Как украсть через ActiveX

Хакеры из Гамбурга, причисляющие себя к Chaos Computer Club, продемонстрировали управляющий элемент (control) ActiveX, который может снимать деньги со счетов доверчивого клиента, не ставя его об этом в известность.

Элемент-грабитель был продемонстрирован по немецкому телевидению. Предупредительные хакеры утверждают, что он был написан для демонстрации опасности, связанной с использованием ActiveX. Будучи помещенным на Web-сайт, управляющий элемент может получить контроль не только над компьютером незадачливого пользователя, но и над его кошельком. Правда, он становится опасен, только если у клиента установлена программа ведения финансов Quicken. По данным производителя Quicken, сейчас ее активно использует более 9 млн. человек по всему миру.

Первым делом управляющий элемент находит на компьютере Quicken и добавляет к существующим переводам свой неучтенный заказ на перевод денег. В следующий раз, когда пользователь Quicken будет оплачивать счета, он незаметным для себя образом переведет деньги и по нелегальному заказу.

Эксперты по компьютерной безопасности, критически относящиеся к ActiveX, назвали это еще одним примером слабости технологии Microsoft. Представители Microsoft, стремясь обратить дело в свою пользу, подчеркнули, как небезопасно иметь дело с непроверенным исполняемым кодом. Для того, чтобы пользователь мог определить, какой код использовать можно, а какой — нет, компания Microsoft предлагает применить технологию Authenticode. По этой технологии автор кода ставит на него неподделываемую цифровую подпись. Решение можно ли доверять этому коду или нет, должен принимать сам пользователь.

Но, даже если пользователь будет осторожен, сохраняется еще одна опасность. В случае плохой защиты вполне доброкачественного управляющего элемента, он может быть переделан и использован в качестве «троянского коня». Если ActiveX примет широкое распространение в Интернете, такие случаи могут стать массовыми.

Украдены исходники Quake

Хакеры взломали Web-сайт и файл-сервер игровой компании Crack dot Com. Украдены исходные тексты известной игры «Quake 1.01», сделанной id Software. Были похищены также последний проект самой Crack dot Com под названием «Golgotha» и более старая игра «Abuse».

Ущерб от ограбления очень велик, хотя хакеры «наследили» за собой, и их теоретически можно поймать. Дэйв Тейлор (Dave Taylor), основавший Crack dot Com после ухода из id Software, где он сделал «Doom» и «Quake», оценивает ущерб в несколько сот тысяч долларов. В id Software, правда, считают, что код «Quake» слишком узнаваем, чтобы его можно было использовать без значительных переделок. Crack dot Com беспокоится также о своих собственных технологиях, предназначенных для еще не вышедшей игры «Golgotha». Ими теперь безнаказанно могут воспользоваться конкуренты.

Хакеры проникли на сервер, взломав брандмауэр компании. Они, однако, оставили нетронутым файл, где фиксировались все их действия. Взломщики даже вышли на канал #quake на IRC (Internet Relay Chat), чтобы незамедлительно поведать о своих подвигах. Исходный текст «Quake» хакеры положили на интернетовский сервер самой же Crack dot Com для всеобщего доступа. Сами грабители причисляют себя к группе FEH. Однако бывший главный редактор не выходящего сейчас хакерского журнала FEH уже опроверг это утверждение.

Сколько стоит взломать AOL

Студент колледжа признан виновным в создании программы для нелегального доступа в America Online.

Известный в сети под прозвищем Happy Hardcore 20-летний Николас Риан (Nicholas Ryan) из Йельского университета понесет действительно суровое наказание. Ему предстоит выплатить штраф в 250 тысяч долларов и отсидеть пять лет за решеткой. Приговор вступит в силу в марте.

Риан написал свою программу, названную им AOL 4free, в 1995 году. Он использовал ее сам, а также распространил среди своих знакомых. Расследование по его делу проводилось спецслужбами США вместе с отделом Министерства юстиции по расследованию компьютерных преступлений.

В AOL подчеркивают, что процесс над Рианом является показательным. Его цель — отбить охоту у хакеров к взлому AOL и поддержать репутацию компании у легальных пользователей.

Беспокойные хакеры Японии