Безопасность и Internet - статьи

Апрель


В начале апреля 19-летнему

Christopher Schanot, известному в компьютерном подполье Сент-Луиса

под псевдонимом "N00gz", в Филадельфии было предъявлено

обвинение в компьютерном мошенничестве. Старшекласснику-отличнику

инкриминировался несанкционированный доступ ко многим корпоративным

и правительственным компьютерам, Его жертвами стали такие компании,

как Southwestern Bell, Bellcore, Sprint и SRI. В ноябре он признал

себя виновным по двум пунктам обвинения в компьютерном мошенничестве

и одном пункте обвинения в незаконном прослушивании. Ему грозит

до 15 лет тюрьмы и штраф в размере 750 тысяч долларов. Как сообщило

агентство AP 15 ноября, приговор должен быть вынесен 31 января

1997 года.

В телеконференциях (см.



RISKS 18.02) появились разоблачения, касающиеся сотрудников Управления

социального страхования США. Эти сотрудники злоупотребили своими

правами на доступ к компьютерам Управления и продали детальную

персональную информацию о более чем 11 тысячах жертвах членам

шайки, занимающейся махинациями с кредитными картами. (Еще один

урок по поводу важности человеческого фактора в информационной

безопасности.)

Агентство Associated Press

19 апреля сообщило о проникновении хакеров в систему голосовой

почты полиции Нью-Йорка. Вандалы заменили обычное вежливое приветствие

на следующий текст: "Вы попали в полицейский департамент

Нью-Йорка. В случае реальной опасности позвоните по телефону 119.

Для всех остальных дел как раз сейчас мы немного заняты - пьем

кофе с пирожными". Далее следовало: "Вы можете не вешать

трубку - мы скоро ответим. Мы немного тормозим, если Вы понимаете,

что имеется в виду. Спасибо". Поддельные сообщения звучали

в течение 12 часов, прежде чем власти исправили ситуацию.

Peter Neumann подготовил

краткое изложение новостийной статьи о важном повороте в битве

против законодательства, касающегося международной торговли оружием.

"16 апреля 1996 года

районный судья Marilyn Hall Patel вынесла постановление, согласно


которому математик Daniel Bernstein может попробовать доказать,

что сфера действия принятых в США правил контроля за экспортом

криптографических технологий слишком широка и затрагивает его

права на общение с другими учеными и компьютерной общественностью

- права, защищаемые свободой печати. (Криптографические программы,

которые разработал Bernstein, называются Snuffle и Unsnuffle.

Государственный департамент США в 1993 году принял решение о том,

что на статью и программы, написанные математиком, необходимо

получить экспортную лицензию, поскольку согласно действующему

в США законодательству поставщик криптосредств приравнивается

к международному торговцу оружием. Позднее ограничения на экспорт

статьи были сняты. После этого Bernstein возбудил судебное дело,

требуя снять ограничения со своих программ.)"

В декабре судья Patel

нанесла решающий удар по запрету, назвав его "примером бессистемного

произвола", неспособного обеспечить право граждан на свободу

слова (UPI, 19 декабря; RISKS 18.69).

Согласно сообщению в "San

Francisco Chronicle" от 20 апреля (Peter Neumann изложил

его в RISKS 18.07), личный секретарь вице-президента корпорации

Oracle получила отказ в иске по поводу незаконности ее увольнения.

Женщина утверждала, что ее уволили после того, как она отказалась

вступить в связь с президентом компании. В качестве доказательства

она привела фрагмент электронного письма, якобы отправленного

ее боссом президенту. В письме босс подтверждал, что выполнил

просьбу президента и уволил секретаршу. Однако, как показало следствие,

в то время, когда было отправлено письмо, босс на самом деле находился

за рулем автомобиля (во всяком случае, об этом свидетельствуют

протоколы переговоров по сотовой связи). Истица знала пароли своего

начальника (он имел обыкновение просить ее о смене пароля). Местный

прокурор пришел к заключению, что электронное письмо было сфабриковано

секретаршей и обвинил ее в лжесвидетельстве.

Весьма интересны выводы,



к которым пришел Peter Neumann:

  • Не следует верить,

    что заголовок FROM: электронного письма соответствует реальному

    отправителю.


  • Не следует доверять

    содержанию электронного сообщения вне зависимости от корректности

    его заголовков.


  • Не следует разделять

    свой пароль с кем бы то ни было или делать кого-либо другого ответственным

    за Ваши пароли.


  • Не следует использовать

    скрытно компрометируемые многоразовые фиксированные пароли; частота

    их смены не имеет принципиального значения.


  • Вместо фиксированных

    паролей используйте одноразовые средства аутентификации.


  • Даже если Вы используете

    PEM, PGP или иные средства криптографической защиты электронной

    почты, Вы не можете быть уверены в аутентичности сообщений из-за

    потенциальной ненадежности операционных систем и пользователей.


  • Остерегайтесь использовать

    сообщения электронной почты в качестве судебных доказательств.


  • Однако, не следует

    думать, что протоколы сотовой связи являются безупречными судебными

    доказательствами; они также могут быть сфабрикованы или изменены.

    Если Вас втягивают в судебное разбирательство, найдите кого-нибудь,

    кто в состоянии продемонстрировать, насколько легко изменить эти

    протоколы.


  • К этому Mike Marler

    <Mike.Marler@oit.gatech.edu> добавляет (см. RISKS 18.07):


  • Не следует думать,

    что некто не может запустить на своем компьютере пакетное задание

    или фоновый процесс, которые отправят электронное сообщение другому

    лицу (с подделкой заголовков или без таковой), в то время как

    автор, например, ловит рыбу в пяти милях от побережья Коста-Рики.


  • Не следует думать,

    что некто не может располагать автоматизированной системой ответов

    на письма, которая пошлет ответ на "фрагмент электронного

    письма", начинающийся примерно так: "К сожалению, я

    не могу направить развернутый ответ на Ваш 'фрагмент электронного

    письма', поскольку до конца дня я буду очень занят на собраниях".

    В это время упомянутый некто может просто бездельничать или продолжать

    ловить рыбу у берегов Коста-Рики.




  • J.R.Valverde (младший)

    <jrvalverde@samba.cnb.uam.es> еще добавил:


  • Никогда не беритесь

    за обслуживание счета другого пользователя, не получайте доступ

    к чужому компьютеру.


  • Причуды America Online

    развеселили Интернет и особенно жителей небольшого городка на

    востоке Англии с названием Scunthorpe, когда житель этого городка

    Doug Blackie попытался зарегистрировать свой новый счет. Если

    верить статье в "Computer underground Digest" выпуск

    8.29 (изложение которой можно найти в RISKS 18.07), фильтр непристойностей,

    встроенный в программное обеспечение America Online, отверг слово

    "Scunthorpe", но принял "Sconthorpe". (На

    русском языке это приблизительно соответствует замене названия

    "Отпадинск" на "Отпудинск" - прим. перев.)

    С тех пор фильтр стал повсеместно известен как "AOL's Scunthorpe

    Filter". В других сообщениях, поступивших в телеконференцию

    RISKS, многочисленные корреспонденты прокомментировали эффекты

    фильтрации безобидных жаргонных словечек, имеющих ложные вхождения

    в нормальные слова на английском или, в особенности, на других

    языках. (Несомненно, русский читатель тут же вспомнит массу анекдотов,

    построенных на этом принципе - прим. перев.) Можно подумать, что

    программисты America Online брали уроки у разработчиков современных

    антивирусных средств.

    Согласно сообщению английской

    газеты "Daily Mail" от 27 апреля (см. также RISKS 18.09),

    криминальные хакеры получили доступ к конфиденциальным файлам

    университета в Кембридже, из-за чего пришлось срочно менять пароли

    у 10 тысяч студентов и преподавателей. Некоторые из файлов содержали

    медицинскую, коммерческую и научную информацию. Однако, в отличие

    от эффектной газетной заметки, правда оказалась более прозаичной.

    Как сообщил Stephen Early <sde1000@chiark.chu.cam.ac.uk>

    (см. RISKS 18.10), в одной из подсетей информационной системы

    университета была обнаружена установленная программа перехвата

    сетевых пакетов.


    Содержание раздела