Дыра в системе парольной защиты аукциона eBay открывает простор для мошенников
Безопасность и защита информации Дыра в системе парольной защиты аукциона eBay открывает простор для мошенников
Новостной сайт Newsbytes сообщил об обнаружении опасной уязвимости в системе парольной защиты аукциона eBay. В результате, злоумышленник может изменить пароль любого зарегистрированного пользователя аукциона и получить полный доступ к его счету, включая информацию о ставках, выставленных лотах, и номерах кредитных карт. Причем для похищения учетной записи нет необходимости использовать какие-либо специальные приемы или программные средства — взлом сводится к несложным манипуляциям с двумя страницами eBay. Информацию о дыре сообщил Newsbytes анонимный специалист по компьютерной безопасности, скрывающийся под псевдонимом Null. Воспользовавшись его рекомендациями, сотрудникам Newsbytes удалось без каких-либо трудностей изменить пароль на специально созданном для этой цели счете.
Как сообщил представитель eBay, отвечая на вопросы Newsbytes, компания узнала об уязвимости еще в январе этого года и в настоящее время рассматривает различные варианты ликвидации дыры в системе защиты пользовательской информации. При этом реальные меры в eBay обещают принять только в конце лета, когда на сайте будет проводиться модернизация ПО, отвечающего за безопасность.
Пока же пользователям стоит самостоятельно отслеживать подозрительные изменения в своих учетных записях. В частности, рекомендуется обращать повышенное внимание на письма с извещением об изменении пароля. Впрочем, пока, успокаивают представители eBay, число инцидентов со взломом учетных записей пользователей чрезвычайно мало, причем зачастую хакеры используют банальный подбор пароля, а не метод, описанный в сообщении Null. 03.04.2002
Сайт Microsoft переходит
с Unix на Windows и зависает
По сообщениям Компьюленты, у Microsoft возникли проблемы с новой маркетинговой акцией, призывающей переходить с Unix-систем на серверы под управлением Windows. 30-миллионная рекламная кампания была организована софтверным гигантом совместно с компанией Unisys. Последняя создала специальный веб-сайт, также посвященный распространению идеи о превосходстве Windows над Unix.
Позже выяснилось, что "антиюниксовый" сайт работает под управлением Unix. На сайте Netcraft, предоставляющем такого рода информацию, было выяснено, что сайт работает на базе операционной системы FreeBSD и веб-сервера Apache для Unix. При этом на сайте без стыда и совести доказывался тот факт, что Unix — это "операционная система, заставляющая вас каждый день решать проблемы с сервером в самом сложном окружении из существующих".
Поняв всю двусмысленность своего положения, организаторы сайта быстро поменяли операционную систему, запустив сайт под управлением Windows 2000 и Microsoft IIS 5.0. И именно под Windows, а не под Unix, администраторам сайта "пришлось решать проблемы с сервером". В настоящее время при попытке посетить сайт выводится сообщение "No web site is configured at this address". Остается только добавить, что попытка Unisys наступить на собственные грабли прошла успешно. 04.04.2002
Две дыры в "Офисе"
Известный искатель дыр в программах Microsoft Георгий Гунински (Georgi Guninski) из Болгарии сообщил об очередной своей находке, вернее, даже двух: это две дыры в системе защиты пакета офисного ПО Office XP. По словам Гунински, благодаря этим дырам злоумышленники могут получить полный контроль над компьютером жертвы.
Первая дыра находится в почтовой программе Outlook XP. Из-за этой дыры возможно возникновение следующей ситуации. Взломщик может отправить жертве письмо со встроенным "активным" компонентом, который содержит и объект, и скрипт-код. Этот компонент можно настроить так, чтобы он запускался на исполнение в тот момент, когда пользователь отвечает отправителю или перенаправляет на другой адрес письмо, содержащее этот компонент. Таким способом взломщик может спровоцировать пользователя на посещение указанной им web-страницы с вредоносным кодом.
Вторая дыра находится в электронных таблицах, входящих в состав Office XP. Она может использоваться в паре с первой дырой, чтобы поместить в каталог запуска компьютера пользователя любые исполняемые файлы, которые могут вывести из строя компьютер или нанести какой-то другой вред.
Гунински поместил на своем сайте специальную программу, которая демонстрирует возможное использование обеих брешей в системе защиты: вывод из строя браузера Internet Explorer и удаление из Office XP электронных таблиц.
Гунински сообщил также, что он уведомил корпорацию Microsoft об этих дырах еще 17 марта, но и через две недели та не выпустила никаких заплат, поэтому он решил обнародовать всю эту информацию.
Следует отметить, что Microsoft уже давно критикует Гунински за то, что тот слишком быстро публикует данные о найденных им ошибках и дырах, программисты Microsoft не успевают выпустить заплатки, а злоумышленники уже получают в свои руки оружие.
Microsoft признает, что заплат пока действительно нет, но для того чтобы защититься от проникновения злоумышленников через первую дыру, Microsoft рекомендует отключить поддержку в электронной почте HTML-формата и опцию выбора Microsoft Word в качестве редактора для электронных писем. 04.04.2002
В Lotus Notes 6 будет система защиты от спама
Компания IBM намеревается включить антиспамовые средства в состав почтовой программы Lotus Notes 6. Она будет выпущена во второй половине 2002.
Lotus Notes — клиентское программное обеспечение для групповой работы с информацией и документами в компании. Оно включает в себя программу-клиент электронной почты, клиент базы данных коллективного доступа, различные средства автоматизации деловых процедур. Почтовая программа Lotus Notes не обладает даже такими средствами защиты от спама, которые есть в Microsoft Outlook Express, не говоря уже о других программах.
Проблема защиты от нежелательных почтовых сообщений сегодня становится все острее. Уже сейчас, по различным данным, рекламные рассылки составляют до 30% получаемых сообщений, и особенно этот процент высок применительно к почтовым ящикам организаций. В дальнейшем, по прогнозам, количество спама будет только увеличиваться. Каждое письмо в ящике неизменно отвлекает сотрудника от работы, что негативно сказывается на производительности труда.
В Domino (сервер Lotus Notes) средства защиты от нежелательных почтовых сообщений уже реализованы. Однако, по словам Дэвида Виа из Wolcott Systems Group, компании-системного интегратора, работающей с продуктами IBM, зачастую владельцы Lotus просто не используют все ее функции. 04.04.2002
Выпущен на свободу системный администратор, намеренно заразивший компьютеры работодателя вирусом
Бывший сотрудник компании Purity Grocers решением суда выпущен на свободу. В сентябре Герберт Пьер-Луи был признан виновным в намеренном заражении компьютеров компании. Согласно законам США, если размер нанесенного ущерба превысил 5 тысяч долларов, намеренное заражение компьютера вирусом считается преступлением.
Представители компании Purity Grocers утверждали, что действия ее бывшего сотрудника на несколько дней вывели компьютерную сеть компании из строя. Убытки превысили 75 тысяч долларов.
Если бы суд согласился с доводами Puriу Grocers, Пьер-Луи мог быть приговорен к тюремному заключению сроком до 3,5 лет и штраф в размере 250 тысяч долларов. Однако судья пришел к выводу, что нанесенный ущерб был менее 5 тысяч долларов.
Адвокаты компании намерены оспаривать данное решение. 04.04.2002
Член пиратской группы DrinkorDie признал свою вину
Как сообщили представители прокуратуры США агентству Reuters, главный поставщик программного обеспечения международной пиратской группе DrinkorDie Натан Хант признал себя виновным по одному пункту обвинения, заключающемуся в преднамеренном нарушении авторских прав.
По утверждению обвинителей, группа DrinkorDie нелегально размножала и распространяла в огромном количестве защищенные авторским правом продукты, принося владельцам авторских прав и издателям миллиарды убытков ежегодно. Члены группы взламывали защиту программного обеспечения, после чего оно могло легко копироваться и использоваться любым обладателем такой копии. Взломанное ПО выкладывалось в Интернет для дальнейшего распространения. Члены группы редко встречались лично, а многие знали друг друга только по псевдонимам.
С ноября 2000 по октябрь 2001 года Хант передал группе DrinkorDie более 120 наименований программных продуктов. По условиям судебной сделки, Соединенные Штаты и Хант договорились оценить ущерб, нанесенный деятельностью Ханта, в сумму от 2,5 до 5 миллионов долларов. Двадцатиоднолетнему Натану Ханту из Уотерфорда, штат Пенсильвания, грозит до пяти лет тюремного заключения и штраф в размере 250000 долларов США. Приговор будет вынесен 21 июня в федеральном суде Александрии, штат Вирджиния.
Охота на группу DrinkorDie шла с прошлого года, причем весьма активно и широкомасштабно. Власти США объявили международную операцию Buccaneer ("Пират"), и самым громким стал разгром именно "варезной" группы DrinkorDie — самой старой и крупной. Вообще же, в течение 15-месячного расследования Таможенной службы, по все стране проходили обыски и аресты. Естественно, главными объектами этих "оперативных мероприятий" становились высшие учебные заведения и учащиеся в них молодые люди. 04.04.2002
Группа хакеров предлагает на своем сайте услуги по взлому компьютеров на заказ
Группа американских хакеров объявила на своем сайте о приеме заказов на взлом компьютеров, сообщает Newsbytes. Список услуг хакеров достаточно велик, а одной из наиболее интересных возможностей является взлом компьютеров образовательных учреждений с целью исправления плохих оценок.
Видимо, участники хакерской группы, известной под названиями Be A Hacker (BAH) и 69 Hacking Services, считают это направление одним из наиболее перспективных. Во всяком случае, именно "хакерское" исправление оценок рекламируется в бегущей строке на главной странице сайта BAH. Как сообщил журналистам Newsbytes один из главарей 69 Hacking Services Акбар Худа (Akbar "Andy" Hooda), взлом вузовского компьютера обойдется заказчику в 2100 дол., причем 799 дол. необходимо уплатить вперед, и эти деньги не возвращаются, если взлом совершить не удастся.
Среди других услуг BAH можно отметить взлом паролей к почтовым ящикам и веб-сайтам (от 399 дол.), взломы сайтов и компьютеров частных фирм и государственных структур (от 850 дол.) и распространение разного рода хакерских программ.
По словам Худы, группа уже обслужила около 80 клиентов, заработав 6000 дол. По данным системы PayPal, которая используется BAH для осуществления платежей, с хакерами было заключено по меньшей мере 27 сделок.
С другой стороны, весьма вероятно, что члены 69 Hacking Services являются никакими не хакерами, а простыми мошенниками, рассчитывающими на неопытных пользователей Интернета, особенно из числа материально обеспеченных школьников и студентов. Во всяком случае, именно такое мнение высказывает редактор рассылки InfoSec News Уильям Ноулес (William Knowles).
С юридической точки зрения, прекратить работу группы BAH и ее сайта достаточно сложно, так как, опираясь на защищаемую конституцией США свободу слова, хакеры или мошенники могут рекламировать все, что угодно, а привлечь их к ответственности можно будет, лишь доказав факты взлома компьютеров или обмана клиентов. Причем, даже если взлом не будет выполнен, заказчик вряд ли станет обращаться с жалобами, признаваясь тем самым в своем намерении нарушить закон. 05.04.2002
Подготовил Евгений Сечко, safeman@mail.ru
Новостной сайт Newsbytes сообщил об обнаружении опасной уязвимости в системе парольной защиты аукциона eBay. В результате, злоумышленник может изменить пароль любого зарегистрированного пользователя аукциона и получить полный доступ к его счету, включая информацию о ставках, выставленных лотах, и номерах кредитных карт. Причем для похищения учетной записи нет необходимости использовать какие-либо специальные приемы или программные средства — взлом сводится к несложным манипуляциям с двумя страницами eBay. Информацию о дыре сообщил Newsbytes анонимный специалист по компьютерной безопасности, скрывающийся под псевдонимом Null. Воспользовавшись его рекомендациями, сотрудникам Newsbytes удалось без каких-либо трудностей изменить пароль на специально созданном для этой цели счете.
Как сообщил представитель eBay, отвечая на вопросы Newsbytes, компания узнала об уязвимости еще в январе этого года и в настоящее время рассматривает различные варианты ликвидации дыры в системе защиты пользовательской информации. При этом реальные меры в eBay обещают принять только в конце лета, когда на сайте будет проводиться модернизация ПО, отвечающего за безопасность.
Пока же пользователям стоит самостоятельно отслеживать подозрительные изменения в своих учетных записях. В частности, рекомендуется обращать повышенное внимание на письма с извещением об изменении пароля. Впрочем, пока, успокаивают представители eBay, число инцидентов со взломом учетных записей пользователей чрезвычайно мало, причем зачастую хакеры используют банальный подбор пароля, а не метод, описанный в сообщении Null. 03.04.2002
Сайт Microsoft переходит
с Unix на Windows и зависает
По сообщениям Компьюленты, у Microsoft возникли проблемы с новой маркетинговой акцией, призывающей переходить с Unix-систем на серверы под управлением Windows. 30-миллионная рекламная кампания была организована софтверным гигантом совместно с компанией Unisys. Последняя создала специальный веб-сайт, также посвященный распространению идеи о превосходстве Windows над Unix.
Позже выяснилось, что "антиюниксовый" сайт работает под управлением Unix. На сайте Netcraft, предоставляющем такого рода информацию, было выяснено, что сайт работает на базе операционной системы FreeBSD и веб-сервера Apache для Unix. При этом на сайте без стыда и совести доказывался тот факт, что Unix — это "операционная система, заставляющая вас каждый день решать проблемы с сервером в самом сложном окружении из существующих".
Поняв всю двусмысленность своего положения, организаторы сайта быстро поменяли операционную систему, запустив сайт под управлением Windows 2000 и Microsoft IIS 5.0. И именно под Windows, а не под Unix, администраторам сайта "пришлось решать проблемы с сервером". В настоящее время при попытке посетить сайт выводится сообщение "No web site is configured at this address". Остается только добавить, что попытка Unisys наступить на собственные грабли прошла успешно. 04.04.2002
Две дыры в "Офисе"
Известный искатель дыр в программах Microsoft Георгий Гунински (Georgi Guninski) из Болгарии сообщил об очередной своей находке, вернее, даже двух: это две дыры в системе защиты пакета офисного ПО Office XP. По словам Гунински, благодаря этим дырам злоумышленники могут получить полный контроль над компьютером жертвы.
Первая дыра находится в почтовой программе Outlook XP. Из-за этой дыры возможно возникновение следующей ситуации. Взломщик может отправить жертве письмо со встроенным "активным" компонентом, который содержит и объект, и скрипт-код. Этот компонент можно настроить так, чтобы он запускался на исполнение в тот момент, когда пользователь отвечает отправителю или перенаправляет на другой адрес письмо, содержащее этот компонент. Таким способом взломщик может спровоцировать пользователя на посещение указанной им web-страницы с вредоносным кодом.
Вторая дыра находится в электронных таблицах, входящих в состав Office XP. Она может использоваться в паре с первой дырой, чтобы поместить в каталог запуска компьютера пользователя любые исполняемые файлы, которые могут вывести из строя компьютер или нанести какой-то другой вред.
Гунински поместил на своем сайте специальную программу, которая демонстрирует возможное использование обеих брешей в системе защиты: вывод из строя браузера Internet Explorer и удаление из Office XP электронных таблиц.
Гунински сообщил также, что он уведомил корпорацию Microsoft об этих дырах еще 17 марта, но и через две недели та не выпустила никаких заплат, поэтому он решил обнародовать всю эту информацию.
Следует отметить, что Microsoft уже давно критикует Гунински за то, что тот слишком быстро публикует данные о найденных им ошибках и дырах, программисты Microsoft не успевают выпустить заплатки, а злоумышленники уже получают в свои руки оружие.
Microsoft признает, что заплат пока действительно нет, но для того чтобы защититься от проникновения злоумышленников через первую дыру, Microsoft рекомендует отключить поддержку в электронной почте HTML-формата и опцию выбора Microsoft Word в качестве редактора для электронных писем. 04.04.2002
В Lotus Notes 6 будет система защиты от спама
Компания IBM намеревается включить антиспамовые средства в состав почтовой программы Lotus Notes 6. Она будет выпущена во второй половине 2002.
Lotus Notes — клиентское программное обеспечение для групповой работы с информацией и документами в компании. Оно включает в себя программу-клиент электронной почты, клиент базы данных коллективного доступа, различные средства автоматизации деловых процедур. Почтовая программа Lotus Notes не обладает даже такими средствами защиты от спама, которые есть в Microsoft Outlook Express, не говоря уже о других программах.
Проблема защиты от нежелательных почтовых сообщений сегодня становится все острее. Уже сейчас, по различным данным, рекламные рассылки составляют до 30% получаемых сообщений, и особенно этот процент высок применительно к почтовым ящикам организаций. В дальнейшем, по прогнозам, количество спама будет только увеличиваться. Каждое письмо в ящике неизменно отвлекает сотрудника от работы, что негативно сказывается на производительности труда.
В Domino (сервер Lotus Notes) средства защиты от нежелательных почтовых сообщений уже реализованы. Однако, по словам Дэвида Виа из Wolcott Systems Group, компании-системного интегратора, работающей с продуктами IBM, зачастую владельцы Lotus просто не используют все ее функции. 04.04.2002
Выпущен на свободу системный администратор, намеренно заразивший компьютеры работодателя вирусом
Бывший сотрудник компании Purity Grocers решением суда выпущен на свободу. В сентябре Герберт Пьер-Луи был признан виновным в намеренном заражении компьютеров компании. Согласно законам США, если размер нанесенного ущерба превысил 5 тысяч долларов, намеренное заражение компьютера вирусом считается преступлением.
Представители компании Purity Grocers утверждали, что действия ее бывшего сотрудника на несколько дней вывели компьютерную сеть компании из строя. Убытки превысили 75 тысяч долларов.
Если бы суд согласился с доводами Puriу Grocers, Пьер-Луи мог быть приговорен к тюремному заключению сроком до 3,5 лет и штраф в размере 250 тысяч долларов. Однако судья пришел к выводу, что нанесенный ущерб был менее 5 тысяч долларов.
Адвокаты компании намерены оспаривать данное решение. 04.04.2002
Член пиратской группы DrinkorDie признал свою вину
Как сообщили представители прокуратуры США агентству Reuters, главный поставщик программного обеспечения международной пиратской группе DrinkorDie Натан Хант признал себя виновным по одному пункту обвинения, заключающемуся в преднамеренном нарушении авторских прав.
По утверждению обвинителей, группа DrinkorDie нелегально размножала и распространяла в огромном количестве защищенные авторским правом продукты, принося владельцам авторских прав и издателям миллиарды убытков ежегодно. Члены группы взламывали защиту программного обеспечения, после чего оно могло легко копироваться и использоваться любым обладателем такой копии. Взломанное ПО выкладывалось в Интернет для дальнейшего распространения. Члены группы редко встречались лично, а многие знали друг друга только по псевдонимам.
С ноября 2000 по октябрь 2001 года Хант передал группе DrinkorDie более 120 наименований программных продуктов. По условиям судебной сделки, Соединенные Штаты и Хант договорились оценить ущерб, нанесенный деятельностью Ханта, в сумму от 2,5 до 5 миллионов долларов. Двадцатиоднолетнему Натану Ханту из Уотерфорда, штат Пенсильвания, грозит до пяти лет тюремного заключения и штраф в размере 250000 долларов США. Приговор будет вынесен 21 июня в федеральном суде Александрии, штат Вирджиния.
Охота на группу DrinkorDie шла с прошлого года, причем весьма активно и широкомасштабно. Власти США объявили международную операцию Buccaneer ("Пират"), и самым громким стал разгром именно "варезной" группы DrinkorDie — самой старой и крупной. Вообще же, в течение 15-месячного расследования Таможенной службы, по все стране проходили обыски и аресты. Естественно, главными объектами этих "оперативных мероприятий" становились высшие учебные заведения и учащиеся в них молодые люди. 04.04.2002
Группа хакеров предлагает на своем сайте услуги по взлому компьютеров на заказ
Группа американских хакеров объявила на своем сайте о приеме заказов на взлом компьютеров, сообщает Newsbytes. Список услуг хакеров достаточно велик, а одной из наиболее интересных возможностей является взлом компьютеров образовательных учреждений с целью исправления плохих оценок.
Видимо, участники хакерской группы, известной под названиями Be A Hacker (BAH) и 69 Hacking Services, считают это направление одним из наиболее перспективных. Во всяком случае, именно "хакерское" исправление оценок рекламируется в бегущей строке на главной странице сайта BAH. Как сообщил журналистам Newsbytes один из главарей 69 Hacking Services Акбар Худа (Akbar "Andy" Hooda), взлом вузовского компьютера обойдется заказчику в 2100 дол., причем 799 дол. необходимо уплатить вперед, и эти деньги не возвращаются, если взлом совершить не удастся.
Среди других услуг BAH можно отметить взлом паролей к почтовым ящикам и веб-сайтам (от 399 дол.), взломы сайтов и компьютеров частных фирм и государственных структур (от 850 дол.) и распространение разного рода хакерских программ.
По словам Худы, группа уже обслужила около 80 клиентов, заработав 6000 дол. По данным системы PayPal, которая используется BAH для осуществления платежей, с хакерами было заключено по меньшей мере 27 сделок.
С другой стороны, весьма вероятно, что члены 69 Hacking Services являются никакими не хакерами, а простыми мошенниками, рассчитывающими на неопытных пользователей Интернета, особенно из числа материально обеспеченных школьников и студентов. Во всяком случае, именно такое мнение высказывает редактор рассылки InfoSec News Уильям Ноулес (William Knowles).
С юридической точки зрения, прекратить работу группы BAH и ее сайта достаточно сложно, так как, опираясь на защищаемую конституцией США свободу слова, хакеры или мошенники могут рекламировать все, что угодно, а привлечь их к ответственности можно будет, лишь доказав факты взлома компьютеров или обмана клиентов. Причем, даже если взлом не будет выполнен, заказчик вряд ли станет обращаться с жалобами, признаваясь тем самым в своем намерении нарушить закон. 05.04.2002
Подготовил Евгений Сечко, safeman@mail.ru
Компьютерная газета. Статья была опубликована в номере 14 за 2002 год в рубрике del :: безопасность
