Archiwum IPSec.pl od 3. lutego 2004 do 18. maja 2004

2008-05-21 00:00:00 +0100


NIST szybszy 100 razy
Paweł Krawczyk
wtorek, 18. maja 2004

Amerykański zespół NIST osiągnął przepustowość 1 Mbit/sek w kwantowej wymianie klucza przez powietrze.

Jest to jak na razie rekord, konkurencyjne firmy - amerykańska MagiQ i szwajcarska Id Quantique osiągnęły jak na razie stukrotnie mniejsze przepustowości. Transmisja została osiągnięta pomiędzy dwoma budynkami położonymi w odległości 730 m. Taki transfer czyni realnym kwantową transmisję danych - konkurencyjne systemy wykorzystywały ją tylko do bezpiecznej wymiany klucza, a same dane były szyfrowane i wysyłane konwencjonalnie (np. przez Ethernet). Jednak jak stwierdzają naukowcy z NIST, barierą jest sprzęt - obecny wynik osiągnięto przy pomocy sprzętu próbkującego z częstotliwością 1 GHz.

NIST NIST System Sets Speed Record..." http://www.nist.gov/public_affairs/releases/quantumkeys.htm


Unia inwestuje w kwantówkę
Paweł Krawczyk
wtorek, 18. maja 2004

Unia Europejska zainwestuje 11 mln EUR w system bezpiecznej komunikacji oparty o kryptografię kwantową.

System ma się nazywać SECOQC (Secure Communication based on Quantum Cryptography) i według założeń projekt ma doprowadzić do stworzenia ogólnoeuropejskiej, publicznie dostępnej bezpiecznej sieci wymiany danych opartych o kwantową wymianę klucza (QKD). Głównym graczem jest tutaj austriacka firma ARC Seibersdorf Research GmbH, która stała się znana po tym jak w kwietniu zestawiła kwantowe łącze pomiędzy uniwersytetem a bankiem w Wiedniu. Poza nią w projekcie weźmie udział kilkadziesiąt innych firm i instytutów badawczych, w tym szwajcarska firma Id Quantique, która od pół roku oferuje komercyjny system QKD.

ARC: Christian Monyk "Development of a Global Network for Secure Communication based on Quantum Cryptography (SECOQC)" http://www.arcs.ac.at/quanteninfo/docs/SECOQC_Proposal_public.pdf


Hardened PHP
Paweł Krawczyk
poniedziałek, 17. maja 2004

Projekt Hardened PHP to stary, dobry język PHP z zaawansowanymi funkcjami bezpieczeństwa.

W PHP pisze się bardzo łatwo, co niestety oznacza także że łatwo popełnia się w nim błędy - widać to po ilości dziur w różnych pisanych w PHP aplikacjach webowych (jak phpNuke). Twórcy "wzmocnionej" wersji PHP dodali do interpretera języka funkcje, które powinny uczynić aplikacje naturalnie odporniejszymi na błędy programisty. W obecnej wersji są to: ochrona pamięci Zenda za pomocą funkcji podobnych do StackGuarda lub ProPolice z GCC, wbudowana ochrona przed atakami format string i wykonywaniem obcego kodu oraz logowanie adresów IP, z których dokonywano ataków.

Hardened PHP http://www.hardened-php.net/index.php


Drugi ECC-109 padł
Paweł Krawczyk
niedziela, maja 2004

Złamaniem klucza ECC o długości 109 bitów zakończył się drugi konkurs firmy Certicom, ogłoszony w 1997 roku.

Zespół z Teksasu złamał drugi z kluczy opartych o krzywe eliptyczne o długości 109 bitów. Ten klucz był trudniejszy do złamania od klucza rozpracowanego przez ten sam zespół w 2002 roku, pomimo tej samej długości klucza.

The Register: Lucy Sherriff "Maths boffins topple Certicom crypto" http://www.theregister.co.uk/2004/04/29/crypto_certicom/


Inteligentna wyspa
Paweł Krawczyk
niedziela, 16. maja 2004

Projekt rodem jak z Big Brothera ma pomóc w zbudowaniu systemu automatycznej inwigilacji w miastach.

Niewielka wyspa Ayersa ma być opleciona pajęczyną czujników i kamer, monitorujących każdy skrawek terenu. Całość ma zbiegać się w centralnym systemie komputerowym stworzonym na niedalekim Uniwersytecie Maine. W oparciu o techniki AI system ma wykrywać i reagować zachowania odbiegające od normy i potencjalnie niebezpieczne. Pomimo że do tej pory było wiele podobnych projektów (np. rozpoznawania twarzy przechodniów), ten jest pierwszym o takim rozmachu i kompletnością analizowania wszystkich aspektów zachowań osób przebywających na eksperymentalnej wyspie.

Intelligent Island http://homeland.cs.umaine.edu/intelligent_island.htm


Anglicy budują własną NSA
Paweł Krawczyk
niedziela, 16. maja 2004

Anglicy postanowili zbudować własny ośrodek kryptograficzny, podobny do amerykańskiej NSA.

Bazą do tego przedsięwzięcia będzie Uniwersytet w Bristolu, z którego będzie pochodziło 30-50 matematyków zatrudnionych w ośrodku podlegającym pod GCHQ. Celami ośrodka będzie rozwijanie nowych technik szyfrowania oraz łamania szyfrów. Nie wszystkie efekty pracy ośrodka będą tajne - można się spodziewać, że część nowych technik kryptograficznych trafi do użytku cywilnego, a także że ośrodek stanie się ważnym organem oceniającym i doradczym podczas tworzenia nowych standardów ochrony danych.

The Times: Chris Johnston "75K to lead top secret institute" http://www.thes.co.uk/current_edition/story.aspx?story_id=2013022


Dziecięca pornografia na celowniku
Paweł Krawczyk
niedziela, 16. maja 2004

Amerykański departament sprawiedliwości poinformował o zakończeniu dużej akcji przeciwko pornografii dziecięcej.

Operacja, która rozpoczęła się jesienią 2003 była wymierzona przede wszystkim w sieci P2P takie jak Kazaa. Przy pomocy automatów namierzono setki osób, udostępniajacych pornografię dziecięcą, w stosunku do których wszęto następnie śledztwo. W rezultacie zaaresztowano 65 osób, którym postawiono różne zarzuty - od rozprowadzania pornografii z udziałem dzieci po wykorzystywanie seksualne nieletnich.

Departament of Justice: "Law Enforcement Initiative Targets Child Pornography Over Peer-To-Peer Networks" http://www.usdoj.gov/opa/pr/2004/May/04_crm_331.htm


Wyciek z Cisco?
Paweł Krawczyk
niedziela, 16. maja 2004

Jak informuje rosyjski serwis SecurityLab, pojawiła się informacja o kradzieży dużej parti kodów źródłowych z firmy Cisco.

Około 800 MB kodu miało zostać skradzione z Cisco wskutek włamania do sieci korporacyjnej tej firmyi dokonanego 13 maja. Przedstawiono dwa pliki źródłowe z opisami sugerujące autorstwo pracowników Cisco. Choć łatwo jest spreparować takie fałszywyki, kod nie pochodzi z żadnego otwartego systemu typu Linuksa czy BSD. Cisco w żaden sposób nie skomentowało tej informacji.

SecurityLab: "Utieczka ischodnogo koda z Cisco IOS?" http://www.securitylab.ru/45221.html


Szyfr sprzed 250 lat
Paweł Krawczyk
piątek, 14. maja 2004

Nad niecodzienną zagadką zebrali się dzisiejsi kryptoanalitycy brytyjskiego GCHQ i weterani z Bletchley Park, centrum łamania szyfrów z II Wojny Światowej.

Zespół będzie starał się rozszyfrować napis wykuty na oryginalnym pomniku w miejscowości Shugborough w Anglii. Napis zawierający kilkanaście liter w niecodziennym układzie został wykuty 250 lat temu przez potomków dzisiejszych właścicieli posiadłości, rodziny Ansonów. Ze względu na to że tekst jest bardzo krótki, próby jego "złamania" będą zapewne oparte głównie o intensywne poszukiwania w rodzinnych archiwach.

BBC: "Cracking the Shugborough code" http://www.bbc.co.uk/radio4/today/reports/science/bletchley_20040512.shtml


Bezpłatne kursy bezpieczeństwa na PW
Paweł Krawczyk
piątek, 14. kwietnia 2004

W sobotę 15 maja na Politechnice Warszawskiej rozpocznie się organizowany przez Stowarzyszenie Studentów BEST kurs naukowy poświęcony zagadnieniom Systemów Zarządzania Bezpieczeństwem Informacji (Information Security Management Systems).

Podczas tygodniowej konferencji zatytułowanej "secure it ! IT comes to ISMS" poruszone zostaną zagadnienia związane z kryptologią i kryptografią, usługami ochrony informacji, aplikacjami bezpiecznej wymiany danych, organizacją i zarządzaniem ochroną informacji. Udział w niej weźmie łącznie 50 studentów, w tym 25 spoza Polski (szkolenie jest częścią realizowanego przez BEST Programu Vivaldi - cyklu europejskich, bezpłatnych kursów naukowych przygotowywanych przez grupy lokalne Stowarzyszenia). Partycypanci będą mieli okazję uczestniczyć w wykładach i ćwiczeniach prowadzonych zarówno przez przedstawicieli środowiska akademickiego jak i innych ekspertów z tej dziedziny, przewidziana jest także wizyta w należącym do ATM centrum zarządzania siecią ATAMAN.

Honorowy patronat nad kursem objął Pan Marek Sell, patronem merytorycznym jest dr inż. Bolesław Szomański, sponsorami kursu zostali: ATM (firma teleinformatyczna świadcząca usługi jako operator sieci ATMAN), oraz Accenture (firma konsultingowa z dziedziny zarządzania i technologii informatycznych). Patronami merytorycznymi kursu są: hacking.pl, Hakin9, IPsec.pl, IT FAQ, Semestr i Student News.

http://www.best.pw.edu.pl/springcourse/


Nowy DOS w sieciach WLAN
Jacek Politowski
piątek, 14. maja 2004

Wszystkie sieci bezprzewodowe oparte o protokół IEEE 802.11, 802.11b i 802.11g (poniżej 20Mbit) podatne są na stosunkowo łatwy do przeprowadzenia przy użyciu standardowego sprzętu sieciowego atak typu DoS.

Związany jest on z funkcją kontroli dostępu do medium (MAC) zapobiegającą jednoczesnemu nadawaniu przez kilka urządzeń.

W trakcie przeprowadzania ataku wszystkie urządzenia w jego zasięgu uznają, że medium jest zajęte i czekają na jego zwolnienie, czyli nie są w stanie wysłać żadnej ramki. Dotyczy to również urządzeń korzystających z zaatakowanego punktu dostępowego, mimo iż same mogą pozostawać poza zasięgiem atakującego urządzenia.

Podatne są tylko sieci używające modulacji DSSS, odporne są natomiast stosujące modulację OFDM, czyli 802.11a oraz szybsze od 20Mbit 802.11g.

AUSCERT: "Denial of Service Vulnerability in IEEE 802.11 Wireless Devices" http://www.auscert.org.au/render.html?it=4091


Zatrzymani autorzy wirusów
Paweł Krawczyk
poniedziałek, 10. maja 2004

Niemiecka policja zatrzymała programistów, którzy wypuścili około 30 wirusów i koni trojańskich.

Zatrzymano kilku mężczyzn, którzy przyznali się do napisania wirusów takich jak Sasser a także koni trojańskich Agobot i Phatbot. Zatrzymanie było po części możliwe dzięki donosom osób skuszonych wyznaczoną przez Microsoft nagrodą w wysokości 250 tys. dolarów.

The Courier Mail: Jennifer Dudley "Arrest could crack open PC virus ring" http://shorturl.echelon.pl/02lRhAwA


Podsłuchać DESa
Paweł Krawczyk
piątek, 4. maja 2004

Wśród różnych rodzajów emanacji ujawniających poufne dane znalazły się także emanacje akustyczne.

Nowa praca Shamira i Tromera przedstawia wyraźne korelacje między dźwiękami wydawanymi przez procesor a wykonywanymi przez niego operacjami. Tak jak inne zaawansowane metody takie jak DPA (Differential Power Analysis), również niedoceniany do tej pory kanał jakim jest emisja akustyczna jest potencjalną luką, przez którą mogą wyciekać poufne informacje.

A. Shamir, E. Tromer "Acoustic cryptanalysis" http://www.wisdom.weizmann.ac.il/~tromer/acoustic/


RSA-576 poległo
Paweł Krawczyk
wtorek, 4. maja 2004

W konkursie RSA Challenge złamano kolejny komunikat zaszyfrowany kluczem RSA o długości 576 bitów. Tym razem dokonał tego zespoły z Niemiec i Holandii.

Konkursy RSA organizowane są od 1991 roku i polegają na łamaniu komunikatów zaszyfrowanych kluczami będącymi w posiadaniu firmy RSA. Do kolektywnego łamania przyłączają się setki tysięcy maszyn z całego świata, których właściciele postanawiają przeznaczyć na ten cel wolne zasoby swoich komputerów. Zwycięzca dostaje nagrodę, tym razem 10 tys. dolarów podzielą przez siebie zespoły z kilku niemieckich i holenderskich uczelni.

Podkreślmy, że wspólnym wysiłkiem złamano tylko jeden komunikat zaszyfrowany stosunkowo krótkim jak na dzisiejsze standardy kluczem. Z jednej strony wynik ten pokazuje że obecnie stosowane klucze RSA o długości 1024 bitów są na dzień dzisiejszy bezpieczne. Z drugiej jednak strony, na początku lat 90-tych klucze RSA-576 były stosowane powszechnie i uważane za bezpieczne.

RSA: "Mathematicians From Around the World Collaborate to Solve Latest RSA Factoring Challenge" http://www.rsasecurity.com/company/news/releases/pr.asp?doc_id=3520


Bezpłatne testy bezpieczeństwa
Paweł Krawczyk
poniedziałek, 26. kwietnia 2004

Wystartowała II edycja Bezpłatnych Testów Bezpieczeństwa organizowana przez firmę konsultingową 4pi.

Tym razem całość procesu jest obsługiwana przez aplikację web, która umożliwia szybkie złożenie zlecenia na wykonanie testów. Usługa jest bezpłatna i ma na celu weryfikację poprawności konfiguracji serwerów i aktywnych urządzeń sieciowych m.in. pod kątem usług HTTP, HTTPS, SMTP, LDAP czy SSH. Testy obejmują także próby włamania z wykorzystaniem znanych luk systemowych. Po ich przeprowadzeniu klienci otrzymują raport, weryfikowany przez inżynierów bezpieczeństwa, omawiający poziom zabezpieczenia testowanych systemów.

4pi: Bezpłatne Testy Bezpieczeństwa http://www.4pi.pl/BTB


Lokalny root w Linuksach 2.4, 2.6
Paweł Krawczyk, Piotr Kuliński
czwartek, 22. kwietnia 2004

iSEC Research odkrył kolejną dziurę w kernelach Linuksa 2.4.22 do 2.4.25 oraz 2.6.1 do 2.6.3. Po raz kolejny Wojciech Purczynski oraz Paul Starzetz z ISEC Security Research pokazali że pora na kolejną poprawkę kernela Linuxa. Umiejętne wykorzystanie dziury może umożliwić atakującemu (naturalnie lokalnemu) przejęcie praw superużytkownika na danej maszynie. Ograniczenie "słabości" kerneli do pewnego przedziału ich numeracji wynika z tego, że pewne opcje manipulacji na socketach zostały wprowadzone dopiero począwszy od wersji 2.4.22 oraz 2.6.1.

Dziura jest obecna w kodzie odpowiadającym za ustawianie opcji multicastowych gniazda IP.Błąd jest tradycyjny - brak kontroli nad przeliczanymi wartościami może doprowadzić do przepełnienia bufora kernela podczas wykonywania pętli. Producenci dystrybucji Linuksa powinni już udostępnić poprawione pakiety kernela.

iSEC: P. Starzetz, W Purczynski "Linux kernel setsockopt MCAST_MSFILTER integer overflow" http://www.isec.pl/vulnerabilities/isec-0015-msfilter.txt


Nowe ataki na TCP
Paweł Krawczyk
środa, 21. kwietnia 2004

Nowy atak na protokół TCP umożliwia zdalne resetowanie połączeń, zagrożone zwłaszcza szybkie łącza.

Dzięki temu, że każdy pakiet TCP ma numer sekwencyjny (ISN) znany tylko nadawcy i odbiorcy, do tej pory sądzono że zdalne zerwanie połączenia pakietem z flagą RST wymagałoby wysłania około 2 mld pakietów w celu zgadnięcia ISN.

Okazuje się że potrzeba ich znacznie mniej bo wystarczy "wstrzelić" się w rozmiar okna TCP, które przez większość nowoczesnych systemów operacyjnych na szybkich łączach wynosi od 32 do 64 KB.

Oznacza to, że do zerwania połączenia TCP na szybkim łączu (np. DSL) wystarczy około 200 sekund podczas których można zalać jedną ze stron połączenia fałszywymi pakietami RST. Na atak narażone są głównie długo utrzymywane połączenia TCP działające na szybkich łączach.

NISCC: "Vulnerability Issues in TCP" http://www.uniras.gov.uk/vuls/2004/236929/index.htm
IETF: R. Stewart " Transmission Control Protocol security considerations" http://www.ietf.org/internet-drafts/draft-ietf-tcpm-tcpsecure-00.txt
Cisco: "TCP Vulnerabilities in Multiple IOS-Based Cisco Products" http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml


Hasła za czekoladki
Paweł Krawczyk
wtorek, 20. kwietnia 2004

Według brytyjskich badań 70% pracowników biurowych jest skłonnych przehandlować swoje bezpieczeństwo za czekoladę.

Chociaż brzmi to bezdennie głupio, to kolejny wynik przekonuje że z tą czekoladą to może być prawda - 34% odda hasło gdy się ich po prostu poprosi. Propozycjne były składane przez nieznajomych ankieterów wśród pasażerów jadących do pracy na jednej z londyńskich stacji. Pocieszające jest jednak to, że nastąpiła poprawa w stosunku do ubiegłego roku, kiedy 90% oddawało hasła za tandetny długopis.

BBC News: "Passwords revealed by sweet deal" http://news.bbc.co.uk/1/hi/technology/3639679.stm
The Register: John Leyden "Brits are crap at password security" http://www.theregister.co.uk/2004/04/20/password_surveys/


Podobac sie przeczytac ten udokumentowac
Paweł Krawczyk
wtorek, 20. kwietnia 2004

Jeśli dostaniesz maila z takim tematem i załącznikiem to, jeśli nie umrzesz ze śmiechu, uważaj na kolejnego wirusa, tym razem poliglotę.

Wirus NetSky-X od reszty sobie podobnego plugastwa wyróżnia się oryginalnymi zdolnościami językowymi. Autor zadał sobie trud przetłumaczenia zachęt to zarażenia swojego komputera na 20 języków - w tym także nasz rodzimy.

Ponieważ korzystał z BabelFish lub podobnego automatu, tłumaczenia są dość zabawne. Jak widać w branży autorów wirusów panuje duża konkurencja i programiści muszą się prześcigać w coraz to oryginalniejszych metodach marnowania cudzego czasu.

F-Secure: NetSky-X http://www.f-secure.com/v-descs/netsky_x.shtml


Otwarta baza dziur
Paweł Krawczyk
poniedziałek, 19. kwietnia 2004

OSVDB (Open Source Vulnerability Database) jest nowym projektem centralnej rejestracji nowych dziur w oprogramowaniu.

Ilość dziur zgłaszanych codziennie wzrosła od 1995 roku ponad 20 razy, co przejawia się na przykład w dużej aktywności na liście Bugtraq i listach alarmowych poszczególnych producentów. Problemem jest jednak nadal sortowanie tych informacji według systemów operacyjnych, typu czy stopnia ryzyka. Sortowaniem nowych dziur w OSVDB zajmuje się na stałe około 30 osób, więc projekt ma spore szanse powodzenia.

OSVDB http://www.osvdb.org/


Plaga spyware dotyka 1/3 pecetów
Paweł Krawczyk
piątek, 16. kwietnia 2004

Według badań przeprowadzonych przez amerykańskiego providera Earthlink oraz Webroot Software spyware ponad jedna trzecia pecetów jest zainfekowana przez różnego rodzaju spyware.

Spyware, czyli programy szpiegowskie zbierają albo dane dla reklamodawców albo dla złodziei. W obu przypadkach ich obecność w komputerze jest niepożądana. Tymczasem na milion przetestowanych w USA komputerów na jednej trzeciej z nich znaleziono różne wersje spyware w ilości... 28 mln kopii (na jednym komputerze mogło być dużo różnych szpiegów). Z tego około 180 tys. stanowiły typowe konie trojańskie instalowane przez wirusy i robaki Internetowe, a resztę - spyware umieszczane po cichu w systemie podczas instalacji "fajnych programów" typu klienci P2P itd.

ComputerWorld: Daniel Cieślak "Spyware jest wszędzie" http://www.computerworld.pl/news/65674.html


Patenty w UE
Paweł Krawczyk
czwartek, 15. kwietnia 2004

Po raz kolejny powraca sprawa patentów na oprogramowanie, których wprowadzeniem grozi UE. Jeśli tak się stanie, ucierpią nie tylko autorzy ale - przede wszystkim - użytkownicy programów.

Temat wprowadzenia w UE patentów na programy komputerowe i metody biznesowe powraca regularnie pod naciskiem lobby amerykańskich producentów oprogramowania, którzy z tych patentów żyją. W USA istnieje spora grupa firm żyjących tylko i wyłącznie z submarine patents - rejestruje się jakiś wydumany patent a następnie w sądzie dowodzi że narusza go jakaś duża firma i wyciąga z niej odszkodowanie.

Taka praktyka jest możliwa dzięki indolencji urzędu patentowego, który rejestruje patenty na oprogramowanie na mniej restrykcyjnych warunkach niż tradycyjne patenty. I tak, chociażby na freshmeat.net od lat był dostępny program realizujący jakąś funkcję jest możliwe że jakaś sprytna firma otrzyma nagle na nią patent!

Kto na tym ucierpi? Wszyscy. Wystarczy, że prowadzisz mały, napisany przez siebie sklep internetowy albo serwis z newsami. Zaraz dorwie Cię gigant handlowy lub medialny, ponieważ na pomysł dodawania towarów do koszyka który zaimplementowałeś 3 lata temu w swoim sklepie oni dostali rok temu patent w USA.

Protest przeciwko patentom na oprogramowanie w UE http://7thguard.net/patenty.html
Patented UE webshop http://webshop.ffii.org/ (co jest już opatentowane w sklepie internetowym)


SANS Top 20 po polsku
Paweł Krawczyk
środa, 14. kwietnia 2004

Dzięki CERT Polska opublikowane zostało polskie tłumaczenie listy SANS Top 20, zawierającej opisy dwudziestu największych dziur w 2003 roku - dla Windows i dla Uniksów.

SANS: "Dwadzieścia najbardziej krytycznych luk bezpieczeństwa" http://www.sans.org/top20/top20-v40-polish.pdf
ComputerWorld: Paweł Krawczyk "Dziurawa recydywa" http://www.computerworld.pl/artykuly/36671.html (archiwum dla prenumeratorów)


Jak chronimy nasze dane? A jak chronią je firmy?
Paweł Krawczyk
czwartek, 8. kwietnia 2004

Z raportów CRG wynika że jedna trzecia firm odsprzedaje dane swoich klientów. We wcześniejszym raporcie tej samej firmy okazało się jednak że tyle samo klientów - nie kupi nic w firmie, która nie chroni ich danych.

Z wszystkich przebadanych firm 29% dzieli się danymi klientów z innymi podmiotami - nie powiedziano jak, ale można podejrzewać że dane te są wykorzystywane do celów marketingowych. Z kolei 30% klientów sprawdza, czy strona jest chroniona przez SSL, co akurat nie ma wielkiego znaczenia jeśli chodzi o ochronę ich danych przez firmę której je powierzają, ale już prawie 27% sprawdza politykę prywatności firmy. A co trzydziesty - zawsze wpisuje fałszywe dane.

CXO: Szymon Augustyniak "Waga poufności" http://www.cxo.pl/news/64864.html (o drugim raporcie)
ComputerWorld: Szymon Augustyniak "Jak firmy komputerowe traktują swoich klientów" http://www.computerworld.pl/news/65458.html (o drugim raporcie)


Wspólne oświadczenie Debian, Mandrake, Redhat i Suse
Paweł Krawczyk
czwartek, 8. kwietnia 2004

Najwięksi producenci dystrybucji Linuksa wydali wspólne oświadczenie, w którym wytykają konkretne błędy autorom niedawnego raportu Forrestera "Is Linux More Secure that Windows?".

Forrester dzięki oryginalnej metodzie określania ważności błędów i czasu reakcji, doszedł do zaskakujących wniosków - Microsoft wypuszcza poprawki średnio po 25 dniach, a Redhat - po 57 dniach.

Są kłamstwa, duże kłamstwa - i statystyki.

Joint Statement About GNU/Linux Security http://www.debian.org/News/2004/20040406


Duża dziura w IKE Racoon
Paweł Krawczyk
czwartek, 8. kwietnia 2004

Implementacja protokołu IKE (ISAKMP) dostępna w ramach projektu KAME posiada poważną dziurę, przez co uwierzytelnienie kluczem RSA ma w praktyce zerową przydatność.

Demon racoon jest główną implementacją IKE dla FreeBSD, NetBSD oraz Linuxa 2.6 (we wcześniejszych wersjach Linuksa wykorzystywany jest pluto z FreeS/WAN). W wyniku błędu programistycznego w kodzie racoona sygnatura komputera próbującego nawiązać sesję IKE nie jest w ogóle sprawdzana.

Błąd ten całkowicie unicestwia ochronę tożsamości zapewnianą przez protokół IKE, co umożliwia prowadzenie ataków man-in-the-middle na sesje IPSec nawiązane do racoona oraz nawiązywanie nieautoryzowanych połączeń IPSec.

Bugtraq: Ralf Spenneberg "CAN-2004-0155: The KAME IKE Daemon Racoon does not verify RSA Signatures" http://www.securityfocus.com/archive/1/359749


Sekrety MS Worda
Paweł Krawczyk
wtorek, 6. kwietnia 2004

Michał Zalewski w projekcie Strikeout ujawnia sekrety korporacji i instytucji, które niefrasobliwie opublikowały nieocenzurowane dokumenty w formacie Worda.

A ściślej - ocenzurowane, ale nie tak jak życzyliby sobie tego cenzorzy. Osoby piszące dokumenty firmowe w pakietach biurowych takich jak MS Word (ale to samo dotyczy OpenOffice) zapominają, że plik w którym jest zapisany dokument zawiera nie tylko ostateczną wersję dokumentu, ale informacje o wszystkich poprawkach dokonanych przez różne osoby na etapie pracy nad nim. Przy pomocy odpowiednich narzędzi można te zmiany łatwo wydobyć, czego spektakularne przykłady można znaleźć na stronie Michała.

Czyżby kolejny argument za tym, by jako nadające się do publikacji traktować tylko eksporty w PDF?

Michał Zalewski: "Strike that out, Sam" http://lcamtuf.coredump.cx/strikeout/


Phatbot i Witty szybsze niż Code Red
Paweł Krawczyk
wtorek, 6. kwietnia 2004

Jeden z najbardziej rozbudowanych koni trojańskich w historii Phatbot (pisaliśmy o nim) rozpowszechnia się szybciej niż ubiegłoroczny rekordzista CodeRed. Według firm antywirusowych zarażone jest już setki tysięcy systemów.

Drugim robakiem bijącym rekordy szybkości rozmnażania jest Witty, wykorzystujący dziurę w firewallu ISS. Robak pojawił się w 48 godzin po opublikowaniu dziury i dzięki ręcznemu zarażeniu przez autora grupy wybranych hostów (preseeding) w ciągu 45 minut zainfekował 12 tys. maszyn.

US-CERT: "Phatbot Trojan" http://www.us-cert.gov/current/current_activity.html#phatbot
US-CERT: "Witt Worm" http://www.us-cert.gov/current/current_activity.html#witty


Francuzi wolą chować niż naprawiać błędy
Paweł Krawczyk
poniedziałek, 5. kwietnia 2004

Temat "narzędzi hakerskich" i ujawniania dziur powraca w europejskim prawodawstwie jak bumerang. Tym razem zawinął do Francji.

Mieszkający w Stanach francuski informatyk został przez rodzimego producenta antywirusów (Viguard) okrzyknięty terrorystą i piratem komputerowym po tym jak opublikował informacje o dziurach w produkcie tej firmy udowadniając, że nie jest prawdą jej reklama że "zatrzymuje 100% wirusów". Sprawa jest obecnie w sądzie w oparciu o zarzut dystrybucji programów... zawierających informacje objęte prawami autorskimi.

Zamiast komentarza przypomnijmy że jeszcze kilka lat temu trzeba było nieraz czekać kilka tygodni zanim producent w ogóle przyznał, że dziura istnieje (jeśli się przyznał), a przez ten czas serwery stały dziurawe. Obecna błyskawiczna reakcja większości producentów jest wprost rezultatem bezwzględnej polityki "full disclosure" czyli publicznego ujawniania szczegółów technicznych nowych dziur w systemach wkrótce po ich ujawnieniu przez odkrywców.

Jeśli oceniać po rezultatach, "full disclosure" jest zjawiskiem bardzo korzystnym dla użytkowników. Dla producentów też, tylko nie wszyscy to rozumieją (patrz nerwowa reakcja Viguard).

Guillermito Zone (opis perypetii programisty oskarżonego przez Viguard) http://www.guillermito2.net/archives/2004_03_25e.html


Wyciek z polskiego MSZ
Paweł Krawczyk
poniedziałek, 5. kwietnia 2004

Tygodnik "Nie" wszedł w posiadanie 12 dysków twardych zawierających poufne dokumenty Ministerstwa Spraw Zagranicznych.

Dyski zawierają ponad 4000 dokumentów z lat 1992-2004, z których część jest oznaczona jako tajne lub poufne. Według tygodnika informacje wyciekły, kiedy MSZ zakupił nowy sprzęt komputerowy i pozbył się starego. Niestety, zapomniano o skasowaniu danych ze starych dysków.

W związku ze skandalem do dymisji podał się szef MSZ, minister Cimoszewicz. Premier nie przyjął dymisji, zauważając że minister osobiście nie odpowiada za bezpieczeństwo informacji. Z kolei szef "Nie" Jerzy Urban zapowiedział, że redakcja "w granicach prawa" będzie korzystać z zawartości dysków.

Onet: "Sensacyjna dymisja Cimoszewicza po publikacji NIE" http://info.onet.pl/3723,temat.html


Internet bezpieczny dla handlarzy narkotyków?
Paweł Krawczyk
piątek, 2. kwietnia 2004

Amerykańska agencja do walki z narkotykami (DEA) poinformowała, że internetowe czaty i telefony komórkowe czynią komunikację handlarzy narkotyków trudniejszą do przechwycenia niż kiedykolwiek.

Jednak w ostatnich latach uprawnienia wymiaru sprawiedliwości zostały znacznie rozszerzone (PATRIOT, urządzenia Carnivore). W związku zaś z prawnie narzuconym operatorom obowiązkiem współpracy z policją, zarówno czaty jaki SMSy są dla organów ścigania trywialne do przechwycenia.

Komunikat DEA wygląda raczej na dezinformację. Tego typu akcja może być dla tej agencji pożyteczna w dwóch wypadkach. Po pierwsze, by dać handlarzom poczucie bezpieczeństwa w korzystaniu z tych środków komunikacji. Po drugie, alarmistyczne w treści komunikaty o własnej niemocy zwykle poprzedzają wyciągnięcie ręki po jeszcze większe uprawnienia.

Reuters: "DEA says Internet makes drug traffickers hard to catch" http://www.reuters.com/newsArticle.jhtml;?storyID=4601039


AOL raportuje mniej spamu
Paweł Krawczyk
piątek, 2. kwietnia 2004

America Online (AOL), jeden z największych amerykańskich operatorów Internetu poinformował o 30% zmiejszeniu ilości niechcianej poczty (spamu) blokowanego na ich serwerach. W lutym blokowały one ok. 2.6 mln spamów dziennie, podczas gdy w marcu było to 1.9 mln.

Zjawisko to zbiegło się w czasie z wprowadzeniem w USA ustawodawstwa pozwalającego karać spammerów oraz serii spektakularnych procesów, wytoczonych przez największych operatorów notorycznym nadawcom niechcianych reklam.

Operatorzy ponoszą ogromne straty w wyniku działań spammerów - miliony maili reklamowych wysyłanych na przypadkowe adresy pożerają ogromne ilości zasobów serwerów pocztowych, niejednokrotnie paraliżując doręczanie normalnej poczty.

W Polsce zjawisko rodzimego spamu praktycznie zniknęło po wprowadzeniu ustawy o świadczeniu usług drogą elektroniczną a następnie kilku skutecznych akcjach rzecznika praw konsumenta oraz sprawach sądowych.

Reuters: "AOL chews fat on sliced spam" http://news.com.com/2100-1024_3-5176278.html
NoSpam PL (informacje o polskim spamie) http://nospam-pl.net/


Natura ludzka a problem robaków
Piotr Kuliński
czwartek, 1 kwietnia 2004

W ostatnich latach jesteśmy świadkami zadziwiającego mechanizmu rozprzestrzeniania się robaków komputerowych. O ile masowe rozpowszechnianie się robaków korzystających ze słabości samego systemu (np. Blaster korzystający z dziurawego mechanizmu RPC/DCOM) może być zrozumiałe o tyle masowy atak robaków docierających w postaci spakowanego do formatu .zip pliku jest zadziwiający.

Jeszcze bardziej niezrozumiałą sprawą wydaje się działanie użytkownika, który otrzymując "spakowany" plik rozpakowuje go używając załączonego hasła (szyfrowane archiwum). Przypomina to sytuację, w której człowiek otwiera drzwi nieznajomemu np. mówiącemu po angielsku tylko dlatego, że przedstawił się on za kolegę z pracy (A przecież większość treści maili z robakami jest w języku angielskim i mimo tego problem dotyka także kraje nie-angielskojęzyczne).

Wydaje się, że zmiana na polu masowego terroru wywoływanego przez robaki internetowe dokona się dopiero po zmianie świadomości korzystania z mechanizmu zwanego Internetem, a to chyba znacznie trudniejsze zadanie niż tworzenie nowych metod detekcji.

Daniel Hanson 'Human Nature vs. Security' http://www.securityfocus.com/columnists/231


Nowe rozporządzenie dla polskich ISP
Paweł Krawczyk
czwartek, 25. marca 2004

Mamy dalszy ciąg głośnej w ubiegłym roku sprawy podsłuchu ISP. Z Ministerstwa Sprawiedliwości wyciekł datowany na 3. marca projekt nowego rozporządzenia, określającego tryb zabezpieczania przez operatora informacji podsłuchanych na podstawie nakazu sądowego.

Różnic jakościowo jest sporo - przypomnijmy że w poprzedniej wersji rozporządzenia operator miał obowiązek dostarczać odnogę łącza na własny koszt do siedziby służb. W obecnym projekcie - jeśli dobrze rozumiem - dopuszczalne jest zgromadzenie i zapisanie tych danych przez pracownika operatora, który musi posiadać odpowiednie dopuszczenie do informacji niejawnej ale i tak nie poznaje samej treści zapisu. Rozporządzenie zawiera także wiele szczegółów technicznych określających sposób zabezpieczania danych, które brzmią całkiem rozsądnie.

hacking.pl http://www.hacking.pl/news.php?id=3551


Zawód: koń trojański (Phatbot)
Paweł Krawczyk
czwartek, 17. marca 2004

Pisanie robaków internetowych i koni trojańskich szerzących się dzięki dziurawym Windowsom i łatwowierności ich użytkowników przestało być już tylko sztuką dla sztuki. Nowy robak Phatbot dowodzi, że zaczyna się to stawać biznesem.

Złodziejstwo jest jednym z najstarszych zawodów świata i środki techniczne wykorzystywane do dokonania kradzieży zawsze korzystały z najnowszych zdobyczy techniki. Techniczne zaawansowanie Phatbota, a zwłaszcza środki jego zdalnego kontrolowania i wzajemnej komunikacji świadczą o z góry zamierzonym przeznaczeniu do prowadzenia wszelkich rodzajów plugawej działalności - wysyłania spamu, kradzieży danych i prowadzeniu rozproszonych ataków.

W odróżnieniu od innych stworzeń tego typu Phatbot komunikuje się nie za pomocą IRC, a za pomocą opracowanej przez NullSoft technologii peer-to-peer WASTE pozwalającej na bezpieczną komunikację w grupie botów. Imponująca jest również lista funkcji Phatbota, który potrafi m.in. zwalczać konkurencyjne robaki, antywirusy, wykradać adresy email, konta AOL, PayPal, IRC, klucze do programów itd. Sama lista technik infekcji innych ofiar liczy kilkanaście pozycji.

W komentarzach do analizy opublikowanej przez LURHQ zauważono, że wykorzystanie WASTE mocno ogranicza możliwości komunikacji robaka - technologia ta skaluje się dobrze do około 50 hostów, podczas gdy botnety oparte o IRC liczyły w najgorszym przypadku po 1000 hostów.

Nie ulega jednak wątpliwości, że obserwujemy obecnie intensywny rozwój technologiczny robaków, który zapewne wielokrotnie przekroczy skalę infekcji wirusowych sprzed kilku lat. Po prostu robaki internetowe mają szereg konkretnych zastosowań, których nie miały wirusy pisane raczej dla sportu.

LURHQ Phatbot Analysis http://www.lurhq.com/phatbot.html


Zrobieni w bankomaty
Paweł Krawczyk
środa, 17. marca 2004

W związku z coraz częstszymi przypadkami nielegalnego kopiowania kart bankomatowych i w konsekwencji kradzieży pieniędzy z kont ich użytkowników, Komenda Główna Policji rozpoczęła akcję informacyjną mającą na celu ostrzeżenie użytkowników bankomatów przed złodziejami.

Wygląd zmodyfikowanego bankomatu

Złodzieje posługują się bardzo prostą, ale skuteczną techniką - na bankomacie umieszczają miniaturową kamerę udającą listwę reklamową, a na wlocie kart - skaner paska magnetycznego (rysunek po lewej).

Oba urządzenia wysyłają kod z paska oraz obraz podglądniętego PIN do zaparkowanego nieopodal samochodu, gdzie przygotowywana jest kopia karty (rysunek po prawej).

Przechwytywanie kodu PIN i zawartości karty


Syberia, trojany i open-source
Paweł Krawczyk
wtorek, 16. marca 2004

W 1982 roku sowiecki gazociąg pompujący gaz z Syberii przestał istnieć w imponującej eksplozji na odcinku kilkuset kilometrów. Nikt nie zginął, był to natomiast dotkliwy cios dla ekonomii ZSRR. Ten wybuch został spowodowany przez... konia trojańskiego.

W latach 70-tych Amerykanie zorientowali się, że ich nauka i przemysł jest zinfiltrowany przez rosyjski wywiad gospodarczy. W wyniku zaakceptowanej przez Reagana akcji umieszczono konia trojańskiego w oprogramowaniu sterującym pompami gazu, które znajdowały się na liście technologii przeznaczonych do wykradzenia przez KGB. Kradzież się powiodła - wiemy już jaki był rezultat.

Pomimo że obecnie ani Ameryka ani Rosja ani Chiny nie znajdują się w stanie zimnej wojny, nieustannie trwa technologiczna przepychanka pomiędzy tymi krajami. Uzasadnioną nieufność Wschodu wzbudza konieczność uzależniania się od zamkniętego kodu Windows, zwłaszcza po (prawdziwej czy nie) aferze "NSAKEY" i innych przypadkach, kiedy podejrzewano Microsoft o współpracę z amerykańskimi służbami.

Ta podejrzliwość jest ogromną szansą dla otwartego oprogramowania i już zaowocowała takimi projektami jak chiński Red Flag Linux. Równocześnie wprowadza także sporo zamieszania - w ubiegłym roku Chiny odmówiły zaakceptowania międzynarodowego standardu szyfrowania sieci WLAN wprowadzając własny (WAPI).

Taką podejrzliwość wykazują także sojusznicy Ameryki - na przykład nasz rząd również zagwarantował sobie dostęp do źródeł Windows, ale także rozpoczął faktyczne kroki w celu zwiększenia roli oprogramowania open-source w administracji.

The Register: Andrew Orlowski "Explosive Cold War Trojan..." http://www.theregister.co.uk/content/4/36270.html


Beztroska Al Kaida
Paweł Krawczyk
wtorek, 16. marca 2004

Zeszłoroczne aresztowanie jednego z przywódców Al Kaidy, Halida Szejka Mohameda powiodło się w dużej mierze dzięki beztroskiemu korzystaniu przez siatkę z pozornie anonimowych kart SIM. Spiskowcy do planowania kolejnych zamachów korzystali z anonimowych kart SIM zasilanych tak jak nasze SimPlusy czy TakTaki. Karty te faktycznie zapewniają pewną anonimowość, bo fakt sprzedaży karty nie jest rejestrowany ani tym bardziej powiązany z konkretną osobą tak jak to jest z kartami na abonament. Jednak członkowie Al Kaidy popełnili kardynalny błąd korzystając z tych samych kart (kupionych w Szwajcarii) wielokrotnie zarówno w Europie jak i w... Pakistanie. Co gorsza, terroryści regularnie zmieniali same aparaty GSM przekładając do nich za to te same karty SIM. W rezultacie zatrzymania parti szwajcarskich kart na terenie placówki Al Kaidy w Niemczech oraz późniejszej współpracy operatora Swisscom z władzamy okazało się możliwe zlokalizowanie i zatrzymanie niektórych głównych organizatorów zamachów Al Kaidy.

The Register: John Lettice "Al Qaeda boss confused phone SIM with cloaking device" http://www.theregister.co.uk/content/28/36060.html



Robaki zżerają pasmo
Paweł Krawczyk
wtorek, 16. marca 2004

Według badań przeprowadzonych przez firmę Sandvine około 2-12% całego ruchu w Internecie stanowią połączenia generowane przez robaki i konie trojańskie. Problem ten dotyka zwłaszcza użytkowników prywatnych podłączonych przez różnych dostawców szerokopasmowych (głównie DSL). W Stanach to marnotrawstwo kosztuje dostawców około 245 mln USD rocznie.

Bezużyteczny ruch stanowią połączenia robaków poszukujących nowych ofiar (skanowanie i infekcja) oraz wykonujących zadania zlecone im przez swoich twórców, czyli głównie ataki DDoS. Problem ten był w mniejszym stopniu widoczny kilka lat temu, gdy domowe i dziurawe Windowsy łączyły się z Internetem głównie za pomocą stosunkowo wolnych modemów V.90. Połączenia takie trwały również relatywnie krótko.

The Register: John Leyder "Attack of the Profit-Killer Worms" http://www.theregister.co.uk/content/56/35963.html



Dane podatników zagrożone
Paweł Krawczyk
poniedziałek, 15. marca 2004

W trakcie kontroli w urzędach skarbowych inspektorzy GIODO zarzucili izbom skarbowym że stosowany przez nie system informatyczny Poltax nie spełnia wymagań ustawy o ochronie danych osobowych co naraża poufne dane podatników na nieautoryzowane ujawnienie.

Chodzi tutaj głównie o rejestrowania dostępu do danych w bazie - Poltax takich funkcji praktycznie nie posiada gdyż został zaprojektowany przed wejściem ustawy o ochronie danych osobowych. Być może przez brak takich funkcji w przeszłości doszło do ujawnienia kilku kompromitujących wycieków i odsprzedaży danych podatników dokonanych przez szeregowych pracowników "skarbówki".

Ostatnie kroki Ministerstwa zmierzają jednak ku rozwiązaniu problemu, o czym świadczy wdrożenie kilkunastu tysięcy stanowisk terminalowych zamiast "pecetów" (skopiowanie danych z terminala jest dużo trudniejsze) oraz tegoroczny projekt wprowadzenia ścisłej autoryzacji dostępu pracowników do systemu.

Rzeczpospolita: Danuta Frey "Niedostateczna ochrona danych podatników" http://shorturl.echelon.pl/EdD7Ohlg


Koniec projektu FreeS/WAN
Paweł Krawczyk
wtorek, 2. marca 2004

Po pięciu latach działalności uczestnicy projektu FreeS/WAN czyli pierwszej linuksowej implementacji IPSec ogłosili zakończenie prac. Powodem tej decyzji jest rozbieżność między założeniami projektu (minimalna funkcjonalność oraz opportunistic encryption) a oczekiwaniami użytkowników, którym potrzebne są nowe funkcje takie jak NAT-T, DPD czy AES. Równocześnie jednak pracę kontynuować będzie projekt pochodzący od FreeS/WANa i mający bardziej liberalne założenia czyli OpenS/WAN.

Update 20040319: Andreas Steffen, długoletni opiekun projektu wzbogacającego FreeS/WAN o obsługę X.509 i kart chipowych rozpoczął nowy projekt StrongS/WAN, niezależny od OpenS/WANa.

FreeS/WAN http://www.freeswan.org/
FreeS/WAN "Ending Letter" http://www.freeswan.org/ending_letter.html
OpenS/WAN http://www.openswan.org/
StrongS/WAN http://www.strongswan.org/


Globalna blacklista GSM
Paweł Krawczyk
poniedziałek, 1. marca 2004

Międzynarodowa organizacja GSM Association koordynująca standardy telefonii komórkowej rozpoczęła prace nad stworzeniem globalnej "czarnej listy" skradzionych telefonów komórkowych. Lista zawiera numery IMEI, które są różne w każdym aparacie i unikalne w skali świata. Kradzieże komórek są plagą na całym świecie - w Wielkiej Brytanii, gdzie czarna lista działa od jakiegoś czas zablokowano prawie 1.2 mln skradzionych telefonów. Bez współpracy mięzynarodowej taki system jest jednak nieskuteczny - złodziej może łatwo sprzedawać aparaty za granicę. Z podobnego powodu konieczna jest współpraca operatorów z producentami aparatów - część telefonów posiada możliwość zmiany numeru IMEI, który jest podstawą skuteczności zabezpieczenia.

The Register: "GSMA declares war on mobile phone theft" http://www.theregister.co.uk/content/59/35864.html


AMD inwestuje w bezpieczeństwo
Paweł Krawczyk
czwartek, 26. lutego 2004

W ubiegłym roku konkurencyjna dla AMD firma VIA dwukrotnie zaskoczyła rynek wypuszczając procesory C3 ze sprzętowym generatorem liczb losowych i C5 ze wspomaganiem szyfrowania AES. AMD podjęło wyzwanie i nowy procesor AMD Alchemy jest jeszcze lepiej wyposażony.

AMD Alchemy posiada wbudowany generator liczb losowych, szyfry blokowe DES, 3DES, AES, strumieniowy RC4 i wspomaganie przetwarzania pakietów IPSec oraz SSL. Funkcje te były do tej pory dostępne tylko w dopalaczach kryptograficznych z wysokiej półki. Propozycja AMD wydaje się szczególnie atrakcyjna dla producentów tanich urządzeń sieciowych z funkcjami bezpieczeństwa

AMD Alchemy Au1550 Processor Technical Documentation http://shorturl.echelon.pl/5IApLTwg


Zaciemnienie programowe
Paweł Krawczyk
poniedziałek, 16. lutego 2004

Zeszłoroczna awaria zasilania w dużej części Stanów Zjednoczonych została spowodowana przez błąd w oprogramowaniu, oznajmili przedstawiciele firmy First Energy, w której sieci energetycznej zaczęły się problemy.

Drobny błąd w oprogramowaniu monitorującym stan sieci spowodował, że inżynierowie nadzorujący jej poprawne działanie nie zostali powiadomieni o lokalnych przeciążeniach. Brak reakcji z ich strony spowodował dalsze rozszerzanie się awarii i wyłączanie kolejnych fragmentów sieci.

Odkrycie to jest rezultatem ponad półrocznego śledztwa i rzuca nieco światła na zeszłoroczną katastrofę, o której spowodowanie podejrzewano hakerów, Al Kaidę i wirusa MS Blaster.

CNN: "Software bug linked to blackout" http://www.cnn.com/2004/US/Northeast/02/13/blackout.ap/index.html


Otwarte okna
Paweł Krawczyk
piątek, 13. lutego 2004

Ze względu na datę, chcieliśmy powstrzymać się dziś od publikacji ale ten news jest wyjątkowo ciekawy. Microsoft potwierdził, że kod źródłowy Windows NT oraz 2000 został nielegalnie opublikowany w Internecie (m.in. w sieciach P2P takich jak eDonkey). Nie są jeszcze znane żadne szczegóły, kto i jak tego dokonał. Jeśli informacja ta okaże się prawdą, to można spodziewać się pracowitego półrocza w Microsofcie oraz intensywnego łatania wśród administratorów Windows. A potem, kto wie, może Windows stanie się tak bezpieczny jak Linux czy BSD?

Microsoft "Illegal Posting of Windows Source Code" http://shorturl.echelon.pl/RVbK5Uzw
TechWorld: JoriEvers "Microsoft joins the open source community" http://shorturl.echelon.pl//tQ5nVQw


Microsoft: krytycznie dziury w ASN.1
Paweł Krawczyk
środa, 11. lutego 2004

EEYE i Microsoft poinformowali o odkryciu krytycznych dziur (zdalny "root") w bibliotekach odpowiedzialnych w Windows za obsługę kodowania ASN1. Błędy dotyczą Windows NT, 2000, XP i Server 2003 z otwartymi usługami Kerberos, SSL oraz uwierzytelnianie NTLMv2 oraz aplikacjami wykorzystującymi ASN1. Administratorzy tych systemów powinni jak najszybciej nałożyć poprawki producenta. Przypomnijmy, że w ubiegłym roku seria podobnych błędów dotknęła najpopularniejszą otwartą implementację ASN1, OpenSSL.

EEYE: Microsoft ASN.1 Library Length Overflow Heap Corruption http://www.eeye.com/html/Research/Advisories/AD20040210.html
EEYE: Microsoft ASN.1 Library Bit String Heap Corruption http://www.eeye.com/html/Research/Advisories/AD20040210-2.html


Raport Ernst & Young
Paweł Krawczyk
środa, 11. lutego 2004

Firma doradcza Ernst & Young opublikowała raport Światowe Badanie Bezpieczeństwa Informacji omawiający stosunek światowych firm do problemu bezpieczeństwa informacji. Badanie opiera się na wynikach uzyskanych w grudniu 2003 od 1337 firm. Raport jest dostępny po polsku, w badaniu uczestniczyło także 16 polskich firm. Z raportu wynika, że przeważająca większość firm dostrzega problem bezpieczeństwa danych ale równocześnie do podejmowania realnych kroków w celu jego zapewnienia przyznaje się tylko 40% badanych firm.

Ernst & Young Światowe Badanie Bezpieczeństwa Informacji 2003 http://www.ey.com.pl/gcrdownload/TSRS_RaportGISS2003_pl.pdf


Trochę statystyk z bezpieczeństwa WLAN
Katarzyna Bogusz
wtorek, 3. lutego 2004

Szybki rozwój WLANu przy jednoczesnym słabym zabezpieczeniu punktów dostępu niesie ze sobą ryzyko utraty kluczowych danych firmy. Trzeci etap zleconych przez RSA Security badań bezprzewodowych sieci lokalnych (WLAN) w Londynie wykazuje, że liczba sieci bezprzewodowych wdrażanych w londyńskich firmach nadal rośnie, a tempo tego wzrostu wyniosło w ubiegłym roku 235%. Łączna liczba punktów dostępu bezprzewodowego wzrosła z 328 w 2002 r. do 1078 w 2003 r. (o 229%). Bezpieczeństwo sieci wyraźnie się poprawiło, gdyż już tylko w 34% punktów dostępu nie stosuje się szyfrowania WEP (w 2002 r. - w 63%). Spośród tych 34%, w kolejnych 19% (tj. 70 punktach dostępu) stosuje się mocną ochronę na poziomie wirtualnej sieci prywatnej (VPN).

RSA Security http://www.rsasecurity.com/