|
У Microsoft серьезные проблемы с защитой
Уилл Найт (Will Knight), ZDNet UK
27 января 2000 г.
Британский эксперт по компьютерной безопасности обнаружил существенный пробел в защите ПО веб-сервера Microsoft Internet Information Server 4 (IIS).
Специалист по Windows британской фирмы Cerberus Information Security Дэвид Личфилд (David Litchfield) заявил, что последняя версия продукта Microsoft позволяет хакерам-злоумышленникам получать несанкционированный доступ к важным файлам, включая сохраненные в буфере или хранящиеся на диске данные кредитных карт, адреса, личные идентификаторы и пароли. Хуже всего, что получить такой доступ чрезвычайно легко: достаточно набрать нужный адрес URL в любом браузере, и можно читать файлы веб-сервера под IIS, если его конфигурация не предусматривает специальных мер защиты.
Личфилд утверждает, что ситуация очень серьезна. гЧтобы воспользоваться этим методом, не требуется никакого опыта, поэтому я даже не решаюсь привести конкретный примерё. ZDNet UK News располагает соответствующей информацией.
Это не первая дыра в защите продуктов Microsoft. В числе пострадавших от подобных проблем уже оказались такие крупные службы, как Hotmail. Правда, атакам хакеров подвержены и системы других поставщиков: несколько выявленных пробелов в защиты серьезных веб-сайтов электронной коммерции стали предупреждением о том, что к новой технологии следует относиться с осторожностью. Например, недавно шантажировали компанию Visa, угрожая вывести из строя ее компьютерную систему. Веб-сайт электронной коммерции CDUniverse также подвергся атаке хакера, который выкрал и опубликовал в Интернете номера сотен кредитных карт.
Продакт-менеджер Microsoft по NT Марк Теннант (Mark Tennant) заявил ZDNet UK News, что в недавней шумихе, вызванной ненадежностью защиты продуктов Microsoft, нет ничего удивительного. гЭто массовый продукт с миллионами пользователей. Понятно, что чем больше пользователей, тем больше вероятность обнаружения ошибокё. Возможно, что это верно. Но когда тревожные сообщения повторяются снова и снова, нельзя не задуматься.
Теннант проводит параллель с Linux, гу которой нет миллионов пользователей, и поэтому о ее проблемах защиты ничего не известноё. На вопрос, можно ли гарантировать, что у ОС Windows 2000 не будет таких же лазеек, как у ее предшественницы, он ответил: гЯ не могу гадать, что случится через месяц| но мы внимательно относились к защитеё.
Личфилд считает, что давление со стороны правительства и агитация производителей ПО заставляют организации выходить в онлайн, широко открывая свои двери для компьютерных преступников. гСоблазн внедрения электронной коммерции для дальнейшего расширения и углубления бизнеса приводит к тому, что многие компании выходят в Сеть слишком быстро, жертвуя ради этого безопасностьюё.
Нейл Барретт (Neil Barrett), консультант по средствам защиты из другой британской фирмы, UK Information Risk Management, согласен с этим: гПолучить дистанционный доступ + мечта каждого хакера. В прошлом проблемы IIS были связаны главным образом с отказом от обслуживания. Если выявленная дыра действительно существует, снова ставится под сомнение качество защиты кредитных карт, которое, как мы знаем по собственному опыту, вовсе нельзя назвать хорошимё. В качестве срочных мер безопасности Баретт рекомендует установить систему контроля за проникновением или систему шифрования, а лучше + и то, и другое.
Технические подробности по выявленной проблеме приведены на сайте Cerberus Web, а заплатку для Internet Information Server 4 можно скачать со специальной страницы Microsoft.
ZDNET Russia
|