Новости Software за день

США: национальный закон о краже личности
Сенату США наконец-таки удалось уладить разногласия между законодателями и представителями бизнеса (в основном финансового и ИТ), касающиеся национального закона о краже личности. Официальное название законопроекта - Identity Theft Protection Act (S.B. 1408). Его поддерживают председатель сенатского комитета по коммерции, ряд демократов, а теперь еще и республиканцы, которые долго настаивали на принятии своих поправок. В рамках этой государственной инициативы все компании, правительственные агентства, образовательные институты (и некоторые другие) должны уведомлять клиентов о компрометации их персональных данных вне зависимости от того, произошла утечка зашифрованных или открытых приватных сведений. Если же организация нарушает требования закона, то ей придется заплатить штраф в размере до 11 млн. долларов.

Члены Сената, как всегда, делают себе имя на подобных проектах. Некоторые заявляют прессе, что "закон надо принять как можно скорее", другие говорят о безалаберности компаний и организаций... Однако как бы то ни было, законопроект предлагает конкретные требования к реальным компаниям. Например, если организация хранит приватные данные, она обязана обеспечить их физическую и технологическую безопасность. Что же до конкретики, то тут можно быть спокойным, так как конкретные окончательные спецификации обеспечит Федеральная Комиссия по Торговле.

Замечу, что под действие акта подпадают любые представители бизнеса, обычные школы и любые институты, работающие с приватными данными. В последний термин входят номера социального страхования, информация о финансовых учетных записях, данные о водительской лицензии и некоторые другие сведения, которые точно определит всё та же Федеральная Комиссия по Торговле. Вдобавок, под действие закона попадут все третьи компании, которые купят эти данные или приобретут другим путем, например, поглотив предприятие, которое уже работает с приватной информацией.

Плюсом предлагаемого закона является ограничение сроков, в течение которых компания может умалчивать эпизод. Теперь, если инцидент зарегистрирован, у предприятия есть 90 дней, чтобы поставить в известность пострадавших. Непонятно, правда, смогут ли правоохранительные органы продлевать этот срок в некоторых случаях. Вероятно, смогут.

Так же вводится государственный учет подобных эпизодов. В частности, если утечка затронула более 1 тыс. граждан США, значит, компания должна поставить в известность Федеральную Комиссию по Торговле. Напомню, что на данный момент обсуждаемый законопроект еще не принят. Однако прогресс налицо: сенаторы в целом договорились, как будет выглядеть принятый закон. Хотя в любом случае чувствуется противодействие бизнеса. Так, представители отрасли ИТ утверждают, что зашифрованная информация защищена (с этим трудно поспорить), а, следовательно, нечего уведомлять клиентов об утечке. Лоббисты же представителей кредитно-финансового сектора пытаются убрать из законопроекта права пострадавших граждан по замораживанию скомпрометированных счетов. В заключение отмечу, что даже если поправки технологов и финансистов будут учтены на 100%, существующая редакция законопроекта позволит действительно навести порядок в хаосе постоянно происходящих утечек конфиденциальных данных...
Автор: Алексей Доля Дата: 18.07.2005 02:09
Open Source Exchange на базе Red Hat и Novell
Компания Open-Xchange, разрабатывающая открытую версию серверного приложения Microsoft Exchange, собирается поставлять свое решение на платформах Novell/SUSE Linux и Red Hat Linux.

Сам продукт называется Open-Xchange Server 5 (OX). По своей функциональности он повторяет мощные современные аналоги, предлагая электронную почту, календарь, контакты, встречи, задачи и т.д. Одним словом всё, что требуется для групповой работы в деловой среде. Доступ к возможностям OX можно получить через web-клиент или "толстый" клиент, типа Outlook, Palm и KDE Kontact.

Считается, что OX является очередным открытым конкурентом продукту Microsoft Exchange, который широко распространен в качестве почтового сервера и средства коллективной работы.

Novell объявила о том, что будет распространять OX вместе со своим дистрибутивом Linux, после того, как сообщила о том, что её собственный проект, SUSE Linux Openexchange Server (SLOX), будет закрыт. Хотя SLOX распространялся в Европе, Африке и на Среднем Востоке.

Аналитики считают, что признание OX со стороны ведущих поставщиков Linux-решений дает продукту неплохие перспективы в конкурентной борьбе, как с открытыми аналогами, так и с решением Microsoft.
Автор: Алексей Доля Дата: 18.07.2005 02:12
Серьезные уязвимости технологии Kerberos
Открытая технология Kerberos широко распространена в качестве средства сетевой аутентификации. Две бреши в безопасности этой технологии позволяют злоумышленнику "подвесить" компьютер, на котором запущена реализация Kerberos, или получить к нему несанкционированный доступ.

Kerberos был разработан Массачусетским Технологическим Институтом, который сейчас уже оценил две уязвимости, как критические. Разработчики уже выпустили исправление и сообщили, что использовать бреши очень сложно.

Встревожились и разработчики ПО, которые начали оперативно устранять бреши в своих продуктах. Так, патчи уже выпустили Red Hat, Turbolinux и Gentoo. Компания Sun сообщила, что некоторые версии Solaris уязвимы, но исправления еще не выпустила. Эксперты считают, что бреши в такой популярной технологии, как Kerberos, должны вызвать целый шквал соответствующих обновлений.

Интересно, что Microsoft также использует Kerberos, но свою собственную реализацию. При этом реализация Microsoft оказалась не уязвима для новых брешей в открытой технологии.

По информации из Массачусетского Технологического Института, бреши содержатся в Kerberos 5 Release 1.4.1, а также более ранних версиях. В целом история Kerberos не безгрешна: в марте была обнаружена серьезная брешь в программе telnet, использующей Kerberos, в августе 2004 года была выявлена критическая брешь, к которой выпустили исправление...
Автор: Алексей Доля Дата: 18.07.2005 02:15
Один из сайтов Firefox был взломан
Администрация сайта SpeadFirefox.com сообщила, что её ресурс был удаленно взломан неизвестными хакерами. Ответственные лица выразили надежду, что злоумышленникам не удалось получить доступ к приватной информации пользователей web-сайта, хранимой на взломанном ресурсе. Они также сообщили, что преступники, судя по всему, использовали взломанную машину, чтобы рассылать спам.

Маркетинговый ресурс SpreadFirefox.com был запущен фондом Mozilla Foundation в сентябре 2004 года, чтобы продвигать в массы FireFox 1.0. Хакерам удалось взломать web-сайт, так как программное обеспечение на нём было не обновлено. Администрация сообщила, что теперь-то все исправления и обновления установлены, однако это - реакция на уже совершившееся событие.

Некоторые усматривают определенные закономерности в том, что это не первый сайт сообщества Mozilla, который был взломан за последнее время. В частности в январе был взломан сайт Mozdev.org. Однако более вероятным является то, что преступники взламывают то, что могут, и им абсолютно всё равно, откуда рассылать спам...
Автор: Алексей Доля Дата: 18.07.2005 02:15
Локальные алфавиты для доменных имён - задерживаются
Комитет ООН в своём недавнем заявлении отметил, что в настоящее время недостаточен прогресс в отношении внедрения многоязыковой поддержки доменных имён. Этот камешек брошен в огород организации ICANN (Internet Corporation for Assigned Names and Numbers), которая занимается регулированием вопросов, касающихся доменных имён в Интернет.

Однако на самом деле представителям ICANN есть что ответить. Один из руководителей указанной организации, Винт Серф (Vint Cerf - известный нам как один из "отцов-прародителей сети Интернет"), сказал, что ICANN ещё должна определить, какие региональные наборы символов действительно есть смысл поддерживать. Нельзя сбрасывать со счетов и такой фактор, как регистрация фальшивых доменов (где будут перемешиваться региональные и латинские символы). Указанный расклад будет только на руку мошенникам, уже сегодня регистрирующим такие имена - например, с использованием единички ("1") вместо латинской буквы "l". Кроме того, ведутся работы над ещё одним аспектом будущего доменных имён - возможностью использования расширений (точнее, TLD - Top Level Domain) на локальном языке (адрес вроде "ф-центр.ру").

В общем и целом, мы благодарны комитету ООН, подстегнувшему своим докладом господ-бюрократов из ICANN. Ведь общеизвестно, что североамериканские и англоязычные компании (и пользователи) вполне довольны текущей ситуацией - ведь в названии доменных имён используется их родной язык, а "остальной мир - пусть подождёт"...
Автор: Алексей Перевертайлов Дата: 18.07.2005 04:54