Попытки Microsoft сделать упор на безопасность воспринимаются скептически

Безопасность и защита информации Попытки Microsoft сделать упор на безопасность воспринимаются скептически
В последний раз, когда компания Microsoft, производящая программное обеспечение, объявляла о существенном изменении стратегии, это было связано с рынком веб-браузеров, и всем известно, насколько успешным был этот стратегический сдвиг, если вспомнить, что когда-то доминирующим браузером был продукт от Netscape, а не от Microsoft.
Теперь же, когда Билл Гейтс объявил о смене приоритетов в Microsoft, делая упор на "безопасном коде", стоит ли компаниям, занимающим эту нишу рынка компьютерных технологий, принять предупреждающие меры, чтобы не повторить судьбу Netscape?
Вряд ли, заявляют аналитики. Многие из них смотрят на происходящие в стратегии Microsoft сдвиги скептически, помня о том множестве ошибок и упущений в системах безопасности предыдущих программных продуктов компании. Другие задаются вопросом, возможно ли вообще говорить о создании систем, которые невозможно взломать, учитывая технологическую изощренность предлагаемых Microsoft веб-сервисов.
Анонсированные компанией веб-сервисы предполагают использование единого логина и пароля для всех онлайн-услуг, которыми пользуется клиент, от банковских и финансовых до туристических. Но одним из ключевых факторов в обеспечении успеха для Microsoft будет решение трудной задачи: убедить клиентов, что их финансовая информация хорошо защищена от хакеров.
На недавней конференции в Сан-Хосе, Калифорния, Джим Бидзос (Jim Bidzos), вице-президент RSA Security, производящей системы компьютерной безопасности, не мог избежать ироничных высказываний по поводу Microsoft. Надо заметить, что шум, поднятый заявлениями г-на Гейтса, все же не остался незамеченным теми компаниями, которые потенциально могут составлять конкуренцию Microsoft на тех нишах, что компания собирается занять. Стоит вспомнить, хотя бы, время, когда была выпущена ОС Windows 95 — ведь тогда компании, производящие антивирусное ПО, были обеспокоены тем, что спрос на их продукты может упасть за счет того, что новая система считалась неплохой в плане обеспечения безопасности (на тот момент).
Но затем началась эра макро-вирусов и других зловредных программ, которые старое ПО не могло остановить. Сейчас, когда уже больше дюжины только основных типов вирусов и каждый день появляются все новые и новые, в том числе те, что используют продвинутые особенности продуктов Microsoft, компании становится все труднее создавать программы, обладающие достаточной защитой от вирусов и хакерских атак.
Считается, что если Microsoft уберет или хотя бы уменьшит количество багов и дыр в безопасности своих программ, это снизит спрос на продукты компаний, производящих ПО, защищающее от хакерских вторжений и персональные firewall. Тем не менее, эксперты утверждают, что чем сложнее становятся технологии и чем дальше они развиваются (даже если это развитие идет на пользу безопасности), тем больше новых проблем приобретают пользователи.
Надо заметить, что Microsoft находится сейчас в безвыигрышной ситуации: слишком много внимания сосредоточено на продуктах компании, и тем более сейчас, когда компания сделала такое смелое заявления о безопасности, любое единичное хакерское вторжение в уже исправленный, усовершенствованный продукт (тем более, если оно будет успешным) принесет компании существенное снижение репутации.
Хотя, многие эксперты полагают, что пристальное внимание компьютерного сообщества к продуктам компании имеет вовсе не негативный характер, а скорее наоборот. Такого же мнения придерживается и Г-н Гейтс. 12.03.2002

Банки из-под чипсов Pringles позволяют злоумышленникам вторгаться в беспроводные сети
Используя пустые банки из-под чипсов Pringles, злоумышленники могут проникнуть в незащищенные беспроводные сети. Направленная антенна, изготовленная из такой банки, значительно повышает шансы обнаружения беспроводных компьютерных сетей, используемых в финансовом квартале Лондона.
Эффектную демонстрацию провели на прошлой неделе специалисты компании i-sec, занимающейся вопросами безопасности. При помощи самодельной антенны, чертежи которой появились в Интернете еще в прошлом году, им удалось обнаружить более двух третей беспроводных сетей, которые ничем не были защищены от такого проникновения извне. Между тем, защититься совсем не сложно: как уверяют в i-sec, достаточно внести лишь несложные изменения в используемое оборудование — и никакие чипсы не страшны.
Беспроводные сети оснащены встроенной системой шифрования, однако ее почему-то не включают после настройки основного оборудования сети. Именно это произошло в 67% обнаруженных при эксперименте сетей. По мнению Джоффа Дейвиса, исполнительного директора компании i-sec, многие компании покупают точки беспроводного доступа просто ради любопытства, совершенно забывая о том, что такая точка может быть использована как огромный черный ход в корпоративную сеть.
Компания i-sec рекомендует следующие основные меры безопасности для беспроводных сетей: отключите передачу на сетевые концентраторы; смените названия, присвоенные по умолчанию; не называйте сеть именем компании; размещайте беспроводные концентраторы вдалеке от окон; используйте встроенную систему шифрования; отключите неиспользуемые функции; поместите брандмауэр между беспроводной сетью и другими компьютерами компании; регулярно проверяйте безопасность беспроводной сети. 12.03.2002

Результаты поиска Google можно подтасовать
В поисковике Google обнаружена серьезная уязвимость, используя которую каждый пользователь Сети может существенно повлиять на релевантность результатов поиска по какому-либо конкретному запросу. Проблема заключается в алгоритме, согласно которому Google индексирует веб-страницы и определяет их соответствие тому или иному запросу.
Не полагаясь на традиционный метод определения ключевых слов в тексте страницы, поисковый робот также определяет число ссылок, ведущих на данную страницу с других ресурсов, а также описания этих ссылок, приведенные на ссылающихся сайтах. Кроме того, Google определяет местоположение данной ссылки на ресурсе, и в случае если она находится на титульной странице сайта, то индексируемый ресурс получает дополнительное преимущество при размещении в общем перечне.
На сегодняшний день, как заявляют эксперты, идея "взлома" Google завладела сообществом владельцев веб-логов, которые теперь используют обнаруженную возможность для размещения различной информации и ее "продвижения" в поисковой базе данных, а также в отдельных случаях объединяют свои усилия для раскрутки тех или иных ресурсов или персон с помощью поисковика.
При этом, наверное, самой неприятной особенностью обнаруженной уязвимости Google является то, что она никоим образом не связана с программными ошибками или некорректным исполнением алгоритма индексирования. Очевидно, что сама возможность подобного влияния на релевантность поиска как раз и определяется достоинствами индексации, которые позволили Google стать одним из лидеров сетевого поиска, поэтому решение этой задачи, определенно, не будет для корпорации легким. 13.02.2002

Технология PGP может прекратить свое существование
Корпорация Network Associates объявила о том, что с 1 марта 2002 г. прекращены продажи программных продуктов, обеспечивающих PGP-шифрование. Напомним, что PGP (Pretty Good Privacy) — технология шифрования почтовых сообщений, обеспечивающая высокую степень их конфиденциальности. Авторство данной технологии принадлежит Филу Циммерману (Phil Zimmerman), который передал свои права на распространение Network Associates.
Изначально PGP-клиент распространялся на свободной основе и получил широкое распространение (так, поддержка PGP включена во многие продукты компании McAfee, специализирующейся на системах сетевой безопасности). Около года назад Network Associates объявила об ограничениях, наложенных на свободное распространение клиентских программ PGP и начала коммерческие продажи последних в двух модификациях: корпоративной и пользовательской. Однако, как сообщила представитель корпорации Дженнифер Кивни (Jennifer Keavney), данная мера не вызвала роста прибыли компании и по этой причине распространение технологии было прекращено.
В то же время Network Associates намерена осуществлять поддержку своих корпоративных клиентов до истечения срока действия их лицензионных соглашений. Пользователи Интернета также вряд ли будут испытывать какие-либо неудобства, поскольку еще старые версии PGP-клиентов доступны на множестве бесплатных сайтов. Таким образом, наиболее пострадавшей стороной стал сам Фил Циммерман, который практически стал свидетелем сворачивания собственного проекта, на развитие которого он больше не имеет прав.
В настоящее время г-н Циммерман предпринимает отчаянные попытки спасти свое изобретение, призывая Network Associates предоставить открытый код PGP-клиента другим разработчикам. "PGP — это явление, которое само по себе больше, чем отдельная компания, отдельная технология или отдельный программный продукт", — заявил изобретатель в интервью сетевому изданию The Register. 13.03.2002

Vivendi подает в суд на подразделение корпорации Руперта Мердока News Corp. за хакерство
Крупная медиа-корпорация Vivendi Universal, владелец портала MP3.com, подала в суд на компанию NDS, 80% акций которой принадлежат корпорации Руперта Мердока News Corp.
Vivendi обвиняет NDS в создании средств для взлома системы шифрования, используемой Canal Plus, крупнейшей в Европе компанией платного цифрового телевидения, принадлежащей Vivendi. Для аутентификации абонентов Canal Plus используются специальные смарт-карты. По утверждению Canal Plus/Vivendi, в конце 1999 года они обнаружили появление все большего количества фальшивых смарт-карт, которые, соответственно, позволяли просматривать передачи Canal Plus бесплатно. В результате расследования Canal Plus, к своему изумлению, обнаружил, что следы ведут прямехонько в NDS. Выяснилось, что в этой компании было разработано средство для взлома системы защиты, используемой в смарт-картах, а на сайте Digital Reference вскоре появилась информация о том, как изменять эти смарт-карты, чтобы не приходилось платить за просмотры передач Canal Plus.
Представители Vivendi утверждают, что ущерб от фальшивых карт превышает миллиард долларов. Характерно, что в качестве правового основания для иска в данном случае используется не "любимый" медиа-компаниями американский Акт об авторских правах в цифровую эпоху (DMCA), как раз предусматривающий наказание за создание любых технологических средств, с помощью которых можно нарушать чьи-то права на интеллектуальную собственность, а совсем другой закон. На сей раз используется Акт о коррумпированных и преступных организациях (Racketeer Influenced and Corrupt Organizations, RICO Act). Этот закон создавался для борьбы с организованной преступностью, и, раз иск подается на таком основании, в Vivendi, очевидно, считают подразделение медиа-империи Мердока, грубо говоря, мафиозной структурой.
С другой стороны, в последние годы RICO где только не применялся, вплоть до бракоразводных процессов. Сейчас некоторые юристы предполагают, что RICO может быть все чаще использован на антипиратских судебных процессах. Поскольку в нелегальном распространении интеллектуальной собственности (например, музыкальных записей), как правило, участвуют больше одного человека, их можно смело называть "преступной организацией". Ну, и кроме того, RICO придает большую значимость судебному разбирательству, нежели DMCA.
Что до конфликта между Canal Plus и NDS, то потерпевшая сторона утверждает, что система защиты ее смарт-карт была достаточно совершенной, и раз она не выстояла, то, следовательно, для ее взлома предпринимались настойчивые усилия, и "работа" взломщиков была отлично организована и профинансирована.
Остается добавить, что услугами платного телевидения Canal Plus пользуются 6,1 миллиона абонентов, в то время как News Corp. Мердока владеет другой платной телевизионной сетью BSkyB, насчитывающей 5,7 миллиона абонентов. Весовые категории, стало быть, примерно одинаковые. 14.03.2002

ВВС США угрожает Microsoft отказом от ПО компании, если проблемы с безопасностью не будут решены
Представитель военно-воздушных сил США официально предупредил компанию Microsoft, что если та не решит в ближайшее время проблем с безопасностью собственного программного обеспечения, то американские ВВС могут отказаться от использования программ компании. Как заявил представитель Air Force Джон Гиллиган, он провел встречу с представителями Microsoft и заявил им, что ВВС США "ожидают от Microsoft лучших решений для проблем с безопасностью". Как заявил Гиллиган, ранее проводивший аналогичную тактику с другими компаниями, компания Microsoft является крупнейшим поставщиком Air Force, получая от ВВС значительную часть 6-миллиардного бюджета на закупку компьютерной техники ежегодно. Два года назад в результате использования уязвимости в ПО Microsoft Exchange компьютерная сеть ВВС США была поражена вирусом Love Bug, внесли свою лепту и вирусы Code Red и Nimda. 14.03.2002

В американском супермаркете можно будет расплачиваться отпечатками пальцев
Супермаркет Thrift Way в американском городе Сиэтл будет использовать устройства для снятия отпечатков пальцев, пока только для продажи бакалейных товаров. Для получения отпечатков и осуществления электронных платежей используется программное обеспечение компании Indivos.
"Покупателю не придется доставать бумажник или рыться в карманах, и в то же время он может быть уверен на все сто, что его карточкой никто больше не воспользуется", — говорит Пол Капиоски, президент и владелец торговой сети Thrift Way. Установка системы не вызвала больших трудностей, так как не потребовалось менять существующие кассовые аппараты. Сканеры фиксируют отпечатки пальцев расплачивающегося покупателя, затем они шифруются и отправляются в один из четырех центров по обработке данных Indivos. Там они сравниваются с отпечатками, полученными от участников программы. После аутентификации расчет производится как обычная транзакция с кредитными или дебитными карточками, посредством соответствующих банковских сетей.
Использование биометрии в сфере электронных платежей пока не слишком широко распространено в США. "Одна из причин — в том, что США сильно отстают от Европы и Азии в технологиях беспроводной связи. Другая заключается в том, что существует много способов идентификации по биометрическим параметрам, и это запутывает потенциальных заказчиков. Надо сосредоточиться на 2-3 технологиях и сделать их индустриальными стандартами. Сейчас довольно перспективным представляется распознавание по отпечаткам пальцев и голосу: для этого не требуется передачи больших объемов данных, и эти системы просты в использовании, в отличие от, например, сканирования радужной оболочки глаза", — комментирует ситуацию Джеймс ван Дайк, директор по исследованиям компании Jupiter Communication. Аналитики считают, что потребуется около 5 лет, для того чтобы биометрия стала обыденной в осуществлении электронных платежей. 14.03.2002

Подготовил Евгений Сечко, safeman@mail.ru


Компьютерная газета. Статья была опубликована в номере 11 за 2002 год в рубрике del :: безопасность

©1997-2021 Компьютерная газета