19 января 1999, #59

На той неделе случился очередной юбилей - был благополучно пройден рубеж в 10000 подписчиков на нашу рассылку. Подписавшимся - наша благодарность, неподписавшимся - пожелание влиться в стройные ряды :)

Кстати о подписке. Еще два номера бумажной HackZone добрались до типографии и в ближайшее время разойдутся по подписчикам. С некоторой задержкой они появятся и в онлайне.

А все выпуски обзора вплоть до декабря 1998 выложены на ftp. Скачивание и всяческое распространение приветствуются.

Почти год назад я уже писал о акциях, проводимых distributed.net. Основная идея очень проста. За небольшим исключением большую часть времени современные компьютеры попросту простаивают, ожидая реакции пользователя и транжиря драгоценное машинное время. Задействовав же неиспользуемые вычислительные ресурсы множества машин, можно получить распределенную вычислительную систему неслабой производительности, которой могут оказаться по зубам самые разнообразные задачи - например, перебор ключей для DES или RC5, чем, собственно, на distributed.net преимущественно и занимаются.

Буквально на днях была предпринята очередная атака на DES в рамках конкурса, объявленного RSA. Ключ к сообщению, зашифрованному с его помощью, был подобран в рекордное время - за 22 часа. Предыдущий рекорд - 56 часов - был установлен 17 июля прошлого года специализированной машиной для взлома DES "Deep Crack", созданной Electronic Frontier Foundation. В атаке, завершившейся 19 января, принимали участие и Deep Crack, и более 100 тысяч машин участников проекта.

Добившись этого во всех отношениях выдающегося результата, distributed.net вернулись к главному своему проекту за последние полтора года - взлому 64-битного ключа RC5. Подключиться к этому может любой желающий, скачав и установив подходящую клиентскую программу. Далее она будет периодически обращаться к серверу, скачивая очередную порцию ключей для перебора, и возвращая ему результаты своих трудов. Возможно и объединение в команды. Помимо несомненно вдохновляющего чувства приобщения к великому делу и возможности почувствовать себя немного в шкуре хакера, подбирающего пароли, сюда примешивается и материальный стимул - общий призовой фонд конкурса - 10000$, из которых счастливчику, нашедшему искомый ключ, приходится 2000 при самостоятельной работе либо 1000 при работе в команде (вторая тысяча в этом случае распространяется между членами команды). Не бог весть что, но на самом деле принцип тут чисто олимпийский: главное - участие.

Пообщавшись по этому поводу на прошлой неделе, мы с Werwolf'ом решили объявить о совместной инициативе hackzone.ru и werwolf.de по созданию RC5 HackZone Team, подключиться к работе которой я вас сейчас и призываю. На ее официальной странице подготовлена вся необходимая для введения в курс дела информация.

Отмечу сразу, что накладные расходы при этом минимальные. Объем передаваемой клиентом информации - считаные байты, клиенты по умолчанию работают с наинизшим приоритетом, не мешая работе других программ. С другой стороны, клиент оказался и неплохой тестирующей программой, окончательно продемонстрировав мне, что разгон до 112х5MHz моя система уже не выдерживает :)

Сайт RU/2 проводит опрос посетителей на тему того, какими операционными системами они пользуются. Результаты опроса доступны здесь. И вот ведь только собрался запустить и у себя такой опрос... Ну ничего, немного подождем, а потом сравним результаты.

Дело Trojan Games подхватила страница Trojans Archive. Тайные поклонники Гомера, облизывавшиеся на аппетитные описания Trojan Games, могут начинать потирать руки - описаний тут нет, зато самих объектов вожделения - выше крыши.

Что касается самих Trojan Games, они обрели новое место жительства на сайте security.lgg.ru, который в последнее время помимо своего собственного достойного содержания собрал весьма неплохую подборку зеркал и ресурсов по околокомпьютерной безопасности. Давненько я не занимался обзорами сайтов, надо бы оправдывать название, сейчас и займусь.

Здесь и старые знакомые Russian Password Crackers, и материалы по компьютерной безопасности Владимира Казеннова (и те, и другие уже бывали в наших обзорах), и домашняя страница группы Dobermann Project (в обзорах не бывала, но в Hacked Sites случалось). Тут же - Brawler Developer page, основная гордость которой - программа для отката времени перед запуском некоторой программы, опять же недавно переехавшая KarDinal ZONE.

Среди файловых разделов собственно сервера - собранные под одной вывеской D.o.S. сканеры, бомберы, нюкеры, вирусы, ломалки и сериные номера, по соседству - чуть более мирные утилиты типа SoftIce, W32Dasm - в общем, полный джентльменский набор.

Среди подборки статей по безопасности обнаружилась статья, очень подходящая к сегодняшнему обзору - Надежна ли защита у вашего Internet-провайдера?. А подходит она вот почему. На днях я получил от Алекса Мирошникова копию его письма своему провайдеру.

Уважаемые господа! На днях меня обеспокоила ситуация: за один день, в течение которого я интернетом не пользовался, мой аккаунт стал из положительного отрицательным. Проанализировав статистику соединений, я выяснил, что в период с 20/12/98 под моим логином к МТУ подключается кто-то еще с других номеров телефона. В общей сложности у меня украли долларов 15 плюс моральные издержки и время на поездку для оплаты траффика - мелочь конечно, но неприятно. Хочу сразу сказать: ТРОЯНЦЕВ У МЕНЯ НЕТ! В том смысле, что деятельность троянцев всегда поддается отслеживанию через реестр и / или NETSTAT, и кроме того, в большинстве случаев АВП указывает на их наличие. Так вот: ничего подобного у меня не наблюдается и поверьте, средства защиты от доступа к моей машине достаточны. Этим летом проблемы с воровством паролей/логинов были у России-он-Лайн. Как выяснилось, была взломана именно база провайдера. Может быть МТУ имеет смысл чуть-чуть умерив законную гордость за качество собственной работы все-таки проверить себя на предмет несанкционированного доступа. Лично я готов к сотрудничеству. Алекс.

По мотивам этого письма и последовавшей за ним переписки хотелось бы высказать некоторые соображения, которые, возможно, кому-нибудь да пригодятся. При выборе провайдера (да и не только) основным критерием было и есть отношение качества предоставляемых услуг к цене. Качество - штука довольно умозрительная, а набор услуг, за которые пользователь готов платить, меняется по мере набирания им опыта. Этапы большого пути - анлимит за 30 баксов с прозвонкой полтора часа и вылетом с линии через 15 минут, идеальная связь с провайдером, кормящим несколько сотен клиентов на канале в 64к, долгожданное письмо от соседа, прошедшее через Нью-Йорк и Атланту, покупка выделенки и т.п.

Понимание того, что безопасность - дело не только клиента (троянцами кажется уже всех запугали), но и провайдера, приходит сильно позже. Если при просмотре своей статистики на экране пользователь видит свой пароль, это может означать лишь то, что единственная защита от раздачи его логина друзьям и родственникам девочки из саппорта - ее моральные принципы и корпоративная дисциплина. Давайте думать о людях хорошо, но с какой стороны ни посмотреть, открытая передача паролей, их хранение не в необратимо зашифрованном виде (хотя и обратное по больому счету вовсе не гарантирует от сюрприза), требование от саппорта назвать логин/пароль и т.п. - это огромная дырища. А грешат подобным ой как многие. Вот много ли вам известно московских провайдеров, использующих SSL для работы со статистикой/сменой паролей?

Maksym Makar переправил мне следующее сообщение InfoArt'а

Норвегия может стать приютом хакеров. Верховный суд этой страны постановил, что попытка вторжения в компьютерную систему по Internet не является преступлением до тех пор, пока не завершится успехом.

Это решение, являющееся, как считается, первым в своем роде, гласит, что пользователи компьютеров, решившие подключить их к Internet, должны быть готовы к попыткам внешнего вторжения и сами несут ответственность за защиту своих систем.

Однако критики постановления утверждают, что с тем же успехом можно разрешить грабителям проверять, заперты ли в доме окна и двери, и не применять меры пресечения до тех пор, пока они на самом деле не вломятся в жилище.

И напоследок - отклики на материал о киберполицейских. Наиболее ...ммм... эмоциональные письма как за, так и против, я решил опустить :) Приведу несколько характерных писем - помимо того, что стало понемногу собираться в обсуждении. Для начала - отклик автора изначального сообщения.

Вы меня не поняли. Я обозлен не на само появление сайта, я обозлен на появление этих полицаев-предателей. Я считаю, что за кражу логина можно взять штраф, но не боле. Также я считаю, что провайдер, как в Германии, не должен иметь права на выдачу информации о пользователе логина! А то что ж получается? Получается, что тут люди платят 250$ в мес. (DataForce) каким-то толстым скотам, собирающимся нажиться на нас, а эти скоты еще и ПРЕДАЮТ своих клиентов! Вы только посмотрите - кругом одни ПРЕДАТЕЛИ... Что же касается "хакера поймали - он этого заслуживает, раз его поймали", я насчет этого не спорю. Это зря было покупать материальные блага за столь крупные суммы. Я хочу лишь сказать, что не стоит провайдерам напрягаться по поводу украденного логина. Раньше они не занимались киберпространством. Это пешки. Более властные люди - законодатели, у которых ВОРОВАННЫЕ У НАС деньги куры как бы и не клюют. Им-то все равно, да и вряд ли они нуждаются в большом количестве софта, если они вообще занимаются компьютером. Но видно они забыли, что не у всех есть такие деньги (в данном случае я о WAREZ'е). О кредитных картах могу сказать только то, что не стоит делать транзакции со своего логина, а тем более заказывать что-то материальное. Возможно, я бы не писал своей статьи, если бы эти сволочи не оскорбили наших пиратов!

Другая точка зрения представлена следующим письмом.

Я тоже считаю письмо против сайта www.cyberpolice.ru провокационным. И не так провокационным, как просто нечестным. Спекулируя своей и чьей-нибудь бедностью, можно оправдать любой грабеж, преступления и тому подобное. Я не получаю и тех 1500 рублей, о которых говорит этот защитник интересов несчастных хакеров и кардеров. Это обычные ВОРЫ, которые убрали руку от чужого кармана в трамвае и переместились в компьютеру. А давая советы как лучше и безнаказаннее что-нибудь украсть, он сразу показывает, что он такой же вор. И что же интересно героического в обворовывании американцев. Это те же обычные люди, которые заработали свои деньги своим собственным трудом, а не тырили их по чужим карманам. А ещё эти демагогические высказывания о том, что ЛОХАМ (это по его определению), а вообще-то Честным Нормальным Людям в Интернете делать нечего. Милый защитник было лучше,если бы таких как ты там было как можно меньше. Теперь о самих сотрудниках www.cyberpolice.ru: Люди делают свою работу и хочется верить, что делают её честно. Почему же они не могут о ней рассказать и кому-то помочь? А демагогией о продажности американцам можно порадовать только воинствующих коммунистов. Конечно же этот "праведный"гнев поддержат многие. Но подумайте, не коснется ли когда-нибудь и Вас чья-нибудь афёра. И захочет ли компьютерная "братия" после этого выразить ""глубочайшее презрение"? Андрей Косачёв, врач

И промежуточная позиция.

Конечно, полностью не согласится с автором сложно. Российские законы по отношению к хакерам и им подобным на мой взгляд -слишком сторги. Однако, я считаю, что это не повод натравливать людей на данный сайт. Итернет не мой и не ваш. Любой человек может разместить все, что ему угодно, и если кому-то что-то не нравится - достаточно просто не заходить и не читать. Что же касается того - что все они предатели, нахлебники США - то это ваще полный бред! Хотелось бы просить автора трезво посмотреть на вещи. Мы, русские -народ особый. Любая,даже самая безмозглая идея - может стать смыслом нашей жизни, как это был например коммунизм. Мы шли в огонь, умирали за это - а зачем? Просто мы ВЕРИЛИ! Автор определенно верит в свою провоту, и спорить с ним у меня нет желания, но хотелось бы, чтоб он сам все еще-раз взвесил, и возможно он признает свою ошибку. Максим Кудрявцев 16 лет

Вообще, взаимодействие государства и сети - очень больная тема, которая пока тихо тлеет, но когда-нибудь покажет себя во всей красе. И ждать этого осталось совсем недолго, поскольку звоночков было уже предостаточно. Где та грань, за которой борьба с терроризмом и наркомафией перерастает в борьбу с собственными законопослушными гражданами ? СОРМ, ограничения на использование стойкой криптографии - все это из той же серии. Государство в какой-то момент начинает понимать, что развитие сети приводит к ограничению его возможностей - обнаруживаются области деятельности, в которых извечная монополия власть предержащих утеряна. А дальше очень многое зависит от самого государства, от законов, в нем действующих, от людей, призванных следить за их исполнением, и от людей, готовых оспорить их действия. В свое время подобная ситуация привела к созданию в США Electronic Frontier Foundation. Будет ли так у нас? Хочется верить в лучшее, но...

Борьба же с киберпреступлениями - штука еще более тонкая. Уж больно виртуально все тут. С одной стороны, вроде бы нет разницы между человеком, стянувшим сотню долларов из кармана и вытянувшим их через электронный магазин. Правосудие торжествует, общественный обвинитель готовит праведную речь. С другой стороны, часто ли вы убиваете людей на улицах? А ведь в 3D-стрелялках это на каждом шагу, а в RPG-играх любимый тип героя - вор. А так ли отличается кража в игрушке от кражи в сети? А ну как появится некая игрушка, проходя которую игроки, сами того не ведая, потихоньку очищают банки? Да, это уже пошла демагогия, но нельзя не признать - киберпреступления по определению не воспринимаются нарушителем так же, как обычные. И непонимание строгости наказания, нежелание стать на одну доску с банальным уголовником вполне понятно. А ведь нормальная пенитенциарная система должна быть основана не на возмездии по принципу "око за око", а на предоставлении возможности осознать свою ошибку и осознать ее.

Такие дела...

У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«		»