Nowa praca dyplomowa w Bibliotece
poniedzialek, 19. wrzesnia 2005 Dzieki uprzejmosci Konrada Malewskiego mozemy zaprezentowac nowa prace dyplomowa w naszej Bibliotece. W pracy oceniano skutecznosc atakow DDoS na rozne systemy operacyjne. |
Zmiany w IPSec.pl
środa, 30.czerwca 2005 Serwis IPSec.pl działa na nowym serwerze. Serwis ma teraz również inną strukturę - aktualności z dziedziny bezpieczeństwa publikujemy obecnie na Security ComputerWorld. IPSec.pl bedzie docelowo zmieniac profil na katalog i archiwum zasobów związanych z bezpieczeństwem sieci. |
Kolejna duża liczba pierwsza poniedziałek, 21. lutego 2005 W ramach projektu GIMPS odkryto kolejną ogromną liczbę pierwszą Mersenne'a. Informacja jest nieoficjalna ale jeśli zostanie potwierdzona, to nowa liczba będzie 42-gą, największą obecnie znaną liczbę postaci 2p-1. Liczy takie są nazywane liczbami Mersenne'a. Projekt GIMPS http://www.mersenne.org/ |
Dziury w szyfrowaniu MS Word i Excel
środa, 19. stycznia 2005 W szyfrowaniu dokumentów zapisywanych przez najnowsze wersje Worda i Excela odkryto błędy, które niweczą szyfrowanie w przypadku powtórnego zapisania pliku ze zmianami. Problem wynikał stąd, że programy nie zmieniają wektora inicjalizującego przy zapisywaniu kolejnej - zmienionej - wersji dokumentu. W rezultacie uzyskujemy dwa dokumenty z różnymi tekstami jawnymi i tym samym kluczem. Ponieważ zastosowany jest szyfr strumieniowy XOR taka metoda szyfrowania jest fatalnym błędem opisanym szczegółowo w naszym leksykonie. ComputerWorld: "Microsoft: błąd w szyfrowaniu Worda i Excela" http://security.computerworld.pl/news/74618.html |
Praca we Wrocławiu
piątek, 14. stycznia 2005 Siemens sp. z o.. (biuro regionalne we Wrocławiu) poszukuje osoby dobrze znającej zagadnienia bezpieczeństwa sieci (szczególnie technologii IPSec) oraz język programowania C/C++. Zainteresowanych prosimy o wypełnienie formularza "Specjalista ds. Informatyki COM/SDC/PD/B" znajdującego się na stronie Siemensa. |
Wirtualne płatności - książka Damiana Daszkiewicza
poniedziałek, 17. stycznia 2004 Nakładem wydawnictwa Złote Myśli ukazała się książka Damiana Daszkiewicza poświęcona m.in. bezpieczeństwu płatności elektronicznych. Dostępna jest recenzja tej publikacji. |
Nowy MAC Bernsteina piątek, 14. stycznia 2005 D.J. Bernstein, znany z niekonwencjonalnych i bezkompromisowych rozwiązań w zakresie bezpieczeństwa i kryptografii opublikował nowy algorytm bezpiecznego skrótu wiadomości (MAC) o roboczej nazwie Poly1305-AES. Algorytm charakteryzuje się gwarantowanym bezpieczeństwem, modularnością (zamiast AES można użyć innego szyfru) i bardzo wysoką wydajnością. Algorytmy MAC mają o wiele szersze zastosowania niż nawet szyfry - wykorzystuje się je na każdym kroku do potwierdzania autentyczności i integralności danych, skracania haseł itd. D.J. Bernstein "Poly1305-AES" http://cr.yp.to/mac.html |
Hakin9 , numer 6/2004 ? obecny ! piątek, 10 grudnia 2004 Ukazała się 'nowa wersja' Hard Core IT Security Magazine. Recenzja w dziale recenzje tuż obok. |
Fedora Core 3 obecna wtorek, 16 listopada 2004 Od kilku dni mamy możliwość ściągania Fedory Core w wersji 3. W odróżnieniu od wersji 2 wersja 3 ma domyślnie uruchamiana opcję instalacji SELinux. Nowością w wersji 3 jest istnienie dwóch rodzajów polis. Domyślną polisą bezpieczeństwa staje się polisa określona jako polisa 'docelowa' (targeted policy). Polisa ta stosuje politykę restrykcji SELinux tylko do części działających procesów i demonów, min: named, httpd, dhcpd, portmap, squid, nscd, syslogd, snmpd , ntpd. Pozostałe procesy działają w domenie unconfined_t, w której stosowany jest standardowy tryb kontroli dostępu DAC (discretionary access controls). Drugą z dostępnych polis jest standardowa polisa 'ścisła' (strict policy), w której wszystkie procesy bez wyjątku poddane są zasadom MAC określonym przez architekturę SELinux. What's New in Fedora Core 3 SE Linux http://www.linuxjournal.com/node/7887 |
Bomba z opóźnionym zapłonem. poniedziałek, 15 listopada 2004 Przygotuj się na problemy z aplikacjami typu 'web-based'. Brytyjska firma NGS Software zajmująca się konsultacjami z dziedziny bezpieczeństwa przewiduje wzrost ataków na osobiste komputery z wykorzystaniem zaszytego w aplikacjach webowych kodu z 'opóźnionym zapłonem'. W opublikowanym dokumencie NGS prezentuje swoje wnioski na temat 'zmieniającego się kształtu bezpieczeństwa'. Gunter Oldman, autor publikacji wyjaśnia : '[...] w pewnych przypadkach możliwym dla atakującego może stać się wstrzyknięcie szkodliwego kodu w obszar danych. Kod taki może zostać wykonany w późniejszym czasie.' Przykładem może być końcowy interfejs WWW, który pobiera dane dla późniejszego ich przetworzenia przez aplikację. Odpowiednie spreparowanie danych może spowodować, że dane te zostaną potraktowane jako kod do wykonania w trakcie ich późniejszego wykonywania. O sposobie wykorzystania ukrytego kodu zadecydować może już sam napastnik (np. zlecając mu instalacje konia trojańskiego). Problem jest na tyle poważny, że część słabości może ujawniać się nie w trakcie działania samej aplikacji, ale dopiero w momencie przetwarzania konkretnych, spreparowanych danych. Say hello to the 'time bomb' exploit http://www.theregister.co.uk/2004/11/12/time_bomb_exploit/ |
Bankomaty pod obstrzałem niedziela, 07 listopada 2004 Już wkrótce może się okazać, że odnalezienie sprawnego bankomatu w mieście może okazać się prawdziwą sztuką. Zwłaszcza w dobie plagi internetowych wirusów. Problem spowodowany być może bardzo prosto - coraz więcej banków decyduje się na wyposażanie swoich bankomatów w system operacyjny giganta z Redmont (Microsoft dla niezorientowanych). Problemem może być tutaj zakończenie wsparcia systemu OS/2, w który wyposażona jest znaczna część "ścian". Co prawda eksperci uspokajają, iż "wszystko jest pod kontrolą". Znając jednak historię bezpieczeństwa systemu Windows oraz jego zamknięty kod, można przewidzieć sytuację, że mimo podjętych prób zabezpieczeń bankomat przywita nas ekranem znanym nam z niejednej stacji z "Windozami" (np. "program wykonał niedozwoloną operację i nastąpi jego zamknięcie"). Sądzę, iż to tylko kwestia czasu, gdy plaga wirusów będzie równoznaczna z problemem podjęcia pieniędzy. Stary system, mimo, że prosty i toporny zapewnia jednak posiadanie prostej cechy - za czasów jego powstawania nikt nie myślał o sieciowych organizmach buszujących w sieci a w chwili obecnej nikt nie jest zbytnio zainteresowany pisaniem takich stworzeń na owe systemy. Cóż, widocznie ilość kolorowych plam na ekranie bankomatu (koniecznie przynajmniej 24-bitowa paleta) plus dodatki takie jak opcja prognozy pogody na najbliższy miesiąc, będą w przyszłości w bankomatach ważniejsze, niż toporne ale bezbłędne i szybkie działanie. Dla mnie niestety nie. Jeśli jest ktoś w stanie wytłumaczyć mi, czemu silnikiem takich bankomatów nie mógłby być system Linux lub któryś z członków rodziny BSD (na dodatek bezpłatne) to chętnie takiej odpowiedzi bym posłuchał. Myślę, że oprócz wygody banków argumentów jest niewiele.... |