Archiwa roczne

2003

Umarł BIOS, niech żyje EFI

Od przeszło 20 lat BIOS – układ z zapisanym oprogramowaniem najniższego poziomu, z którego podczas uruchomienia korzysta komputer – jest nieodłączną częścią każdego „peceta”. Jednak podczas imprezy Intel Developer Forum zaprezentowano potencjalnego następcę BIOS-a: EFI.

Podobno twórcy BIOS-a – inżynierowie z firmy IBM – przewidywali, że ich „dziecko” trafi do 250 tys. komputerów, a później zostanie zastąpione przez nowocześniejsze rozwiązania. Stało się inaczej: choć o dyskietkach 5,25 cala i wielu innych komputerowych artefaktach z lat 80-tych mało kto już dziś pamięta, BIOS wciąż trzyma się mocno. Dla osób które słabo znają się na komputerach, pozostaje zmorą: magicznym zestawem ustawień, których lepiej nie ruszać. Faktem jest, że jak na współczesne standardy, BIOS nie jest zbyt przyjazny dla użytkowników. Z kolei zaawansowani „komputerowcy” mają zastrzeżenia do ograniczonych możliwości BIOS-a. To także ostatnia ostoja asemblera – programiści tworzący aplikacje dla BIOS-a muszą posługiwać się kodem maszynowym, co nie tylko znacznie utrudnia pracę, ale praktycznie uniemożliwia tworzenie bardziej zaawansowanych programów. Od wszystkich tych słabości jest wolny EFI (Extensible Firmware Interface), już dziś nazywany „następcą BIOS-a”.

EFI to mały system operacyjny instalowany na twardym dysku, który posiada przyjazny interfejs graficzny i obsługuje wyświetlacze wysokiej rozdzielczości. Został wyposażony w możliwości sieciowe, dlatego konfiguracja komputera może być dokonywane z poziomu innej maszyny. EFI jest napisane w C i pozwala na tworzenie dodatków z wykorzystaniem standardowych narzędzi programistycznych. Dzięki temu producenci płyt głównych będą mogli pisać własne, zaawansowane programy diagnostyczne, aplikacje do automatycznej konfiguracji i inne przydatne rozwiązania. Twórcy EFI zapowiadają, że w wypadku zawieszenia się systemu operacyjnego, użytkownik będzie mógł przełączyć się do EFI, sprawdzić co się dzieje, zmienić konfigurację i powrócić do pracy. W trakcie pokazu przeprowadzonego podczas Developer Forum, na pracującym komputerze zaprezentowano wymianę sterowników sieciowych i serię rekonfiguracji urządzeń USB – wszystko bez wyłączania systemu.

Ze względu na duże możliwości kontrolowania pracy komputera, EFI wzbudził również zainteresowanie organizacji zajmujących się ochroną praw autorskich. Tak wysoki poziom nadzorowania pracy komputera pozwoli na stworzenie aplikacji, które uniemożliwią odtwarzanie nielegalnych plików. Oczywiście do momentu w którym użytkownik – który przecież także może skorzystać z elastyczności jaką oferuje EFI – ich nie zmodyfikuje…

Dziurawy SSL

Naukowcy ze szwajcarskiego laboratorium Lasec, zajmującego się technologiami szyfrowania i bezpieczeństwem, wykryli dziurę w popularnym protokole szyfrowania danych SSL, używanym do zabezpieczania połączeń internetowych.

Specjaliści przyznali, że wykryli sposób, który pozwala na rozszyfrowanie haseł do skrzynek mailowych w czasie krótszym niż 1 godzina. Dodali także, że choć protokół SSL również jest używany do szyfrowania informacji na temat transakcji bezgotówkowych, czy bankowości online, to luka którą znaleźli zagraża tylko bezpieczeństwu poczty.

Technologia SSL (Secure Sockets Layer) koduje hasła i inne tajne informacje podczas komunikacji serwera z komputerem użytkownika. Adresy URL stron internetowych chronionych tym protokołem rozpoczynają się od wyrażenia „https://”, a w trakcie ich ładowania i pobytu na nich, w dolnej ramce przeglądarki widoczna jest ikona kłódki.

Naukowcy z laboratorium uzyskali dostęp do niewielkich porcji informacji o hasłach pocztowych użytkowników, którzy w trakcie chronionego połączenia, korzystali z programu Outlook Express Microsoftu. Dostęp do informacji możliwy był w momencie przesyłania haseł do serwera IMAP. Po przeprowadzeniu około 160 prób, z uzyskanych informacji naukowcy byli zdolni do prawidłowego rozszyfrowania hasła. Czynnikiem umożliwiającym odszyfrowanie zakodowanych informacji był fakt, że Outlook co pięć minut bez wiedzy użytkownika przesyła do serwera hasło. Podczas transakcji handlowych, zaszyfrowane dane wysyłane są tylko jeden raz i dlatego są one bezpieczne.

Zespół z Lozanny poinformował o swoim odkryciu Microsoft, który przyznał, że w najnowszej wersji programu dokonano niezbędnych poprawek.

Zobacz również:

Dział Security

Bill Gates odpowiada na pytania

Magazyn internetowy The Seattle Times, opublikował wywiad z Billem Gatesem. Wywiad w głównej mierze dotyczył stanu koncernu Microsoft na rynku oraz jego przyszłości w konkurencji ze środowiskiem Open Source. Nie zabraknie również pytania dotyczącego systemu XP Media Center i tabletach. Osoby zainteresowane wywiadem, który zawiera ponad trzydzieści pytań, znajdą go tutaj.

Windows Media Player 9 PL

W końcu pojawiła się polska, finalna wersja odtwarzacza multimedialnego – Windows Media Player 9 dostępnego dla platform 9x/Me/2000 oraz XP.

Oprócz aplikacji Windows Media Player, od pewnego czasu możemy ściągnąć także bardzo ciekawy produkt w polskiej wersji językowej, jakim jest Windows Media Encoder 9, który dopełni całości.

Windows Media Player 9 dla Windows XP (9.3 MB)

Windows Media Player 9 dla Win9x/Me/2000 (13.1MB)

Windows Media Encoder 9 (10,1 MB)

Serwis Mitnicka znów zhackowany !

Po ostatnim włamaniu na strony firmowe Kevina Mitnicka – www.defensivethinking.com – nie wyciągnięto odpowiednich wniosków czego efektem był dzisiejszy hacked ok. godz. 15 naszego czasu. Zobacz mirror zhackowanej strony.

Apache. Agresja i ochrona

Apache – najpopularniejszy na świecie serwer WWW obsługuje ponad 60% aktywnych serwisów internetowych na świecie. Każdy administrator powinien zwrócić szczególną uwagę na jego bezpieczeństwo. Wydawnictwo Robomatic wydało niedawno książkę „Apache. Agresja i ochrona”, która obejmuje szeroko pojęte zagadnienia ochrony serwera WWW z perspektywy różnych systemów operacyjnych, z którymi Apache może współpracować.

Materiał w ksiażce odnosi się także do wersji 2.0.x. Anonimowy autor ksiażki jest doświadczonym hakerem, ściaganym w przeszłości przez prawo za złamanie zabezpieczeń bankowych. Obecnie jest niekwestionowanym autorytetem w zakresie ochrony systemów. CD ROM dołączony do książki zawiera narzędzia, które każdy administrator i programista skryptów zawsze powinien mieć pod ręką. Najważniejsze jest tu oczywiście oprogramowanie serwera Apache (w wersji 1.3.26 oraz 2.0.40 wraz ze źródłami), choć na płycie znalazły się również inne serwery (AOLSerwer 4.x, Caudium 1.2.8, Roxen 2.2) – w wersjach zarówno dla systemów Windows jak i Linux. Dla programistów przygotowaliśmy między innymi PHP w wersji 4.2.2 oraz 4.2.3 wraz z dokumentacją i źródłami, a także źródła popularnej biblioteki PEAR. Mniej cierpliwi użytkownicy znajdą na CD doskonałe instalatory all in one, jak np. FoxServ 3.0 oraz PHP Triad 2.2.1. Programistów powinien również ucieszyć cały szereg edytorów kodu, między innymi PHPEditor, HomeSite, czy First Page 2000. Bardziej zaawansowanym polecamy mnóstwo modułów do serwera Apache, pozwalających modelować jego oprogramowanie na niemal każdym poziomie.

Zobacz również:

Etyczny hacking
Hack Proofing Your Network. Edycja polska
Dział Bestsellery

OpenSSL 0.9.7a oraz 0.9.6i

Od dwóch dni dostępne są dwie nowe wersje pakietu OpenSSL noszące nume 0.9.7a oraz 0.9.6i. Wersja 0.9.7a posiada sporą liczbę zmian o których można poczytać na tej stronie, zaś w przypadku wersji 0.9.6i, występuje tylko jedna zmiana (w funkcji ssl3_get_record). Więcej informacji na temat pakietu OpenSSL znajdziecie tutaj, zaś stąd można pobrać wersję 0.9.7a, a tutaj dostępna wersja 0.9.6i

Palce w sieci

Jak podaje gazeta Wprost, policja w Hamburgu od niedawna stosuje oryginalne listy gończe – umieszcza na swej stronie internetowej zdjęcia odcisków palców i dłoni poszukiwanych przestępców.

Policja w Hamburgu od niedawna stosuje oryginalne listy gończe – umieszcza na swej stronie internetowej zdjęcia odcisków palców i dłoni poszukiwanych przestępców.

Na internetowej stronie hamburskiej policji „zadebiutował” ze swymi odciskami palców 21-letni Abu Sow z Sierra Leone, poszukiwany na podstawie międzynarodowego nakazu aresztowania w związku z podejrzeniem o dokonanie zabójstwa.

Oczywiście nie oznacza to rezygnacji z umieszczania na tej samej stronie tradycyjnych listów gończych.

Linux Forum & Academy

Linux Forum & Academy to otwarty cykl wykładów, dyskusji i spotkań organizowanych na Akademii Górniczo-Hutniczej w Krakowie przez Koło Naukowe Geoinformatyki dla każdego zainteresowanego studenta dowolnej uczelni.

Otwarcie projektu Linux Forum & Academy nastąpi 25 lutego (wtorek) o godzinie 19:15 Akademia Górniczo-Hutnicza w Krakowie, Al. Mickiewicza 30, budynek A0 (Wydział Geologii Geofizyki i Ochrony Środowiska), sala wykładowa nr 133 – I piętro. Projekt otworzy Jego Magnificencja Rektor AGH Prof. zw. dr hab. inż. Ryszard Tadeusiewicz. W spotkaniu weźmie udział Dziekan Wydz. GGiOŚ prof. AGH dr hab. inż. Tadeusz Słomka i grono pedagogiczne naszego wydziału, zaś pierwszy wykład poprowadzi Prof. dr hab. inż. Jacek Kitowski (Katedra Informatyki, wydz. EAiE AGH) który przedstawi „Współczesne architektury komputerowe”.

Dla ułatwienia dostępny jest plan dojazdu do sali wykładowej Koła Naukowego Geoinformatyki AGH, zaś szczegółowe informacje dostępne na oficjalnej stronie Linux Forum & Academy

Poradnik internetowego bezpieczeństwa

„Ludzie są z natury ufni” – takimi słowy rozpoczyna się opublikowany niedawno przez Internet Security Alliance poradnik internetowego bezpieczeństwa dla użytkowników indywidualnych. Prowadzi on użytkownika za rękę przez procedurę zabezpieczania domowego komputera. Niezabezpieczony może zostać spenetrowany i posłużyć hackerom do przeprowadzenia dużo groźniejszego ataku na serwery biznesowe – instytucji finansowych czy przedsiębiorstw energetycznych.

Poradnik „Common Sense Guide for Home and Individual Users” wydany został na początku lutego br. przez firmy zrzeszone w Internet Security Alliance, organizacji której celem jest edukowanie odbiorców rozwiązań teleinformatycznych w zakresie e-bezpieczeństwa.

Autorzy poradnika powinni także zaznaczyć, że ludzie są z natury beztroscy i trochę leniwi jeśli chodzi o prewencję wszelkiego rodzaju. Ponieważ jest to poważny problem i potencjalna bariera rozwoju e-handlu, e-biznesu, a patrząc szerzej bezpiecznego społeczeństwa informacyjnego, rozmaite organizacje różnej rangi i szczebla prowadzą akcje edukacyjne i promujące wiedzę dotyczącą bezpieczeństwa internetowego.

Pobierz: poradnik Internet Security Alliance (PDF, 170KB)
Więcej na biznesnet.pl
Zobacz również:

Raport Symanteca dot. bezpieczeństwa w sieci
dział Security