Новости Software за день

Свежая статистика от ФБР и Института Компьютерной Безопасности
Представляем вам результаты последнего исследования "2005 CSI/FBI Computer Crime and Security Survey". По сравнению с 2004 годом ситуацию можно охарактеризовать так: число атак возросло, а средний ущерб, следовательно, уменьшился. Среди остальных положений отчета выделим:

Увеличилось число инцидентов с web-сайтами. Особенно возросло число DOS-атак.

Размер среднего ущерба от бреши в ИТ-безопасности составил 204 тыс. долларов в 2004 году. Это на 61% меньше, чем в 2003 году, когда цифра достигла угрожающих размеров 526 тыс. долларов.

Лидером по причиняемому ущербу по-прежнему являются компьютерные вирусы. На их долю приходится 32% всех потерь или 42,8 млн. долларов.

На втором месте оказался неавторизованный доступ к данным: 24% всех потерь или 31,2 млн. долларов.

На третьем месте оказалась кража конфиденциальных данных: 30,9 млн. долларов, что также очень близко ко второму месту. Здесь следует обратить внимание на возросший средний ущерб данных инцидентов: он увеличился на 111% и составил 355,5 тыс. долларов.



Аналитики озабочены увеличением числа инцидентов с web-сайтами. Дело в том, что 95% респондентов испытали более 10 инцидентов с web-сайтами за прошедший год. Всего лишь 2% сообщили, что инцидентов было от 1 до 5. По сравнению с пошлым годом: 5% испытали более 10 инцидентов, а 89% от 1 до 5. Как видно, все перевернулось с ног на голову. Некоторые эксперты считают, что изменение статистики можно отнести к самому термину "инцидент с web-сайтом". У термина нет четкого определения, поэтому респонденты могли причислить к этой категории что-нибудь свое. Однако не понятно, почему терминологические проблемы не сказывались в предыдущие годы...

Сами составители отчета отмечают, что наибольшую озабоченность у них вызывают именно проблемы связанные с внутренней ИТ-безопасностью, так как кража конфиденциальных данных становится все более серьезной и насущной проблемой.
Автор: Алексей Доля Дата: 21.07.2005 03:08
Продукты ABBYY обрабатывают тесты по всему миру
Во-первых, уже 5 лет обработка результатов ЕГЭ (единого государственного экзамена) в России ведётся при помощи системы ABBYY TestReader. Во-вторых, технологии ABBYY также будут использованы для обработки большинства экзаменационных бланков в высших и средних учебных заведениях США.

Как сообщает ABBYY, обработка ЕГЭ в РФ является одним из крупнейших в мире проектов по обработке результатов экзаменов. В общей сложности в рамках ЕГЭ-2005 было обработано 1 миллион 628 тысяч работ, причём каждая работа содержит несколько страниц. За 20 дней при помощи системы TestReader удалось обработано более 5 миллионов бумажных бланков, причём 80% из них - в течение 10 дней. Как отмечают эксперты, технические средства типа ABBYY TestReader позволяют обеспечить "чистоту" проверки и защиту от злоупотреблений.

Однако, согласитесь, всех этих успехов было бы мало для целой новости, так как очевидно, что в России конкурентов у ABBYY нет. Поэтому особое внимание привлекли успехи компании на западе. Помимо Манильского университета (Manila State University Pamantasan ng Lungsod ng Maynila (PLM), ряда вузов Индии (и некоторых других образовательных учреждений по всему миру, которые используют технологии ABBYY), компании удалось пробиться на рынок США. В частности ABBYY заключила партнёрское соглашение с американской компанией Scantron, которая сейчас обрабатывает подавляющее большинство экзаменов в США. Теперь результаты 90% экзаменов и тестирований, проводимых в Северной Америке, также будут обрабатываться с использованием технологий ABBYY. Интеграция технологии ABBYY в существующую систему Scantron существенно расширила её функциональность. Если раньше продукт компании Scantron мог считывать только так называемые "checkmarks" (метки), то теперь он сможет обрабатывать и текстовые ответы учащихся...
Автор: Алексей Доля Дата: 21.07.2005 03:12
News Corp. покупает Intermix Media за 580 млн. долларов
News Corp. собирается купить Intermix Media за примерно 580 миллионов долларов. Сделка должна быть завершена в четвертом квартале этого года. Приобретение позволит News Corp. удвоить свой web-трафик и заполучить 45 миллионов уникальных пользователей в месяц.

Самым известным проектом Intermix является, вероятно, ресурс MySpace.com. Это общественный web-сайт, занимающий пятое место в хит-параде наиболее посещаемых ресурсов (согласно сведениям comScore Media Metrix). На сайте представлены профили пользователей, блоги, система обмена мгновенными сообщениями, электронная почта, музыка для скачивания, галереи фотографий, информация о событиях, чаты, форумы и т.д.

Что же до самой компании Intermix, то в прошлом месяце она заплатила 7,5 миллионов долларов, чтобы уладить судебную тяжбу со штатом Нью-Йорк. Компанию обвиняли в том, что она незаметно для пользователей устанавливает им на компьютеры шпионские программы. Можно утверждать, что в обвинениях была доля истины.

Компания News Corp. также сообщила, что ей удалось достичь соглашения с самым большим держателем активов Intermix - компанией VantagePoint Venture Partners, которая продаст часть этих активов. В свою очередь, Intermix собирается выкупить оставшиеся 47% акций (остальные 53% у нее есть) ресурса MySpace.com. Учитывая это, у Intermix имеется сеть из более 30 web-сайтов. Это самая большая развлекательная сеть по покрываемым категориям, насчитывающая 27 миллионов уникальных пользователей в месяц.

Сеть Intermix станет частью Fox Interactive Media, нового подразделения, которое собирается организовать News Corp. Туда войдут такие подразделения, как foxsports.com, foxnews.com и fox.com, а также web-сайты телевизионных станций, находящихся в собственности Fox.
Автор: Алексей Доля Дата: 21.07.2005 03:20
Мобильные технологии на службе полиции
Правоохранительные органы США уже давно используют ноутбуки, чтобы быстро и отовсюду получать доступ к базе данных преступников и преступлений. Теперь полиция пошла еще дальше, ведь офицерам необходима информация даже тогда, когда они патрулируют пешком или на велосипеде, а ноутбук с собой не потащишь. Выход подсказали компании Cingular и BIO-key International, которые планируют заработать на своей новой услуге - представители власти смогут проверить не украдена ли машина, зарегистрировано ли оружие и т.д. через карманные компьютеры RIM Blackberry или Pocket PC. Вдобавок, полицейские смогут обмениваться с диспетчером текстовыми сообщениями или e-mail.

Сейчас предлагаемый сервис используется полицией Вашингтона, некоторыми службами безопасности, а также шерифами в Оклахоме. Налогоплательщикам это обходится по 44,99 доллара в месяц на одного полицейского, пользующего сервисом. Не ясно, правда, входит ли туда стоимость самого карманного устройства. Вероятно, нет.

Для работы нового сервиса используется национальная беспроводная сеть компании Cingular и программное обеспечение BIO-Key PocketCOP. Компании уделили особое внимание безопасности: шифрование каналов связи, идентификаторы пользователей, пароли, аутентификация устройства, аудит запросов. Следует отметить, что Cingular является самым большим беспроводным оператором Америки, так что перспективы у нового сервиса неплохие.
Автор: Алексей Доля Дата: 21.07.2005 03:25
У правительственных агентств США проблемы с ИТ-безопасностью
Тот факт, что крупные правительственные организации имеют проблемы с ИТ-безопасностью, никогда не был секретом. Однако в данном случае речь идет о совместимости с некоторыми отраслевыми стандартами. Другими словами, государство создало несколько таких стандартов, специальные правительственные агентства штрафуют всех подряд, кто не удосужился выполнить требования актов, а сами государственные организации, которые, казалось бы, должны быть примером для подражания, удовлетворить стандартам в полной мере не могут. Справедливости ради отмечу, что стандарты сами по себе неплохие (а кое-где даже отличные), видимо, корень проблемы в том, что ответственные лица несерьезно отнеслись к задаче обеспечения совместимости с требованиями стандартов или просто поленились.

Критику в адрес правительственных агентств США выразила организация GAO (General Accountability Office), которая проводит внешний аудит государственных учреждений. GAO заявила, что подавляющее большинство агентств хотя и улучшило меры ИТ-безопасности (по сравнению с аудитом прошлого года), всё равно еще имеет достаточно серьезные слабости, которые угрожают целостности, конфиденциальности и доступности информации. Вдобавок к этим не совсем конкретным словам GAO сообщила, что слабости многих агентств позволяют осуществить несанкционированный доступ к финансовым данным (а, следовательно, их уничтожение), а также противоправное использование конфиденциальных данных служащими агентств. Также критические операции могут быть остановлены в результате чьей-то злонамеренной активности. С точки зрения стандартов, это означает, что правительственные агентства не смогли удовлетворить требованиям акта FISMA, который был принят в 2002 году. Сам акт FISMA (Federal Information Security Management Act) призван снизить риски ИТ-безопасности.

GAO провела аудит 24 агентств и отыскала пять типовых слабостей: контроль доступа, контроль изменения программного обеспечения, выделение обязанностей, непрерывность планирования операций и программы безопасности в масштабе целого агентства.

Интересно отметить, что Министерства Обороны, Собственной Безопасности, Юстиции, Транспорта, Торговли и Внутренних Дел имеют слабости всех пяти типов. Между тем, FISMA обязывает все каждое агентство иметь политики и процедуры, которые позволят убедиться в совместимости с требованиями к минимально допустимым системным настройкам.

Хотя за прошедший отчетный период (2004 год) правительственные агентства впервые заявили о том, что они создали масштабную политику ИТ-безопасности, GAO смогла установить, что двадцать агентств не смогли удовлетворить требованиям по минимально допустимым настройкам операционных систем и приложений.

Некоторые эксперты совершенно справедливо предположили, что ответственным органам необходимо выдать дополнительные разъяснения (в виде руководства, комментариев к стандарту и т.д.), которые позволят уточнить требования FISMA и, следовательно, упростить выполнение его положений. Вероятно, в ближайшее время такие сопровождающие материалы все-таки появятся. При этом стоит учитывать, что коммерческим организациям зачастую тоже приходится проходить аудит на соответствие похожим стандартам; сделать это не легче, чем удовлетворить требованиям FISMA. Так что проверяющие органы должны вести себя мудро: стандартизация (особенно отраслевая) в сфере ИТ-безопасности и аудита - еще очень молодой процесс. Возможно, требуется доработать регламентирующие документы, если даже у правительственных агентств возникли трудности с аудитом...
Автор: Алексей Доля Дата: 21.07.2005 04:22