hoaxer

Citibank poprawi zabezpieczenia dostępu do kont klientów przez internet – poinformowała Gazeta Wyborcza. To kolejny duży bank, który wzmacnia zasieki przed wirtualnymi złodziejami.

Konta osobiste klientów Citibanku mają opinię wygodnych w użyciu, ale są nisko oceniane w rankingach bezpieczeństwa. W innych bankach przy logowaniu do serwisu internetowego bądź przy wykonywaniu przelewów na niezdefiniowany wcześniej rachunek trzeba dodatkowo uwierzytelnić się wobec banku, np. podać kod z tokena (miniaturowy generator haseł), zestaw cyferek z przysłanej przez bank karty kodów bądź „okazać” zainstalowany w komputerze specjalny plik pełniący rolę wirtualnego klucza.

W Citibanku autoryzacja ogranicza się do dwóch haseł – wymyślonego przez klienta i przyznanego przez bank. Oba kody są stałe. I oba podaje się w całości (a nie tylko wybrane cyfry). To oznacza, że hacker, który je pozna, ma otwarty dostęp do konta.

W najbliższym czasie Citibank, z którego usług korzysta 800 tys. klientów detalicznych, wzorem większości konkurentów poprawi zabezpieczenia. – Nowy system wprowadzimy w maju – potwierdza rzecznik Citibanku Paweł Zegarłowicz.

Poza dwoma hasłami będą obowiązywały kody jednorazowe. Jednak nie w formie papierowych formularzy wysyłanych klientowi pocztą. – Klient, który będzie chciał wykonać przelew, otrzyma SMS na swój telefon komórkowy – zdradza Zegarłowicz. Nawet jeśli złodziej pozna hasła potrzebne przy logowaniu, to bez SMS-owego hasła nie będzie mógł wykonać żadnej operacji na rachunku.

Citibank nie jest jedynym bankiem, który uszczelnia dostęp do kont przez Internet. W sierpniu ubiegłego roku swój system w podobny sposób uszczelnił BPH. Oprócz SMS-owych haseł bank wprowadził tzw. hasło maskowane. Przy logowaniu klient jest proszony tylko o niektóre, losowo wybrane fragmenty hasła. Nawet jeśli wpadną w niepowołane ręce, nie wystarczą, by włamać się do konta.

O poprawie zabezpieczeń myślą też inni. Największa wirtualna instytucja finansowa – mający milion internetowych klientów mBank – też porzucił niedawno tradycyjne listy haseł jednorazowych na rzecz haseł wysyłanych przez SMS.

Banki tłumaczą wprowadzanie zabezpieczeń poprawą poczucia bezpieczeństwa klientów. Jednak tak naprawdę chodzi o coraz większą liczbę włamań na cudze konta. W porównaniu z przestępstwami „karcianymi” (kradzieże lub kopiowanie kart) włamania na konta stanowią mniejszość, ale zagrożone są wyższe kwoty. Banki nie ujawniają wartości ponoszonych strat. Statystyki policji mówią o kilku milionach złotych rocznie, ale według ekspertów są znacznie zaniżone, bo duża część przestępstw nie jest zgłaszana. Banki wolą po cichu załatwiać reklamacje klientów.

Źródło informacji: Gazeta Wyborcza

Wczoraj w godzinach popołudniowych duża liczba internautów otrzymała
pocztą elektroniczną anonimowe ostrzeżenie, skierowane do użytkowników programu Blue Frog firmy Blue Security (http://www.bluesecurity.com).

Autor ostrzeżenia informował, że w ręce spamerów dostała się lista
adresów użytkowników programu. Groził, że w razie niezaprzestania
używania programu, jego użytkownicy zaczną dostawać znacznie więcej
spamu. Ostrzeżenie zawierało też treści rasistowskie skierowane
przeciwko właścicielom firmy Blue Security i sugestie, że program Blue
Frog (dostępny wraz z kodem źródłowym) może być wykorzystany do
zmasowanych ataków na niewinne osoby oraz że zawiera kod umożliwiający instalację dowolnego oprogramowania na komputerze użytkownika.

Dziś faktycznie odbiorcy ostrzeżenia zaczęli dostawać większą liczbę
spamu, niż dotychczas. Strona Blue Security od wczoraj nie działa, najprawdopodobniej została zaatakowana za pośrednictwem jednego ze spamerskich botnetów (atak DDoS). Spamerzy w desperacki sposób próbują zniechęcić użytkowników Blue Frog, ponieważ oprogramowanie to okazało się wyjątkowo skuteczne w uprzykrzeniu życia firmom sponsorującym wysyłanie spamu. Atakiem tym potwierdzają więc jego skuteczność i jak można wywnioskować z pojawiających się na różnych stronach komentarzy, system jedynie zdobywa nowych zwolenników.

Oprogramowanie Blue Frog to rozproszony system zgłaszania zażaleń na stronach, które są reklamowane w spamie. Spam zgłaszany do Blue Security jest analizowany, a programiści firmy przygotowują skrypty umożliwiające zautomatyzowanie zgłoszeń na stronach spamerów. Blue Frog umieszcza żądania użytkownika w polach formularzy, w logach serwera (wywołując nieprawidłowy adres strony, np. http://strona.spamera/zadam_usuniecia_mnie_z_waszych_list), nie łamiąc jednak prawa ponieważ na każdy otrzymany przez użytkownika spam przypada jedno zgłoszenie.

Twórcy systemu starają się na wszelkie możliwe sposoby poinformować
administratorów reklamowanych w spamie stron o żądaniach użytkowników.

Dodatkowo, zgłoszenia spamu są przekazywane przez Blue Security do producentów reklamowanego oprogramowania, właścicieli adresów IP, a w
przypadku działań niezgodnych z prawem do organizacji takich jak Interpol czy BSA. Lista użytkowników przechowywana jest w formie skrótów SHA1, tak więc spamerzy nie są w stanie jej uzyskać, ale mogą sprawdzić czy adresy w ich bazach znajdują się na tej liście.

Źródło: Tomasz Andrzej Nidecki, http://spam.jogger.pl/

Microsoft po raz kolejny organizuje konferencje „Developer Days”. Konferencja odbędzie się w trzech miastach: Katowice, Poznań, Warszawa.

Katowice – 9 maja
Poznań – 10 maja
Warszawa – 11 maja

Dokładna agenda dostępna jest na stronie Developer Days 2006.

Źródło informacji: Microsoft Polska

Dariusz Leonarski (Novell Polska) opowie m.in. o zaangażowaniu Novella w społeczność Open Source.

Data: 2006-05-05 18:00
Miejsce: Wydział Elektryczny Politechniki Szczecińskiej, ul. Sikorskiego 37, sala 119.

Spotkanie jest otwarte i bezpłatne. W celu oszacowania ilości chętnych bardzo prosimy o rejestrację na to spotkanie.

…is this computer valuable. it better not be. is this a business computer. it better not be. do you keep important company records or files on this computer.

you’d better hope not. because there are files scattered all over it tucked away in invisible hidden folders undetectable by antivirus sofware the only way to remove them and this message is by a CIDN number…

Od niedawna po sieci krąży koń trojański, który wyświetla taką wiadomość. Ransom-A żąda wpłacenia 11 dolarów na konto przestępcy przez firmę Western Union Holdings.

W innym wypadku będzie kasował co pół godziny 1 plik. Gdy kwota znajdzie się na koncie, użytkownik uzyska hasło potrzebne do odinstalowania trojana. Klient dodatkowo opróćz hasła uzyska jeszcze „wsparcie” podczas odinstalowania, gdyż mogą pojawić się komplikacje.

Trojan przejawia się tym, że wyświetla pornograficzne treści i wiadomości na ekranie, w których domaga się wpłacenia pieniędzy.

A gdy spróbujemy uruchomić menadżera zadań ujrzymy:

Yeah, We don’t die, We multiply! Ctrl+Alt+Del isn’t quite working today, is it? I’m not the sharpest tool in the shed but Crtl+Alt+Del is everyone’s S.O.S.

Zalecana jest systematyczna aktualizacja oprogrmowania antwyirusowego i stosowanie mechanizmów lub programów antyspamowych.

Źródło: sophos.com

Amerykański dostawca telefonii internetowej oraz rozwiązań sieci bezprzewodowej, firma The Cloud zamierza uruchomić w Wielkiej Brytanii pierwszą usługę mobilnej komunikacji Wi-Fi. Klienci firmy będą mogli zakupić specjalne telefony komórkowe i wykorzystywać połączenia internetowe, w celu prowadzenia tanich rozmów.

Zamiast tradycyjnego taryfikatora wykonanych połączeń, użytkownicy będą musieli zapłacić miesięczny abonament w wysokości ok. 8 funtów, w ramach którego otrzymają dostęp do darmowych rozmów internetowych oraz ograniczoną ilości „impulsów” na połączenia komórkowe.

W ofercie firmy The Cloud znajdzie się również odpowiedni telefon, w cenie ok. 80 funtów, który będzie nieco większy od obecnych na rynku komórek. W przypadku braku połączenia internetowego, urządzenie umożliwi łączność za pomocą zwykłych sieci komórkowych.

Na razie w Wielkiej Brytani dostępnych jest dziewięć obszarów dostępowych, w których można będzie skorzystać z usługi mobilnej telefonii internetowej. Na liście znalazły się m.in. najważniejsze miasta oraz lotniska, stacje kolejowe i kampusy uniwersyteckie.

Źródło: The Inquirer

Koncern Apple opatentował prototyp wyświetlacza ciekłokrystalicznego z wbudowaną siecią kamer mikroskopijnej wielkości. Dzięki nowej technologii, uczestnicy wideokonferencji będą mogli rozmawiać, patrząc bezpośrednio na ekran.

Dane transmitowane przez każdy z czujników mają być komponowane w jedną całość, za pomocą specjalnego oprogramowania, które prawdopodobnie zostanie zaimplementowane w skład pakietu iLife.

Firma Apple zapowiedziała wykorzystanie opatentowanej technologii w produktach przenośnych, w tym telefonach komórkowych oraz urządzeniach PDA.

Źródło: Endgadget

W opublikowanej niedawno nowej wersji przeglądarki internetowej Mozilla Firefox 1.5.0.2 wykryto nowy błąd umożliwiający wykonanie zdalnego kodu oraz przeprowadzenie ataku Denial of Service. Dotychczas nie udostępniono poprawki.

Pod tym adresem znajduje się strona zawierająca kod Javascript wywołujący przepełnienie bufora w funkcji frame.contentWindow.focus().

Źródło informacji: Securident.com

Studenci z Koła Naukowego KERNEL zapraszają na kolejny wykład w ramach cyklu „Linux — U mnie działa!”. Już w czwartek, 27 kwietnia, na krakowskiej Akademii Górniczo-Hutniczej poruszone zostaną tematy bezpieczeństwa sieci bezprzewodowych.

Prelegent, Marek Magryś, omówi i zademonstruje techniki ataków na klucze WEP i WPA, ukazując tym samym, jak łatwo jest się dostać do sieci bezprzewodowych o różnych konfiguracjach.

Spotkanie odbędzie się na wydziale Fizyki i Informatyki Stosowanej AGH w czwartek, 27 kwietnia o godzinie 18:15 w sali A pawilonu D10.

Wstęp, jak zwykle, wolny.

Standardowo, po wykładzie rozlosowane zostaną nagrody. Aby wziąć udział w losowaniu należy się uprzednio zarejestrować na stronie wykładów LUMD.