Софт-неделя. 1-7 июня 2002.

Microsoft призналась в "критической" уязвимости. - Использование Excel для удаленного администрирования. - Веб-сервисы выходят на рынок. - Что такое M-o-o-t.

***

Microsoft предупредила пользователей об ошибке в Exchange 2000. Используя ее, злоумышленник может создавать сообщения, при обработке которых процессор сервера будет полностью загружен. Причем даже перезапуск Exchange и перезагрузка сервера не остановят процесс — после перезагрузки он сразу же продолжится автоматически. В результате, в зависимости от изобретательности нападающего, подвергнутый DoS-атаке [1] сервер может находиться в нерабочем состоянии от нескольких минут до нескольких часов. Представители корпорации назвали уязвимость «критической» — а ведь этого определения Microsoft обычно всячески избегает! Единственное утешение состоит в том, что создать подобные сообщения, использующие формат RFC 821 или 822, не так просто: во-первых, злоумышленник должен хорошо знать SMTP, а во-вторых, обычные почтовые клиенты вроде MS Outlook таких возможностей не предоставляют.

Тем не менее, Microsoft призывает системных администраторов срочно использовать патч для серверов Exchange 2000.

***

Увы, это не единственная проблема, обнаруженная за последнее время в продуктах Microsoft — и это несмотря на все усилия и PR-акции, предпринимаемые софтверным гигантом для того, чтобы повысить степень доверия к своему ПО с точки зрения его надежности и безопасности. Еще одна серьезная уязвимость была найдена специалистом по безопасности Георгием Гунинским в программе Excel для Windows XP. Она дает возможность хакерам получить контроль над компьютером, используя таблицы стилей XML.

Если пользователь открывает файл Excel и выбирает режим просмотра с таблицей стилей XML, в которой содержится специальный код, то компьютер попытается этот код выполнить. Что и приведет к полному перехвату хакером контроля над чужим компьютером.

На своем сайте Гунинский приводит пример кода, который обманывает Excel XP, подбрасывая под видом ссылки на таблицу стилей команду, выводящую на экран содержимое каталога из ПК пользователя. В целях безопасности Гунинский не рекомендует пользоваться таблицами стилей XML.

Впрочем, ошибка не угрожает всем пользователям программы, поскольку по умолчанию Excel отображает файлы без использования таблицы стилей.

***

Компания Novell активно борется за место под солнцем в сфере веб-сервисов, пытаясь потеснить своих основных конкурентов — Microsoft и Sun. На этот раз Novell предложила метод привязки стандарта веб-сервисов Universal Description, Discovery and Integration (UDDI) к существующей технологии сетевых каталогов Lightweight Directory Access Protocol (LDAP).

Разработанная компанией спецификация регламентирует способ хранения данных UDDI в базе данных службы каталогов LDAP. ПО сетевых каталогов представляет собой базу данных, содержащую информацию о пользователях, программном обеспечении, системах и устройствах, подключенных к сети. Это позволяет администратору сети или веб-сайта создавать подробные персональные профили пользователей или посетителей. А каталоги UDDI выполняют аналогичную функцию для веб-сервисов. Рынок технологий веб-сервисов только начинает складываться, но его уже стремятся поделить влиятельные корпорации, поскольку за подобными технологиями большое будущее — именно они позволят предприятиям, использующим разные информационные системы, легко взаимодействовать друг с другом и с клиентами.

Свои спецификации Novell уже передала в организацию по стандартизации Internet Engineering Task Force (IETF).

***

Не секрет, что по планете бродит призрак кибертерроризма, и правительства многих стран, в том числе и Великобритании, уже приняли постановления, которые официально позволяют некоторым государственным структурам осуществлять перехват и дешифровку сообщений. В ответ на это борцы за privacy занялись укреплением защиты пользователей Интернета от присмотра Большого Брата. В настоящее время группа компьютерных энтузиастов — англичанин Питер Файрброзер (Peter Fairbrother) и сотоварищи — заканчивают работу над новой операционной системой под названием M-o-o-t. Британские чиновники уже заявили, что эта ОС станет удобным инструментом для криминальных структур и террористов. Столь негативная реакция вызвана главной особенностью M-o-o-t — ее способностью помешать государственным службам перехватывать сообщения в Сети.

В M-o-o-t применяется специальный пользовательский ключ, срок действия которого истекает после первого же применения. В дальнейшем разработчики M-o-o-t собираются использовать еще один надежный способ шифрования — стеганографию [2]. Кроме того, все ключи, персональные данные и прочую конфиденциальную информацию M-o-o-t хранит на удаленных серверах, не попадающих под юрисдикцию британского правительства. Для этого ей достаточно обычного протокола FTP и доступа в Интернет.

M-o-o-t будет состоять из собственно операционной системы на базе FreeBSD, драйверов и различных приложений (в том числе почтового клиента и текстового редактора). Все это будет умещаться на одном CD, и работать — как на PC, так и на Mac — пока диск будет находиться в приводе. Еще одна особенность M-o-o-t — то, что без дистрибутивного диска с локального компьютера нельзя будет получить никаких данных.

Как утверждают ее создатели, M-o-o-t будет эффективнее любых криптографических систем. Кстати, название тоже говорит о ее предназначении: создатели вирусов и «серого» ПО обычно разделяют буквы в названиях, чтобы избежать попадания информации о таких программах в системы слежения.

[1] — DoS-атака — атака отказа в обслуживании, в результате которой все ресурсы компьютера направляются на обработку хакерских запросов.
[обратно к тексту]

[2] — Стеганография представляет собой метод шифрования, при котором данные в скрытом виде размещаются во внешне безобидных файлах. Подробнее об этом см. в «КТ» #236.
[обратно к тексту]