Команда разработчиков Яндекс.Почты сообщила об активации безопасного протокола HTTPS, обеспечивающего шифрование транслируемых между пользовательским компьютером и сервером данных, для всех без исключения аккаунтов почтового сервиса. Ранее настроить шифрование трафика можно было только вручную, выставив галочку «Использовать безопасное соединение» в параметрах email-службы.
В компании уверены, что нововведение защитит от хакерских атак, основанных на прослушивании сетевого соединения, и предотвратит шпионаж за пользователями. При использовании HTTPS следует учитывать, что включенное шифрование несколько замедляет работу почтовой службы из-за большего объема передаваемых по безопасному каналу данных.
Немногим ранее Яндекс объявил о включении в состав сервиса для работы с электронной корреспонденцией системы автоматического перевода писем и реализации механизма, «на лету» транслирующего набираемый пользователем текст на английский, украинский, польский и турецкий языки (а также в обратном направлении). Чтобы воспользоваться синхронным переводчиком, достаточно щелкнуть по одноименной клавише на странице написания письма, а затем перед отправкой e-mail зафиксировать изменения нажатием кнопки «Заменить письмо переводом».
Источник информации: 3DNews

Глава МВД России Рашид Нургалиев выразил свое негативное отношение к идее упразднении анонимности в интернете и обязательной регистрации пользователей социальных сетей.
Идею озвучил генерал-майор полиции Алексей Мошков, возглавляющий Бюро специальных технических мероприятий МВД России. «В наши дни социальные сети наряду с преимуществами нередко несут в себе потенциальную угрозу устоям общества. В социальных сетях экстремистские группы организуются, ведут агитацию. Есть такие, кто знакомится с несовершеннолетними и вовлекает их в занятие проституцией.» — озаботился текущим положением дел генерал.
По его словам, пользователям интернета, в частности ему, вообще неинтересно общаться с незнакомцами, особенно «когда на твою личную страничку заходит аноним и что-то пишет, в том числе — всякие гадости». К тому же, дополнил он, в различных заведениях, например банках, ресторанах и ночных клубах существует фейс-контроль. «Почему бы его не ввести в киберпространстве? Зарегистрируйся под реальным именем, сообщи настоящий адрес — и общайся. Если ты — честный, законопослушный человек, зачем прятаться?», — удивляется полицейский.
Инициатива не на шутку встревожила правозащитников: «Интернет, слава Богу, сейчас пока еще свободен, и это, возможно, единственное реальное свободное пространство в информационном пространстве России. Идея МВД — это первая ласточка. Вполне очевидно, что сейчас на интернет начнется мощная атака, они еще много чего другого выдумают», — предположил глава российского правозащитного центра «Мемориал» Олег Орлов.
Впрочем, министр внутренних дел РФ Рашид Нургалиев поспешил успокоить общественность, назвав глупой инициативу своего подчиненного, предложившего запретить анонимность в интернете, введя обязательную фактическую регистрацию пользователей социальных сетей. «Это — глупость, и никто этого вводить не собирается», — заявил Нургалиев», отвечая на вопрос журналистов информационных агентств об отношении к «фейс-контролю» в интернете.
Источник информации: Интерфакс

Начальник бюро специальных технических мероприятий МВД России Алексей Мошков выступил против анонимности в интернете. Мошков предложил ввести в киберпространстве «фейс-контроль», который поможет бороться с преступностью. «Зарегистрируйся под реальным именем, сообщи настоящий адрес — и общайся, — заявил он. — Если ты — честный, законопослушный человек, зачем прятаться?».
По мнению Мошкова, социальные сети нередко «несут в себе потенциальную угрозу устоям общества». Начальник бюро уточнил, что через интернет «экстремистские группы организуются, ведут агитацию», а также «координируют свои акции». В качестве примера подобных мероприятий он привел выступления на Манежной площади Москвы в декабре 2010 года.
Кроме того, Мошков заявил, что анонимность в социальных сетях способствует вовлечению несовершеннолетних в проституцию, мошенничеству, распространению вредоносных программ и порнографии. При этом он подчеркнул, что «в большинстве случаев» полиции удается найти преступников, действующих через интернет.
Стоит напомнить, что в состав бюро специальных технических мероприятий МВД, возглавляемое Мошковым, входит управление «К», которое занимается борьбой с вредоносными программами, распространением порнографии и другими компьютерными преступлениями.
Источник информации: Российская газета

«Яндекс» объявил о намерении ввести сервис оповещения администраторов web-ресурсов о заражении их сайтов. По данным поисковой компании, владельцы взломанных web-сайтов не всегда знают о том, что их ресурс был скомпрометирован, и, в 20% случаях, сайт может оставаться зараженным на протяжении года.
Владельцы взломанных ресурсов будут получать от «Яндекса» оповещения электронной почты на адрес, указанный в регистрационных данных домена, или на стандартные адреса (например, webmaster@, root@, postmaster@). Отметим, что ранее соответствующие сообщения с уведомлением о взломе ресурса отправлялись только пользователям сервиса «Яндекс.Вебмастер».
В марте прошлого года «Яндекс» запустил собственную систему борьбы с вредоносным ПО, которая выполняет поиск вирусов на web-сайтах. Данная система работает независимо от сигнатур других производителей антивирусного программного обеспечения.
Как сообщает «Яндекс», наиболее часто вредоносные сайты обнаруживаются в домене .com (свыше 46%), после него идет .ru (10%) и .net (около 8%). Самой безопасной доменной зоной признана .uk (чуть больше 1%).
Источник информации: Яндекс

Авторы интернет-портала WikiLeaks обнародовали проект The Spy Files, представляющий собой интерактивную карту мира с указанием стран, которые ведут наблюдение за мобильной связью, интернет-соединениями, SMS-сообщениями и используют другие методы слежки за пользователями. Помимо этого, WikiLeaks также представил список компаний, осуществляющих подобную деятельность.
Стоит отметить, что в России было обнаружено две такие компании. Одна из них Oxygen Software, разрабатывающая программу «Мобильный криминалист». На официальном сайте компании указывается, что эта программа позволяет извлекать «данные памяти телефона и данные SIM-карты, список контактов, абонентские группы, быстрые наборы, пропущенные, входящие и исходящие звонки, SMS- и MMS-сообщения, а также письма электронной почты». Согласно заявлению производителя, программа предназначена для «судебно-технической экспертизы сотовых телефонов».
Вторая компания Speech Technology Center занимается отслеживанием и анализом голосовых сообщений на территории Российской Федерации.
В качестве доказательств неправомерной деятельности компаний WikiLeaks опубликовал копии информационных брошюр этих предприятий, с описанием выпускаемых ими продуктов, принципами и результатами работы.
В общей сложности проект The Spy Files указывает на 150 компаний, работающих по всему миру. Авторы проекта разделили виды осуществляемой слежки на шесть категорий: мониторинг мобильной связи, интернет-соединений, SMS- и голосовых сообщений, отслеживание перемещения через GPS и внедрение в компьютеры и смартфоны троянов для сбора информации.
В WikiLeaks отмечают, что некоторые компании перепродают собранные данные правительствам, причем часто работают «на экспорт». К примеру, американская компания Blue Coat и немецкое предприятие Ipoque продавали программное обеспечение для осуществления слежки за людьми правительству Ирана и Китая.
Источник информации: SecurityLab

Cпециалисты компании BitDefender в течение недели проводили исследования в Интернете. В результате им удалось получить email-адреса, учетные записи и пароли к ним более чем 250 тыс. беспечных пользователей. Как сообщается, личные данные были опубликованы в блогах, системах совместной работы, торрентах и прочих открытых источниках.
Выборочный анализ аккаунтов показал, что 87% из них до сих пор активны и могут быть вскрыты с использованием полученной информации. Более того, оказалось, что у 75 процентов случайно отобранных пользователей совпадают пароли электронной почты и учетных записей в социальных сетях.
«Получение такого количества персональной информации всего за несколько минут работы с поисковой системой просто пугает. Пользователям стоит напомнить, что к созданию пароля для аккаунта в социальной сети нужно подходить не менее серьезно, чем к выбору замка для двери в квартиру», — комментирует результаты исследования Сабина Датку (Sabina Datcu), аналитик сетевых угроз в BitDefender и автор эксперимента. Последствия вскрытия учетных записей социальных сетей и почтовых ящиков многочисленны и далеко не безобидны — от дальнейших краж чужих учетных данных, рассылки спама и вредоносных программ, до значительно более серьезных преступлений.
Источник информации: SecureList

Исследователи из Колумбийского университета похоже (HP еще не подтвердила) нашли глобальную уязвимость в «десятках миллионов» принтеров HP LaserJet, которая позволяет удаленному хакеру устанавливать новые произвольные прошивки на устройство. В одном из примеров инженеры использовали уязвимость для доступа к термоэлементу принтера — устройству, которое высушивает чернила — и смогли поджечь бумагу, заправленную в принтер.
Вектор атаки на самом деле достаточно прост: каждый раз, когда принтер LaserJet получает задание для печати, он проверяет его на наличие обновленной прошивки. Проблема заключается в том, что принтер вообще не проверяет источник этого обновления, обновления даже не подписываются HP и, соответственно, принтер не проверяет даже подпись. Другими словами, каждый может отреверсить одну из прошивок компании и сделать свою собственную, а затем послать ее на принтер и тем самым установить произвольное ПО на все принтеры, к которым есть доступ.
Кроме пугающего опыта с поджогом бумаги, исследователи из Университета показали так же взломанную прошивку, которая определяет когда печатается документ для возврата налогов и извлекает из него номер Социального страхования и размещает его в Twitter-е. На самом деле возможности взломанного принтера практически безграничны, он работает как компьютер в локальной сети и, по идее, можно даже собрать ботнет из взломанных принтеров.
Может показаться, что это достаточно локальная уязвимость — многие принтеры хотя и подключены к Сети, но находятся за NAT или файрволом — но что если работники компании будут атакованы целевой рассылкой с документами, которые содержат взломанные прошивки? Защититься от этого достаточно сложно. Главная проблема в том, что нет никакого глобального обновления, которое может запустить HP. Более того, невозможно даже сказать — взломан твой принтер или нет. Настоящее решение пожалуй в замене всех принтеров.
Источник информации: Хакер

Компании страдают от все большего притока принадлежащих работникам мобильных устройств в свои сети, и эта тенденция, скорее всего, лишь будет набирать силу в течение грядущих праздников.
Наплыв личных устройств на рабочих местах, формально известный как консьюмеризация ИТ, предлагает компаниям солидную выгоду в плане производительности и позволяет работникам более гибко подходить к выполнению работы. С другой стороны, личные устройства могут нести в себе угрозу и подвергать опасности сети компании.
«Компаниям нужно лучше справляться с воздействием личных устройств на безопасность, ибо выгоды слишком велики, чтобы от них отказаться», — сказал Санджай Бери, вице-президент Juniper и Pulse.
«С этим сталкиваются все компании», — добавил он. «Им нужно принять все как есть, чтобы расширить возможности работников».
«Картина изменилась за последний год. В 2010 большинство устройств составляли продукты Apple (iPhone и iPad), но в этом году компании должны быть готовы еще и к устройствам Android, гораздо более сложной экосистеме, нежели строго контролируемая платформа Apple», — отметил Ойас Реже, вице-президент по продукции компании MobileIron.
«Компаниям нужно учиться справляться с Android», — добавил он.
Вот, что можно сделать для защиты сети от надвигающейся волны принадлежащих сотрудникам мобильных устройств:
1. Не блокируйте устройства
В прошлом многие компании препятствовали доступу личных устройств сотрудников к своим сетям. Хотя, согласно недавнему отчету Citrix, такая технология способствует значительному росту производительности. Исследование показало, что производительность труда возрастает до 36% когда сотрудники используют для работы и корпоративные и личные устройства. «Видя, как хорошо это сказывается на бизнесе, большинство компаний отказываются от своих первоначальных стремлений блокировать личные устройства», — написала Элизабет Холавски, вице-президент по ИТ-услугам в компании Citrix.
2. Выясните, что подключено к сети
Первым шагом для большинства фирма должен стать мониторинг устройств, которые подключаются к сети, с целью определения масштабов угрозы. ПО для управления устройствами, исторически использовавшееся для контроля устройств, принадлежащих корпорации, имеет широкий набор функций, позволяющих настроить политику компании относительно устройств и удостовериться, что сотрудники следуют этой политике.
«Компаниям нужно полная прозрачность всего, что подключается к сети», — говорит Реже. «Когда устройство только появляется, им нужно быть уверенным, что они могут его распознать и наблюдать за ним».
Большинство фирм, занимающихся созданием ПО для управления мобильными устройствами, вроде MobileIron, требуют, чтобы на устройства, подключаемые к корпоративным сетям, устанавливались их клиенты, позволяющие управлять безопасность устройства.
3. Мобилизуйте инструменты анализа сети, чтобы распознавать угрозы
У многих компаний уже есть технологии, которые помогают справиться с угрозами мобильных устройств и других потребительских технологий, которые подключаются к сети. Системы мониторинга производительности сети распознают аномальную активность, которая может означать нарушение безопасности или попытку ненадежного устройства занять плацдарм в сети, сказал Стив Шалита, вице-президент по маркетингу в компании NetScout Systems, которая производит инструменты управления службами для оптимизации сети.
«Проблемы производительности часто могут означать проблемы безопасности», — объяснил Шалита. «Эти системы, среди прочего, занимаются поиском угроз, которые могут воздействовать на сети».
4. Продвигайте политику для устройств
«Одно из преимуществ установки корпоративных клиентов на частные устройства — возможность для компании установить надлежащую политику для чувствительных данных. Далее, основываясь на личности пользователя и на статусе устройства, можно предпринимать действия», — сказал Бери из Juniper.
«Можно пускать их в сеть на основании их личности и статуса их устройства (например, не взломано ли оно и не установлено ли на нем жульническое приложение)», — добавил он.
Многие компании применяют политику полного блокирования («block all»), пропуская лишь устройства, которые могут идентифицироваться или проходят процесс проверки. Другие, напротив, придерживаются политики «allow all», подключая устройства к виртуальной сети, отделенной от корпоративных ресурсов, пока устройства не будут авторизованы.
5. Установите политику приватности
Улучшая безопасность частных устройств, компании должны быть уверены также в защите приватности своих сотрудников. Запуск ПО для управления мобильными устройствами на телефонах и планшетах может открыть много информации об их владельцах, если доступ не будет ограничен политикой компании.
«Сейчас подходящее время для компаний, чтобы ввести в действие черновые наброски политики безопасности для этих устройств», — описывает ситуацию Реже.
Источник информации: Хакер

Специалисты компании Splashdata представили исследование, к ходе которого они проводили анализ наиболее популярных паролей, использующихся пользователями. Отметим, что компания Splashdata выпускает программное обеспечение для управления пользовательскими паролями для ОС Windows, Mac OS X и нескольких мобильных платформ.
Данные, которые использовались экспертами Splashdata при проведении исследования, были получены с согласия пользователей. На основании этих данных в Splashdata опубликовали список 25 самых популярных паролей, что делает их ненадежными в дальнейшем использовании.
Генеральный директор Splashdata Морган Слейн (Morgan Slain) отметил: «Хакеры могут с легкостью получить несанкционированный доступ к учетным записям пользователей, подбирая наиболее часто употребляемые пароли. Хотя пользователей и призывают применять надежные и сложные пароли, большинство из них и дальше продолжает выбирать легкие и те, которые легко угадать. Это может стать причиной мошенничества и кражи личности пользователя».
Первые три места в списке компании соответственно заняли пароли password, 123456 и 12345678. Помимо этого, эксперты отмечают, что пользователи все чаще применяют одну и ту же комбинацию знаков в качестве логина и пароля. В Splashdata заявляют, что недопустимо использовать имена и фамилии в качестве пароля и логина, так как мошенники перебирают эту информацию в первую очередь.
Проанализировав один миллион анонимно присланных наборов паролей, исследователи опубликовали список самых популярных и в то же время самых ненадежных паролей:
• password
• 123456
• 12345678
• qwerty
• abc123
• monkey
• 1234567
• letmein
• trustno1
• dragon
• baseball
• 111111
• iloveyou
• master
• sunshine
• ashley
• bailey
• passw0rd
• shadow
• 123123
• 654321
• superman
• qazwsx
• michael
• football
Эксперты Splashdata рекомендуют создавать пароли, состоящие не менее чем из 8 знаков. Пароль должен включать в себя поочередность цифр, букв и специальных символов. Помимо этого, не следует использовать один и тот же пароль на разных web-сайтах.
Источник информации: SecurityLab

Корпорация Microsoft подала заявку на патент для программного обеспечения, предназначенного для оценки действий офисных сотрудников и выявления их вредных привычек на рабочем месте. Согласно документации  патента, описываемое программное обеспечение способно фиксировать привычки персонала и придавать каждой из них рейтинговую оценку. По итогам месяца работодатель сможет проанализировать собранные программой данные при помощи автоматически спроектированного графика.
Стоит отметить, что программа имеет достаточно гибкие настройки. Так, можно составить свой перечень действий, которые необходимо фиксировать, а также назначать ту или иную оценку согласно собственным представлениям о том, как необходимо работать. Диапазон пригодных для мониторинга действий охватывает слова, фразы, телесные жесты, а также манеры, к примеру, «ведение видеоконференции в темных очках».
Многие независимые специалисты вполне резонно выражают протест подобному программному продукту, поясняя, что эти действия являются ни чем иным как проникновением в личное пространство. В свою очередь Microsoft ссылается на то, что даже рядовые сотрудники могут извлекать пользу из такой программы. Получая статистическую информацию о своем поведении можно выделить ряд недостатков и самосовершенствоваться.
Кроме того, представители корпорации отметили в патенте, что учитывая нормы политики конфиденциальности, сотрудникам будет предоставляться возможность выбирать, что в их поведении разрешается отслеживать.
В настоящий момент неизвестно есть ли у специалистов Microsoft намерения разрабатывать подобное ПО, если патент будет выдан.
Источник информации: SecurityLab