Читаем Журнал `Компьютерра` N743-744 полностью

Иными словами, юзер, набравший в адресной строке браузера имя вполне легальной платежной системы, мог попасть на подконтрольный хакерам сайт, копирующий дизайн оригинального ресурса. В отличие от обычного фишинга, заподозрить неладное при таком раскладе практически невозможно.

Камински пока не вдается в подробности относительно коварного бага, обещая обнародовать свои изыскания на августовской конференции Black Hat 2008 в Лас-Вегасе. Однако из комментариев эксперта все же можно сложить общую картину.

Работа системы DNS поддерживается тринадцатью корневыми и множеством второстепенных серверов. Каждому запросу о том, какой IP-адрес соответствует конкретному доменному имени, с целью обеспечения безопасности присваивается случайный 16-битный идентификационный номер. Однако, как выяснилось, при определенных условиях хакеры могли выяснить этот номер и подделать ответ DNS-сервера. В результате юзер, набравший правильное доменное имя, мог попасть на сайт, расположенный по совершенно другому айпишнику.

К счастью, Дэн Камински не стал раскрывать информацию о проблеме, названной DNS Cache Poisoning, а обратился напрямую к поставщикам серверного ПО, а также организациям, специализирующимся на информационной безопасности. В марте специалисты шестнадцати известных компаний собрались в редмондском кампусе Microsoft и выработали план устранения потенциальной угрозы. В итоге 8 июля Microsoft, Cisco, Sun и многие другие разработчики соф та синхронно выпустили обновленные версии ПО, обеспечивающего работу DNS-серверов, и патчи, устраняющие проблему.

Пока, впрочем, не ясно, какое количество юзеров могло пострадать от действий злоумышленников. Но хочется верить, что хакеры не успели воспользоваться багом в своих целях. ВГ

Обладая некой дорогостоящей технологией, станете ли вы с кем-нибудь делиться? А если таким образом можно получить шанс нагнать более успешного конкурента? Для принятия подобных решений в крупных корпорациях есть аналитики. В случае с Yahoo они ответили на поставленный вопрос утвердительно, дав путевку в жизнь проекту Build your Own Search Service, или сокращенно — BOSS.

Давненько не появлявшаяся в новостных колонках иначе, как в связи с многомиллиардным торгом с Microsoft, Yahoo открыла доступ к своему поисковому индексу и движку для всех желающих воспользоваться главным богатством компании.

Открытие программного интерфейса сегодня событие заурядное. В данном случае примечательно, что Yahoo разрешит ранжировать результаты поиска. Одинаковый запрос будет приносить разный набор ссылок, в зависимости от профиля ресурса. Например, результаты поиска на сайтах Me.dium и Hakia, уже присоединившихся к проекту BOSS, будут коррелировать с общей концепцией этих стартапов. Взамен Yahoo будет интегрировать в выдачу контекстную рекламу, что в случае успеха новичка на ниве поиска позволит компании разделить удачу своего "крестника".

Проект призван оспорить безоговорочное лидерство Google в области поисковых систем. Возможно, что, навалившись дружно, множество узкоспециализированных сервисов действительно смогут утянуть к себе пяток-другой процентов активной интернетаудитории. Лакмусовая бумажка сегодняшнего соотношения сил — рынок США, на котором у Yahoo примерно 20-процентная доля, а у Google втрое большая. Последний, как известно, уже давно разрешил пользоваться своим поиском всем желающим, однако о возможности сколько-нибудь серьезной переработки результатов поиска речи не идет.

Неоспоримое превосходство Google, как ни странно, дает Yahoo повод для оптимизма. Стань некий молодой и зубастый стартап популярен, он, как полагают в компании, в первую очередь оттянет на себя пользователей Google. ТВ

Изобретательность и цинизм киберзлодеев не знают границ, подтверждением чему служат текущие криминальные сводки. Кое-кто не гнушается даже попытками заработать на трагедиях. Например, китайский хакер придумал, как, наверное, ему представлялось, гениальный способ обогатиться: взломав сайт местного отделения Красного креста, он указал в качестве реквизитов для пожертвований пострадавшим при печально знаменитом майском землетрясении собственный банковский счет.

Затем "герой" зачем-то полностью обрушил подконтрольный сайт (быть может, ужаснулся содеянному и решил замести следы). Как бы то ни было, ни одного денежного перевода злоумышленнику получить не удалось — вскоре после дерзкой, но не слишком умной выходки он был арестован.