INTERNET  Morpheus превращает домашний компьютер в Web-сервер

Группа экспертов гордо сообщила о прорехе в сети MusicCity: благодаря ей можно заполучить список пользователей, которые на данный момент используют Morpheus. Однако получить этот список довольно просто...

Группа экспертов в области компьютерной безопасности рассказала BBC News об обнаруженной дыре в одной из самых популярных программ для загрузки цифрового контента - Morpheus. Хакерская группа 2600, которую ZDNet почему-то назвала "анонимной", указала на возможность проникновения в систему пользователя, на компьютере которого установлен Morpheus.

Прежде всего, как рассказывают эксперты из 2600, прореха существует в сети MusicCity, вследствие чего злоумышленник может заполучить в свои руки список пользователей, которые на данный момент запустили на своих компьютерах Morpheus.

Мы поспешим возразить экспертам - получить подобный список можно даже не обладая элементарными знаниями о компьютерной и сетевой безопасности. Достаточно лишь в строке поиска ввести некое широко распространенное в английском языке слово (таким может стать "the", "in", "love", etc.) - и вот перед вами список самых разнообразных файлов, а в соответствующей графе отображается имя пользователя, на компьютере которого данный файл доступен именно сейчас.

Следующее утверждение группы 2600 - с помощью данного списка им удалось получить доступ к компьютерам пользователей системы MusicCity, причем если в некоторых случаях доступ предоставлялся только лишь к файлам в директории "My Shared Folder", то в других случаях доступ предоставлялся ко всему содержимому жесткого диска.

Не хочется ставить под сомнение авторитет 2600, однако предыдущее утверждение о том, что 'экспертам удалось раздобыть случайный список пользователей Morpheus наводит на мысль - а не воспользовались ли 'хакеры' кнопкой "Find more files from this user", которая присутствует в стандартном интерфейсе каждой копии программы? И не является ли доступ к содержимому всего жесткого диска простой неосмотрительностью пользователя, который по какой-то причине открыл shared-доступ к содержимому корневой директории C:?

Будем надеяться, что серьезное издание BBC News и в особенности не менее серьезная группа 2600 имеют достаточные основания утверждать о "серьезных проблемах" в безопасности Morpheus.

Пока же страничка http://www.musiccity.com/, с которой можно загрузить программу, никакой информации о появлении патча не содержит.

05.02.2002, Александр МОСКАЛЮК (ЗВУКИ РУ)

INTERNET - свежие публикации: