Archiwum IPSec.pl od 19. maja 2004 do 12. października 2004

2008-05-21 00:00:00 +0100


SANS Top 20
Paweł Krawczyk
wtorek, 12. października 2004

SANS opublikował nową wersję listy dwudziestu najczęstszych dziur w systemach operacyjnych.

Lista "Top 20" ma na celu zmobilizowanie administratorów dziurawych serwerów do aktualizacji oprogramowania i jest podzielona na dwie części - uniksową i windowsową. Na liście dziur w Windows na najwyższych miejscach figurują błędy w serwerach WWW, stacjach roboczych i RAS. Dla systemów uniksowych w czołówce figuruje niezmiennie BIND, niedokonfigurowane serwery WWW i słabe hasła.

SANS Top 20 2004 http://www.sans.org/top20/


Dziury w Oracle
Wojtek Dworakowski
poniedziałek, 9. sierpnia 2004

Znany badacz bezpieczeństwa produktów Oracle - David Litchfield z firmy Next Generation Security Software oświadczył na konferencji BlackHat Briefings, że odkrył 34 nowe podatności w różnych produktach Oracle, nie wyłączając najnowszych wersji 10g.

Litchfield powiedział, że poinformował Oracle o podatnościach już w styczniu tego roku. Dwa miesiące temu uzyskał informacje że korporacja przygotowała poprawki jednak nie udostępnia ich ze względu na... nowy system dystrybucji poprawek nad którym pracują programiści Oracle. Litchfield nie ujawnił publicznie szczegółów technicznych, jednak wiadomo że przynajmniej jedna z podatności pozwala na przejęcie kontroli nad bazą zdalnie, bez konieczności znajomości haseł i innych metod uwierzytelnienia (sugeruje to podatność w Oracle Listener). Ponad połowa wykrytych podatności ujawnia się również w najnowszej wersji bazy Oracle - 10g, przy czym 3 podatności są charakterystyczne tylko dla 10g i nie dotyczą poprzednich wersji. Jak na razie nie został publicznie ujawniony żaden exploit wykorzystujący nowe podatności. Brak również doniesień o szerokim pojawieniu się exploitów w społecznościach hackerów. Do czasu pojawienia się poprawek, eksperci radzą żeby oprzeć się na standardowych zasadach dobrej praktyki, a więc: - nie wystawiać zbędnych usług do sieci publicznych, - ograniczać dostęp do serwerów bazodanowych w sieci wewnętrznej, - stosować zasadę najmniejszych przywilejów, - na bieżąco sprawdzać nowe poprawki. Oracle nie potwierdziło ani nie zaprzeczyło doniesieniom. W informacji przesłanej do CNET News.com czytamy: "Security is a matter we take seriously at Oracle and, while we stand firmly behind the inherent security of our products, we are always working to do better. Oracle has fixed the issues...and will issue a security alert soon."

ZDNet: "Oracle Software 'Riddled With Security Holes" http://news.zdnet.co.uk/software/applications/0,39020384,39162426,00.htm


Turniej "Security Days 2"
Paweł Krawczyk
poniedziałek, 9. sierpnia 2004

16 sierpnia 2004 rozpocznie się pierwszy etap Turnieju "Security Days 2". W finale Turnieju trzech najlepszych uczestników zostanie podzielonych na: hakera, administratora sieci, audytora.

Turniej "Security Days 2" http://www.mti.org.pl/securitydays/


Nagrody Wielkiego Brata
Paweł Krawczyk
wtorek, 3. sierpnia 2004

Organizacja Privacy International przyznała nagrody Big Brother Awards 2004, które co roku otrzymują organizacje i firmy w najbardziej rażący sposób naruszające prywatność obywateli.

Nagrody są przyznawane w kategoriach takich jak najbardziej wścibska firma czy urząd publiczny naruszający prywatność. W tym roku wśród zwycięzców znaleźli się na przykład British Telecom za nadgorliwe filtrowanie treści mniej lub bardziej związanych z golizną czy projekt Unii Europejskiej "Safe Harbor", regulujący (czyli de facto legalizujący) wysyłanie danych osobowych obywateli Unii do firm amerykańskich.

The 6th UK Big Brother Awards http://www.privacyinternational.org/bigbrother/uk2004/shortlist.html


Praca dyplomowa o DOS
Paweł Krawczyk
środa, 21. lipca 2004

Dzięki uprzejmości autora otrzymaliśmy kolejną pracę magisterską poświęconą obronie przed atakami DoS. Praca Marcina Żurakowskiego stanowi nie tylko doskonałe i szczegółowe omówienie popularnych ostatnio ataków DoS, ale także zawiera propozycję rozwiązania przed nimi chroniącego. Praca powstała na Politechnice Wrocławskiej pod opieką dr inż. Przemysława Kazienko.

Marcin Żurakowski "Obrona przed atakami typu odmowa usługi (oOS)" http://inet4u.esol.pl/opatou-dos.pdf


Publiczne łamanie MD5
Paweł Krawczyk
poniedziałek, 19. lipca 2004

W sieci dostępny jest nowy serwis PassCracking, pozwalający na bezpłatne łamanie haszy MD5. Do łamania wykorzystywana jest zoptymalizowana technika wykorzystująca tablice o wielkości około 50 GB.

PassCracking http://passcracking.com/


Agresywne strony WWW
Paweł Krawczyk
czwartek, 1. lipca 2004

Dzięki uprzejmości dra Patkowskiego z Wojskowej Akademii Technicznej i samego autora Macieja Rychtera (maciej_rychter@o2.pl) prezentujemy pracę dyplomową Agresywne strony WWW.

Maciej Rychter, WAT, "Agresywne strony WWW" http://arch.ipsec.pl/Agresywne Strony WWW.pdf


DDoS na Akamai
Paweł Krawczyk
wtorek, 22. czerwca 2004

Niedawny atak na firmę Akamai Technologies pokazał, że jest możliwe prowadzenie zaawansowanych technicznie ataków nawet przeciwko firmom do tego przygotowanym.

Akamai oferuję usługę rozproszonego hostingu polegającego w skrócie na tym, że strona danej firmy jest prezentowana klientom przez kilkaset serwerów z całego świata. Wybór serwera jest dokonywany automatycznie w zależności od IP klienta, a uaktualnienia są prowadzone szybkimi i bezpiecznymi kanałami. Dzięki temu strona firmy korzystającej z Akamai jest w dużej mierze odporna na ataki DDoS - głównie dlatego że nie leży na jednym serwerze, a na wielu.

Ubiegłotygodniowy atak był skierowany przeciwko serwerom DNS, które stanowią serce systemu Akamai, bo odpowiadają za skierowanie klienta do odpowiedniego serwera. Atak, którego szczegóły techniczne nie są znane, spowodował problemy z łącznością u 50 z 1100 klientów Akamai.

ComputerWorld: Jaikumar Vijayan "Akamai Attack..." http://www.computerworld.com/securitytopics/security/story/0,10801,93977,00.html


PAX dla Win32
Paweł Krawczyk
piątek, 11. czerwca 2004

Firma NGSec wypuściła oprogramowanie chroniące przed atakami przez przepełnienie bufora dla systemów Windows.

Pod systemy Linux i BSD takie rozwiązania są dostępne od dawna (OpenWall, PAX). Microsoft zapowiedział wprowadzenie takiej technologii dopiero w Windows działających na najnowszych procesorach Intela i AMD, posiadających sprzętową ochronę pamięci przed wykonywaniem. NGSec sportował pod Windows znany linuksowy projekt PAX i promuje go pod nazwą StackDefender. Nie należy się jednak spodziewać zbyt dużego rozpowszechnienia StackDefendera wśród zwykłych użytkowników - licencja kosztuje prawie 850 USD.

NGSec StackDefender http://www.ngsec.com/ngproducts/stackdefender/


Bezpieczeństwo Linuksa w Zielonej Górze
Paweł Krawczyk
piątek, 4. czerwca 2004

Zielonogórska Grupa Użytkowników Linuksa serdecznie zaprasza na wykład "Podstawy bezpieczństwa systemu Linux".

Wykład jednocześnie będzie zamykał cykl poświęcony podstawom Linuksa. Poprowadzi go Piotr Zięba. Wykład odbędzie się 09 czerwca o godzinie 18:00 w sali 227 w budynku A-2 Uniwersytetu Zielonogórskiego przy ulicy Podgórnej 50. Wszystkich zaintersowanych serdecznie zapraszamy.

Zielonogórska Grupa Użytkowników Linuksa http://zgul.ime.uz.zgora.pl/


Koniec Grsecurity?
Piotr Kuliński
środa, 2. czerwca 2004

Na stronie Grsecurity (zaawansowane funkcje bezpieczeństwa dla Linuksa) pojawiła się informacja "Począwszy od dzisiaj, 31 maja 2004 rozwój grsecurity zostaje wstrzymany. Od 7 czerwca strony www, forum, lista mailowa oraz CVS będą niedostępne".

Zamknięcie projektu autor tłumaczy nagłym wstrzymaniem dopływu funduszy ze strony sponsora. Jak nietrudno zauważyć po emocjonalnym zabarwieniu informacji, "zamknięcie kurka" z pieniędzmi musiało być rzeczywiście nieoczekiwane dla autora grsecurity. Miejmy jednak nadzieję, że kryzys jest krótkotrwały a ta pożyteczna i szeroko stosowana łatka będzie nadal dostępna i rozwijana.

grsecurity.net http://www.grsecurity.net/


Email bez dowodu osobistego
Paweł Krawczyk
środa, 2. czerwca 2004

Sejmowa komisja infrastruktury poinformowała, że projekt nowej ustawy "Prawo telekomunikacyjne" nie będzie zawierał zapisu o konieczności identyfikacji osób zakładających konta email.

Propozycja taka pojawiła się w pierwszej wersji projektu. Została ona mocno oprotestowana przez portale oferujące darmowe konta email. Poseł Piechociński (PSL), który jest przewodniczącym komisji odpowiedzialnej za projekt zapewnił, że zapisów tych nie ma już w drugiej wersji ustawy oraz że będzie także starał się o usunięcie zapisów wymagających rejestracji komórek na karty (prepaid) jako nieskutecznych.

Onet: "Piechociński: e-mail bez dowodu osobistego" http://gospodarka.gazeta.pl/gospodarka/1,34912,2106093.html


AirDefense o atakach WLAN
Paweł Krawczyk
środa, 2. czerwca 2004

Firma AirDefense przedstawiła raport po konferencji NetWorld+Interop, na której analizowała ruch WLAN generowany przez uczestników.

Konferencja sieciowa z darmowymi punktami dostępowymi WLAN jest jednym z ciekawszych miejsc do analizowania praktycznej strony ataków na sieci bezprzewodowe. AirDefense zarejestrowało na konferencji wszystkie znane ataki WLAN - w tym fałszowanie adresów MAC, ataki DoS, próby łamania haseł a nawet ataki na protokół VRRP. Nowością były rozpowszechnione ataki na Bluetooth, skierowane przeciwko telefonom komórkowym i innym urządzenim przenośnym.

AirDefense: "Users Struggled to Connect to N+I Conference WLAN on Day Two" http://www.airdefense.net/newsandpress/05_13_04.shtm


ECHELON podsłuchiwał Millera
Paweł Krawczyk
środa, 2. czerwca 2004

W lutym 2003 roku brytyjski wywiad podsłuchiwał premiera Leszka Millera, aby upewnić się, czy Polska na pewno wyśle wojsko do Iraku - napisał w najnowszym numerze tygodnik "Wprost".

Według "Wprost", który z kolei powołuje się na brytyjski "Sunday Express", podsłuch miałby być realizowany elektronicznie za pomocą środków będących w dyspozycji brytyjskiej agencji GCHQ i amerykańskiej NSA. Środki te, obejmujące radiowe stacje nasłuchowe i ośrodki przetwarzania danych określa się powszechnie jako system ECHELON.

Onet: "Brytyjscy eksperci o podsłuchiwaniu Millera" http://info.onet.pl/925430,12,item.html?


VIA z szyfrowaniem RSA
Paweł Krawczyk
sobota, 22. maja 2004

W nowych procesorach VIA C5J "Esther" będzie wbudowane m.in. sprzętowa implementacja algorytmu RSA i inne zaawansowane funkcje bezpieczeństwa.

Sprzętowa akceleracja RSA jest kolejnym ukłonem jaki VIA w stronę rynku bezpieczeństwa po poprzednich procesorach z szyfrowaniem AES i generatorem liczb losowych. Poza RSA procesor Ester (Estera?) będzie miała sprzętowe implementacje funkcji skrótu SHA2 oraz ochronę obszarów pamięci NX, sprzętowy odpowiednik tego mechanizmu, który programowo jest od kilku lat dostępny w Linuksie i BSD (OpenWall, PAX) i stanowi skuteczną ochronę przed atakami przez przepełnienie bufora.

VIA: "Next Generation C5J Esther Processor" http://www.via.com.tw/en/Digital%20Library/PR040518EPF.jsp


DomainKeys, nowa ochrona przed spamem
Paweł Krawczyk
środa, 19. maja 2004

Yahoo opublikowało specyfikację nowego systemu ochrony przeciwspamowej, jaką jest DomainKeys.

DomainKeys jest zabezpieczeniem przed powszechnym fałszowaniem adresów email nadawcy przed spammerów. Spam z adresem nadawcy abc123@hotmail.com może wyjść równie dobrze ze Stanów czy Mongolii i nikt nie będzie tak na prawdę w stanie sprawdzić czy domena nadawcy jest autentyczna. DomainKeys polega na tym, że właściciel domeny (tutaj Hotmail) publikuje w DNS swój klucz publiczny, a każdy wysłany mail jest podpisywany kluczem prywatnym będącym w posiadaniu właściciela domeny. Dzięki temu serwery odbierająće maila mogą sprawdzić, czy dany list posiada podpis, a jesli posiada to czy jest on poprawny i odrzucać maile sfałszowane lub pozbawione podpisu (zwłaszcza jesli obecność rekordu DomainKeys w DNS sugeruje że podpis powinien być). Nie jest to oczywiście stuprocentowe zabezpieczenie przed spammerami, ale za to skutecznie powinno ograniczyć fałszowanie adresów nadawcy, co po jakimś czasie powinno skutecznie zepchnąć spammerów do getta przyjaznych im ISP. Nie bez znaczenia jest również ochrona przed phishingiem, dzięki czemu pierwszym odbiorcą DomainKeys powinny stać się banki i inne instytucje podatne na wyłudzenia oparte o fałszywe emaile.

Yahoo: "DomainKeys: Proving and Protecting Email Sender Identity" http://antispam.yahoo.com/domainkeys