без паники и всерьез
подробно о проекте
 |  |
Анализ криптографических сетевых...| главная | обзор | RSN | блог | библиотека | закон | бред | форум | dnet | о проекте |  |
|
информационная безопасность без паники и всерьез подробно о проекте
|
|
|||||||||||||||||||||
|
|
|||||||||||||||||||||
|
|
|||||||||||||||||||||
|
||||||||||||||||||||||
|
9 марта 1999, #65 Russian Security Newsline потихоньку начинает дышать. Основной головной болью по-прежнему остается Java-клиент. В теории все выглядит изумительно. При запуске апплет устанавливает соединение с сервером и скачивает текст, по пути переводя его в Unicode:
URL url = new URL(fetchValue);
URLConnection connection = url.openConnection();
BufferedReader in = new BufferedReader
(new InputStreamReader(connection.getInputStream(), "Cp1251"));
...
while((line = in.readLine())!= null)
...
Cp1251 выбрана из-за проблем у IE5 с KOI8_R (NN4.5 справлялся с обеими кодировками нормально) - врочем, это неважно, поскольку на выходе в обоих случаях мы получаем текст в unicode, который и выводим с помощью drawString. И, насколько я понимаю, Java сама должна разобраться, каким образом эту юникодную строку вывести в читаемом виде. Щас. У большинства это, конечно, работает, и слава богу. Но весьма приличный процент посетителей вместо нормальной кириллицы видит просто нечто нечитаемое - и не просто текст в неверной кодировке, а полоски, прямоугольники и т.п. Кроме того, на некоторых Нетскейпах просто приходит некая ошибка верификатора. И самое противное, что ни на одной доступной мне системе этого воспроизвести не удалось. В общем, если среди наших читателей найдется человек, который ткнет меня носом в мою плюху, я буду искренне рад и навеки впишу его имя в список создаталей RSN. Ну очень не хочется выводить весь текст вручную, изображая фонты гифами. До тех же пор предпочтительным способом подключения к RSN остается использование SSI. В качестве альтернативного решения могу также предложить использовать NewsWire - это такая многоплатформенная строка сообщений. В качестве источника сообщений она вполне пристойно съедает URL http://www.hackzone.ru/windows/cgi-bin/books/fetch2.cgi (для windows-платформ, пользователям unix-версий достаточно заменить windows на koi8). Немного статистики. Обзор миновал отметку в 300000 посетителей по Рэмблеру. Призов, правда, мы никаких не планировали, так что могу лишь вот в такой форме поздравить юбилейного посетителя - Watcher'а. Рассылка же на ГорКоте прошла рубеж в 14000 подписчиков, переместившись на 12-е место среди всех горкотовых рассылок. Фактически каждый выпуск обзора только за первую неделю прочитывает более 20000 человек - ничего так тираж... Очень любопытное чтение - Ivanopulo vs Macromedia (страница уже успела переехать на другой адрес, спасибо Олегу Струтинскому за информацию). Краткое изложение для нежелающих продираться сквозь англоязычную переписку. Сервер Ivanopulo посвящен милым нашим сердцам изделиям, в просторечии именуемым кряками, крэками и т.п. Не последнее место в предлагаемой подборке занимают кряки программ, производимых Macromedia. В один прекрасный день такая ситуация перестала устраивать компанию, и она, устами своего Anti-Piracy Manager'а Стива Возняка, высказала свое "фе" и потребовала удалить со страницы все кряки ее продуктов. На что Иванопуло с чистой совестью ответил, что сам он кряки не использует, если ему программа нравится, то он ее покупает, по истечении trial-срока он ее немедленно удаляет, а дизассемблирование и исследование легально используемых программ (а их использование во время trial-срока совершенно легально) разрешено российским законодательством. Ну а если у вас что-то о дизассемблировании в EULA написано, так это, ребята, противоречит российскому законодательству, а посему недействительно. Если же кто-то по недомыслию закачал их со страницы и использовал, то это его личные проблемы, и его взаимоотношения с законом Иванопуло не касаются. Далее последовала длительная переписка, в процессе которой Возняк валил на BSA и борьбу с пиратством, а Иванопуло - на презумпцию невиновности. В итоге все остались при своем, а Возняк заявил, что письма от Иванопуло он больше не читает, а единственным приемлемым ответом считает снятие файлов со страницы. Иванопуло, говоря о легальности дизассемблирования, был не так уж и неправ, в чем может убедиться любой, прочитавший статью 15 Закона РФ "О правовой охране программ для электронных вычислительных машин и баз данных". Но вот зачем это дизассемблирование вообще было сюда приплетено, я не понимаю. Дело в том, что в законе написано, что "информация, полученная в результате этого декомпилирования, может использоваться лишь для организации взаимодействия независимо разработанной данным лицом программы для ЭВМ с другими программами, а не для составления новой программы для ЭВМ, по своему виду существенно схожей с декомпилируемой программой для ЭВМ или для осуществления любого другого действия, нарушающего авторское право". Другими словами, если вдруг выяснится, что написание кряка нарушает авторское право, то декомпилирование незаконно. Но нас-то как раз и интересует, нарушает ли какой-нибудь закон написание кряка, так что ссылка на легальность декомпилирования совершенно не помогает. В процессе обсуждения этой темы на EZHE-листе я высказал предположение, что сюда можно притянуть 273-ю статью УК (создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети), на что получил вполне резонный ответ, что статья вообще-то направлена на всяких вирусописателей, и скорее под нее попадают авторы trial-софта, прекращающего (несанкционированно! :) ) функционирование через N дней. В общем, такое ощущение, что законодательство просто не предусмотрело такую ситуацию - и тем важнее будет роль прецедента, если дело таки дойдет до суда. Плюс остается вопрос, можно ли все-таки прицепиться к факту нарушения EULA. Ау, юристы! По поводу программы-накрутчицы, которую я обещал выложить. Признаться, неделю назад я переоценил скорость ее распространения. Тогда казалось, что через неделю она и так будет лежать в сети на каждом углу. Однако этого не случилось, и вылезать в роли главного провокатора, устроившего вакханалию, сравнимую с прошлогодней BO-шной, мне не слишком хочется. В конце концов, алгоритм ее работы я и так достаточно подробно описал, список прокси по нынешним временам найти - не проблема, и у программиста, мало-мальски знакомого с http, ее написание не вызовет затруднений. Всем остальным же придется немного подучиться или подождать еще немного - пусть не через неделю, но в ближайшем будущем подобные программы получат более широкое распространение, как это ни прискорбно. А может быть, и не в ближайшем. Любопытно, что среди многочисленных писем, призывающих воздержаться от публикации, немалую часть - не менее десятка - занимают письма от людей, реально пользующихся аналогичными программами, и не слишком заинтересованных в их распространении... Jammer Developers Team сообщает о выходе Jammer 1.01 freeware - средства обнаружения BackOrifice и NetBus. Зарегистрированная версия помимо обнаружения позволяет очистить систему от 4 модификаций BO и 15 - NetBus. Очередная дыра в Netscape, позволяющая покопаться в пользовательском кэше, получить список файлов и т.п. Exploit честно перебирает один символ за другим, добавляет его к строке и подсовывает ее функции find. Если поиск был удачным, символ фиксируется и перебирается символ для следующей позиции. Работает нешустро. Несколько ссылок, позаимствованных из RSN: Проблема, позволяющая в итоге завалить практически любой Unix с помощью переполнения таблицы процессов. Утешает лишь то, что атака длится весьма долго - до 10 часов, и атакуещему крайне сложно будет остаться незамеченным. Очередной скандал вокруг privacy. На сей раз на грабли с идентификацией пользователей наступила Microsoft. И еще одна дырка в NT, на сей раз связанная с вызовом ScreenSaver'а. За запуск ScreenSaver'а отвечает Winlogon.exe, который загружает его в suspended режиме, после чего, грубо говоря, меняет владельца процесса (точнее, primary security token) - иначе бы ScreenSaver работал с правами аккаунта System. Однако выяснилось, что CreateProcess в Windows NT 3.51 со всеми ServicePack'ами, NT 4.0+SP1, NT 5.0 beta1 и beta2 при запуске DOS-приложения вместо дескриптора процесса возвращает мусор. В сочетании с тем, что winlogon не проверяет корректность выполнения операции смены primary token, это приводит к тому, что DOS-приложение, установленное в качестве ScreenSaver'а, будет выполняться с правами системы. Ну а здесь вы можете взглянуть на реализацию очередной DoS-атаки на win'9x/NT, У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.
|
анонимность
клоуны
конференции
спам
уязвимости
.net
acrobat
activex
adobe
android
apple
beta
bgp
bitcoin
blaster
borland
botnet
chrome
cisco
crypto
ctf
ddos
dmca
dnet
dns
dos
dropbox
eclipse
ecurrency
eeye
elcomsoft
excel
facebook
firefox
flash
freebsd
fsf
github
gnome
google
gpl
hp
https
ibm
icq
ie
intel
ios
iphone
java
javascript
l0pht
leak
linux
livejournal
mac
mcafee
meltdown
microsoft
mozilla
mysql
netware
nginx
novell
ny
open source
opera
oracle
os/2
outlook
password
patch
php
powerpoint
programming
pwn2own
quicktime
rc5
redhat
retro
rip
router
rsa
safari
sco
secunia
server
service pack
shopping
skype
smb
solaris
sony
spyware
sql injection
ssh
ssl
stuff
sun
symantec
torrents
unix
virus
vista
vmware
vpn
wikipedia
windows
word
xp
xss
yahoo
yandex
youtube
 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
