Не пройщло повних 2 неділі після офіційного виходу Windows Vista, а активація вже взломана. Хлопаки вирішили назвати програму-активатора – Мелінда, на честь жінки Біла Гейтса. Я собі уявляю як їй було приємно. Нагадаю, що на розробку операційки пішло 5 років і паралельно до неї вийшов Office 2007 . Ще 7 місяця року минулого фірма F-Secure, що займається питаннями комп’ютерної безпеки представила перший в світі вірус для бета версії Vista (ще колись Longhorn). Вірус успішно використовує успішну розроблену дірку у Microsoft Command Shell . Ще тоді висувалися думки що може Microsoft забере цю командну оболонку. А вірус був написаний австрійським хакером і він дозволяє отримати несанкціонований доступ через нестандартний запит до Microsoft Command Shell чи її надбудови Monad.

І знову хотілося б вернутися до казочок. Дослідницька ферма (фірма) Yankee Group вважає, що Windows Server 2003 є більш надійнішою системою, ніж серверний Linux. За їх дослідженнями Windows Server 2003 на 20% випереджують Enterprise Linux від Red Hat по показникам відмовостійкості. Windows є навіть кращою від Unix Sun Solaris та FreeBSD. Неприємним фактом є те, що дослідницька група Yankee вже колись погоріла на махінаціях. Але менше з тим. Хотілося б проаналізувати звідки взялася ця цифра. А відповідь проста, як двері – сервери на базі Windows значно менше використовують, ніж Unix, от і показник надійності вищий. Мій FreeBSD сервер вже рік не перезавантажувався і жодного разу не дав збій. А я знаю де працюють машини з Freebsd вже 5 років без жодного перевантаження. Коли така система обслуговує локалку то перезавантаження не є настільки критичне. Але більшість обслуговують домени Інтернет. Ще й до того діри Unix систем латаються швидше, не так швидко як цього хотілося б ( точно не за 30 годин, читай нижче), але швидше ніж Microsoft.

За кілька годин після того як всі були вже п’яні, 1 січня в Інтернеті з’явився код вразливості Gmail. Вразливість дозволяла викрасти контакт лист цільового користувача. Вона пов’язана із тим, що перелік контактів зберігався в javascript і його можна було викликати через довільний сайт. Gmail не робив провірки, який сайт викликав цю функцію і як результат будь-хто міг прочитати перелік контактів цільового користувача. Єдина вимога використання вразливості полягає у тому, що потрібно мати активну сесію в Gmail. І за 30 годин діру залатали. Хочу ще раз нагадати, що це було 1 січня, коли всі нормальні люди сплять під ялинкою.
Чомусь перше, що спало мені на думку так це Microsoft. Мені стало цікаво, скільки їй потрібно було б місяців для ліквідації дірки такого типу. Якби корпорація навчилась працювати як Google, мені здається кількість ліцензій на їх продукти значно зросла б. Microsoft має значно більші кошти, більше працівників, так чому так повільно працюють? Буде справедливе народне прислів’я – маленька рибка краща від великого таргана.

З наступного року Internet Explorer 7 збирається маркувати комерційні Інтернет ресурси, що на його думку є безпечними. За повідомленням Associated Press адресна стрічка буде зафарбовуватися у зелений колір. Для того щоб стати безпечним необхідно мати цифровий сертифікат. Я так і не дізнався хто його буде видавати, але щоб його отримати необхідно спочатку отримати цифрову печатку від WebTrust (про те, що комерційний ресурс пройшов провірку аудиторської компанії, відповідає вимогам AICPA (Американський інститут бухгалтерів) та CICA (Канадський інститут присяжних бухгалтерів)). А найстрашніше тут те, що це ще не найстрашніше. З тою печаткою треба йти до органу, що видає сертифікат, де ще провірять легальність бізнесу, наявність інформації у різноманітних базах даних, правдивість телефонних номерів, банківські рахунки та ін. Коли це написав, то згадав такий анекдот. Гінеколог дантисту: “Це тобі не в зубах ковирятися”.

Розробники Mozilla випустили Firefox 2.0.0.1 та 1.5.0.9. У цих версіях були виправлені помилки за наступною класифікацією : 5 критичних, 2 вагомі, 1 не вагома. Це такі помилки як переповнення буферу, обробка RSS, JavaScript, CSS. Слід сказати, що популярність цього браузера тільки зростає. Порівняно із квітнем цього року популярність Firefox серед європейських веб-користувачів зросла на 4 % і наразі складає 23,2% . Лідером серед країн користувачів є Словенія (40,5%), Фінляндія (39,3%), Польща (33,6%), Німеччина (33%). Шкода тільки що України у цьому списку немає, навіть незважаючи на те, що на такому популярному it.ridne.net справа весить їх логотип. Скачати браузер можна за адресою www.mozilla.com

Якось напередодні новорічних свят (з чим я всіх щиро і вітаю) не хочеться писати про якісь сумні та банальні події. А тому я приведу тут найбанальніших, найабсурдніших 10 легенд (байок), які циркулювали всесвітньою мережею у 2006 році (за даними snopes.com). Останнє місце посідає історія про те, що магазин Target (Франція) надає скидки геям та лесбіянкам та відмовився обслуговувати ветеранів. 9-те місце посів Біл Гейтс, котрий роздає всім гроші. А для цього достатньо всього лише переслати отриманий мейл своїм колегам. Ця програма ніби призначена боротьбі зі спамерами. Найцікавіше, тут те, що ця лажа працює вже 10 років і постійно знаходяться якісь йолопи, що відсилають такі листи. На 8-му місці байка про, що файл із назвою Життя прекрасне.pss містить дуже небезпечний вірус. Ясна річ що це виявилась фальсифікація, яку невідомо чому запустили. 7-ме місце дісталося мережі ресторанів Applebee’s, що починаючи з 1997 року роздають по 50 долярів. На 6-му неіснуюча американська фірма пропонує, огородити людину від реклами. А для цього достатньо було тільки зателефонувати по певному номеру. 5-місце посіла 13-річна панянка Флорес яку розшукували у Інтернеті, дякуючи масовій розсилці якогось спамера. Тільки за перший день для пошуку зареєструвалося більше 25 тис народу. Цікаво тут те, що спамер навіть фотографію додавав до листа. Далі за рейтингом Бена Ладена схопили та повісили, за повідомленням мейла, з посиланням на CNN. До листа додавались заархівовані знимки. Ясна річ, що це були звичайні трояни. Ну і переходимо до першої трійки. На 3-му місці терорист-поштальйон. Хтось пустив бульку про те, що всі найнебезпечніші терористи обов’язково вдягали ( повинні вдягнути) уніформу міжнародної поштової служби UPS . Друге місце належить електронному листу з темою “Запрошення” або “Олімпійський факел” , який навіть під загрозою смерті відкривати не можна, оскільки той містить небезпечний вірус, що знищить всю інформацію на компутері. Ясна річ, що такого вірусу в природі не існувало. Ну і нарешті перше місце посідає історія про те, якщо при використанні пластикової картки в банкоматі, набрати свій PIN у зворотному порядку, то банкомат дасть сигнал, приїдуть менти і всіх покрутять. Найцікавіше тут те, що такий метод таємного виклику поліції є запатентований у Чикаго(1998 р). В нас також в принципі працює такий метод виклику, тільки з однією особливістю – PIN треба набирати за допомогою молотка.

За повідомленням Securityfocus.com, веб-проекти, написані мовою РНР, становлять 43% всіх проблем, пов’язаних із безпекою інформаційних мереж. Минулого року цей показник становив 29%. На даний момент РНР використовують у 20 млн. доменах і 1,3 млн. ІР-адрес (цифра ця точна, сам перераховував).
Такі цифри свідчать про масовий наплив прибиральниць та сантехніків (без образи на ці професії, без цих людей ми ніхто) у веб-технології. Зараз модно сказати, що я займаюсь розробкою веб-ресурсів-технологій-проектів. Але не всі розуміють, що коли взломали якийсь сайт, то проблема полягає не у недосконалості РНР чи іншої мови, а у особі, що це написала. Люди, які вивчають веб-проектування, написавши маленький непотрібний скрипт, відразу намагаються викинути його у Інтернет. І так мільони. Як результат мережа перенасичується таким сміттям. Якщо розпочати вивчати мову РНР, то відразу захоплюєшся її можливостями. Але отримавши десь роботу завжди чомусь бракує часу на поглиблення своїх знань і не тільки функціональних можливостей мови, а й середовища, що оточує використання цієї мови( наприклад MYSQL, Apache etc) . Вирішити проблеми такого типу можна, наприклад максимально адаптувавши мови для створення сайтів для чайників, що на мою думку не є правильним підходом, оскільки це тільки збільшить кількість таких чайників у всесвітній мережі. Є ще другий спосіб, але його ніхто не знає...

Як повідомляє Consumer Sentiel Федеральна торгова комісія США минулого року 12% з 431 тис. скарг належить Інтернет-аукціонам. Скарги були подані в основному на продавців, що втекли з грошима, не виславши товар, чи на пересилання неякісного товару. І дослідники університету Карнегі Мелон (CMU) взялися за розробку програми, котра дозволить виявити правопорушників на аукционі eBay. Схема обдурювання клієнтів працює за наступним чином. Кілька осіб реєструються на eBay та продають товар самі собі і цим самим виставляють найбільш високий рівень задоволення. І відповідно наївні клієнти вірять цьому рівню та замовляють товар. Фахівці проаналізували біля 1 млн. транзакцій вияснили закономірність – деякі операції були проведені між двума зареєстрованими записами з ціллю підняти свій рейтинг.

Хоч і даний матеріал я і відніс до серії навчальних матеріалів, проте в повній мірі вважати даний матеріал науковим не варто. А причиною написання послужив якийсь випуск новин, де вкотре виникли політичні конфлікти, а як їх вирішити ніхто не знає.
В літературі вводиться кілька визначень поняття конфлікту, проте на мою думку, найбільш універсальним може бути таке. Конфлікт (двох сторін) це ситуація коли дії однієї сторони впливають на результат другої і цей вплив понижує цінність результату другої сторони. Якщо перша сторона не впливає на дії іншої, то вважають що друга сторона є незалежною від першої.

Компанія Digital Security (www.dsec.ru) представила Digital Security ScreenSaver. Цей програмний продукт (скачати: www.dsec.ru/downloads/ds_screensaver_demo.zip, 1,2 Mb) це періодично обновлювальна серія скрінсейверів, що допомагає користувачам закріпити деякі правила з області інформаційної безпеки. Пропонується 3 версії програми : стандартна – сюжет та дизайн універсальні, логотип компанії заміняється на логотип вашої компанії; корпоративний дизайн – сюжет універсальний, дизайн за замовленням; корпоративна – сюжет та дизайн за замовленням.
В сумі кожен випуск містить 10 різних сюжетів, а обновлення відбувається один раз на два місяці. Програма дуже нагадує звичайнісіньку презентацію.
Річ ця звісно хороша, проте на мою думку – малоефективна. Скрінсейвер вмикається коли користувач зазвичай відходить від свого комп’ютера і інформацію, яка з’являється на моніторі можуть побачити хіба інші особи. Форма представлення такої важливої інформації, мені здається – занадто дитяча. Слід зауважити, що я оцінюю демо-версію. Наведу живий приклад. Я не користуюсь антивірусними програмами, хоч і мій комп’ютер-клієнт працює в локалці на 150 компів під’єднаних до Інтернет (зовсім віднедавна. Слава адміну!!!). І в цьому скрінсейвері з’являється картинка із малим щеням і внизу написано, що так беззахисно виглядає мій комп’ютер без антивірусного програмного забезпечення. І навіть після побаченого я не встановив навіть Касперского. Можливо було б ефективніше, якби мені показали ілюзію краху операційки та внизу написали, що таку каку може зробити мені вірус і обов’язково треба захищатися. Антивірус від побаченого я б все одно собі не поставив, але це могло б спонукати до більш рішучіших дій користувачів. Доки їх не настрашиш – не перехрестяться. А настрашити вірусами їх треба так, щоб вночі не спали і думали якби то від них відбитися.

З чим я всіх і вітаю. Свято засноване у 1988 році і підтримує його 50 країн. Для того щоб правильно його відсвяткувати і потім зранку ще й вийти на роботу майже з світлою головою можна скористатись лінком http://www.computersecurityday.org/. Тільки наперед кажу, що ця адреса від похмілля не рятує (але якщо хтось знає таку, обов’язково дайте знати).

www.securitylab.ru чемно нам повідомляє про вихід російського перекладу британського стандарту BS 7799-3:2006 “Системы управления информационной безопасностью – Часть 3: Руководство по управлению рисками информационной безопасности”. Експерти передбачають, що до кінця наступного року даний стандарт ISO затвердить як міжнародний з індексом 27005 . Стандарт містить інформацію про основні фактори ризику, процеси керування ризиками, описує взаємозв’язок між ризиками інформаційної безпеки та іншими ризиками, вимоги та рекомендації щодо вибору методології та інструментів для оцінки ризиків. Зараз проводиться робота над стандартами по застосуванню та вимірюванню ефективності систем керування інформаційною безпекою які повинні отримати індекси 27003 та 27004. Їх випуск запланований на 2007 рік. Буде доступною і російськомовна версія.

За повідомленням www.lenta.ru у Скотланд-Ярд виникли проблеми. 16 листопада було викрадено 3 лептопи у яких містилась інформація про банківські реквізити, номера соціальних страхівок, адреси проживання та розмір зарполатні 15 тис. сівробітників Скотланд-Ярду. Керівництво закладу наказало своїм працівникам прослідковувати стан своїх рахунків і про несанкціоновані зміни відразу повідомляти.
Перше, що мене здивувало так це чому така інформація зберігалась на лептопах, які не були захищені відповідним чином (хоч би до стіни цвяхами поприбивали). Така подія може свідчити про недотримання (незнання, небажання дотримуватись) політики безпеки. Адже тільки коплекс фізичних та програмних засобів захисту може гарантувати збереження такого роду інформації. Вони просто повинні були передбачити можливість підкупу працівників, випадок ядерної війни і що найгірше – планового відключення електроенергії. І на кожен з випадків повинна існувати інструкція по протидії цьому. Не спрацювала служба безпеки Служби безпеки. А може то хтось із трудоголіків-працівників просто взяв ці комп’ютери додому, щоб трохи більше попрацювати і забув про це сказати ...

Нещодавно мені вдалось натрапити на сторінку www.virustotal.com . Якщо у вашій системі завівся хробачок – не спішіть видаляти файл. Відправте його на цю сторінку. Це безкоштовний сервіс на якому 26 антивірусних програм провірять ваш файл і видадуть інформацію про вірус і на скільки він є шкідливим. Це такі програми як DrWeb 4.33, Kaspersky 4.0.2.24, McAfee 4902, UNA 1.83, eSafe 7.0.14.0, ClamAV devel-20060426, AntiVir 7.2.0.44 та ін. Звісно, що програмне забезпечення не є найновішим, проте за даними цієї online служби бази оновлюються щодня. Відвідувачу на сторінці пропонуються наступні послуги : звичайна пересилка файлу, пересилка файлу по SSL, пересилка файлу антивірусним компаніям ( не зовсім зрозуміла опція – яким саме корпораціям я відсилаю файл, навіщо це робити). Отримавши файл система починає його сканувати. Перед користувачем з’являється таблиця, стрічки якої складають назву антивірусної програми, її версію, дата оновлення баз та результат сканування.

SANS Institute (SysAdmin, Audit, Networking and Security) опублікувала щорічний список 20 програмних продуктів, що є улюбленими цілями хакерів (Top 20 Security Targets). І як завжди на першому місці продукти Microsoft: Internet Explorer, Office, Windows Libraries.
Ця ж організація виявила 45 вразливостей Microsoft Office, які попали у категорію критичних, серйозних. Десять з них дають можливості до zero-day атак ( коли атака здійснюється раніше, ніж розробник випустить відповідну заплатку). І мені як прихильнику та шанувальнику FreeBSD напрочуд приємно читати такі факти. З нетерпінням очікую вихід Windows Vista там буде про що писати.
У веб ресурсах найбільш поширені атаки типу SQL injection (введення спеціального коду для отримання доступу до бази даних) та cross-site-scripting (використання скритого коду в вікні браузера користувача). Це може свідчити про безграмотність розробників ПЗ, оскільки вже давно є готові скрипти для запобігання атак такого типу. А у мови PHP є навіть вбудовані функції для фільтрування введеного тексту, так невже так складно їх використати.

Spamhaus виділела десятку найбільш злосних спамерів. Ця онлайн служба провела дослідження і в результаті з’ясувалося, що 80% масового розсилання небажаних повідомлень зводиться до конкретного числа осіб – 200 чол. А це за повідомленням голови антиспамної компанії Outblaze означає – на 100 тис. легітимних повідомлень додається ще 1 млн. спам-листів. І перше місце в світі по розсиланню таких листів посідає Україна – Олексій Поляков. В основному він розсилає спам порнографічного вмісту ( зокрема і дитяча порнографія) та рекламу лікарських засобів. Друге місце належить Росії – Леонід Куваєв. Третє – Майкл Линдсей із сонячної Каліфорнії, четверте – Руслан Ібрагімов із Росії, та п’яте – Амічай Інбар з Ізраїлю.

Для початку визначимо що ми будемо розуміти під терміном ризику. Ризик це певна подія, що здатна вплинути на хід проекту. Основна його характеристика – ймовірність виникнення. Ризик, який реалізувався будемо розуміти під проблемою. Слід розрізняти поняття – вирішення проблеми та вирішення задачі.
В більшості випадків керівники проектів (розглянемо розробку програмного проекту) не враховують ризик через те, що виявлений ризик він сприймає як недолік його роботи. Але ж значно простіше внести зміни у проект у процесі відладки, ніж після його здачі. І продукт буде працювати стабільніше.
Ризик виникає із зародженням проекту. Він виникає за наступних умов: неправильно оцінений розмір та складність задач розробки, необхідні ресурси; використовуються недосконалі інструменти розробки проекту; проект розробляють не фахівці; визначення строків закінчення проекту проходить без врахування структури проекту та його складності; існування сильної залежності від конкретних людей; постійно змінюються вимоги до розробки; розміри проекту не відповідають його бюджету.

На ринку з’явився шлюз інформаційної безпеки D-Link DFL-M510 . Про його характеристики можна прочитати за адресою http://www.ritm-it.ru/protection/d-link/dlink-firewalls/m90464/7730.htm . Він підключається між міжмережевим екраном та локальною мережею. Пристрій дозволяє заблокувати роботу програм чи їх окремих функцій, коли він виявить в них шкідливий код, обмежити роботу із поштовими службами, програмами-завантажувачами(GetRight та ін.), обмежити пропускну здатність каналу, блокування несанкціонованого трафіка, керування передачею Р2/Р-сервісів, захищає від більшості атак DOS/DDOS. Якщо атака йде із середини мережі, то використовується технологія Zone Defense і пристрій може заблокувати порт комутатора до якого під’єднаний хакер.

На сторінці 73 журналу “Компьютерное обозрение” №41(560) за 31 жовтня – 6 листопада 2006р розміщена стаття Евгения Куценко “Знание правил не гарантирует их выполнение”. Автор повідомляє про проведення глобального соціологічного дослідження.
Було опитано більше 1000 чоловік із 10 країн. Ціль проведення такого дослідження полягала у вивченні такого питання як – на скільки користувачі інформаційної системи створюють додаткову загрозу для своєї інформаційної безпеки. По отриманим відповідям було виділено окрему категорію – віддалені працівники. Дві третини респондентів відмітили що віддалена робота потребує підвищеної обережності, проте вони це ігнорують. Більше 21% учасників дозволяють особам що не мають відношення до роботи використовувати свій комп’ютер для доступу в Інтернет. Кожен четвертий заявив що в процесі роботи за службовим комп’ютером відкриває електронні листи від невідомих адресатів. Крім цього 29% опитаних призналися у використанні службових комп’ютерів у приватних цілях, 40% використовують для проведення закупів в Інтернет. За словами Jeff Platon віце-президента компанії Cisco, необережне поводження 11 віддалених працівників компанії зі штатом у 100 чоловік може повністю вивести з ладу корпоративну мережу, викликати витік конфіденційної інформації та персональних даних. До цього може призвести всього одна вразливість у системі захисту.