Хакер #305. Многошаговые SQL-инъекции
Золото ICPC — наше!
Уже традиционные новости о ходе международной студенческой олимпиады по программированию. Финал ICPC в этом году пришлось отложить, ведь он должен был состояться весной в Шарм-эль-Шейхе (Египет), но именно тогда в стране начался переворот... В итоге, заключительный тур олимпиады имел место в США, в городе Орландо. Напоминаем, что Россию представляли 11 команд со всех уголков нашей страны. Первое место в этом году, увы, осталось за Китаем, чьи команды традиционно сильны — решить 8 задач быстрее и правильнее всех удалось ребятам из университета Чжэцзян. На последующих местах турнирной таблицы расположились:
- университет Мичигана, США (8 задач);
- университет Цинхуа, Китай (7 задач);
- Санкт-Петербургский государственный университет, Россия (7 задач);
- Нижегородский государственный университет, Россия (7 задач);
- Саратовский государственный университет, Россия (7 задач).
Всех удивило столь блистательное выступление Мичигана, которое для многих стало настоящим сюрпризом, так как они не были даже в числе фаворитов. Что касается наших ребят, хоть они и не вошли в этом году в тройку, команды все равно заслужили золотые, серебряные и бронзовые медали, с чем мы их искренне поздравляем!
Microsoft Security Essentials — наиболее используемый антивирус. Его используют на 10,66% из 43 000 компьютеров, протестированных OPSWAT по всему миру. Это немного превышает результаты второго места, которое занял Avira Antivir Personal с показателем 10,18%. Бесплатный антивирус AVAST! оказался на третьем месте с 8,66%.
Geohot нашел работу
Интересное обновление появилось на стене Джорджа «GeoHot» Хотца в Facebook. Известный всей планете джейлбрейкер и активный борец с компанией Sony написал следующее: «Facebook — действительно потрясающее место для работы... первый хакерский марафон окончен» («Facebook is really an amazing place to work... first hackathon over»). В скором времени эта информация подтвердилась. Цукерберг и компания действительно взяли эпатажного хакера на работу, притом довольно давно — Хотц с 9-го мая работает в Facebook как software engineer. То есть, крупнейшая социальная сеть планеты позвала GeoHot на работу через месяц после его судебного разбирательства с Sony. Чем конкретно занимается Хотц на новом месте пока неизвестно, но можно предположить, что его найм связан с планами компании выйти на мобильный рынок. В Facebook уже подтверждали ранее, что у них в разработке находится приложение для iPad (удивительно, что его до сих пор нет), и его релиз уже не за горами. Вряд ли это совпадение, и известнейшего «яблочного» и не только джейлбрейкера взяли на работу в компанию не поэтому.
На Bittorrent подают в суд
Крайне неприятный судебный иск был выдвинут против компании BitTorrent. Товарищи из TranzSend Broadcasting Network настаивают, что BitTorrent Inc и Kontiki Inc нарушают патент 7.301.944 («Распространение медиафайлов с использованием адаптивного протокола передачи») в реализации протокола BitTorrent. Эти нарушения якобы ведут к существенным потерям, и компания теперь требует компенсации ущерба.
Что особенно важно — помимо приложения uTorrent, рассматривается ущерб и от создания, использования и распространения технологии BitTorrent как таковой! Упомянутый патент был зарегистрирован в ноябре 2007 года, в то время как заявка на него подавалась еще в апреле 1999 года, то есть, за два года до появления первой версии торрент-клиента BitTorrent. Если Tranz-Send Broadcasting Network сумеют доказать, что права на технологию действительно были запатентованы ими, а BitTorrent заставят платить отчисления за каждую загрузку, это может нанести ущерб не только самой компании, но и всем пользователям P2P-сетей в целом. Ведь получается, что в таком случае даже само использование торрентов уже незаконно. Будем следить за развитием ситуации.
Сколько зарабатывают во «ВКонтакте»? Ежегодная выручка составляет $8-9 млн, примерно 60% приходится на таргетированную рекламу. Тридцать процентов выручки приносят приложения, еще десять — остальные сервисы.
Розетка с удаленным доступом
В наше время «умный дом» — уже не пустые слова и не оборот со страниц фантастических романов. Это реальность. Все больше бытовых приборов можно контролировать удаленно, так что в скором времени, пожалуй, можно будет без шуток позвонить на холодильник или утюг :). Ну а благодаря сотовым операторам теперь можно еще и посылать SMS розетке. Уже начались продажи умной электророзетки с датчиком температур и дистанционным управлением «Мегафон GS1». Девайс, производителем которого является китайская компания SenseIT, оснащается GSM-модулем с SIM-картой, так что им можно не только управлять и удаленно, но и получать от него ответные оповещения. Устройство способно самостоятельно информировать «хозяина» о включении или отключении электроприборов и резком изменении температуры или достижении определенного предела (поддерживается диапазон температур от -10 °С до 50 °С), что особенно актуально для владельцев кондиционеров. Интересно и то, что под девайс не придется штробить стены — GS1 вставляется в обычную розетку, после чего у пользователя появляется возможность дистанционно, с помощью мобильника, управлять включением/выключением приборов и узнавать температуру в помещении. Цена новинки вместе с тарифом составляет 3 000 рублей.
70% возвратов Android-смартфонов происходит из-за низкокачественных приложений, заявляет Motorola. Большинство этих приложений не тестировалось, и влияние их на аккумуляторы и CPU не оценивалось в полной мере.
Вирусописателей в Японии будут сажать
Недавно парламент Японии одобрил новый закон против киберпреступности, согласно которому создание, хранение и распространение компьютерных вирусов теперь будет караться штрафом или лишением свободы. Теперь в стране восходящего солнца за умышленное создание или распространение малвари будут штрафовать на 500 тысяч иен (6,2 тысячи долларов) или приговаривать к тюремному заключению на срок до трех лет. За хранение вирусов предусмотрен штраф в 300 тысяч иен (3,7 тысячи долларов) и тюремный срок до двух лет. Так как закон ожидаемо вызвал волну народного негодования, власти особенно подчеркнули, что закон был дополнен резолюцией с требованием избегать злоупотреблений. В то же время в Германии суд официально признал DDoS уголовно наказуемым деянием. Суд Дюссельдорфа посчитал, что блокирование работы интернет-сайтов путем их преднамеренной перегрузки запросами запросто может закончиться тюремным сроком — до десяти лет лишения свободы.
Такой приговор был вынесен еще в марте, когда слушалось дело о блокировке работы шести букмекерских сайтов, однако широкую огласку он получил лишь сейчас.
Суд опирался на параграф 303b уголовного кодекса Германии («компьютерный саботаж»), за который предусмотрено наказание в виде лишения свободы на срок до десяти лет. Учитывая тот факт, что в Германии действует прецедентное право, ничего хорошего в будущем европейским DDoS’ерам ожидать не стоит.
Представили управления «К» сообщают: количество преступлений совершенных при помощи интернета в 2011 году уже выросло на 95%.
Нововведения Google
Про голосовой поиск от Google мы слышали уже давно, так как впервые его представили еще в 2009 году. Теперь Google Voice Search наконецто официально доступен не только юзерам Android, Symbian и iOS, но и пользователям браузера Google Chrome для персональных компьютеров. Да-да, без «Хрома» тут никуда, ведь технология, используемая в Chrome, является закрытой. Таким образом, судить о том, когда аналогичный функционал появится в других браузерах, пока довольно сложно.
Второе новшество, о котором компания Google объявила в середине июня — это поиск по изображениям. Привычный Google Images теперь обладает функционалом схожим с TinEye. То есть, отныне можно загрузить в поисковик картинку (или указать на изображение ссылку) и найти ее упоминание на различных веб-сайтах, отыскать похожие изображения. Также можно будет распознавать здания по их фотографиям, музыкальные альбомы по их обложкам и так далее. Впрочем, распознавать лица людей новинка отказывается, что вполне объяснимо — достаточно вспомнить, каким шквалом критики и обвинений в нарушении конфиденциальности и анонимности пользователей Сети была недавно встречена функция распознавания лиц на фото в Facebook. Google это нововведение тоже не одобрил, а Эрик Шмит (председатель совета директоров Google) заявил, что подобным «корпорация Добра» никогда заниматься не будет.
Драйвера на автомате
В Intel Labs, оказывается, вовсю кипит работа над созданием системы для автоматической генерации исходного кода драйверов устройств и их последующей адаптации для различных ОС. Об этом стало известно из интервью с Аруном Рагхунатом, который является одним из разработчиков этого чуда мысли. Технология пока носит название Termite и призвана автоматизировать труд программистов, помочь людям избежать возможных ошибок в коде за счет автоматизации их работы с помощью алгоритмов, используемых при создании систем искусственного интеллекта. Алгоритм работы Termite основан на методах «теории игр». Драйвер выступает в роли первого игрока, а остальное окружение, к которому можно причислить ОС и устройство, — второго.
Рагхунат поясняет: «Когда драйвер делает ход, окружение тоже меняет свое состояние. Выигрышная стратегия состоит в том, чтобы делать ходы по игровому полю таким образом, чтобы не ввести окружение в противоречивое или тупиковое состояние». Плюс этого подхода в его универсальности, можно перенести сгенерированный драйвер в другую операционку, и для этого не потребуется ничего, кроме корректных спецификаций интерфейса драйверов для этой ОС. Данная технология была представлена впервые разработчиками из австралийского исследовательского центра NICTA, Open Kernel Labs и исследователями из университета Нового Южного Уэльса на симпозиуме SOSP. С их подробным докладом по данному вопросу можно ознакомиться здесь: bit.ly/m3dtvt.
Спустя два года после запуска, количество пользователей геолокационного сервиса Foursquare превысило 10 млн человек.
Пятиминутка «яблочных» новостей
Немало интересных сообщений пришло за прошедший месяц из стана компании Apple.
Во-первых, была названа дата выхода нового поколения операционной системы Mac OS X под кодовым названием Lion. Старт произойдет в уже в текущем месяце. ОС будет распространяться только через Mac App Store по цене 29,99 долларов. Нововведений много — более 250 новых функций, многие из которых, кстати, были позаимствованы из мобильной iOS. Вот некоторые их них: появилась поддержка новых мультитач-жестов и полноэкранных приложений. Были добавлены функция Mission Control для просмотра запущенных на компьютере программ в одном окне и панель Launchpad.
ОС интегрировалась с магазином приложений Mac App Store. Появилась утилита AirDrop для быстрого обмена файлами с другими компьютерами Mac по беспроводной сети.
Во-вторых, не успел Apple опубликовать бетаверсию iOS 5, как ее уже взломали. На джейлбрейк ушло менее 24 часов! Авторство рекорда принадлежит iPhone Dev Team. Парни сумели обойти систему цифровых подписей приложений, и на устройство стало возможно установить любую программу. Когда будет выпущен джейлбрейк, пока не сообщается, но в качестве доказательств взломщики опубликовали скриншоты домашнего экрана iOS на плеере iPod touch.
Среди стандартных иконок были иконки приложений Cydia и iSSH. Последнее дает корневой доступ к файловой системе. В-третьих, об одной очень интересной инициативе рассказал Стив Джобс. В Apple придумали, как можно монетизировать «пиратскую» музыку. Возможным это стало благодаря новому сервису iTunes Match.
Суть проста: новая функция scan-and-match (сканируй и найди) в iTunes поместит копии песен из библиотек пользователей в облако, где можно хранить треки всего за $25 в год и прослушивать их на любом устройстве. И неважно, откуда взялись эти песни — были ли они приобретены в iTunes, извлечены из CD или скачаны с файлообменных сетей.
«Это приводит к созданию модели, которая позволит людям делать деньги на пиратской музыке», — заявил Джефф Прайс, основатель и генеральный директор независимого музыкального дистрибьютора TuneCore. В общем и целом, это действительно похоже на схему, где «и волки сыты и овцы целы». Но, к сожалению, сомнительно, чтобы все борцы за авторское право так же обрадовались этой инновации.
У Nokia теперь есть своя «аська»
Компания Nokia, чей недавний альянс с Microsoft потряс многих, выпустила бесплатный мессенджер IM for Nokia. Программа ориентирована на смартфоны Nokia X6, Nokia 5230, Nokia N8, Nokia E7, аппараты Series 40 и ряд других моделей компании. Скачать новинку можно через магазин Ovi Store. Разумеется, софтина не будет представлять собой закрытый способ связи «только для нокий», мессенджер также поддерживает Google Talk, Windows Live Messenger, Yahoo! Messenger и другие сервисы обмена мгновенными сообщениями. Однако, похоже, это первый шаг в направлении, сходном с «яблочным» iMessage. При помощи этого приложения владельцы устройств с iOS 5 на борту смогут обмениваться текстовыми сообщениями, фотографиями и видеороликами.
Корпорация ICANN проголосовала за разрешение введения доменных имен верхнего уровня, совпадающих с названием торговой марки. То есть, зоны вроде .apple, или .ibm не за горами.
Хактивизм крепчает
Карательные операции хакеров против компании Sony словно послужили сигналом к действию для десятков, если не сотен, других хактивистов по всему миру. За последние месяцы сообщения о взломах резко участились, и все чаще ответственность за хаки берут на себя различные группировки. Если абстрагироваться от многострадальной Sony (которую до сих пор не оставили в покое), то самыми громкими взломами последнего месяца можно назвать хак сервиса Sega Pass и взлом сайта НАТО.
В первом случае были скомпрометированы данные более 1,3 миллиона пользователей игрового онлайн-сервиса Sega Pass. Сервис отключили, обнаружив, что неизвестные лица сумели получить доступ к базе данных.
Какая именно информация могла попасть в руки злоумышленников, пока не до конца ясно, но уже известно, что хакерам удалось получить email юзеров, их даты рождения и пароли (в зашифрованном виде). Интересно и то, что другая группировка хактивистов под названием LulzSec, о деяниях которой мы обязательно расскажем тебе подробно в ближайшем номере, вызвалась помочь Sega найти взломщиков. LulzSec, сами только взломавшие Bethesda, Nintendo, сайт ЦРУ, сайт Сената США и так далее, заявили, что они очень любят Dreamcast и хотят помочь. Хотя, вероятно, это заявление тоже было сделано исключительно ради лулзов.
Во втором случае пострадал сайт НАТО, а именно NATO E-Bookshop. Учитывая, что меньше месяца назад НАТО недвусмысленно угрожали анонимусы, обещая страшные кары, совпадение любопытное. О взломе стало известно, когда пользователей сервиса E-Bookshop оповестили, что хакеры, возможно, сумели заполучить клиентскую базу, и попросили всех сменить пароли. Но так как сайт не содержит никаких конфиденциальных или секретных данных, многие полагают, что цель для анонима была мелковата. Известно также, что НАТО ломали через XSS.
Планшет для сисадминов
Необычное устройство представила компания Fluke Networks. Планшетник OptiView XG Network Analysis Tablet ориентирован на сетевых инженеров и предназначен для решения серьезных задач. Новинка оснащается специализированным аппаратным комплексом для автоматизированного анализа сети и приложений. Барри Линдслей, менеджер по маркетингу компании Fluke Networks, поясняет, что данное устройство призвано помочь сетевым администраторам определить, где именно имеется неисправность в данный момент: в сети или на уровне приложений. Производитель утверждает, что на сегодня нет другого девайса, который сочетал бы в себе способность производить анализ сетей 10 Гбит, а также мониторинг и анализ беспроводных сетей. Аппарат весит 2,5 кг, имеет 10,25-дюймовый экран разрешением 1024x738, время его работы — три часа от двух батарей, заменяемых без выключения компьютера. Система работает на операционной системе Windows 7, процессор Intel Core Duo 1,2 ГГц. OptiView XG способен контролировать до 30 000 конечных устройств в сети и обрабатывать пакеты до 10 Гбит/с. Информационной панелью, отображающей основные данные, можно управляться и изменять ее в зависимости от требований пользователя.
Биржу цифровой валюты Bitcoin взломали
Мы довольно давно рассказывали тебе о цифровой валюте Bitcoin, основанной на peer-to-peer-технологии. Ее автор Сатоши Никамото хотел создать валюту, на которую не имела бы влияния ни политика банков, ни какие-либо внешние факторы. Увы, некоторые факторы на Bitcoin все же влияют. Например, хаки. Недавно был взломан крупнейший обменник BC в Сети — MtGox, именно через него проходил основной объем торгов. Хакерам удалось «угнать» базу пользователей MtGox (а это более 60 тысяч аккаунтов), включая хэши паролей в формате MD5. Известно, что пароль как минимум к одному из аккаунтов был подобран, и атакующие совершили от имени данного юзера операцию на бирже (максимальный размер перевода ограничен 1000 долларами в день). Также после взлома, по каким-то неясным причинам, временно рухнул курс биткоинов: на бирже MtGox он упал с $17 до нескольких центов. Впрочем, сейчас курс в полном порядке, и это, видимо, можно списать на некие технические неполадки.
Интересно, что после взлома также была выявлена аномальная внешняя транзакция размером 432 тысячи BC, что равняется примерно $8 млн и составляет 6,6% от общего числа доступных в обороте биткоинов. С одной стороны, все это никоим образом нельзя поставить в упрек самой валюте. С другой, к Bitcoin достаточно вопросов и без этого инцидента. К примеру, BC используется в качестве виртуальных акций финансовой пирамиды МММ-2011, и известно, что курс валюты искусственно завышен и в любой момент может обрушиться. Известно также, что существуют трояны (в частности Infostealer.Coinbit) для кражи кошельков Bitcoin, и ботнеты, позволяющие зарабатывать валюту Bitcoin. Словом, хитрая криптография не защищает необычную цифровую валюту от мошенников, а дырявые биржи, вынужденные проводить откаты и затыкать дыры, точно не принесут ей хорошей рекламы.
Ищут давно, но не могут найти...
Компания Microsoft совсем недавно расквиталась с огромным ботнетом Rustock, а теперь намеревается осудить его хозяев. Однако для начала их еще нужно найти. Тот факт, что личности организаторов зомби-сети установлены не были, не остановил Microsoft от подачи судебного иска.
Проведенное компанией расследование показало, что следы спамеров (ботнет рассылал миллиарды сообщений ежедневно, чаще всего их темой были фэйковые лотереи и фарма) ведут в Россию. А так как американское законодательство требует проинформировать ответчика о дате и месте слушания, Microsoft разместила в российских газетах «Деловой Петербург» и «Московские новости» объявления с датой, местом и временем проведения слушаний по делу ботсети Rustock. Реклама на четверть полосы будет выходить в течение месяца. В Microsoft искренне полагают, что создатели ботнета все же явятся в суд, чтобы отстоять свои интересы.
С той же целью был создан сайт noticeofpleadings.com, на котором представлены материалы по этому делу. Плюс на все почтовые и электронные адреса, которые использовались для создания и управления ботнетом, были отправлены соответствующие уведомления. С одной стороны ясно, что к этому обязывает законодательство, но с другой, это все равно чертовски трогательно и смешно :). Напомним, что компьютеры, входившие в сеть Rustock, в течение нескольких лет (с 2006 года) отправляли несколько миллиардов спам-сообщений в день. Чаще всего это были сообщения о лотереях и реклама медицинских препаратов.
Facebook, похоже, достиг пика своего роста и начал сдавать назад. В США соцсеть потеряла около 6 млн пользователей (с 155,2 млн в начале мая — до 149,4 млн в конце).
Еще одно вскрытие Skype
Закрытый протокол Skype словно запретный плод — он все манит и манит исследователей. Пока все гадают, выдаст ли Microsoft исходный код проекта спецслужбам (в рамках программы Government Security Program) после приобретения проекта, независимые исследователи выкладывают в Сеть свои наработки. Тридцатилетний фрилансер Ефим Бушманов из Сыктывкара разместил в своем блоге (skype-open-source.blogspot.com) отреверсенный код скайпа (для версии 1.x/3.x/4.x), а также раскрыл применяющийся в нем алгоритм шифрования данных (как выяснилось, используется надежное шифрование AES и RSA с публичным ключом). Помимо этого он опубликовал исходный код клиента, который может отправить сообщение другим клиентам Skype, правда, для устаревшей версии протокола.
В блоге он написал, что ищет единомышленников, которые располагают достаточным запасом времени для того, чтобы завершить проект. Увы, впоследствии ссылки на файлы из блога были удалены, что вероятнее всего связано с тем фактом, что несанкционированное использование кода сервиса приравнивается к нарушению прав Skype на интеллектуальную собственность. Тем не менее, в Сеть исследования хакера утекли, и их все еще можно обнаружить на крупных торрент-трекерах.
Для тех, кого достало 3D
Не знаю, возникала ли у тебя, дорогой читатель, такая проблема, но иногда хочется сходить в кино на какой-либо фильм, а эту ленту везде показывают исключительно и только в 3D. Согласись, стереокартинка далеко не всегда бывает хороша (особенно на толком ненастроенной аппаратуре наших кинотеатров), уместна, да и вообще, от 3D у многих устают глаза, болит голова и творятся другие неприятные вещи. Также нельзя не заметить, что фильмы, снятые в 3D, это одно, а фильмы в него конвертированные, — совсем другое. Ценность последнего весьма спорна. Однако обычный, не объемный формат — порой настоящая редкость. Те, кого такой расклад не устраивает, придумали, как сделать очки, конвертирующие изображение обратно в 2D. Все предельно просто. Тебе понадобятся лишь две пары обыкновенных поляризационных очков, каждая из которых стоит в районе $5 или дешевле (а еще их часто раздают на халяву в кинотеатрах). Как ты помнишь, каждый глаз в таких очках видит только свою картинку: левый — для левого глаза, правый — для правого. Весь фокус в том, чтобы путем нехитрых манипуляций, переставить линзы таким образом, чтобы в одной паре очков оказались две левых линзы, а в другой две правых. И никакого больше 3D и насилия над глазами!
«Каждый четвертый американский хакер работает на ФБР», — заявляет Эрик Корли, который издает ежеквартальный журнал «2600».
Wexler TAB 9701
Кажется, каждый производитель считает должным выпустить свой планештник, причем непременно на андроиде. Вот и Wexler объявила о релизе планшетного компьютера на базе Android 2.3 — WEXLER.TAB 9701. Спецификации довольно стандартные для такого рода устройств:
- ARM-процессор с частотой 1,2 ГГц;
- 512 Мб ОЗУ;
- 9,7” SuperTFT-экран с разрешением 1024х768 выполнен по технологии IPS и поддерживает мультитач;
- 8 Гб внутренней флеш-памяти.
Такого конфига, в частности, достаточно, чтобы воспроизводить видеоконтент 1080p (FullHD). Причем изображение можно даже вывести на внешние устройства отображения (ТВ, монитор, плазменная панель), используется mini-HDMIвыход. Для удобства пользователей в планшете реализована функция подключения внешних USB-накопителей. Для выхода в Сеть используются модули (IEEE 802.11 b/g/n) и 3G (стандарта Wideband Code Division Multiple Access).
Новинка оснащена датчиком положения в пространстве (G-сенсор) и GPS-приемником, поддерживающим функцию A-GPS. Как заявляет производитель, литий-полимерного аккумулятора емкостью 7000 мАч хватит на более 9 часов без подзарядки (в режиме использования сети интернет с включенным модулем Wi-Fi). Планшет выполнен в стильном эргономичном корпусе толщиной от 12 мм, а его вес не превышает 700 г. Поставки начнутся в сентябре 2011 года по ориентировочной розничной цене — 13,900 рублей.
Ожидается, что прибыли компании Red Hat в этом году (по итогам года) достигнут рекордной отметки в $1 млрд.
Деньги с QR-кодом
Еще относительно недавно QR-коды были забавой для гиков и энтузиастов, а широкие массы понятия не имели, что это такое. Но эти времена явно остались в прошлом, а эта новость — лишнее тому подтверждение. Королевский монетный двор Нидерландов выпустил первую в мире монету с QR-кодом. Разумеется, монета коллекционная, не массовая, но все же. Выход необычного серебряного дензнака номиналом в 5 евро приурочен к столетнему юбилею монетного двора в Утрехте. В след за этой монетой выйдет и еще одна, уже золотая, номиналом в 10 евро. Всего их будет выпущено 2011 штук. Под QR-кодом размещается ссылка на сайт Королевского монетного двора: www.q5g.nl. Кстати, интересно, возможно ли вообще отсканировать код смартфоном, ведь диаметр монеты составляет всего 33 мм, а код размещается на площади меньше квадратного сантиметра.
Spyeye ворует бонусные мили
Чего только в наши дни не крадут трояны — всевозможные пароли и логины, данные банковских карт, ключи от электронных кошельков и множество других приватных данных. Но недавно обнаружилось, что воруют теперь даже бонусные мили, начисляемые многими авиакомпаниями. Странность приметили security-специалисты из фирмы Trusteer: они обнаружили, что популярный вредонос SpyEye весьма успешно пытается «увести» данные с сайтов Air Berlin и AirPlus.
В случае AirPlus все было довольно банально: загрузка страницы перехватывалась, на сайт добавлялась строка «номер банковской карты», и полученные таким образом данные переправлялись злоумышленникам. А вот с Air Berlin вышло интереснее: малварь ориентировалась на сбор информации с аккаунтов, но целью атаки оказалась добыча миль налета постоянных клиентов. Каким образом хакеры собирались (или собираются) получить с этого деньги, пока не понимают даже в Trusteer.
Стали известны даты проведения «Chaos Constructions 2011». 11-й по счету фест традиционно состоится в последние выходные лета — 27 и 28 августа, в Санкт-Петербурге.
Детектор лжи в банкомате
Первое апреля уже давно миновало, поэтому, признаемся — сходу воспринять эту новость серьезно у нас не получилось. Стало известно, что российский Сбербанк занят разработкой и тестированием нового вида банкоматов со встроенным полиграфом. В народе данный прибор именуется детектором лжи. Ожидается, что такие машины будут ориентированы на выдачу потребительских кредитов гражданам и смогут проверять людей, ранее не обращавшихся в Сбербанк, по всей строгости. Банкомат оснастят устройством для сканирования паспортов, сканером отпечатков пальцев и всем необходимым для снятия биометрической картинки лица.
Роль детектора лжи, в свою очередь, будет играть специальная технология голосового анализа, разработанная Центром Речевых Технологий (ЦРТ). Человеку, желающему получить кредит, будут заданы вопросы вроде «работаете ли вы?» и «есть ли у вас другие непогашенные задолженности на данный момент?», а правдивость ответов тщательно проанализирует упомянутая технология. Таким образом, решение по кредиту будет приниматься на основании данных о нервозности и эмоциональном состоянии заявителя. А ведь даже гораздо более серьезные с технической точки зрения полиграфы несовершенны, да и специалисты по фонетике считают подобные методы шарлатанством... Тем не менее, Сбербанк уже планирует установить новые банкоматы в торговых центрах и отделениях банка по всей стране.
RSA наконец признала компрометацию SECURID
RSA Security заменит каждый из 40 миллионов токенов SecurID, используемых сейчас, из-за атаки атаки хакеров, произошедшей в марте. Подразделение EMC наконец выпустило письмо для клиентов, в котором объясняет, что SecurID не удалось защитить корпорацию Lockheed Martin (производитель самолетов-истребителей F-22 и F-35), которую пытались взломать. SecurID — токен, который используется при двухфакторной аутентификации. Каждый пользовательский аккаунт привязан к токену, каждый токен генерирует псевдослучайное число, которое меняется периодически, обычно каждые 30 или 60 секунд. Для входа в компьютерную систему пользователю необходимо ввести не только имя и пароль, но и число, которое показывает токен в текущий момент. Сервер аутентификации знает, какой токен какое число должен показывать в эту секунду, и таким образом может определить подлинность владельца имени и пароля.
Нынешнее признание RSA противоречит начальным заявлениям о том, что взлом не позволит выполнить «прямые атаки» на SecurID, полная замена всех токенов фактически означает признание того, что в настоящий момент они не обеспечивают той безопасности, которую клиенты предполагают. Источники внутри RSA говорят о том, что в результате мартовского взлома компания потеряла базу начальных значений, а алгоритм и так был известен ранее. Результат — токены SecurID не способны защитить от хакеров, по крайней мере от тех, которые осуществили взлом RSA в марте. Для них SecurID не больше, чем несложное дополнение простой парольной аутентификации, уязвимой ко всем кейлоггерам и повторному использованию паролей.