Архивы: по дате | по разделам | по авторам

События

Архив
автор : Юлия Василькина   10.06.2002

Microsoft предупредила пользователей об ошибке в Exchange 2000. - Novell активно борется за место под солнцем в сфере веб-сервисов. - Борцы за privacy занялись укреплением защиты пользователей Интернета от присмотра Большого Брата.

  • Microsoft предупредила пользователей об ошибке в Exchange 2000. Используя ее, злоумышленник может создавать сообщения, при обработке которых процессор сервера будет полностью загружен. Причем даже перезапуск Exchange и перезагрузка сервера не остановят процесс - после перезагрузки он сразу же продолжится автоматически. В результате, в зависимости от изобретательности нападающего, подвергнутый DoS-атаке 1 сервер может находиться в нерабочем состоянии от нескольких минут до нескольких часов. Представители корпорации назвали уязвимость «критической» - а ведь этого определения Microsoft обычно всячески избегает! Единственное утешение в том, что создать подобные сообщения, использующие формат RFC 821 или 822, не так просто: во-первых, злоумышленник должен хорошо знать SMTP, а во-вторых, обычные почтовые клиенты (вроде MS Outlook) таких возможностей не предоставляют.

    Тем не менее, Microsoft призывает системных администраторов срочно использовать патч для серверов Exchange 2000.

    Увы, это не единственная проблема, обнаруженная за последнее время в продуктах Microsoft, - несмотря на все усилия и PR-акции, предпринимаемые софтверным гигантом для того, чтобы повысить доверие к надежности и безопасности своего ПО. Еще одна серьезная уязвимость была найдена специалистом по безопасности Георгием Гунинским в программе Excel для Windows XP. Дыра позволяет хакерам получить контроль над компьютером, используя таблицы стилей XML.

    Если открыть файл Excel и выбрать режим просмотра с таблицей стилей XML, в которой содержится специальный код, то компьютер попытается этот код выполнить. Что и приведет к перехвату хакером контроля над чужим компьютером.

    На своем сайте (www.guninski.com) Гунинский приводит пример кода, который обманывает Excel XP, подбрасывая под видом ссылки на таблицу стилей команду, выводящую на экран содержимое каталога из ПК пользователя. В целях безопасности Гунинский не рекомендует пользоваться таблицами стилей XML.

    Впрочем, ошибка не угрожает всем пользователям программы, поскольку по умолчанию Excel отображает файлы без использования таблицы стилей.

  • Компания Novell активно борется за место под солнцем в сфере веб-сервисов, пытаясь потеснить основных конкурентов - Microsoft и Sun. На этот раз Novell предложила метод привязки стандарта веб-сервисов Universal Description, Discovery and Integration (UDDI) к технологии сетевых каталогов Lightweight Directory Access Protocol (LDAP).

    Разработанная компанией спецификация регламентирует способ хранения данных UDDI в базе данных службы каталогов LDAP. ПО сетевых каталогов представляет собой базу данных, содержащую информацию о пользователях, программном обеспечении, системах и устройствах, подключенных к сети. Это позволяет администратору сети или веб-сайта создавать подробные персональные профили пользователей или посетителей. А каталоги UDDI выполняют аналогичную функцию для веб-сервисов.

    Рынок технологий веб-сервисов только начинает складываться, но его уже стремятся поделить влиятельные корпорации, поскольку за подобными технологиями большое будущее - именно они позволят предприятиям, использующим разные информационные системы, легко взаимодействовать друг с другом и с клиентами.

    Свои спецификации Novell передала в организацию по стандартизации Internet Engineering Task Force (IETF).

  • Не секрет, что по планете бродит призрак кибертерроризма, и правительства многих стран, в том числе и Великобритании, приняли постановления, которые официально позволяют некоторым государственным структурам перехватывать и дешифровывать сообщения. В ответ на это борцы за privacy занялись укреплением защиты пользователей Интернета от присмотра Большого Брата. В настоящее время группа компьютерных энтузиастов - англичанин Питер Файрбразер (Peter Fairbrother) со товарищи - заканчивают работу над новой операционной системой под названием M-o-o-t (www.moot.org). Британские чиновники уже заявили, что эта ОС станет удобным инструментом для криминальных структур и террористов. Столь резкая оценка вызвана главной особенностью M-o-o-t - способностью помешать государственным службам перехватывать сообщения в Сети.

    В M-o-o-t применяется специальный пользовательский ключ, срок действия которого истекает после первого же применения. В дальнейшем разработчики собираются использовать еще один надежный способ шифрования - стеганографию 2. Кроме того, все ключи, персональные данные и прочую конфиденциальную информацию M-o-o-t хранит на удаленных серверах, не подпадающих под юрисдикцию британского правительства. Для этого операционной системе достаточно обычного протокола FTP и доступа в Интернет.

    M-o-o-t будет состоять из собственно ОС на базе FreeBSD, драйверов и различных приложений (в том числе почтового клиента и текстового редактора). Все это уместится на одном CD и будет работать (как на PC, так и на Mac) пока диск находится в приводе. Еще одна особенность M-o-o-t: без дистрибутивного диска нельзя будет получить с локального компьютера никаких данных.

    Как утверждают создатели, M-o-o-t будет эффективнее любых криптографических систем. Кстати, название тоже говорит о ее предназначении: авторы вирусов и «серого» ПО обычно разделяют буквы в названиях, чтобы избежать попадания информации о таких программах в системы слежения.


    1 (обратно к тексту) - Атака отказа в обслуживании, в результате которой все ресурсы компьютера направляются на обработку хакерских запросов.
    2 (обратно к тексту) - Метод шифрования, при котором данные в скрытом виде размещаются во внешне безобидных файлах. Подробнее см. «КТ» #236.
  • © ООО "Компьютерра-Онлайн", 1997-2024
    При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.