Aktualności

We wtorek rozpoczęto w Meksyku sprzedaż mikroukładów wszczepianych pod ludzką skórę, które mogą przechowywać dane identyfikujące osobę, a także np. jej historię choroby.
Podobne układy są już dostępne w Stanach Zjednoczonych. Ale to raczej w Meksyku takie mikrochipy mogą zdobyć szczególną popularność, gdyż kraj ten opanowała rosnąca fala przestępczości. Porwania dzieci czy rabunki stają się coraz powszechniejsze, tak więc Meksykanie szukają różnych sposobów zabezpieczania się tymi zjawiskami. Jednym z nich może być stosowanie chipów identyfikacyjnych.

Mikroukład wielkości ziarenka ryżu umieszczany jest w ramieniu lub biodrze. Personel medyczny czy służby policyjne mogą za pośrednictwem urządzenia skanującego odczytać numer seryjny chipa, zidentyfikować osobę i uzyskać dostęp do zgromadzonych w komputerze informacji na jej temat.

Podczas trwającej dwie godziny prezentacji systemu, jednemu z pracowników firmy – Carlosowi Altamirano – wszczepiono chip w ramię. Do zabiegu zastosowano znieczulenie miejscowe, a implementacji układu dokonano za pomocą urządzenia przypominającego strzykawkę. „To zupełnie nie bolało. Cały proces odbył się bezboleśnie” – tak o zabiegu opowiada Altamirano.

Antonio Aceves, dyrektor meksykańskiej firmy odpowiedzialnej za dystrybucję mikrochipów zakłada, że w pierwszym roku sprzedaży układ nabędzie około 10 tys. osób. Zapewnia także, że conajmniej 70% wszystkich szpitali w kraju będzie wyposażonych w czytnik informacji zapisanych na chipach.

Podobną technologię zastosowano już w przypadku psów i kotów, w celu ułatwienia identyfikacji tych zwierząt, które zostały skradzione lub się zgubiły. Producent chipa zapowiada także opracowanie układu, umożliwiającego satelitarną lokalizację osób, które zostały np. porwane.

Źródło informacji: CNN

Ukazała się nowa wersja przeglądarki internetowej Mozilla oznaczona numerkiem 1.5 Alpha. Jest ona dostępna do pobrania stąd. O wprowadzonych poprawkach można poczytać tutaj.

Dzisiaj (25 lipca) obchodzono „System Administrator Appreciation Day”. Jest to Dzień Admina. Jak co roku jest on obchodzony w ostatni piątek lipca. Na stronie sysadminday.com możemy znaleść opis typowego adminstratora systemu, prezenty jakie chciałby otrzymać oraz humor, który lubi.

OpenSlackware to projekt, który jest rozwijany aby zwiększyć bezpieczeństwo w dystrybucji Slackware. Jak informuje autor projektu od wielu lat używa Slackware oraz OpenBSD i chciałby w swojej dystrybucji umieścić najlepsze cechy z tych dwóch systemów.

Cechy projektu:

init sequence in BSD style ( /etc/rc.d/ )

has a linux 2.4.20 kernel

it uses propolice gcc protection (like immunix stackguard or stackshield)

it uses grsecurity kernel patch

it uses Linux Intrusion Detection System aka LIDS

it uses Security24 SHM protection

extended ACL attributes

has Pseudo Sockets Access Lists aka PSPA in kernel

it uses tripwire

has a /usr/src/world a BSD like world in witch ‚make world’ will build the system

ports (not ready yet)

it uses LibSafe Library Protection

an OpenBSD firewall like syntax (can filter strings, users, groups, programs, packet size, redir, mirror, bridge, MAC, source port && more …)

strong cryptography support in kernel

blowfish inside glibc

lots of kernel advancements

for more … download && install 🙂
Testowa wersja dystrybucji jest dostępna na stronie projektu OpenSlackware.

Dzisiaj ukazał się Mandrake 9.2 Beta 1. Jak można przeczytać jest to wersja eksperymentalna i nie jest ona przeznaczona do codziennej pracy. Pomimo to twórcy proszą o testowanie wersji beta i informowanie o wykrytych błędach.

W dystrubucji dostępne są:

– kernel 2.4.21
– gcc 3.3.1pre
– mozilla 1.4
– kde 3.1.2
– evolution 1.4.3
– XFree86 4.3
– apache 2.0.47
– galeon 1.3.6
– koffice 1.3beta

Dystrybucje można pobrać ze strony Mandrake.

Dziś rano do sprzedaży trafiły dwie specjalistyczne książki dot. hackingu i programowania: Hack Proofing Your Web Applications. Edycja polska oraz Vademecum hakera. Edycja plików binarnych. Jeżeli myślisz poważnie o twórczym pisaniu aplikacji oraz ich zabezpieczaniem – to właśnie te dwie pozycje powinny się znaleźć na Twojej półce. Polecamy!

Naukowcy ze Szwajcarii zaprezentowali we wtorek metodę bardzo szybkiego łamania haseł alfanumerycznych w systemie Windows. Metoda ta redukuje czas rozszyfrowania hasła z wartości średniej wynoszącej dotychczas 1 minutę 41 sekund do około 13,6 sekund.

Nowa metoda łamania haseł wymaga wykorzystania bardzo dużych tablic lookup, które służą do dopasowania rozszyfrowywanych haseł do oryginalnego tekstu, wprowadzanego przez użytkownika. „Wyniki badań potwierdziły to, czego obawiali się liczni eksperci zajmujący się bezpieczeństwem: „Metody szyfrowania haseł Microsoftu posiadają wadę, która sprawia, że analogiczne do naszej metody, techniki rozszyfrowywania okazują się niezwykle skuteczne” – powiedział Philippe Oechslin, analityk branży i wykładowca w Laboratorium Bezpieczeństwa i Kryptografii Szwajcarskiego Federalnego Instytutu Technologii w Lozannie. „Hasła w Windows są bardzo niepewne. Podstawową ich wadą jest to, że nie zawierają one żadnych informacji losowych”.

Do rozszyfrowywania haseł, naukowiec wykorzystał 1,4GB tablicę lookup, oraz komputer z procesorem AMD 2500+ i 1,5GB pamięci RAM. Jak przyznał Oechslin, nie jest to nowa słabość systemu Windows. Tak na prawdę, dopiero teraz po raz pierwszy zajęto się tym problemem tak bardzo dokładnie. Sposób kodowania haseł Microsoftu jest tylko dogodnym przykładem do zademonstrowania rezultatów metody łamania haseł, w oparciu o duże tablice lookup”.

Duża podatność haseł Windows na złamanie taką metoda jest związana z tym, że technologia szyfrowania stosowana przez Microsoft koduje to samo hasło za każdym razem w identyczny sposób. Tak więc osobie chcącej złamać hasło wystarczy stworzyć na osobnym komputerze dużą tablicę lookup i wygenerować w niej wszystkie możliwe kombinacje haseł. Potem pozostaje już tylko kwestia dobrania właściwego hasła do tego, co wprowadził użytkownik. Inne systemy operacyjne, m.in. Unix, Linux i Mac OS, dodają w procesie szyfrowania 12-bitową wartość, co sprawia że próba przechwycenia hasła wymaga 4096 razy więcej czasu, lub zasobów pamięci.

Wydaje się, że użytkownik okienek może zwiększyć trudność przechwycenia swoich haseł stosując w nich inne znaki niż alfanumeryczne, co utrudnia proces łamania hasła i powoduje wydłużenie czasu potrzebnego do jego przejęcia. Ale Oechslin rozwiał także i ten mit. Za pomocą zmodyfikowanej wersji systemu z 20GB tablicę lookup, rozszyfrowywał on hasła złożone z cyfr, liter i 16 innych znaków w czasie, wynoszącym średnio 30 sekund.

Źródło informacji: CNET

W ostatni piątek – 18 lipca – odbyła się w Warszawie konferencja „Analiza powłamaniowa systemów informatycznych – aspekty prawno-organizacyjne”. Jej organizatorem była firma Software Konferencje. W zamierzeniu impreza miała na celu „kompleksowe przedstawienie kluczowych zagadnień związanych ze zbieraniem i zabezpieczaniem materiałów dowodowych w przestępstwach komputerowych.” Temat ciekawy i w Polsce, można rzec, dopiero raczkujący.

Konferencja składała się z czterech prelekcji i jednej prezentacji firmowej. Trzy z nich prowadzone przez biegłych sądowych, Andrzeja Niemca i Arkadiusza Wyrostka, obejmowały techniczną stronę zabezpieczania dowodów w przestępstwa komputerowych, a Arkadiusz Lech z Katedry Postępowania Karnego Uniwersytetu Mikołaja Kopernika omawiał dowody cyfrowe od strony regulacji prawnych. Prezentację firmową dała firma SAS Polska.

Część techniczna obfitowała w pikantne szczegóły głośnych spraw przestępstw komputerowych, jednak jeżeli ktoś liczył na uzyskanie gotowych procedur postępowania przy zabezpieczaniu dowodów, to mógł się zawieść. Andrzej Niemiec przedstawił jedynie bardzo ogólne zasady zbierania dowodów, wraz z odnośnikami do RFC 3227.

Kolejny mówca, Arkadiusz Wyrostek, starał się przedstawić, jaki sprzęt może być przydatny przy zbieraniu dowodów. Wygląda na to, że optymalnym rozwiązaniem jest połączenie gadgetów James’a Bonda z marzeniami miłośnika gier komputerowych (optymalna konfiguracja to P4 3GHz, 4GB RAM HDD 250GB, DVD+/-RW, laptop w technologii Centrino, kamera cyfrowa, dyktafon z czułym mikrofonem kierunkowym, itp.) Niestety wykład został zdominowany przez kwestie taksonomii i etyki biegłych sądowych. W rezultacie słuchacze nie dowiedzieli się, jak najlepiej zabezpieczać dowody w czasie incydentu naruszenia bezpieczeństwa komputerowego tak, aby były one przydatne w sądzie.

W drugiej części konferencji Arkadiusz Lach zaprezentował „prawnicze” podejście do dowodów komputerowych. Była to, moim zdaniem, najciekawsza część całej imprezy. Wskazał on m. in. że dowód taki ma charakter jedynie poszlakowy, a także nie wskazuje zazwyczaj na konkretną osobę. Ma to potem konsekwencje w procesie sądowym. Omówił także problemy uzyskiwania i przedstawiania dowodów cyfrowych na sali sądowej. Dyskusję wzbudziły kwestie kontrolowania komputerów i korespondencji pracowników przez pracodawców.

W ostatnim wykładzie Andrzej Niemiec pokazywał problemy techniczne przy uzyskiwaniu dowodów. Opisał problemy z zabezpieczaniem dużej ilości danych przy dużych systemach, a także kłopoty z fizycznym umiejscowieniem danych w firmach o strukturze międzynarodowej. Wniosek nie był optymistyczny – najbardziej przy zabezpieczaniu dowodów może ucierpieć mała lub średnia polska firma – tu zazwyczaj zabezpiecza się cały komputer. W przypadku dużych firm może nawet nie być możliwe ustalenie, gdzie dane się znajdują.

Niestety żaden z mówców nie zmieścił się w zakładanym czasie. Przez to bardzo ucierpiała cała konferencja – pytania i komentarze padały jedynie w kuluarach. Zabrakło konkretów, jak z zabezpieczaniem dowodów na potrzeby późniejszego procesu radzić sobie we własnej firmie. Mówcy poprzestali na ogólnikach, wskazaniu kierunku, w którym słuchacz może dalej szukać rozwiązań dla siebie. To trochę za mało jak na tak szumne zapowiedzi. Pozostało wrażenie, że przy obecnym podejściu sądów i organów ścigania zabezpieczanie dowodów cyfrowych w przypadku firm jest bardziej kosztowną ekstrawagancją, niż koniecznością.

Z pozytywnych rzeczy, uczestnicy otrzymali czasopismo Haking (za wypełnioną ankietę można było otrzymać nawet numer Software Extra także poświęcony hakingowi)…

Dwóch amerykańskich kongresmenów przedstawiło projekt ustawy, która określa każde wprowadzenie do sieci P2P pliku objętego prawami autorskimi jako przestępstwo federalne. Tym samym ci, którzy udostępnią w Internecie np. jakikolwiek utwór muzyczny, do którego praw autorskich nie posiadają, będą pociągnięci do odpowiedzialności karnej.

Walka z sieciami P2P rozgorzała na dobre. Po wielu, przeważnie nieskutecznych działaniach wytwórni i producentów, przyszła kolej na polityków. Nowa ustawa przygotowana przez dwóch amerykańskich kongresmenów ma rozwiązać problem raz na zawsze.

Chociaż część z krytyków określa tę ustawę jako niedorzeczną, w tym tygodniu projekt legislacyjny pod nazwą „Twórca, Konsument, Ochrona Właścicieli Komputerów i Akt Bezpieczeństwa 2003” ujrzał światło dzienne.

Autorzy ustawy – John Conyers i Howard Berman – są zdania, że każdorazowe prowadzenie jednego chronionego prawami autorskimi pliku do Sieci oznacza dla jego właściciela utratę rzędu tysięcy dolarów z przychodów, jakie mógł osiągnąć. Ustawa wyraźnie określa, że udostępnienie pojedynczego utworu oznacza automatycznie nielegalne jego kopiowanie. Tym samym osoba podejmująca się takiego działania dokonuje przestępstwa i podlega karze 2.5 tys USD zgodnie z ustawą o ochronie praw autorskich.

Zobacz również dział P2P

Polski oddział Microsoft podał wyniki finansowe za rok fiskalny 2002, zakończony 30 czerwca, br. z którego wynika, że sprzedaż licencji i usług w Polsce przekroczyła 155 milionów dolarów, co stanowi 11% wzrostu w porównaniu do roku poprzedniego. Z pewnością ten wynik jest również efektem pracy BSA (Business Software Alliance) oraz Policji Gospodarczej nad zwalczaniem nielegalnego software’u.

Firma odnotowała wzrost sprzedaży we wszystkich grupach produktowych. Rekordowy wynik osiągnięto w sprzedaży licencji serwerowych – wzrost o 60 % (w tym Microsoft Windows Server o 58%, a Microsoft SQL Server o 60%). Sukcesem jest też wzrost sprzedaży licencji narzędzi programistycznych, który wyniósł 108 % w porównaniu z rokiem ubiegłym.

Duży wpływ na dobre wyniki roczne miała również odnotowana wartość sprzedaży systemów operacyjnych – wzrost o 9% (w tym Microsoft Windows Professional o 14%) i aplikacji biurowych – wzrost o 3,5 %.

W minionym roku finansowym Microsoft aktywny był nie tylko na płaszczyźnie handlowej, ale i społecznej. Najważniejszym wydarzeniem było wyremontowanie i pełne wyposażenie dwóch pracowni komputerowych dla wychowanków warszawskiego Stowarzyszenia Pomocy Dzieciom „Gniazdo”. W zakończonym roku finasowym firma Microsoft udzieliła pomocy charytatywnej o łącznej wartości ponad 539 000 złotych.

Podsumowując miniony rok finansowy firma Microsoft przedstawiła również główne założenia na najbliższy okres. Polski oddział planuje wprowadzenie najnowszego pakietu z rodziny Office- Microsoft Office System 2003 oraz kolejne wersje Microsoft Exchange, Small Business Server i BizTalk Server. Microsoft zakłada, że rynek PC w Polsce w przyszłym roku wzrośnie o 9%, a serwerowy o 10 %. Bardzo ważnym rynkiem dla Microsoft jest rozwijający się segment małych i średnich przedsiębiorstw.

Na świecie, firma Microsoft zakończyła rok finansowy przychodem 32,19 miliarda dolarów, co stanowi 13 % w porównaniu z rokiem poprzednim.

Źródło: http://www.microsoft.com/poland

Podziękowania dla DiGGeR’a za podesłanie informacji.