|
Microsoft винит за хакерские атаки администраторов
Грэм Верден (Graeme Wearden), ZDNet UK
21 августа 2000 г.
Microsoft винит за случившиеся на прошлой неделе атаки хакеров на правительственные веб-сайты США системных администраторов. Они якобы не назначили адекватных паролей для защиты своих SQL-серверов.
Софтверный гигант уверен, что хакеру по имени Herbless удалось получить контроль над SQL-серверами потому, что системные администраторы не установили пароль для административного доступа. Сам Herbless опровергает это утверждение + по его словам, он написал новый код, который использует пробел в защите SQL-серверов.
SQL-серверы могут работать в двух разных режимах: смешанной аутентификации и встроенной аутентификации. В смешанном режиме учетная запись администратора создается при полном доступе к среде SQL, для которого нужен пароль. Microsoft рекомендует использовать SQL-серверы, подключенные к интернету, в режиме встроенной аутентификации, так как в этом случае степень защиты выше. Похоже, что сайты, атакованные хакером Herbless, работали в смешанном режиме с пустым паролем администратора. Городской совет Шеффилда, чей веб-сайт был вскрыт, отказался от комментариев.
Менеджер по маркетингу продукта Microsoft UK Николас Макграт (Nicholas McGrath) настоятельно призывает системных администраторов предпринимать адекватные меры защиты. гНужно понимать, насколько небезопасен интернет, и действовать соответствующим образом. Оставлять веб-сайт незащищенным + все равно, что бросать полную ценных вещей машину незапертой в месте, где проходят миллионы людейё, + говорит он.
Microsoft быстро отреагировала на утверждения Herbless и опубликовала свои рекомендации. Кроме эксплуатации подключенных к интернету SQL-серверов только в режиме встроенной аутентификации, Microsoft рекомендует тем, кто все же работает в режиме смешанной аутентификации, назначать серьезные пароли для административного доступа.
Макграт утверждает, что Microsoft не следует ужесточать защиту. гМы могли бы это сделать, но при этом нам пришлось бы пожертвовать удобством для пользователей. А мы должны предоставлять им гибкость и разнообразие, хотя это и ведет к потенциальному ослаблению защитыё, + говорит он. Смешанный режим аутентификации удобен для сетей, не соединенных с другими сетями.
Аналитик IDC Сандра Эдлер (Sandra Baccari Edler) согласна, что онлайновой защите следует уделять больше внимания, но уверена, что подобные атаки помогают предупредить об опасности других администраторов. гПробел в защите, который использовал этот хакер, часто упускается из виду ответственными за безопасность в организациях, + комментирует она. + Подобные случаи, надо сказать, способствуют росту осведомленности, что позволяет потенциальным жертвам защитить свои системы прежде, чем они будут вскрытыё. Эдлер согласна с Макгратом в том, что организации должны понимать, насколько небезопасен интернет: гТолько когда компании откажутся от практики защиты по остаточному принципу, они перестанут быть такой легкой добычей для хакеровё.
Обсуждение статьи
Маленькое резюме - никогд... -- K.I.S.S
To: Shadow
Так уж исто... -- dragon
M$ с его Zero Administrat... -- GOLDEN_key
Да причем тут пароли. Вы ... -- REX
"Сам Herbless опровергает... -- A
интересное наблюдение:
Ж... -- Shadow
определенная доля вины в ... -- Антон Блинков
Совершенно правильно пост... -- Sergey
Ну вот и начали они отгре... -- dragon
ZDNET Russia
|