информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Портрет посетителяСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 25 лет FreeBSD 
 Microsoft покупает GitHub 
 Уязвимости в реализациях OpenPGP... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 1999
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997




Paragon Partition Manager 7.0

Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



The Bat!

19 января 1999, #59

На той неделе случился очередной юбилей - был благополучно пройден рубеж в 10000 подписчиков на нашу рассылку. Подписавшимся - наша благодарность, неподписавшимся - пожелание влиться в стройные ряды :)

Кстати о подписке. Еще два номера бумажной HackZone добрались до типографии и в ближайшее время разойдутся по подписчикам. С некоторой задержкой они появятся и в онлайне.

А все выпуски обзора вплоть до декабря 1998 выложены на ftp. Скачивание и всяческое распространение приветствуются.


Почти год назад я уже писал о акциях, проводимых distributed.net. Основная идея очень проста. За небольшим исключением большую часть времени современные компьютеры попросту простаивают, ожидая реакции пользователя и транжиря драгоценное машинное время. Задействовав же неиспользуемые вычислительные ресурсы множества машин, можно получить распределенную вычислительную систему неслабой производительности, которой могут оказаться по зубам самые разнообразные задачи - например, перебор ключей для DES или RC5, чем, собственно, на distributed.net преимущественно и занимаются.

Буквально на днях была предпринята очередная атака на DES в рамках конкурса, объявленного RSA. Ключ к сообщению, зашифрованному с его помощью, был подобран в рекордное время - за 22 часа. Предыдущий рекорд - 56 часов - был установлен 17 июля прошлого года специализированной машиной для взлома DES "Deep Crack", созданной Electronic Frontier Foundation. В атаке, завершившейся 19 января, принимали участие и Deep Crack, и более 100 тысяч машин участников проекта.

Добившись этого во всех отношениях выдающегося результата, distributed.net вернулись к главному своему проекту за последние полтора года - взлому 64-битного ключа RC5. Подключиться к этому может любой желающий, скачав и установив подходящую клиентскую программу. Далее она будет периодически обращаться к серверу, скачивая очередную порцию ключей для перебора, и возвращая ему результаты своих трудов. Возможно и объединение в команды. Помимо несомненно вдохновляющего чувства приобщения к великому делу и возможности почувствовать себя немного в шкуре хакера, подбирающего пароли, сюда примешивается и материальный стимул - общий призовой фонд конкурса - 10000$, из которых счастливчику, нашедшему искомый ключ, приходится 2000 при самостоятельной работе либо 1000 при работе в команде (вторая тысяча в этом случае распространяется между членами команды). Не бог весть что, но на самом деле принцип тут чисто олимпийский: главное - участие.

Пообщавшись по этому поводу на прошлой неделе, мы с Werwolf'ом решили объявить о совместной инициативе hackzone.ru и werwolf.de по созданию RC5 HackZone Team, подключиться к работе которой я вас сейчас и призываю. На ее официальной странице подготовлена вся необходимая для введения в курс дела информация.

Отмечу сразу, что накладные расходы при этом минимальные. Объем передаваемой клиентом информации - считаные байты, клиенты по умолчанию работают с наинизшим приоритетом, не мешая работе других программ. С другой стороны, клиент оказался и неплохой тестирующей программой, окончательно продемонстрировав мне, что разгон до 112х5MHz моя система уже не выдерживает :)


Сайт RU/2 проводит опрос посетителей на тему того, какими операционными системами они пользуются. Результаты опроса доступны здесь. И вот ведь только собрался запустить и у себя такой опрос... Ну ничего, немного подождем, а потом сравним результаты.


Дело Trojan Games подхватила страница Trojans Archive. Тайные поклонники Гомера, облизывавшиеся на аппетитные описания Trojan Games, могут начинать потирать руки - описаний тут нет, зато самих объектов вожделения - выше крыши.

Что касается самих Trojan Games, они обрели новое место жительства на сайте security.lgg.ru, который в последнее время помимо своего собственного достойного содержания собрал весьма неплохую подборку зеркал и ресурсов по околокомпьютерной безопасности. Давненько я не занимался обзорами сайтов, надо бы оправдывать название, сейчас и займусь.

Здесь и старые знакомые Russian Password Crackers, и материалы по компьютерной безопасности Владимира Казеннова (и те, и другие уже бывали в наших обзорах), и домашняя страница группы Dobermann Project (в обзорах не бывала, но в Hacked Sites случалось). Тут же - Brawler Developer page, основная гордость которой - программа для отката времени перед запуском некоторой программы, опять же недавно переехавшая KarDinal ZONE.

Среди файловых разделов собственно сервера - собранные под одной вывеской D.o.S. сканеры, бомберы, нюкеры, вирусы, ломалки и сериные номера, по соседству - чуть более мирные утилиты типа SoftIce, W32Dasm - в общем, полный джентльменский набор.

Среди подборки статей по безопасности обнаружилась статья, очень подходящая к сегодняшнему обзору - Надежна ли защита у вашего Internet-провайдера?. А подходит она вот почему. На днях я получил от Алекса Мирошникова копию его письма своему провайдеру.

Уважаемые господа!

На днях меня обеспокоила ситуация: за один день, в течение которого я интернетом не пользовался, мой аккаунт стал из положительного отрицательным.

Проанализировав статистику соединений, я выяснил, что в период с 20/12/98 под моим логином к МТУ подключается кто-то еще с других номеров телефона.

В общей сложности у меня украли долларов 15 плюс моральные издержки и время на поездку для оплаты траффика - мелочь конечно, но неприятно.

Хочу сразу сказать: ТРОЯНЦЕВ У МЕНЯ НЕТ! В том смысле, что деятельность троянцев всегда поддается отслеживанию через реестр и / или NETSTAT, и кроме того, в большинстве случаев АВП указывает на их наличие. Так вот: ничего подобного у меня не наблюдается и поверьте, средства защиты от доступа к моей машине достаточны.

Этим летом проблемы с воровством паролей/логинов были у России-он-Лайн. Как выяснилось, была взломана именно база провайдера. Может быть МТУ имеет смысл чуть-чуть умерив законную гордость за качество собственной работы все-таки проверить себя на предмет несанкционированного доступа. Лично я готов к сотрудничеству. Алекс.

По мотивам этого письма и последовавшей за ним переписки хотелось бы высказать некоторые соображения, которые, возможно, кому-нибудь да пригодятся. При выборе провайдера (да и не только) основным критерием было и есть отношение качества предоставляемых услуг к цене. Качество - штука довольно умозрительная, а набор услуг, за которые пользователь готов платить, меняется по мере набирания им опыта. Этапы большого пути - анлимит за 30 баксов с прозвонкой полтора часа и вылетом с линии через 15 минут, идеальная связь с провайдером, кормящим несколько сотен клиентов на канале в 64к, долгожданное письмо от соседа, прошедшее через Нью-Йорк и Атланту, покупка выделенки и т.п.

Понимание того, что безопасность - дело не только клиента (троянцами кажется уже всех запугали), но и провайдера, приходит сильно позже. Если при просмотре своей статистики на экране пользователь видит свой пароль, это может означать лишь то, что единственная защита от раздачи его логина друзьям и родственникам девочки из саппорта - ее моральные принципы и корпоративная дисциплина. Давайте думать о людях хорошо, но с какой стороны ни посмотреть, открытая передача паролей, их хранение не в необратимо зашифрованном виде (хотя и обратное по больому счету вовсе не гарантирует от сюрприза), требование от саппорта назвать логин/пароль и т.п. - это огромная дырища. А грешат подобным ой как многие. Вот много ли вам известно московских провайдеров, использующих SSL для работы со статистикой/сменой паролей?


Maksym Makar переправил мне следующее сообщение InfoArt'а

Норвегия может стать приютом хакеров. Верховный суд этой страны постановил, что попытка вторжения в компьютерную систему по Internet не является преступлением до тех пор, пока не завершится успехом.

Это решение, являющееся, как считается, первым в своем роде, гласит, что пользователи компьютеров, решившие подключить их к Internet, должны быть готовы к попыткам внешнего вторжения и сами несут ответственность за защиту своих систем.

Однако критики постановления утверждают, что с тем же успехом можно разрешить грабителям проверять, заперты ли в доме окна и двери, и не применять меры пресечения до тех пор, пока они на самом деле не вломятся в жилище.


И напоследок - отклики на материал о киберполицейских. Наиболее ...ммм... эмоциональные письма как за, так и против, я решил опустить :) Приведу несколько характерных писем - помимо того, что стало понемногу собираться в обсуждении. Для начала - отклик автора изначального сообщения.

Вы меня не поняли. Я обозлен не на само появление сайта, я обозлен на появление этих полицаев-предателей. Я считаю, что за кражу логина можно взять штраф, но не боле. Также я считаю, что провайдер, как в Германии, не должен иметь права на выдачу информации о пользователе логина! А то что ж получается? Получается, что тут люди платят 250$ в мес. (DataForce) каким-то толстым скотам, собирающимся нажиться на нас, а эти скоты еще и ПРЕДАЮТ своих клиентов! Вы только посмотрите - кругом одни ПРЕДАТЕЛИ... Что же касается "хакера поймали - он этого заслуживает, раз его поймали", я насчет этого не спорю. Это зря было покупать материальные блага за столь крупные суммы. Я хочу лишь сказать, что не стоит провайдерам напрягаться по поводу украденного логина.

Раньше они не занимались киберпространством. Это пешки. Более властные люди - законодатели, у которых ВОРОВАННЫЕ У НАС деньги куры как бы и не клюют. Им-то все равно, да и вряд ли они нуждаются в большом количестве софта, если они вообще занимаются компьютером. Но видно они забыли, что не у всех есть такие деньги (в данном случае я о WAREZ'е). О кредитных картах могу сказать только то, что не стоит делать транзакции со своего логина, а тем более заказывать что-то материальное.

Возможно, я бы не писал своей статьи, если бы эти сволочи не оскорбили наших пиратов!

Другая точка зрения представлена следующим письмом.

Я тоже считаю письмо против сайта www.cyberpolice.ru провокационным. И не так провокационным, как просто нечестным. Спекулируя своей и чьей-нибудь бедностью, можно оправдать любой грабеж, преступления и тому подобное. Я не получаю и тех 1500 рублей, о которых говорит этот защитник интересов несчастных хакеров и кардеров. Это обычные ВОРЫ, которые убрали руку от чужого кармана в трамвае и переместились в компьютеру. А давая советы как лучше и безнаказаннее что-нибудь украсть, он сразу показывает, что он такой же вор. И что же интересно героического в обворовывании американцев. Это те же обычные люди, которые заработали свои деньги своим собственным трудом, а не тырили их по чужим карманам.

А ещё эти демагогические высказывания о том, что ЛОХАМ (это по его определению), а вообще-то Честным Нормальным Людям в Интернете делать нечего. Милый защитник было лучше,если бы таких как ты там было как можно меньше.

Теперь о самих сотрудниках www.cyberpolice.ru: Люди делают свою работу и хочется верить, что делают её честно. Почему же они не могут о ней рассказать и кому-то помочь? А демагогией о продажности американцам можно порадовать только воинствующих коммунистов.

Конечно же этот "праведный"гнев поддержат многие. Но подумайте, не коснется ли когда-нибудь и Вас чья-нибудь афёра. И захочет ли компьютерная "братия" после этого выразить ""глубочайшее презрение"?

Андрей Косачёв, врач

И промежуточная позиция.

Конечно, полностью не согласится с автором сложно. Российские законы по отношению к хакерам и им подобным на мой взгляд -слишком сторги. Однако, я считаю, что это не повод натравливать людей на данный сайт.

Итернет не мой и не ваш. Любой человек может разместить все, что ему угодно, и если кому-то что-то не нравится - достаточно просто не заходить и не читать.

Что же касается того - что все они предатели, нахлебники США - то это ваще полный бред!

Хотелось бы просить автора трезво посмотреть на вещи.

Мы, русские -народ особый. Любая,даже самая безмозглая идея - может стать смыслом нашей жизни, как это был например коммунизм. Мы шли в огонь, умирали за это - а зачем? Просто мы ВЕРИЛИ! Автор определенно верит в свою провоту, и спорить с ним у меня нет желания, но хотелось бы, чтоб он сам все еще-раз взвесил, и возможно он признает свою ошибку.

Максим Кудрявцев 16 лет

Вообще, взаимодействие государства и сети - очень больная тема, которая пока тихо тлеет, но когда-нибудь покажет себя во всей красе. И ждать этого осталось совсем недолго, поскольку звоночков было уже предостаточно. Где та грань, за которой борьба с терроризмом и наркомафией перерастает в борьбу с собственными законопослушными гражданами ? СОРМ, ограничения на использование стойкой криптографии - все это из той же серии. Государство в какой-то момент начинает понимать, что развитие сети приводит к ограничению его возможностей - обнаруживаются области деятельности, в которых извечная монополия власть предержащих утеряна. А дальше очень многое зависит от самого государства, от законов, в нем действующих, от людей, призванных следить за их исполнением, и от людей, готовых оспорить их действия. В свое время подобная ситуация привела к созданию в США Electronic Frontier Foundation. Будет ли так у нас? Хочется верить в лучшее, но...

Борьба же с киберпреступлениями - штука еще более тонкая. Уж больно виртуально все тут. С одной стороны, вроде бы нет разницы между человеком, стянувшим сотню долларов из кармана и вытянувшим их через электронный магазин. Правосудие торжествует, общественный обвинитель готовит праведную речь. С другой стороны, часто ли вы убиваете людей на улицах? А ведь в 3D-стрелялках это на каждом шагу, а в RPG-играх любимый тип героя - вор. А так ли отличается кража в игрушке от кражи в сети? А ну как появится некая игрушка, проходя которую игроки, сами того не ведая, потихоньку очищают банки? Да, это уже пошла демагогия, но нельзя не признать - киберпреступления по определению не воспринимаются нарушителем так же, как обычные. И непонимание строгости наказания, нежелание стать на одну доску с банальным уголовником вполне понятно. А ведь нормальная пенитенциарная система должна быть основана не на возмездии по принципу "око за око", а на предоставлении возможности осознать свою ошибку и осознать ее.

Такие дела...


У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«     »



анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach