Microsoft требует держать дыры в секрете

Безопасность и защита информации Microsoft требует держать дыры в секрете
На прошлой неделе компания Microsoft в очередной раз выступила с предложением ограничить распространение информации о дырах в программном обеспечении. Новое предложение прозвучало на конференции Trusted Computing Forum 2001, который проходил в Калифорнии под патронажем Microsoft.
Корпорация называла "информационной анархией" бесконтрольное распространение данных, которые могут быть использованы для нанесения ущерба. Когда "умельцы-энтузиасты" находят способ разломать тот или иной продукт, они тут же спешат громко оповестить общественность о найденной дыре. Для демонстрации своего "мастерства" они выкладывают подробные инструкции или программы для взлома или нештатного использования продукта. Безопасность пользователей при этом волнует их меньше всего, считает Microsoft.
Средства массовой информации также способствуют данному процессу. Все это приводит к тому, что дырой успевают попользоваться все, кому не лень, прежде чем компания успеет выпустить заплатку.
Предложения Microsoft состоят в том, чтобы продавцы ПО воздерживались от распространения информации о баге в течение 30 дней с момента его обнаружения. За это время должна быть изготовлена и проверена заплатка. Microsoft призвала всех разработчиков присоединиться к данной инициативе.
Инициатива действительно нашла понимание среди ряда фирм компьютерной безопасности, таких как @Stake, BindView, ISS, Foundstone и Guardent.
Однако некоторые компании и организации осудили любое сдерживание информации о дырах. Специалисты по безопасности отмечают, что Microsoft сама не слишком расторопна в исправлении дефектов. А если пользователи вовремя не оповещены об опасности, они становятся более уязвимыми для хакеров. Особенно это актуально, если угроза вполне реальна, как это бывает, когда червь или вирус уже начал распространяться среди пользователей.
Противники подхода Microsoft полагают, что в таких случаях полное раскрытие информации о дырах несет гораздо больше пользы, чем вреда.
12.11.2001

Очередная дыра в браузере Internet Explorer — хакер может украсть ваши cookie-файлы
В браузере Internet Explorer версий 5.5 и 6.0 обнаружена очередная дыра, через которую хакер может украсть или изменить информацию из cookie-файлов, хранящихся на жестком диске компьютера пользователя. Cookie — это файл, записываемый Web-сервером Internet-сайта на компьютер пользователя, и этот файл идентифицирует этого пользователя при его повторном заходе на тот же сайт. В принципе, в этом cookie-файле может содержаться совсем безобидная информация, но, например, онлайновые магазины после совершения покупки записывают в cookie-файл номер кредитной карточки клиента и другие его персональные данные, кража которых весьма опасна.
Microsoft присвоила этой дыре высшую категорию опасности, но заплатку для нее пока не выпустила и пока только предупредила пользователей о необходимости дезактивировать в своих браузерах активные скрипты. Правда, в бедах, которые может принести эта дыра, Microsoft считает виноватой не только себя, но и владельцев Web-сайтов, которые записывают критически важную информацию в cookie-файлы. По большому счету, делать это неприлично. Подобную практику не извиняет никакое стремление упростить пользователям жизнь: считается удобным, что клиенту придется только один раз ввести персональную информацию, а при повторных покупках на этом же сайте он не будет тратить время на ввод номера своей кредитной карточки и т.п. Скорее всего, пользователь согласится потратить на это несколько минут лишнего времени, чем рискнет быть обокраденным.
Вызывает некоторые вопросы и поведение людей, сообщивших Microsoft об упомянутой дыре. Это были специалисты из финской компании Online Solution, специализирующейся на защите информации. Письмо с уведомлением о дыре они отправили в Microsoft 1 ноября и поначалу согласились поработать вместе с Microsoft над созданием заплатки. Однако через пару дней они решили, что публикация информации о дыре будет для них отличным маркетинговым ходом, что они и сделали, не дожидаясь, пока будет разработана заплатка.
13.11.2001

Пентагон готовится к кибервойне, но не с талибами
Газета Washington Post в четверг рассказала о планах Министерства обороны США по разрушению компьютерных систем стран, дающих приют террористам. Тактика кибервойн разрабатывается объединенной оперативной группой, созданной в 1999 году Командованием космических сил в Колорадо.
Разрабатываются специальные средства наведения электронного хаоса в странах-изгоях. Кибератаки и заражение компьютерных систем противника должны, в частности, окончательно вывести из строя его систему противовоздушной обороны и дезорганизовать транспортную сеть. Генерал армии Генри Шелтон, предыдущий председатель объединенного комитета начальников штабов, подтвердил, что во время 78-дневной косовской бомбардировочной операции НАТО в 1999 году применялись электронные атаки на компьютерные сети Сербии. "Мы лишь в незначительной степени использовали наши возможности", — отметил генерал Шелтон.
Одновременно Пентагон развивает и методы защиты глобальных сетей от кибератак. Координатор Совета государственной безопасности при президенте США Ричард Кларк еще летом предостерег, что некоторые враждебные страны прощупывают американские компьютерные сети, чтобы придумать, как вывести их из строя в случае войны. Эффективность или даже возможность кибератак против талибов американские военные считают сомнительными. Компьютерная инфраструктура Афганистана, мягко говоря, далека от развитых стран.
В свое время ООН безуспешно пыталась оказать помощь стране в решении проблемы Y2K. Однако никакой заинтересованности среди афганцев не встретила. Сейчас представитель Космического командования США сообщил, что признаков каких-либо кибератак со стороны талибов обнаружено не было. Тем не менее, в пропагандистской войне киберпространство террористами используется. Некоторые хакерские поползновения политического характера с DoS-атаками и дефейсами также позволяют говорить о том, что террористы активно приглядываются к серьезному применению кибероружия.
14.11.2001

Европарламент одобрил запрещение cookies
Во вторник Европарламент одобрил законопроект, направленный на запрещение использования cookies. Однако предположение о том, что парламентарии Евросоюза решили полностью запретить использование cookies, не совсем соответствует действительности.
Как сообщает Reuters, Европарламент предложил государствам-членам Евросоюза законодательно подтвердить запрещение использования cookies без предварительного уведомления и однозначного утвердительного ответа от пользователя. При этом запрос должен будет направляться пользователю при каждом заходе на сайт.
В ответ на представленный в Европарламент законопроект еще в конце октября британское Бюро интерактивной рекламы (Interactive Advertising Bureau U.K.) даже начало акцию протеста под названием "Спасите наше печенье" (Save our Cookies). Бюро предположило, что вследствие полного запрещения "cookies" британские предприятия могут потерять до 271.8 миллиона долларов.
Напомним, что в любом браузере есть функция отключения cookies, которую пользователь может задействовать самостоятельно, оградив себя таким образом от всех потенциальных неприятностей.
Однако Европарламент посчитал, что такой функции, скрытой от глаз неопытного пользователя, недостаточно для предотвращения нарушений прав клиента на тайну личной информации.
Помимо запрещения cookies, в законопроекте также присутствовал пункт о запрещении спама, этот пункт был европарламентариями отклонен. Европарламент предоставил государствам-членам самим решать, каким именно образом они будут бороться со спамом.
В тот же день Европарламент рассмотрел и принял закон о борьбе с терроризмом. В законе указывается на необходимость увеличения срока хранения данных о клиентах интернет-провайдеров и телефонных компаний с тем, чтобы по первому требованию эти данные могли быть переданы полиции. До настоящего момента данные должны были храниться не больше, чем этого требовала система оплаты счетов провайдеров и телефонных компаний.
14.11.2001

ICANN боится, что хакеры вырубят весь Интернет
С 13 по 15 ноября в калифорнийском городе Марина дель Рей ICANN проводит специальную рабочую встречу на тему "Безопасность и стабильность системы доменных имен Интернета".
После терактов 11 сентября ICANN отложила все другие вопросы, чтобы сконцентрироваться на проблемах сетевой безопасности. Масло в огонь подлили черви Code Red и Nimda.
На встрече во вторник специалисты отметили высокую уязвимость для хакерских атак всей структуры Интернета. Злоумышленники вполне способны атаковать цепочку 13 корневых серверов DNS и 10 серверов поддержки доменов верхнего уровня. Это приведет к разрушительным последствиям для Интернета в целом.
Серьезную угрозу представляет также уязвимость баз данных доменных регистраторов, которые были отмечены как самое слабое звено в системе безопасности Сети. Получив доступ в эти базы и изменяя в них данные, хакеры могут просто воровать домены или вносить хаос в регистрационные записи, вызывая конфликты в вопросах собственности на доменные имена.
Изобретатель системы доменных имен Интернета (DNS) Пол Мокапетрис отметил, что до сих пор не найдено хороших средств для предотвращения хакерских атак, приводящих к переадресовке трафика на подставные сайты, например при подмене адреса DNS ("дефейсы"), и перенаправлению почты на посторонние адреса.
В то же время распределенные DoS-атаки обычно направлены на какой-либо отдельный сервер и не особо влияют на общий трафик глобальной Сети, считают эксперты.
Несмотря на то, что Интернет создавался на случай войны как "непотопляемая" коммуникационная среда, специалисты пока считают его весьма хрупкой структурой. Пол Викси, президент и основатель Internet Software Consortium (ISC), а также разработчик программы BIND, преобразующей доменные имена в цифровые IP-адреса, заявил по этому поводу: "Какой-нибудь злой подросток с компьютером за 300 долларов может легко устроить большие проблемы кому угодно в Сети и остаться непойманым. Мы подошли к тому, чтобы сфокусировать на этом внимание".
14.11.2001

За чтение чужой почты в Аргентине будут сажать
В этом месяце Секретариат по коммуникациям Аргентины представил в Конгресс Аргентины два законопроекта, касающихся Интернета. В случае, если они будут приняты, незаконное чтение чужой электронной почты сможет повлечь за собой от 15 дней до 6 месяцев тюремного заключения, а анонимная рассылка спама — штраф в 25.000 долларов.
Первый из законопроектов предоставит электронной почте тот же статус неприкосновенности, каким обладает обычная почта по конституции Аргентины. Обычная почта не может быть открыта без специального ордера никем, кроме ее владельца. Наказанием за незаконное чтение электронной почты, так же как и бумажной, послужит тюрьма. За публикацию чужих писем придется платить штраф в размере 90.000 долларов.
Как сообщает Wired, закон был хорошо воспринят интернет-общественностью, за исключением некоторых владельцев компаний, которые испытывали нездоровый интерес к личной переписке своих служащих.
Директор аргентинской Ассоциации адвокатов, специализирующихся на высоких технологиях, (AADSI), Гонзало Луссарди так прокомментировал этот вопрос:
"Электронная почта является инструментом, который предоставляется служащим их нанимателями, — и следовательно, наниматели вправе использовать его на свое усмотрение. Такая же позиция поддерживается американским и британским правительствами. Другая точка зрения по этому вопросу, существующая в Европе и поддерживаемая нами, — это гарантия конфиденциальности частной переписки. Никто, включая работодателей, не имеет права на ее чтение без соответствующего судебного ордера. Если некто использует свою электронную почту для нанесения ущерба фирме, он должен быть наказан, но по факту. До прецедента наблюдение должно быть запрещено".
Другой законопроект, представленный две недели назад, касается спама. Любители рекламной рассылки через электронную почту должны будут сообщать о предмете рассылки (в данном случае — о рекламе) в поле subject, сообщать свое настоящее имя, а также оставлять адрес, по которому получатель сможет отказаться от подобной рассылки в будущем.
Игнорирование этих требований может привести к выплате 25.000 долларов адресату и интернет-провайдеру. Если провайдер обнаружит спам, он будет вправе блокировать пользовательский аккаунт отправителя.
15.11.2001

Подготовил Евгений Сечко, safeman@mail.ru

(c) компьютерная газета


Компьютерная газета. Статья была опубликована в номере 44 за 2001 год в рубрике безопасность :: разное

©1997-2024 Компьютерная газета