Cпециалисты компании BitDefender в течение недели проводили исследования в Интернете. В результате им удалось получить email-адреса, учетные записи и пароли к ним более чем 250 тыс. беспечных пользователей. Как сообщается, личные данные были опубликованы в блогах, системах совместной работы, торрентах и прочих открытых источниках.
Выборочный анализ аккаунтов показал, что 87% из них до сих пор активны и могут быть вскрыты с использованием полученной информации. Более того, оказалось, что у 75 процентов случайно отобранных пользователей совпадают пароли электронной почты и учетных записей в социальных сетях.
«Получение такого количества персональной информации всего за несколько минут работы с поисковой системой просто пугает. Пользователям стоит напомнить, что к созданию пароля для аккаунта в социальной сети нужно подходить не менее серьезно, чем к выбору замка для двери в квартиру», — комментирует результаты исследования Сабина Датку (Sabina Datcu), аналитик сетевых угроз в BitDefender и автор эксперимента. Последствия вскрытия учетных записей социальных сетей и почтовых ящиков многочисленны и далеко не безобидны — от дальнейших краж чужих учетных данных, рассылки спама и вредоносных программ, до значительно более серьезных преступлений.
Источник информации: SecureList

Исследователи из Колумбийского университета похоже (HP еще не подтвердила) нашли глобальную уязвимость в «десятках миллионов» принтеров HP LaserJet, которая позволяет удаленному хакеру устанавливать новые произвольные прошивки на устройство. В одном из примеров инженеры использовали уязвимость для доступа к термоэлементу принтера — устройству, которое высушивает чернила — и смогли поджечь бумагу, заправленную в принтер.
Вектор атаки на самом деле достаточно прост: каждый раз, когда принтер LaserJet получает задание для печати, он проверяет его на наличие обновленной прошивки. Проблема заключается в том, что принтер вообще не проверяет источник этого обновления, обновления даже не подписываются HP и, соответственно, принтер не проверяет даже подпись. Другими словами, каждый может отреверсить одну из прошивок компании и сделать свою собственную, а затем послать ее на принтер и тем самым установить произвольное ПО на все принтеры, к которым есть доступ.
Кроме пугающего опыта с поджогом бумаги, исследователи из Университета показали так же взломанную прошивку, которая определяет когда печатается документ для возврата налогов и извлекает из него номер Социального страхования и размещает его в Twitter-е. На самом деле возможности взломанного принтера практически безграничны, он работает как компьютер в локальной сети и, по идее, можно даже собрать ботнет из взломанных принтеров.
Может показаться, что это достаточно локальная уязвимость — многие принтеры хотя и подключены к Сети, но находятся за NAT или файрволом — но что если работники компании будут атакованы целевой рассылкой с документами, которые содержат взломанные прошивки? Защититься от этого достаточно сложно. Главная проблема в том, что нет никакого глобального обновления, которое может запустить HP. Более того, невозможно даже сказать — взломан твой принтер или нет. Настоящее решение пожалуй в замене всех принтеров.
Источник информации: Хакер

Британский провайдер TalkTalk заказал исследование, по итогам которого выяснилось, что популярность сервисов электронной почты неуклонно уменьшается. По данным аналитиков, лишь 51% британских подростков отдают почте приоритет среди электронных средств общения. Специалисты утверждают, что если данная тенденция сохранится, то спустя несколько лет, когда современные молодые люди станут целевой аудиторией подобных сервисов, электронная почта в ее привычном понимании исчезнет.
Стоит также отметить, что согласно статистическим данным компании comScore, количество писем, отправленных пользователями в возрасте от 12 до 17 лет, по итогам прошлого года уменьшилось на четверть. Кроме того, общая посещаемость подобных сервисов сократилась на 6.6%.
Эксперты поясняют, что подрастающее поколение все чаще использует альтернативные средства коммуникации, в том числе мобильные SMS-сообщения, социальные сети, а также службы мгновенного обмена сообщениями.
Напомним, что основатель социальной сети Facebook Марк Цукерберг предсказывал «грядущую смерть электронной почты» еще около года назад в ходе презентации нового сервиса обмена сообщениями на Facebook. Предусмотрительный владелец популярного портала попробовал объединить в одно целое внутреннюю службу сообщений социальной сети, SMS, сообщения электронной почты и беседы из чатов в одном почтовом ящике на базе домена @facebook.com.
В то же время, в ходе презентации Цукерберг отметил: «Это не электронная почта. Нам не кажется, что современная система обмена сообщениями должна создаваться в виде электронной почты … Эта система включает e-mail в себя».
Источник информации: Интернет.Ру

Компании страдают от все большего притока принадлежащих работникам мобильных устройств в свои сети, и эта тенденция, скорее всего, лишь будет набирать силу в течение грядущих праздников.
Наплыв личных устройств на рабочих местах, формально известный как консьюмеризация ИТ, предлагает компаниям солидную выгоду в плане производительности и позволяет работникам более гибко подходить к выполнению работы. С другой стороны, личные устройства могут нести в себе угрозу и подвергать опасности сети компании.
«Компаниям нужно лучше справляться с воздействием личных устройств на безопасность, ибо выгоды слишком велики, чтобы от них отказаться», — сказал Санджай Бери, вице-президент Juniper и Pulse.
«С этим сталкиваются все компании», — добавил он. «Им нужно принять все как есть, чтобы расширить возможности работников».
«Картина изменилась за последний год. В 2010 большинство устройств составляли продукты Apple (iPhone и iPad), но в этом году компании должны быть готовы еще и к устройствам Android, гораздо более сложной экосистеме, нежели строго контролируемая платформа Apple», — отметил Ойас Реже, вице-президент по продукции компании MobileIron.
«Компаниям нужно учиться справляться с Android», — добавил он.
Вот, что можно сделать для защиты сети от надвигающейся волны принадлежащих сотрудникам мобильных устройств:
1. Не блокируйте устройства
В прошлом многие компании препятствовали доступу личных устройств сотрудников к своим сетям. Хотя, согласно недавнему отчету Citrix, такая технология способствует значительному росту производительности. Исследование показало, что производительность труда возрастает до 36% когда сотрудники используют для работы и корпоративные и личные устройства. «Видя, как хорошо это сказывается на бизнесе, большинство компаний отказываются от своих первоначальных стремлений блокировать личные устройства», — написала Элизабет Холавски, вице-президент по ИТ-услугам в компании Citrix.
2. Выясните, что подключено к сети
Первым шагом для большинства фирма должен стать мониторинг устройств, которые подключаются к сети, с целью определения масштабов угрозы. ПО для управления устройствами, исторически использовавшееся для контроля устройств, принадлежащих корпорации, имеет широкий набор функций, позволяющих настроить политику компании относительно устройств и удостовериться, что сотрудники следуют этой политике.
«Компаниям нужно полная прозрачность всего, что подключается к сети», — говорит Реже. «Когда устройство только появляется, им нужно быть уверенным, что они могут его распознать и наблюдать за ним».
Большинство фирм, занимающихся созданием ПО для управления мобильными устройствами, вроде MobileIron, требуют, чтобы на устройства, подключаемые к корпоративным сетям, устанавливались их клиенты, позволяющие управлять безопасность устройства.
3. Мобилизуйте инструменты анализа сети, чтобы распознавать угрозы
У многих компаний уже есть технологии, которые помогают справиться с угрозами мобильных устройств и других потребительских технологий, которые подключаются к сети. Системы мониторинга производительности сети распознают аномальную активность, которая может означать нарушение безопасности или попытку ненадежного устройства занять плацдарм в сети, сказал Стив Шалита, вице-президент по маркетингу в компании NetScout Systems, которая производит инструменты управления службами для оптимизации сети.
«Проблемы производительности часто могут означать проблемы безопасности», — объяснил Шалита. «Эти системы, среди прочего, занимаются поиском угроз, которые могут воздействовать на сети».
4. Продвигайте политику для устройств
«Одно из преимуществ установки корпоративных клиентов на частные устройства — возможность для компании установить надлежащую политику для чувствительных данных. Далее, основываясь на личности пользователя и на статусе устройства, можно предпринимать действия», — сказал Бери из Juniper.
«Можно пускать их в сеть на основании их личности и статуса их устройства (например, не взломано ли оно и не установлено ли на нем жульническое приложение)», — добавил он.
Многие компании применяют политику полного блокирования («block all»), пропуская лишь устройства, которые могут идентифицироваться или проходят процесс проверки. Другие, напротив, придерживаются политики «allow all», подключая устройства к виртуальной сети, отделенной от корпоративных ресурсов, пока устройства не будут авторизованы.
5. Установите политику приватности
Улучшая безопасность частных устройств, компании должны быть уверены также в защите приватности своих сотрудников. Запуск ПО для управления мобильными устройствами на телефонах и планшетах может открыть много информации об их владельцах, если доступ не будет ограничен политикой компании.
«Сейчас подходящее время для компаний, чтобы ввести в действие черновые наброски политики безопасности для этих устройств», — описывает ситуацию Реже.
Источник информации: Хакер

Инженеры, участвующие в проекте Product Design, представили концепт клавиатуры и мыши будущего — Multi-Touch Keyboard and Mouse, который, как они считают, может стать новым шагом в технологии периферийных устройств и вывести компьютерные устройства ввода на совершенно новый уровень.
Элегантный комплект Multi-Touch Keyboard and Mouse выполнен из высококачественного закаленного стекла с использованием простых широкораспространенных технологии, не имеет движущихся частей и не боится никакой влаги — даже пролитого кофе или чая.
Конструкция основана на технологии сенсорного экрана, известной как технология FTIR (Frustrated Total Internal Reflection), суть которой сводится к отслеживанию изменений в движении инфракрасных лучей света внутри панели.
Конструктивно устройства будут представлять собой металлическое основание с закреплённой на нём прозрачной стеклянной панелью по краям которой размещены инфракрасные светодиоды. Когда стекла будет касаться палец пользователя, инфракрасные датчики будут это фиксировать и передавать эту информацию в компьютер.
Программное обеспечение определит местоположение пальца пользователя и отправит компьютеру соответствующую команду для исполнения. Планируются световая индикация и звуковое оповещение при нажатии кнопок.
Поддерживается интерфейс «мультитач»; для обмена данными с компьютером используется беспроводная связь; питание клавиатуры и мыши обеспечит ионно-литиевая аккумуляторная батарея.
Участники проекта Product Design собирают средства для начала коммерческого производства Multi-Touch Keyboard and Mouse. Тот, кто на стадии сбора средст внесет $350, может рассчитывать на то, что в первую очередь получит комплект из клавиатуры и мыши после начала её производства. За вклад в $250 разработчики обещают клавиатуру, а за $150 — только мышь.
Видео-презентацию можно посмотреть здесь.

Как выяснилось в ходе недавнего исследования компании Osirium, британские организации не уверены, что все данные и настройки удаляются с устройств перед утилизацией.
Корпоративные устройства хранят различные варианты секретных данных и учетных данных доступа, все из которых при желании можно извлечь. Хакеры могут не только получить доступ к сети с помощью полученных полномочий администратора, но также подвергнуть риску данные, что может вылиться в серьезную утечку частной информации.
Вызывает беспокойство тот факт, что 40% опрошенных организаций не уверены, что все данные были удалены, а в финансовом секторе и в секторе розничной торговли 7% организаций вообще не удаляют данные.
«Поскольку ИТ-индустрия движется в сторону Ethernet и широкополосных подключений со скоростью 100 Гб/сек, растет нужда в замене маршрутизаторов, файрволлов, балансировщиков нагрузки, устройств фильтрации контента и др. становится все более острой», — сказал Девид Гайатт, генеральный директор Osirium. «Некоторые устройства можно использовать повторно, тогда как другие годятся лишь для помойки. В любом случае, на каком-то этапе цикла обновления все устройства окажутся в руках третьих лиц, и, поскольку их конечное место назначение нельзя гарантировать или проконтролировать, нужно предпринимать надлежащие меры».
Гайатт также поделился личным опытом в данном вопросе. Он рассказал, как в Osirium купили два устройства на eBay. Первым был Juniper SA, на котором обнаружилась информация, включая учетные данные администратора, которые можно было извлечь. Вторым устройством был Bluecoat Proxy SG, который был настроен на использование Active Directory. На нем хранились не только сведения об учетных данных, которые могли позволить получить доступ к AD.
Боб Тэрзи, аналитик и директор Quocirca, не удивлен этим фактом. «Около 40% опрошенных в недавнем исследовании Quocirca не уверены, что им удается удалить чувствительные данные с ИТ-устройств, когда истекает срок их службы. Даже те, которые уверяют в обратном, возможно, удаляют данные не безопасно. Простого удаления не достаточно, опытный хакер все равно сможет восстановить данные», — объяснил он. «Только инструменты для уничтожения и/или форматирования диска могут гарантировать, что устройства можно безопасно утилизировать. Этот процесс не обязательно должен быть сопряжен с трудностями. Сейчас доступны технологии, которые автоматизируют процесс и предоставляют проверяемую запись о том, что данные были удалены».
Необходимы гарантии того, что процессы удаления проходят по правилам. Это так важно по той причине, что если распознанные пароли окажутся вдруг учетными данными группы администрирования, то хакеры смогут получить доступ и к другим, схожим устройствам, и если эти учетные данные используются для устройств от разных производителей, то риск окажется еще серьезнее.
«Даже если организации пользуются услугами компаний по утилизации ИТ-имущества, их данные все равно могут оказаться не удалены», — продолжил Гайатт. «Компании, предлагающие такие услуги, конечно, серьезно относятся к процессам стирания и утилизации дисков, но есть ли у них углубленные знания о различных устройствах инфраструктуры, чтобы не проглядеть, или вообще знать о чем то, что непременно нужно стереть? Я в этом сомневаюсь».
Источник информации: Софт@Mail

Представители компании Microsoft опубликовали список российских городов, в которых магазины чаще всего продают пиратское программное обеспечение. Microsoft проанализировала 3016 магазинов в 80 городах России в период с августа по сентябрь 2011 года. Проверка проводилась в рамках схемы «тайный покупатель».
Первое место в списке отводится Пскову: нелегальное ПО реализовывают и устанавливают на компьютеры в 53% магазинов в городе. Красноярск и Сургут занимают соответственно второе и третье место с 44% и 43%. Низкий уровень продаж пиратского ПО наблюдается в Саратове, Новокузнецке и Сыктывкаре.
В Москве 33% магазинов предлагают покупателям нелегальное ПО. Более того, в 12% торговых точек пиратские программы устанавливают «на месте».
Специалисты из Microsoft отмечают, что по сравнению с прошлым годом уровень пиратства в Российской Федерации снизился на четыре процентных пункта. В прошлом году, пиратское ПО «таинственным покупателям» предложили 27% магазинов, а в 2011 году этот показатель был равен 23%.
Источник информации: Tom’s Hardware Guide

В то время, пока внимание общественности сконцентрировано на борьбе с принятием закона SOPA (Stop Online Piracy Act) в Судебном комитете Палаты представителей Сената США сторонники усиления контроля за распространением контента в Сети намереваются сделать большое усилие по продвижению другого похожего закона, PROTECT IP Act (PIPA).
Организация Mozilla наряду с другими компаниями полагает, что данный закон, как и SOPA, не достигнет цели прекращения пиратства, в то же время создав новые угрозы со стороны киберпреступности и подорвав основные принципы работы интернета. Компании, желающие препятствовать принятию закона, собирают подписи в поддержку протеста и планируют организовать день массовых заявок в Сенат против принятия закона в текущем виде.
Против связанных с навязыванием «черных списков» законопроектов, включающих SOPA и PIPA выступает большая и растущая двухпартийная группа законодателей, пытающихся объяснить своим коллегам по Сенату, что цензура в Интернет — плохая идея.
С начала слушания Судебным комитетом Палаты представителей США законопроекта SOPA, член Палаты Нэнси Пелоси (Nancy Pelosi) выступила против принятия SOPA, сообщив об этом в Twitter. Помимо неё протест против принятия закона поддержал ещё один член Палаты и десять конгрессменов, подписавших письмо к своим коллегам. Сенаторы Джерри Моран, Мария Кэнтвелл, Рэнд Пол и Рон Вайден заявили о своей оппозиции к PIPA в письме к Гарри Рейду и Митчу МакКоннеллу, лидерам представителей партии в Сенате. Участие этих сенаторов в составлении письма указывает на широкую двухпартийную оппозицию цензуре в Интернете.
Сенатор Рон Вайден отдельно также подтвердил, что настроен против PIPA, и пообещал использовать отведенное ему время на торможение принятия данного закона. Помимо этого Вайден сообщил, что не намерен выступать только на словах и пообещал зачитать имена людей, подписавших петицию против PIPA.
Источник информации: OpenNet

Специалисты компании Splashdata представили исследование, к ходе которого они проводили анализ наиболее популярных паролей, использующихся пользователями. Отметим, что компания Splashdata выпускает программное обеспечение для управления пользовательскими паролями для ОС Windows, Mac OS X и нескольких мобильных платформ.
Данные, которые использовались экспертами Splashdata при проведении исследования, были получены с согласия пользователей. На основании этих данных в Splashdata опубликовали список 25 самых популярных паролей, что делает их ненадежными в дальнейшем использовании.
Генеральный директор Splashdata Морган Слейн (Morgan Slain) отметил: «Хакеры могут с легкостью получить несанкционированный доступ к учетным записям пользователей, подбирая наиболее часто употребляемые пароли. Хотя пользователей и призывают применять надежные и сложные пароли, большинство из них и дальше продолжает выбирать легкие и те, которые легко угадать. Это может стать причиной мошенничества и кражи личности пользователя».
Первые три места в списке компании соответственно заняли пароли password, 123456 и 12345678. Помимо этого, эксперты отмечают, что пользователи все чаще применяют одну и ту же комбинацию знаков в качестве логина и пароля. В Splashdata заявляют, что недопустимо использовать имена и фамилии в качестве пароля и логина, так как мошенники перебирают эту информацию в первую очередь.
Проанализировав один миллион анонимно присланных наборов паролей, исследователи опубликовали список самых популярных и в то же время самых ненадежных паролей:
• password
• 123456
• 12345678
• qwerty
• abc123
• monkey
• 1234567
• letmein
• trustno1
• dragon
• baseball
• 111111
• iloveyou
• master
• sunshine
• ashley
• bailey
• passw0rd
• shadow
• 123123
• 654321
• superman
• qazwsx
• michael
• football
Эксперты Splashdata рекомендуют создавать пароли, состоящие не менее чем из 8 знаков. Пароль должен включать в себя поочередность цифр, букв и специальных символов. Помимо этого, не следует использовать один и тот же пароль на разных web-сайтах.
Источник информации: SecurityLab

В настоящее время инсталляция операционной системы все еще остается довольно сложной процедурой, и на рынке за установку ОС даже берут деньги. С выходом следующей версии Windows она значительно упроститься. Для этого все необходимые операции по установке будут переведены в один мастер и предельно упрощены, так что пользователь должен лишь будет следовать нехитрым указаниям компьютера. В результате, инсталляция займет не более 11 кликов.
Новую операционную систему, в которую уже будет интегрирован 25-значный серийный номер, можно будет скачать с сервера компании, оплатив её через онлайн-магазин. Для установки скаченные файлы нужно будет записать на DVD, либо скопировать на флэшку – потребуется 3 Гбайт свободного места.
Простую процедуру установки ОС пока обещают лишь тем, кто воспользуется механизмом обновления прежней версии Windows и выберет «настройки по умолчанию». Программа обновления самостоятельно просканирует компьютер, предложит оптимальный путь установки и даже, если ваше «железо» не удовлетворяет высоким требованиям Windows 8, может предложить повременить с установкой «восьмерки». Тем же пользователям, которые считают себя вполне знающими для самостоятельного подбора настроек, будут предложены обновленные версии Windows Assessment и Deployment Kit.
Кроме того, новая Windows 8 будет обладать функцией составления отчета о том, какие приложения будут работать после обновления ОС, так что отсутствие совместимости важной программы не станет неприятным сюрпризом.
Источник информации: iChip