2003

W Warszawie 27 lutego 2003 roku (budynek City Gate, ul. Ogrodowa 58) odbędzie się wykład dotyczący Podpisu elektronicznego.

Podczas wykładów zostaną omówione m.in. ustawy, najważniejsze postanowienia i przegląd przepisów wykonawczych dotyczących podpisu elektronicznego, jego możliwości stosowania w gospodarczej współpracy międzynarodowej, procedura postępowania w przypadku podjęcia decyzji o wdrożeniu podpisu elektronicznego dla potrzeb swojej firmy (wybór podmiotu świadczącego usługi certyfikacyjne, wybór właściwej formy certyfikacji oraz instalacja i konfiguracja oprogramowań). Planowane są również zajęcia praktyczne mające na uwadze przede wszystkim bezpieczeństwo (wiarygodność podpisu elektronicznego, zabezpieczenie poczty elektronicznej, bezpieczeństwo serwerów WWW i SSL, znaczniki czasu, podpisywanie dokumentów EDI, systemy bezpieczeństwa). Nie obejdzie się również bez przerwy (lunch). Na sam koniec wykładów przedstawiony zostanie problem „Czy podpis elektroniczny wyeliminuje rozwiązania oparte na EDI lub XML” oraz „Audyt systemów PKI”.

Koszt udziału w seminarium wynosi: 1300 zł + 22% VAT. Powyższy koszt obejmuje: udział w zajęciach, materiał konferencyjny w postaci książki pt.: „Vademecum podpisu elektronicznego”, bufet w przerwach, lunch, certyfikat udziału w warsztatach).

Warunkiem udziału jest przesłanie wypełnionego formularza zgłoszeniowego faksem lub elektronicznie ze strony internetowej organizatora.

Ukazała się kolejna wersja ProFTPD o numerku 1.2.8rc2. Pełna lista zmian dostępna jest tutaj, natomiast źródła można pobrać stąd.

Pierwsza encyklopedia tworzona na zasadach Open Source – Wikipedia – w dwa lata po rozpoczęciu prac ma już 100 tys. haseł.

63 tys. opisów jest dostępnych po angielsku, reszta to hasła w innych językach, także polskim. Encyklopedia opiera się na aplikacji Wiki, przygotowanej specjalnie z myślą o internetowej encyklopedii. Przy każdym zamieszczonym w Wikipedii haśle znajdują się linki, które pozwalają na wprowadzenie zmian na stronie. Możliwy jest wgląd w starsze wersje, można dyskutować na temat zmian w haśle oraz dołączonych powiązań z innymi zagadnieniami. Wszyscy, w tym niezarejestrowani użytkownicy, mogą też wprowadzać nowe hasła. Dzięki temu tysiące Internautów nie tylko odwiedzają strony Wikipedii w poszukiwaniu informacji, ale także sami współtworzą ich treść. Polska Wikipedia wystartowała 26 października 2001 roku, w tej chwili zawiera 6647 artykułów i wciąż się rozwija.

Wikipedia opiera się na licencji GNU, która pozwala na używanie encyklopedii do dowolnych celów – także komercyjnych. Jedynym warunkiem jest umieszczenie informacji o oryginalnej Wikipedii oraz zachowanie licencji GNU. Dzięki temu współtwórcy zachowują pewność, że wszystkie wersje rozwojowe również będą dostępne bezpłatnie.

Wokół Wikipedii wytworzyła się już spora społeczność, aktywnie biorąca udział w rozwijaniu kolejnych działów. Dzięki nim Wikipedia jest dziś największą i najszybciej rozrastającą się encyklopedią o otwartej treści. Przy okazji prac nad encyklopedią powstała „siostrzana” inicjatywa – Wictionary. To wielojęzyczny słownik budowany na tej samej zasadzie, co Wikipedia.

Oczywiście pod względem ilości haseł Wikipedia wciąż nie może się równać z dużymi encyklopediami tworzonymi przez profesjonalistów. Autorzy projektu są jednak optymistami.

„Myślę, że w ciągu najbliższych kilku lat rozwiniemy się do poziomu dużych encyklopedii i będziemy konkurować z Brittaniką” – powiedział Larry Sanger, współzałożyciel Wikipedii. Trzymamy kciuki i polecamy!

Zobacz również: wikipedia.com

Firma Sharman Networks, właściciel służącej wymianie plików w Internecie sieci Kazaa, złożyła pozew przeciwko branży muzycznej i filmowej. Sytuacja jest o tyle nietypowa, że jak do tej pory to wytwórnie płytowe i studia z Hollywood walczyły z Kazaa, a nie odwrotnie.

Sharman Networks zarzuca pozwanym przez siebie firmom „nieprzyzwoite” nadużywanie możliwości płynących z ochrony własności intelektualnej. Pozew został złożony w sądzie federalnym w Los Angeles. Sharman zarzuca potentatom branży muzycznej i filmowej, że nadużywają swojej pozycji do wykluczenia z rynku firm zajmujących się dystrybucją plików w sieci, gdyż stanowią one dla nich potencjalną konkurencję.

Firma Sharman kupiła prawa do oprogramowania Kazaa na początku roku 2002, by – jak twierdzą przedstawiciele firmy – na bazie popularnej sieci peer-to-peer stworzyć odpłatny system dystrybucji autoryzowanych plików. Przedstawiciele firmy utrzymują, że wykorzystywany w Kazaa model biznesowy w zasadniczy sposób różni się od Napstera czy Aimstera, które z powodu wyroku sądu musiały zawiesić swoją działalność.

„Branża nie potrafi uświadomić sobie, że Kazaa jest inna” – powiedział Rod Dorman, pełnomocnik firmy. „Teraz będą musieli ponieść konsekwencje prawne”.

W złożonym pozwie Sharman przyznaje, że w sieci Kazaa każdego miesiąca wymienianych jest 15 mln plików chronionych prawem autorskim. Przedstawiciele firmy argumentują jednak, że winę za taki stan rzeczy ponoszą sami dysponenci praw autorskich. W ciągu ubiegłego roku firma wielokrotnie próbowała podjąć negocjacje z pracownikami kompanii muzycznych i filmowych, próbując uzyskać licencję na sprzedaż ich produktów w Internecie. I choć część firm okazała zainteresowanie legalnym wykorzystaniem sieci Kazaa, wszystkie rozmowy były ucinane przez zrzeszenie Recording Industry Association of America (RIAA) oraz inne organizacje reprezentujące branżę muzyczną i filmową. RIAA wielokrotnie upominało szefów firm muzycznych, by nie kontaktować się z Sharman Networks. Teraz prawnicy firmy Sharman domagają się od sądu orzeczenia, że branża muzyczna i filmowa jest winna nieuczciwej konkurencji oraz nadużywania praw autorskich.

Jakkolwiek pojawiające się w tej sprawie argumenty są podobne do tych, jakimi operowały już w przeszłości inne zamknięte z powodu wyroków skazujących firmy zarządzające sieciami peer-to-peer, jedno jest pewne. Postępowanie w tej sprawie opóźni proces o łamanie praw autorskich, jaki firmy płytowe i studia filmowe wytoczyły Sharman Networks.

Zobacz również:

Dział P2P
Newsy dot. programu KaZaA
Kłopoty Kazaa
Riaa.org – kolejny hacked!
Oryginalne komentarze na RIAA
Kolejny udany atak na RIAA
Hakerzy atakują strony RIAA!

Projekt Adnana Osnani okazał się najlepszy spośród wszystkich prac zgłoszonych przez starających się o tytuł „Naukowca Roku” uczniów irlandzkich college’ów. 16-latek otrzymał czek na 3 tysiące euro, jednak już wkrótce na jego bankowe konto mogą trafić znacznie większe kwoty. Stworzona przez młodego Irlandczyka przeglądarka internetowa „Xwebs megabrowser” może dokonać prawdziwej rewolucji w Internecie.

Adnan Osnani z pamiątkowym pucharem
Według twórcy, zastosowany w programie algorytm może aż 6-krotnie przyspieszyć przeglądanie stron internetowych. Efekt ten został osiągnięty dzięki dzieleniu otrzymywanych zadań na pakiety i równoczesnej obsłudze kilku strumieni danych. Jak dotąd te rewelacje nie zostały potwierdzone przez niezależne testy – do pomiarów potrzebny byłby dostęp do pełnego kodu źródłowego przeglądarki, a młody programista nie chce go ujawnić przed prawnym zastrzeżeniem swoich rozwiązań.

By przekonać sędziów, że „Xwebs megabrowser” zasługuje na główną nagrodę w konkursie wystarczyły jednak inne zalety aplikacji Osnaniego. Jest wśród nich aż 120 zintegrowanych w programie mechanizmów wyszukiwawczych oraz aplikacje do odtwarzania plików multimedialnych we wszystkich stosowanych obecnie formatach. Wśród interesujących opcji można wymienić też Phoebe – animowaną postać, która może odczytywać zawartość stron, a także translator pozwalający tłumaczyć na angielski strony stworzone w innych językach. Gary McDarby, czołowy badacz najbardziej znanej uczelni technicznej świata – Massachussets Institute of Technology – przyznał, że rozwiązania zastosowane przez Osnaniego „podnoszą poprzeczkę dla firm z branży”.

Osmani jest samoukiem. Pierwszy komputer dostał od rodziców w wieku lat 10, by jako 12-latek zacząć programować. Nad programem zgłoszonym do konkursu pracował dwa lata.

Więcej informacji: wired.com

W końcu doczekaliśmy się kolejnej wersji środowiska graficznego KDE. Nowa wersja 3.1 zawiara bardzo dużo zmian względem poprzednich wersji – pełna lista zmian w stosunku do wersji 3.0.5 dostępna jest tutaj. Aktualnie dostępne są źródła i pakiety m.in. dla Slackware, Debian oraz SuSE które można pobrać stąd. Osoby zainteresowane szczegółami odsyłam do oficjalnej informacji.

Firma Microsoft poinformowała o wprowadzeniu pierwszego Feature Pack 1 – pakietu funkcji do oprogramowania Microsoft Internet Security and Acceleration (ISA) Server 2000. Pakiet ten obejmuje nowe zabezpieczenia zapory (firewall) działające w warstwie aplikacji oraz nowatorskie ulepszenia systemu zabezpieczeń.

System Internet Security and Acceleration (ISA) Server 2000 firmy Microsoft umożliwia nawiązywanie bezpiecznych, szybkich i łatwych w zarządzaniu połączeń internetowych dzięki zintegrowaniu zaawansowanej, wielowarstwowej zapory (firewall) dla przedsiębiorstw. Zapora systemu ISA Server została zoptymalizowana pod kątem zabezpieczania w warstwie aplikacji i zapewnia funkcje rozpoznawania stanu połączeń, wirtualnych sieci prywatnych i bezpiecznego publikowania. ISA Server udostępnia także zaawansowaną, skalowalną i wydajną pamięć podręczną stron WWW, która zwiększa wydajność transmisji sieciowej i zmniejsza wykorzystanie szerokości pasma.

Feature Pack 1 przeznaczony jest dla klientów korzystających z oprogramowania Microsoft Exchange Server, w tym Outlook Web Access (OWA), oraz Internet Information Services (IIS). Pakiet obsługuje również rozwiązanie dwustopniowego uwierzytelniania RSA SecurID firmy RSA Security. Wprowadzając pakiet Feature Pack 1, dział bezpieczeństwa (Security Business Unit – SBU) firmy Microsoft postępuje zgodnie z jednym z podstawowych założeń inicjatywy Trustworthy Computing – dodaje nową warstwę skuteczniej zabezpieczającą sieć klienta. Pakiet Feature Pack 1 do oprogramowania ISA Server można pobrać z witryny firmy Microsoft pod adresem http://www.microsoft.com/isaserver/featurepack1/

„Większość zapór nie zabezpiecza serwerów Exchange i IIS przed współczesnymi, zaawansowanymi atakami” – powiedział Craig Fiebig, dyrektor działu bezpieczeństwa Microsoftu. „Połączenie Serwera ISA i pakietu Feature Pack 1 zwiększa bezpieczeństwo tych serwerów, nawet jeśli są one już chronione zaporą tradycyjną”.

Pakiet Feature Pack 1 do oprogramowania ISA Server chroni przed nowymi rodzajami ataków. Obejmuje on nowe zabezpieczenia, kreator instalacji i zapewnia wysoki poziom bezpieczeństwa, upraszczając jednocześnie konfigurację oprogramowania ISA Server pod kątem rozwiązań Exchange Server i IIS.

„Ataki przez Internet są coraz bardziej złożone, dlatego produkty związane z bezpieczeństwem, takie jak ISA Server, muszą zostać dostosowane do zmieniających się uwarunkowań” – powiedział Charles Kolodgy, dyrektor ds. badań w firmie IDC Corp. „Pakiet Feature Pack 1 do oprogramowania ISA Server udostępnia wydajne narzędzia zwiększające bezpieczeństwo instalacji Exchange oraz Outlook Web Access. Jednocześnie, nie zmniejszają one spójności i szybkości działania aplikacji”.

W firmach każdej wielkości, konieczne jest stosowanie dodatkowych zabezpieczeń sieci. Taką ochronę daje oprogramowanie ISA Server z pakietem Feature Pack 1. „Narzędzia w nim zawarte dodatkowo zabezpieczają sieci, co jest bardzo ważne dla naszej działalności” – powiedział Len Couture, dyrektor ds. informatycznych w Enterasys Networks Inc. „Funkcja URLScan dostępna w pakiecie pozwala zablokować ataki na znane luki serwerów WWW już na brzegu sieci, jeszcze zanim dotrą one do wewnętrznego serwera. Dzięki temu nasza instalacja aplikacji ISA Server jest bardziej niezawodna i bezpieczna”.

Według magazynu Information Week (16 listopada 2001 roku), w 2005 roku, 35 milionów użytkowników będzie mieć zdalny dostęp do sieci klientów. Takie połączenia coraz częściej muszą być odpowiednio zabezpieczone. Pakiet Feature Pack 1 do oprogramowania ISA Server zapewnia szybki, prosty i niezawodny sposób weryfikacji tożsamości użytkownika przed udostępnieniem zasobów sieciowych.

„RSA Security opracowuje narzędzia do budowania bezpiecznego, wiarygodnego i wygodnego środowiska realizacji procesów gospodarczych” – powiedział Bill McQuaide, wiceprezes działu uwierzytelniania w firmie RSA Security. „Wprowadzając tak kompleksowe rozwiązanie w zakresie bezpieczeństwa, jakim jest ISA Server z pakietem Feature Pack 1, Microsoft pomaga klientom w zabezpieczaniu sieci i pracujących w niej aplikacji”.

Dostęp do Internetu i poczty elektronicznej jest warunkiem funkcjonowania firm i urzędów. Pakiet Feature Pack 1 udostępnia wiele nowych mechanizmów zwiększających bezpieczeństwo serwerów WWW i Exchange. Ulepszone filtrowanie w protokole SMTP lepiej zabezpiecza pocztę elektroniczną – niepożądane wiadomości e-mail są odrzucane. Zintegrowana funkcja URLScan chroni sieci przed nowymi atakami internetowymi. Dla administratorów systemów przygotowano gotowe scenariusze konfiguracji, dokumentację techniczną oraz kreatory pomagające w uzyskiwaniu odpowiedzi na typowe pytania. Dzięki nim konfiguracja oprogramowania ISA Server 2000 pod kątem zabezpieczania rozwiązań Exchange Server i IIS jest o wiele prostsza.

Polski oddział Microsoft poinformował, że w sobotę, 25 stycznia około 0:30 rano czasu Redmond (9:30 rano w Polsce) firma Microsoft otrzymała informację o ataku poprzez Internet powodującego dramatyczny wzrost ruchu sieciowego na całym świecie. Dzięki natychmiast podjętemu dochodzeniu okazało się, że jest to wynik działania wirusa atakującego niezabezpieczone uprzednio odpowiednią poprawką aplikacje Microsoft SQL Server 2000 oraz Microsoft SQL Desktop Engine 2000 (MSDE 2000).

Microsoft cały czas pracuje nad zapewnieniem bezpieczeństwa i ochrony klientom, których systemy zostały zainfekowane. Problem nie dotyczy typowych domowych użytkowników komputerów, jednak nic nie wskazuje na to, że wirus ten niszczy dane przechowywane w zainfekowanych systemach.

Wirus o nazwie „Slammer” rozprzestrzenia się poprzez Internet atakując niezabezpieczone uprzednio systemy z aplikacjami Microsoft SQL Server oraz MSDE i powoduje znaczny wzrost ruchu sieciowego w Internecie.

Wykorzystywana przez wirusa luka w oprogramowaniu została przez Microsoft po raz pierwszy dostrzeżona i uwzględniona w poprawce z lipca 2002 roku oraz kolejnych uaktualnieniach. Wszystkie poprawki zostały również uwzględnione w wypuszczonym ostatnio uaktualnieniu Service Pack 3 (SP3) do Microsoft SQL Server 2000. Systemy, na których jedna z tych poprawek została zainstalowana, są zabezpieczone przed wirusem. Microsoft bezwzględnie zaleca klientom zainstalowanie najnowszych poprawek zgodnie z instrukcją zamieszoną w publikacji TechNet oraz rozpoczęcie przygotowania do wdrożenia uaktualnienia Microsoft SQL Server 2000 SP3.

Microsoft zaleca również, aby wszyscy klienci używający MSDE 2000 (najczęściej programiści), również zainstalowali wymagane poprawki w celu zabezpieczenia się przed potencjalnym atakiem.

W wyniku zaistniałej sytuacji polski oddział Microsoft podjął natychmiastowe działania mające na celu poinformowanie klientów i partnerów o potencjalnym zagrożeniu oraz o sposobach zabezpieczenia się przed atakiem wirusa.

Zobacz również:
– Azjatyckie serwery odcięte od sieci

Microsoft poinformował o nowej ofercie dla klientów i partnerów dotyczącej złożenie zamówienia na płyty CD zawierające najnowsze (edycja Zima 2002) aktualizacje i poprawki serwisowe Microsoft.

Obecnie dostępne są dwie płyty CD z uaktualnieniami. Pierwsza z płyt zawiera uaktualnienia, poprawki i dodatki dla domu i biura do takich produktów jak: Microsoft Windows XP, Microsoft Office XP, Internet Explorer, Microsoft Outlook, Windows Instaler, DirectX, Windows Media Player, czy MSN Messenger. Druga zaś zawiera uaktualnienia, poprawki i dodatki oprogramowania Microsoft dla przedsiębiorstw do takich produktów jak: Exchange Server 2000, Exchange Server 5.5, SBS 2000, SQL 2000 oraz Windows 2000 Server, Windows NT Server 4.0, ISA 2000.

„Nasza oferta ma ułatwić dostęp do tych poprawek, których „sciąganie” z Internetu ze względu na ich wielkość jest niedogodne dla klientów” – powiedział Jacek Jelitto, Support Manager polskiego oddziału firmy Microsoft. „Wspomniane płyty CD zamówić może każdy klient firmy Microsoft. Dla klientów posiadających zarejestrowany produkt, wysyłka jest bezpłatna, dla pozostałych klientów opłata wynosi 15PLN (za koszty wysyłki)” – dodał Jacek Jelitto.

Płyty można zamówić on-line, korzystając z lokalnej strony http://www.msinfo.pl (ten sposób skierowany jest głównie dla klientów Microsoft, gdyż działa 24 na dobę i nie obciąża centrali telefonicznej), bądź telefonicznie dzwoniąc do Biura Obsługi Klienta pod numer 0 801 308 801.

Złośliwy robak od dwóch dni w kilku krajach azjatyckich poważne utrudnienia w korzystaniu z sieci internetowej. Najdotkliwiej ucierpiała sieć w Korei Południowej, a przez kilka godzin tamtejsze serwery nie działały praktycznie w ogóle.

Problemem jest robak który wykorzystuje dziurę w serwerze MS SQL, który wysyła olbrzymie ilości danych na port 1432/UDP, blokując tym samym sieć. Podobnie było w Japonii, Tajlandii, Malezji, Indiach i na Filipinach.

Więcej informacji na ten temat znajduje się na stronach securityfocus, zaś poniżej informacja nadesłana przez Pooh’a odnośnie nowego robaka:

2003-01-25
Dziś w nocy zaczął działać nowy robal internetowy, tym razem wykorzystujący dziury w serwerach MSSQL. Nie byłoby w tym nic strasznego, w końcu to nie pierwsza i zapewne nie ostatnia dziura w produktach MS, gdyby nie to, że robal przystąpił do masowego skanowania sieci w poszukiwaniu nowych ofiar. Operatorzy firewalli powinni zauważyć tony pakietów UDP przychodzących na port 1434. U mnie pojawiły się punktualnie o 6:30 rano i przybywają do tej pory (15:30) w tempie dochodzącym momentami do 10/s.

Rozprzestrzenianie sie robala zawdzięczamy po pierwsze, starej (ma już ponad pół roku) dziurze w MSSQL, a po drugie niefrasobliwości adminów, którzy nie pomyśleli o załataniu swoich serwerków. Patch również jest dostępny od ponad pół roku, trzeba go było sciągnąć i zainstalować…

Robal generuje spory ruch, zwłaszcza, że swoje pakiety wysyła multicastami, więc w niektórych sieciach ruch ten dodatkowo się zwieksza. Podobno w niektórych rejonach sieci robal pozapychał łącza i spowodował straty pakietów sięgające nawet do 95%

W chwili obecnej pozostaje nam blokowanie przychodzącego ruchu UDP 1434, dodatkowo admini posiadający w swoich sieciach serwery MSSQL powinni zablokować ruch wychodzący na ten port, aby zablokować rozprzestrzenianie się robala, jeśli już go mają u siebie.

Na koniec kilka przydatnych linków
– Unauthenticated Remote Compromise in MS SQL Server 2000
– łatka bezpieczeństwa na serwer MS SQL