У каждого из команды ][ - свои предпочтения по части софта и утилит для пентеста. Посовещавшись, выяснилось, что выбор так разниться, что можно составить настоящий джентльменский набор из проверенных программ. На том и решили. Чтобы не делать сборную солянку, весь список мы разбили на темы. Поиск уязвимостей - это определенно одна из интереснейших тем.
Подставив кавычку в нужном месте - и нашел возможность для инжекции? Проснись! Давно прошли времена, когда пионерские способы помогали найти ошибки даже в серьезных проектах. Поиск уязвимых мест стал намного более изощренным, как и техники для успешной эксплуатации уязвимостей. Если раньше худо-бедно можно было все реализовать вручную, то теперь без вспомогательных инструментов не обойтись. Последние не только выполнят муторную работу за тебя, но и подскажут, как можно воспользоваться багой, а в некоторых случаях - даже автоматизируют процесс эксплуатации. Итак, приступим?
Недавно на форумах начали появляться сообщения пользователей, столкнувшихся с так называемой проблемой появления “черного экрана смерти” в операционной системе Windows 7 - после входа в систему пользователь видит абсолютно черный дисплей. Изначально было выдвинуто предположение о том, что данная проблема связана с последним обновлением подсистемы безопасности, выпущенным 10 ноября, но сама компания Microsoft отрицает это.
Около месяца назад в России начались продажи операционной системы Windows 7, в состав которой включен браузер Internet Explorer 8. Основной упор при работе над продуктами был сделан на скорости работы, стабильности работы системы и вопросах безопасности.
Если говорить об изменениях в Windows 7 и Internet Explorer 8 с точки зрения безопасности, то их довольно много. Именно поэтому Microsoft публикует 2 документа на русском языке, которые рассказывают о новинках в Windows 7 и Internet Explorer 8, затрагивающих вопросы безопасности.
Ознакомиться с техническими документами можно по следующим ссылкам:
Некоторые вопросы из руководства по безопасности Windows 7:
· Контроль учетных записей. 35 · Защитник Windows. 45 · Средство удаления вредоносных программ. 49 · Брандмауэр Windows. 51 · Защита операционной системы и несъемных жестких дисков. 62 · Шифрованная файловая система. 73 · Контроль службы управления правами через групповую политику. 82
Кевин Митник (Kevin Mitnick), взломавший сайты таких крупных корпораций как Nokia, Fujitsu и Motorola, является самым знаменитым хакером своего поколения, пишет британская The Telegraph.
Издание составило десятку знаменитых хакеров. Объявленный Департаментом правосудия США "самым опасным компьютерным преступником в истории", Митник в первое время занимался телефонным "фрикингом". В 1995 году он был арестован. Выйдя на свободу в 2000 году, он занялся консультированием в области компьютерной безопасности.
Вторым по известности хакером издание назвало Кевина Поулсена (Kevin Poulson). Он стал известен благодаря осуществленному им в 1990 году взлому телефонной сети Лос Анджелеса. В результате чего он стал 102-м позвонившим на радио и выиграл Porsche 944. В сети он работал под ником "Черный Данте". В данное время он работает колумнистом в интернет-изданиях.
Обладателем третьего места, по мнению издания, является Эдриан Ламо (Adrian Lamo). От его деятельности пострадали такие крупные корпорации, как Microsoft, New York Times, AOL, Sun Microsystems и Yahoo!. Далее идут один из основателей Apple Стив Возняк (Stephen Wozniak), который в молодости также увлекался телефонным "фрикингом". На пятом месте расположился Лойд Бланкеншип (Loyd Blankenship), автор знаменитого "Манифеста хакера". Затем идут Майкл Калке (Michael Calce) и Роберт Таппан Моррис (Robert Tappan Morris). Также издание отмечает группу хакеров, которые объединились в The Masters Of Deception. Также газета отмечает Дэвида Смита (David L. Smith), разработчика червя "Мелисса", и Свена Яшана (Sven Jaschan) - автора вирусов Netsky и Sasser.
Впервые число подключенных к интернету компьютеров с установленной Windows 7 превысило количество компьютеров с операционной системой Mac OS X компании Apple. По данным компании Net Applications, которая занимается интернет-метрикой, в прошедшие субботу и воскресенье Windows 7 была установлена на 5% и 5,14% вышедших в онлайн компьютерах соответственно, а доля компьютеров с ОС от Apple в период с 15 по 21 ноября составила ровно 5%.
В Москву приехал генеральный директор компании Opera Software Йон фон Течнер (Jon Stephenson von Tetzchner). В промежутке между встречами с пользователями браузера Opera из России и Украины он рассказал «Руформатору» о состоянии своей компании и ее планах на российском рынке.
- За Internet Explorer и Google Chrome стоят крупные транснациональные корпорации, за Mozilla Firefox — сообщество разработчиков-энтузиастов open source. У Opera же нет столь внушительной поддержки. Как и за счет чего вы собираетесь бороться со всеми этими браузерами на рынке?
- Для Microsoft и Google их браузеры являются, возможно, стратегическими, но не единственными продуктами. У нас же браузер - это все, чем мы занимаемся. Наша сила заключается, прежде всего, в наличии группы талантливых программистов. Пусть сообщество активных пользователей у нас, вероятно, не такое большое, как у Firefox, но, тем не менее, впечатляющее. Исторически сложилось, что в России разработчиков, работающих с Opera, больше, чем где бы то ни было. Конечно, нам тяжело конкурировать с упомянутыми вами компаниями, поэтому мы вынуждены уделять большее внимание качеству продукта, т.к. мы знаем, что за нами никого нет.
- Насколько можно судить, значительная часть доходов Opera поступает от поисковиков за счет размещения в браузере той или иной поисковой строки, а Microsoft и Google имеют и свои поисковики, и собственные браузеры. В этой связи не опасаетесь ли вы со временем потерять этот источник прибыли?
- Недавно мы продлили свое соглашение с Google до 31 марта 2012 года. Но если взглянуть на эту ситуацию под другим углом, у нас сейчас 100 млн пользователей (суммарно по десктопной и мобильной версиям браузера), и их количество постоянно растет. По сравнению с прошлым годом количество пользователей Opera Mini увеличилось на 150%, а по нашему десктопному браузеру рост составляет порядка 50-60%. Поэтому таким компаниям, как Google или, например, «Яндекс», тоже выгодно сотрудничать с нами, потому что они получают от нас достаточно большой поток трафика.
Мы лидеры по мобильным устройствам - как в странах СНГ, так и в мире. Что же касается десктопов - мы близки к первому месту в России, и являемся безоговорочным номером один в Украине и Белоруссии. Наши позиции гораздо прочнее, чем многим кажется.
- Какие еще источники доходов использует Opera?
- Помимо уже упомянутой монетизации поиска, которую мы все же предпочитаем называть работой с контент-провайдерами - поскольку наши международные партнеры в данном случае выступают именно в таком качестве (и мы пытаемся сотрудничать с представителями локальных рынков, например Mail.Ru или OZON.ru), у нас есть еще два источника доходов.
Во-первых, это работа с OEM-производителями (производителями начальной комплектации - прим.ред.), которые выпускают мобильные телефоны, игровые приставки, телевизоры с возможностью выхода в Интернет. Мы получаем доход от каждой проданной единицы товара с установленным на нем браузером Opera.
И последнее - это доходы от Opera Mini. Основную часть здесь мы получаем от сотрудничества с мобильными операторами - в России это «Мегафон». Они ежемесячно делятся с нами своими доходами, платя нам за активных пользователей.
Мы уже 15 лет в бизнесе, и средний рост нашей годовой доходности составляет 50-60%. Я основал Opera на пару с компаньоном, а сейчас у нас 760 сотрудников, каждый из которых нацелен на создание лучшего в мире браузера.
- Планируете ли вы в дальнейшем зарабатывать, используя другие модели и схемы?
- Из перечисленных мной нынешних источников доходов все три отлично работают, и ни одно из направлений нашей деятельности не является дотационным. Поэтому я пока не могу сказать, что мы планируем зарабатывать на чем-то другом. Вопрос лишь в наращивании количества пользователей по каждому продукту и, соответственно, в увеличении дохода от партнерских программ. Мы делаем все для того, чтобы конечные пользователи не платили за использование Opera.
Думаю, пока нам не стоит экспериментировать с новыми бизнес-моделями, потому что есть риск, что все это может плохо закончиться. Те схемы, которые у нас есть сейчас, достаточно гибкие для того, чтобы развивать работу по ним в различных направлениях. Например, в случае с нашей платформой Opera Unite, на которую мы привлекаем разработчиков, чтобы они создавали сервисы. Будет что-то вроде магазина, в котором эти разработчики смогут продавать свои приложения пользователям и получать 100% прибыли. Наша задача - продвигать браузер и зарабатывать на партнерах, а не на конечных пользователях.
- В каких пропорциях распределяются доходы от поиска в десктопной и мобильной версиях вашего браузера?
- Каждый год соотношение разное, но понятно, что пока получается больше получать от поиска на десктопах. Однако Google, планирующая зарабатывать на мобильной рекламе, прогнозирует двукратный рост доходов от нее, а наши заработки зависят в том числе и от доходов наших партнеров.
- Какая часть доходов Opera поступает из России и стран СНГ?
- В разные годы разные источники наших доходов имели различный вес в общем обороте. Если 10 лет назад мы зарабатывали практически только на поиске, то потом доля таких доходов упала до 10%, а сейчас составляет 30%. Доходы по отдельным регионам трудно назвать из-за специфики нашей работы: например, пользователь находится в России, сервера нашего партнера Google размещаются в США, а наш прокси-сервер - в Норвегии - и посчитать все порой бывает тяжело.
- С чем вы связываете успех Opera именно в России и странах СНГ и как собираетесь его закреплять?
- Четыре года назад я приехал в Россию и задал тот же вопрос пользователям Opera - тогда наша доля здесь составляла около 10%, и никто не понимал из-за чего. Местные лидеры коммьюнити отвечали по-разному, и все их ответы совпадали с ответами пользователей в других странах, где Opera была менее популярна. Мы очень быстро пришли к выводу что главный движущий фактор - это сообщество пользователей, с которым, впрочем, 4 года назад мы активно не работали. Чем оно сильнее, тем успешнее продвигается продукт.
Когда мы это поняли, мы стали более активно развивать коммьюнити, делать больше русскоязычных ресурсов, переводить интерфейсы, набирать специалистов из России. Сейчас у нас здесь работают четыре человека, а также есть россияне, которые работают на Opera в Норвегии и решают глобальные задачи компании, в то же время ретранслируя нам отзывы и пожелания русскоговорящих пользователей.
- Когда стоит ожидать открытия полноценного российского представительства компании?
- Открытие офиса в России - это логичный шаг для нас. Уже сейчас идет процесс оформления необходимых документов, и в течение нескольких месяцев у нас появится представительство в Санкт-Петербурге.
- Возвращаясь к теме пользовательских сообществ - почему же у вас не сформировались подобные российскому коммьюнити в других странах, в частности в Европе и США?
- Это очень хороший вопрос. Пока мы не очень хорошо понимаем, почему в одних странах подобные сообщества формируются, а в других - нет. Мы пытаемся в это вникнуть, но сейчас это получается не до конца. Мы можем влиять на развитие коммьюнити, когда прислушиваемся к тому, о чем нам говорят его представители, и исходя из этого иногда меняем свои маркетинговые планы. Эти люди замечают то, что можем упустить мы.
Facebook популярен в Европе и США, но большинство россиян предпочитают «В Контакте». В то же время в Бразилии множество пользователей выбирают социальную сеть Orkut, а во Вьетнаме почему-то самой востребованной остается My Opera, хотя по сравнению с Facebook это довольно маленькое сообщество.
Другими словами, конкретных причин нет. Что нам остается делать в такой ситуации - это продолжать прислушиваться к мнению любого коммьюнити - что они замечают, какие дают советы, что стараются улучшить и т.д.
- А чем, по вашему мнению или наблюдениям, пользователь Opera отличается от приверженцев других популярных браузеров?
- Типичный пользователь Opera, как правило, пробует несколько других браузеров, и делает окончательный выбор только после этого. Большинство пользователей Internet Explorer не имеют такой возможности либо не пользуется ей.
- Какие у вас остались впечатления от прошедших накануне встреч с питерскими и московскими пользователями?
- Было очень много вопросов, причем в том числе довольно сложных. Это говорит о том, что российские пользователи знают наш браузер гораздо лучше, чем пользователи из других стран. Также поступило большое количество предложений по улучшению Opera. Все это отняло у меня много энергии, но я доволен.
- Возможно ли на подобной встрече получить работу в Opera? Как вы набирали сотрудников из числа россиян?
- На сайте Opera есть соответствующий раздел, и люди со всего мира присылают нам свои резюме. В случае с россиянами всем будет гораздо проще, когда откроется наше представительство. Уже были случаи, в том числе с кандидатами из России, когда мы принимали на работу наиболее активных лидеров коммьюнити.
- Российское правительство недавно озвучивало планы по разработке специальный безопасный браузер для чиновников. Как вы оцениваете перспективы подобных начинаний?
- Насколько мне известно, сейчас Минкомсвязь занимается оценкой безопасности существующих браузеров. Мы готовы сотрудничать с российским правительством и давать ему необходимые рекомендации. Opera - самый безопасный браузер, что подтверждают как наши внутренние, так и независимые исследования. Будем рады предоставить Opera в качестве браузера для российских чиновников.
- А как вам инициативы по «ускорению» интернета? Летом израильский стартап Fasterweb обещал «ускорить» Интернет в 10 раз, постепенно подключив к себе все основные браузеры. В ноябре Google говорила об «ускорении» Интернета в 2 раза, благодаря своим разработкам. Как вы считаете, действительно ли сейчас можно говорить об увеличении скорости работы Сети на такие порядки?
- Подобные идеи возникают регулярно, и я позитивно отношусь к таким инициативам. При этом не берусь прогнозировать, действительно ли у названных компаний получится «ускорить» интернет в 2 или 10 раз. Мы уже делали работу в Сети более быстрой для пользователей с Opera Turbo и Opera Mini. Разговоры на эту тему постоянно происходят и в нашей компании, и можно сказать, что мы тоже работаем над этим вопросом.
- На этой неделе появились сообщения о том, что Opera якобы участвует в цензурировании китайского Интернета, блокируя пользователям доступ к определенным сайтам. Прокомментируйте, пожалуйста, эту информацию.
- Если вкратце, то без комментариев. Мне не очень хочется комментировать политику Китая в Сети, но я уверяю, что мы никогда ничего не блокировали. В Китае у нас есть сервера, через которые шел трафик за пределы этой страны. Все наши действия там, как и везде, нацелены на то, чтобы обеспечить пользователям более быструю работу в Интернете.
Автор благодарит Николая Дваса и представителя Opera Software в России Владимира Исаева за помощь в организации интервью.
К 2020 году пользователям не придется управлять компьютером с помощью клавиатуры и мыши. Их место, по мнению сотрудников Intel, займут вживленные в мозг процессоры.
Согласно новому отчету консультантов Конгресса США, исследующих угрозы безопасности, которые могут возникнуть при торговле с Китаем, эта страна активно использует своих хакеров для кибершпионажа против США, чему имеются множественные доказательства. «Большое количество как косвенных, так и неоспоримых доказательств свидетельствуют о том, что в эту деятельность вовлечены государственные органы», — сказано в отчете, направленном в Конгресс.
В документе также говорится, что Пекин проводит «долгосрочную кампанию с применением продвинутых компьютерных технологий против правительства и оборонных органов США». Шпионаж направлен на сбор полезных данных и информации об инновационных находках и изобретениях, которые можно использовать в модернизации военных сил и экономического развития.
В прошлом году количество кибератак против США значительно увеличилось и продолжает быстро расти. При этом за большой частью кибератак стоят именно китайцы, считают аналитики. Китайский МИД, тем временем, официально назвал отчет «сфабрикованным наследием Холодной войны». «Эта так называемая комиссия безмерно раздула идею китайской угрозы», — заявил пресс-секретарь ведомства Ма Чжаосюй.
Авторы отчета отмечают, что Китай тратит значительные ресурсы на создание и поддержание компьютерной инфраструктуры, которая может использоваться для кибератак. Усилия властей Китая сосредоточены главным образом на сборе разведывательных данных против США и китайских диссидентских групп за рубежом.
В отчете детально описываются атаки, достигшие своих целей, в том числе и через недавно устраненную уязвимость в Adobe Acrobat. Например, через правительственные сети «уплыло» от 10 до 20 ТБ конфиденциальных (но неструктурированных) данных ВВС США. Эта информация затем была использована для фишинга — очень достоверные и адресные сообщения помогли атаковавшим проникнуть на сотни новых ПК. Эффективный кибершпионаж, как считают специалисты, помог Китаю более эффективно модернизировать свою армию по сравнению с США.
С 1 января 2010 г. в России вступают в силу новые санитарно-эпидемиологические требования к безопасности условий труда работников, не достигших 18-летнего возраста.
В постановлении, подписанном руководителем Роспотребнадзора, Главным государственным санитарным врачом России Геннадием Онищенко, указано, что напряженность труда для подростков должна исключать повышенные нервно-психические нагрузки. Это значит, что от подростков нельзя требовать принятия срочных решений. Запрещается также «зрительно-напряженная работа при наблюдении за экранами видеотерминалов более двух часов в день при буквенно-цифровом типе отображения информации и более трех часов в день при графическом типе отображаемой информации».
Юрист Дмитрий Кофанов из NS Consulting считает, что данное постановление — шаг к улучшению условий труда подростков, особенность работы которых уже, кстати, давно описана в соответствующих статьях Трудового кодекса. По его мнению, жизнь работодателям новые положения могут осложнить. В случае выявления прокуратурой или трудовой инспекцией нарушения требований постановления руководителям может грозить не только штраф до 5000 руб., но и дисквалификация сроком до трех лет. Однако на практике, по мнению Кофанова, подобные случаи крайне редки: они возникают обычно лишь при конфликтах работников с работодателями. К тому же подростков и раньше неохотно брали работать в российские компании.
Продажи Windows 7 в первые несколько недель вдвое превосходят показатели остальных операционных систем Microsoft. Об этом пишет The Wall Street Journal со ссылкой на слова гендиректора Microsoft Стива Балмера, который назвал продажи "фантастическими".
Агентство национальной безопасности США (NSA) заявило о своём участии в разработке Windows 7 с целью укрепления киберзащиты этой операционной системы, сообщает ComputerWorld.
Выступая перед подкомитетом Конгресса США по терроризму и государственной безопасности, Ричард Шеффер (Richard Schaeffer) из NSA отметил, что уникальный опыт сотрудников этой организации и их знания в области киберугроз и уязвимостей были использованы для усовершенствования защиты Windows 7. По его словам, это не сказалось на способности пользователей системы осуществлять в ней свои повседневные задачи.
NSA и раньше работало совместно с Microsoft — в частности, над "Вистой". Кроме того, это агентство выпустило в своё время руководство о том, как повысить безопасность Windows XP и Windows 2000.
Несмотря на уникальный опыт спецслужб, операционные системы Microsoft не лишены "дыр", "заплатки" для которых компания выпускает почти каждый месяц. Собственно, даже в только что вышедшей Windows 7 уже успели найти уязвимость, которую в Microsoft устранять пока не собираются, ограничившись инструкциями по её блокировке.
Участие спецслужб в разработке операционной системы для частного сектора, конечно же, поднимает и вопрос о наличии в этой системе бэкдоров. Например, исполнительный директор центра Electronics Privacy Information Center Марк Ротенберг (Marc Rotenberg) уверен в том, что такие бэкдоры в "семёрке" существуют. Другие эксперты в этом сомневаются, поскольку, во-первых, если NSA и Microsoft будут, что называется, пойманы за руку, поднимется большая шумиха, а во-вторых, такие бэкдоры могли бы тогда найти и использовать и спецслужбы других государств.
Тем не менее о бэкдорах в "виндах" говорят уже давно. Например, два года назад известный специалист по криптографии Брюс Шнайер (Bruce Schneier) заявил, что такой бэкдор содержался в алгоритме генерации случайных чисел, включённом в первый сервис-пак для Windows Vista.
Федеральная служба безопасности России тоже не исключает наличие в программах Microsoft "недокументированных возможностей".
Корпорация Adobe Systems выпустила общедоступные бета-версии проигрывателя Flash Player 10.1 и среды офлайнового исполнения веб-приложений Adobe AIR 2.0 для Windows, Mac OS X и Linux.
На проходящей в эти дни конференции разработчиков Professional Developers Conference (PDC) компания Microsoft поделилась информацией о новых версиях продуктов Internet Explorer 9 и Silverlight 4.
Глава подразделения Microsoft Windows and Windows Live Стивен Синофски (Steven Sinofsky) продемонстрировал присутствующим раннюю сборку IE9 и сообщил, что в список первоочередных задач, стоящих перед разработчиками, входит реализация поддержки новых веб-стандартов, таких как HTML5 и CSS3, а также создание более производительного движка для обработки сценариев javascript.
Представители компании Microsoft сегодня официально опровергли заявление руководителя отдела по работе с партнерами Саймона Олдоса (Simon Aldous), который сообщил, что новая ОС Windows 7 имеет много общего с ОС Mac OS X.
Как известно, одной из главных особенностей нетбуков является то, что они способны работать значительно дольше, чем обычные ноутбуки. К несчастью, это зависит не только от объёма аккумулятора, но и от того, какую операционную систему вы используете.
Новая ОС Microsoft, Windows 7, вышла в России 22 октября - одновременно с американской версией. Windows 7 призвана заменить собой как Windows Vista, так и сохраняющую прочные позиции на рынке Windows XP. Что собой представляет новая система? Какое место Россия занимает в планах Microsoft? Каковы отношения корпорации с антимонопольщиками? Чего российским айтишникам ждать от Microsoft в ближайшее время?
На прошлой неделе эксперты в области информационной безопасности из компании FireEye нанесли ощутимый удар по одному из крупнейших в мире «ботнетов». По заявлению экспертов, хакерская сеть, известная под именами Mega-D или Ozdok, отвечала за распространение одной трети всей мусорной корреспонденции, поступающей на компьютеры Интернет-пользователей.
Компания «Доктор Веб» сообщила о появлении новой опасной модификации троянской программы-бэкдора Tdss. По имеющейся у специалистов «Доктор Веб» информации, на момент выхода новости в активном виде этого трояна не детектировал ни один антивирус.