Новости Software за день

Спамеров наказывают слишком сурово?
На известном web-ресурсе SecurityFocus.com появилась любопытная аналитическая статья. Главная мысль автора звучит так: "Спамеров следует наказывать согласно тому ущербу, что они принесли, а не тому раздражению, что они вызывают у всего IT-сообщества".

Сразу стоит оговориться, аналитик SecurityFocus не защищает спамеров, он лишь указывает на тот факт, что спамеров наказывают сильнее и серьезнее, чем людей, совершивших реальное преступление, и компании, загрязняющие окружающую среду. Именно на этом основании автор предлагает пересмотреть политику борьбы со спамерами.

Действительно, пожалуй, каждый наш читатель согласится с тем, что рассылать спам - аморально, незаконно и криминально. Поводом к появлению статьи на SecurityFocus стали два приговора, вынесенные в судах штатов Айова и Виргиния. Посмотрим на них внимательнее.

Суд Виржинии рассматривал дело брата и сестры Джереми Джейнса (Jeremy Jaynes) и Джессики ДеГрут (Jessica DeGroot). С 11 июля по 9 августа 2004 года эта парочка разослала тысячи нежелательных писем. Отмечу, что это - доказанный факт. Неофициально считается, что количество разосланных писем исчисляется миллионами. Автор также приводит интересные сведения: брата и сестру осудили в Виржинии, так как именно там располагаются серверы AOL, и благодаря этому оттуда выходит 80% мирового нежелательного трафика. Откуда такая информация - не ясно, так как недавно компания Sophos опубликовала данные, согласно которым на долю США приходится лишь чуть более 40% всего спам-трафика.

За рассылку спама по 10 тыс. сообщений в день в течение месяца Джереми Джейнса в ноябре приговорили к 9 годам лишения свободы. Это - выше среднего срока, который в пределах штата преступники получают за сексуальные домогательства, кражи, нападение, ограбления и воровство. Лишь убийцы всегда получают больше. Автор также приводит следующую информацию: по всей стране средний срок заключения равен 3 годам. А спамера приговорили к сроку в три раза большему. Между тем, спам является не жестоким или насильственным преступлением, приводящим к увечьям и т.п.

Заканчивая обзор судебных разбирательств по штату Виржиния следует вспомнить иск студента Университета Джорджа Вашингтона. По мнению аналитика SecurityFocus, студент-юрист знал, что в Виржинии самые жестокие законы против спама, поэтому попытался искусственно организовать слушание своего дело в этом штате. На самом деле, истец и ответчик проживают в других штатах, пострадавшая компания (которую создал ответчик) также находится не в Виржинии, но зато в Виржинии находятся почтовые серверы, принадлежащие провайдеру. Однако судья, рассматривавший это дело, сказал, что суд штата не имеет права вмешиваться в деятельность, которая на самом деле к данному штату вообще не относится.

Переходя ко второму делу в штате Айова, хочется напомнить его заглавие: "Спамеры оштрафованы на 1 млрд. долларов". Сразу несколько компаний из разных штатов были наказаны различными штрафами: 720 млн. долларов с компании AMP Dollar Savings, 360 млн. долларов с компании Cash Link Systems, 140 тыс. долларов с компании TEI Marketing. В сумме получается даже больше 1 млрд. долларов.

Чтобы сравнить масштабы наказания, автор отправляет читателя к катастрофе, которая произошла в 1984 году в городе Бхопал, Индия. Утечка газа, произошедшая 20 лет назад, была настолько серьезной, что ее последствия не могут забыть во всем мире до сих пор. Около 4 тыс. человек погибло сразу, несколько тысяч отравились и приобрели долговременные болезни. Компания, повинная в утечке газа, была наказана судом. Штраф составил 470 млн. долларов (правда, за 20 лет доллар основательно "подъеден" инфляцией). Это меньше, чем половина той суммы, которую нужно выплатить "пострадавшему от спама маленькому провайдеру в штате Айова".

В чем же смысл таких суровых наказаний? Скорее всего, в том, что законодатели хотят донести до ушей спамеров свое сообщение. Быть уверенными в том, что спамеры услышат это сообщение и поймут: "Шутки кончились. Теперь все серьезно". Также и провайдеров побуждают подавать в суд на спамеров.

Но спам лишь раздражает общество. Спам не является виртуальным или электронным эквивалентом реального ограбления, изнасилования или убийства. Да, спам наносит финансовый ущерб. Одно из исследований 2002 года показало, что спам нанес экономике США ущерб, равный 8,9 млрд. долларов. Однако автор считает, что спамеров следует наказывать за их поступки справедливо, не поддаваясь искушению отыграться на пойманном преступнике. Ведь спам имеет дело с виртуальными понятиями и, хотя наносит вред, жизни людей остаются невредимыми...
Автор: Алексей Доля Дата: 30.12.2004 02:06
В Нидерландах впервые осудили спамеров
Очередная новость пришла из Нидерландов - там впервые осудили спамеров (одно физическое лицо и два юридических), разославших сообщения по e-mail и SMS. Что же в новости такого особенного? А то, что самый большой штраф (45 тыс. евро), достался человеку, разославшему целых четыре рекламных письма! Одно - реклама книги Гитлера "Mein Kampf", было отослано от имени одного из нидерландских борцов со спамом (в оригинале "активист"). Другое - реклама финансового программного обеспечения. Здесь спамер объединился с издательской компанией Groenendaal Uitgeverij BV. За это компании достался штраф в 25 тыс. евро.

Отдельное разбирательство затронуло компанию Yellow Monday Institute, которая рассылала нежелательные SMS-сообщения под именем "Purple Friday". Получатели сообщений платили за каждое из них, между прочим, по 1,10 евро (полтора доллара). Обвиняемая компания наказана штрафом в 20 тыс. евро.

Ведомство независимой почты и телекоммуникаций (Independent Post and Telecommunications Authority), известное в Нидерландах, как Opta, заключило соглашение с частной французской компаний CNIL. Организации будут обмениваться информацией о спамерах. Предполагается, что эффективность борьбы поднимется. Opta рапортует, что уже получила 6 тыс. жалоб на спам и разослала 14 предупреждений...
Автор: Алексей Доля Дата: 30.12.2004 02:52
Американский "Большой Брат" в Интернет
В США продолжаются споры о том, следует ли предоставить правительственным силовым структурам больше возможностей по "прослушиванию" сети Интернет. По одну сторону стоит ФБР, которое пытается продавить новый законопроект, по другую сторону стоит почти все IT-сообщество. Недавно защитники демократии нашли новый аргумент в споре с ФБР. Утверждается, что Бюро и так имеет достаточно широкие полномочия по осуществлению слежки. Напомню, что ФБР может получать любую информацию у провайдеров услуг Интернет, всячески следить за подозреваемыми и т.д. Но все эти действия обязательно должны быть санкционированы судом. Это очень важное условие, так как сейчас Бюро "продавливает" инициативу, согласно которой провайдерам, скорее всего, придется немного переделать свое оборудование или программное обеспечение, чтобы ФБР могло осуществлять профилактическую или превентивную слежку в реальном масштабе времени.

Напрашивается сразу параллель с телефонными переговорами. Ни для кого, наверное, не секрет, что сегодня правительственные силовые структуры почти в любой стране слушают разговоры своих граждан. Тем не менее, в США есть закон от 1994 года, который разрешает это делать лишь с разрешения суда. Закон предусматривает внедрение во все телефонные сети страны специальных backdoor'ов (сегодня это слово не может не вызывать отвращение). Таким образом, ФБР имеет доступ к телефонным проводным переговорам в обход телефонных компаний и каких бы то ни было еще организаций. Для правительственных организаций созданы специальные условия, благодаря которым они могут очень быстро получить санкцию суда (на прослушивание). Однако, в принципе, если правоохранительные органы не станут спрашивать разрешение, об их деятельности никто не узнает. Разве что в суде они не смогут использовать добытые сведения, но это не меняет дело. Как мы знаем, даже за системным администратором нужен контроль. Для этого и существует должность офицера по безопасности. Здесь ситуация точно такая же.

В августе этого года ФБР направило запрос в соответствующие законодательные органы. Суть запроса в том, что Бюро считает закон 1994 года вполне пригодным для прослушивания сетевого трафика, ведь провайдеры услуг Интернет предоставляют связь зачастую по телефонным проводам. Запрос просит разрешить использовать закон 1994 года применительно к провайдерам (обязать их встроить у себя backdoor'ы), чтобы можно было прослушивать любой трафик: модемный, кабельный, широкополосный, трафик по силовой электрической сети, спутниковый, беспроводный и высокоскоростной.

Почему это все не нравится гражданам - ясно. Стоит, пожалуй, привести и официальные мотивы северо-американских силовиков. Они хотят "защитить Америку и ее граждан от террористов и других криминальных элементов". По мнению ребят из этих ведомств, закон 1994 года немного устарел и не отвечает в полной мере "интересам государственной власти и национальной безопасности".

Чем это все закончится, не известно. По опыту предыдущих законов и просто проектов, которые вызывали у общества аллергию (вспомним паспорта с RFID), можно сделать прогноз: ФБР, скорее всего, воплотит свой закон в жизнь...
Автор: Алексей Доля Дата: 30.12.2004 03:07
Microsoft отреагировала на уязвимости в Windows
Но отреагировала не выходом соответствующего обновления, а публичным заявлением, что security-группы, публикующие сведения о найденных уязвимостях вместе с уже готовыми эксплоитами, причиняют намного больше вреда, чем пользы.

Обвинение Microsoft направлено в первую очередь на китайскую security-группу Xfocus, которая нашла три новых уязвимости в системе Windows (включая очень опасную уязвимость в API-функции LoadImage), опубликовала о них сведения и работоспособный эксплоит, а самое главное - даже не попыталась уведомить Microsoft или какую-нибудь другую организацию, отвечающую за сбор информации об уязвимостях. Таким образом, софтверный гигант был поставлен перед фактом: уязвимости найдены, эксплоиты написаны, "жди беды".

Заявление Microsoft содержало не только упрек в адрес security-групп, но и стандартные шаблоны о том, как полезно сообщать об уязвимостях разработчику (и делать это заранее), что софтверный гигант уже разрабатывает заплатки для своей операционной системы, что заплатки появятся в ближайшем будущем и т.д.

Комментировать слова представителя Microsoft не имеет смысла. Xfocus действительно поступила эгоистично, сыграв на саморекламе и собственной "publicity", но и Microsoft следовало бы уже выпустить заплатки, ведь Secunia и SecurityFocus подтвердили критичность найденных брешей.

Напомню, что уязвимы на данный момент абсолютно все версии системы Windows, кроме XP SP2. Вернее XP SP2 уязвима для неправильной обработки hlp-файлов, но для успешной атаки на эту уязвимость требуется заставить пользователя открыть специально сконструированный файл помощи. Между тем, hlp-файлы по Сети пересылаются очень редко и не имеют широкого распространения.

Если говорить обо всех системах кроме XP SP2, то они (включая Windows Server 2003) могут быть легко атакованы с помощью уязвимости в API-функции LoadImage. Злоумышленник может создать HTML-документ, который будет загружать специально спроектированную картинку. Этот документ можно выложить в виде странице в Интернет или рассылать по почте (удаляйте спам, не читая!). Хотя Microsoft говорит, что подобных атак еще не зафиксировано, этот факт мало утешает.

Рекомендуется как можно скорее установить Service Pack 2 на клиентские машины под управлением Windows XP...
Автор: Алексей Доля Дата: 30.12.2004 03:32
Эпопея с червем Santy продолжается
Мы уже не раз писали о черве Santy, использующем дыру в "движке" форумов phpBB и делающем deface уязвимым web-сайтам. Разгар эпидемии червя пришелся на 20 декабря 2004 года, сейчас эпидемия поутихла, и почти все антивирусные компании убрали со своих web-сайтов предупреждение об угрозе.

Проблема же заключается в том, что начали появляться новые версии червя Santy, существенно отличающиеся от прототипа своими возможностями. Например, новые версии червя уже используют другие поисковые системы (не Google) для отыскания уязвимых web-сайтов. Между тем, именно благодаря блокированию запросов первой версии Santy к поисковой системе Google удалось приостановить эпидемию. Новые версии Santy теперь используют поисковики AOL и Yahoo (в добавление к Google).

Компания Symantec, например, опубликовала сведения о Perl.Santy.B, который написан на языке Perl и поражает форумы phpBB 2.x вплоть до 2.0.11. Эта версия уже использует Yahoo и AOL. Поисковая система AOL основана на Google, поэтому принятие защитных мер на уровне Google должно повлиять и на AOL. После того, как Google стал возвращать результаты как раз не уязвимых для червя сайтов, эта же возможность сразу перешла и к AOL. О каких-либо защитных мерах, предпринятых Yahoo, не известно.

Новые варианты Santy растут, как грибы после дождя. Santy.c снова ориентируется на Google. "Лаборатория Касперского" даже переименовала Santy.d и Santy.e в Spyki.a и Spyki.b. Таким способом "Лаборатория" подчеркнула значительное различие последних версий червя от прототипа. По сведениям антивирусных экспертов этой же компании, самые последние переименованные версии используют бразильскую поисковую машину Google.

Напоследок отмечу, что некоторые средства массовой информации обвиняли Google в том, что компания не предприняла ответные защитные меры против Santy раньше. Тем не менее, сейчас Google уже отреагировала, и ситуацию можно считать подконтрольной. В любом случае, Santy не угрожает домашним пользователям, читающим web-странички и получающим свою почту.
Автор: Алексей Доля Дата: 30.12.2004 03:47
NVIDIA Forceware версии 71.22
На FTP-серверах тайваньской компании Micro-Star International (MSI) появилась новая версия драйверов (многоязыковая версия под операционные системы Windows 2000 и XP) Forceware, предназначенные для использования с видеокартами, основанными на графических процессорах NVIDIA (поддерживаются все, без исключения, GPU, включая профессиональную серию Quadro).

К сожалению, данных о произошедших изменениях, стабильности и производительности новой версии драйвера у нас нет.

Версия 71.22 (датирована 09.12.04), размер 27.4 Мб: линк, альтернативный линк
Автор: Ильдар Ахметжанов Дата: 30.12.2004 11:40