WPF: Интернет сохраняет древнюю традицию подслушивания и подглядывания

Безопасность и защита информации WPF: Интернет сохраняет древнюю традицию подслушивания и подглядывания
"Вопреки распространенному мнению, Интернет не уничтожает право человека на частную жизнь и не делает приватную информацию доступной всем желающим. Он лишь помогает это делать", — комментирует обозрение Washington ProFile. Сольвейг Синглтон\Solveg Singleton, аналитик Competitive Enterprise Institute, считает, что все негативные качества, которые ныне приписываются новым информационным технологиям, давным-давно используются человечеством.
"Базы данных существуют тысячи лет, — утверждает аналитик, — Интернет и компьютеры стали лишь инструментами для их развития". К примеру, Интернет не принес ничего принципиально нового в торговый бизнес. Пользователи электронной почты постоянно сталкиваются с проблемой получения рекламных писем. Однако этот ход отнюдь не изобретен сетевыми коммерсантами — рассылка рекламных писем и газет (так называемый, "целевой" или "директ-маркетинг") впервые была проведена в XVIII веке и достигла пика своего развития в 1990-е годы. При этом, несмотря на все протесты, потребители фактически одобряют подобные рассылки: по всему миру в 1995 г. продажи по рекламным каталогам составляли $64 млрд, а в 2000 г. они возросли до $104 млрд.
Согласно результатам опроса, проведенного National Quality Research Center Университета штата Мичиган, большинство американских потребителей считают, что уровень сервиса в интернет-магазинах выше, чем в традиционных торговых заведениях. Интернет-сайт выполняет функцию прилавка обычного магазина, а с 1994 г., когда были изобретены cookies (специальные файлы, которые позволяют идентифицировать посетителя того или иного интернет-сайта), "продавцы" этого магазина стали различать покупателей, ранее бывших анонимными. Кстати, 54% пользователей Сети, опрошенных Pew Center, считают использование cookies вторжением в их частную жизнь.
Еще более парадоксальная ситуация складывается в сфере отношений наемного работника и работодателя. Журнал Sales & Marketing Management опросил более 500 высокопоставленных менеджеров международных компаний, чтобы выяснить, каким образом они контролируют работу своих подчиненных.
Результаты этого исследования таковы: 21% опрошенных менеджеров сообщили, что следят за тем, как их сотрудники используют Интернет. 16% просматривают электронную почту подчиненных, 19% подслушивают телефонные разговоры, 5% проверяют сообщения, оставленные на автоответчиках, 4% менеджеров постоянно наблюдают за своими сотрудниками с помощью видеокамер.
Дополнительно используются и иные методы контроля: например, определяется, с какой скоростью сотрудник стучит по клавишам компьютера.
Более того, согласно исследованию, проведенному бизнес-журналом Fortune, 35% ведущих компаний США накапливают и при необходимости используют медицинскую информацию о человеке (данные о его болезнях, травмах, употреблении алкоголя и наркотиков и т.д.).
Американские работодатели объясняют свои действия следующим расчетом: если сотрудник компании, получающий $30 тыс. в год, тратит один час в день на болтовню, чтение и отправку личных писем, просмотр развлекательных интернет-сайтов и т.д., то он наносит ущерб, оцениваемый в $3600 в год.
Соответственно, чем больше зарплата, тем больше и ущерб. Поэтому контролю подвергаются все, включая даже топ-менеджеров компаний.
По разным оценкам, превентивные меры позволяют сберечь от $250 до $400 млрд ежегодно — это потенциальный ущерб, который могут нанести недобросовестные и нечестные сотрудники своим компаниям. Солвейг Синглтон считает, что в подобных отношениях работника и работодателя нет ничего принципиально нового.
По ее мнению, это объясняется самой сутью развития бизнеса. Любая начинающая компания подбирает себе сотрудников на основе личных связей, рекомендаций родственников и знакомых. То есть новый сотрудник, приходящий в новую компанию, изучается настолько тщательно, насколько это возможно.
Особенно жесткий контроль существует в небольших населенных пунктах, где работодатели имеют возможность без особых усилий проверить не только личные качества претендента на вакантное место, но и его материальное положение, особенности характера его родителей, его школьные отметки и т.д.
Таким образом, наемные работники психологически изначально готовы к подобным вторжениям в свою личную жизнь. Исследование, проведенное консалтинговой фирмой Angus Reid group, показало, что 73% наемных работников считают, что работодатели имеют право контролировать, как они пользуются Интернетом и электронной почтой. 04.03.2002

Хакер Адриан Ламо сделался сотрудником New York Times
Известный хакер Адриан Ламо взломал внутреннюю сеть New York Times и получил доступ к личным данным 3 тысяч авторов газеты.
Как сообщает SecurityFocus, 21-летний хакер Ламо в результате всего двухминутного сканирования обнаружил не менее 7 уязвимостей в конфигурации прокси-серверов New York Times, делающих возможным доступ к интранет-сети компании. Открытый прокси обнаружился уже на самом первом сервере.
Через дверь черного хода Ламо быстро обнаружил главную страницу интранет-системы и незащищенную резервную копию базы данных, которая содержала имена и номера карточек социального страхования 3 тысяч авторов газеты. Также им были обнаружены инструкции для стрингеров, листы контактов некоторых подразделений газеты, ключевые слова, с помощью которых сотрудниками издания мониторились ленты новостных агентств.
Дальнейшее удалось Ламо без труда, так как дефолтные пароли в системе состояли из последних четырех цифр номера карточки социального страхования. Один из таких паролей принадлежал сотруднику, имеющему полномочия создавать новые аккаунты. Ламо создал для себя учетную запись с реальным именем, домашним номером телефона и адресом электронной почты. В поле для записи данных о квалификации и профессиональных навыках хакер вписал: "Компьютерный хакинг, национальная безопасность, коммуникационная разведка".
Среди прочего Адриан Ламо получил доступ к личной информации о людях из бывшей администрации Джорджа Буша: инспекторе ООН по вооружениям Ричарде Бутлере, главе Агентства национальной безопасности Бобби Инмане, госсекретаре Джеймсе Бейкере. Записи с номерами домашних телефонов включали даже бывшего президента США Джимми Картера.
О найденных уязвимостях Ламо предупредил компанию во вторник. Сделал это он через одного из репортеров. Сейчас в New York Times приступили к латанию дыр.
Адриан Ламо прославился взломами сетей крупных корпораций. При этом он не пользуется полученными данными (даже если это номера кредиток), а просто рассказывает публично об обнаруженных дырах. На счету Ламо взломы таких сайтов, как Yahoo!, Microsoft, AOL и Excite@Home. Microsoft небрежно хранила данные о своих покупателях. У Excite@Home в 2000 году он обнаружил персональные данные 3 миллионов клиентов.
В сентябре прошлого года Адриан Ламо изменил новость на Yahoo! News о Дмитрии Склярове, приговорив его к смертной казни. Предпоследней жертвой Ламо в декабре 2001 года стал один из крупнейших провайдеров США WorldCom. Ламо получил данные о всех 86 тысячах сотрудниках компании. Взламывает сервера Ламо с собственного ноутбука, подключаясь к Интернету из интернет-кафе. Для взломов использует обычный браузер. В основном он просто сканирует веб в поиске недокументированных веб-страниц. Зачастую системные администраторы просто не защищают секретные документы, а выкладывают их по "не известным" никому адресам.
Ламо ведет бродячий образ жизни, перемещаясь по стране с рюкзачком, в котором он перевозит свой ноутбук без двух клавиш. Иногда Адриан оказывает разовые услуги по настройке систем безопасности. 02.03.2002

Обнаружена уязвимость в скриптовом языке PHP
Разработчики открытого языка скриптов PHP предупреждают об обнаружении уязвимости, которая позволяет злоумышленникам провести DoS-атаку либо получить неавторизованный доступ к данным во многих системах с установленным веб-сервером Apache и другими веб-серверами.
Как стало известно, уязвимость не так-то легко задействовать, однако может привести к неработоспособности сервера либо к получению полного контроля над удаленной системой.
Несколько уязвимостей были обнаружены в различных версиях PHP. Язык скриптов может быть установлен и использован вместе с различными веб-серверами, в том числе Apache, Microsoft IIS и iPlanet. Как сообщают разработчики, в настоящее время выявлена возможность использования уязвимости в системах, работающих под управлением ОС Linux или Solaris. Microsoft IIS считается неподверженным дыре в защите PHP. Разработчики языка скриптов рекомендуют обновить PHP до версии 4.1.2, в которой данные проблемы были решены. 02.03.2002

Java-апплет может перенаправлять трафик браузера
4 марта компания Microsoft выпустила бюллетень по безопасности, сообщающий об уязвимости виртуальной машины (VM) Microsoft. Виртуальная машина, поставляемая с Internet Explorer версий 4.x и 5.x, содержит дыру в защите, которая заключается в некорректной обработке Java запросов к ресурсам через прокси-сервер.
Злоумышленник с помощью Java-апплета может перенаправить информацию пользовательского сеанса работы с Интернет на сервер по своему выбору. Уязвимости подвержены лишь те системы, в которых в настройках Internet Explorer установлено соединение через прокси-сервер.
Компания Microsoft классифицировала данную уязвимость как критичную для клиентских систем. Бюллетень и патч доступны по адресу: http://www.microsoft.com/technet/security/bulletin/ms02-013.asp . 05.03.2002

Обнаружена очередная уязвимость в браузере Internet Explorer
Израильские специалисты по компьютерной безопасности обнаружили весьма серьезную уязвимость в браузере Internet Explorer. С помощью данной уязвимости можно запустить любую программу на удаленной машине, причем без использования скриптов и ActiveX. Задействовать уязвимость можно с помощью следующего HTML-кода: ]]> Данный код можно скопировать в блокнот и сохранить в файл с расширением html.
Открытие данного файла в Internet Explorer приведет к запуску встроенного в Windows калькулятора. Компания Microsoft уведомлена о проблеме, однако патча, решающего данную проблему, пока не имеется. Как заявляют в Microsoft, "ведется работа над решением проблемы". Уязвимость присутствует во всех версиях браузера, так как используется функция "data binding", введенная еще в IE4. 06.03.2002

Взломана версия ОС Windows XP для процессоров Intel Itanium
Как сообщается на сайте The Inquirer, готовящаяся к выпуску версия операционной системы Windows XP для процессоров Intel Itanium взломана и доступна на нескольких "варезных" сайтах. Таким образом, компания Microsoft может наблюдать еще один продукт в свободном доступе до его официального выпуска (аналогичная ситуация имела место с обычной версией Windows XP).
На сайте The Inquirer приводится выдержка из файла дистрибутива с системными требованиями. Согласно этой информации, для работы Windows XP для Intel Itanium требуется: процессор Itanium с частотой не менее 733 Мгц, минимум 1 гигабайт оперативной памяти, минимум 6 гигабайт пространства на жестком диске для установки.
Представители The Inquirer отмечают, что, не желая нарушать закон, они не загружали файлы дистрибутива операционной системы. Информация, которую они опубликовали, по их уверениям, была получена из независимых компетентных источников. 06.03.2002

Любопытные сотрудники — самая большая дыра в безопасности любой системы
Недавно проведенный опрос британских IT-менеджеров показал, что безопасность компьютерных систем большинства компаний страдает от чрезмерно любопытных сотрудников больше, чем от вирусов и хакеров. Более половины опрошенных специалистов заявили, что уязвимости внутри локальной сети представляют намного большую опасность, нежели внешние угрозы.
Исследование было проведено Институтом компьютерной безопасности (CSI), по результатам опроса был сделан вывод о том, что среднестатистическая атака внутри компьютерной сети приносит ущерб в размере 2,7 миллиона долларов, в то время как внешняя атака обходится всего в 57 тысяч долларов.
Компания Oracle, по заказу которой было проведено исследование, рекомендует уделить большее внимание защите компьютерных сетей от любопытства сотрудников, применяя средства шифрования и парольной защиты ценных ресурсов. 06.03.2002

Bodacion Technologies намерена предложить $100 000 за взлом своего веб-сервера
Денежный приз в размере $100 тыс. обещан компанией Bodacion Technologies любому, кто сможет взломать систему шифрования, использованную в интернет-сервере Hydra. Безопасность сервера основывается на биоморфной математике, производной от так называемой "Теории Хаоса", использованной для моделирования произвольного роста живых существ.
Биоморфный алгоритм используется для создания последовательностей произвольных цифр. Каждая цифра в последовательности и называется bodacion, или знаком, представляющим большое число, получающееся в результате математических действий, о природе которых довольно сложно догадаться. Поскольку последовательность этих знаков и в самом деле произвольна, ни один из пользователей сервера никогда не получит единого идентификационного номера, означающего сеанс пользования, личный номер или номер заказа. Предполагается также, что никому из хакеров не удастся определить основополагающий принцип действия модели и на его основании предсказать следующий используемый номер.
Участникам состязания будут предоставлены 999 знаков bodacion из последовательности, содержащей тысячу. Чтобы выиграть, нужно верно предсказать номер, которым завершится данная последовательность. Исполнительный директор Bodacion Technologies Брэд Хессел (Brad Hessel) совершенно уверен в неуязвимости разработанной его компанией технологии.
По условиям состязания, участники должны продемонстрировать математические модели, на основе которых будет вестись работа по взламыванию кода. 06.03.2002

Ошибка VeriSign привела к отключению 47 сайтов
Вот уже несколько дней, как сайт электронной газеты Silicon Times Report бездействует. По словам главного редактора газеты Ральфа Мариано (Ralph Mariano) это произошло из-за сбоев в работе компании VeriSign, осуществляющей хостинг сайта. И STR — не единственная жертва, по той же причине, как сообщается, пострадали еще 46 сайтов, восстановить работу которых будет не так легко, поскольку многие из них обслуживаются в автоматическом режиме.
Г-н Мариано полагает, что сбой произошел из-за отключения домена Visioncommerce.com и внесения изменений в его базу данных. Не имея пока возможности вернуть к нормальной работе сайт газеты, Мариано создал еще один сайт, где разместил список ошибок, допущенных VeriSign. 06.03.2002

Подготовил Евгений Сечко, safeman@mail.ru


Компьютерная газета. Статья была опубликована в номере 10 за 2002 год в рубрике del :: безопасность

©1997-2024 Компьютерная газета