Jeden z największych serwisów, udostępniający darmowe konta WWW – free.of.pl – został dziś zhackowany. Fakt ten stawia pod dużym znakiem zapytania bezpieczeństwo tysięcy użytkowników. Mirror jak zwykle w dziale hacked.
Wszystkie posty
hoaxer
Firma RedHat opublikowała swoje oświadczenie w sprawie polityki patentowej które wyjaśniają pewne poważne wątpliwości, dotyczące działania firmy będącej przeciwko patentom na programy i jednocześnie wykorzystującej je. Wyjaśnia, gdyż odpowiednie podejście pozwoli firmie pozywanie do sądów firmy nieprawnie używające ich patentów.
Jak można przeczytać: „Patenty na oprogramowanie są generalnie czynnikiem hamującym innowacje i są sprzeczne z logiką oprogramowania darmowego i o otwartym kodzie źródłowym.” Mimo to RedHat patentuje swoje rozwiązania. Przyczyna takiego postępowania jest prosta: obrona przed nadużyciami. Czytamy dalej: „Relatywnie mała liczba bardzo dużych firm zgromadziła dużą ilość patentów na oprogramowanie. Wierzymy, że takie ilości patentów są przyczyną nadużyć z powodu dyskusyjnej natury wielu patentów i z powodu wysokich kosztów procesów patentowych. Jedną z możliwych strategii obrony jest opracowanie analogicznego zestawu patentowego.” Co ważne RedHat pozwala na darmowe wykorzystanie swoich patentów przez inne firmy, o ile poszanowane są wciąż zasady licencji GNU General Public Licence 2.0, IBM Public License 1.0, Common Public License 5.0, Q Public License 1.0, bądź dowolnej innej licencji RedHata.
Więcej informacji na ten temat można zaleźć tutaj oraz tutaj.
Po ostatniej aferze z portalem Interia.pl i zapewnieniach jego twórców o ich dbałości o bezpieczeństwo, Jacek Konieczny postanowił sprawdzić jak to wygląda na prawdę.
W opublikowanych przez Jacka informacjach, okazało się że żaden z badanych portali, nie zabezpiecza w pełni hasła swoich użytkowników, a część nie robi tego w ogóle.
Dobrze jest jak o tym napiszą w regulaminie, jednak niektórzy wolą się chwalić stosowaniem międzynarodowych standardów, czy najnowocześniejszych technologi zabezpieczeń, faktycznie nie zabezpieczając hasła w ogóle.
Najlepiej jest, jeśli chodzi o dostęp do swojego konta poprzez WWW. W tym przypadku wiele portali stosuje SSL (ale często nie przy wypełnianiu wniosku rejestracyjnego). Gorzej, gdy chodzi o połączenia POP3 i SMTP. Szyfrowanie sesji POP3 (a także SMTP) poprzez SSL działa jedynie na jednym portalu, a o takich zabezpieczeniach jak APOP, StartTLS, czy SASL najwyraźniej specjaliści z naszych portali wogóle nie słyszeli”.
Wyniki „badań” Jacka Koniecznego, co jakis czas uaktualniane, dostępne są pod adresem:
http://bezpoczta.bnet.pl/
Jak poinformował nas MadCow, odkrył on dość poważny błąd w komunikatorze Gadu-Gadu, który potrafi zawiesić działanie programu, dzięki doprowadzeniu go do przepełnienia buforu.
update: błąd ten został poprawiony przez programistów programu Gadu-Gadu
Otóż, można w łatwy sposób „wywołać” u dowolnego użytkownika programu Gadu-Gadu okienkto z napisem „OUT OFF MEMORY”. Błąd ten działa, według zapewnień autora, na wszystkich wersjach Gadu-Gadu włączając do tego najnowszą wersję z numerem 4.9.2
Autor zadał sobie dodatkowego trudu i sprawdził ten sam błąd na pozostałych polskich komunikatorach jakim są Tlen oraz WPkontakt – niestety programy te nie są podatne na ten błąd.
Kod źródłowy programu można pobrać stąd. Autor zaznacza, że można dodać działanie destrukcyjne do tego programu ale sam nie zna się na tym na tyle dobrze aby to uczynić. Zatem wszyscy chętni mogą skontaktować się z autorem i porozmawiać na ten temat, a my prosimy z koleji o przesłanie rezultatów.
Co najdziwiniejsze, MadCow poinformował o tym autorów komunikatora Gadu-Gadu, wysyłając list pod adres tech@gadu-gadu.pl, jednak już od tygodnia nie otrzymał odpowiedzi w tym temacie.
„Chciałem sie przyczynić do poprawy bezpieczeństwa ale widocznie mają ważniejsze sprawy od bezpieczeństwa kilkunastu tysięcy użytkowników (…) Marnie widzę przyszłość tej firmy” – dodaje autor.
Program używacie na własną odpowiedzialność. Za nieprawidłowe działanie programu, redakcja oraz autor nie biorą odpowiedzialności.
Po niespełna dwóch tygodniach ukazała się kolejna wersja ProFTPD o numerku 1.2.5.rc3 – jednego z najlepszych, a co najważniejsze, najbezpieczniejszych serwerów ftp – zdaniem 60,9 % naszych czytelników.
Lista zmian
Pobierz źródła
Podziękowania dla gold’a za podesłanie informacji.
Co robisz gdy startujesz w konkursie dla hakerów tylko po to żeby się przekonać, że docelowy serwer działa z odciętym systemem operacyjnym działającym z prawie wszystkimi serwisami wyłączonymi, tak że nie odzwierciedla to sytuacji jak w rzeczywistości?
Proste! Sam hakujesz konkurs.
Tak dokładnie stało się na podobym konkursie, w którym główna wygrana miała wynosić 100 000 USD, a teraz wydaje się tracic swoją świetność po tym jak hakerzy przejęli serwer który zawierał szczegóły rejestracji. W rezultacie to co powinno byc prostym konkursem przekształciło sie w pokręcone kłamstwo hakerów atakujacych złe systemy używajace niepewnych serwerów postawionych na pierwszym miejscu. Ten epizod stawia mnostwo pytań na temat tego jak w przyszłości takie konkursy powinny być prowadzone…
Pełny artykuł na ten temat został opublikowany na łamach magazynu ZDNet.com.
Parę dni temu informowaliśmy o pojawieniu się wersją RC1 tej dystrybucji, a już obecna jest kolejna wersja nosząca numer 8.1-rc2. Z nowości jakie należy wymienić to głównie aktualizacje wersji istniejących już pakietów i wprowadzenie poprawek drobnych błędów – poprawione zostały błędy związane z bezpieczeństwem w dwóch pakietach (kdenetwork i sendmail). Warto jeszcze wspomnieć o powrocie do wersji SysLinux 1.67. Lista zmian znajduje się tutaj. Zatem są duże szanse na oficjalne wydanie wersji 8.1 Slackware jeszcze w tym miesiącu…
więcej w newsach o Slackware
więcej w artykułach o Slackware
W Wiedniu, 17-latek włamał się do komputerów Pentagonu, tym samym uzyskując dostęp do tajnych informacji o satelitach szpiegowskich, rozlokowaniu rakiet atomowych, a także szczegóły ściśle tajnego, zawartego niedawno, porozumienia USA – Rosja.
17-latek chwilę po uzyskaniu dostępu do sekretów USA, wysłał do Waszyngtonu e-maila: „Panowie, takie tajemnice powinny być lepiej strzeżone”, podając przy tym swój adres pocztowy i internetowy. W niecałą godzinę później do mieszkania młodego wiedeńczyka przybyła policja i specjaliści austriackiego Ministerstwa Obrony zaalarmowani przez FBI, ku zdziwieniu został potraktowany on nie jako zwykły przestępca komputerowy, a jako przyszły pomocnik i specjalista.
Chłopcu nie tylko nic nie grozi, ale ponieważ zaproponował skuteczny sposób uszczelnienia systemu komputerowego Pentagonu, FBI ma zamiar zaproponowac mu współpracę.
Miałem spore wątpliwości czy opublikować tę wiadomość. Ponieważ jednak od przeszło tygodnia informacja ta znajduje sie na newsach[alt.pl.comp.os.hacking], zdecydowałem się ją opublikować. Niie stwierdzam przy tym, czy hasla te sa autentyczne, czy kiedykolwiek istniała dziura w serwisie faq.net.pl. Moim zadaniem jest poinformowanie o pewnym fakcie, jakim w tym wypadku bylo ukazanie sie tego postu
From: brzydkimail@frogshit.com (bug)
Newsgroups: alt.pl.comp.os.hacking
Subject: [OT] Konkurs na refleks
Date: 24 May 2002 16:52:16 -0700
Organization: http://groups.google.com/
Lines: 77
Message-ID:
NNTP-Posting-Host: 200.27.182.30
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: posting.google.com 1022284337 20203 127.0.0.1 (24 May 2002 23:52:17 GMT)
X-Complaints-To: groups-abuse@google.com
NNTP-Posting-Date: 24 May 2002 23:52:17 GMT
Hint na dole 😉 szczerze mowiac to nawet ladne hasla sobie
wykombinowali co niektorzy, ale co im z tego 😛
mmuran@faq.net.pl Muran
muran, !@QWaszx@#WEsdxc
tpolus@faq.net.pl Polus
tpolus, P13o12L80#
arek@bsi.net.pl Łach
arek, alAmaKota
airsiwy@bsi.net.pl Michałkiewicz
airsiwy, Dupasek
maciek@bsi.net.pl Piekulski
maciek, .pitekantr0p?
jacekm@bsi.net.pl Marek
jacek, Mojamalamonika1
kkleszyn@bsi.net.pl Kleszyński
kkleszyn, Asten#46
bilbo@bsi.net.pl Zachara
bilbo, daffy123
ziembor@faq-bot.ziembor.waw.pl Borowski
ziemek, Bud#Ho_su1%b
piotr.suchodolski@faq.net.pl Suchodolski
psuchodolski, za3P7kNn#&13@1
kajetan@chrobot.krakow.pl Miś
kajetan, M$kajmiS99
leszek@pro-info.pl Slusarczyk
leszekslus, DzikiLopez4Y
piciu@faq.net.pl Krzyżański
piciu, PiCIU@56k
kcybulski@faq.net.pl Cybulski
kcybulski, pol@123#KOP
joshua@faq.net.pl Synoradzki
josh, 1kn11_h$0j
pgolen@faq.net.pl Goleń
pgolen, Dupas@123
jgoralski@faq.net.pl Góralski
jgoralski, Dupas@123
ksagala@faq.net.pl Sagała
ksagala, k#921alas*g
tkleszyn@bsi.net.pl Kleszyński
tkleszyn, $70dk0G0rzk!
tonyszko@faq.net.pl Onyszko
gibon, QFtrup&$10
dyson@faq.net.pl Zątek
dyson, 12345!23
Z uwagi na wysoki poziom grupy tylko mala podpowiedz sa to
Hasla do faq.net.pl panow „specjalistow” od bezpieczenstwa winsmiecia,
tym razem to nie byla wina BG co patcha nie dal, a zalosnego skryptu(ow).
Hint2:
email lastname
login, password
Zadanie konkursowe, wygrywa ten kto pierwszy doda newsa na faq.net.pl
lub wykona najbardziej dekstrucyjna komende na serwerze
Nagroda-niespodzianka czeka 😉