информационная безопасность без паники и всерьез подробно о проекте |
||||||||||||||||||||||
|
||||||||||||||||||||||
|
30 июня 1998, #31 Еженедельный формат обзора имеет свои недостатки - некоторые новости этого выпуска успели слегка протухнуть и перестали быть новостями, но и пройти совсем мимо я как-то не могу. Начнем с близкой всем россиянам новости о принятом Сенатом США WIPO Copyright Treaties Implementation Act'е. Когда (если) этот закон вступит в действие, изготовление и использование программ, приборов, технологий и т.д., предназначенных для обхода "технологических средств защиты", дешифровки и т.п. будет чревато по первому разу штрафом до полумиллиона долларов или пятью годами тюрьмы (или и тем, и другим). Схваченным за руку во второй и последующие разы воздастся вдвойне. Другими словами, прощайте, дебаггеры, сетевые сканеры, L0pht, NMRC, bugtraq, ntbugtraq, CERT... Теоретически до цугундера сможет довести даже отключение cookies как неотъемлемой части Web-страницы. Собственно говоря, само соглашение (The WIPO Copyright Treaty), принятое еще в декабре 96-го года, представляет собой расширение 20-й статьи Бернской конвенции о защите литературных и художественных работ 71-го года, его основной целью является сохранность интеллектуальной собственности, и подобных драконовских требований там вовсе нет. Проблемы, как водится, возникли в процессе implementation. Вторая новость прошедшей недели - опубликованный на сайте Московского Либертариума предлагаемый ФСБ проект технических требований к системе технических средств по обеспечению функций оперативно-розыскных мероприятий на сетях электросвязи. Этой теме посвящен отдельный бурно обновляющийся раздел сайта, так что я не буду углубляться в подробности. Вкратце - речь идет о системе, обеспечивающей "съем всей информации (входящей и исходящей), принадлежащей конкретным абонентам данной сети", а также определение телефонного номера или электронного адреса абонента и проч. Судя по всему, намечается повальная ликвидация криптографической неграмотности населения и резкий рост популярности средств типа PGP. От проблем планетарного масштаба перейдем к нашим локальным. Есть на во всех отношениях замечательном развлекательном сервере Чертовы Кулички такое место под гордым названием Internet Games Magazine, сокращенно G Magazine, с одним из авторов которого я имел удовольствие пообщаться в нашей гостевой книге и личной переписке. Заявлялось, что от нашей неинтересной странички с ламерским дизайном хочется бежать куда подальше, и давался совет ("как дизайнер дизайнеру") переработать всю дизайнерскую концепцию сайта, не забывая при этом об основных пАстулатах хорошего тона. Посыпая голову пеплом, я бросился на вышеупомянутую страницу в тайной надежде приобщиться к означенным постулатам, воплощенным в плоды творения новоявленного таланта (Суворова - знаю, Кутузова - тоже знаю, Тему Лебедева и Кирилла Готовцева знаю, а про Александра Македо..., тьфу, Дмитрия Исаева ничего не слышал). Результаты этого посещения в общем-то не заслуживают особого внимания - ну мало ли в интернете героических страниц, авторы которых убеждены, что, хм, дизайн, рассчитанный на 1024x768 (иначе оглавление сайта просто не влезает в щедро отведенный ему фрейм шириной 31%) с белыми буковками на черном фоне и обалденной красоты рендеренными 3D-заставками под 50к и есть тот самый эталон красоты и функциональности. Что касается содержания - львиная доля статей просто позаимствована с www.gameland.ru, да и играть я практически не играю, так что страница произвела на меня впечатление близкое к нулевому. А с мыслью, что из нескольких сотен тысяч обитателей русскоязычного интернета кто-нибудь, резко отрицательно относящийся к хакзоне, да найдется, я как-то давно смирился и по ночам от этого не вскакиваю. Так что я выкинул этот инцидент из головы и занялся своими делами. Как бы не так. Буквально через пару дней мне сообщили, что раздел Hacker's Zone все того же G Magazine, в котором ранее лежали всякие советы как заломать ту или иную игру, пополнился семью новыми статьями, взятыми откуда ? Правильно, с той самой ламерской хакзоны, на которой нет ничего интересного. Я прямо таки зримо представляю мучительные потуги авторов GM, с отвращением отбирающих хоть что-то, достойное приобщения к шедеврам хакерской мысли на своей Hacker's Zone, исправляющих названия статей, лихорадочно переводящих картинки и текст в наиболее удобный для восприятия режим "белое на черном"... Такие дела. На самом деле у меня сложилось устойчивое впечатление, что все это затеяно исключительно в целях самораскрутки посредством скандала, и в таком случае я просто иду на поводу у этих орлов. Пусть так, только не хотел бы я на их месте иметь подобную рекламу. И не надо мне говорить - мол, злые нехорошие дяди обидели маленьких. "Хамить не надо по телефону. Лгать не надо по телефону" (с) Азазелло. Раз пошла такая пьянка... На этой неделе я как-то повнимательнее посмотрел на нашу wwwboard, благо после очередного обновления она стала более обозрима, и обратил внимание на обсуждение сайта группы "Руки вверх". Обходя стороной вопросы творчества самой группы (я все-таки был воспитан на несколько другой музыке), забойный дизайн со стандартными картинками от FrontPage и ненавязчивым фоном местной доски объявлений, и лексикон администратора доски, хочется вставить пару слов на тему взлома этой самой доски, что, собственно, так бурно и обсуждалось. Как известно, доска объявлений из архива Matt'а Wright'а весьма популярна. Я с ней изрядно повозился, прикручивая к клубному разделу и доводя до ума ее внешний вид, так что могу судить о ее коде достаточно уверенно. Основные проблемы с безопасностью этой доски связаны с тем, что файл с администраторским паролем по умолчанию лежит открыто в одном каталоге с доской (и в рекомендациях по установке нет ни слова о том, что его хорошо бы положить совсем в другое, по возможности защищенное место), причем первые два символа зашифрованного пароля по крайней мере на некоторых системах могут совпасть с двумя первыми символами пароля незашифрованного. Учитывая популярность доски, все эти факты широко известны. Поэтому первое, о чем стоит позаботиться при ее установке - так это о безопасности. И отмазки, что доска не была рассчитана на использование злоумышленниками, и поэтому не был даже изменен стандартный администраторский пароль, выглядят беспомощными и наивными. Администратор обязан быть немного параноиком, иначе ему лучше не обижаться, когда суровая реальность вторгнется в его розовые представления об окружающем мире. Что в итоге и произошло. Лирическое отступление. Пока я пишу эти строки, за спиной бубнит, не давая сосредоточиться, телевизор с "Пресс-клубом", где в очередной раз мусолят тему - что лучше, быть бедным и больным, или богатым и здоровым. Убедительно рассказывают, что в русских народных сказках богатые всегда плохие и толстые, а бедные хорошие и, видимо, стройные. Этот пример приводят часто, но многие ли вспоминают о том, что в конце сказок бедные как правило становятся богатыми и живут долго и счастливо в обломившейся на халяву половине царства... Часть обзора, писавшаяся вчера, потихоньку уехала совсем в непривычную сторону, буду потихоньку возвращаться. Сначала о делах внутренних. Помимо обновившейся доски (старая стала совсем уж неприличного размера), в "Форуме" появился новый "Вопрос HackZone". Я немного почистил старые огрехи, в итоге удалось избавиться от двух разных копий страниц - для IE и NN. Так что если в ваших закладках встречаются ссылки на файлы ieindex.html, nindex.html, index_ie.html и index_nn.html, можете с чистой совестью заменить их на index.html, или убрать имя файла вообще. У нас также появился ftp-сервер ftp.hackzone.ru, на который понемногу переедут файлы со вспомогательного сервера 193.233.5.230, честно отслужившего более полугода. Чуть попозже поменяется адрес mail листа и добавится телеконференция. Недавно была обнаружена потенциальная ошибка в Public Key Cryptography Standard (PKCS) #1, используемом в том числе в протоколе Secure Socket Layers (SSL), самом популярном средстве обеспечения защищенных соединений в WWW. Суть ее заключается в том, что послав около миллиона тщательно подобранных запросов на сервер, можно определить ключ для данной конкретной защищенной сессии. Необходимая для устранения ошибки информация доступна производителям потенциально опасного софта, некоторые из них уже выпустили соответствующие исправления. Найденная ошибка не затрагивает основанные на PKCS#1 протоколы обмена сообщениями типа SET и S/MIME, да и с web-серверами воспользоваться ей проблематично из-за огромных объемов данных, которые при этом надо прокачать. Примерно в то же время появилось сообщение об ошибке, найденной в web-серверах Netscape Enterprise и O'Reilly & Associates' WebSite Professional под Windows NT и Windows'95, которая позволяет просматривать код server-side скриптов. Аналогичная ошибка в свое время была найдена и благополучно прикрыта в MS IIS. Есть неподтвержденные сведения, что web-серверы от других производителей также подвержены этой ошибке, и что проблема связана с нюансами работы функции CreateFile. Пара новостей от лаборатории Касперского (за наводку спасибо дяде Леше). 26 июня был обнаружен троянец, присылаемый по почте вместе с картинкой порнографического содержания и предложением запустить программку, чтобы получить на халяву соответствующий CD. Пока программа развлекает адресата показом картинок и перечислением "интересных" адресов (преимущественно российских, так что понятно, откуда ноги растут), запущенные ей вспомогательные утилиты обшаривают диск пользователя в поисках паролей на dialup и переправляют их автору программки. Забавно, как раз на прошлой неделе я тоже получил что-то подобное, но рефлексы сработали быстро, и письмо сразу ушло по назначению - в корзину. Вторая новость - 29 июня вирус, заражающий PE-файлы под Windows 95 был обнаружен и в России - были заражены исполняемые файлы на нескольких WWW, а также файлы, свалившиеся из FIDO. Напоследок - информация от Peter'а Zilberg'а то ли о взломе, то ли о чем-то еще, связанном с сайтом www.ati.com. Было ли задумано на самом деле, что обращения к этой странице перенаправляются на http://157.22.1.170/poop/, я не знаю, но меня почему-то берут сомнения, что компания Announcement Technologies, Inc., на которую зарегистрирован домен ati.com, имеет к этому какое-то отношение.
|
анонимность
клоуны
конференции
спам
уязвимости
.net
acrobat
activex
adobe
android
apple
beta
bgp
bitcoin
blaster
borland
botnet
chrome
cisco
crypto
ctf
ddos
dmca
dnet
dns
dos
dropbox
eclipse
ecurrency
eeye
elcomsoft
excel
facebook
firefox
flash
freebsd
fsf
github
gnome
google
gpl
hp
https
ibm
icq
ie
intel
ios
iphone
java
javascript
l0pht
leak
linux
livejournal
mac
mcafee
meltdown
microsoft
mozilla
mysql
netware
nginx
novell
ny
open source
opera
oracle
os/2
outlook
password
patch
php
powerpoint
programming
pwn2own
quicktime
rc5
redhat
retro
rip
router
rsa
safari
sco
secunia
server
service pack
shopping
skype
smb
solaris
sony
spyware
sql injection
ssh
ssl
stuff
sun
symantec
torrents
unix
virus
vista
vmware
vpn
wikipedia
windows
word
xp
xss
yahoo
yandex
youtube
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|