Наконец-то Twitter отменил возможность базовой аутентификации для сторонних приложений, введя обязательную авторизацию по протоколу OAuth для всех приложений, — давно пора. Это событие должно порадовать всех, кто заботится о безопасности своей учетной записи на Twitter.

Таким образом, закрывается потенциальная уязвимость в процессе предоставления доступа считывания/записи сторонним приложениям, что могло привести к взлому учетной записи на Twitter. Теперь это исключено. Вам больше не нужно сообщать имя пользователя и пароль сторонним разработчикам, если вы хотите использовать их приложение в своем аккаунте на Twitter.

Меня всегда интересовали вопросы безопасности, и я приветствую переход Twitter на OAuth. Это позволяет мне использовать приложение без необходимости сообщать имя пользователя и пароль на Twitter неизвестно кому. Также честь и хвала всем разработчикам, которые вовремя обновили свои приложения и сделали это максимально безболезненно для большинства пользователей.

Однако не стоит забывать, что OAuth не обеспечивает защиту от локальных атак, т.е. от кражи паролей непосредственно с компьютеров пользователей. При входе на Twitter убедитесь, что ваш компьютер не заражен. Также предлагаю вашему вниманию свое краткое руководство на сайте Threatpost, How to Avoid Getting Your Twitter Account Hacked («Как избежать хакерской атаки на Twitter-аккаунт»), где можно найти дополнительные советы по безопасности.

На прошлой неделе Ponemon Institute опубликовал анализ финансовых потерь, которые несут коммерческие и правительственные организации из-за кибератак. В исследовании использовались данные по 45 американским организациям.

Так, в среднем атаки кибер-злоумышленников обходятся компании в 3,8 миллионов долларов ежегодно, причем эта цифра может колебаться от 1 до 52 миллионов долларов в год. В целом, на все организации, участвующие в исследовании, пришлось порядка 50 успешных кибератак в неделю.

Наиболее дорого компаниям обходятся веб-атаки, распространение вредоносного кода и внутрисетевые утечки информации. На борьбу с этими видами киберпреступлений уходит более 90% всех затрат компании в данной области.

За четырехнедельный период исследования 80% компаний пережили нападение вирусов, червей и троянов. 73% подверглись атакам фишеров и социально-техническим нападениям, в ходе которых злоумышленники пытаются ввести в заблуждение пользователей или администраторов. В 62% случаев потери компании были связаны с внутрисетевыми утечками информации. В 47% совершались попытки распространения вредоносного ПО, и еще 29% всех нападений были связано с внедрением вредоносного кода и попытками включить компьютер в бот-сеть.

Для устранения проблем, вызванных кибератакой, организации требуется в среднем 14 дней, причем ежедневные затраты при этом составляют 17696 долларов. Внутрисетевые атаки обходятся "дороже" по времени - до 42 дней и более. Это объясняется тем, что утечка конфиденциальной информации грозит срывом деловых операций, что в результате приводит к увеличению внешних затрат компании на 42%. В год перерасход компании может составить до 36% прямых производственных затрат, 13% косвенных расходов на оплату труда, 8% накладных расходов, 30% амортизированной стоимости. Производительность при этом снижается на 13%.

От кибератак страдают любые организации, вне зависимости от отрасли производства, но более других для киберпреступников привлекательны организации, оказывающие финансовые, энергетические услуги, а также услуги по обеспечению безопасности.

Крупные компании чаще подвергаются кибератакам, однако небольшие организации, несмотря на относительно меньший интерес к ним со стороны криминальных участников интернет-сообщества, несут заметно большие потери в процентном соотношении. И если крупные организации более интересны для фишинг-атак, что средние и небольшие компании чаще подвергаются атакам, нацеленным на распространение вредоносного ПО и вирусов.

Исследовательская группа компании AVG сообщает об увеличении частоты использования платного набора эксплоитов Eleonore для проведения кибератак.

На протяжении двух месяцев AVG наблюдала за 165 уникальными доменами, с которых проводились атаки при помощи версии Eleonore 1.3.2, хотя были зафиксированы и случаи применения более поздней версии v1.4.x.

За двухмесячный период со 165 доменов при помощи Eleonore было совершено порядка 12 миллионов атак. При вероятности успеха 10% число зараженных машин составило более 1,2 миллионов. Более других стран пострадала Россия — по числу инфицированных компьютеров она стала лидером в списке стран, пострадавших от атак Eleonore. На втором месте Украина, на третьем оказались США. В первую десятку также вошли Великобритания, Вьетнам, Германия, Испания, Казахстан и Португалия

Eleonore использует уязвимости в Sun JVM, Adobe Acrobat Reader, Internet Explorer 6 и 7, FireFox и др. Наиболее уязвимым для эксплойта оказался IE6 — в 33,8% атак нападение увенчалось успехом. Самым защищенным оказался браузер Safari — только 2,78% попыток пробиться сквозь его защиту принесли хакерам успех. Самыми эффективными оказались атаки при использовании совместимых с браузерами приложений, таких как Sun JVM и Adobe Acrobat Reader.

Буду краток, но хотелось бы обратить ваше внимание — наконец выпущен бюллетень безопасности Microsoft MS10-046, представляющий заплату для уязвимости LNK, которая изначально эксплуатировалась вредоносной программой Stuxnet. Если вы еще не установили патч, обязательно сделайте это. Эта критическая уязвимость активно эксплуатируется киберпреступниками.

В то же время мы получили несколько сообщений об определенных проблемах с установкой патча MS10-046: при первой перезагрузке Explorer загружает центральный процессор настолько, что для нормальной работы компьютер необходимо перезагрузить.

Сообщите нам, сталкиваетесь ли вы с трудностями при установке этого критически важного обновления от Microsoft или же, наоборот, не испытываете никаких проблем.

Вот и снова лето! Люди пытаются спастись от жары и пыли больших городов в более привлекательных уголках земли. А что же мы делаем в первую очередь, когда отпуск закончился, и мы вернулись на работу?

Конечно же, вывешиваем фотографии в Сети!

Однако немногим известно, что фотография — это нечто больше, чем просто изображение. Каждый цифровой снимок содержит много интересной информации, которая по большей части расположена в EXIF файла JPG:

Существует множество программ, читающих EXIF-данные фотографии, например, IrfanView. Что касается этой фотографии, видно, что она была сделана фотоаппаратом Sony DSC-W300. Это маленькая компактная «мыльница», которая была снята с производства. Из-за финансового кризиса или по какой-либо другой причине человек, сделавший фотографию, еще не купил новую модель.

Интересно также посмотреть на дату. Фотография была сделана в 1:30 ночи (время на фотоаппарате GMT+2), 18 сентября 2009 года, но солнце на ней еще светит. В море купаются несколько человек, но пляж немноголюден, а значит, это совсем раннее утро или же время после заката. В данном случае местное время 18:30. Попробуйте угадать, где была сделана фотография.

Какую еще информацию можно извлечь из фотографии? В этом отношении особенно интересны iPhone, так как в них есть GPS-координаты того места, где был сделан снимок. В данном случае координаты GPS выглядели бы следующим образом:

Почему это имеет значение? Да потому, что фотография, которую вы сделали у себя дома или во время отпуска, может содержать информацию о вашем местонахождении, давая подсказки ворам или другим злоумышленникам. Еще одна ситуация например, американский гражданин, отправляющийся на Кубу, не желает делать эту информацию публичной, но хотел бы показать свои фотографии.

Существует довольно много бесплатных инструментов для удаления EXIF-информации со снимка до его загрузки на компьютер. Один из них — “JHead” Маттиаса Уандела (Matthias Wandel).

Интересно то, что с фотографий, загружаемых в Facebook, EXIF-информация стирается по умолчанию. В отличие от других сайтов, например таких, как Flickr и Twitpic. Поэтому, публикуя фотографии в Сети, будьте осторожны, если не хотите раскрывать информацию о том, где и когда они были сделаны, и каким фотоаппаратом вы пользовались!