Очередной взлом компьютера NASA
Безопасность и защита информации Очередной взлом компьютера NASA
На днях суд по делам несовершеннолетних предъявил обвинение некоему Джейсону Швабу (Jason Schwab), 18-ти лет от роду, в том, что он в апреле 2000 г. взломал компьютер NASA, установленный в исследовательском центре им. Эймса в Северной Калифорнии.
По заявлению NASA, во время упомянутого взлома на компьютере были изменены некоторые файлы и добавлено несколько нелегальных аккаунтов для входа в систему. Теперь Швабу инкриминируется "преднамеренный неавторизованный или авторизованный доступ в компьютерную систему, который привел к прямому или косвенному изменению, повреждению или выходу из строя любого компьютера, компьютерной сети, службы или системы. Правда, адвокаты молодого дарования настаивают на том, что этот "хороший и честный мальчик" не имел никакого злого умысла. Он только что окончил школу и сейчас работает. 07.07.2001
Программа, позволяющая непрофессионалам взламывать сайты, незаметно распространилась по всему миру
18 июня компания Microsoft известила общественность об очередной "дыре" в своем программном обеспечении. На этот раз предупреждение касалось продукта Internet Information Server (IIS) — программы-сервера для обеспечения работы интернет-сайтов. Эту программу используют около 6 миллионов серверов по всему миру. Обнаруженная "дыра" давала возможность заинтересованному профессиональному программисту при выполнении определенных операций получить полный контроль над системой, где установлен тот или иной веб-сайт. Microsoft немедленно выпустила соответствующее обновление для IIS, устраняющее замеченный дефект.
Как выяснилось впоследствии, уже 21 июня увидела свет программа, написанная неким японским хакером по кличке HighSpeed Junkie, которая с помощью введения элементов дружественного интерфейса предоставляла возможность основательно взломать любой сервер под IIS не только профессионалу, но и простому любителю.
Эта программа была опубликована на странице, размещенной на бесплатном хостинг-сервере GeoCities, после чего она была разрекламирована в соответствующих кругах и, вероятно, неоднократно скопирована. Вопреки обычной практике, существование данного инструмента оставалось незамеченным компетентными органами в GeoCities и Microsoft, а также широкой общественностью около двух недель — вплоть до нынешней среды. Соответственно, было упущено критическое для принятия адекватных мер время. Как предполагает NewsBytes.com, за это время зловредный продукт мог достаточно широко распространиться, и теперь многие сайты, размещенные на серверах, где установлен Microsoft IIS, находятся под угрозой, так как далеко не все системные администраторы обычно обеспокоены регулярным обновлением программного обеспечения. 07.07.2001
Российские онлайн-мошенники украли $400 млн
По сообщению НТВ.ру, правоохранительные органы России и США расследуют деятельность международной преступной группы, руководители которой проживают в России. Следствием установлено, что эта группа через "всемирную паутину" расшифровала реквизиты плательщиков и владельцев кредитных карт и всего за несколько месяцев похитила свыше $400 миллионов.
За последние два года в России количество преступлений в сфере высоких технологий возросло более чем в семь раз. И все более популярным в преступной среде становится Интернет. В России продолжает распространяться так называемое телефонное пиратство — подмена городских и сотовых телефонных номеров. Согласно данным Московской городской телефонной сети и "Ростелекома", только в Москве ущерб от таких преступлений достигает $12 млн в год. Всего же за 2000 г. финансовые потери "Ростелекома" составили $780 миллионов. Как считают правоохранительные органы, прибыльность теневого оборота специальных технических средств в России можно сравнить лишь с доходами от незаконного оборота наркотиков и оружия. 07.07.2001
Голосовать против "Эшелона" будут в сентябре
Временная комиссия Европарламента, образованная для выяснения факта существования секретной системы информационного перехвата "Эшелон", окончательно пришла к выводу о том, что таковая система существует, сообщает Newsbytes. Правительство США не подтвердило факта существования этой системы или какой-либо другой глобальной шпионской сети, однако выводы комиссии основываются на результатах исследования, подтверждающего наличие такой программы, разработанной совместными усилиями правительств США, Канады, Англии, Австралии и Новой Зеландии.
В связи с этим, члены комитета большинством голосов (27 против пяти с двумя воздержавшимися) проголосовали за принятие резолюции, призывающей США прекратить шпионскую деятельность, ущемляющую права на конфиденциальность европейских граждан. Голосование Европарламента по данной резолюции намечено на 5 сентября. Резолюция призывает к подписанию соглашения между США и Европейским Союзом, регулирующего соблюдение правил охраны конфиденциальности личной и деловой информации граждан как Европы, так и США. Отмечая тот факт, что по данным, полученным комиссией, "Эшелон" не используется правительством США в обеспечение американским компаниям коммерческих преимуществ перед их европейскими партнерами, резолюция, тем не менее, говорит о необходимости начала дискуссии о природе экономического шпионажа как такового. Говорится также о необходимости приведения законодательств 15 стран-членов Евросоюза в соответствие с нормами Европейской Конвенции по правам человека. При этом США призывают к подписанию дополнительного протокола к Международной Конвенции по Гражданским и Политическим Правам человека, с тем, чтобы жалобы на шпионскую деятельность со стороны США подлежали рассмотрению в Европейской Комиссии по правам человека.
Кроме того, авторы резолюции прибегли к такой необычной мере, как призыв европейских граждан к использованию европейских систем кодирования и шифрования данных для защиты своей информации. Хоть одна здравая мысль у членов Европарламента возникла! А то сплошной детский сад какой-то, ей Богу, — давайте попросим США не шпионить за нашими гражданами! 07.07.2001
Британские судьи пожалели хакера, подарившего Биллу Гейтсу коробку "Виагры"
Девятнадцатилетний хакер из Уэльса, два года назад прославившийся на весь мир своим подарком Биллу Гейтсу, 6 июля был приговорен к исправительным работам и принудительному психиатрическому лечению. В начале 1999 года Рафаил Грей взломал базы данных нескольких электронных магазинов в Великобритании США, Канаде и Таиланде, получив информацию о кредитных картах тысяч покупателей. Добытые сведения он разместил на своем веб-сайте, а оказавшиеся в его распоряжении данные о кредитке Билла Гейтса использовал для посылки главе Microsoft огромной партии "Виагры".
Как сообщает BBC, Грей осуществлял взломы со своего домашнего компьютера. Его деятельность была направлена не на личное обогащение, а на демонстрацию слабости защиты электронных магазинов. Сам себя он называл Святым электронной торговли (Saint of e-commerce).
Поимку хакера в марте этого года осуществило ФБР США в сотрудничестве с канадской и британской полицией. В тот момент, когда агенты прибыли арестовывать Грея, он находился у себя дома и сидел за компьютером.
В суде английского города Суонси, где происходило разбирательство, к хакеру отнеслись снисходительно. BBC цитирует высказывания судей, один из которых одобрительно отозвался о чувстве юмора молодого человека, одарившего Билла Гейтса "Виагрой". Другой судья отметил, что Грей скорее наивный человек, чем злоумышленник, поскольку причинил неудобства массе людей с единственной целью получить моральное удовлетворение.
Еще одним смягчающим обстоятельством послужило психическое состояние обвиняемого, сообщает Reuters. Выяснилось, что в возрасте 14 лет он упал и сильно ударился головой, после чего стал испытывать некоторые проблемы. В результате, прогнозы журналистов о том, что хакеру грозит тюремное заключение, не оправдались. Он был приговорен к трем годам общественно-полезных работ и принудительному психиатрическому лечению. После вынесения приговора улыбающийся Грей заявил, что не жалеет о том, что сделал. 09.07.2001
Сетевая безопасность пользователей не волнует?
Безопасность в онлайне больше не беспокоит пользователей США и Англии — такой удивительный вывод можно сделать из результатов, полученных в ходе нового исследования, проведенного Datamonitor. Во всяком случае, вопросы безопасности больше не служат препятствием при пользовании онлайновыми финансовыми услугами. Вместо этого, на первый план выходит стоимость Интернета и информированность пользователей. По данным исследования, полученным в США, Англии, Франции, Германии, Италии, Испании и Швеции, пользователи склонны высказывать озабоченность вопросами информационной безопасности и надежности уже после первого использования онлайновых финансовых услуг, но никак не до того. Следовательно, по мнению одного из ведущих аналитиков Datamonitor Деррика Брауна (Derrick Brown), владельцы финансовых сайтов в своей погоне за клиентом должны учитывать не только соображения безопасности, но также и достоверность предлагаемой информации, а также ряд других факторов. В трех из шести европейских стран, в которых проводилось исследование, потенциальных пользователей онлайновых финансовых услуг, в первую очередь, останавливала стоимость интернет-доступа. Правда, в США и Англии, где эта стоимость ниже, чем в других странах, обеспокоенность выражена в меньшей степени. 11.07.2001
За американскими служащими не следят только в туалете
Более трети служащих в Соединенных Штатах не могут без надзора нанимателей пойти в Интернет. Данные об этом опубликовала в понедельник известная общественная организация Privacy Foundation. Наниматели внимательно следят за тем, куда их сотрудники ходят в Интернете и какие письма они получают. По данным Privacy Foundation, число внимательных боссов растет достаточно быстро. Это связано со стремлением начальства повысить продуктивность работы подчиненных, удешевлением специального программного обеспечения, а также с необходимостью избегать скандалов из-за "вынесения сора из избы", что обходится компании достаточно дорого. Как сообщает Reuters, исследование Privacy Foundation показало, что из 40 миллионов американских служащих, у которых есть доступ в Интернет на рабочем месте, за 14 миллионами (35 процентов) следят наниматели. А по всему миру поднадзорные сотрудники составляют 27 процентов (27 миллионов из ста). Специальное программное обеспечение для нужд работодателей выпускают, например, компании Websense и Baltimore Technologies. Новые разработки этих компаний предполагают слежку за всем офисом в целом, а не только за избранными сотрудниками. Программное обеспечение стоит около 5,25 долларов (за установку на одном компьютере). Федеральные законы США дают нанимателям практически полную свободу подглядывать за своими сотрудниками. Все работодатели честно предупреждают, что каждое действие сотрудника в Интернете фиксируется и может быть замечено начальством. Зато никто не ставит веб-камеры в туалетах, чтобы фиксировать, сколько времени сотрудники компании проводят в уединении и чем они там занимаются, сообщают исследователи. 11.07.2001
ComputerWorld представил рейтинг 10 наиболее распространенных ошибок пользователей, приводящих к взлому или заражению системы
На web-сайте известного компьютерного издания ComputerWorld опубликован рейтинг из 10 ошибок, которые наиболее часто совершают пользователи ПК и которые чаще всего становятся причиной компьютерных взломов. Выглядит рейтинг следующим образом:
1) Пароли доступа часто записываются на бумажку, которая приклеивается к монитору.
2) Пользователи ПК пренебрегают установкой антивирусных пакетов, мотивируя это тем, что замедляется работа системы в целом.
3) Компьютеры остаются часто включенными и подключенными к корпоративной локальной сети, когда их владельцы уходят со своего рабочего места. Это позволяет злоумышленникам проникать на серверы компании, даже не совершая взлома.
4) Пользователи открывают вложенные в электронную почту файлы, не протестировав их предварительно на наличие вирусов.
5) Пароли, которые назначают себе пользователи, очень легки для простого подбора. Так, во время одного из экспериментов в течение 30 минут специалисты NASA сумели подобрать 60% инженерных паролей корпорации General Dynamics.
6) Пароли часто произносятся вслух в присутствии других лиц.
7) Пользователи часто теряют ноутбуки с конфиденциальной информацией.
8) Корпорации предпочитают экономить на вопросах компьютерной безопасности, впервые серьезно озадачиваясь этой проблемой только после первого взлома.
9) Уволенные сотрудники часто предпринимают различные недружественные акции в отношении компании, воспользовавшись своими все еще действующими старыми регистрационными данными.
10) Системы сетевой безопасности и антивирусные пакеты нерегулярно обновляются. 12.07.2001
Подготовил Евгений Сечко, safeman@mail.ru
(c) компьютерная газета
На днях суд по делам несовершеннолетних предъявил обвинение некоему Джейсону Швабу (Jason Schwab), 18-ти лет от роду, в том, что он в апреле 2000 г. взломал компьютер NASA, установленный в исследовательском центре им. Эймса в Северной Калифорнии.
По заявлению NASA, во время упомянутого взлома на компьютере были изменены некоторые файлы и добавлено несколько нелегальных аккаунтов для входа в систему. Теперь Швабу инкриминируется "преднамеренный неавторизованный или авторизованный доступ в компьютерную систему, который привел к прямому или косвенному изменению, повреждению или выходу из строя любого компьютера, компьютерной сети, службы или системы. Правда, адвокаты молодого дарования настаивают на том, что этот "хороший и честный мальчик" не имел никакого злого умысла. Он только что окончил школу и сейчас работает. 07.07.2001
Программа, позволяющая непрофессионалам взламывать сайты, незаметно распространилась по всему миру
18 июня компания Microsoft известила общественность об очередной "дыре" в своем программном обеспечении. На этот раз предупреждение касалось продукта Internet Information Server (IIS) — программы-сервера для обеспечения работы интернет-сайтов. Эту программу используют около 6 миллионов серверов по всему миру. Обнаруженная "дыра" давала возможность заинтересованному профессиональному программисту при выполнении определенных операций получить полный контроль над системой, где установлен тот или иной веб-сайт. Microsoft немедленно выпустила соответствующее обновление для IIS, устраняющее замеченный дефект.
Как выяснилось впоследствии, уже 21 июня увидела свет программа, написанная неким японским хакером по кличке HighSpeed Junkie, которая с помощью введения элементов дружественного интерфейса предоставляла возможность основательно взломать любой сервер под IIS не только профессионалу, но и простому любителю.
Эта программа была опубликована на странице, размещенной на бесплатном хостинг-сервере GeoCities, после чего она была разрекламирована в соответствующих кругах и, вероятно, неоднократно скопирована. Вопреки обычной практике, существование данного инструмента оставалось незамеченным компетентными органами в GeoCities и Microsoft, а также широкой общественностью около двух недель — вплоть до нынешней среды. Соответственно, было упущено критическое для принятия адекватных мер время. Как предполагает NewsBytes.com, за это время зловредный продукт мог достаточно широко распространиться, и теперь многие сайты, размещенные на серверах, где установлен Microsoft IIS, находятся под угрозой, так как далеко не все системные администраторы обычно обеспокоены регулярным обновлением программного обеспечения. 07.07.2001
Российские онлайн-мошенники украли $400 млн
По сообщению НТВ.ру, правоохранительные органы России и США расследуют деятельность международной преступной группы, руководители которой проживают в России. Следствием установлено, что эта группа через "всемирную паутину" расшифровала реквизиты плательщиков и владельцев кредитных карт и всего за несколько месяцев похитила свыше $400 миллионов.
За последние два года в России количество преступлений в сфере высоких технологий возросло более чем в семь раз. И все более популярным в преступной среде становится Интернет. В России продолжает распространяться так называемое телефонное пиратство — подмена городских и сотовых телефонных номеров. Согласно данным Московской городской телефонной сети и "Ростелекома", только в Москве ущерб от таких преступлений достигает $12 млн в год. Всего же за 2000 г. финансовые потери "Ростелекома" составили $780 миллионов. Как считают правоохранительные органы, прибыльность теневого оборота специальных технических средств в России можно сравнить лишь с доходами от незаконного оборота наркотиков и оружия. 07.07.2001
Голосовать против "Эшелона" будут в сентябре
Временная комиссия Европарламента, образованная для выяснения факта существования секретной системы информационного перехвата "Эшелон", окончательно пришла к выводу о том, что таковая система существует, сообщает Newsbytes. Правительство США не подтвердило факта существования этой системы или какой-либо другой глобальной шпионской сети, однако выводы комиссии основываются на результатах исследования, подтверждающего наличие такой программы, разработанной совместными усилиями правительств США, Канады, Англии, Австралии и Новой Зеландии.
В связи с этим, члены комитета большинством голосов (27 против пяти с двумя воздержавшимися) проголосовали за принятие резолюции, призывающей США прекратить шпионскую деятельность, ущемляющую права на конфиденциальность европейских граждан. Голосование Европарламента по данной резолюции намечено на 5 сентября. Резолюция призывает к подписанию соглашения между США и Европейским Союзом, регулирующего соблюдение правил охраны конфиденциальности личной и деловой информации граждан как Европы, так и США. Отмечая тот факт, что по данным, полученным комиссией, "Эшелон" не используется правительством США в обеспечение американским компаниям коммерческих преимуществ перед их европейскими партнерами, резолюция, тем не менее, говорит о необходимости начала дискуссии о природе экономического шпионажа как такового. Говорится также о необходимости приведения законодательств 15 стран-членов Евросоюза в соответствие с нормами Европейской Конвенции по правам человека. При этом США призывают к подписанию дополнительного протокола к Международной Конвенции по Гражданским и Политическим Правам человека, с тем, чтобы жалобы на шпионскую деятельность со стороны США подлежали рассмотрению в Европейской Комиссии по правам человека.
Кроме того, авторы резолюции прибегли к такой необычной мере, как призыв европейских граждан к использованию европейских систем кодирования и шифрования данных для защиты своей информации. Хоть одна здравая мысль у членов Европарламента возникла! А то сплошной детский сад какой-то, ей Богу, — давайте попросим США не шпионить за нашими гражданами! 07.07.2001
Британские судьи пожалели хакера, подарившего Биллу Гейтсу коробку "Виагры"
Девятнадцатилетний хакер из Уэльса, два года назад прославившийся на весь мир своим подарком Биллу Гейтсу, 6 июля был приговорен к исправительным работам и принудительному психиатрическому лечению. В начале 1999 года Рафаил Грей взломал базы данных нескольких электронных магазинов в Великобритании США, Канаде и Таиланде, получив информацию о кредитных картах тысяч покупателей. Добытые сведения он разместил на своем веб-сайте, а оказавшиеся в его распоряжении данные о кредитке Билла Гейтса использовал для посылки главе Microsoft огромной партии "Виагры".
Как сообщает BBC, Грей осуществлял взломы со своего домашнего компьютера. Его деятельность была направлена не на личное обогащение, а на демонстрацию слабости защиты электронных магазинов. Сам себя он называл Святым электронной торговли (Saint of e-commerce).
Поимку хакера в марте этого года осуществило ФБР США в сотрудничестве с канадской и британской полицией. В тот момент, когда агенты прибыли арестовывать Грея, он находился у себя дома и сидел за компьютером.
В суде английского города Суонси, где происходило разбирательство, к хакеру отнеслись снисходительно. BBC цитирует высказывания судей, один из которых одобрительно отозвался о чувстве юмора молодого человека, одарившего Билла Гейтса "Виагрой". Другой судья отметил, что Грей скорее наивный человек, чем злоумышленник, поскольку причинил неудобства массе людей с единственной целью получить моральное удовлетворение.
Еще одним смягчающим обстоятельством послужило психическое состояние обвиняемого, сообщает Reuters. Выяснилось, что в возрасте 14 лет он упал и сильно ударился головой, после чего стал испытывать некоторые проблемы. В результате, прогнозы журналистов о том, что хакеру грозит тюремное заключение, не оправдались. Он был приговорен к трем годам общественно-полезных работ и принудительному психиатрическому лечению. После вынесения приговора улыбающийся Грей заявил, что не жалеет о том, что сделал. 09.07.2001
Сетевая безопасность пользователей не волнует?
Безопасность в онлайне больше не беспокоит пользователей США и Англии — такой удивительный вывод можно сделать из результатов, полученных в ходе нового исследования, проведенного Datamonitor. Во всяком случае, вопросы безопасности больше не служат препятствием при пользовании онлайновыми финансовыми услугами. Вместо этого, на первый план выходит стоимость Интернета и информированность пользователей. По данным исследования, полученным в США, Англии, Франции, Германии, Италии, Испании и Швеции, пользователи склонны высказывать озабоченность вопросами информационной безопасности и надежности уже после первого использования онлайновых финансовых услуг, но никак не до того. Следовательно, по мнению одного из ведущих аналитиков Datamonitor Деррика Брауна (Derrick Brown), владельцы финансовых сайтов в своей погоне за клиентом должны учитывать не только соображения безопасности, но также и достоверность предлагаемой информации, а также ряд других факторов. В трех из шести европейских стран, в которых проводилось исследование, потенциальных пользователей онлайновых финансовых услуг, в первую очередь, останавливала стоимость интернет-доступа. Правда, в США и Англии, где эта стоимость ниже, чем в других странах, обеспокоенность выражена в меньшей степени. 11.07.2001
За американскими служащими не следят только в туалете
Более трети служащих в Соединенных Штатах не могут без надзора нанимателей пойти в Интернет. Данные об этом опубликовала в понедельник известная общественная организация Privacy Foundation. Наниматели внимательно следят за тем, куда их сотрудники ходят в Интернете и какие письма они получают. По данным Privacy Foundation, число внимательных боссов растет достаточно быстро. Это связано со стремлением начальства повысить продуктивность работы подчиненных, удешевлением специального программного обеспечения, а также с необходимостью избегать скандалов из-за "вынесения сора из избы", что обходится компании достаточно дорого. Как сообщает Reuters, исследование Privacy Foundation показало, что из 40 миллионов американских служащих, у которых есть доступ в Интернет на рабочем месте, за 14 миллионами (35 процентов) следят наниматели. А по всему миру поднадзорные сотрудники составляют 27 процентов (27 миллионов из ста). Специальное программное обеспечение для нужд работодателей выпускают, например, компании Websense и Baltimore Technologies. Новые разработки этих компаний предполагают слежку за всем офисом в целом, а не только за избранными сотрудниками. Программное обеспечение стоит около 5,25 долларов (за установку на одном компьютере). Федеральные законы США дают нанимателям практически полную свободу подглядывать за своими сотрудниками. Все работодатели честно предупреждают, что каждое действие сотрудника в Интернете фиксируется и может быть замечено начальством. Зато никто не ставит веб-камеры в туалетах, чтобы фиксировать, сколько времени сотрудники компании проводят в уединении и чем они там занимаются, сообщают исследователи. 11.07.2001
ComputerWorld представил рейтинг 10 наиболее распространенных ошибок пользователей, приводящих к взлому или заражению системы
На web-сайте известного компьютерного издания ComputerWorld опубликован рейтинг из 10 ошибок, которые наиболее часто совершают пользователи ПК и которые чаще всего становятся причиной компьютерных взломов. Выглядит рейтинг следующим образом:
1) Пароли доступа часто записываются на бумажку, которая приклеивается к монитору.
2) Пользователи ПК пренебрегают установкой антивирусных пакетов, мотивируя это тем, что замедляется работа системы в целом.
3) Компьютеры остаются часто включенными и подключенными к корпоративной локальной сети, когда их владельцы уходят со своего рабочего места. Это позволяет злоумышленникам проникать на серверы компании, даже не совершая взлома.
4) Пользователи открывают вложенные в электронную почту файлы, не протестировав их предварительно на наличие вирусов.
5) Пароли, которые назначают себе пользователи, очень легки для простого подбора. Так, во время одного из экспериментов в течение 30 минут специалисты NASA сумели подобрать 60% инженерных паролей корпорации General Dynamics.
6) Пароли часто произносятся вслух в присутствии других лиц.
7) Пользователи часто теряют ноутбуки с конфиденциальной информацией.
8) Корпорации предпочитают экономить на вопросах компьютерной безопасности, впервые серьезно озадачиваясь этой проблемой только после первого взлома.
9) Уволенные сотрудники часто предпринимают различные недружественные акции в отношении компании, воспользовавшись своими все еще действующими старыми регистрационными данными.
10) Системы сетевой безопасности и антивирусные пакеты нерегулярно обновляются. 12.07.2001
Подготовил Евгений Сечко, safeman@mail.ru
(c) компьютерная газета
Компьютерная газета. Статья была опубликована в номере 26 за 2001 год в рубрике безопасность :: разное