Информационный бюллетень Информационное

Вид материала

Информационный бюллетень

Содержание Американская налоговая служба не умеет хранить сведения о налогоплательщиках Американцы готовятся защищать AJAX-приложения от грядущих угроз

Подобный материал:

• Информационный бюллетень самара, 598.47kb.
• Информационный бюллетень Информационное, 1037.86kb.
• Информационный бюллетень 2011, 499.82kb.
• Информационный бюллетень 3 квартал 2011, 567.95kb.
• Информационный бюллетень анализ динамики наркоманий, хронического алкоголизма и алкогольных, 258.01kb.
• Информационный бюллетень №10, 2578.84kb.
• Информационный бюллетень ЕвраАзЭС. 2003. № Конституция Российской Федерации // Российская, 231.3kb.
• Информационный бюллетень за 2010 год, 445.94kb.
• Информационный бюллетень №8 декабрь 2008, 704.04kb.
• Развитие АПК: от идеи к практике информационный бюллетень 2011, 339.35kb.

Американская налоговая служба не умеет хранить сведения о налогоплательщиках

Игорь Громов  

Налоговая служба США (IRS) не предпринимает достаточных усилий для защиты информации о налогоплательщиках, хранящейся на переносных компьютерах и других мобильных устройствах. К такому выводу пришел генеральный инспектор по вопросам налогообложения Министерства финансов США. С 2003 по 2006 годы налоговая служба потеряла 490 переносных компьютеров с данными не менее чем 2300 налогоплательщиков, уточняет сайт DarkReading.com.

С утратой компьютеров связано 387 инцидентов, отмечает генеральный инспектор. Около 176 из них не связаны с потерей данных. «По остальным 211 случаям мы проанализировали отчеты с июня 2006 года и обнаружили 126 признаков того, что в потерянных компьютерах находились данные о 2359 гражданах. Мы не смогли установить, какие именно сведения были потеряны и кто конкретно из налогоплательщиков пострадал в оставшихся 85 случаях. Это произошло из-за недостатка информации в отчетах», – признает автор доклада.

Для того, чтобы понять, какого рода информация могла находиться в потерянных ПК, генеральный инспектор выборочно проверил 100 ноутбуков в налоговой службе. В ходе проверки он выяснял, не присутствуют ли на жестких дисках секретные сведения и не нарушаются ли при наличии таковых правила их хранения.

Организаторам исследования попалось 44 компьютера с незашифрованными секретными данными, в том числе о налогоплательщиках и сотрудниках IRS. Это позволило сделать вывод о том, что подобная информация находились и на потерянных или украденных устройствах. Кроме того, на 15 из 44 машин были обнаружены легко подбираемые или взламываемые пароли.

В настоящее время в IRS работает около 100 тысяч человек. «Сотрудники службы не выполняли процедуры шифрования потому, что либо не были ознакомлены с инструкциями по безопасности, либо не придерживались их по собственному убеждению, либо попросту не подозревали, что имеющиеся у них персональные данные могут представлять для кого-то интерес. Мы также обнаружили другие носители с незашифрованной информацией – флэш-карты, CD и DVD», – говорится в отчете.

В ходе исследования были выявлены и другие грубые нарушения в сфере информационной безопасности налоговой службы. В частности, стало очевидным крайне небрежное отношение к зарезервированным данным. Их не только не шифровали, но и давали посторонним лицам (в том числе сотрудникам, уволенным несколько месяцев назад) доступ к ним.

www.viruslist.com

10.04.07 14:12

Американцы готовятся защищать AJAX-приложения от грядущих угроз

Игорь Громов  

Большинство фреймворков (стандартов и готовых программных модулей), предназначенных для реализации интерактивного функционала в веб-приложениях, некорректно используют язык " onclick="return false">
Проблема, которую в Fortify Software назвали «взломом яваскрипта», возникает по причине того, что многие утилиты на базе популярного комплекса технологий AJAX используют скриптовый язык как транспортный механизм, не уделяя при этом должного внимания безопасности. Основная угроза при этом исходит от сайтов, применяющих так называемую подделку http-запросов (XSRF). С помощью подобных запросов владельцы вредоносных сайтов воруют данные из AJAX-приложений. Пока эта проблема актуальна для относительно небольшого числа сайтов, однако использование AJAX растет, а вместе с ним будет расти и число уязвимых систем, отмечает ведущий научный специалист Fortify Software Брайан Чесс (Brian Chess).

»Мы стараемся донести до разработчиков, что у них появился по крайней мере один повод для размышлений, которого не существовало ранее. Обычно специалисты по информационной безопасности появляются спустя длительное время после того, как что-то случается. Однако на этот раз у нас есть шанс решить проблему до ее реального возникновения», – заявил Чесс.

За последние два года " onclick="return false">
Если AJAX-атаки используют язык скриптов вполне понятным образом, то «взлом " onclick="return false">
«Взлом яваскрипта» реализует тенденцию, существующую в современных веб-приложениях, – сбор данных через скрипт-структуры. Например, сайты, в которых предусмотрен формат обмена данными " onclick="return false">
Уязвимы для взлома приложения, собирающие данные из одного или нескольких внешних источников и включающие в себя при этом функцию обратного вызова. Такая функция, как правило, используется для многократного повторения задачи. Кроме того, уязвимыми являются приложения Microsoft's ASP.NET Atlas, XAJAX, Google's Web Toolkit. Список можно дополнить еще целым рядом созданных веб-программистами фреймворков.

По мнению Fortify Software, представители которой обсудили сложившуюся ситуацию с ведущими разработчиками AJAX-фреймворков, существует два пути решения проблемы. Первый – научиться защищать сайты от подделки http-запросов. В этом случае одновременно будет найдена защита также от «взлома яваскрипта». Наилучшей реализацией данного способа экспертам американской компании представляется встраивание в каждый запрос хорошо замаскированных символов-маркеров. Вторым путем может стать внедрение в " onclick="return false">
www.viruslist.com


13.04.07 10:47