Новости:

Интервью с хакером

Джейн Уейкфилд (Jane Wakefield), ZDNet UK

Популярная аналитическая программа BBC Panorama попыталась раскрыть некоторые тайны, связанные с вирусом Love Bug, распространенным юным филиппинцем, и пришла к выводу, что хакеры-подростки + это серьезная угроза для правительств и мировой экономики.

Гвоздем передачи Panorama стало интервью с Майклом Бьеном (Michael Buen), который, как предполагается, входит в группу молодых хакеров, ответственную за эпидемию вируса Love Bug. Бьен всегда отрицал свое участие в этом, утверждая, что не умеет писать вирусы. Но ведущий Panorama опроверг этот факт, продемонстрировав Бьену вирус, обнаруженный антивирусной компанией Sophos за месяц до эпидемии Love Bug. В вирусе содержится копия Curriculum Vitae Бьена и следующее заявление: гВнимание! Если я не получу постоянную работу до конца этого месяца, то выпущу третий вирус, который очистит все папки на жестком дискеe:.

Старший технический консультант Sophos Грэхэм Клули (Graham Cluley) делает очевидный вывод: Я подозреваю, что автором этого вируса является Бьен. Возможно, что Love Bug написал не он, но это сделал один из его друзейe:. Клули отмечает, что не всегда бывает так легко выявить хакеров: Распространять вирусы, содержащие CV автора, не принято. Я больше никогда не сталкивался с подобной глупостьюe:.

В авторстве вируса Love Bug обвиняют Онела Дегузмана (Onel de Guzman), но так как в Филлипинах на момент атаки не было законов против хакеров, он вряд ли получит более одного года тюрьмы. Маловероятно также, что США потребуют его выдачи. Panorama отмечает, что вирус сделал его автора из бедного пригорода Манилы знаменитостью, нанес Филлипины на карту киберпространства и повысил популярность компьютерной грамотности среди молодежи. После допроса Бьена по поводу Love Bug его пригласили в несколько компанийe:, + говорит Клули. По его мнению, хакерство может превратиться в моду. Очень плохо, если молодежь решит, что писать вирусы + это здорово. Это может принести славу, доставить массу удовольствия и обеспечить хорошей работой, + говорит он. + Было бы гораздо лучше, если бы люди относились к писателям вирусов с презрением.

Copyright (C) ZDNet

Жития "святых" Интернета

Берд Киви

Мир потихоньку уже начал забывать о хакере Курадоре, самопровозглашенном "святом электронной коммерции", который тысячами похищал номера кредитных карт в плохо охраняемых электронных магазинах и выкладывал добытую информацию на всеобщее обозрение, чтобы привлечь внимание к серьезности вопросов безопасности. Подобные деяния "святого", которым оказался 18-летний валлийский паренек Рафаэл Грей (Raphael Gray), далеко не у всех вызывали одобрение, однако использованные им необычные методы поднятия общественной тревоги продолжают находить своих последователей.

На сиднейскую радиостанцию ABC позвонил молодой человек, назвавший себя Келли, и сообщил о своем неожиданном открытии. Как он случайно установил, на веб-сайте австралийского правительства GST Start-up Assistance, ведающем помощью начинающим предприятиям, абсолютно свободно можно было получить доступ к конфиденциальной информации тысяч коммерческих компаний. Поскольку Келли и сам был одним из зарегистрировавшихся на этом сайте, он решил поднять тревогу, причем так, чтобы его сигнал стал широко известен, а не погребен в секретных отчетах, как это часто случается.

Как обнаружил Келли, доступ к информации на сайте GST "вообще не требовал никакого хакинга". Ко всем записям базы данных, подсоединенной к веб-сайту, можно было получать доступ, просто изменяя в URL-адресе регистрационный номер клиента. Тогда Келли написал CGI-скрипт, автоматически выполняющий ручную процедуру доступа к сайту, а вместо номера клиента просто подставлявший туда все числа от 1 до 27000. Эта программа стала автоматически загружаться в каждую зарегистрированную ячейку и генерировть email-сообщение, предупреждающее владельца данной ячейки о том, что банковские детали его компании никак не защищены. В письмо вставлялась вся банковская информация из ячейки и предупреждение: "Веб-сайт http://www.gstassist.gov.au/ имеет серьезную дыру, которая предоставляет доступ к вашей конфиденциальной информации". Поскольку задачей Келли было лишь предупреждение доверчивых клиентов, то сам он эту информацию не скачивал и, по его словам, "даже в нее не заглядывал"...

Когда было разослано около 17000 таких писем, правительственный веб-сайт закрылся, и началось расследование. Как и ожидал Келли, который особо не скрывался и на которого достаточно быстро вышла полиция, правительственные чиновники сразу объявили, что ими не обнаружено никаких свидетельств слабой защиты веб-сайта, а база данных была взломана с применением "сложной хакерской программы". Как бы там ни было, но тревожный сигнал юноши сумел всколыхнуть общество и в очередной раз продемонстрировать, насколько доверчивы люди к технологиям и насколько хрупка может быть декларируемая безопасность.

Copyright (C) Компьютерра

Интерпол и частный сектор создают антихакерский сайт

ZDNet News (Reuters)

ЛОНДОН + Интерпол передаст частному веб-сайту информацию, которая поможет предприятиям защищаться от международной киберпреступности.

Независимая американская консалтинговая фирма Atomic Tangerine сообщила о том, что международная организация, объединяющая 178 национальных полицейских ведомств, решила передать ей всю информацию, относящуюся к хакерству, украденным вещам, случаям мошенничества и другим предметам, угрожающим благополучию компаний. Вся эта информация будет доступна бесплатно для любой добропорядочной частной фирмы. В свою очередь, Atomic Tangerine будет передавать в Интерпол сведения, собираемые путем обширного мониторинга интернета, который будет производиться компьютерами и персоналом компании.

Обнадеживающие меры
Руководитель компании Джонатон Форначи (Jonathon Fornaci) рассказал, что служба Net Radar уже сообщила властям о пакистанском интернет-провайдере, которого западные хакеры без его ведома используют для веб-атак. Форначи сказал Reuters, что идея родилась на конференции Internet Defence Summit, организованной Atomic Tangerine в Калифорнии в прошлом месяце. Там генеральный секретарь Интерпола Раймонд Кендалл (Raymond Kendall) и предложил Atomic Tangerine скооперироваться с крупными корпорациями. Частный сектор должен защищать себя сам, так как у государственных служб нет необходимого для этого оборудованияe:, + сказал Кендалл. В понедельник они вместе с Форначи в штаб-квартире Интерпола в Лионе завершили разработку плана действий, который будет обнародован на следующем саммите по защите в Лондоне 18 октября. Помощь Интерпола очень полезна для самозащиты частного сектора. В то же время информация, собранная некоторыми частными компаниями, может иметь важное значение для правительственных агентств, + говорится в совместном заявлении.

Калифорнийская компания Atomic Tangerine основана на базе SRI International + бывшего Стэнфордского научно-исследовательского института, где была изобретена компьютерная мышь и принято первое в мире сообщение электронной почты.

Copyright (C) ZDNet

Интернет + рай для мошенников

Джейн Уэйкфилд (Jane Wakefield), ZDNet UK

Согласно новым данным, интернет-экономика оказалась фальшивой, то есть нашпигованной фиктивными компаниями и бракованными товарами.

Опубликованный в понедельник отчет говорит о том, что в сети процветает жульничество. Компания ArmorGroup, специализирующаяся на интернет-защите, пришла к выводу, что 35% всех дорогих товаров в вебе + подделки. Это дало ей повод назвать революцию э-коммерции термином dot.con (точка-надувательство).

Исследование показало, что онлайновые покупатели очень доверчивы. Каждый третий из них ошибочно принимает демонстрируемые на сайте кроссовки и джинсы за подлинные. Целых 96% поверили в подлинность фальшивого логотипа фирмы BT, 91% + Visa и 89% + Virgin. Открыть фиктивную интернет-компанию оказалось проще простого. После презентации несуществующих фирм с названиями Royal Alliance Insurance, Halifax & General и First Line Direct соответственно 80%, 69% и 64% опрошенных сказали, что им известны эти торговые марки. Столь простой доступ, массовая аудитория и потенциальная анонимность не только делают интернет идеальной платформой для производителей фальшивых товаров, но и позволяют недобросовестным предприятиям и частным лицам маскироваться под солидные компанииe: + к такому заключению пришел исполнительный директор ArmorGroup Говард Коттрелл (Howard Cottrell).

Фальсификация + это крупный бизнес. Исследование обнаружило, что практически любой товар может производиться где угодно. Отдельные страны становятся средоточием подделок: например, Турция лидирует в производстве фальшивых джинсов, а Ливан специализируется на фальшивых мобильных телефонах. Озабоченность вызывает то, что черный рынок может оказаться смертоносным. Поддельных лекарств, автозапчастей и электроприборов становится все больше. Без строгого тестирования и технической поддержки они представляют все большую угрозу для потребителей, + говорит Коттрелл.

Алан Стивенс (Alan Stevens), руководитель отделения цифровых сервисов Ассоциации потребителей, признает, что подделки в сети + это реальная проблемаe:. Открыть веб-сайт уж слишком легко, так что интернет становится питательной средой для воров и мошенниковe:, + говорит он. Стивенс призывает правительство заставить предприятия перейти на какую-либо схему аккредитации и предупреждать население об опасности покупок в онлайне.

Copyright (C) ZDNet

Microsoft анонсировала выпуск ОС Windows для смарт-карт

Корпорация Microsoft объявила на конференции разработчиков смарт-карт о скором выходе самой компактной ОС из серии Windows, предназначенной для размещения на смарт-картах. Комплект ПО для разработчиков Windows for Smart Card версии 1.1 позволил присоединиться к разработкам порядка 12 компаниям, занимающихся созданием систем безопасности. Так, американская Touch Technology International выдала каждому участнику конференции по карте PocketServer, после инициализации которой можно было получить доступ к 20 компьютерам конференции, подключенным к Интранет-сети. Австралийский производитель смарт-карт Authentic8 объявил о сотрудничестве с British Telecommunications в области разработки защиты для серии услуг удаленного доступа под названием "key2connect", воспользоваться которыми можно будет только с помощью смарт-карты. Компания SMARTCLIC представила новый вариант "электронного кошелька" - карту с чипом, которая сможет заменить как кредитную и дебетную карты, так и дорожные чеки, что будет чрезвычайно удобным во время поездок для оплаты транспорта, проживания, питания, покупок и получения денег через банкоматы. BioNetrix Systems поддержала Windows for Smart Cards и намерена включить смарт-карты на ее основе в комплект прочих мер обеспечения безопасности, таких как пароли, карты и измерения параметров тела человека. Среди прочих производителей "умных" карт, поддержавших Windows for Smart Cards такие компании, как CipherBond, Litronic, Lifestream, 3GI, CISA, Gemplus и Infineon

Copyright (C) РосБизнесКонсалтинг

Microsoft лицензировала у ISS технологию обнаружения несанкционированного проникновения в компьютерные системы

Компания Internet Security Systems, разрабатывающая приложения для управления системами безопасности в Интернет, сообщила о том, что Microsoft лицензировала ключевой элемент ее технологии RealSecure, предназначенной для обнаружения несанкционированного проникновения в компьютерные системы. Эта технология будет включена в Internet Security and Acceleration (ISA) Server 2000

Copyright (C) РосБизнесКонсалтинг

AT&T разработала универсальный анонимайзер

В прошлую пятницу AT&T Labs анонсировала свою новую некоммерческую разработку Publius, обеспечивающую почти полную анонимность пользователя при работе в Сети.

Так называемые анонимайзеры уже давно являются достаточно популярной темой для различных разработчиков. Однако впервые за это дело взялась столь крупная компания, как AT&T. Как отмечает Washington Post, принципиальное значение получает тот факт, что спорная идея внедрения полной анонимности в Интернете теперь получила поддержку со стороны крупного бизнеса.

Существующие анонимайзеры весьма разнообразны по механизмам и масштабам - от небольших клиентских программ до хитроумных программно-аппаратных комплексов с разветвленными по всему миру сетями специализированных серверов (например, система Zero-Knowledge). В отличие от них, система Publius помимо обеспечения анонимности имеет еще одну важную функцию - защиту от цензуры. Практически, информация, размещенная в Сети через Publius, может быть изменена или уничтожена только ее владельцем или теми лицами, которых он сам определит. Данная идея также не нова, однако AT&T Labs подняла ее на новый технологический уровень. Информация, помещаемая в Сеть через систему Publius, разбивается на множество частей, которые хранятся раздельно на случайно выбранных серверых, входящих в систему. Обратится к ней можно через директорию, содержащую ссылки на ресурсы, размещенные на серверах поддерживающих Publius. По запросу распределенные фрагменты данных снова собираются.

Проблемы анонимности и цензуры в глобальной Сети являются одними из самых горячо обсуждаемых. Налицо извечные противоречия интересов простых граждан, считающих главным приоритетом свободу личности, и разного рода надзирающих органов

Copyright (C) Lenta.ru

Russian Security Newsline:

Обзор RSN Forum за 3-4 июля.
/HackZone.Ru/RSN Forum 5.07.2000 02:29:25/:

D.O.S. ататка на Win2000 Server и на Check Point Firewall-1 ( Shadow).
Любая длинная строка посланая WebBBS вызывает переполнение буфера ( Shadow <shadow_rsn@mail.ru>).
Winproxy 2.0 (Gamlet).

Ведущий (A.V.Komlin).

Обзор RSN Forum за 2 июля.
/HackZone.Ru/RSN Forum 3.07.2000 01:22:13/:

Некоректная работа с форматной строкой в vpopmail приводит как минимум к краху пакета при авторизации .
Переполнение буфера при соединении на клиентский порт в iMesh.( Shadow <shadow_rsn@mail.ru>).
/*В США узаконена элеткронная подпись и тут же применена*/( Shadow).

Ведущий (A.V.Komlin).

Сколько Вы знаете о защите и взломах в Интернет ?

Итак, второй тур в самом разгаре. Опять много "ляпов", уважаемые друзья. Присылать надо только скринсейверы, на которых есть слова "Ваши результаты - наивысшие". Все остальные за победу не считаются. В данном тесте наивысшие результаты можно заслужить только ответив на все 15 вопросов - не меньше. Ошибок в тесте нет - просто не все знают правильные овтеты ;-) Количество победителей резко упало - пока их только 5:

1. Edward Maljavin - edd@sumz.uralnet.ru
2. Dmitry Andrejchuk - D.Andrejchuk@VAZ.RU
3. Maksimov Maksim - maksim@tts.tomsk.su
4. sse - sse@dalchem.khv.ru
5. DeWiL - dewil@dwl.org.ru

Система защиты в данном случае улутшена, однако хотелось бы выразить благодарность одному человеку, который прислал подробный комментарий как же ее можно обойти. Его зовут - Dmitry Sklyarov (sklyarov@mail.ru).

Уважаемые дамы и господа - 2 тур конкурса продолжается!

http://www.kulichki.ru/test/cgi-bin/test1.cgi?cat=brain&num=4&step=1&score=0

В игре будет 5 этапов - 5 тестов, сложность которых будет постепенно повышатся. Однако все ответы на вопросы можно найти в рассылке Inroad - нужно только уметь правильно читать ;-) В каждом этапе определяется от 15 до 20 победителей, которые смогли прислать наивысшие результаты в течении 48 часов с момента выхода рассылки (по техническим вопросам см. ниже). В конце будет подведен итог из 3 главных призов.

Не забывайте о технических деталях :-).

"По просьбам трудящихся программистом сделана более-менее приличнуя система защиты. Мы, совместно с Inroad обьявляем дополнительный конкурс - кто взломает эту систему тестов. Тот кто взломает, должен прислать подробную технологию взлома по адресам test@kulichki.rambler.ru и psy@kulichki.rambler.ru."

Технические вопросы:

1. Поскольку количество скриншотов превысило все разумные пределы, в связи с чем мы очень рады Вашей активности, то в будущем все скриншоты присылайте пожалуйста только на psy@kulichki.rambler.ru
2. Присылать нужно только те результаты, где есть текст "Ваши результаты - наивысшие" !
3. желательный формат скриншотов - *.gif или *.jpg - категорически не надо присылать в *.bmp (ну если уж ничего кроме этого формата не знаете, то архивируйте в zip). Если размер файла более 60Кб, то обязательная архивация файла (если будет больше, то фильтр удалит сообщение сразу и правильно прошедший тест может просто не прислать результаты из-за несоблюдения инструкции - пожалуйста будьте внимательны)
4. комментарии по содержанию/воплощению теста пожалуйста присылайте на psy@kulichki.rambler.ru

Приглашаем к сотрудничеству спонсоров - vcs@vcs.kiev.ua

Cпонсор: Доступный РЕМОНТ PDA, Notebook и PC

Обновлен сервер "Проекта - Inroad"

Приглашаем к сотрудничеству авторов материалов и
информационных сайтов компьютерной тематики.

Весь архив рассылки на CityCat

 

Беспроводный доступ в Интернет
предоставлен  фирмой  InterStrada