Archiwa miesięczne

Lipiec 2006

Windows Vista vs. Hack In The Box

Microsoft zamierza podczas konferencji nt. bezpieczeństwa komputerowego w Azji pokazać tamtejszym hackerom swój system operacyjny Windows Vista jeszcze przed jego oficjalną premierą, tak aby sprawdzić jego poziom zabezpieczeń w życiowych realiach.

Działanie takie jest najprawdopodobniej spowodowane tym, iż Microsoft obiecał już wcześniej zwiększyć udział „społeczności” przy tworzeniu i dopracowywaniu swoich produktów.

„Firmy doskonale wiedzą, iż naprawa czy łatanie już wypuszczonych na rynek produktów jest o wiele bardziej kosztowne aniżeli znajdowanie tych luk i ich naprawa jeszcze na poziomie testów, przed sprzedażą.” – mówi Dhillon Andrew Kannabhiran, organizator szóstej corocznej konferencji Hack In The Box.

Tegoroczna konferencja odbędzie się w Kuala Lumpur (Malezja) we wrześniu.

Na konferencji będzie 2 przedstawicieli Microsoftu. Pierwszy z nich, Dave Tamasi, wygłosi prelekcję na temat zabezpieczeń w systemie Windows Vista. Rozmowa będzie także tyczyła się tych zabezpieczeń, które to zostały już wprowadzone dzięki uprzednim uwagom hackerów oraz „społeczności” (m. in. z poprzednich konferencji).

Drugi z przedstawicieli Microsoftu, Douglas MacIver, omówi działanie systemu BitLocker Drive Encryption oraz zaprezentuje próby ataków skierowanych właśnie w ten system. BitLocker Drive Encryption jest dodatkiem wprowadzonym do systemu Microsoft Windows Vista, który to ma chronić ważne dane w systemie nawet po kradzieży czy zagubieniu sprzętu. BitLocker m. in. blokuje możliwość uruchamiania programów do „obchodzenia” zabezpieczeń w Windows Vista czy też szyfruje zawartość nośników danych.
Źródło: PC World
Premiera Windows Vista i Office System 2007
Windows Vista Beta 2
Vista zniszczy rynek antispyware
Vista w ośmiu wersjach
Vista: koniec z zakurzoną kryptografią

Konferencja Software Quality Assurance Management – Praga 2006

6 września 2006 w hotelu Diplomat w Pradze rozpocznie się największe w
Europie Środkowo-Wschodniej wydarzenie związane z jakością oprogramowania. Nie może Cię tam zabraknąć!

Przy okazji konferencji odbędzie się zebranie rad ISTQB z całego świata, a najwieksi eksperci będą w niej uczestniczyć! Prezesi rad testowych, wchodzących w skład ISTQB, będą wśród prelegentów. Rex Black (prezes American STQB) i Tom Gilb (ceniony na całym świecie specjalista) również przybędą, a każdy wygłosi swoje wykłady i ostatniego dnia poprowadzi calodniowe warsztaty. Ponad 20 wykładów w ciągu 2 dni, z czego każdy będzie w pełni wartościowy merytorycznie – żaden nie będzie wykładem marketingowym! Trzeci dzień w całości będzie przeznaczony na warsztaty.

Drugiego dnia konferencji istnieje możliwość zdania egzaminu ISTQB
Certified Tester Foundation Level w bardzo atrakcyjnej cenie.

Takiej okazji nie można przegapić!

Wejdź na stronę sqam.org i wyślij swoje zgłoszenie już dzisiaj!

Testy wytrzymałości karty elektronicznej zakończone

Po kilku miesiącach działania dobiegł ostatecznie końca test, przeprowadzany przez firmę CryptoTech, którego celem było praktyczne sprawdzenie ilości podpisów cyfrowych możliwych do wykonania za pomocą pojedynczego klucza RSA-1024 wygenerowanego na karcie elektronicznej.

W wyniku działania aplikacji testowej udało się wygenerować 15.765.559 podpisów, co definitywnie ukraca plotki o nieprzydatności kart elektronicznych do praktycznego używania ich w kontekście podpisu elektronicznego, w szczególności dla wykonywania dużej ilości podpisów kwalifikowanych. Uzyskana ilość podpisów cyfrowych przy pomocy pojedynczego klucza znacznie wykracza poza wymagania stawiane kartom elektronicznym oraz praktyczne potrzeby użytkowników.

Jest to także o kilka rzędów wielkości więcej niż sugerowano w krążących na rynku plotkach (tzw. mit 1500 podpisów). Aby lepiej wyobrazić sobie wielkość tej liczby warto wspomnieć, że pozwala ona na ciągłe podpisywanie średnio 1800 dokumentów na godzinę przez cały rok.

Oczywiście uzyskany wynik ze względu na użycie do testu tylko jednej losowo wybranej karty nie pozwala na jednoznaczne określenie ilości możliwych do wygenerowania podpisów dla dowolnej karty elektronicznej (gwarantowane przez producentów mikroprocesorów ilości operacji zapisu są BARDZO zachowawcze i przedstawiają najgorszy teoretycznie możliwy przypadek, który w praktyce się nie zdarza – żywotność jest co najmniej kilkukrotnie dłuższa). Pokazuje on jednak, iż technologie stosowane obecnie w kartach elektronicznych oraz ich trwałość są w zupełności wystarczające do praktycznych zastosowań.

Uszkodzenie obszaru pamięci EEPROM przechowującego wewnątrz karty elektronicznej kod PIN (tzw. ‚wytarcie się’ tej pamięci) doprowadziło do trwałej i nieodwracalnej blokady dostępu do obiektów i danych chronionych tym kodem – w tym do blokady dostępu do użycia klucza prywatnego. Po przebadaniu karty elektronicznej będącej przedmiotem testu okazało się, że jej zachowania nie tylko podczas testu ale także po jego zakończeniu jest w pełni zgodne z dokumentacją techniczną. Przez cały okres testu klucz prywatny był przez kartę należycie chroniony a w chwili obecnej nie ma już możliwości użycia go do wykonania jakichkolwiek operacji kryptograficznych. Dodatkowo należy nadmienić iż zrealizowany eksperyment symulował realizację operacji podpisu w kontekście użytkownika autoryzującego podaniem kodu PIN każdą operację podpisu. Użycie karty w konfiguracji automatycznie generującej wiele podpisów po jednej autoryzacji kodem PIN prawdopodobnie nie pozwoliło by na zakończenie tego testu w przewidywalnym czasie wielu lat i setek milionów operacji gdyż nie występuje w takim przypadku zjawisko wycierania się pamięci EEPROM.

Dla zapewnienia wiarygodności testu karta elektroniczna, która była przedmiotem testu będzie zdeponowana w siedzibie firmy CryptoTech wraz z wszystkimi podpisami cyfrowymi wygenerowanymi przez nią. Pozwoli to na ewentualną weryfikację rzetelności przeprowadzenia testu.
Źródło: Informacja prasowa, CryptoTech
Testy wytrzymałości karty elektronicznej
Część wygenerowanych dokumentów podpisanych cyfrowo
Założenia testu oraz informacje techniczne
Jak weryfikować poprawność podpisów
CryptoTech eSECURITY SOLUTIONS

Luki w przeglądarkach na co dzień

W Internecie pojawił się blog poświęcony przeglądarkom WWW. Jego autor, HD Moore, obiecuje, że przez cały lipiec będzie codziennie publikował informacje o wykrytych przez siebie lukach. Na początek na tapecie znalazł się Microsoft Internet Explorer.

Dwie opisane 2 lipca luki pozwalają potencjalnie na zdalne wykonanie kodu w systemie poprzez przepełnienie sterty. Obie luki dotyczą najprawdopodobniej wszystkich wersji przeglądarki włącznie z MSIE 7 beta 3.

Microsoft został poinformowany o istnieniu błędów już w marcu. Do czasu opublikowania przez producenta odpowiednich poprawek zaleca się całkowite wyłączenie wykonywania wtyczek ActiveX (Narzędzia->Opcje internetowe->Zabezpieczenia->Poziom niestandardowy) i nieodwiedzanie niezaufanych adresów.

Kolejne luki opisane w blogu znane są od kilku miesięcy i dotyczą przeglądarki Mozilla Firefox (luka poprawiona w wersji 1.5.0.3) oraz dostępu do książki adresowej MS Outlook Express z przeglądarki MSIE (luka poprawiona w jednym z hotfixów).

Źródło informacji: CERT Polska
Browser Fun

Gartner ostrzega przed produktami Symanteca

Analitycy z firmy Gartner ostrzegają przed inwestowaniem w sieciowe zabezpieczenia Symanteca i doradzają wybór rozwiązań innych producentów. Autorzy raportu wyjaśniają, że koncern Symantec prawdopodobnie wycofa się z tego rynku i skoncentruje swoje działania w innym sektorze.

Specjalizująca się w badaniach rynkowych, firma Gartner oparła swoje założenia m.in. na ostatnich działaniach amerykańskiego producenta, który 23 czerwca ogłosił zakończenie prac nad dalszym rozwojem aplikacji Symantec Gateway Security (SGS) oraz Symantec Network Security (SNS). Ponadto koncern poinformował ostatnio o likwidacji wsparcia technicznego dla użytkowników Symantec Enterprise Firewall.

Raport Gartnera jasno wyjaśnia, że Symantec nigdy nie koncentrował się bardzo na rynku zabezpieczeń sieciowych, zaś jego rozwiązania były raczej produktami niszowymi.

Źródło: Vnunet

ICSA Labs publikuje testy urządzeń IPS

ICSA Labs opublikowało wyniki pierwszych testów urządzeń Intrusion Prevention System (IPS) chroniących sieć firmową przed włamaniami z Internetu.

Jedynie trzy urządzenia przeszły pozytywnie całą procedurę testową, zyskując certyfikaty ICSA. Kolejno są to:
– NetKeeper 3256P, BroadWeb Corporation

– Proventia G400, Internet Security Systems (ISS)

– TippingPoint 5000E, TippingPoint
Certyfikaty ICSA Labs mają ułatwić potencjalnym klientom wybór właściwych i sprawdzonych rozwiązań z całej szerokiej dostępnej gamy.

Testy wykonywane na urządzeniach IPS poprzez ICSA Labs są uważane za jedne z najlepszych oraz najbardziej dokładnych w swojej dziedzinie. Podczas testów urządzenia poddawane są m. in. takim próbom jak ataki Denial-of-Service, próby podszywania się w sieci, ataki na podatne aplikacje oraz cała szeroka gama innych ataków.
Źródło: Informacja prasowa, ICSA Labs
Multi Network Firewall 2
Metody obchodzenia systemów IDS na przykładzie Snort NIDS
Zabezpiecz swoją sieć w stylu NSA
Szerokopasmowe rutery
Kolejna nowość z serii ISS Proventia

Historyczny rekord zagrożeń w 2006

Firma McAfee ogłosiła dzisiaj, że padł kolejny rekord liczby zagrożeń ze strony wrogiego oprogramowania dla systemów korporacyjnych i prywatnych.

McAfee Avert Labs wprowadziły do swojej bazy danych stutysięczny zapis o zagrożeniu we wrześniu 2004 roku.

Tymczasem informacja o dwustutysięcznym zagrożeniu została wprowadzona do bazy w tym tygodniu.

Oznacza to 60-procentowe skrócenie czasu potrzebnego na podwojenie liczby zagrożeń w stosunku do września 2004 roku.

„To wstrząsające, że wprowadzenie pierwszych 100 tysięcy zapisów do naszej bazy danych zabrało 18 lat, podczas gdy osiągnięcie poziomu 200 tysięcy zagrożeń – niecałe dwa lata” – powiedział Stuart McClure, wiceprezes ds. badań i zagrożeń w firmie McAfee.

„Choć poziom świadomości w zakresie bezpieczeństwa informatycznego rośnie, piraci i autorzy wrogiego oprogramowania generują zagrożenia szybciej, niż kiedykolwiek wcześniej. Codziennie grozi nam o 200% nowych zagrożeń więcej, niż dwa lata temu”.

Choć najważniejszą przyczyną tego dramatycznego wzrostu pozostają boty, tuż za nimi plasują się programy typu exploit i downloader. Liczba zagrożeń rozsyłanych pocztą elektroniczną, które stanowiły znaczną część zagrożeń w roku 2004, przyrastała znacznie wolniej, niż inne kategorie wrogiego oprogramowania.

W 2004 roku firma McAfee dodała do swojej bazy 27 340 nowych zagrożeń. W 2005 roku dodano ich już 56 880. Od 1 stycznia 2006 roku wprowadzono około 32 000 nowych zagrożeń, a do końca roku ich liczba zapewne przekroczy 60 000.

Biorąc pod uwagę bieżące tendencje, McAfee spodziewa się, że czterystutysięczny zapis zostanie wprowadzony do bazy w czasie krótszym, niż dwa lata.

W celu zapewnienia pełnej ochrony systemu zarówno w firmie, jak i w domu, firma McAfee zaleca ciągłe aktualizacje plików sygnatur DAT, instalację najnowszych łatek systemowych oraz kompleksowe, wielowarstwowe podejście do wykrywania i blokowania ataków.

DNSChanger.eg zagraża elektronicznej bankowości

Użytkownicy internetowych stron bankowych są zagrożeni ze strony konia trojańskiego, który przekierowuje ich na fałszywe witryny, nawet jeśli użytkownik wpisał prawidłowy adres.

DNSChanger.eg kieruje ruch internetowy na strony, które do złudzenia przypominają prawdziwe witryny banków.

Trojan zakłóca proces translacji nazw domen. Gdy użytkownik wpisze adres WWW banku, z którym chce się połączyć, szkodliwy kod podmienia klucz NameServer Registry, dzięki czemu przeglądarka łączy się z fałszywą stroną.

Zdaniem specjalistów, którzy odkryli DNSChangera.eg, „zagraża on podstawom światowego biznesu online”.

„Podczas gdy do przeprowadzenia phishingu konieczne jest nakłonienie użytkownika do odwiedzenia spreparowanej witryny, w tym przypadku nie są potrzebne takie zabiegi. Użytkownik w dobrej wierze może dokonywać transakcji online, a w rzeczywistości wszystkie dane przekazywane są wprost do oszustów”.

Źródło: Arcabit

Neostrada bez telefonu – coraz większa konkurencja

Telekomunikacja Polska nie będzie mogła wymagać od użytkowników swej usługi dostępu do internetu Neostrada, by opłacali dodatkowo abonament telefoniczny.

Prezes Urzędu Komunikacji Elektronicznej (UKE) Anna Streżyńska nakazała w środę TP SA, by rozdzieliła te usługi.

Dziś każdy, kto chce zamówić Neostradę, musi płacić dodatkowo co najmniej 50 zł z VAT miesięcznego abonamentu telefonicznego. UKE wszczął kontrolę po licznych skargach klientów. TP SA ma 30 dni na wprowadzenie zmian. Jak decyzję UKE i niedawne obniżki cen internetu w TP SA oceniają konkurenci?

Marek Sowa, wiceprezes UPC Polska

Nie widzę zagrożenia dla nas w decyzji UKE, a wręcz przeciwnie. Z wypowiedzi przedstawicieli TP SA wynika, że rozdzielenie usługi telefonicznej od internetowej spowodowałoby podrożenie tej ostatniej. Wiele wskazuje na to, że nowy agresywny cennik Neostrady miał na celu wyprzedzenie działań regulatora. Możliwe, że TP SA liczyła, iż po znacznej obniżce UKE przymknie oko na takie praktyki.

Z pewnością uwzględnimy ruch cenowy dominującego na rynku operatora w nowej ofercie UPC. Ale nowy cennik TP SA nie jest tak korzystny dla klientów, jak mógłby się wydawać. Z Neostrady wciąż nie można skorzystać, nie zamawiając jednocześnie usługi telefonicznej. Wymagany też jest dłuższy okres związania się z firmą niż np. u nas.

Duże obniżki cen u największych firm mogą oznaczać podzwonne dla mniejszych operatorów alternatywnych i sieci osiedlowych.

Do tej pory często niższą jakość usług rekompensowali niższą ceną. Nie stać ich na tak duże inwestycje i oferowanie potrójnej usługi, czyli telewizji, internetu i telefonii przez jeden kabel, tak jak robią to duzi gracze.

UKE zamierza udostępnić wkrótce łącza TP SA innym operatorom, którzy mogliby zaoferować usługi jej abonentom. W Polsce nie da się bez tego działać na większą skalę. Z dużym prawdopodobieństwem można założyć, że takie plany mają wszyscy alternatywni dostawcy usług telekomunikacyjnych.

Jolanta Ciesielska, rzecznik Netii

Decyzja UKE dotyczy TP SA i wynika ze skarg klientów. My również łączymy sprzedaż usługi internetowej z usługą głosową, ale nie odnotowaliśmy żadnych skarg abonentów w tym zakresie. Nasz klient może mieć dostęp do szerokopasmowego internetu, gdy wykupi nawet najtańszy abonament telefoniczny, który kosztuje 20 zł brutto, a nie 50 zł jak jest w TP SA. Ponadto w abonamencie tym zawarte jest 50 minut na rozmowy lokalne i międzymiastowe. Przede wszystkim jednak oferujemy klientom, którzy korzystają z obu usług, bonifikaty miesięcznie w wysokości 10-20 zł. Jeśli jednak regulator zwróciłby się do nas w sprawie rozłączenia usług, z pewnością podporządkowalibyśmy się jego decyzji.

Oferta TP SA jest ciekawa i widać, że rynek dostępu do internetu robi się coraz bardziej konkurencyjny. My też nie powiedzieliśmy ostatniego słowa i średnio co dwa, trzy miesiące wprowadzamy zmiany taryfowe lub proponujemy większe prędkości za tę samą cenę. Internet przestał być drogi, praktycznie nie sprzedaje się go poza promocjami. Kiedy wprowadziliśmy naszą ofertę Net24 w kwietniu 2004 roku, klient – oprócz wysokich kosztów modemu – płacił prawie 100 zł za instalację i niecałe 160 zł miesięcznie za łącze 640 kb/s. Teraz za takie samo łącze płaci tylko 69 zł miesięcznie i dostaje rabat do wykorzystania na dowolne połączenia telefoniczne.

Autor: Paweł Rożyński
Źródło: gazeta.pl
Od dziś tańsza Neostrada

Cuebot.K udaje narzędzie Microsoftu

Cuebot.K to robak, który udaje microsoftowe narzędzie antypirackie Windows Genuine Advantage (WGA).

Szkodliwy kod rozprzestrzenia się za pośrednictwem komunikatora AOL. Po zarażeniu komputera startuje automatycznie jako „Windows Genuine Advantage Validation Notification” przy każdym uruchomieniu maszyny.

Cuebot.K potrafi wyłączyć systemowy firewall i otwiera tylne drzwi, dając cyberprzestępcom dostęp do komputera.

„Ludzie mogą myśleć, że to znajomi z listy kontaktów wysłali im plik, ale w rzeczywistości jest to szkodliwy program” – mówią specjaliści.

„Użytkownicy Windows, widząc WGA na liście uruchomionych usług, nie będą tym zdziwieni i mogą nie zdawać sobie sprawy z tego, że robak wykorzystuje tę nazwę do ukrycia faktu, że komputer został zarażony”.

Źródło: Arcabit
Test antypiracki Windows’a – unieszkodliwiony
Polacy zaczęli masowo kupować Windowsa