Archiwum IPSec.pl od 4. października 2003 do 2. lutego 2004

Jak SCO będzie bronić się przez atakiem wirusa MyDoom? Na całym świecie są setki tysięcy zainfekowanych nim Windowsów, które w niedzielę rozpoczną zmasowany atak denial-of-service na serwer www.sco.com. SCO od kilku miesięcy prowadzi intensywną walkę z Linuksem, zarzucając jego autorom skopiowanie kodu będącego własnością SCO.

Najskuteczniejszym środkiem ochrony przed atakami DOS jest skorzystanie z usług firm takich jak Akamai. Zapewniają one rozproszenie treści strony na serwerach rozmieszczonych na całym świecie (włącznie z synchronizacją treści, danych w DNS itd), co uniemożliwia atak na jeden konkretny serwer.

Jednak Akamai korzysta głównie z Linuksa i głupio wyglądałoby, gdyby strona firmy będącej zaciekłym wrogiem tego systemu działała właśnie pod jego kontrolą. W podobnej sytuacji znalazł się także Microsoft, gdy skorzystał z usług Akamai.

Netcraft: ,,SCO legal case poses a conundrum on how it should defend a DDoS'' http://news.netcraft.com/archives/2004/01/29/
sco_legal_case_poses_a_conundrum_on_how_it_should_defend_a_ddos.html

Tuż przed tym, jak brytyjska rządowa komisja pod kierownictwem lorda Huttona opublikowała raport w sprawie śmierci dr Davida Kelly, BBC wykupiło w Google najwyższą pozycję swoich tekstów w wynikach wyszukiwania.

Wszyscy, którzy wpisali w popularnej wyszukiwarce słowa kluczowe związane z raportem Huttona i Kellym dostają na pierwszych pozycjach rezultaty z BBC.

Pozycjonowanie swoich stron w wynikach Google jest powszechną praktyką wśród firm reklamujących swoje produkty (Google AdWords). Po raz pierwszy agencja prasowa wykorzystała tę technikę do zaprezentowania swojej opinii w Internecie.

Internet w ciągu ostatnich kilku lat zaczął odgrywać bardzo dużą rolę jako środek opiniotwórczy. Co więcej, wyszukiwarki - a w szczególności Google - są głównym kanałem kierującym osoby zainteresowane do różnych komentarzy i różnych wersji wydarzeń. Zapewnienie sobie kontroli nad wyszukiwarkami pozwala na skierowanie czytelników do tej właściwej.

Mamy nadzieję że IPSec.pl pozostanie dla naszych Czytelników miarodajnym źródłem informacji bez tego typu zabiegów ;)

MediaGuardian: Owen Gibson ,,BBC buys up 'Hutton inquiry' Google links'' http://media.guardian.co.uk/bbc/story/0,7521,1130050,00.html

SUSE i IBM otrzymali certyfikat bezpieczeństwa EAL3+ dla dystrybucji Linuksa Enterprise Server 8, zainstalowanej na serwerze IBM. Jest to kolejna instalacja Linuksa, na którą przyznano certyfikat bezpieczeństwa (wydaje się go na konkretną, dokładnie zdefiniowaną instalację na konkretnej maszynie, którą następnie można powielać).

Certyfikaty otwierają Linuksowi drogę do zastosowań, w których prawo narzuca wykorzystanie certyfikowanych narzędzi informatycznych - na przykład do przetwarzania danych niejawnych. Potwieradzają również wysoką jakość zabezpieczeń technicznych i proceduralnych wdrożonych w danej instalacji.

Na podobny certyfikat czeka również RedHat, a w Polsce firmy Optimus i ABA uzyskały certyfikat ITSEC-E2 dla szyfratora IPSec Gate opartego o system Linux (kolejne produkty są w trakcie certyfikacji na wyższe poziomy).

Suse: IBM and SUSE LINUX achieve a higher level of Linux security... http://www.suse.com/us/company/press/press_releases/archive04/eal3.html

Nasz rząd przygotował projekt ustawy, według której decyzja o utajnieniu informacji będzie podejmowana arbitralnie przez urzędnika, a nie - jak do tej pory - według katalogu, który określał co można (i należy) utajnić.

Wprowadzenie takiego zapisu zmniejszy przejrzystość działań urzędników, która i tak jest obecnie mała - pozwoli na praktycznie nieograniczone ukrywanie decyzji, będących nadużyciami władzy i stanowiska. Dodatkowo dowolność utajniania informacji będzie dla urzędników doskonałą bronią defensywną przeciwko niewygodnej ustawie o dostępie do informacji publicznej.

Co się dzieje, gdy organ administracji ma zbyt wiele swobody w ograniczaniu dostępu do informacji można zobaczyć na przykład na przykładzie sprawy Sergiusz Pawłowicz vs ZUS.

Rzeczpospolita: Dorota Kołakowska ,,Zdecyduje urzędnik'' http://www.rzeczpospolita.pl/gazeta/wydanie_040114/
kraj/kraj_a_1.html?k=on;t=2004010120040120

W ciągu ostatnich dni IETF opublikował długą listę nowych RFC, czyli dokumentów będących podstawowymi standardami technicznymi Internetu. Wśród tych nowości znalazło się kilka interesujących z punktu widzenia bezpieczeństwa. W miarę wolnego czasu będziemy publikować tego typu nowości regularnie.

I tak, RFC 3631 ,,Security Mechanisms for the Internet'' stanowi omówienie podstawowych technik ochrony danych stosowanych współcześnie w Internecie z, co najważniejsze, praktycznymi informacjami o ich zaletach i wadach. Omówiono hasła jednorazowe, HMAC, IPSec, TLS, SASL, GSS-API, DNSSEC, S/MIME, OpenPGP, firewalle, Kerberos, SSH oraz najczęstsze przyczyny włamań. Pomimo że na każdy z tych tematów przypada ok. pół strony, dokument ten jest doskonałym przewodnikiem dla osób chcących uzyskać ogólny obraz sytuacji.

Szkic (draft) Ingress Filtering for Multihomed Networks będzie przydatny dla administratorów sieci, konfigurujących filtry pakietów na routerach brzegowych i firewallach. Dotyczy on przede wszystkich ochrony przed spoofigiem oraz filtrowania sieci prywatnych.

Szkic Internet Denial of Service Considerations omawia tredny w atakach denial of service i będzie również przydatny dla administratorów sieci.

IETF http://www.ietf.org/

Podpis Elektroniczny to zagadnienie, które jak bumerang powraca na łamy prasy. Co prawda raz i drugi słyszy się o tym, że sprawa posuwa się do przodu (przypomnijmy, że prezydent Aleksander Kwaśniewski podpisał ustawę o podpisie elektronicznym już 11 października 2001 roku, przy okazji zaczynając od włożenia karty do góry nogami), jednakże mimo bezsprzecznych zalet podpis elektroniczny wciąż napotyka na spore trudności we wdrażaniu go w nowe dziedziny życia a szkoda, bo na pewno ułatwiłby nam wiele spraw.

SecurityFocus przedstawia artykuł, w którym opisuje zagadnienia podpisu elektronicznego w świetle prawa europejskiego. Oprócz ogólnych definicji i pojęć dotyczących kluczy elektronicznych, znaleźć tu można zagadnienia ujęte w kontekście obowiązującego prawa europejskiego, obowiązki zarówno użytkownika kluczy jak i instytucji je certyfikujących, a także trendy panujące w krajach wspólnoty. Nawiasem mówiąc długa debata nad podpisem elektronicznym w Polsce skończyła się jak na razie niezgodnością implementacji polskiego podpisu elektronicznego z dyrektywami UE, co niezbyt dobrze wróży jego rozwojowi w najbliższej przyszłości...

Mirella Mazzeo ,,Digital Signatures And European Laws'' http://www.securityfocus.com/infocus/1756
www.vagla.pl http://www.vagla.pl/podpis/

The Dallas Morning News publikuje artykuł o tym, jak wiele problemów przysparza powszechne przechowywanie informacji w postaci elektronicznej. Zwłaszcza w przypadku, gdy jej właściciel zabierze ze sobą do grobu hasła zabezpieczające dostęp do tej informacji.

The Dallas Morning News: Doug Bedell ,,Don't take passwords to the grave'' http://www.canada.com/calgary/calgaryherald/
info/business/story.html?id=AECE029D-BE09-42E7-8691-4A11A6988D02

Dzięki wysiłkowie Krzysztofa Maćkowiaka dorobiliśmy się polskojęzycznego serwisu kryptografia.com, mającego być docelowo centralną składnicą wiedzy na temat kryptografii dla studentów, programistów i osób zajmujących się ochroną informacji. Już teraz moża tam znaleźć imponującą ilość informacji, zbierających w jednym miejscu większość polskojęzycznych artykułów, książek i publikacji na temat kryptografii. Życzymy powodzenia i utrzymania wysokiego poziomu!

kryptografia.com http://www.kryptografia.com/

Pojawił się kolejny zwycięzca w RSA Factoring Challenge, polegającym na faktoryzowaniu dużych liczb złożonych na czynniki będące liczbami pierwszymi. Tym razem zespołowi z BSI (niemiecki odpowiednik DBTI ABW) w dniu 3-go grudnia udało się znaleźć czynniki długiej, 174-cyfrowej liczby złożonej będącej przedmiotem konkursu. Na osobę, która sfaktoryzuje następną w konkursie RSA liczbę RSA-640 czeka nagroda 20 tys. USD, a za najdłuższą RSA-2048 - aż 200 tys. USD.

MathWorld: Eric W. Weisstein ,,RSA-576 Factored'' http://mathworld.wolfram.com/news/2003-12-05/rsa/

NIST ogłosił rozszerzenie specyfikację bezpiecznych funkcji skrótu FIPS 180-2 o nową funkcję SHA-224, generującą - jak można się domyślić - skrót o długości 224 bitów. Standard ten dostarcza opisów czterech (z nową pięciu) funkcji skrótu różniących się podstawowymi parametrami - wielkością bloku wejściowego i wynikowego skrótu.

I tak funkcje SHA-1, SHA-224 i SHA-256 pracują na blokach 512 bitów i dostarczają skrótów o długościach odpowiednio 160, 224 i 256 bitów. Efektywna długość w sensie odporności na atak ,,urodzinowy'' wynosi odpowiednio 80, 112 i 128 bitów.

Funkcje SHA-384 i SHA-512 przetwarzają dane w blokach po 1024 bity i dostarczają skróty o długościach 384 i 512 bitów, a efektywnie - 192 i 256 bitów.

Zastosowanie odpowiedniego skrótu ma bardzo duże znaczenie w przypadku wykorzystywania ich jako kluczy dla szyfrów blokowych, co jest powszechną praktyką. W tym wypadku należy brać pod uwagę efektywną długość skrótu. I tak, dla AES-256 należałoby zastosować SHA-512, dla 3DES (168 bitów klucza) i AES-192 - skrót SHA-384, a dla AES-128 - skrót SHA-256.

FIPS 180-2 Change Notice http://csrc.nist.gov/publications/fips/fips180-2/FIPS180-2_changenotice.pdf
FIPS 180-2 http://csrc.nist.gov/publications/fips/fips180-2/fips180-2.pdf

Paul Starzetz i Wojciech Purczyński odkryli poważną dziurę w kernelu Linuksa, umożliwiającą uzyskanie praw roota przy lokalnym dostępie do systemu. Od wczoraj dostępne są poprawione pakiety z kernelem dla wszystkich głównych dystrybucji. Jak się okazało, dziura ta została wykorzystana podczas ostatniego włamania na serwery Debiana, co świadczy o tym że exploity są już w rękach script kiddies.

Dziura jest tym bardziej niebezpieczna, że jej wykorzystaje daje atakującemu dostęp do całej pamięci kernela, umożliwiając dowolne modyfikacje, w tym takie które dają mu prawa roota. W takim wypadku mechanizmy takie jak GRsecurity, SELinux czy RSBAC są nieskuteczne.

W tym wypadku zawiodła także procedura alarmowania użytkowników o nowej dziurze. W rozwojowych źródłach kernelach dziura została poprawiona już we wrześniu, ale autor poprawki nie zauważył jakie konsekwencje mogła mieć ona dla bezpieczeństwa systemu. Zauważyli za to inni, dzięki czemu przez ten czas użytkownicy kerneli 2.4 byli otwarci na atak.

iSEC.PL: Paul Starzetz, Wojciech Purczyński ,,Linux kernel do_brk() lacks argument bound checking'' http://isec.pl/vulnerabilities/isec-0012-do_brk.txt
Debian alert DSA-403-1 (kernel) http://lwn.net/Articles/60772/
Łata poprawiająca ten konkretny błąd we wszystkich kernelach 2.4 http://linux.bkbits.net:8080/linux-2.4/diffs/mm/
mmap.c@1.32?nav=cset@1.1148.2.2

Skandale związane z elektronicznym głosowaniem pokazują jak idealizowane w teorii e-wybory zderzają się z twardą rzeczywistością.

Klapa ubiegłorocznych polskich wyborów samorządowych pokazała, co się dzieje gdy z ,,z braku czasu'' omija się procedurę zamówień publicznych i dopuszcza do użytku niesprawny i nieprzetestowany system zliczania głosów. Oparty w dodatku o zamknięte oprogramowanie - niedrożność zeszłorocznego systemu zagłuszyła jakby kwestię jego bezpieczeństwa.

W tym roku podobne dolegliwości dotknęły kilka stanów USA. Amerykański kongresman Dennis J. Kucinich opublikował list otwarty, wyliczający wszystkie znane nieprawidłowości w procesie dostaw urządzeń do głosowania do stanowych komisji wyborczych. Zarzuty były tutaj podobne jak u nas - opóźnienia ze strony ustawodawcy spowodowały że dostawy realizowano w pośpiechu i w ostatniej chwili, a producent świadomie wdrażał oprogramowanie nieprzetestowane i z błędami.

Przeciwko firmie Diebold, największemu obwinionemu w tej sprawie świadczą dwa niezależne raporty - jeden sporządzony przez zespół pod kierownictwem Avi Rubina i drugi przez firmę SAIC na zlecenie stanu Maryland. Oba ujawniły ponad kilkaset błędów i dziur w bezpieczeństwie terminali do głosowania produkcji Diebolda. Dodatkowego smaczku dodała sprawie agresywna reakcja firmy na ujawnienie w sieci emaili pokazujących że fakt istnienia błędów był im znany. Na przykład brak było jakichkolwiek ograniczeń dostępu do logów urządzenia, opartego o bazę MS Access na platformie Windows (por. wcześniejszy artykuł o wirusie w bankomatach).

Miejmy nadzieję, że osoby odpowiedzialne w przyszłości za polskie wybory elektroniczne wyciągną z tych przypadków jakieś wnioski.

ComputerWorld: Tomasz Marcinek ,,Długa lista niejasności'' http://www.computerworld.pl/artykuly/27420.html (o polskich wyborach 2002)
Dennis J. Kucinich ,,Voting Rights'' http://www.house.gov/kucinich/issues/voting.htm
Maciej Janiec, Mateusz Drożdż ,,e-voting, elektroniczne systemy głosowania'' http://www.markom.krakow.pl/~mjaniec/pdf/e-voting.pdf

Firma VIA nie przestała zadziwiać ogłaszając premierę nowego procesora Eden-N, wyposażonego - jak poprzedni VIA C3 - w dwa sprzętowe generatory liczb losowych oraz nowość, którą jest sprzętowa implementacja szyfry AES. Według producenta procesor 1 GHZ jest w stanie wykonywać operacje szyfrowania AES z szybością do 12.5 Gbit/sek, czyli około ośmiu razy szybciej niż 3 GHz Pentium4 Intela. Jest to atrakcyjna oferta dla producentów urządzeń VPN, użytkowników WLAN i wszystkich innych aplikacji gdzie konieczne jest sprzętowe wspomaganie szyfrowania.

VIA Eden-N Processor http://www.via.com.tw/en/Products/eden_n.jsp

Niemiecka firma wypuściła na rynek urządzenie CryptoPhone, które jest jednym z niewielu telefonów GSM z silnym szyfrowaniem. Urządzenie przypomina bardziej palmtopa ze słuchawkami niż telefon komórkowy, potrafi jednak pracować w standardowych sieciach GSM 900/1800 wykonując zarówno nieszyfrowane połączenia do zwykłych aparatów jak i bezpieczne do innych ,,kryptofonów''. W opracowaniu jest wersja GSM 1900 przeznaczona dla USA. Wykorzystane algorytmy kryptograficzne to AES-256 i Twofish do szyfrowania transmisji oraz Diffie-Hellman wykorzystujący klucz o długości 4096 bitów. Co ciekawe, firma zadeklarowała że 23. listopada opublikuje kod źródłowy oprogramowania telefonu tak aby każdy mógł zweryfikować poprawność implementacji zabezpieczeń. Dostępność telefonu limituje jego cena wynosząca 1800 EUR za sztukę, co zdecydowanie stawia go w klasie urządzeń przeznaczonych dla najwyższych szczeblem menedżerów i polityków.

CryptoPhone http://www.cryptophone.de/

W doskonałym serwisie nospam-pl.net, poświęconym nadużyciom dokonywanym przy pomocy poczty elektronicznej pojawił się interesujący artykuł na temat współpracy autorów wirusów, włamywaczy i spammerów. Ci ostatni, skutecznie spychani przez międzynarodowe (w tym i polskie) prawo w szarą strefę, sięgają po środki nie tylko nie stojące na granicy legalności jak do tej pory, ale wprost nielegalne. Wirusy i konie trojańskie, dobrze widoczne dzięki wybuchającym kilkukrotnie każdego roku epidemiom, przestały być sztuką samą w sobie. Obecnie setki tysięcy Windows przejętych i zdalnie kontrolowanych przez piratów pozwala na w dużej mierze anonimowe przesyłanie spamu lub dokonywanie ataków DDoS.

Nospam-pl.net: ,,Zombie i MS Windows'' http://www.nospam-pl.net/zombie.php

Ostatnio popularne są konkursy kryptoanalityczne polegające na łamaniu kryptogramów udostępnianych przez różne firmy (Thawte, RSA) lub osoby prywatne (Simon Singh). Gdyby ktoś miał ochotę spróbować swoich sił w bardziej realistycznych warunkach, to Cryptome udostępniło rzekomo autentyczne kryptogramy przechwycone w transmisjach z ambasady pakistańskiej w Londynie do stolicy Pakistanu, Islamabadu. Niezależnie od tego czy są one prawdziwe czy nie, można spróbować.

Pakistan Embassy radio data http://cryptome.org/pk-radio-data.htm

Robert Moskowitz z ICSA Labs przeprowadził analizę bezpieczeństwa metody uwierzytelniania hasłem stacji bezprzewodowych wykorzystujących protokół WPA, mający w założeniu być alternatywą dla słabego WEP. Według autora, zaproponowana w WPA metoda uwierzytelnienia jest podatna na szereg ataków i faktycznie nie jest bezpieczniejsza od WEP.

Robert Moskowitz ,,Weakness in Passphrase Choice in WPA Interface'' http://wifinetnews.com/archives/002452.html

Znany polski specjalista od ,,prawa komputerowego'', prof. Andrzej Adamski skomentował dla Rzeczpospolitej projekt nowelizacji ustaw karnych mających dostosować nasze prawo do standardów UE w zakresie walki z cyberprzestępczością. Według profesora Adamskiego nowelizacja zawiera wiele usterek, które powodują że treść ustawy będzie można w wielu miejscach dość swobodnie interpretować. Nowelizacja nie spełnia wszystkich zaleceń podpisanej przez Polskę konwencji o cyberprzestępczości, nie reguluje poprawnie problemu pornografii dziecięcej, zakładania podsłuchów komputerowych a przede wszystkim nie kryminalizuje włamania do systemu jako takiego, jeśli nie będzie ono połączone np. ze skasowaniem danych.

Rzeczpospolita: Andrzej Adamski ,,Buszujący w sieci'' http://www.rzeczpospolita.pl/gazeta/wydanie_031027/prawo/prawo_a_8.html

Jak donosi Wired, niezidentyfikowana bliżej grupa spammerów z Polski oferuje kolegom po fachu z całego świata hosting, który określany jest mianem niewidzialnego. Oznacza to, że nie będzie możliwe ustalenie rzeczywistego adresu IP serwera przechowującego strony anie nawet określenie jednego, stałego adresu IP pod którym te strony są dostępne. Według przedstawiciela grupy, efekt ten został uzyskany dzięki wykorzystaniu sieci niemal pół miliona centralnie sterowanych, ztrojanizowanych Windowsów z całego świata. Systemy te są wykorzystywane jako szybko zmieniające się serwery DNS dla ,,niewidzialnej'' domeny. Brak jest innych informacji technicznych, a podane przez Wired przykłady takich serwerów nie działają co nie pozwala nam zweryfikować prawdziwości przechwałek osoby cytowanej przez czasopismo. Jest to jednak niewątpliwie znak, że techniki antyspamowe i powszechna praktyka ścigania spammerów stają się dla nich coraz dokuczliwsze i zmuszają do sięgania po coraz bardziej zaawansowane i coraz droższe metody zaśmiecania skrzynek pocztowych.

Brian McWilliams (Wired) Cloaking Device Made for Spammers'' http://www.wired.com/news/print/0,1294,60747,00.html