Aktualności

Chińscy programiści tworzą produkty, które pod względem jakości mogą dorównywać oprogramowaniu z Europy – tak można podsumować najnowszy raport Unii Europejskiej.

Dotychczas Chiny były kojarzone głównie z maksymalnie tanim oprogramowaniem, a europejscy programiści mogli się pocieszać tym, że ich produkty są dużo lepsze pod względem jakości. Ale w najnowszym corocznym raporcie Unii można wyczytać, że najludniejsze państwo świata uczyniło ogromny krok na przód pod względem technologicznym.

Raport przestrzega firmy z Zachodu, które aby nie ulec niezachwianemu wzrostowi Chin, będą musiały solidnie inwestować w badania i dalszy rozwój swoich produktów.

Źródło informacji: The Inquirer

Dzsiejszego dnia zespół developerów Perla poinformował o udostępnieniu nowej wersji oznaczonej numerkiem 5.8.6. Perl jest popularnym językiem skryptowym, który zyskał uznanie zarówno wśród programistów jak i administratorów systemów. Powstał dzięki połączeniu takich języków jak C, sed, awk i sh. W wersji 5.8.6 usunięto wszystkie dotychczas wykryte błędy. Źródła nowej wersji można pobrać stąd.

Z najnowszej analizy Gartnera wynika, że zdecydowanym liderem na rynku systemów operacyjnych – i to zarówno pod względem ilości instalacji jak i wielkości generowanych dochodów – jest Linux.

Jeżeli chodzi o przychody ze sprzedaży Linuksa to w ciągu ostatniego roku wzrosły one o 55,7%. Natomiast liczba sprzedanych licencji wzrosła o 45,2%. Ale i tak największą obecnością na rynku może się poszczycić produkt Microsoftu. Windowsy poprawiły swój wynik w porównaniu do analogicznego okresu roku ubiegłego o dwa punkty procentowe, stanowiąc obecnie 36,5% rynku. Unix oraz pozostałe systemy zanotowały niewielkie spadki w przychodach, sięgające od 3,6 do 5,8 proc.

Z kolei w segmencie serwerów zdecydowanie przewodzą systemy x86. Największy wzrost dochodów ze sprzedaży serwerów zanotował IBM, choć pod względem udziałów w rynku firma lokuje się dopiero na trzecim miejscu. Jak ocenia Gartner, w trzecim kwartale tego roku globalna sprzedaż serwerów przekroczy poziom 1,6 mln sztuk, co odpowiada wzrostowi o 16,3% w porównaniu z rokiem ubiegłym.

Źródło informacji: Vnunet

Studenckie koło naukowe „Wolne Oprogramowanie na Politechnice Warszawskiej” zaprasza serdecznie na kolejne spotkanie. Tym razem będzie to wykład nt.systemu TeX, który poprowadzi Krzysztof Leszczyński.

Data spotkania: wtorek, 30 XI 2004, godzina 20:00
Miejsce: Wydz. Elektroniki i Technik Informacyjnych Politechniki Warszawskiej, ul. Nowowiejska 15/19, sala nr 108

W trakcie prelekcji zostanie przedstawiony system TeX z punktu widzenia osoby, która zastanawia się, czy warto go używać. Skupimy się na tych własnościach TeX’a, które czynią go systemem innym od zwykłych programów składu (także w tych aspektach, kiedy nie warto używać TeX’a, bo inne programy są sprawniejsze). Osoba dotychczas nie używająca TeX’a nie stanie się, po wysłuchaniu tego referatu, specjalistą „TeX nologiem”, ale powinna mieć rozeznanie w sposobach pracy z tym systemem i regułach w nim panujących, a także stwierdzić czy sposób pracy z TeX’em się jej podoba czy zdecydowanie nie.

Więcej informacji pod adresem: http://wo.student.pw.edu.pl/.

Wczoraj wieczorem około godziny 20:00 doszło do włamania na serwer SCO Group Inc. Zamiast autentycznej podstrony znalazł się tam napis „SCO vs World” oraz przesłanie, w którym włamywacze zarzucili SCO wykorzystanie części swojego kodu we wszystkich produktach firmy Microsoft.

Zaznaczyli także iż chodzi głównie o pętle (1){ do_something; } i for (i = 0; i < 16; i++). Podmieniona strona zawierała notkę „hacked by realloc().” Dodali także iż będą czynić wszelkie starania skierowane przeciwko firmie Microsoft w tej sprawie, wykorzystując do tego ich legalną agencję.

Ataki na SCO nie są niczym nadzwyczajnym bądź nowym, w dużej mierze spowodowane są tym iż niekonsekwentna firma rozpoczęła zastraszać interesantów oraz zwolenników Linuxa, a także firmy Linuxa niekończącymi się sporami, bezpodstawnymi oskarżeniami. Niektóre z oskarżeń SCO były wręcz szalone, jak ten, w którym starali się dowieść iż Linux posiada tysiące linii kodu skradzionego z SCO.

Na nieszczęście każdy taki atak w stronę SCO, obojętnie czy DoS, czy też hack, daje SCO świeży materiał do użycia w jego jak widać niekończącym się źródle bezpodstawnych oskarżeń wycelowanych w Linux, GPL, darmowe oprogramowanie, oraz całą społeczność ludzi których łączy idea Open Source.

Źródło informacji: NewsForge

Mirror podmienionej strony SCO

Eksperci zajmujący się bezpieczeństwem IT odkryli krytyczną lukę w popularnym programie Winamp. Podatność umożliwia uzyskanie nieautoryzowanego dostępu do systemu użytkownika.

Brett Moore z Security-Assessment poinformował że luka jest wynikiem błędu w bibliotece ‚IN_CDDA.dll’.

Hacker może wysłać do użytkownika adres strony na której zostanie umieszczona specjalnie spreparowana lista utworów muzycznych. Uaktywnienie listy przez użytkownika spowoduje przepełnienie bufora i umożliwi atakującemu wykonanie dowolnego polecenia w zaatakowanym systemie. Podatne są wszystkie wersje do 5.06.

Źródło informacji: Vnunet

Na SecurityFocus udostępniono artykuł polskiego autora Mariusza Burdacha pt.”Detecting Kernel-level Compromises With gdb”. Artykuł przedstawia metody wykrywania modyfikacji dokonanych przez intruza w Linux Kernel. Na zaatakowanej maszynie hackerzy często instalują rootkity w celu ukrycia swojej obecności.

Należy pamiętać iż rootkit to pierwsze narzędzie, którego używa włamywacz, aby przedłużyć sobie dostęp do zaatakowanego systemu. Autor zaznacza iż pierwszym celem artykułu jest określenie czy system został zaatakowany i dokonuje sprawdzenia przy pomocy narzędzia gdb (GNU debugger), zaś następnie opisuje popularne metody wykorzystywane przez atakującego do modyfikacji Linux Kernel. Należy pamiętać iż zrozumienie ataku pozwala nam w łatwy sposób określić czy nasza maszyna została zaatakowana i wybrać odpowiednie narzędzia. Artykuł jest dostępny pod tym adresem. Polecamy!

Źródło informacji: SecurityFocus

W ciągu ostatnich dni na SecurityFocus opublikowano informacje o poważnych błędach w popularnym forum – phpbb. W wyniku jednego z błędów wykrytych w środę 24.11 br. w forum popularnego pamiętnika internetowego Mylog.pl uzyskano dostęp do haseł użytkowników serwisu.

Osoba posługująca się w społeczności internetowej pseudonimem b3x nadesłała nam wtedy plik z hasłami blisko 35000 użytkowników serwisu, wliczając hasło administratora, który został powiadomiony o fakcie błędu w serwisie. Niestety reakcja administratora nie była natychmiastowa, odpisał w piątek 26.11 około godziny 18:00.

Nie ma w tym wszystkim nic zaskakującego, bądź irytującego, gdyby nie fakt iż administrator nie poczynił żadnych kroków prócz zaktualizowania dziurawego oprogramowania, aby zabezpieczyć dane swoich użytkowników. Na dzień dzisiejszy (czyli trzy dni po incydencie, i wiele dni po wykryciu błędu phpbb) hasło administratora pozostało niezmienione. Co w rezultacie daje takie same możliwości penetracji baz danych jakie miało miejsce trzy dni temu. Nie będę przytaczał hasła administratora, gdyż jest kompromitujące pod kątem jego domniemanej elitarności.

Dodam tylko iż na tę chwilę po połączeniu dwóch baz danych, które wtedy były rodzielone jest 40604 możliwych do wyciągnięcia danych użytkowników w formie (‚użytkownik’, ‚hasło’, ‚e-mail’, ‚miasto’). Reszta to konta normalnych użytkowników systemu. Nie wspomnę już o tym iż hasła są w postaci niehaszowanej. Dalsze komentarze są chyba zbędne.
-bash-2.05b$ ls -l mylog2.txt ; wc -l mylog2.txt
-rw-r–r– 1 gorion gorion 2375606 Nov 27 21:43 mylog2.txt
40604 mylog2.txt
Jako iż redakcja Hacking.pl, ani autor całej sprawy nie publikuje tych haseł, nie chcąc tym samym zaszkodzić użytkownikom serwisu Mylog.pl oraz dalszej kompromitacji administratora, wysoce wskazanym jest aby poczyniono w końcu kroki w kierunku zabezpieczeń.

Pomimo, że język C ma około 30 lat nadal należy do jednego z najpopularniejszych języków programowania na świecie. Na stronie IBM opublikowano artykuł pt.”Best practices for programming in C”. Artykuł skierowany jest do programistów, którzy rozwijają swoje umiejętności programowania na potrzeby pisania nowych aplikacji lub usprawniania już napisanych. Pomimo iż artykuł został opublikowany w roku 2003 z pewnością jest wart przeczytania. Polecamy również artykuł Stephena Prata, który jest skierowany do początkujących programistów i opisuje typy danych oraz operowania na nich. Artykuł jest dostępny w serwisie Informit.com.

Autor popularnego skanera sieciowego Nmap ostrzega wszystkich jego użytkowników że agenci FBI zamierzają uzyskać dostęp do logów z jego serwera. Fyodor poinformował iż według obowiązujących przepisów prawnych może zostać zmuszony do ujawnienia logów.

Anonimowość użytkowników programu Nmap jest bardzo ważna i autor nie zamierza dopuścić do ujawnienia adresów IP użytkowników którzy pobrali program z jego serwera. Niestety nie może tego zrobić jeśli będzie to sprzeczne z prawem.

Nmap jest najpopularniejszym skanerem sieciowym. Program umożliwia skanowanie systemu w celu określenia usług zainstalowanych na określonej maszynie. Zawiera również narzędzie OS Fingerprinting, które umożliwia określenie systemu operacyjnego na skanowanej maszynie.

Problem skanowania naszego serwera można rozwiązać przy pomocy narzędzia PortSentry. Narzędzie jest odpowiedzialne zarówno za wykrywanie jak i zapobieganie skanowaniu.

Fyodor zaleca wszystkim użytkownikom programu Nmap, aby podczas pobierania nowej wersji wykorzystywali anonimowe serwery proxy lub inne metody, które są pomocne w utajnieniu adresu IP.

Źródło informacji: SecurityFocus