Проблемы с безопасностью в программе Netscape известны, наверное, многим. Не раз писала о них и "Компьютерра". Много критики в адрес Netscape и со стороны Microsoft. Апологеты популярного средства работы в Internet решили ответить встречным ходом: Community Connexion объявила конкурс по "взлому" программ Microsoft.

Результаты работы хакеров-участников этого конкурса собраны на странице, которую можно найти по адресу http://www.c2.org/hackmsoft. Относительно обнародования "дыр" в системах сейчас существуют (да, наверное, и всегда существовали) два основных мнения. Первое – необходимо рассказывать об этом где только можно и как можно подробнее, дабы пользователи компьютерных систем про них знали и как-то могли предотвратить злонамеренные атаки. Другая точка зрения состоит в том, что распространение подобной информации лишь подстегивает начинающих хакеров, -пока еще все пользователи разберутся с тем, откуда сквозняк. Обе позиции имеют право на существование, и та, и другая по-своему верны. В Community Connexion на всеобщее обозрение выставляется либо информация о давно известных "дырах" (тогда информация действительно оказывается полной), либо просто рассказывается об отдельных просчетах в области безопасности, но детальное описание откладывается до тех пор, пока окончательно не будет найден способ эту дырку прикрыть.

Одна из целей организации этого соревнования – показать самой Microsoft, как просто взламываются ее программы. С расчетом на возможный шум в прессе.

Вряд ли стоит упоминать в этой статье все просчеты Microsoft с точки зрения безопасности. Остановимся лишь на том, что действительно необходимо знать каждому пользователю.

Известно, что в Screen Saver Windows можно задать пароль. Но этот пароль шифруется очень слабо, что особенно опасно для людей, использующих один и тот же пароль повсюду. Используется самый простой алгоритм шифрования, на взлом которого требуется буквально несколько секунд. По адресу http://www.eskimo.com/-joelm вы сможете найти утилиты для мгновенной дешифрации этого пароля.

Подобные проблемы есть практически у всех приложений Microsoft Office. Для вскрытия файлов Microsoft Word, Excel и Word Perfect требуется не более двух-трех секунд. Не говоря уж о том, что Microsoft Word не шифрует объекты, включенные в текст – например, таблицы Excel. Естественно, существует уже большое количество программ, быстро вскрывающих эти файлы: либо сразу раскодирующих их, либо извлекающих пароль.

По замечанию первого человека, создавшего подобную программу, ему пришлось нарочно замедлить ее работу, чтобы придать ей товарный вид и продать подороже". Еще одна "болезнь", которой страдают приложения Microsoft Office: файлы, сохраненные в этих программах, зачастую включают в себя порции данных, ранее удаленные с диска. Эта информация не видна при открытии файла в соответствующей программе, но может быть легко прочитана в любом текстовом редакторе. При этом не существует способа узнать заранее, какая именно лишняя информация попадет в этот файл. По словам Стива Синовски (Steve Smofsky), менеджера группы, ведущей проект Microsoft Office, эта проблема была решена в старых программах, но вновь проявилась в приложениях для Windows 95.

Еще одна опасная ошибка допущена Microsoft в кэшировании сетевых паролей. По умолчанию Windows 95 и Windows for Workgroups кэшируют пароли, то есть пароли для всех сервисов сети постоянно сохраняются в файле c:\wmdows\username.pwl . При этом Microsoft утверждает, что они там надежно зашифрованы. Однако была написана программа, позволяющая вскрывать этот файл, так что сейчас любой пользователь, имеющий физический доступ к сети, может легко получить пароли всех пользователей.

Не так давно Microsoft выпустила поправку ("патч") для устранения этой проблемы. Но, в отличие от той же Netscape, не только не опубликовала новый алгоритм шифрования, чтобы эксперты могли его проверить, но даже не поместила упоминания об этой ошибке в документацию, поставляемую вместе с системой.

Новый алгоритм еще не ????? (появился он только 14 декабря), но все же администраторам сетей настоятельно рекомендуется отключать опцию кэширования паролей.

Теперь о Linux. Мартин Льюис (Martin von Loewis), который ведет разработку NTFS для этой операционной системы, заметил, что ее загрузочный диск дает доступ к файлам на закрытом сервере Windows NT. Microsoft утверждала, что, загрузившись, например, с дискеты с MS-DOS, можно просмотреть файлы на диске с NTFS при помощи утилит низкоуровневого редактирования. При использовании загрузочного диска Linux вы сможете просмотреть эти файлы приви мощи обычного текстового редактора.

И это далеко не все ошибки Microsoft. Например, очень просто взламываются зашифрованные базы данных, созданные программой Microsoft Access. Но как именно производится взлом в данном случае – неизвестно, пока только выясняется, каковы могут быть масштабы последствий от раскрытия такой информации Без проблем вскрывается и Windows NT Server, так настойчиво рекламировавшаяся на прошедшей недавно выставке UmxExpo'96. Судя по реакции в Internet, многим хотелось бы получить комментарии самой Microsoft по этому вопросу.

От редакции

У вас вся спина белая!

Позиция Community Connexion, на данные которой натолкнулся наш автор, очень сильно напоминает детсадовское "сам дурак". Барахлит Netscape на уровне безопасности, ну и пусть, зато файлы Office легко вскрываются. При чем тут несчастный Word Perfect, кстати? Это же сколько сил тратится зря – пароли вскрываются, обсуждаются, пишутся какие-то агенты-взломщики. Нет чтобы самим эффективный механизм обеспечения безопасности предложить. В общем, типичная хакерская культура. Не создавать, разрушать мастера. Варвары и далее по тексту.

Не знаю, многих ли волнует проблема секретности данных в приложениях Microsoft. Это, наверное, те люди, которые на своей кухне проверяют взрывоопасность газовой плиты, сознательно перепиливая патрубки...

Денис Викторов