информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Сетевые кракеры и правда о деле ЛевинаВсе любят медПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Уязвимости в реализациях OpenPGP... 
 Twitter просит пользователей срочно... 
 Google прикрыл domain fronting 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 1999
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997




The Bat!

Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



Paragon Partition Manager 7.0

22 августа 1999, #77

Есть своя прелесть в летней нерегулярности. Гораздо приятнее садиться за обзор, когда материала накопилось столько, что выплескивается за уши, и он прямо таки заставляет усесться за клавиатуру. Немалая часть этого выпуска будет связана с околоправовыми вопросами - уж так получилось. А пока о приятном - на этой неделе мы, похоже, закончили вычитывание верстки второго издания "Атаки", и если не случится ничего непредвиденного, в сентябре книга увидит свет, сменив по пути название - теперь это "Атака на Интернет".


Сначала любимая мозоль - история с книгой "Эффективный хакинг", использующей статьи, сворованные с hackzone и других сайтов по безопасности (см. предыдущий выпуск обзора). Ситуация под контролем, те-кому-положено ей занимаются, и, думаю, в сентябре мне будет что об этом сообщить (вообще, сентябрь-октябрь ожидаются весьма бурными, так что следите за рекламой :)). Пока же небольшое продолжение. На той неделе я получил такое письмо (оно было послано и в открытый мейллист @banners, так что я не чувствую угрызений совести, его публикуя):

From: Leontiev Boris 
To: 
Subject: [BANNERS] RE: Всем, кому это интересно....
Date: 13 августа 1999 г. 20:06

> Всем хакерам и кракерам привет!
> Что касается этой книги, то в ней я иду как автор статьи
> "Что такое хорошо и что такое плохо?"
> 
> Кто такой Петровский - я сам не знаю!
> 
> Как вышла эта книга, которую я просто сверстал за 60$? я догадываюсь...
> Но, кстати, то издательство, которое в ней фигурирует не издавало ее, так
> как заказчиком было одно частное лицо. Ситуация, еще осложняется тем, что,
> я на обложке и титуле никогда не ставил своего имени. Это означает, что
> все это дело подставка - опорочить меня как писателя... Кто? Я пытаюсь это
> выяснить!
> Все, что мной написано, опубликовано в библиотеке Мошкова в электронном
> виде. Это очень много именно моих текстов! Кстати, могу представить в
> печатном виде... Какой смысл мне воровать чужие статьи? 
> Что касается штирлициады - я был ее продолжателем и тем самым человеком,
> без которого этот двухтомник никогда бы не появился на свет, так как
> ежиков написали Олег Романов (Бегемотов) и Павел Афонин (Асс) (ничего
> криминального там не было), все это сплетни...

Ну что ж, остается только посочувстовать взаимоотношениям автора письма с издательством, выпустившем перед этим 15 (если не больше) книг с его участием и решившим так жестоко подставить на 16-й. Ужас, просто ужас. Звериный, понимаешь, оскал капитализьма и заговор темных сил в одном флаконе. Говорят, за такие вещи можно даже огрести иск о защите чести и достоинства...


Таак, теперь святое, RC5 HackZone Team. За отчетный период к нам присоединилось более сотни человек, и мы заметно прибавили в скорости (пять рабочих дней подряд она не опускалась ниже миллиона килоключей). Судя по всему, к началу сентября мы станем уже пятой по численности командой проекта, и пройдем еще четыре команды в общем рейтинге.

Началось голосование по дизайну HZTeam City, так что заинтересованные лица приглашаются в кабинки для голосования. Буквально на днях закончилось голосование по командному логотипу, победителя вы можете наблюдать по соседству (автор - Олег Шульгин). Хотя другие финалисты очень серьезно отстали от победителя, среди них есть очень симпатичные экземпляры, и было бы просто жалко оставлять их без дела. Надеюсь, авторы не будут против использования их элементов в командных баннерах.


В начале месяца наш чат почтил своим присутствием Дмитрий Владимирович Чепчугов, начальник отдела по борьбе с преступлениями в сфере компьютерной информации и телекоммуникаций МВД России. С логом можно ознакомиться здесь. К сожалению, несмотря на то, что в чате утверждалось, что мне неоднократно направлялись предложения к сотрудничеству, все, что я получал - сообщения на доске объявлений за подписью "Старший брат" и обратным адресом с халявного мейл-сервера, а также форвард еще одного письма с @mail.ru, Покажите мне нормального веб-мастера, воспринимающего всерьез подобные сообщения. Кроме того, мне всегда казалось, что перед тем как давать столь громкие объявления, стоит для начала договориться с хозяевами, а не ставить их перед фактом. Это и послужило причиной появления того объявления, что встретило посетителей чата, и которое я до сих пор ленюсь снять :)) Ну да ладно, это дело прошлое, разговор прошел достаточно спокойно, благо народу собралось немного, и вполне нормально для первого блина. Да и сам факт подобного "выхода в народ" не может не радовать.

Логичным продолжением этой акции можно считать организованный ЭхоНетом постоянно действующий форум, главным действующим лицом которого по-прежнему является Д.В.Чепчугов. Обсуждение обещает быть интересным, так что заходите.


На днях Компьютерра очередной раз разродилась антирэмблеровской статьей. Ставший традиционным набор обвинений администрации Рэмблера в предвзятости пополнился новым фактом. Совсем недавно download.ru и несколько других сайтов российcких разработчиков программного обеспечения (преимущественно shareware) объявили о своем выходе из Рэмблера. Причина - засилье в некоторых рэмблеровских категориях "хакерских" сайтов (точнее, сайтов, распространяющих серийные номера, кряки и т.п.). Обсуждение статьи и ситуации вокруг Рэмблера получилось весьма бурным. Не буду пережевывать здесь его детали, взгляните сами.

От себя же пока добавлю, что за те два года, что мои сайты пользуются этим ресурсом, у меня не было повода быть недовольным Рэмблером. Статистические изыски мне не особенно нужны, благо логи сервера всегда под рукой, а в качестве рейтинговой системы (aka пузомерки) и генератора трафика Рэмблеру в российской сети равных пока нет.


В конце июля появился сайт Интернет-розыск. Посвящен он не только и не столько компьютерной преступности, основное назначение - использовать Интернет для борьбы с преступностью вообще. Сервер содержит ориентировки по совершенным преступлениям, базу данных по без вести пропавшим, преступникам и неопознанным трупам (грубо говоря, интернетовский вариант стенда "Их разыскивает..."), а также аналитические и публицистические материалы.

В общем, вполне логичный шаг, то же ФБР давно ведет в сети аналогичную деятельность. По словам создателя сервера, Виктора Наумова, за прошедшее с момента открытия время было получено уже несколько десятков откликов.


9 августа произошло долгожданное событие - вынесение приговора Митнику. Итог - 3 года и 10 месяцев тюрьмы и 4125 долларов штрафа. Плюс запрет на доступ ко всему, что может использоваться для входа в Интернет - от компьютеров до сотовых телефонов и телевизоров, запрет на работу консультантом в фирмах, имеющих доступ к компьютерам. Интересно, будет ли такое возможным к моменту его выхода из тюрьмы...


Готовясь к предстоящему выходу Windows 2000, Microsoft запустила специальный сервер http://www.windows2000test.com/, предложив всем желающим его испытать на прочность. Сообщения о состоянии сервера за начало августа читаются как детектив, или, точнее, роман-катастрофа - "сеть упала из-за сбоя роутера, переполнился системный лог, перезагрузились, сервисы не стартовали, запустили их вручную, опять упала сеть из-за грозы, пришел синий экран, отвалилась гостевая книга, перестал отдаваться GET, обнаружилась плюха в tcp-стеке" и т.п.

В качестве ответа Чемберлену параллельно был запущен аналогичный проект с Linux для PowerPC, В случае получения контроля над машиной взломщик должен был получить ее в качестве приза. Чтобы было не очень трудно, пароль рута был опубликован :) Итог - две недели работы, одна перезагрузка, ни одного успешного взлома.


С подачи Алексея Сорокина я немного погонял Terminal Services Client от win2k. С учетом прохода через пару диалапов и для кучи - через pcAnywhere, скорость работы оказалась вполне приемлемой. Желающим посмотреть - вид с клиента раз, два, и вид со стороны сервера раз, два.

Но я все равно поостерегся бы запускать это чудо, к примеру, в студенческий дисплейный класс. Последняя плюха в Terminal Server была исправлена совсем недавно, а сколько их еще будет...


Очередной раз, откуда ни возьмись, вылезли проблемы IIS с длинными именами. Как известно, обычно любому файлу с именем, выходящим за старые добрые рамки 8+3, присваивается короткое имя, по которому с ним могут работать старые досовские программы. Многие серверы уже наступали на эти грабли - при обращении к файлу по короткому имени частенько удавалось проделать то, что было недоступно при обращении по длинному. Плюха вроде старая и известная, однако ж в IIS 4 и некоторых других продуктах сторонних производителей обнаружилась ее небольшая модификация: каталог, к которому обращаются по короткому имени, наследует права доступа от родительского каталога. Общий рецепт - запретить ко всем чертям формирование имен 8+3, благо NTFS это позволяет.

Непростая судьба ожидала и исправление дырки Malformed HTTP Request Header. Выйдя в начале месяца, оно было отозвано буквально в течение нескольких часов из-за проблем совместимости, и выложено заново аж через пять дней.

Ну и завершая на сегодня тему майкрософтовских дырок - Microsoft JET ODBC Vulnerability. Счастливые обладатели Excel могут испытать ее на себе, зайдя на эту страницу,


Очередной НЕ обзор Евгения Ильченко стал все-таки обзором хакерских и не только сайтов :) На самом деле, вполне достойная попытка описать одним махом наиболее значимые рунетовские сайты нашей тематики.


Я уже довольно давно перестал писать в обзоре о появляющихся новых троянцах. Последним исключением был bo2k, Donald Dick же заслужил упоминания тем, что в отличие от большинства собратьев обещает работать не только через tcp/ip, но и через spx.


И совсем уж на сладкое - эмулятор юникса, написанный Евгением Степанищевым ...только не падайте со стула... на JavaScript. Реализовано десятка четыре команд, включая нежно любимый vi (с самым минимальными возможностями, но оно все-таки редактирует), lynx (которым правда по совместительству работает основной броузер) и man по всем доступным командам. Файловую систему можно даже скинуть на диск либо в cookie, работают всякие перенаправления ввода/вывода... В общем, конечно, игрушка, но игрушка, перед которой хочется снять шляпу. Потрясающее доказательство постулата - настоящему программисту все равно, на чем писать.


За ссылки этого выпуска спасибо Сергею Казаченко и Алексею Сорокину.


У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«     »



анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach