Новости Software за день

Бразильским хакерам не повезло
Начну с интересной статистики: 80% всех хакеров мира проживают в Бразилии (это отметили международные эксперты по информационной безопасности на конференции, которая проходила в сентябре в столице страны). В 2003 году из Бразилии было проведено около 96 тыс. хакерских атак (это в 6 раз больше, чем из любой другой страны), а количество денег, украденных бразильскими хакерами с помощью обмана в Интернете, превысило суммы, украденные во время обычных ограблений.

Все было бы ничего, но в конце прошлой недели бразильским преступникам не повезло. Полиция арестовала 53 человека, причастных к кибер-мошенничествам на общую сумму свыше 30 млн. долларов. Довольно интересно географическое расположение мошенников и жертв: все хакеры проживали в четырех городах на севере страны, а почти все пострадавшие - в южной и юго-западной частях страны. Как заметил один из бразильских полицейских, там "электронной почтой пользуются чаще".

Задержанные рассылали почтовые сообщения, содержащие инфицированные вложения. Вредоносный код в первую очередь собирал информацию об учетных записях пользователей в Интернет-банках.

Что меня всегда интересует в таких случаях - как злоумышленники могут использовать полученные сведения? В последнее время довольно часто крадут информацию об учетных записях, позволяющих управлять не виртуальным счетом, а счетом с настоящими деньгами в настоящем реальном банке. Обычно банки запрещают осуществлять перевод средств со счета через Интернет, но разрешают оплачивать таким образом некоторые услуги. Например, коммунальные платежи. Но ведь это же индивидуальная операция - потом всегда можно посмотреть, куда ушли деньги и за что. Хотя виртуальные денежные потоки контролировать намного сложнее.

Приходится признать, что бразильцы умеют делать не только сериалы, но еще и воспитывать неграмотных пользователей, запускающих сомнительные вложения непонятно от кого. Рассылались письма почти наверняка, как обычный бразильский спам, через сети зомби-машин...
Автор: Алексей Доля Дата: 26.10.2004 08:50
Внимание: "дыры" в Google
Похоже, Google действительно вырос и стал приковывать к себе все больше и больше внимания. В нем уже находят уязвимости. Разработчики устраняют дыры, но неунывающие "добрые люди" находят новые...

Некий человек, скрывающийся под именем Джим Лей (Jim Ley), обнаружил уязвимость в сервисе Google Custom WebSearch. Уязвимость позволяет подтасовывать результаты поиска, а в случае использования Desktop Search - еще и воровать секретные сведения. Суть бага примерно в следующем: злоумышленник вместо ссылки на рисунок может подсунуть серверу свой JavaScript. Google же не проверяет, действительно ли ссылка указывает на рисунок, и работает со скриптом "as is".

По словам Джима Лея, представители Google очень долго не реагировали на электронные письма, содержащие описание этой уязвимости. Однако на прошлой неделе разработчики залатали "дыру" и сообщили о ней общественности (хотя в узких кругах уже давно все о ней знали).

Интересно, что Джим Лей опубликовал на своей сайте ссылку, которая замещала основную страницу Google на страницу, сообщающую, что Google теперь является платным сервисом, а потому "введите, пожалуйста, номер вашей кредитной карточки". Правда, на сегодняшний момент все пользователи Google от подобной "радости" защищены.

Не успел Google залатать эту "дырку", как компания Netcraft Ltd. (британская компания, занимающаяся безопасностью) нашла новую уязвимость, позволяющую делать, по сути, то же самое. Детали, естественно, не сообщаются, но разработчики обещают заштопать поисковик к концу этой недели. Интересно, что на этот раз Google среагировал намного быстрее: и на письмо ответил, и баг обещал устранить.

Google приковывает к себе пристальные взгляды, особенно с выходом Google Desktop. Обратите внимание, что теперь какие-то основополагающие проблемы, дыры, баги и уязвимости в этой технологии будут затрагивать не только отображаемый в браузере контент, но и вашу личную информацию, хранящуюся на жестком диске (ибо Google Desktop ведёт в том числе локальный поиск). В связи с чем в действие снова вступает правило: надо оперативно ставить обновления и "заплатки", а также следить за новостями.
Автор: Алексей Доля Дата: 26.10.2004 09:25
Обновление Instant Messenger от Microsoft
За таким простым заголовком скрывается такое количество новых продуктов и технологий, что просто диву даешься... Наверное, у меня скоро зубная щетка будет от Microsoft :).

Новый IM-клиент носит турецкое название "Istanbul" (далее - просто Стамбул) и будет являться частью Microsoft Live Communications Server 2005 (далее - сокращенно LCS). Сразу замечу, что IM-клиент Microsoft будет иметь ссылку на список друзей в MSN Messenger, Yahoo Messenger и AOL Messenger. Все три компании уже подписали соглашение, согласно которому каждый продукт теперь может взаимодействовать с LCS.

Стамбул чем-то напоминает Windows Messenger, только умеет работать с Microsoft Outlook (синхронизирует календарь и расписание). Пожалуй, главным бонусом нового IM-клиента является возможность принимать обычные телефонные звонки, уведомлять о них пользователя, переправлять их на мобильный телефон или ящик голосовой почты. Согласитесь, это довольно удобно.

Вообще можно утверждать, что Microsoft претворяет в жизнь довольно полезную концепцию, согласно которой человека всегда можно "выловить" вне зависимости от того, где он находится (offline, on-line). В будущем с помощью LCS можно будет проводить живые конференции и вести переговоры с помощью VoIP.

Чтобы использовать Стамбул в корпоративной среде, придется установить не только Microsoft Live Communications Server 2005, но еще и Exchange Server. Замечу, что на сегодня доступна лишь бета-версия LCS 2005, релиз же ожидается к концу года.

Я бы не стал переоценивать актуальность LCS 2005 и IM-клиента Стамбул для российских корпоративных пользователей, политика которых в отношении нового ПО крайне консервативна (хотя бы по причине его высокой стоимости). Так же следует иметь в виду, что эффективные сетевые технологии приходят в Россию намного позже, чем на западе.

Все-таки, чтобы о Microsoft не говорили, согласитесь, софтверный гигант делает массу полезных вещей. Многие корпоративные новинки станут доступны и домашним пользователям, правда, много позже, чем их бизнес-собратьям...
Автор: Алексей Доля Дата: 26.10.2004 09:57
Microsoft планирует русификацию Hotmail
Ребята из Microsoft подсчитали, что российских пользователей почтовой службы Hotmail стало уже более 5 миллионов. В связи с этим Microsoft вполне возможно русифицирует почтовую программу Hotmail и on-line службу. Об этом 18 октября заявил Стив Баллмер, главный исполнительный директор Microsoft.

Замечу, что хотя высказывания Баллмера довольно обтекаемы (он не предоставил вообще никаких подробностей и употребил слово "возможно"), Microsoft, скорее всего, претворит свои планы в жизнь. Вообще, софтверный гигант в последнее время стал уделять больше внимания русификации (вспомним локализацию Visual Basic и документации к нему, а также обещания русифицировать новые продукты) несмотря на то, что это - очень дорогая операция. Меня, правда, больше интересует, когда русифицируют сертификационные экзамены Microsoft и сами выдаваемые сертификаты...

В дополнение к локализации почтового сервиса Стив Баллмер "проехался" по российскому пиратству и государственной политике. Думаю, о Windows XP Starter Edition уже все знают (не больше трех окон одновременно, максимальное разрешение 800х600, не более одной учетной записи, нет поддержки принтера и домашних сетей). Основная идея выхода такой редакции - так называемая, "социальная инициатива" или выпуск дешевых ПК ($250-$300). По словам Стива Баллмера, Microsoft не возлагает особых надежд на Starter Edition в России, потому что правительство никак не поддерживает продажи дешевых ПК. Что же касается уровня пиратства, то именно эту причину Баллмер назвал основной для отказа от распространения игровой консоли Xbox в России.

Похоже, Microsoft потеряла надежду хоть как-то повлиять на политику государства в области пиратства и компьютеризации страны. Я, например, считаю, что ни один нормальный человек не станет устанавливать себе Starter Edition... Многие и на Windows XP Home смотрят с подозрением. С одной стороны обидно, что Россию приравняли к Таиланду, Индонезии и Малайзии, но с другой стороны - мы этого заслужили. Наверное, даже если бы лицензионная версия Windows XP Professional стоила $15, многие наши граждане все равно покупали бы пиратскую версию за $2-$3. Что же до русификации Hotmail и иже с ним, то поживем - увидим...
Автор: Алексей Доля Дата: 26.10.2004 10:10
Безопасность J2ME - под угрозой
29-летный польский эксперт Адам Говдьяк из Познани обнаружил две довольно серьезные уязвимости в ПО на мобильной платформе Java от компании Sun. Злоумышленник может получить доступ к информации, хранящейся на сотовом телефоне, или просто вывести чужой мобильник из строя. Информацию о найденных брешах Адам опубликовал в пятничном выпуске BugTraq.

Хотя уязвимости критические, воспользоваться ими не так-то просто. Автору самому понадобилось четыре месяца, чтобы написать эксплоит для Nokia 6310i. Его программа позволяла без ведома пользователя отправлять с чужого телефона SMS и MMS, очищать память телефона, взаимодействовать с Интернет и скачивать личные данные пользователя. Однако для этого хозяин телефона должен был собственноручно заразить свой телефон, скачав и установив соответствующее приложение для Java. По словам Адама, подобную программу надо писать заново для каждой модели телефона.

Интересный факт: о найденной уязвимости Адам Говдьяк проинформировал компанию Sun еще в августе, та пообещала выпустить заплатку в течение двух неделей. Однако недавно Адам снова привлек внимание к данным уязвимостям на конференции в Малайзии. По его мнению, в ближайшее время возможно появление вредоносных программ, которые будут эксплуатировать дыры в ПО для платформы Java, а разработчики антивирусов и дистрибьюторы ПО ничем не смогут помочь.

В ответ на это представители компании Sun заявили, что если у пользователя возникают какие-то сомнения, он может просто удалить подозрительное приложение. Да и, вообще, нечего переписывать ПО из ненадежных источников. Описание самих уязвимостей Sun не опубликовала, вместо этого компания предложила производителям мобильных устройств самостоятельно довести эту информацию до своих пользователей.

По оценкам Sun, к концу 2004 года в мире будет продано 570 млн. телефонов, работающих на платформе Java. Между тем, масса компаний предлагает ряд услуг по скачиванию мелодий, игр и мобильного ПО. Аналитикам Meta Group утверждают, что к 2007 году две трети всех бизнес-компаний будут использовать мобильные средства для доступа к данным. Мобильным доступом к электронной почте половина всех компаний обзаведется в ближайшие 3 года, а через 4 года таких компаний будет уже 75%. Смотря на уязвимости в J2ME через призму этих цифр, хочется сказать, что найти и удалить подозрительное приложение скоро будет не так-то просто (приложений будет много, проследить за всеми не удастся). Понадобятся мобильные антивирусы и нормальная реакция со стороны разработчиков на обнаруженные в их продуктах уязвимости.

Для полноты картины напомним, что сегодня безгрешных мобильных платформ нет. В июле 2004 года была обнаружена уязвимость в Windows CE, а в августе 2004 - в Pocket PC. Однако до этого момента Java смотрелась довольно безопасным решением с хорошей репутацией. И хотя обнаруженные уязвимости требуют от пользователя каких-то кооперативных действий, в случае неизбежного роста числа приложений и мобильных услуг в будущем мы легко можем стать жертвой мобильной версии ILoveYou или "Анны Курниковой".
Автор: Алексей Доля Дата: 26.10.2004 10:18