Безопасность и Internet - статьи
       

Февраль


14 февраля агентство новостей

"Новый Китай" сообщило, что все китайские пользователи

Интернет должны будут впредь регистрироваться в компетентных органах.

Это сообщение обозначило начало процесса официального закрытия

доступа в Интернет для граждан Китайской Народной Республики.

В сентябре в Китае запретили доступ более чем к ста Web-серверам,

включая "Wall Street Journal", "Washington Post"

и CNN. К концу 1996 года китайские пользователи были официально

ограничены сетью, которая по сути представляет собой Интранет

с фильтрацией международного трафика через национальные межсетевые

экраны.

В средствах массовой информации,

не имеющих технической специализации, появилась куча историй о



предполагаемой опасности заражения вирусом, получившим название

Boza/Bizatch и специфичным для Windows 95. Заблаговременные комментарии

специалистов о чрезвычайно низкой вероятности поражения этим вирусом

были буквально сметены нахлынувшей волной слухов, что привело

к панике среди неквалифицированных пользователей персональных

компьютеров и к всеобщему, хотя и необоснованному, недоверию к

антивирусным продуктам.

Федеральный судья в Филадельфии

вынес частичное временное ограничивающее решение, запрещающее

проведение в жизнь положения закона "О благопристойности

коммуникаций", касающееся непристойностей. Это решение стало

первой победой в юридической борьбе против закона "О благопристойности

...", принятого в конце 1995 года и встреченного всеобщим

негодованием, поскольку по мнению многих он противоречит Первой

поправке к конституции США, гарантирующей свободу слова. Детали

данного судебного дела и последующего успеха в запрещении проведения

в жизнь закона "О благопристойности ..." можно найти

на Web-сервере www.epic.org и по адресу www.aclu.org/issues/cyber/trial/trial.html. В декабре дело передано в Верховный суд, слушания

назначены на март 1997 года.

Представители компании

Intuit Inc. подтвердили, что в их программах расчета налогов (TurboTax


и MacInTax) были ошибки. Компания поместила исправления на свой

Web-сервер, предложила консультационную поддержку и пообещала

уплатить штрафы, наложенные на пользователей из-за ошибок, допущенных

ее программистами. Этот пример полезен для всех теоретиков и практиков

контроля качества, когда нужно проиллюстрировать затраты и выгоды,

связанные с инвестированием более половины средств, выделяемых

на разработку программного обеспечения, в контроль качества.

Профессор Ed Felten и

его дипломники из Принстонского университета продолжали анализировать

слабости в безопасности Java-систем (подробности см. по адресу

www.cs.princeton.edu/sip/). В ноябре David Martin <dm@cs.bu.edu>

из Бостонского университета и его коллеги Sivaramakrishnan Rajagopalan

<sraj@bellcore.com> и Avi Rubin <rubin@bellcore.com>

(оба из компании Bellcore) указали (см. RISKS 18.61), что Java-аплеты

могут атаковать межсетевые экраны изнутри. Их статью можно найти

по адресу lite.ncstrl.org:3803/Dienst/UI/2.0/Describe/ncstrl.bu_cs%2f96-026.

Peter Neumann, ведущий

телеконференции RISKS, рассказал еще об одном случае кибервандализма

(см. также RISKS 17.83). Информационная система небольшой компании

BerkshireNet - поставщика услуг Интернет в городке Питсфилд (пригород

Бостона, штат Массачусетс), 27 февраля 1996 года стала жертвой

атаки, в процессе которой некто, действовавший под видом системного

администратора, уничтожил данные на двух компьютерах, после чего

остановил работу системы. Внеплановый простой продлился около

12 часов. Старые удаленные файлы удалось восстановить, однако

файлы, созданные в течение нескольких последних дней, оказались

утерянными. Перед нами еще один случай, иллюстрирующий важность:

  • защиты Web-серверов

    от несанкционированных изменений;


  • проводимого достаточно

    часто резервного копирования.


    • 29 февраля, как сообщил

    в RISKS 17.81 один из корреспондентов, он обнаружил в своем электронном

    почтовом ящике присланные из разных мест письма со следующими



    датами: 29 Feb 96, 28 Feb 96, 1 May 131, 10 Jan 1936, 1 Jan 70

    и 29 Dec 95. Как поют Pink Floyd, еще один кирпич в стене 2000

    года...

    В Англии криминальные

    хакеры изменили тексты, передаваемые говорящими автобусными остановками

    (см. RISKS 17.81). Видимо, в качестве демонстрации своих крайне

    хвастливых заявлений о том, что криминальное хакерство является

    полезной формой социального протеста (такого рода лапшу вешают

    в каждом номере ежеквартального хакерского издания 2600), кибервандалы

    заменили информацию, необходимую незрячим людям, на ругательства

    и непристойности.

    В феврале в группу IS/Recon

    поступило пространное письмо, автором которого считается Nathaniel

    Bornstein. В письме утверждается, что компания First Virtual Holdings

    разработала и продемонстрировала программу, полностью подрывающую

    безопасность всех известных механизмов шифрования в кредитных

    картах для Интернет-коммерции. По мнению автора письма, проблема

    не может быть решена с помощью заплат, поскольку она вызвана принципиальным

    дефектом, присущим всем схемам шифрования в кредитных картах.

    Автор, используя сильные выражения, утверждает, что все методы

    передачи информации о кредитных картах внутренне небезопасны (поскольку

    все нажатия на клавиатуре персонального компьютера могут быть

    зафиксированы троянской программой). Он формулирует следующий

    тезис: "На персональном компьютере информация оказывается

    незащищенной уже в момент прикосновения к клавише".


    Содержание раздела