Вступление и пересмотр части I

Эта статья является анализом механизмов безопасности, рисков, атак и защиты двух наиболее широко распространенных систем управления паролями: Internet Explorer и Firefox. В этой статье рассматриваются браузеры IE 6 и 7, Firefox 1.5 и 2.0. Внимание будет уделено следующим аспектам:

• Механизмы сохранения паролей, способы защиты имен пользователей и паролей на локальной файловой системе посредством шифрования (часть I).
• Атаки на менеджеры паролей: методы обхода защиты (частично рассматривается в части I продолжение в части II).
• Ложное чувство безопасности: использование пользователями менеджеров паролей без осознания факторов риска.
• Удобство использования: функционал, который усиливает или ослабляет меры безопасности.
• Контрмеры: действия, которые пользователи и корпорации могут предпринять, чтобы избежать факторов риска.

Часть I данной статьи закончилась обсуждением двух атак на Web браузеры с использованием Java Script. Читателям следует пересмотреть часть I перед тем как продолжить изучение данной статьи.
Рассмотрим еще несколько атак на менеджеры паролей, тем самым продолжая обсуждение. Далее автор обратится к оставшимся темам статьи – в частности к тому вопросу, как использование менеджера паролей дает пользователям ложное чувство безопасности, проблемы удобства в использовании, способы смягчения риска и контрмеры.
Для сохранения целостности статьи нумерация пунктов начинается с 4.1, 4.2 и т.д., тем самым, продолжая первую часть.

В данной статье мы попытаемся проанализировать механизмы безопасности, риски, атаки и методы защиты двух самых распространенных систем управления паролями для Web браузеров Internet Explorer и Firefox. В данной статье рассматриваются браузеры IE6 и 7 и Firefox 1.5 и 2.0. Внимание будет уделено следующим областям:
Механизмы хранения паролей: Средства безопасного хранения имен пользователей и паролей на локальной файловой системе с помощью шифрования данных (часть первая).
Атаки на менеджеры паролей: Методы компрометации или обхода средств защиты (частично первая часть, продолжение во второй части).
Некорректное восприятие безопасности: Использование менеджеров паролей пользователями без учета факторов риска (вторая часть)
Удобство использования: Функционал, расширяющий или уменьшающий использование функционала безопасности (вторая часть)
Контрмеры: Действия, направленные на уменьшения риска для пользователей и корпораций

Internet Explorer и Firefox вместе занимают 95% рынка браузеров. AutoComplete и Password manager являются средствами хранения имен пользователей, паролей, ссылок в браузерах Internet Explorer и Firefox соответственно.

У каждого браузера есть функционал, который помогает пользователю запоминать различные имена и пароли для аутентификации на Web сайтах. Например, при посещении сайта http://www.gmail.com оба браузера спросят, не желает ли пользователь сохранить логин и пароль. При следующем посещении сайта данные будут заполнены в форму автоматически.

Как сообщил журналистам генеральный прокурор Эстонии Норманн Аас, в рамках расследования составлена просьба об оказании правовой помощи со стороны Российской Федерации. "Мы ждем от России быстрой и решительной помощи в раскрытии киберпреступлений", - сказал Аас. Виновные в этих преступлениях могут получить наказание в виде заключения сроком до трех лет.

Генпрокурор отметил, что делегация Госдумы России, побывавшая в понедельник и вторник в Эстонии, пообещала эстонским правоохранительным органам оказание всесторонней помощи.

Широкий опрос американцев по поводу имеющихся у них ИТ-устройств, способов их использования и отношения к этим устройствам дал неожиданные результаты и показал, в каком направлении компании могут наращивать свою клиентскую базу. Организация Pew Internet and American Life Project обнаружила, что взрослые граждане США делятся на три группы: 31% составляют активные пользователи ИТ, 20% — умеренные, а остальные либо вообще не пользуются интернетом и сотовым телефоном, либо пользуются, но редко. Внутри каждой из этих групп Pew выделяет более мелкие подгруппы. Например, активные пользователи делятся на...

Представители группы разработчиков системы защиты AACS прокомментировали появление на многочисленных блогах в интернете ключей, при помощи которых можно осуществить нелегальное копирование оптических DVD-дисков нового поколения.

Система AACS (Advanced Access Content System) применяется для защиты видеоматериалов, в том числе, на носителях формата HD DVD. На прошлой неделе один из пользователей популярного сервиса Digg.com разместил на сайте службы ключ для обхода защиты AACS. Модераторы сервиса, не желая конфликтовать с медиакомпаниями, оперативно удалили данную публикацию, вызвав тем самым резкое недовольство со стороны пользователей Digg.com. После этого на страницах службы начали снова и снова появляться сообщения, содержащие ключ. Более того, волна аналогичных публикаций буквально захлестнула блоги и форумы.

Как сообщает ВВС со ссылкой на заявления Майкла Айерса, главы бизнес-группы AACS, в настоящее время эксперты изучают возможные юридические и технические способы борьбы с авторами публикаций, содержащих ключ. По словам Айерса, блоггеры перешли все допустимые границы. Кроме того, подчеркивает Айерс, не может не удивлять тот факт, что руководство Digg.com перешло на сторону пользователей службы и прекратило фильтрацию материалов на сайте сервиса.

Главы бизнес-группы AACS также заметил, что отследить автора каждой отдельной публикации фактически не представляется возможным. Так, поиск в Google выдает ссылки практически на 700000 страниц, содержащих ключ. Какие именно меры борьбы с блоггерами собирается предпринять AACS, Айерс уточнять не стал.

Microsoft на следующей неделе планирует опубликовать семь бюллетеней безопасности, содержащих информацию о новых дырах, обнаруженных в программных продуктах корпорации.

Как сообщается в предварительном уведомлении, два бюллетеня будут содержать сведения об уязвимостях в операционных системах Windows различных версий. По крайней мере, одна из этих дыр получила статус критически опасной. Microsoft пока не разглашает подробности относительно патчей, однако, по всей видимости, один из них призван решить проблему с особенностями реализации подсистемы Windows DNS Server. Об этой уязвимости, напомним, стало известно в прошлом месяце. Брешь присутствует в серверных версиях Windows и позволяет злоумышленники получить полный доступ к удаленному компьютеру. Для организации атаки нападающему необходимо направить жертве сформированный особым образом RPC-пакет (Remote Procedure Call).

Для офисных приложений корпорация Microsoft в текущем месяце выпустит не менее трех патчей. Установка некоторых из этих обновлений может потребовать перезагрузки компьютера. Кроме того, критически опасные дыры найдены в пакетах Microsoft Exchange и BizTalk.

Вместе с заплатками Microsoft планирует представить обновленную версию инструментария Windows Malicious Software Removal Tool, предназначенного для поиска наиболее распространенных вредоносных программ. Кроме того, Microsoft выпустит ряд обновлений, не связанных с безопасностью.

Загрузить апдейты пользователи смогут через службы Windows Update, Microsoft Update, встроенные в Windows средства автоматического обновления, а также через веб-сайт корпорации.

США устами госсекретаря заявили о поддержке Эстонии и выразили опасения действиями России.

Госсекретарь США Кондолиза Райс в телефонном разговоре с президентом Эстонии Тоомасом Хендриком Ильвесом заверила его в том, что США поддерживают Эстонию и выразила беспокойство действиями России. Как сообщила канцелярия президента Эстонии, Райс выразила удовлетворение тем, что обстановка в Таллине вновь спокойная и приветствовала недавнее заявление Ильвеса, в котором он призвал стороны к диалогу для решения возникших проблем.

Госсекретарь США также выразила надежду, что блокада эстонского посольства в Москве вскоре будет прекращена и Россия будет в дальнейшем следовать Венской конвенции. Комментируя кибератаки на сайты эстонских госучреждений, Райс отметила, что "такая форма давления на независимое государство неприемлема", сообщает канцелярия.

Верещагинский районный суд приговорил к штрафу в размере 5 тыс. руб. директора Сепычевской средней школы (Верещагинский район, Пермский край) Александра Поносова, обвинявшегося в использовании нелицензионного программного обеспечения.

После оглашения приговора А.Поносов заявил журналистам, что собирается обжаловать решение суда в вышестоящих инстанциях.

Обвинение в нарушении авторских прав было предъявлено А.Поносову 21 ноября 2006г. после проверки, проведенной Верещагинской прокуратурой в мае 2006г. Она выявила, что в компьютерах Сепычевской школы использовалось нелицензионное программное обеспечение. По версии следствия, действия А.Поносова нанесли компании Microsoft ущерб в размере 266 тыс. руб.

Сайт EMail Britain станет открытым архивом электронной переписки британцев. Для этого все желающие приглашаются пересылать свои и чужие письма... в новый сервис Microsoft.

Те, кто хочет выставить личные письма напоказ, должны выбрать категорию письма - здесь есть "любовь", "оскорбления", "новости", "юмор" и т.д. За два дня после запуска проект получил уже более 3.000 писем.

Британские СМИ в эти дни рассказывают, что архив электронной почты дополнит уже существующие в Национальной библиотеке ценные архивы, где есть письма Джейн Остин, Вирджинии Вульф, Бернарда Шоу, Оскара Уальда и многих других любителей писать.

Исследовательская компания Email Systems сообщает, что ее специалистами был зафиксирован принципиально новый метод рассылки спама. По данным Email Systems, спамеры начали использовать зашифрованные вложения к спамовым рассылкам с тем, что те миновали серверные антиспамовые фильтры.

Новая техника рассылки основывается на том, что многие антиспамовые программы не дешифруют вложения которые были полностью зашифрованы, либо защищены паролем. Эксперты говорят, что если в политиках безопасности явно не указать блокировку сообщений с зашифрованными вложениями, то фильтры в подавляющем большинстве случаев будут пропускать такие письма.

В Email Sytems сообщают, что за последние две недели был зафиксирован небольшой, но устойчивый поток шифрованного спама, содержащего трояна Storm, который впервые появился в интернете в январе текущего года.

По словам Грега Миллера, руководителя Email Systems, в среднем каждые полгода спамеры создают новые технологии обхода фильтров, причем некоторые из этих технологий оказываются довольно эффективными.

Для того, чтобы избежать засорения ящиков новым спамом эксперты советуют указать в правилах обработки электронных писем на антиспаме жесткую блокировку зашифрованных сообщений.