[an error occurred while processing this directive]
Материалы предоставлены компанией Jet Infosystems
В тексте оставлено англоязычное написание слов, которые могут послужить аргументом поиска в Интернет - прим. перев.
© 1997 National Computer Security Association. All rights reservedURL: www.ncsa.com
М.Е. Кабай, доктор наук, Национальная ассоциация информационной безопасности США
Автор, M.E. Kabay, сын русского эмигранта Ильи Кабашникова, покинувшего город Вильно в 1917 году, шлет теплые поздравления своим неизвестным родственникам, проживающим в России.
| |
|
Людям нравится перспектива - и пространственная, и временная. Может быть, по этой причине каждый год многие из нас оглядываются назад, на прошедшие 12 месяцев, и вспоминают, что изменилось за это время в области их профессиональных интересов. В "NCSA News" публикуется обзор года "The InfoSec Year in Review", чтобы осмыслить события, произошедшие в области информационной безопасности. Наша группа исследований, обучения и консультирования, естественно, имеет удовольствие писать этот обзор. Предлагаемая вниманию читателей статья представляет собой существенно расширенную версию доклада, опубликованного в январском выпуске "NCSA News" за 1997 год. Каждый месяц мы готовим свежую сводку событий для наших учебных курсов "InfoSec Update"; в статье сохранено разбиение по месяцам. Кроме фактов, ниже излагаются некоторые соображения по поводу наиболее примечательных событий.
Первая проблема возникла в самую первую секунду года. Добавление лишней секунды создало трудности для программного обеспечения, управляющего распространением единого всемирного времени из Национального института стандартов и технологий (NIST) США. Лишняя секунда заставила добавить к дате целый лишний день (см. RISKS DIGEST 17.59). Подождите до 2000 года, если хотите увидеть настоящие проблемы, связанные с календарями и часами.
С начала января и до конца февраля во всем мире продолжали критиковать запрет на доступ через CompuServe к двумстам телеконференциям Usenet, наложенный в конце 1995 года в качестве дикой, явно неадекватной реакции на запрос баварского прокурора по поводу информации о телеконференциях, незаконных с точки зрения действующего в южных землях Германии законодательства. CompuServe, неспособный закрыть доступ к этим телеконференциям для части своих пользователей, "поставил шлагбаум" для всех 4 миллионов подписчиков во всем мире. К концу февраля было реализовано выборочное блокирование, позволившее отключить от крамольных телеконференций только заданные географические области. Пикантность ситуации со всеми этими запретами состоит, однако, в том, что существуют общеизвестные методы доступа к телеконференциям Usenet по электронной почте. В более широком плане можно вывести следующую мораль: наблюдается растущая тенденция налагать местные (провинциальные или национальные) ограничения на доступ к тем или иным частям Интернет. (Более детальную информацию можно найти в RISKS 17.59).
В начале года в "Wall Street Journal" было опубликовано сообщение о том, что первое санкционированное судебными властями прослушивание коммерческого поставщика Интернет-услуг привело к аресту трех лиц по обвинению в мошенническом использовании услуг сотовой связи. Эти лица рекламировали свою деятельность через CompuServe (см. "Wall Street Journal", 2 января 1996 года, с. 16).
22 января по немецкому телевидению выступил член компьютерного клуба "Хаос" (Chaos Computer Club, CCC), продемонстрировавший опасности, связанные с передачей в открытом виде по системе T-Online персональной банковской информации. Хакер (между прочим, не криминальный хакер) подключился к домашней телефонной линии, воспользовавшись незапертой коммутационной панелью в подвале жилого дома. Он перехватил идентификатор и персональный идентификационный код пользователя, после чего разорвал соединение и немедленно перевел сумму в 5 тысяч немецких марок на другой счет. Прежде чем провести публичную демонстрацию, члены клуба "Хаос" предупреждали банкиров и их клиентов, что во всей коммуникационной сети финансовых учреждений, начиная с настольных систем, данные должны передаваться в зашифрованном виде (см. RISKS 17.66). Должен отметить, что я встречался с одним из ведущих членов компьютерного клуба "Хаос", Andy Mumller-Maguhn, и на меня произвела глубокое впечатление его несомненная приверженность некриминальному хакерству. Я надеюсь, что все большее число криминальных хакеров будут следовать примеру членов клуба "Хаос", выбирая для себя ответственный, цивилизованный стиль поведения.
Matt Blaze, Whitfield Diffie, Ronald L. Rivest, Bruce Schneier, Tsutomu Shimomura, Eric Thompson и Michael Wiener опубликовали доклад "Минимальная длина ключа при симметричном шифровании, обеспечивающая адекватную безопасность коммерческих систем". Авторы утверждают, что симметричное шифрование с длиной ключа 40 бит более не способно противостоять атакам методом грубой силы, и даже 56-битные ключи на самом деле не могут считаться надежными. Для современных систем настоятельно рекомендуется минимальная длина ключа в 75 бит. С учетом роста вычислительной мощности в ближайшие 20 лет, нужны как минимум 90-битные ключи. Полный текст этого доклада доступен по адресам ftp.research.att.com/dist/mab/keylength.ps (формат PostScript) и ftp.research.att.com/dist/mab/keylength.txt (ASCII-формат).
Еще несколько сообщений от группы NCSA IS/Recon:
14 февраля агентство новостей "Новый Китай" сообщило, что все китайские пользователи Интернет должны будут впредь регистрироваться в компетентных органах. Это сообщение обозначило начало процесса официального закрытия доступа в Интернет для граждан Китайской Народной Республики. В сентябре в Китае запретили доступ более чем к ста Web-серверам, включая "Wall Street Journal", "Washington Post" и CNN. К концу 1996 года китайские пользователи были официально ограничены сетью, которая по сути представляет собой Интранет с фильтрацией международного трафика через национальные межсетевые экраны.
В средствах массовой информации, не имеющих технической специализации, появилась куча историй о предполагаемой опасности заражения вирусом, получившим название Boza/Bizatch и специфичным для Windows 95. Заблаговременные комментарии специалистов о чрезвычайно низкой вероятности поражения этим вирусом были буквально сметены нахлынувшей волной слухов, что привело к панике среди неквалифицированных пользователей персональных компьютеров и к всеобщему, хотя и необоснованному, недоверию к антивирусным продуктам.
Федеральный судья в Филадельфии вынес частичное временное ограничивающее решение, запрещающее проведение в жизнь положения закона "О благопристойности коммуникаций", касающееся непристойностей. Это решение стало первой победой в юридической борьбе против закона "О благопристойности ...", принятого в конце 1995 года и встреченного всеобщим негодованием, поскольку по мнению многих он противоречит Первой поправке к конституции США, гарантирующей свободу слова. Детали данного судебного дела и последующего успеха в запрещении проведения в жизнь закона "О благопристойности ..." можно найти на Web-сервере www.epic.org и по адресу www.aclu.org/issues/cyber/trial/trial.html. В декабре дело передано в Верховный суд, слушания назначены на март 1997 года.
Представители компании Intuit Inc. подтвердили, что в их программах расчета налогов (TurboTax и MacInTax) были ошибки. Компания поместила исправления на свой Web-сервер, предложила консультационную поддержку и пообещала уплатить штрафы, наложенные на пользователей из-за ошибок, допущенных ее программистами. Этот пример полезен для всех теоретиков и практиков контроля качества, когда нужно проиллюстрировать затраты и выгоды, связанные с инвестированием более половины средств, выделяемых на разработку программного обеспечения, в контроль качества.
Профессор Ed Felten и его дипломники из Принстонского университета продолжали анализировать слабости в безопасности Java-систем (подробности см. по адресу www.cs.princeton.edu/sip/). В ноябре David Martin <dm@cs.bu.edu> из Бостонского университета и его коллеги Sivaramakrishnan Rajagopalan <sraj@bellcore.com> и Avi Rubin <rubin@bellcore.com> (оба из компании Bellcore) указали (см. RISKS 18.61), что Java-аплеты могут атаковать межсетевые экраны изнутри. Их статью можно найти по адресу lite.ncstrl.org:3803/Dienst/UI/2.0/Describe/ncstrl.bu_cs%2f96-026.
Peter Neumann, ведущий телеконференции RISKS, рассказал еще об одном случае кибервандализма (см. также RISKS 17.83). Информационная система небольшой компании BerkshireNet - поставщика услуг Интернет в городке Питсфилд (пригород Бостона, штат Массачусетс), 27 февраля 1996 года стала жертвой атаки, в процессе которой некто, действовавший под видом системного администратора, уничтожил данные на двух компьютерах, после чего остановил работу системы. Внеплановый простой продлился около 12 часов. Старые удаленные файлы удалось восстановить, однако файлы, созданные в течение нескольких последних дней, оказались утерянными. Перед нами еще один случай, иллюстрирующий важность:
29 февраля, как сообщил в RISKS 17.81 один из корреспондентов, он обнаружил в своем электронном почтовом ящике присланные из разных мест письма со следующими датами: 29 Feb 96, 28 Feb 96, 1 May 131, 10 Jan 1936, 1 Jan 70 и 29 Dec 95. Как поют Pink Floyd, еще один кирпич в стене 2000 года...
В Англии криминальные хакеры изменили тексты, передаваемые говорящими автобусными остановками (см. RISKS 17.81). Видимо, в качестве демонстрации своих крайне хвастливых заявлений о том, что криминальное хакерство является полезной формой социального протеста (такого рода лапшу вешают в каждом номере ежеквартального хакерского издания 2600), кибервандалы заменили информацию, необходимую незрячим людям, на ругательства и непристойности.
В феврале в группу IS/Recon поступило пространное письмо, автором которого считается Nathaniel Bornstein. В письме утверждается, что компания First Virtual Holdings разработала и продемонстрировала программу, полностью подрывающую безопасность всех известных механизмов шифрования в кредитных картах для Интернет-коммерции. По мнению автора письма, проблема не может быть решена с помощью заплат, поскольку она вызвана принципиальным дефектом, присущим всем схемам шифрования в кредитных картах. Автор, используя сильные выражения, утверждает, что все методы передачи информации о кредитных картах внутренне небезопасны (поскольку все нажатия на клавиатуре персонального компьютера могут быть зафиксированы троянской программой). Он формулирует следующий тезис: "На персональном компьютере информация оказывается незащищенной уже в момент прикосновения к клавише".
В начале марта система электронной почты Белого Дома оказалась "затоплена" из-за поддельной, непрошенной подписки на Интернетовские списки рассылки, оформленной каким-то "доброжелателем" на правительственных пользователей. "Автоответчик" в Белом Доме (whitehouse.gov) реагировал на автоматически генерируемые входящие электронные сообщения, направляя ответы в соответствующие списки, что вызвало дополнительную перегрузку в Интернет. Эта атака на доступность представляет собой еще одно проявление большой и постоянно растущей проблемы киберпространства. В данном случае атаке способствовала та простота, с которой можно подделать заголовки электронных писем, в сочетании с неспособностью большей части программного обеспечения, обслуживающего списки рассылки, выявлять поддельные запросы на подписку.
В марте продолжалась атака через телеконференции троянской программы с именем PKZ300B.ZIP или PKZ300.EXE. Не принимайте, не передавайте и не выполняйте файлы, выдающие себя за PKZip версии 3.0: это вредители, способные уничтожить содержимое жестких дисков. Последняя версия программы PKZip имеет номер 2.04g; соответствующее имя файла, скорее всего, суть PKZ204g.zip.
В палату представителей и сенат Конгресса США внесен законопроект, предусматривающий разрешение экспорта аппаратуры и программ шифрования данных, если аналогичные изделия доступны от зарубежных поставщиков. Законопроект утверждает за каждым гражданином США право использовать внутри страны шифровальное оборудование любого типа и запрещает обязательное использование специальных ключей, позволяющих правоохранительным органам осуществлять доступ к шифруемым данным. Кроме того, в законопроекте объявляется преступлением применение криптосредств в преступных целях ("New York Times", 4 марта 1996 года, с. C6).
Согласно сообщению "New York Times" от 7 марта 1996 года, письмо, предназначавшееся 89 пользователям кредитных карт и извещавшее о приостановке их счетов, в результате программной ошибки было отправлено в адрес 11 тысяч (из общего числа 13 тысяч) пользователей защищенных кредитных карт банка Chase Manhattan. По иронии судьбы, это письмо получило большинство самых благонадежных (и богатых) клиентов банка, что, естественно, вызвало их раздражение. Как тут снова не вспомнить о борьбе за повышение качества программного обеспечения?
Австралийская газета "The Sunday Mail" (провниция Квинсленд) 10 марта сообщила об интересном случае с двумя Белиндами - женщинами, носящими одно и то же имя, Belinda Lee Perry, и родившимися в один день, 7 января 1969 года. Из-за непродуманной реализации механизма уникальных идентификаторов людей, совпадение имен и дат рождения гарантировало женщинам пожизненную путаницу. Время от времени одна Белинда обнаруживала, что ее данные затерты сведениями о тезке, что приводило к бесконечным неприятностям. Единственный положительный момент во всей этой истории состоит в установившихся дружеских отношениях двух страдалиц. Не пора ли программистам понять, что пара (имя, дата рождения) не подходит на роль уникального идентификатора?
Федеральная комиссия по торговле (США) начала массированную атаку против мошенничества в Интернет и WWW. Как сообщила 15 марта газета "Investor's Business Daily", комиссия выдвинула против девяти физических и юридических лиц обвинения в обманном использовании чужих имен.
В "Wall Street Journal" от 15 марта сообщается о претензиях одного из производителей дисковых приводов, компании IOMEGA. Утверждается, что ложная информация, появившаяся в разделе "Motley Fool" (пестрые глупости) сети America Online, вызвала сбои в торговле товарами этой компании. IOMEGA направила жалобу в Комиссию по ценным бумагам и бирже (США). Аналитики отмечают, что хоть в какой-то степени доверять такого рода информации, публикуемой в сетях анонимно или под псевдонимом, крайне глупо. (Конечно глупо, но, с другой стороны, кто слушает советы аналитиков?)
Консультативный орган по компьютерным инцидентам (Computer Incident Advisory Capability, CIAC) Министерства энергетики США выпустил 18 марта бюллетень "CIAC Notes" номер 96-01. В основной статье бюллетеня приводится сводная информация об ошибках и исправлениях в области безопасности Java и JavaScript. (Архив бюллетеней можно найти по адресу ciac.llnl.gov).
Член Национальной ассоциации информационной безопасности США David Kennedy сообщил (см. RISKS 17.95), что в конце марта компетентными органами Аргентины был арестован Julio Cesar Ardita, 21 года, житель Буэнос-Айреса, системный оператор электронной доски объявлений "Крик", больше известный в компьютерном подполье под псевдонимом "El Griton". Ему вменялись в вину систематические серьезные вторжения в компьютерные системы ВМС США, NASA, многих крупнейших американских университетов, а также в компьютерные системы Бразилии, Чили, Кореи, Мексики и Тайваня. Одним из интересных аспектов данного дела является использование гарвардской командой программ с искусственным интеллектом, чтобы проанализировать тысячи возможных идентификаторов пользователей и сузить круг подозреваемых до одного идентификатора, основываясь на компьютерных привычках злоумышленника. Представители правительства Аргентины конфисковали компьютер и модем хакера еще в январе. Однако, несмотря на тесное сотрудничество компетентных органов Аргентины и США, Ardita был отпущен без официального предъявления обвинений, поскольку по аргентинскому законодательству вторжение в компьютерные системы не считается преступлением. Кроме того, в силу принципа "двойной криминальности", действующего в международных правовых отношениях, Аргентина не может выдать хакера американским властям. (Принцип "двойной криминальности" утверждает, что необходимым условием выдачи гражданина другой стране является уголовная наказуемость совершенного деяния в обеих странах. Дело Ardita показывает, каким может быть будущее международных компьютерных вторжений при отсутствии всеобщих или хотя бы двусторонних соглашений о борьбе с компьютерной преступностью.)
Также в марте, "U4ea", самопровозглашенный криминальный хакер, поднял волну Интернет-террора в Бостоне. После атаки на компьютерную систему компании BerkshireNet (см. выше информацию за февраль) и последовавших публикаций в прессе, он, вероятно обидевшись, атаковал компьютеры газеты "Boston Globe" и уничтожил хранившуюся на Web-сервере информацию. Та же участь постигла Web-страницы газеты, хранившиеся на сервере www.boston.net.
В начале апреля 19-летнему Christopher Schanot, известному в компьютерном подполье Сент-Луиса под псевдонимом "N00gz", в Филадельфии было предъявлено обвинение в компьютерном мошенничестве. Старшекласснику-отличнику инкриминировался несанкционированный доступ ко многим корпоративным и правительственным компьютерам, Его жертвами стали такие компании, как Southwestern Bell, Bellcore, Sprint и SRI. В ноябре он признал себя виновным по двум пунктам обвинения в компьютерном мошенничестве и одном пункте обвинения в незаконном прослушивании. Ему грозит до 15 лет тюрьмы и штраф в размере 750 тысяч долларов. Как сообщило агентство AP 15 ноября, приговор должен быть вынесен 31 января 1997 года.
В телеконференциях (см. RISKS 18.02) появились разоблачения, касающиеся сотрудников Управления социального страхования США. Эти сотрудники злоупотребили своими правами на доступ к компьютерам Управления и продали детальную персональную информацию о более чем 11 тысячах жертвах членам шайки, занимающейся махинациями с кредитными картами. (Еще один урок по поводу важности человеческого фактора в информационной безопасности.)
Агентство Associated Press 19 апреля сообщило о проникновении хакеров в систему голосовой почты полиции Нью-Йорка. Вандалы заменили обычное вежливое приветствие на следующий текст: "Вы попали в полицейский департамент Нью-Йорка. В случае реальной опасности позвоните по телефону 119. Для всех остальных дел как раз сейчас мы немного заняты - пьем кофе с пирожными". Далее следовало: "Вы можете не вешать трубку - мы скоро ответим. Мы немного тормозим, если Вы понимаете, что имеется в виду. Спасибо". Поддельные сообщения звучали в течение 12 часов, прежде чем власти исправили ситуацию.
Peter Neumann подготовил краткое изложение новостийной статьи о важном повороте в битве против законодательства, касающегося международной торговли оружием.
"16 апреля 1996 года районный судья Marilyn Hall Patel вынесла постановление, согласно которому математик Daniel Bernstein может попробовать доказать, что сфера действия принятых в США правил контроля за экспортом криптографических технологий слишком широка и затрагивает его права на общение с другими учеными и компьютерной общественностью - права, защищаемые свободой печати. (Криптографические программы, которые разработал Bernstein, называются Snuffle и Unsnuffle. Государственный департамент США в 1993 году принял решение о том, что на статью и программы, написанные математиком, необходимо получить экспортную лицензию, поскольку согласно действующему в США законодательству поставщик криптосредств приравнивается к международному торговцу оружием. Позднее ограничения на экспорт статьи были сняты. После этого Bernstein возбудил судебное дело, требуя снять ограничения со своих программ.)"
В декабре судья Patel нанесла решающий удар по запрету, назвав его "примером бессистемного произвола", неспособного обеспечить право граждан на свободу слова (UPI, 19 декабря; RISKS 18.69).
Согласно сообщению в "San Francisco Chronicle" от 20 апреля (Peter Neumann изложил его в RISKS 18.07), личный секретарь вице-президента корпорации Oracle получила отказ в иске по поводу незаконности ее увольнения. Женщина утверждала, что ее уволили после того, как она отказалась вступить в связь с президентом компании. В качестве доказательства она привела фрагмент электронного письма, якобы отправленного ее боссом президенту. В письме босс подтверждал, что выполнил просьбу президента и уволил секретаршу. Однако, как показало следствие, в то время, когда было отправлено письмо, босс на самом деле находился за рулем автомобиля (во всяком случае, об этом свидетельствуют протоколы переговоров по сотовой связи). Истица знала пароли своего начальника (он имел обыкновение просить ее о смене пароля). Местный прокурор пришел к заключению, что электронное письмо было сфабриковано секретаршей и обвинил ее в лжесвидетельстве.
Весьма интересны выводы, к которым пришел Peter Neumann:
Причуды America Online развеселили Интернет и особенно жителей небольшого городка на востоке Англии с названием Scunthorpe, когда житель этого городка Doug Blackie попытался зарегистрировать свой новый счет. Если верить статье в "Computer underground Digest" выпуск 8.29 (изложение которой можно найти в RISKS 18.07), фильтр непристойностей, встроенный в программное обеспечение America Online, отверг слово "Scunthorpe", но принял "Sconthorpe". (На русском языке это приблизительно соответствует замене названия "Отпадинск" на "Отпудинск" - прим. перев.) С тех пор фильтр стал повсеместно известен как "AOL's Scunthorpe Filter". В других сообщениях, поступивших в телеконференцию RISKS, многочисленные корреспонденты прокомментировали эффекты фильтрации безобидных жаргонных словечек, имеющих ложные вхождения в нормальные слова на английском или, в особенности, на других языках. (Несомненно, русский читатель тут же вспомнит массу анекдотов, построенных на этом принципе - прим. перев.) Можно подумать, что программисты America Online брали уроки у разработчиков современных антивирусных средств.
Согласно сообщению английской газеты "Daily Mail" от 27 апреля (см. также RISKS 18.09), криминальные хакеры получили доступ к конфиденциальным файлам университета в Кембридже, из-за чего пришлось срочно менять пароли у 10 тысяч студентов и преподавателей. Некоторые из файлов содержали медицинскую, коммерческую и научную информацию. Однако, в отличие от эффектной газетной заметки, правда оказалась более прозаичной. Как сообщил Stephen Early <sde1000@chiark.chu.cam.ac.uk> (см. RISKS 18.10), в одной из подсетей информационной системы университета была обнаружена установленная программа перехвата сетевых пакетов.
Женщина-законодатель из Калифорнии решила выяснить, почему она постоянно получает письма, предназначенные одиноким родителям. Оказалось, что алгоритмы, реализованные в демографических программах штата, содержат предположение о том, что если в свидетельстве о рождении у родителей ребенка разные фамилии, эти родители не состоят в браке. Таким образом, правомерность статистического заключения "30% матерей в Калифорнии воспитывают детей в одиночку", оказалась серьезно поколебленной. В декабре столь же бурную реакцию вызвала публикация в "USA Today", в которой утверждалось, что показатели компьютерного индекса цен, базирующиеся на понятиях сельскохозяйственного и индустриального прошлого, абсолютно не годятся для измерения производительности труда и затрат в постиндустриальной экономике, основанной на информации и предоставлении услуг. (Как говорится, что посеешь, то и пожнешь, или, выражаясь более современно, мусор введешь, мусор и получишь.)
Информационный сервис Edupage сообщил, что компания DVD Software предлагает утилиту "UnGame", отыскивающую и уничтожающую компьютерные игры в соответствии с ежемесячно обновляемым списком. По данным на июнь, более 20 колледжей и университетов приобрели и используют эту утилиту, чтобы уменьшить время, растрачиваемое студентами, занимающими дефицитные терминалы и рабочие станции под игры, тогда как другие студенты нетерпеливо ожидают возможности поработать за компьютером. ("Chronicle of Higher Education", 7 июня 1996 года, с. A24).
Новая версия программы управления дорожным движением, установленная в Вашингтоне, без всяких видимых причин перевела работу светофоров с режима часов пик (50 секунд зеленого света), на режим выходных дней (15 секунд зеленого света). Возникший хаос привел к удвоению времени поездок многих людей.("Washington Post", 9 мая).
Во Франции два поставщика Интернет-услуг, WorldNet и FranceNet, решили отключить доступ ко всем телеконференциям Usenet, поскольку французская прокуратура пригрозила арестом директоров, несущих персональную ответственность за нарушение национальных законов Франции о детской порнографии. Последовала буря протестов, а Французская ассоциация профессионалов Интернет обратилась за международной поддержкой в борьбе с полицейской акцией, предложив блокировать всю сеть Usenet (см. RISKS 18.11).
Откликаясь на эти события, Simson L. Garfinkel <simsong@vineyard.net> указал (см. RISKS 18.13), что блокировать отдельные телеконференции Usenet, поставляющие педофилам детскую порнографию, довольно легко. Более того, хранение или передача детской порнографии является федеральным преступлением. Всякая организация, поддерживающая соответствующие телеконференции на территории Соединенных Штатов (в том числе America Online), нарушает федеральное законодательство.
Согласно сообщению агентства AP от 18 мая, First National Bank of Chicago допустил самую большую счетную ошибку в финансовой истории. В результате компьютерной ошибки (читай - плохого контроля качества) около 900 миллионов долларов были переведены на каждый из примерно 800 счетов. Суммарная ошибка, таким образом, составила 763.9 миллиарда долларов. Интересно, какую премию по итогам года получили программисты?
Также 18 мая австралийское агентство Associated Press сообщило о краже микросхем памяти и жестких дисков из 55 компьютеров, установленных в здании правительства провинции Квинсленд.
Еврейское издательское общество выпустило компакт-диск с иудейской информацией. Покупатели этого диска были неприятно поражены, увидев, что в программе предохранения экрана использована христианская символика. Вероятно, диск готовила компания, ориентированная преимущественно на христиан, и предохранение экрана было в данном случае добавлено без учета контекста. К счастью для межрелигиозных отношений, обе стороны признали свою ответственность за случившиеся и поделили расходы на переиздание и повторное распространение исправленной версии диска. Автор сообщения об этом случае в RISKS 18.14, Matthew P Wiener <weemba@sagi.wistar.upenn.edu>, пошутил, что, по всей видимости, издатели не смогли организовать должного бета-тестирования.
По сообщению "Wall Street Journal" от 22 мая, две японские компании потеряли около 588 миллионов иен после того, как мошенники научились не только подделывать денежные карты, но и увеличивать закодированную на них сумму. Электронные деньги переводились на обычные банковские счета.
23 мая Rachel Polanskis <r.polanskis@nepean.uws.edu.au> сообщила о том, что поисковый сервер AltaVista включил в свой индекс файлы из корневого каталога незащищенного Web-сервера. Когда она посредством навигатора отправилась по найденной ссылке, то обнаружила, что получила суперпользовательский доступ к системе, о которой ранее никогда не слышала. Рэчел весьма любезно проинформировала о создавшейся ситуации администраторов Web-сервера, которые тут же отключили его от сети и занялись восстановлением защиты. Мораль состоит в том, что плохая система безопасности на Web-сервере почти наверняка ведет к его полной компрометации и получению доступа ко всей информации. (RISKS 18.15).
David Kennedy изложил (в RISKS 18.15) сообщение агентства Associated Press о сенатских слушаниях, посвященных информационной безопасности. Правительственное статистическое управление провело исследование числа незаконных проникновений в компьютерные системы. Это исследование опиралось на данные американского Министерства обороны, согласно которым военные системы с несекретной информацией в 1995 году подвергались атакам 160 тысяч раз. Агентство информационных систем Министерства обороны собрало собственные данные, организовав около 38 тысяч тестовых атак на несекретные системы. Примерно 65% атак оказались успешными, причем лишь малая часть из них была обнаружена, а еще меньшая - должным образом доведена до сведения командования. Обобщив все эти данные, статистическое управление пришло к выводу, что в 1995 году на правительственные компьютеры США было совершено около 250 тысяч атак. На слушаниях говорилось также, что примерно в 120 странах разрабатывают средства ведения информационной войны. Peter Neumann указал, что отчет статистического управления можно запросить в правительстве по наименованию "GAO/AIMD-96-84, Information Security: Computer Attacks at Department of Defense Pose Increasing Risks".
В конце мая с новой силой разгорелась торговая война между Китаем и Соединенными Штатами. США объявили о введении набора тарифов на общую сумму в 2 миллиарда долларов в качестве компенсации за "массовое, терпимое и даже поддерживаемое государством программное, музыкальное и видеопиратство, поставленное в южном Китае на промышленную основу". (Reuters, 22 мая). Китайские чиновники заявили в ответ, что американское давление на пиратов служит лишь прикрытием для "культурного просачивания".
В Израиле полиция закрыла три пиратские радиостанции, несанкционированно вещавшие на волнах, зарезервированных для управления воздушным движением. (AP, 23 мая). Закрытию предшествовала забастовка авиадиспетчеров, парализовавшая работу основного аэропорта Тель-Авива. Естественно, возникает вопрос: "Если гражданские радиостанции могут непреднамеренно нарушить функционирование важного аэропорта, то что в состоянии сделать высокоэнергетические радиочастотные устройства (так называемые HERF-пушки)?".
Продолжая борьбу за защиту персональных данных, конгрессмен-республиканец Bob Franks и сенатор-демократ Dianne Feinstein внесли на рассмотрение своих палат законопроект, запрещающий предоставление информации о детях без согласия родителей (AP, 23 мая). Подобная информация, которую собирают клубы дней рождений в супермаркетах, магазинах игрушек, киосках быстрого питания и т.п., поставляется компаниям, занимающимся рыночными исследованиями и прямой рассылкой товаров по почте. Сторонники законопроекта утверждают, что почтовые списки, доступные за плату кому угодно, являются на самом деле списками потенциальных жертв.
28 мая Robert Alan Thomas, 40-летний житель калифорнийского города Милпитас, был приговорен судом штата Юта к 26 месяцам заключения в федеральной тюрьме и штрафу в размере 50 тысяч долларов за распространение детской порнографии. Параллельно действует другой приговор, вынесенный в Тенесси, согласно которому развратник и его жена должны отбыть 32 месяца в тюрьме штата за распространение непристойных изображений. Данное дело имеет весьма серьезные последствия для операторов электронных досок объявлений. Суд постановил, что любая передача или прием подобного изображения может послужить основанием для выдвижения обвинения.
Национальный исследовательский совет опубликовал в конце месяца доклад, посвященный контролю над криптосредствами. Коллектив известных ученых настоятельно рекомендовал исключить криптосредства из законодательства о международной торговле оружием. В докладе утверждается, что большинство целей, ради которых ограничивается экспорт криптосредств, может быть достигнуто путем разработки криптографического программного обеспечения, предусматривающего возможность восстановления ключей или наличие мастер-ключей для расшифровки сообщений по постановлению судебных властей.
Один из сотрудников нашей Ассоциации, занимающийся исследованием компьютерного подполья, сообщил об аресте в собственном доме 16-летнего английского хакера со звучным псевдонимом "Datastream Cowboy". Ему вменяются в вину вторжения в компьютеры базы ВВС США в Rome Laboratories (Нью-Йорк) и в некоторые другие международные сети. Еще одно сообщение гласит, что вашингтонская группа криминальных хакеров "9x" начала выпуск серии хакерских текстовых файлов.
Правительство Вьетнама опубликовала новые законы о контроле доступа к Интернет, закрыв все сервисы, представляющие угрозу национальным интересам. (AP, 4 июня).
В газете "London Times" от 3 июня сообщается, что хакерам было выплачено 400 миллионов фунтов стерлингов в качестве отступного за обещание не поднимать шума. Хакеры осуществили электронное проникновение в ряд банков, брокерских контор и инвестиционных компаний Лондона и Нью-Йорка, установив там логические бомбы. Банки предпочли удовлетворить требования вымогателей, поскольку огласка случаев электронного взлома могла бы поколебать уверенность клиентов в безопасности банковских систем.
Средства массовой информации советуют администрации Клинтона сформировать группу обеспечения кибербезопасности для определения национальных интересов при защите от информационного оружия. ("USA Today", 5 июня).
В Питсбурге трехлетний малыш получил извещение о необходимости уплатить 219495 долларов подоходного налога. Родители мальчика пережили немало тяжелых минут, доказывая, что произошла ошибка. ("Но мой компьютер говорит...".)
На слушаниях в постоянном сенатском подкомитете по исследованиям адвокат Dan Gelber привел данные неназванной исследовательской фирмы. Согласно этим данным, общемировые потери в секторе коммерческих и финансовых услуг составили за год около 800 миллионов долларов. Более половины потерь приходится на долю американских компаний. ("Wall Street Journal", 6 июня).
Содержите компьютеры в чистоте! Как свидетельствует доклад, опубликованный в Швеции, сочетание пыли и статического электричества приводит к росту числа кожных раздражений у пользователей компьютерных терминалов. (RISKS 18.21).
Британская компания Davy International возбудила иск о промышленном шпионаже против австралийской фирмы VA Technologie AG. По постановлению суда истец получил документы общим объемом 2000 страниц и компьютерные диски, содержащие информацию, принадлежащую Davy International; все это было изъято у ответчика. VA Technologie решительно отвергла обвинения в свой адрес (Dow Jones, 6 июня). Несколько недель спустя норвежская кораблестроительная фирма Kvaerner ASA (родительская компания Davy) присоединилась к процессу против VA. Недолго думая, VA Technologie возбудила встречный иск против своих обвинителей. (Dow Jones, 21 июня).
Телезрители чикагского региона были поражены, когда вместо знакомой (весьма, кстати сказать, слащавой) телеигры Jeopardy, в которой три участника дают ответы в форме вопросов, они увидели прыгающих обнаженных женщин. Оказалось, что из-за технической неисправности компания Continental Cablevision 10 минут транслировала Playboy Channel на частотах, выделенных для телеигры. (RISKS 18.22).
Компания Lexis-Nexis, предоставляющая информационные услуги, отреагировала на шквал критики, в особенности от пользователей Интернет. В набор персональных сведений, выдаваемых сервисом P-Trak Person Locator Service, перестал включаться номер социального страхования. Однако, после тысяч телефонных звонков по поводу ложной информации, циркулирующей в Интернет, попавшая буквально в осаду компания предложила средства для удаления неправильных записей из базы данных. (AP, 13 июня; UPI, 20 сентября).
Министр юстиции США Janet Reno поддержала идею составных ключей для криптостойких средств, но предложила, чтобы в качестве хранителей ключей выступали частные организации, а не правительственные агентства.
Секретные службы США объявили об аресте 259 подозреваемых, которых обвиняют в нанесении ущерба на сумму более 7 миллионов долларов в результате махинаций с сотовой связью (Reuters, 18 июня). Практически одновременно AT&T Wireless Services начала трехмесячную просветительскую компанию с размещением информации в вагонах Нью-Йоркской подземки, на почтовых открытках и рекламных щитах. Потенциальных воров предупреждали, что компании-операторы сотовой связи имеют возможность отслеживать украденные телефоны.
Еще об одном подозрении в промышленном шпионаже. Американское отделение немецкой фармацевтической фирмы Boehringer Mannheim Corp. обвинило Lifescan Inc., подразделение компании Johnson & Johnson, производящее продукты для диабетиков, в поощрении промышленного шпионажа. Основанием для обвинения послужило присуждение премий "Inspector Clouseau" и "Columbo" сотрудникам, добывшим наибольшее количество сведений о конкурентах. (AP, 19 июня).
В середине июня крупная компания-поставщик Интернет-услуг Netcom допустила 13-часовой перерыв в работе, результатом которого стало массовое негодование клиентов и резкое падение курса акций - с $33.25 до $28.75 (Reuters, 21 июня; RISKS 18.23). Днем позже система электронной почты в сети America Online была на час выведена из строя из-за ошибки в новом программном обеспечении. Остроумные комментаторы тут же переименовали сервис в "America Offline". В августе сеть America Online не работала 19 часов.
В Британии Mathew Bevan и Richard Pryce были обвинены в заговоре с целью получения несанкционированного доступа к компьютерам и внесения несанкционированных модификаций в компьютеры. Им приписывают вторжения в компьютерные системы армии США и ракетно-космического концерна Lockheed. (PA News, 23 июня).
Подданный Аргентины Guillermo Gaede был приговорен судом Сан-Франциско к 33 месяцам заключения в федеральной тюрьме. Гильермо сознался в том, что он отправил видеокассеты с описанием технологии производства Intel-микросхем в адрес компании AMD, одного из главных конкурентов Intel. Представители AMD немедленно уведомили полицию о присланном "подарке", и это позволило задержать промышленного шпиона. (Reuters, 24 июня).
Директор ЦРУ John Deutch предостерег Конгресс о том, что США сталкиваются с растущей угрозой атак против компьютерных сетей. Эти киберпространственные атаки могут быть инициированы другими странами и террористами.
В городе Леония (штат Нью-Джерси) был арестован 14-летний мальчик. Его обвинили в использовании фальсифицированных номеров кредитных карт для кражи компьютерного оборудования на сумму 5 тысяч долларов. Мальчик использовал генератор номеров кредитных карт, взятый им в Интернет, и случайно создал номер кредитной карты. числившейся в списке украденных. (Reuters, 29 июня).
В июньском выпуске бюллетеня "Health Letter", издаваемого Public Citizen Health Research Group, рассказывается о влиянии радиочастотных помех на медицинские устройства. Такие помехи не давали пневмо-монитору извещать персонал больницы о прекращении дыхания у пациента. Имплантированный дефибриллятор направлял импульс здоровому сердцу. Электрические устройства интерферировали с двигателями инвалидных кресел. Особенно чувствительными к радиопомехам оказались имплантированные устройства, задающие частоту сокращения сердечной мышцы. (RISKS 18.47).
Один пункт в июньском докладе группы NCSA IS/Recon представляет особый интерес. Приведем его полностью.
Два жителя Бруклина были арестованы за кражу 80 тысяч номеров сотовых телефонов у проезжих автомобилистов. По словам сотрудников секретных служб, это крупнейшая кража такого рода в истории США. Если бы эти номера удалось реализовать на черном рынке, ущерб от незаконно использованных телефонных услуг составил около 80 миллионов долларов (AP, 2 июля).
В июльском выпуске бюллетеня "Health Letter" сообщается, что аналоговые сотовые телефоны вызывают "минимальную интерференцию" в течение 3% времени своей работы, тогда как все цифровые телефоны демонстрируют заметный уровень интерференции с устройствами, задающими частоту сокращения сердечной мышцы. (RISKS 18.47).
Потерпев впечатляющую неудачу в контроле качества продуктов для других стран, корпорация Microsoft вынуждена была принести извинения за испаноязычный электронный словарь, распространявшийся в Мексике. Словарь предоставлял непристойные синонимы многих слов и вызвал политический скандал. (6 июля).
35-летний компьютерный оператор нанес своему работодателю, компании Thorn UK, ущерб в размере более полумиллиона фунтов. Оператор, в знак недовольства начальником, скрытно отсоединил несколько кабелей от миникомпьютера AS/400. Адвокат пытался доказать, что его подзащитный сошел с ума от напряжения, вызванного постоянным чередованием работы с дневную и ночную смены. После отключения кабелей компьютерная система стала периодически зависать, пока дорогостоящий специалист, прилетевший из США, не обнаружил проявления саботажа. Оператора приговорили к году тюремного заключения. (PA News, 9 июля).
Полиция предупредила путешественников о необходимости защищать свои лэптопы от краж в аэропортах. Обычный сценарий кражи таков. Два вора дожидаются, когда их жертва поставит лэптоп на ленту транспортера устройства просвечивания. Компьютер начинает движение через сканер, а в это время воры влезают в очередь перед хозяином лэптопа. Один быстро проходит контрольный пункт, а другой, намеренно набравший в карманы всяких железяк, задерживает всех на несколько секунд. Пользуясь этим, первый вор хватает выехавший из устройства просвечивания переносной компьютер и исчезает. ("Wall Street Journal", 9 июля).
В августовском номере Windows Magazine сообщается, что многие Web-серверы не защищены от вторжений, совершаемых с помощью обычных программ-навигаторов. Используя стандартные средства поиска в WWW, исследователи обнаружили, что многие серверы предоставляют неограниченный доступ к своим файлам на чтение и даже на запись. (Более подробную информацию можно найти по адресу http://techweb.cmp.com/corporate).
Национальная ассоциация кабельного телевидения США объявила о своем намерении предоставить кабельное хозяйство для высокоскоростного доступа в Интернет для 95 тысяч частных и общественных школ. (AP, 9 июля). Не было никаких свидетельств, что программа включает в себя какие-либо элементы обучения детей и учителей, которые получат доступ к Интернет. Будем надеяться, что школьникам хотя бы разъяснят основные этические нормы, ведь результатом всеобщего неведения может стать новое поколение криминальных хакеров.
Сингапур пополнил список правительств, пытающихся препятствовать свободному информационному обмену с остальным миром. Новые правила лицензирования ставят поставщиков Интернет-услуг под строгий контроль, обязывая их по возможности блокировать антиправительственные и порнографические материалы. Компетентные органы, однако, настойчиво отрицают наличие какой бы то ни было цензуры; по их словам, они просто просят лицензиатов об ответственном поведении. (AP, 11 июля). В течение недели одна из компаний-поставщиков закрыла доступ к телеконференции Usenet, в которой житель Сингапура покритиковал авторитетную сингапурскую юридическую фирму. (AP, 19 июля). Агентский сервер китайского правительства начал функционировать в конце августа; в сентябре его ввели в промышленную эксплуатацию. В конце сентября в Бирме запретили использование модемов и факс-машин.
Старшеклассники из Сан-Франциско проникли в офисную АТС местной производственной компании и атаковали ее систему голосовой почты. Они удалили информацию, изменили пароли, завели новые счета для собственного использования и в конце концов развалили систему, перегрузив ее. Компания потратила 40 тысяч долларов на техническую поддержку, осуществляемую внешним специалистом. ("San Francisco Chronicle", 10 июля 1996 года, с. A13; RISKS 18.26).
В середине июля корпорация General Motors отозвала 292860 автомобилей марки Pontiac, Oldsmobile и Buick моделей 1996 и 1997 годов, поскольку ошибка в программном обеспечении двигателя могла привести к пожару. (RISKS 18.25).
Одна студентка потеряла драгоценную стипендию в 18 тысяч долларов в Мичиганском университете из-за того, что ее соседка по комнате воспользовалась их общим входным именем и отправила от имени своей жертвы электронное письмо с отказом от стипендии. (UPI, 12 июля). Месяцем позже соседка созналась в своем поступке, заплатила крупный штраф, а университет восстановил пострадавшую студентку в правах.
Компания Dataquest опубликовала прогноз, согласно которому объем мирового рынка информационной безопасности за период с 1996 по 2000 год более чем удвоится и составит в денежном выражении 13.1 миллиарда долларов (в 1996 году - 5.9 миллиарда).
По сообщению специалистов компании McAfee, в июле был открыт первый в мире макровирус для Excel, названный "Laroux". Компания тут же выпустила антивирусную программу. По-видимому, этот вирус не содержит разрушительной "начинки".
22 июля фондовая биржа в Иоханнесбурге прервала работу во второй раз за последние две недели (10 июля было установлено новое программное обеспечение). Причина - плохой контроль качества программ. (RISKS 18.28). В середине октября Каирская фондовая биржа столкнулась с проблемами в недавно установленном программном обеспечении. После аварии системы биржевые цены и объем торгов значительно упали (Reuters, 16 октября). В декабре фондовая биржа в Гонконге испытала падение акций на 1% при объеме торгов в 1 миллиард долларов, когда система автоматического сопоставления и исполнения заявок выдала ложное сообщение о снижении на 4% индекса Hang Seng (это основной показатель на данной бирже). Ошибочные данные вызвали панические продажи, продолжавшиеся около 20 минут. (RISKS 18.67).
24 июля в Комитет по торговле Сената США поступил законопроект 1726 - "Поддержка онлайновой коммерции в цифровой век" (Promotion of Commerce Online in the Digital Era Act, известный также под названием "pro-code"). Этот законопроект должен отменить большинство экспортных ограничений и запретить обязательное восстановление ключей. В сентябре слушания по законопроекту не состоялись.
В подпольном мире состоялся крупный съезд криминальных хакеров (Defcon IV). В Лас-Вегас приехали также некриминальные элементы, заинтересованные в информационной безопасности. Среди докладчиков была Netta Gilboa, издатель журнала "Gray Areas Magazine". В свое время у нее нашел убежище юный беглец Christopher Schanot. Ее выступление постоянно перебивали и в конце концов вырвали презентационные материалы у нее из рук. Этот инцидент вызвал бурное негодование в списке рассылки DEFCON.
По каналам европейских новостей прошли сообщения о том, что ЦРУ США осуществило хакерские проникновения в компьютеры Европейского парламента и Европейской комиссии, чтобы выкрасть экономические и политические секреты. Утверждается, что персонал Комиссии обнаружил свидетельства того, что американцы использовали информацию, добытую криминальным, хакерским путем, для получения преимуществ по Генеральному соглашению по тарифам и торговле. ("Sunday Times", 4 августа; RISKS 18.30).
Телефонные хакеры проникли в офисную АТС Скотланд-Ярда и нанесли ущерб в размере около 1.5 миллионов долларов неоплаченными звонками с использованием прямого доступа к внутренним сервисам. (Reuters, 5 августа).
Церковь сайентологов приняла решение отозвать один из своих многочисленных судебных исков о нарушении авторских прав после того, как компания Netcom On-Line Communication Services согласилась выдавать на пользовательские экраны предостережения о необходимости соблюдать права на интеллектуальную собственность. Церковь сайентологов нередко добивается возмещения, когда ее религиозные учения, оформленные ею как защищенные авторскими правами коммерческие секреты, публикуются без получения на то разрешения. (AP, 5 августа).
Один из корреспондентов списка рассылки "Best of Security" сообщил 9 августа: "Exploder - это один из элементов управления в среде ActiveX. демонстрирующий проблемы с информационной безопасностью в Microsoft Internet Explorer. Exploder выполняет аккуратное завершение работы систем под Windows 95 и даже выключает питание на компьютерах, BIOS которых содержит средства энергосбережения (так называемые "зеленые" компьютеры)."
Несколько недель спустя профессор Принстонского университета Ed Felten вместе со своей группой обнаружил брешь в защите в Internet Explorer 3.0. Используя эту брешь, атакующий, должным образом сформировав свою Web-страницу и "заманив" на нее пользователя Explorer, может выполнить на компьютере последнего любую DOS-команду. Например, атакующий может прочитать, изменить или удалить файлы, внедрить вирус или троянскую программу в компьютер своей жертвы. Ученые создали Web-страницу, чтобы продемонстрировать выявленную проблему, удаляя файл на машине зашедшего на эту страницу Explorer-пользователя. (RISKS 18.36). В декабре газета "Computerworld" сообщила, что объекты, построенные в среде ActiveX, могут осуществлять доступ к системным ресурсам на компьютерах пользователей, что способно привести к нарушениям безопасности или повреждению данных на ПК. (RISKS 18.69).
На собрании Американской психологической ассоциации в Торонто говорилось о явлении "интернетомании", напоминающем наркоманию. Доктор Kimberly Young из Питсбургского университета рассматривала детали интернетоманского поведения. Например, известны случаи, когда люди в силу личной потребности проводили в Интернет в среднем 38.5 часа в неделю. Некоторые интернетоманы старались ходить в Сеть посреди ночи, чтобы избежать упреков со стороны родных; другие норовили сказаться больными, чтобы иметь возможность остаться дома и путешествовать по Интернет. Часть людей растягивала обеденный перерыв на три часа, чтобы вдоволь поиграть в Сети. (AP, UPI, 10 августа).
Профессор юриспруденции Peter D. Junger возбудил дело в федеральном суде Кливленда. Цель профессора - запретить федеральным властям ограничивать его или чьи бы то ни было права на обсуждение несекретных криптографических технологий с любым гражданином любой страны, равно как и права на свободную публикацию информации такого рода. Толчком к подаче иска стало раздражение профессора, вызванное ощущением, что законодательство о контроле за международной торговлей оружием мешает ему обсуждать криптографические алгоритмы в рамках курса по компьютерному праву, среди слушателей которого есть иностранные студенты. ("COMTEX News", 12 августа).
Эмоционально неуравновешенный субъект, использовавший псевдоним "johnny xchaotic", взял на себя ответственность за крупный взрыв "почтовой бомбы", вызванный сфабрикованной подпиской десятков жертв на сотни списков рассылки. В непоследовательном, бессвязном письме, посланном им в Интернет, он (или она?) позволил себе грубые замечания в адрес людей знаменитых и не очень, по существу лишившихся возможности получать осмысленную электронную почту из-за приходящих каждый день тысяч нежелательных сообщений. (Dow Jones, 16 августа). По-видимому, тот же субъект, действуя на этот раз под псевдонимом "unamailer" (так пресса окрестила виновника августовского происшествия), организовал аналогичную массовую "подписку" в конце декабря.
В середине августа нападению вандалов подвергся Web-сервер Министерства юстиции США. Электронные "художники" поместили на сервер свастику, изображения Гитлера, фотографии обнаженных женщин, а также грубые насмешки в адрес администрации Клинтона и закона о благопристойности коммуникаций (Communications Decency Act). Кроме того, была искажена информация о правительственной программе помощи оскорбленным женщинам (AP, 17 августа). В сентябре список организаций с оскверненными Web-серверами пополнили Британская консервативная партия, "Нация Ислама", Американская ассоциация психоаналитиков и ЦРУ, которое шведские кибервандалы 19 сентября переименовали в "Центральное Управление Тупости". (Иллюстрация)
В городке Амерст (США) воры украли компьютеры и носители данных с информацией, стоимость которой оценивается в 250 миллионов долларов. Этот случай следует охарактеризовать как акт откровенного промышленного шпионажа, направленного против компании Interactive Television Technologies, Inc. Похищенная информация касалась совершенно секретного проекта по превращению каждого телевизионного приемника в устройство доступа к Интернет.
Вирус "HDEuthanasia", который создал некто с псевдонимом "Demon Emperor", вызвал в августе легкую панику, главным образом из-за преувеличений и передергиваний в средствах массовой информации. На самом деле, этот "скачущий" вирус не обладает какими-то уникальными свойствами. (PA News, 20 августа; Reuters, 22 августа).
По сообщению журнала "Defense News", американская армия в Боснии столкнулась с многочисленными случаями заражения компьютерными вирусами "Monkey", "AntiEXE" и "Prank". Армейскому персоналу пришлось потратить сотни часов, отыскивая вирусы и очищая зараженные системы. (RISIS 18.39).
В Хельсинки Johan Helsingius опротестовал обвинение в том, что большая часть мировой детской порнографии пересылается через его сервис анонимной почты anon.penet.fi. Спустя короткое время он все-таки закрыл свой сервис, поскольку продолжавшееся полицейское расследование вызвало у него отвращение. (Reuters, 28 августа; см. также www.stack.nl/~galactus/remailers/index-penet.html).
Новости из подполья. Шайка криминальных хакеров "Scriptors of Doom" начала еженедельную публикацию средств использования слабостей в защите операционной системы HP-UX. Криминальный хакер "Galf" начал мстить за нападки на Netta Gilboa на съезде Defcon, разрушая системы обидчиков.
Компания America Online начала блокировать всю электронную почту от пяти фирм, "фарширующих" Интернет низкопробной продукцией: cyberpromo.com, honeys.com, answerme.com, netfree.com и servint.com. (AP, 4 сентября). Фирма CyberPromo, один из самых злостных нарушителей этики Интернет, запрещающей рассылать по электронной почте всякий хлам, возбудила судебный иск, обвиняя AOL в нарушении прав на свободу слова. На заседании, состоявшемся 4 ноября, суд Филадельфии отверг эти аргументы. (EPIC Alert 3.19). Суд постановил, что вопреки утверждениям Cyber Promotions, компания AOL на самом деле имеет право блокировать поток, изливаемый плодовитым производителем непрошенных электронных сообщений. Судья отклонил ссылки на Первую поправку к конституции, заявив, что ни у кого нет права навязывать ненужную электронную корреспонденцию подписчикам Интернет-услуг. (AP, 4 ноября). В другом деле со сходной тематикой, компания Concentric Network Corporation возбудила 2 октября судебный иск против Cyber Promotions и ее владельца Sanford Wallace, требуя моральной и материальной компенсации за ущерб, вызванный отправкой тысяч поддельных электронных сообщений с низкопробным содержанием, якобы исходящих от Concentric Network. Этот хлам вызвал перегрузку сети, так как десятки тысяч писем с несуществующими адресами были возвращены бедным "отправителям", в почтовую систему Concentric Network. По постановлению суда фирмы Wallace и Cyber Promotions подписали клятвенные заверения больше никогда так не делать (см. www.concentric.net).
В начале сентября неизвестный криминальный хакер организовал против поставщика Интернет-услуг PANIX (Нью-Йорк) атаку с использованием так называемого "SYN-наводнения". Смысл данной атаки в том, что на сервер направляется поток поддельных запросов на установление TCP-соединений с несуществующими IP-адресами. Этот поток вызывает перегрузку сервера, что ведет к отказу в обслуживании законных пользователей. (AP, 13 сентября; RISKS 18.45). В течение недели специалисты по TCP/IP предоставили заплаты для противостояния подобным атакам на доступность. Исчерпывающий анализ данной проблемы можно найти по адресу info.cert.org/pub/cert_advisories/CA-96.21.tcp_syn_flooding.
Также в Нью-Йорке губернатор Pataki подписал новый закон, объявляющий уголовным преступлением компьютерную передачу непристойных материалов лицам, не достигшим семнадцати лет. Закон определил новый класс E уголовных преступлений - распространение непристойных материалов среди подростков среднего возраста (Penal Law Section 235.21). Такие деяния наказываются заключением в тюрьме штата на срок до четырех лет. (LACC-D, 12 сентября).
Как явствует из интервью с Margot Kidder, опубликованного в "People Online", компьютерный вирус стал последним звеном в цепи, приведшей ее к широко обсуждавшемуся в прессе нервному расстройству. (Актрису нашли на чьем-то заднем дворе, съежившуюся и что-то бормочущую.) Неидентифицированный вирус необратимо разрушил единственный экземпляр книги, над которой исполнительница главной роли в фильме "Супермен" работала три года. Резервной копии сделано не было. (RISKS 18.46).
Заместитель начальника управления по экономическим преступлениям Министерства внутренних дел России сообщил, что российские хакеры с 1994 по 1996 год сделали почти 500 попыток проникновения в компьютерную сеть Центрального банка России. В 1995 году ими было похищено 250 миллиардов рублей. (ИТАР-ТАСС, AP, 17 сентября).
Бурю протестов вызвало известие о том, что газеты "Tampa Tribune" и "St. Petersburg Times" получили компьютерные диски с именами 4 тысяч жертв СПИДа. Диски были присланы из окружного управления здравоохранения вместе с анонимным письмом, в котором утверждалось, что служащий управления показывал людям в баре список больных и предостерегал своих друзей от контактов с ВИЧ-инфицированными. (AP, 20 сентября). Служащий сознался в преступлении и в октябре был уволен.
Компания Penguin Books распространила по электронной почте сфабрикованный совет от имени вымышленного профессора Edward Prideaux из несуществующего Колледжа славянских наук. Текст розыгрыша был таким: "По Интернет рассылается компьютерный вирус. Если Вы получите электронное сообщение с заголовком "Irina", немедленно УДАЛИТЕ его, НЕ читая. Некий злодей рассылает сведения о людях и файлы с заголовком "Irina". Если Вы наткнетесь на такое письмо или файл, не загружайте его. Содержащийся в нем вирус затрет Ваш жесткий диск, уничтожив все данные. Пожалуйста, соблюдайте осторожность во время путешествий по Интернет. Перешлите данное письмо Вашим близким и знакомым." Письмо вызвало беспокойство у некоторых получателей, которые засыпали своих антивирусных поставщиков запросами о помощи против этой несуществующей напасти. (Graham Cluley, в "Proceedings of the International Virus Prevention Conference '97").
Телефонные хакеры начали прослушивать телефонные линии в квартирах и домах американцев, подключаясь к каналам, проходящим через расположенные неподалеку "бежевые ящики". Такие ящики стоят на тротуарах по всей Америке. Специалисты компании Pacific Bell утверждают, что только в Калифорнии каждую неделю выявляется 10 - 15 новых "включений". Ежегодный ущерб, наносимый при этом компании, оценивается в несколько миллионов долларов. (UPI, 22 сентября).
В Кентукки бывший сотрудник управления по сбору налогов сознался в краже 4.2 миллионов долларов из казначейства штата. Он использовал компьютеры штата для организации компенсационных налоговых выплат на счет созданной им фиктивной корпорации (AP, 23 сентября).
Paul Engel, брокер фондовой биржи в Сан-Франциско, сообщил, что размолвка с сотрудником исследовательской фирмы SRI International Inc. привела к "взрыву" 23 сентября "почтовой бомбы". В этот день Пол получил от компьютеров SRI 25 тысяч писем, состоящих из одного слова - "Идиот". Поток писем сделал работу за компьютером невозможной, поэтому в декабре мистер Энгель предъявил фирме SRI иск на 25 тысяч долларов. (UPI, 27 декабря). Независимо от исхода судебного разбирательства, данный случай еще раз доказывает, что корпоративная политика безопасности должна явным образом задавать границы допустимого использования корпоративных идентификаторов пользователей в Интернет.
На шокированную женщину обрушились сотни телефонных звонков с запросами сексуальных услуг после того, как ее имя и телефон, якобы принадлежащие проститутке, были разосланы по Интернет. (PA News, 25 сентября).
В конце сентября злобный робот-стиратель удалил 27 тысяч сообщений из различных телеконференций в Usenet. Особенно пострадали телеконференции, организованные иудеями, мусульманами, феминистками и гомосексуалистами. У некоторых "стирателей" были расистские и человеконенавистнические имена. В настоящее время не ясно, противоречит ли подобный вандализм каким-либо законам, зато достаточно очевидно, что аналогичные атаки будут продолжаться до тех пор, пока правом на удаление сообщений из Сети не будут обладать только их однозначно идентифицируемые авторы. ("San Jose Mercury News", 25 сентября).
Судом Лос-Анджелеса Kevin Mitnick был обвинен по 25 пунктам, включая кражу программного обеспечения, повреждение компьютеров в университете Южной Калифорнии, неавторизованном использовании паролей, а также использовании украденных кодов сотовых телефонов. Кевин не признал себя виновным. (AP, Reuters, 27, 30 сентября).
Как забавное напоминание о розыгрыше с вирусом "Good Times", начавшемся в 1994 году, некто продемонстрировал, как написать текст на HTML, разрывающий Netscape-сеанс и даже иногда ломающий Windows 95. Секрет прост - Web-страница должна всего лишь ссылаться на порты LPT1 или COM как на источники данных. У пользователей почтового клиента Netscape проблемы еще неприятнее, так как можно загрузить "отравленное" электронное сообщение и автоматически проинтерпретировать HTML-код, "завесив" навигатор и сделав отравленное письмо неудаляемым. (www.pcmag.com/news/trends/t961002a.htm).
Криптоаналитики из компании Bellcore Dan Boneh, Richard A. DeMillo и Richard J. Lipton показали, что нарушение нормальной работы смарт-карт может дать достаточно информации об алгоритмах шифрования и ключах для проведения успешного криптоанализа. (Edupage, 1 октября; RISKS 18.50; www.bellcore.com/SMART/secwp.html). Опираясь на эту работу и свои прежние исследования, израильские ученые Eli Biham и Adi Shamir опубликовали предварительный вариант статьи "The Next Stage of Differential Fault Analysis: How to break completely unknown cryptosystems" ("Очередной этап анализа дифференциальных ошибок: как взламывать абсолютно незнакомые криптосистемы"). В аннотации (см. RISKS 18.56) авторы пишут: "Идею использования вычислительных ошибок для взлома криптосистем впервые применили Boneh, Demillo и Lipton к системам с открытыми ключами. Затем Biham и Shamir распространили ее на большинство криптосистем с секретными ключами. (RISKS 18.54). В нашем новом исследовании мы вводим модифицированную модель ошибок, делающую возможным нахождение секретного ключа, хранящегося в защищенном от вскрытия криптографическом устройстве, даже если о структуре и функционировании этого устройства ничего не известно. Прекрасным примером приложения новой модели является система Skipjack, разработанная Агентством национальной безопасности США. Конструкция этой системы неизвестна, она реализована в виде защищенной от доступа микросхемы, устанавливаемой на имеющиеся в продаже ПК-модули компании Fortezza. Мы не проводили тестовых атак на Skipjack, но мы считаем, что они представляют реальную угрозу по отношению к некоторым приложениям смарт-карт, спроектированным без учета описываемых средств."
В ноябре британский криптограф Ross Anderson опубликовал предварительный вариант статьи "A serious weakness of DES" ("Серьезная слабость DES"). ([RISKS 18.58, 18.62; www.cl.cam.ac.uk/users/rja14/tamper.html). Аннотация гласит: "Eli Biham и Adi Shamir (RISKS 18.56) недавно указали, что если атакующий может вызывать направленные ошибки в ключевой памяти криптографических устройств, он сможет быстро выделить ключи. Хотя их атака очень элегантна, ее нельзя назвать практичной применительно ко многим реальным системам. Например, внесение однобитного изменения в DES-ключ при правильной реализации криптосистемы приведет к сообщению об ошибке четности."
Однако, если скомбинировать идеи израильских ученых с недавней работой по восстановлению памяти (автор - Peter Gutman), можно получить две весьма практичные атаки. Одна из них позволяет выделить электронные ключи смарт-карт с помощью гораздо более дешевого оборудования, чем то, которое в настоящее используют пираты платного телевидения. Вторая представляет реальную угрозу для неохраняемых банковских устройств. Эти атаки показывают, что свойства DES, которые раньше казались безобидными, на самом деле свидетельствуют о серьезной ошибке проектирования.
Новости из подполья. Журнал "Phrack" номер 48 выпустили новые редакторы: "ReDragon", "Voyager" и "Daemon9". В этом номере, как и в ежеквартальном хакерском журнале "2600", опубликованы исходные тексты программ, реализующих упоминавшуюся выше атаку против доступности - "SYN-наводнение". Greg Perry, известный в подполье как "Digital Hitler", арестован по обвинению в мошенничестве на ниве сотовой телефонии.
В сентябрьском докладе группы IS/Recon содержится следующее настоятельное предупреждение:
Администрация Клинтона объявила, что она обжалует июньское решение против Закона о благопристойности коммуникаций в Верховном суде (1 октября).
Администрация объявила также о смягчении ограничений на экспорт криптосредств. Согласно планам президентской команды, компании смогут экспортировать программы с 56-битными ключами, если в течение двух лет будет реализовано восстановление ключей (которое может осуществляться не только правительственными ведомствами).
Альянс коммерческого ПО (Business Software Alliance, BSA) пригрозил судебными карами египетским фирмам, в которых, согласно экспертным оценкам, доля краденого программного обеспечения составляет 80%.
В одной из программ новостей BBC прошло сообщение о том, что услуги сотового пейджинга легко доступны для перехвата и манипулирования посредством радиосканера и соответствующего программного обеспечения для персональных компьютеров.
Центральное агентство новостей Тайваня сообщило о появлении нового "политического" вируса, созданного в знак протеста против претензий Японии на острова, которые тайванцы называют Diaoyus. Вирус выдает следующие сообщения: "Diaoyus - это территория Китайской Республики", "Даже не надейтесь заполучить эти острова, японские чудовища", "Вирус написан юным патриотом из школы Feng Hsi". После этого вирус пытается уничтожить данные, хранящиеся на диске.
Газета "San Francisco Chronicle" сообщила о новой серии мошеннических электронных писем. В этих письмах жертвам сообщается, что у них есть только 24 часа на очищение от "страшного греха". Для очищения нужно позвонить по номеру с региональным кодом 809. Междугородный звонок стоит не менее 3 долларов, а на самом деле значительно больше, если выслушивать бесконечные записанные сообщения. Peter Neumann (ведущий телеконференции RISKS) указал также, что электронный адрес отправителя писем "Global Communications"@demon.net является вымышленным (RISKS 18.50).
В августе 1994 года Andrew Stone, 32 лет, осужденный за махинации с кредитными картами, но проводящий в тюрьме только ночи, был нанят редакторами журнала "Which?", чтобы продемонстрировать уязвимость британских банкоматов. После тестирования механизмов безопасности, проведенного с благословения журнала, Эндрю вместе с сообщником организовали автоматизированное "подглядывание через плечо". Они разместили видеокамеры в нескольких точках, что позволило фиксировать как детали банковских карт, так и движения пальцев пользователей во время ввода персональных идентификационных кодов. Вооруженные сведениями, добытыми за две недели подглядывания, сообщники изготовили фальшивые банковские карты, "приняв за основу" дисконтные карты для бензозаправочных станций. Банк-жертва был выбран в силу особой насыщенности цветов на его картах, так что данные о счете были ясно видны даже на расстоянии. Стоун и его сообщник похитили сумму, эквивалентную 216 тысячам долларов США. В конце концов полиция начала подозревать Стоуна, за ним стали следить и сопоставили огромное число жалоб на неавторизованные изъятие средств с присутствием Эндрю в пунктах выдачи наличных денег. В начале октября 1996 года Стоун был приговорен к тюремному заключению на срок в пять с половиной лет; его сообщник получил четыре с половиной года. (PA News, 4 октября).
Верховный суд США отклонил апелляцию, которую подали Robert и Carleen Thomas из города Милпитас (штат Калифорния). В 1994 году их осудили в результате процесса, ставшего вехой в судебной практике, поскольку он затронул определение границ сообщества в киберпространственный век. Стандарты сообщества определяют, не переходит ли порнографический материал пределов дозволенного. В данном случае почтовый инспектор из Мемфиса (штат Тенесси) загрузил материал с электронной доски объявлений, расположенной в Калифорнии, и возбудил уголовное преследование двух обвиняемых. Их судили в Мемфисе и приговорили, соответственно, к 37 и 30 месяцам тюремного заключения за пересылку незаконных файлов откровенно сексуального характера через границу штата. (Reuters, 7 октября).
Португальское правительство обязало компании-операторы сотовой телефонной связи установить технические средства, позволяющие немедленно организовать прослушивание любого звонка по сотовой связи. (Reuters, 9 октября).
В Колорадо-Спрингс программная ошибка привела к невозможности зарегистрировать многократные идентичные платежи, проводимые через банкоматы в течение одного дня клиентами Федерального кредитного союза. Создавалось впечатление, что только первый платеж относился на счет клиента. Кредитный союз известили об этой ошибке сами пользователи несколько месяцев назад, но от них просто отмахнулись. В октябре союз объявил о снятии 1.2 миллиона долларов со счетов 12 тысяч "многократных плательщиков", что вызвало всеобщее недовольство. (RISKS 18.53).
Профессор Гамбургского университета Klaus Brunnstein обнаружил в середине октября, что корпорация Microsoft выпустила еще один компакт-диск, зараженный макровирусом Word "WAZZU.A". Естественно, персонал на торговой выставке, где распространялся этот диск, проигнорировал обращение профессора, утверждая, что вирус безвреден. Зараженные документы пять дней находились на Web-сервере корпорации Microsoft, прежде чем вирус был обнаружен. Профессор пояснил, что "WAZZU" случайным образом переставляет пару слов в зараженном документе и иногда вставляет цепочку символов "WAZZU". Если это считается безвредным, то страшно даже подумать о том, что такое подлинный вред. (RISKS 18.53).
Компания Concentric Network, поставщик Интернет-услуг в северной Калифорнии, добилась еще одного успеха в борьбе против злостных изготовителей электронного почтового хлама - Sanford Wallace и ее дочерней фирмы Cyber Promotions. Суд запретил этим фирмам использовать в их вздорных письмах адреса Concentric Network в качестве адреса отправителя или адреса для ответа. По утверждениям представителей компании Concentric Network в суде, мошенническое использование ее области управления "вызывало возврат десятков тысяч недоставляемых сообщений в почтовую систему Concentric Network, где их приходилось обрабатывать и хранить, что вело к перегрузкам оборудования и отказам в обслуживании для подписчиков" (см. www.concentric.net).
В середине октября компания Digital Technologies Group (Хартфорд) лишилась всех своих компьютерных файлов и резервных копий. По-видимому, компания стала жертвой классического вредительства со стороны обиженного бывшего сотрудника. Прямой ущерб от вредительства составил 17 тысяч долларов. К этому необходимо добавить потерю многомесячных трудов и недельный перерыв в работе, серьезно повредивший репутацию компании как поставщика Интернет-услуг. Вероятного преступника арестовали в конце декабря. Ему грозит заключение на срок до 20 лет, если обвинение во вредительстве будет доказано. (AP, 18 декабря).
Испанская полиция после ареста в Барселоне двух юных каталонцев раскрыла шайку, занимавшуюся распространением через Интернет детской порнографии. Сообщается, что в процессе прослеживания преступников (а в их непристойности были вовлечены даже дети трехлетнего возраста) успешно взаимодействовали полицейские из многих стран. (Reuters, 10 октября).
Середина октября принесла новые подтверждения правоты излюбленной мысли главы NCSA Боба Бейлса (Bob Bales) о том, что Интернет может способствовать злоупотреблениям, ведущим к отказам в обслуживании... для работодателей. Компания Nielsen Media Research опубликовала обзор, показывающий, что служащие компаний IBM, Apple и AT&T только за один месяц совместно потратили 13048 человеко-часов на посещение WWW-сервера Penthouse. Если принять стоимость одного человеко-часа равной, скажем, 20 долларам, то растраченное время обошлось работодателям в четверть миллиона долларов. Из компании Compaq (Хьюстон) была уволена дюжина сотрудников, каждый из которых в рабочее время нанес более 1000 зарегистрированных визитов на секс-серверы. (UPI, 14 октября).
Серия несчастий с голландскими детьми вызвала гнев многих обозревателей Интернет. В течение одной недели октября двенадцать детей были травмированы ручными гранатами, изготовленными по детальным инструкциям, помещенным в Интернет. Несмышленыши в возрасте от 8 до 13 лет собирали боеприпасы домашнего изготовления из шариков, камешков и монет, прикрепленных к петардам. Одна девочка лишилась глаза; у другой навсегда ухудшился слух; другие дети получили ожоги. (AP, 18 октября).
Тревожное предупреждение по поводу "смертельного пинга" опубликовал Mike Bremford из Великобритании. Размер датаграмм (TCP/IP-пакетов) не должен превышать 65535 байт. Любой процесс, генерирующий датаграммы большего размера, может вызвать переполнение стека в операционной системе принимающей машины. Это серьезная проблема, делающая практически все операционные системы уязвимыми по отношению к атакам на доступность. В качестве меры противодействия десятки производителей операционных систем распространяют соответствующие заплаты. (Более подробную информацию можно найти по адресу www.sophist.demon.co.uk/ping/).
22 октября состоялся массовый выброс в Интернет почтового хлама. Тысячи поддельных рекламных объявлений о нелегальной детской порнографии попали в почтовые ящики пользователей разных стран. В качестве автора рекламы злоумышленниками был указан житель Нью-Джерси Stephen Barnard. ФБР быстро разобралось в ситуации, сняв со Стефана, жертвы отвратительного розыгрыша, все подозрения. Письма были дополнительно замаскированы поддельными заголовками, указывавшими на двух пользователей сети America Online, но расследование оправдало и их. (PA News, Reuters, 22 октября).
В ежегодном отчете Французской правительственной группы по борьбе с подделками (CNAC) указывается, что Интернет активно используется изготовителями поддельных промышленных изделий. "Подражатели" рассылают по своим подпольным фабрикам, расположенным в разных странах, выкройки новых моделей одежды прямо в день появления этих моделей.
На бизнес-семинаре, проводившемся в гостинице Strathmore (Лутон, Бердфордшир), во время 20-минутного обеденного перерыва воры проникли в запертую семинарскую аудиторию и украли 11 ПК-блокнотов общей стоимостью примерно 75 тысяч долларов, если не считать программного обеспечения и данных. (PA News, 25 октября).
В конце октября домашняя Web-страница Верховного суда Флориды была "подправлена" неизвестными лицами, заменившими благородный фон "под дерево" картинками обнаженных людей, совершающих различные сексуальные действия. Хотя фон вернули в первоначальное состояние в течение пары дней, любознательное население Интернет подняло посещаемость сервера на недосягаемую высоту. (UP, Reuters, 25 октября).
Председатель Федерации коммуникационных услуг Jonathan Clark заявил, что мошенничество ежегодно наносит британской телефонной индустрии и потребителям ущерб в размере около 332 миллионов долларов. (PA News, 29 октября).
В конце октября были опубликованы результаты ежегодного обзора информационной безопасности, подготовленного компанией Ernst&Young. Ущерб от заражения вирусами, атак внутренних и внешних пользователей существенно возрос, а умение поддерживать информационную безопасность осталось на крайне низком уровне. (См. techweb.cmp.com/iw/602/02mtsec.htm).
С разрешения владельца авторских прав приведем фрагмент из публикации "Стратегия развития безопасных систем в странах центральной и восточной Европы (CEESSS):
В четырехлетней битве между подразделением Opel корпорации General Motors и концерном Volkswagen германский региональный суд отклонил гражданский иск, в котором Volkswagen обвинял Opel в клевете и требовал возмещения убытков в сумме 10 миллионов немецких марок (6.6 миллионов долларов). Volkswagen подал этот иск в суд Франкфурта, чтобы прекратить заявления Opel о криминальном заговоре с целью осуществления промышленного шпионажа против Opel и General Motors. Заявления начались после того, как Jose Lopez, удачливый менеджер в General Motors и Opel, переметнулся в Volkswagen - как утверждается, с тремя чемоданами конфиденциальных документов General Motors. (Dow Jones, 30 октября). В конце ноября Lopez ушел из правления Volkswagen. (Reuters, 29 ноября). В середине декабря полиция Германии предъявила ему официальные обвинения; однако, никаких обвинений в промышленном шпионаже против концерна Volkswagen не выдвигалось. (Reuters, 13 декабря).
Житель Арканзаса Marion Walton был уличен в киберсексуальной связи с канадской женщиной. В отместку за это его жена Pat "прибила" почтовую программу. Муж не остался в долгу и дважды поколотил жену. Полиция посоветовала ей обратиться в суд. (Reuters, 31 октября; RISKS 18.57).
Юристы с нетерпением ждут судебных дел по поводу проблем с датой в двухтысячном году, считая это золотой жилой, классическими гражданскими делами для юридической школы. Корреспондент телеконференции RISKS <stayton@ibm.net> добавил: "Возможно, руководители отделов информатизации станут обращать больше внимания на проблему двухтысячного года, когда юристы начнут возбуждать против них дела".
Семь человек признаны Королевским судом Лондона виновными в криминальном заговоре с целью обмана британских банков путем прослушивания коммуникационных линий между банкоматами и банковскими компьютерами. Перехваченные данные должны были использоваться для изготовления большого числа фальшивых банковских карт. (Reuters, 4 ноября).
Канадской полиции удалось раскрыть самую крупную в истории страны банду, занимавшуюся детской порнографией. Все началось с ареста 22-летнего жителя далекого городка на севере провинции Онтарио. Затем полиция совместно с ФБР прошлась по связям молодого человека, арестовав 16 членов Интернет-клуба "Orchid Club", проживавших в Соединенных Штатах, Австралии и Финляндии. Правоохранительными органами было конфисковано 20 тысяч компьютерных файлов, содержащих фотографии и видеоклипы противозаконных сексуальных действий с вовлечением детей или их изображений. (AP, 4 ноября).
Руководители телефонной индустрии пожаловались, что растущее использование Интернет приводит к превышению расчетных показателей загрузки голосовых линий, что в свою очередь вызывает увеличение числа сбоев в работе телефонной системы США. Местные телефонные станции все чаще не справляются с вызовами (меньшее число звонков проходит с первой попытки), ответом на все большее количество вызовов оказываются сигналы "занято" или полная тишина. (Reuters, 4 ноября).
Расследование, проведенное сотрудниками ФБР, закончилось предъявлением обвинений бывшему служащему американской корпорации Standard Duplicating Machines. Похоже, что после трехлетней работы в корпорации, завершившейся в 1992 году, этот служащий использовал свои знания об отсутствии защиты корпоративной системы голосовой почты. Он извлекал директивы по продажам и другие ценные данные в интересах прямого конкурента - корпорации Duplo U.S.A. Успеху проникновений способствовало использование подразумеваемых "паролей" голосовых почтовых ящиков. Эти пароли в соответствии с общепринятой практикой состояли из добавочного номера и символа "#" в конце. Предполагаемому промышленному шпиону, если он будет признан виновным, грозит до пяти лет тюрьмы и штраф в размере до 250 тысяч долларов. (PR News, 5 ноября). В конце месяца преступник признал себя виновным в телефонном мошенничестве.
В начале ноября криминальные хакеры атаковали антивоенный сервер www.insigniausa.com и уничтожили сотни копий документов Министерства обороны США, связанных с использованием химического и бактериологического оружия во время войны в Персидском заливе. Поговаривали, что атаку финансировало правительство. (Newsbytes, 5 ноября).
Компания Internet Security Systems (ISS) объявила о выпуске первой известной коммерческой системы мониторинга в реальном времени, способной справляться с "SYN-наводнениями" и другими атаками против доступности. (Эта информация не означает поддержку системы со стороны NCSA.) (См. www.iss.net/RealSecure/).
Радио-телевизионная и коммуникационная комиссия Канады (CRTC) по запросу телефонных компаний наделила их правом запрещать продолжающуюся всю ночь факсовую рассылку всякой ерунды. Запрет может действовать в пределах Канады с 21:30 до 9:00 по рабочим дням и с 18:00 до 10:00 по выходным. (Reuter, 7 ноября).
Отдел по информатике и телекоммуникациям (CSTB) Национального исследовательского совета США (NRC) объявил о выходе в свет окончательной версии труда по криптографической политике "Роль криптографии в защите информационного общества" (Cryptography's Role in Securing the Information Society). Предварительный вариант работы был опубликован в мае. (Более подробную информацию можно найти по адресу www.nap.edu/bookstore/).
Trevor Warwick <twarwick@madge.com> сообщил об экспериментах с сотовыми телефонами. В его организации обычно устойчиво работавшие серверы NetWare в течение трех дней зависали несколько раз без всяких видимых причин. Наконец, обслуживающий персонал обратил внимание, что каждый раз, когда сервер "умирал", рядом находился специалист из компании AT&T (он налаживал офисную АТС), разговаривавший по сотовому телефону. Эксперименты подтвердили, что можно наверняка "завесить" сервер, если использовать сотовый телефон на расстоянии порядка фута от компьютера. Опыты на резервном сервере показали, что сотовый телефон вызывает необратимое повреждение системного диска. Так что держите сотовые телефоны подальше от своих компьютеров. (RISKS 18.60).
7-8 ноября дочерняя компания AT&T - поставщик Интернет-услуг WorldNet - стала жертвой частичного отключения электроэнергии, продолжавшегося 18 часов. Все это время около 200 тысяч пользователей были лишены полного доступа к своим системам электронной почты. (AP, 8 ноября).
Также 8 ноября Web-сервер газеты "New York Times" был поражен "SYN-наводнением", сделавшим один из самых популярных во "Всемирной паутине" серверов недоступным. (См. www.news.com/News/Item/0,4,5215,00.html.
На некоторых коммерческих Web-серверах неправильно установленные программы SoftCart делали возможным неавторизованный доступ к информации о кредитных картах клиентов, после того как те совершали покупки у онлайновых торговцев. ("Wall Street Journal" в изложении Edupage; RISKS 18.61).
Два года назад в Ливерморской лаборатории наблюдался изрядный переполох (если не сказать паника). В компьютерах Министерства энергетики было обнаружено 90 тысяч изображений откровенно сексуального характера. Вероятно, прогресс в области информационной безопасности, имевший место с тех пор, так и не смог проникнуть за некоторые медные лбы. Физик-лазерщик Kenneth Manes предоставил своему 16-летнему сыну суперпользовательский доступ к правительственному компьютеру, использовавшемуся главным образом для вычислений в интересах создания суперлазера, запланированного как часть исследовательской программы Лаборатории в области ядерного оружия. В каталогах суперпользователя также нашлось место для 90 откровенно сексуальных изображений, применявшихся для "бомбардировки" компьютера в Швеции. Другой сын физика, 23 лет от роду, согласно документам, представленным в муниципальный суд, обвинен в использовании незаконно полученного пользовательского счета для торговли краденым программным обеспечением. Сам Manes и еще один ученый обвиняются в судебно наказуемых проступках.
Региональное управление федеральных программ по охране окружающей среды (EPA), обслуживающее атлантическое побережье США, 6 ноября было вынуждено выключить свои компьютерные сети после того, как вирусная инфекция поразила 15% рабочих станций и серверов. (AP, 10 ноября).
Примерно в это же время кто-то заполнил порнографией и насмешками официальный Web-сервер встречи на высшем уровне глав 21 латиноамериканской страны. Сервер был спешно выключен побагровевшими представителями властей. (Reuters, 11 ноября).
Американский фонд "Загадай желание" помимо собственной воли стал наглядным примером того, какой вред могут нанести недатированные, неподписанные, недостоверные, но неубиенные письма, циркулирующие в Интернет. Фонду пришлось организовать горячую линию и Web-страницу, моля об окончании одного из многих вариантов современного городского мифа. Герой этого мифа - Craig Shergold, мальчик, страдавший от опухоли мозга. К счастью, операция по удалению опухоли прошла успешно, и сейчас мальчик здоров. Тем не менее, в Интернет, среди добрых, но наивных людей, каждый день продолжают циркулировать тысячи писем. Эти люди думают, что бедный паренек все еще хочет, чтобы ему присылали почтовые и визитные карточки. Однако, ни он, ни почтовые служащие того района, где он живет, этого не желают. Фонд приплел к этому делу какой-то глупец, захотевший всего лишь приукрасить свой рассказ, и с тех пор "Загадай желание" нежданно-негаданно стал получать тысячи кусочков бумаги для человека, к которому он не имеет никакого отношения. Вывод: НЕ пересылайте письма, пока не убедитесь в их достоверности. (Дополнительную информацию можно получить по адресу www.wish.org/wish/craig.html или по телефону (001) 800-215-1333, добавочный 184).
Все больше глупцов разносят все больше страшных "вирусных" сказок. Одна из последних вспышек глупости возникла на почве "вируса" "Deeyenda", который вроде бы делает ужасные вещи по электронной почте. (Подробности можно найти по адресу www.kumite.com/myths/myth027.htm). Другие идиотские слухи относятся к "вирусу" "PENPAL GREETINGS", делающему столь же ужасные (и столь же невозможные) вещи. (RISKS 18.72; www.symantec.com/avcenter/vinfodb.html). Общая настоятельная рекомендация: не пересылайте "предупреждения" о "вирусах", пока не попросите компетентного человека проверить достоверность подобного предупреждения. (RISKS 18.73).
Чтобы нам не показалось мало со страхом ожидаемых катастрофических крахов древних компьютерных систем, все еще неспособных представить дату, большую, чем 31 декабря 1999 года, нас решили напугать реальными крахами, которые могут случиться примерно в это же время. Оказывается, пик 11-летнего цикла солнечных пятен приходится на 2000 год, о чем предупреждает центр с длинным названием National Oceanic and Atmospheric Administration's Space Environment Center. Некоторые из возможных последствий: волны в линиях электропитания; сбои в работе спутниковой системы глобального позиционирования; помехи в спутниковых системах сотовой телефонной связи; повреждение компьютеров и других электронных систем на спутниках; расширение земной атмосферы и вызванные этим пертурбации орбит спутников и космического мусора; наведенные токи в трубопроводах и других больших металлических объектах; изменения магнитного поля Земли; интерференция с сигналами, управляющими работой глубинных нефтяных буровых установок. Думаю, в самом конце 1999 года я изыму из банковской системы все свои деньги и постараюсь перевести их в золото. (AP, 19 ноября; RISKS 18.62).
Газета "USA Today" сообщает об обзоре 236 крупных корпораций, подготовленном для одного из комитетов Конгресса. Оказалось, что более половины крупных американских корпораций стали жертвами компьютерных вторжений. Около 58% компаний-респондентов заявили, что в прошлом году они подвергались вторжениям. Почти 18% потеряли из-за этого более миллиона долларов. Две трети жертв сообщили о потерях, превышающих 50 тысяч долларов. Согласно утверждениям респондентов, более 20% вторжений представляли собой случаи промышленного шпионажа и вредительства со стороны конкурентов. Респонденты дружно выразили озабоченность отрицательным воздействием огласки компьютерных инцидентов на доверие общественности к компаниям-жертвам. (AP, 21 ноября).
Служащий правительства города Нью-Йорк использовал искажение данных, чтобы удалить налоговые записи на общую сумму 13 миллионов долларов. Это крупнейшее однократное налоговое мошенничество в истории Нью-Йорка. Представители полиции дали понять, что по данному делу может быть арестовано более 200 человек. Виновным в мошенничестве и взяточничестве грозит до 10 лет тюрьмы. (22 ноября; RISKS 18.63).
Peter Garnett и его жена Linda, 54 и 52 лет, депонировали поддельный чек на сумму, эквивалентную 16.6 миллиона долларов, якобы выданный Британским центральным банком. Одновременно они предъявили благотворительный чек на сумму в 595 долларов. Похоже, криминальные наклонности не всегда подкрепляются достаточным интеллектом. Дополнительной уликой, показывающей, что дело тут не чисто, стал расточительный образ жизни парочки без всякой видимой поддержки расходов на круизы, изысканные обеды и Роллс-Ройсы. Глупцов приговорили к трем с половиной годам заключения в британских тюрьмах. (AP, 22 ноября).
В последнюю неделю ноября был ликвидирован WWW-сервер, сообщавший новости об оппозиции жесткой линии президента Белоруссии. (AP, 26 ноября).
29 ноября американская государственная железнодорожная компания Amtrak лишилась доступа к своей национальной программной системе резервирования и продажи билетов - как раз перед началом самого напряженного в году периода путешествий. Как правило, у агентов не было твердых копий расписаний и цен на билеты, что приводило к большим задержкам в обслуживании клиентов. (RISKS 18.64).
Издающаяся на Шетландских островах (Великобритания) газета "Shetland Times" обратилась в суд, чтобы заставить конкурирующую электронную "газету" "Shetland News" отказаться от практики помещать ссылки на Web-страницы Times, оформленные в виде оригинальных заголовков последней. (RISKS 18.64). (Комментарий автора. Этот случай напоминает о прежних дебатах в Web, когда с сервера "Babes on the Web" начали рассылать гипертекстовые ссылки на каждую персональную Web-страницу, подготовленную женщиной. Некоторые женщины возражали, что такое использование ссылок является неприличным. В связи с "Шетландским делом" возникает два вопроса. Во-первых, является ли заголовок объектом авторского права? Во-вторых, является ли гипертекстовая ссылка потенциальным нарушением авторского права? Если кто-то, разместивший информацию на Web-странице, сможет законодательно запретить другим ссылаться на нее, последствия для Web будут весьма серьезными.)
29 ноября обиженный компьютерный специалист из агентства Reuters в Гонконге взорвал логические бомбы в пяти инвестиционных банках - пользователях сервиса Reuters. В результате сеть, поставляющая рыночную информацию, критически важную для торговли, не работала 36 часов. Банки немедленно переключились на альтернативные сервисы, так что бомбы не оказали заметного влияния на их работу. А вот в Reuters пришли в полное замешательство. (RISKS 18.65).
30 ноября в Онтарио система дебетовых карт крупного канадского банка (CIBC) отказала из-за ошибки в новой версии программного обеспечения. Примерно половина всех транзакций в восточной Канаде была приостановлена на несколько часов. (RISKS 18.65).
Вышел 49-й номер журнала "Phrack", содержащий коды "стирателя" и другие средства использования брешей в защите. Склонная к проказам группа телефонных хакеров "Phone Losers of America" организовала штаб-квартиру для межрегиональной координации.
Видный гражданский ученый, работавший на Канадское министерство национальной обороны, был арестован по обвинению в торговле детской порнографией после того, как полиция обнаружила в его каталогах на правительственных компьютерах большое количество противозаконных материалов. Какие еще примеры нужны, чтобы убедить руководителей в том, что каждая организация нуждается в тщательно проработанной, ясной политике, регламентирующей использование корпоративных Интернет-ресурсов? ("Globe and Mail", 10 декабря).
Министр здравоохранения канадской провинции Онтарио Jim Wilson 9 декабря подал в отставку после того, как правительство решило расследовать действия его прежнего помощника по коммуникациям, передавшего в газету "Globe and Mail" конфиденциальную информацию. ("Globe and Mail", 10 декабря).
Телефонного оператора из Австралии обвинили во вторжении в телефонную линию радиостанции во время соревнования за приз размером в 40 тысяч американских долларов. Таким путем оператор обеспечил себе "счастливый" 10-й номер среди позвонивших. В процессе расследования, проведенного полицией, вскрылись еще две аналогичные махинации, осуществленные им ранее. (UPI, 10 декабря).
Двое молодых людей признали себя виновными в шалости на почве корпоративного шпионажа. Шутники послали в адрес компании Owens Corning безграмотное, с многочисленными ошибками письмо, запрашивая 1000 долларов в обмен на секретную информацию, украденную у конкурента - PPG Industries. Patrick Worthing, 27 лет, контролировал в PPG работу уборщиков и операторов опытных образцов машин. Он имел доступ во все кабинеты исследовательского центра PPG и, как предполагают, выкрал списки клиентов, проекты, секретные формулы, спецификации продуктов и видеозаписи работы нового оборудования. Благодаря помощи со стороны предполагаемого покупателя, ФБР смогло арестовать преступников. По иронии судьбы, два года назад такое же благородство пришлось продемонстрировать теперешней жертве. Тогда руководители PPG Industries получили письмо с предложением приобрести секреты, украденные у Owens Corning; те шпионы также были пойманы ФБР. Обе компании настаивают, что приобретать информацию, украденную у конкурентов, - глупо и незаконно. (AP, 11 декабря).
Согласно распространенному во Флориде докладу, предполагаемые затраты на поиск и исправление ошибок "двухтысячного года" в производственных системах (написанных по большей части на Коболе) составляют от 88 до 120 миллионов долларов. Разумеется, ошибки должны быть исправлены до конца 1999 года. (UPI, 12 декабря).
Зубной врач из Сан-Диего получил более 16 тысяч экземпляров новой налоговой формы штата Калифорнии. Виновницей является программа управления почтовой рассылкой. (RISKS 18.68).
В субботнее утро 14 декабря, в 00:20, началась атака против доступности сервера WebCom (Санта-Круз). Атакующий устроил "SYN-наводнение", посылая по 200 пакетов в секунду. В результате, во время пикового периода продаж, Web-страницы сотен фирм оказались блокированными на 40 часов. Источник атаки проследили до некоего места в Британской Колумбии; ФБР и канадская полиция продолжают поиск преступников. Перед нами еще один случай, ставший следствием безответственной публикации в журналах "2600" и "Phrack" подробных инструкций по организации "SYN-наводнения". (AP, 17 декабря; RISKS 18.69).
Переброской называется мошенническое, непрошенное переключение междугородных звонков на другую компанию-оператора дальней связи. Результат переброски - испуг жертв, получивших большие счета за телефонные переговоры по сравнению с ожидаемыми от привычного оператора. В середине декабря Управление по контролю над общественной занятостью (DPUC) штата Коннектикут было переброшено фирмой Wiltel, без всяких на то прав переключившей на себя 6 из 14 линий. (RISKS 18.69).
Matthew D. Healy <matthew.healy@yale.edu> сообщил о серьезной "дыре" в серверном программном обеспечении httpd, разработанном в Национальном центре суперкомпьютерных приложений (National Center for Supercomputing Applications, NCSA) в университете Иллинойса. Любой сервер, выполняющий CGI-процедуру phf, можно обманом заставить переслать файл /etc/passwd любому пользователю. Мистер Хили утверждал, что несколько компьютеров в Йельской школе медицины были успешно атакованы именно таким способом, и убеждал читателей проверить регистрационные журналы своих серверов, чтобы узнать, не "скачивал" ли кто-нибудь файл паролей. (RISKS 18.69). В ответ на множество невежливых, оскорбительных писем, пришедших после публикации предостережения, Хили заметил, что, действительно, "дыра" была известна с марта 1996 года, но он не является профессионалом в области информационной безопасности, он просто пытается администрировать учебный компьютер. (RISKS 18.70).
18 декабря Dan Farmer, автор программной системы SATAN (Security Administrator's Tool for Analyzing Networks - инструмент администратора безопасности для анализа сети), опубликовал результаты предварительной проверки примерно 2200 компьютерных систем, подключенных к Интернет. Само сканирование Фармер проводил в ноябре-декабре 1996 года. Для проверки он выбрал популярные и коммерчески-ориентированные Web-серверы; в качестве "контрольной группы" использовались случайно выбранные серверы. Применяя простые, ненавязчивые методы, Фармер установил, что примерно две трети из числа так называемых "интересных" систем имели серьезные потенциальные бреши в защите. Для сравнения: среди случайно выбранных систем бреши встречались примерно в два раза реже! (См. www.trouble.org/survey).
В небольшом городке недалеко от Копенгагена, шесть датских криминальных хакеров, атаковавших военные и коммерческие компьютеры (в том числе компьютеры Пентагона), были приговорены к минимальным срокам тюремного заключения, а также к штрафам и исправительным работам. Один хакер получил 90 дней тюрьмы, его "коллега" - 40 дней. Согласно утверждениям адвокатов, "преступники сделали своим жертвам одолжение, продемонстрировав уязвимость их компьютерных систем". (AP, 19 декабря).
29 декабря Web-страница ВВС США была "взломана" и разрушена, что побудило Пентагон отключить от Интернет почти все свои Web-страницы. (Reuters, 30 декабря; AP, 31 декабря).
Информационный сервис Edupage суммирует первоначальную реакцию на "новое" законодательство администрации Клинтона в области экспорта криптосредств, обнародованное в последние дни 1996 года:
Новостийные статьи обычно разыскивались через сервис Executive News Service (ENS) сети CompuServe.
Информация о сервисе Edupage
Дайджесты Edupage пишут John Gehl <gehl@educom.edu> и Suzanne Douglas <douglas@educom.edu>. Телефон: (001) 404-371-1853, факс: (001) 404-371-8057. Техническая поддержка осуществляется службой информационных технологий университета штата Северная Каролина. Чтобы подписаться на Edupage, направьте электронное сообщение по адресу:
В теле сообщения напишите:
subscribe edupage Benjamin Disraeli
(если Вас зовут Бенджамин Дизраэли; в противном случае укажите Ваше собственное имя). Чтобы отказаться от подписки, направьте по вышеуказанному адресу текст
unsubscribe edupage
Если у Вас возникли проблемы с подпиской, пишите по адресу:
Архивы и переводы. Дайджесты Edupage переводятся на китайский, французский, немецкий, греческий, иврит, венгерский, итальянский, корейский, литовский, португальский, румынский, словацкий и испанский. Переводы и архивы можно найти на Web-сервере www.educom.edu/
Чтобы получить информацию о подписке на переводную версию Edupage, направьте письмо по адресу:
Educom - преобразуем образование посредством информационных технологий.
Информация о телеконференции RISKS
Дата: 15 августа 1996 года (дата последних изменений)
От: RISKS-request@csl.sri.com
Тема: Краткая информация о телеконференции RISKS (comp.risks)
RISKS Forum - это модерируемый дайджест. Его эквивалент в Usenet - comp.risks.
О подписке. Если это возможно и удобно для Вас, читайте RISKS средствами телеконференций из comp.risks или эквивалентного источника.
Можно использовать сервис Bitnet LISTSERV.
Можно направить почтовый запрос по адресу:
с однострочным текстом:
SUBSCRIBE (или UNSUBSCRIBE) [сетевой адрес, если он отличается от указанного в заголовке FROM:]
чтобы подписаться или прекратить подписку на почтовую версию, или
INFO
чтобы получить краткую информацию о телеконференции RISKS.
Информационный файл (аннотация, подразумеваемые оговорки, архивные серверы, рекомендации для подписчиков из областей управления .mil, .gov и .uk, политика в области авторских прав, информация о дайджесте PRIVACY и т.п.) доступен по адресам:
http://www.CSL.sri.com/risksinfo.html
ftp://www.CSL.sri.com/pub/risks.info
Подробный информационный файл появится отныне и на веки веков в одном из следующих выпусков.
Предполагается, что все авторы, пишущие в RISKS, ознакомились с информационным файлом.
Материалы в телеконференцию RISKS следует направлять по адресу:
снабдив их осмысленным заголовком SUBJECT:.
Архивы доступны по адресам:
ftp ftp.sri.com<CR>login anonymous<CR> [Ваш Интернет-адрес]<CR>cd risks
http://catless.ncl.ac.uk/Risks/<том>. <выпуск>.html
В каталоге risks сервера ftp.sri.com содержится также самая свежая PostScript-версия исчерпывающей хронологической подборки однострочных "выжимок", которую поддерживает Peter G. Neumann