 |
 |
 |
Интерра. Новости
Компьюлента,
info@compulenta.ru, 20.01.2003
Хит-парад уязвимостей
Некоммерческая организация Open Web Application Security Project (OWASP) представила список десяти наиболее опасных, но в то же время распространенных дыр в программном обеспечении для Интернета и веб-сервисах. По мнению OWASP, на эти уязвимости стоит обратить самое пристальное внимание как государственным, так и коммерческим организациям, желающим обезопасить себя и своих клиентов от хакеров. Все указанные уязвимости достаточно широко распространены, а использовать их под силу даже малоквалифицированным хакерам, поскольку соответствующие средства взлома легко найти в Сети.
На первом месте списка OWASP находится уязвимость, связанная с отсутствием проверки параметров в http-запросах. В результате, используя особые параметры, хакер может получить доступ к ресурсам сервера через веб-приложение. На втором месте находится несоблюдение политик управления доступом к ресурсам. Это позволяет злоумышленнику использовать закрытые ресурсы или получать доступ к учетным записям других пользователей.
На третьей позиции рейтинга значится несоблюдение правил управления учетными записями и пользовательскими сессиями. Эта уязвимость связана, прежде всего, с отсутствием надежной защиты пользовательских данных (логина, пароля) и идентификаторов сессий, таких как файлы cookie. Это позволяет хакерам перехватывать данные других пользователей и работать с системой от их имени.
На четвертой позиции находятся уязвимости, связанные с ошибками в механизме Cross-Site Scripting (CSS или XSS), используемом для перенаправления пользователя на другие сайты. В этом случае атака может привести к получению хакером доступа к пользовательским данным или взлому локального компьютера.
Под пятым пунктом упоминаются ошибки переполнения буфера, имеющиеся во многих программных продуктах — от скриптов и драйверов до операционных систем и серверного ПО. Отсутствие проверки некоторых параметров может приводить к переполнению буфера, а хакер при этом захватывает управление компьютером. Сообщения об обнаружении ошибок переполнения появляются чрезвычайно часто.
На шестой позиции находятся дыры, связанные с отсутствием надлежащего контроля за параметрами, передаваемыми компьютерами при доступе к внешним ресурсам. Если хакер сумеет ввести в эти параметры свои команды, последствия могут быть самыми печальными. Далее специалисты OWASP отмечают уязвимости, связанные с неправильной реализацией обработки ошибок в программном обеспечении. В некоторых случаях при возникновении ошибок хакер может получить информацию о системе или даже доступ к ней.
На восьмой позиции находится неудачное использование криптографии. В OWASP отмечают, что часто инструменты для шифрования информации имеют собственные дыры, из-за чего применение сильной криптографии теряет всякий смысл. На девятом месте находятся уязвимости, связанные с отсутствием надлежащей защиты подсистем удаленного администрирования. И хотя наличие веб-интерфейса удобно, поскольку позволяет администратору управлять системой с любого подключенного к Сети компьютера, при отсутствии надежной защиты то же самое может делать и хакер. Хорошим тому примером является взлом сайта Американской ассоциации звукозаписывающих компаний (RIAA) в конце декабря прошлого года.
Наконец, на десятом месте среди уязвимостей OWASP помещает неправильное конфигурирование серверного ПО, многие настройки которого серьезно влияют на безопасность системы.
Суд над Kazaa
Федеральный судья рассматривает иск американской Ассоциации звукозаписывающих компаний (RIAA) против фирмы Sharman Networks, владеющей популярной файлообменной сетью Kazaa. Ранее представители Sharman требовали от суда отказаться от рассмотрения иска на том основании, что основные операции эта компания ведет в Австралии, а зарегистрирована она вообще в государстве Вануату, расположенном на одном из тихоокеанских архипелагов.
Однако федеральный судья Стивен Уилсон, проведший всесторонний анализ проблемы, постановил, что иск против Sharman Networks все же может рассматриваться в американском суде. В решении судьи, опубликованном в минувшую пятницу на 46 страницах, говорится, что Sharman Networks имеет деловые интересы в Калифорнии и вносит весомый вклад в пиратское распространение музыки на территории США. По этой причине компанию можно судить в соответствии с американским законодательством об авторском праве.
На сегодняшний день Kazaa является, наверное, самой известной и популярной пиринговой сетью в мире. Ее американская аудитория насчитывает свыше 21 млн. пользователей. Представители Sharman Networks уже выразили разочарование решением судьи Уилсона. Компания намерена всеми способами отстаивать свою невиновность. Кроме этого, в ближайшее время Sharman Networks планирует подать встречный иск против индустрии звукозаписи.
Как победить пиратство в Сети
В интервью BBC News Online президент RIAA Кэри Шерман сказал, что, независимо от расточительных судебных разбирательств, где-то в Сети всегда будет бесплатная музыка. Шерман отметил также, что Американская ассоциация звукозаписи стремилась установить контроль над распространением пиратства в Сети, чтобы торговцы от музыки продолжали получать дивиденды.
Кстати, последние исследования показали, что все больше людей (19% против 16% в прошлом году) готовы платить за музыку из Сети. Музыкальная индустрия обретает надежду, что люди предпочтут законные способы нелегальным.
А тем временем «охота на ведьм» продолжается. Теперь под прицелом оказались уже не распространители, а потребители нелегального контента. RIAA обращается к главам университетов и корпораций с призывом принять меры в отношении своих сотрудников и студентов, балующихся скачиванием дармовых композиций. RIAA напоминает, что нелегальная загрузка увеличивает трафик и не способствует обеспечению сетевой безопасности, с чем, разумеется, невозможно не согласиться.
|
|
|
|
|
