Корейцы предложили взломать сервер за двое суток и 100 тыс. дол.
Безопасность и защита информации Корейцы предложили взломать сервер за двое суток и 100 тыс. дол.
16 апреля в 11 утра по стандартному корейскому времени начался конкурс по взлому сервера корейской компании Korea Digital Works (KDWorks). Упомянутая компания объявила, что первый, кто в течение 48 часов с начала соревнования взломает ее сервер, получит приз в 100 тыс. дол. Таким способом KDWorks намерена продемонстрировать непробиваемость своего решения World OK Security (WOKS).
Для этого потенциальным хакерам нужно было зарегистрироваться на специальном Web-сайте, созданном KDWorks, с указанием имени, адреса электронной почты и идентификационного номера (номера паспорта или национального страхового свидетельства), чтобы организаторы могли потом проверить личность победителя.
Технические данные системы, предложенной для взлома, были опубликованы за два часа до начала соревнования. Взломщикам нужно за двое суток успеть проникнуть на сервер, защищенный системой WOKS, и отредактировать на нем главную страницу, указав на ней свой идентификационный номер. Выводить сервер из строя нельзя, мешать своими действиями другим участникам тоже нельзя, также, как и устраивать искусственную перегрузку системы.
Если победителя, выполнившего все условия конкурса, так и не окажется, то жюри может своим решением выдать 5 призов по 10 тыс. дол. тем участникам, которые продемонстрируют наилучшую методологию взлома. 16.04.2002
World Wide Web утвердил новый стандарт защиты приватности
Консорциум World Wide Web (W3C) утвердил окончательную редакцию нового стандарта защиты приватности пользователей веб-сайтов Platform for Privacy Preferences (P3P), получившую индекс 1.0. Новый стандарт основан на технологии XML и предоставляет пользователям возможность достаточно гибко управлять тем, как тот или иной сайт использует их персональные данные.
На самом базовом уровне P3P представляет собой набор вопросов, допускающих несколько вариантов ответа и касающихся способов использования сервером информации о посетителях. Набор ответов на эти вопросы записывается в стандартном формате и представляет собой описание политики защиты пользовательской информации, считываемое браузером при подключении к сайту. Затем политика сайта сравнивается с установками безопасности на клиентском компьютере и, если при этом обнаруживаются различия, то пользователь может самостоятельно разрешить или запретить те или иные действия в отношении его персональных данных.
В настоящее время P3P используется на достаточно большом числе сайтов, среди которых MSN, MSNBC, About.com, Ananova и другие. 17.04.2002
Хакеры являются серьезной проблемой рынка e-commerce Великобритании
44% коммерческих компаний Великобритании в 2001 г. хотя бы раз столкнулись с проблемами в области компьютерной и сетевой безопасности, сообщает ВВС со ссылкой на Департамент по делам торговли и промышленности. При этом в 2000 г. аналогичный показатель был зафиксирован на гораздо более низком уровне, составив 24%. Себестоимость ликвидации последствий одной атаки, в среднем составляет для компаний 30 000 фунтов стерлингов ($43 000).
При этом крупные британские корпорации подвергаются сетевым атакам значительно чаще, чем малые или средние предприятия. Так, жертвами хакерских взломов в минувшем году стали 78% крупных компаний. Тем не менее, корпоративные бюджеты, выделяемые на решение проблем безопасности, как сообщается в отчете Департамента, по-прежнему крайне малы. Согласно данным исследования, свыше 1% бюджетных средств на обеспечение сетевой безопасности тратят только 27% коммерческих компаний. 17.04.2002
Суд над Элкомсофт не за горами
6 мая будет объявлена дата суда над российской компанией Элкомсофт. Это первый случай применения на практике DMCA (Digital Millenium Copyright Act). Федеральный судья объявил о проведении слушания, во время которого будет назначена дата судебного процесса над российской компанией Элкомсофт. Это первое судебное разбирательство, связанное с нарушением широко известного Закона об авторских правах в цифровом тысячелетии.
Данное разбирательство впервые оказалось в центре внимания после того, как сотрудник Элкомсофт Дмитрий Скляров был арестован во время своей поездки в США.. Позже обвинения против Склярова были сняты в обмен на его согласие давать показания в суде. Во время вчерашнего слушания прокурор Рональд Уайт пообещал предпринять ответные шаги против попыток защиты закрыть дело. Адвокаты Элкомсофт возражают, что DMCA нарушает право свободы речи, гарантируемое конституцией США. 17.04.2002
Японский суд признал анонимные сообщения в Сети объектами авторских прав
Согласно решению окружного суда Токио, все публикуемые в Интернете сообщения, в том числе под выдуманными именами, подпадают под действие закона о защите авторских прав. Данное решение было принято после того, как был подан коллективный иск от лица 11 граждан Японии, в котором они обвинили токийское издательство Kobunsha Publishing в публикации их отзывов из гостевой книги отеля Hotel Junkies без их разрешения. Окружной суд Токио постановил прекратить публикацию данных отзывов, а также выплатить авторам компенсацию в размере 1.2 млн. йен ($6,300) за уже опубликованные копии их отзывов.
Газета "Japan Times" сообщает, что решение о защите авторских прав при анонимных публикациях в интернете является беспрецедентным. 17.04.2002
McAfee представила комплексный пакет McAfee Internet Security 4.01
Корпорация McAfee представила новый комплексный пакет — McAfee Internet Security 4.01, сочетающий функции антивирусной программы, файрвола и контент-фильтра. Новый релиз данного пакета отличается, прежде всего, совместимостью с Windows XP и новым дизайном интерфейса, также выполненном в стилистике WinXP. Таким образом, McAfee удалось решить проблему, существенно препятствовавшую эффективной работе пользователей, выбравших WinXP. Дело в том, что под новой операционной системой от Microsoft большинство старых антивирусных программ и файрволов работали некорректно. Именно поэтому сейчас все производители спешат обновить свои пакеты для обеспечения совместимости: главный конкурент McAfee — корпорация Symantec — также выпустила новую версию своего пакета Norton Internet Security 2002.
В состав нового пакета McAfee входит антивирусный сканер Virusscan 6.0, способный отслеживать подозрительную активность на компьютере, обнаруживать файлы с двойными расширениями, блокировать отсылку писем по более чем 40 адресам, а также контролировать наличие вирусов при синхронизации карманных компьютеров (PDA).
Наибольшие изменения интерфейса претерпел McAfee Firewall, который до этого выглядел достаточно архаично, напоминая пользователям об эпохе Windows 3.1. Программа стала достаточно удобной в работе и настройке и позволяет, как и все подобные программы, контролировать все входящие и исходящие пакеты при пользовании Сетью.
Единственная новинка в пакете на уровне модуля — контент-фильтры, которые позволяют родителям контролировать и ограничивать интернет-активность своих чад. Программа анализирует все сообщения, посланные или пришедшие на компьютер, на предмет наличия слов из запрещенного списка. При обнаружении такого сообщения программа создает log-файл, по которому родители смогут проверить, кем и когда было послано нежелательное сообщение. 17.04.2002
Неизвестными хакерами взломан портал CredCard
Как сообщила редакционная коллегия интернет-портала CredCard, сервер, на котором размещены все страницы и сервисы портала, подвергся хакерской атаке. Атака оказалась успешной: в результате взлома сфальсифицированы данные текущего опроса относительно безопасности использования кредитных карт.
Представители редакции особо подчеркивают, что поскольку портал является исключительно информационным изданием и не оказывает услуг в области электронной коммерции, посетители CredCard от действий хакеров пострадать не могли. Техническими службами CredCard уже определен способ взлома и, как сообщается, предпринимаются соответствующие меры. Однако восстановить адекватные данные опроса, скорее всего, администраторам не удастся и его придется удалить. 18.04.2002
Три новых дыры в MS Office
Программисты компании GreyMagic Software обнаружили три новых дыры в системе защиты Web-компонентов офисного пакета MS Office — Microsoft Office Web Components (OWC), которые позволяют изменять установки безопасности в браузере Internet Explorer. Все эти дыры находятся в компоненте электронных таблиц OWC.
Например, благодаря первой дыре можно включить в IE исполнение активных скриптов, тогда как сам пользователь мог раньше дезактивировать эту функцию. Вторая дыра позволяет взломщику контролировать содержимое буфера обмена компьютера пользователя, даже если в браузере Internet Explorer опция операции вставки через скрипт ("allow paste operations via script") отключена. То есть, посторонний человек может прочитать содержимое буфера обмена пользователя и вставить в него любые данные. Третья дыра позволяет читать локальные файлы на компьютере пользователя.
По сообщению программистов из GreyMagic, они уже уведомили Microsoft об этих дырах, и там теперь их исследуют. А пока Microsoft не выпустила заплатки для заделки этих дыр, пользователю рекомендуется отключить в браузере Internet Explorer опцию загрузки и запуска элементов ActiveX и модулей plug-in. А сайт The Register предлагает решить проблему более радикально — перейти на браузер Mozilla, который можно бесплатно скопировать на сайте Mozilla.org. 18.04.2002
Русский хакер выдрал из KaZaA шпионский модуль
Пользователи файлообменной сети KaZaA получили возможность избавиться от шпионского модуля, внедренного в клиентскую программу KaZaA Media Desktop. За это они должны благодарить некоего русского хакера, известного под именем Юрий, который создал облегченную версию этого популярного пирингового клиента KaZaA Lite.
Кроме вызвавшего наибольшее количество шума скрытого клиента распределенной сети Altnet компании Brilliant Digital, в KaZaA Lite отсутствуют прочие "нагрузочные" модули, вроде Bonzi Buddy или BDE Viewer и рекламные баннеры, а также снято ограничение на битрейт музыкальных файлов. По словам самого Юрия, которые приводятся на сайтах, посвященных, KaZaA Lite, ему очень нравится сеть KaZaA и он впечатлен ее возможностями. Однако пользователь клиентской программы должен знать о том, что устанавливается на его компьютер помимо файлообменного клиента и иметь возможность "отсечь все лишнее". Совершенно неприемлемо, по мнению хакера, и то, что после деинсталляции KaZaA все рекламно-шпионские программы остаются на своем месте и удалить их без специальных утилит очень сложно.
Вполне естественно, что компании Sharman Networks, владеющей KaZaA и активно сотрудничающей с уже упомянутой Brilliant Digital и другими подобными фирмами, появление KaZaA Lite большой радости не принесло. В частности, по сообщению Wired News, Sharman Networks направила протест администрации сайта Download. com, разместившему у себя KaZaA Lite, после чего эта программа была удалена с сервера. Напомним, что ранее с Download.com была удалена и полная версия клиента KaZaA по причине наличия в нем тех самых шпионских модулей. Однако на доступности облегченной версии KaZaA это сказалось не слишком сильно, и найти в интернете работающие ссылки на KaZaA Lite и рекомендации по установке программы не составляет никакого труда. 19.04.2002
Подготовил Евгений Сечко, safeman@mail.ru
16 апреля в 11 утра по стандартному корейскому времени начался конкурс по взлому сервера корейской компании Korea Digital Works (KDWorks). Упомянутая компания объявила, что первый, кто в течение 48 часов с начала соревнования взломает ее сервер, получит приз в 100 тыс. дол. Таким способом KDWorks намерена продемонстрировать непробиваемость своего решения World OK Security (WOKS).
Для этого потенциальным хакерам нужно было зарегистрироваться на специальном Web-сайте, созданном KDWorks, с указанием имени, адреса электронной почты и идентификационного номера (номера паспорта или национального страхового свидетельства), чтобы организаторы могли потом проверить личность победителя.
Технические данные системы, предложенной для взлома, были опубликованы за два часа до начала соревнования. Взломщикам нужно за двое суток успеть проникнуть на сервер, защищенный системой WOKS, и отредактировать на нем главную страницу, указав на ней свой идентификационный номер. Выводить сервер из строя нельзя, мешать своими действиями другим участникам тоже нельзя, также, как и устраивать искусственную перегрузку системы.
Если победителя, выполнившего все условия конкурса, так и не окажется, то жюри может своим решением выдать 5 призов по 10 тыс. дол. тем участникам, которые продемонстрируют наилучшую методологию взлома. 16.04.2002
World Wide Web утвердил новый стандарт защиты приватности
Консорциум World Wide Web (W3C) утвердил окончательную редакцию нового стандарта защиты приватности пользователей веб-сайтов Platform for Privacy Preferences (P3P), получившую индекс 1.0. Новый стандарт основан на технологии XML и предоставляет пользователям возможность достаточно гибко управлять тем, как тот или иной сайт использует их персональные данные.
На самом базовом уровне P3P представляет собой набор вопросов, допускающих несколько вариантов ответа и касающихся способов использования сервером информации о посетителях. Набор ответов на эти вопросы записывается в стандартном формате и представляет собой описание политики защиты пользовательской информации, считываемое браузером при подключении к сайту. Затем политика сайта сравнивается с установками безопасности на клиентском компьютере и, если при этом обнаруживаются различия, то пользователь может самостоятельно разрешить или запретить те или иные действия в отношении его персональных данных.
В настоящее время P3P используется на достаточно большом числе сайтов, среди которых MSN, MSNBC, About.com, Ananova и другие. 17.04.2002
Хакеры являются серьезной проблемой рынка e-commerce Великобритании
44% коммерческих компаний Великобритании в 2001 г. хотя бы раз столкнулись с проблемами в области компьютерной и сетевой безопасности, сообщает ВВС со ссылкой на Департамент по делам торговли и промышленности. При этом в 2000 г. аналогичный показатель был зафиксирован на гораздо более низком уровне, составив 24%. Себестоимость ликвидации последствий одной атаки, в среднем составляет для компаний 30 000 фунтов стерлингов ($43 000).
При этом крупные британские корпорации подвергаются сетевым атакам значительно чаще, чем малые или средние предприятия. Так, жертвами хакерских взломов в минувшем году стали 78% крупных компаний. Тем не менее, корпоративные бюджеты, выделяемые на решение проблем безопасности, как сообщается в отчете Департамента, по-прежнему крайне малы. Согласно данным исследования, свыше 1% бюджетных средств на обеспечение сетевой безопасности тратят только 27% коммерческих компаний. 17.04.2002
Суд над Элкомсофт не за горами
6 мая будет объявлена дата суда над российской компанией Элкомсофт. Это первый случай применения на практике DMCA (Digital Millenium Copyright Act). Федеральный судья объявил о проведении слушания, во время которого будет назначена дата судебного процесса над российской компанией Элкомсофт. Это первое судебное разбирательство, связанное с нарушением широко известного Закона об авторских правах в цифровом тысячелетии.
Данное разбирательство впервые оказалось в центре внимания после того, как сотрудник Элкомсофт Дмитрий Скляров был арестован во время своей поездки в США.. Позже обвинения против Склярова были сняты в обмен на его согласие давать показания в суде. Во время вчерашнего слушания прокурор Рональд Уайт пообещал предпринять ответные шаги против попыток защиты закрыть дело. Адвокаты Элкомсофт возражают, что DMCA нарушает право свободы речи, гарантируемое конституцией США. 17.04.2002
Японский суд признал анонимные сообщения в Сети объектами авторских прав
Согласно решению окружного суда Токио, все публикуемые в Интернете сообщения, в том числе под выдуманными именами, подпадают под действие закона о защите авторских прав. Данное решение было принято после того, как был подан коллективный иск от лица 11 граждан Японии, в котором они обвинили токийское издательство Kobunsha Publishing в публикации их отзывов из гостевой книги отеля Hotel Junkies без их разрешения. Окружной суд Токио постановил прекратить публикацию данных отзывов, а также выплатить авторам компенсацию в размере 1.2 млн. йен ($6,300) за уже опубликованные копии их отзывов.
Газета "Japan Times" сообщает, что решение о защите авторских прав при анонимных публикациях в интернете является беспрецедентным. 17.04.2002
McAfee представила комплексный пакет McAfee Internet Security 4.01
Корпорация McAfee представила новый комплексный пакет — McAfee Internet Security 4.01, сочетающий функции антивирусной программы, файрвола и контент-фильтра. Новый релиз данного пакета отличается, прежде всего, совместимостью с Windows XP и новым дизайном интерфейса, также выполненном в стилистике WinXP. Таким образом, McAfee удалось решить проблему, существенно препятствовавшую эффективной работе пользователей, выбравших WinXP. Дело в том, что под новой операционной системой от Microsoft большинство старых антивирусных программ и файрволов работали некорректно. Именно поэтому сейчас все производители спешат обновить свои пакеты для обеспечения совместимости: главный конкурент McAfee — корпорация Symantec — также выпустила новую версию своего пакета Norton Internet Security 2002.
В состав нового пакета McAfee входит антивирусный сканер Virusscan 6.0, способный отслеживать подозрительную активность на компьютере, обнаруживать файлы с двойными расширениями, блокировать отсылку писем по более чем 40 адресам, а также контролировать наличие вирусов при синхронизации карманных компьютеров (PDA).
Наибольшие изменения интерфейса претерпел McAfee Firewall, который до этого выглядел достаточно архаично, напоминая пользователям об эпохе Windows 3.1. Программа стала достаточно удобной в работе и настройке и позволяет, как и все подобные программы, контролировать все входящие и исходящие пакеты при пользовании Сетью.
Единственная новинка в пакете на уровне модуля — контент-фильтры, которые позволяют родителям контролировать и ограничивать интернет-активность своих чад. Программа анализирует все сообщения, посланные или пришедшие на компьютер, на предмет наличия слов из запрещенного списка. При обнаружении такого сообщения программа создает log-файл, по которому родители смогут проверить, кем и когда было послано нежелательное сообщение. 17.04.2002
Неизвестными хакерами взломан портал CredCard
Как сообщила редакционная коллегия интернет-портала CredCard, сервер, на котором размещены все страницы и сервисы портала, подвергся хакерской атаке. Атака оказалась успешной: в результате взлома сфальсифицированы данные текущего опроса относительно безопасности использования кредитных карт.
Представители редакции особо подчеркивают, что поскольку портал является исключительно информационным изданием и не оказывает услуг в области электронной коммерции, посетители CredCard от действий хакеров пострадать не могли. Техническими службами CredCard уже определен способ взлома и, как сообщается, предпринимаются соответствующие меры. Однако восстановить адекватные данные опроса, скорее всего, администраторам не удастся и его придется удалить. 18.04.2002
Три новых дыры в MS Office
Программисты компании GreyMagic Software обнаружили три новых дыры в системе защиты Web-компонентов офисного пакета MS Office — Microsoft Office Web Components (OWC), которые позволяют изменять установки безопасности в браузере Internet Explorer. Все эти дыры находятся в компоненте электронных таблиц OWC.
Например, благодаря первой дыре можно включить в IE исполнение активных скриптов, тогда как сам пользователь мог раньше дезактивировать эту функцию. Вторая дыра позволяет взломщику контролировать содержимое буфера обмена компьютера пользователя, даже если в браузере Internet Explorer опция операции вставки через скрипт ("allow paste operations via script") отключена. То есть, посторонний человек может прочитать содержимое буфера обмена пользователя и вставить в него любые данные. Третья дыра позволяет читать локальные файлы на компьютере пользователя.
По сообщению программистов из GreyMagic, они уже уведомили Microsoft об этих дырах, и там теперь их исследуют. А пока Microsoft не выпустила заплатки для заделки этих дыр, пользователю рекомендуется отключить в браузере Internet Explorer опцию загрузки и запуска элементов ActiveX и модулей plug-in. А сайт The Register предлагает решить проблему более радикально — перейти на браузер Mozilla, который можно бесплатно скопировать на сайте Mozilla.org. 18.04.2002
Русский хакер выдрал из KaZaA шпионский модуль
Пользователи файлообменной сети KaZaA получили возможность избавиться от шпионского модуля, внедренного в клиентскую программу KaZaA Media Desktop. За это они должны благодарить некоего русского хакера, известного под именем Юрий, который создал облегченную версию этого популярного пирингового клиента KaZaA Lite.
Кроме вызвавшего наибольшее количество шума скрытого клиента распределенной сети Altnet компании Brilliant Digital, в KaZaA Lite отсутствуют прочие "нагрузочные" модули, вроде Bonzi Buddy или BDE Viewer и рекламные баннеры, а также снято ограничение на битрейт музыкальных файлов. По словам самого Юрия, которые приводятся на сайтах, посвященных, KaZaA Lite, ему очень нравится сеть KaZaA и он впечатлен ее возможностями. Однако пользователь клиентской программы должен знать о том, что устанавливается на его компьютер помимо файлообменного клиента и иметь возможность "отсечь все лишнее". Совершенно неприемлемо, по мнению хакера, и то, что после деинсталляции KaZaA все рекламно-шпионские программы остаются на своем месте и удалить их без специальных утилит очень сложно.
Вполне естественно, что компании Sharman Networks, владеющей KaZaA и активно сотрудничающей с уже упомянутой Brilliant Digital и другими подобными фирмами, появление KaZaA Lite большой радости не принесло. В частности, по сообщению Wired News, Sharman Networks направила протест администрации сайта Download. com, разместившему у себя KaZaA Lite, после чего эта программа была удалена с сервера. Напомним, что ранее с Download.com была удалена и полная версия клиента KaZaA по причине наличия в нем тех самых шпионских модулей. Однако на доступности облегченной версии KaZaA это сказалось не слишком сильно, и найти в интернете работающие ссылки на KaZaA Lite и рекомендации по установке программы не составляет никакого труда. 19.04.2002
Подготовил Евгений Сечко, safeman@mail.ru
Компьютерная газета. Статья была опубликована в номере 16 за 2002 год в рубрике del :: безопасность
