Компьютерра - Журнал "Компьютерра" №724

ШПИОН ЗА СВОИМ ХОЗЯИНОМ. В середине февраля спецуполномоченный Еврокомиссии по вопросам юстиции Франко Фраттини (Franco Frattini) официально признал, что практически невидимые "точки отслеживания", появляющиеся в распечатках цветных лазерных принтеров разных производителей, вызывают озабоченность у Евросоюза. Хотя, говорит Фраттини, пока нет никаких законодательных норм, напрямую регулирующих подобные вещи, и поэтому еще нельзя говорить о нарушении законов, тем не менее по точкам отслеживания (tracking dots) на распечатках можно устанавливать личность владельца принтера. А это может быть прямым нарушением "фундаментальных прав человека".

О желтых микроточках в распечатках принтеров и копиров общественности стало известно в 2005 году, когда хакеры, сотрудничающие с американской правозащитной организацией EFF, сумели определить, что за информация скрывается в невидимых при обычном освещении матрицах. Было установлено, что в матрицах, псевдослучайным образом встраиваемых в картинку распечатки, закодированы серийный номер принтера, а также дата и время печати (плюс еще некие сведения, пока остающиеся загадкой для аналитиков). Как показало расследование, изготовители принтеров встраивают эти микроточки по тайному соглашению с американской спецслужбой Secret Service, в обязанности которой входит выявление и отлов фальшивомонетчиков. Но очевидно, что с помощью этой же технологии можно отслеживать кого угодно. Например, диссидентов, ведущих борьбу с гнилыми антидемократическими режимами.

Поэтому теперь финская партия "зеленых", явно с подачи EFF, затеяла в Европарламенте разбирательство. Намерена ли Европа надавить на своего близкого союзника и как.то повлиять на дурно пахнущий сговор США с изготовителями принтеров? Или же о тайном соглашении все было давно известно и ктото из европейских стран тоже участвует в этой затее?

И если да, то кто именно? Официальная реакция Фраттини на запрос "зеленых" пока не содержит конкретных ответов, но дает понять, что проблема далеко не закрыта.

РАЗНОСЧИК СПАМА. Американский специалист по защите информации Аарон Уивер (Aaron Weaver) опубликовал на сайте ha.ckers.org статью, в которой описал новую разновидность сетевой атаки, вынуждающей принтеры распечатывать рекламу, рассылаемую спамерами. Используя одну малоизвестную возможность популярных веб.браузеров вроде Internet Explorer и Firefox, Уивер продемонстрировал, как можно модернизировать код веб.страницы, чтобы он запускал задание на печать едва ли не в любом принтере. При условии, конечно, что тот подсоединен к локальной сети пользователя, имевшего несчастье посетить в Интернете злополучную веб-страницу.

В статье Уивера эта атака получила название cross site printing, то есть "перекрестная печать", и расценивается как весьма опасная. Во.первых, потому, что жертве даже не обязательно заходить на сомнительные сайты злоумышленников, ибо подцепить заразу можно и на вполне респектабельных страницах, если в их коде разработчиками были допущены ошибки программирования. В частности, некорректное использование скриптов в перекрестных ссылках позволяет злоумышленникам загружать в браузер через этот "лаз" код своей JavaScript.программки, которая отыскивает в локальной сети принтер и запускает печать спама. А во-вторых, та же самая атака теоретически позволяет не только нагружать принтер распечаткой рекламного мусора, но и отдавать многофункциональному устройству куда более опасные команды - вроде отправки факса, форматирования винчестера или скачивания новой прошивки.

ВРАЖЕСКИЙ СЕРВЕР. Работа Уивера заставила вспомнить давнее и почти уже забытое исследование другого хакера, Брендана О’Коннора (Brendan O’Connor), посвященное уязвимостям многофункциональных устройств (МФУ). Еще в 2006 году, в докладе на конференции Black Hat, О’Коннор продемонстрировал, что многие устройства для офиса, совмещающие факс, ксерокс, принтер и сканнер, - это уже не "тупая периферия", а пусть и простенький, но сервер. В частности, на примере "принтера" Xerox WorkCentre MFP было показано, что это компьютер с собственным процессором, 256 Мбайт оперативной памяти, 80-гигабайтным жестким диском, ОС Linux и ПО Apache и PostgreSQL. Но при этом веб.интерфейс данного устройства настолько тривиален, что механизм аутентификации легко может быть обойден злоумышленниками, которые получают возможность овладеть управлением машины, расположенной в тылу атакуемой сети.

Скомпрометированный МФУ, предупредил исследователь, очень опасен по целому ряду причин. Прежде всего потому, что при организации инфобезопасности на принтер обычно никто не обращает внимания. Отсутствие же мониторинга делает его очень привлекательной мишенью для атаки. Для живой иллюстрации О’Коннор рассказал, что когда проводил собственное исследование в одной из крупных компаний, то тайно установил контроль над десятками МФУ, однако никто из ИТ-персонала этого не заметил. А как только над принтером установлен контроль, вся информация, которая распечатывается, сканируется или отправляется факсом и становится доступной для хищений. Жесткий же диск устройства может быть удобным временным складом для похищенных данных… К сожалению, по наблюдениям О’Коннора, ситуация с защищенностью МФУ с 2006 года практически не изменилась.

ОКНО ДИАЛОГА: Интервью, которого не было

Авторы: Владимир Гуриев, Александр Бумагин

Осенью 1969 года Алек Яппаров привел своего младшего брата Тагира в радиокружок при уфимском дворце пионеров. Будущему руководителю группы компаний "АйТи" было всего шесть лет, когда он начал потихонечку паять и собирать с ребятами постарше акустические системы, но это событие он до сих пор считает одним из ключевых в своей карьере. Впрочем, ни сама компания "АйТи", ни ее сателлиты, принадлежащие Яппарову и его университетскому товарищу Игорю Касимову, в полной мере удовлетворить его страсть к радиотехнике не смогли.

Тандем Касимова и Яппарова удивителен не тем, что Игорю и Тагиру удалось создать успешную компанию, а тем, что они работают вместе уже восемнадцать лет, не пытаясь растащить совместный бизнес на кусочки.

- Нам повезло, - объясняет Яппаров. - Мы хорошо дополняем друг друга, каждый силен в своей области. Я подвижен, активен, увлечен технологиями, а Игорь рассудителен и способен организовать процессы.

Как ни странно, название компании - это аббревиатура имен отцов.основателей. Подразумеваемая расшифровка "информационные технологии" для бизнеса полезна, но исторически вторична. Яппарову и Касимову повезло и здесь. Придумывая название для компании, они не предполагали, что оно станет синонимом для целой индустрии.

- Время было такое. У половины новых компаний названия происходили от имен основателей. Маркетинг, брэндирование - ничего этого не было. Ну и мы, конечно, никаким планированием и разработкой стратегии тогда еще не занимались.

Первый заключенный компанией контракт как будто дословно взят из старого анекдота про двух русских бизнесменов, которые сначала договорились обменять вагон угля на вагон леса, а затем отправились искать соответственно уголь и лес. Договорившись - не без помощи старшего брата Яппарова - о выполнении работ для банка "Югра", руководители новоиспеченной компании вспомнили о том, что ни офиса, ни сотрудников, способных реализовать полученный контракт, у них еще нет.

- Слова "аутсорсинг" тогда еще не было, - рассказывает Тагир, - так что я просто обзвонил своих знакомых по МГУ, которые и посоветовали мне нужного подрядчика.

Второй контракт исполняли уже сами. Вместо собственного офиса, правда, использовалось помещение в отделении милиции в Беляево. С московскими милиционерами рассчитались бартером: "АйТи" разрабатывала информационную систему для управления милиции одного из сибирских городов и пообещала поделиться программой с приютившими программистов стражами порядка.

Сегодня, признает Яппаров, такой старт с нуля - без крупных вложений, без связей, без опыта - вряд ли возможен. Однако рынок системной интеграции, казалось бы, давно поделенный между крупными компаниями, вовсе не так закрыт, как принято считать.

- Есть множество услуг, которые у нас не представлены или представлены фрагментарно. Из-за недостатка капитализации мы (имеются в виду российские игроки. - Прим. ред.), например, не можем предложить крупному клиенту полный аутсорсинг с выкупом инфраструктуры и так далее. Это для нас попросту слишком дорого, и это - лазейка для иностранных игроков, оперирующих бюджетами других масштабов.

На вопрос, не слишком ли много рисков для крупных инвестиций в такую замечательную страну, как наша, Тагир Яппаров отвечает, что в Китае риски в разы выше - и ничего, вкладываются. Что касается ближайшего будущего России, Тагир вообще удивительно оптимистичен. Совсем плохо, полагает он, у нас может стать лет через двадцать. А до тех пор - продержимся. Даже к проекту строительства технопарков, о который только ленивый не вытер ноги, Тагир относится снисходительно: - Проблема с технопарками кроется в завышенных ожиданиях. Все почему.то думали, что это заработает через год или два, а технопарки - это по определению долгосрочная программа. Я думаю, что результаты имеет смысл обсуждать лет через пять, не раньше.