Новости Software за день

У Department of Homeland Security - проблемы с безопасностью
Инспекция, проверявшая организацию информационной безопасности в сетях департамента Homeland Security, выявила некоторые факты, которых по большому счету быть не должно. Для аудита использовались Internet Scanner компании ISS, L0phtCrack компании @stake и PhoneSweep 4.0 компании Sandstorm Enterprises. Следует отметить, что проверка длилась целых пять месяцев. Аудиторы атаковали узлы сети, подбирали пароли и пытались дозвониться до модемных терминалов.

Эксперты обнаружили, что в сети департамента Homeland Security есть узлы, с помощью которых служащие, работающие на дому, могут получить авторизованный доступ во внутреннюю сеть организации с помощью модема или Интернет. Удалось выявить, что средства аутентификации не удовлетворяют тем требованиям и рекомендациям, которые к ним официально предъявляет NIST (National Institute of Standards and Technology - Национальный институт стандартов и технологий США). В частности, нарушаются требования в длине пароля аутентификации и срока его устаревания.

Также проверяющие обнаружили, что IT-инфраструктура обновляется недостаточно быстро. Критические обновления, позволяющие организовать переполнение буфера и уже имеющие общедоступные эксплоиты в Интернет, часто оказываются неустановленными вовремя (видимо, для этого понадобился такой длительный срок проверки).

Обзвон всех модемов внутри департамента Homeland Security показал, что из 2800 модемов 20 оказались неработоспособными.

Отчет, составленный в конце исследования, обратил внимание на то, что существует высокий риск неавторизованного доступа во внутреннюю сеть организации со стороны посторонних людей. Результаты действий внутри сети могут быть самыми разными: ни о какой конфиденциальности, целостности и доступности информации речи идти не может.

Интересно отметить, что исследованию подверглись различные отделы Homeland Security. Только один из них, отдел управления, смог выдержать атаку L0phtCrack. Другие отделы не устояли: от 8% до 37% всех паролей было взломано с помощью атаки по словарю. Некоторые учетные записи вообще не имели пароля.

Представители Department of Homeland Security, конечно же, отреагировали на отчет аудиторов. Так директор по информационным технологиям, Стив Купер, заявил, что не обновленные системы дожидаются своей очереди, так как сами исправления необходимо протестировать перед установкой. Что же касается претензий к паролям, то попытка перебрать пароли по словарю очень быстро столкнулась бы с ограничением на количество некорректных попыток аутентифицироваться. Стив Купер также заявил, что его организация сейчас переходит на Windows Server 2003. После того как миграция будет закончена, к политике управления паролями будет очень сложно придраться (Windows Server 2003 действительно работает с паролями лучше предшественниц).

Как бы то ни было, отчет уже написан, ответственные лица уже оправдались. Мы же в лишний раз убедились, что любую IT-систему можно взломать. По крайней мере, пока существуют не обновленные системы... При наличии уже написанного эксплоита взломать систему будет намного проще. Не говоря уже об учетных записях, не защищенных паролем вовсе...
Автор: Алексей Доля Дата: 29.12.2004 11:24
AOL подвела итоги борьбы со спамом
America Online сообщила, что защита почтовых ящиков пользователей от спама наконец-таки стала заметной для пользователей почтовой службы компании. Представители компании заявили, что количество спама, попадающего в почтовые ящики ее клиентов, сократилось на 75%. Директор отдела по борьбе со спамом, Карл Хатцлер (Carl Hutzler), пошел еще дальше и сообщил: "Пользователи сами обращаются к нам и говорят, что никогда раньше не получали так мало спама. Это значит, что впервые, начиная с 1999 года, спамеры вывесили белый флаг поражения". По словам представителя AOL, таких выдающихся результатов удалось добиться только совместными усилиями: закон CAN-SPAM (вступил в силу в январе 2004 года) и действия самой компании.

Другой представитель AOL заявил, что спамеры боятся связываться с их компанией, так как, во-первых, это себя не оправдывает экономически (75% спама теряется), во-вторых, они могут угодить за решетку. Однако AOL не собирается останавливаться на достигнутом результате, и будет наращивать усилия по борьбе со спамом и дальше.

В ноябре 2003 года пользователи почтовой службы AOL сообщали в среднем об 11 млн. нежелательных писем в день. В 2004 году это число уменьшилось до 2,2 млн. Также сократилось на 60% число писем, самостоятельно направленных пользователем в папку для спама.

В целом заявление AOL можно рассматривать, как продолжение кампании по привлечению новых клиентов к своей почтовой службе в частности, и провайдерской - в общем. Напомню, что у AOL сейчас недостаток клиентов, так как многие предпочитают перейти на широкополосные средства доступа. Чтобы вернуть пользователей, AOL недавно объявила о создании бесплатной почтовой службы, которая должна составить конкуренцию таким грандам, как Yahoo, MSN Hotmail и Google Gmail. Раньше почтовой службой AOL могли пользоваться клиенты компании только за деньги. Видимо, именно к этому своему шагу AOL и хочет привлечь внимание, рекламируя свои успехи в борьбе со спамом.

Если рассматривать ситуацию объективно, то не очень верится в такую сильную эффективность фильтрации спама в компании AOL. В 2004 году действительно осудили нескольких спамеров, но о какой-то победе даже в масштабе одного провайдера услуг Интернет говорить еще очень рано.
Автор: Алексей Доля Дата: 29.12.2004 11:29
Отложенное наказание для юного вирусописателя
Интересная новость пришла из Великобритании, где шестнадцатилетнего подростка суд приговорил к 6 месяцам лишения свободы за создание сетевого червя Randex. Изюминка приговора в том, что подросток будет отбывать наказание лишь по достижению совершеннолетия.

Должен отметить, что юный вирусописатель отнюдь не является невинным маленьким мальчиком, решившим побаловаться с ассемблером или С\С++. Червь Randex при попадании на компьютер-жертву устанавливал троянца, который рассылал спам. Согласитесь, это вполне современный инструмент организованного преступника.

Задержать злоумышленника удалось благодаря совместной операции Нового Скотланд-Ярда, ФБР и Королевской Канадской Горной Полиции. На другом континенте были также арестованы два американца и один канадец. Все они оказались несовершеннолетними.

Спецслужбы напали на след преступной группы после того, как в Интернет были обнаружены сети зомби-компьютеров. Причем злоумышленники предлагали спамерам и другим криминальным элементам купить уже готовые сети. Другими словами, ребята оказались явно сведущими в преступном IT-бизнесе.

Очевидно, что будь осужденный парень на пару лет старше, то за свое участие в такой преступной группе он получил бы намного более суровое наказание. Решение же суда хорошо хотя бы тем, что юношу не отпустили на все четыре стороны под какой-нибудь благовидной формулировкой в виде условного наказания и штрафа. Все же создание и распространение сетевого червя в составе преступной группы - серьезное преступление...
Автор: Алексей Доля Дата: 29.12.2004 11:35
MPAA - вызвали в суд
Мы уже много раз писали о том, как северо-американский союз производителей кинофильмов (MPAA) подавал иски на пользователей, выкладывающих в Интернет нелегальные копии фильмов (а также на людей, которые скачивают эти фильмы, и на компании, которые организуют сервисы для P2P-сетей). На этот раз ситуация прямо противоположная: владелец закрытого в 2001 году сайта www.internetmovies.com, Майкл Росси (Michael Rossi), подал в суд на MPAA за злоупотребление законом DMCA (который, судя по всему, назван истцом не конституционным) и незаконное закрытие его сайта. Digital Millennium Copyright Act (DMCA), вообще говоря, является очень спорным законопроектом, ограничивающим использование цифровой частной собственности. На основании этого закона судили и Дмитрия Склярова.

В 2001 году MPAA смогла закрыть сайт потому, что на нем была выложена треть фильма "Властелин Колец". Напомню, что работа над самим фильмом была официально закончена лишь в 2003 году.

Обстоятельства судебного разбирательства 2001 года довольно сложны и запутаны. Насколько стало известно, MPAA вела какие-то собственные переговоры с провайдером, который предоставил хостинг для сайта Майкла Росси. В любом случае, в 2001 году судебная система США рассматривала еще только первые иски по закону о DMCA. Велика вероятность того, что решение, принятое три года назад, действительно было не совсем корректным. Однако чего-либо добиться от MPAA будет очень и очень сложно.
Автор: Алексей Доля Дата: 29.12.2004 11:39
Китай: первые сети на базе IPv6
В Китае введена в действие первая сеть на базе протокола IPv6. Она называется CERNET2 (China Education and Research Network 2) и объединяет 25 университетов и 20 городов по всему Китаю. Максимальная скорость передачи данных составляет 10 Гигабит в секунду.

Новую сеть ввели в действие на праздновании десятилетнего юбилея существования сети CERNET, которая основана на протоколе IPv4 (CERNET была запущена в 1994 году).

Напомню, что на практике IPv6 обладает гораздо более широким адресным пространством, чем IPv4 (пространство которого ограничено примерно 4 млрд. адресами). Большинство старых адресов контролируется северо-американскими компаниями, поэтому бизнесу и властям ряда азиатских стран, например, Японии, Южной Кореи и Китаю, приходится решать свои проблемы, развертывая сети на базе IPv6. Не стоит, однако, забывать и о целом ряде других преимуществ IPv6 по сравнению c IPv4: качество обслуживания, расширяемость, безопасность, снижение нагрузки на маршрутизаторы и многое-многое другое. Единственный минус IPv6 - развертывать такие сети пока является очень дорогим удовольствием.



IPv6-маршрутизатор, разработанный китайскими учеными, является оплотом новой сети Интернет Нового Поколения

Китайское правительство выделило 169 млн. долларов на развитие IPv6-сетей в стране, примерно половина этой суммы пошла на создание сетей, подобных CERNET2, а остальные деньги распределились между пятью китайскими телекоммуникационными операторами. Также определенную сумму денег (но уже из другого правительственного бюджета) получил каждый подключенный к CERNET2 университет. Эти деньги, собственно, и пошли на создание сети нового поколения.

Хотя новая сеть уже позволяет обеспечивать скорость до 10 Гигабит в секунду, специалисты указывают, что это - далеко не предел. Например, при тестировании сегмента сети между Пекином и городом Тяньцзинь (Tianjin) удалось добиться скорости в 40 Гигабит в секунду...
Автор: Алексей Доля Дата: 29.12.2004 11:50
Кто рассылает больше спама?
Заголовок новости ставит вопрос не о каком-то конкретном человеке, а о стране, из которой рассылается больше всего нежелательных писем. Буквально несколько дней назад ответ на этот вопрос дала известная антивирусная компания Sophos.

Рекордсменом по объемам рассылаемого спама стали, как легко догадаться, США. На их долю пришлось 42% всех нежелательных писем, забивающих интернет-каналы по всему миру. Далее с большим отрывом идёт Южная Корея (13,43%) и Китай (8,44%). Остальные страны мы перечислять не будем - они представлены в таблице ниже.

Доля спама в общемировом объёме
 Страна Доля спама в общем объеме
 США 42,11%
 Южная Корея 13,43%
 Китай 8,44%
 Канада 5,71%
 Бразилия 3,34%
 Япония 2,57%
 Франция 1,37%
 Испания 1,18%
 Великобритания 1,13%
 Германия 1,03%
 Тайвань 1,00%
 Мексика 0,89%

Представитель Sophos заявил, что, когда его компания готовила подобный отчет в прошлом году, то представители США объяснили свое первое место в печальном хит-параде тем, что закон для борьбы со спамом действует лишь три месяца и, следовательно, не успел повлиять на ситуацию к лучшему. А что же сейчас? Результаты говорят сами за себя: закон не помог!

Есть, правда, еще очень много интересных фактов, которые можно почерпнуть из представленной статистики. Прежде всего, бросается в глаза, что в список дюжины самых злосчастных "почтальонов" не входит Россия. Это легко объяснить. Спам рассылается либо через нелегальные почтовые сервера, арендуемые в основном в Китае, либо через сети зомби-компьютеров, каждый из которых имеет широкополосный доступ в Интернет. Как легко догадаться, широкополосный доступ в России распространен еще очень мало, а репутацию проверенных спамерами стран, в которых можно арендовать сервер, давно завоевали Китай и Южная Корея.

Первое место США объяснить также довольно просто - именно в Северной Америке повсеместно распространен широкополосный доступ (это вызывает беспокойство MPAA, постоянно подающей иски, и AOL, пытающейся вернуть себе клиентов). И именно в США, скорее всего, больше всего зомби-компьютеров. Между тем, Южная Корея и Китай рассылают спам больше других стран, но почти в 4-5 раз меньше, чем США. Примечательно, что Южная Корея обогнала Китай почти на 5%. Что же до стран Евросоюза, которые в целом рассылают спам примерно равномерно, следует заметить, что в них широкополосный доступ в Интернет присутствует, но он пока не так развит, как в США.
Автор: Алексей Доля Дата: 29.12.2004 11:57
Novell Open Enterprise Server - уже доступна beta
Компания Novel выпустила бета-версию своего продукта Open Enterprise Server, объединяющего в себе программное обеспечение NetWare и SuSE Linux. Изюминка состоит в том, что NetWare является целиком и полностью закрытым продуктом, а SuSE Linux является операционной системой из разряда open source. Это, пожалуй, самый крупный эксперимент по объединению двух моделей разработки ПО (собственнической и open source) в промышленном масштабе.

На данный момент доступна бета-версия продукта на официальном сайте Novell. Представители компании анонсировали выход законченной версии в феврале 2005 года. Следует отметить, что работа над Open Enterprise Server длится уже довольно давно, с момента приобретения компанией Novell немецкого разработчика SuSE Linux. Таким образом, Open Enterprise Server будет, скорее всего, играть роль флагманского продукта в линейке Novell.

В последнее время число пользователей NetWare сокращалось, поэтому компания просто вынуждена была предпринять какие-то кардинальные меры. Как результат, на Linux было потрачено довольно много денег. В целом Linux сегодня воспринимается индустрией благоприятнее, чем NetWare. Компания Novell в данном контексте представляет собой крупного поставщика, с которым можно строить партнерские отношения и к которому можно предъявлять претензии. Отсутствие подобного масштаба и хорошей репутации мешает многим разработчикам дистрибутивов Linux развернуться по настоящему.

Было бы ошибочно утверждать, что Novell концентрируется на серверных open source решениях. Ведь приобретя компанию Ximian, Novell застолбила себе место на рынке настольных решений и средств разработок.

Novell Open Enterprise Server должен позволить клиентам компании развернуть смешанную сеть на базе серверов NetWare и SuSE Linux, а также управлять этой сетью с помощью общей консоли. Специальный компонент Novell Nterprise Linux Services 1.0 изменил функциональность NetWare таким образом, чтобы возможности типа разделяемых файлов и принтеров, а также безопасность, стали доступны для SuSE Linux.

В состав решения входят ядро операционной системы NetWare и SuSE Linux Server 9 Enterprise Edition, который базируется на ядре Linux 2.6. В дополнение к этому поставляется фирменное ПО Novell, которое должно предотвратить "падение" сервера, и средства для конечного пользователя, например, iFolder и Virtual Office.

Для заинтересовавшихся приводим ряд ссылок.

Подробная информация по Open Enterprise Server: ссылка

Страница, с которой можно скачать бета-версию продукта и инструкцию по установке: ссылка
Автор: Алексей Доля Дата: 29.12.2004 12:14
Несколько слов об Open Source Solaris
Очень интересная аналитическая статья появилась на известном web-сайте www.securityfocus.com. Ее автор задался любопытным вопросом: "Приведет ли перевод системы Sun Solaris в разряд систем с открытым исходным кодом к увеличению ее продаж?". Другими словами - "а зачем вообще это нужно?".

Сразу оговорюсь, что автор быстро открещивается от дискуссий типа "Open-source vs. closed-source" и "Pure Unix vs. Unix-like". Проблема же в другом: компания Sun использует всю мощь своих маркетингового и PR аппаратов на пропаганду перехода Solaris в класс open source, но для чего - не ясно. Конечно, Sun Microsystems приводит официальные причины, самая главная из которых - у пользователей будет доступ к исходному коду (логично, не правда ли?). Тут встает новый вопрос: "А нужен ли пользователям исходный код Solaris?".

Главный плюс исходного кода в том, что любой пользователь может ознакомиться с функциональностью программы и внести необходимые изменения. Но ведь большинство пользователей не в состоянии отличить стек от кучи. А если и в состоянии, то точно не испытывают желания копаться в недрах чужого кода. К этой категории людей относятся директора по информационным технологиям и вообще люди, реально принимающие решения в компании. Ведь Solaris - система не для домашних пользователей.

Основная проблема, скорее всего, в доверии. Пользователь должен доверять компании, которая стоит за продуктом. Поэтому многие пользователи выбирают Microsoft, Hewlett-Packard, Sun и т.д., а не Red Hat и Novell. Почти наверняка, если бы, например, Red Hat была столь же большой и мощной по своим возможностям, имела бы долгую историю и проверенную службу поддержки, как и Microsoft, ее продукты тоже были бы очень популярны. Ключ - в доверии.

Но что изменится для пользователей после того, как закрытый продукт Sun Solaris станет открытым? Те пользователи, которые раньше доверяли Sun, вряд ли потеряют свое доверие. А вот появятся ли новые пользователи, для которых исходный код важен? Автор статьи не скрывает, что действительно есть рынки, на которых исходный код важен. И мы все их знаем. На этих рынках уже давно присутствуют Linux, BSD и другие. А сказать, что там есть много свободного места, или какой-то спрос конкретно на Solaris - нельзя.

Резюмируя, автор говорит, что ближайшие несколько месяцев, когда Sun придется выполнить свои обещания на практике и окончательно определить свою позицию, сформируют новое лицо *nix-сообщества. Не стоит принимать раньше времени какие-то решения, касающиеся Solaris. Компания Sun Microsystems не дала ответа на многие вопросы. Например, откроет ли она весь Solaris? Автор, например, вспоминает, что в открытой версии StarOffice несколько лет назад были большие проблемы с поддержкой принтеров. Хочется вспомнить и высказывание Линуса Торвальдса, предложившего подождать и посмотреть на реальные действия Sun Microsystems. В любом случае, ждать осталось не долго...

Автор: Алексей Доля Дата: 29.12.2004 12:20