Archiwa miesięczne

Wrzesień 2006

Snyder zajmie się bezpieczeństwem Firefoksa

Window Snyder, założycielka @stake i specjalistka od spraw zabezpieczeń, która dbała między innymi o zabezpieczenia wprowadzone w SP2 dla Windows XP, została zatrudniona przez Mozilla Corporation.

Swoim głównym zadaniem Snyder chce uczynić daleko idące oczyszczenie kodu z bardzo starych i nieużywanych fragmentów oraz z funkcji, które nie są wykorzystywane.

Dzięki takiemu oczyszczeniu kodu przeglądarka Firefox ma zostać nie tylko odchudzona ale lepiej zabezpieczona.

W dalszym czasie Snyder ma pomóc w pracach nad ewentualnym wprowadzaniem zarządzania pamięcią i innych technologii pozwalających na podniesienie poziomu bezpieczeństwa.

Źródło: x86
Symantec zakupuje @stake
http://www.atstake.com
homepage Window Snyder

Wi-Fi na Centrino łatwe do włamania

Chińscy naukowcy skrytykowali technologię Intel Centrino twierdząc, że do komputerów posiadających ten chipset można się niezwykle łatwo włamać.

Swoje zarzuty poparli eksperymentem, jaki przeprowadzono na kilku uniwersytetach Państwa Środka.

Blisko dwudziestu naukowców z chińskich placówek badawczych oraz instytucji rządowych dowiodło mianowicie, że włamanie do bezprzewodowej sieci, tworzonej przez komputery z układem Intel Centrino, zajmuje tylko kilka minut.

Dzięki temu hakerzy są w stanie buszować po zasobach danej maszyny, w poszukiwaniu dokumentów oraz innych danych.

Autorzy raportu zapewniają, że nie ma on nic wspólnego z rywalizacją chińskich producentów technologii bezprzewodowych z pozostałymi firmami z całego świata.

Źródło: The Inquirer
Sieci Wi-Fi wciąż podatne na ataki

Organizacja antyspamowa skazana przez sąd

Organizacja antyspamowa Spamhaus ma zapłacić 11,7 miliona dolarów grzywny za „nielegalne” umieszczenie na liście spamerów firmy e360insight, która związana jest ze znanym spamerem.

Umieszczenie na liście spowodowało, że filtry antyspamowe nie przepuszczały e-maili wysyłanych przez tą firmę. Brytyjski Spamhaus nie zgadza się z wyrokiem amerykańskiego sądu, uważa, że nie podlega jego jurysdykcji i odmówił wykreślenia e360insight ze swojej listy.

W swoim oświadczeniu e360insight stwierdziła, że wyrok sądu to dowód na to, iż Spamhaus.org jest „fanatyczną organizacją, która działa na terenie USA, lekceważąc prawo Stanów Zjednoczonych”.

Dodano przy tym, iż wyrok „jasno dowodzi, że e360insight prowadzi legalne interesy i jest odpowiedzialną firmą”. Przedstawiciele Spamhausa odpowiadają, iż sprawa przeciwko nim powinna być rozpatrywana w brytyjskim sądzie.

Dodali, iż prawo brytyjskie „nie akceptuje takiego sposobu prowadzenia spraw, z jakim mamy do czynienia w sądach amerykańskich i nakłada kary za okłamywanie sądu”.

Źródło: Arcabit

Dziury w PDF

David Kierznowski odkrył w programach Adobe dziury pozwalające na zdalne wykonywanie kodu przy pomocy odpowiednio skonstruowanych plików PDF.

Pliki PDF – pomimo kilku wcześniejszych dziur – uchodziły do tej pory za raczej bezpieczne z punktu widzenia ochrony przed wirusami i końmi trojańskimi. Odkryte przez Kierznowskiego dziury wykorzystują różne formy linków zewnętrznych wbudowanych w format PDF. Według odkrywcy problem dotyczy zarówno Adobe Readera jak i Adobe Professional.

Pierwsza dziura wykorzystuje wbudowane w PDF linki do zewnętrznych dokumentów, dla których Acrobat bez ostrzeżenia uruchamia zewnętrzną przeglądarkę, co według Kierznowskiego może służyć do wykonania dowolnego złośliwego kodu.

Druga dziura wykorzystuje interfejs bazodanowy (ADBC) w PDF i pozwala na wykonywanie niektórych funkcji ODBC w lokalnym systemie. W zademonstrowanych przez autora kodzie proof-of-concept pokazano na przykład enumerację lokalnych baz danych (jeśli takie istnieją) i przesłanie wyników na zewnątrz przy pomocy programu netcat.

Kierznowski twierdzi, że poza tymi dwoma dziurami opisanymi szczegółowo na jego blogu istnieje jeszcze przynajmniej siedem podobnych podatności.

Odpowiedź Adobe

Adobe opublikowało w ostatnich dniach jedno ostrzeżenie na temat potencjalnych dziur w swoich programach w dokumencie 321644, jednak dotyczy on przepełnienia bufora a nie opisanych wyżej błędów. Należy oczekiwać, że na odpowiedź i poprawki Adobe do opisanych przez Kierznowskiego błędów przyjdzie jeszcze poczekać.

Do tego czasu należy być ostrożnym w otwieraniu pobieranych z sieci plików PDF. Kierznowski na swojej stronie opublikował dwa przykładowe pliki PDF, które demonstrują jakie mogą być konsekwencje: pierwszy przenosi od razu po załadowaniu na zewnętrzną stronę WWW, drugi pod Windows powinien uruchomić enumerację ODBC i przesłać wyniki na port 80 na localhost.

Źródło: gazeta.pl
http://michaeldaw.org/md-hacks/backdooring-pdf-files/

Błyskawicznie podrobiony certyfikat SSL

Naukowcy z Technische Universitat Darmstadt poinformowali, że opracowali sposób na wykorzystanie luki w OpenSSL.

Stworzenie fałszywego certyfikatu SSL, który został zaakceptowany jako prawdziwy przez wiele przeglądarek, zajęło im poniżej 10 minut. Fałszywe certyfikaty, w połączeniu ze sfałszowanym adresem internetowym, mogą zostać wykorzystane przez cyberprzestępców do przeprowadzenia bardzo groźnych ataków.

Luka znana jest twórcom OpenSSL i opublikowali oni już poprawki do swojej biblioteki kryptograficznej. Dlatego też duża liczba przeglądarek jest odporna na atak.

Niemieccy naukowcy informują, że Internet Explorera 6 oraz Safari nie można zaatakować ich metodą. Odporny jest też Firefox, ale jedynie wersja 1.5.0.7. Z kolei Konqueror korzysta z OpenSSL zainstalowanych w systemie i jego bezpieczeństwo zależy od tego, czy na komputerze zainstalowano poprawioną edycję bibliotek.

Zaatakować można przeglądarkę Opera, w której błąd zostanie poprawiony w przygotowywanej dopiero edycji 9.02. Na atak narażone są też wersje programu pocztowego Thunderbird wcześniejsze od 1.5.0.7.

Źródło: Arcabit

Bezpieczeństwo Trzeciej Generacji

ISSA Polska, stowarzyszenie non-profit zajmujące się ochroną systemów informacyjnych, zaprasza bezpłatne na seminarium pt. „Bezpieczeństwo trzeciej generacji”.

Wykład odbędzie się we wtorek 19 września br. o godzinie 17.30 w siedzibie firmy TP S.A. w Warszawie, przy ul. Twardej 18, w sali numer 1.37. Prelekcje poprowadzi Robert Bienias, specjalista w zakresie bezpieczeństwa technologii mobilnych.

„Telefonia konwergentna łącząca zalety telefonii stacjonarnej i mobilnej staje się coraz popularniejsza. Jak wynika z badań przeprowadzonych na zlecenie Motoroli, wielu mieszkańców Europy chętnie skorzystałoby z możliwości wykonywania połączeń komórkowych i stacjonarnych tylko z jednego aparatu” – powiedział Dariusz Laskowski, wiceprezes ds. edukacji w ISSA Polska.

„Wykorzystując rozwiązania bazujące na technologii UMA/GAN, użytkownik telefonu komórkowego będący w zasięgu firmowej czy domowej sieci LAN może wykonywać połączenia tak, jakby dzwonił z telefonu stacjonarnego. Oznacza to, że wystarczy nam jeden telefon, z jedną książką kontaktów i pocztą głosową, za którego użytkownik otrzyma pojedynczy i niższy rachunek. Wykorzystanie telefonii konwergentnej narażone jest jednak na zagrożenia związane z bezpieczeństwem przesyłanych informacji”.

Zorganizowane przez ISSA Polska seminarium ma na celu przybliżenie technologii UMA/GA a w szczególności bezpieczeństwa tego rozwiązania.

W trakcie spotkania przedstawione zostaną zagrożenia związane z procedurami uwierzytelniania oraz z możliwościami nadużyć finansowych przez stosujących dostęp do sieci telekomunikacyjnej w technologii UMA/GAN.

Seminarium skierowane jest przede wszystkim do operatorów telekomunikacyjnych i specjalistów zajmujących się bezpieczeństwem w dużych firmach.

Udział w seminarium jest bezpłatny, jednak wymaga wcześniejszego zgłoszenia pod adresem: www.issa.org.pl

Atak phishingu na klientów banku Barclays

Laboratorium Panda Software wykryło duży atak phishingu skierowany do klientów korzystających z usług elektronicznych banku Barclays. Rozpoznano już ponad 61 wariantów fałszywych emaili typu BarcPhish. Tylko w ciągu kilku godzin liczba tego typu wiadomości wzrosła aż o 30%.

Fałszywe wiadomości otrzymywane przez klientów banku łudząco przypominają oryginalne emaile wysyłane przez dział obsługi klienta.

Ich tematy mogą brzmieć: Barclays bank official update, Barclays bank – Security update, Please Read lub Verify your data with Barclays bank.

BarcPhish nie posiada mechanizmów umożliwiających samodzielne rozprzestrzenianie się wiadomości. Do zaatakowanego komputera dociera email, który informuje użytkownika o aktualizacji oprogramowania systemu bankowego, skłaniając klienta do podania poufnych informacji dotyczących dostępu do usług bankowych.

Po kliknięciu na wskazany link wyświetla się formularz z prośbą o wpisanie numeru konta, karty kredytowej, PINu oraz innych poufnych danych użytkownika.

W chwili obecnej wykorzystywane jest około 61 wariantów wiadomości email, których temat i adres odbiorcy są formułowane w taki sposób, aby ominąć systemy antyspamowe.

Według dyrektora centralnego Laboratorium Panda Software Luisa Corrons jest to zaplanowany atak, zapoczątkowany w kilku miejscach jednocześnie.

Główny jego cel to uzyskanie jak największej ilości danych o klientach w rekordowym czasie. Bardzo istotne jest także to, że skradzione informacje są kierowane na różne adresy internetowe. Przestępcy przygotowali co najmniej pięć różnych domen, które są zlokalizowane w Korei, aby utrudnić ich ewentualne wyłączenie.

Podstawowe zasady walki ze zjawiskiem phishingu:

Unikaj logowania się do usług internetowych za pomocą linków, ponieważ istnieje wiele sposobów fałszowania adresów www, które widzi użytkownik.
Nie wprowadzaj poufnych danych, jeśli nie jesteś pewny, że odebrana wiadomość jest prawdziwa. Skontaktuj się ze swoim bankiem, aby potwierdzić swoje obawy.
Korzystaj z zaawansowanego oprogramowania, które aktualizuje się regularnie i zawiera technologie antiphishing minimalizujące prawdopodobieństwo niebezpiecznego ataku.
Źródło: informacja prasowa

Problemy z kolejną poprawką Microsoftu?

Użytkownicy informują, że poprawki zawarte w microsoftowym biuletynie MS06-049, który został opublikowany 8 sierpnia, mogą powodować utratę danych w systemie Windows 2000.

Poprawki te miały naprawić błędy w jądrze Windows.

Problem pojawia się, gdy użytkownik wykorzystuje wbudowane w system funkcje pozwalające na pracę ze skompresowanymi folderami. Po zainstalowaniu MS06-049 Windows kasuje ostatnie 4 kilobajty plików zachowywanych w skompresowanych folderach.

Microsoft nawiedziła ostatnio prawdziwa plaga dotycząca błędów w poprawkach. Głośne były problemy z biuletynami MS06-040 czy MS06-042, natomiast mniej się mówiło o MS06-051, którego zainstalowanie powodowało, że przestawało działać oprogramowanie niektórych producentów.

Źródło: Arcabit

Bezpieczeństwo w cenie

W 2005 roku firmy sprzedające oprogramowanie zabezpieczające zanotowały niemal 15% wzrost sprzedaży. Analitycy firmy Gartner oceniają, że na całym świecie sprzedano programy o wartości 7.4 miliarda dolarów.

W 2004 wartość sprzedanego oprogramowania tego typu wynosiła 6.4 miliarda USD. Największe wpływy, w wysokości 4 miliardów dolarów, zanotowali twórcy programów antywirusowych.

„Wydatki na zabezpieczenia wciąż były priorytetem dla firm i organizacji, a przemysł bezpieczeństwa IT przez najbliższe lata będzie rósł w siłę” – mówi Nicole Latimer-Livingston z Gartnera.

Źródło: Arcabit

Terminator zaatakowany przez cyberprzestępców?

Kalifornijska policja prowadzi śledztwo, które ma wykazać, czy służbowy komputer gubernatora Arnolda Schwarzeneggera nie padł ofiarą cyberprzestępców.

W prasie pojawiły się bowiem informacje, które mogły pochodzić tylko z komputera Terminatora. Jeśli przypuszczenia się potwierdzą, Schwarzenegger będzie drugim wysokiej rangi politykiem USA, który w ostatnim czasie padł ofiarą cyberprzestępców.

W ubiegłym miesiącu doszło do ataku DoS na witrynę internetową Joe Liebermanna, byłego kandydata na wiceprezydenta USA.

Ron O’Brien, analityk ds. bezpieczeństwa IT, nie jest zaskoczony tego typu atakami. „Jeśli pominiemy korzyści finansowe, które może odnieść dzięki cyberprzestępczości, to następnym logicznym krokiem jest uprawianie jej z zupełnie innych przyczyn”. Uważa on, że użytkownicy komputerów są zbyt nieostrożni, dzięki czemu ułatwiają pracę przestępcą. „Pomyśl, zanim klikniesz” – dodaje O’Brien.

Źródło: Arcabit