На прошедшей в Москве конференции "Платформа-2004" представители корпорации Microsoft показали в действии инструменты борьбы с нежелательной корреспонденцией, встроенные в новые версии Exchange server и клиента Outlook.

В этом году спам из досадной помехи превратился в настоящее стихийное бедствие. Мало кому из пользователей электронной почты удаётся избегать получения десятков (а то и сотен) бесполезных рекламных писем. Спам давно стал привычной вещью, от которой никуда не деться. Дошло до того, что стали поговаривать об отказе от использования электронной почты, ведь получая по сто-двести ненужных писем в день, сложно сохранить спокойствие и суметь выделить время для чтения и фильтрации корреспонденции.

Последний внушительный шаг в борьбе со спамом в России - это создание коалиции, в которой объединили свои усилия русское представительство Microsoft, "Лаборатория Касперского", Mail.ru и др. Впрочем, за полгода существования коалиции никаких серьезных действий данная организация не предприняла. Возможно, дело в том, что Microsoft все это время готовила тайное оружие. На конференции "Платформа-2004" оно и было продемонстрировано.

Надо сказать, программисты Microsoft здорово поработали над противоспамовыми средствами. Были учтены все базовые требования, которые раньше, похоже, занимали только сторонних разработчиков ПО для Windows. Теперь уже сложно спорить с тем, что, например, блокировка писем на входе (без скачивания), простое администририрование и настройка, низкий процент ошибки, скорость работы должны обязательно присутствовать в хорошем почтовом клиенте или почтовом сервере.

Кстати, Exchange server 2003 был создан с учетом новой политки корпорации Trustworthy Computing ("Надежный компьютинг"), что позволяет надеяться на то, что защита осуществлена действительно на высоком уровне. Настройки фильтра многообразны, позволяют блокировать корреспонденцию по диапазонам IP-адресов, доменов, создавать правила на уровне соединения, ограничивать получение корреспонденции для внутренней рассылки, соединяться с мировыми независимыми списками запрещенных адресов в реальном времени и многое другое.

Не отстает и новая версия почтового клиента Outlook 2003. Был разработан так называемый Smart Spam Filter, который обладает простым интерфейсом и позволяет даже неискушенному пользователю оградить себя от ненужных писем. Впрочем, блокировкой всё же лучше не увлекаться, так как даже "умные" программы часто ошибаются. А поиск нужного письма в папке, куда помещается спам, может свести на нет все плюсы затеи. Тем более, если включено удаление писем по содержанию или по вложению.

Стоит отметить интересную возможность фильтра - хранение личного "черного списка" адресатов на сервере. К сожалению, данная настройка возможна, только если сервером служит MS Exchange server. Также смущает время обработки информации этими фильтрами. Сложно представить, чтобы на модемном соединении клиент моментально подключился к серверу, сверил все входящие письма на предмет соответствия многочисленным правилам и начал загрузку разрешенных. Хотя представители Microsoft уверяют, что работа фильтра практически не заметна, за тем исключением, что в ящик попадает только востребованная корреспонденция.

Приобретение средства защиты информации и его внедрение в эксплуатацию часто разделяет существенный промежуток времени. Он тратится на поиск и покупку необходимого оборудования, установку и настройку операционных систем или самих средств защиты и т.п. Отныне обо всех этих проблемах можно забыть.

Компания "Информзащита" готова предложить любые решения в полностью предустановленном и готовом к применению виде, что позволит включить их в вашу информационную систему уже через 15 минут после того, как они будут извлечены из упаковки. Это стало возможным благодаря использованию специализированной аппаратной платформы IP-guardia, разработанной по заказу "Информзащиты" на базе специализированного шлюза безопасности G-478 корпорации Iwill (www.iwill.net).

Платформа IP-guardia успешно прошла тестирование на совместимость со всеми решениями компании, что позволяет создавать на ее базе:

 компоненты аппаратно-программного комплекса шифрования (АПКШ) "Континент";

 средства управления системой защиты Seсret Net;

 системы контроля содержимого семейства MIMEsweeper компании Clearswift;

 межсетевые экраны Check Point;

 компоненты систем обнаружения атак от компании ISS;

 вспомогательные сервера баз данных и пр.

Устройства, выполненные на базе аппаратной платформы IP-guardia, полностью взаимозаменяемы. Эта взаимозаменяемость:

 упрощает построение кластерных решений;

 облегчает резервирование устройств;

 обеспечивает быстрое восстановление работоспособности оборудования в случае его выхода из строя.

Корпус высотой 1U позволяет эффективно использовать пространство в местах установки устройства. Небольшая глубина корпуса дает оборудованию возможность хорошо охлаждаться, даже при монтаже в заполненную стойку. Наличие передней "кросс-панели" упрощает процедуру подключения соединительных кабелей.

Платформа IP-guardia поддерживает работу с процессорами семейства Intel Pentium 4 с частотами от 1,5 до 2,53 ГГц, поэтому на ее основе можно строить решения, к которым предъявляются повышенные требования по производительности.

Платформа IP-guardia позволяет использовать в качестве накопителя информации

- жесткий диск с интерфейсом IDE, что дает возможность использовать широкий спектр высокопроизводительных устройств хранения, способных обеспечить потребности любых современных приложений;

- ComactFlash drive Type II, что повышает устойчивость устройства к транспортировке за счет отсутствия в нем подвижных механических частей.

На платформу IP-guardia выдан сертификат соответствия (POCC RU.ME61.B01794) системы сертификации ГОСТ Р Госстандарта России. Кроме того, Государственная санитарно-эпидемиологическая служба Российской федерации подтвердила соответствие платформы IP-guardia санитарно-эпидемиологическим правилам и нормативам (заключение № 77.01.09.401.п.22226.09.3 и заключение № 77.01.09.401.п.22227.09.3 от 26.09.03).

Получить подробную информацию о IP-guardia можно на сайте компании "Информзащита" (www.infosec.ru), а так же на проходящей в Москве с 3 по 6 декабря 2003 года 6-й Международной выставке ведомственных и корпоративных информационных систем, сетей и средств связи (ВКСС-2003) (www.vkss.ru).

Правительство Нигерии учредило специальное агентство, которое займется спаммерами, рассылающими свои «письма счастья» по всему миру.

Как сообщает BBC, мошеннические операции, производимые «нигерийскими вдовами» посредством электронной почты, занимают третье место среди пяти важнейших статей торгового баланса Нигерии, принося африканскому государству (а точнее – самим мошенникам) до пяти миллиардов (!) долларов в год. Самым большим достижением мошенников стала относительно недавняя «разводка» одного бразильского банка, который потерял на этой операции 180 миллионов долларов и в итоге обанкротился.

Понимая, что столь активная деятельность местных проходимцев не самым лучшим образом сказывается на международном имидже страны, последние полгода правительство прилагает максимум усилий, чтобы свести к минимуму мошенническую активность. С мая этого года по обвинению в мошенничестве были арестованы около двухсот граждан Нигерии, включая и одного высокопоставленного чиновника. Однако этого президенту Олусегуну Обасантио (Olusegun Obasantjo) показалось мало и вначале текущей недели он учредил специальное агентство, которое должно детально изучить мошеннические схемы и предложить правительству список рекомендаций для эффективной борьбы с преступниками. У агентства, которое возглавил президентский советник по безопасности, есть два месяца, чтобы разобраться в ситуации и составить соответствующий план мероприятий

Германская компания Cryptophone, подразделение компании GSMK, представила смартфон, в котором реализованы дополнительные возможности защиты передаваемой информации. Эффект достигнут благодаря использованию непосредственно в устройстве специальных программ кодирования. Раскодировать переданное сообщение сможет лишь владелец аналогичного телефона с такой же встроенной программой или же с помощью компьютера, где использована та же программа.

Разработку подобного телефона компания объясняет тем, что сейчас появилось много устройств, которые могут подслушивать переговоры по мобильной связи, причем эти устройства стоят сравнительно недорого и распространяются бесконтрольно. Компания будет продавать телефоны с названием CryptoPhone по цене €3499 за два телефона. За основу взят смартфон производства тайваньской компании High Tech Computer.

Разработчики не стремились сделать свое изделие своеобразным "черным ящиком", напротив, они полностью открыли технические схемы аппарата и даже исходный код программ кодирования. В устройстве использованы наиболее мощные на сегодня алгоритмы кодирования АES и Twofish.

Телефоны по столь высокой цене, скорее всего, найдут применение лишь среди наиболее озабоченных конфиденциальностью бизнесменов. Однако широкую общественность беспокоит другое - ведь и террористы теперь смогут ускользнуть из-под контроля спецслужб. В Голландии, например, где прослушивается ежедневно около 12 тыс. номеров, использование подобных телефонов сведет на нет все усилия по борьбе с террористами.

Ховард М., Лебланк Д. Защищенный код/Пер. с англ. -- М.: ИТД "Русская Редакция", 2003. -- 704 с.

Одна из ключевых проблем современных информационных систем -- безопасность. Причины тому очевидны: растет сложность систем одновременно с повышением их критичности для обеспечения основной деятельности человека.

До недавнего времени вопросы защиты в вычислительных системах трактовались достаточно узко, применительно лишь к данным, упрощенно говоря -- к файловой системе, СУБД и т. д.

Однако последние десять лет мы видим, что акценты сместились в область программных приложений, чему во многом способствовали переход к распределенным системам и широкое применение Интернета.

При этом тут можно выделить нанесение ущерба, с одной стороны, путем несанкционированного доступа к данным через приложение, а с другой -- изменение функциональности самой программы.

Здесь нужно отметить спорность определения "защищенное ПО", сформулированного в руководящих документах Microsoft как "программа, которая обеспечивает конфиденциальность, целостность и доступность информации клиента".

Для полноты надо было бы сказать и о защищенности функционала приложения. Более того, безопасность системы всегда имеет внешнюю и внутреннюю стороны. Когда мы говорим о защите, то, как правило, подразумеваем предотвращение вредоносных воздействий извне.

Но ведь опасность для клиента представляют и внутренние огрехи программного кода, в результате которых нарушение работоспособности приложения может произойти без каких-то внешних атак.

При этом очевидно, что четко разделить подобные проблемы на внешние и внутренние очень сложно, а потому вопросы защищенности и надежности желательно рассматривать в комплексе.

Из всего букета проблем безопасности в рецензируемой книге разбираются именно вопросы разработки защищенного от внешних угроз ПО на всех этапах его создания -- от проектирования до тестирования для выявления брешей в готовой программе и составления документации. Книга состоит из 24 глав и пяти приложений, объединенных в пять разделов.

В четырех главах первого раздела обсуждаются общие вопросы безопасности приложений. Сначала объясняется необходимость защиты системы и обосновывается тезис о том, что этот вопрос должен выделяться отдельным пунктом в списке задач, решаемых в ходе разработки.

Далее описываются активные подходы к безопасности на различных этапах создания приложений, говорится о ключевых принципах реализации систем и возможных вариантах моделирования опасностей.

В десяти главах второй части книги речь идет об основных методах безопасного кодирования, проблемах, связанных с переполнением буфера, о выборе механизма управления доступом, принципе минимальных привилегий, о вопросах криптографии, защиты секретных и контроля входных данных, недостатках канонического представления имен, взаимодействии с базами данных, проблемах ввода информации в Web-среде, а также о поддержке различных национальных языков.

Следующие четыре главы посвящены дополнительным методам создания защищенного кода, связанным с обеспечением безопасности сокетов, защитой автономных компонентов (RPC, элементы управления ActiveX, объекты COM/ DCOM), противодействием атакам типа "отказ в обслуживании". Отдельно обсуждаются вопросы безопасного кода в архитектуре .NET.

Четвертая часть "Особые вопросы" состоит из шести глав. Тут рассматриваются темы, затрагиваемые не очень часто: тестирование, анализ исходного кода на предмет безопасности, конфиденциальности и безопасной установки ПО, а также подготовка документации с учетом обеспечения безопасности.

Здесь же в отдельной главе собраны общие рекомендации, которым не нашлось места в других разделах книги ("Влезьте в шкуру пользователя!", "Никаких внутрикорпоративных имен в приложении!", "Не включайте ничего лишнего!" и т. д.).

В пятой части собраны приложения. Наверное, чтение книги лучше всего начать с приложения Б, где приводятся "смехотворные оправдания" тех разработчиков, кто не желает заниматься проблемой защиты программ: "Нас никогда никто не атаковал.

Мы в безопасности, так как применяем криптографию, списки ACL, брандмауэр. Но мы же выбьемся из графика! Эх, были бы у нас инструментальные средства получше!" и т. д.

Еще одно приложение содержит описание наиболее опасных API-функций, три других -- контрольные списки по безопасности для архитекторов, программистов и тестировщиков (описание тем и номера глав, где они рассматриваются). Завершает книгу представительный библиографический список с аннотациями.

Хотя в качестве примера авторы используют в основном технологии Microsoft, но методические подходы, описанные ими, носят вполне универсальный характер.

Поэтому рекомендацию Билла Гейтса: "Мы считаем, что каждый сотрудник Microsoft должен прочесть эту книгу" -- вполне можно распространить на более широкий круг разработчиков, использующих самые разнообразные инструменты и платформы.

Более того, она будет полезна всем специалистам, вовлеченным в процесс создания ПО: менеджерам, архитекторам, программистам, тестировщикам и техническим писателям, причем как опытным, там и новичкам.

В этой связи нужно привести важную мысль авторов: "Давно уже прошли те дни, когда защита была искусством избранных, теперь это удел каждого, кто на своем месте отвечает за создание безопасного ПО".

Майклу Ховарду и Дэвиду Лебланку удалось изложить сложные технические проблемы хорошим, живым языком в стиле доверительной беседы с читателем, с использованием простых, но выразительных примеров, в том числе и аналогий из повседневной жизни. Эта книга из тех, читать которые не просто полезно, но и интересно.

В заключение хотелось бы отметить оперативность "Русской Редакции": в конце октября на конференции Microsoft PDC’2003 английское оригинальное издание как новинка книжного рынка было выдано каждому участнику мероприятия, и почти в это же время его перевод появился в Москве.

Норвежский разработчик ПО Opera выпустил новую версию своего браузера, в которой исправлены уязвимости, позволявшие злоумышленнику получать удаленный доступ к компьютеру-жертве. Кроме того усовершенствована реализация протокола OpenSSL.

Версии браузера с 7 по 7.22 для ОС Windows и Linux содержат эти изъяны в безопасности, связанные с реализацией возможности изменения внешнего вида приложения.

Об ошибках в браузере сообщил 12 ноября финский программист Юко Пиннонен (Jouko Pynnonen).

Потери России от незаконного использования интеллектуальной собственности составляют более $1 млрд. в год, сообщил генеральный директор Российского агентства по патентам и товарным знакам (Роспатент) Александр Корчагин. По его словам, большая часть этих потерь приходится на убытки, которые несет российский бизнес от массового пиратства. Кроме того, он что российские научные разработки "уходят за границу". "Изобретениями России пользуется полмира. Я знаю иностранные компании, которые специально выходят на наши НИИ и пользуются их изобретениями. Не стану называть эти компании, но они постоянно присутствуют в России", – добавил он.

Роспатент и власти Свердловской области сегодня подписали соглашение о создании единого информационного пространства в сфере патентной, научной и инновационной деятельности.

Источник: сообщение пресс-центра ФЦП "Электронная Россия".

Биометрические технологии -- один из наиболее динамично развивающихся секторов ИТ-рынка. Становление биометрии идет рука об руку со стандартизацией ее основных функций, форматов и процессов.

Стандартизация повышает функциональность технологии, упрощает ее внедрение и интеграцию, сокращает время разработки систем на ее основе. Биометрия исторически является технологией, характеризуемой избыточной сложностью разработки и широким спектром как методов биометрического распознавания, так и областей их применения.

Разработка и введение стандартов для всех уровней жизненного цикла биометрии, от формирования шаблона биометрической характеристики до правил использования биометрических систем в определенной области, заслуживают пристального внимания.

Им и посвящена эта статья.

Pop-up реклама (основанная на автоматическом открытии нового окна браузера) процветает годами, несмотря на бесчисленные попытки ее искоренения, но теперь интернет-рекламщики всерьез обеспокоены тем, что самому ненавистному формату рекламы в вебе нашелся достойный противник — Microsoft.

Недавно софтверный гигант дал понять, что в будущем году в рамках обновления Windows ХР он введет в Internet Explorer (IE) средства блокирования pop-up рекламы. Аналогичные инструменты предлагают и другие, но ввиду бесспорного доминирования IE на рынке браузеров на этот раз pop-up пузырь действительно может, наконец, лопнуть, полагают руководители рекламных отделов и эксперты. «Если Microsoft это сделает, мы увидим радикальное сокращение использования pop-up рекламы», — говорит известный специалист по защите информации Ричард Смит.

Боясь потерять один из наиболее эффективных маркетинговых инструментов, некоторые издатели и рекламодатели ищут способы обойти блокировки pop-up и продолжить доставку своей рекламы. Однако вместо того, чтобы идти против течения, многие присоединяются к нему, отказываясь от своих любимых форматов рекламы.

Pop-up технология вошла в моду во время интернет-краха, когда онлайновая реклама не могла прокормить веб-издателей. Им ничего не стоило демонстрировать сколько угодно pop-up окон, так как они не занимали место на веб-странице. Этот формат служил и экономическим стимулом для наращивания объемов рекламы, так как оплата зависела от того, как часто веб-серферы откликались на объявления — это называлось customer conversions. Чем больше conversions, тем больше долларов.

В результате рекламодатели склонялись к pop-up как средству экономичному и эффективному — оно как никакое другое привлекало внимание веб-серферов. Согласно недавнему отчету Advertising.com, pop-up в 13 раз эффективнее баннеров, протянутых поперек страницы.

Продажи росли. С августа по октябрь издатели разместили около 19,6 млрд объявлений pop-up и pop-under (когда дополнительные рекламные окна браузера открываются позади прочих окон и поначалу незаметны для пользователя) из общего количества в 266,4 млрд онлайновых объявлений, предложенных пользователям за тот же период (данные Nielsen/NetRatings).

Наконец этой рекламы стало так много, что пользователи закричали «караул». Согласно опросам, реклама мешает большинству посетителей интернета.

В последние годы из-за многочисленных жалоб заказчиков форматы pop-up или pop-under стали мишенью для многих интернет-сервис-провайдеров (ISP) и производителей браузеров.

Pop go the pop-ups
Два года назад EarthLink положила начало движению ISP, объявивших свой сервис «зоной, свободной от мусора», помогая заказчикам блокировать спам, pop-up рекламу и вирусы. За EarthLink последовала America Online, пообещавшая не продавать рекламу на сторону и существенно ограничить собственную. Недавно Google и Yahoo ввели в свои панели инструментов анти-pop-up функции, а Yahoo встроит аналогичные средства в совместный с SBC Communications пакет услуг высокоскоростного доступа к интернету.

Многие пользователи для защиты от ненавистной рекламы применяют Google Toolbar. Компания говорит о «миллионах» людей, загрузивших ее панель инструментов с блокировкой pop-up. Google и другие операторы поисковых машин, такие как Yahoo, стараются предоставить людям возможность заблокировать pop-up рекламу, так как это способствует смещению потока рекламных долларов в сторону контекстной рекламы. К тому же, размещая в браузерах пользователей свои панели инструментов, они направляют трафик на собственный сайт.

Когда Microsoft введет блокировку pop-up в IE, все эти тенденции заметно усилятся. Доля пользователей последней версии браузера Microsoft, IE 6.0, составляет 66,3% (данные OneStat). Microsoft планирует также включить pop-up защиту в службы доступа к интернету MSN Premium и Plus, которые должны заработать этой зимой. Тем не менее компания продолжает продавать pop-up рекламу в своей сети MSN.

По оценкам старшего аналитика Jupiter Research Марка Райана, целых 20% веб-серферов установили защиту от pop-up, а к концу года их число увеличится до 25%. «Если рядовой потребитель получит возможность заблокировать рекламу прямо в IE, это число заметно возрастет», — говорит он.

Несмотря на усилия ISP, производителей ПО и издателей, рекламодатели продолжают покупать pop-up. С апреля по июнь на долю объявлений типа pop-up и pop-under пришлось 3% всей онлайновой рекламы. А в ближайшие три месяца, согласно прогнозу Nielsen/NetRatings, она увеличится до 7,4%.

Отчасти этот рост вызван усердием нескольких рекламодателей, таких как Orbitz. В третьем квартале этого года на долю его объявлений pop-under пришлось 14% всей рекламы — против 4% за тот же период прошлого года. Orbitz, крупнейший рекламодатель pop-under в интернете, отказался дать свои комментарии к статье, так как «его не волнуют будущие изменения в IE». Но он постоянно оценивает свой рекламный портфель и находит рекламу pop-under эффективной.

Блокировка блокировщиков
Технически издатели инициируют pop-up окна, включая в свои веб-страницы команду, которая запускается при обращении посетителя к этой странице. Команда открывает в его браузере дополнительное окно и обычно переадресует его на сервер рекламных объявлений, откуда скачивается изображение. Блокировщики pop-up обнаруживают такую команду и блокируют эти окна. Так как в детали они не вдаются, иногда блокируются и полезные окна. Поэтому некоторые анти-pop-up инструменты позволяют создавать «белые списки» веб-сайтов, которым открывать окна позволено.

Блокировщики на основе браузера не всегда эффективно защищают от рекламы pop-up, доставляемой посредством adware-программ, которые могут загружаться вместе с бесплатным ПО, таким как системы обмена файлами, через интернет. Те, кто установил у себя adware-программы от Claria (бывшая Gator), WhenU.com и других компаний, будут, скорее всего, по-прежнему получать рекламу pop-up или pop-under и после введения в браузер технологии блокировки, так как эти программы находятся в их ПК и обычно работают независимо от браузера.

На последнем совещании Interactive Advertising Bureau несколько веб-издателей обсуждали способы скрыть свой контент от посетителей, использующих блокировщики, рассказывает Райан из Jupiter. Сайты, устанавливающие на машины посетителей средства слежения — так называемые cookies — могут определять, применяется ли блокировщик. Если да, то этому посетителю можно запретить просмотр контента.

Некоторые издатели придумали также способ включения в код страницы команды на JavaScript или Dynamic HTML, которая задерживает открытие рекламного окна или маскирует его под окно браузера Microsoft.

Однако специалисты по онлайновой рекламе считают, что сложные обходные решения вряд ли получат широкое распространение, особенно среди массового рекламодателя, который покупает львиную долю онлайновых объявлений. «Это некрасиво и нелегко, к тому же такие средства скорее других приведут к «битым» картинкам на странице, — говорит Крис Саридакис, соучредитель технологического подразделения DoubleClick и директор онлайновой рекламной компании PointRoll. — Не многие продвинутые рекламодатели станут с этим возиться».

План «В»
Похоже, что поставщики технологии веб-рекламы готовятся к худшему. Представители DoubleClick, крупнейшей службы pop-up объявлений, говорят, что если в IE действительно будет блокироваться формат pop-up, она перейдет на баннеры и rich-media рекламу. «У DoubleClick есть план бесперебойного перехода на стандартные и rich-media объявления, если этого потребуют наши клиенты».

По словам Саридакиса, тех, кто занимается прямым маркетингом, например, казино, массовая блокировка pop-up разорит, так как они ориентируются на небольшое число людей, которые отзываются на их рекламу. По его оценкам, срабатывают примерно 60 из каждой 1000 объявлений типа pop-up или pop-under.

Крупные рекламодатели пострадают меньше: они уже сейчас уходят от этого формата, полагает Саридакис. Рекламные агентства и компании Fortune 500 считают его «дьявольским» из-за ненависти к нему потребителей. Несмотря на втрое лучшую, чем у баннеров, результативность, для больших брендов или издателей игра часто не стоит свеч.

Гар Ричлин, директор одного из крупнейших поставщиков pop-up рекламы Advertising.com, сетует на неминуемую потерю формата: «Его не станет, а мы пока не знаем, чем этот формат заменить. Он привлекает внимание, а в этом и заключается смысл рекламы».

Ричлин считает, что издатели смирятся с изгнанием pop-up. «У населения, несомненно, предельно натянутые отношения с этим форматом. Никто не рискнет встать на пути этого поезда».

Производителям ПО блокировки тоже придется менять свои бизнес-модели, если люди привыкнут блокировать pop-up рекламу в IE. InterMute, производитель бесплатной и платной версий антирекламной программы AdSubtract, уже планирует введение в нее новых средств подавления онлайновой рекламы. Они позволят блокировать другую набирающую популярность ее форму — коммерческие листинги, включаемые в результаты поиска. Функция, называемая Search Sanity, войдет в AdSubtract 3.0, загружаемую программу за 30 долл., которую планируется выпустить в декабре.

«Интересно наблюдать, как крупные медиасайты медленно и неохотно перебираются в лагерь блокирования pop-up. Значит, пришло время, — говорит генеральный директор InterMute Эд Инглиш. — Пользователи по горло сыты этой и другой навязчивой рекламой».

Программная прослойка между операционной системой и аппаратурой ПК десятилетиями остается почти неизменной. Теперь Phoenix Technologies решила повысить ее безопасность, удобство работы и защиту от копирования.

Phoenix, один из крупнейших производителей BIOS (basic input/output system), выпустила первый из семейства продуктов нового поколения, которые, как она обещает, будут стимулировать развитие «коммунальных вычислений» и воспрепятствуют несанкционированному использованию защищенной интеллектуальной собственности.

Анонсированная на этой неделе система Core Managed Environment (CME) TrustedCore NB для ноутбуков и планшетных ПК — первый продукт Phoenix категории Core System Software (CSS), расширяющий возможности скромной BIOS. Он позволит предприятиям обезопасить свои мобильные компьютеры от кражи паролей, несанкционированного доступа к сети и потери данных. Последующие версии будут нацелены на обычные и blade-серверы, настольные ПК и встроенные системы, такие как устройства потребительской электроники. В BIOS планируется также ввести средства управления цифровыми правами (digital rights management, DRM) и теснее интегрировать ее с Windows.

BIOS — ПО, которое связывает операционную систему с аппаратурой ПК, — решает простейшие задачи, такие как конфигурирование аппаратуры и системы. BIOS доведена до той степени простоты и стандартизации, которая позволяет устанавливать альтернативные операционные системы вроде Linux.

Phoenix CSS представляет собой BIOS следующего поколения — с усиленной интеграцией с операционной системой и аппаратурой, что облегчает системным администраторам, например, дистанционное управление конфигурацией оборудования своих систем. Она построена на архитектуре Phoenix Device-Networked Architecture (D-NA) и следует тенденции, направленной на введение в продукты Microsoft, Intel и других китов информационных технологий поддержки на более низком уровне «надежных вычислений» (trustworthy computing).

Эти планы критиковали за ограничение возможностей ПК, укрепление монополии операционной системы Microsoft и даже — в случаях введения DRM — распространение влияния владельцев авторских прав на те сферы, которые традиционно оставались под контролем потребителей.

Шифрование через BIOS
Криптографический механизм TrustedCore NB может использоваться для аутентификации цифровых подписей и защиты базового системного ПО. BIOS позволяет производителям создавать защищенную область для надежного исполнения встроенных приложений, невосприимчивых к атакам со стороны вредоносных программ.

Функция, называемая Cryptographic Service Provider, предотвращает несанкционированный доступ к корпоративным данным из краденого ноутбука, запрещая дублирование цифровых сертификатов клиентов и приложений для Windows.

«Phoenix своим Core System Software вносит радикальные изменения в BIOS, которые лягут в основу сетевых вычислений на ближайшие два десятилетия, — говорится в заявлении генерального директора Phoenix Альберта Е. Систо. — Сегодня почти все цифровые устройства подключены к сети — для ведения международной торговли или простого доступа к email. Это требует развитого фундамента для воплощения эластичной и гибкой архитектуры, специально ориентированной на век сетевых вычислений».

В конечном счете Phoenix хочет создать мир ПК и устройств, способных взаимодействовать на уровне ниже операционной системы — это важно для распределенных сетей, кластеров, blade-серверов и технологии «вычислений по требованию», которую продвигают IBM, Hewlett-Packard, Sun Microsystems и др. Производители смогут защитить критически важные приложения, такие как средства восстановления системы и антивирусной защиты, и встраивать на самом нижнем уровне в устройства и сервисы средства самоуправления и самоаутентификации.

Phoenix утверждает также, что производители смогут предотвратить вмешательство пользователей в те части системы, которые применяются для защиты от копирования. Недавно Phoenix сообщила, что она предлагает крупным производителям ПК BIOS со встроенной технологией DRM.

В сентябре Phoenix объявила о том, что разработала прототип своей CME, включающий DRM от Orbid. Эта система позволяет издателям определять, каким ПК и устройствам разрешается воспроизводить те или иные файлы, и таким образом эффективнее контролировать распространение контента, обмен файлами и перенос ПО с одной машины на другую. В TrustedCore NB система Orbid DRM не включена.

CME позволит производителям ПК вводить средства управления цифровыми правами непосредственно в аппаратуру, при том, что у них остается возможность разрешить пользователям включать или отключать эти средства. Данной технологией особенно интересуются производители потребительских устройств.

На проходившей на этой неделе конференции Phoenix Strategy 2004 компания подчеркнула, что архитектура D-NA четко согласована с планами Microsoft в сфере надежных вычислений. Phoenix утверждает, что в D-NA войдут компоненты, связанные с Windows и приложениями .Net через Microsoft CryptoAPI.

Phoenix предлагает TrustedCore NB BIOS разработчикам и производителям портативных ПК и рассчитывает, что ее заказчиком станет IBM. Технологию поддержали Fujitsu и Samsung. Выпуск TrustedCore для настольных ПК Phoenix планирует начать в марте 2004 года.

Phoenix утверждает, что за последние 25 лет микросхемы с ее BIOS применялись более чем в 1 млрд ПК и других цифровых устройств.

Программа: CommerceSQL Shopping Cart Опасность: Средняя Наличие эксплоита: Да Описание: Уязвимость обнаружена в CommerceSQL shopping cart. Удаленный пользователь может просматривать файлы на системе с привилегиями Web сервера. Сценарий 'index.cgi' не проверяет правильность данных, представленных пользователем в переменной 'page'. Удаленный пользователь может представить специально сформированный HTTP запрос, чтобы просматривать произвольные файлы на системе с привилегиями Web сервера. Пример/Эксплоит: index.cgi?page=././././././././etc/passwd URL производителя: http://commercesql.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Remote File Read Vulnerability

Программа: Pan Newsreader 0.13.3.93 Опасность: средняя Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Pan newsreader. Удаленный пользователь может аварийно завершить работу клиента. Удаленный пользователь может послать сообщение, содержащее некоторые заголовки, чтобы аварийно завершить работу Pan reader при загрузки сообщения. URL производителя:http://pan.rebelbase.com Решение: Установите обновленную версию программы (0.13.4): http://pan.rebelbase.com/download/

Другие публикации: RHSA-2003:311-01 : RedHat обновил Pan packages

Программа: Microsoft Internet Explorer 6 SP1 Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость обнаружена в Microsoft Internet Explorer (IE) в обработке в ContentType заголовка. Удаленный пользователь может определить местоположение кэширующей директории. Удаленный пользователь, выступающий в качестве Web сервера, может возвратить специально обработанный HTTP ответ, чтобы заставить подключенный IE браузер открыть файл к cache директории с ограничениями безопасности Internet zone. Пример/Эксплоит: http://www.safecenter.net/UMBRELLAWEBV4/threadid10008/threadid10008-Demo.zip URL производителя:http://www.microsoft.com Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

Invalid ContentType may disclose cache directory

Программа: Sun Fire B1600 Blade System Chassis Опасность: Низкая Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Sun Fire B1600 Blade System Chassis. Злонамеренный пользователь может вызвать отказ в обслуживании. Sun Fire B1600 Blade System Chassis временно закрывает все порты, когда устройство получает ARP пакет на Network Management Port. URL производителя: http://sunsolve.sun.com/ Решение:Установите заплату114783-03: http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=114783&rev=03

Incoming ARP Packets on the Sun Fire B1600 Management Port May Contribute to Performance Degradation On the Network

Акцию поддержали крупнейшие российские системные интеграторы

«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о начале совместной маркетинговой акции с компанией Intel — «Надежность и скорость — гарантия качества». В рамках данного мероприятия корпоративные заказчики стран СНГ и Балтии получат возможность приобретения готового программно-аппаратного решения (серверов на базе процессора Intel® Xeon™ и/или рабочих станций на базе процессора Intel® Pentium® 4 с установленным антивирусным решением «Лаборатории Касперского») на более выгодных условиях, чем при покупке отдельных компонентов.

По условиям акции партнеры «Лаборатории Касперского» осуществляют сборку, инсталляцию программного обеспечения и продажу корпоративным заказчикам конечных решений, включающих в себя сервер и/или рабочую станцию с уже интегрированной системой антивирусной безопасности. При этом все поставляемые программно-аппаратные комплексы проходят процедуру предварительного тестирования на совместимость. Это позволяет клиенту сократить затраты на поиск и установку необходимых средств антивирусной защиты, а также обеспечивает максимальную надежность и безотказность функционирования системы в целом. Высокое качество компьютерной техники обеспечивают ведущие российские производители — участники программы «Надежность и скорость — гарантия качества»: «Аквариус», УСП «Компьюлинк», КРОК, «Ниеншанц» и K-Systems.

Со стороны «Лаборатории Касперского» информационная безопасность заказчиков будет обеспечиваться продуктом, специально разработанным для полномасштабной организации системы безопасности корпоративных сетей — Kaspersky® Corporate Suite. Главное преимущество данного пакета — создание независимой от платформенного обеспечения, централизованно управляемой структуры защиты от вирусов и хакерских атак для корпоративных сетей любой топологической сложности. Все компоненты, входящие в состав Kaspersky® Corporate Suite, интегрированы в единый инструмент установки и администрирования. Это обеспечивает создание максимально автоматизированной системы защиты, оптимизирующей затраты рабочего времени персонала и полностью совместимой с характеристиками сети заказчика.

«Любой современной компании необходимо надежное, отказоустойчивое IT-решение для снижения риска финансовых потерь от внешних угроз и эффективного достижения бизнес-задач. Новое поколение процессоров Intel® Pentium® 4 и Intel® Xeon™ отвечает всем критериям, необходимым для высокопроизводительной работы серверов и персональных компьютеров, а системы безопасности «Лаборатории Касперского» позволят полностью исключить возможность сбоев и отказов в результате проникновения вредоносного кода», — сказал Дмитрий Ильин, руководитель российской программы Intel по поддержке разработчиков ПО в странах СНГ.

«Одним из важнейших показателей эффективной работы антивирусного решения является степень нагрузки на вычислительные мощности компьютера. Продукты «Лаборатории Касперского» разработаны для оптимального функционирования в системах на базе процессоров компании Intel. В рамках акции «Надежность и скорость — гарантия качества» заказчики получат решения, способные обеспечить высокий уровень компьютерной безопасности при условии бесперебойной и высокопроизводительной работы системы», — подчеркнул Гарри Кондаков, директор российского офиса «Лаборатории Касперского».

* Intel, Pentium и Xeon являются товарными знаками или зарегистрированными товарными знаками корпорации Intel и ее подразделений в США и других странах.

Американский антиспамерский закон потребует еще одного обсуждения в Палате представителей, поскольку Сенат во вторник одобрил его с некоторыми незначительными техническими разночтениями. Формально, однако, закон одобрен, и поскольку он является компромиссной версией, выработанной Палатой представителей и Сенатом совместно, предполагается, что принят он будет в ближайшее время, а вступит в действие к 1 января 2004 года.

Законопроект по сути дела легализует рекламные электронные письма, коль скоро отправители предоставляют получателю возможность отписаться от рассылки. Законопроект содержит ряд ограничений на рассылку спама в беспроводной среде и декларирует необходимость создания национального списка "Не спамить", куда будут заносить свои адреса все пользователи, не желающие получать спам вообще. Кроме того, в законопроекте формулируются уголовные и гражданские меры ответственности спамеров за рассылку мошеннических писем. "Непрошенная коммерческая электронная почта" в законопроекте определяется как "электронное сообщение, основная цель которого - коммерческая реклама или продвижение коммерческого продукта или услуги". "Деловые" письма, а также письма от благотворительных и политических организаций, согласно законопроекту, спамом не являются.

Антиспамерские организации по большей части критикуют американский законопроект, утверждая, что вместо запрета спама он фактически легализовал непрошеные рекламные письма. В Европейском Союзе действует законодательство, обязывающее спамеров предварительно запрашивать у пользователя разрешения на рассылку спама. Законы по мотивам соответствующей директивы ЕС в настоящее время уже действует в Италии и 11 декабря вступит в действие в Великобритании. Антиспамерские организации справедливо отмечают, что при такой разнице между европейским и американским законодательством спамеры смогут пользоваться лазейками в американском законодательстве, чтобы спамить европейцев. Великобритания планирует решить эту проблему, разработав процедуру экстрадиции американских спамеров, нарушивших британское законодательство.
15

Руководители израильской секретной службы провозгласили лозунг: "Массад" открыт" - и предоставили кандидатам возможность направлять свои резюме через интернет. Увы, некий хакер не замедлил над ними посмеяться.

В эпоху интернета есть люди, которые пытаются реализовать в сети даже такие необычные профессиональные мечты, как желание стать секретным агентом. Рискуя при этом потерпеть фиаско при выполнении самого первого задания, как это произошло с 23-летним израильтянином, оказавшимся на скамье подсудимых в Иерусалиме за взлом сайта "Массад". Эту историю рассказала газета Jerusalem Post. Из-за понятного опасения, что его могут завербовать другие секретные службы, а также с тем, чтобы никто не пытался повторить его действия, фамилия главного действующего лица не называется.

На протяжении года израильская разведка в рамках кампании "Массад" открыт" предлагала желающим стать агентами 007 направлять свои резюме через интернет-сайт. Вероятно, молодому человеку эта процедура показалась слишком банальной. Почему бы сразу не продемонстрировать свои незаурядные способности в компьютерной сфере? К сожалению, "Массад" не оценил идеи поэкспериментировать с веб-ресурсом разведки, принимая во внимание то, что юноша мог узнать содержание других направляемых в спецслужбу резюме.

Сайт легендарной спецслужбы подвергается сотне атак в день, но чаще всего речь идет о зарубежных хакерах. Молодого человека, представшего перед судом Иерусалима, действия которого расценили как изощренные, обвинили не только в незаконном, но и антипатриотичном поведении.

Линия защиты молодого израильтянина была предсказуема: начинающий 007 хотел лишь удостовериться в том, что персональные данные, которые он доверил "Массад", на самом деле защищены от любого несанкционированного доступа. Защита также делает акцент на том, что со стороны "Моссад" было бы целесообразно заняться эффективной защитой сайта вместо того, чтобы переносить рассмотрение этого дела в суд.

Мораль для "Массад": лучше не переусердствовать в желании сделать прозрачным мир, который по определению таковым быть не может. Вместо того чтобы возмущаться действиями хакера, следует считать происшедшее своевременным сигналом тревоги 16

Меня зовут Гуляев Георгий Михайлович. Я кандидат физ-мат наук, технический директор фирмы Мигусофт (Барнаул). Подробности обо мне можно найти на моем сайте: www.altailand.ru, а о фирме на www.migusoft.ru. Учитывая тематику Вашего сайта и, в частности, освещение на нем проблем безопасности сетей решил поведать Вам свою историю о том, как из моего сына сделали хакера. Надеюсь, что она окажется интересной для посетителей Вашего сайта. Так вышло волею судьбы, что начиная с апреля 2003 года я вынужден был в связи с обвинением в адрес моего несовершенного сына расследовать так называемое дело хакера, затем участвовать в качестве законного представителя сына на следствии и в суде. Дело это фактически искусственно созданное службой безопасности стороны обвинения совместно с органами милиции, абсурдное с точки зрения здравого смысла явилось как бы тестом для проверки нашей правоохранительной системы, а именно органов следствия и судебных органов. Определенную сложность представляло отсутствие необходимых знаний в области компьютерных технологий у следователя, прокурора, судьи. Я старался насколько это возможно способствовать их обучению, ибо правда нам была выгодна - мы основали свои показания на правде. Стороне же обвинения, построившей свои показания на лжи, невежество этих людей было наруку. Обвинение было основано на вещественных доказательствах: логах ftp сервера на машине под управлением FreeBSD 4.1 и на файле clients.dbf c с одним строковым полем длиной 50 символов, которые в суде весьма подробно исследовались. Кратко остановлюсь на основных фактах и событиях. В нашем славном городе Барнауле есть такая организация издательский дом Алтапресс - местный монополист в области печатных средств массовой информации. У них имеется выделенная линия до провайдера Алтайтелеком и сервер с FreeBSD, на котором размещен веб-сайт www.altapress.ru и ftp-сервер ftp.altapress.ru. Мой сын (в конце 2002 года, когда произошли события ему было 17 лет) не является каким-то специалистом в компьтерных технологиях, ему можно скорее дать характеристику как "продвинутый" пользователь. Подвело его в этой ситуации обыкновенное мальчишеское любопытство. Интересы его еще пока переменчивы и в тот момент времени он заинтересовался темой защиты и атаки компьютерных сетей, скачал разные программки для тестирования сетей и начал запускать их случайно выбирая сервера в интернет. Проверив что сервер надежно защищен, парень терял к нему интерес и смотрел следующий. Так он случайно вышел на сервер ftp.altapress.ru. В начале ноября 2002 года он протестировал программой Brutus ftp сервер Алтапресса. Естественно, никакого доступного входа эта программа не нашла. Однако в Алтапрессе появление множества новых строк в логе фтп сервера было замечено, они решили, что кто-то атакует их сервер и обратились в милицию. Через провайдера установили номер нашего телефона. Далее, как я понимаю, для того чтобы поймать человека, который пытался подобрать пароль к ftp серверу они поставили ловушку, то есть создали на ftp сервере пользователя admin с одним из паролей (wizard), которые перебирала программа Brutus. 10 декабря 2002 года мой сын вновь запустил на своем компьютере программу Brutus, которая теперь нашла вход с именем admin и паролем wizard. Войдя на сервер, сын не обнаружил ни одного файла в директории пользователя admin. 11 декабря 2002 года администратор сети Алтапрес со своего компьютера в локальной сети Алтапресс присоединившись к серверу под именем winadmin закачивает файл clients.dbf в директорию пользователя admin. Через 1 минуту 4 секунды после этого, присоединившись к ftp серверу с именем admin, администратор проверяет этот файл на доступность пользователю admin, а именно: скачивает его на свой компьютер и затем удаляет. В логе зафиксировано, что через 15 секунд после удаления администратор еще раз успешно скопировал файл clients.dbf на свой компьютер. На суде он утверждал, что с помощью telnet за эти 15 секунд восстановил файл из другой директории после его удаления. 12 декабря 2002 года сын опять входит на ftp сервер Алтапресса, видит там файл clients.dbf и скачивает его на свой компьютер. По утверждению сына он еще несколько раз входил на сервер, но ничего больше там не делал и файла clients.dbf не удалял. В логе же имеются две строки идущие подряд: копирование файла clients.dbf и его удаление. Откуда взялась строка с удалением файла осталось неясным, я, исходя из логики событий, предполагаю, что они сами ее вписали, суд же для облегчения приговора решил, что удаление было совершено случайно. Дальше все как положено: заводится уголовное дело, материальный ущерб от утраты файла clients.dbf оценивают в 270600 рублей, в результате обыска изымается компьютер, проводится нужная обвинению экспертиза и т.п. Принадлежащие Алтапресс газеты "Свободный Курс" и "Молодежь Алтая" печатают заметки о событии с броскими заголовками "Задержан хакер" и "Хакеру-бой!". На форуме интернет-сайта Алтапресса заводится специальная тема для обсуждения этого события. После публикации агентством "Банкфакс" статьи с названием "ФИГУРА ХАКЕРА, ВЗЛОМАВШЕГО КРУПНЕЙШИЙ НА АЛТАЕ ИЗДАТЕЛЬСКИЙ ДОМ "АЛТАПРЕСС", ОКУТЫВАЕТСЯ НЕПРОНИЦАЕМОЙ ТАЙНОЙ", на форуме Алтапресса разгорается острая дискуссия. В этой дискуссии веб-мастер Алтапресса Бушаев фактически признает, что это была ловушка, цитата1: "никто и не отрицает, что это публичная порка", цитата2: "понты... понты... вот будет суд там тебе все расскажут... ты сам не понимаешь о чем просишь... кто тебе сейчас все расскажет... freeman дык его СБ сразу кастрирует... незря наверное потсака два месяца на живца ловили... теперь дать ему сняться с крючка". Найденный на компьютере сына файл clients.dbf имеет формат базы DBF с одним строковым полем ORG, длиной 50 символов. Он содержит 2294 строки, 30 из которых, не содержат ни одного символа. В строках одни наименования каких-то фирм или организаций. Это как бы телефонный справочник, у которого обрезали всю информацию, включая номера телефонов, оставив одни только названия. Дата файла 11.12.02 совпадает с датой последнего изменения записей в базе. В результате судебного разбирательства удалось добиться понимания и сочувствия и у прокурора и у судьи и более-менее исследовать вещественные доказательства. Прокурор, не желая брать грех на душу, несколько раз инициировала процесс примирения сторон, который заканчивался ничем, поскольку сторона обвинения хотела денег. Сумма, которую просил Алтапресс, во время переговоров все время снижалась и с 270600 дошла до 6000 рублей. Мы были согласны на примирение сторон без денежных выплат друг другу, однако Алтапресс это не устраивало. Судья и прокурор оказались всего лишь винтиками системы, поэтому в результате прокурор попросила 1 год условно, а судья дала, видимо, минимально возможный срок пол-года условно. То есть на нашем примере мы увидели, что никто не был заинтересован в объективном расследовании и выиграть суд без вранья, давая правдивые показания, практически невозможно. Противоположная сторона, пытаясь скрыть правду о событиях конца 2002 года, безбожно врала, попадалась на противоречиях, однако ей все сходило с рук. У меня есть все материалы этого дела, включая электронные копии вещественных доказательств, есть также некоторые документы, собственного расследования, которые суд отказался принять в дело из-за процессуальных норм. Кроме этого, я вел свои записи в зале суда и записал наиболее интересные показания большинства свидетелей и экспертов. Если тема "Как создают хакеров" может представлять интерес для Вас и посетителей Вашего сайта, то я готов сообщить подробности и предоставить необходимые материалы для последующей публикации Вами статьи. C уважением, Георгий Гуляев.

Ссылки: Экспертное заключение Речь законного представителя Гуляева Г.М.

Слушание по иску Microsoft к владельцам торговой марки Lindows.com решением суда присяжных было перенесено на 1 марта 2004 года.

В декабре 2001 года Microsoft предъявил иск Lindows.com, обвиняя компанию в неправомерном использовании торговой марки Windows и требуя отказа от дальнейшего использования спорного названия. Первоначально дата слушания по этому делу была назначена на апрель 2002 года, но позднее перенесена на декабрь, чтобы дать возможность Lindows подготовиться к защите. Теперь суд отодвигается на март из-за разногласий в установлении сроков слушания. К 25 февраля 2004 года обе стороны должны представить суду все документы по делу. P> Lindows.com распространяет операционную систему LindowsOS и пакет Lindows Office, которые являются конкурентами продукции Microsoft. Представители Lindows уверждают, что слово “windows” является родовым понятием, и потому использование его в названии торговой марки компании вполне правомерно. Два предыдущих иска Microsoft, требующие запретить торговую марку, не были поддержаны судом.