Компания бросила вызов хакерам всего мира, предложив им найти брешь в защите Web-сервера Macintosh, и пообещала награду в 10 тыс. долл. тому, кто сможет похитить зашифрованный номер кредитной карточки и изменить текстовую фразу на Web-странице, защищенной паролем.

Из журнала регистрации доступа видно, что на призыв откликнулись австралийцы, индонезийцы, бразильцы, немцы, канадцы, европейцы и американцы; узел привлек посетителей из ряда компаний, в том числе Apple, Intel, Microsoft, Oracle и PGP, а также представителей вооруженных сил и государственных организаций США.

Virtech утверждала, что ее сервер выдержит атаки, подобные тем, которые привели к взлому серверов HACA и Центрального разведывательного управления США.

Информация с кредитной карточки, помещенная на Web-страницу, шифровалась кодом Pretty Good Privacy, причем кодировался только номер кредитной карточки, а не фраза, которую нужно было изменить.

Поместив на Web-узле краткое изложение мер защиты сервера, предпринятых специально для этого случая, данные о конфигурации системы и журнал регистрации, Virtech сообщила, что намерена поддерживать его в качестве международного форума, на котором будут обсуждаться проблемы безопасности Web и их решения.


Знание - сила

Сервер устоял. И устоял он скорее всего не потому, что был хорошо защищен. Анализ покушений на него, проведенный создателями, позволяет сделать один довольно неожиданный вывод: сервер не смогли взломать, потому что он был построен на платформе Macintosh. А ломать его пытались вполне традиционными методами - хорошо зарекомендовавшими себя при взломе систем Unix и Windows NT. Да и судя по тому, как его ломали, компетентность взломщиков была так себе. Видимо, для человека серьезного 10 тыс. долл. - недостаточная мотивация к тому, чтобы выставлять свой талант напоказ.

В общем, те, кто ломал, либо имели о "Маках" лишь отдаленное представление, либо не имели его вовсе. Авторы проекта условно поделили всех взломщиков на две категории: тех, кто раньше ломал Unix, и тех - кто Windows NT. У родившихся в рубашке "Unix", Macintosh ассоциировался с Unix-компьютером. Попытки применить процедуры FTP или Telnet были обречены просто потому, что Macintosh эти прикладные сетевые службы не поддерживает. Аналогично, была обречена попытка получить списки пользователей из файлов .rlogin - таковых просто не существует. Потуги же адресовать Finder (так называется некая управляющая файлами сущность в MacOS) как каталог Unix (206.235.200.27/Finder или ../Finder) просто отдают идиотизмом. Поползновения добраться до закрытого содержимого через почтовую систему и CGI окончились столь же плачевно по сходным же причинам.

В целом, стоит отметить большую изобретательность хакеров от Unix, нежели хакеров от Windows NT - видимо, это должно свидетельствовать о лучшей квалификации. По данным авторов "аттракциона", подавляющее большинство попыток взлома со стороны пользователей NT было произведено с помощью утилиты для взлома, которую можно выудить в Сети - GetAdmin. К разочарованию многих, типичное сообщение, демонстрирующее работу программы, гласило: "We can't crack this, it is a Mac server!".

В конце концов, отчаявшийся хакер попытался получить информацию о системе в офисе фирмы, ссылаясь на несуществующие проблемы с кредитной картой. Послали...

Итак, если ваша система имеет уникальную архитектуру и специфическое ПО, недокументированное и не известное никому, кроме вас (а может быть и вам самим), можете спать спокойно - ваши данные останутся нетронутыми.

- Computerworld Россия

Поделитесь материалом с коллегами и друзьями