Новости Software за день

Очередной выпуск рассылки Брюса Шнайера
Вышел очередной номер online-журнала, который ведет известный эксперт по информационной безопасности и квалифицированный криптограф Брюс Шнайер. Номер посвящен нескольким актуальным темам: взлому SHA-1, недостаткам двухфакторной аутентификации, уязвимости URL Unicode и многому другому. С оригиналом можно ознакомиться здесь, мы же остановимся лишь на двухфакторной аутентификации, которую Брюс Шнайер нещадно раскритиковал.

Прочесть следующие строки было большим сюрпризом, так как двухфакторная аутентификация часто позиционируется, чуть ли не как решение абсолютно всех проблем информационной безопасности. Тем не менее, Брюс Шнайер написал так: "Двухфакторная аутентификация - это не панацея. Она не может защитить от фишинга. Она не может защитить от кражи личности. Она не может обезопасить online-счета от мошеннических транзакций. Она решает проблемы безопасности, которые были 10 лет назад. Но не те проблемы, с которыми мы столкнулись сегодня".

Обсуждаемая технология смягчает проблему паролей, контроль над которыми очень легко потерять. Пользователи записывают пароли на бумагу, другие люди читают эти записи. Пользователи посылают пароли в электронных письмах, но их легко перехватить. Пользователи аутентифицируются на удаленных серверах, используя небезопасные соединения. Пароли часто легко угадать. В любом случае, как только что-то плохое из вышеперечисленного происходит - жди беды.

Возвращаемся к брелкам. Если пароль является числом, которое меняется каждую минуту, или уникальным ответом на случайный запрос, то такой пароль украсть сложнее. Просто записать его на бумажку не получится. К тому же двухфакторный пароль сложно угадать. Конечно, пользователь может отдать свой брелок секретарше и сообщить ей свой пароль, но "от дурака защититься невозможно". Брюс Шнайер говорит, что брелки проталкивают на рынок уже два десятка лет, но лишь сейчас они привлекли широкое внимание. AOL использует их. Некоторые банки советуют или предлагают их своим клиентам. Подводя промежуточный итог, можно заметить: бизнес осознал, что пароли не гарантируют безопасности, но надеется, что двухфакторная аутентификация близка к этому.

Автор отмечает, что за те 20 лет пока брелки пробивались на рынок, природа атак значительно изменилась. Раньше атаки были пассивными, например, подбор пароля или перехват его в открытом виде. Сегодня угрозы активны, например, фишинг и троянцы. Брюс Шнайер приводит два примера новых атак: атака посредника и троянская атака. В первом случае атакующий публикует фальшивый банковский сайт. Пользователь вводит пароль, чтобы получить доступ к своему счету. Атакующий направляет пользователя на настоящий сайт. После этого злоумышленник может работать со счетом жертвы, предварительно отключив её, или осуществляя свои транзакции одновременно с ней. Вторая атака проще - троянец позволяет контролировать ПК пользователя. Остается лишь дождаться, пока жертва захочет посмотреть на свой счет в online-режиме. И вот, двухфакторная аутентификация бессильна. В первом случае, атакующий получает все части пароля пользователя, а потом может работать с его счетом. Во втором случае, жертва аутентифицируется сама. Другими словами, двухфакторная аутентификация лишь заставляет преступников немного изменить сценарий атаки.

Подводя итоги, автор приходит к выводу, что двухфакторная аутентификация все-таки не бесполезна. Она подходит для локального входа в систему и внутри какой-то конкретной компании. Но она абсолютно неэффективна для удаленной аутентификации через Интернет. Банки и финансовые компании, которые сегодня предлагают своим клиентам использовать брелки для управления своим online-счетом, ничего не выиграют. Преступники перестроятся, и кражи личности вкупе с мошенническими транзакциями возобновятся...
Автор: Алексей Доля Дата: 23.03.2005 01:46
Университет Калифорнии - очередная жертва хакеров
Аналитики считают, что колледжам и университетам по всем США необходимо усилить меры информационной безопасности, так как за последний месяц был взломан целый ряд образовательных компьютерных систем.

Последней жертвой хакеров стали компьютеры Университета штата Калифорния. Злоумышленники взломали системы хозяйственной службы (продовольствие и размещение) и получили доступ к информации о 59 тыс. студентов и абитуриентов, а также служащих самого университета.

Большая часть украденной информации относится к студентам, обучавшимся в университете в течение последних 5 лет. Официальные лица утверждают, что предупредили всех, кто может пострадать в результате взлома и кражи. Целенаправленно ли хакеры хотели завладеть конкретно этой информацией - не известно. Тем не менее, в руках преступников оказались имена, адреса и номера социального страхования огромного количества людей. Как эти данные можно использовать со злым умыслом мы уже не раз рассказывали.

Представители пострадавшего университета заявили, что злоумышленники установили средство удаленного администрирования на компьютер, служащий хранилищем музыкальных файлов, фильмов и игр. Также зафиксировано несколько попыток взлома других компьютеров в сети. Следует отметить, что руководство университета сделало правильные выводы из случившегося: теперь студенты и служащие будут не обязаны предоставлять номера социального страхования для системы идентификации кампуса.

Инцидент в Университете штата Калифорния является не первой и, скорее всего, не последней жертвой в длинном ряду подобных преступлений. На прошлой неделе был взломан Колледж Бостона, из которого украли информацию о 120 тыс. бывших и нынешних служащих и студентов. Как обычно, среди похищенных данных были имена, адреса и номера социального страхования.

Хотя представители Колледжа Бостона уведомили всех людей, чьи данные были украдены, удовлетворения это никому не принесло. Интересная деталь в этом инциденте: хакер не только взломал систему и украл данные, но еще и внедрил программу для организации атак на другие компьютеры.

В этом месяце (в самом начале) был также взломан Гарвардский Университет. Хакер получил доступ к компьютеру, обслуживающему приемную комиссию. Таким образом, абитуриенты смогли ознакомиться с результатами своих экзаменов заранее. Это, однако, самое неопасное преступление из всех, так как администрация университета зафиксировала, кто из абитуриентов просматривал свои результаты, и аннулировала их заявления на прием.
Автор: Алексей Доля Дата: 23.03.2005 01:55
Microsoft расширяет программу Shared Source Initiative
Под всё нарастающим давлением со стороны Евросоюза, Microsoft объявила о расширении своей программы Shared Source Initiative (SSI) в семи странах Старого Света. К программе добавились: Словения, Словакия, Мальта, Литва, Латвия, Кипр и Эстония. Напомню, что члены программы SSI имеют доступ к исходным кодам Windows 2000, XP, CE и Server 2003. Это означает, что разработчики программного обеспечения, OEM, системные интеграторы и академические учреждения могут получить некоторые исходные коды под лицензией, которая позволяет им просматривать коды, модифицировать их и, что самое главное, распространять изменения.

Официальная причина расширения программы SSI была совсем недавно анонсирована директором этой инициативы, который сообщил, что софтверный гигант уже давно ищет способы повысить доверие в отношениях со своими клиентами и расширить возможности этих клиентов.

Однако трезвая оценка ситуации заставляет немного усомниться в бескорыстности намерений Microsoft. Дело в том, что расширение программы было объявлено несколько дней спустя после заявления Еврокомиссии, которая выразила сомнение, что Microsoft в состоянии наладить взаимодействие между своей операционной системой Windows и продуктами других разработчиков.

Год назад Еврокомиссия уже наказала Microsoft штрафом в 613 млн. долларов за нарушение антимонопольных законов Евросоюза, а также предписала исключить из состава операционной системы Windows Media Player и распространить коды своей серверной операционной системы (спецификации протоколов и т.д.) среди других компаний, которые разрабатывают свои собственные приложения для этой ОС.

Интересно мнение американских аналитиков. Многие сходятся во мнении, что идея расширить программу SSI - в целом, неплохая. В тот же самый момент выдвигаются вполне обоснованные опасения, что это последний шаг, который может предпринять софтверный гигант, чтобы хоть немного больше удовлетворить суровым требованиям Еврокомиссии.

Эксперты считают, что именно в Европе по настоящему столкнулись системы Windows и Linux. Более того, власти Евросоюза своими действиями пока что всячески мешают развитию продуктов Microsoft. Это, с одной стороны, склоняет чашу весов в пользу Linux, а с другой - создает условия для более эффективной конкуренции...
Автор: Алексей Доля Дата: 23.03.2005 02:00
У Mandrakesoft - новый стратегический план
Если кратко, то Mandrakesoft анонсировала изменения плана выпуска новых версий Mandrakelinux в 2005 году. Нововведения коснулись цикла выпуска конечных продуктов для розничной продажи, названий продуктов, интеграции технологий Conectiva в Mandrakelinux и доступности промежуточных продуктов.

Изменений много. В качестве причин, побудивших провести такие реформы, выдвинуты следующие. Во-первых, партнеры и дистрибьюторы уже не раз просили Mandrakesoft увеличить время между выпуском новых версий продуктов. Во-вторых, клиенты и пользователи Mandrakesoft просили увеличить инвестиции в разработку новых функциональных возможностей системы. В-третьих, слияние Mandrakesoft и Conectiva требует времени, чтобы интегрировать лучшие черты обоих дистрибутивов в финальный продукт. Обобщая и комментируя все эти изменения, хочется заметить, что основной причиной, скорее всего, стала последняя (слияние с Conectiva), так как после любого слияния, как известно, наступает период, когда менеджменту необходимо перестроиться и внести соответствующие коррективы в основной вектор развития компании.

Таким образом, теперь продукты будут выпускать с циклом один раз в год. Таким образом, партнеры Mandrakesoft остаются довольными, а компания может потратить больше денег на выпуск обновленного дистрибутива. Как следствие этого пункта, продукты будут именоваться с указанием года выпуска. То есть, ближайший релиз будет иметь версию "2006". Mandrakesoft также решила выпустить промежуточную версию продукта весной 2005 года. Это будет дистрибутив Linux, основанный на последней версии Mandrakelinux, с обновленным ПО: KDE 3.3, GNOME 2.8 и Firefox 1.0.1. Это специальное издание будет доступно на DVD и CD, распространяться будет через Mandrakestore и Mandrakeclub. Также продукт можно будет скачать из Интернет. Единственное ограничение - продукт не появится в розничной продаже. Промежуточная версия будет называться "Limited Edition 2005".

Осенью этого года выйдет версия "2006", в которую будут встроены технологии Conectiva и online-сервисы Mandrakesoft. Продукт будет распространяться по каналам розничной продажи, а также через стандартные web-каналы (Mandrakestore и Mandrakeclub). К продукту полагается поддержка и дополнительные услуги. Следует отметить, что и "Limited Edition 2005" и версия "2006" будут доступны в 32-х и 64-битных редакциях.
Автор: Алексей Доля Дата: 23.03.2005 02:05