Encyclopedia Electronica
Главная   Статьи   Вики   Форумы   Фотогалерея
Навигация
Навигация
Главная
Вики
Форумы
Ссылки
Контакт
Поиск
Лучшее на сайте
Карта сайта

Библиотека
Новости
Статьи
Литературные нормы
Список литературы
Отзывы
ЧАВО
Правила проекта
Фотогалерея
Интересные факты
Афоризмы
Анекдоты

Download
Скачать (Download)

Сотрудничество
Сообщить новость
Предоставить статью
Добавить ссылку
Загрузить фото
Расскажи другу!
Добавить факт
Добавить афоризм
Добавить анекдот

О ...
Антиспам
Список сотрудников
Последние статьи
Уход за ноутбуком
6224
5 технологий и продуктов, о которых мы скоро забудем
11403
Будущее на пороге: технологии 2014 года
12207
"Зачем Android мучают". Что такое перепрошивка, root, кастомные ядра и нужны ли они "простому смертному"?
13436
Google рассказал о будущем через несколько десятилетий
12154
Похвастались в соцсети, как проводите отпуск? Ждите «гостей»
11626
Правила мобильного этикета
12490
Как высокие технологии изменят мир в ближайшие 10 лет
14227
Интернет-компании заявили о новом мошенничестве в Рунете
12188
Интересный факт
По сообщению журнала «Авиэйшн уик», американскими учеными запатентована система перехвата пуль, получившая название «Дефендер». Инфракрасный детектор обнаруживает приближающуюся пулю и определяет ее траекторию, метательное устройство выстреливает ей навстречу небольшой диск из композитного материала, который гасит кинетическую энергию пули. «Дефендер» предназначен для индивидуальной защиты от одиночных выстрелов. (1997 г.)
Новые веб-ссылки
Первенство в изобретении компьютера принадлежит россиянину Арсению Горохову 1276
Радиохулиганы в СССР 1545
Сервис для определения возраста персонажа на фотографии 1633
Microsoft рассказала о Windows 10, представила браузер Spartan и очки дополненной реальности 2253
Самый четкий компьютер 2074
25 нелепых запросов в поисковиках 3033
Семь причин бояться своего смартфона и компьютера 1706
12 уловок киберпреступников под Новый год 1863
"Лучше Гугла": девять необычных и полезных поисковиков 2509
Учите английский - вон хакеры по ошибке "положили" сайты NASA вместо АНБ 3911
«Дыры» в Mail.ru заставляют закрыть шантажом
БезопасностьОтчаявшись ждать, пока Mail.ru закроет критические уязвимости, специалист, обнаруживший проблемы, опубликовал их описания и скрипты. По его словам, если Mail.ru исправится, дальнейший список «дыр» опубликован не будет. Эксперты по безопасности говорят, что наплевательское отношение к веб-безопасности — обычное явление в российских компаниях.

Mail.ru не может закрыть «дыры», описание которых передали в компанию месяц назад. Обнаруживший уязвимости сервисов Mail.ru Илья А. отчаявшись ждать, пока Mail.ru устранит уязвимости, выложил их описания в открытый доступ. Он рассказал CNews, что выявил «дыры» в безопасности, когда готовился к собеседованию на руководящую позицию в Mail.ru.

Передав информацию об уязвимостях в аппарат технического директора Mail.ru, и убедившись на собеседовании, что информация получена, спустя четыре недели, он отметил, что «дыры» в безопасности не закрыты. После этого Илья публиковал их описание в популярном ИТ-блоге. Помимо собственно описания «дыр», он привел в постинге готовые скрипты, нужные для эксплуатации уязвимостей. CNews воздерживается от ссылки на постинг, чтобы снизить шанс использования уязвимостей потенциальными злоумышленниками.

Использование самой безобидной из четырех «дыр» удаляет письма пользователя по мере их прочтения. Вторая позволяет организовать спам-рассылку средствами Mail.ru, третья предназначена для уничтожения всех записей в сервисе «Еженедельник» Mail.ru. Наконец, с помощью четвертой злоумышленник получает возможность заблокировать чужой аккаунт в сервисе Деньги.Mail.ru. Илья говорит, что две из четырех уязвимостей сравнительно безобидны (он называет их «шалостями»), и критичны только уязвимости ежедневника, который может повлиять на имидж компании, и в «Деньгах.Mail.ru», «по причине того, что это сервис управляющий деньгами».

По словам Ильи, единственный мотив, который он преследовал при публикации скриптов, — поторопить компанию с закрыванием «дыр», имеющихся в работающих сервисах. «Я хотел объяснить руководству Mail.ru, что надо больше думать о безопасности пользователя».

Илья рассказал CNews, что публикация скриптов была сделана с добрыми намерениями, и привел в подтверждение этого два довода. Во-первых, перед публикацией скриптов, «как это принято в мире ИТ-безопасности», выждал четыре недели. Во-вторых, он дает Mail.ru шанс исправится. По словам Ильи А., он описал не все найденные им уязвимости Mail.ru. Однако, если компания оперативно закроет уже существующие «дыры», он не будет торопиться с обнародованием остальных. По его словам, описание уязвимостей имеется у руководства портала, хотя ему «при встрече показалось, что им совсем не интересна эта тема».

Специалистов по безопасности беспокоят не столько уязвимости, сколько реакция на них российских топ-менеджеров. Член совета директоров «Диалог-наука» и эксперт по корпоративной безопасности Андрей Масалович заметил, что эти «уязвимости действительно работают». Однако, нужно опасаться не столько «дырок, которые бывают всегда», а безразличного отношения ко вновь находимым уязвимостям в руководстве российских компаний вообще и в Mail.ru в частности.

Очень тревожно, говорит Масалович, что слова «и чо?» — стали классическим ответом корпоративных топ-менеджеров, когда им указывают на критические уязвимости на их сайтах. По его опыту, такая характерная реакция не зависит от размера и репутации компании: ему приходилось видеть, как дыры, о которых он несколько месяцев назад уведомлял, в том числе и менеджмент международных корпораций, не закрыты до сих пор.

По его словам, единственный случай адекватной реакции на найденную уязвимость относится к его обращению в Администрацию президента, которая после его сообщения убрала с критического адреса документ под грифом «Для служебного пользования».

Отдельную тревогу у Масаловича, вызвал тот факт, что обнародованные сегодня «дыры» совершенно типичны. «Mail.ru легко могла бы их обнаружить и закрыть, протестировав свои продукты перед запуском. Однако, дыры существуют, и это заставляет предположить, что Mail.ru свои сервисы перед запуском не тестирует».

К моменту публикации этого материала, Mail.ru не смогла предоставить комментарий к сложившейся ситуации.

Cnews, 13.09.2010
admin 14.09.2010 02:20 · 0 комментариев · Для печати
Комментарии
Нет комментариев
Добавить комментарий
Пожалуйста, зайдите на сайт для добавления комментария.
Рейтинг
Рейтинг доступен только для зарегистрированных пользователей.

Для участия в голосовании по рейтингу, пожалуйста, зайдите на сайт через форму входа или зарегистрируйтесь.

Нет данных для оценки
Гость
Имя пользователя:

Пароль:

 Запомнить меня! 


Забыли пароль?
Запросите новый
Календарь событий
<   Апрель 2021   >
ПнВтСрЧтПтСбВс
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30

В ближайшие 5 дней
-  20 – Анонсирован Pentium II Xeon
-  21 – Родился И. Кулибин
-  22 – Цветное ТВ в США
-  22 – Репортаж с ядерного взрыва

Афоризм
"Ну и запросы у вас..." — сказала база данных и повисла.
Случайный анекдот
Сын программиста подходит к отцу и спрашивает:
— Пап, а что такое ПИНГВИН?
Папа (задумчиво):
— Пинг... Вин... Пинг винды, значит. Функция для определения зависания винды.
Счетчики
© Игорь Мостицкий 1999—2019

Современные английские термины из области электроники
Сайт работает в Интернете с 20 февраля 1999 года
Encyclopedia Electronica
Всего 18,695,724 уникальных посетителей