Брюс Шнайер из Wired News провел небольшой анализ используемых на блог-платформе MySpace пользовательских паролей, в результате чего выяснилось, что подобрать пароли ко многим аккаунтам системы не составит труда.
Знакомый передал Брюсу логины и пароли от 34 000 аккаунтов, которые были получены в результате обмана пользователей с помощью поддельной страницы авторизации, данные с которой отправлялись злоумышленникам. По сообщению самого MySpace не менее 100 000 пользователей стали их жертвами.
Основная часть полученных паролей примитивна — люди доверяют защиту своего аккаунта имени кумира, названию любимой группы или вида спорта. Топ-20 паролей выглядит следующим образом: password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey. На лидера, password1, приходится 0.22% аккаунтов. Подростки, составляющие ядро аудитории сервиса, не хотят мучаться с запоминанием длинного и сложного пароля из набора случайших цифр, букв и спецсимволов и поэтому используют хорошо знакомое им слово и добавляют в его конец несколько цифр по требованию системы, считая, что так они помешают злоумышленникам.
Чаще всего длина пароля составляет 7-8 символов, при этом используются как буквы, так и цифры (81%). Исключительно цифровые пароли, столь популярные в России, на MySpace используются лишь в 1.3% случаев.
На первый взгляд кажется, что ситуация ужасна. Но на самом деле не все так плохо — по сравнению с подобными анализами, проведенными в 1989 и 1992 годах сейчас пользователи используют куда более изощренные наборы символов. Тогда средняя длина пароля составляла 6.8 символов, а буквы использовались только в одном регистре. В 1992 году Гин Спаффорд (Gene Spafford ) с помощью словаря в 63 000 слов мог подобрать до 20% паролей, а на MySpace лишь 3.8% могут быть подобраны с помощью одного, пускай даже очень большого словаря.
Источник информации: ВебПланета
Корпорация Microsoft оптимизировала сервис технической поддержки для своих российских партнёров. Теперь все консультации и взаимодействие в рамках Службы технического консалтинга будут осуществляться на русском языке при участии российских инженеров, работающих в региональном представительстве Microsoft в России.
Как полагают в компании, это нововведение ускорит процесс оказания технической помощи партнёрам, сократив время ожидания решения проблемы до одного рабочего дня, а также повысит эффективность совместной работы специалистов Microsoft и сотрудников компаний-партнёров. Обратиться в службу технической поддержки партнёры Microsoft могут как по телефону, так и через веб-ресурсы.
Служба технического консалтинга (Technical Advisory Services – TAS) осуществляет расширенную консультационную поддержку по вопросам разработки, внедрения и миграции ИТ-решений на основе продуктов и технологий Microsoft. Инженеры Службы предоставляют специалистам партнёрских организаций: технические консультации и помощь в решении ряда проблем при проектировании и развёртывании программных решений; содействие и экспертные знания при проверке кодов и анализе выбранной архитектуры; помощь в построении тестовой инфраструктуры для демонстрации заказчикам; подробную информацию обо всех продуктах и технологиях Microsoft, а также помощь в освоении и адаптации последних решений; возможность обучения на мастер-классах или интерактивное взаимодействие с командой Microsoft для решения конкретных задач.
Техническая поддержка доступна бесплатно для партнёров со статусами Certified Partner и Gold Certified Partner, а также для участников программы Empower (c октября 2010 г. для уровней участия «Партнёр со стандартной компетенцией» и «Партнёр с компетенцией Advanced»). При этом количество часов бесплатных консультаций для этих категорий партнёров распределяется следующим образом: 10 часов в год – для участников программы Empower, 15 часов в год – для Certified Partner и 40 часов в год – для Gold Certified Partner.
Наряду со службой технического консалтинга в Microsoft функционирует служба технического сопровождения продаж (Technical Sales Assistance –TAS), специалисты которой оказывают партнёрам помощь в продвижении и продаже своих решений на базе технологий Microsoft. В рамках этой предпродажной поддержки партнёры со статусами Certified и Gold Certified (с октября 2010 г. со стандартными компетенциями и компетенциями Advanced) могут получить бесплатные консультации по возможностям продуктов Microsoft и программам лицензирования, узнать обо всех аспектах и преимуществах миграции на платформу Microsoft, а также получить помощь в создании демонстрационной инфраструктуры.
Кроме того, для партнёров Microsoft по-прежнему действуют инцидентная техническая поддержка и служба Business Critical Phone Support. Инцидентная техподдержка предназначена для решения проблем, связанных с использованием ПО Microsoft, и работает по принципу инцидентов. Партнёр со статусом Certified или Gold Certified обладает 5 бесплатными инцидентами в год. В случае если лимит исчерпан, партнёр может продолжать получать техническую поддержку Microsoft на платной основе.
В свою очередь, служба Business Critical Phone Support была создана специально для того, чтобы помогать партнёрам решать проблемы своих клиентов, требующие срочного вмешательства специалистов компании-поставщика ИТ-решения. Эта услуга предоставляется бесплатно партнёрам всех уровней участия.
Источник информации: CNews
24 апреля 2010 by admin Софт
Корпорация Intel хочет, чтобы операционная система MeeGo использовалась на обычных персональных компьютерах.
Платформа MeeGo, напомним, была представлена на февральской выставке Mobile World Congress 2010. В ее основу положены компоненты Moblin и Maemo. Основная цель проекта — создание удобной и многофункциональной системы для смартфонов, нетбуков, планшетных компьютеров и прочих мобильных гаджетов.
Впрочем, одними лишь мобильными устройствами область применения MeeGo не ограничится. По словам вице-президента по программному обеспечению и сервисам Intel Дуга Фишера (Doug Fisher), корпорация намерена разработать редакцию ОС, адаптированную для полноразмерных портативных компьютеров и десктопов. Эта версия платформы будет ориентирована прежде всего на недорогие настольные ПК и неттопы, однако инсталлировать её пользователи смогут и на более мощные машины, в том числе с процессорами Core последнего поколения.
По всей видимости, будет выпущено три модификации MeeGo — для смартфонов, нетбуков/планшетов и персональных компьютеров. В ОС появятся средства для организации взаимодействия MeeGo-устройств различных типов и синхронизации данных.
Версия MeeGo для коммуникаторов, по словам г-на Фишера, выйдет в октябре; во второй половине года также должны появиться мини-компьютеры на основе новой платформы.
Источник информации: Компьюлента
24 апреля 2010 by admin Софт
22 апреля Ведомство по патентам и товарным знакам США опубликовало довольно странный патент Apple под названием « Scheme for Authenticating without Password Exchange» («Система авторизации без обмена паролем»). Эта идея предполагает совместное использование компьютерного оборудования в хитрой схеме.
Известен тот факт, что теоретически любой пароль можно взломать. Другой вопрос заключается в том, а сколько на это понадобится времени? Но в данном случае это не столь суть важно. К тому же, при использовании метода прямого перебора, современные видеокарты, которые могут использоваться для математических вычислений, на порядки превосходят мощнейшие потребительские процессоры. Apple же решила сделать систему электронной защиты надежнее, так как по-другому ее последний патент и не объяснить, слишком уж он непонятный.
Судя по представленной схеме, предполагается, что на пути к ПК, всем его данным и возможностям, а также информационной сети стоит не только клавиатура, на которой печатается пароль, но также мышь, сенсорный дисплей и даже микрофон. Кроме того, в систему авторизации вовлечены чипсет, дисплей, накопители и оперативная память. Каким образом это все может работать в рамках единой системы авторизации пока сказать сложно. Patently Apple предлагает такой пример, когда для подключения дисплея через порт DVI или HDMI потребуется авторизовать того, кто это делает, хотя на самом деле вариантов можно придумать массу.
Комбинация клавиатуры, микрофона, мыши, DVI, HDMI и сенсорного дисплея в принципе может говорить о настольном ПК нового поколения с продвинутой системой авторизации. Хотя, в патенте отмечено, что оборудование и ПО, необходимое для реализации этой хитрой системы, может быть применено и в ноутбуках, смартфонах и других портативных компьютерных устройствах.
Источник информации: Руформатор
«RUметрика» опубликовала результаты нового онлайн-опроса пользователей об их отношении к интернету. 45% респондентов в России заявили, что они не могут жить без интернета. При этом, в 2010 г. этот показатель оказался меньше, чем в прошлом году — тогда о том, что они не могут жить без подключения к Сети заявили 49% опрошенных. По мнению аналитиков, такое изменение отношения к интернету объясняется сложной экономической ситуацией в прошлом году, которая заставила людей пересмотреть свои расходы, в том числе и на интернет.
Однако, 49% респондентов все же заявили, что не готовы отказаться от доступа в Сеть, даже если им не будет хватать денег на пропитание. Только 17% опрошенных сказали, что готовы легко отказаться от интернета прямо сейчас. 4% откажутся от Сети, если им не будет хватать денег на одежду, 7% — при нехватке средств на развлечения. Отказаться от интернета при недостатке денег на пропитание согласны только 23% пользователей Сети в России.
Как говорится в исследовании, чаще всего россияне используют интернет для получения информации — об этом заявили 86,7% опрошенных. Еще 52% в Сети общаются с другими людьми, а 45% используют интернет в своей работе. 16,2% респондентов заявили, что в интернет они уходят от реальности, 13,6% — экономят в с помощью Сети, а 11% — зарабатывают деньги. Только 3% пользователей признались, что интернет для них совершенно бесполезен.
Авторы исследования также отмечают, что растет популярность интернета в качества инструмента для экономии денег — так, в условиях кризиса вырос интерес к различным развлечениям в Сети и онлайн-играм, которые могут служить заменой более затратных развлечений в оффлайне. Кроме того, некоторые пользователи в целях экономии приобретают некоторые товары в интернет-магазинах.
В прошлом году о том, что они используют Сеть для получения информации, заявили 69% опрошенных (в том числе для работы), а уходом от реальности интернет был для 29% респондентов. Зарабатывали в Сети только 7% тех, кто принял участие в онлайн-опросе. Также вдвое больше было тех, для кого интернет был бесполезен.
Около половины участвовавших в исследовании составили люди с опытом доступа в Сети от 3 до 10 лет (45%), рунетчиков со стажем в 1-3 года оказалось около трети, а каждый десятый выходил в интернет в 2000 г. и ранее. Тех, чей опыт пользования Сетью составил менее полугода, оказалось только 6,7%, от полугода до года — 7,5%.
Источник информации: CNews
Десять государственных ведомств, отвечающих за защиту личной информации граждан своих стран, обратились с открытым письмом к корпорации Google с призывом уважать национальные законы о неприкосновенности частной жизни.
Чиновники отмечают, что послание в равной мере предназначено для всех компаний, предлагающих услуги через Интернет, хотя и адресовано генеральному директору Google Эрику Шмидту и поднимает конкретный вопрос о социальной сети Buzz. Напомним: её раскритиковали за то, что она предавала огласке круг общения пользователей электронной почты Gmail, не предупредив их, что это произойдёт.
Google внесла изменения в сервис, но этого оказалось недостаточно, чтобы удовлетворить комиссаров конфиденциальности. «Неприемлемо развёртывать продукт, который в одностороннем порядке раскрывает личную информацию, и устранять проблемы по мере их возникновения, — говорится в письме. — Вопрос конфиденциальности не может оставаться в стороне при внедрении новых технологий, которые будут предложены онлайн-аудитории во всём мире».
Критике подвергся и без того ошельмованный сервис Google Street View. Служба публикует фотографии, сделанные на улицах городов мира. Время от времени в объектив попадают люди, застигнутые в самые разные моменты своей жизни. Google выражает готовность удалять фотографии по требованию, но этот подход, оказывается, несовместим с законами некоторых европейских стран.
В своем письме защитники права на личную жизнь попросили Google соблюдать шесть основных принципов:
— сбор и обработка минимального объема персональных данных, необходимых для достижения цели определённого товара или услуги;
— предоставление чёткой и ясной информации о том, как личные данные будут использоваться, чтобы пользователи могли дать на это согласие;
— установка строгих настроек безопасности по умолчанию;
— простые в использовании настройки конфиденциальности;
— необходимость проверять, все ли личные данные в достаточной мере защищены;
— простой и быстрый процесс удаления учётных записей.
Письмо подписано представителями Канады, Франции, Германии, Ирландии, Израиля, Италии, Нидерландов, Новой Зеландии, Испании и Великобритании.
Источник информации: Компьюлента
Корпорация Oracle, минувшей зимой поглотившая Sun Microsystems, установила плату в размере 90 долларов за плагин к Microsoft Office. Тот же самый плагин компания Sun ранее распространяла совершенно бесплатно.
Речь идет о подключаемом модуле Sun ODF Plug-in, разработанном усилиями компании Sun Microsystems и позволяющем пользователям проприетарного офисного пакета Microsoft Office (версий 2000, 2003, 2007) экспортировать и импортировать документы в формат ODF, используемый по умолчанию в OpenOffice.org.
В последней версии плагина — ODF Plugin 3.2 — была представлена поддержка стандарта ODF 1.2. Однако после этого появилась короткая новость о том, что «Oracle ODF Plug-in теперь требует платы в объеме 90 USD за пользователя для получения лицензии на RTU (право на использование)». Сохранившаяся на странице плагина ссылка по-прежнему выглядит как «Get it now. FREE», однако ведет на страницу, где указано, что за скачивание плагина придется заплатить 90 долларов США (за бессрочную лицензию).
Причем купить одну лицензию за 90 USD нельзя. Минимальное число покупаемых единиц — 100, а это означает, что для возможности использования Oracle ODF Plug-in придется заплатить не меньше 9000 USD. Кроме того, можно купить лицензию на один год — тогда она обойдется всего в 19,8 USD. Впрочем, минимальное количество единиц для заказа все равно составляет 100. Итого, комплект из сотни бессрочных лицензий с годовой поддержкой обойдется в каких-то 10980 долларов.
Особенно странно нововведение выглядит в свете того, что ODF поддерживается в Microsoft Office 2007 SP2 и 2010 безо всяких сторонних плагинов. Впрочем, возможно, Oracle делает ставку на корпоративных пользователей со старыми версиями Microsoft Office, нуждающихся в совместимости с этим форматом.
Стоит отметить, что бесплатный плагин Sun ODF Plugin, выпущенный компанией Sun в 2007 году, можно пока ещё найти в российском сегменте Сети. Скачать его можно, например, отсюда (размер файла 94,1 МВ).
22 апреля 2010 by admin Софт
Корпорация Microsoft открыла девять лабораторий, в которых будут трудится ученые-криминалисты, передает TG Daily. Лаборатории расположены по всему миру.
Главная задача новых организаций — противостоять распространению пиратских программ. Эксперты из лаборатории будут рассматривать жалобы от пользователей. По словам заместителя главного юрисконсульта Microsoft Дэвида Финна (David Finn), десятки тысяч людей сообщают в Microsoft, что приобретенное ими ПО оказалось контрафактным.
Лаборатории будут анализировать эти письма и проводить собственное расследование с целью выявить компанию, которая производит и распространяет нелегальные копии программ.
Финн также сообщил, что новое подразделение Microsoft будет оказывать поддержку правоохранительным органам в поиске пиратов. Он добавил, что при участии компании недавно был закрыт крупный синдикат по производству пиратских копий программ.
Синдикат базировался на юге Китая и успел выпустить контрафактного ПО на сумму более $2 млрд. Среди продуктов были 19 программ Microsoft, которые пираты продавали в 36 странах мира.
Источник информации: Руформатор
22 апреля 2010 by admin Разное
Западные интернет-пользователи, как и рунетчики, не утруждают себя сочинением сложных паролей. Об этом свидетельствует анализ украденных паролей Hotmail, проведенный специалистом по безопасности компании Acunetix Богданом Калином (Bogdan Calin).
На прошлой неделе более 10 тысяч паролей пользователей @hotmail.com, @msn.com и @live.com были украдены фишерами и опубликованы в открытом доступе на сайте pastebin.com. Позднее выяснилось, что пострадали не только сервисы Microsoft, но и Gmail, Yahoo! и другие почтовые сервисы. Публикация дала возможность специалистам провести исследование предпочтений пользователей при выборе паролей.
Выяснилось, что у некоторых товарищей фишеры пароли могли и не красть, а подобрать вручную. Самым популярным паролем (64 случая из 9843) является набор цифр «123456», на втором месте — более изобретательное сочетание «123456789». Кроме того, хозяева почтовых ящиков используют пароли «1234567» и «12345678».
На 11-ом месте в двадцатке самых популярных паролей стоит пароль «iloveyou», а на 4-ом — волшебное «111111». Многие пользователи выбирают в качестве паролей свои (или чужие) имена, причем эти имена тоже входят в список повторяющихся паролей — например, «alejandra», «alberto», «alejandro», «sebastian» и «roberto». Опираясь на эти данные, исследователь предположил, что, возможно, фишеры атаковали преимущественно латиноамериканцев. Кстати, нашлись и такие люди, которые используют в качестве пароля одну цифру или букву. Самый длинный пароль — «lafaroleratropezoooooooooooooo» состоит из 30 букв.
Напомним, что эта аналитика фактически повторяет иссследование «Вебпланеты», которое мы проводили летом — после того, как были опубликованы украденные пароли нескольких десятков тысяч пользователей «ВКонтакте». Оказалось, что российские пользователи тоже очень любят пароли вроде «123456» или «qwerty».
Источник информации: ВебПланета
Специалисты Google изучают ситуацию с участившимися сообщениями о массовом взломе Gmail-аккаунтов. В компании уверяют, что проблема не связана с какими-то ошибками в их сервисах.
Как уже сообщалось, примерно полторы-две недели назад некоторые пользователи Gmail начали замечать, что, судя по логам, в их аккаунты с мобильных устройств заходят неизвестные и рассылают спам от их имени.
Примечательно, что пострадавшие пользовались самыми разными операционными системами и браузерами, поэтому наиболее вероятной нам показалась гипотеза с эксплуатированием некой неизвестной уязвимости в Gmail. Дополнительным фактом в поддержку этой версии стала статья в The New York Times (NYT), где, со ссылкой на инсайдеров, утверждалось, что во время пресловутой «китайской атаки» на Google в руки хакеров попали исходные коды системы авторизации, использующейся в веб-сервисах компании.
Google до сих пор не делал никаких официальных заявлений ни в связи с массовым взломом, ни в связи с публикацией в The New York Times. Однако журналисту IDG News, очевидно, удалось пообщаться с представителем Google по электронной почте. «Команда разработчиков Gmail очень серьёзно относится к безопасности и расследует жалобы, которые мы наблюдали на наших пользовательских форумах в течение последних нескольких дней, — говорится в email. — Мы рекомендуем пользователям, подозревающим, что их учётные записи были взломаны, немедленно изменить свои пароли и последовать совету, данному на этой страничке: http://www.google.com/help/security/».
В то же время Google заверяет, что не видит во всём происходящем своей вины. «Наше расследование не выявило никаких признаков ошибки в Gmail, равно как в мобильном интерфейсе или где бы то ни было. Иногда спамеры могут использовать мобильный интерфейс для доступа к уже взломанным ранее учётным записям, потому что такой метод проще использовать в крупных масштабах при помощи ботов».
Иными словами, позиция Google состоит в том, что пароли к чужим аккаунтам оказались в руках злоумышленников давно (каким образом — другой вопрос), и сейчас они просто решили ими воспользоваться.
Отметим, что эта версия также заслуживает внимания. Судя по жалобам пострадавших, все они очень долго (или никогда) не меняли свои пароли к гуглосервисам, пока не обнаружили проблему. Более того, по крайней мере один человек утверждает, что после того как он несколько дней назад сменил пароль, рассылка спама от его аккаунта прекратилась.
Источник информации: ВебПланета