Исследователи iSec Partners в рамках конференции по безопасности Black Hat продемонстрировали ряд сетевых уязвимостей операционной системы Apple. Несмотря на то, что Mac OS X 10.7 Lion описывается Apple как самая безопасная версия, специалисты все же рекомендуют пока воздержаться от ее повсеместного внедрения.

В качестве настольных операционных систем и Windows, и Mac OS демонстрируют примерно одинаковый уровень безопасности. Однако в сравнительной презентации "Macs in the Age of APT" (PDF) iSec приводит ряд аргументов против использования Mac OS X Server. По мнению специалистов компании, продукт Apple имеет серьезные недоработки в системе аутентификации, что делает его легкой добычей для взломщиков, позволяя им управлять целой сетью с одной инфицированной машины.

Facebook объявил о запуске программы вознаграждения для тех, кто находит ошибки, связанные с безопасностью. Плата начинается от 500 долларов США, при этом обнаружившие ошибку хакеры не будут преследоваться законом.

Вознаграждение за найденный баг в Facebook в размере от 500 долларов могут получить только те эксперты по безопасности, которые следуют правилам социальной сети касательно раскрытия чувствительной информации. То есть, проще говоря, не говорят о найденной уязвимости до тех пор, пока инженеры Facebook не закроют брешь.

Представитель Facebook официально заявил, что дыры, связанные с безопасностью, — а именно за них станет платить Facebook — закрываются компанией в течение суток после обнаружения. Хакерам-разработчикам также позволят создавать тестовые учетные записи в социальной сети и официально обещают не преследовать их по закону.

Компания Imperva исследовала и разбила по категориям атаки 30 приложений, выявив в общей сложности более 10 миллионов атак, направленных на веб-приложения в течение 6 месяцев. Веб-приложения, в среднем, претерпевают 27 атак в час, или, грубо говоря, одну атаку каждые две минуты.

Анализ также показал, что когда сайт попадает под волну автоматизированных атак, они обрушиваются на него с частотой 25 000 в час, или 7 в секунду. Было также выявлено четыре основных типа атак для большинства из них, ориентированных на веб-приложения: Directory Traversal, межсайтовый скриптинг, SQL-инъекция и Remote File Inclusion. Частота применения различных типов видна на графике:

Не так давно В Контакте сократил свой платежный функционал, который грозил превратиться в настоящую головную боль с вступлением в силу закона О национальной платежной системе. Однако это не помешало социальной сети завершить сертификацию в соответствии с требованиями PCI DSS — стандарта, разработаного международными платежными системами Visa и MasterCard.

Сервисы Skype и ooVoo приходят в стены американского Конгресса. Политикам они нужны для общения с журналистами и избирателями. Запрет на использование пиринговых средств интернет-связи существует в государственных органах США с 2006 года, сообщает Washington Post.

В качестве профилактической меры администрация WordPress.org призывает пользователей сменить пароли к сайту. Необходимость вызвана недавней хакерской атакой, в результате которой на ресурсе появились вредоносные плагины.

"Команда WordPress обнаружила подозрительные действия с несколькими популярными плагинами. Мы определили, что действия совершаются не их авторами, отменили эти действия, выпустили обновления для плагинов и закрыли доступ к хранилищу плагинов", - написал основатель WordPress Мэтт Малленвег (Matt Mullenweg) в блоге сервиса. WordPress.org продолжает расследование.

Как утверждает TechCrunch, смена паролей затронет пару миллионов человек. Сам WordPress.org не был взломан, но аккаунты авторов некоторых плагинов для блог-платформы WordPress подверглись хакерской атаке.

Репутация солидного обменного пункта или даже банковского отделения, куда вы пришли обменять валюту, еще не повод терять бдительность. Денежные операции были и остаются наиболее привлекательными для мошенников, поэтому всегда нужно быть на чеку и знать о некоторых приемах сравнительно честного отбора денег при обменен валют.

Ловкость рук

Может быть, вы замечали, что деньги, пересчитанные на ваших глазах кассиром, никогда не ложатся в лоток ровной стопкой? Почему так происходит? Если попробовать проделать ту же операцию самому, можно с легкостью убедиться, что добиться подобных результатов не так уж просто. Вы обязательно положите деньги ровно, а вот кассир всегда разбросает их по лотку. Для этого нужен навык, который вырабатывается после длительных тренировок и со временем доводится до автоматизма. Смысл операции довольно прост. При нужной глубине лотка одна-две купюры отлетают в его дальний угол, и спешащий клиент может до них и не дотянуться или просто не заметить. При этом никаких претензий к кассиру возникнуть не может, ведь все деньги в лотке. Забыли пересчитать сумму прямо возле кассы, и оставили свои купюры ловкачу-кассиру!

Лучшие девчонки, как известно, у нас в клубе, а лучшие спамеры — у нас в Украине. По данным компании Symantec, Украина является одним из лидеров по количеству ботнетов, распространяющих вредоносные ссылки, и стоит сразу после России, занимающей почетное первое место.

На сегодняшний день ботнеты используются не только для рассылок рекламного спама, но и для кражи личных данных через фишинговые сайты, завладения финансовой информацией пользователей. Ботнеты рассылают 90% мирового спама, и Украина может гордиться своим серьезным вкладом в это нелегкое дело.

На самом деле, поводов для радости не так много. Помимо того, что в Украине активную деятельность ведут интернет-мошенники, здесь прослеживается наиболее активная динамика прироста новых пользователей. Не все становятся опытными юзерами с первого дня работы в сети, поэтому о громких случаях краж денежных средств и списания сумм с кредитных карт мы услышим еще не раз.

Уже третий день пользователи ЖЖ шлют проклятия на головы злобных досеров и администраторов ресурса, которые не в состоянии им противостоять. Как только жежешечка восстанавливается после DDoS-атаки, начинается новая с еще большей силой. Объяснений найдено несколько, на первый план начинает выходить политическая подоплека, заговорили даже о кибервойне.

Компания SUP, владеющая ЖЖ, сделала такое официальное заявление: «Атаке подверглись первые десятки топовых блогеров и сообществ — можно утверждать, что она была направлена непосредственно на сам сервис». Такое сообщение лично для меня картины никак не прояснило. Более того, создалось впечатление, что оно было умышленно составлено таким образом, чтобы юзеры продолжали теряться в догадках и множить собственные версии событий.

Самой вкусной и скандальной из них является версия о российских спецслужбах, которые портят жизнь жежешке по указанию свыше. Дескать, блогосфера никак не поддается манипулированию Кремля, поэтому он решил ее уничтожить. Но если рунет и влияет на общественное мнение, то это никак не топ-блогеры Livejournal, размещающие или красивые фотографии, или разные смехуечки. Единственный, кто мог не понравится власти — Навальный, но почему тогда не покуситься на его РосПил или Яндекс.Кошелек, который собрал рекордные пожертвования на борьбу с коррупцией. Возгласы о политических притеснениях больше похожи на попытку придать себе важности и распиариться.

Кому же выгодны сбои в работе ЖЖ? Директор по развитию SUP в своем блоге написал: «кому-то очень хочется, чтобы жж перестал существовать как площадка... сверхцелью всего этого является манипулирование аудиторией жж, чтобы ее размазать по другим социальным сетям и стендэлонам, где, понятное дело, бороться с отдельно взятым пользователям в сотни раз проще». Стендэлоны и социальные сети — это, конечно, Вконтакте, Mail.Ru, Twitter и Одноклассники.

Свою версию имеет руководитель Liveinternet Герман Клименко. Не лишним будет ознакомиться с ней полностью. По мнению Клименко, ЖЖ и раньше был под постоянным DDoS-ом, но сейчас проблемы вылезли в результате замены оборудования и обновлений в программной части.

Поступило тревожное извести для всех учасников электронной комерции, которые для защиты и шифрования трафика своих электронных WEB ресурсов выбрали SSL сертификаты COMODO. В подтверждение привожу ссылку на официальное заявление COMODO

Суть инцедента свобится к тому, что групе злоумышленников удалось получить девять валидных HTTPS-сертификатов для ряда известных web-ресурсов. Используя данные сертификаты злоумышленники могли сформировать поддельный сайт, который был бы неотличим от настоящего и содержал не вызывающий подозрение SSL-сертификат COMODO. Перенаправить пользователя на подобные сайты можно используя, например, атаки man-in-middle или отравление DNS-кэша.

В случае, если бы злоумышленникам удалось получить закрытый ключ для сертификата UserTrust (UTN-USERFirst-Hardware) удостоверяющего центра Comodo, под угрозой оказалась бы безопасность более чем 85 тыс. сайтов, владельцам которых пришлось бы заново получать сертификаты.