системам. Полученные данные были сведены ими в отчет о том, насколько устойчивы к атакам учетные записи, защищенные при помощи паролей. Выводы аналитиков оказались неутешительными: удаленная атака по словарям позволяет скомпрометировать 37% учетных записей, поскольку большинство пользователей продолжает выбирать самые простые комбинации букв и цифр для защиты своих компьютеров и установленных на них систем.
Парадоксальные выводы были сделаны при анализе паролей администраторов информационных систем. Несмотря на использование паролей с большей длиной, администраторы в 15% случаев выбирают "словарные" пароли либо пароли, совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствует вовсе. Еще одна отличившаяся в ходе исследования группа – женщины. Установлено, что их пароли являются несколько более уязвимыми для атакующего благодаря более частому использованию словарных паролей. Удаленному злоумышленнику в среднем требуется меньше времени на их подбор. Без комментариев...
В этом году произошло самое знаковое разбирательство по факту размещения незаконного контента — были осуждены владельцы крупнейшего в мире торрент-портала The Pirate Bay. На днях поступило сразу несколько новостей о дальнейшей судьбе ресурса.
Эксперты компании Positive Technologies проанализировали 185 тыс. паролей, используемых пользователями для доступа к различным корпоративным системам. Удаленной атакой по словарям удалось скомпрометировать 37% учетных записей, поскольку большинство пользователей продолжает выбирать в качестве пароля самые простые комбинации букв и цифр.
Выступление специалиста по безопасности на конференции Black Hat было отменено по настоятельной просьбе неназванного производителя банкоматов. Специалист из Juniper Networks собирался продемонстрировать участникам конференции взлом банкомата с использованием уязвимости в его программном обеспечении.
При регистрации новой почты на rambler.ru или при клике по ссылке восстановления пароля становится возможным перехватывать чужие сессии, причем при обновлении страницы сессия меняется.
Новый центр будет работать по всей Европе и в США, а его основной задачей станет предотвращение преступлений, связанных с кражей цифровых данных, взломов компьютерных систем и мошенничества в сфере электронных платежей.
Компания Symantec намерена в предстоящей версии продукта Norton Antivirus использовать необычный алгоритм обеспечения безопасности данных. Новая версия антивируса, релиз которой намечен на конец августа, будет использовать информацию, собранную в рамках программы Community Watch.
Локализация всех пяти персональных продуктов G Data будет завершена к нынешней осени. По оценкам компании, в ближайшие 10—15 месяцев продукты G Data займут примерно 1% российского рынка обеспечения интернет-безопасности. Затем, по мере продвижения корпоративных решений, эта доля увеличится до 5%.
Исследователь из компании IBM решил сложную математическую задачу, которая 30 лет не давала покоя криптографам. Результатом исследования стал полноценный механизм полностью гомоморфного шифрования, который позволяет обрабатывать надежно зашифрованные данные, не заглядывая в их содержание.
Беспрецедентный закон об интернете приняли в Казахстане: все интернет-ресурсы, включая блоги, приравниваются к СМИ. За нарушения законодательства суд может заблокировать доступ к ресурсу. Иски в казахские суды можно будет подавать против размещенных за рубежом сайтов тоже.
Корпорация Microsoft сегодня представила цены на готовящуюся к выходу операционную систему Windows 7. Стандартные домашние версии Windows 7 будут на 8% дешевле, чем сопоставимые версии Windows Vista.
В программном плеере Shockwave компании Adobe Systems выявлена критическая уязвимость, которая теоретически может использоваться злоумышленниками с целью получения несанкционированного доступа к удаленным компьютерам и выполнения на них произвольных операций.
Российские представительства лейблов Universal Music, Sony Music и других правообладателей, объединившись с продавцами и дистрибьюторами музыки в Интернете, создали альянс для борьбы с пиратами.
Четверо молодых людей в Санкт-Петербурге сделали так, что банкоматы сами стали шпионить за клиентами, а мошенники уже выбирали из них самых состоятельных.
Новый антивирусный продукт, работу над которым завершает корпорация Microsoft, сменил название с Morro на Security Essentials. Антивирусный пакет придет на смену платному сервису Windows Live OneCare, продажа лицензий для которого прекратится 30 июня.
Эксперт в области информационной безопасности Роберт Хансен сконструировал инструмент, пригодный для проведения DoS-атак нового поколения. В отличие от обычных DoS-атак, Slowloris позволяет добиться тех же результатов путем отправки относительно небольшого количества пакетов.
Cледующим шагом в реализации политики государства по защите российского киберпространства может стать формирование федерального центра информационной безопасности. С такой инициативой выступили российские законотворцы.
Дайджест
Июл02
Cisco создает онлайн-замену Microsoft Office
Cisco планирует интегрировать функции по созданию и редактированию офисных документов в свою систему онлайновых конференций и коллективной работы WebEx. Платформа WebEx была приобретена компанией в 2007 году вместе с одноименной фирмой за 3,2 млрд долларов. Система WebEx объединяет несколько сервисов, общая задача которых — предоставление клиентам возможности проведения онлайновых семинаров, тренингов, презентаций и пр.
Одним из конкурентов нового продукта Cisco станет пакет программ Google Apps. В него входят приложения для работы с документами, таблицами и презентациями. Для работы с Google Apps необходим лишь браузер и доступ в интернет. Кроме того, Cisco предстоит соперничать с корпорацией Microsoft. Последняя, напомним, намерена представить поддерживаемые за счет рекламы веб-версии приложений Word, Excel, PowerPoint и OneNote вместе с выпуском пакета Office 2010, презентация которого запланирована на первую половину следующего года.
Июн30
Слепого хакера приговорили к 11 годам тюрьмы
Слепой с рождения телефонный хакер из Массачусетса был приговорен к 11 годам заключения в федеральной тюрьме. Условно-досрочное освобождение в США не практикуется, поэтому следующие 135 месяцев Мэтью Вейман проведет за решеткой. Получивший известность как Li’l Hacker, Вейман считается одним из лучших телефонных хакеров среди ныне живущих. Полагаясь на свою превосходную память и отличное знание телефонии, он проникал в компьютерные системы и телефонное оборудование, а также обманным путем выведывал у сотрудников телефонных компаний конфиденциальную информацию. В ходе судебного процесса Вейман признал себя виновным в длинном перечне преступлений, в числе которых — хулиганские вызовы спецподразделений полиции в дома своих жертв, а также прослушивание телефонной линии поддержки абонентов компании Sprint. Подслушивая переговоры, Вейман запоминал номера клиентских кредитных карт, после чего передавал их своим сообщникам. Эти номера затем использовались для покупки компьютеров и другой электроники.
Июн26
Российская версия Windows 7 выйдет 22 октября
Россия станет одной из первых стран, где появится Windows 7. По заявлениям представителей Microsoft, российская версия Windows 7 выйдет 22 октября, одновременно с американской. Пользователи российской версии Windows Vista, купившие компьютер с предустановленной системой с 26 июня 2009 по 1 января 2010 года, смогут бесплатно обновить свою операционную систему до Windows 7. Представители Microsoft уточняют, что в программе могут участвовать не все сборщики компьютеров. Покупатели российских компьютеров смогут обновить операционную систему при помощи общего сайта Windows7UpgradeOption.com. Иностранные компании самостоятельно реализуют программу.
Июн25
В Алтайском крае сисадмин осужден за незаконную установку Windows XP и Autodesk Ink
Суд в Барнауле приговорил к 180 часам обязательных работ системного администратора, незаконно устанавливавшего программные продукты Autodesk Ink и Microsoft Windows XP, сообщается на сайте прокуратуры Алтайского края. Сисадмин осужден по части 2 статьи 146 УК РФ за незаконное использование авторского права в крупном размере. Ущерб оценен в 214,1 тысячи рублей. «Осужденный, работая системным администратором в одной из фирм Барнаула, с 2004 года занимался ремонтом и настройкой компьютеров на дому, то есть он незаконно устанавливал на жесткие диски компьютеров программные продукты Autodesk Ink, Microsoft Windows XP. Для привлечения клиентов он регулярно размещал объявления в периодической печати о предоставляемых им услугах, достоверно зная, что устанавливаемые им программы являются контрафактными», — говорится в сообщении. В настоящее время в производстве следственного отдела при ОВД по Индустриальному району находится 16 уголовных дел данной категории, сообщает прокурорский сайт.
Июн24
Злоумышленники распространяют вредоносное ПО под видом обновлений Microsoft
Эксперты антивирусного Центра зафиксировали массовую рассылку писем с предложением установить «критические обновления» для популярных почтовых программ Microsoft Outlook и Microsoft Outlook Express. Эксперты утверждают, что рассылка хорошо замаскирована под стиль Microsoft, и не каждый пользователь может оценить опасность предложения. Более того, приведенная в теле письма ссылка содержит в качестве части адреса название домена «update.microsoft.com», что также может вводить в заблуждение.
Специалисты по вопросам безопасности подчеркивают, что корпорация Microsoft не производит почтовых рассылок с уведомлениями об уязвимостях в своих продуктах. Поэтому заголовки писем вроде «Microsoft Outlook Critical Update» или «Update for Microsoft Outlook» свидетельствуют о том, что их авторами являются киберпреступники.
Июн22
Фишеры начали подделывать сайты российских банков
Департамент внешних и общественных связей Банка России сообщил о появлении в российском сегменте Сети сайтов, имитирующих интернет-представительства ряда российских кредитных организаций.
Доменные имена и стиль оформления таких сайтов сходны с именами подлинных ресурсов банков, а содержание прямо указывает на их якобы принадлежность соответствующим кредитным организациям. При этом, посетителям таких сайтов сообщаются заведомо ложные банковские реквизиты и контактная информация. Использование подобных реквизитов, а также вступление в какие-либо деловые отношения с лицами, предоставляющими ложную информацию, сопряжены с риском и могут привести к нежелательным последствиям для клиентов кредитных организаций, а также и для самих кредитных организаций.В целях противодействия распространению подобного негативного явления Банк России приступил к регулярному размещению на своем сайте списка адресов официальных веб-ресурсов кредитных организаций.
Компания Aladdin объявляет о выходе новой версии системы защиты конфиденциальной информации и персональных данных Secret Disk 4.3, в которую добавлена поддержка всего модельного ряда ключей eToken, включая новую платформу eToken Java, а также внесен целый ряд усовершенствований.
При покупке коробки любого домашнего продукта Panda 2009 до 1 сентября 2009 года пользователь получает СКИДКУ до 50% и бесплатный переход на версию 2010 года.
Norton Online Backup — это новый онлайн-сервис компании Symantec, позволяющий создавать резервные копии важных личных данных, которые будут храниться в зашифрованном виде в специальном надежном интернет-хранилище. Сервис Norton Online Backup полностью разработан в рамках концепции «программное обеспечение как сервис» (Software as a Service — SaaS), и этой статье мы подробно расскажем о его возможностях.
Проводимые за рубежом исследования показывают, что в большинстве случаев пользователи используют простые и легко угадываемые пароли для доступа к информационным ресурсам. Данное исследование рассматривает аналогичные проблемы, характерные для Российского пользователя. Публикация содержит статистику по используемым паролям сотрудниками российских компаний, полученную в ходе работ по тестированиям на проникновение, аудитов безопасности и других работ, выполненных экспертами компании Positive Technologies в 2007-2009 году. Всего в статистику вошли данные более чем о 185 тысячах паролей пользователей.
По Интернету с переменным успехом курсирует следующая байка: мол, или некоторая часть, или вообще все вирусы на самом деле пишутся разработчиками антивирусных пакетов, чтобы вселять страх в души бедных пользователей и заставлять их платить свои кровные за спасительный софт. Порой об этом мифе забывают, а порой — обычно после того, как новостные издания напишут о свежей эпидемии, а компании в тот же день отрапортуют о выпуске обновлений для борьбы с ней, — начинают обсуждать его с новой силой. «Теперь-то всё точно понятно, ага!»
В корпорации Microsoft полным ходом ведутся работы над бесплатным антивирусным продуктом, получившим название Microsoft Security Essentials (на ранней стадии разработки программа была известна под кодовым именем Morro). Как ожидается, новинка придет на смену коммерческому сервису Windows Live OneCare, продажу лицензий на который компания намерена прекратить 30 июня. В настоящее время пакет проходит закрытое тестирование, и, по сведениям многочисленных сетевых источников, скоро на странице www.microsoft.com/security_essentials должна быть представлена публичная бета-версия антивируса. Мы решили не дожидаться завтрашнего дня (по слухам, число скачиваний дистрибутива программы будет ограничено) и с целью первого знакомства с майкрософтовской новинкой установили на редакционный компьютер фигурирующую в крупных файлообменных сетях сборку Microsoft Security Essentials.
Обеспечение двухфакторной аутентификации при входе в систему Microsoft Windows
eToken Network Logon предназначен для кардинального решения проблемы «слабых» паролей при работе на компьютерах под управлением Microsoft Windows. Сразу после установки продукта для входа на компьютер или в сеть можно начать использовать надёжные и стойкие к перебору пароли, либо цифровые сертификаты.
eToken Network Logon сгенерирует сложный пароль, установит его в системе и сохранит в памяти eToken. Пользователю не нужно запоминать новый пароль — достаточно при входе на компьютер подключить eToken и ввести пароль пользователя для eToken — хранящийся в памяти пароль будет передан в систему. Пароль не надо запоминать и вводить с клавиатуры — это исключает возможность его подсматривания или перехвата злоумышленником. Таким образом, в результате использования eToken Network Logon осуществляется двухфакторная аутентификация, когда доступ в систему можно получить, только обладая уникальным предметом (токеном) и зная некоторую уникальную комбинацию символов (PIN-код).
Учебное заведение: Академия АйТи Длительность обучения: 9 дней
Июл06
Авг31
Окт13
Цель курса — сформировать у слушателей знания и навыки, необходимые для обеспечения безопасности персональных данных, обрабатываемых в информационных системах государственных, муниципальных органов и организаций различных форм собственности.
В результате изучения курса слушатели должны уметь: проводить классификацию информационных систем персональных данных; определять актуальные угрозы безопасности персональных данных; разрабатывать уведомительные и нормативные документы, необходимые для эффективной защиты персональных данных в соответствии с требованиями действующего законодательства; определять комплекс мероприятий по организации и техническому обеспечению безопасности персональных данных; грамотно оценивать и выбирать программные и технические средства защиты информации, которые могут быть использованы при создании (дооборудовании) и дальнейшей эксплуатации информационных систем персональных данных.
Учебное заведение: Учебный Центр «Информзащита» Длительность обучения: 5 дней
Июл13
Июл27
Авг10
Авг24
Сен07
Сен21
В курсе обобщен и систематизирован многолетний опыт специалистов Учебного центра и Научно-инженерного предприятия «Информзащита» по разработке систем обеспечения информационной безопасности, аналитических обследований крупнейших компьютерных сетей страны.
Особое внимание уделяется технологии обеспечения информационной безопасности, рациональному распределению функций и организации эффективного взаимодействия по вопросам защиты информации всех подразделений и сотрудников, использующих и обеспечивающих функционирование автоматизированных систем. Подробно рассматриваются вопросы разработки нормативно-методических и организационно-распорядительных документов с учетом требований российского законодательства и международных стандартов (BS7799 - ISO 17799, BSI, ISO15408-99), необходимых для реализации рассмотренной технологии.
Календарь событий
Июл07
Бизнес-завтрак Управление корпоративными лицензиями ПО: как не переплачивать и не бояться проверок Организаторы: Агентство маркетинговых коммуникаций CNews Conferences и компания Adobe
Контактная информация: тел. +7 (495) 363-11-57 доб. 5078, 5077, 5035, Айвазов Армен, Серова Елена, Четвернин Алексей, веб-сайт http://events.cnews.ru/events/07_07_09.shtml
Июл20
ИТ Евро форум 2009 Организаторы: «Академия Информационных Систем», «4х4 бюро профессиональных услуг»
Место проведения: Холидей Инн Сокольники: Москва, ул. Русаковская, 24
Контактная информация: веб-сайт http://www.itef.ru/
Сен29
Шестая международная специализированная выставка-конференция по информационной безопасности Infosecurity Russia 2009 Место проведения: Москва, Экспоцентр на Красной Пресне, павильон №7
Контактная информация: веб-сайт http://www.infosecuritymoscow.com/
Окт01
Вторая общероссийская конференция-семинар «Персональные данные» Организаторы: Компания «Гротек»
Место проведения: Москва, Гостиница «Рэдиссон Сас Славянская», Бережковская наб., 2
Контактная информация: веб-сайт http://www.pro-id.ru/
Контактная информация
Если у Вас имеются пресс-релизы, статьи, описание продуктов и услуг, подготовленные Вами или специалистами Вашей компании, мы готовы рассмотреть вопрос публикации их на страницах газеты InfoSecurity.ru. Присылайте Ваши предложения и материалы по этому адресу.
