Новости Software за день

Новый выпуск Crypto-Gram
Увидело свет очередное письмо из рассылки Брюса Шнайера. Напомню, что рассылка Crypto-Gram посвящена всем аспектам безопасности и зачастую позволяет взглянуть на многие проблемы глазами американца (а также почитать комментарии эксперта). Мы, как всегда, остановимся на самом интересном.

Меня больше всего поразил сюжет о безопасности школьников. Суть его в следующем. Детей проверяют до и после выхода из школьного автобуса. В городе Спринг, штата Техас, используют бейджи с компьютеризированными ID. Информация беспроводным путем отсылается в полицейский участок. А в городе Финикс делают то же самое с отпечатками пальцев. Предполагается, что такая система защитит детей от того, чтобы их не украли, они не потерялись или с ними не произошло еще чего-нибудь.

Приятно создавать, что реализация идеи показалась абсурдной не только мне, но и автору рассылки. Если в двух словах, то это слишком дорого, навязчиво и не эффективно. Брюс Шнайер следует своему излюбленному пяти шаговому алгоритму, чтобы доказать несостоятельность предприятия. Шаг 1. Кого защищают? Детей. Шаг 2. Что угрожает детям? Кража. Это - большая проблема в США. Но лишь единицы из регистрируемых случаев кражи детей произошли с использованием школьного автобуса. Непонятно, как эти риски согласуются с ситуацией. Шаг 3. Насколько хорошо предпринятые меры противостоят рискам? Не очень хорошо. Автор предлагает пофантазировать. Пусть кто-то, кого ребенок знает, хочет похитить его. Если человек попытается снять ребенка с автобуса на неправильной остановке, то система засечет это. Но если похищение происходит до того, как ребенок сел в автобус, или после того, как он вышел, то система бездействует. Да, она сообщит полиции, произошло ли похищение утром или после школы. Но стоит ли эта информация всех затрат на создание системы слежения? Вряд ли. Шаг 4. Какие дополнительные риски могут вызвать предпринятые меры? Дополнительный риск - это собранные данные. Где они хранятся? Кто к ним имеет доступ? Как долго они хранятся? На эти важные вопросы почему-то никто не обратил внимание. Шаг 5. Сколько стоят предпринятые меры, и чем пришлось пожертвовать? Во-первых, меры стоят денег. Очевидно, что выдать каждому ребенку карту с идентификационным номером и оснастить автобус необходимым оборудованием стоит денег. Во-вторых, потеря права на частную жизнь. Получается, что родители растят детей, которые считают, что это вполне нормально, когда за их ежедневными передвижениями кто-то все время наблюдает и все записывает. ("Кто-то" - в данном случае полиция). Наконец, стоит ли овчинка выделки? Нет. Она не стоит денег и приватности. Деньги можно потратить с большей пользой: охранники в школе, образовательные программы для детей и т.д.

А почему же тогда проблема? Почему сразу два города в США воплотили систему в жизнь? Проблема же кроется в том, что предложенный выше алгоритм субъективен. Он зависит от того, кто проводит рассуждения. Если вы посмотрите на проблему глазами управляющего школой, то найдете массу выгод в системе. Парадоксально, но факт! Оказывается, если похищение произойдет на территории школы, то это навредит ее руководству, которое может легко остаться без работы. Если посмотреть с этой стороны, то система защищает верхушку школьного персонала, а не детей. Но смысл в ней сразу же появляется.

Еще один интересный сюжет посвящен переходу в январе этого года всех жителей Великобритании с кредитной карточки на смарт-карту. Отличие можно в двух словах объяснить так: в смарт-карте есть чип. Это - самое главное. Теперь пользователи смогут осуществлять покупку с помощью новой карты, предварительно введя PIN-код. Клиенты заволновались – а что будет, если забыть этот код? В ответ на это компании, занимающиеся кредитными картами, разместили в газетах объявление. Волноваться не стоит, благодаря чипу в новой карте можно легко поменять PIN на какое-нибудь легко запоминаемое число. Например, день рождения или счастливое число. Что и посоветовали сделать владельцам смарт-карт. А вопрос, собственно, вот в чем: работает ли в кредитной компании хоть один человек, который занимается безопасностью :)?

Автор: Алексей Доля Дата: 18.01.2005 11:20
Бета-версия Kaspersky Guard@Net 5.0
Совсем неожиданно появился новый продукт - Kaspersky Guard@Net 5.0. Доступна его бета-версия. О самом решении известно не очень много.

Kaspersky Guard@Net 5.0 претендует на "комплексное решение для всесторонней защиты корпоративной сети". Продукт "Лаборатории Касперского" базируется на технологии ASTARO Security Linux, созданной ASTARO AG, позволяет защититься от стандартных внешних угроз (вирусы, спам, сетевые атаки и вторжения), обеспечивает контроль над доступом пользователей к ресурсам Интернет, а также позволяет строить распределенные сети на базе технологии VPN.

Хотелось бы обратить внимание на несколько моментов. Прежде всего, в новый продукт входит "тяжелый корпоративный брандмауэр". Однако, раньше в арсенале "Лаборатории" такого продукта не было. Судя по официальным данным, речь не идет об использовании стандартных межсетевых экранов Linux (iptables/ipchanes). Все указывает на то, что разработчики создали абсолютно новый продукт, по-видимому, с нуля.

Далее - внутренняя безопасность в лице защиты от нецелевого использования ресурсов Интернет. Эта технология базируется на "методике определения прав доступа пользователей к определенным ресурсам сети на основе заданных в соответствующем реестре категорий web-ресурсов". Другими словами, либо "Лаборатории" удалось создать довольно большую базу категорий (лидеры рынка тут, судя по всему, ISS и SurfControl), либо придумать что-то абсолютно новое. Что конкретно, пока не известно.

Последнее на что стоит обратить внимание - реализация VPN. Однако технология стала настолько стандартной, что её предлагает каждая уважающая себя компания, претендующая на комплексность подхода.

В заключение, хочется обратить некоторое внимание на то, что "Лаборатория Касперского", похоже, превращается в супер-маркет IT-безопасности. Причём, супер-маркет под Linux...

Автор: Алексей Доля Дата: 18.01.2005 11:23
Взлом T-Mobile
Двадцатиоднолетний хакер, Николас Якобсен (Nicolas Jacobsen), смог взломать сеть беспроводного гиганта T-Mobile. В течение целого года (как минимум) злоумышленник имел доступ к серверам компании, контролировал электронную почту Секретной Службы США, переписывал себе пароли и номера социального страхования пользователей, а также многое другое.

Тучи сгустились над Николасом Якобсеном в октябре, после того как информатор Секретной Службы США помог следователям связать подозреваемого с секретными документами, которые циркулировали в "преступных" IRC-чатах. Информатор так же подтвердил, что именно Якобсен стоит за всеми предложениями о продаже персональной информации клиентов T-Mobile.

Согласно сведениям, предоставленным обвинением, молодой преступник имел доступ к личной информации каждого из 16,3 млн. клиентов компании T-Mobile, включая номера карт социального страхования, даты рождения и т.д. Он также имел доступ к PIN-кодам для управления голосовой почтой и паролям для входа в почтовые ящики T-Mobile через Web. Следует всё же отметить, что единственное, до чего преступнику не удалось добраться - это номера кредитных карточек пользователей.

Дело Николаса Якобесена является частью мероприятия "Operation Firewall", которое Секретная Служба США провела в октябре. Напомним, что в результате удалость выявить 19 человек, которые крали и продавали личную информацию и секретные документы, номера кредитных и дебитных карт. Однако дело Якобесена является не коллективным. Молодого преступника обвиняют во вторжении в сеть, неавторизованном доступе к защищенной информации и многом другом. Его дело будет слушаться в федеральном суде Лос-Анджелеса 14 февраля.

Интересна роль Секретной Службы США, которая с одной стороны выступила следователем, а с другой стороны - жертвой. Именно этим объясняется, что информация о деле Якобсена появилась намного позже сведений обо всех остальных задержанных в результате "Operation Firewall". Возможно, та же причина заставила обвинение рассмотреть дело Якобсена отдельно от всех остальных. Замечу, что представителя обвинения, сам обвиняемый и его адвокат отказались давать какие-либо комментарии.

Компания T-Mobile, которая знала о вторжениях с июля прошлого года, никак не предупредила своих клиентов публично. Согласно калифорнийскому закону о краже личности "SB1386", компания обязана была уведомить каждого своего калифорнийского клиента лично о наличии проблем с безопасностью их личной информации. А также сообщить клиентам, что есть все основания полагать, что персональная информация была скомпрометирована. По закону компания должна поставить клиентов в известность обо всех этих фактах как можно быстрее и без какого-либо промедления. Однако замечу, что уведомление может быть отложено в том случае, если следователи посчитают, что это может повредить их работе. Последняя деталь - представители T-Mobile тоже отказались как-либо прокомментировать дело Якобсена и отсутствие уведомления со своей стороны.
Автор: Алексей Доля Дата: 18.01.2005 11:25
К вопросу о Microsoft AntiSpyware
Проблема шпионского ПО и новая утилита Microsoft чрезвычайно интересны и вызвали позитивную дискуссию в нашей конференции, поэтому очень сложно было пойти мимо хорошего аналитического материала, появившегося совсем недавно на SecurityFocus. Замечу, что описание самой утилиты уже есть на нашем сайте, здесь же мы поговорим о некоторых стратегических вопросах.

"Не успели засохнуть чернила на договоре о приобретении GIANT Company Software компанией Microsoft, как вышла в свет первая публичная бета-версия продукта Microsoft Anti-Spyware". Основной вопрос аналитика SecurityFocus звучит так: "Что означает выход утилиты для пользователей? А что - для компаний, специализирующихся на безопасности?". Но в дополнение к этому автор анализирует дальнейшие варианты действий компании Microsoft на рынке анти-шпионского ПО.

Прежде всего, утилита, безусловно, понравится пользователям. Здесь наиболее рельефно виден профессионализм сотрудников Microsoft. Во-первых, понятный и простой в управлении интерфейс. Во-вторых, Microsoft в лицензионном соглашении к своему продукту четко определила термин шпионского ПО (spyware), введя свой новый термин "Potentially Unwanted Software" (PUS). Это здорово.

Приложения для борьбы с шпионским ПО требуют регулярного обновления. На данный момент Microsoft предлагает обновления бесплатно. Возникает ощущение, что в обозримом будущем этот аспект не изменится, хотя после выхода официальной версии теоретически может поменяться очень многое.

Аналитик SecurityFocus задается вопросом: "А что будет, если Microsoft начнет брать деньги за обновления?". Другими словами, Microsoft сделает подписку на обновления для своего AntiSpyware точно также, как это делают антивирусные компании. Заметьте, что последние на своей подписке зарабатывают миллиарды долларов уже сейчас. Рынок средств борьбы с шпионским ПО выглядит довольно соблазнительным, почему Microsoft должна оставаться в стороне? К тому же у Microsoft уже есть опыт в распространении корпоративных программ по подписке. Вдобавок это - вполне здоровая модель лицензирования.

Автор делает свой прогноз. По его мнению, Microsoft будет укреплять свое присутствие на рынке средств борьбы с spyware. В начале долгое время, например, около двух лет, утилита Microsoft будет предлагаться на бесплатной основе, а также в составе каждой операционной системы (также, как Internet Explorer). Довольно быстро каждый новый компьютер будет комплектоваться Microsoft AntiSpyware. Через два года продукт Microsoft завоюет львиную долю рынка. Пользователи начнут полагаться на эту утилиту. После этого Microsoft просто начнет брать деньги за регулярные обновления продукта. Возможно, это станет промежуточным шагом к переходу на подписную модель лицензирования для самой операционной системы и ее обновлений. Но с нынешнего момента и до того времени компьютеры пользователей будут довольно неплохо защищены. Надо лишь устанавливать обновления к Internet Explorer и другим частям ОС.

Microsoft вошла на рынок средств борьбы с spyware. Это хорошо для пользователей? Возможно. Но, прежде всего, сам софтверный гигант косвенно причастен к созданию этого рынка. Также с высоты шпионского ПО можно позабыть о дырах в базовых программах системы Windows. В частности, Internet Explorer. Об этом уже говорилось много раз. Тем не менее, Microsoft пытается решить проблему другим способом.

Очевидно, что предотвратить использование дыр в браузере с помощью автономного приложения (в лице новой утилиты) довольно сложно. Но пример антивирусных компаний, зарабатывающих миллиарды, впечатляет. Сегодня анти-шпионские компании предлагают регулярные обновления и целый букет технологий. Все это есть в Microsoft AntiSpyware. Эффектно. Но ведь это не решает проблему!

Автор приводит отличное сравнение. Представьте, что кто продает людям тостер, который может время от времени воспламеняться. Но ничего страшного! Разработчик пока что бесплатно поставляет к своему тостеру еще и огнетушитель. Правда, впечатляет?

Напоследок автор приходит к выводу, что Microsoft AntiSpyware является решением, которое может улучшить жизнь пользователей до выхода Windows Longhorn. Напомню, что на Longhorn возлагаются большие надежды в плане безопасности. По мнению автора, Microsoft сейчас признала проблему шпионского ПО, а потом будет просто зарабатывать деньги в этой сфере. В любом случае, шпионское ПО будет с нами еще очень и очень долго...
Автор: Алексей Доля Дата: 18.01.2005 11:38
Ядро Linux будет переписано заново
Прошла информация, что IBM, Intel, Open Source Development Labs (OSDL) и другие крупные представители индустрии создали консорциум, который перепишет те компоненты ядра Linux, права на интеллектуальную собственность которых конфликтуют с патентами третьих компаний. В частности, называют 27 патентов, принадлежащих Microsoft. Считается, что новое ядро не позволит другим компаниям спекулировать по поводу его "интеллектуальной чистоты". Консорциум должен, судя по всему, называться "Operation Open Gates", а официальное объявление об его создании ожидается 25 января.

Данная акция направлена в первую очередь против Microsoft. Сам консорциум будет создан в Бивертоне (Beaverton), штате Орегон, в организацию собираются нанять программистов из местных университетов. Губернатор штата Орегон и мэр Бивертона также будут присутствовать при официальном создании консорциума.

На данный момент считается, что ядро Linux нарушает 283 патента (сами патенты не называются). Эти данные предоставила организация по страхованию IT-рисков Open Source Risk Management. Также патенты были проверены адвокатом Даниэлем Равичером (Daniel Ravicher), представляющим Free Software Foundation и возглавляющим организацию Public Patent Foundation. Равичер также отказался озвучить названия патентов, чтобы "пользователей Linux нельзя было привлечь к суду".

Общественность считает, что патенты, принадлежащие Microsoft, являются самыми опасными. Примерно треть патентов из 283 принадлежит людям, никак с Linux не связанным, поэтому они, наверное, захотят заработать денег через суд. Остальные патенты принадлежат компаниям, дружественным к Linux: IBM, Hewlett-Packard, Intel, Novell и т.д.

Хотя точные сведения о создании консорциума появятся лишь 25 января, следует отметить, что представителям Open Source рано или поздно все равно придется разобраться с "патентозависимостью" своей системы. Что же до Microsoft, то софтверный гигант уже сейчас использует свои почти три десятка патентов, чтобы нагнать страху на пользователей Linux...
Автор: Алексей Доля Дата: 18.01.2005 11:59