Британский исследователь разработал биометрический кейлоггер, который может получить отпечатки пальцев, необходимые для разблокировки дверей зданий, доступа к компьютерным сетям или иным системам с ограничением доступа.

Biologger является концептуальным решением для демонстрации отсутствия защиты многих биометрических систем, согласно Мэтью Льюису (Matthew Lewis), который представил свой инструмент на конференции Black Hat в Амстердаме. Исследователь, который работает с управлением ИБ-рисками, предупреждает, что атака биометрических систем может стать обычным явлением и может быть использована для регистрации изображений сетчатки, черт лица и каких-либо других физических характеристик, используемых в биометрических системах.

"Производители биометрических устройств и системные интеграторы не могут рассчитывать на полную безопасность своих устройств и систем, - пишет он в своем докладе. - Без надлежащей защиты конфиденциальности биометрические устройства контроля доступа и их данные находятся под угрозой "биологгинга". Деятельность предприятий, использующих биометрическое сканирование для контроля доступа, также защищена не в полной мере"..

Компания Rubicon Consulting провела онлайновый опрос 460 владельцев мобильного телефона iPhone, желая узнать их мнение об устройстве.

Ниже приведены некоторые самые интересные результаты:

# доступ к электронной почте — самая важная функция iPhone;

# 75% владельцев после приобретения iPhone стали больше просматривать web-сайты с мобильного устройства;

# половина пользователей приобрели iPhone вместо обычного телефона (не смартфона);

# треть пользователей, помимо iPhone, носят с собой второй телефон..

Новое применение широко разрекламированным нано-технологиям нашли российские хакеры. Ими созданы поратитвные кард-ридеры при помощи которых легко считывать данные с кредитных карт.

Выглядит новый кард-ридер совершенно обычно - как небольшой кусок гибкой клейкой ленты. За счет использования нано-технологий на нее нанесен тонкий слой особого магнитного материала, который способен "запоминать" все данные, к которым прикасается. Таким образом достаточно хоть на момент приложить карточку к такой ленте и полный ее дамп попадет в руки мошенникам. Обычно они пытаются выбить карточку из рук владельца, например при снятии денег в банкомате, и потом просто "поднять" ее, естественно с копированием данных на свой кард-ридер. Так как все это происходит за считанные секунды мало кто заподозрит подвох и заметит неприметный кард-ридер в руках хакера. Затем данные используются для изготовления поддельных карт и покупок в крупных супермаркетах и сетевых магазинах. В Москве уже зарегистрировано несколько подобных преступлений.

Житель Орегона Роберт Сэлисбери потерял большую часть движимого имущества в результате злой шутки интернет-мошенников, сообщает издание Register.

В субботу злоумышленники разместили с помощью социальной сети Craigslist.org ложное объявление о том, что Сэлисбери неожиданно был вынужден уехать из своего родного города Джэксонвиль, а оставленное им имущество могут забирать все желающие...

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в параметре "query" сценарием Search.do. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Полицейские опасаются, что хакеры, возможно, получили личные данные сотен сотрудников после взлома сайта в прошлом месяце. В первом сообщении Скотланд Ярда предполагают, что взлом MetCareers - всего лишь шутка, сопровождаемая изображением на главной странице героя Brobee, из детского телешоу Yo Gabba Gabb. Но обзор безопасности подтвердил, что в результате взлома сайта, злоумышленники могли получить доступ к базам данных, содержащих заявления о приеме на работу и личную информацию о соискателях работы в полиции. "Эта информация была бы очень полезной для мошенников и почти бесценной для преступников".

Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.

Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе.

Хакеры устанавливают высокую цену на загрузки для компьютеров из Австралии, которые были взломаны и инфицированы. На неком российском сайте за 1000 загрузок из AU предлагают $100, что в два раза больше цены на US, и в 30 раз больше Asia. Всё, что нужно сделать, это вставить iframe код на станицах сайта. Филип Рутли, менеджер из фирмы по интернет-безопасности MessageLabs, сообщил, что высокие цены на загрузки из AU объясняются тем, что австралийцы менее осведомлены о компьютерных угрозах безопасности, чем люди из других стран. Как пример, он приводит возможность заработка $10,000 с австралийского сайта с большой посещаемостью

Компания Red Hat открыла исходные коды системы Red Hat Certificate System, предназначенной для управления идентификацией и обеспечения безопасности. По словам представителей компании, после открытия кодов Red Hat Certificate System станет только надежнее, а кроме того, внедрить ее в своих корпоративных ИТ-системах захотят многие компании, которые до сих пор воздерживались от этого шага.

На сегодня компания уже опубликовала весь исходный код Red Hat Certificate System в свободном доступе.

Напомним, что Red Hat Certificate System работает в крупных сетях и управляет учетными записями пользователей, а также обеспечивает безопасность сетевых транзакций. Red Hat получила данную систему около 3 лет назад, когда все права на ее использование и разработку были выкуплены у компании AOL. Однако до сих пор Red Hat Certificate System была лишь частично открытой.

Также в компании отметили, что после того, как Red Hat Certificate System стала полностью открытой, сторонние разработчики смогут создавать собственные стеки программного обеспечения, которые будут работать с Red Hat Certificate System в крупных сетях

BitDefender, поставщик антивирусного программного обеспечения и решений по обеспечению безопасности данных, объявил о том, что аналитики компании обнаружили, что спамеры используют новый шлюз, ориентированный на корпоративный мир, Google Calendar, для рассылки нигерийских писем.

«Нигерийские» спамеры ориентируются на корпоративный мир и «забросили свои крючки» в Google Calendar. В электронной почте указывается персональная информация с другой ссылкой, что делает URL-фильтрацию более сложной.

«Это новый подход социальной инженерии, - сказал CTO BitDefender Богдан Думитру (Bogdan Dumitru). – Странно, но спам по этому каналу идет в огромных количествах - как правило, новые подходы спамеров сначала тестируются. Обычно после тестов некоторые методы признаются неэффективными и в дальнейшем не используются. Этот случай отличается».

«Нигерийские» мошенники «зарабатывают» путем информирования жертвы, которая якобы унаследовала или получила крупную сумму денег из другого источника. Спамер затем сообщает жертве, что для получения платежа необходимо перечислить некоторую сумму...

Руководство Гарвардского университета предупредило студентов и абитуриентов, что их персональная информация, хранившаяся на сервере учебного заведения, могла оказаться доступной посторонним лицам.

В феврале сервер университета был взломан хакерами, в результате чего ими могли быть получена информация о десяти тысячах пользователей, для более половины из которых были доступны номера полисов социального страхования. Номер полиса социального страхования может быть использован для получения кредита или оформления кредитной карточки. Представители университета пообещали впредь обеспечить более надежную защиту для персональных сведений пользователей, а также помочь пострадавшим установить, воспользовался ли кто-либо номерами их полисов.