Все новости от 28 января 2000 г.

У Microsoft серьезные проблемы с защитой

Специалист по Windows британской фирмы Cerberus Information Security Дэвид Личфилд (David Litchfield) заявил, что последняя версия продукта Microsoft позволяет хакерам-злоумышленникам получать несанкционированный доступ к важным файлам, включая сохраненные в буфере или хранящиеся на диске данные кредитных карт, адреса, личные идентификаторы и пароли. Хуже всего то, что получить такой доступ чрезвычайно легко: достаточно набрать нужный адрес URL в любом браузере, и можно читать файлы веб-сервера под IIS, если его конфигурация не предусматривает специальных мер защиты.

Личфилд утверждает, что ситуация очень серьезна: «Чтобы воспользоваться этим методом, не требуется никакого опыта, поэтому я даже не решаюсь привести конкретный пример». ZDNet UK News располагает соответствующей информацией.

Это не первая дыра в защите продуктов Microsoft. В числе пострадавших от подобных проблем уже оказались такие крупные службы, как Hotmail. Правда, атакам хакеров подвержены системы и других поставщиков: несколько выявленных пробелов в защите серьезных веб-сайтов электронной коммерции стали предупреждением о том, что к новой технологии следует относиться с осторожностью. Например, недавно шантажировали компанию Visa, угрожая вывести из строя ее компьютерную систему. Веб-сайт электронной коммерции CDUniverse также подвергся атаке хакера, который выкрал и опубликовал в Интернете номера сотен кредитных карт.

Продакт-менеджер Microsoft по NT Марк Теннант (Mark Tennant) заявил ZDNet UK News, что в недавней шумихе вокруг ненадежности защиты продуктов Microsoft нет ничего удивительного. «Это массовый продукт с миллионами пользователей. Понятно, что чем больше пользователей, тем больше вероятность обнаружения ошибок». Возможно, это так. Но когда тревожные сообщения повторяются снова и снова, нельзя не задуматься.

Теннант проводит параллель с Linux, «у которой нет миллионов пользователей, поэтому о ее проблемах защиты ничего не известно». На вопрос, можно ли гарантировать, что у ОС Windows 2000 не будет таких же лазеек, как у ее предшественницы, он ответил: «Я не могу гадать, что случится через месяц… но мы внимательно относились к защите».

Личфилд считает, что давление со стороны правительства и агитация производителей ПО заставляют организации выходить в онлайн, широко открывая свои двери для компьютерных преступников. «Соблазн внедрения электронной коммерции для дальнейшего расширения и углубления бизнеса приводит к тому, что многие компании выходят в Сеть слишком быстро, жертвуя своей безопасностью».

Нейл Барретт (Neil Barrett), консультант по средствам защиты из другой британской фирмы, UK Information Risk Management, согласен с этим: «Получить дистанционный доступ — мечта каждого хакера. В прошлом проблемы IIS были связаны главным образом с отказом от обслуживания. Если выявленная дыра действительно существует, снова ставится под сомнение качество защиты кредитных карт, которое, как мы знаем по собственному опыту, вовсе нельзя назвать хорошим». В качестве срочных мер безопасности Барретт рекомендует установить систему контроля за проникновением или систему шифрования, а лучше и то, и другое.

Технические подробности по выявленной проблеме приведены на сайте Cerberus Web, а заплатку для Internet Information Server 4 можно скачать со специальной страницы Microsoft.