Журнал «Компьютерра» № 39 от 24 октября 2006 года
Шрифт:
На конференции HITB (Hack In The Box Security Conference), проходившей в сентябре сего года в Малайзии, было рассказано еще об одной (пока, правда, в большей степени потенциальной) угрозе, которая может доставить немало неприятностей финансовым компаниям. Речь идет о постепенном переходе банков и других организаций, вызывающих интерес у фишеров, на VoIP-связь. При этом в мире просто еще не придумано способов профилактики фишинговых атак, осуществляемых посредством IP-телефонии. Перспективы были нарисованы самые мрачные. Преступники, как ожидается, получат возможность, проникнув в банковские сети, работать с телефонными каналами. В результате клиент, позвонивший в свой банк, может стать жертвой фишинга, поскольку линия уже будет контролироваться хакерами. Пользователя попросят сообщить идентификационные данные для связи с клиентской службой поддержки, и после диктовки таковых злоумышленники смогут
Понятно, что программный инструментарий для защиты от фишинга обладает ограниченной эффективностью, поскольку злоумышленники эксплуатируют в первую очередь не бреши в ПО, а человеческую психологию. Тем не менее уже второй год активно разрабатываются технические средства безопасности, прежде всего плагины для популярных браузеров. Для большинства из них плагины приходится скачивать дополнительно, однако, как ожидается, в следующих версиях эту функциональность будут поддерживать уже все браузеры.
Пока такая возможность реализована в «стандартной комплектации» только Opera 8.0. Mozilla весной прошлого года выпустила отдельно загружаемую заплатку для Firefox. В марте нынешнего года представители компании официально обещали появление антифишингового модуля в составе следующего релиза браузера. Соответствующую защитную систему создатели Firefox разрабатывают в сотрудничестве с Google. Суть защиты заключается в блокировании сайтов, попавших в «черные списки» мошеннических ресурсов, но обещают и некие другие дополнительные средства безопасности.
В Microsoft фишингом озаботились в августе прошлого года и выпустили дополнение к MSN Search Toolbar – Microsoft Phishing Filter для проверки открываемых сайтов на наличие подозрительного контента, а также соответствующих троянов и редиректов. Как ожидается, этот плагин будет встроен и в седьмую версию IE. Антифишинговое ПО корпорация разрабатывала в сотрудничестве с компанией Whole-Security, в загашнике которой имеется один из крупнейших «черных списков» подставных сайтов – Phish Report Network. Возможно, толчком к разработке фильтра послужила резкая критика Microsoft со стороны специалистов по информационной безопасности двумя месяцами ранее в связи с отказом корпорации выпускать для шестого IE заплатку, затрудняющую проведение спуфинговых атак. В Редмонде, правда, парировали обвинения, заявив, что еще в обновлении Windows XP SP2 предложили пользователям IE такие функции, как блокировка всплывающих окон и контроль за окнами с исполняемым скриптовым содержимым. Но, видимо, непрерывно усиливающийся страх пользователей перед фишерами (в многочисленных исследованиях наперебой рапортуется о десятках процентов респондентов, отказавшихся от электронных платежей в том или ином виде из-за боязни фишинга) все же вынудил Microsoft пойти на уступки.
Стараются по мере сил и сторонние разработчики. Так, McAfee предлагает свой плагин SiteAdvisor к IE и Firefox для проверки по URL сайта наличия в коде фишинговых ловушек. В июле текущего года в Сети появился аналогичный бесплатный онлайн-сервис LinkScanner (www.explabs.com/linkscanner).
Но несмотря на все усилия софтверных компаний, лавина фишинга в Сети нарастает, так что существующих методов борьбы с этим явлением явно недостаточно. Следующим шагом могут стать системы генерации одноразовых паролей для интернет-доступа к банковским счетам и аккаунтам в платежных системах, повсеместное распространение дополнительных уровней защиты за счет комбинации ввода пароля с использованием аппаратного USB-ключа и мобильные подтверждения (отправка удостоверяющей SMS с телефона клиента). Эти методы уже используются некоторыми банками, но говорить об их массовом применении пока рано. Да и не факт, что они помогут. Фишеры тоже не дремлют.
Аналитические компании, специализирующиеся на исследованиях киберпреступности, вообще констатируют, что примерно два года назад сетевой криминал изменился не только количественно, но и качественно. И существенно возросшая сложность борьбы со злоумышленниками во многом обусловлена именно глобальными тенденциями. Речь идет не только о появлении фишинга или каких-то еще новых видов отъема денег у пользователей, а о смене мотивации у преступников, резком увеличении «питательной среды» в виде широкого распространения беспроводного доступа или мобильных устройств и возникновении гибридных преступных явлений, образованных на стыке нескольких угроз (спам + вирусы, например). Хакеров-идеалистов, взламывающих сайты из хулиганских, а то и благородных побуждений, в Сети все меньше, а онлайн-криминал незаметно превратился в организованный и очень живучий бизнес с инновациями, инвестициями, транснациональной структурой и прочей атрибутикой.
ИННОБИЗНЕС:
Автор: Левон Амдилян
Обсуждению наиболее актуальных вопросов в сфере инноваций была посвящена Конференция по новым (буквально – «возникающим») технологиям (Emerging Technologies Conference), организованная журналом Technology Review. Она состоялась 27–28 сентября в кампусе Массачусетского технологического института (МТИ).
В технологических, общественных, даже политических дискуссиях сегодня нет, наверное, чаще употребляемого термина, чем «инновация». Правительства многих стран (и России в том числе) принимают разнообразные документы и программы, стремясь обрести «инновационность». Последняя объявляется обязательным условием достижения важнейших целей, среди которых повышение эффективности и конкурентоспособности национальных экономик, укрепление здоровья и рост уровня жизни населения. Поэтому неудивительно, что в одной из самых авторитетных конференций по инновациям приняли участие более девятисот ведущих специалистов из США и других стран [От других «технологических» мероприятий, в которых мне приходилось участвовать в последние годы, конференция отличалась двумя особенностями. Во-первых, некоторые участники носили галстуки-бабочки – наверное, сказалась-таки академическая среда МТИ. Во-вторых, с первой и до последней минуты безукоризненно работал беспроводной доступ в Интернет, причем на скоростях 15–20 Мбит/с!], а открывали ее президент МТИ Сюзан Хокфилд [Единственная пока женщина среди шестнадцати человек, занимавших этот пост за 150 лет существования МТИ (избрана в 2002 году)] (Susan Hockfield) и Джейсон Понтин (Jason Pontin), главный редактор и издатель Technology Review, знаменитого журнала о технологиях, выходящего с начала 1800-х.
Но что же такое инновация? Целый ряд выступлений был посвящен этому, казалось бы, нетрудному вопросу. Знаменитые инноваторы, в том числе Филлип Шарп (Phillip A. Sharp, нобелевский лауреат 1993 года в области медицины, сооснователь и научный советник компании, разрабатывающей средства для РНК-интерференционной терапии, представленный как «пионер исследований в этой области» [Отметим, что Нобелевскую премию за работы по РНК-интерференции – естественному механизму подавления экспрессии некоторых генов – только что получили Эндрю Файр (Andrew Fire) и Крейг Мелло (Craig Mello)]), Йер Голдфингер (Yair Goldfinger), сооснователь ICQ, создавший первую систему моментальных сообщений (instant messaging), Джей Уокер (Jay Walker), создатель Priceline.com, владелец более чем 250 патентов и автор тысячи с лишним приложений для Интернета, сотовых телефонов, сетевых казино, – все эти люди сошлись на том, что точного определения инноваций не существует. Уокер даже припомнил по этому поводу популярную в США шутку одного американского судьи: «Я не знаю, что такое порнография, но когда я ее вижу, то понимаю, что имелось в виду» – остается только заменить в этой фразе слово «порнография» на «инновация».
Преодолевая сложности в определениях, участники главной сессии [Ее провела еще одна знаменитая женщина-инноватор Падмашри Уорриор (Padmasree Warrior), CTO компании Motorola] пришли к ряду интересных выводов. Так, всем известно, что даже успешный ученый-прикладник не всегда становится инноватором. Однако в выступлении «глобального лидера» IBM по консультационной практике в сфере стратегий и изменений Марка Чэпмена (Mark Chapman, Global Leader, Strategy & Change Practice) прозвучало куда более неожиданное утверждение – доля ученых среди инноваторов вообще не так уж велика. Например, недавно проведенный IBM опрос главных управляющих (CEO) шестисот с лишним компаний во всем мире показал, что две из каждых трех инновационных идей рождаются вне пределов сферы НИОКР (R&D).
Подобающее внимание было уделено наиболее перспективным сегодня областям технологий. Тема нанотехнологий была представлена на конференции в непривычном (пока?) аспекте «нанотоксичности»: на специальном заседании обсуждалась проблематика безопасности наноматериалов, все шире проникающих, например, в индустрию косметики. Лидеры отрасли очень хотели бы избежать конфронтации с обществом, подобной той, с которой столкнулись разработчики ГМ-продуктов (первой ласточкой можно считать историю с немецким чистящим средством Magic Nano в марте этого года – его аэрозольный вариант иногда вызывал затруднения дыхания; впрочем, позже выяснилось, что настоящего «нано» в этом веществе не было).