2003

W piątek (14 lutego) do sprzedaży trafi kolejna książka dot. security – „Etyczny hacking – Nieoficjalny podręcznik” – wydawnictwa Mikom. To jedna z najbardziej wyczerpujących pozycji w dziedzinie bezpieczeństwa systemów komputerowych. Szczegółowo omawia techniki hakerskie oraz rzuca światło na mało znane problemy dot. sieci komputerowych i hackingu. Omawia także nieudokumentowane aspekty bezpieczeństwa komputerów – przedstawiając zaawansowane zagadnienia w sposób przyjazny i łatwy do zrozumienia.
Jest to książka, którą koniecznie trzeba przeczytać; wszyscy mający do czynienia z różnymi aspektami bezpieczeństwa komputerów powinni ją mieć na swojej półce.

[OBRAZ] Autorem książki jest 18-letni Ankit Fadia, który wyrósł w atmosferze sprzyjającej w rozwijaniu zainteresowań o charakterze naukowym. Bardzo wcześnie zafascynowała go informatyka. Witryna Hacking Truths, którą początkowo stworzył dla małego kręgu przyjaciół, szybko rozrosła się i zdobyła tysiące użytkowników, którzy zamawiali subskrypcję informacji i dokumentacji. Głównym celem witryny było stworzenie nowej fali etycznych hakerów, którzy zrewolucjonizowaliby sytuację na scenie bezpieczeństwa systemów komputerowych. Ankit publikuje również artykuły w kilku magazynach komputerowych i witrynach internetowych.

Patronat medialny nad książką objął Hacking.pl

Zobacz również:

Dział Bestsellery: Etyczny hacking
Etyczny hacking, nieoficjalny podręcznik – serwis Mikom
Spis treści

Jak podaje PAP, Krakowska policja odnalazła hakera, który włamał się do serwera firmy komputerowej. Mężczyźnie postawiono zarzut bezprawnego uzyskania informacji.

Jedna z firm komputerowych zajmująca się usługami internetowymi poinformowała policję, że z jej serwera ktoś skopiował adresy i hasła dostępu do sieci klientów.

„Policjantom z wydziału ds. przestępczości gospodarczej udało się ustalić, że włamania do komputera dokonał 27-letni krakowianin. W jego mieszkaniu zabezpieczono sprzęt komputerowy” – powiedziała Sylwia Bober z Biura prasowego Komendy Miejskiej Policji.

Mężczyzna, po przesłuchaniu przez policję został zwolniony. Za bezprawne uzyskanie informacji grozi mu do 2 lat więzienia. Jeśli w trakcie postępowania okaże się, że mężczyzna wykorzystał nielegalnie zdobyte informacje lista zarzutów zostanie rozszerzona.

Jak podaje IDG, Senat zaakceptował bez poprawek ustawę umożliwiającą utworzenie Ministerstwa Nauki i Informatyzacji w ramach reorganizacji Komitetu Badań Naukowych.

Rządowy projekt wcześniej pozytywnie zaopiniowała Komisja Edukacji, Nauki i Młodzieży. W gestii nowego ministerstwa znajdzie się utworzony przez rząd dział administracji państwowej ds. informatyzacji. Do zadań ministerstwa należeć będzie koordynowanie działań związanych z programem informatyzacji kraju – wspomaganie edukacji informatycznej, tworzenie elektronicznej administracji i udostępnianie przez Internet jak największej liczby usług publicznych.

Jednym z priorytetów będzie tworzenie serwisów internetowych umożliwiających zdalny kontakt obywatela z urzędem. W ramach tej inicjatywy prowadzony jest m.in. krakowski pilotażowy projekt rozliczania się z drogą elektroniczną z urzędem skarbowym.

Już 3 marca oficjalnie, firma Sun rozpocznie beta testy swojego najnowszego pakietu biurowego StarOffice 6.1. Testy mają potrwać do 2 maja i w związku z tym Sun szuka testerów którzy będą mogli sprawdzić pakiet w działaniu dla małych i średnich firm, developerów i administratorów systemu.

Tymczasem już na stronach Sun można znaleźć ankietę dla przyszłych i zainteresowanych testerów. Zapisane osoby dostaną powiadomienie na e-mail odnośnie adresu pobrania beta wersji produktu oraz dalsze instrukcje odnośnie testów.

Przedstawiamy wstępny, szczegółowy plan spotkań z Kevinem Mitnickiem. Wiadomo już, że ex-hacker odwiedzi Warszawe, Wrocław oraz Gdańsk. Patronat medialny nad imprezą objęli m.in.: TVN, Wprost, Onet.pl oraz Hacking.pl.

Jak wiadomo Gadu-Gadu to najsłynniejszy komunikator używany przez internautów do komunikowania się z innymi użytkownikami oraz do wysyłania wiadomości sms. O tym, iż używanie tego komunikatora nie jest za bardzo bezpieczne informowaliśmy i to nie jeden raz.

Oczywiście nie chcę tutaj obrażać autorów i dyskredytować ich znajomość programistyczną, lecz jedynie chcę poinformować o niebezpieczeństwie na jakie jesteśmy narażeni korzystając z „wadliwego i niedopracowanego” produktu.

Otóż na serwisie Interceptor zostały opublikowane wykradzione hasła Gadu-Gadu. Jak już mi wiadomo, Artur Poczekalewicz i Marcin Bukowski odkryli dziurę w skryptach ASP na serwerze firmy obsługującej komunikator Gadu-Gadu. Znaleziona dziura umożliwiała pobieranie z bazy hasła oraz adresu email dowolnego użytkownika o znanym numerze konta (numer UID). Wybierając kolejne lub losowe numery konta można było oglądać hasła użytkowników komunikatora.

Odkrywcy dziury poinformowali o tym zespół Gadu-Gadu, którzy jednak zignorowali informację. Po dziesięciu dniach zespół poprawił błąd, zaś na stronie głównej pojawiła się następująca informacja:

Szanowni Użytkownicy!
W celu poprawienia ochrony kont w serwisie Gadu-Gadu prosimy o zmianę swojego hasła. W tym celu należy wywołać menu Gadu-Gadu, wybrać Ustawienia. W oknie ustawień proszę wybrać sekcję Gadu-Gadu, a następnie wybrac przycisk „Zmień”.
Jednocześnie informujemy że w najnowszej wersji Gadu-Gadu 5.0.3 działają znacznie ulepszone rozmowy głosowe, a także katalog użytkowników (który nie działa w starszych wersjach programu).

Dziękujemy,
Zespół Gadu-Gadu
31 stycznia 2003

W między czasie błąd został jednak odkryty przez inne osoby, które wykorzystały go do wykradania haseł i podszywania się pod użytkowników Gadu-Gadu. Zainteresowane osoby mogą pobrać kod źródłowy programu który umożliwiał wykradanie haseł.

Jak widać ostatnio czarna chmura zawitała progi zespołu Gadu-Gadu. Początkowo sniffer Gadu-Gadu, który umożliwia podsłuchiwanie rozmów, a teraz możliwość wykradania haseł. Pytanie teraz brzmi co następnie ?

Wiadomo zaś, że Gadu-Gadu, bez odpowiednich wtyczek, nie posiada żadnej ochrony przesyłania informacji klient serwer i na odwrót. Kto wie, być może doczekamy się sensownego rozwiązania w nowszych wersjach komunikatora…

Zobacz również:

Lista haseł GG już usunięta
Sniffer Gadu-Gadu raz jeszcze
Gadu-Gadu – hasła również nie są bezpieczne!
Sniffer Gadu-Gadu oraz Gadu Crypt

Dostępna do pobrania jest kolejna, stabilna wersja Midnight Commandera 4.6.0. Nowa wersja zawiera łatkę zwiększającą przenośność kodu oraz uaktualnioną dokumentację i tłumaczenia. Zainteresowani źródła najnowszej wersji mogą pobrać stąd. Warto wspomnieć jeszcze o nowym projekcie Advanced Midnight Commander w skład którego wchodzi kilka łatek na MC 4.6, zaś jego autorem jest znany z pracy nad mplayerem – A’rpi.

Wczorajszego dnia wydana została kolejna wersja GCC 3.2.2 która od poprzedniej wersji różni się jedyni poprawkami błędów. Lista zmian znajduje się na tej stronie, zaś adresy do źródła nowej wersji dostępne są tutaj.

Pojawiła się najnowsza wersja środowiska graficznego GNOME 2.2. Z nowości jakie znajdują się w tej wersji to m.in. dodanie prostych ale użytecznych funkcji znanych z systemu Windows, jak np. jednoczesna minimalizacja wszystkich okiem, wprowadzenie ikon z podglądem oraz poprawieno wyświetlanie informacji o pliku. Więcej informacji na ten temat dostępna jest na oficjalnej stronie, zaś stąd można pobrać tytułową wersję środowiska graficznego. Aby umilić czas pobierania, warto zobaczyć galerię zdjęć.

Lutowy numer magazynu IT-FAQ już w sprzedaży. A w nim m.in.:

W sieci
Tiny Personal Firewall 4.0
Producenci oprogramowania tego typu prześcigają się w co raz to nowszych wersjach, które potrafią nie tylko blokować określone porty, ale oferują całą gamę różnorodnych funkcji podwyższających poziom bezpieczeństwa naszego systemu operacyjnego. Jednak zarządzanie tym oprogramowaniem staje się dzisiaj skomplikowane, przynajmniej dla użytkowników nie mających kontaktu z takimi aplikacjami. – Str. 8

Windows XP ICF

Neostrada Plus – instalacja, tuning

Różne oblicza SpyWare – część II

Usuwanie szpiegów – część II

Q&A
Niech powstaną legiony
Panie Michale – trzeba studentom informatyki założyć konta i najlepiej gdyby każdy z nich miał konto ftp oraz katalog udostępniony w sieci lokalnej (na własne hasło i z uprawnieniami: do zapisu). – Od tego wszystko się zaczęło. Musiałem założyć kilkadziesiąt kont, a uwzględniając ewentualne „życzenia” studentów z innych kierunków w perspektywie miałem do założenia kilkaset kont, czyli kilkanaście bezsennych nocy. – Str. 25

NTBackup – zarządzanie logami

FAHQ
Systemy wykrywania włamań – część III
Rosnąca co roku liczba włamań, powszechność sieci lokalnych i Internetu powoduje, że coraz więcej organizacji wdraża różnego rodzaju systemy służące do monitorowania naruszeń bezpieczeństwa – systemy wykrywania włamań (IDS). Niniejszy artykuł jest trzecim z cyklu poświęconego systemom IDS. – Str. 30
Admin FAQ
GPO – część II

DFS – Distibuted File System

Instalacja i zabezpieczanie IIS – część III

Mechanizmy uwierzytelniania w SQL Server
Utworzenie bezpiecznej i niezawodnej instancji serwera baz danych wiąże się z zabezpieczeniem samego serwera, jak i wdrożeniem zaplanowanych wytycznych dotyczących polityki bezpieczeństwa obiektów samej bazy danych. W przypadku bazy Microsoft SQL Server 2000, ze względu na jej dużą integrację z systemem operacyjnym Windows, możemy stosunkowo łatwo osiągnąć postawione sobie cele. – Str. 50

Bezpieczna poczta elektroniczna – część III

SBS FAQ

Small Business Server – konfiguracja ISA Server
Mimo, iż MS Proxy Server (zwłaszcza w wersji 2.0) był bardzo dobrym narzędziem o dużych możliwościach, nie może on się jednak równać z Internet Security and Acceleration Server. – Str. 58
FAQTY
MS Security Bulletins

Bugtraq

Hotfix checklist
Programy zaraz po zainstalowaniu raczej nie nadają się do bezpiecznego i bezproblemowego użytkowania. Jeśli nie masz ochoty na wertowanie stron internetowych w poszukiwaniu listy dostępnych poprawek – to jest miejsce dla Ciebie. – Str. 65
Zobacz również:

www.IT-FAQ.pl
Prenumerata IT-FAQ