hoaxer

Firma Adobe wydała zalecenie, w którym odnosi się do wielu nieokreślonych luk w produktach Flash Player, umożliwiających atakującemu wykonanie kodu poprzez odpowiednio spreparowany plik SWF. Produkty te są domyślnie instalowane na wielu platformach, w tym Microsoft Windows, Linux, Solaris.

Pełna lista podatnego oprogramowania:
– Flash Player 8.0.22.0 i wcześniejsze
– Flash Professional 8
– Flash Basic
– Flash MX 2004
– Flash Debug Player 7.0.14.0 i wcześniejsze
– Flex 1.5
– Breeze Meeting Add-In 5.1 i wcześniejsze
– Adobe Macromedia Shockwave Player 10.1.0.11 i wcześniejsze

Zalecana jest aktualizacja oprogramowania.

Więcej szczegółów, wraz z informacjami o łatach dostępne są na stronie Adobe Macromedia.

Warto podkreślić, że Flash Player uruchamiany jest jako kontrolka ActiveX przez przeglądarkę Internet Explorer. Jeżeli nie chcemy korzystać z tej możliwości, należy kontrolkę wyłączyć. Opis jak to zrobić dostępny jest w zaleceniu Microsoft Security Advisory (916208).

Źródło informacji: CERT Polska

Zgodnie z zapowiedzią, Microsoft opublikował dwa biuletyny bezpieczeństwa, w tym jeden o statusie krytycznym.

Krytyczny biuletyn MS06-012 dotyczy Microsoft Office. Naprawia pieć luk w Excelu, oraz jedną dotycząca przepełnienia bufora w większej ilości komponentów Office. Wszystkie sprowadzają się do tego, że w przypadku nakłonienia użytkownika do otworzenia spreparowanego pliku, możliwe staje się wykonanie poleceń przygotowanych przez atakującego.

Drugi biuletyn MS06-011 naprawia błąd umożliwiający lokalne podniesienie swoich przywilejów w systemie przez zwykłego użytkownika do poziomu z którego korzystają usługi na nim uruchamiane. Błąd dotyczy tylko XP SP1 oraz Windows Server 2003.

Źródło informacji: CERT Polska

Visa wycofuje wprowadzane od końca ubiegłego roku karty z holograficznym paskiem magnetycznym. Nieoficjalnie bankowcy mówią, że Visa może mieć kłopoty z zapewnieniem bezpieczeństwa tych kart.

Oficjalnie – są problemy techniczne w punktach sprzedaży.

– Nie ma problemów z bezpieczeństwem. Są tylko kłopoty z przeprowadzeniem transakcji w pewnych warunkach – zapewnia „Rz” Małgorzata O’Shaughnessy, dyrektor generalna Visa Polska.

Jednak w oficjalnym piśmie rozesłanym do swoich członków Visa prosi zarówno o wstrzymanie od 14 marca, czyli od wczoraj, produkcji kart z trefnym paskiem, jak i również ich wydawania.

Plastiki z holograficznym paskiem magnetycznym wprowadzone zostały w minionym roku. W Polsce nie są one jeszcze popularne. Jednak sporą ich partię zamówił Lukas Bank, który wiązał z nimi swoje plany ekspansji.

– Jak dotąd klienci nie zgłaszali żadnych zastrzeżeń, jeśli chodzi o działanie kart – mówi Anna Woźniak, rzeczniczka Lukas Banku. Wyjaśniła, że karty te wydawane są od listopada 2005, otrzymują je przede wszystkim klienci, którym kończy się ważność poprzednich kart. – Dlatego nie wydano ich zbyt wielu – tłumaczy rzeczniczka Lukas Banku.

Karty z pechowym paskiem zamówił też BZ WBK. – Nie wydaliśmy ich jeszcze klientom – uspokaja Piotr Gajdziński, rzecznik BZ WBK. – Zamówiliśmy niewielkie partie, nasze straty będą minimalne – zapewnia.

Bank Milliennium wydał dotychczas około 400 plastików z holograficznym paskiem magnetycznym. – Są to karty klubowe wydane wspólnie z Sephorą, ale nie będziemy ich wycofywać – wyjaśnia Wojciech Kaczorowski, rzecznik banku.

– Po prostu powrócimy do wydawania kart w dotychczasowym formacie – dodaje. Z kolei Fortis Bank w tym miesiącu zamierza wprowadzić nową kartę o nazwie Ideal z holograficznym paskiem. Pracownicy Departamentu Kart nie przewidują problemów technicznych.

Szefowa Visa Polska wyjaśnia, iż całe zamieszanie wzięło się stąd, że w silnym polu elektrostatycznym (gdy np. w sklepie jest niska wilgotność) informacje z paska magnetycznego nie są przekazywane do centrum rozliczeniowego i może być kłopot z przeprowadzeniem transakcji.

– Nie mamy informacji o jakichkolwiek kłopotach z akceptacją kart z holograficznym paskiem ani w kraju, gdzie ponad 98 procent transakcji zawieranych jest za pomocą wydanych w Polsce kart, ani za granicą – mówi Małgorzata O’Shaughnessy z Visy.

W Polsce plastiki z paskiem holograficznym zaczęły być wydawane dopiero w końcu ubiegłego roku i dotychczas wydano nieznaczną ich liczbę.

W oficjalnym komunikacie rozesłanym przez Visę do banków czytamy: „liczba incydentów zgłoszonych dotychczas do Visy jest niewielka. Uważamy jednak, że powinniśmy działać natychmiast”.

Źródło: Rzeczpospolita
Sieć pełna pułapek
Visa zrywa umowe z CardSystems
Kradzież 40 mln. kart kredytowych

Dostawca usług internetowych home.pl został klientem GTS Energis. Kontrakt ma wartość ponad miliona złotych.

Związane z umową inwestycje home.pl wyniosą 1,3 mln zł. Spółka, która obsługuje 160 tys. firm i klientów indywidualnych, przeniesie swe serwery i urządzenia telekomunikacyjne do należącego do GTS Energis i zlokalizowanego w Piasecznie pod Warszawą centrum danych.

Ponadto dostarczy szczecińskiej firmie szerokopasmowy dostęp do Internetu. home.pl uzyska dostęp do dwóch niezależnych łączy transmisji danych o przepustowości 10 Gb/s każde.

GTS Energis zapewni także home.pl połączenie jego sieci z warszawskimi węzłami wymiany ruchu internetowego oraz ze szczecińską siedzibą firmy.

home.pl zacznie korzystać z usług GTS Energis 1 kwietnia, kontrakt obowiązuje do 31 grudnia 2007 r. z możliwością przedłużenia na czas nieokreślony. Jak powiedział Piotr Kapcio, dyrektor marketingu home.pl, firma, korzystając z powierzchni centrum danych GTS Energis, chce rozbudować swoją infrastrukturę. – Inwestycje warte 1,3 mln zł oznaczają podwojenie stanu naszego sprzętu – powiedział.

Stefan Jurczyk, dyrektor ds. rozwoju usług home.pl, poinformował, że przepustowość łączy wykorzystywanych przez firmę „zwiększa się czterokrotnie w ciągu roku”.

Źródło: Rzeczpospolita

Przedstawiamy kod źródłowy jednej niewielkiej objętościowo funkcji języka PHP, która okazuje się być skutecznym rozwiązaniem na dziury typu SQL Injection. Całość ma jedyne 20 linijek i dodatkowo znacznie przyspiesza generowanie zapytań SQL poprzez zastosowanie szablonu argumentów ściśle określających ich typ.

Funkcja korzysta z wbudowanej funkcji MySQL do dodawania znaków unikowych, jednak rozbudowa funkcjonalności do innych baz danych nie powinna być większym problemem.

<?php

$arrArguments = array();

$intArgumentIndex = 0;

function parseArgument($arrMatches) {

global $arrArguments, $intArgumentIndex;

$strMatch = $arrMatches[0];

$strArgument = @$arrArguments[$intArgumentIndex++];

switch ($strMatch) {

case ‚%d’: return (int)$strArgument;

case ‚%s’: return ‚”‚.

mysql_real_escape_string($strArgument).'”‚;

case ‚%b’: return (int)((bool)$strArgument);

}

}

function SQL($strSql) {

global $arrArguments, $intArgumentIndex;

$arrArgs = func_get_args();

array_shift($arrArgs);

$arrArguments = $arrArgs;

$intArgumentIndex = 0;

return preg_replace_callback(‚/(%[dsb])/’, ‚parseArgument’,

$strSql);

}

?>
Zastosowanie:

$sql = SQL(‚INSERT INTO users (id, uid, name, username, password, newsletter) VALUES (NULL, %d, %s, %s, %s, %b)’, $_POST[‚uid’], $_POST[‚name’], $_POST[‚username’], md5($_POST[‚password’]), $_POST[‚newsletter’]);

INSERT INTO users (id, uid, name, username, password, newsletter)
VALUES (NULL, 1, „Łukasz \”anAKiN\” Lach”, „anakin”,
„97296eca657a093aa379778c237e292d”, 1)
Przepis na SQL Injection

Rząd Stanów Zjednoczonych rozpoczął wprowadzanie nowych paszportów, wyposażonych w technologię RFID. Pierwsze egzemplarze trafią do amerykańskich dyplomatów, którzy wezmą udział w programie pilotażowym.

Jak podają przedstawiciele władz, wbudowany chip zawiera wszystkie informacje, które zostały wydrukowane w paszporcie oraz zeskanowane zdjęcie posiadacza dokumentu.

Rządowi eksperci przyznają, że system metek radiowych pozwoli na szybszą i sprawniejszą identyfikację personaliów, podczas gdy obrońcy praw obywatelskich alarmują o podwyższonym ryzyku kradzieży danych przez hakerów.

Przeciwnicy nowego systemu identyfikacji nie pozostają jednak bez racji. Całkiem niedawno jedna z firm produkująca zabezpieczenia informatyczne, zaprezentowała sposób na złamanie kodu w prototypie holenderskiego paszportu z chipem RFID.

Pomimo obaw licznego grona oponentów, nowe dokmenty zostaną oficjalnie wprowadzone do powszechnego użytku w Stanach Zjednoczonych, w październiku.

Źródło: Engadget
Paszporty biometryczne od 2006
USA może zrezygnować z planu bio-paszportów
Unia chce odroczyć wprowadzenie e-paszportów
pl.wikipedia.org/wiki/RFID

Firmy Cisco Systems Poland, McAfee Polska oraz RSA Security, czołowi dostawcy rozwiązań z zakresu bezpieczeństwa sieciowego i informatycznego, poinformowały o organizacji cyklu seminariów „Bezpieczna sieć komputerowa”, który zostanie zorganizowany w marcu i kwietniu br. we wszystkich 16 miastach wojewódzkich.

Seminaria kierowane są przede wszystkim do menedżerów IT oraz osób odpowiedzialnych za sieci komputerowe w małych i średnich przedsiębiorstwach.

Uczestnicy spotkań będą mogli poznać podstawy budowy i funkcjonowania bezpiecznej sieci dla małej i średniej wielkości firmy zgodnie z obecnym stanem wiedzy na temat bezpieczeństwa, poznać różne sposoby zabezpieczenia połączenia z Internetem, w tym także przeglądarek internetowych, poczty elektronicznej, a także innych aplikacji.

Seminaria będą także okazją do zapoznania się z ideą „samobroniącej się sieci” i poznania rozwiązań, które automatycznie odpowiadają na zagrożenia pojawiające się w różnych warstwach sieci: w aplikacjach biznesowych, ruchu w sieci oraz urządzeniach końcowych.

Udział w seminarium jest bezpłatny, jednak ze względu na ograniczoną liczbę miejsc wymaga wcześniejszej rejestracji. Cykl seminariów zostanie zainaugurowany 21 marca w Kielcach, a zakończy się 28 kwietnia w Katowicach, zgodnie z poniższym harmonogramem.

· 21.03.2006: Kielce
· 22.03.2006: Lublin
· 23.03.2006: Łódź
· 28.03.2006: Szczecin
· 29.03.2006: Poznań
· 4.04.2006: Bydgoszcz
· 5.04.2006: Gdańsk
· 6.04.2006: Olsztyn
· 11.04.2006: Białystok
· 12.04.2006: Warszawa
· 18.04.2006: Zielona Góra
· 19.04.2006: Wrocław
· 20.04.2006: Opole
· 25.04.2006: Kraków
· 26.04.2006: Rzeszów
· 28.04.2006: Katowice

Bliższe informacje na temat seminariów oraz możliwość rejestracji znajdują się na stronie: http://www.event-in.com/bsk2006

„Sieć komputerowa i jej zasoby są strategicznym elementem funkcjonowania każdej firmy, dlatego zapewnienie najwyższego poziomu bezpieczeństwa staje się priorytetem nie tylko dla użytkowników ale przede wszystkim dla firm dostarczających sprzęt i rozwiązania sieciowe. Bardzo się cieszę, że wspólnie z firmą McAfee i RSA podjęliśmy inicjatywę dzielenia się wiedzą i doświadczeniem z użytkownikami” – powiedział Krzysztof Gołda, Territory Market Manager odpowiedzialny za rynek SMB w Cisco Systems

„Bezpieczeństwo sieci komputerowych jest coraz większym wyzwaniem nie tylko w korporacjach, ale także w małych i średniej wielkości przedsiębiorstwach. Komputerowi włamywacze często wykorzystują słabo chronione komputery do działalności przestępczej. Narażają przy tym na szwank dobre imię firm oraz utrudniają im wykorzystanie komputerów do prowadzenia normalnej działalności.” – powiedział Kamil Śliwski, dyrektor ds. sprzedaży do Małych i Średnich Przedsiębiorstw, McAfee Polska.

„Właściwe zabezpieczenie styku z Internetem oraz właściwa ochrona komputerów należy więc do fundamentalnych zadań każdego administratora sieci i dyrektora ds. informatyki.”

„Bezpieczeństwo informatyczne z roku na rok staje się coraz większym wyzwaniem. Informacje i dane znajdujące się wewnątrz setek milionów komputerów są warte prawdopodobnie dużo więcej, niż kapitał zgromadzony przez banki całego świata. Nie ulega wątpliwości, że wartość zasobów informatycznych będzie stale rosła. Jednocześnie rośnie i – według wszelkich prognoz będzie rosło – zagrożenie ze strony internetowych przestępców” – mówi Łucja Barbaszewska z polskiego oddziału RSA Security.

„Z badań, które zostały przeprowadzone na zlecenie RSA w Wielkiej Brytanii wynika, że blisko 80% osób korzystających z komputera nie przestrzega podstawowych zasad bezpieczeństwa. W Polsce ten odsetek jest być może jeszcze większy. RSA Security przykłada szczególną wagę do bezpiecznego korzystania z dobrodziejstw informatycznych i chętnie wspiera wszelkie inicjatywy mające na celu propagowanie idei bezpieczeństwa sieciowego”.
http://www.event-in.com/bsk2006

Microsoft przedstawił nowy serwis dzięki któremu można wybrać się w wirtualną przejażdżkę lub na spacer po Seatle lub San Francisco.

Projekt Windows Live Local Street Side – preview.local.live.com jest w wersji beta i ma za zadanie w przyszłości ułatwiać m.in poruszanie się po nieznanych nam miastach. Strona została wykonana za pomocą technologi AJAX.
Windows Live Local Street Side

Do wczoraj można było korzystać z niemal darmowej bezprzewodowej transmisji danych w sieci komórkowej Heyah.

Było to możliwe przez błąd w systemie billingowym Polskiej Telefonii Cyfrowej, która jest operatorem sieci Heyah. Błąd wykryli użytkownicy komórek.

Klient, kupując kartę SIM (najtańsza kosztuje 5 zł), mógł bez dodatkowych kosztów korzystać z bezprzewodowego dostępu do Internetu zarówno w technologii GPRS, jak i EDGE.

Po kupieniu startera wystarczyło aktywować przez internetowe biuro obsługi klienta połączenia GPRS, a następnie włożyć nową kartę SIM do telefonu i rozpocząć korzystanie z Internetu.

Naliczanie opłat za Internet zaczynało się dopiero po pierwszej rozmowie telefonicznej. – Oferta darmowego Internetu w Heyah już się skończyła – mówiła wczoraj po południu Agata Borowska, rzecznik Heyah.

Przed kilku laty, tuż po wprowadzeniu przez PTC transmisji danych w usłudze Tak Tak, także można było przez jakiś czas nie płacić za przesłane dane. Powodem był błąd w oprogramowaniu zarządzającym dostępem do Internetu.

Źródło: Rzeczpospolita
Kontrowersyjna kampania spółki MediaTel
Heyah – bez ściemy… ale i bez rozumu