Читаем Журнал PC Magazine/RE №11/2010 полностью

В заключение пара слов об именовании графических ядер нового модельного ряда. От «Вечнозеленой» серии («Кипарис», «Можжевельник» и т. п.) AMD переходит, судя по всему, к «Карибской». О Каймановых (Cayman) и Антильских (Antilles) островах слышали все, а Barts (точнее, St. Barts, остров Св. Варфоломея) также относится к группе Карибских и был открыт лично Колумбом в 1493 г.

Взломать или хотя бы обрушить общенациональную систему голосования? На выборах в Швеции это почти удалось. «Почти» в том смысле, что, если бы хакерам стали известны некоторые дополнительные подробности относительно устройства базы данных, в которой ведется подсчет голосов, выборы вполне могли бы оказаться сорванными. Как минимум, пришлось бы пересчитать все поданные бюллетени вручную. Причем почти удачная хакерская атака вообще не потребовала прямого доступа к серверам, на которых хранится база данных голосования.

В Швеции, как и в любой современной стране, для выборов в парламент используются самые обыкновенные бюллетени, позволяющие просто поставить галочку напротив названия приглянувшейся партии. Однако государственный закон гласит, что волеизъявление граждан может приниматься и в свободной форме, – человек в этом случае сам вписывает в бумагу, за кого голосует.

В ходе недавних выборов, однако, обнаружилось странное: часть таких неформальных записей, добросовестно заносившихся обработчиками в базу, содержала строки вида:

DROP TABLE VALJ;1

и даже

(Script src=http://hittepa.webs.com/x.txt);

Cуровые шведские хакеры надеялись угадать имя SQL-таблицы, в которой будут храниться данные выборов, – в этом случае запрос DROP TABLE к базе привел бы к ее уничтожению. А что делать: закон требует, чтобы заполненные вручную листы голосования непременно публиковались без каких бы то ни было исправлений.

Во втором случае очевидно намерение внедрить в базу код Javascript, который привел бы к появлению Web-ссылки на указанный сайт, если бы результаты обработки бюллетеней выкладывались в Сеть в виде HTML-файла, а не просто текстового документа, как на деле произошло.

Собственно, мораль, которую можно вывести из избыточно «высокотехнологичных» шведских выборов, проста. Администраторам баз данных следует очень ответственно подходить к обеспечению безопасного ввода данных в свои таблицы. Шведам это в данном случае, как видим, удалось.

«Каждый может заразить свою Linux-машину вирусом; главное, не полениться и правильно его скомпилировать!» Линуксоиды десятилетиями гордились повышенной устойчивостью своей излюбленной ОС к вирусным сетевым атакам. Пользователи Windows, лихорадочно навешивая очередную заплатку безопасности, обычно огрызались в духе: «Ну да, а кому вы сдались со своим 1 % мирового компьютерного парка?» Свежий Java-червь Koobface чумным дождем пролился на оба дома (заодно задев и Mac OS X). Точнее будет сказать, впрочем, что слабым звеном и точкой поражения оказывается в данном случае пользователь компьютера – вне зависимости от того, какая у него ОС. Koobface эксплуатирует древнюю, как лишайники в желудке сохранившегося в вечной мерзлоте мамонта, прореху в периметре ИТ-безопасности: человеческий фактор. Чтобы подцепить кроссплатформного червя, достаточно иметь в «друзьях» на Twitter, Facebook или MySpace уже взломанную учетную запись – и получить от лица такого «друга» предложение посмотреть «прикольный ролик». Предложение подкрепляется ссылкой, которая ведет якобы на YouTube (оформление очень похоже, однако адрес другой). И последняя деталь: сразу при переходе ролик не отображается, требуя загрузки Java-аплеты jnana.tsa. Если охочий до «приколов» пользователь соглашается установить аплету, в этот момент и производится собственно заражение. Вычислительные мощности компьютера отныне эксплуатируются в составе ботнета. Некоторое утешение линуксоиды могут найти в том, что в их системе Java-аплета не в состоянии прописать свой вызов в конфигурацию автозапуска, поэтому после перезагрузки зараженный компьютер перестанет работать на благо зловредных хакеров. Но вот беда: поборники Linux как раз гордятся тем, что неделями и месяцами не перезагружаются и не выключают ПК, – ведь только установка нового ядра ОС требует столь жесткой и недружественной к пользователю операции!

Скоропалительный вывод, который следует из этой новости, заключается в том, что социальные сети не нужны. Или же не нужна Java. И еще понятно, что ни от тех, ни от другой в современном Web 2.0 никуда не деться. Значит, остается одно: развивать гигиену мышления каждого серфера в Сети, чтобы методы социальной инженерии перестали наконец работать. Хотя… мечты, мечты.