Archiwum IPSec.pl od listopada 2001 do 26. czerwca 2002

2008-05-21 00:00:00 +0100


Chris Anley: ,,Violating Database Enforced Security Mechanisms''
środa, 26. czerwca 2002

Artykuł Violating Database Enforced Security Mechanisms dotyczy obchodzenia zabezpieczeń w bazach danych przy pomocy dynamicznie ładowanego kodu, wraz z przykładem dla Microsoft SQL Server 2000.

Zamknięte pecety na horyzoncie
wtorek, 25. czerwca 2002

Ross Anderson w artykule Security in Open versus Closed Systems komentuje argumenty w dyskusji o bezpieczeństwie zamkniętego i otwartego oprogramowania. Druga część artykułu przedstawia fakty na temat inicjatywy mającej na celu wprowadzenie do pecetów sprzętowej kontroli praw autorskich (Digital Rights Management), promowanej przez m.in. Intela (jako TCPA) i Microsoft (jako Palladium) która uchroni nas przed hakerami, wirusami, spamem i wojnami, jak donosi Newsweek. W rzeczywistości rzeczywistość z Palladium/TCPA może nie być aż tak różowa, o czym pisze TCPA FAQ, rółnież Andresona.

Rosyjski podpis z błędami
czwartek, 20. czerwca 2002

W rosyjskim standardzie GOST 34.19-2001, definiującym metody tworzenia podpisów cyfrowych w oparciu o zmodyfikowany algorytm DSA odkryto błędy, pozwalaje na tworzenie poprawnych sygnatur bez znajomości tajnego klucza. Informacje na ten temat zostały opublikowane przez A. W. Kobieca w artykule Mechanizmy machinacji z podpisju w nowom rosijskom standartie GOST 34.19-2001

Dziura w Apaczu
czwartek, 20. czerwca 2002

W serwerze Apache znaleziono w końcu dziurę, pozwalającą na zdalne wykonywanie złośliwego kodu, związaną z błędem z obsługą kodowania chunked w HTTP/1.1. W wyniku przepełnienia bufora serwer wykona kod atakującego z prawami nieuprzywilejowanego użytkownika uruchamiającego serwer. Oficjalne ogłoszenie stwierdza co prawda, że dziura może być wykorzystana tylko na architekturach 64-bitowych, jednak opublikowany przez Gobbles exploit dla OpenBSD/i386 pokazuje że nie jest to prawda, a zawarte w nim komentarze sugerują że istnieją również nieopublikowane exploity dla Linuksa i innych systemów. Zalecany jest bezzwłoczny upgrade do Apache 1.3.26 lub 2.0.39.

SE Linux dostępny do testów
środa, 19. czerwca 2002

Osoby zainteresowane stworzonym przez NSA Security Enhanced Linux mogą przetestować go w "na żywo", dzięki Russelowi Cookerowi, który udostępnił taką maszynę publicznie w sieci. Jest ona dostępna po SSH (ssh -p 222 root@adsl.coker.com.au), hasło roota to pojedynczy znak "1". Nawiasem mówiąc, warto przypomnieć że firma Compaq również od dawna udostępnia w ramach programu TestDrive konta na silnych maszynach działających pod najróżniejszymi systemami operacyjnymi, począwszy od Linuksa, przez BSD, Windows aż do OpenVMS.

Bezpieczny email po angielsku
niedziela, 9. czerwca 2002

Z powodu nieuwagi pracownika brytyjskiego MSZ, tajne ustalenia między Scotland Yardem a polskim BOR-em dotyczące prywatnej wizyty księcia Walii Karola w Polsce trafiły pod niewłaściwy adres e-mailowy - pisze "The Sunday Times". Wizyta rozpoczynająca się w środę będzie musiała zostać opracowana od nowa od strony organizacyjnej. (PAP) Trudno uwierzyć, że wysłano tę pocztę nie szyfrując jej PGP lub S/MIME...

Artykuły publikowane od listopada 2001 do połowy 2002 roku nie były datowane

Niemiecka policja od kilku lat wykorzystuje, często bezprawnie, urządzenie IMSI Catcher, które podszywając się pod stację bazową GSM umożliwia podsłuchiwanie dowolnych rozmów w danej komórce. Dobry opis faktycznego bezpieczeństwa w sieciach GSM oraz samego Catchera można znaleźć w artykule Protection in Mobile Communications z Politechniki Drezdeńskiej.
W ostatnim numerze miesięcznika Handel i Zarządzanie czytamy: ,,Polski naukowiec prof. Topolewski twierdzi jednak, że system szyfrowania RSA, na którym opiera się SSL. oparty jest na banalnym do złamania szyfrze Cezara''. Czyżby ominęło nas jakieś istotne odkrycie w zakresie kryptografii, czy też jest to kolejny przypadek dziennikarskiej nadinterepretacji?
Nowy atak na karty SIM dla telefonów GSM umożliwia ich sklonowanie w czasie krótszym od minuty. Badacze z IBM wykorzystali kanał podprogowy jakim są różnice w poborze prądu przez kartę podczas wykonywania operacji kryptograficznych, w wyniku czego możliwe jest odtworzenie tajnego klucza algorytmu COMP128 uwierzytelniającego kartę. Oczywiście, aby skorzystać z takiej karty nadal konieczna jest znajomość PIN. (Partitioning Attacks on GSM Cards)
Artykuł Keeping Secrets in Hardware jest interesującą analizą zabezpieczeń zastosowanych przez Microsoft w maszynce do gier X-Box wraz z omówieniem ich słabości. W urządzeniu zastosowano liczne zabezpieczenia przed reverse-engineeringiem, wykorzystujące zarówno techniki sprzętowe jak i programowe.
Na MIT opracowano technologię, pozwalającą na miksowanie nagrań wideo mówiących osób z nowym dźwiękiem tak, by ruchy warg i mimika twarzy była z nim perfekcyjne zsynchronizowana. Podstawowym zastosowaniem ma być oczywiście przemysł filmowy, ale jest to zbyt atrakcyjne narzędzie propagandy czy manipulacji by łudzić się, że będzie wykorzystywane tylko w celach rozrywki. (boston.com)
Unia Europejska przegłosowała kontrowersyjną dyrektywę o ochronie danych w komunikacji. Państwa członkowskie UE mogłyby, między innymi, obligować lokalnych operatorów telekomunikacyjnych do prewencyjnego (bez nakazu sądu), globalnego rejestrowania informacji o dokonywanych połączeniach i przechowywania ich przez nieokreślony czas. Trwa kampania przeciwko temu zapisowi dyrektywy, do tej porty zebrano ponad 16 tys. podpisów. Równocześnie dyrektywa reguluje także inne problemy sieci, w tym spam. Europejska propozycja narzuca firmom zajmującym się marketingiem bezpośrednim model opt-in, to jest reklamy wolno im wysyłać wyłącznie do osób, które wyraźnie wyraziły na to zgodę. Dodajmy jeszcze tylko, że i nasze Min. Infrastruktury pracuje nad projektem ustawy o świadczeniu usług drogą elektroniczną, który również reguluje problem spamu. Można się jedna spodziewać, że w związku z taką a nie inną polityką UE ponownie pojawi się u nas zeszłoroczny projekt rozporządzenia o podsłuchu łącz komunikacyjnych.
Jacek Konieczny przeanalizował środki bezpieczeństwa zapewniane przez najpopularniejsze polskie serwery darmowej poczty. Wyniki udostępił tutaj.
Peterm Guttman opublikował interesujący artykuł PKI: It's not dead, just resting o cieniach i blaskach infrastruktury klucza publicznego (PKI), która po kilku latach tworzenia standardów i wdrażania w wielu miejscach rozbiega się z entuzjastycznymi wizjami z przeszłości.
Lance Spitzner, twórca projektu HoneyNet ogłosił nowy konkurs The Reverse Challenge (tym razem z nagrodami) polegający na przeprowadzniu jak najlepszej analizy binarnej wersji programu znalezionego na jednym ze zhackowanych serwerów projektu.
Peter Wayner udostępnił za darmo elektroniczną wersję swojego artykułu Satellite Hacking opisującego wieloletnie zmagania hackerów i producentów kodowanych programów telewizyjnych.
Anonimowy kryptolog odtworzył i opublikował kod źródłowy (vme.c) algorytmu szyfrującego Virtual Matrix Encryption firmy Meganet, która ogłosiła konkurs na jego złamanie. Zapewne wkrótce pojawią się analizy siły samego algorytmu, publikacja ta natomiast powinna być lekcją że utajnianie algorytmu szyfrującego jest nieporozumieniem, jeśli jego implementacja jest publicznie dostępna.
NIST opublikował uaktualnienie standardu FIPS 186-2, definiującego Digital Signature Algorithm. Wśród najistotniejszych zmian należy wymienić zwiększenie minimalnej długości kluczy asymetrycznych do 1024 bitów oraz modyfikacje w generatorze liczb losowych wykorzystywanym na potrzeby DSA.
Dostępna jest nowa wersja otwartej implementacji standardu OpenPGP GNU Privacy Guard 1.0.7, z wieloma istotnymi zmianami. Należą do nich m.in. zabezpieczenia przed "atakiem czeskim", obsługa zdjęć w kluczach publicznych i inne.
Z inicjatywy CERT Polska oraz Biura Bezpieczeństwa Łączności i Informatyki UOP powstanie krajowa sieć współpracy w zakresie ochrony bezpieczeństwa informatycznego kluczowych gałęzi gospodarki oraz instytucji rządowych. (ComputerWorld)
W ramach IEEE rozpoczęła prace gruba robocza Security in Storage Working Group, której celem jest stworzenie standardu kryptograficznej ochrony danych przechowywanych w pamięciach masowych, takich jak dyski i taśmy. Pierwsze spotkanie grupy jest planowane na czerwiec 2002.
Powstał nowy serwis Tracking Hackers poświęcony w całości dostępnym na rynku darmowym i komercyjnym rozwiązaniom honeypot, czyli serwerom które istnieją po to by je skanowano i włamywano się do nich (pod baczną obserwacją właściciela honeypota). Nowością jest również projekt Honeyd, czyli demon emulujący działanie kilkudziesięciu systemów operacyjnych.
W3C Consortium oficjalnie wydało ostateczną wersję standardu Platform for Privacy Preferences (P3P). Pozostaje jedynie czekać na implementację w popularych przeglądarkach oraz wykorzystanie go przez autorów witryn.
Władzę w Polsce może przejąć policja polityczna - przestrzegają posłowie PiS, PO i LPR, członkowie sejmowej komisji nadzwyczajnej do rozpatrzenia projektu ustawy o Agencji Bezpieczeństwa Wewnętrznego i Agencji Wywiadu. (Dziennik Polski)
Do Sejmu wpłynął projekt ustawy o ochronie "usług dostępnych warunkowo", czyli kryminalizujący obrót oraz posiadanie urządzeń i oprogramowania służącego do obchodzenia zabezpieczeń kodowanej telewizji itp. Z ustawy wyraźnie jednak wyłączone są nośniki danych (takie jak DVD, CD-ROM), nie ma w niej także prób ograniczenia dostępu do informacji jak takie zabezpieczenia obchodzić, co zasadniczo odróżnia ją od amerykańskiej ustawy DMCA.
W. Kinzel i I. Kanter analizując zachowanie dwóch uczących się wzajemnie sieci neuronowych odkryli, że ich synchronizacja może być wykorzystana do kryptograficznej wymiany klucza pomiędzy dwoma komunikującymi się stronami. (Condensed Matter). Opublikowano również analizę tego projektu Analysis of Neural Cryptography (Klimov, Mityaguine, Shamir)
Po trzyletniej przerwie pojawił się kolejny numer wydawanego przez firmę RSA Security magazynu CryptoBytes. W numerze m.in. artykuły omawiające różne problemy z implementacją algorytmu RSA i inne zaawansowane tematy kryptograficzne.
Międzynarodowa organizacja IEEE (Institute for Electrical and Electronic Engineers) zamieściła w swoim regulaminie publikacji klauzulę, zobowiązującą wszystkich autorów do zagwarantowania, że tekst nie narusza amerykańskiej ustawy DMCA. Jest to krok o tyle zaskakujący, że IEEE jest organizacją międzynarodową, zrzeszającą ok. 377 tys. członków w 150 krajach. Uaktualnienie: w kilka dni później IEEE poinformowało, że usunie kontrowersyjny zapis z regulaminu (NewsBytes).
Europejski parlament jednogłośnie (460:0) odrzucił propozycję ustawodawstwa, ktore nakładałoby na dostawców Internetu obowiązek filtrowania dosteępu do określonych stron w sieci za pomocą różnego rodzaju censorware. (The Register
Dwóch kryptologów polskiego pochodzenia, Nicolas T. Courtois i Józef Pieprzyk, opublikowało pracę pt. Cryptanalysis of Block Ciphers with Overdefined Systems of Equations analizującą bezpieczeństwo współczesnych szyfrów blokowych. Wyniki sugerują między innymi, że będący obecnie amerykańskim standardem szyfr Rijndael/AES może posiadać nieznane do tej pory słabości.
NIST zatwierdził standard FIPS 198 dotyczący funkcji skrótu w trybie HMAC (Keyed-Hash MAC). Pozwala on na szybkie (w porównaniu do podpisów algorytmami asymetrycznymi) stwierdzenie integralności komunikatu stronom, które uzgodniły wspólny klucz. HMAC stanowi podstawę ochrony integralności np. w IPSec.
Około 90% londyńskich sieci WLAN nie jest w żaden sposób zabezpieczonych przed podsłuchem lub innymi atakami na sieci bezprzewodowe, wynika z badań sponsorowanych przez tamtejszą Izbę Handlową, donosi BBC. Ciekawe jak jest u nas?
Nakładem Digital Media Forum ukazał się raport zatytułowany Privacy, Consumers, and Costs opisujący ponoszone przez konsumentów koszty braku ochrony prywatności oraz błędy w dotychczasowych analizach tego tematu.
Australijski odpowiednik KRRiT, Australian Broadcasting Authority, opublikował wyniki testów oprogramowania filtrującego wraz z szeregiem interesujących wniosków.
EFF opublikował interesującą analizę legalności systemów wymiany plików peer-to-peer.
Pojawił się długo oczekiwany plugin GNU PG dla Mozilli, dostępny dla tych samych platform co sama Mozilla (w tym Linux i Windows), co z pewnością ułatwi szyfrowanie poczty zwykłym użytkownikom tej aplikacji.
Cryptome opublikowało binaria oraz dokumentację programu DIRT, wykorzystywanego przez amerykańską policję do przechwytywania klawiatur komputerów osób podejrzanych. DIRT jest keyloggerem, ukrywającym się w Windows i wysyłającym podsłuchane dane przez sieć. Uwaga - korzystanie z programu jest nielegalne także w Polsce. Warto zapoznać się z analizą programu, sporządzoną przez firmę Diamond, która określiła DIRT jako "najdroższy trojan świata" ;)
Doskonały artykuł Hakerzy atakują! z Gazety Wyborczej dostarczy wiele uciechy wszystkim siedzącym nieco w temacie bezpieczeństwa sieci (choć autora nieco poniosła fantazja). Pozdrowienia dla kolegów z BSI i samego Cyberszeryfa.
New Citizen's Guide to FOIA, czyli praktyczny poradnik jak korzystać z prawa do informacji (FOIA) w Stanach będzie przydatny również dla osób zainteresowanych polską ustawą o dostępie do informacji publicznej.
Nowy patent 6,185,681 wystawiony przez US PTO obejmuje, według jego właściciela (żądającego 25 tys. USD licencji), wszystkie programy szyfrujące dyski komputerów. We wniosku patentowym złożonym w 1998 roku stwierdzono, że nie jest znany żadna wcześniejszy wynalazek tego typu, co jest oczywiście nieprawdą biorąc pod uwagę choćby tak znane programy jak PGPDisk, ScramDisk, CFS i inne, istniejąće o wiele dłużej. Mimo to US PTO zaakceptował wniosek i 2 lutego przyznał patent. Sądzimy, że jest to dobry przykład całkowitej niezdolności US PTO do rzetelnej weryfikacji istnienia prior art oraz wykorzystywania patentów na oprogramowanie do nieuczciwej walki z konkurencją. Problem ten może również wkrótce dotyczyć nas, jeśli Unia Europejska podda się lobbyingowi firm amerykańskich, forsujących zmianę europejskiego prawa patentowego.
W amerykańskim senacie oficjalnie zgłoszono propozycję kontrowersyjej ustawy SSSCA, przemianowanej obecnie na Ustawę o promocji telewizji cyfrowej (CBDTPA). Gdyby weszła w życie, każde nowe urządzenie zdolne do kopiowania lub odtwarzania danych (walkman, mangetowid, komputer i setki innych) musiałoby być wyposażone w zaakceptowany przez władze system "ochrony praw autorskich". W praktyce oznacza wprowadzenie poufnego, kontrolowanego przez firmy medialne systemu arbitralnie decydującego kto, kiedy, gdzie i jak może słuchać kupionych przez siebie płyt. Dyskusję na ten temat dokumentuje Declan McCullagh.
Firma Bodacious ogłosiła konkurs na złamanie stworzonego przez nią kodu biomorficznego, który wykorzystuje teorię chaosu do zapewnienia całkowitej nieprzełamywalności ;) Stawką jest 100 tys. USD, a konkurs polega na podaniu tysięcznej liczby ciągu, którego pierwsze 999 pozycji jest znanych. Tłumacząc jednak na polski wyjaśnienia z ich strony, chodzi tak na prawdę o złamanie generatora liczb pseudolosowych, co przy znajomości jedynie tysiąca pozycji ciągu wynikowego może być trudne, ale na pewno nie świadczy o jego bezpieczeństwie.
Unia Europejska pod naciskami koncernów medialnych rozważa wprowadzenie obowiązkowych zabezpieczeń przed kopiowaniem do urządzeń audiowizualnych. (Declan McCullagh)
Amerykański matematyk i kryptolog Daniel J. Bernstein w pracy Circuits for Integer Factorization przedstawił wyniki swoich badań nad optymalizacją najszybszej obecnie znanego algorytmu faktoryzacji liczb metodą sita ciał liczbowych (Number Field Sieve). Wykorzystanie do tego celu specjalizowanych układów scalonych mogłoby radykalnie zmniejszyć czas potrzebny do rozkładu na czynniki liczb pierwszych, będących podstawą bezpieczeństwa kryptografii z kluczem publicznym, np. RSA. Jeśli wyniki prac Bernsteina okażą się możliwe do zastosowania w praktyce, to trzeba będzie się liczyć z tym, że instytucje które będzie stać na zbudowanie odpowiednich układów będą w stanie łamać klucze publiczne o długościach uznawanych obecnie za bezpieczne.
Wielka Brytania rozważa projekt ustawy, która nakładałaby na naukowców obowiązek przedstawiania wyników swoich prac do wglądu i akceptacji przez rząd, zanim zostaną opublikowane. Ustawa miałby być wymierzona przeciwko terroryzmowi. (New Scientist)
Rada Europy po raz kolejny spotkała się aby dyskutować projekt kontrowersyjnego traktatu o zwalczaniu cyberprzestępczości, który - według obaw niektórych organizacji - mógłby zalegalizować globalny podsłuch lub od nowa rozpocząć restrykcje w dostępie do silnej kryptografii. Podejrzenia te na razie nie mogą być zweryfikowane, bo projekt jest tajny a spotkania Rady - zamknięte. (Wired)
Amerykański kongres dyskutuje szereg nowych projektów ustaw ściśle związanych z Internetem, m.in. prywatności, spamu, podatków od sieciowych transakcji itp. (Law.com)
Rosyjskie MSW planuje wprowadzenie obowiązkowej rejestracji oraz zgody policji dla wszystkich użytkowników Internetu. (PAP) Amerykanie przekonują ich, żeby jednak tego nie robili, argumentując to m.in. zagrożeniem sparaliżowania rynków internetowych w Rosji. (News Bytes)
Kilka amerykańskich instytucji o strategicznym znaczeniu zabroniło korzystania z bezprzewodowych sieci na swoim terenie, motywując to łatwością podsłuchania tak przesyłanych danych. Według nieokreślonych analiz, tylko 10% sieci tego rodzaju jest konfigurowane poprawnie, tak by zapewnić poufność danych. (USA Today)
Amerykańskie urządzenia wykorzystywane do zakładania legalnych podsłuchów dla policji i służb specjalnych mogły być przez kilka lat pod kontrolą powiązanej z Mossadem oraz izraelskimi firmami siatki szpiegowskiej. Dawałoby to dostęp do większości danych operacyjnych prowadzonych w USA śledztw, pozwalało także na śledzenie działań policji. Uzyskane informacje te mogły być również sprzedawane innym państwom, np. Rosji. (Politech)
Ministerstwo Gospodarki poinformowało o rozpoczęciu prac nad rozporządzeniami do ustawy o podpisie elektronicznym oraz nowelizacją samej ustawy. Ministerstwo ma także podjąć decyzję czy jednostka akredytującą wystawców certyfikatów będzie wyłoniona w przetargu, czy też zostanie nią zależna od NBP firma Centrast. (Computerworld)
Firma Philips, wynalazca technologii CD, stwierdziła że wprowadzane przez niektóre amerykańskie firmy nagraniowe zabezpieczenia przed kopiowaniem polegające na dodawaniu do dźwięku sztucznych zakłóceń są naruszeniem warunków licencji udzielanej producentom kompaktów. Rzecznik Philipsa dodał, że takie płyty powinny być wyraźnie oznakowane oraz że jego firma będzie produkować napędy umożliwiające korzystanie z nich w komputerach (jest to utrudnione w tradycyjnych czytnikach CD). The Register
Zaszyfrowane pliki, znalezione przez reporterów Wall Street Journal na laptopach kupionych w Kabulu mogły być stworzone przez ludzi Al-Kaidy. Część z nich udało się złamać w ciągu kilku dni dzięki temu, że do ich zaszyfrowania użyto eksportowej wersji windowsowego EFS, który korzystał jedynie z 40-bitowych kluczy DES (New Scientist).
Chiny jeszcze bardziej zacieśniają krajową kontrolę Internetu, nakładając m.in. na dostawców usług obowiązek monitorowania stron oraz emaili klientów, kasowania i przesyłania tych zawierających niedozwolone treści władzom. Associated Press.
Według nienajnowszych już danych, wynika że 48% z posród najbogatszych firm wykorzystuje serwer HTTP firmy Microsoft (29% - Netscape, 18% Apache). Dlaczego tak jest i kto postępuje inaczej, można przeczytać w artykule z 7thGuard.net
Azotan gadolinu posiada szczególną zdolność utleniania krzemu pod wpływem określonych impulsów mechanicznych. Cecha ta może zostać wykorzystana jako zabezpieczenie w urządzeniach elektronicznych - skradziony laptop lub telefon komórkowy mogłyby dokonać samozniszczenia obwodów elektronicznych w razie wpadnięcia w niepowołane ręce, donosi New Scientist.
Amerykańska Akademia Nauk sugeruje wprowadzenie prawa, które zwiększałoby odpowiedzialność producentów oprogramowania za pojawiające się w ich aplikacjach dziury. Propozycja ta wywołała szeroką dyskusję na temat potencjalnej skuteczności takich regulacji i najczęściej wykorzystywaną analogią był tutaj rynek samochodowy oraz prawo wprowadzające obowiązek instalowania np. pasów bezpieczeństwa (SecurityFocus). Ale chyba nie do końca o to chodziło NAS, o czym świadczą jeszcze częstsze żarty, porównujące oprogramowanie do samochodów.
Wirus W32.Donut jest pierwszym napisanym dla platformy .Net, działającym na poziomie języka MS Intermediate Language. Czy zwiastuje to kolejny sukces firmy przodującej w tworzeniu doskonałych środowisk do namnażania wirusów takich jak Windows, MS Outlook czy Word? Oby nie, ale warto pamiętać że agresywnie krytykowana przez Microsoft Java nie ma takich problemów, pomimo kilkuletniej już kariery (CNet). Sprawa nie jest tak oczywista jak to się wydawało początkowo, bowiem specjaliści od wirusów spierają się czy Donut na prawdę z technicznego punktu widzenia działa na platformie .NET czy nie, jak twierdzi MS (The Register).
Rosyjska Duma przyjęła ustawę o podpisie cyfrowym, zrównującą prawa tego ostatniego z tradycyjnym, odręcznym podpisem. Istotna różnica polega jednak na tym, że podpis cyfrowy zyskuje ważność jedynie, jeśli oryginał dokumentu został podpisany tradycyjnie. Według rosyjskich komentatorów, ustawa weszła w życie wśród kłótni, posądzeń o prywatę i posiada szereg usterek prawnych oraz technicznych. Czy to czegoś nam nie przypomina? (RFE/RL)
Firma MkS udostępniła wersję beta, swojego sztandarowego produktu - skanera antywirusowego MkS_Vir dla Linuksa. Program można ściągnąć i używać za darmo, również darmowe są uaktualnienia rozsyłane emailem. Projektem opiekuje się Kamil Konieczny <kkoniec@mks.com.pl>, któremu dziękujemy za informację. Warto również dodać, że dla Linuksa za darmo dostępny jest również F-Prot Antivirus (7thGuard)
W poniedziałek, 4. grudnia 2001, algorytm szyfrujący AES został oficjalnie ogłoszony przez NIST jako oficjalny standard szyfrowania danych, zastępujący wysłużony DES. Prace nad AES (Advanced Encryption Standard) trwały przez ostatnie 4 lata.
IBM udostępnił programistom linuksowym bibliotekę openCryptoki. Jest ona implementacją API standardu PKCS#11, który umożliwia współpracę różnych urządzeń wykonujących operacje kryptograficzne (czyli np smart dysków i niektórych kart PCMCIA). Dzięki openCryptopi możliwe jest proste stworzenie aplikacji, która swoje dane będzie przechowywać na jednym z takich bezpiecznych urządzeń. (7thGuard)
Swoją działalność, po prawie 10 latach, zakończyła lista dyskusyjna Cypherpunks hostowana na serwerze toad.com, należącym do Johna Gilmore, współzałożyciela EFF oraz ruchu cypherpunk. Gilmore stwierdził (nie bez racji), że lista znacznie się zdegenerowała, a jej treść stanowi obecnie spam i bezprzedmiotowe kłótnie. Nie oznacza to jednak całkowitej śmierci listy, ponieważ toad.com był tylko jednym z węzłów obsługujących listę działającą w oparciu o Cypherpunks Distributed Remailer. Warto również przeczytać artykuł Cypherpunks RIP w The Register, poświęcony historii ruchu cypherpunks oraz roli, jaką odegrał w procesie liberalizacji dostępu do kryptografii i rozwoju technologii.
W dniu 23.11.2001 w Budapeszcie odbyła się ceremonia podpisania konwencji Rady Europy w sprawie przeciwdziałania cyberprzestępczości. Do konwencji przystapiło 29 państw, w tym cztery (Japonia, Kanada, RPA i Stany Zjednoczonene nie będące członkami Rady Europy. W ceremonii podpisania konwencji brała udział delegacja rządu RP, w imieniu którego dokument akcesyjny podpisał Podsekretarz Stanu w Ministerstwie Sprawiedliwości - Jerzy Lankiewicz.
W dniu 22 listopada 2001 IPI PAN organizuje otwarte seminarium pt. ,,Podpis elektroniczny: moc kryptograficzna i ustawa''. Seminarium odbędzie się o godz. 10:45 w sali seminaryjnej IPI PAN, organizatorzy zapraszają wszystkich zainteresowanych.
Równocześnie z pracami mającymi na celu uproszczenie protokołu IKE zespół kryptologów pod kierownictwem Angelosa Keromytisa zaproponował wdrożenie nowego protokołu JFK (Just Fast Keying). Jego głównymi założeniami miałaby być prostota (wyłączająca np. skomplikowane negocjacje dostępnych algorytmów) oraz bezpieczeństwo wygenerowanych przez protokół tuneli IPSec.
Microsoft oraz 5 firm zajmujących się bezpieczeństwem stworzyło porozumienie, w ramach którego będzie limitować informacje o nowych dziurach. Według przyjętej polityki po odkryciu błędu ma być publikowana jedynie krótka informacja o tym fakcie, bez szczegółów technicznych, które będą udostępnione jedynie producentom i organizacjom członkowskim porozumienia. Warto zauważyć, że pomysł ten nie odbiega zbytnio od obecnie obowiązujących zwyczajów informowania o dziurach i wątpliwe jest by ci aspołeczni badacze, którzy nie powiadamiają vendorów, zaczęli to teraz robić pod naciskiem nowej organizacji. (SecurityFocus)
Dwóch naukowców z Cambridge opublikowało szczegóły ataku na akcelerator kryptograficzny IBM 4758.
Niemiecki rząd przyjął rozporządzenie dotyczące monitoringu mediów elektronicznych. Zakłada ono, że do 1 stycznia 2005 roku operatorzy publicznych sieci dostępowych będą zobligowani do zainstalowania urządzeń i oprogramowania umożliwiającego organom ścigania monitorowanie poszczególnych użytkowników. Dotyczy to zarówno telefonii analogowej, telefonii przenośnej, przesyłu danych (też poczty elektronicznej) o ile korzysta z niej ponad 1000 użytkowników. (Vagla)
Nortel i kilkadziesiąt innych zachodnich firm są wykonawcami chińskiego projektu Złotej Kurtyny, czyli narodowego systemu cenzurowania oraz ograniczania dostępu do światowych zasobów Internetu, stwierdzają autorzy raportu China's Golden Gate. Paradoksalnie, z jednej strony Zachód próbuje otwierać Internet dla Chińczyków za pomocą systemów takich jak SafeWeb, a z drugiej pomaga budować w tym kraju system inwigilacji rodem z 1984.
Anonimowy hacker podpisujący się jako Beale Screamer opublikował program, służący do usuwania opracowanych przez Microsoft zabezpieczeń multimediów w systemie Digital Rights Management. Programowi towarzyszy kod źródłowy oraz szczegółowa kryptoanaliza DRM. (The Register)
RIAA próbowała wstawić dla siebie furtkę w ustawie równającej cyberprzestępstwa z terroryzmem. Co wspólnego z cyberprzestępczością może mieć organizacja firm nagraniowych? RIAA obawiała się, że po wejściu tej ustawy spalą na panewce planowane przez nią ataki na domniemanych piratów, polegające na rozsyłaniu do nich koni trojańskich i wirusów. (The Register)
W prawie wszystkich centralach telefonicznych w Sofii zorganizowana grupa przestępcza zainstalowała aparaturę, dzięki której mogła podsłuchiwać i rejestrować rozmowy telefoniczne - poinformowały bułgarskie władze. »Więcej...
Francuskie organizacje broniące swobód obywatelskich opublikowały list otwarty do parlamentarzystów, w którym nawołują do porzucenia projektu nowej ustawy Loi Securite Quotidienne (prawo o bezpieczeństwie codziennym). Ustawa, forsowana jako odpowiedź na ostatnie ataki terrorystyczne, miałaby wprowadzać szereg zaskakujących nowości, takich jak prawo do przeprowadzania rewizji osobistej przez prywatnych ochroniarzy, rewizji samochodów i domów pod dowolnym motywem oraz zakładania podsłuchów bez nadzoru wymiaru sprawiedliwości. (LSI Jolie)
Władze niemieckiej Westfalii podjęły kuriozalną decyzję nakazując ponad 50-ciu regionalnym dostawcom Internetu wyblokowanie dostępu do strony rotten.com. Decyzja ta została podjęta na podstawie stosunkowo nowej ustawy nakazującej prewencyjną cenzurę ,,nielegalnych treści''. Ponieważ serwer wyblokowano na routerach po adresie IP, skuteczność tej blokady jest w praktyce żadna, ale władze są zapewne zadowolone, że ,,coś'' zrobiono. (Heise, po niemiecku)
Scott Culp z Microsoftu napisał sążnistą reprymendę skierowaną przeciwko full disclosure, czyli powszechnej praktyce ujawniania szczegółowych informacji o dziurach znalezionych przez niezależnych badaczy w programach i systemach operacyjnych. ,,Microsoft jest dobrze znany z tego, że w swoich komunikatach pomniejsza wagę dziur, zasłania się kruczkami prawnymi i zwala winę na innych'', skomentował ten artykuł Richard Forno z firmy Shadowlogic. (Newsbytes) Warto też przeczytać durny komentarz Interii, która do wypowiedzi Culpa dodała jeszcze... terroryzm oraz krytyczny wobec Culpa komentarz Gartnera.
Robert Fleck z firmy Cigital opublikował raport, z którego wynika że obecnie używane technologie bezprzewodowych sieci WLAN są podatne na szereg ataków związanych z protokołem ARP. Ataki te są doskonale znane w przypadku tradycyjnych sieci, więc wygląda na to że projektanci WLAN niczego nie nauczyli się na błędach poprzedników.
Eddie Bleasdale z firmy NetProject nie zamierza wycofywać się z rzuconego przed dwoma laty wyzwania - na tego kto pierwszy zainfekuje jego Linuksa wirusem czeka 10 tys. funtów. (LinuxNews)
W poniedziałek, tj. 15. października odbędzie się jednodniowa, otwarta konferencja na temat przestępczości w cyberprzestrzeni, zorganizowana przez Polskie Towarzystwo Kryminologiczne oraz Zakład Kryminologii Instytutu Nauk Prawnych PAN. Konferencja odbędzie się w Warszawie, przy ul. Nowy Świat 72 (Pałac Staszica) w sali 103 o godzinie 11:00.
Firma Iomart twierdzi odkryła setki plików graficznych z ukrytą zawartością, w tym wiele zawierających tekst po arabsku. Wiarygodność tego doniesienia jest mocno wątpliwa, ponieważ brak jest jakichkolwiek szczegółów technicznych oraz potwierdzenia ze strony amerykańskich agencji rządowych, na które powołuje się Iomart. (Business a.m.) Informacja ta została później zdementowana przez przedstawicieli Iomart.
Amerykański rząd ogłosił plany zbudowania niezależnej od Internetu sieci komunikacyjnej, przeznaczonej wyłącznie do użytku rządowego. Sieć o roboczej nazwie GOVNET miałaby służyć do przesyłania danych oraz głosu pomiędzy jednostkami rządowymi bez ryzyka ataków z publicznej sieci. (Silicon Valley). Według Gartnera nie jest to jednak najlepszy pomysł.
11 października około godziny 13-tej prezydent Kwaśniewski podpisał ustawę o podpisie elektronicznym, uchwaloną 18-go września. Ceremonia była transmitowana na żywo przez portal.pl (po RealVideo). (ComputerWorld)
Amerykański przemysł nagraniowy planuje kolejną ofensywę na Kongres celem wprowadzenia restrykcyjnych ograniczeń w kopiowaniu danych audio. (7thGuard)
NIST przeznaczył ponad 5 mln USD na granty dla kilkunastu uczelni oraz firm, zajmujących się rozwijaniem technologii związanych z bezpieczeństwem telekomunikacji. Wśród dofinansowanych znalazły się takie projekty jak bezpieczna łączność bezprzewodowa, systemy wykrywania włamań i testowanie bezpieczeństwa systemów. (Washtech.com)
Microsoft ogłosił wdrożenie nowej strategii SSPP (Strategic Security Protection Program), mającej na celu poprawienie bezpieczeństwa istniejących instalacji produktów firmy. To dobry znak, że tegoroczne katastrofalne epidemie wirusów windowsowych czegoś nauczyły giganta z Redmond, ale trudno powiedzieć czy przełoży się to na faktyczne zmniejszenie liczby dziur i innych błędów. (Wired)
Tragiczne wydarzenia 11 września miały duży wpływ na prace nad nową amerykańską ustawą o przeciwdziałaniu terroryzmowi. Wiele negatywnych komentarzy wzbudziło jednak uznanie za działania terrorystyczne przestępstw komputerowych, co powodowałoby że włamanie do prywatnego serwera, podsłuchanie hasła czy nawet wysłanie spamu byłoby zagrożone dożywociem i szeregiem innych sankcji, rażąco odbiegających od skali tych przestępstw.
Ponad 30 organizacji i firm połączyło siły w ramach Project Liberty, którego celem jest stworzenie otwartej i jednolitej architektury uwierzytelniania użytkowników Internetu. Założenia projektu oraz brak firmy Microsoft na liście członków sugerują, że Liberty jest konkurencją dla Passport, które centralizacja wokół jednej korporacji budzi obawy co do bezpieczeństwa i otwartości tej platformy. Biorąc pod uwagę, że wśród członków nowej inicjatywy są takie giganty ja Sun, Nokia, Cisco i wiele, wiele innych (w tym na przykład Apache Software Foundation) projekt może mieć dużą siłę przebicia i spore szanse powodzenia.
W połowie lipca w Bletchley Park poświęcono kamień węgielny pod pomnik, upamiętniający pracę polskich kryptologów, którzy włożyli nieocenione zasługi w złamanie Enigmy. Pomnik ku cześci Rejewskiego, Różyckiego i Zygalskiego stanie w przyszłym roku. (Nasz Dziennik)
W dniu 19. września Rada Europy przyjęła projekt konwencji o cyberprzestępczości, określającej zalecenia odnośnie ścigania i karania włamań, piractwa, przestępst finansowych, dziecięcej pornografii oraz innych przestępst związanych z komputerami i sieciami komputerowymi. Aktualna wersja projektu jest dostępna na stronie CoE, warto także zapoznać się z komentarzami do konwencji, zgłoszonymi przez Centrum Demokracji i Technologii.
Kolejną skuteczną i powodującą nieobliczalne skutki bronią terrorystów może stać się e-bomba, niszcząca urządzenia elektryczne oraz elektroniczne, znajdujące się w zasięgu generowanych przez nią silnych impulsów elektromagnetycznych. (Popular Mechanics)
Pojawił się kolejny, agresywny robak windowsowy Nimda, atakujący zarówno komputery osobiste (emailem) jak i serwery IIS (podobnie jak wcześniejszy CodeRed) (MkS).
Prezydent Bush wystąpił do Kongresu z projektem ustawy, poszerzającej uprawnienia służb śledczych w zakresie zwalczania terroryzmu. Projekt nie zawiera żadnych sugestii odnośnie wprowadzenia ograniczeń w stosowaniu kryptografii Wired).
W związku z tragicznymi w skutkach atakami w Nowym Jorku i Waszyngtonie amerykański Kongres wprowadził - lub rozważa wprowadzenie - nadzwyczajnych uprawnień dla służb śledczych w zakresie podsłuchu internetowego oraz tradycyjnego. Ze strony jednego z amerykańskich senatorów padła także propozycja ograniczenia dostępu do kryptografii pozbawionej rządowych furtek. Pojawiły się też sugestie, że sieć Echelon już trzy miesiące temu przechwyciła informacje o planowanych atakach z użyciem porwanych samolotów pasażerskich.
Z końcem września ABA wprowadza do sprzedaży terminale ABA-X z modułem IPSec, który umożliwia zabezpieczenie wszystkich rodzajów ruchu obsługiwanego przez terminal (X Window, RDP, ICA). W terminalu wykorzystano linuksową implementację Free S/WAN, więcej informacji na stronie ABA.
Łódzka policja zatrzymała 15-latka, który usiłował włamać się do serwera Komendy Głównej Policji. Hakerem okazał się uczeń III klasy jednego z gimnazjów w Skierniewicach. PAP
W ramach ośmieszania DMCA matematyk Phil Carmody opublikował dużą liczbę pierwszą, która stanowi równocześnie heksadecymalną reprezentację pliku wykonywalnego programu DeCSS, służącego do dekodowania płyt DVD. Czy niektóre liczby mogą być nielegalne? (The Register)
W amerykańskim Kongresie pojawił się projekt nowej ustawy SSSCA, która nakładałaby na producentów urządzeń elektronicznych obowiązek wbudowywania mechanizmów uniemożliwiających m.in. kopiowanie danych. Urządzenia bez takich funkcji byłyby nielegalne, podobnie jak ich obchodzenie. Ten kuriozalny pomysł, idący o wiele dalej niż kontrowersyjne DMCA został skrytykowany przez wiele firm i organizacji. Wired
Głosowanie nad senackimi poprawkami do ustawy o podpisie elektronicznym przełożono na następne posiedzenie Sejmu, które odbędzie się 18 września - poinformował marszałek Sejmu Maciej Płażyński. PAP
Od Waldemara Pawlaka uzyskaliśmy komentarz na temat zarzutów Życia odnośnie ustawy o podpisie elektronicznym. Kluczowy cytat: ,,Spółki zależne od NBP mogą świadczyć usługi WYŁĄCZNIE na rzecz instytucji finansowych.''
Parlament Unii Europejskiej przyjął raport tymczasowej komisji, mającej za zadanie zbadanie sprawy sieci Echelon. Raport potwierdza istnienie takiego systemu globalnej inwigilacji, utrzymywanego przez USA, Wielką Brytanię, Australię i Nową Zelandię. Raport komisji UE (lokalna kopia)
Senackie poprawki do ustawy o podpisie elektronicznym będą głosowane przez Sejm dzisiaj (6 września). PAP. Cała sprawa budzi jednak wiele kontrowersji związanych z, jak twierdzi Życie, próbą narzucenia monopolu z firmą Centrast w roli urzędu nadrzędnego.
Sejmowa Komisja Transportu i Łączności zawetowała poprawki wprowadzone przez Senat do projektu ustawy o podpisie elektronicznym. ComputerWorld
Anonimowy kryptolog poinformował o złamaniu zabezpieczeń w formacie Microsoft E-Book Reader.
Sporo szumu w polskich bankach narobiła firma Arcus/Ubik która ogłosiła że posiada raport o poważnych błędach w bankowych serwisach internetowych. Raport kosztuje 90 tys. złotych, jednak na podstawie tego co zostało upublicznione możemy podejrzewać że opisywane ataki należą raczej do kategorii publicity attacks, opisywanych przez Schneiera. Zaprezentowana metoda ujawniania odkrytych słabości systemów komputerowych odbiega również od powszechnie przyjętego w tym środowisku zwyczaju, że najpierw publikuje się dane odkrycie, potem zbiera komentarze, a dopiero na końcu alarmuje media.