Брюс Шнайер на сайте Wired опубликовал свежие данные о том, какие пароли чаще всего используют интернет-пользователи. Исследование было проведено силами мошенников-фишеров, которые создали поддельную страницу сайта MySpace, куда доверчивые пользователи сервиса вбивали свои данные.

Двадцатка самых популярных выглядит следующим образом:

- password1- abc123- myspace1- password- blink182- qwerty1- fuckyou- 123abc- baseball1- football1- 123456- soccer- monkey1- liverpool1- princess1- jordan23- slipknot1- superman1- iloveyou1- monkey

Надо отметить, что раньше самым популярным паролем было слово «password». Как видим, прогресс налицо. Пользователи начинают прислушиваться к рекомендациям специалистов по безопасности (совет сочетать в пароле буквы и цифры), но этот процесс идет медленно. В целом, ситуация остается очень печальной.

Программа: Linux Kernel 2.6.x

Опасность: Средняя

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании системы.

1. Уязвимость существует из-за ошибки в функции "nlmclnt_mark_reclaim()" в файле clntlock.c в NFS lockd. Удаленный пользователь может аварийно завершить работу системы.

2. Уязвимость существует в реализации механизма переключения задач при корректном восстановлении и сохранении EFLAGS. Локальный пользователь может с помощью специально сформированного приложения вызвать отказ в обслуживании системы.

3. Уязвимость существует из-за ошибки при обработке блокировок в функциях "sys_get_robust_list()" и "sys_set_robust_list()" для платформ SPARC и PowerPC. Локальный пользователь может потребить все доступные ресурсы на системе и создать неостанавливаемые процессы.

4. Уязвимость существует из-за ошибки при обработке исключений на платформах SPARC и PowerPC. Локальный пользователь может вызвать отказ в обслуживании системы.

5. Уязвимость существует из-за ошибки в реализации файловой системы squashfs. Локальный пользователь может смонтировать специально сформированный squashfs образ и произвести операцию чтения. Удачная эксплуатация уязвимости позволит злоумышленнику вызвать отказ в обслуживании системы.

6. При включенных некоторых UNIX расширениях определенные опции монтирования smbfs игнорируются, и клиент монтирует общие папки с опциями uid, gid и mode с сервера.

URL производителя: www.kernel.org

Программа: ProFTPD версии до 1.3.1rc1.

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки проверки границ данных в функции "pr_ctrls_recv_request()" в файле src/ctrls.c. Удаленный пользователь может послать приложению специально сформированной сообщение, вызвать переполнение буфера и выполнить произвольный код на целевой системе. Для успешной эксплуатации уязвимости должен использоваться модуль mod_ctrl и атакующий должен иметь доступ к этому модулю.

URL производителя: www.proftpd.org

Решение: Установите последнюю версию (1.3.1rc1) с сайта производителя.

Хотя уровень электромагнитного излучения беспроводных передатчиков ниже официальных квот, разговоры об опасности Wi-Fi для здоровья не только не прекращаются, но и собирают вокруг себя сторонников, выступающих за ограничение использования технологии. Основным спекуляционным аргументом стало здоровье детей.

Как сообщает Times Online, в сентябре 30 ученых подписали международную резолюцию, призывающую сделать "полное и независимое обозрение научных доказательств опасного воздействия существующего электромагнитного поля по всему миру". Аналогичные инициативы возникают и на локальном уровне - Ирландская природоохранная ассоциация медиков обратилась с таким же предложением к государственным властям.

По словам представителя британской лоббистской группы Powerwatch Аласдэра Филипса, специальных исследований, посвященных рискам Wi-Fi для здоровья, не проводилось, тем не менее многие люди совершенно в них уверены. Во ряде британских школ по требованию паникующих родителей были демонтированы беспроводные сети; в Австрии департамент здравоохранения Зальцбурга рекомендовал не использовать wLAN и сотовую связь в школах и детских садах; проректор канадского университета Lakehead, где избавились от Wi-Fi, связывает воздействие излучения с поведенческими и физиологическими изменениями у студентов.

По словам специалистов, убежденных в опасности технологии, особенному риску подвергаются дети, поскольку у них более тонкая черепная кость, а нервная система находится в стадии формирования, и в будущем, за счет развития беспроводных технологий воздействие излучения будет только возрастать. Что касается исследований, доказавших безопасность мобильных телефонов в смысле соответствия установленным стандартам, по мнению Филипса, эти стандарты касаются краткосрочного облучения, но постоянно подверженный воздействию слабых электромагнитных колебаний организм, конечно, меняется. Он приводит в пример наблюдения латвийских ученых, отметивших у тысячи детей, подвергавшихся излучению уровня wLAN-передатчиков, снижение моторных функций, памяти и внимания.

По мнению Майкла Кларка из британской Ассоциации по защите здоровья (HPA), опасения по поводу Wi-Fi, аргументированные отчетами о вреде мобильных телефонов, безосновательны. Он ссылается на международные исследования, согласно которым излучение от Wi-Fi составляет около 0,00002 от установленного в мире максимума, тогда как пользующийся мобильным телефоном ребенок получает до половины от допустимого уровня.

В общем, экперты сходятся на том, что электромагнитные волны несомненно воздействуют на здоровье людей, но на всех по-разному, а уровень опасной дозы - понятие относительное. К примеру, в Швеции насчитали 5% чувствительных к излучению жителей, а столице государства многие используют в домах специальные защитные экраны. Опять же, причины недомоганий, усиливающихся при воздействии электромагнитных волн, им не ограничиваются. В довершение всего, научное сообщество не без помощи журналистов сеющее панику среди родителей и мнительных интернет-пользователей, напоминает, что обсуждать вред от излучения рано, поскольку нынешняя технологичная среда существует и наблюдается недостаточно долго для научной состоятельности подобных выводов.

Stefan Esser, занимавшийся выявлением проблем связанных с безопасностью, заявил об уходе из PHP security team, заявив, что потерял веру в возможность решения проблем безопасности PHP изнутри.

Действительно, проблемы безопасности в PHP исправляются очень долго (в текущем дереве CVS находятся исправление проблем безопасности, которых пользователи ждут уже 6 месяцев), на них не обращается первоочередного внимания. Проблемы поднимаемые Stefan Esser просто игнорировали в PHP security team. Часто исправление ошибки приводило за собой появление новых ошибок.

Примечательно, что Stefan не прекращает исследование проблем PHP, он лишь меняет принцип работы, раньше он сразу сообщал об ошибках разработчикам и ждал пока ошибку исправят, прежде чем публично опубликовать информацию. Теперь же он будет публиковать результаты своих исследований не взирая на наличие исправлений в PHP.