Новости Software за день

Взлом сайта "Война миров"
Надругательства над сайтами происходят довольно часто, но имя Стивена Спилберга придало очередному взлому особый шарм. Бразильский хакер, использующий псевдоним "un-root" взломал web-сайт нового фильма Стивена Спилберга "Война миров" (War of the Worlds). Премьера фильма по роману Герберта Уэллса ожидается этим летом.



Вот как выглядел web-сайт после надругательства

Владельцем web-сайта является компания Paramount Pictures. Содержимое ресурса, включающее рекламный ролик с Томом Крузом в главной роли, было замещено черно-белой графикой и сообщением от хакера. Сервер (под управлением Linux), на котором был размещен пострадавший сайт, удалось взломать за счет давно известной уязвимости в Apache Web Server.

В связи с известностью готовящегося фильма некоторые аналитики высказали свои соображения по поводу взломов сайта. В частности замечено, что хакеров из Бразилии стало уж слишком много, а серверов, на которых не установлены заплатки, скорее всего, еще больше...
Автор: Алексей Доля Дата: 17.02.2005 04:36
Новый выпуск CRYPTO-GRAM
Вышел новый выпуск рассылки Брюса Шнайера (Bruce Schneier) под названием CRYPTO-GRAM. Напомню, что рассылка посвящена вопросам безопасности во всех сферах человеческой деятельности. Выпуск посвящен новой американской программе по защите авиарейсов от террористов, взлому T-Mobile, ошибке в реализации шифрования по алгоритму RC4 в продуктах Microsoft, иску к банку Bank of America от пострадавшего в результате мошенничества клиента, проблеме выбора секретного вопроса при открытии новой учетной записи и многому другому. Далее мы остановимся лишь на самых интересных сюжетах.

О взломе T-Mobile мы уже писали. Суть проблемы была в том, что злоумышленнику удалось получить доступ к личной информации (имена, номера карт социального страхования, сообщения голосовой почты, SMS-сообщения, фотографии и т.д.) любого из 16,3 млн. клиентов компании T-Mobile. Однако взгляд Брюса Шнайера подметил совсем другую проблему - сегодня мы почти не контролируем наши же собственные данные. Согласитесь, это действительно так. Брюс предлагает заглянуть на десять лет назад: если кто хочет почитать вашу почту, ему придется вломиться к вам в дом; если кто-то хочет прослушать ваш автоответчик, ему снова придется проникнуть в помещение. Сегодня же автоответчик находится на компьютере, принадлежащем телефонной компании. На другом компьютере хранится список просмотренных вами книг и названия купленных из них. Супермаркет легко может определить ваши гастрономические предпочтения по вашей кредитной карточке. Мы действительно не контролируем свои сведения. Вывод, к которому приходит Брюс, совсем неутешителен: к сожалению, мы вынуждены доверять третьим компаниям, на попечительстве которых находятся наши данные. Что же до T-Mobile, то эта компания потратит немного денег на улучшение своей безопасности, но не для того, чтобы хранить информацию своих клиентов безопаснее и надежнее. Нет. Лишь для того, чтобы защититься от злого PR со стороны конкурентов.

Проблема с поточным шифрованием по алгоритму RC4 в продуктах Microsoft связана с детской, по словам Брюса, криптографической ошибкой: шифрование двух разных документов одним и тем же потоком, построенным на одном и том же векторе инициализации (IV). Именно так все и реализовано в Microsoft Word и Excel. Из-за этой ошибки зашифрованные документы можно легко восстановить (читай, расшифровать). Причем сделать это может любой начинающий студент-криптограф. Кстати, ошибку отыскал не Брюс Шнайер, а Хоньюн Ву (Hongjun Wu). Брюс лишь обратил внимание, что точно такая же ошибка с тем же самым алгоритмом шифрования RC4 уже была в WinNT Syskey в 1999 году. Вывод снова неутешителен: софтверный гигант не учится на своих ошибках, пять лет (с 1999 г.) прошли даром, и эта же ошибка почти наверняка есть и в других продуктах Microsoft.

Еще один интересный сюжет посвящен иску на более, чем 90 тыс. долларов. Этот иск банку Bank of America предъявил его же клиент, который пострадал от финансового мошенничества из-за того, что кто-то получил доступ к его компьютеру и украл необходимые реквизиты для управления счетом в режиме online. Казалось бы, банк обвинили в том, что кто-то взломал персональный компьютер его клиента. Но, как отмечает Брюс Шнайер, проблема в другом: банк обвиняют в том, что он допустил неавторизованную транзакцию. А неавторизованная транзакция стала возможной из-за того, что был взломан ПК клиента. Брюс отмечает, что в этом деле есть очень хитрая экономическая подоплека. Если суд постановит, что банк не должен отвечать за неавторизованные транзакции, то у банков не будет стимула повышать уровень безопасности online-операций. Однако если один раз наказать банк, то финансовая машина зашевелится и, самое главное, постарается свести подобные инциденты к минимуму.

Последний сюжет, который заслуживает особенного внимания, автор озаглавил так: "Проклятие Секретного Вопроса". Суть проблемы в том, что большинство online-служб предлагает одинаковую схему секретных вопросов на случай, если пользователь забудет свой пароль. Много лет назад был вообще всего один секретный вопрос (девичья фамилия матери), а сейчас это еще и "кличка первого домашнего животного", "название улицы, где ты вырос", "любимый цвет" и т.д. Может это и неплохо для клиента и поставщика услуги, но для безопасности это просто ужасно. Пользователь может придумать сложнейший пароль, но если он выберет ответом на секретный вопрос что-нибудь удобоваримое, то получить доступ к учетной записи будет проще простого. Брюс указывает на то, что большая часть ответов на секретные вопросы доступна в различных открытых источниках (вплоть до базы данных с кличками домашних животных), поэтому ответ на свой секретный вопрос надо всегда давать столь же непредсказуемым, что и пароль. В противном случае мы рискуем оказаться в ситуации, когда неплохой протокол аутентификации по паролю будет дублироваться крайне слабым протоколом аутентификации с помощью секретного вопроса...
Автор: Алексей Доля Дата: 17.02.2005 05:31
Обновления McAfee будут ежедневными
Мы бы не уделили этой новости столько внимания, если бы ежедневные обновления от McAfee не означали, что теперь антивирусные базы McAfee будут выходить в семь раз чаще...

Действительно, раньше (и уже довольно долго) компания обновляла свои базы лишь раз в неделю. С 24 февраля 2005 обновления должны стать ежедневными. Также должен появиться специальный настраиваемый web-сайт, на котором будет представлена информация по угрозам и инцидентам.

По словам представителя McAfee, клиенты компании иногда обращались с просьбой выпускать обновления чаще. Эксперты McAfee изучали, как это можно сделать наиболее эффективно, разобрались, и наконец-таки будут внедрять механизм на практике. Дополнительной причиной, подстегнувшей долгожданный переход, стало возросшее число угроз в Интернет. Так, аналитики McAfee регистрируют 60 новых угроз ежедневно.

Что же до настраиваемого web-сайта, то известно лишь его маркетинговое название - MyAvert. Аналитики отмечают, что во всех действиях любой антивирусной компании в последнее время есть еще одна причина - Microsoft. Приобретение Sybari Software, конечно же, подействовало на всех игроков рынка (Microsoft любит преподносить сюрпризы). Однако в случае с McAfee переход на более частые обновления и открытие web-сайта вряд ли поможет компании выдвинуться на рынке вперед. Дело, скорее всего, в том, что все эти изменения не предполагают появление новых услуг. Так же хочу напомнить, что хотя McAfee является второй по величине антивирусной компанией в мире (на первом месте Symantec, на третьем - TrendMicro), она испытывает некоторые финансовые трудности (последний год для нее оказался убыточным).

В данном контексте хочется обратить внимание, что большинство конкурентов McAfee уже давно предоставляет ежедневные обновления (Лаборатория Касперского, например, предоставляет ежечасные обновления). Что же до MyAvert, то web-сайт, скорее всего, задумывается, как противовес известному порталу SecurityFocus (который, как известно, уже несколько лет принадлежит Symantec).
Автор: Алексей Доля Дата: 17.02.2005 05:40
Пользователи избегают online-покупок
Именно к такому выводу пришла компания RSA Security. Одна четверть всех online-покупателей уменьшила число покупок в прошлом году именно из-за боязни оказаться жертвой мошенничества. Эксперты RSA Security считают, что пользователи просто больше узнали о том риске, которому подвергаются при совершении online-покупок. Как результат - некоторая настороженность и нежелание рисковать.

В опросе RSA Security (это - третий по счету ежегодный опрос) приняло участие более 1 тыс. американцев. Опрос был направлен именно на то, чтобы отследить динамику изменения предпочтений и осведомленности пользователей за последние два года.

61% респондентов сообщили, что они лучше, чем год назад, осведомлены об угрозе кражи личности; 23% заявили, что чувствуют себя более уязвимыми, чем год назад. На основании этих данных аналитики RSA Security пришли к выводу, что бизнесу предстоит еще много работы, чтобы успокоить online-покупателей и сделать online-операции более безопасными и надежными.

Как всегда, электронные банки были выделены в отдельную часть опроса. Финансовым учреждениям выгодно перенести свою деятельность в электронное пространство, таким способом они экономят на некоторых своих издержках. Однако сами пользователи относятся к электронным банкам настороженно. Так, 21% респондентов по-прежнему вообще отказывается от использования online-банков. Следует отметить, что современные пользователи уже осведомлены об атаках типа "фишинг", а жертвами этих атак становятся как раз клиенты online-банков.

Опрос показал, что пользователи считают стандартные защитные механизмы, основанные на паролях, и идентификационных номера - недостаточно эффективными. Однако настораживает другой факт. Две трети всех респондентов, являющимися web-пользователями, заявили, что используют пароли длиной менее 5 символов для доступа ко всем видам своей электронной информации. 15% респондентов заявили, что используют всего один пароль для всех своих учетных записей. Аналитики RSA Security обратили внимание, что данная статистика не изменилась по сравнению с прошлым годом.

70% респондентов заявили, что, по их мнению, компании, предоставляющие товары и услуги в режиме online, не обеспечивают достаточной защиты хранящейся у них приватной информации пользователей.

Другой отчет на эту тему, недавно представленный Business Software Alliance и Information Systems Security Association, выявил следующую тенденцию: компании просто перекладывают ответственность за обеспечение безопасности на конкретных исполнителей (свой персонал). 44% бизнес-респондетов сообщили, что ответственность за безопасность несут конкретные топ-менеджеры. В 2003 году этот ответ выбрало 39% респондентов.

Таким образом, можно сделать неутешительный вывод: несмотря на все развитие технологий электронной коммерции, online-покупки еще не скоро станут обыденной рутиной. Что же до настороженности самих пользователей, то она оправдана на все 100%: если бизнес-компании так легко отдают безопасность на откуп конкретным исполнителям, то и уровень этой безопасности будет невелик...
Автор: Алексей Доля Дата: 17.02.2005 05:52
Уязвимость в антивирусах F-Secure
Компания F-Secure выпустила пакет исправлений, устраняющих серьезную уязвимость в её антивирусном продукте. После сообщения Symantec, это уже вторая новость о проблемах с безопасностью в антивирусных продуктах.

Брешь в безопасности была в антивирусной библиотеке и делала уязвимыми 18 антивирусных продуктов всех возможных классов: настольных, серверных и почтовых шлюзов. Сама компания F-Secure назвала уязвимость критической (максимальная оценка).

Напомню, что проблема компании Symantec была в обработке сжатых с помощью UPX файлов. Продукты компании F-Secure "отличились" примерно так же: некорректная работа с ARJ-архивами. Злоумышленник может искусственно создать архив такого формата и наполнения, что его обработка приведет к переполнению буфера и выполнению произвольного кода. Естественно, если пакет исправлений еще не установлен.

Уязвимость обнаружили эксперты компании Internet Security Systems. Отмечу, что уязвимость является, скорее всего, теоретической. По крайней мере, так заявляют представители F-Secure, в свою очередь эксперты ISS не предоставили эксплоит. С выходом пакета исправлений уязвимость, наверное, так и останется теоретической.

Следует обратить внимание, что некоторые крупные разработчики ПО и поставщики услуг безопасности используют антивирусную библиотеку F-Secure в своих продуктах (другими словами, просто лицензировали движок). Следовательно, им нужно позаботиться об исправлениях больше всего. Пользователям, которые не используют автоматические системы обновлений антивирусных баз и модулей, рекомендуется самостоятельно установить пакет исправлений. Скачать его можно по адресу: www.f-secure.com/security/fsc-2005-1.shtml.

Автор: Алексей Доля Дата: 17.02.2005 05:59