Найбуйны амерыканскі банк — Bank of America — апынуўся ў цэнтры грандыёзнага скандалу. Хакеры выклалі ў сетку дакументы, якія сведчаць аб тым, што, асцерагаючыся выкрыццяў са боку сайта WikiLeaks, банк даручыў трэм дзелям кансалтынгавым кампаніям, што мелі досвед выканання далікатных урадавых замоў, распрацаваць праграму па дыскрэдытацыі і знішчэнню скандальнага рэсурсу. Сярод прапанаваных слоік не суцэль законных мер — укід фальшывых дакументаў, хакерскія напады і ціск на журналістаў.

Гэтая гісторыя ці наўрад выплыла бы вонкі, калі бы не ганарыстасць чалавека па імі Эрон Барр. Ён узначальвае HBGary Federal — якая базуецца ў Вашынгтоне кампанію, што прадстаўляе ўрадавым і дзелям арганізацыям паслугі ў сферы інфармацыйнай бяспекі. Спадар Барр захапляўся вывучэннем сацыяльных сетак — Facebook,Twitter, Livejournal і т. д. Ён спадзяваўся рабіць грошы на інфармацыі, якая змяшчаецца ў гэтых сетках: у прыватнасці, збіраючы дадзеныя аб чальцах тых або іншых што цікавяць урад і праваахоўныя органы супольнасцяў, іх узаемасувязях і актыўнасці.

Першай яго мішэнню павінны былі стаць хактивисты з групы Anonymous, якім у снежні мінулага гады атрымалася вывесці з ладу сайты MasterCard, Visa, PayPal і шэраг урадавых сайтаў у ЗША і Швецыі. Ахвярамі хакерскіх нападаў Anonymous станавіліся арганізацыі, датычныя да ганенняў на скандальна вядомы рэсурс WikiLeaks. Да кибератакам на сайты ворагаў WikiLeaks падлучыліся тысячы людзей са ўсяго міру (у тым ліку з Расеі), пры гэтым большасць хакерством заняліся ўпершыню. У чаце, дзе мелі зносіны хактивисты, пачаткоўцам прапаноўвалася запампоўваць праграму, якая спрашчае арганізацыю DDoS-нападаў .

На Anonymous адразу жа настроіліся праваахоўныя органы і спецслужбы шэрагу краін міру. Неўзабаве рушылі ўслед першыя арышты (у Галандыі і ЗША), але выявіць лідэраў руху ніяк не атрымоўвалася. Актыўней усіх над імі пошукам працавала ФБР — праўда, таксама без адмысловага поспеху. Эрон Барр вырашыў дапамагчы федэралам. Натуральна, небезвозмездно.

Чытаць далей аб Bank of America апынуўся ў цэнтры скандалу »

На мінулым тыдні ў паштовым рассыланні, якая рэкламуе нейкія сайты з фармацэўтычнымі прэпаратамі, усё малюнкі ўтрымоўвалі недвухсэнсоўныя папярэджанні аб тым, што на любыя спасылкі ў дадзеных лістах націскаць небяспечна і што на гэтых сайтах прадаюцца падробленыя прэпараты.

Малюнкі фізічна размяшчаліся на ImageShack. Відавочна, спамеры першапачаткова размясцілі на гэтым сэрвісе свае малюначкі з разнастайнай таннай "віяграй" і ўсмешлівымі людзьмі ў белых халатах. Але ў нейкі момант малюначка былі замененыя.

Як атрымалася высвятліць Браяну Кребсу, падмену ажыццявілі адміністратары ImageShack — праўда, не ў аўтаматычным рэжыме, а ўручную. Па словах аднаго з заснавальнікаў сэрвісу, нейкая крыніца паведаміў ім аб адным спамерскім малюнку, якое атрымалася выявіць пры дапамозе кампутара-прынады. Гэта дазволіла хутка выявіць больш 300 малюначкаў, выкладзеных на ImageShack такой жа выявай, так што ўжо праз гадзіну ўсе яны былі замененыя малюначкамі-папярэджаннямі.

Макс Шукард разам са сваімі калегамі з Миннесотского ўніверсітэта (г. Мінеапаліс, ЗША) заявіў, што яго групе атрымалася знайсці спосаб парушыць працу Інтэрнэту ў глабальным маштабе.

Іста гэтага спосабу складаецца ў запуску размеркаванага нападу на адмову ў абслугоўванні, прычым мішэнню гэтага нападу павінны стаць так званыя «памежныя роутеры», абслуговыя пратакол BGP (Border Gateway Protocol – пратакол межавых шлюзаў). Менавіта такія роутеры выкарыстоўваюцца для падлучэння нацыянальных магістральных сетак да сетак іншых дзяржаў.

Пратакол BGP мае велізарную важнасць для працы сучаснага Інтэрнэту. Фактычна, гэта пратакол маршрутызацыі, які выкарыстоўваецца для абмену інфармацыяй аб маршрутах па ўсім Інтэрнэце. Без пратаколу BGP Інтэрнэт-правайдэры не могуць падлучаць свае сеткі сябар да сябра, а карыстачы, адпаведна, не могуць падлучацца да вэба-сайтам і вэб-сэрвісам па-за сваім лакальным інтранэтам. Паколькі канфігурацыя сеткавых падлучэнняў і роутеров стала змяняецца, роутеры і камутатары, абслуговыя пратакол BGP, павінны стала працаваць, каб падтрымліваць актуальнасць сеткавых карт для Інтэрнэту ў цэлым. Прасцей кажучы, працаздольнасць Інтэрнэту ў глабальным маштабе залежыць ад BGP-роутеров.

У сваім артыкуле для галіновага выдання ACM (Association for Computing Machinery – асацыяцыя па вылічальнай тэхніцы) «Losing control of the Internet: using the data plane to attack the control plane» (Страта кантролю над Інтэрнэтам: выкарыстанне ўзроўня дадзеных для нападу ўзроўня кіравання) Шукард апісвае тэарэтычны напад, як «Скаардынаванае межуровневое перапыненне сеансаў» (CXPST – Coordinated Cross Plane Session Termination). Фактычна, гэта размеркаваная DDoS-напад на кіравальны ўзровень Інтэрнэту. Канцэпцыя CXPST пашырае ранейшыя працы, у якіх паказаная ўразлівасць у роутерах, якая дапамагае зламыснікам раз'яднаць пару роутеров, выкарыстаючы толькі трафік на ўзроўні дадзеных. Дакладны выбар BGP-сеансу для перапынення дазваляе вырабіць «хірургічны ўдар» і запусціць цэлую хвалю BGP-абнаўленняў, якія будуць адлюстроўвацца практычна на ўсіх ключавых роутерах Інтэрнэту. Хваля BGP-абнаўленняў пераўзыходзіць вылічальныя магчымасці атакаваных роутеров, так што гэтыя роутеры не змогуць карэктна прымаць рашэнні аб маршрутызацыі пакетаў.

Чытаць далей аб Даследнікі распавялі як абрынуць інтэрнэт »

Прэзідэнт Медведев прапанаваў узмацніць адказнасць за распальванне міжнацыянальнай і міжканфесійнай розніцы і варожасці ў інтэрнэце.

Стаўленне расійскіх праваахоўнікаў і судовых органаў да міжнацыянальных дыскусій у Рунэце можа ўзмацніцца жорсткасць. Такая выснова можна зрабіць з стэнаграмы паседжання Дзяржрады, апублікаванай на афіцыйным сайце прэзідэнта Расеі.

Дзяржрада, прысвечаны ўмацаванню міжнацыянальнай згоды ў Расеі, мінуў ва Ўфе 11 лютага 2011 г. Адна з самых яркіх ідэй па тэме паседжання прыналежыла Зміцеру Медведеву, які прапанаваў "паглядзець на пытанне ўзмацнення гэтай (што адносіцца да міжнацыянальнай і міжканфесійнай розніцы) адказнасці".

Па меркаванні прэзідэнта Расеі, праваахоўныя органы і суды павінны змяніць сваё стаўленне да спраў, датычным міжнацыянальных адносін: "Калі такога роду злачынства разглядаюцца як цяжкія, то і пакаранне надыходзіць за іх сур'ёзнае. Калі жа гэта разглядаецца як дробязь: "Ды ну што ён зрабіў, падумаеш, напісаў нешта ў інтэрнэце, пляваць на гэта. Не забіў жа нікога, не зарэзаў", – то тады і пакаранне ўмоўнае".

Чытаць далей аб Медведев прапаноўвае ўзмацніць адказнасць за распальванне міжнацыянальнай розніцы ў Інтэрнэце »

Паводле рэсурсу Chilling Effects, які ўтрымоўвае некаторыя прэтэнзіі праваўладальнікаў, за апошнія некалькі месяцаў было паслана больш 100 прэтэнзій у адрас кампаніі Google.

Справа ў тым, што пошукавы гігант на працягу ўжо даволі доўгага часу падае бясплатны і вольны доступ да сеткі з дапамогай сваіх Wi-Fi сетак, разгорнутых у найбуйных гарадах ЗША. Такім чынам, торэнт-сеткамі з IP-адрасоў Google мог скарыстацца любы чалавек.

Аднак, сярод гэтых прэтэнзій ёсць тыя, якія накіраваныя непасрэдна працаўнікам кампаніі Google.

Прычым у тэкстах некаторых пасланняў, адрасаваных Google, у прыватнасці, гаворыцца аб магчымым пазбаўленні кампаніі права доступу да глабальнай сеткі з-за парушэнні закона. Тым не менш варта адзначыць, што падобныя папярэджанні прыходзяць не толькі кампаніям, але і звычайным карыстачам, і, як правіла, носяць папераджальны характар.

Чытаць далей аб MPAA жадае адключыць Google ад Інтэрнэту »

Гендырэктар "Вконтакте" Павел Дуров паведаміў аб узмацненні мер па дужанні з ашуканцамі, якія рассылаюць спам з чужых акаўнтаў.

"Некаторыя карыстачы неўсвядомлена аддаюць паролі ад сваіх старонак 'Вконтакте' у рукі зламыснікаў. Гэта адбываецца з-за ўсталёўкі іншых праграм, нібы якія паляпшаюць працу "Вконтакте", а таксама з-за вірусаў або з-за ўводу пароляў ад "Вконтакте" на іншых рэсурсах", - напісаў Дуров у афіцыйным блогу "Вконтакте". Па ім словам, асноўная маса спаму праз выкрадзеныя акаўнты перасылалася з замежных сервераў.

Зараз у ашуканцаў не будзе такой магчымасці, бо пры спробе залагініцца з "незвычайнага месца", сістэма запатрабуе ў карыстача ўвесці апошнія чатыры лічбы нумара тэлефона, да якога прывязаны акаўнт. "Калі ўваходзіць сам уладальнік старонкі, яму не складзе працы ўвесці 4 лічбы нумара свайго тэлефона. Калі жа гэта зламыснік, то зайсці пад карыстачом яму не атрымаецца нават пры веданні пароля да старонкі: пасля трох спроб адгадаць Ваш тэлефон магчымасць доступу да акаўнта з новай краіны блакуецца на 4 гадзіны", - напісаў Дуров.

У скандале з размеркаваннем даменаў у зоне .РФ могуць з'явіцца першыя крымінальныя справы. Як стала вядома, пытаннем аб тым, якім чынам найбуйны рэгістратар RU-Center ужо ў першыя гадзіны адчыненай рэгістрацыі зарезервировал больш 60 тыс. даменаў, а затым перапрадаў прыкладна 25 тыс. найболей папулярных адрасоў на зачыненых аўкцыёнах, зацікавілася Генпракуратура.

Аб тым, што ў пятніцу ў Генпракуратуры адбылося міжведамаснае паседжанне з нагоды запуску кірылічнага дамена .РФ, распавёў крыніцу, прысутнічалы на нарадзе. Па ім словам, на сустрэчу былі запрошаныя прадстаўнікі адміністрацыі прэзідэнта РФ, МУС, ФСБ, Минкомсвязи, Росфинмониторинга, ФАС і Кардынацыйнага цэнтра нацыянальнага дамена сеткі інтэрнэт (КЦ).

Начальнік кіравання інфармацыйных тэхналогій ФАС Уладзімір Кудрявцев пацвердзіў, што прысутнічаў на нарадзе, але ад каментароў адмовіўся. Раздзел КЦ Андрэй Стальмахаў таксама пацвердзіў свая прысутнасць, паведаміўшы, што на паседжанні абмяркоўвалася сітуацыя, якая склалася з размеркаваннем даменных імёнаў у зоне .РФ, і непасрэдна дзеянні рэгістратара RU-Center. "У Генпракуратуры жадаюць разабрацца з тым, што адбываецца ў гэтай сферы. Прадстаўнікі розных ведамстваў выказалі свой пункт гледжання, а потым супрацоўнікі Генпракуратуры пачалі зачыненую нараду па гэтым пытанні, куды нас не дапусцілі",— распавёў спадар Стальмахаў.

Старт рэгістрацыі ў зоне .РФ абгарнуўся грандыёзным скандалам. Адмысловая камісія пры КЦ выявіла, што найбуйны рэгістратар — RU-Center — у першыя гадзіны адчыненай рэгістрацыі зарезервировал больш 60 тыс. даменаў на сябе. Каб пераадолець усталяваныя квоты (4,8 тыс. зваротаў на аднаго рэгістратара ў гадзіну), RU-Center прыцягваў іншых удзельнікаў рынка, гаворыцца ў зняволенні камісіі. Яна ўсталявала, што ЗАТ "Дэмас-Інтэрнэт", ЗАТ "Элвіс-Целікам", ЗАТ "Рэгістратар", ТАА "Релком. Дзелавая сетка", АНО "Рэгіянальны сеткавы інфармацыйны цэнтр" дзейнічалі ў інтэрасах RU-Center на падставе зняволеных дамоў. Па факце прыкмет змовы ФАС ужо ўзбудзіла справу, яно будзе разгледжана 24 лютага.

Чытаць далей аб Генпракуратура праверыць парадак рэгістрацыі ў зоне .РФ »

Пакуль Усерасійская арганізацыя інтэлектуальнай уласнасці (ВОИС) і Расійскі звяз праваўладальнікаў (РСП) Мікіты Міхалкова абараняюць у судзе сваё права збіраць грошы з вяшчальных арганізацый, вытворцаў CD і бытавой тэхнікі, Росохранкультура прапаноўвае платніку "дэпанаваць" адлічэнні на сваіх рахунках.

Суды могуць цягнуцца больш гады, а выбар новага зборшчыка аўтарскіх адлічэнняў зойме да двух гадоў.

На сайце Росохранкультуры апублікавана паведамленне, вкотором гаворыцца, што ведамства прапаноўвае ўдзельнікам рынка "дэпанаваць сродкі для выплаты ўзнагароды". Ад падрабязных каментароў яго прадстаўнікі адмовіліся. "Аднак зразумела, што новы конкурс па выбары зборшчыка аўтарскіх правесці да 2012г., пакуль не будуць вызначаныя паўнамоцтвы новага аккредитационного органа пасля расфармавання Росохранкультуры, ці наўрад магчыма", - лічыць кіраўнік партнёр Калегіі юрыстаў СМІ Хведар Кравченко.

На працягу гэтага часу выканаўцы не змогуць атрымаць належныя ім сродку, а кампаніі будуць пералічваць іх структурам, якія могуць згубіць статут атрымальніка збораў.

Чытаць далей аб “Падаткі на даўбешкі” і аўтарскія завіснуць у слоіках на 2 гады »

У Парыжы пад Высокім патранажам Прэзідэнта Французскай Рэспублікі адбыўся Шосты глабальны кангрэс па дужанні з контрафакцией і пірацтвам.

На яго памкнуліся больш 800 дэлегатаў, уяўлялых міжурадавыя арганізацыі і нацыянальныя ўрады, праваахоўныя органы і дзелавыя кругі больш за з 100 краін для разгляду сур'ёзнага глабальнага ўплыву які расце гандлю кантрафактнымі і пірацкімі таварамі і неабходнасці развіцця павагі да інтэлектуальнай уласнасці.

Арганізатарам шостага Глабальнага кангрэса з'яўляецца Ведамства прамысловай уласнасці Францыі (INPI), а старшынёй – Сусветная арганізацыя інтэлектуальнай уласнасці (ВОИС). Суарганізатарамі кангрэса з'яўляюцца INPI, ВОИС, Інтэрпол, Сусветная мытная арганізацыя (ВОСЬ) у супрацоўніцтве з сусветнай дзелавой супольнасцю, прадстаўленым Міжнароднай гандлёвай палатай (МТП) праз пасродка ініцыятывы BASCAP (Высілкі бізнэсу, накіраваныя на ператварэнне контрафакции і пірацтва) і Міжнароднай асацыяцыі таварных знакаў (INTA).

Адчыняючы сустрэчу, Генеральны дырэктар ВОИС Фрэнсис Гары заявіў: «Шосты Глабальны кангрэс уяўляе сабой пышную магчымасць для прадстаўнікоў дзяржаўнага і дзелі сектараў памкнуцца і ўзначаліць міжнародныя высілкі па дужанні з контрафакцией і пірацтвам. У кантэксце тэмы «Развіццё павагі інтэлектуальнай уласнасці» гэты Кангрэс разглядае ўзаемазлучаныя сацыяльныя, эканамічныя і палітычныя аспекты контрафакции і пірацтва і неабходнасць мэтанакіраваных комплексных адказаў са боку разнастайных удзельнікаў». Г-н Гары заявіў: «Праца ВОИС у вобласці развіцця павагі інтэлектуальнай уласнасці накіраваная на садзейнічанне канструктыўнаму і збалансаванаму міжнароднаму палітычнаму дыялогу па пытаннях агульных выклікаў і творчых рашэнняў. Таму мы з вялікім задавальненнем далучаемся да нашых партнёраў і ўдзельнічаем у арганізацыі гэтай насычанай і стымулюючай праграмы».

Чытаць далей аб Шосты Глабальны кангрэс па дужанні з контрафакцией і пірацтвам мінуў у Парыжы »

Google уласнымі сіламі вядзе распрацоўку набору пашырэнняў для Java, якія дазволяць лепш абараніць Java-праграмы ад нападаў, звязаных з перапаўненнем буфера. Інтэрнэт-гігант паведаміў, што кампанія адкрыла зыходнікі ўласнага праекту, які праектаваўся каб дадаць новую функцыянальнасць у Java, вядомую як Contracts або Design-By-Contract (DBC).

Варыянт Google атрымаў назоў Contracts for Java або, інакш кажучы, Cofoja. Грунтуецца гэтая распрацоўка на наборы Java-анатацый Modern Jass, створаных Йоханнесом Рикеном. Першапачаткова створаная для палягчэння праграмавання, Contracts таксама дазваляюць праграмістам дужацца з будучымі нападамі, звязанымі з перапаўненнем буфера ў сістэме.

Па словах адмыслоўцаў, перапаўненне буфера - гэта адзін з самых старых выглядаў нападаў, але ён па-ранейшаму застаецца адным з галоўных у арсенале зламыснікаў. Асабліва актыўна перапаўненне буфера выкарыстоўваецца ў JRE (Java Runtime Engine).

Кажучы спрошчана, Contracts патрабуе, каб кожны раз выкліканы метад у якая працуе праграме, любыя значэнні гэтага метаду і іншыя дадзеныя адпавядалі загадзя вызначаным крытэрам. Акрамя таго, якія вяртаюцца дадзеныя, таксама павінны адпавядаць крытэрам. "DBC варта разумець як кантракт паміж кампанентамі праграмнага забеспячэння", - кажа Рикен.

Чытаць далей аб Новая распрацоўка Google дапаможа дужацца з нападамі, звязанымі з перапаўненнем буфера »

Microsoft вінаваціць Мэтта Мицевски, былога мэнэджара па развіцці CRM-кірункі ў падпадзяленні дзяржзамоў Microsoft у незаконнай вынятцы сотняў матэрыялаў, агульным памерам каля 600 мегабайт, размешчаных у прыкладна 900 файлах.

Па адзнаках кампаніі, Мицевски прыхапіў у сабой каля 25 000 зачыненых дакументаў Microsoft, перапісаўшы іх на ўласны кампутар.

У мінулым месяцы Microsoft падала ў суд на былога мэнэджара, абвінаваціўшы яго ў парушэнні дамовы "аб адмове ад канкурэнцыі" і шэрагу канфідэнцыйных дакументаў, падпісаных з Microsoft. На гэтых умовах ён атрымаў пасаду ў кампаніі. Аднак у канкуруючай фірме Salesforce.com яму прапанавалі пасаду старэйшага віцэ-прэзідэнта і той пагадзіўся на новую працу. Некаторы час назад суд заблакаваў пераход Мицевски у канкуруючую кампанію, забараніўшы любыя працы са боку экс-мэнэджара Microsoft і перадачу любой інфармацыі.

З Microsoft Мицевски сышоў 31 снежня 2010 гады, заявіўшы, што забірае з сабой толькі персанальныя дадзеныя, але пасля праведзенага расследавання высвятлілася, што на сваім кампутары ён таксама захоўваў зачыненне працоўныя дадзеныя. Сярод такіх дадзеных Microsoft заве стратэгічныя планы на 2011 год і праекты ў стаўленне развіцця CRM-лінейкі на бягучы год.

Чытаць далей аб Microsoft вінаваціць былога мэнэджара ў крадзяжы дакументаў на 600 мегабайт »

14 лютага — неафіцыйны, але шырока які адзначаецца ў прафесійным міры Дзень кампутарніка. 14 лютага 1946 году навуковаму міру і ўсім зацікаўленым быў прадэманстраваны першы рэальна які працуе электронны кампутар ENIAC I (Electrical Numerical Integrator And Calculator).

Цікава, што працы па распрацоўцы першай вылічальнай машыны спансаваліся амерыканскім войскам, якой кампутар быў неабходны для правядзення вайскоўцаў разлікаў, планаванні і праграмавання. ENIAC I прапрацаваў да 23 гадзін 45 хвілін 2 кастрычніка 1955 гады, а потым быў разабраны.

Вядома, былі і больш раннія кампутары, але гэта ўсе прататыпы і эксперыментальныя варыянты. Калі ўжо на то пахабна, то першым кампутарам наогул была аналітычная машына Бэббиджа... Але ENIAC быў першым рэальна якія працуюць на практычных задачах кампутарам. Паміж іншым, менавіта ад ENIACа сучасныя кампутары ўспадкавалі двайковую сістэму вырахавання.

ENIAC быў распрацаваны для рашэння адной з сур'ёзных і патрэбных задач таго часу: для абліку балістычных табліц войска. У войскі былі аддзелы, якія займаюцца аблікам балістычных табліц для патрэб артылерыі і авіяцыі. Працавалі ў гэтых аддзелах людзі на пасады Вайсковага Калькулятара.

Чытаць далей аб 14 лютага - дзень кампутарніка »

Кампанія Google уводзіць новую сістэму аўтарызацыі карыстачоў, закліканую падвысіць бяспеку і прадухіліць незаконны доступ да акаўнтаў.

Зараз карыстач, які выконвае працэдуру ўваходу ў свой акаўнт на сэрвісе Google, на першым этапе, як і раней, уводзіць e-mail адрас, пароль, а затым адмысловы код. Пры гэтым код кожны раз з'яўляецца ўнікальным, генерацыя яго ажыццяўляецца альбо з дапамогай тэлефоннага званка або SMS, альбо пасродкам прыкладанняў для Android, BlackBerry і iPhone.

Па жаданні можна паставіць галачку "Запомніць код верыфікацыі на гэтым кампутары на 30 дзён", тады ўводзіць яго кожны раз не будзе неабходнасці. Дадатковая абарона ад узлому закліканая значна падвысіць бяспеку карыстання сэрвісамі Google.

На якая прайшла нядаўна канферэнцыі BlackHat DC 2011 даследнікі з лабараторыі DSecRG расійскай кампаніі Digital Security распавялі аб нападах на карпаратыўныя бізнэс - прыкладанні, якія могуць быць выкарыстаныя зламыснікамі для рэалізацыі шпіянажу, сабатажу і ашуканскіх дзеянняў у стаўленні канкурэнтаў. На канферэнцыі былі прадстаўленыя невядомыя раней метады нападаў на папулярныя ERP-сістэмы, такія як SAP, JD Edwards, а таксама на СКБД Open Edge, якая з'яўляецца ўніверсальнай платформай для распрацоўкі кастомизированных бізнэс-прыкладанняў.

Нягледзячы на тое, што вытворцы, такія як SAP і Oracle, рэгулярна выпускаюць абнаўленні бяспекі ў сваіх прадуктах, кампаніі ўсё-роўна схільныя нападам, накіраваным на архітэктурныя ўразлівасці і памылкі канфігурацыі. У дакладзе Аляксандра Полякова, тэхнічнага дырэктара Digital Security і кіраўніка даследчага цэнтра DSecRG, было нададзена ўвага архітэктурным уразлівасцям пералічаных сістэм, і былі прадэманстраваныя розныя метады эксплуатацыі гэтых уразлівасцяў. Дадзеныя ўразлівасці ў большасці сваім проста немагчыма зачыніць, што вабіць за сабой магчымасць іх эксплуатацыі ў наступным.

“Вельмі нешматлікія адміністратары SAP-сістэм рэгулярна ўсталёўваюць абнаўленні і вельмі мала адмыслоўцаў, якія глыбока разбіраюцца ў тэхнічных дэталях бяспечнай налады ERP-сістэм, у лепшым выпадку абмяжоўваючыся праблемамі SOD. Вось чаму мы бачым небяспечна наладжаныя сістэмы ў выніку нашых прац па аналізе абароненасці”, - адзначыў Аляксандр Палякаў.

У яго дакладзе прыводзіўся прыклад таго, як падчас аўдыту была выяўленая ўсталяваная ERP-сістэма JD Edwards версіі 10-і летняй даўнасці, якая мела архітэктурную ўразлівасць, якая дазваляе любому карыстачу атрымаць доступ да ўсіх дадзеных. Іншы прыклад архітэктурнай уразлівасці быў выяўлены ў СКБД « Open Edge database» (Progress company), якая выкарыстоўваецца ў шматлікіх кампаніях з Fortune TOP 100 companies. У дадзеным прыкладанні была выяўленая трывіяльная памылка падчас аўтэнтыфікацый. Праверка хэша пароля была рэалізаваная на кліенцкай частцы, у выніку чаго магчымая аўтэнтыфікацыя ў сістэму пад любым карыстачом, не ведаючы пароля і нават імя карыстача. Праблема складаецца ў тым, што дадзеная ўразлівасць так і не будзе выпраўленая вытворцам па чынніку неабходнасці перапісвання ўсёй архітэктуры прыкладання.

Чытаць далей аб Black Hat: Расійскія даследнікі распавялі аб нападах на ERP-сістэмы »

Даследнікі з Фраунхоферского інстытута тэхналогій абароны інфармацыі прадэманстравалі ўразлівасць сістэмы абароны iPhone, шляхам вымання захаваных у сістэме пароляў з заблакаванай прылады.

Новы напад, якая патрабуе фізічнага кантакту з апаратам, нацэленая на ўнутраную сістэму кіравання паролямі iPhone пад назовам «keychain». Характэрна, што новы напад пабудаваная на ўжо вядомых прынцыпах узлому iPhone, арыентаваных на выманне дадзеных з заблакаваных апаратаў.

У адмыслова знятым відэароліку даследнікі паказалі, як папярэдне выконваюць jailbreak, з дапамогай ужо вядомых і распаўсюджаных утыліт. Пасля гэтага падчас нападаў усталёўваецца SSH-сервер, які дазваляе дыстанцыйна запускаць вонкавыя праграмы на апараце iPhone. Трэці этап нападу складаецца ў капіяванні на тэлефон скрыпту, забяспечвальнага доступ да сістэмы «keychain». Гэты скрыпт выкарыстае ўбудаваныя функцыі тэлефона, атрымліваючы доступ да запісаў сістэмы «keychain», а ў фінале выводзіць перад узломшчыкам усё звесткі аб знойдзеных уліковых запісах.

Выніковасць нападу абумоўленая тым, што крыптаграфічны ключ у выпушчаных прыладах з аперацыйнай сістэмай iOS заснаваны на тых дадзеных, што знаходзяцца ўсярэдзіне апарата, і ніяк не звязаны з кодам блакавання – прынамсі, так заяўляюць аўтары. Гэта значыць, што любы, мелы фізічны доступ да апарата, можа стварыць ключ, прычым для гэтага не трэба выкрываць зашыфраваны і сакрэтны код блакавання.

Чытаць далей аб Выкрасці паролі з заблакаванага iPhone атрымалася ўсяго за 6 хвілін »