19 kwietnia ukazała się nowa aktualizacja dystrybucji Debian GNU/Linux 3.1 (kodowa nazwa „Sarge”). Poprawki to głównie usprawnienia dotyczące bezpieczeństwa.
Administratorzy, którzy dotychczas na bieżąco aktualizowali swoje oprogramowanie z security.debian.org nie będą mieli wiele nowych pakietów do instalacji. Lista mirrorów z których można pobrać aktualizacje dostępna jest pod tym adresem.
Mozilla Foundation ostrzega przed krytycznymi błędami wykrytymi w przeglądarce internetowej oraz kliencie poczty. Luki umożliwiają m.in. wykonanie dowolnego kodu w podatnym systemie lub sfałszowanie adresu strony internetowej.
US CERT udostępnił krótki opis podatności. Zalecamy natychmiastowe dokonanie aktualizacji Mozilla Firefox do wersji 1.5.0.2, Mozilla Thunderbird do wersji 1.5.0.2 lub SeaMonkey do wersji 1.0.1. Mozilla Foundation określiła wydanie 1.5.0.2 jako „wydanie krytyczne”.
Pobierz:
Mozilla Firefox 1.5.0.2
Mozilla Thunderbird 1.5.0.2
SeaMonkey 1.0.1
Źródło informacji: The Register
Holenderscy naukowcy zaprezentowali program o nazwie MoodViews, który ich zdaniem potrafi wykryć zmiany nastroju internautów. Aplikacja jest efektem badań nad oddziaływaniem blogów, czyli pamiętników sieciowych.
Badacze z NWO Netherlands Organisation for Scientific Research przyznali, że MoodViews składa się z kilku narzędzi, które wykrywają nastrój właścicieli blogów podczas wprowadzania kolejnych wiadomości. Każdego dnia program monitoruje około 150 tys. pamiętników internetowych w poszukiwaniu nowych wpisów.
Dane prezentowane są w postaci wykresów graficznych i na ich podstawie można określić ogólne nastawienie internautów w niektórych miejscach globalnej sieci. Naukowcy zapowiedzieli dalsze prace nad rozszerzeniem funkcjonalności, m.in. o moduł Moodspotter, który będzie w stanie powiązać zmianę nastawienia internautów z konkretną osobą, miejscem albo produktem.
Źródło: Vnunet
Google dzięki swojej wyszukiwarce internetowej zarabia rocznie miliardy dolarów. Ale jak grzyby po deszczu wyrastają spółki, które twierdzą, że potrafią szukać lepiej.
Pod względem popularności wyszukiwarka Google nie ma sobie równych. Na przykład w Polsce niemal 80 proc. internautów, szukając w sieci informacji, korzysta właśnie z technologii kalifornijskiej spółki. W USA, najbardziej konkurencyjnym rynku dla wyszukiwarek, Google obsługuje blisko co drugie zapytanie. Jednym z nielicznych wyjątków są Chiny, gdzie internetowy gigant przegrywa z lokalnymi firmami.
Google potrafiło przekuć sukces na konkretne pieniądze – w zeszłym roku przychody z reklam wyświetlanych m.in. przy wynikach wyszukiwania przekroczyły 6 mld dol. Nic więc dziwnego, że chętnych na uszczknięcie choćby kawałka tego tortu nie brakuje.
Zapytaj wyszukiwarkę
– Naszą technologię można porównać do wynalezienia tranzystorowego radia, które zupełnie zmieniło sposób docierania do informacji – zapowiada dr Riza Berkan. To szef Hakii, jednej z wyszukiwarek, które będą starały się podgryźć Google’a. Berkan ma ambitne plany – w ciągu dwóch-trzech lat chce zagarnąć 15-20 proc. rynku.
Jak? Odpowiadając na pytania. Przedstawiciele Hakii twierdzą, że dzięki ich technologii wyszukiwarka uwzględni znaczenie i konteksty wpisywanych wyrazów. Jednym z ulubionych przykładów Berkana jest „ból głowy”. Jeśli w okienku Hakii wpiszemy pytanie: „Jaki lek pomaga na ból głowy?”, wśród wyników możemy dostać odpowiedź „aspiryna leczy migrenę”. Trik polega na tym, że żadne z tych słów nie pojawia się w pytaniu, ale odpowiedź na nie dostaniemy i tak.
Hakia ma też ułatwić znalezienie interesującej nas informacji, segregując wyniki w różnych szufladkach tematycznych. To akurat nie jest do końca nowatorskie podejście – od kilku lat na podobnej zasadzie działa choćby wyszukiwarka Clusty.
Kolejny przykład to Accoona – wyszukiwarka z New Jersey. Internauci mogą precyzować w niej wyniki wyszukiwania, wybierając zakres dat, w którym informacje zostały opublikowane, albo źródło ich pochodzenia. Przedstawiciele spółki przekonują, że ich produkt – jak Hakia – potrafi rozpoznawać znaczenie wyrazów.
W Polsce trudno mówić o rywalizacji między wyszukiwarkami. Poza Google’m tylko dwie odgrywają na rynku jakąś rolę – NetSprint, ostatnio przejęty przez norweską grupę Orkla Media i OnetSzukaj (łącznie mają niespełna 20 proc. rynku). Widoczne są zwłaszcza wysiłki tej ostatniej – Onet niedawno zachęcał internautów do korzystania ze swojej wyszukiwarki, kusząc atrakcyjnymi nagrodami (m.in. 42-calowym telewizorem plazmowym). Na początku roku ruszył też z dużą kampanią reklamową pod hasłem „Przeszukaliśmy na nowo polski internet”. Sęk w tym, że np. szukając w Onecie serwisu aukcyjnego
Allegro, internauta nie trafi na jego stronę główną, ale na link do serwisu OnetAukcje (Onet prowadzi go z Allegro i obie strony dzielą się pieniędzmi).
Z motyką na słońce
Na razie Hakia działa tylko w wersji testowej. Gotowa wersja ma być dostępna dopiero w listopadzie. Accoona też nie wprowadziła jeszcze wszystkich swoich zapowiedzi w życie. Czy nowe wyszukiwarki mają szanse na sukces?
Obserwatorzy rynku są podzieleni. Jedni patrzą na nie przychylnym okiem. Być może nawet, jeśli pomysł na szperanie po sieci okaże się rzeczywiście innowacyjny, to nowego gracza szybko wykupi któryś z gigantów – Google, Yahoo lub Microsoft. Zwłaszcza ten ostatni musi nadrabiać dystans do rywali.
Inni analitycy twierdzą jednak, że nowe firmy korzystają jedynie z mody na wyszukiwarki i chcą wyciągnąć pieniądze od funduszy inwestycyjnych. Ich ambitne plany miałyby przypominać porywanie się z motyką na słońce. Google przekonał już do siebie większość internautów i stał się niemal synonimem szperania w internecie. A z siłą przyzwyczajenia (no i z kilkoma miliardami dolarów, które Google ma w rezerwie), nawet gdyby miało się lepszy produkt, trudno walczyć.
Google tradycyjnie nie komentuje poczynań konkurencji. Ale wiadomo, że spółka po cichu testuje ułatwienia w wyszukiwaniu.
Jaguar to kot czy samochód?
Poza innym podejściem do wyszukiwania warto zwrócić uwagę na inne modele biznesowe niż te, które promuje Google lub Yahoo. Dla Google’a żyłą złota są reklamy-linki wyświetlane przy wynikach wyszukiwania albo na stronach partnerskich. Za każde kliknięcie w link reklamodawca musi zapłacić Google’owi – kilka groszy albo i kilka złotych (w Stanach ceny za jedno kliknięcie dochodzą nawet do 40-50 dol.).
Tymczasem propozycja Accoony wygląda tak: użytkownik wpisuje słowo „hydraulik”. Obok wyników wyszukiwania pojawia się pytanie, czy chciałby, by skontaktowała się z nim spółka oferująca usługi związane z zapytaniem. Jeśli internauta się zgodzi, przesyła na serwer wyszukiwarki dane kontaktowe. W tym czasie Accoona kontaktuje się z hydraulikami, którzy wcześniej zgłosili się do jej programu. Ten, który zapłaci najwięcej, wygrywa i może dzwonić do konsumenta.
Inny model zarabiania proponuje też wyszukiwarka Snap.com: firmy nie płacą – tak jak w Google – za każde kliknięcie w reklamę, a tylko wtedy, kiedy internauta, który kliknie na ich link, rzeczywiście coś kupi lub zarejestruje się na stronie internetowej.
Czy któremuś z nowych graczy uda się wejść do głównego nurtu? Czas pokaże. Wyszukiwarki i tak będą stawały na głowie, by od razu podsunąć nam tę właściwą odpowiedź. Ten proces zresztą już trwa – np. Google czy Yahoo, jeśli uprzednio zalogujemy się na ich serwerze (tak jak do skrzynki pocztowej), analizują wpisywane przez nas słowa i wybierane linki. Po to, by wyszukiwarka odgadła, czy gdy wpiszemy np. „jaguar”, to szukamy informacji dotyczących samochodu czy raczej drapieżnika.
Źródło informacji: Gazeta Wyborcza
Z prawdziwą przyjemnością informujemy o drugiej edycji konferencji Confidence, która odbędzie się już w maju w Krakowie.
Marzeniem jest, aby każda osoba, dla której bezpieczeństwo to pasja mogła przedstawić wszystkim zgromadzonym niskopoziomowym maniakom swoje odkrycia.
Bedziemy mówic o rzeczach, które są znane „w nowym ujęciu” i o rzeczach których premiera będzie miała dopiero miejsce na konferencji. Będziemy dzielić się wiedzą i, mamy nadzieje, świetnie bawić. Nie może tam zabraknąć również Ciebie!
Prosimy serdecznie wszystkie osoby zainteresowane uczestnictwem o
kontakt: http://security.proidea.org.pl.
W czwartek tj. 20.04.2006 ISACA Polska zaprasza na wykład poświęcony systemom IPS (Intrusion Prevention System). Wykład prowadzi Przemysław Skowron.
Akademia Ekonomiczna sala nr 2 w Pawilonie Sportowym, ul. Rakowicka 27,
31-510 Kraków
17:30 – 19:00 „Systemy IPS w praktyce”, Przemysław Skowron
19:00 – 19:10 Sprawy bieżące, pytania, sugestie, opinie
Wstęp jak zwykle wolny, bez konieczności uprzedniej rejestracji. Można, a
nawet należy zaprosić wszelkie osoby zainteresowane problemtyką szeroko
pojętego bezpieczeństwa.
Spotkanie moderuje Robert ‚Shadow’ Pająk, CISSP.
W Nowej Zelandii cyberprzestępcy zaatakowali największy serwis aukcyjny – Trade Me.
Aż 75% użytkowników tego serwisu odebrało fałszywe e-maile z prośbą o zaktualizowanie swoich danych. Po kliknięciu na dołączony do listu link internauci byli kierowani na fałszywy serwer.
Przedstawiciele serwisu ostrzegają, że „W Internecie krąży list elektroniczny, którego autorzy podszywają się pod Trade Me i proszą o potwierdzenie szczegółów swojego konta. List kieruje użytkowników na stronę, która wygląda identycznie, jak witryna Trade Me. Użytkownicy są proszeni o zalogowanie się tam. Ten list nie pochodzi z serwisu Trade Me”.
Nowozelandzki serwis ma ponad 1,2 miliona użytkowników. Zostali oni ostrzeżeni o niebezpieczeństwie ataku i poproszeni o zmianę haseł dostępu.
Użytkownicy pytają dlaczego doszło do ataku. „Dlaczego ktoś mógłby chcieć zdobyć hasło innej osoby do Trade Me? Serwis nie przechowuje informacji na temat numerów kont bankowych użytkowników, szczegółów dotyczących ich kart kredytowych. Więc jeśli nawet zdobędę czyjś login i hasło i tak będę musiał zapłacić za wylicytowane rzeczy, zanim je otrzymam”.
Eksperci uważają, że przestępcy próbują zdobyć takie informacje w nadziei, że użytkownicy serwisu wykorzystują te same hasła i loginy na stronach banków elektronicznych.
Źródło: Arcabit.pl
Ataki na aplikacje web’owe ostatnimi czasy przeżywają totalny rozkwit. Wraz z rozwojem coraz to nowszych technik, stanowią one na dziś dzień większe ryzyko finansowe niż wszystkie inne formy ataków sieciowych.
Wzrost ataków na aplikacje web’owe wynika z faktu, iż coraz częściej dokonujemy płatności za pomocą internetu (internetowe banki, giełdy, kasyna, sklepy, itp). Daje to włamywaczom dodatkową i wystarczającą motywację, aby pokusić się o kradzież wszelakich danych jakie tylko użytkownik może zostawić po sobie na odwiedzanych stronach.
Tu w grę wchodzą właśnie aplikacje web’owe oraz różnej maści „oskryptowanie” serwera, które z reguły uprzednio wprowadzone przez Nas dane przechowują w bazach danych.
Ten rok zapowiada się dosyć obficie patrząc na jego pierwsze 3 miesiące. Statystyki odnośnie ataków dostępne są m. in. tutaj.
Jak widać, wciąż najczęściej spotykanym typem ataku jest XSS. Na 6 miejscu plasuje się SQL Injection.
Źródło: Information Week, Web Application Security Consortium
Sposób na SQL Injection w 20 linijkach
W Hosting Controller wykryto lukę
W popularnym forum wykryto dziury
W JBoss jBPM wykryto luki
Symantec ostrzega o rosnącym zagrożeniu ze strony cyberprzestępców
Jak zawsze w drugi wtorek miesiąca, wczoraj wieczorem naszego czasu ukazał się zestaw poprawek do MS Windows i jego składników. Tym razem poprawione zostało 14 luk, z czego 10 dotyczących Internet Explorera.
Aż osiem spośród luk w przeglądarce MSIE, a także dwie dotyczące innych elementów systemu (Windows Explorer oraz MDAC), pozwalają na zdalne przejęcie kontroli nad systemem bez udziału użytkownika.
Pozostałe luki związane są m.in. z możliwością wycieku infomacji oraz podmiany zawartości paska adresu (Internet Explorer), przejęcia systemu przy interakcji użytkownika (Outlook Express) oraz wykonania skryptu przez cross-site scripting (MS Front Page Server).
Znaczna część problemów, w szczególności dotyczących Internet Explorera, znana była już od przynajmniej kilku tygodni. Na poprawki trzeba było jednak czekać aż do końca standardowego miesięcznego cyklu, mimo że w niektórych przypadkach znacznie wcześniej dostępny był działający exploit.
Microsoft zaleca natychmiastową instalację poprawek. Można jej dokonać automatycznie poprzez serwis Microsoft Update.
Security Updates summary for April 2006
Microsoft Security Bulletin for April, 2006 (TechNet)
Źródło informacji: CERT Polska