Raport na pięciolecie DMCA
Paweł Krawczyk
poniedziałek, 6. października 2003
Na pięciolecie wprowadzenia amerykańskiej ustawy DMCA
organizacja Electronic
Frontiers Foundation przygotowała raport o jej praktycznych aspektach w tym okresie. Wśród głównych negatywnych
skutków tej ustawy, omówionych na przykładzie konkretnych przypadków,
wymieniono ograniczenie swobody wypowiedzi, badań naukowych i
konkurencji oraz nadmierne ograniczenie dozwolonego użytku osobistego
przez korporacje, które wykorzystują w zamierzeniu antypiracką ustawę
jako wygodne narzędzie do zwalczania wszelkich tendencji sprzecznych
z ich interesem.
EFF ,,Unintended Consequences: Five Years under the DMCA'' http://www.eff.org/IP/DRM/DMCA/20031003_unintended_cons.php
|
Pasożytnicze składowanie danych
Paweł Krawczyk
poniedziałek, 6. października 2003
Wojtek Purczyński i Michał Zalewski opublikowali artykuł ,,Juggling
with packets'' przedstawiający koncepcję wykorzystania cudzych
serwisów internetowych jako anonimowej pamięci masowej o ogromnej
pojemności. Serwery protokołów takich jak SMTP, HTTP czy wręcz
nawet same stosy TCP/IP, po zaimplementowaniu odpowiednich operacji
składowania i odzyskiwania danych, mogą służyć jako komórki pamięci
o różnym w zależności od potrzeb czasie dostępu, pojemności itd.
W. Purczyński, M. Zalewski ,,Juggling with packets'' http://lcamtuf.coredump.cx/juggling_with_packets.txt
|
Dziury w Sendmail, OpenSSH, OpenSSL
Paweł Krawczyk
środa, 1. października 2003
W ciągu ostatniego miesiąca pojawiły się nowe, poważne dziury w
programach OpenSSH,
Sendmail oraz bibliotece OpenSSL.
Zalecane jest jak najszybsze uaktualnienie do nowych, poprawionych
wersji.
OpenSSH Advisory http://www.openssh.com/txt/buffer.adv
Sendmail 8.12.10 http://www.sendmail.org/8.12.10.html
OpenSSL Advisory http://www.openssl.org/news/secadv_20030930.txt
Uwaga: przy okazji przepraszamy za długą przerwę
w funkcjonowaniu serwisu. Autor był w tym czasie na zawodach w Irlandii bez dostępu
do sieci. Za to z dostępem do Guinessa ;)
|
ZUS przemówił
Paweł Krawczyk
poniedziałek, 25. sierpnia 2003
Po półtorarocznych bojach ekipy ,,Janosika'' z Zakładem Ubezpieczeń
Społecznych udało się w końcu zmusić molocha do przedstawienia
konkretnej propozycji rozwiązania problemu ,,Płatnika''. Szkoda
że stało się to dopiero po prasowej burzy, którą rozpętała
niedawna wiadomość o ,,złamaniu'' algorytmów Płatnika. W
oficjalnym
komunikacie przedstawia dokładnie te same argumenty,
które wcześniej zanegował w odpowiedziach udzielonych Sergiuszowi
Pawłowiczowi, m.in. odnośnie jawności algorytmu KSI MAIL i jego
bezpieczeństwa. ZUS ujawnił też bardziej prawdopodobny powód dla
którego niezależna od ZUS implementacja ,,Płatnika'' może sprawiać
problemy - chodzi oczywiście o kompatybilność z systemem ZUS. Jak
jednak wynika z komunikatu (i zdrowego rozsądku) problem ten można
rozwiązać przy założeniu odrobiny dobrej woli z obu stron. Tylko
dlaczego dojście do tego prostego rozwiązania zajęło 16 miesięcy?
|
Nowe epidemie wirusów
Paweł Krawczyk
poniedziałek, 25. sierpnia 2003
Od kilku dni na Windowsach całego świata mnożą się kolejne
wirusy - korzystający z dziury w RPC następca Blastera o nazwie Welchia oraz mailowy wirus Sobig.
Ten ostatni rozprzestrzenia się w błyskawicznym tempie za pomocą
Outlooka i, co szczególnie nieprzyjemne, korzysta ze sfałszowanego
adresu nadawcy przez co list z wirusem może przyjść z adresu
osoby nie mającej z nim nic wspólnego. W przyszłym tygodniu mają
być opublikowane wyniki wspólnego raportu FBI oraz Microsoft,
mającego wyjaśnić pochodzenie wirusa Sobig. Na Security Focus
można znaleźć interesujący artykuł poświęcony spowalnianiu epidemii wirusów za pomocą
regułek TARPIT w iptables.
|
ABW chce tajnych kancelarii
Paweł Krawczyk
piątek, 22. sierpnia 2003
Agencja Bezpieczeństwa Wewnętrznego w ramach egzekwowania
rozporządzenia Ministra Infrastruktury
zapowiedziała, że portale udostępniajace usługę darmowej poczty
będą musiały założyć tajne kancelarie, aby nikt nieupoważniony
nie dowiedział się np. o tym, że Agencja monitoruje pocztę
jednego z użytkowników. Koszt budowy tajnej kancelarii jest
oceniany na ok. 500 tys. złotych - jest to specjalne
pomieszczenie z pancernymi drzwiami, sejfami i innymi zabezpieczeniami.
Przedstawiciele portali protestują przeciwko takiemu postawieniu
sprawy, argumentując że jedyną alternatywą dla nich jest wprowadzenie
opłat za korzystanie z poczty. Rezultatem może być tylko odpływ
użytkowników darmowej poczty do serwisów zagranicznych, pozostających
poza wpływem ABW. Dodajmy jeszcze, że rozporządzenie stojące u
podstaw całego zamieszania jest obecnie rozpatrywane przez
Trybunał Konstytucyjny pod zarzutem łamania konstytucyjnych
praw obywatelskich.
Życie Warszawy ,,Służby specjalne zaglądają do maila'' http://zw.eo.pl/apps/tekst.jsp?place=zw_list_articles&news_id=20154
|
IBM i SuSe uzyskują certyfikat dla Linuksa
Paweł Krawczyk
poniedziałek, 18. sierpnia 2003
Firmy IBM i SuSe wspólnie uzyskały dla produkowanej przez SuSe
dystrybucji Linuksa prestiżowy certyfikat bezpieczeństwa Common
Criteria na poziomie EAL2. Do końca tego roku firmy chcą uzyskać
poziom EAL3, otwierający drogę do klientów, którzy ze względu na
wymogi formalne muszą korzystać z certyfikowanych systemów.
Rutrell Yasin (FCW)
,,IBM earns Linux certification'' http://www.fcw.com/fcw/articles/2003/0804/web-linx-08-06-03.asp
|
Blaster worm
Paweł Krawczyk
poniedziałek, 18. sierpnia 2003
Od kilku dni w Internecie rozprzestrzenia się kolejna groźna epidemia
atakująca system Windows. Robak Blaster wykorzystuje odkrytą niedawno nową dziurę w implementacji RPC w
Windows. Do tej pory wirus zainfekował około 230 tys. systemów. Wszyscy
użytkownicy Windows powinni zaaplikować poprawki udostępnione przez Microsoft.
Microsoft Security Bulletin MS03-026
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
Analiza eEye http://www.eeye.com/html/Research/Advisories/AL20030811.html
|
Płatnik Teletransmisja rozgryziony
Paweł Krawczyk
poniedziałek, 18. sierpnia 2003
Od wielu miesięcy trwają walki z ZUS o udostępnienie specyfikacji protokołu KSI MAIL, stosowanego przez
program Płatnik Teletransmisja do bezpiecznego wysyłania deklaracji płatników składek. ZUS
twierdził już, że udostępnienie tej specyfikacji narazi płatników
na niebezpieczeństwo, ostatnio uzasadnił swoją odmowę prawami
intelektualnymi. Dodajmy że specyfikacja formatu samych deklaracji
jest dostępna publicznie na stronach ZUS, zaś niezrozumiały upór
ZUS uniemożliwia stworzenie programu do obsługi składek dla systemów
innych niż Windows.
Stworzony przez programistów open-source projekt Janosik jest
otwartą implementacją klienta dla płatników składek. Brakowało
jej jedynie jednego elementu - właśnie KSI MAIL. Dzięki odkryciu Pawła Hikierta udało się ustalić, że KSI MAIL korzysta
z wersji szyfru 3DES z dwoma kluczami, a nie z
trzema, jak robi to większość implementacji. W rezultacie
nominalna długość klucza 3DES w implementacji KSI MAIL
wynosi 112 bitów, a nie 168 bitów. Odkrycie to pozwoliło na poprawne
przesłanie pierwszego zgłoszenia do ZUS dokonanego bez użycia
programów Płatnik oraz Płatnik Teletransmisja i stanowi ważny punkt
w uniezależnieniu polskich przedsiębiorców od Windows.
ZUS http://www.zus.pl/
Płatnik Teletransmisja http://www.zus.gov.pl
Informacja o odkryciu wariantu 3DES http://lists.kernel.pl/pipermail/janosik-devel/2003-August/001472.html
Pierwsza poprawna wiadomość wysłana przez KSI MAIL http://lists.kernel.pl/pipermail/janosik-devel/2003-August/001479.html
|
Analiza SecurID
Paweł Krawczyk
piątek, 15. sierpnia 2003
A. Biryukov, J. Lano i B. Preenel opublikowali
kryptoanalizę funkcji skrótu stosowanej w tokenach SecurID.
Wynika z niej, że szyfr blokowy leżący u podstaw tej funkcji
można złamać stosunkowo łatwo dysponując kilkudziesięcioma wybranymi
tekstami jawnymi, co w praktyce przekłada się na możliwość poznania
tajnego klucza tokena po kilkumiesięcznej obserwacji wyników
zwracanych przez token. Autorzy podkreślają, że przedmiotem ich
analizy była sama funkcja skrótu, nie zaś system SecurID jako całość,
wynik nie przesądza zatem o słabości samego SecurID.
A. Biryukov, J. Lano, B. Preenel
,,Cryptanalysis of the Alleged SecurID Hash Function'' http://eprint.iacr.org/2003/162/
|
Dziurawa CALEA
Paweł Krawczyk
piątek, 18. lipca 2003
Robert X. Cringely opublikował interesujący
artykuł poświęcony CALEA - amerykańskiej ustawie
regulującej obowiązki operatorów telekomunikacyjnych w zakresie
udostępniannia swoich central i łącz służbom śledczym. Ustawa
ma podobny charakter jak często wspominane w naszym serwisie
rozporządzenie Ministra
Infrastruktury, regulujące to samo w odniesieniu do polskich
operatorów.
W swoim artykule Cringely krytykuje CALEA z dwóch stron - technicznej
i proceduralnej. Po pierwsze, same urządzenia podsłuchowe są
zaimplementowane w taki sposób, że jest możliwe stosunkowo łatwe
wykorzystanie ich przez osoby niepowołane. I to nie tylko nieuczciwych
pracowników central. Według informacji autora urządzenia zapewniające
funkcje wymagane przez CALEA (wyszukiwanie po słowach kluczowych
itd) są standardowymi stacjami roboczymi Sun Solaris dostępnymi... w
Internecie. Stacje te nie posiadają żadnych dodatkowych zabezpieczeń
(Secure Solaris, firewalle) i nie spełniają amerykańskich standardów
odnośnie autentyczności gromadzonego materiału dowodowego. Cringely
wymienia także kilkanaście przypadków, kiedy dowody pochodzące z
CALEA nagle ,,pojawiały się'' po jakimś czasie trwania procesu,
były niekompletne a także przypadki włamań na stacje podsłuchowe
dokonywane przez Internet z Izraela lub Rosji.
Miejmy nadzieję, że zastrzeżenia te dadzą do myślenia osobom
odpowiedzialnym za konstrukcję polskich rozporządzeń w tej dziedzinie.
Robert X. Cringely
,,Shooting Ourselves in the Foot'' http://www.pbs.org/cringely/pulpit/pulpit20030710.html
|
DoS na routerach Cisco
Paweł Krawczyk
piątek, 18. lipca 2003
Nowy błąd znaleziony w oprogramowaniu routerów Cisco pozwala na
zablokowanie przetwarzania przez nie ruchu IP. Błąd ten jest o tyle
istotny, że wykryto go we wszystkich wersjach oprogramowania
routerów stanowiących podstawę funkcjonowania dużej części
współczesnego Internetu. Dane blokujący Cisco stanowią 4 pakiety
charakteryzujące się wartością TTL równą 0 lub 1 oraz nietypowymi
numerami protokołów wyższych warstw.
Cisco Security Advisory ,,Cisco IOS Interface Blocked by IPv4 Packet'' http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml
|
NSA opiniuje AES
Paweł Krawczyk
piątek, 18. lipca 2003
Amerykańska Agencja
Bezpieczeństwa Narodowego opublikowała opinię na temat zastosowania algorytmu AES do celów rządowych. Kluczowy
wydaje się punkt 6. opinii, w którym autorzy z NSA stwierdzają że
,,struktura oraz długości kluczy algorytmu AES (...) są wystarczające
do ochrony informacji niejawnej do poziomu TAJNE. Poziom ŚCIŚLE TAJNE
wymaga zastosowania kluczy o długości 192 lub 256 bitów''. Opinia
ta jest o tyle istotna, że stanowi pośrednie potwierdzenie siły AES,
podważonej ostatnio przez ataki XSL, do których jednak NSA nie odniosła
się w żaden sposób w cytowanej opinii.
NSA National Policy on the Use of the Advanced Encryption Standard
(AES) to Protect National Security Systems and National Security
Information http://www.nstissc.gov/Assets/pdf/fact%20sheet.pdf
|
Krytyczna dziura w Windows
Paweł Krawczyk
piątek, 18. lipca 2003
Polska grupa LSD odkryła bardzo poważną, zdalną dziurę we wszystkich aktualnie stosowanych wersjach Windows, w
tym NT 4.0, W2K, XP i Windows 2003 Server. Atak umożliwia
wykonanie dowolnej komendy z najwyższymi uprawnieniami w
systemie. Microsoft potwierdził istnienie błędu, dostępna jest już poprawka.
LSD zapowiedziało udostępnienie szczegółowych informacji o dziurze oraz
exploita kiedy tylko informacja o błędzie rozpowszechni się na tyle, by
dać czas na zainstalowanie poprawek administratorom dziurawych Windows.
LSD ,,Buffer Overrun in Windows RPC Interface'' http://lsd-pl.net/special.html
Microsoft MS03-026 http://www.microsoft.com/security/security_bulletins/ms03-026.asp
|
Nowy trojan zarabia na autorów
Paweł Krawczyk
piątek, 11. lipca 2003
Nowy koń trojański atakuje słabo zabezpieczone Windowsy, uruchamia na
nich serwer WWW z bannerami pornograficznymi, które są reklamowane
za pomocą spamu wysyłanego niezależnie od trojanów. Zaletą takiego
podejścia z punktu widzenia mocodawców trojana jest trudność
namierzenia rzeczywistego źródła pornografii, ponieważ adres IP
przypisany do danej domeny zmienia się co 10 minut, dzięki specjalnemu
serwerowi DNS również instalowanemu przez trojana. Po upływie tego
czasu rekord wiążący nazwę domeny z adresem IP jest przenoszony
na adres kolejnej ofiary. Istnieją również podstawy by sądzić, że
część z tak przygotowanych serwerów została wykorzystana do próby masowego
wyłudzenia pieniędzy od użytkowników PayPal, wiązaną z rosyjskimi
grupami przestępczymi.
Richard M. Smith
New trojan turns home PCs into porno Web site hosts http://lists.netsys.com/pipermail/full-disclosure/2003-July/011139.html
|
Komercyjne Identity Based Encryption
Paweł Krawczyk
piątek, 11. lipca 2003
Firma Voltage Security Inc wkrótce rozpocznie sprzedaż systemu kryptograficznego opartego
o technikę IBE (identity based encryption), o której
pisaliśmy w 2001. System, autorstwa Boneha i Franklina, stanowi
alternatywę dla tradycyjnego PKI, w którym kluczowi publicznemu
użytkownika towarzyszy jego email, nazwa itd, wszystko w postaci
certyfikatu X.509. W IBE sam identyfikator (np. email) jest kluczem
publicznym użytkownika, co jednak jest okupione koniecznością
zastosowania centralnego serwera, który zarządza tymi kluczami
i - co istotniejsze - przechowuje także klucze prywatne użytkowników.
Voltage Security Inc http://www.voltage.com/
|
Defacers Challenge
Paweł Krawczyk
piątek, 4. lipca 2003
Za dwa dni, na 6. lipca zaplanowano konkurs Defacers Challenge,
ogłoszony w dużym stopniu anonimowo za pośrednictwem strony www.defacers-challenge.com.
Reguły konkursu są proste - za każdą podmianę strony głównej jednego
fizycznego serwera włamywacz otrzymuje określoną ilość punktów,
uzależnioną od systemu operacyjnego ofiary oraz stylu przeprowadzenia
ataku. Zwycięzca otrzymuje nagrodę, którą jest domena oraz hosting
na serwerze organizatora. W związku z konkursem można spodziewać się
wzmożonej aktywności włamywaczy w nadchodzącą niedzielę.
Defacers Challenge http://www.defacers-challenge.com/ (google cache)
R. Forno, B Martin
,,Deconstructing the Defacer Challenge Hoax/FUD'' http://www.attrition.org/security/rants/z/defacement-challenge.html
|
Tajemnice Worda
Paweł Krawczyk
środa, 2. lipca 2003
Microsoft Word jest programem znanym z załączania do zapisywanych
dokumentów nadmiarowej informacji bez wiedzy użytkownika. Często
jest to informacja, której autor zdecydowanie nie chciałby tam
zawrzeć. Przekonało się o tym niedawno brytyjskie władze, publikując
raport na temat stanu irackiej armii, jak się okazało będący plagiatem
analogicznej pracy napisanej przez Amerykanów. Analiza ukrytych
przez Worda zapisów w opublikowanym na rządowej stronie dokumencie
dostarczyła dziennikarzom nazwisk osób, które pracowały nad dokumentem
i pozwoliła na powiązanie jednej z kolejnych wersji z amerykańskim
oryginałem.
Richard M. Smith ,,Microsoft Word bytes Tony Blair in the butt'' http://www.computerbytesman.com/privacy/blair.htm
|
Opatentowana steganografia
Paweł Krawczyk
środa, 18. czerwca 2003
Amerykańska armia uzyskała patent na nowatorską
metodę ukrywania informacji w grafice nazwaną Spread Spectrum
Image Steganography (SSIS). Według odkrywców metoda ta jest
lepsza od dotychczas stosowanych technik jeśli chodzi o wykrywalność
(wiele metod steganograficznych narusza statystyczne własności obrazu)
oraz odporność na błędy - do odkodowania ukrytej wiadomości nie jest
niezbędny oryginał lub dokładna kopia obrazu-nośnika.
USPTO 6,557,103 http://cryptome.org/usa-patent.htm
|
Szyfrowany SMS
Paweł Krawczyk
środa, 18. czerwca 2003
Pojawiła się pierwsza przeznaczona dla telefonów komórkowych
aplikacja umożliwiająca wysyłanie szyfrowanych SMSów. Program
Fortress SMS wykorzystuje silne standardy kryptograficzne (szyfrowanie AES,
ochrona integralności) i umożliwia wysłanie SMS zaszyfrowanego
podanym przez użytkownika hasłem. Program jest dostępny wyłącznie
dla telefonów z systemem operacyjnym Symbian v6 (np. Nokia 7650).
Fortress SMS http://www.fortressmail.net/fortress_sms.htm
|
ReVirt, wirtualizacja procesów z historią
Jacek Politowski
piątek, 13. czerwca 2003
W ramach projektu CoVirt -
kompletnej maszyny wirtualnej działającej w oparciu o zmodyfikowane
jądro Linuksa i UMLinuksa autorzy
opracowali system odtwarzania stanu - ReVirt. Dzięki niemu możliwe
jest np. ,,cofnięcie się w czasie'' po wykryciu włamania, w celu
przeprowadzenia dokładniejszej jego analizy.
Narzut na wirtualizację oraz logowanie wynosi ok. 15-30%, jest to może
dużo, w porównaniu do znanego większości VMware. Jednak dzięki swojej
zdolności logowania i odtwarzania stanu wydaje się być doskonałym
narzędziem do tworzenia honeypotów.
Na stronach projektu autorzy zamieścili nawet przykładowy rezultat
działania programu BackTracer, pokazujący w postaci grafu przebieg
sesji, w której włamywacz zdobywa dostęp do shella jednego z
honeypotów, wykorzystując lukę w serwerze HTTP. Następnie za pomocą
wgeta pobiera z sieci plik, rozpakowuje go tarem, po czym uruchamia
ściągnięty program openssl-too, który skanuje inne komputery w
poszukiwaniu podatnych na atak serwerów.
CoVirt http://www.eecs.umich.edu/CoVirt/
User Mode Linux http://www3.informatik.uni-erlangen.de/Research/UMLinux/
|
BugBear atakuje banki
Paweł Krawczyk
środa, 11. czerwca 2003
Prawdopodobnie pierwszym wirusem wypuszczonym
w precyzyjnie określonym celu jest nowy wirus BugBear.B.
Wirus, który zainfekował do tej pory dziesiątki tysięcy komputerów
z Windows, porównuje adres każdej nowej ofiary z wbudowaną listą
ok. 1200 instytucji finansowych z całego świata. W razie trafienia
szuka na zainfekowanym systemie haseł i innych przydatnych informacji,
które nastepnie wysyła na 10 kont emailowych założonych na różnych
darmowych serwerach. Wcześniejszym wirusem o zbliżonym działaniu był
SirCam, który do
kolejnych ofiar wysyłał losowo wybrane dokumenty z pulpitu aktualnie
infekowanego komputera.
SMH ,,US warns banks worldwide about BugBear virus'' http://www.smh.com.au/articles/2003/06/10/1055010959747.html
|
Szyfrowanie w Tlen.pl
Paweł Krawczyk
środa, 11. czerwca 2003
W nowej wersji komunikatora Tlen 3.90 producent chwali się
wprowadzeniem szyfrowania rozmów, co według naszych ustaleń
oznacza tylko ochronę połączeń między samym komunikatorem a
serwerem centralnym. Równocześnie jednak takie zabezpieczenia
nie zostały wprowadzone do udostępnianych przez Tlen modułów
do sprawdzania poczty czy komunikacji z Gadu-Gadu. Zespół JabberPL zauważył że brak ten praktycznie niweluje szyfrowanie wprowadzone
w nowej wersji, ponieważ hasło do obu komunikatorów i poczty jest
najczęściej takie same. Oznacza to, że potencjalny podsłuchiwacz
nie musi wcale łamać szyfrowania bo przechwycone hasło najczęściej
wystarczy mu do przejęcia konta. Przedstawiciel Tlen.pl zapewnił nas,
że informacja na stronie zostanie uściślona, planowane jest także
wprowadzenie szyfrowania do modułów.
Tlen.pl http://tlen.pl/
JabberPL ,,Słabe szyfrowanie w Polsce'' http://jabber.itn.pl/modules.php?name=News&file=article&sid=215
|
100 km rekord kwantowej wymiany klucza
Paweł Krawczyk
poniedziałek, 9. czerwca 2003
Europejski oddział Toshiby ogłosił pobicie nowego rekordu
w kwantowej wymianie kluczy kryptograficznych. Zespół
pod kierownictwem dr Andrew Shieldsa w ramach projektu QLED dokonał
tego na łączu światłowodowym
o długości 100 km. Jest to wymierny wskaźnik postępu w zakresie
prac nad praktycznym systemem kwantowej wymiany klucza - poprzedni
rekord należał do firmy IDquantique (50 km po światłowodzie) lub
z innego punktu widzenia do firmy QuinetiQ, która dokonała tego
na dystansie 23 km ale za to przez powietrze.
Projekt Q-LED http://www.osda.org.uk/projects/QLED.html
|
Nowa klasa ataków DOS
Paweł Krawczyk
piątek, 30. maja 2003
Scott A. Crosby i Dan S. Wallach opublikowali artykuł w
którym omawiają nową klasę ataków DOS nazwaną roboczo ,,atakami
z wykorzystaniem złożoności obliczeniowej''. Ataki te polegają na
wprowadzeniu do atakowanego systemu danych wejściowych spreparowanych
w taki sposób, by stanowiły one najgorszy możliwy przypadek z
punktu widzenia ich przetwarzania, tym samym degenerując wydajność
systemu. Przykładowo, systemy komputerowe wykorzystujące drzewa binarne
oraz tablice haszujące są podatne na takie ataki. Autorzy przedstawiają
szereg przykładów aplikacji na nie podatnych w różnym stopniu, wśród
nich Python, Tcl, Perl ale także DJBDNS czy kernel Linuksa.
Scott A. Crosby, Dan S. Wallach
,,Denial of Service via Algorithmic Complexity Attacks'' http://www.cs.rice.edu/~scrosby/hash/
|
Zwykłe hasła w SSL/TLS?
Paweł Krawczyk
czwartek, 29. maja 2003
Peter Gutmann, nowozelandzki kryptolog i autor
wielu krytycznych publikacji na temat PKI, opublikował propozycję wprowadzenia do protokołu TLS (nowsza wersja SSL) prostego
uwierzytelnienia stron za pomocą hasła. Jednym z problemów
implementacyjnych związanych z wykorzystaniem TLS jest konieczność
zastosowania całej skomplikowanej infrastruktury klucza publicznego
wraz z urzędami certyfikującymi i certyfikatami X.509, nawet to
najprostszego szyfrowanego połączenia między dwoma aplikacjami. Poza
kłopotliwą obsługą, wykorzystanie kryptografii asymetrycznej jest
bardzo kosztowne obliczeniowo co jest problemem w środowiskach o
małej mocy obliczeniowej lub tam gdzie użytkownik płaci za czas
procesora. Propozycja Gutmanna wykorzystuje już istniejący w TLS
mechanizm zapamiętywania sesji (session caching) i umożliwia
wprowadzenie własnego klucza symetrycznego podczas symulowanego
,,przypominania'' sesji.
P. Gutmann ,,Use of Shared Keys in the TLS Protocol'' http://www.ietf.org/internet-drafts/draft-ietf-tls-sharedkeys-00.txt
|
Konkurs dla polskich włamywaczy
Michał Świerszcz
środa, 28. maja 2003
Stowarzyszenie "Młodzi Europy" oraz Młodzieżowa Rada Miejska Rudy Śląskiej
organizują dla internetowych włamywaczy Turniej pod nazwą "Security Day".
Zwycięzcą turnieju zostanie ten, kto pierwszy włamie się na wskazany w
regulaminie serwer umieszczając na nim swoje dane - pseudonim, adres email
oraz podany na formularzu zgłoszeniowym "tekst rejestracyjny".
Update z 30. maja: serwer turnieju został dziś
rano podmieniony przez włamywacza, który zostawił pozdrowienia dla organizatorów.
Turniej ,,Security Day''
http://www.turniej.iolnet.pl/
Shackowana strona turnieju http://arch.ipsec.pl/turniej-hacked.html
|
Wirusologia nauką akademicką
Paweł Krawczyk
wtorek, 27. maja 2003
Uniwersytet w Calgary wprowadził kurs wirusologii
komputerowej do programu szkolenia akademickiego od jesieni
2003. Studenci będą uczyć się nie tylko jak chronić się przed
wirusami - poznają szczegółowo stosowane przez autorów wirusów
techniku ukrywania i utrudniania śledzenia kodu, wyszukiwania ofiar
i rozmnażania oraz inne najnowsze trendy na tym polu. Uzasadnienie
wprowadzenia takiego kursu jest bardzo proste - przyszli twórcy
oprogramowania antywirusowego muszą doskonale poznać to przed czym mają
chronić, by niewiedza nie stawiała ich na z góry przegranej pozycji.
University of Calgary
,,Computer viruses - a viral approach'' http://www.ucalgary.ca/news/may03/virus.html
|
IPSec NAT-T w Windows 2000/XP
Paweł Krawczyk
poniedziałek, 26. maja 2003
Microsoft udostępnił długo oczekiwane uzupełnienie dla
Windows 2000 oraz XP rozszerzające wbudowaną w te systemy
implementację protokołu IPSec o mechanizm NAT Traversal,
umożliwiający nawiązywanie sesji ISAKMP i IPSec przez bramki
prowadzące translację adresów (NAT). Dodatkowo poprawka dodaje
obsługę grup Diffie-Hellmana o długości 2048 bitów, co
stanowi wartościowe rozszerzenie dotychczasowych grup
MODP 1024 i 1536.
Microsoft ,,L2TP/IPSec NAT-T Update for Windows XP and Windows 2000'' http://support.microsoft.com/default.aspx?scid=kb;LN;818043
|
Studium Gatora
Paweł Krawczyk
czwartek, 22. maja 2003
O Gatorze słyszało zapewne
większość użytkowników Windows, którzy mieli okazję instalować
programy freeware lub ad-ware. Program, w skrócie służący
do precyzyjnego dobierania reklam do preferencji przeciętnego
użytkownika Internetu jest otoczony wieloma legendami dotyczącymi
szpiegowania i profilowania ofiar. Wiele z nich wyjaśnia raport
Bena Edelmana sporządzony na podstawie obserwacji zachowań Gatora
przy pomocy sniffera. Warto również zapoznać się z innymi publikacjami
Edelmana, dotyczącymi m.in. nadużyć domenowych na wielką skalę.
Ben Edelman ,,Documentation of Gator Advertisements and Targeting'' http://cyber.law.harvard.edu/people/edelman/ads/gator/
Ben Edelman Publications http://cyber.law.harvard.edu/edelman.html#pubs
|
Podsłuch telefonów i emaili
Paweł Krawczyk
środa, 14 maja 2003
Nowe rozporządzenie Ministra
Sprawiedliwości określi sposób technicznego przygotowania
sieci telekomunikacyjnych do kontroli rozmów telefonicznych
oraz innych przekazów, w tym poczty elektronicznej. Rozporządzenie.
Równocześnie przygotowywana jest nowelizacja
kodeksu postępowania karnego, która sankcjonuje to rozporządzenie.
Projekt rozporządzenia http://forum.vagla.eu.org/discus/messages/24/134.html
|
Dziurawy Passport
Paweł Krawczyk
piątek, 9. maja 2003
Wczoraj rano na liście Bugtraq pojawiła się informacja
o odkryciu przez pakistańskich badaczy poważnej dziury
w należącym do Microsoftu systemie uwierzytelnienia Passport, który umożliwiał
trywialną zmianę hasła na dowolnie wybranym koncie a następnie
nieograniczony dostęp do jego zasobów.
Odkrywca, pakistańczyk Muhammad Faisal Rauf Danka twierdzi że
problem musiał być znany dużo wcześniej, bo sam odkrył go dopiero gdy
kilka kont Hotmail należących
do jego znajomych zostało przejętych przez nieznanych sprawców.
Problem może mieć
poważniejsze konsekwencje niż dotychczas znajdowane w rozmaitych
serwisach internetowych dziury - na mocy ugody, którą Microsoft
zawarł z Federalną Komisją Handlu (FTC) za każde naruszenie obietnic
dotyczących bezpieczeństwa Passportu firmie grozi kara w wysokości
11 tys. USD.
W tym przypadku kwota ta, pomnożona przez ilość
kont Hotmaila (każde jest traktowane jako osobne naruszenie ugody)
daje astronomiczną kwotę 2200 mld USD. Ugoda z FTC zakończyła proces
wytoczony Microsoftowi za potencjalnie niebezpieczną koncentrację
poufnych danych oraz nieuzasadnione - zdaniem FTC - zapewnienia
Microsoftu co do ich bezpieczeństwa, które po raz kolejny zweryfikowało
życie.
PakCERT Security Advisory PC-080503
http://www.pakcert.org/advisory/PC-080503.txt
Muhammad Faisal Rauf Danka ,,Hotmail & Passport (.NET Accounts) Vulnerability'' http://lists.netsys.com/pipermail/full-disclosure/2003-May/009593.html
|
Bezpłatne testy ISS
Magdalena Chełstowska
czwartek, 8. maja 2003
ISS i K2Net oferują bezpłatną kontrolę zabezpieczeń IT Firma
Internet Security Systems wspólnie z firmą K2Net specjalizującą się w zagadnieniach ochrony danych i niezawodności
systemów informatycznych oraz dystrybutorem ISS, firmą Veracomp uruchomiły bezpłatny
program kontroli poziomu zabezpieczeń systemu IT na ataki z
zewnątrz. Najważniejszym celem tego programu jest zwiększenie
bezpieczeństwa systemów informatycznych oraz podniesienie
świadomości potencjalnych zagrożeń wśród administratorów sieci
komputerowych. Usługa polega na przeprowadzeniu testów penetracyjnych
bramki internetowej i serwerów internetowych przy użyciu oprogramowania
RealSecure Internet Scanner. Testy pozwolą określić podatność systemów
na znane ataki hakerskie, robaki internetowe i wirusy. Efektem testów
jest szczegółowy raport tekstowy i graficzny opisujący wykryte luki
wraz z zalecanymi metodami usunięcia ich.
|
Szyfratory z czasów wojny
Paweł Krawczyk
piątek, 2. maja 2003
Aby zobaczyć szczegóły konstrukcji najtajniejszych urządzeń z czasów
II Wojny Światowej warto zajrzeć na udostępnione przez Cryptome
patenty legendarnego amerykańskiego kryptologa Willama Friendmana (6,097,812 i 6,130,946 z lat 1933-36) oraz dwóch kolejnych
pracowników NSA, Safforda i Seilera (6,175,625 z 1944 roku). Opisują one elektromechaniczne szyfratory stosowane
przez Amerykanów w trakcie i po wojnie.
6,097,812 http://cryptome.org/nsa-patents/friedman-1933.htm
6,130,946 http://cryptome.org/nsa-patents/friedman-1936.htm
6,175,625 http://cryptome.org/nsa-patents/safford-1944.htm
|
Szyfry strumieniowe oparte na LFSR
Nicolas T. Courtois
poniedziałek, 28. kwietnia 2003
Szyfry strumieniowe sa uzywane w telekomunikacji, a takze przez
wojsko i dyplomatow. Ich glowna zaleta jest taka ze nie tylko
pozwalaja na zaszyfrowanie wiadomosci, ale na zakamuflowanie samego
faktu istnienia wiadomosci (co jest w wielu przypadkach rownie wazne
jezeli nie wazniejsze od poznania jej tresci).
Kazdego roku pojawia
sie dziesiatki prac na temat projektowania i lamania (kryptanalizy)
szyfrow strumieniowych. Bardzo popularne sa szyfry strumieniowe oparte
na rejestrach presuwajacych ze sprzezeniem zwrotnym (LFSR). Najnowsze
odkrycia dokonane przez Dr. Nicolas Courtois, kryptologa polskiego
pochodzenia pokazuja ze bardzo wiele z nich, do niedawna uwazanych
za bardzo bezpieczne, mozna stosunkowo latwo zlamac. Dotyczy to w
szegolnosci szyfrow LILI-128 (byly kandydat na standard europejski
w ramach programu Nessie), Toyocrypt (byly kandydat na standard dla
rzadu japonskiegeo) , E0 (obecnie szeroko stosowany w ramach interfejsu
Bluetooth), a takze wielu innych (specyfikacje wielu tego typu szyfrow
nie sa niestety opublikowane i po ich opublikowaniu moze okazac sie
ze sa one bardzo slabe).
Aby dowiedziec sie wiecej na ten temat: odczyt na temat algebraicznych
atakow dla szyfrow strumieniowych, zostanie wygloszony prze
Dr. Nicolas T. Courtois (po angielsku) w ramach tegorocznej
Europejskiej konferencji kryptograficznej EUROCRYPT - w tym roku
wyjatkowo w Warszawie, 4-8 maja 2003, Palac Kultury i Nauki (Patrz IACR).
Bardziej przegladowy odczyt na temat algebraicznych atakow dla
roznych szyfrow (ze szczegolnym naciskiem polozonym na AES), Nicolas
T. Courtois (po angielsku) - konferencja QUO VADIS Cryptography (patrz
Enigma).
Wstep na obie konferencje jest niestety platny. A oto
(bezplatne) strony internetowe na ten temat: srona
internetowa na temat algebraicznych atakow na szyfry
strumieniowe z lista opublikowanych artykolow na ten temat: http://www.cryptosystem.net/stream/.
Strona internetowa na temat algebraicznych atakow na AES i inne
szyfry blokowe z lista opublikowanych artykolow na ten temat: http://www.cryptosystem.net/aes/.
Z cala pewnoscia, ataki algebraiczne dla szyfrow blokowych (np. AES) i
strumieniowych sa najwiekszym odkryciem w dziedzinie metod kryptanalizy
szyfrow ostatnich 10 lat. W dodatku te metody ataku sa bardzo ogolne
i nalezy sie z nimi liczyc przy projektowaniu praktycznie wszystkich
szyfrow.
|
Anonimowe blogi
Paweł Krawczyk
poniedziałek, 28. kwietnia 2003
Serwis InvisiBlog oferuje możliwość anonimowego publikowania własnych
blogów. Autor bloga wysyła nowe wpisy za pomocą remailerów Mixmaster.
Autorzy serwisu podkreślają, że ich serwis nie jest
odporny na cenzurę, ponieważ blogi są publikowane na
serwerze normalnego ISP i mogą być usunięte z nakazu wymiaru
sprawiedliwości. Niemożliwe jest natomiast wyśledzenie autora
publikacji co mogło uchronić przed niebezpieczeństwem bloggerów z Iraku, Iranu,
Tunezji i Kuby, którzy za swoje publikacje byli aresztowani,
torturowani lub znikali bez śladu.
Invisiblog http://invisiblog.com/
|
Certyfikaty SSL za darmo (przez chwilę)
Paweł Krawczyk, c0g
niedziela, 27. kwietnia 2003
Do 9. maja firma FreeSSL wystawia certyfikaty SSL dla serwerów za darmo. Według zapewnień
są to pełnoprawne certyfikaty, takie jak wystawione przez Thawte
czy VeriSign. Po zgłoszeniu swojego CSR firma automatycznie
weryfikuje autentyczność klienta za pomocą emaila na predefiniowane
adresy email w certyfikowanej domenie oraz telefonicznie. Certyfikaty
wystawiane przez FreeSSL są akceptowane przez większość nowych
przeglądarek bez ostrzeżeń o nieznanym urzędzie podpisującym, co
jest podstawowym problemem przy korzystaniu z certyfikatów self
signed.
http://www.freessl.com/
|
NSA w unijnej policji
Paweł Krawczyk
piątek, 25. kwietnia 2003
Wewnętrzny dokument STOA (komórka UE prowadząca analizy naukowe i
technologiczne) ostrzega Parlament Europejski przed niebezpieczeństwem
jakie niesie ze sobą zbytnie poleganie na standardach i technologiach
wyprodukowanych przez USA. W dokumencie wskazano wprost na daleko
idącą współpracę Motoroli z NSA podczas projektowania europejskiej
sieci TETRA, używanej przez policję i służby ratunkowe UE. Niepokój
autorów notatki budzi fakt, że sieć stanowiąca kluczowe medium wymiany
poufnych informacji mających duże znaczenie dla bezpieczeństwa
i gospodarki Unii została zaprojektowana w USA przy współudziale
agencji wywiadu elektronicznego. W dokumencie wspomniano także o
Polsce - naszej policji także zaproponowano (w ramach offsetu) sieć
łączności produkcji Motoroli. Unia przestrzega nowych członków by
,,starannie rozważyli ryzyku zbyt dużego polegania na technologii
która nie posiada gwarancji [bezpieczeństwa]''.
Należy jednak przypomnieć, że ochronę informacji niejawnej regulują
u nas odpowiednie przepisy i do łączności o wyższych poziomach zastrzeżenia
zostają dopuszczone wyłącznie urządzenia posiadające certyfikat ABW, co
wiąże się m.in. z dokładną analizą zabezpieczeń zastosowanych przez
producenta. Certyfikacja znacznie zmniejsza szansę umieszczenia w urządzeniu
,,tylnej furtki'' dostępnej producentowi lub obcemu wywiadowi. Dodatkowo,
do ochrony informacji o najwyższym stopniu poufności dopuszczane są
wyłącznie urządzenia zaprojektowane i wyprodukowane w Polsce.
Można jednak podejrzewać, że wraz z wejściem Polski do Unii coraz
częstsze będą wysiłki USA by z naszego terytorium prowadzić nasłuch
skierowany nie tylko w stronę Rosji, ale także Unii.
NSA to intercept TETRA police networks http://cryptome.org/nsa-tetra.htm
|
Odpowiedzi
Dodaj nową odpowiedź