ФСБ против ФБР

Федеральная служба безопасности России возбудила уголовное дело по факту несанкционированного проникновения американского гражданина в компьютерную систему, находящуюся на российской территории. Поскольку обвиняемый, Майкл Шулер (Michael Schuler), совершивший это деяние еще в ноябре 2000 года, недоступен для российских властей, соответствующая нота послана в министерство юстиции США. Фактически это первое дело подобного рода, инициированное правоохранительными органами России.

Впрочем, изюминка здесь в другом: Шулер - действующий агент ФБР и у себя на родине считается чуть ли не национальным героем. Именно он вместе с напарником сыграл роль представителей подставной фирмы Invita, пригласив два года назад в США российских хакеров Василия Горшкова и Алексея Иванова, вымогавших деньги у американских компаний за «консультации по вопросам информационной безопасности» (см. «КТ» #399). Поскольку для ареста кибервзломщиков требовались вещественные доказательства вины, остававшиеся на российской территории, Шулер разработал простенькую схему их получения: Горшкова и Иванова попросили продемонстрировать свои способности, для чего россиянам потребовалось связаться через Интернет с компьютером, оставленным в Челябинске. Введенные пароли были отслежены ФБР и использованы для получения вещдоков.

Самовольное проникновение на российский сервер и стало основой уголовного дела, возбужденного ФСБ. В сообщении, распространенном агентством Интерфакс, пресс-служба ФСБ заявляет, что таким образом российская сторона надеется защитить свой суверенитет и положить конец порочной практике использования Соединенными Штатами нелегальных методов для получения информации из источников на территории России и других стран.

Шулер с коллегами действовал не только без ордера американского суда, но и не согласовав свои действия с российскими властями. Теперь Шулеру, если, конечно, его удастся заполучить, в соответствии с Уголовным кодексом Российской Федерации, грозит до пяти лет лишения свободы. Впрочем, по сравнению со сроками, которые светят Горшкову и Иванову в США, это сущий пустяк: Горшкова, разбирательство в отношении которого уже завершено и теперь ожидающего приговора, могут осудить на сто лет тюремного заключения. Иванову, суд над которым еще впереди, сулят до девяноста лет тюрьмы. - Е.З.

…и подмахнул не глядя

Список уязвимостей браузера Internet Explorer пополнился очередной серьезной дырой, на сей раз непосредственно затрагивающей безопасность электронно-коммерческих транзакций. Используя открытую независимым консультантом по компьютерной безопасности Майком Бенхамом (Mike Benham) уязвимость в механизме проверки SSL-сертификатов, злоумышленники могут красть номера кредитных карт и прочую важную информацию пользователей.

Суть проблемы в том, что IE, запрашивающий цифровой сертификат сервера перед установлением защищенного соединения по протоколу Secure Socket Layer, не проверяет соответствие некоторых полей сертификата. Поэтому, владелец любого действительного для некоего веб-сайта SSL-сертификата может на его основе сгенерировать сертификат, который подойдет для любого другого сайта. Чтобы воспользоваться ошибкой, можно, к примеру, построить фиктивный сайт, копирующий внешний вид какой-либо платежной системы, сгенерировать для него SSL-сертификат, будто бы подписанный владельцами или доверенными лицами платежной системы, и заманить на сервер пользователей. Другой вариант атаки предусматривает установку сервера-посредника между сторонами, использующими SSL-соединение.

Серьезность ошибки (по словам Бенхама, она существует в продукте Microsoft уже как минимум пять лет и затрагивает все последние версии IE) подтверждает известный эксперт Брюс Шнайер (Bruce Schneier), который назвал ее самой серьезной криптографической уязвимостью, открытой за последние годы. Microsoft в настоящий момент работает над «заплатками» - но не для браузера, а для операционных систем семейства Windows: по заявлению компании, истинная причина ошибки кроется во внутренних механизмах работы ОС. - Е.З.

Вор у вора дубинку украл

Если у хакеров есть свой бог, то он определенно обладает неплохим чувством юмора. Пока одна довольно известная бразильская хакерская группа Hax0rs Lab предавалась безудержным празднествам, посвященным тысячному взломанному веб-сайту, ее собственное веб-представительство Hax0rslab.org «лишилось лица».

Ответственность за взлом взял на себя бразильский хакер, известный под ником CarderBR. На ломаном английском он обозвал членов группы «the real lamers» и заявил, что Hax0rs Lab лишь использовала знания других хакеров и выдавала промахи администраторов сайтов-жертв за свои профессиональные успехи (подробности на www.viruslist.com). Оппоненты из Hax0rs Lab, впрочем, в долгу не остались и в разгоревшейся полемике кинули обидчику: «Неужели этот бразилец думает, что он умнее остальных?» - А.Г.

Не туда послали

В США четырьмя крупнейшими звукоиздательскими компаниями планеты инициировано беспрецедентное судебное разбирательство, ответчиками в котором выступают три крупнейших американских владельца магистральных каналов передачи данных.

Судебный иск, поданный UMG Recordings (подразделение Vivendi Universal), RCA Records (подразделение Bertelsmann AG), Sony Music Entertainment, Warner Brothers Records, а также несколькими компаниями помельче, обвиняет сетевых гигантов AT&T Broadband, Cable & Wireless USA (подразделение Sprint) и UUNET Technologies (принадлежит WorldCom) в пособничестве музыкальному пиратству в Интернете. Хотя сами ответчики никаких пиратских сервисов, конечно, не запускали, однако воспользовавшись их сетевой инфраструктурой, можно получить доступ к крупному китайскому сайту Listen4ever.com, который содержит коллекцию пиратских копий музыкальных композиций, принадлежащих истцам. Попросту говоря, ответчики провинились в том, что переправляют сетевые пакеты от пользователей американских Интернет-провайдеров к китайскому серверу и обратно.

О хозяине Listen4ever известно лишь, что он является частным лицом и гражданином Китая. В качестве обратного почтового адреса указан анонимный ящик на Yahoo! Mail. Таким образом, оказать давление на владельца вряд ли возможно. Впрочем, аналитики отмечают, что в данном случае совершенно не важно, о каком сайте идет речь: если музыкальной индустрии удастся выиграть дело, США может пополнить список стран, где Интернет находится под цензурой.

Происходящее в Штатах перекликается с последними событиями в Великобритании. Там опубликована окончательная редакция закона Electronic Commerce Regulations 2002, который в числе прочих мер по облегчению деятельности компаний, занимающихся Интернет-предпринимательством, предусматривает освобождение их от ответственности за действия пользователей. Отныне фирмы, предоставляющие доступ к Сети и различным сетевым сервисам, не могут быть привлечены к ответственности за контент, проходящий по их сетевым каналам, кэшируемый или хранящийся на принадлежащих им серверах. Британия ощутила потребность в принятии такого закона одной из первых - здесь еще в 1998 году нашумело дело провайдера Demon Internet, который был засужен одним из его клиентов за оскорбительное письмо, размещенное в поддерживаемой компанией Интернет-конференции. Закон должен вступить в силу к концу августа. - Е.З.

Чтение преследуется по закону

Ни для кого не секрет, что такие понятия, как «копирайт» и «честное использование продукта», переживают ныне неприятную трансформацию - все больше прав остается у продавца, все меньше у покупателя. Проницательные люди, наблюдающие за этой тенденцией, уже давно предупреждают, что столь любимые в софтверном бизнесе лицензии на пользование продуктом непременно начнут «расползаться» и в другие сферы. И вот первые ласточки появились в книгоиздательском деле.

В США сразу несколько медицинских издательств начали выпускать справочники не только затянутыми в прозрачную полиэтиленовую пленку, но и с подложенной под нее «лицензией». Этот документ объявляет книгу собственностью издательства, а лицо, вскрывшее упаковку, считается принявшим условия лицензии, причем одним из условий является запрещение знакомить с содержимым книги третьих лиц. - Б.К.

Даже не думай

Фантастическая служба предотвращения преступлений из кинофильма Стивена Спилберга «Особое мнение», агенты которой узнают о правонарушении прежде, чем оно совершается («КТ» #450), возможно обзаведется аналогом в реальном мире. Американское Агентство оборонных исследований (DARPA) заключило первые контракты на проектирование и изготовление компонентов системы Total Information Awareness (TIA).

Задачи, которые надлежит решать TIA, конечно, более правдоподобны, чем стоящие перед ее киношным вариантом, но и они впечатляют: отслеживая информационные потоки (главным образом в Интернете), такая система должна обнаруживать в них следы активности террористов и тем самым облегчить правоохранительным органам предотвращение терактов. Ближайшая задача проекта TIA, решить которую планируется в пятилетний срок, заключается в создании принципиально новых технологий хранения информации и доступа к ней. Приоритетность ее обусловлена в первую очередь огромными объемами базы данных (петабайты), которой будет оперировать TIA. Кроме того, это и самая реальная из всех поставленных DARPA целей: остальные пока - даже по оценкам идеологов проекта - лежат за пределами возможностей современных технологий. В свете этих заявлений особенно любопытен тот факт, что бюджет TIA держится в строжайшем секрете. - Е.З.

Книгу на стол - руки за голову

На сайте британской правозащитной организации Privacy International (PI) появилась очередная тревожная новость, которую защитники гражданских свобод поспешили раздуть до масштабов национальной трагедии.

По данным PI, на сегодняшний день у более чем двухсот тысяч английских школьников сняты отпечатки пальцев. Дело тут вовсе не в ужасающем всплеске детской преступности, а… в модернизации школьных библиотек. В этом году часть государственных школ Англии обновила новое библиотечное оборудование, предназначенное для хранения информации о читателях. Разработанная компанией Micro Librarian Systems система под трогательным названием Junior Librarian, пришедшая на смену библиотечным карточкам, использует для аутентификации читателей их отпечатки пальцев. При этом снятие эталонных отпечатков происходит без ведома и разрешения родителей ученика.

В PI считают, что проект оказывает пагубное воздействие на юных англичан, которые, сталкиваясь с подобными системами с самого детства, в дальнейшем будут терпимо относиться и к более серьезному вмешательству государства в свою личную жизнь. К тому же, указывают правозащитники, использование Junior Librarian нарушает Конвенцию ООН «О правах ребенка» 1989 года.

В настоящее время PI совместно с организацией Action on Rights for Children in Education намерена добиваться демонтажа упомянутого оборудования. Впрочем, учитывая стоимость внедрения новой системы, в благополучный исход этой затеи верится с трудом. - Т.Б.

Без руля и без ветрил

Автоконцерн General Motors представил публике прототип машины необычной конструкции (на фото): здесь нет ни мотора под капотом, ни рулевого колеса, ни педалей акселератора и тормоза. Концепт-кар, который предполагается выпустить лет через десять, получил сложносоставное название «Hy-wire». В нем отражены важнейшие конструктивные особенности машины: водородные (hydrogen) топливные элементы привода и электронная технология управления (by-wire).

Так как все функции управления переложены на электронику, в автомобиле практически не осталось механических узлов. По сути дела все, что заставляет этот автомобиль двигаться, останавливаться и поворачивать, находится внутри платформы-шасси (толщиной около 30 сантиметров), по форме напоминающей скейтборд (так называемая концепция AUTOnomy, представленная GM несколько месяцев назад на автосалонах в Детройте и Женеве). Все же доступные водителю средства управления интегрированы в единое устройство под названием X-drive, напоминающее компьютерный джойстик-штурвал. Шофер может сам выбирать, в каком кресле сидеть - правом или левом, устанавливая манипулятор в соответствующее положение.

Поскольку перед водителем нет ни приборной панели, ни двигателя, вся передняя часть машины представляет собой прозрачное стекло, давая максимальный обзор дороги. Батарея топливных элементов размещена в задней части шасси. Электромотор, приводящий в движение передние колеса, расположен непосредственно между ними. Публичная демонстрация автомобиля, впервые, по словам конструкторов, объединившего топливные элементы и целиком и полностью электронное управление, состоится на парижском «Мотор-шоу» в сентябре. - Б.К.