Январь
Первая проблема возникла
в самую первую секунду года. Добавление лишней секунды создало
трудности для программного обеспечения, управляющего распространением
единого всемирного времени из Национального института стандартов
и технологий (NIST) США. Лишняя секунда заставила добавить к дате
целый лишний день (см. RISKS DIGEST 17.59). Подождите до 2000
года, если хотите увидеть настоящие проблемы, связанные с календарями
и часами.
С начала января и до конца
февраля во всем мире продолжали критиковать запрет на доступ через
CompuServe к двумстам телеконференциям Usenet, наложенный в конце
1995 года в качестве дикой, явно неадекватной реакции на запрос
баварского прокурора по поводу информации о телеконференциях,
незаконных с точки зрения действующего в южных землях Германии
законодательства. CompuServe, неспособный закрыть доступ к этим
телеконференциям для части своих пользователей, "поставил
шлагбаум" для всех 4 миллионов подписчиков во всем мире.
К концу февраля было реализовано выборочное блокирование, позволившее
отключить от крамольных телеконференций только заданные географические
области. Пикантность ситуации со всеми этими запретами состоит,
однако, в том, что существуют общеизвестные методы доступа к телеконференциям
Usenet по электронной почте. В более широком плане можно вывести
следующую мораль: наблюдается растущая тенденция налагать местные
(провинциальные или национальные) ограничения на доступ к тем
или иным частям Интернет. (Более детальную информацию можно найти
в RISKS 17.59).
В начале года в "Wall
Street Journal" было опубликовано сообщение о том, что первое
санкционированное судебными властями прослушивание коммерческого
поставщика Интернет-услуг привело к аресту трех лиц по обвинению
в мошенническом использовании услуг сотовой связи. Эти лица рекламировали
свою деятельность через CompuServe (см. "Wall Street Journal",
2 января 1996 года, с. 16).
22 января по немецкому
телевидению выступил член компьютерного клуба "Хаос"
(Chaos Computer Club, CCC), продемонстрировавший опасности, связанные
с передачей в открытом виде по системе T-Online персональной банковской
информации. Хакер (между прочим, не криминальный хакер) подключился
к домашней телефонной линии, воспользовавшись незапертой коммутационной
панелью в подвале жилого дома. Он перехватил идентификатор и персональный
идентификационный код пользователя, после чего разорвал соединение
и немедленно перевел сумму в 5 тысяч немецких марок на другой
счет. Прежде чем провести публичную демонстрацию, члены клуба
"Хаос" предупреждали банкиров и их клиентов, что во
всей коммуникационной сети финансовых учреждений, начиная с настольных
систем, данные должны передаваться в зашифрованном виде (см. RISKS 17.66). Должен отметить, что я встречался с одним из ведущих членов
компьютерного клуба "Хаос", Andy Mumller-Maguhn, и на
меня произвела глубокое впечатление его несомненная приверженность
некриминальному хакерству. Я надеюсь, что все большее число криминальных
хакеров будут следовать примеру членов клуба "Хаос",
выбирая для себя ответственный, цивилизованный стиль поведения.
Matt Blaze, Whitfield
Diffie, Ronald L. Rivest, Bruce Schneier, Tsutomu Shimomura, Eric
Thompson и Michael Wiener опубликовали доклад "Минимальная
длина ключа при симметричном шифровании, обеспечивающая адекватную
безопасность коммерческих систем". Авторы утверждают, что
симметричное шифрование с длиной ключа 40 бит более не способно
противостоять атакам методом грубой силы, и даже 56-битные ключи
на самом деле не могут считаться надежными. Для современных систем
настоятельно рекомендуется минимальная длина ключа в 75 бит. С
учетом роста вычислительной мощности в ближайшие 20 лет, нужны
как минимум 90-битные ключи. Полный текст этого доклада доступен
по адресам ftp.research.att.com/dist/mab/keylength.ps (формат
PostScript) и ftp.research.att.com/dist/mab/keylength.txt
(ASCII-формат).
Еще несколько сообщений
от группы NCSA IS/Recon:
политический скандал, связанный с обвинениями в прослушивании
в центральном банке. Вся деятельность персонала контролировалась
без уведомления или получения разрешения.
Лачманов признал себя виновным в участии в "электронном ограблении"
Сити-банка (Citibank) на сумму в 2.8 миллиона долларов, организованном
математиком и криминальным хакером из Санкт-Петербурга Владимиром
Левиным.
программы SATAN, проверяющей безопасность систем, подключенных
к Интернет, выпустил новую утилиту, позволяющую сравнивать текущую
и стандартную версии операционной системы (что может быть полезным
для идентификации заплат и выявления внедренного вредоносного
программного обеспечения). Характерно, что новую программу он
назвал "FUCK". Вероятно, ни один из пользователей сети
America Online (AOL) не сможет обратиться к этой программе по
имени в силу действующей там автоматической фильтрации непристойностей...
страховых компаний выпустила доклад, в котором утверждается, что
компьютерная преступность наносит индустрии ежегодный ущерб в
сумме около 1 миллиарда фунтов.
ошибку в защищенном командном интерпретаторе ssh. Эта ошибка дает
возможность пользователям извлекать из памяти секретные RSA-ключи,
что компрометирует всю систему безопасности компьютера. Для выявления
"дыры" потребовалось 20 минут, и это наводит на мысль
о большом числе оставшихся ошибок, которые Барри мог бы найти,
будь у него еще немного времени.
объявили, что в продукте Lotus Notes теперь будут использоваться
составные ключи, позволяющие правительству расшифровывать информацию,
циркулирующую в рабочих группах. Защитники права на персональную
тайну предупреждают, что данное действие является отходом от оппозиции
к инициативе администрации Клинтона по внедрению составных ключей.
Напомним, что инициатива президентской администрации получила
негативную оценку в промышленных кругах.
что с этого времени она будет закрывать счета пользователей, засоряющих
Интернет (то есть посылающих невостребованные письма большого
размера или заполняющих телеконференции неподходящими сообщениями).
Наблюдатели гадают по поводу того, кто будет решать, какие сообщения
подпадают под действие этих расплывчатых правил.
