Archiwa miesięczne

Wrzesień 2006

Vista Security – spotkanie ISACA i ISSA

ISACA Polska oraz ISSA Polska zapraszają na kolejne spotkanie robocze. W tym miesiącu tematem przewodnim będzie bezpieczeństwo systemu Vista.

Spotkanie odbędzie się w najbliższy czwartek 5 października w siedzibie Microsoftu przy Al.Jerozolimskich 195a w Warszawie w godzinach 16:00-19:00

Agenda:

Elżbieta Stojek, Microsoft – Bezpieczeństwo w komunikacji
Patryk Góralowski i Adam Ksit, Microsoft

Microsoft Windows Vista – nowy system operacyjny, nowy wymiar bezpieczeństwa
Sylwia Wystub

Sprawy Stowarzyszenia ISACA: Krótka relacja z EMEA Chapter Leaders Meeting w Londynie
Wstęp jak zwykle bezpłatny, wcześniejsza rejestracja nie jest wymagana.

Zapraszamy!

Bezpieczeństwo IT w firmach

Firma McAfee zaprezentowała wyniki badań, które dowodzą, że europejskie przedsiębiorstwa oczekują prostych rozwiązań do zarządzania bezpieczeństwem sieci informatycznych.

Szefowie IT chcieliby korzystać z pojedynczego, spójnego i kompleksowego systemu zarządzania.

Tymczasem są przytłoczeni koniecznością stosowania zbyt wielu rozwiązań, dostawców i konsol do zarządzania bezpieczeństwem.

Spośród 600 badanych podmiotów z sześciu krajów europejskich (Francja, Niemcy Hiszpania, Holandia, Wielka Brytania i Włochy), ponad trzy czwarte (77%) chciałoby w prosty sposób administrować bezpieczeństwem infrastruktury IT.

Tymczasem niemal jedna trzecia (29%) jest zmuszona do korzystania z co najmniej czterech konsol zarządzania, a prawie co czwarta ankietowana korporacja korzysta z usług przynajmniej pięciu różnych dostawców rozwiązań bezpieczeństwa.

Celem badań zleconych przez McAfee, ośrodkowi badawczemu Ipsos MORI, a, było lepsze zrozumienie problemu coraz bardziej skomplikowanych rozwiązań z zakresu zarządzania bezpieczeństwem IT, z którym borykają się europejskie firmy.

Potrzeba uaktualniania oprogramowania oraz regularnego odnawiania licencji powodują, że jednoczesna obsługa wielu rozwiązań pochodzących z różnych źródeł staje się uciążliwa i coraz bardziej pracochłonna.

Wiele firm wykorzystuje równocześnie kilka różnych systemów bezpieczeństwa. Prawie co trzecia badana firma (30%) ma wdrożonych przynajmniej pięć różnych rozwiązań bezpieczeństwa, a jedna piąta (22%) – co najmniej siedem.

Z usług największej liczby dostawców rozwiązań do zarządzania bezpieczeństwem korzystają firmy z Holandii. Co trzecia posiada przynajmniej pięciu, a niemal co piąta korzysta z usług ponad 10 dostawców. Dla odmiany, we Francji co trzeci podmiot zaopatruje się tylko u jednego dostawcy.

Brytyjskie firmy korzystają z największej liczby rozwiązań z zakresu bezpieczeństwa – 44% przedsiębiorstw korzysta z co najmniej pięciu, z aż 1/3 firm używa siedmiu i więcej rozwiązań. Przynajmniej siedem rozwiązań wykorzystuje także 1/3 badanych podmiotów z Włoch, podczas gdy w Hiszpanii tylko co piąta pytana firm przyznała się do korzystania z co najmniej pięciu takich rozwiązań.

A oto inne, kluczowe spostrzeżenia z badań:

Średniej wielkości przedsiębiorstwa (250-499 pracowników) coraz częściej korzystają z usług kilku dostawców rozwiązań bezpieczeństwa. 42% procent badanych firm korzysta z przynajmniej trzech dostawców.
Ponad jedna czwarta (26%) średniej wielkości przedsiębiorstw stosuje co najmniej pięć rozwiązań zabezpieczających ich infrastrukturę IT.
Tylko niespełna co czwarta pytana firma (23%) jest całkowicie zadowolona z poziomu zabezpieczeń stosowanych w firmowej sieci i jej systemach.
Nawyki kupujących

Kiedy przychodzi do zakupu nowego rozwiązania do zarządzania bezpieczeństwem, funkcjonalność jest priorytetem.

Ponad ćwierć pytanych podmiotów (26%) twierdzi że głównym kryterium wyboru jest posiadanie przez produkt bardzo konkretnych funkcji.

Tylko dla 13% firm głównym determinantem jest cena. Najwięcej uwagi do kosztów przywiązują firmy brytyjskie, z których przynajmniej co piąta wybiera najtańsze rozwiązania.

Patch, patch, patch

Największą niedogodnością dla firm korzystających z kilku rozwiązań z różnych źródeł jest konieczność ciągłego instalowania aktualizacji.

Ponad połowa respondentów (51%) instaluje łaty co najmniej raz dziennie. Włoskie (67%), a zaraz po nich niemieckie przedsiębiorstwa wiodą prym w instalowaniu wszelkich aktualizacji, przyznając się, że robią to co najmniej raz dziennie.

Wykorzystanie pojedynczej konsoli do zarządzania bezpieczeństwem mogłoby proces aktualizacji znacznie uprościć.

„Zarządzanie wieloma różnymi rozwiązaniami pochodzącymi od kilku dostawców to poważny problem. Takie działanie jest również mało wydajne i drogie. Przedsiębiorstwa potrzebują spójnych i kompleksowych systemów zarządzania, dostępnych z poziomu jednej konsoli, a przy tym tanich i stosunkowo prostych w obsłudze” – powiedział Aminah Gianfrancesco, dyrektor ds. systemów bezpieczeństwa EMEA w McAfee.

Źródło: informacja prasowa

Telefonia trzeciej generacji? Jest już czwarta

Na początku przyszłej dekady będziemy surfować po internecie z trudną do wyobrażenia szybkością 1 gigabita na sekundę, czyli 2 tys. razy szybciej niż w przypadku najmocniej ostatnio promowanej wersji Neostrady TP SA. I to wszystko przez sieć komórkową.

W najpopularniejszym na świecie systemie GSM szybszej transmisji danych już się nie da uzyskać w żaden sposób.

Z kolei oferująca szybki internet i usługi multimedialne, np. wideorozmowy, tzw. trzecia generacja komórek (3G) furory na razie nie zrobiła.

Korzysta z niej – głównie za pomocą kart do transmisji danych – około 100 mln osób, podczas gdy GSM ma ponad 2 mld użytkowników.

W Polsce sieci 3G pozwalają na transmisję z prędkością rzędu 200-300 kb/s (i to tylko w kilku głównych miastach), a dzięki specjalnemu usprawnieniu (HSDPA) – kilkakrotnie więcej.

Wciąż nie mogą się jednak równać z najlepszymi ofertami telekomów i telewizji kablowych.

Jednak na tym polu szykuje się prawdziwa rewolucja, bo producenci komórek i infrastruktury dla ich sieci nie powiedzieli jeszcze ostatniego słowa.

Koreańczycy z firmy Samsung, która ma ponad połowę lokalnego rynku, poinformowali właśnie o uruchomieniu testowej sieci czwartej generacji komórek.

Umożliwia ona transfer danych z prędkością 100 Mb/s do telefonów, laptopów oraz innych przenośnych urządzeń.

I to w ruchu – system działa bez zarzutu, kiedy licznik prędkości w pociągu czy autobusie wskazuje 60 km/h.

W innych systemach łączności bezprzewodowej często dochodzi w takiej sytuacji do zakłóceń i przerwania transmisji danych.

Co więcej, podczas testów udało się uzyskać nawet prędkość 1 gigabita na sekundę.

Co to daje? Możliwość ściągnięcia 100 utworów MP3 w ciągu 2,5 s, a pełnometrażowego filmu jakości DivX w 5 s!

Nowa technologia ma być wprowadzona komercyjnie już około 2010 r.

Przedsionkiem do 4G jest technologia, którą Koreańczycy z Samsunga uruchomili komercyjnie w sieci operatora Korean Telecom przed kilkoma miesiącami.

To WiBro, mobilna wersja dostępu do internetu w technologii WiMax, który dla sieci stacjonarnych wprowadzają operatorzy na całym świecie, m.in. Netia w Polsce.

Tyle że koreańska wersja umożliwia surfowanie za pomocą przenośnych urządzeń po sieci z prędkościa 3 Mb/s w ruchu – nawet jeśli przemieszczamy się z prędkością aż 120 km/h.

Samsung liczy, że będzie to hit eksportowy. System kupili już Włosi.

Europejscy operatorzy myślą o nowych technologiach dla mobilnego internetu z niepokojem, gdyż w dopiero co wprowadzaną 3G zainwestowali morze pieniędzy (na same licencje wydali ponad 100 mld euro) i nie widać perspektywy ich rychłego zwrotu. A tu atrakcyjne nowinki za progiem.

Co innego Koreańczycy i ich wschodni sąsiedzi z Japonii, którzy również prowadzą testy 4G. Nowe możliwości korzystania z internetu w ruchu witają z entuzjazmem.

Dlaczego, skoro stałe łącze 100 Mb/s można tu bez trudu dostać za ledwie 20 dol. miesięcznie?

Cóż, tylko w zatłoczonym Seulu, stolicy Korei, codziennie 10 mln ludzi spędza co najmniej godzinę, jadąc do pracy.

Mężczyźni zwykle grają na komórkach w strzelanki, zaś kobiety korzystają z najnowszego krzyku mody – mobilnej telewizji.

Za darmo dostępnych jest kilkanaście kanałów. Jak twierdzi J.R. Hang, przewodnik po okazałym muzeum wojny koreańskiej, najpopularniejsze są opery mydlane, zwłaszcza kostiumowe.

– Jesteśmy ruchliwi i zapracowani. Telefon służy nam do rozrywki, organizowania czasu, a nawet sprawdzania stanu konta – mówi.

W Korei z mobilnej telewizji korzysta 2 mln osób (najwięcej na świecie), a ich liczba podwoiła się w ciągu kilku miesięcy.

Potrzebne są specjalne telefony komórkowe z większymi ekranami. W przyszłości zaopatrzone będą w rozwijane elastyczne ekrany lub specjalne okulary.

4G pozwoli na oglądanie telewizji cyfrowej wysokiej rozdzielczości. Producenci komórek inwestują coraz więcej w internet, telewizję i inne nowe usługi, bo to tu za kilka lat rozegra się zaciekła walka o hegemonię na rynku telekomunikacyjnym. Tradycyjne rozmowy telefoniczne staną się marginesem.

Telefony komórkowe wszędzie sprzedają się jak świeże bułeczki. Li Ki-tae, szef części telekomunikacyjnej Samsunga (jak przystało na typowy koreański konglomerat, produkuje niemal wszystko – od statków po lodówki), prognozuje, że znajdą w tym roku 950 mln nabywców na całym świecie (w ub.r. było to mniej niż 800 mln).

Najwięcej dostarczą ich: Nokia, Motorola, Samsung i Sony Ericsson. Coraz większa część produkcji komórek, zwłaszcza prostych modeli, trafia do szybko rozwijających się krajów, jak np. Chiny czy Indie, gdzie większość ich użytkowników nie korzysta z internetu i nie w głowie im 4G.

Autor: Paweł Rożyński (Seul)
Źródło: gazeta.pl

Niezabezpieczone urządzenia przenośne

Ogłoszone właśnie wyniki badań nie napawają optymizmem. Okazuje się, że nawet organizacje IT, przechowujące olbrzymie ilości danych osobowych, nie stosują odpowiednich zabezpieczeń.

Mniej niż 25% takich organizacji używa czegoś więcej niż prostego szyfrowania.

W ramach badań przeprowadzonych przez CREDANT Technologies, przepytano 426 specjalistów ds. IT.

Aż 88% z nich przyznało, że ich firmy przechowują duże ilości informacji na urządzeniach przenośnych.

Niemal trzy czwarte z pytanych powiedziało, że ważnym elementem zabezpieczeń jest szyfrowanie danych. Mimo to technikę taką wykorzystywało mniej niż 20% z firm, w których pracowali.

Głównymi przeszkodami w zaimplementowaniu odpowiednich technologii był brak funduszy oraz brak odpowiednich działań ze strony szefostwa firm.

Źródło: Arcabit

11 Polaków w finale Google Global Code Jam

Wczoraj rozpoczeły się światowe finały organizowanego przez koncern Google konkursu programistycznego Google Global Code Jam.

Ostateczna rozgrywka odbędzie się w nowojorskim biurze Google, a weźmie w niej udział 100 młodych programistów z 23 krajów, w tym aż 11 Polaków.

Google Code Jam jest organizowany w ramach prestiżowego konkursu dla programistów TopCoder.

Do tegorocznej edycji konkursu Google Code Jam zgłosiło się ponad 20 tys. osób, reprezentujących ponad 100 narodowości.

Finał imprezy jest po raz pierwszy organizowany w Nowym Jorku. Łączna wartość nagród przewidzianych w konkursie wynosi 155 tys. USD (z czego 10 tys. przypadnie w udziale zdobywcy pierwszego miejsca).

Nasi reprezentanci mają duże szanse na odniesienie sukcesu. Świadczą o tym m.in. wyniki europejskiego finału Google Code Jam, który miał miejsce pod koniec czerwca w Dublinie.

Zwyciężył wtedy Tomasz Czajka, wychowanek Instytutu Informatyki Uniwersytetu Warszawskiego.

Autor: Ludwik Krakowiak
Źródło: gazeta.pl
Polak wygrał konkurs Google
Polak wygrał konkurs Google
UW wygrywa w międzynarodowym rankingu informatyków
Polak najlepszym informatykiem
Polak w dziesiątce najlepszych informatyków świata!

VML załatany!

Użytkownicy programu MS Internet Explorer, którzy nie zamierzają zmienić przeglądarki na inną, a którzy chcą czuć się bezpieczniej, powinni jak najszybciej zajrzeć na stronę Microsoftu i zainstalować udostępniony tam patch [MS06-055].

Usuwa on bardzo poważną dziurę w komponencie Vector Markup Language, która pozwala na zdalne przejęcie kontroli nad komputerem.

Dziurę o tyle niebezpieczną, że wykorzystywaną już do instalacji trojanów w dziurawych systemach.

Do czasu publikacji łatki można było jedynie skorzystać z nieoficjalnej poprawki przygotowanej przez grupę programistów ZERT.

Źródło: x86
Kolejny sposób na lukę VML
Microsoft Security Bulletin MS06-055

Osoby prywatne głównymi ofiarami cyberprzestępców

Najnowsze badania wykazały, że cyberprzestępcy coraz rzadziej atakują sieci firmowe, a coraz częściej ich ofiarami padają osoby prywatne.

Już 86% wszystkich ataków skierowanych jest przeciwko takim właśnie osobom. Jedną z głównych przyczyn zmiany taktyki jest fakt, że niewiele osób w odpowiedni sposób potrafi chronić swój komputer.

O ile w sieciach firmowy instalowane są firewalle, filtry antywirusowe, systemy wykrywania włamań, to w wielu domowych pecetach użytkownicy nie stosują nawet najprostszego firewalla.

Dzięki temu stosunkowo łatwo jest ukraść użytkownikowi takiego komputera dane osobiste, informacje na temat kont bankowych i kart kredytowych czy uczynić jego komputer częścią botnetu (sieci komputerów-zombie).

Botnety są następnie wynajmowane spamerom czy przestępcom chcącym przeprowadzić atak typu DoS. Specjaliści oceniają, że na całym świecie dochodzi obecnie do 6000 ataków DoS dziennie, a uczestniczy w nich około 60 000 aktywnych botnetów. Skupiają one niemal 4,6 miliona komputerów.

Do największej ilości ataków – aż 54% – dochodzi w USA. W tym też kraju znajduje się najwięcej serwerów zarządzających botnetami. Natomiast najwięcej komputerów-zombie, bo około miliona, jest w Chinach.

Te dwa kraje, Chiny i USA, są źródłem największej liczby zagrożeń. Ocenia się, że w Stanach zjednoczonych powstaje 37% całego szkodliwego kodu, a w Chinach – 10%. USA „goszczą” również największą liczbę aktywnych spamerów (58%). Chiny, które uplasowały się na drugim miejscu, mają ich „jedynie” 13%. Tymczasem spam odpowiada za 54% całego ruchu pomiędzy serwerami pocztowymi.

Źródło: Arcabit

Google Earth widzi wszystko

Internetowy serwis Google Earth zaczyna coraz bardziej przypominać Wielkiego Brata, przed którego okiem nic nie ma prawa się ukryć.

Coraz wyższa jakość zdjęć satelitarnych umożlwia pokazywanie znacznie większej ilości szczegółów.

Jak daleko posunięta jest ingerencja techniki w naszą prywatność może świadczyć ostatnie, przypadkowe odkrycie holenderskich internautów, którzy natknęli się na zdjęcie dwóch osób, opalających się nago na dachach swoich domów.

Zdjęcia natcyhmiast trafiły na prywatnego bloga, rozchodząc się tym samym po sieci w ekspresowym tempie.

Informacja o nietypowym wydarzeniu została nawet zaprezentowana w holenderskiej telewizji. Tożsamości przyłapanych nudystów oczywiście nie udało się ustalić, jednak gdy następnym razem wyjdą się opalać na dachu, z pewnością uważnie spojrzą w niebo.

Źródło: The Inquirer
http://earth.google.com

Kolejny sposób na lukę VML

Eksperci poinformowali o nowym szkodliwym kodzie, który wykorzystuje nieprawidłową obsługę plików VML przez Internet Explorera.

Odkryto dwie witryny z pornografią, doprowadzały do przepełnienia bufora wykorzystując do tego celu kontrolkę ActiveX DirectAnimation Path.

Dochodzi wówczas do awarii przeglądarki i zarażenia komputera szkodliwym kodem, wśród którego znajduje się koń trojański kradnący hasła.

„To dotyczy każdego, kto używa Internetu. Zarazić się można wchodząc po prostu na stronę WWW” – mówi jeden z ekspertów.

Ken Dunham, dyrektor VeriSign iDefense Rapid Response Team poinformował, że cyberprzestępcy przekierowali ruch z 2000 witryn na swoje strony. Szkodliwym kodem, który wykorzystuje lukę w VML udało się im zarazić 15 000 domen.

Wczoraj nowo utworzona organizacja ZERT (Zeroday Emergency Response Team) opublikowała nieoficjalną poprawkę do Internet Explorera, która łata lukę VML.

Źródło: Arcabit
Zeroday Emergency Response Team

100 mln zł kary dla TPSA

TP S.A. została ukarana za nieprawidłowści dotyczące nieuprawnionego wiązania ofert neostrada tp i abonamentu telefonicznego.

W dniu 25 września 2006 r. Prezes UKE, Anna Streżyńska podpisała decyzję nakładającą na Telekomunikację Polską S.A. w wysokości 100 000 000 zł płatną do budżetu Państwa.

Kara została nałożona w związku z nieprawidłowościami dotyczącymi nieuprawnionego wiązania oferty usług dostępu do Internetu neostrada tp oraz usług telefonicznych.

Sprzeczne z prawem telekomunikacyjnym wiązanie ofert prowadziło do naruszenia przepisów nakładających na TP S.A., jako operatora posiadającego znaczącą pozycję rynkową, obowiązku kształtowania ceny usług na podstawie kosztów ich świadczenia, według przejrzystych, obiektywnych i niedyskryminujących kryteriów zrozumiałych dla użytkowników.

Ceny za usługi neostrada tp oraz wysokość abonamentu telefonicznego mogłyby zostać ustalone według tych kryteriów w sytuacji, gdyby TP S.A. rozdzieliła świadczenie tych usług, zaprzestając uzależniania świadczenia jednej usługi (neostrada tp) od zawarcia umowy o świadczenie innych usług (usług telefonicznych).

Praktyka stosowana przez TP S.A. jest sprzeczna z art. 57 ust. l pkt l PT, zgodnie z którym dostawca usług nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej, od zawarcia przez użytkownika końcowego umowy o świadczenie innych usług.

Naruszenia art. 57 ust. 1 pkt 1 PT dotyczyły zalecenia pokontrolne DKE-WKT-6205-4/06(10) z 4 lipca 2006 r.

Podstawą nałożenia kary jest fakt, że stwierdzone naruszenie dotyczące wiązania oferty prowadzi równocześnie do nieprzejrzystości w zakresie opłat za poszczególne, powiązane ze sobą ofertowo usługi.

Stan taki świadczy w sposób niezbity o tym, że ceny tych usług nie są ustalane na podstawie przejrzystych i obiektywnych kryteriów.

Prezes UKE na podstawie wyjaśnień TP S.A oraz na podstawie analizy regulaminu świadczenia telekomunikacyjnych usług powszechnych oraz regulaminu świadczenia usługi neostrada tp stwierdził, że TP S.A. alokuje część kosztów świadczenia usługi neostrada tp w innej usłudze telekomunikacyjnej, co jest naruszeniem art. 46 ust. 3 pkt. 3 lit. c) PT, zgodnie z którym TP S.A. jest zobowiązana do określania cen usług po kosztach ich świadczenia przy świadczeniu zarówno usługi abonamentu jak i usługi neostrada tp.

Narusza to zasady przejrzystego kształtowania cen, ponieważ nie jest jasne, za jakie usługi płaci abonent, uiszczając opłaty.

Wskazać należy, że łączne oferowanie usług w pakiecie nie jest samo w sobie niezgodne z prawem i w ramach oferowanego pakietu usług telefonicznych oraz dostępu do Internetu koszt utrzymania linii może być ujęty dla obu usług w jednej pozycji abonamentowej, jednakże dla zachowania warunków, o których mowa w art. 61 ust. 2 PT, niezbędne jest kalkulowanie cen usług i oferowanie ich zgodnie z art. 46 ust. 3 pkt. 3 lit. c PT, tj. przypisując koszty do każdej z usług oraz oferowanie usług odrębnie wycenionych, zanim zostaną zaoferowane w pakiecie.

Jest to niezbędne zarówno dla interesu konsumentów jak i ochrony konkurencji.

W przypadku łączonej oferty abonamentu telefonicznego i neostrady tp nie jest możliwa ocena czy ceny poszczególnych usług wchodzących w skład tego pakietu są uczciwe, zarówno w aspekcie konsumenckim jak i konkurencyjnym.

Źródło: UKE