Коллектив Авторов - Цифровой журнал «Компьютерра» № 85

Возникает вопрос: как давно и до какой степени можно было хозяйничать на сайте DigiNotar? Ответ дал аудит, проведённый Fox-IT. И ответ этот печален: на критической важности серверах компании обнаружен вредоносный софт, который в принципе ловит любой антивирус, да вот только антивируса там нигде не нашлось. Софт использовался преимущественно устаревший и не пропатченный. Разделение важнейших компонентов сети либо отсутствовало, либо было неисправным. Все CA-серверы находились в одном Windows-домене, так что к ним можно было подключиться, используя один и тот же (украденный) пароль. Более того, хотя физически CA-серверы находились в безопасном месте, по-видимому, к ним можно было подсоединиться с локальной сети менеджмента. В общем, есть разгуляться где на воле. Что Джанам Рабар (если это его настоящее имя) с удовольствием и сделал.

Правда, тот факт, что взлом DigiNotar осуществлялся (предположительно) одним человеком, не отменяет вероятной причастности государственных органов Ирана к попытке использовать добытые сертификаты в своих целях.

5 сентября в англоязычной версии блога Securelist, принадлежащего «Лаборатории Касперского», был опубликован материал «Почему Diginotar может оказаться важнее Stuxnet».

"Скриншот, доступный здесь, показывает, что сертификат *.google.com можно использовать и для цифровой подписи программного кода. Это означает, что атака может вестись отнюдь не только через браузер. Злоумышленники могут отправлять жертвам вредоносный софт и делать вид, будто он исходит от Microsoft или из каких-либо других источников, задетых атакой. И вот тогда критически важным становится заблокировать эти сертификаты и во всех операционных системах, а не только в браузерах", — пишетавтор Securelist.

По его мнению, политические последствия атаки на Diginotar могут быть куда весомее, чем последствия действий червя Stuxnet, который, насколько можно судить, был разработан западными спецслужбами, чтобы вывести из строя подпольный иранский завод, производящий ядерное оружие. Причина в том, что кражи сертификатов, дескать, «выведут кибероборону на вершины политической повестки дня для западных правительств».

Правительства и впрямь реагируют: власти Нидерландов объявили, что компания DigiNotar потеряла их довериеи лишается права выдавать SSL-сертификаты государственным органам на территории этой страны. Причиной потери доверия, правда, является не столько сам факт взлома, сколько сокрытие информации о нём.

Кроме того, объявлено, что правительство Нидерландов начинает официальное расследование по поводу возможной причастности властей Иранской республики ко взлому компании DigiNotar и атакам на сайты правительственных организаций Голландии.

К оглавлению

Опубликовано07 сентября 2011 года

Одной из главных достопримечательностей фестиваля компьютерного искусства Chaos Constructions 2011был лазерный проектор, выводивший на ближайшую стену завораживающие изображения — крутящиеся кубики, подобие игры Pong и даже целый мультфильм. Нам удалось побеседовать с создателем проектора — его зовут Вадим Хлопонин, и над своим проектом он работает в питерском тридцатом физико-математическом лицее.

- Расскажите, с чего начинался проект.

- Где-то года два назад, уже выпустившись из любимого тридцатого физматлицея, мы с друзьями-физиками начали вести детский кружок по радиофизике и микроэлектронике. Тогда же мы обнаружили, что у нас без всякого дела лежит лазер. Решили, что надо бы его как-нибудь задействовать — с этого всё и понеслось. Сначала мы хотели делать проектор сами, потому что покупать что-то тогда денег не было, а лазер уже был.

Мы взяли головки от винчестеров, которые ездят по блинам, оторвали сами головки, приклеили зеркала, попытались получить картинку. Но картинка оказалась жутко смазанной и никуда не годилась. Простейший цветочек нарисовать ещё было можно, но какие-то буквы нарисовать уже было сложно.

Параллельно мы смотрели в интернете, кто что ещё делал в этой области. Люди пытались делать гальваносканеры сами: обтачивали магниты, клеили их на оси, вставляли керамические подшипники. Мы озадачились этой темой, но после трёх испоганенных магнитов решили оставить попытки.