Безопасность и Internet - статьи

       

Октябрь


Администрация Клинтона

объявила, что она обжалует июньское решение против Закона о благопристойности

коммуникаций в Верховном суде (1 октября).

Администрация объявила

также о смягчении ограничений на экспорт криптосредств. Согласно

планам президентской команды, компании смогут экспортировать программы

с 56-битными ключами, если в течение двух лет будет реализовано

восстановление ключей (которое может осуществляться не только

правительственными ведомствами).

Альянс коммерческого ПО

(Business Software Alliance, BSA) пригрозил судебными карами египетским

фирмам, в которых, согласно экспертным оценкам, доля краденого

программного обеспечения составляет 80%.



В одной из программ новостей

BBC прошло сообщение о том, что услуги сотового пейджинга легко

доступны для перехвата и манипулирования посредством радиосканера

и соответствующего программного обеспечения для персональных компьютеров.

Центральное агентство

новостей Тайваня сообщило о появлении нового "политического"

вируса, созданного в знак протеста против претензий Японии на

острова, которые тайванцы называют Diaoyus. Вирус выдает следующие

сообщения: "Diaoyus - это территория Китайской Республики",

"Даже не надейтесь заполучить эти острова, японские чудовища",

"Вирус написан юным патриотом из школы Feng Hsi". После

этого вирус пытается уничтожить данные, хранящиеся на диске.

Газета "San Francisco

Chronicle" сообщила о новой серии мошеннических электронных

писем. В этих письмах жертвам сообщается, что у них есть только

24 часа на очищение от "страшного греха". Для очищения

нужно позвонить по номеру с региональным кодом 809. Междугородный

звонок стоит не менее 3 долларов, а на самом деле значительно

больше, если выслушивать бесконечные записанные сообщения. Peter

Neumann (ведущий телеконференции RISKS) указал также, что электронный

адрес отправителя писем "Global Communications"@demon.net

является вымышленным (RISKS 18.50).


В августе 1994 года Andrew

Stone, 32 лет, осужденный за махинации с кредитными картами, но

проводящий в тюрьме только ночи, был нанят редакторами журнала

"Which?", чтобы продемонстрировать уязвимость британских

банкоматов. После тестирования механизмов безопасности, проведенного

с благословения журнала, Эндрю вместе с сообщником организовали

автоматизированное "подглядывание через плечо". Они

разместили видеокамеры в нескольких точках, что позволило фиксировать

как детали банковских карт, так и движения пальцев пользователей

во время ввода персональных идентификационных кодов. Вооруженные

сведениями, добытыми за две недели подглядывания, сообщники изготовили

фальшивые банковские карты, "приняв за основу" дисконтные

карты для бензозаправочных станций. Банк-жертва был выбран в силу

особой насыщенности цветов на его картах, так что данные о счете

были ясно видны даже на расстоянии. Стоун и его сообщник похитили

сумму, эквивалентную 216 тысячам долларов США. В конце концов

полиция начала подозревать Стоуна, за ним стали следить и сопоставили

огромное число жалоб на неавторизованные изъятие средств с присутствием

Эндрю в пунктах выдачи наличных денег. В начале октября 1996 года

Стоун был приговорен к тюремному заключению на срок в пять с половиной

лет; его сообщник получил четыре с половиной года. (PA News, 4

октября).

Верховный суд США отклонил

апелляцию, которую подали Robert и Carleen Thomas из города Милпитас

(штат Калифорния). В 1994 году их осудили в результате процесса,

ставшего вехой в судебной практике, поскольку он затронул определение

границ сообщества в киберпространственный век. Стандарты сообщества

определяют, не переходит ли порнографический материал пределов

дозволенного. В данном случае почтовый инспектор из Мемфиса (штат

Тенесси) загрузил материал с электронной доски объявлений, расположенной

в Калифорнии, и возбудил уголовное преследование двух обвиняемых.

Их судили в Мемфисе и приговорили, соответственно, к 37 и 30 месяцам



тюремного заключения за пересылку незаконных файлов откровенно

сексуального характера через границу штата. (Reuters, 7 октября).

Португальское правительство

обязало компании-операторы сотовой телефонной связи установить

технические средства, позволяющие немедленно организовать прослушивание

любого звонка по сотовой связи. (Reuters, 9 октября).

В Колорадо-Спрингс программная

ошибка привела к невозможности зарегистрировать многократные идентичные

платежи, проводимые через банкоматы в течение одного дня клиентами

Федерального кредитного союза. Создавалось впечатление, что только

первый платеж относился на счет клиента. Кредитный союз известили

об этой ошибке сами пользователи несколько месяцев назад, но от

них просто отмахнулись. В октябре союз объявил о снятии 1.2 миллиона

долларов со счетов 12 тысяч "многократных плательщиков",

что вызвало всеобщее недовольство. (RISKS 18.53).

Профессор Гамбургского

университета Klaus Brunnstein обнаружил в середине октября, что

корпорация Microsoft выпустила еще один компакт-диск, зараженный

макровирусом Word "WAZZU.A". Естественно, персонал на

торговой выставке, где распространялся этот диск, проигнорировал

обращение профессора, утверждая, что вирус безвреден. Зараженные

документы пять дней находились на Web-сервере корпорации Microsoft,

прежде чем вирус был обнаружен. Профессор пояснил, что "WAZZU"

случайным образом переставляет пару слов в зараженном документе

и иногда вставляет цепочку символов "WAZZU". Если это

считается безвредным, то страшно даже подумать о том, что такое

подлинный вред. (RISKS 18.53).

Компания Concentric Network,

поставщик Интернет-услуг в северной Калифорнии, добилась еще одного

успеха в борьбе против злостных изготовителей электронного почтового

хлама - Sanford Wallace и ее дочерней фирмы Cyber Promotions.

Суд запретил этим фирмам использовать в их вздорных письмах адреса

Concentric Network в качестве адреса отправителя или адреса для



ответа. По утверждениям представителей компании Concentric Network

в суде, мошенническое использование ее области управления "вызывало

возврат десятков тысяч недоставляемых сообщений в почтовую систему

Concentric Network, где их приходилось обрабатывать и хранить,

что вело к перегрузкам оборудования и отказам в обслуживании для

подписчиков" (см. www.concentric.net).

В середине октября компания

Digital Technologies Group (Хартфорд) лишилась всех своих компьютерных

файлов и резервных копий. По-видимому, компания стала жертвой

классического вредительства со стороны обиженного бывшего сотрудника.

Прямой ущерб от вредительства составил 17 тысяч долларов. К этому

необходимо добавить потерю многомесячных трудов и недельный перерыв

в работе, серьезно повредивший репутацию компании как поставщика

Интернет-услуг. Вероятного преступника арестовали в конце декабря.

Ему грозит заключение на срок до 20 лет, если обвинение во вредительстве

будет доказано. (AP, 18 декабря).

Испанская полиция после

ареста в Барселоне двух юных каталонцев раскрыла шайку, занимавшуюся

распространением через Интернет детской порнографии. Сообщается,

что в процессе прослеживания преступников (а в их непристойности

были вовлечены даже дети трехлетнего возраста) успешно взаимодействовали

полицейские из многих стран. (Reuters, 10 октября).

Середина октября принесла

новые подтверждения правоты излюбленной мысли главы NCSA Боба

Бейлса (Bob Bales) о том, что Интернет может способствовать злоупотреблениям,

ведущим к отказам в обслуживании... для работодателей. Компания

Nielsen Media Research опубликовала обзор, показывающий, что служащие

компаний IBM, Apple и AT&T только за один месяц совместно

потратили 13048 человеко-часов на посещение WWW-сервера Penthouse.

Если принять стоимость одного человеко-часа равной, скажем, 20

долларам, то растраченное время обошлось работодателям в четверть

миллиона долларов. Из компании Compaq (Хьюстон) была уволена дюжина

сотрудников, каждый из которых в рабочее время нанес более 1000



зарегистрированных визитов на секс-серверы. (UPI, 14 октября).

Серия несчастий с голландскими

детьми вызвала гнев многих обозревателей Интернет. В течение одной

недели октября двенадцать детей были травмированы ручными гранатами,

изготовленными по детальным инструкциям, помещенным в Интернет.

Несмышленыши в возрасте от 8 до 13 лет собирали боеприпасы домашнего

изготовления из шариков, камешков и монет, прикрепленных к петардам.

Одна девочка лишилась глаза; у другой навсегда ухудшился слух;

другие дети получили ожоги. (AP, 18 октября).

Тревожное предупреждение

по поводу "смертельного пинга" опубликовал Mike Bremford

из Великобритании. Размер датаграмм (TCP/IP-пакетов) не должен

превышать 65535 байт. Любой процесс, генерирующий датаграммы большего

размера, может вызвать переполнение стека в операционной системе

принимающей машины. Это серьезная проблема, делающая практически

все операционные системы уязвимыми по отношению к атакам на доступность.

В качестве меры противодействия десятки производителей операционных

систем распространяют соответствующие заплаты. (Более подробную

информацию можно найти по адресу www.sophist.demon.co.uk/ping/).

22 октября состоялся массовый

выброс в Интернет почтового хлама. Тысячи поддельных рекламных

объявлений о нелегальной детской порнографии попали в почтовые

ящики пользователей разных стран. В качестве автора рекламы злоумышленниками

был указан житель Нью-Джерси Stephen Barnard. ФБР быстро разобралось

в ситуации, сняв со Стефана, жертвы отвратительного розыгрыша,

все подозрения. Письма были дополнительно замаскированы поддельными

заголовками, указывавшими на двух пользователей сети America Online,

но расследование оправдало и их. (PA News, Reuters, 22 октября).

В ежегодном отчете Французской

правительственной группы по борьбе с подделками (CNAC) указывается,

что Интернет активно используется изготовителями поддельных промышленных

изделий. "Подражатели" рассылают по своим подпольным



фабрикам, расположенным в разных странах, выкройки новых моделей

одежды прямо в день появления этих моделей.

На бизнес-семинаре, проводившемся

в гостинице Strathmore (Лутон, Бердфордшир), во время 20-минутного

обеденного перерыва воры проникли в запертую семинарскую аудиторию

и украли 11 ПК-блокнотов общей стоимостью примерно 75 тысяч долларов,

если не считать программного обеспечения и данных. (PA News, 25

октября).

В конце октября домашняя

Web-страница Верховного суда Флориды была "подправлена"

неизвестными лицами, заменившими благородный фон "под дерево"

картинками обнаженных людей, совершающих различные сексуальные

действия. Хотя фон вернули в первоначальное состояние в течение

пары дней, любознательное население Интернет подняло посещаемость

сервера на недосягаемую высоту. (UP, Reuters, 25 октября).

Председатель Федерации

коммуникационных услуг Jonathan Clark заявил, что мошенничество

ежегодно наносит британской телефонной индустрии и потребителям

ущерб в размере около 332 миллионов долларов. (PA News, 29 октября).

В конце октября были опубликованы

результаты ежегодного обзора информационной безопасности, подготовленного

компанией Ernst&Young. Ущерб от заражения вирусами, атак внутренних

и внешних пользователей существенно возрос, а умение поддерживать

информационную безопасность осталось на крайне низком уровне.

(См. techweb.cmp.com/iw/602/02mtsec.htm).

С разрешения владельца

авторских прав приведем фрагмент из публикации "Стратегия

развития безопасных систем в странах центральной и восточной Европы

(CEESSS):

Инциденты в области информационной

безопасности. Хакеры атакуют чешские банки. Опубликование персональных

данных о чешских гражданах.

Steven Slatem <sslatem@intellitech.cz>

Copyright (c) 1996

IntelliTech


Хакеры похитили 50 миллионов

чешских крон (1.9 миллиона долларов) в результате атак на неназванные

чешские банки. Другое нарушение безопасности состоит в получении

и размещении на электронной доске объявлений файла с персональной



информацией о чешских гражданах. Эти сведения нам сообщил в интервью

на выставке INVEX (Брно, 22-26 октября) Jiri Mrnustik, глава расположенной

в Брно компании по разработке антивирусного и криптографического

программного обеспечения AEC s.r.o."

В четырехлетней битве

между подразделением Opel корпорации General Motors и концерном

Volkswagen германский региональный суд отклонил гражданский иск,

в котором Volkswagen обвинял Opel в клевете и требовал возмещения

убытков в сумме 10 миллионов немецких марок (6.6 миллионов долларов).

Volkswagen подал этот иск в суд Франкфурта, чтобы прекратить заявления

Opel о криминальном заговоре с целью осуществления промышленного

шпионажа против Opel и General Motors. Заявления начались после

того, как Jose Lopez, удачливый менеджер в General Motors и Opel,

переметнулся в Volkswagen - как утверждается, с тремя чемоданами

конфиденциальных документов General Motors. (Dow Jones, 30 октября).

В конце ноября Lopez ушел из правления Volkswagen. (Reuters, 29

ноября). В середине декабря полиция Германии предъявила ему официальные

обвинения; однако, никаких обвинений в промышленном шпионаже против

концерна Volkswagen не выдвигалось. (Reuters, 13 декабря).

Житель Арканзаса Marion

Walton был уличен в киберсексуальной связи с канадской женщиной.

В отместку за это его жена Pat "прибила" почтовую программу.

Муж не остался в долгу и дважды поколотил жену. Полиция посоветовала

ей обратиться в суд. (Reuters, 31 октября; RISKS 18.57).


Содержание раздела