kwiecień 2006

Z prawdziwą przyjemnością informujemy o drugiej edycji konferencji Confidence, która odbędzie się już w maju w Krakowie.

Marzeniem jest, aby każda osoba, dla której bezpieczeństwo to pasja mogła przedstawić wszystkim zgromadzonym niskopoziomowym maniakom swoje odkrycia.

Bedziemy mówic o rzeczach, które są znane „w nowym ujęciu” i o rzeczach których premiera będzie miała dopiero miejsce na konferencji. Będziemy dzielić się wiedzą i, mamy nadzieje, świetnie bawić. Nie może tam zabraknąć również Ciebie!

Prosimy serdecznie wszystkie osoby zainteresowane uczestnictwem o
kontakt: http://security.proidea.org.pl.

W czwartek tj. 20.04.2006 ISACA Polska zaprasza na wykład poświęcony systemom IPS (Intrusion Prevention System). Wykład prowadzi Przemysław Skowron.

Akademia Ekonomiczna sala nr 2 w Pawilonie Sportowym, ul. Rakowicka 27,
31-510 Kraków

17:30 – 19:00 „Systemy IPS w praktyce”, Przemysław Skowron
19:00 – 19:10 Sprawy bieżące, pytania, sugestie, opinie

Wstęp jak zwykle wolny, bez konieczności uprzedniej rejestracji. Można, a
nawet należy zaprosić wszelkie osoby zainteresowane problemtyką szeroko
pojętego bezpieczeństwa.

Spotkanie moderuje Robert ‚Shadow’ Pająk, CISSP.

W Nowej Zelandii cyberprzestępcy zaatakowali największy serwis aukcyjny – Trade Me.

Aż 75% użytkowników tego serwisu odebrało fałszywe e-maile z prośbą o zaktualizowanie swoich danych. Po kliknięciu na dołączony do listu link internauci byli kierowani na fałszywy serwer.

Przedstawiciele serwisu ostrzegają, że „W Internecie krąży list elektroniczny, którego autorzy podszywają się pod Trade Me i proszą o potwierdzenie szczegółów swojego konta. List kieruje użytkowników na stronę, która wygląda identycznie, jak witryna Trade Me. Użytkownicy są proszeni o zalogowanie się tam. Ten list nie pochodzi z serwisu Trade Me”.

Nowozelandzki serwis ma ponad 1,2 miliona użytkowników. Zostali oni ostrzeżeni o niebezpieczeństwie ataku i poproszeni o zmianę haseł dostępu.

Użytkownicy pytają dlaczego doszło do ataku. „Dlaczego ktoś mógłby chcieć zdobyć hasło innej osoby do Trade Me? Serwis nie przechowuje informacji na temat numerów kont bankowych użytkowników, szczegółów dotyczących ich kart kredytowych. Więc jeśli nawet zdobędę czyjś login i hasło i tak będę musiał zapłacić za wylicytowane rzeczy, zanim je otrzymam”.

Eksperci uważają, że przestępcy próbują zdobyć takie informacje w nadziei, że użytkownicy serwisu wykorzystują te same hasła i loginy na stronach banków elektronicznych.

Źródło: Arcabit.pl

Ataki na aplikacje web’owe ostatnimi czasy przeżywają totalny rozkwit. Wraz z rozwojem coraz to nowszych technik, stanowią one na dziś dzień większe ryzyko finansowe niż wszystkie inne formy ataków sieciowych.

Wzrost ataków na aplikacje web’owe wynika z faktu, iż coraz częściej dokonujemy płatności za pomocą internetu (internetowe banki, giełdy, kasyna, sklepy, itp). Daje to włamywaczom dodatkową i wystarczającą motywację, aby pokusić się o kradzież wszelakich danych jakie tylko użytkownik może zostawić po sobie na odwiedzanych stronach.

Tu w grę wchodzą właśnie aplikacje web’owe oraz różnej maści „oskryptowanie” serwera, które z reguły uprzednio wprowadzone przez Nas dane przechowują w bazach danych.

Ten rok zapowiada się dosyć obficie patrząc na jego pierwsze 3 miesiące. Statystyki odnośnie ataków dostępne są m. in. tutaj.

Jak widać, wciąż najczęściej spotykanym typem ataku jest XSS. Na 6 miejscu plasuje się SQL Injection.
Źródło: Information Week, Web Application Security Consortium
Sposób na SQL Injection w 20 linijkach
W Hosting Controller wykryto lukę
W popularnym forum wykryto dziury
W JBoss jBPM wykryto luki
Symantec ostrzega o rosnącym zagrożeniu ze strony cyberprzestępców

Jak zawsze w drugi wtorek miesiąca, wczoraj wieczorem naszego czasu ukazał się zestaw poprawek do MS Windows i jego składników. Tym razem poprawione zostało 14 luk, z czego 10 dotyczących Internet Explorera.

Aż osiem spośród luk w przeglądarce MSIE, a także dwie dotyczące innych elementów systemu (Windows Explorer oraz MDAC), pozwalają na zdalne przejęcie kontroli nad systemem bez udziału użytkownika.

Pozostałe luki związane są m.in. z możliwością wycieku infomacji oraz podmiany zawartości paska adresu (Internet Explorer), przejęcia systemu przy interakcji użytkownika (Outlook Express) oraz wykonania skryptu przez cross-site scripting (MS Front Page Server).

Znaczna część problemów, w szczególności dotyczących Internet Explorera, znana była już od przynajmniej kilku tygodni. Na poprawki trzeba było jednak czekać aż do końca standardowego miesięcznego cyklu, mimo że w niektórych przypadkach znacznie wcześniej dostępny był działający exploit.

Microsoft zaleca natychmiastową instalację poprawek. Można jej dokonać automatycznie poprzez serwis Microsoft Update.

Security Updates summary for April 2006

Microsoft Security Bulletin for April, 2006 (TechNet)
Źródło informacji: CERT Polska

Firma Euclid Discoveries ogłosiła opracowanie nowej metody kompresji filmów o nazwie EuclidVision, która umożliwi tworzenie mniejszych plików, niż obecne w formacie MPEG-2 lub MPEG-4.

Nowa technologia bazuje na specjalnym rodzaju kompresji wideo, znanej jako „Object-Based Compression” lub też „OBC”. Polega ona na rozpoznawaniu poszczególnych obiektów w filmie, w tym również twarzy, a następnie ich dalszej obróbce cyfrowej. W przeciwieństwie jednak do obecnych formatów, każdy z elementów filmu poddawany jest oddzielnemu procesowi kompresji.

Źródło: CDRInfo

Studenci informatyki z Uniwersytetu Jagiellońskiego zostali wicemistrzami świata podczas 30. Akademickich Mistrzostw Świata w Programowaniu Zespołowym, które zakończyły się w środę w San Antonio w stanie Teksas.

Drugi polski zespół – z Uniwersytetu Warszawskiego – zajął siódme miejsce – poinformował opiekun zespołu UW prof. Jan Madey. „To nieprawdopodobny sukces! Dwie polskie drużyny znalazły się w pierwszej dziesiątce konkursu, który przyciąga najlepszych młodych informatyków z całego świata” – powiedział dziekan Instytutu Informatyki UJ, dr Marek Zaionc.

„Tegoroczni finaliści – 83 drużyny – zostali wyłonieni podczas eliminacji regionalnych spośród 5606 drużyn z ponad 1,7 tys. uczelni ze wszystkich kontynentów” – podkreślił prof. Madey.

Mistrzem świata został rosyjski zespół z Uniwersytetu w Saratowie, który rozwiązał sześć z dziesięciu zadań konkursowych.

Drugie miejsce wywalczył zespół studentów z Uniwersytetu Jagiellońskiego w składzie: Arkadiusz Pawlik, Bartłomiej Walczak i Paweł Walter. Opiekunami wicemistrzów są prof. Paweł Idziak oraz Maciej Żenczykowski. Zespołowi z UJ także udało się rozwiązać 6 zadań konkursowych, ale w gorszym czasie niż zwycięzcom. Za drugie miejsce studenci otrzymali złoty medal Mistrzostw. Otrzymały je cztery najlepsze drużyny.

Drugi polski zespół, z Wydziału Matematyki, Informatyki i Mechaniki UW, zakończył rywalizację w San Antonio na siódmym miejscu i odebrał srebrny medal mistrzostw świata (srebro trafiło do drużyn, które zajęły miejsca 5-8). Studenci z warszawskiej uczelni – Marcin Michalski, Paweł Parys oraz Bartłomiej Romański – rozwiązali pięć zadań konkursowych. Ich opiekunami są prof. Jan Madey i prof. Krzysztof Diks.

W pierwszej dziesiątce znalazły się również m.in. Politechnika Ałtajska, uczelnie z Szanghaju, Moskwy, Sankt Petersburga, a także prestiżowy amerykański Massachussets Institute of Technology (MIT), który uplasował się tuż za Uniwersytetem Warszawskim.

Akademickie Mistrzostwa Świata w Programowaniu Zespołowym (International Collegiate Programming Contest – ICPC) to największy, najstarszy oraz cieszący się ogromnym prestiżem w środowisku informatyków konkurs, w którym corocznie rywalizują ze sobą najlepsi studenci informatyki z całego świata.

Tegoroczna, trzydziesta edycja mistrzostw odbyła się w dniach 9-13 kwietnia 2006 roku na Uniwersytecie Baylor w San Antonio, USA. Dwa polskie uniwersytety były jedynymi reprezentantami Europy Środkowo-Wschodniej w finałach. W listopadzie 2005 roku UW i UJ wygrały eliminacje regionalne w Budapeszcie.

Źródło informacji: Gazeta.pl
Warszawscy studenci najlepszymi programistami w Europie
Krakowski student – najlepszym programistą w kraju
UW wygrywa w międzynarodowym rankingu informatyków

Od 11 lipca użytkownicy systemów Windows opartych na DOS’ie (Windows 98, Windows ME), nie bedą mogli liczyć na wsparcie Microsoftu. Giganci z Redmond nie bedą wydawać żadnych łatek, nawet na krytyczne błędy.

Microsoft zaleca przejście na systemy oparte na Windowsie NT, np. Windows XP, Microsoft Windows Server 2003 itd.

Nie jest to pierwszy raz, gdy Microsoft ogłasza koniec wsparcia dla systemów Windows 9x. Zgodnie z planem wsparcie dla Windowsa 98 miało się zakończyc 16 stycznia 2004, a dla Windowsa ME 31 Grudnia 2004, ale po protestach zagorzałych fanów i użytkowników, termin został przełożony do 30 lipca 2006 roku, a teraz został skrócony o 19 dni.

Źródło: heise.de

Spotkanie ISSA Polska w Warszawie odbędzie się w środę 19 kwietnia 2006 roku – spotkanie merytoryczne organizowane wspólnie z ISACA Polska.

Agenda:

Barbara Pióro – Polkomtel S.A.
Rola i zadania ABI i Administratora danych osobowych

W prezentacji zostanie przedstawiona rola ABI w spółkach, a także jakie zadanie i obowiązki są na ABI nałożone. Dodatkowo, zostanie przedstawione bardziej praktyczne podejście do funkcji ABI: dobre praktyki związane ze stanowiskiem, cechy charakteru i wiedza niezbędna do pełnienia tej funkcji oraz wskazówki dotyczące wyboru osób na stanowisko ABI.

W dalszej części prezentacji zostanie przedstawiony problem outsourcingu danych osobowych – na co należy zwrócić uwagę przy przekazywaniu danych, jakie warunki powinien spełniać dostawca, na jakie problemy można natknąć się przy outsourcingu.

Prezentacja kierowana jest głównie do:

– kadry zarządzającej
– ABI
– osób zajmujących się ochroną danych osobowych

Zapraszamy na godzinę 17.30 do siedziby Telekomunikacji Polskiej SA w Warszawie przy ul. Twardej 18, na 1. piętro do sali 1.37.

UWAGA: Ze względów organizacyjnych wymagane jest zgłoszenie chęci udziału w spotkaniu najpóźniej do 18 marca 2006 roku. Można to zrobić klikając na
poniższy link: info@issa.org.pl

Należąca do koncernu eBay, firma Skype poinformowała o zakupieniu dwóch mniejszych przedsiębiorstw, które również zajmują się rozwiązaniami VoIP. Analitycy oceniają wartość transakcji na ok. 27 mln USD.

Dzięki przejęciu firm Sonorit Holding oraz Camino Networks, gigant na rynku telefonii internetowej zwiększy swój zespół specjalistów, pracujących nad nowymi produktami oraz usługami.

Obydwie zakupione firmy wyspecjalizowały się w systemach przetwarzania mowy oraz platformach transmisji danych, opartych na sieciach internetowych nowej generacji.

Źródło: The Register