информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Портрет посетителяЗа кого нас держат?Spanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 1998
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




8 сентября 1998, #40

Быть взломанным нынче модно ("А вас, матушка Серафима Кузьминишна, уже ломали ? Нас третьего дня-с."). Это вызывает сочувствие, подогревает интерес. А ежели у злобных хакеров руки до сайта почему-то не доходят, можно попробовать примазаться к толпе пострадавших и самостоятельно. Последний пример из этой серии - сайт MTV, пребывавший в таком состоянии недели две начиная с конца августа.


Предлагают обзавестись новым fix'ом для IE, Дырка, которую он исправляет, затрагивает версии начиная с 3.0, кроме беты 5.0, 3.0 для Mac и 4.0 для Unix. Патчи доступны начиная с версий 4.01. Ошибка позволяет обойти систему безопасности и прочитать файлы на компьютере клиента. Как водится, утверждается, что реальные случаи ее использования неизвестны.

Пример использования - здесь или здесь. Он позволяет отобразить содержимое файла c:\test.txt. В самом этом факте нет ничего страшного - файл, лежащий на диске клиента, отображается у клиента же. Проблема в том, что в данном случае содержимое файла может быть занесено в переменную JavaScript и послано дальше. Пропатченная версия при загруке этого файла с web показывает c:\test.txt один раз, после чего выдает сообщение об ошибке. Старая версия (и новая при загрузке с локального диска) вместо этого выводит содержимое c:\test.txt в диалоговом окне.


Telnet Hungary предлагала миллион форинтов (около четырех с половиной тысяч долларов) за взлом своего сайта http://hackme.telnet.hu/. Первоначальный двухнедельный срок был продлен до четырех месяцев, но никто из 6000 посетителей сайта так и не справился с заданием, так что деньги ушли "на дальнейшее развитие систем компьютерной безопасности". Интересно, сколько посетителей хотя бы поняли, что там написано ? :)

Зато вот нашу клубную страницу с начала лета, когда были подготовлены последние задания для кандидатов, посетило аж около сорока тысяч человек. И вот, наконец, результат - с большим удовольствием объявляю, что одному из кандидатов, я бы даже сказал, кандидаток, удалось пройти одно из заданий до конца. Мои поздравления.


Пришел отклик на сообщение прошлого выпуска о "запрещении FIDO".

Хотел бы выразить свои рассуждения по поводу "закрытия Фидо на Украине".

  1. Фидо закрывают только в энергетических компаниях, там где хранится информация, обязанная оставаться там (промыш-ные секреты, например).
  2. Если Сисоп Фидошного узла специально продает(публикует) корпоративную инф-цию с помощью сети - то это проблемы всей сети, т.к. в уставе Фидонет напрямую указано о запрете передачи корпоративной информации, а нетмаил боссы как раз и не проверяют(хотя должны) - так что это ошибка сети, а не правительства, которое принимает меры по устранению утечки информации.
  3. Все подняли шум и гам по поводу - "Фидонет обьявили незаконным на Украине". Нет, всего лишь принята мера по устранению утечки информации, а станции Фидо как были незаконными в таких организациях, так и останутся. Это аналогично использованию радиопередатчиков, например, АЭС в целях любительской связи :). Так, что, как бы ни хотелось - но это оправданная мера. В таких организациях должна быть установлена надежная, обеспечивающая безопасность связь.

Прошу, если есть возможность, опубликовать это, т.к. складывается впечатление, что все такие нехорошие и закрывают несчастную сеть. Сеть любительская, и государство не обязано предоставлять для нее свои ресурсы... так ведь? И все-таки я надеюсь, что в большинстве случаев начальство разрешит устанавливать узлы хотя бы для получения инф-ции по обслуживанию компьютеров. Потому как сам буду прикрывать поинта..... (до получения официального разрешения)

Я ни секунды не сомневаюсь в праве и возможности государства прикрыть эту лавочку, равно как и в бесполезности горестных криков, Аналогия с радиопередатчиками хороша, но такова уж объективная реальность - FIDO в бывшем СССР, оставаясь любительской сетью, в основе своей никогда не была домашней. Хотя в самом предписании речь идет лишь о прекращении использования FIDO для передачи служебной информации, а все прочее - как бы самодеятельность излишне ретивых орлов на местах, тем, кого прикрывают, от этого не легче.

Вообще же, я думаю, произошло некоторое смешение понятий - на самом деле для передачи корпоративной информации зачастую используется не FIDO, а корпоративная FTN-сеть, основанная на тех же принципах, но напрямую с FIDO не пересекающаяся. Поднимет ее любой владелец узла за считаные часы. Часто на соседней линии заодно крутится фидошный узел, и пару таких станций в Москве я лично знал. Затраты на подъем такой сети и сети по "правильной" технологии несравнимы. А то, что возможностей меньше - так для начала большинству вполне хватает почты и пересылки файлов, да к тому же несколько лет назад вилка была гораздо меньше.


Никому не нужна халявная водительская лицензия, скажем, штата Айдахо ? А заодно карточка социального страхования, свидетельство о рождении ? Тогда вам сюда. По соседству и другие милые штуки - интерактивные учебники по изготовлению взрывчатки в домашних условиях, взлому замков, выращиванию марихуаны и т.д. Только вот денег хотят...


Напоследок - HakeRz FileZ. HakeRz не HakeRz, а подборка всевозможных nuker'ов, port scanner'ов, watcher'ов и проч. - вполне приличная. Не забыты и IRC с ICQ.


У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

А за некоторые ссылки этого выпуска спасибо 313373.

«     »



анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach