С. Б.
В начале 1998 г. сети Пентагона подверглись массированным атакам. Официально сообщалось о взломе 11 Web-узлов ВМФ и ВВС (один из них - сайт воздушной базы в Пирл-Харборе). Нападающим удалось получить информацию, непосредственно не связанную с военными действиями. Особая активность хакеров пришлась на 3, 4 и 5 февраля, и это несмотря на то, что ВВС США объявили о проведении в феврале месячника информационной безопасности. Нападения были тщательно спланированы; по мнению одного из представителей Агентства национальной безопасности США, “почерк” преступников характерен для голландских хакерских группировок. Однако сотрудники военной разведки Пентагона не смогли конкретно определить, кто их атаковал, так как нападавшие проделали длинный обходной путь через Internet, прежде чем проникли в военные сети.
Через 10 дней после увольнения 30-летнего Тимоти Лойда из компании Omega Engineering, разрабатывающей ПО для подводных лодок, ракет и ядерной промышленности Америки, сработала логическая бомба - программа, внедренная Лойдом во все ПО компании и систему управления тысячами компьютеров в сети. “Вредный” модуль дал этим компьютерам команду уничтожить записанные на них данные. В результате убытки Omega составили более 10 млн. долл. Такое происшествие, учитывая специфику работы Omega, вызвало повышенный интерес спецслужб, и Лойд с помощью ФБР был арестован. Ему угрожает до 15 лет тюремного заключения и штраф в размере до 20 млн. долл. По мнению сотрудника ФБР, это одно из самых “дорогих” преступлений в компьютерной области.
Группа хакеров Lopht Heavy Industries выпустила новую версию утилиты lOphtCrack для получения паролей Windows NT. Впервые lOphtCrack появилась в Сети прошлой весной. Microsoft утверждает, что такой подвиг (расшифровка паролей) требует миллионов лет, но хакеры считают, что для этого достаточно одной недели работы на Pentium/200.
Пароли в NT шифруются на базе алгоритма RC4 DES. Так как принцип шифрования всех паролей одинаков, достаточно найти один правильный пароль, чтобы прочитать все остальные. Кроме того, незашифрованные пароли можно захватить во время их передачи между компьютерами, работающими на платформах Windows 95. Microsoft рекомендует заменить на клиентских местах Windows 95 на NT.
В последнее время хакеры активно переориентируются с Unix на становящуюся все более популярной NT. Поэтому ожидается, что новая версия Windows NT 5.0 будет при работе в сети сертифицирована по стандарту безопасности C2.
Сотрудники консалтинговой фирмы Miora Systems считают, что 90% американских Web-узлов не защищены от атак хакеров. Потенциально уязвимы Internet-продукты фирм IBM, Microsoft, Netscape, Lotus, Apache и др.
Miora предупреждает о забытой, но в последнее время все более активно используемой технологии хакерских атак. Если на Web-странице одно из полей ввода в форме имеет параметр INPUT TYPE=“hidden”, хакер может передать CGI-модулю, обрабатывающему информацию этого поля, неверное значение, которое приведет к сбою в работе модуля и сайта, что в результате позволит злоумышленнику получить доступ к Web-узлу. Брандмауэры от этой атаки не защищают.
По оценкам балтиморской фирмы WarRoom Research, все компании, входящие в список Fortune 1000, в прошлом году неоднократно подвергались успешным атакам хакеров. 56% этих компаний атаковались от 31 до 40 раз. Большинство нападений предпринималось с целью экономического шпионажа.
Cisco купила за 124 млн. долл. фирму WheelGroup, являющуюся одним из лидеров на рынке систем защиты корпоративных сетей от несанкционированного доступа.
Microsoft и Netscape выпустили “заплатки” для своих систем, в которых обнаружены ошибки, позволяющие хакерам получить доступ к системным файлам Web-сервера, исходным текстам скриптов, настройкам и паролям. Эти ошибки имеются в серверах Internet Information Server 4.0, Personal Web Server 4.0, Netscape Enterprise 3.0 и FastTrack. Одна из них связана с обработкой длинных имен в Windows, где для обеспечения совместимости с DOS поддерживаются также короткие имена, хранящиеся в специальных файлах, а защищаются только длинные, и хакер может свободно обращаться к системным файлам по короткому имени.
Группа хакеров, разработавшая бесплатную Internet-утилиту (популярный ftp-клиент, название его не сообщается), продала неизвестному покупателю несколько тысяч паролей, полученных с помощью этой программы. Подобная утилита - типичный “троянский конь”, при вводе пароля для обращения к ftp-узлу она посылает пароль также на узел хакеров, где он записывается в базу. В принципе, клиентское Internet-приложение (не браузер) может совершить любое злонамеренное действие - скопировать информацию с компьютера, уничтожить данные и т. д. Подобную фоновую работу программ можно отследить, но для этого требуется специальное ПО.
Symantec выпустила первый продукт для обнаружения “троянских коней” - программ, которые распространяются как бесплатные приложения, а при запуске уничтожают данные, считывают и тайно передают по Сети пароли и т. д. Пользователи Norton AntiVirus 4.0 могут сгрузить этот продукт с Web-узла www.symantec.com/avcenter.
Фирма Dr. Solomon (www.drsolomon.com) выпустила аналогичное средство, содержащее информацию о 500 “троянских конях”. Оно также осуществляет мониторинг работы компьютера, фиксирует попытки считать пароли и модифицировать системную информацию.
Ежемесячно появляется от 200 до 400 новых вирусов. В базе антивирусного пакета Anti-Virus Toolkit фирмы Dr. Solomon (www.drsolomon.com) хранятся шаблоны около 20 тыс. вирусов. По данным февральского выпуска бюллетеня Virus Bulletin, этот пакет осуществил 100%-ное обнаружение вирусов по всем категориям. Такой результат достигнут впервые с тех пор, как бюллетень стал тестировать программы на дополнительную возможность отлова макровирусов.
