По мнению экспертов по защите, библиотеки и другие организации, которые оставляют свои цифровые двери открытыми для публики, рискуют впустить нарушителей спокойствия.

Группа Computer Incident Advisory Capability в Национальной лаборатории в Ливерморе, недавно выступила с предостережением об использовании Telnet для предоставления постоянным клиентам библиотек доступа по Internet к картотекам и другим базам данных библиотеки.

CIAC предупредила, что если общедоступная версия Telnet не освобождена самым тщательным образом от ненужных возможностей, она может открыть путь тайного проникновения в данную и другие связанные с ней библиотеки.

Подвергаются опасности и корпорации, разрешающие вход в свои системы с помощью Telnet или программ просмотра WWW.

По словам Марвина Кристенсена из CIAC, библиотеки пытаются установить публичный Telnet-доступ таким образом, чтобы ограничить доступ извне к некоторым службам. "Уязвимость этого метода состоит в том, что если системный администратор не установит соединения должным образом, пользователь, входящий в систему на общих основаниях, может выйти из разрешенной области и обратиться к неразрешенным для него службам", - сказал он.

Эта проблема порождается самой сутью библиотек: они существуют для того, чтобы делать информацию легкодоступной для публики, но в то же время, должны тщательно охранять другие данные.

Корпорации, пытающиеся охранять доступ к данным, сталкиваются с похожими проблемами.

Джон Пескатор, аналитик по защите информации компании Infovision International, считает, что если корпоративный сервер Web не установлен должным образом, со всеми соответствующими средствами защиты, пользователи могут вырваться из пространства общего доступа и исправить файлы паролей, установить пароль, или перейти в другие системы.

"Библиотеки давно беспокоятся по поводу сохранения тайны информации об обращении за литературой, - сказала Сьюзан Анфес, директор служб общего доступа университета Колорадо. - Даже ФБР не дали проследить за тем, кто берет книги по созданию бомб".

Анфес уверена, что библиотеки должны точно соблюдать установленные соглашения, заключенные с поставщиками информации.

Она отметила, что университетская библиотека не страдала от тех проблем, о которых говорится в предупреждении CIAC, но один из студентов все-таки смог проникнуть в систему и удалить информацию о штрафах, наложенных библиотекой.

Как сказал Кристенсен, недавно он помог выследить нарушителя в цепочке из пяти связанных по Internet библиотек. Этот нарушитель смог изменить в каждой библиотеке переменные системы, чтобы скрыть свою личность. После этого он отправил массу оскорбительных материалов в группу новостей Internet.

Кристенсен предостерег от использования "полнофункционального" клиента Telnet в системах, которые разрешают публичный доступ. Вместо этого он посоветовал использовать модифицированную версию, чтобы блокировать возможность пользователей входить в командную подсказку, которая дает им привилегии, необходимые для бегства из контролируемой среды.

Фирмам не стоит скупиться. "Пока все соревнуются, кто быстрее сделает свои услуги доступными по Internet, они забывают о главном: они, скорее всего, сэкономят деньги, если с самого начала правильно выполнят необходимые установки", - подчеркнул он.

Поделитесь материалом с коллегами и друзьями