Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!

Для совместимых со стандартом 802.11 беспроводных локальных сетей появляются все новые стандарты. Некоторые, например 802.11a и 802.11g, отражают естественное развитие системы, иные, напротив, появились не от хорошей жизни. Труды рабочей группы Task Group i, сокращенно TGi, относятся ко второй категории, они должны составить стандарт 802.11i и заметно поднять уровень безопасности WLAN. Что же представляет собой этот стандарт?

В сегодняшнем выпуске рассылки предлагаем Вам статью Симона Хоффа и Ханса Петера Мона "Безопасность сетей WLAN не дается даром", посвященную проблемам безопасности беcпроводных сетей.

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Новости компании Инфотекс

• По результатам тестирования на защищенность, проведенного компанией Positive Technologies, корпоративная сеть компании Инфотекс удостоилась сертификата "XSpider. Проверено - дыр нет"

Введение
K сожалению, предусмотренные стандартом IEEE 802.11 криптографические средства оказались совершенно недостаточными. Система шифрования была довольно быстро взломана - проникновение в чужие сети WLAN с помощью доступных всем инструментов, видимо, превратилось в народную забаву. В ответ на это отчаявшиеся поставщики оборудования для WLAN были вынуждены оснащать свои системы собственными оригинальными средствами безопасности. Это заставило рабочую группу IEEE 802.11 снова заняться усовершенствованием стандарта. Так на свет появилась группа TGi, призванная поднять уровень безопасности сетей WLAN на должный уровень. Хотя стандарт 802.11i еще не принят, уже можно проследить, в каком направлении он будет развиваться.

Механизмы безопасности в 802.11
Описанный в 802.11 метод шифрования для обеспечения безопасности на уровне проводных сетей (Wired Equivalent Privacy, WEP) использует алгоритм RC4, симметричный способ шифрования, относящийся к так называемым методам поточного шифрования. При этом псевдогенератор случайных чисел задает начальное значение (Seed). Система создает для каждого байта сообщения новое случайное число, в результате применения к которым операции XOR возникает шифрованный байт. Декодирование происходит аналогично: для инициализации генератора случайных чисел получателем берется то же самое начальное значение. Для каждого принятого байта информации адресат создает новое число, проводит с зашифрованным байтом операцию XOR и получает расшифрованный текст. Секретный ключ служит для расчета общего начального значения, им должны располагать оба пользователя. Если генератор случайных чисел достаточно качественный в статистическом отношении, то операция XOR обеспечивает шумоподобный характер передаваемой информации, в результате взломщик не может с легкостью восстановить ее первоначальное содержание.

Интересная картина наблюдается, когда при последующей передаче то же самое начальное значение применяется еще раз. Операция XOR к двум текстам, зашифрованным RC4 с идентичным начальным значением, представляет собой не что иное, как операцию XOR к соответствующим начальным текстам. В результате сами тексты легко могут быть восстановлены. Поэтому главное правило работы с алгоритмом RC4 состоит в том, что нельзя несколько раз применять одну и ту же последовательность ключей. Таким образом, искусство использования этого алгоритма заключается в умелом выборе конструкции начального значения на основании секретного ключа.

В отношении шифрования WEP прослеживается следующий эффект: стандарт 802.11 предусматривает две длины ключей - 40 бит и 104 бит. Однако стандарт ничего не говорит о способе, которым эти ключи распределяются между точками доступа и клиентами и как общающиеся между собой партнеры договариваются об общем секретном ключе. Шифрование выполняется пакетами. Система шифрует полезную нагрузку MAC посредством RC4 вместе с полем CRC для проверки целостности (Integrity Check Value, ICV). Вектор инициализации (Initialization Vector, IV) длиной 24 бит обеспечивает использование для каждого пакета различных значений инициализации для RC4. Ключ и IV вместе образуют значение инициализации алгоритма RC4 для передаваемого пакета. Чтобы получатель знал, какое значение он должен задать для IV, вектор инициализации передается тоже открытым текстом в заголовке пакета MAC. Для следующего передаваемого пакета процесс повторяется с новым выбранным значением для IV. При достаточной загрузке точек доступа вектор инициализации повторяется через несколько часов. Для отправленного затем пакета снова применяется ранее использованная последовательность ключей, после чего дешифрование уже не представляет проблемы. Собственно, к этому моменту между клиентом и точками доступа следовало бы согласовать новый секретный ключ. Впрочем, в стандарте о такой возможности ничего не говорится. К тому же остается непонятным, как создавать векторы инициализации.

В общем случае даже столь простых соображений достаточно, чтобы полностью разувериться в безопасности передачи данных по IEEE 802.11. Однако происходит нечто еще более худшее: вследствие особенностей использования RC4 в WEP существует даже возможность определения секретного ключа. Хотя математически это не совсем просто, на практике же получается блестяще, как наглядно показывает инструмент Airsnort. Если ключ однажды определен, все двери открываются.

Попытки спасения
Рабочая группа TGi работает над очередным решением проблемы безопасности сетей WLAN под названием "Усовершенствование MAC для укрепления защиты" (MAC Enhancements for Enhanced Security). Поиск лучшего решения осложнялся главным образом необходимостью достижения обратной совместимости. Если бы уже существующую систему WLAN, построенную в соответствии с действующим стандартом, удалось дополнительно вооружить новым стандартом, то, в крайнем случае, достаточно было бы обновить микропрограммное обеспечение. Отсюда вывод: метод шифрования WEP сохраняется. Поэтому разработчики приняли два метода: первый, как временное решение, по-прежнему базируется на WEP, однако способен устранить его наиболее слабые места, а второй, хотя и требует нового аппаратного обеспечения, обеспечивает надежность на долгий срок.

Решение, гарантирующее обратную совместимость, называется "временный протокол целостности ключей" (Temporary Key Integrity Protocol, TKIP). Он ценен тем, что решает проблему статического до сих пор ключа WEP посредством создания нового ключа с применением функции хэширования к секретному симметричному ключу, вектору инициализации и порядковому номеру пакета. Дополнительная проверка целостности сообщения (Message Integrity Check, MIC), при которой наряду с полезными данными учитываются адрес источника и получателя пакета MAC и передача которой происходит в закодированной форме, аутентифицирует пакет. Кроме того, имеющийся механизм обеспечивает динамическое предоставление новых ключей во избежание повтора значений инициализации для RC4.

Для такого управления ключами и их распределения стандарт 802.11i обращается к другому стандарту - IEEE 802.1x. Последний первоначально служил для контроля доступа в сеть на базе портов в кабельных сетях. В его основе лежит принципиальная идея, что деблокировка сетевого порта происходит только тогда, когда пользователь успешно аутентифицировал себя по сети. Иначе говоря, аутентификация осуществляется на втором уровне модели OSI. Чтобы этот метод работал, стандарт 802.1x должен описывать интерфейс между клиентом, сетевым элементом и системой аутентификации. Рука об руку с этим идет функция управления ключами и их распределения.

Для аутентификации клиента и точки доступа 802.11i ссылается на аутентификацию 802.1x, которая заменяет прежнюю аутентификацию стандарта 802.11. Тем самым вопрос аутентификации доступа во WLAN отделяется от вопроса стандартизации передачи данных в сети WLAN. Передача данных? Смотри стандарт 802.11. Аутентификация? За это отвечает стандарт 802.1x. На Рисунке 1 упрощенно изображено выполнение протокола.

Неприятно только то, что 802.1x, со своей стороны, представляет собой не что иное, как унифицированный интерфейс для услуг в области аутентификации, авторизации и учета (Authentication, Authorization, Accountion, AAA), используя для этого расширяемый протокол аутентификации (Extensible Authentication Protocol, EAP). В качестве аутентифицирующей инстанции обычно служит сервер RADIUS. Протокол EAP нельзя назвать методом аутентификации. Он определяет исключительно протокольную основу, на базе которой происходят аутентификация и распределение ключей. Преимущество состоит в том, что производителям коммутаторов требуется внедрить исключительно протокол EAP, независимо от того, каким образом регулируется сама аутентификация между пользователем или клиентом и сервером аутентификации. Таким образом, разработчики могут выбирать между различными методами EAP, что представляется очевидным преимуществом. В качестве примера можно назвать EAP-MD5 и EAP-TLS.

EAP-MD5 применяет хэш MD5 имени пользователя и пароля как подтверждение для сервера RADIUS и не поддерживает ни управление ключами, ни создание динамических ключей. Тем самым исключается его использование в стандарте 802.11i. Более подходящей является организация защиты на транспортном уровне (Transport Layer Security, TLS) в EAP-TLS (см. RFC 2716). В таком случае для аутентификации берутся сертификаты X.509 в рамках инфраструктуры открытых ключей (Public Key Infrastructure, PKI). EAP-TLS поддерживает динамическое создание ключей для WEP и аутентификацию в обоих направлениях (в частности, аутентификацию клиентом точки доступа).

Современная тенденция указывает на то, что стандарт 802.11i не будет предписывать какой-либо метод аутентификации как обязательный. Но кем же тогда станет определяться этот метод? Владельцем сети WLAN? Даже в случае частной сети WLAN такое осуществить непросто. Стоит ли говорить о необычайной сложности введения единых правил безопасности для целого предприятия, подразделения которого разбросаны по всему миру? Еще неприятнее окажется ситуация в "горячих точках" общего доступа, само назначение которых предполагает, что каждый клиент получает по возможности легкий и простой доступ в сеть. Остается ждать, что же будет содержать окончательная редакция стандарта 802.11i.

По общему мнению, TKIP - всего лишь временная мера. В качестве долговременного решения стандарт 802.11i предусматривает применение усовершенствованного стандарта шифрования (Advanced Encryption Standard, AES). Для управления ключами и их распределения для AES стандарт 802.11i опять же опирается на 802.1x. AES является официальным преемником DES и основан на алгоритме Rijndael, предложенном бельгийцами Джоаном Дэменом и Винсентом Рийменом. Впрочем, и в этом случае администраторы не должны поддаваться иллюзии безопасности: криптоаналитики недавно открыли поразительные алгебраические особенности AES и родственных ему методов. Хотя до реальной атаки на AES еще очень далеко, однако теоретически добраться до него можно.

Независимо от того, что используется - TKIP или AES, криптографический сеанс между клиентом и точкой доступа открывает ввод зашифрованного порядкового номера. В конечном итоге это сказывается на мобильности. Что, например, происходит, когда клиент перемещается от одной точки доступа к другой? Действующий стандарт 802.11 предусматривает в таких случаях создание новой ассоциации и проведение аутентификации WEP в новой точке доступа. Как правило, процесс выполняется достаточно быстро, без негативного воздействия на протоколы более высоких уровней и без коммуникаций между различными точками доступа. При использовании стандарта 802.11i издержки выше, а потому представляется естественным передать сеанс от одной точки доступа к другой, для чего специальный протокол должен обеспечить коммуникацию между различными точками доступа. Речь идет о расширении протокола взаимодействия между точками доступа (Inter Access Point Protocol, IAPP). Таким образом обеспечивается эстафетная передача от одной точки к другой, аналогично принципу действия мобильных телефонных сетей, наподобие GSM.

Расширение 802.11i также повлияет на способность коммуникации с устройствами по действующему стандарту 802.11. Он включает общепринятые в настоящий момент правила безопасности, а стандарт 802.11i только дополняет его. Считается, что совместимая с 802.11i точка доступа может одновременно взаимодействовать со всеми устройствами, работающими по какому-либо из этих двух стандартов. Напротив, для клиентов имеет место либо одно, либо другое, но не то и другое вместе. Дополнительно в стандарт 802.11i будет включен механизм, предусматриваемая которым клиентская конфигурация будет разрешать применение исключительно расширенных механизмов безопасности и строго запрещать коммуникацию с точкой доступа по стандарту 802.11. Это позволяет, с одной стороны, постепенно мигрировать к расширенным или новым механизмам безопасности, а с другой - использовать строгую политику безопасности.

Почему сразу же не IP VPN?
Даже если вначале стандарт 802.11i будет использоваться с TKIP, с учетом современного уровня техники он будет предоставлять вполне приемлемый уровень безопасности. Но против некоторых атак сеть WLAN никогда не может быть защищена. Например, атака по типу "отказ в обслуживании" всегда может быть реализована в беспроводных сетях с удивительно низкими затратами. В нелицензируемом диапазоне частот, в котором параллельно друг другу работают несколько систем, в частности ISM при 2,4 ГГц, где также оперирует и стандарт 802.11b, приходится ожидать проблем.

Итак, для чего нужно тратить силы и средства на 802.11i? Почему бы не вычеркнуть последовательно всяческие механизмы безопасности из стандарта 802.11 и не рассматривать WLAN как чистую передающую среду, наподобие беспроводного Ethernet или Token Ring, полностью сконцентрировавшись на задаче оптимизации передачи данных средствами беспроводной связи? Тем самым сеть WLAN автоматически была бы отнесена к классу ненадежных сред. В таком случае не было бы разницы, осуществляется ли доступ к внутренним ресурсам через сеть WLAN или Internet. Защита передачи данных обеспечивалась бы тогда с помощью IP VPN с IPSec. Принципиальная схема сравнительно проста, протоколы стандартизированы, методика хорошо зарекомендовала себя на практике, и на рынке имеется достаточное количество продуктов. В простейшем случае для защиты сети WLAN можно воспользоваться тем же решением IP VPN, которое на предприятии, например, уже применяется для обеспечения безопасности связи с мобильными сотрудниками.

Наряду со специфическими для каждого производителя расширениями WLAN, в настоящее время это единственная возможность построения безопасной сети WLAN. Бесспорно к тому же, что стандарт 802.11i имеет такой уровень сложности, при котором обычно применяются IP VPN для защиты сети WLAN.

Однако и решение IP VPN с IPSec имеет свои подвохи. IPSec предусматривает исключительно взаимную аутентификацию партнеров на уровне системы - он не включает проверку идентичности. Проблема может решаться посредством самых различных подходов, которые уже частично используются производителями продуктов VPN. Впрочем, отсутствие стандарта привело только к новым несовместимостям. Существующий спектр решений простирается от идентификации на базе смарт-карт системы с пользователем, расширений протокола обмена ключами (Internet-Key-Exchange, IKE), применения механизмов вложенных друг в друга туннелей до последующей аутентификации с другой стороны туннеля VPN, к примеру на брандмауэре, причем все эти подходы имеют как преимущества, так и недостатки.

Использование IP VPN обсуждалось при разработке стандарта 802.11i и было отвергнуто в пользу уже представленного расширения. Решение основывалось на том, что аутентификация на втором уровне осуществляется быстрее, проще и дешевле, а пользователю не нужен доступ на сетевом уровне, чтобы себя аутентифицировать.

Выводы
Сети WLAN на базе действующего в настоящее время стандарта IEEE 802.11 лишь в редчайших случаях отвечают политике безопасности без дополнительных защитных механизмов. Пока только IP-VPN с IPSec помогают пользователю надежно защитить сеть WLAN, но никто не хочет связывать себя с одним-единственным поставщиком оборудования WLAN. Благодаря IEEE 802.11i, сеть WLAN может быть достаточно хорошо защищена стандартизированными методами, однако ценой значительно более сложной инфраструктуры, по стоимости сравнимой с затратами на IP VPN. Таким образом, безопасность можно обеспечить ценой отказа от простоты.

Однако именно простота схемы и конфигурации сети WLAN, построенной по существовавшему до сих пор стандарту, является движущей силой успеха подобных сетей. Остается ожидать, какие затраты на приобретение и эксплуатацию потребует сеть WLAN, построенная в соответствии с IEEE 802.11i, - в любом случае дешевле она не будет.

Вопреки стандарту IEEE 802.11i станут создаваться гетерогенные инфраструктуры безопасности для частных сетей WLAN, так как стандарт допускает определенную свободу в существенных пунктах. Таким образом, крупным и даже средним предприятиям не обойтись без составления правил, где точно описывалось бы, как следует поступать при отсутствии тех ли иных четких указаний в стандарте IEEE 802.11i или же в качестве альтернативы заранее принять корпоративный стандарт на базе IP VPN. Как видим, на этом глава "Безопасность в сетях WLAN" еще не заканчивается

Глоссарий
AAA - Authentication, Authorization, Accounting
AES - Advanced Encryption Standard
CRC - Cyclic Redundancy Code
DES - Data Encryption Standard
EAP - Extensible Authentication Protocol
EAPOL - EAP over LAN
GSM - Global System for Mobile Communications
IAPP - Inter Access Point Protocol
ICV - Integrity Check Value
IEEE - Institute of Electrical and Electronics Engineers
IKE - Internet Key Exchange
ISM - Industrial, Scientific and Medical
IV - Initialization Vector
MAC - Medium Access Control
MIC - Message Integrity Check
PKI - Public Key Infrastructure
RADIUS - Remote Authentication Dial-in User Service
TLS - Transport Layer Security
TKIP - Temporary Key Integrity Protocol
VPN - Virtual Private Network
WEP - Wired Equivalent Privacy

Ресурсы Internet
Домашняя страница Airsnort расположена по адресу: http://airsnort.shmoo.com/

Статья "А беспроводная сеть-то 802.11 голая!" У. А. Арбау, Н. Шанкара и И. К. Дж. Уана из Мэрилендского университета (W.A.Arbaugh, N.Shankar, Y.C.J.Wan, "Your 802.11 Wireless Network has No Clothes") опубликована на http://www.drizzle.com/ ~aboba/IEEE/.

Статья "Слабости алгоритма назначения ключей в RC4" С. Флурера, И. Мантина, А. Шамира (S.Fluhrer, I.Mantin, A.Shamir, "Weaknesses in the Key Scheduling Algorithm of RC4") расположена по адресу: http://www. drizzle.com/~aboba/IEEE/.

Домашняя страница IEEE 802.11 находится на http://grouper.ieee.org/groups/802/11/ index.html.

Статью "Предварительный анализ защиты стандарта IEEE 802.1x А. Мишра, У. А. Аблау (A.Mishra, W.A.Arbaugh, "An Initial Security Analysis of the IEEE 802.1x Standard") можно найти на http://www.drizzle.com/~aboba/IEEE/.

Статья "Криптоанализ блочных шифраторов с переопределенными системами уравнений" Н.Т. Куртуа и Дж. Пипржика (N.T. Courtois, J. Pieprzyk, "Cryptanalysis of Block Ciphers with Overdefined Systems of Equations") помещена по адресу: http://eprint. iacr.org/2002/044/.

Симон Хофф и Ханс Петер Мон - независимые авторы. С ними можно связаться по адресу: redaktion@lanline.awi.de. (Опубликовано в журнале LAN, #03/2003)

В бюллетене безопасности MS03-015 описывается новый кумулятивный патч для Internet Explorer, который наряду с уже исправленными прошлыми патчами дырами ликвидирует четыре новые.

Первая из новых дыр имеется в библиотеке urlmon.dll и связана с тем, что Internet Explorer неправильно обрабатывает некоторые параметры, относящиеся к передаваемой сервером информации. В результате, при обработке веб-страниц определенной структуры возникает ошибка, позволяющая хакеру запустить на компьютере произвольный код. Для реализации атаки достаточно заманить пользователя на такую страницу. Никаких дополнительных действий от пользователя не требуется.

Вторая уязвимость в IE, единственная, которой был присвоен "умеренный" рейтинг, содержится в модуле браузера, ответственном за загрузку файлов на удаленный компьютер. Используя данную дыру, хакер может загрузить с компьютера жертвы файл с заранее известным именем.

Следующая критическая дыра содержится в модуле Internet Explorer, ответственном за работу с плагинами для обработки файлов, которые не поддерживаются браузером по умолчанию. При работе с такими файлами некоторые из служебных параметров обрабатываются неправильно. В результате, злоумышленник может направить браузеру особым образом сформированный URL, который запустит скрипт во время обработки "чужого" файла. Для пораженного компьютера такая атака может иметь плачевные последствия.

Четвертая уязвимость содержится в модуле обработки модальных диалогов (modal dialogs). Некоторые из входных параметров проверяются браузером неправильно, что также может привести к запуску скрипта, открывающего хакеру доступ к файлам на пораженном компьютере. Кроме того, в состав кумулятивного патча включено исправление для браузера Internet Explorer 6.0 SP1, исправляющее ошибки с отображением помощи в зоне безопасности локального компьютера. Наконец, новый патч блокирует ActiveX-модуль Plugin.ocx, в котором также имеется уязвимость.

Критическая дыра в Outlook Express связана с ошибкой в модуле обработки URL в соответствии со стандартом MHTML, использующимся для работы с HTML в сообщениях электронной почты. Данный модуль позволяет запустить обработку любого файла, который может быть отображен в виде текста, браузером Internet Explorer. В результате, если на обработку будет запущен текстовый файл, содержащий скрипт и находящийся на локальном компьютере, данный скрипт будет выполнен, что может повлечь за собой весьма неприятные последствия. Подробнее о дыре в Outlook Express можно прочитать в бюллетене MS03-014.
(источник - http://www.compulenta.ru/, опубликовано 24.04.2003)

Карточек в стране все больше, денег на них тоже. Как сообщил замначальника УБЭП Москвы полковник Николай Клюхин, если в 1994 году в стране было всего 50 тыс. банковских карточек, то в прошлом -- более 6 млн. Сколько их сейчас, полковник не сообщил, зато сказал, что в этом году с их помощью было обналичено более $12 млрд, что на 104% больше, чем за аналогичный период прошлого года.

Чем больше денежный оборот, тем активнее мошенники. Милиция как может пытается их ловить -- за прошлый год и первый квартал текущего она возбудила по фактам мошенничества с банковскими карточками и дорожными чеками 43 уголовных дела. Сумма возмещенного ущерба составила 32,43 млн руб. Милиционеры, правда, не сказали, сколько при этом было украдено. Зато они посетовали на то, что могли бы работать более эффективно, если бы банковские службы собственной безопасности не скрывали от милиции информацию о случаях мошенничества со счетами их клиентов.

А как же крадут? Об этом вкратце рассказал заместитель начальника отдела первой оперативно-розыскной части УБЭПа майор Олег Винтайкин. В 13% мошенничеств аферисты используют карточки, утерянные владельцами, еще 17% приходится на противоправное использование номера банковского счета. Кроме того, карточки просто крадут, что дает еще 33%. Но чаще всего аферисты подделывают карточки по их реквизитам, которые различными способами им удается узнать. Это так называемый белый пластик, на долю которого приходится 37% преступлений в данной сфере.

Широкую распространенность одного из самых высокотехнологичных видов воровства майор объяснил "пытливостью русского ума". Причем молодого ума, поскольку этим в основном занимаются студенты, среди которых "попадаются не только будущие инженеры, но и педагоги". Они сами мастерят аппаратуру, которая способна считывать и секретный код, и даже информацию об остатке на счете клиента. Оказывается, что ни один банкомат сегодня не защищен от подобного рода мошенников.

Чаще всего страдают владельцы карточек платежной системы Visa, доля которой на отечественном рынке составляет около 45% от оборота. На втором месте MasterCard -- около 40%. Правда, милиционер сразу оговорился, что "это не потому, что у них самые незащищенные карточки. Они у всех практически одинаковые. Просто у них больше всего клиентов".

По мнению милиционеров, вряд ли в ближайшее время ситуация исправится. Скорее, наоборот, следует ожидать роста мошенничества в этой сфере, так как "проверка клиентской базы банков ослаблена или просто сведена на нет".

И все же главными виновниками разгула преступности убэповцы считают самих владельцев карточек. "Доходит до того, что секретный код пишут на самой карточке",-- сказал полковник Клюхин. А майор Винтайкин посоветовал "серьезнее относиться к таким вещам. Ведь карточка -- это электронный ключ к вашим, кстати, доходам".
(источник - http://www.SecurityLab.ru/, опубликовано 24.04.2003)

Месть настигла певицу быстро. Взломанная страница сайта Мадонны, в частности, содержала логичный ответ: "This is what the f*** I think I'm doing." Также на ее собственном сайте хакеры заботливо разместили ссылки на полную пиратскую версию альбома "American Life".

Это, конечно, не первый случай борьбы противников пиратской музыки с ее сторонниками. Скажем, сайт широко известной Американской ассоциации звукозаписывающих компаний (RIAA) ломали уже раза четыре, последний раз - в январе этого года. Тогда, вместо обычных для сайта текстов о преимуществах использования легальной аудио- и видеопродукции на сайте RIAA появились тексты абсолютно противоположного содержания, рекомендовавшие читателям от имени администрации RIAA "файлообменные службы" Kazaa и eDonkey.

Кроме того, хакеры взламывали и сайт группы Metallica - за ее, группы, активную нелюбовь к файлообменной службе Napster.
(источник - http://www.SecurityLab.ru/, опубликовано 24.04.2003)

Устройство позволяло им снимать с чужих кредитных карточек все деньги. Оно прикрепляется к щели, куда вставляется кредитка, надежно крепится к банкомату и, поскольку покрашено в его цвет, практически не привлекает к себе внимания. Зато считывает с карточки все данные, когда человек пытается снять со счета деньги. А крепившаяся рядом видеокамера записывала пинкод, вводимый владельцем кредитки. После этого 3 студента имели практически неограниченный доступ к чужому банковскому счету. С помощью оборудования, купленного специально для этого, делался дубликат карточки, и обычно в этом же банкомате, все средства со счета снимались. Только по предварительным данным, от этого пострадало около 200 человек. Работали студенты в центре Москвы. У тех банкоматов, через которые проходит много людей - на Садовом кольце и на Тверской улице. Чтобы задержать их, милиции пришлось проводить целую спецоперацию.

Филипп Золотницкий, начальник пресс-службы УБЭП ГУВД г. Москвы: "Пришлось привлекать к работе около 300 наших сотрудников, а те банкоматы, которые не были охвачены, мы просто отключили".

Но даже в милиции об этих студентах говорят с некоторой долей восхищения. Такое в мире не удавалось вообще никому. Принцип подобного устройства известен давно, но сделать его миниатюрным и пригодным к работе получилось только у них. Более того, эксперты не смогли сразу понять, как оно крепиться к банкомату и поэтому аппарат пришлось разбирать прямо на месте.

Студенты же максимально использовали уникальность этого устройства, один его экземпляр они продали французским арабам, занимающимся мошенничествами с кредитками. И им же продавали данные, полученные с карточек в Москве. Поэтому, хотя изобретателей и поймали, деньги со счетов все равно могут продолжать пропадать.
(источник - http://www.SecurityLab.ru/, опубликовано 23.04.2003)

Первый университет, который предложит своим студентам такие курсы - университет University of Leeds. Начнутся они, правда, почти через год - в январе 2004 года. На протяжении 11 недель студентов будут учить хакерским приёмам, методам противодействия и написанию надёжных программ. Microsoft, которая станет спонсором курса, особо подчекркивает, что студентов будут учить не только созданию программ для всех платформ.
(источник - http://news.proext.com/, опубликовано 22.04.2003)

Настоящий сертификат удостоверяет, что в результате тестовых испытаний на защищенность работающего в штатном режиме рабочей станции компьютера (работа в Интернет, прием/отправка электронной почты, работа во внутренней сети и т.п.) с функционирующим на нем ПО ViPNet в качестве межсетевого экрана, были получены следующие результаты:

1. Все попытки получить внешний доступ к ресурсам компьютера с ПО ViPNet, функционирующим в режиме "жесткий бумеранг", оказались безуспешными.

2. Защищенность компьютера с ПО ViPNet, функционирующим в режиме "жесткий бумеранг", является ОЧЕНЬ ВЫСОКОЙ.

Настоящий Сертификат выдан на основании результатов тестовых испытаний, проведенных компанией Positive Technologies с использованием технологии анализа защищенности XSpider 6.2.

Таким образом, высокие качества технологии ViPNet, разработанной компанией Инфотекс, получили очередное подтверждений независимой экспертизы.

Напомним, что программный комплекс ViPNet - универсальное средство, сертифицированное Гостехкомиссией России и ФАПСИ, которое может устанавливаться на любые компьютеры (рабочие станции, сервера, маршрутизаторы) в локальных и глобальных сетях и обеспечивающее безопасное подключение к Интернет для обмена конфиденциальной информацией.

Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.