Уважаемые читатели! В данной рубрике публикуется информация об известных дефектах и "дырах" в безопасности программного обеспечения, а также способах борьбы с этими проблемами. Ваши комментарии и дополнения ждём по адресу: consumer@nm.ru

16.10.2000. В начале октября 2000г. вышел первый русский дистрибутив ОС Linux - ASP Linux, подробности можно уточнить на сайте производителя. Таким образом сделан первый шаг в сторону обеспечения информационной независимости России.

Впервые в России вынесено судебное решение против крупного корпоративного пользователя, "нелегально использовавшего" программные продукты Microsoft. Подробности можно прочитать на сайте КомпьюТерра. Текст заявления звучит так
"27 июля 2000 г. Арбитражный суд города Москвы вынес решение в пользу корпорации Microsoft по иску против Акционерного банка "Банк развития предпринимательства", использовавшего в своей деятельности программные продукты Microsoft без приобретения соответствующих лицензий и нарушившего таким образом авторские права корпорации.".
Если внимательно прочесть все сообщение, то выясняется, что на самом деле был зарегистрирован всего-лишь факт несоответствия количества используемых продуктов фирмы Microsoft количеству приобретенных банком лицензий. Аналогичное дело в Италии было разрешено в пользу "нарушителя". Таким образом создан очень нехороший прецендент для применения карательных мер при относительно небольших нарушениях.

25.09.2000. Информация, напрямую к ПО не относящаяся, но... Знаете ли Вы, что корпорации Intel и Microsoft систематично стремятся лишить пользователей любых возможностей контроля над PC? А также всеми средствами делают новые системы максимально несовместимыми со старыми? Так, лоббируемый корпорациями "стандарт" PC2001 (его детали можно уточнить на сайте iXBT) содержит требования полного исключения из соответствующей ему "аппаратуры" слотов шины ISA, дискетных накопителей (в том числе наиболее популярных 3,5" 1,44 Мб) портов PS/2 и звуковых портов MIDI. COM- и LPT- порты в такой системе допустимы, но использующие их устройства с системой поставляться не будут.

В части программного обеспечения среди прочего предусматривается полное отсутствие DOS. В BIOS предусматривается запрет отключения пользователем ряда функций, возможность удалённой перепрошивки через сеть и даже идентификатор, уникальный для каждого компьютера (так работать "Большому Брату" будет гораздо легче...)

Более того, корпорации стремятся превратить типичный компьютер из (относительно) универсального устройства, которое может применяться как в домашних, так и в производственных условиях, в род бытовой техники или даже игрушку, ни на что более не способную. Об этом свидетельствует популяризация ещё одного так называемого "стандарта" - EasyPC.

Остаётся надеяться лишь на разумность покупателей, которых подобные "компьютеры", безусловно, устраивать не должны, а также на относительно независимых производителей периферии из Юго-Восточной Азии.

14.07.2000. Подтвердилась информация о том, что ОС Windows 95/98/2000/NT, как и Windows 3.X, на самом деле не используют поддержку многозадачности на аппаратном уровне. Многие версии UNIX для x86-систем тоже не свободны от этого недостатка. Более того, программный код Windows 9X/2000 оптимизирован таким образом, что выгоды от его использования ощущаются только при значительном количестве оперативной памяти и мощном процессоре (PII и выше). В противном случае переход на более новую версию приводит к снижению производительности.

14.07.2000. Ещё одно замечание, касающееся "безопасности" Windows 9X: в этих операционных системах используется система ограничений (policies), которая базируется на проверке ряда ключей реестра. Однако policy, ответственное за редактирование реестра (как, видимо, и другие), проверяется не системой, а приложением, поэтому с помощью слегка модифицированного regedit.exe все policies легко отключаются.

14.07.2000. И ещё один камень в сторону Microsoft: профили цветокоррекции ICM не влияют на изображение в ряде окон, созданных с помощью библиотеки DirectDraw. Более того, при попытке скопировать содержимое экрана Windows с помощью клавиши Print Screen, на месте такого окна вместо изображения помещается прямоугольник малинового цвета. Этот дефект присущ Microsoft DirectX как минимум 5-й, 6-й и 7-й версии.

05.07.2000. В общем-то, не секрет, что Microsoft Internet Explorer различных версий собирает информацию о пользователе и обо всех посещаемых им ресурсах сети Internet. Также не секрет, что в документации от Microsoft официально указано, что вся эта информация может быть удалена пользователем по его желанию. Секрет заключается в том, что последнее заявление, мягко говоря, - неправда. Датский программист Ward van Wanrooij выяснил, что все версии Microsoft Internet Explorer создают скрытые, невидимые обычными средствами, файлы, в которые и собирается вся информация о посещенных пользователем сайтах. Естественно, что при очистке каталога "Временные Файлы Internet" вышеуказанные скрытые файлы остаются нетронутыми, более того, они недоступны даже утилите Windows Backup. Вышеупомянутый датский программист написал и опубликовал в Internet документацию (на английском языке) по этому вопросу, а так же специальную программу, позволяющую очистить историю посещений сайтов Internet в указанных скрытых файлах. Сайт программы.

27.06.2000. Точно такие же недостатки, как и у WinRar, существуют и у ряда других программ, в том числе архиваторов WinZip 7.0 и WinAce 1.0 - эти программы сохраняют список последних обработанных файлов (MRU - most recent used files) в реестре, причём, никакими встроенными опциями эта запись не отключается. То же самое касается программ от MS Wordpad и Paint, а также кода, используемого в Windows 95 для создания "ярлыков" в каталоге Recent - всё это не может быть полностью запрещено имеющимися в этих программах настройками и, следовательно, производится несанкционированно.

26.06.2000. Известный архиватор WinRar версии 2.7 собирает информацию о файловой системе пользователя и сохраняет её в реестре Windows. Эта запись не отключается никакими настройками программы, а встроенная опция очистки истории не удаляет всех собранных данных. Не менее некачественно в WinRar 2.7 выполнен распаковщик файлов CAB. Подробнее...

09.06.2000. В реализации TCP/IP-стека, входящей в стандартную поставку Windows 98 (не SE), обнаружен "люк": в ряде случаев login и пароль для доступа к Internet записываются в файл протокола PPP в открытом виде. Поскольку местоположение и размер этого файла (не более 260 Кб) жёстко фиксированы, он может оказаться сравнительно лёгкой добычей для хакеров. Возможное решение состоит в использовании альтернативных TCP/IP-стеков, например, Trumpet Winsock 5.0. Лишний раз убеждаешься в справедливости приговора суда по делу MS: "корпорация не заслуживает доверия".

09.05.2000. Корпорация Microsoft официально признала факт существования специального пароля, с помощью которого можно получить доступ к компьютерам, на которых работают Web-серверы Microsoft IIS + FrontPage Extensions. Обнародовано даже имя файла, содержащего специальный "люк". Подробнее...

29.04.2000. В популярном почтовом клиенте "The Bat!" компании RIT Labs, помимо недавно исправленной проблемы с заголовком X-BAT-FILES, обнаружены ещё несколько "особенностей" различной степени опасности, в том числе, возможно, отправка писем случайным адресатам. Всё это не позволяет считать данную программу безопасной и конфиденциальной. Подробнее...

25.04.2000. Известный дизассемблер/декомпилятор Ильфака Гуильфанова IDA Pro версии 4.01 содержит программный код, выполняющий несанкционированное копирование информации о пользователе во все выходные файлы. Таким образом, случайный человек, имеющий IDB-файл, может узнать информацию о владельце копии программы и его адрес электронной почты. Подробнее...

25.04.2000. Уже не новость, что корпорация Microsoft различными способами систематически нарушает права пользователей. Установлено, что программы WinWord 95 и WinWord 97 из популярнейшего пакета MS Office в каждый созданный документ помещают информацию о пользователе и его компьютерной системе. Есть данные, что это касается и документов Excel, а также баз данных Access. Подробнее...

25.04.2000. Компания Adobe пользуется достаточно недобросовестными приёмами при рекламе своего формата PDF, указывая на его переносимость на любые платформы и компактность за счёт сжатия данных. Под "любыми" платформами в данном случае подразумеваются те, для которых существуют версии Acrobat Reader. Переносимость текста в простом текстовом файле гораздо выше. Что же касается сжатия, то опыт показывает: реальный размер текста почти всегда меньше (или примерно равняется) размеру PDF-файла, из которого он скопирован. А в ZIP- или RAR-архиве он будет ещё меньше :)