CAPTCHA-троян охотится на учетные записи Yahoo!
Троян Captchar.A, предлагающий пользователям стриптиз в обмен на расшифровку изображений CAPTCHA (Completely Automatic Public Turing test to tell Computers and Humans apart), защищающих от автоматической регистрации, был замечен в использовании для почтового сервиса Yahoo! . Привлечение людей для расшифровки CAPTCHA позволяет эффективно регистрировать большое количество учетных записей, отмечает исследователь Trend Micro Родерик Ордоньез (Roderick Ordonez). Как рассказал представитель Yahoo! в интервью BBC, у компании есть средства, позволяющие выявлять злоумышленников и реагировать на их действия, сообщает The Register. До сих пор попытки преодолеть систему защиты от автоматических регистраций предпринимались только с использованием специальных серверов.
Спамер получил два года за рассылку рекламы пользователям AOL
Спамер из штата Нью-Джерси был приговорен к 27 месяцам тюремного заключения и штрафу в $180 тыс. за нарушение закона о спаме. Он был уличен в рассылке рекламных писем 1, 2 млн. пользователей AOL. 28-летний Тод Меллер (Todd Moeller) выполнял заказы по рассылке спама, используя для этого 40 серверов, выяснил сотрудник полиции, связавшийся со спамером под видом клиента. В разговоре с ним по интернет-пейджеру, Тод Меллер сказал, что рассылки спама приносят ему до $40 тыс. в месяц. Как сообщает The Register, приговор подельнику г-на Меллера, Адаму Витале (Adam Vitale), будет вынесен 13 ноября 2007 г. Суд Нью-Йорка признал его виновным в июне 2007 г.
Apple излечила QuickTime: семь уязвимостей
Apple в понедельник, 5 ноября 2007 г., выпустила QuickTime 7.3, в котором устранено семь уязвимостей. Шесть позволяют выполнить произвольный код, одна - запустить произвольные Java-апплеты с повышенными привилегиями. Все уязвимости касаются Windows и Mac OS X. Предыдущее крупное обновление QuickTime было выпущено в июле - тогда компания устранила восемь уязвимостей. В октябре вышел патч, устраняющий возможность выполнения произвольного кода в версии продукта для Windows, сообщает The Register. В основном, уязвимости позволяют выполнить код, скрытый во вредоносных видеофайлах и файлах изображений. Одна возникает при обработке атомов описания образа файла, вторая - при обработке описателя сэмпла в таблице сэмплов (Sample Table Sample Descriptor), третья и четвертая - при обработке изображений PICT, пятая - при обработке атома таблицы цветов в видеофайлах.
Британские налоговики потеряли данные 15 тыс. клиентов страховой компании
Персональные данные 15 тыс. клиентов страховой компании Standard Life были потеряны британской налоговой службой HM Revenue & Customs. Курьер, с которым послали компакт-диск с данными о 15 тыс. владельцев пенсионной страховки из офиса HMRC в Ньюкасле в офис Standard Life в Эдинбурге, исчез. На диске находились имена, номера социального страхования, даты рождения, адреса и данные о пенсиях. Мошенники могут использовать полученные данные для взятия кредитов или выписки кредитных карт на чужие имена, сообщает The Register. Вероятно, курьер так и не доставит диск: его отправили с заданием пять недель назад. Standard Life рассылает пострадавшим уведомления, хотя директор службы работы с клиентами Джон Джил (John Gill) считает, что данные не попали к посторонним.
Студенты могут получить до 20 лет тюрьмы за взлом университетской БД
Двоим студентам Университета штата Калифорнии в Фресно предъявлены обвинения в хакерстве, краже личности, преступном сговоре и электронном мошенничестве. За попытку исправить плохие оценки студенты могут сесть в тюрьму на срок до 20 лет и быть оштрафованы на сумму до $250 тыс. 29-летний Джон Эскалера (John Escalera) и 28-летний Густаво Разо (Gustavo Razo) заменили данные, неустановленным способом получив доступ к администрированию СУБД PeopleSoft. Для получения несанкционированного доступа г-ну Эскалера помогла его должность в службе технической поддержки университета. Густаво Разо заплатил ему за изменение своих оценок, сообщает The Register. Полиция предполагает, что несанкционированное редактирование базы проводилось несколько раз с января по июнь 2004 г.
G4Tec представила виртуальную матрицу на 72 CCTV-камеры
Компания G4Tec представила виртуальную матрицу Symmetry Video Management, поддерживающую до 72 камер видеонаблюдения. Потоки выводятся на компьютер с двумя мониторами. Система позволяет охранникам настраивать величину изображений с той или иной камеры в зависимости от степени ее важности. Так, изображения с камер, отнесенных к "группе наблюдения за зоной низкой опасности", появляются в уменьшенном виде, а важные - в увеличенном. Однако при возникновении опасной ситуации изображение увеличивается вне зависимости от того, к какой группе причислена камера, сообщает Info4security.com. По словам управляющего директора G4Tec Europe Мартина Хильдебрандта (Martin Hildebrandt), клиенты получают относительно недорогое решение для всеобъемлющего видеонаблюдения.
EC Integration защитила от ИБ-угроз КСПД Национальной страховой группы
Компания Energy Consulting/Integration, входящая в ГК Energy Consulting, завершила модернизацию комплексной системы обеспечения безопасности КСПД компании "Национальная страховая группа". В ходе проекта были доработаны интегрированные с КСПД заказчика решения, обеспечивающие защиту внешних и внутренних ИТ-ресурсов компании от угроз информационной безопасности (ИБ). В настоящее время КСПД позволяет решить такие задачи, как классификация сетевых сервисов и ИТ-ресурсов, пользователей ИТ-сервисов компании; построение матрицы доступа в соответствии с проведенной классификацией и политикой безопасности компании; реализация матрицы доступа на уроне сетевой инфраструктуры и технических средств защиты;
У Google OpenSocial проблемы с безопасностью
Первое приложение, созданное с помощью набора инструментов для создания приложений и их размещения в сети партнерских сервисов OpenSocial от компании Google, было закрыто из-за серьезной уязвимости, с помощью которой хакеры могли получить доступ к полной информации о пользователях. Приложение было создано компанией RockYou для социальной сети Plaxo, которая позволяет своим пользователям обновлять и синхронизировать календари и адресные книги Microsoft Outlook, Mozilla Thunderbird и Mac OS X. Пользователь под ником "harmonyguy" выслал информацию об уязвимости администрации сервиса после запуска приложения от RockYou, в качестве доказательства приложив информацию о пользователях Plaxo, сообщает Mashable.
Mu Security: эффективный поиск и устранение уязвимостей
Mu Security добавила систему обмена аналитическими шаблонами, Sharable Analysis Templates, в движок анализа уязвимостей Dynamic Stateful Fuzzing, используемый в новой, третьей версии устройства Mu-4000 Security Analyzer. Возможность обмена шаблонами позволяет быстро распространить данные среди групп компании, отвечающих за тестирование программных продуктов. Обычно об определенном инциденте, связанном с безопасностью, узнает одна небольшая группа в компании; при этом группа общего тестирования и сертификации остается в неведении или получает данные с большой задержкой. Новинка устранит этот недостаток, заявляет компания. Mu Security обращает внимание на то, что в компаниях всегда не хватает людей, которые могли бы и тестировать, и анализировать продукты, развертываемые у крупных заказчиков.
Trend Micro представила новую версию защитного пакета Mobile Security
Trend Micro выпустила новую версию мобильного защитного пакета - Trend Micro Mobile Security 5.0. В продукт добавлено шифрование данных и система аутентификации. Шифрование данных позволяет сохранить их конфиденциальность на случай кражи или утери мобильного устройства; удаленное администрирование устройств позволяет ИБ-специалистам компаний удалять данные, не соответствующие требованиям по безопасности. Встроенный модуль защиты от вредоносных программ также предотвращает попадание на устройство SMS-спама. В продукт встроен брандмауэр и система предотвращения вторжений (IDS), защищающая от взлома и DoS-атак, сообщает Geekzone.co.nz. TMMS 5.0 использует консоль администрирования OfficeScan Client/Server Edition (OSCE) 8.