Archiwum IPSec.pl od 22. listopada 2002 do 28. stycznia 2003

Wirus MS SQL
Sergiusz Pawłowicz
wtorek, 28. stycznia 2003

W sobotę 25 stycznia br., wczesnym rankiem czasu
europejskiego, zaatakowano wielu dostawców internetu, zarówno
małych, jak i wielkich, na całym świecie. Niektórych łącz
kręgosłupowych do teraz nie udało się przywrócić do normalnego
działania.

Przyczyną ataku był błąd w serwerze Microsoft SQL. Wirus,
który wykorzystywał ten błąd, łączył się z serwerem SQL,
nakazując mu wykonanie tysięcy równoległych połączeń do
losowo wybranych miejsc w internecie. Spowodowało to znaczne
przeciążenie łączy nie tylko serwerowni, wykorzystujących
serwery Microsofta, ale przede wszystkim sieci kręgosłupowej,
a więc połączeń między operatorami. Zostały również
zaatakowane niektóre z sieci użytkowników całkowicie
postronnych, nieco przytłumione przez odległość, lecz
wolniejsze łącza mogły zostać całkowicie wysycone.

Konsekwencje przeciążenia są znaczne. Wielu operatorów do
niedzieli odnotowuje dodatkowy ruch na poziomie 30-50 Mbit, co
uniemożliwia normalną pracę sieci.

Błąd wykorzystywany przez wirusa został ujawniony dość dawno,
Microsoft wydał swego czasu tzw. łatę (ang. "patch"),
lecz łata ta została przez wielu administratorów serwerów
zignorowana, gdyż była... uciążliwa w instalacji. Poza tym
łata interferowała z innymi poprawkami, i łatwo było przykryć
ją innymi plikami, powodując nieskuteczność zabezpieczeń.

Jednak podstawową przeczyną tak znacznego rozpowszechnienia
wirusa był brak odpowiednich zabezpieczeń sieci. Nawet prosta
ściana ogniowa (ang. "firewall") potrafiłaby zatrzymać atak
wirusa. Wielce znaczący był również moment ataku - w weekendy
wielu operatorów ma znacznie mniejszą obsadę administracyjną,
co znakomicie przyczyniło się do rozwoju choroby.

W Polsce również wiele sieci kręgosłupowych jest ciągle
atakowanych, należą do nich Internet Partners, Telia, sieć
akademicka POL-34. Średnie przepustowości ataku to 20 - 30
megabitów.

Wielu operatorów nie inwestuje w wystarczająco mocny
sprzęt, aby poza routingiem (przekazywaniem pakietów między
węzłami sieci) można było dokonywać analizy łącz w czasie
rzeczywistym. Znacznie utrudnia to eliminację problemu - po
prostu jest trochę tak, że administrator patrzy na czarną
skrzynkę, która rozgrzewa się coraz bardziej... Oczywiście
winne są temu oszczędności w branży telekomunikacyjnej,
znacznie przekraczające zdrowy rozsądek.

Sergiusz Pawłowicz, analityk sieci i systemów komputerowych,
właściciel firmy IT-ZONE z Wrocławia.

Analiza robaka SQL Sapphire http://www.techie.hopto.org/sqlworm.html


Bazy danych łatwo dostępne w Rosji
Paweł Krawczyk
piątek, 24. stycznia 2003

Z rosyjskiego operatora telefonii GSM, firmy MTS wyciekły dane osobowe ok. 5 mln
klientów, osób prywatnych i instytucji. Skradziona baza zawiera
nie tylko nazwiska i adresy, ale także prywatne numery telefonów,
numery identyfikacji podatkowej, paszportów itd. Płyty CD z bazą
MTS są sprzedawane np. na moskiewskich bazarach elektronicznych w
cenie ok. 60 USD za komplet. Firma zaprzecza, jakoby baza została
ukradziona przez włamywaczy lub nielojalnych pracowników, jednak
według rosyjskich mediów operator nie jest jedynym posiadaczem tej
bazy - dostęp do niej na mocy ustawy SORM-2 posiada szereg urzędów
administracji publicznej, milicji oraz służb specjalnych, wszyscy oni
mogli potencjalnie odsprzedać bazę handlarzom. Praktyka taka jest w
Rosji powszechna, w 1998 roku w podobny sposób pojawiła sie na rynku
baza 100 tys. klientów operatora Vimpelcom, na bazarach można kupić
również bazy pochodzące z urzędów wojewódzkich, miejskich, policji,
wydziałów ruchu drogowego i innych.

The Moscow Times: ,,MTS Database on Black Market'' http://www.moscowtimes.ru/stories/2003/01/22/001.html


Liczby losowe w procesorze VIA
Paweł Krawczyk
piątek, 24. stycznia 2003

Nowy procesor VIA C3 posiada wbudowany generator Padlock dostarczający ciąg losowy o natężeniu, w zależności od trybu pracy,
750 kbit/sek do 6 Mbit/sek. Dane są dostarczane aplikacjom w porcjach
po 32 bity za pomocą instrukcji rozszerzającej zestaw standardowych
komend procesorów x86. Według VIA w chwili obecnej trwa zlecony firmie
Cryptography Research audyt technicznej strony generatora Padlock. Dodajmy, że jest to ta
sama firma, która analizowała generator Intela i wynik audytu będzie
interesującym porównaniem obu rozwiązań. Opublikowanie raportu przez
VIA jest zapewne także podstawowym warunkiem zaakceptowania nowego
układu przez rynek do poważnych zastosowań.

VIA Padlock Data Encryption Engine http://www.via.com.tw/en/viac3/padlock.jsp


Analiza ataków na BGP
Paweł Krawczyk
poniedziałek, 20. stycznia 2003

Covery, Cook i Franz z firmy Cisco opublikowali analizę
ataków na BGP
(protokół dynamicznego routingu),
w zaprezentowanej przez Schneiera metodzie drzewa
ataków
. Metoda ta polega na wypisaniu każdego możliwego ataku
na elementy protokołu w postaci drzewa powiązanego praktycznymi
możliwościami przeprowadzenia danych ataków (np. pozyskanie
hasła uwierzytelniającego MD5 można osiągnąć za pomocą podsłuchu
lub wyłudzenia). Końcem każdej ,,gałęzi'' takiego drzewa jest
sumaryczny koszt (lub prawdopodobieństwo) przeprowadzenia konkretnego
ataku. Zaprezentowana analiza będzie przydatna dla zrozumienia
idei drzewa ataków, zwłaszcza że protokół BGP jest dobrze znany
i udokumentowany.

Covery, Cook, Franz (Cisco)
,,An Attack Tree for the Border Gateway Protocol'' http://www.ietf.org/internet-drafts/draft-convery-bgpattack-00.txt


Uwaga na używane dyski
Paweł Krawczyk
poniedziałek, 20. stycznia 2003

Według przeprowadzonych na MIT badań, ze 129 używanych dysków na eBay 69 zawierało możliwe do
odtworzenia pliki, a 49 - informacje, które powinny być traktowane
jako poufne i stanowiące zagrożenie dla prywatności wcześniejszych
użytkowników. Według Gartnera w ubiegłym roku wymieniono w USA ponad
150 tys. twardych dysków, z których część trafiła na wysypiska,
a część na rynek wtórny. Pozostaje zatem przypomnieć każdemu,
kto chce się rozstać ze swoim dotychczasowym dyskiem, że absolutnym
minimum jest jego sformatowanie, a zalecanym - nadpisanie przy pomocy
odpowiednich narzędzi.

Justin Pope, AP: ,,Sanitized hard drives prove data trove" http://www.sunspot.net/technology/bal-drives0115,0,2320111.story?coll=bal-business-headlines


Wycieki ze sterowników kart sieciowych
Paweł Krawczyk
wtorek, 7. stycznia 2003

Wiele sterowników kart sieciowych dla różnych systemów
operacyjnych mimowolnie wypuszcza fragmenty informacji w polach
dopełnienia ramek Ethernet. Problem został odkryty przez ludzi z @stake i wynika z braku stosowania
się do RFC1042, które wymaga by niewykorzystane bajty w ramkach,
w których pole danych jest krótsze niż 46 bajtów były wypełniane
zerami. Tymczasem wiele sterowników pomija etap zerowania, nadpisując
po prostu początkowy fragment bufora nowymi danymi i wysyłając cały
bufor w sieć. Niewykorzystana przestrzeń bufora może zawierać zatem
dane, wysłane w poprzednich pakietach do innych hostów. W chwili
obecnej brakuje konkretnych informacji, które sterowniki posiadają
ten błąd i kiedy zostaną one poprawione. Więcej szczegółów można
odnaleźć na stronach CERT.

CERT VU#412115 http://www.kb.cert.org/vuls/id/412115


Amerykanie boją się outsourcingu
Paweł Krawczyk
wtorek, 7. stycznia 2003

Jak donosi New
York Times
, Amerykanie obawiają się wzrastającej skali outsourcingu
usług informatycznych. Coraz więcej amerykańskich danych jest
przetwarzanych poza granicami tego kraju, tam powstaje także coraz
więcej oprogramowania wykorzystywanego później w USA. Powód takiej
migracji jest oczywisty - koszty pracy programistów są o wiele
niższe np. w Rosji czy Indiach, niż w Stanach czy UE. Jednak część
komentatorów zaczyna zwracać uwagę na potencjalne zagrożenia, jakie
stwarza dla gospodarki i obronności kraju produkcja
oprogramowania poza kontrolą amerykańskiej administracji.

Przypomnijmy, że w latach 80-tych Zachód
celowo organizował przecieki limitowanych przez COCOM
technologii, aby podrzucić blokowi wschodniemu
komputery z wbudowanymi ,,tylnymi drzwiami''.

Czyżby sytuacja miała się teraz odwrócić?

NY Times:
John Schwartz
,,Experts See Vulnerability as Outsiders Code Software'' http://www.nytimes.com/2003/01/06/technology/06OUTS.html


Chrootkit
Paweł Krawczyk
piątek, 3. stycznia 2003

Chrootkit jest narzędziem diagnostycznym służącym do wykrywania
zainstalowanych w systemie rootkitów, czyli ,,kukułczych
jaj'' pozostawionych przez włamywaczy i dających im utajniony
dostęp do skompromitowanego serwera. Aktualna wersja 0.38 wykrywa
kilka nowych programów tego typu.

Chrootkit http://www.chkrootkit.org/


WMAP
Paweł Krawczyk
poniedziałek, 30. grudnia 2002

WMAP jest nowym skanerem przeznaczonym do wyszukiwania dziur
w serwerach WWW, posiadającym możliwość analizowania zwracanych
przez serwer stron w celu odkrycia np. lokalizacji programów
CGI.

WMAP http://pwp.007mundo.com/etorres1/


Nowe dziury w implementacjach SSH
Tomasz Słodkowicz
poniedziałek, 30. grudnia 2002

W zeszłym tygodniu opublikowano informację o dziurach w narzędziach ssh.
Przy czym problemy nie dotyczą konkretnej implementacji, lecz wielu
dostępnych produktów. Wynika to z przyjętej metody testów, wykorzystującej
narzędzie SSHredder do kompleksowej analizy zachowania serwerów i klientów
ssh w sytuacjach nietypowych. Efektem testów było odkrycie wielu nowych
problemów, w tym związanych z przepełnieniami buforów, prowadzących do
możliwości wykonania DoS lub wykonania kodu z uprawnieniami procesu klienta
(lub serwera) ssh. Niekiedy błędy objawiają się nawet przed fazą
uwierzytelnienia użytkownika.

Listę przetestowanych produktów można znaleźć tutaj,
natomiast dokładniejsze informacje o
zagrożeniach opublikował CERT w komunikacie CA-2002-36.
Przy tej okazji warto przypomnieć o stosowaniu nakładających się
zabezpieczeń, w postaci dodatkowego ograniczania możliwość połączeń
z wybranych adresów IP (firewall, tcpd) oraz nie ufaniu autoryzacji
opartej na DNS, co może ograniczyć źródła ataków.

CA-2002-36 http://www.cert.org/advisories/CA-2002-36.html



Pliki mp3 zagrożeniem dla Windows XP
Tomasz Słodkowicz
poniedziałek, 30. grudnia 2002

Producent najnowszej wersji Windows ostrzega, że z powodu błędu w obsłudze
plików mp3 i wma możliwa jest kompromitacja systemu przez podesłanie
spreparowanego pliku muzycznego. Błąd leży po stronie Windows Shell i
dotyczy przepełnienia bufora w funkcjach odczytujących atrybuty plików
muzycznych. W efekcie możliwe jest uruchomienie dowolnego kodu przenoszonego
przez pliki mp3 lub wma.
Co ciekawe, nie jest konieczne ani skopiowanie takiego pliku ze strony
internetowej na dysk lokalny, ani jego załadowanie do pamięci! Wystarczy
najechać myszką na ikonę trefnego pliku lub otworzyć okno folderu
zawierającego taki plik.
Dla wszystkich wersji systemu Windows XP dostępne są odpowiednie łaty, które
są określane przez dostawcę jako krytyczne dla działania systemu.

Microsoft Security Bulletin MS02-072
http://www.microsoft.com/technet/security/bulletin/MS02-072.asp


Paketto Keiretsu
Jacek Politowski
poniedziałek, 30. grudnia 2002

Nowe zestaw narzędzi Paketto Keiretsu autorstwa Dana Kaminskiego
ma spore szanse dołączyć do klasyki z serii netcat, nmap i innych
niskopoziomowych analizatorów sieci. W zestawie Paketto znajdują
się: scanrand - błyskawiczny skaner sieciowy, oparty o dwa
niezależne (nie komunikujące się między sobą) procesy. Jeden, który
wysyła zapytania i drugi, który analizuje odpowiedzi. Pod względem
szybkości skanowania bije np. nmapa na głowę. minewt - bramka NAT
działająca w pełni w przestrzeni użytkownika. Realizuje do tego coś,
co chyba sam Dan określił jako ,,Guerilla Multicast'', czyli pozwala
jednocześnie otrzymywać wielu stacjom w LANie unicastowe pakiety z
zewnątrz (na zasadzie translacji adresów MAC),
lc - odpowiednik netcata dla warstwy drugiej OSI. phentropy -
obrabia dane do postaci strawnej dla OpenQVIS,
paratrace - ciekawa implementacja traceroute, która
zamiast wysyłać datagramy UDP, czy pakiety TCP SYN ze zwiększanym TTL
,,podłącza'' się do istniejącego strumienia TCP i wysyła Keepalive. Tym
samym potrafi ,,przechodzić'' przez niektóre firewalle śledzące stan.

Paketto Keiretsu http://www.doxpara.com/paketto/


Phrack #60
Paweł Krawczyk
niedziela, 29. grudnia 2002

Ukazał się sześćdziesiąty, jubileuszowy, numer kultowego
magazynu sieciowego Phrack.
W numerze jak zwykle dostarczające wiele rozrywki rubryki stałe
oraz techniczne artykuły na temat najnowszych ataków na sieci
i systemy komputerowe. Przypomnijmy, że ukazujący się
od 1985 roku Phrack jest jednym z niewielu, jeśli nie jedynym,
podziemnym zinem, który zachował zarówno styl jak
i poziom techniczny przez ostatnie 17 lat działalności.

Phrack http://www.phrack.com/


Legalne włamywanie do NGSec
Paweł Krawczyk
czwartek, 19. grudnia 2002

Firma NGSec przygotowała drugi już w tym roku konkurs dla włamywaczy -
cykl prób o wzrastającym stopniu trudności, prezentujących rozmaite
błędy popełniane przez programistów aplikacji webowych. Wśród nich
błędy w PHP, wstawianie kodu SQL i wiele innych, w wymagających
głębszej analizy kombinacjach. Nagród nie ma, ale jest to
niewiątpliwie ciekawa i pouczająca rozrywka na długie zimowe
wieczory. Będąc już przy tym temacie, warto także polecić WebGoat.

NGSec Quiz http://quiz.ngsec.biz:8080/


Ataki na sesje HTTP
Paweł Krawczyk
czwartek, 19. grudnia 2002

Słoweńscy badacze opublikowali nowy artykuł Session
Fixation Vulnerability in Web-based Applications
poświęcony
możliwym atakom na sesje w aplikacjach webowych. Problem ten jest
istotny ze względu na brak jednolitego standardu przekazywania stanu
sesji w środowisku WWW i różnorodność dostępnych rozwiązań tworzonych
przez autorów serwerów oraz poszczególnych aplikacji. Lektura zalecana
dla programistów i administratorów takich instalacji.

ACROS Security: ,,Session Fixation Vulnerability in Web-based
Applications''
http://www.acros.si/papers/session_fixation.pdf Tłumaczenie Sławomira Soszyńskiego http://arch.ipsec.pl/sess_fix.pdf


Lepton's Crack
Paweł Krawczyk
czwartek, 19. grudnia 2002

Tytułowy program jest nowym narzędziem do łamania haseł
obsługującym następujące standardy: MD4, MD5, NTLM, Domino R4.
Potrafi łamać hasła w trybie słownikowym i permutacyjnym
(brute-force).

Lepton's Crack http://usuarios.lycos.es/reinob/


Ukryci w IPv6
Paweł Krawczyk, Wojtek Dworakowski
czwartek, 19. grudnia 2002

Włamywacze skutecznie opracowują nowe techniki ukrywania
swojej działalności. Dzięki projektom takim jak HoneNet możemy jednak przyglądać
się najnowszym osiągnięciom w tej dziedzinie. Jak doniósł niedawno
Lance Spitzner, na jednym z serwerów-przynęt zarejestrowano działanie
włamywacza, który po przejęciu systemu postawił sobie tunel IPv6 do
innego kraju. Ze względu na małe rozpowszechnienie IPv6 stosunkowo
niewiele narzędzi IDS potrafi poprawnie dekodować ramki tego protokołu,
co czyni go nieprzezroczystym dla systemów wykrywania włamań. Najnowsze
wersje Snorta mają wkrótce obsługiwać
także IPv6.

HoneyNet http://honeynet.org/
Snort test release http://www.snort.org/~roesch/


Jak to drzewiej bywało...
Paweł Krawczyk
środa, 18. grudnia 2002

Serwis 8200.org udostępnił sporą porcję historycznych materiałów pochodzących z rozmaitych hackerskich list, zinów i prywatnych
archiwów. Niewątpliwie ciekawa lektura... Dla kontrastu, serwis securitydigest.org udostępnia
archiwa list dyskusyjnych administratorów, walczących z włamywaczami.

8200.org http://www.8200.org/
SecurityDigest http://securitydigest.org/


Oszuści na aukcjach
Paweł Krawczyk
wtorek, 17. grudnia 2002

O tym jak łatwo jest stracić pieniądze na aukcji internetowej w eBay
miał okazję przekonać się Spider Robinson, dziennikarz Globe and
Mail. Historia nie zawiera nic ponad zwykłe wyłudzenie - klient wysyła
pieniądze za wylicytowany towar z góry by nigdy więcej nie ujrzeć
towaru, pieniędzy ani sprzedającego. Dwa elementy są nowe - oszust
wykorzystuje złamane (jak?) konta dawno nieaktywnych użytkowników eBay
by później prywatnym mailem podesłać numer swojego konta ofierze. Druga
część opisu Robinsona to zmagania z procedurą ubezpieczeniową oraz
próby namierzenia złodzieja przez serwis aukcyjny - jedno i drugie
powolne oraz nieskuteczne. Ze statystyk wynika, że u nas jest jednak
lepiej.

Spider Robinson ,,Information highway robbery''
http://www.theglobeandmail.com/servlet/ArticleNews/PEstory/TGAM/20021211/COSPIDER/Columnists/columnists/columnistsNational_temp/1/1/6/


Projekt ,,Total Information Awareness''
Paweł Krawczyk
poniedziałek, 16. grudnia 2002

Tytułowy projekt DARPA TIA o całkowitym
budżecie ponad 200 mln USD ma na celu stworzenie całkiem nowego
systemu gromadzenia i przetwarzania danych wywiadowczych, mającego
zastąpić obecną, niewystarczającą już technologię. Celem ma być
walka z terroryzmem. Widać w tym rezultat zeszłorocznej wrześniowej
porażki amerykańskiego wywiadu, który miał podobno sygnały o ataku
na WTC, ale nie był w stanie zweryfikować ich prawdziwości i podjąć
odpowiednich kroków.

Sercem TIA ma być nowy system bazodanowy działający w oparciu
o nowe technologie i zapewne nową filozofię pracy,
o pojemności liczonej w petabajtach (miliardach megabajtów).
Do wymyślenia jak na razie pozostają także nowe metody gromadzenia,
przeszukiwania danych oraz wnioskowania na ich podstawie, mające
za cel podniesienie alarmu najwyżej w ciągu jednej godziny od
skorelowania wydarzeń, mogących wskazywać na prawdopodobny atak
terrorystyczny.

Potężna baza danych TIA ma być zasilana z wielu źródeł. Wśród nich
znaleźć mają się własne dane wywiadowcze agencji zarządzającej
TIA (zapewne będzie nią CIA, NSA lub jakaś nowa) ale także
komercyjne zbiory danych należące do instytucji medycznych,
finansowych oraz bazy instytucji publicznych (biblioteki
itp). Nietrudno zauważyć, że takie skoncetrowanie tak
istotnych danych w jednym miejscu o tak dużych możliwościach
przetwarzania i korelacji stwarza proporcjonalnie duże ryzyko nadużyć. Więcej
na ten temat można znaleźć w wypowiedziach przedstawicieli EPIC i EFF.

DARPA TIA http://www.darpa.mil/iao/TIASystems.htm
EPIC TIA http://www.epic.org/privacy/profiling/tia/
EFF TIA http://www.eff.org/Privacy/TIA/


Single-sign-on dla Apache i IIS
Paweł Krawczyk
środa, 11. grudnia 2002

Projekt PubCookie zainteresuje projektantów szukających techniki umożliwiającej
jednorazowe logowanie się do systemów opartych o WWW. PubCookie
łączy serwer uwierzytelniający (np. Kerberos, LDAP, NIS)
z serwerem WWW (Apache, IIS) oraz obsługuje ich interakcję
z przeglądarką użytkownika.

PubCookie http://www.pubcookie.org/


Porno pod cudzym sztandarem
Paweł Krawczyk
wtorek, 10. grudnia 2002

Gangi handlujące nielegalnymi materiałami pornograficznymi
znalazły nowy sposób na ukrywanie swojej działalności - uruchamiają
płatne serwisy na serwerach przypadkowych firm, do których wcześniej
się włamano. Technika ta umożliwia sprzedaż nielegalnych treści
bez ryzyka wpadki - odpowiedzialność, przynajmniej w początkowej
fazie śledztwa, ponosi nieświadoma ofiara włamania. Działalność
ta, określana nazwą pornjacking, przysporzy zapewne wiele
problemów prawnikom i jeszcze więcej tym, którzy nie upilnowali
bezpieczeństwa swoich serwerów.

The Register: John Leyden ,,Web pedos crack into corporate servers'' http://www.theregister.co.uk/content/55/28487.html


Certyfikat bezpieczeństwa dla polskiego szyfratora
Paweł Krawczyk
wtorek, 10. grudnia 2002

Agencja Bezpieczeństwa Wewnętrznego (dawny UOP) przyznała certyfikat
bezpieczeństwa dla szyfratora Optimus ABA IPSec Gate. Certyfikat
dopuszcza stosowanie szyfratora do poziomu ITSEC-E2 czyli
,,zastrzeżone'' w rozumieniu ustawy o ochronie informacji
niejawnej. Oprogramowanie szyfratora jest oparte o wzmocniony
system Linux i zostało opracowane w krakowskiej firmie ABA.

Szyfrator posiada szereg unikalnych funkcji, odróżniających
go zarówno od obecnych na rynku rozwiązań klasy biznesowej,
jak i szyfratorów wysokiej klasy do zastosowań bankowych
i militarnych. IPSec Gate jest częścią opracowanego przez
Optimusa i ABA systemu ochrony informacji, którego certyfikacja
na wyższe poziomy bezpieczeństwa jest w toku.

ComputerWorld: ,,Optimus szyfruje z certyfikatem'' http://www.computerworld.pl/news/news.asp?id=49997


Podsłuchiwani podsłuchiwacze
Paweł Krawczyk
wtorek, 10. grudnia 2002

Po publikacji poświęconej holenderskiemu systemowi podsłuchu linii telefonicznych
i teleinformatycznych po raz kolejny światło dzienne ujrzał problem
nadzoru nad tymi instalacjami oraz zapobiegania nadużyciom.

Holenderski system oparto o urządzenia izraelskiej
firmy Comverse-Infosys, przemianowanej na
Verint po tym jak wcześniej w bieżącym roku FBI zaaresztowało kilku
pracowników tej firmy pod zarzutem szpiegostwa w... rządowych
instalacjach podsłuchowych.

Według Holendrów, kontrakt z Verint wymusza na nich warunki praktycznie
uniemożliwiające nadzór nad danymi przechwytywanymi na potrzeby walki
z przestępczością oraz pracą samych urządzeń, dostęp do których jest
zastrzeżony wyłącznie dla pracowników producenta. W kilku przypadkach
pojawiły się ugruntowane podejrzenia że dane, które powinny być dostępne tylko holenderskiemu
wymiarowi sprawiedliwości są faktycznie przekazywane izraelskiemu wywiadowi.

Sprawa ta nie jest nowa, pierwsze sygnały o nadużyciach pojawiły się
już w 1998 roku, jednak bez widocznego efektu. W połowie grudnia b.r.
holenderski parlament ma prowadzić przesłuchania w tej sprawie. Ponieważ
rozporządzenie polskiego Ministerstwa
Infrastruktury regulujące legalny podsłuch jeszcze się nie ukazało,
trudno jest powiedzieć czy sytuacja u nas będzie podobna czy gorsza.

C'T: Paul Wouters, Patrick Smits ,,Dutch tapping room not kosher'' http://www.fnl.nl/ct-nl/archief2003/ct2003-01-02/aftappen.htm
Fox News: Carl Cameron Investigates http://cryptome.org/fox-il-spy.htm
Comverse-Infosys/Verint www.cominfosys.com/


Nowe wcielenie PROMIS
Paweł Krawczyk
piątek, 6. grudnia 2002

Jak donosi New Scientist, amerykańska firma Crystaliz stworzyła
aplikację wspomagającą analizę danych, przeznaczoną m.in. do
wykrywania przypadków ,,twórczej księgowości'', która w bieżącym
roku była przyczyną przynajmniej kilku skandali takich jak upadek
Enronu. Główną siłą aplikacji ma być zdolność do równoczesnego
analizowania informacji tylko częściowo zorganizowanych i pochodzącej z
wielu źródeł na raz (,,data mining''). Program podobno sprawdził
się już podczas analizowania danych giełdowych z Wall Street, kiedy
zgłoszenie przez niego podejrzanych wyników pewnej firmy zbiegło się
w czasie z wszczęciem wobec niej śledztwa skarbowego. Potencjalne
zastosowania systemu to także wykrywanie odstępstw od typowych
zachowań w innych dziedzinach życia - wykrywanie włamań do sieci oraz
kryminalistyka. Nietrudno się więc dziwić, że programem zainteresował
się Pentagon oraz DARPA.

Historia ta nieodparcie nasuwa skojarzenie z wydarzeniami,
które miały miejsce 15 lat wcześniej, kiedy powstał niemal
legendarny program o podobnych zastosowaniach, czyli PROMIS.
Sensacyjną historię - i zapewne w dużej mierze prawdziwą - historię
tej aplikacji w świecie wielkiej polityki opisał wyczerpująco
Egmont R. Koch w książce ,,Infomafia'', którą polecamy (można
ją znaleźć w polskich antykwariatach sieciowych, np. tutaj i tutaj).

The New Scientist: ,,Fraud detection software catches Pentagon's eye'' http://www.newscientist.com/news/news.jsp?id=ns99993111


Ochrona przed trojanami dla BSD
Paweł Krawczyk
piątek, 6. grudnia 2002

Ukazała się nowa wersja rozrzeszeń sigexec chroniących przed koniami
trojańskimi systemy FreeBSD (4.7) i OpenBSD (3.2). Zastosowana metoda
wykorzystuje podpisy cyfrowe sprawdzane na poziomie kernela systemu
przed wykonaniem podejrzanego pliku binarnego.

TrojanXproof Anti-Trojan and Trojan Detection http://www.trojanproof.org/


Nowe PGP 8.0
Tomasz Słodkowicz
środa, 4. grudnia 2002

Na stronach PGP Corporation pojawiła się
najnowsza wersja PGP 8.0 dla Windows i Macintosh. Poza wersjami
komercyjnymi, zgodnie ze wcześniejszymi zapowiedziami, udostępniono także
wersję darmową (freeware) do użytku domowego. Nie zawiera ona modułów do
integracji z klientami poczty elektronicznej ani tworzenia wirtualnych
szyfrowanych dysków. Nowy właściciel programu udostępnił także dla potrzeb
audytu źródła najnowszej wersji programu, które można pobrać ze strony WWW.

PGP Corporation http://www.pgp.com/


SMSy niezbyt bezpieczne
Paweł Krawczyk
poniedziałek, 2. grudnia 2002

Po incydencie związanym z przechwytywaniem SMSów w brytyjskiej sieci
komórkowej MMO2, firma analityczna Gartner ostrzegła, że treść tych
wiadomości jest łatwo dostępna dla operatora sieci i nie należy
ich wykorzystywać do przekazywania poufnych informacji. Co prawda,
zawsze wiąże się to z nieuczciwością pracowników operatora, ale jak
pokazuje zeszłoroczny przykład z naszego kraju (kobieta uzyskała SMSy
dowodzące niewierności męża), jest to możliwe nie tylko w teorii.

The Register: ,,SMS security risks highlighted by Friends Reunited hacking case'' http://www.theregister.co.uk/content/55/28326.html


Open source bardziej dziurawe?
Paweł Krawczyk
poniedziałek, 2. grudnia 2002

Firma analityczna Aberdeen Group opublikowała raport, w
którym ostro krytykuje bezpieczeństwo oprogramowania open-source i stawia tezę, że produkty Microsoftu są bezpieczniejsze. Tych, którzy
spodziewają się długiej listy argumentów i szczegółowej analizy spotka
zawód - raport jest krótki, a cała argumentacja opiera się o fakt,
że w ciągu ostatnich miesięcy pojawiło się więcej ogłoszeń CERT
dotyczących open-source, niż Microsoftu. Całkowicie pominięto przy
tym skalę oraz charakter tych błędów po jednej i po drugiej stronie,
co sprawia wrażenie że raport został napisany na zamówienie. A wszystko
to dzieje się, gdy trwa kolejna epidemia windowsowego wirusa Winevar.

Aberdeen Group, ,,Open Source and Linux: 2002 Poster Children for Security Problems'' http://www.aberdeen.com/2001/research/11020005.asp


Bezpieczeństwo?! A kogo to obchodzi...
Paweł Krawczyk
piątek, 22. listopada 2002

W ostatnich dniach ukazały się prawie jednocześnie (zbieg
okoliczności?) dwa artykyły o dość pesymistycznej wymowie. Pierwszy
z nich, tytułowy Security
holes... Who cares?
autorzy opisują jak obserwowane przez
nich serwery zareagowały (czy też NIE zareagowały) na informację
i późniejsze poprawki poważnej dziury w OpenSSL. Drugi artykuł Better security through
shame
że skoro dotychczas stosowane metody edukacji programistów z
zakresu bezpieczeństwa są bezskuteczne, to może powinniśmy spowodować
by autorzy dziurawego kodu zaczęli się za niego wstydzić?

Eric Rescorla ,,Security holes... Who cares?'' http://www.rtfm.com/upgrade.pdf
Michael Bacarella ,,Better security through shame'' http://m.bacarella.com/papers/secsoft/


Nowy Cryptogram
Paweł Krawczyk
piątek, 22. listopada 2002

Kilka dni temu ukazał się nowy numer popularnego sieciowego
miesięcznika poświęconego ochronie danych, wydawanego przez
Bruce Schneiera. W środku jak zwykle kilka krytycznych uwag
na temat kryptografii w naszym świecie oraz aktualności.

Cryptogram http://www.counterpane.com/crypto-gram.html