Дыра обнаружена не в Morpheus, а в головах пользователей

Безопасность и защита информации Дыра обнаружена не в Morpheus, а в головах пользователей
Во вторник BBC сообщила о том, что в файлообменной peer2peer-системе Morpheus обнаружена огромная дыра, позволяющая кому угодно просматривать всю информацию, хранящуюся на жестких дисках миллионов клиентов этой файлообменной сети.
В результате небольшого расследования журналисты NewsBytes пришли к выводу, что сообщение об огромной дыре несколько преувеличено.
Согласно NewsBytes, некоторые из клиентов Morpheus сами открывают содержимое своих жестких дисков всем желающим.
На основе peer2peer-системы Morpheus работает файлообменный сервис MusicCity. Поддержанием этого сетевого сервиса занимается компания StreamCast Networks. Руководство компании называло "странной" статью ВВС и заявление о том, что "жесткие диски миллионов компьютеров доступны для всех желающих".
В своей статье, посвященной "дыре в Morpheus", ВВС ссылается на некое исследование специалистов из группы 2600, которые наткнулись на это слабое место случайно. При этом в статье указывается, что доступной становится информация лишь некоторых пользователей. "Мы не можем сказать точно, из-за чего именно некоторые пользователи системы уязвимы, а некоторые — нет, — заявил один из представителей 2600.
Потенциально же этот дефект может привести к тому, что информация на любом компьютере, включенном в систему, может стать доступной всем, кто захочет на нее посмотреть".
Несмотря на свою общую неуверенность, представитель 2600 вполне уверенно заявил, что жесткие диски на машинах-клиентах файлообменной системы оказываются доступны именно из-за дыры в самой системе Morpheus.
Журналисты NewsBytes самостоятельно протестировали систему и пришли к выводу, что некоторые пользователи, мягко говоря, сами виноваты: для проникновения на их компьютер достаточно просто просканировать систему в поисках пользователей, находящихся в онлайне, и с помощью браузера и ip-адреса этих пользователей получить доступ к компьютеру через порт 1214 (в адресной строке браузера это выглядит как http://192.168.1.1:1214/).
В результате проведенного исследования были обнаружены десятки компьютеров, чьи хозяева дали любопытным журналистам возможность ознакомиться с содержимым их жестких дисков.
Доступными оказались деловые расписания, пароли, файлы cookies, личные фотографии и тому подобная конфиденциальная информация.
Система Morpheus предполагает открытие части дискового пространства всем желающим, при этом на диске пользователя по умолчанию создается директория, в которую и складываются все файлы, предназначенные для обмена в рамках системы. Morpheus дает возможность пользователям системы напрямую соединяться друг с другом и скачивать друг у друга необходимые файлы из этой специальной директории.
Однако некоторые из клиентов системы, озабоченные собственной безопасностью гораздо меньше, чем BBC, открывают всему миру не отдельную директорию своего компьютера, а весь жесткий диск.
По словам представителя StreamCast Networks, ответственность за то, какую информацию делать доступной для окружающих, а какую — нет, полностью возлагается на клиента peer2peer-системы. 05.02.2002

Федеральные финансы США — легкая добыча для хакеров
Главная счетная палата Конгресса США (GAO) оповестила широкую общественность о том, что компьютеры Министерства финансов, оперирующие триллионами долларов налогов и социальных выплат, остаются легко уязвимыми для хакерских атак. Доклад этого парламентского контролирующего органа был представлен в понедельник, сообщает Reuters.
В докладе говорится, что миллиарды долларов платежей и сборов подвержены существенному риску пропаж и махинаций, важные данные могут быть похищены, а компьютерные транзакции нарушены.
Финансовое ведомство ежегодно выплачивает свыше 1,9 триллиона долларов на социальное обеспечение, поддержку ветеранов, налоговые премии, зарплату федеральным служащим. Через компьютеры этой службы также проходят два триллиона долларов федеральных сборов — налогов, штрафов и пошлин. Счетная палата обозначила наиболее слабые места в защите компьютерной системы Министерства финансов: слабая система паролей и ключей доступа, недостаточные и устаревшие средства администрирования системы, отсутствие удовлетворительной программы безопасности, охватывающей всю сеть. 06.02.2002

В IRC-клиенте mIRC обнаружена уязвимость
В популярном IRC-клиенте mIRC обнаружена весьма серьезная дыра, позволяющая злоумышленнику запускать на компьютере жертвы практически любой код. Уязвимость была обнаружена программистом из Ирландии Джеймсом Мартином еще в декабре, однако вследствие серьезности проблемы он не стал широко разглашать факт наличия дыры. Вместо этого Мартин связался с автором mIRC Халедом Мардам-Беем, который исправил ошибку в ходе работы над mIRC 6.0.
По данным Мартина, уязвимость mIRC версий 5.91 и ниже связана с переполнением буфера при пересылке пользователю псевдонимов собеседников. Переполнение происходит в случае, когда сервер посылает mIRC псевдоним длиной больше 200 символов. Чтобы показать такую возможность Мартин написал демонстрационную программу, запускающую на атакуемой машине программу "Калькулятор" из стандартной поставки Windows. Чтобы направить пользователя на нужный IRC-сервер, хакер может использовать ошибку переполнения буфера в браузере или почтовом клиенте, подсунув ему особым образом сформированный HTML-код. 05.02.2002

Хакер умудрился уничтожить целого провайдера в Великобритании
Британская полиция разыскивает неизвестных хакеров, совершивших на прошлой неделе распределенную DoS-атаку на серверы одного из старейших британских интернет-провайдеров, Cloud Nine. В результате компания просто перестала существовать, а восемь ее сотрудников остались без работы. Это первый в истории случай, когда какая-либо компания вынуждена закрыться в результате хакерской атаки. По словам Эмерика Мишти (Emeric Miszti), одного из основателей Cloud Nine, для восстановления работы сетей провайдеру пришлось бы потратить слишком много времени, поэтому штат компании просто решил прекратить работу.
Данный случай расследует полиция, однако специалисты по компьютерной безопасности склоняются к мысли, что поиски результатов не дадут. Судя по тому, как методично и тщательно подготавливалась атака, вряд ли хакеры не позаботились о том, чтобы замести следы. По словам Мишти, атака готовилась несколько месяцев: "Их целью было изучить структуру наших сетей, определить ключевые серверы и выяснить их пропускную способность. После этого они смогли нанести удар нужной силы". Кто стоит за этой атакой и зачем ему это понадобилось, Мишти не представляет. На атаку несовершеннолетних хулиганов это явно не похоже.
Такая же распределенная DoS-атака была совершена против сайтов eBay, Yahoo и ETrade два года назад. Недавно жертвами такой атаки стали также британский бизнес-портал итальянского провайдера Tiscali и британский хостинг-провайдер Donhost. Хотя атака против Donhost продолжалась несколько часов, а против Tiscali — несколько дней, им повезло куда больше, чем Cloud Nine Communications. Эта компания, в итоге, вынуждена была продать весь свой бизнес и переключить клиентов на своего конкурента Zetnet Internet Services.
На прошлой неделе сорвался чат, в котором участвовали голландский кронпринц и его невеста из Аргентины. Специалисты подозревают, что причиной этого стала такая же распределенная DoS-атака. 05.02.2002

Обвиняемый взломщик eBay снова на свободе, на сей раз под строгим наблюдением
Согласно решению суда, 22-летний гражданин США Джером Хекенкэмп, обвиняемый во взломе онлайнового аукциона eBay, будет освобожден под залог до начала слушаний по делу. После своего ареста Хекенкэмп находился на свободе, но 18 января он обратился к судье Патриции Трамбл с просьбой возвратить залог, внесенный за него его приятелем, и добровольно принял тюремное заключение. Он объяснил этот шаг тем, что предсудебные ограничения, запрещавшие ему использовать Интернет, не давали ему заниматься любимым делом. Он также не хотел быть обязанным своему приятелю за внесенный залог в размере 50 тысяч долларов.
Но после нескольких дней, проведенных в тюрьме, Хекенкэмп изменил свою позицию и обратился к судье Трамбл с просьбой снова выпустить его под залог. В результате последних слушаний в суде Патриция Трамбл дала согласие на перезачисление внесенного залога, наложив новые условия на освобождение Хекенкэмпа. Ему запретили использовать сотовые телефоны, факсы, видеоигры и Интернет, а также любые компьютеризированные устройства. Исключение составляют банкоматы, торговое оборудование и некоторые бытовые устройства. Задержку окончательного решения Трамбл объясняет необъяснимыми действиями Хекенкэмпа на предыдущих слушаниях.
"Я не представляю, что творится в голове этого молодого человека", — сообщила она. Кроме ограничений на использование техники, суд обязал Хекенкэмпа не покидать помещение своего дома, кроме специально оговоренных случаев. Для этого на его лодыжке разместили передатчик, который оповещает судебные службы в случаях, если Хекенкэмп удаляется более чем на 50 метров от приемного устройства, расположенного в его доме.
Кроме взлома eBay, Джером Хекенкэмп обвиняется в незаконном проникновении на компьютеры, принадлежащие компаниям Lycos, Exodus Communications, Juniper Networks, E-Trade Group и Cygnus Support Solutions. Обвиняемый отрицает свою вину по всем статьям. Суд назначен на 19 марта. 05.02.2002

Неугомонному хакеру предстоит провести 21 месяц в тюрьме
Решением суда 20-летний хакер Джейсон Аллен Дикман будет помещен в тюрьму на срок в 21 месяц и будет обязан возместить убытки пострадавших в размере 88 тысяч долларов. Дикман был арестован в ноябре 2000 года за взлом компьютеров, принадлежащих лабораториям NASA в университетах Пасадены и Стэнфорда. При этом он украл пароли и номера кредитных карт пользователей компьютеров нескольких университетов. Однако арест не остановил талантливого взломщика. По заявлению обвинителей, Дикман, будучи освобожден под залог, взламывал компьютерную систему Государственного университета штата Орегон около тридцати раз. В сентябре 2001 года Джейсон Аллен Дикман был снова арестован, на сей раз за взлом базы данных провайдера Сан-Хосе, кражу паролей и номеров кредитных карт. 06.02.2002

Уязвимость MSN Messenger позволяет получить список контактов и email пользователей
В системе мгновенного обмена сообщений MSN Messenger обнаружена уязвимость, позволяющая получить имя пользователя и его список контактов с помощью небольшого скрипта на html-странице. Как утверждает Ричард Бертон, обнаруживший уязвимость, изначально эта функция проектировалась разработчиками Microsoft как дополнительная возможность Messenger. С помощью нее, например, можно идентифицировать пользователей на сайтах MSN. На своей странице Бертон проиллюстрировал "работу" дыры. Кроме этого, воспользовавшись этой уязвимостью, можно получить адрес email пользователя Messenger и адреса всех, кто находится в списке его контактов. Если добавить ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MessengerService\Policies\Suffixes и записать в него доменный суффикс сайта, например .com или .org, то скрипты, расположенные на сайтах этого домена, получат доступ ко всем адресам электронной почты, указанным в Messenger. При отсутствии этого ключа адреса email доступны лишь доменам microsoft.com, hotmail.com и hotmail.msn.com. Однако добавить ключ реестра может любая программа установки, запущенная на компьютере пользователя. Пока что единственный способ оградить свой компьютер от потенциальной утечки информации — выключать службу Messenger при посещении непроверенных сайтов. Полезным также будет проверять вышеуказанный ключ реестра после установки каких-либо программ. 06.02.2002

Подготовил Евгений Сечко, safeman@mail.ru


Компьютерная газета. Статья была опубликована в номере 06 за 2002 год в рубрике del :: безопасность

©1997-2024 Компьютерная газета