Самые интересные новости о компьютерах, софте, интернете…

Microsoft не принимает пароли больше 16 символов

Один из экспертов «Лаборатории Касперского» с удивлением обнаружил, что почтовый сервис Hotmail не разрешает установить пароль длиннее, чем 16 символов.

Microsoft Password - 16 symbols maximum

Это стандартное ограничение, которое всегда было у аккаунтов Microsoft, за что компания давно подвергалась критике. Ограничение Microsoft ID теперь распространилось и на почту Hotmail.
По мнению некоторых специалистов, ограничение в 16 символов неприемлемо, учитывая прогресс в методах брутфорса и увеличение вычислительной мощности GPU. Да и вообще некрасиво ограничивать пользователя в его желании улучшить собственную безопасность. В то время как многие сайты принудительно заставляют пользователей указывать длинные пароли, Microsoft поступает с точностью наоборот.
Эксперт «Лаборатории Касперского» сообщает, что раньше у него был пароль из 30 символов, который больше не работает. Однако, он может войти в аккаунт, если введёт первые 16 символов из старого пароля. Это довольно странно: получается, что Microsoft принудительно обрезала «слишком длинные» пароли пользователей.
Есть вероятность, что Hotmail и раньше использовал для аутентификации пользователей только первые 16 символов пароля, просто сейчас компания честно в этом призналась.
Для сравнения, на почту Yahoo можно поставить пароль до 32 символов, а на почту Gmail — до 200 символов.
Компания Microsoft официально подтвердила факт ограничения в 16 символов и дала понять, что не намерена менять правила.
Источник информации: Хакер

Облачный сервис хранения файлов Dropbox ввёл двухфакторную аутентификацию

В компании Dropbox после серии взломов в середине июля, жертвами которых стали пользователи этого популярного облачного сервиса хранения файлов, решили больше внимания уделить безопасности и добавить новые механизмы защиты.
Вчера компания объявила о запуске двухфакторной аутентификации, то есть возможности входа в аккаунт с подтверждением кода через мобильное устройство, вдобавок к обычной связке логин-пароль.
Активировать двухфакторную аутентификацию можно в настройках на вкладке “Security” в разделе “Account sign in”.

Первый шаг

После этого для входа в Dropbox нужно будет вводить пароль и четырёхзначный код, который придет по SMS или через программу, поддерживающую протокол одноразовых временных паролей (TOTP), такую как Google Authenticator (Android/iPhone/BlackBerry), Amazon AWS MFA (Android) или Authenticator (Windows Phone 7). При активации двухфакторной авторизации дают также резервный код для её отключения, на случай потери телефона.

Второй шаг

Источник информации: Хакер

Идентификационные фразы почти так же плохи, как обычные пароли

Использование многословных фраз/предложений вместо однословных паролей десятилетиями считалось способом надёжно защититься от подбора пароля злоумышленником. Сейчас эта идея снова возвращается. Появились инициативы вроде Fastwords, авторы которой утверждают, что на клавиатуре мобильных телефонов удобнее набрать несколько слов, чем пароль с прописными и строчными буквами, цифрами и спецсимволами. Компания Google недавно опубликовала советы по составлению паролей, в которых рекомендует составлять пароли на основе фраз для простоты запоминания. Например, пароль «2bon2btitq» означает закодированную гамлетовскую фразу «To be or not to be that is the question». Да что тут говорить, даже автор популярного комикса xkcd говорит, что фраза из четырёх случайных слов несёт 44 бита энтропии, что гораздо сильнее сложного пароля.
Однако, специалисты исследовательской лаборатории в области компьютерной безопасности Light Blue Touchpaper усомнились в достаточной надёжности идентификационных фраз. Чтобы проверить их энтропию, специалисты взяли базу фраз системы Amazon PayPhrase, которая в прошлом году некоторое время работала для американских пользователей. Хотя база не такая уж и большая, но полученные результаты (PDF) заставляют усомниться в истинной надёжности такого рода защиты.
Итак, система Amazon требовала от пользователя введения фразы минимум из двух слов, которая была бы уникальной, то есть не повторялась у других пользователей.
Для своего первого эксперимента исследователи составили словарь из 20000 фраз, используя названия спортивных команд, названия фильмов, список фраз из Википедии и список популярных фраз из словаря городского жаргона Urban Dictionary. Используя такой нехитрый подход, им удалось «взломать» около 8000 аккаунтов.
Проведя некоторые расчёты, авторы исследования оценивают энтропию идентификационных фраз всего лишь в 20 бит против хакера, который пытается скомпрометировать 1% существующих аккаунтов. Это лучше, чем пароли, которые показывают всего лишь 10 бит по такой методике, но всё равно недостаточно высокий результат. Данный вывод также свидетельствует, что при выборе защитной фразы многие пользователи игнорируют правило подбирать случайные слова, что является ключевым правилом в данной технике.
Далее, исследователи провели лингвистический анализ слов в идентификационных фразах и выяснили, что пользователи склонны выбирать фразы определённого типа, с одним существительным или с одним глаголом. Из-за этого реальная энтропия фразы тоже де-факто меньше, чем должна быть теоретически.
В целом, даже идентификационные фразы из пяти слов не гарантируют надёжной защиты, потому что более чем в половине случаев их энтропия не превышает 30 бит. По мнению исследователей, это серьёзное предупреждение для программных приложений, где используется защита с помощью фраз, таких как PGP.
Конечно, подбор слов в идентификационной фразе более случаен, чем в разговорной речи, но разница не такая большая, чтобы можно было говорить о надёжной защите с помощью идентификационных фраз, делают вывод специалисты.
Источник информации: Хакер

Второй исследователь безопасности получил 60 тысяч долларов от Google

Исследователь безопасности под псевдонимом PinkiePie, также известный как PwniePie, стал вторым участником инициативы Pwnium от Google. Приблизительно полторы недели у хакера ушло на то, чтобы обойти функционал песочницы браузера и разработать механизмы вызова повреждения памяти.
В уведомлении безопасности Google заявила о том, что представленный хакером эксплоит отвечает условиям конкурса, согласно которым он получит 60 тысяч долларов. Отметим, что в феврале этого года Google запустила программу, в рамках которой заплатит 1 миллион долларов исследователям информационной безопасности, которые смогут обойти механизм защиты web-обозревателя Chrome. Web-гигант назначил премии в размере 60, 40 и 20 тысяч долларов соответственно в зависимости от сложности уязвимостей, которые обнаружат хакеры. Финансовые средства будут вручаться до тех пор, пока не будет достигнут лимит в 1 миллион долларов.
«Официально: PwniePie, PinkiePie, какая разница. PinkiePie получает 60 тысяч долларов и нам жаль, что не пришел PwniePie, потому что ему бы тоже досталось 60 тысяч долларов», — написал участник группы разработчиков браузера Chromium Крис Еванс (Chris Evans) в своем блоге в Twitter.
По словам представителей Google, они рады успеху инициативы Pwnium, а также возможности изучить разработанные эксплоиты. «Мы намерены сделать дополнительные изменения и расширить меры по устранению уязвимостей CVE-2011-3046 и CVE-2011-3047 в ближайшем будущем», — говорится в уведомлении web-гиганта.
Источник информации: SecurityLab

Пароль «password» остается самым популярным

Конечный пользователь не зря считается самым слабым звеном в любой самой продуманной и эффективной системе информационной защиты. Вы можете сконструировать практически неуязвимый замок, однако, ваши усилия пропадут даром, если легкомысленный владелец ключа оставит дверь открытой настежь. По мнению аналитиков из компании Trustwave это образное сравнение практически не является преувеличением действительности. Несмотря на старания разработчиков защитных механизмов, рядовые владельцы компьютеров по разным причинам не спешат использовать их на повседневной основе.
Одним из наиболее распространенных и проверенных временем средств защиты является обыкновенный пароль. Опыт показывает, что обладатели современных ПК не умеют пользоваться даже этим элементарным инструментом. Согласно информации из ежегодного отчета Global Security Report 2012, для защиты примерно 5% всех компьютеров используется кодовое слово «password» (пароль). А наиболее распространенным паролем среди пользователей бизнес-систем является не менее тривиальный «Password1».
Во многих современных программах и сервисах надежный пароль является обязательным требованием. Система в принудительном порядке заставляет пользователей пораскинуть мозгами и придумать слово, включающее в себя цифры и символы в разных регистрах. Эксперты утверждают, что многие пользователи воспринимают эти рекомендации буквально и вместо эффективного и простого для запоминания пароля генерируют легко угадываемую комбинацию, которая лишь формально соответствует предъявленным требованиям.
Сотрудники Trustwave использовали самый обыкновенный компьютер стоимостью в 1500 долларов и набор общедоступных программных инструментов для проведения масштабного эксперимента. Специалисты попытались взломать более 2,5 миллионов паролей и сумели подобрать около 200 000 верных комбинаций всего за 10 часов.
Не менее наглядной статистикой поделились и обозреватели CNN Money со ссылкой на исследования, проведенные компании Verizon. По имеющимся данным, слабые или легко угадываемые пароли стали причиной утечки конфиденциальной информации примерно в 29% случаев взлома, зарегистрированных в течение последних 12 месяцев.
Источник информации: SecurityLab

Почему специалисты по безопасности не пользуются антивирусами

За прошлый год компании по всему миру потратили более трёх миллиардов долларов на антивирусное ПО, а частные пользователи и того больше — около пяти миллиардов. Ещё в $6,5 млрд оценивается рынок файрволов, по данным аналитической компании Gartner. Известный в прошлом хакер MafiaBoy Джеремиа Гроссман (Jeremiah Grossman), ныне — технический директор White Hat Security, считает это бесполезной тратой денег.
Конечно, у Гроссмана есть свой интерес, чтобы озвучивать такую точку зрения, потому что его фирма занимается консультированием в области компьютерной безопасности. Одна из первых задач в разговоре с клиентом — объяснить, что установленная у них антивирусная программа не защищает полностью от существующих угроз. Более того, она не защищает вообще ни от каких реальных угроз, которые действительно грозят компании (утечка информации, промышленный шпионаж, диверсии и т.д.).
Что характерно, Гроссман вовсе не одинок в своём недоверии к антивирусному ПО, пишет Wired. Многие специалисты по безопасности тоже не устанавливают антивирус на своём личном компьютере. У них хватает ума, чтобы не ходить на сомнительные сайты и не открывать файлы из непроверенных источников, так что типичные пути заражения у них не работают, а именно эти пути находятся в фокусе внимания антивирусов.
Специалисты считают также, что антивирусы зачастую бесполезны не только для них, но и для корпоративных пользователей. Они говорят, что за последние десять лет эффективность антивирусов заметно снизилась. Причина в том, что если кто-то действительно поставит цель атаковать компанию, то он заранее проверит свой метод на большинстве антивирусных продуктов и убедится, что они не обнаружат угрозы. Есть даже бесплатный веб-сайт под названием Virus Total, который позволяет проверить вредоносный файл всеми популярными антивирусами.
Впрочем, совсем отказаться от антивируса компании не имеют возможности. Дело в том, что это первая линия защиты против глупости рядовых сотрудников компании. Да, антивирусы не защищают от целенаправленных атак, но они до сих пор эффективны против глупости офисных работников, которые склонны ходить по сомнительным сайтам, открывать файлы из неизвестных источников и делать всё остальное, что специалист по безопасности делать не будет. Кроме того, некоторые компании обязаны иметь антивирус, в соответствии с нормами государственного регулирования. Например, такое требование содержится в стандарте Payment Card Industry (PCI) Data Security Standard для платёжных систем.
Тем не менее, многие консультанты по безопасности настаивают, что лучше бы компании тратили свои бюджеты не на ежемесячные платежи за лицензии коробочных продуктов, а более разумно, например, на тщательный анализ уязвимостей в корпоративной сети, общий аудит безопасности, анализ логов, тесты на проникновение и т.д. Специалисты признают, что антивирус и файрвол приносят определённую пользу, но сейчас компании слишком дорого платят за эту «пассивную» защиту, в то время как инвестиции в «активную» оборону являются более эффективными.
Источник информации: Хакер

«Лаборатория Касперского»: троян Duqu частично написан на неизвестном языке программирования

Эксперты антивирусной компании «Лаборатория Касперского» обнаружили, что часть прославившейся недавно вредоносной программы Duqu написана на неизвестном языке программирования, сообщила пресс-служба компании.
По мнению экспертов, создание специализированного языка демонстрирует высочайший уровень квалификации разработчиков, участвовавших в проекте, и указывает на то, что для его реализации были мобилизованы значительные финансовые и людские ресурсы, вполне возможно — по государственному заказу.
Фрагмент кода, написанный на неизвестном языке программирования, получил у экспертов название «фреймворк Duqu». Он предназначен для обмена информацией между модулем, внедряемым в операционную систему заражаемого ПК и командными серверами Duqu.
В ЛК пришли к выводу, что фреймворк Duqu написан не на Visual C++, и что использованный язык программирования — определённо не C++, не Objective C, не Java, не Python, не Ada, не Lua и не относится к числу 30 других языков программирования, которые они проверили. ЛК обратились за помощью к самым опытным профессионалам по реверс-инжинирингу, которых смогла найти, но те тоже ничем не смогли помочь.
Duqu — сложная троянская программа, созданная, как полагают, авторами скандально известного червя Stuxnet. Главная задача Duqu — обеспечить злоумышленникам доступ в систему с целью кражи конфиденциальной информации. Впервые этот троянец был обнаружен в сентябре 2011 года, но, по данным ЛК, следы вредоносного кода, имеющего отношение к Duqu, появились еще в августе 2007 года.
Специалисты компании зафиксировали более десятка инцидентов, произошедших при его участии, причем большинство его жертв находились в Иране.
Анализ рода деятельности организаций, пострадавших из-за таких инцидентов, а также характера атакованной информации показывает, что основной целью создателей троянца была кража информации об автоматизированных системах управления, используемых в различных отраслях промышленности, а также сбор данных о коммерческих связях иранских организаций.
С публикацией эксперта «Лаборатории Касперского» Игоря Суменкова можно ознакомиться здесь.
Источник информации: NEWSru

ФБР: В будущем хакерские атаки будут опаснее террористических актов

Глава ФБР заявил, что хакерские атаки на компьютерные системы США вскоре могут обойти терроризм по уровню угрозы. «В недалеком будущем мы ожидаем, что киберугрозы представят собой угрозу номер один для нашей страны, — заявил глава ФБР Роберт Мюллер (Robert Mueller) на конференции RSA 2012. – Мы должны вынести урок с террористических актов и применить его в борьбе с киберпреступностью». Об этом сообщает The Register.
Мюллер заявил, что если компьютерные системы, на которых основывается современное общество, будут выведены из строя, то в результате начнется хаос и анархия. Однако Мюллеру возразил IT-специалист Брюс Шнайер (Bruce Schneier), который отметил, что целью терроризма является запугивание, а если перестает работать телефон, то люди вряд ли будут в ужасе, а, скорее всего, будут раздражены. По мнению Мюллера, в стране должен существовать обмен информацией для того, чтобы победить «врагов» в будущем. В связи с этим ФБР намерено совершенствоваться и вносить изменения в бизнес-практики.
Все специальные агенты ФБР в настоящее время обучаются электронной грамоте, и те, кто специализируется в этой области, будут получать наилучшее образование. ФБР работает над созданием виртуальных конференц-залов, в которых следователи будут обмениваться информацией по расследуемых делам.
Помимо этого, Мюллер также хочет, чтобы на всей территории США был принят закон, согласно которому компании-жертвы хакерских атак будут обязаны предоставлять все данные о нападениях. На данный момент подобные законы действуют лишь в 47 штатах США.
Источник информации: SecurityLab

Крупнейший Torrent-трекер The Pirate Bay отказался от «торрентов»

Популярный зарубежный торрент-трекер The Pirate Bay, являющийся крупнейшим и известнейшим файлообменным сайтом, основанным на использовании протокола BitTorrent, больше не будет хранить на сервере torrent-файлы, а полностью заменит их magnet-ссылками.
Ранее The Pirate Bay не раз становился объектом нападок со стороны различных компаний, считающих, что сайт своей деятельностью наносит им ущерб. В итоге: громкие судебные разбирательства, миллионные штрафы, временное отключение ресурса…
Дабы избежать повторения подобных неприятностей в дальнейшем или хотя бы минимизировать их последствия администрация The Pirate Bay решила избавиться от «первопричины зла» и с 28 февраля отказалась от раздачи torrent-файлов.
Вместо них теперь используются magnet-ссылки, указывающие на файлы, доступные через пиринговые сети. Такого рода ссылки позволяют скачивать файл даже при отключении самого трекера.
Одной из причин перехода называется тот факт, что невозможно запретить доступ к magnet-ссылкам без блокирования страницы, где она размещена. К тому же magnet-ссылки, являясь простыми текстовыми строками, занимают в несколько раз меньше места на сервере, чем torrent-файлы.
Как отмечают в корпоративном блоге представители The Pirate Bay, нововведение не должно затруднить использование портала и «среднестатистический пользователь не заметит разницы. В большинстве случаев потребуется лишь чуть больше времени, прежде чем торрент покажет размер и файлы».
Источник информации: ТАСС-Телеком

Сотрудники компаний намеренно обходят политику безопасности

Один из руководителей аналитической компании Websense Том Клэр (Tom Clare), выступая на конференции RSA 2012 в Сан-Франциско (Калифорния, США), представил статистические данные из последнего исследования, иллюстрирующие степень риска, создаваемого мобильными устройствами, приносимыми сотрудниками на работу и позволяющими злоумышленникам с легкостью обходить политики безопасности.
Так, 77% офисных сотрудников, опрошенных исследователями, считают, что использование мобильных устройств на рабочем месте очень важно для осуществления деловой деятельности, однако лишь 39% располагают необходимыми средствами для обеспечения их безопасности.
Клэр также напомнил, что по данным недавнего опроса Ponemon Institute, проведенного среди IT-специалистов, 63% инцидентов безопасности в крупных организациях происходят из-за мобильных устройств, тогда как рабочие компьютеры становятся причиной взлома лишь в 28% случаев. По мнению специалиста Websense, такая статистика свидетельствует о том, что у компаний нет достаточного контроля над незащищенными мобильными устройствами сотрудников.
Среди основных положений исследования Websense стоит отметить:

  1. 59% респондентов сообщили, что сотрудники компании чаще всего выключают функции безопасности (пароли, замки и т.п.) на корпоративных и персональных мобильных устройствах.
  2. В течение последних 12 месяцев 51% компаний, участвовавших в опросе, утратили важные данные в результате использования сотрудниками небезопасных мобильных устройств, в том числе ноутбуков, смартфонов, USB-накопителей и планшетов.
  3. Из-за риска утечки конфиденциальных данных 65% респондентов беспокоят сотрудники, делающие фото и видеосъемку на рабочем месте. Сотрудники, использующие сторонние интернет-приложения, вызывают беспокойство у 44% опрошенных, личные учетные записи электронной почты – 43%.

Стоит отметить, что в опросе принимали участие порядка 4600 специалистов из компаний, расположенных в 12 странах мира. 54% респондентов руководят отделами или занимают должности выше. 42% опрошенных организаций располагают штатом сотрудников из чем более 5 тысяч человек.
Источник информации: SecurityLab