IBM представила систему защиты личных данных в Интернете
Безопасность и защита информации IBM представила систему защиты личных данных в Интернете
У владельцев коммерческих сайтов нередко возникают проблемы, связанные с тем, что посетители не желают отвечать на вопросы, касающиеся их дохода, возраста или веса, либо вводят неверные данные. Такое поведение вызвано тем, что люди опасаются отправлять через Интернет подобную информацию, которая, в свою очередь, необходима коммерсантам для формирования персонализированных рекомендаций для каждого посетителя, а также для общего планирования бизнеса. Эту проблему, по утверждению американской компании IBM, сможет решить новая система шифрования личных данных, разработанная в исследовательском центре IBM в Альмадене учеными Ракешем Агравалом и Рамакришнаном Шрикантом.
Новая система шифрования личных данных основана на том, что эти данные могут быть зашифрованы случайным образом при их пересылке. Система действует следующим образом: когда посетитель вводит какое-либо значение, к примеру, возраст, то к этому числу случайным образом добавляется (либо отнимается) другое число. Неизменным остается лишь диапазон этих случайных чисел.
Преобразованная таким способом информация не позволяет онлайновому магазину определить точное число, названное посетителем, однако программе известны полученные случайные числа, а также параметры рандомизации.
Исходя из этой информации реконструируются близкие к реальным числовые значения. Как показали эксперименты, при использовании такого алгоритма неточность достигает всего 5-10 процентов, что позволяет как гарантировать безопасность пересылаемой личной информации, так и обеспечить индивидуальный подход к каждому клиенту. 03.06.2002
Взломана система защиты игровой консоли Xbox
Аспирант Массачусетского технологического института Эндрю Хуанг (Andrew Huang), который недавно завершил работу над диссертацией по архитектуре суперкомпьютера, на досуге решил размяться с игровой консолью Xbox. И нашел способ взлома системы защиты этого творения Microsoft. О результатах своих трудов он опубликовал доклад на своей институтской Web-странице, а ссылка на него появилась на дискуссионном технологическом сайте Slashdot.org.
В этой статье он на 15 страницах излагает также свое мнение по поводу системы защиты онлайновой игровой службы Xbox Live, которую Microsoft собирается открыть осенью этого года. Он считает, что хакеры смогут использовать одну из дыр для идентификации игроков (и какую выгоду можно из этого извлечь?). Кроме того, он обнаружил, что серийный номер консоли содержится в ее памяти, и эти данные можно считать из центральной операционной системы, так что теоретически их может получить хакер, если пользователь подключится к Интернет. (Опять же, зачем это надо? Правда, хакеры — народ ушлый, наверняка придумают какую-то подлость.)
По словам Хуанга, система защиты Xbox располагается в "секретном загрузочном блоке" в графическом чипе производства Nvidia. Он извлек содержимое этого блока, перехватив информацию, передаваемую между графическим чипом и центральным процессором, подключив к консоли разработанную им плату.
На создание этой платы он потратил 50 дол. и 3 недели времени. Так что теперь он знает алгоритм шифрования и ключ для расшифровки передаваемых данных в Xbox, а эту информацию можно использовать для запуска на консоли неавторизованных игр и операционных систем.
В письме агентству Reuters Хуанг сообщил, что до публикации материалов в Интернет он поставил обо всем в известность Microsoft и послал им копию своей статьи. Кроме того, он сообщил, что никогда не пытался запускать на консоли Xbox ОС Linux и другие операционные системы. 05.06.2002
Аварийная служба Интернет CERT объявила об обнаружении опасной дыры в сервере трансляции DNS-адресов BIND
BIND, The Berkeley Internet Name Domain, представляет собой сервер имен DNS (Domain Name System), работающий на BSD-подобных операционных системах. Он позволяет использовать буквенные имена для доступа к ресурсам, представленным IP-адресами. Распространяется BIND бесплатно.
Злоумышленник может вывести из строя BIND, послав на сервер специальным образом составленное DNS-сообщение. Чтобы после этого вернуть BIND в рабочее состояние, требуется его перезапуск. Если DNS-сервер компании перестанет работать, то компания фактически исчезнет из Интернет.
Для ликвидации дыры, которой был присвоен кодовый номер CAN-2002-0400, необходимо на сайте Internet Software Consortium скачать патч до версии 9.2.1. Список затронутых уязвимостью операционных систем находится про адресу: http://www.cert.org/advisories/CA-2002-15.html.
Проблема слабой защиты DNS-сервисов уже признана достаточно серьезной Интернет-советом ICANN, и им сформирован специальный комитет по работе над этой проблемой 06.06.2002
Американских военных вооружат пуленепробиваемыми компьютерами
Американские ученые разработали первый портативный компьютер, способный выдержать выстрелы из стрелкового оружия, сообщает сайт NewScientist.com.
Компактные компьютерные системы уже используются американскими военными для связи, навигации и разведки. Новый сверхтонкий компьютер создан компанией Xybernaut, обычно занимающейся обеспечением нужд машиностроительной промышленности. Детище Xybernaut укомплектовано пуленепробиваемыми материалами Second Chance, которые уже применяются сотрудниками военных и полицейских подразделений.
По мнению пресс-секретаря компании Second Chance, пуленепробиваемые компьютеры окажутся очень полезными для сотрудников силовых структур. Аппаратная часть пуленепробиваемых компьютеров ничем не отличается от обычных ноутбуков. Базовой операционной системой бронированной вычислительной машины является Windows. 04.06.2002
Отныне борьба с киберпреступностью — в десятке основных приоритетов ФБР
29 мая директор Федерального бюро расследования США Роберт Мюллер объявил о планах дальнейшей реорганизации своего ведомства. Следует особо отметить, что в десятку приоритетных направлений работы ФБР, наряду с антитеррористической деятельностью и борьбой с коррупцией, теперь входят борьба с преступлениями в сфере высоких технологий и защита США от кибератак. План также предусматривает усовершенствование технической базы ФБР для более успешного выполнения своих задач.
Как сообщает ZDNet, Мюллер считает, что, предотвращая hi-tech преступления, ФБР защищает инфраструктуру всей страны, и что кибертерроризм и киберпреступления могут происходить где угодно, и что такое агентство как ФБР вынуждено взять на себя всестороннюю ответственность и в этой области.
Напомним, что в начале апреля Мюллер назначил на пост руководителя свежеиспеченного киберподразделения ФБР Ларри Меффорда. Характерно, что до своего нового назначения Меффорд специализировался на борьбе с терроризмом. 30.05.2002
Исследование: Open Source — это готовый план атаки для террористов
Институт Alexis de Tocqueville Institution распространил пресс-релиз, в котором общественность извещалась о грядущем выходе документа под названием "Открытые дебаты по вопросу открытых исходников" (Opening the Open Source Debate).
Согласно пресс-релизу, в "Дебатах" будет обсуждаться проблема использования открытого программного обеспечения в правительственных агентствах США. Как известно, в Пентагоне для распределенных вычислений используется именно открытое ПО, что очень раздражает Microsoft. В докладе Института будет представлен ряд примеров того, как террористы могут с помощью открытого софта произвести диверсию в сфере электронной коммерции, нарушить работу диспетчерских служб или даже систем слежения и безопасности, от которых может зависеть очень многое.
Институт Алексиса де Токвиля, в частности, выражает серьезную озабоченность тем, что в исходниках программ, от которых может зависеть национальная безопасность США, может копаться кто угодно и с какими угодно намерениями. В пресс-релизе недвусмысленно говорится о том, что проприетарный софт надежнее, поскольку его исходники хранятся в тайне. В заявлении представителя института Токвиля компьютерные системы называются основой безопасности США, так что Пентагону и другим федеральным структурам надо "хорошенько подумать", прежде чем менять саму основу компьютерной безопасности, и "скрупулезно изучить возможные последствия".
Эти заявления вызвали вполне понятную ярость среди сторонников движения Open Source. В частности, в своем недельном обзоре, Интернет-издание Newsforge задает вопрос, кто оплачивал проведение этого исследования. Кто бы ни оплачивал, факт остается фактом: доводы, к которым прибегает институт Токвиля, очень сильно напоминают аргументы Microsoft, к которым корпорация регулярно прибегает в борьбе с Open Source.
"Авторы исследования, которые, похоже, путают открытый код с открытыми дырами, говорят, что террористы могут вламываться на правительственные компьютеры, на которых установлено открытое ПО с большей легкостью, нежели на те компьютеры, где используется проприетарный софт. А закрытые исходники являют собой такой блестящий пример отменной безопасности, что Microsoft иногда даже не может выпустить нормальные патчи", — пишет Newsforge. Автор обзора напоминает о недавних выводах агентства Gartner, согласно которым продукция Microsoft с ее бесконечными уязвимостями и недочетами только бы выиграла от открытия исходников. "Против сообщества Open Source развязана настоящая война," — отмечает Newsforge.
Подобные заявления не лишены оснований. Как уже сообщалось, в странах Третьего мира и даже в некоторых европейских государствах между Microsoft и Open Source идет нешуточная борьба с привлечением всех возможных средств, вплоть до массовой раздачи проприетарного софта задаром. Например, в двадцатых числах мая между Microsoft и правительством ЮАР был заключен договор о бесплатной поставке и поддержке определенного набора ПО Microsoft в южноафриканские школы. В то же время Linux получил государственную поддержку в Перу, Индии, и еще ряде латиноамериканских и азиатских стран. 04.06.2002
Норвегия принимает хакеров на работу
Директор Норвежского национального центра языка и культуры занимается поиском хакеров-добровольцев для взлома зашифрованных архивов, содержащих данные о важных государственных документах, книгах и многом другом. В настоящее время доступ к базе данных закрыт, так как пароль доступа был известен только программисту, отвечавшему за работу с электронным архивом и умершему несколько лет тому назад.
После смерти программиста сотрудники Национального центра не могут получить доступ к защищенным паролем архивам и, естественно, не могут получить контроль над национальной базой данных. Ддиректор норвежского культурного центра обратился по радио к гражданам страны, призвав тех, кто имеет навыки взлома защиты электронных баз данных (хакеров), добровольно принять участие в извлечении пароля.
Представитель центра заявил, что желающих принять участие во взломе государственной важности очень много, в настоящее время ведется отбор наиболее опытных хакеров. Один из добровольцев выразил надежду на то, что программист не следовал правилам безопасности и ввел какой-либо очевидный пароль. Норвежские архивные неурядицы привели к широкому обсуждению темы уничтожения данных после смерти пользователя.
Если для кого-то актуальна проблема удаления данных по факту смерти владельца, то он может использовать программу Dead Man's Switch.
Этой утилите необходимо постоянно напоминать о том, что ты еще жив. В противном случае утилита начнет выполнять заданные пользователем действия, рассылать сообщения и удалять файлы.
Однако, некоторые пользователи данной утилиты предупреждают, что при работе с ней необходимы меры предосторожности. Как заявил в интервью Wired Кенни Лагуардия, веб-дизайнер из Лос-Анджелеса, "необходимо отключать утилиту, когда компьютер не используется в течение длительного времени". "Я уехал в отпуск на месяц и забыл об утилите. Когда я вернулся и включил компьютер, программа вывела сообщение "Похоже, я умер" и уничтожила всю мою коллекцию порнографии". 06.06.2002
Подготовил Евгений Сечко, safeman@mail.ru
У владельцев коммерческих сайтов нередко возникают проблемы, связанные с тем, что посетители не желают отвечать на вопросы, касающиеся их дохода, возраста или веса, либо вводят неверные данные. Такое поведение вызвано тем, что люди опасаются отправлять через Интернет подобную информацию, которая, в свою очередь, необходима коммерсантам для формирования персонализированных рекомендаций для каждого посетителя, а также для общего планирования бизнеса. Эту проблему, по утверждению американской компании IBM, сможет решить новая система шифрования личных данных, разработанная в исследовательском центре IBM в Альмадене учеными Ракешем Агравалом и Рамакришнаном Шрикантом.
Новая система шифрования личных данных основана на том, что эти данные могут быть зашифрованы случайным образом при их пересылке. Система действует следующим образом: когда посетитель вводит какое-либо значение, к примеру, возраст, то к этому числу случайным образом добавляется (либо отнимается) другое число. Неизменным остается лишь диапазон этих случайных чисел.
Преобразованная таким способом информация не позволяет онлайновому магазину определить точное число, названное посетителем, однако программе известны полученные случайные числа, а также параметры рандомизации.
Исходя из этой информации реконструируются близкие к реальным числовые значения. Как показали эксперименты, при использовании такого алгоритма неточность достигает всего 5-10 процентов, что позволяет как гарантировать безопасность пересылаемой личной информации, так и обеспечить индивидуальный подход к каждому клиенту. 03.06.2002
Взломана система защиты игровой консоли Xbox
Аспирант Массачусетского технологического института Эндрю Хуанг (Andrew Huang), который недавно завершил работу над диссертацией по архитектуре суперкомпьютера, на досуге решил размяться с игровой консолью Xbox. И нашел способ взлома системы защиты этого творения Microsoft. О результатах своих трудов он опубликовал доклад на своей институтской Web-странице, а ссылка на него появилась на дискуссионном технологическом сайте Slashdot.org.
В этой статье он на 15 страницах излагает также свое мнение по поводу системы защиты онлайновой игровой службы Xbox Live, которую Microsoft собирается открыть осенью этого года. Он считает, что хакеры смогут использовать одну из дыр для идентификации игроков (и какую выгоду можно из этого извлечь?). Кроме того, он обнаружил, что серийный номер консоли содержится в ее памяти, и эти данные можно считать из центральной операционной системы, так что теоретически их может получить хакер, если пользователь подключится к Интернет. (Опять же, зачем это надо? Правда, хакеры — народ ушлый, наверняка придумают какую-то подлость.)
По словам Хуанга, система защиты Xbox располагается в "секретном загрузочном блоке" в графическом чипе производства Nvidia. Он извлек содержимое этого блока, перехватив информацию, передаваемую между графическим чипом и центральным процессором, подключив к консоли разработанную им плату.
На создание этой платы он потратил 50 дол. и 3 недели времени. Так что теперь он знает алгоритм шифрования и ключ для расшифровки передаваемых данных в Xbox, а эту информацию можно использовать для запуска на консоли неавторизованных игр и операционных систем.
В письме агентству Reuters Хуанг сообщил, что до публикации материалов в Интернет он поставил обо всем в известность Microsoft и послал им копию своей статьи. Кроме того, он сообщил, что никогда не пытался запускать на консоли Xbox ОС Linux и другие операционные системы. 05.06.2002
Аварийная служба Интернет CERT объявила об обнаружении опасной дыры в сервере трансляции DNS-адресов BIND
BIND, The Berkeley Internet Name Domain, представляет собой сервер имен DNS (Domain Name System), работающий на BSD-подобных операционных системах. Он позволяет использовать буквенные имена для доступа к ресурсам, представленным IP-адресами. Распространяется BIND бесплатно.
Злоумышленник может вывести из строя BIND, послав на сервер специальным образом составленное DNS-сообщение. Чтобы после этого вернуть BIND в рабочее состояние, требуется его перезапуск. Если DNS-сервер компании перестанет работать, то компания фактически исчезнет из Интернет.
Для ликвидации дыры, которой был присвоен кодовый номер CAN-2002-0400, необходимо на сайте Internet Software Consortium скачать патч до версии 9.2.1. Список затронутых уязвимостью операционных систем находится про адресу: http://www.cert.org/advisories/CA-2002-15.html.
Проблема слабой защиты DNS-сервисов уже признана достаточно серьезной Интернет-советом ICANN, и им сформирован специальный комитет по работе над этой проблемой 06.06.2002
Американских военных вооружат пуленепробиваемыми компьютерами
Американские ученые разработали первый портативный компьютер, способный выдержать выстрелы из стрелкового оружия, сообщает сайт NewScientist.com.
Компактные компьютерные системы уже используются американскими военными для связи, навигации и разведки. Новый сверхтонкий компьютер создан компанией Xybernaut, обычно занимающейся обеспечением нужд машиностроительной промышленности. Детище Xybernaut укомплектовано пуленепробиваемыми материалами Second Chance, которые уже применяются сотрудниками военных и полицейских подразделений.
По мнению пресс-секретаря компании Second Chance, пуленепробиваемые компьютеры окажутся очень полезными для сотрудников силовых структур. Аппаратная часть пуленепробиваемых компьютеров ничем не отличается от обычных ноутбуков. Базовой операционной системой бронированной вычислительной машины является Windows. 04.06.2002
Отныне борьба с киберпреступностью — в десятке основных приоритетов ФБР
29 мая директор Федерального бюро расследования США Роберт Мюллер объявил о планах дальнейшей реорганизации своего ведомства. Следует особо отметить, что в десятку приоритетных направлений работы ФБР, наряду с антитеррористической деятельностью и борьбой с коррупцией, теперь входят борьба с преступлениями в сфере высоких технологий и защита США от кибератак. План также предусматривает усовершенствование технической базы ФБР для более успешного выполнения своих задач.
Как сообщает ZDNet, Мюллер считает, что, предотвращая hi-tech преступления, ФБР защищает инфраструктуру всей страны, и что кибертерроризм и киберпреступления могут происходить где угодно, и что такое агентство как ФБР вынуждено взять на себя всестороннюю ответственность и в этой области.
Напомним, что в начале апреля Мюллер назначил на пост руководителя свежеиспеченного киберподразделения ФБР Ларри Меффорда. Характерно, что до своего нового назначения Меффорд специализировался на борьбе с терроризмом. 30.05.2002
Исследование: Open Source — это готовый план атаки для террористов
Институт Alexis de Tocqueville Institution распространил пресс-релиз, в котором общественность извещалась о грядущем выходе документа под названием "Открытые дебаты по вопросу открытых исходников" (Opening the Open Source Debate).
Согласно пресс-релизу, в "Дебатах" будет обсуждаться проблема использования открытого программного обеспечения в правительственных агентствах США. Как известно, в Пентагоне для распределенных вычислений используется именно открытое ПО, что очень раздражает Microsoft. В докладе Института будет представлен ряд примеров того, как террористы могут с помощью открытого софта произвести диверсию в сфере электронной коммерции, нарушить работу диспетчерских служб или даже систем слежения и безопасности, от которых может зависеть очень многое.
Институт Алексиса де Токвиля, в частности, выражает серьезную озабоченность тем, что в исходниках программ, от которых может зависеть национальная безопасность США, может копаться кто угодно и с какими угодно намерениями. В пресс-релизе недвусмысленно говорится о том, что проприетарный софт надежнее, поскольку его исходники хранятся в тайне. В заявлении представителя института Токвиля компьютерные системы называются основой безопасности США, так что Пентагону и другим федеральным структурам надо "хорошенько подумать", прежде чем менять саму основу компьютерной безопасности, и "скрупулезно изучить возможные последствия".
Эти заявления вызвали вполне понятную ярость среди сторонников движения Open Source. В частности, в своем недельном обзоре, Интернет-издание Newsforge задает вопрос, кто оплачивал проведение этого исследования. Кто бы ни оплачивал, факт остается фактом: доводы, к которым прибегает институт Токвиля, очень сильно напоминают аргументы Microsoft, к которым корпорация регулярно прибегает в борьбе с Open Source.
"Авторы исследования, которые, похоже, путают открытый код с открытыми дырами, говорят, что террористы могут вламываться на правительственные компьютеры, на которых установлено открытое ПО с большей легкостью, нежели на те компьютеры, где используется проприетарный софт. А закрытые исходники являют собой такой блестящий пример отменной безопасности, что Microsoft иногда даже не может выпустить нормальные патчи", — пишет Newsforge. Автор обзора напоминает о недавних выводах агентства Gartner, согласно которым продукция Microsoft с ее бесконечными уязвимостями и недочетами только бы выиграла от открытия исходников. "Против сообщества Open Source развязана настоящая война," — отмечает Newsforge.
Подобные заявления не лишены оснований. Как уже сообщалось, в странах Третьего мира и даже в некоторых европейских государствах между Microsoft и Open Source идет нешуточная борьба с привлечением всех возможных средств, вплоть до массовой раздачи проприетарного софта задаром. Например, в двадцатых числах мая между Microsoft и правительством ЮАР был заключен договор о бесплатной поставке и поддержке определенного набора ПО Microsoft в южноафриканские школы. В то же время Linux получил государственную поддержку в Перу, Индии, и еще ряде латиноамериканских и азиатских стран. 04.06.2002
Норвегия принимает хакеров на работу
Директор Норвежского национального центра языка и культуры занимается поиском хакеров-добровольцев для взлома зашифрованных архивов, содержащих данные о важных государственных документах, книгах и многом другом. В настоящее время доступ к базе данных закрыт, так как пароль доступа был известен только программисту, отвечавшему за работу с электронным архивом и умершему несколько лет тому назад.
После смерти программиста сотрудники Национального центра не могут получить доступ к защищенным паролем архивам и, естественно, не могут получить контроль над национальной базой данных. Ддиректор норвежского культурного центра обратился по радио к гражданам страны, призвав тех, кто имеет навыки взлома защиты электронных баз данных (хакеров), добровольно принять участие в извлечении пароля.
Представитель центра заявил, что желающих принять участие во взломе государственной важности очень много, в настоящее время ведется отбор наиболее опытных хакеров. Один из добровольцев выразил надежду на то, что программист не следовал правилам безопасности и ввел какой-либо очевидный пароль. Норвежские архивные неурядицы привели к широкому обсуждению темы уничтожения данных после смерти пользователя.
Если для кого-то актуальна проблема удаления данных по факту смерти владельца, то он может использовать программу Dead Man's Switch.
Этой утилите необходимо постоянно напоминать о том, что ты еще жив. В противном случае утилита начнет выполнять заданные пользователем действия, рассылать сообщения и удалять файлы.
Однако, некоторые пользователи данной утилиты предупреждают, что при работе с ней необходимы меры предосторожности. Как заявил в интервью Wired Кенни Лагуардия, веб-дизайнер из Лос-Анджелеса, "необходимо отключать утилиту, когда компьютер не используется в течение длительного времени". "Я уехал в отпуск на месяц и забыл об утилите. Когда я вернулся и включил компьютер, программа вывела сообщение "Похоже, я умер" и уничтожила всю мою коллекцию порнографии". 06.06.2002
Подготовил Евгений Сечко, safeman@mail.ru
Компьютерная газета. Статья была опубликована в номере 22 за 2002 год в рубрике del :: безопасность