Хакерша из ГИБДД украла у клиентов 11 тысяч долларов

Безопасность и защита информации Хакерша из ГИБДД украла у клиентов 11 тысяч долларов
Служащая одной из государственных служб штата Аляска воспользовалась глюком в компьютерной системе своей организации и украла в общей сложности 11 тысяч 560 долларов. Сейчас ее судят за кражу.
Как сообщила во вторник Anchorage Daily News, 28-летняя Дарси Рили обманула более 79 клиентов за прошлый год. Она нашла сбой в компьютерной системе, который позволял ей брать с клиентов 250 долларов и выше за восстановление водительских прав. В системе после этого оставалась запись, что она выдала права всего за 15 долларов, а разницу она клала себе в карман. Полезный сбой в системе Рили обнаружила по чистой случайности в июне прошлого года, и до мая этого года ее кражи оставались незамеченными. Рили сообщила полиции, что часть украденных денег она использовала для того, чтобы помогать другим клиентам снизить расходы на восстановление прав. Свои расчеты она вела на листочке бумаги, не доверяя такие важные данные компьютеру. 14.07.2001

Visa стандартизирует Internet-аутентификацию
Компания Visa International опубликовала спецификацию 3-D Secure 1.0, призванную стандартизировать процесс аутентификации при выполнении транзакций по кредитным картам Visa через Internet.
В разработке и тестировании спецификации принимают участие свыше 60 производителей и консалтинговых фирм, включая IBM, Oracle и Sun. Ряд производителей также занимается разработкой продуктов и услуг, помогающих в реализации поддержки 3-D Secure и ее использовании.
По словам представителя Visa, назначение спецификации состоит в том, чтобы пользователи ее карт смогли доверять Internet в той же степени, что и банкоматам. Инсталляция ПО и оборудования с поддержкой 3D-Secure 1.0 для тестирования в банках заняла около двух недель. По утверждению представителя Visa, инвестиции, требуемые для развертывания технологии, "не слишком велики". Спецификация предлагается как возможная альтернатива стандарту 3-D Secure Electronic Transaction (SET), разработанному пять лет назад.
В отличие от 3-D SET, основанного на защите транзакций, 3-D Secure базируется на аутентификации личности покупателя и предоставлении соответствующей информации продавцу. Спецификация поддерживает возможность аутентификации при помощи кассовых аппаратов, ПК и мобильных телефонов; в дальнейшем планируется добавить поддержку PDA и интерактивных телевизоров. Ежегодный объем транзакций с применением карт Visa составляет около $1,9 трлн. На долю Internet-транзакций в настоящее время приходится 2-3% от этой суммы, а из-за мошенничеств с кредитными картами теряется менее 0,1%. 14.07.2001

Хостеры начинают "Антиспам"
На этой неделе Ассоциация операторов телематических служб (АОТС) приняла решение о старте акции "Антиспам". В рамках этой акции abuse-службы всех членов Ассоциации будут вести согласованную политику в отношении спамеров. Конечным итогом акции должно стать создание единой общедоступной базы данных, которой сможет воспользоваться любой пользователь, проверив на сайте Ассоциации интересующий его адрес на спам.
Ассоциация профессиональных хостинг-провайдеров была создана в мае этого года по инициативе HighWay и "МастерХост".
Фактически начало акции "Антиспам" означает создание совместного abuse'а, в который заносятся адреса спамеров. Если abuse любой из компаний-членов Ассоциации "закрывает" адрес, с которого рассылался спам, то abuse'ы прочих компаний делают то же самое. Спам-листы, в которые заносятся адреса злостных спамеров, есть практически у всех провайдеров, а занесение в него предполагает, что письма с этого адреса не попадут в ящики пользователей. 17.07.2001

Беспроводные сети — мечта хакера
Согласно данным http://www.submarine.ru, Тим Ньюшем (Tim Newsham) исследователь из фирмы @Stake, занимающейся вопросами безопасности, в своем докладе на конференции Black Hat Briefings продемонстрировал слабость системы защиты беспроводных сетей, которую можно сломать менее чем за 30 секунд.
Он сказал, что протокол WEP (Wired Equivalent Privacy), который призван защищать безопасность сети, наследственно небезопасен, это всего лишь маленький барьер на пути атакующего, который очень легко преодолеть.
64-битный ключ, используемый в системах, предназначенных для дома, взламывается менее чем за минуту, если атакующему удалось перехватить лучи, несущие по сети информацию. Но и более новые 128-битные решения, кажущиеся значительно более защищенными, на деле очень слабы. Плохо подобранные пароли (а большинство из них именно такие) являются замечательной мишенью для старой доброй атаки, основанной на подборе по словарю наиболее употребляемых слов.
"Сработает это или нет — не важно. Даже если это не сработает, Вы можете попробовать другую атаку", — говорит он. Действительно, целый ряд докладов на конференции были посвящены слабости защиты беспроводных сетей. Например, Ян Голдберг (Ian Goldberg) Zero Knowledge Systems представил множество различных техник взлома. То, как изменять, дополнять и взламывать данные в беспроводных соединениях, было предметом его диссертации в Калифорнийском Университете.
Целью исследователей было не дать хакерам новые инструменты, а продемонстрировать людям возможные опасности и указать на необходимость разработки хороших защитных алгоритмов. "Люди должны рассматривать беспроводные сети с той же точки зрения, что и Интернет, что означает необходимость использования криптографии для защиты данных", — говорит Голдберг. 14.07.2001

Безопасность гарантируется?
По материалам Internetwk.com стало известно, что коалиция компаний и групп пользователей Internet (www.cisecurity.org) в прошлый понедельник выпустила набор стандартов для обеспечения минимальной безопасности операционных систем при работе в Сети. Теперь системные администраторы получат подробное описание конфигурации, позволяющей наилучшим образом противостоять хакерским атакам.
Первый набор стандартов разработан для операционной системы Solaris компании Sun Microsystems. Обусловлено это в первую очередь тем, что под управлением этой ОС работает большинство банковских и военных компьютеров и значительная часть систем электронной торговли.
Ни одна организация не застрахована полностью от атаки хакера. Это тем более верно, что большинство операционных систем, обладая потенциально высокой степенью безопасности, поставляются в конфигурации, где "по умолчанию" эти возможности отключены. Появившийся набор правил по обеспечению минимальной безопасности является готовым описанием действий, необходимых для того, чтобы активизировать встроенные охранные системы.
По словам разработчиков, стандарты для других операционных систем, включая Windows NT и 2000, Linux, AIX, HP-UX, будут доступны в самом скором времени. Принятие этих стандартов в качестве "законов" для любой организации не только защищает ценную информацию от потенциальной кражи, но и помогает избавиться от последствий, связанных с незаконным ее использованием. 16.07.2001

В Лас-Вегасе арестован российский программист
В США арестован российский программист Дмитрий Скляров. Как сообщает "Нетоскоп", сотрудника компании "Элкомсофт" задержали агенты ФБР в аэропорту Лас-Вегаса. Скляров вместе с другими представителями "Элкомсофта" приехал в Лас-Вегас на девятый ежегодный хакерский съезд DEF CON с докладом о своей разработке — программе Advanced eBook Processor, снимающей защиту с электронных книг. Появление этой программы вызвало недовольство компании Adobe, которая требовала убрать ее из открытого доступа. Арест программиста связывают именно с этой разработкой.
Единственным источником информации об этом инциденте является издание Planet eBook. Президенту "Элкомсофта" Владимиру Каталову не удалось на месте получить какую-либо информацию о судьбе Склярова. Официально установлено только то, что программист не улетел домой тем рейсом, на который у него были куплены билеты. 18.07.2001

В Лас-Вегасе завершилась хакерская конференция DefCon
В четверг 12 июля в США в Лас-Вегасе, штат Невада, закончилась двухдневная конференция Black Hat Briefings, проводимая для системных администраторов, интересующихся борьбой с хакерами. В ходе конференции обсуждались последние достижения в области безопасности компьютерных сетей, технологий обнаружения взломов, выслеживания и изобличения компьютерных преступников. На следующий день, в пятницу 13 июля, в Лас-Вегасе начался девятый ежегодный съезд хакеров DefCon. По данным агентства "Нетоскоп", организаторы специально состыковали сроки, чтобы у враждующих сторон была возможность встретиться. В воскресенье 15 июня DefCon завершил свою работу.
В ходе Black Hat Briefings основатель обеих конференций Джефф Мосс (Jeff Moss) предсказал, что 60 процентов участников антихакерского собрания останутся на Def Con. Участие в конференции Black Hat стоит 1000 долларов, в то время как участие в DefCon — 50 долларов. По данным Reuters, число администраторов-участников Black Hat составило 1300 человек, число хакеров-DefCon'овцев — около 5 тысяч человек.
Нынешний DefCon, по сообщению Reuters, охарактеризовался повышенным вниманием к вопросам применения способностей хакеров "в мирных целях" — для обеспечения компьютерной безопасности различных компаний. Организаторы съезда объявили, что собираются организовать собственное коммерческое предприятие. 18.07.2001

C помощью собственной программы, написанной на Perl, хакер сумел за одну минуту взломать 679 сайтов
В минувший четверг в мировом Интернете был поставлен весьма своеобразный рекорд. Члену известной хакерской группы World of Hell (WoH), именующему себя RaFa, удалось в течение одной минуты взломать 679 web-сайтов. При этом, как заявил позднее сам виновник торжества, никакой сверхзадачи во время осуществления взлома он перед собой не ставил. Фактически вручную был взломан только один сайт — страница поклонников поп-певца Рики Мартина, находящаяся по адресу Rickymartin.com.mx. Однако с помощью созданной хакером программы, эксплуатирующей системную ошибку протокола Internet Printing Protocol, используемого в Windows 2000, RaFa сумел проникнуть на сервер с администраторскими полномочиями. Это в свою очередь позволило ему с помощью простой программы, содержащей в себе сценарий на языке Perl, заменить все сайты, физически расположенные на данном сервере, собственной страницей хакера. В числе пострадавших сайтов оказались такие известные ресурсы, как сайт поклонников певицы Кейт Мосс Kate-site.com и портал, посвященный маркетинговым исследованиям рынка кредитных карт, Selectcreditcards.com.
В сетевом сообществе новый рекорд в сфере дефейса — несанкционированной замены главных страниц сайтов — вызвал бурные дискуссии относительно перспектив так называемого виртуального хостинга, при котором достаточно большое количество сайтов размещаются на одном физическом сервере. Именно услуги виртуального хостинга стоимостью 100 дол. в год предлагал своим клиентам провайдер Ready Hosting, которому и принадлежал злосчастный сервер. 18.07.2001

Подготовил Евгений Сечко, safeman@mail.ru


(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 27 за 2001 год в рубрике безопасность :: разное

©1997-2024 Компьютерная газета