Компьюлента. 26 марта 2003 года, 11:39
Неизвестный хакер, скрывающийся под псевдонимом Hack4Life, опубликовал в списке рассылки Full-Disclosure информацию о нескольких программных дырах, взятую из неопубликованных отчетов организации CERT. Эти отчеты держались в секрете до того времени, пока не будут выпущены соответствующие патчи. Доступ к этим закрытым отчетам хакер, по его собственным словам, получил, взломав сайт одного из партнеров CERT - эта организация, как правило, рассылает свои отчеты разработчикам программ, чтобы те могли создать заплатки. Кроме того, ранее широкой публикации о дырах могут узнать члены организации ISA (Internet Security Alliance).
Одним из первых информацию об утечке отчетов CERT опубликовал сайт CNET News. В редакцию CNET также пришло письмо от Hack4Life, в котором тот сообщал о своих успехах и подчеркивал, что не имеет никакого отношения к CERT. На то момент, хакер опубликовал информацию из трех отчетов CERT. Первый из них посвящен ошибке в библиотеке XDR, разработанной компанией Sun и использующейся во многих версиях ОС Unix и Linux. Второй отчет касается уязвимостей в системе аутентификации Kerberos. Третья публикация хакера описывает дыру в одной из реализаций протокола SSL. Доступ к этим отчетам до их официальной публикации имели около 50 компаний. Разработчики ОС FreeBSD уже отреагировали на информацию о дырах.
Днем позже издание eWeek опубликовало материал еще об одном сообщении Hack4Life. На этот раз хакер описал особенность механизма перенаправления пользователей с одной веб-страницы на другую, которую могут в своих целях использовать мошенники и компьютерные взломщики. Свои действия Hack4Life объясняет тем, что первыми о дырах должны узнавать вовсе не разработчики программ, а хакеры, которые могут воспользоваться ими по своему усмотрению. В будущем Hack4Life обещает публиковать закрытые отчеты CERT каждую неделю.
