• «Російська кмітливість» допомогла фірмі піти від відповідальності за піратське пз
    Компанія з Краснодарського краю заявила суду, що піратське пз, знайдене на її комп'ютерах, ніким не використовувалося, а самі комп'ютери належали не фірмі, а її співробітникам. Цього виявилося достатньо для того, щоб відмовити правовласникам в компенсації за знайдений нелегальний софт. Власники вилучених комп'ютерів також уникли відповідальності.
    П'ятнадцятий апеляційний суд Ростова-на-Дону скасував судове рішення своїх колег з арбітражного суду Краснодарського краю, згідно з яким місцева геодезична компанія «Землевпорядник» повинна була виплатити близько 3 млн руб. як компенсацію за порушення авторських прав Microsoft, Adobe, Autodesk, Corel та 1С.
    Переслідування «Землевпорядника» почалося ще в 2008 р. з перевірки за приписом однієї з регіональних прокуратур Краснодарського краю, розповідається в судовому рішенні. В ході неї правоохоронні органи вилучили чотири системних блоки, запідозривши на них наявність контрафактних вищевказаних продуктів правовласників. Проведена експертиза виявила, що в цілому на комп'ютерах встановлені 17 найменувань, серед яких - Windows XP і Office, AutoCAD, «1С Підприємство», Adobe Photoshop та ін.
    На гендиректора фірми Миколи Петренка було заведено кримінальну справу за ч.3 ст. 146 КК (для юридичних осіб кримінальна відповідальність за порушення авторських прав законом не передбачена), яке, втім, в 2010 р. було припинено «у зв'язку з відсутністю ознак складу злочину». У судових документах зазначається, що в постанові про припинення кримінальної справи проти гендиректора «Землевпорядника» відображені свідчення чотирьох співробітників його фірми про приналежність їм вилучених системних блоків.
    За отриманням компенсації правовласники звернулися в суд з позовом до «Землевпоряднику» в 2011 р. і здобули перемогу в першій інстанції. «Землевпорядник» подав апеляцію. В ході апеляційних слухань представники компанії послалися на свідчення співробітників про те, що комп'ютери з піратським ЗА належали їм, і наполягли на допиті цих співробітників в якості свідків.
    Одна з допитаних співробітниць, згідно з документами суду, заявила, що в робочий час вилучений ПК для трудових функцій не використовувався, у момент вилучення був вимкнений, і що вона лише іноді приносила його на роботу. Друга співробітниця заявила, що теж приносила свій комп'ютер на роботу - раз на тиждень, «щоб скопіювати дані». Вона Купила його з рук і не змогла пригадати, чи були на ньому якісь програми в той момент. Час від часу ходив на роботу з згодом вилученими комп'ютером і ще один співробітник «Землевпорядника».
    «Представлені експертні висновки не містять відомостей про те, що спірні програми для ЕОМ використовувалися в діяльності товариства. Таким чином, матеріалами справи не підтверджений факт використання контрафактних примірників спірних програм і порушення виключних прав відповідачем», - вирішив суд виніс рішення на користь «Землевпорядника».
    Варто відзначити, що згідно з законом використанням твору вважається його відтворення не тільки з метою отримання прибутку, але і просто запис в память ЕОМ. Правовласник має право вимагати компенсацію у двократному розмірі вартості примірників твору. До кримінальної відповідальності з кінця минулого року за порушення авторських прав можна залучити громадянина, якщо вартість знайденого контрафактного пз складає від 100 тис. руб. Раніше цей поріг становив 50 тис. руб.
    Гендиректор «Землевпорядника» Микола Петренко заявив CNews, що після припинення кримінальної справи відносно нього справ на його співробітників порушено не було. Юристи в компаніях-правообладателях, які фігурують у справі, до яких звертався CNews, не озвучили припущень, чому співробітники уникли відповідальності. У російському представництві Microsoft повідомили, що будуть оскаржувати рішення апеляційного суду.


  • У ніч на 14 серпня був зламаний портал RuTracker.org. Хакер встановив переадресацію на сторінку зі статтею Сергія Аверінцева і вніс зміни в реєстраційну інформацію торрент-трекера.
    14 серпня 2012 р. близько 7 ранку за московським часом був зламаний найбільший російський торрент-трекер RuTracker.org. Відвідувачі сайту, які намагалися зайти на сторінку, перенаправлялися на сторінку зі статтею філолога Сергія Аверінцева «Моя ностальгія».
    Близько 10:50 14 серпня анонімний представник порталу повідомив CNews, що на даний момент домен заблокований, і адміністрація веде переговори з реєстратором з приводу злому.
    Найімовірніше, хакерам вдалося отримати доступ до управління доменним ім'ям трекера: крім редіректу з сайту в реєстраційну інформацію домену в Доменів було внесено запис «Немає, всього одному не здобувати людині, сокрушилась могутність твоя. Заповітом ¶ і вчини. Ніякої порнографії, ніякої развартной, вульгарною, оглупляющей реклами». Записи в Домену були зроблені латинськими літерами.
    Крім того, зломщик залишив у Доменів неіснуючий поштова адреса barbarus_egor@ne_skrivai_dohodi_v_pana.me («Не ховай доходи в Панамі»).
    Зміни в Доменів було внесено близько 2 годин ночі 14 серпня, проте в 9:13 власники трекера повернули звичні реєстраційні дані. У момент публікації цього матеріалу портал працював у звичайному режимі, причому на офіційному форумі в розділі «Обговорення новин трекера» пояснень з приводу нічного інциденту не з'явилося.
    Між тим, основна маса користувачів Rutracker повідомляє CNews, що при спробі зайти на сайт їх браузери далі перенаправляються на сторінку зі статтею Аверінцева, а при пінг адреси rutracker.org губляться 100% пакетів, а близько 10:20 зломщик знову змінив дані в Доменів.
    Близько 10 годин ранку 14 серпня адміністрація Rutracker визнала втрату контролю над своїм обліковим записом у доменного імені, розмістивши на сторінці за мережевим адресою 195.82.146.114, що належить Rutracker, повідомлення: «З технічних причин, пов'язаними зі зломом облікового запису реєстратора доменів, rutracker.org тимчасово недоступний».
    Найбільший у Росії торрент-трекер Rutracker.org був відкритий в 2010 р. командою Torrents.ru після відкликання у неї домену у зв'язку з порушенням авторських прав. У лютому 2012 р. він постраждав від DDoS-атаки, а в квітні був кілька годин недоступний у зв'язку з апаратними проблемами.
    За даними самого порталу, на ньому зареєстровано майже 12 млн акаунтів і ведеться близько 1,3 млн роздач.


  • Одним з найбільш дратівливих моментів, пов'язаних з сучасними веб-сервісами, є вимога вказати реальний номер телефону, через який підтверджується обліковий запис. Інколи ми створюємо одноразові облікові записи, щоб домогтися якихось миттєвих благ, тому не дуже приємно використовувати для них свій реальний номер телефону. Тому на світ з'явився мобільний додаток Burner для iPhone, що дозволяє створювати одноразові тимчасові телефонні номери.
    Додаток розроблений програмістами компанії Ad Hoc Labs, воно дійсно дозволяє створювати повнофункціональні номери телефонів, які закриваються після закінчення певного часу. Оплата за послуги зв'язку та використання номерної ємності Burner здійснюється за допомогою кредитів самої програми і пов'язаного з ним сервісу. Користувач може робити з цим номером голосові дзвінки або відправляти SMS-повідомлення, правда, все це доступно тільки при запущеному Burner.
    Додаток пройшло процедуру офіційного затвердження в магазині Apple App Store, хоча очевидно, що воно неодмінно стане зброєю в руках усіляких кримінальних елементів, які точно зможуть отримати з нього свою вигоду з допомогою iPhone. Вартість самого додатка Burner становить 1,99 долара США, робота з ним оплачується додатково, доступно кілька тарифів, кожен телефонний номер при бажанні можна продовжити.


  • У популярному сервісі знайшли уразливість
    Сервіс відео-дзвінків Skype сьогодні викликав стурбованість користувачів - стало відомо про уразливість, яка дозволяла викрадати чужі акаунти. Знаючи адреси електронної пошти людини, на яку зареєстрований акаунт, можна було поміняти пароль і отримати доступ до скайпу іншого користувача.
    Саму уразливість просунуті користувачі знайшли кілька місяців тому, за їх власним зізнанням, і написали про це в техпідтримку сервісу, але вона так і не була усунена. Сьогодні з цією проблемою зіткнулися відомі блогери. Медіадиректор компанії SUP Антон Носик розповів у своєму блозі, як зламали його акаунт.
    «Людина, який проник в мій акаунт, не став влаштовувати там ніякого вандалізму, а просто подзвонив мені в п ’ ятій ранку, щоб розповісти про використаної для злому дірки, - пише він. - Міра захисту тут приходить в голову тільки одна: реєструвати обліковий запис Skype з такої адреси електронної пошти, який ніде не розкручений, і нікому, крім власника, не відомий. У цьому випадку зловмисник не зможе його обчислити і підібрати. А для експлойта знання поштової адреси жертви є необхідною умовою». «…Важко повірити, що такий дитячий спосіб дозволяє зламати будь-який рахунок у системі, яка так хизується своєю захищеністю», - додав Антон Носик в коментарях до посаді.br/>Піддався атаці на Skype і блогер Ілля Варламов. «Прокинувся вранці, а на пошті повідомлення, що якийсь лиходій поміняв у мене на скайпі пароль, - розповів він. - Виявляється, виявилася дірка, що дозволяє легко вкрасти будь-який обліковий запис, якщо знаєте логін-пошту жертви. Ось так я і став жертвою. Мені пощастило - злодій був добрим і не поміняв пошту, не видалив контакти і нікому нічого не писав, так що я легко повернув собі доступ назад».
    Ще однією жертвою серед відомих людей став Олексій Навальний.
    При цьому власники «викрадених» акаунтів отримували на пошту листа від Skype про те, що пароль у них змінений.
    «Рано вранці ми отримали повідомлення про повідомленні користувача, що стосується безпеки функції скидання пароля на нашому сайті, - пояснили нам ситуацію в компанії. - Ця проблема стосується користувачів, які зареєстрували кілька облікових записів Skype на один і той же адресу електронної пошти. Сьогодні вранці ми тимчасово призупинили роботу функції скидання пароля в цілях безпеки і провели оновлення в процесі скидання пароля, що налагодило його роботу. Ми надаємо підтримку невеликого числа користувачів, яким, можливо, довелося зіткнутися з незручностями. Skype прагне забезпечити нашим користувачам безпечну і надійну зв'язок, і ми приносимо вибачення за незручності».
    Як же повернути акаунт, якщо ви теж стали жертвою хакерів? Перші постраждалі від злому повертали акаунти за тією ж схемою, за якою діяли злодії. Після заходів, прийнятих сервісом, він, по ідеї, працювати вже не має. Інший спосіб - пройти за цим посиланням і підтвердити, що акаунт належить саме вам. Для цього потрібно буде вказати свій логін, електронну пошту, рік, коли ви створили акаунт, країну, де ви перебували тоді. Якщо ви оплачували послуги Skype, можна вказати, яким способом ви платили. Можна також вказати логіни або імена людей зі свого контакт-аркуша. Ще один спосіб - зв'язатися зі службою підтримки сервісу в чаті, правда, він працює тільки англійською мовою.


  • У цій замітці ми коротко ознайомимося з такими явищами, як двохфакторна аутентифікація та одноразові паролі, а також розглянемо їх застосування на простенькому прикладі використання Google Authenticator для захисту облікових записів Google і хмарних сервісів Amazon
    залежно від фантазії розробника і конкретної сфери застосування система з використанням одноразових паролів або ключів може називатися двофакторної або ж двухшаговой авторизацією, аутентифікацією, верифікацією, а то і яким щось більш хитромудрою словом. Втім, всі вони в загальному випадку зводяться до використання двох або більше методів ідентифікації користувача для виконання тієї чи іншої операції. Причому, як правило, першим етапом є застосування звичної всім зв'язки логін пароль, яку, якщо чесно, можна легко вкрасти і використовувати віддалено без відома власника. А ось другим чинником є щось, що по ідеї повинно бути доступний виключно користувачеві. Методи силового захоплення і що щось на зразок лагідною прохання від дядька з гарячим паяльником в даному випадку не розглядаються, оскільки від них навряд чи або врятує.
    Для другого етапу ідентифікації може застосовуватися безліч засобів: передача ключа по SMS/дзвінку/Push-повідомленню, USB-токени, фізичні та віртуальні генератори ключів, біометричні датчики, смарт-карти, «таблетки» (як для домофонів), RFID-мітки (NFC в тому числі), програми для мобільних пристроїв, одноразові _ шифроблокноты _ і інші, більш екзотичні штуки. Суть всіх цих технічних наворотів одна - для доступу до чого-або, крім основних ідентифікаційних даних (логін пароль), потрібно ввести ще і одноразовий код. Якщо зловмисник вкрав логін і пароль від вашого облікового запису, то скористатися ними він не зможе, оскільки одноразового пароля у нього немає. Якщо ж він примудрився підглядати і одноразовий код, то він все одно для нього марний, адже сама назва коду вказує на те, що другий раз він їм скористатися не зможе.
    Більш того, для більшої безпеки одноразові паролі нерідко мають дуже обмежений термін дії, але такий, щоб навіть дуже повільну користувач встиг ввести його куди треба, а шкідник не встиг би його дізнатися. Звичайно, такий підхід не забезпечує стовідсоткового захисту, якої, як відомо, взагалі не буває, але дозволяє досить ефективно захищатися від різного роду атак, так і в цілому підвищити безпеку роботи. Так, це трохи знижує зручність користування сервісами, а деякі категорії користувачів може взагалі відлякати. Автор очі спостерігав в одному з банків сцену, коли менеджер активно переконував (зауважте, цілком доступною і зрозумілою мовою) клієнта середніх років підключити безкоштовну послугу авторизації платежів в інтернеті через SMS-коди. На що клієнт буркнув: «Занадто складно», - і пішов, залишивши менеджера в розгубленості і нерозуміння, як така проста процедура може викликати проблеми у недурного з вигляду людини. Приклад з банком не випадковий, адже саме фінансові організації першими прийняли на озброєння одноразові коди.
    Ті ж паролі по SMS розсилають чи не всі онлайн-сервіси, включаючи соціальні мережі. Якщо не для входу, то хоча б для скидання основного пароля. Dropbox віднедавна пропонує клієнтам свою двохфакторну аутентифікацію. А таблиці одноразових кодів на скретч-картах або в паперовому вигляді зараз чи не насильно впихають клієнтам будь-які поважаючі себе банки і суміжні організації. «Яндекс.Деньги» давно пропонують не тільки таблиці, але і електронні токени для проведення платіжних операцій. Аналогічна історія є у PayPal. Є і більш універсальні рішення начебто Rutoken або Yubikey, які можуть використовуватися в якості не тільки додаткового, але і основного засобу ідентифікації (у загальному випадку), а також для шифрування, доступу до пошти, електронних грошей і так далі. Благо стандарти на такі пристрої та схеми давно прийняті активно впроваджуються.
    Апаратний токен варто зазвичай в межах 50$. Якщо вам зовсім не хочеться витрачати гроші для свого захисту, то можна скористатися безкоштовними програмними рішеннями. Найчастіше в них використовується алгоритм генерації одноразового коду на основі поточного часу або HMAC, тому потрібно лише правильна синхронізація часу на всіх використовуваних пристроях. Мабуть, найбільш популярним рішенням для двофакторної аутентифікації є Google Authenticator. Опис роботи з ним досить докладно розписано в довідці сервісу. Ну а нам для старту знадобиться тільки акаунт Google і смартфон. Почати реєстрацію треба з цього майстра. Вам знадобиться тільки поділитися з Google номером мобільного телефону, ну і смартфон з Android, iOS, Blackberry або WP7. (Доступний варіант з підтвердженням по SMS або голосовим повідомленням для екстрених випадків, а також резервні коди.)
    Після зазначення номера на нього прийде SMS з посиланням на відповідний додаток, яке треба встановити і запустити. В ньому ми вибираємо обліковий запис, для якого буде активна двохфакторна аутентифікація, і дотримуємося радам майстра налаштування. Рекомендується вказати в налаштуваннях облікового запису резервні номер телефону і e-mail і роздрукувати коди для входу в обліковий запис без телефону. Після налаштування облікового запису Google Authenticator почне генерувати для нього одноразові паролі. При наступній спробі зайти через веб інтерфейс, наприклад, Gmail вас попросять ввести не тільки логін і пароль, але і поточний одноразовий код. Для зручності ПК, з якого здійснюється вхід, можна додати до списку довірених, щоб не лізти зайвий раз за телефоном. Для додатків на кшталт Google Talk або поштових клієнтів, які не вміють працювати з двофакторної аутентифікацією, доведеться створити особливі паролі (для кожного окремо), які треба вводити замість звичайного пароля до сервісів Google. Відповіді на питання по роботі з додатком можна знайти тут - http://support.google.com/accounts/bin/answer.py?hl=ru&answer=185834&topic=1099588&ctx=topic.
    В принципі, Google Authenticator базується на відкритих стандартах і має PAM-модуль з доступними вихідними кодами, який можна «прикрутити» практично до будь-якої системи з підтримкою PAM. Наприклад, захистити підключення до SSH. Також можна знайти альтернативні рішення, які реалізують ті ж стандарти для інших платформ. Втім, вірно і зворотне - деякі платформи і сервіси вже підтримують двохфакторну аутентифікацію. Для додавання нового облікового запису треба або прочитати камерою смартфона QR-код (при першому запуску буде запропоновано встановити потрібний сканер), або ввести довгий ідентифікаційний код. Наприклад, можна таким чином підвищити безпеку настільки улюблених нами (добре-добре, улюблених автором) хмарних сервісів Amazon.
    На сторінці включення MFA внизу є кнопка Enable AWS MFA Device, за натисканні на яку відкриється консоль IAM. Навпроти пункту Root Account MFA треба натиснути на кнопку Manage MFA Device, а у вікні майстра вибрати A virtual MFA Device. Користувачеві буде показаний QR-код, а нижче на всяк випадок він же, але в текстовому вигляді. У Google Authenticator в меню програми переходимо в розділ «Налаштувати обліковий запис», де для додавання нового профілю вибираємо між скануванням коду або його ручним уведенням. Нарешті, на останньому етапі Amazon попросить ввести два одноразових паролів, згенеровані один за іншим. Надалі, як і у випадку з Google-обліковим записом, від вас або зловмисника будуть вимагати тимчасові коди. Якщо вам все це справа набридне, то в налаштуваннях двохфакторну аутентифікацію можна буде вимкнути в будь-який момент або ж перереєструвати профіль Google Authenticator.
    Це всього лише невеликий приклад. Налаштування інших онлайн сервісів або програм, як правило, не складніше. На жаль, таких зараз не дуже багато. Крім безкоштовного сервісу Google існує чимало комерційних рішень для підвищення безпеки за рахунок одноразових кодів, але вони в основному призначені для корпоративних клієнтів, а тому «заточені» під дещо інші продукти і коштують чималих грошей. З тих, що можуть знадобитися звичайним користувачам, варто відзначити чудовий проект Duo Security, який до того ж бере гроші тільки за SMS і дзвінки, залишаючи безкоштовними для особистого користування інші сервіси. Не менш цікаві проекти SecurEnvoy і PhoneFactor. Останній, до речі, місяць тому купила Microsoft.
    Звичайно, використання одноразових паролів не є панацеєю від усіх можливих загроз. Тим не менше ми рекомендуємо включити двохфакторну аутентифікацію та інші системи захисту скрізь, де тільки можна, - від систем онлайн-банкінгу до соціальних мереж. Зайвим це точно не буде, а чекати грому за старою звичкою все ж не варто. Ну і традиційно закликаємо наших читачів як можна більш уважно ставитися до своїх особистих даних і захищати їх у міру своїх сил. Удачі!