Aktualności

Jak podaje Onet.pl, rzecznik konsumentów zawiadomił gorzowską prokuraturę o popełnieniu przestępstwa komputerowego. Sprawa dotyczy surfowania w Internecie za pośrednictwem tzw. dialerów.

Programy tego typu zmieniają numer dostępowy do Sieci na 0 700…. Najwyższy rachunek jaki z tego powodu został zareklamowany sięga 18 tysięcy złotych. Problem jest ogólnopolski. Do operatorów telekomunikacyjnych wpływają setki, może nawet tysiące skarg na bardzo wysokie rachunki za korzystanie z Internetu.

Sprawa dotyczy tych którzy łączą się z Siecią przy pomocy modemu i linii telefonicznej. Surfując w Internecie wystarczy zgodzić się na zainstalowanie programu tzw. dialera, który umożliwi oglądanie wybranej strony. Żeby sprowadzić na siebie plagę dialerów, wystarczy kliknąć przez nieuwagę Tak.

Jeśli mamy w komputerze ustawione automatyczne wybieranie połączenia internetowego, to nawet się nie zorientujemy, że każda następna wizyta w sieci odbędzie się za pomocą owego droższego połączenia. Z powrotem do numeru tańszych połączeń poradzi sobie już tylko informatyk.

Gorzowski rzecznik konsumentów uważa, że z punktu widzenia Kodeksu Karnego jest to przestępstwo, określane jako oszustwo komputerowe: „Kto w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia wpływa na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji lub zmienia, usuwa albo wprowadza nowy zapis na komputerowym nośniku informacji, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”.

Rzecznik konsumentów nie jest w stanie jednak ustalić danych dostawców usług internetowych, może to natomiast zrobić prokurator. Prokuratura w ciągu kilku dni zdecyduje, czy podejmie postępowanie w sprawie.

Jak podało w środę w Bukareszcie stowarzyszenie Business Software Alliance (BSA) zajmujące się upowszechnianiem praw autorskich w sektorze informatycznym, w Rumunii, w roku 2002, było około 72 procent programów komputerowych używanych nielegalnie, zaś rok wcześniej aż 75 procent oprogramowania stanowiły programy pirackie.

W Rumunii, za rozpowszechnianie pirackich kopii programów komputerowych grozi kara grzywny o równowartości tysiąca dolarów lub kara więzienia od 3 miesięcy do 3 lat. Jak się okazuje, najwięcej pirackich programów używanych jest w Rosji i na Ukrainie bo aż 87 procent. Podobna sytuacja panuje w Bułgarii, gdzie udział pirackich kopii w światowym rynku oprogramowania oscyluje w granicach 40 procent.

Założona w roku 1981 sieć PAN Network – pierwsza na świecie świadcząca usługi online dla branży muzycznej – zaprezentowała możliwości nowego systemu detekcji i zabezpieczania przed nielegalną wymiana plików muzycznych i wideo.

Podstawę nowego systemy stanowi opatentowana przez PAN Network technologia „Cyfrowego odcisku palca”. W odróżnieniu od wcześniej proponowanych metod ochrony, m.in. znaku wodnego, cyfrowej certyfikacji czy szyfrowania, rozwiązanie to nie dokonuje zmian plików medialnych i nie wprowadza zniekształceń podczas odtwarzania.

Zabezpieczenie to może być instalowane na dowolnej stronie internetowej, a jego działanie pozostaje „przezroczyste” i niezauważalne. Może służyć do zabezpieczania wszystkich typów plików medialnych, m. in. MP3, RA, WMA. System podczas pobierania pliku podlegającego ochronie tworzy unikalny, niewidoczny odcisk palca użytkownika, który następnie pozwala śledzić dalsze losy pobranych materiałów. Dzięki temu można kontrolować, czy plik nie został udostępniony do nieautoryzowanego kopiowania.

W rzeczywistości detekcja nieautoryzowanych plików jest realizowana przez specjalne dedykowane komputery, które nieustannie przeszukują Internet w poszukiwaniu plików z odciskiem. W przypadku wykrycia nieautoryzowanego źródła takiego plików, system będzie automatycznie powiadamiał o tym fakcie posiadaczy praw autorskich.

Zintegrowany z rozwiązaniem PAN Network zestaw narzędzi zarządzających zapewni wytwórniom muzycznym, które zdecydują się zabezpieczać swoje zbiory za jego pomocą, ochronę własności przez 24 godziny na dobę. Za pomocą specjalnego programu skanującego, wytwórnie będą mogły sprawdzić odcisk pliku, zlokalizowanego w dowolnym miejscu w Internecie, a następnie zidentyfikować osobę, która pobrała konkretny plik.

Polska Grupa Użytkowników Linuksa (PLUG) organizuje coroczny zlot użytkowników Linuksa, czyli Pingwinaria 2003. Czwarta edycja Pingwinariów, odbędzie się ponownie w Krynicy (niedaleko Nowego Sącza) w hotelu „Czarny Potok” w dniach 26-30 marca 2003.

Osoby zainteresowane mogą już przeglądnąć pełną agende Pingwinariów, zaznajomić się ze szczegółowymi informacjami na temat dojazdu, bądź ceny uczestnictwa. Dość ciekawą niespodzianką jest możliwość dokonania zapłaty kartą kredytową oraz możliwość dobrania uczestników do pokojów. Te i inne informacje, jak już wcześniej pisałem, dostępne są na oficjalnej stronie Pingwinaria 2003.

Jak donosi Nuke-Cops w PHPnuke 6.0 oraz 5.6 odkryto błąd który umożliwia wykradanie hasła administratora systemu PHPnuke.

Błąd występuje w module search.php dzięki czemu, poprzez odpowiednio spreparowany kod, można wyciągnąć hasło administratora. Dokładny artykuł na ten temat wraz z przykładami znajduje się tutaj. Oprócz tego, można pobrać najnowszą wersję programu Urgent Analyzer, który sprawdza odporność bazy danych MySQL i PHP, zaś w przypadku braku odpowiednich aktualizacji, program informuje o tym tworząć odpowiedni raport.

Na internetowym serwisie magazynu IT-FAQ pojawił się darmowy, kompleksowy test zabezpieczeń. To narzędzie oceny podatności na ataki, które dokonuje sprawdzenia wszystkich uruchomionych i dostępnych z sieci Internet usług pod kątem obecności znanych luk w bezpieczeństwie. Dodatkowo udostępnia informacje na temat zabezpieczenia bądź likwidacji luki.

Testy nie obejmują maszyn łączących się via dialup’a oraz korzystające z serwerów proxy. Przy blokadzie odpowiedzi ICMP z testowanej maszyny oraz gdy połączenie między testowaną maszyną a skanerem jest złej jakości test może trwać do kilku godzin (podobna sytuacja może mieć miejsce, gdy w kolejce będzie oczekiwać dużo zgłoszeń). Wyniki testu są przesyłane e-mailem na podany uprzednio adres. Polecamy!

Kompleksowy Test Zabezpieczeń :: IT-FAQ
Pozostałe testy bezpieczeństwa oferowane przez IT-FAQ

Holenderska firma PGR, określająca sama siebie mianem „uczciwego złodzieja”, wiosną rozpocznie licencjonowanie oprogramowania do tworzenia sieci peer-to-peer. Holendrzy będą oferować ewentualnym następcom Napstera kompleksowe usługi – w tym porady prawne.

PGR – używające także nazwy The Honest Thief („uczciwy złodziej”) – chce wykorzystać następstwa wyroku holenderskiego sądu, który w marcu orzekł, że właściciel serwisu Kazaa nie może być obwiniany za wykroczenia swoich klientów. W praktyce oznacza to, że Holandia stała się prawnym rajem dla dostawców tego typu usług. PGR chce stworzyć platformę peer-to-peer, z której mogłyby bez obaw korzystać firmy z całego świata.

„Możesz nazywać to dzieleniem plików lub kradzieżą, my w Holandii mówimy na to: dobry biznes” – napisał w swoim oświadczeniu Pieter Plass, twórca projektu. „Mamy nadzieję, że dzięki naszym usługom i oprogramowaniu, The Honest Thief stanie się dla wymiany plików tym, czym Szwajcaria jest dla bankowości”.

Pomysł nie podoba się oczywiście przedstawicielom wytworni płytowych, dla których PGR może być nieoczekiwanym zagrożeniem – i to pojawiającym się w momencie, w którym coraz więcej serwisów pracuje nad stworzeniem komercyjnego systemu wymiany legalnych plików.

Internetowa wymiana plików wciąż pozostaje zmorą branży muzycznej. W czwartek firma Ipsos opublikowała raport z którego wynika, że w ubiegłym roku połowa amerykańskich nastolatków i 19% wszystkich Amerykanów powyżej 12 roku życia ściągało nielegalne pliki muzyczne z Internetu. Według danych firmy, w ciągu ostatnich 30 dni z sieci wymiany plików MP3 skorzystało aż 10% ogółu mieszkańców USA.

Nieuczciwy pracownik banku może odgadnąć numer PIN dla karty bankomatowej po zaledwie 15 próbach – informują naukowcy z Uniwersytetu Cambridge.

Numery PIN, chroniące dostęp do zasobów konta bankowego, składają się z czterech cyfr. Aby je odgadnąć, potrzeba średnio 5 tys. prób. Biorąc pod uwagę, że bankomaty pozwalają z reguły tylko na 3 błędne próby, a później blokują kartę, rozwiązanie wydaje się bezpieczne. Jednak dwaj doktoranci z Cambridge: Mike Bond i Piotr Zieliński (absolwent Politechniki Poznańskiej) przygotowali raport demaskujący słabość bankowych systemów komputerowych. Okazuje się, że pracownicy banku mogą zdobyć cudzy numer PIN w stosunkowo łatwy sposób, ponieważ wewnętrzne transakcje nie mają ograniczenia dotyczącego liczby prób wyboru kodu.

Z tego powodu przy użyciu prostych programów komputerowych pracownik banku może metodą siłową testować wszystkie możliwe kombinacje liczbowe. Z testów przeprowadzonych przez Mike’a Bonda wynika, że w ten sposób w ciągu 30-minutowej przerwy na lunch, można uzyskać 24 numery PIN. Jednak nowa technika, którą Bond odkrył razem z Polakiem – Piotrem Zielińskim – pozwala uzyskać w ciągu pół godziny niebagatelną liczbę 7 tys. PIN-ów.

Wbrew obiegowym opiniom, numery PIN nie znajdują się w bazach danych, lecz za pomocą funkcji matematycznej są wyliczane z numeru konta. Wzór funkcji jest przechowywany w komputerze nazywanym sprzętowym modułem bezpieczeństwa (hardware security module – HSM). Podczas transakcji, PIN każdorazowo jest przesyłany do HSM w celu weryfikacji. Do każdego takiego zapytania dołączana jest tabela, na podstawie której operujący na zapisie dziesiętnym bankomat „tłumaczy” dane z zapisu szesnastkowego. Pracownik banku może dowolną ilość razy modyfikować taką tabelę i na tej podstawie ustalić, które z ciągu liczb należą do kodu PIN. Jedyna trudność, jaką później musi obejść nieuczciwy pracownik banku, to ustawienie liczb we właściwej kolejności. A to zajmuje przeciętnie 15 prób.

Oczywiście, aby wykonać takie operacje, osoba zatrudniona w banku musi posiadać dość wysoki poziom uprawnień. Jednak eksperci są zgodni – doktoranci z Cambridge odkryli poważną lukę w bezpieczeństwie systemu bankowego. I to lukę bardzo „nieprzyjemną” dla klientów. System bankowy opiera się na założeniu, że osoba która zna PIN, jest właścicielem konta. Jeśli PIN wpadnie w niepowołane ręce, trudno udowodnić bankowi że wina leży po jego stronie i domagać się zwrotu pieniędzy.

Od przeszło 20 lat BIOS – układ z zapisanym oprogramowaniem najniższego poziomu, z którego podczas uruchomienia korzysta komputer – jest nieodłączną częścią każdego „peceta”. Jednak podczas imprezy Intel Developer Forum zaprezentowano potencjalnego następcę BIOS-a: EFI.

Podobno twórcy BIOS-a – inżynierowie z firmy IBM – przewidywali, że ich „dziecko” trafi do 250 tys. komputerów, a później zostanie zastąpione przez nowocześniejsze rozwiązania. Stało się inaczej: choć o dyskietkach 5,25 cala i wielu innych komputerowych artefaktach z lat 80-tych mało kto już dziś pamięta, BIOS wciąż trzyma się mocno. Dla osób które słabo znają się na komputerach, pozostaje zmorą: magicznym zestawem ustawień, których lepiej nie ruszać. Faktem jest, że jak na współczesne standardy, BIOS nie jest zbyt przyjazny dla użytkowników. Z kolei zaawansowani „komputerowcy” mają zastrzeżenia do ograniczonych możliwości BIOS-a. To także ostatnia ostoja asemblera – programiści tworzący aplikacje dla BIOS-a muszą posługiwać się kodem maszynowym, co nie tylko znacznie utrudnia pracę, ale praktycznie uniemożliwia tworzenie bardziej zaawansowanych programów. Od wszystkich tych słabości jest wolny EFI (Extensible Firmware Interface), już dziś nazywany „następcą BIOS-a”.

EFI to mały system operacyjny instalowany na twardym dysku, który posiada przyjazny interfejs graficzny i obsługuje wyświetlacze wysokiej rozdzielczości. Został wyposażony w możliwości sieciowe, dlatego konfiguracja komputera może być dokonywane z poziomu innej maszyny. EFI jest napisane w C i pozwala na tworzenie dodatków z wykorzystaniem standardowych narzędzi programistycznych. Dzięki temu producenci płyt głównych będą mogli pisać własne, zaawansowane programy diagnostyczne, aplikacje do automatycznej konfiguracji i inne przydatne rozwiązania. Twórcy EFI zapowiadają, że w wypadku zawieszenia się systemu operacyjnego, użytkownik będzie mógł przełączyć się do EFI, sprawdzić co się dzieje, zmienić konfigurację i powrócić do pracy. W trakcie pokazu przeprowadzonego podczas Developer Forum, na pracującym komputerze zaprezentowano wymianę sterowników sieciowych i serię rekonfiguracji urządzeń USB – wszystko bez wyłączania systemu.

Ze względu na duże możliwości kontrolowania pracy komputera, EFI wzbudził również zainteresowanie organizacji zajmujących się ochroną praw autorskich. Tak wysoki poziom nadzorowania pracy komputera pozwoli na stworzenie aplikacji, które uniemożliwią odtwarzanie nielegalnych plików. Oczywiście do momentu w którym użytkownik – który przecież także może skorzystać z elastyczności jaką oferuje EFI – ich nie zmodyfikuje…

Naukowcy ze szwajcarskiego laboratorium Lasec, zajmującego się technologiami szyfrowania i bezpieczeństwem, wykryli dziurę w popularnym protokole szyfrowania danych SSL, używanym do zabezpieczania połączeń internetowych.

Specjaliści przyznali, że wykryli sposób, który pozwala na rozszyfrowanie haseł do skrzynek mailowych w czasie krótszym niż 1 godzina. Dodali także, że choć protokół SSL również jest używany do szyfrowania informacji na temat transakcji bezgotówkowych, czy bankowości online, to luka którą znaleźli zagraża tylko bezpieczeństwu poczty.

Technologia SSL (Secure Sockets Layer) koduje hasła i inne tajne informacje podczas komunikacji serwera z komputerem użytkownika. Adresy URL stron internetowych chronionych tym protokołem rozpoczynają się od wyrażenia „https://”, a w trakcie ich ładowania i pobytu na nich, w dolnej ramce przeglądarki widoczna jest ikona kłódki.

Naukowcy z laboratorium uzyskali dostęp do niewielkich porcji informacji o hasłach pocztowych użytkowników, którzy w trakcie chronionego połączenia, korzystali z programu Outlook Express Microsoftu. Dostęp do informacji możliwy był w momencie przesyłania haseł do serwera IMAP. Po przeprowadzeniu około 160 prób, z uzyskanych informacji naukowcy byli zdolni do prawidłowego rozszyfrowania hasła. Czynnikiem umożliwiającym odszyfrowanie zakodowanych informacji był fakt, że Outlook co pięć minut bez wiedzy użytkownika przesyła do serwera hasło. Podczas transakcji handlowych, zaszyfrowane dane wysyłane są tylko jeden raz i dlatego są one bezpieczne.

Zespół z Lozanny poinformował o swoim odkryciu Microsoft, który przyznał, że w najnowszej wersji programu dokonano niezbędnych poprawek.

Zobacz również:

Dział Security