BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/review/archive/1998/08-09-98.html

8 сентября 1998, #40

Быть взломанным нынче модно ("А вас, матушка Серафима Кузьминишна, уже ломали ? Нас третьего дня-с."). Это вызывает сочувствие, подогревает интерес. А ежели у злобных хакеров руки до сайта почему-то не доходят, можно попробовать примазаться к толпе пострадавших и самостоятельно. Последний пример из этой серии - сайт MTV, пребывавший в таком состоянии недели две начиная с конца августа.


Предлагают обзавестись новым fix'ом для IE, Дырка, которую он исправляет, затрагивает версии начиная с 3.0, кроме беты 5.0, 3.0 для Mac и 4.0 для Unix. Патчи доступны начиная с версий 4.01. Ошибка позволяет обойти систему безопасности и прочитать файлы на компьютере клиента. Как водится, утверждается, что реальные случаи ее использования неизвестны.

Пример использования - здесь или здесь. Он позволяет отобразить содержимое файла c:\test.txt. В самом этом факте нет ничего страшного - файл, лежащий на диске клиента, отображается у клиента же. Проблема в том, что в данном случае содержимое файла может быть занесено в переменную JavaScript и послано дальше. Пропатченная версия при загруке этого файла с web показывает c:\test.txt один раз, после чего выдает сообщение об ошибке. Старая версия (и новая при загрузке с локального диска) вместо этого выводит содержимое c:\test.txt в диалоговом окне.


Telnet Hungary предлагала миллион форинтов (около четырех с половиной тысяч долларов) за взлом своего сайта http://hackme.telnet.hu/. Первоначальный двухнедельный срок был продлен до четырех месяцев, но никто из 6000 посетителей сайта так и не справился с заданием, так что деньги ушли "на дальнейшее развитие систем компьютерной безопасности". Интересно, сколько посетителей хотя бы поняли, что там написано ? :)

Зато вот нашу клубную страницу с начала лета, когда были подготовлены последние задания для кандидатов, посетило аж около сорока тысяч человек. И вот, наконец, результат - с большим удовольствием объявляю, что одному из кандидатов, я бы даже сказал, кандидаток, удалось пройти одно из заданий до конца. Мои поздравления.


Пришел отклик на сообщение прошлого выпуска о "запрещении FIDO".

Хотел бы выразить свои рассуждения по поводу "закрытия Фидо на Украине".

  1. Фидо закрывают только в энергетических компаниях, там где хранится информация, обязанная оставаться там (промыш-ные секреты, например).
  2. Если Сисоп Фидошного узла специально продает(публикует) корпоративную инф-цию с помощью сети - то это проблемы всей сети, т.к. в уставе Фидонет напрямую указано о запрете передачи корпоративной информации, а нетмаил боссы как раз и не проверяют(хотя должны) - так что это ошибка сети, а не правительства, которое принимает меры по устранению утечки информации.
  3. Все подняли шум и гам по поводу - "Фидонет обьявили незаконным на Украине". Нет, всего лишь принята мера по устранению утечки информации, а станции Фидо как были незаконными в таких организациях, так и останутся. Это аналогично использованию радиопередатчиков, например, АЭС в целях любительской связи :). Так, что, как бы ни хотелось - но это оправданная мера. В таких организациях должна быть установлена надежная, обеспечивающая безопасность связь.

Прошу, если есть возможность, опубликовать это, т.к. складывается впечатление, что все такие нехорошие и закрывают несчастную сеть. Сеть любительская, и государство не обязано предоставлять для нее свои ресурсы... так ведь? И все-таки я надеюсь, что в большинстве случаев начальство разрешит устанавливать узлы хотя бы для получения инф-ции по обслуживанию компьютеров. Потому как сам буду прикрывать поинта..... (до получения официального разрешения)

Я ни секунды не сомневаюсь в праве и возможности государства прикрыть эту лавочку, равно как и в бесполезности горестных криков, Аналогия с радиопередатчиками хороша, но такова уж объективная реальность - FIDO в бывшем СССР, оставаясь любительской сетью, в основе своей никогда не была домашней. Хотя в самом предписании речь идет лишь о прекращении использования FIDO для передачи служебной информации, а все прочее - как бы самодеятельность излишне ретивых орлов на местах, тем, кого прикрывают, от этого не легче.

Вообще же, я думаю, произошло некоторое смешение понятий - на самом деле для передачи корпоративной информации зачастую используется не FIDO, а корпоративная FTN-сеть, основанная на тех же принципах, но напрямую с FIDO не пересекающаяся. Поднимет ее любой владелец узла за считаные часы. Часто на соседней линии заодно крутится фидошный узел, и пару таких станций в Москве я лично знал. Затраты на подъем такой сети и сети по "правильной" технологии несравнимы. А то, что возможностей меньше - так для начала большинству вполне хватает почты и пересылки файлов, да к тому же несколько лет назад вилка была гораздо меньше.


Никому не нужна халявная водительская лицензия, скажем, штата Айдахо ? А заодно карточка социального страхования, свидетельство о рождении ? Тогда вам сюда. По соседству и другие милые штуки - интерактивные учебники по изготовлению взрывчатки в домашних условиях, взлому замков, выращиванию марихуаны и т.д. Только вот денег хотят...


Напоследок - HakeRz FileZ. HakeRz не HakeRz, а подборка всевозможных nuker'ов, port scanner'ов, watcher'ов и проч. - вполне приличная. Не забыты и IRC с ICQ.


У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

А за некоторые ссылки этого выпуска спасибо 313373.

«     »




  Copyright © 2001-2019 Dmitry Leonov Design: Vadim Derkach