hoaxer

Od 1 lipca 2002 roku Telekomunikacja Polska uruchamia nową ofertę szerokopasmowego dostępu do Internetu pod nazwą Neostrada Plus. Dla przypomnienia Neostrada to stały, szerokopasmowy dostęp do Internetu. Umożliwia ona transfer dużej ilości informacji, korzystanie z usług multimedialnych, administrowanie pocztą elektroniczną czy publikację własnych stron WWW.

Usługa Neostrada działa w systemie DSL (Digital Subscriber Line – cyfrowe łącze abonenckie). ADSL to z kolei asymetryczne cyfrowe łącze abonenckie. „Asymetryczność” polega na tym, że szybkość transmisji z Internetu do komputera klienta jest większa niż przesyłu danych z komputera klienta do Internetu.

Technologia DSL, wykorzystywana w usłudze Neostrada, umożliwia przesyłanie danych za pomocą zwykłych linii telefonicznych, otwierając bardzo szybki dostęp do Internetu, wielokrotnie szybszy od zwykłego dostępu modemowego. Dzięki technologii ADSL użytkownik Neostrady może jednocześnie korzystać z Internetu i rozmawiać przez telefon – usługa nie blokuje linii telefonicznej. Dostęp do Internetu jest stały – nie ma potrzeby dodzwaniania się i logowania za każdym razem, gdy chce się skorzystać z Internetu.

Nowa usługa Telekomunikacji Polskiej SA NeoPlus to stały dostęp do sieci Internet z maksymalną szybkością transmisji do/od komputera Klienta 512kb/s / 128kb/s, 100 MB na dowolną liczbę kont poczty elektronicznej i serwer www w domenie neostrada.pl, dostęp do treści multimedialnych w serwisie www.neostrada.pl, możliwość równoczesnego korzystania z telefonu i Internetu i to wszystko za stały miesięczny abonament (już od 179 zł netto) , bez względu na liczbę godzin spędzonych w sieci.

Instalacja nowej usługi wynosi 799 zł netto, przy czym, posiadacze SDI przenosząc się na nową usługę, zapłacą tylko 149 zł netto – niestety kosztem rezygnacji ze stałego adresu IP, gdyż w NeoPlus adres IP jest przydzielany dynamicznie. Także i posiadacze Neostrady 256 kbit/s, którzy chcą zmienić usługę na NeoPlus, zapłacą za zmianę symboliczną złotówkę.

Szczegółowe informacje wraz z danymi technicznymi znajdziecie na stronie domowej http://www.neostrada.pl/, a takżę w tym dokumencie (pdf)

Firma ciesząca się największym zaufaniem w branży e-security – RSA Security, poinformowała o wprowadzeniu na rynek rozwiązania RSA Keon Web Server SSL, które ułatwia firmom i instytucjom inicjowanie i realizowanie wiarygodnych transakcji e-biznesowych z klientami oraz partnerami.

Samo rozwiązanie zostało opracowane w celu wprowadzenia wiarygodności w formie rozpoznawanej przez najważniejsze przeglądarki i serwery WWW oraz inne aplikacje wykorzystujące certyfikaty cyfrowe. Umożliwia ono klientom kontrolę wiarygodności i zarządzanie własnymi certyfikatami cyfrowymi, a zarazem obniżenie kosztów.

RSA Keon Web Server SSL to rozwiązanie alternatywne wobec usług certyfikacyjnych SSL świadczonych przez firmy niezależne. W odróżnieniu od innych organów certyfikacji oferujących wystawianie certyfikatów serwerów WWW opartych na usługach, rozwiązanie RSA Keon Web Server SSL jest pomyślane jako łatwa do wdrożenia opcja dla firm, które chcą przy jak najmniejszych kosztach zabezpieczyć własne procesy e-biznesowe oraz zarządzać swoimi kontaktami online.

Uwierzytelnianie serwera WWW to podstawowy element każdego wiarygodnego procesu e-biznesowego w przedsiębiorstwie polegający na identyfikacji serwerów WWW wobec nawiązujących kontakt przeglądarek. Przeglądarki i serwery WWW rutynowo kontrolują wystawcę określonego certyfikatu cyfrowego na podstawie certyfikatów wiarygodnych. W środowisku otwartym certyfikaty te mają funkcje zabezpieczające oraz pozwalają sprawdzić poprawności w sposób przejrzysty dla użytkownik. Przy zastosowaniu tego rozwiązania certyfikaty serwerów WWW, wygenerowane przez oprogramowanie RSA Keon Certificate Authority (CA), są automatycznie weryfikowane i uznawane za wiarygodne przez popularne przeglądarki WWW, programy pocztowe oraz inne aplikacje, które korzystają z list uznawanych wystawców.

Rozwiązanie RSA Keon Web Server SSL zostało opracowane w celu:

udostępnienia ekonomicznej metody utrzymywania wiarygodnych kontaktów online między przedsiębiorstwem a jego klientami, dostawcami i partnerami,

umożliwienia przedsiębiorstwom wydawania własnych, powszechnie uznawanych, wiarygodnych certyfikatów SSL oraz zarządzania nimi,

zagwarantowania łatwości obsługi oraz szybszego wdrażania kontroli wiarygodności online, w tempie dostosowanym do potrzeb przedsiębiorstwa działającego w dziedzinie e-biznesu,

zmniejszenia liczby zgłoszeń do biura pomocy technicznej związanych z „niewiarygodnymi” certyfikatami,

utworzenia wiarygodnej podstawy do rozbudowy bezpiecznych procesów e-biznesowych, w tym poczty elektronicznej, podpisów cyfrowych i uwierzytelniania na podstawie certyfikatów cyfrowych.

„Zarządzanie certyfikatami cyfrowymi nadal odgrywa ważną rolę w infrastrukturze bezpieczeństwa, zarówno jako skalowalna metoda uwierzytelniania użytkowników, usług i aplikacji, jak też jako podstawowy czynnik integralności informacji cyfrowych w sieciach przedsiębiorstw” – powiedział John Worrall, wiceprezes ds. marketingu w firmie RSA Security. „RSA Security oferuje przedsiębiorstwom i instytucjom niezwykle bogate możliwości wyboru strategii zarządzania certyfikatami cyfrowymi. Rozwiązanie RSA Keon Web Server SSL jest ekonomiczne, łatwe do wdrożenia i zapewnia poziom wiarygodności pozwalający prowadzić działalność w e-biznesie.”

Grupa japońskich miłośników zajmująca się bezpieczeństwem, wydała „malutkie” narzędzie nazwane IE’en które potrafi prześledzić cały proces przeglądarki Internet Explorer zachodzący pomiędzy łączeniem się z serwerem a klientem, włączając w to podgląd haseł przesyłanych protokołem HTTPS.

Narzędzie, zgodnie z publikacją autorów na stronie domowej, które było testowane jedynie na maszynach typu Pentium, wraz z systemem Windows NT SP5 lub póżniejszym oraz Windows 2000 Professional działa najprawdopodobniej tylko na tych systemach. Oprócz dokumentacji i opisu na stronach domowych, znajdziemy również do pobrania opisywane tu narzędzie. Dodatkowe informacje na ten temat znajdują się w tym oto artykule opublikowanym na łamach magazynu The Register.

4 października br. zostanie wydana książka jednego z najsławniejszych hakerów wszechczasów – Kevina Mitnicka – pt.: „The Art of Deception” [Sztuka dezorientacji / oszukiwania].

Policja zatrzymała i przesłuchała dwóch młodych Poznaniaków, podejrzanych o włamanie do systemu komputerowego Amerykańskiej Agencji Kosmicznej NASA.

Przestępstwo początkowo wykryła strona amerykańska, która zauważyła, że w internetowych grupach dyskusyjnych pojawił się użytkownik chwalący się złamaniem kodu dostępu do serwerów NASA, a pierwsze sygnał dotarły do Polski poprzez Interpol ze Szwecji. Według wypowiedzi nadkom. Ewy Olkiewicz – rzecznika wielkopolskiej policji, szybko zostały ustalone fakty, iż przestępstwa musiał dokonać jeden lub kilku hakerów z Poznania – zabezpieczono cztery komputery w tym jeden pracujacy jako serwer i około 100 różnego rodzaju nośników. Chłopcom nie postawiono jeszcze zarzutów, policja czeka na analizę biegłych.

Dochodzenie w tej sprawie prowadzi wydział ds. przestępczości zorganizowanej Prokuratury Okręgowej w Poznaniu. Według prokuratora Mirosława Adamskiego, po włamaniu poznański haker uzyskał dostęp do informacji bardzo ważnych dla amerykańskiej administracji rządowej. NASA wycenia swoje straty na około miliona dolarów, ponieważ agencja musi zmienić zabezpieczenia zbiorów komputerowych.

Jak wynika z przeprowadzonych badań przez National Institute of Standards and Technology, niedostateczna kontrola jakości przy tworzeniu oprogramowania powoduje późniejsze szkody, które samej gospodarce amerykańskiej przynoszą szkody w wysokości 6 miliardów dolarów rocznie.

Badania, a raczej ankiety, zostały wykonane w firmach software’owych, przygotowujących produkty dla sektora motoryzacyjnego, finansowego oraz lotniczego oraz wśród firm użytkujących oprogramowanie. Autorzy raportu podkreślają, że lepsza kontrola jakości pozwoliłaby zaoszczędzić przynajmniej 22,5 miliona dolarów. NIST uważa również, że istnieje konieczność stworzenia jednego standardu jakości dla oprogramowania.

Wczorajszego dnia pojawiła się kolejna wersja serwera pocztowego Sendmail oznaczona numerem 8.12.5. Wersja ta zawiera poprawki wcześniej znalezionych błędów. Pełny spis zmian dostępny jest w ChangeLog’u, natomiast źródła do pobrania są stąd.

Zgodnie z zapowiedziami, dostępna jest kolejna wersja OpenSSH 3.4. Jak widać autorzy pospieszyli się i wydali nieco wcześniej poprawiona wersję, która miała pojawić się dopiero w poniedziałek. Źródła można pobrać stąd, natomiast niżej wiadomość z bugtraq’u:

This is the 2nd revision of the Advisory.

1. Versions affected:

Serveral versions of OpenSSH’s sshd between 2.3.1 and 3.3
contain an input validation error that can result in an
integer overflow and privilege escalation.

All versions between 2.3.1 and 3.3 contain a bug in the
PAMAuthenticationViaKbdInt code.

All versions between 2.9.9 and 3.3 contain a bug in the
ChallengeResponseAuthentication code.

OpenSSH 3.4 and later are not affected.

OpenSSH 3.2 and later prevent privilege escalation if
UsePrivilegeSeparation is enabled in sshd_config. OpenSSH
3.3 enables UsePrivilegeSeparation by default.

Although some earlier versions are not affected upgrading
to OpenSSH 3.4 is recommended, because OpenSSH 3.4 adds
checks for a class of potential bugs.

2. Impact:

This bug can be exploited remotely if
ChallengeResponseAuthentication
is enabled in sshd_config.

Affected are at least systems supporting s/key over
SSH protocol version 2 (OpenBSD, FreeBSD and NetBSD
as well as other systems supporting s/key with SSH).
Exploitablitly of systems using
PAMAuthenticationViaKbdInt
has not been verified.

3. Short-Term Solution:

Disable ChallengeResponseAuthentication in sshd_config.

and

Disable PAMAuthenticationViaKbdInt in sshd_config.

Alternatively you can prevent privilege escalation
if you enable UsePrivilegeSeparation in sshd_config.

4. Solution:

Upgrade to OpenSSH 3.4 or apply the following patches.

5. Credits:

ISS.

Appendix:

A:

Index: auth2-chall.c
===================================================================
RCS file: /cvs/src/usr.bin/ssh/auth2-chall.c,v
retrieving revision 1.18
diff -u -r1.18 auth2-chall.c
— auth2-chall.c 19 Jun 2002 00:27:55 -0000 1.18
+++ auth2-chall.c 26 Jun 2002 09:37:03 -0000
@@ -256,6 +256,8 @@

authctxt->postponed = 0; /* reset */
nresp = packet_get_int();
+ if (nresp > 100)
+ fatal(„input_userauth_info_response: nresp too big %u”, nresp);
if (nresp > 0) {
response = xmalloc(nresp * sizeof(char*));
for (i = 0; i < nresp; i++)

B:

Index: auth2-pam.c
===================================================================
RCS file: /var/cvs/openssh/auth2-pam.c,v
retrieving revision 1.12
diff -u -r1.12 auth2-pam.c
— auth2-pam.c 22 Jan 2002 12:43:13 -0000 1.12
+++ auth2-pam.c 26 Jun 2002 10:12:31 -0000
@@ -140,6 +140,15 @@
nresp = packet_get_int(); /* Number of responses. */
debug(„got %d responses”, nresp);

+
+ if (nresp != context_pam2.num_expected)
+ fatal(„%s: Received incorrect number of responses ”
+ „(expected %u, received %u)”, __func__, nresp,
+ context_pam2.num_expected);
+
+ if (nresp > 100)
+ fatal(„%s: too many replies”, __func__);
+
for (i = 0; i < nresp; i++) {
int j = context_pam2.prompts[i];

Microsoft planuje opublikowanie kodu źródłowego najważniejszej części swojego nowego projektu Palladium. Zaprezentowane w ostatni poniedziałek (24 czerwca br.) plany tego projektu mówią o nowym systemie bezpieczeństwa komputerów, bazującym na specjalnej kości – odpowiednie porozumienia podpisano już z Intelem oraz AMD.

Właśnie część kodu dotycząca komunikacji z chipem ma zostać publicznie udostępniona, ale raczej nie na zasadach Open Source.
Projekt Palladium zakłada poprawę bezpieczeństwa w wielu dziedzinach: handlu internetowego, ochrony antywirusowej, bezpieczeństwa danych oraz ochrony własności intelektualnej. Przewiduje się, że pierwsza wersja Palladium ujrzy światło dzienne wraz z premierą następnego systemu operacyjnego Microsoftu (najprawdopodobniej w 2004 roku).

Więcej o projekcie na stronach zdnet.com

Podziękowania dla hoddur’a za podesłanie informacji.