Do pobrania jest już kolejna wersja serwera WWW – Apache 2.0.40. Wydanie nowej wersji wiąże się z dość poważnym błędem o którym, szczegółowo, można przeczytać w biuletynie Apache Group. Pełna lista zmina, jakie zaszły w nowe wersji, dostępna jest tutaj, natomiast stąd można pobrać tytułową wersję serwera WWW.
Przeglądanie kategorii
Aktualności
Jeden ze znanych polsich serwisów undergroundowych – Nevillon – po prawie półrocznej przerwie, wznowił przyjmowanie nowych członków. Aby jednak zostać memberem, trzeba przejść specjalny test, który określa wiedzę kandydata. Więcej informacji na stronie serwisu – nevillon.pac.pl
Właśnie ukazał sie 19 już numer Linux+ Extra…. tym razem z oczekiwanym już od przeszło roku Debianem „Woody” 3.0. Do czasopisma dołączonych jest 8 płyt (7 płyt instalacyjnych + 1 plyta z dodatkowymi pakietami). Więcej informacji na temat zawartości numeru i sposoby jego dystrybucji znajduje się tutaj.
Chris Paget, konsultant ds. bezpieczeństwa, umiejący programować w 23 językach, opublikował niedawno dokument, w którym informuje o niemożliwym do naprawienia błędzie w interfejsie API Win32 – podstawie wszystkich współczesnych systemów Windows. Bug ten daje nieograniczone możliwości poprzez zdobywanie haseł dostępu czy uruchamianie dowolnie wybranych aplikacji (np. formatujących dysk twardy).
Jak informuje Paget, na trop usterki wpadł on dzięki wyznaniu wiceprezesa Microsoftu Jima Allchina – podczas przesłuchania w procesie antymonopolowym firmy poinformował on o istnieniu błędów w Windows, których nie można ujawnić (poprzez publikację kodu źródłowego systemu) ze względów… bezpieczeństwa narodowego.
W skrócie błąd ten, znajdujący się w konstrukcji mechanizmu przesyłania komunikatów między oknami znajdującymi się na Pulpicie, pozwala na maksymalne podniesienie poziomu uprawnień (do „local system”) dowolnego użytkownika, który jest zalogowany na danej maszynie. Problem związany jest z faktem, że mechanizm ten nie autoryzuje komunikatów systemowych, więc nie potrafi odróżnić „prawdziwych” informacji od tych przygotowanych przez hakera. Za pomocą owych komunikatów można odnaleźć okno o najwyższych uprawnieniach i uruchomić za jego pośrednictwem własny kod maszynowy. Atak wykonany tą metodą udostępnia wszystkie zasoby atakowanego komputera, a prawdopodobnie również maszyn dostępnych przez sieć lokalną.
Dość kontrowersyjną decyzją Pageta okazało się podanie szczegółowych informacji na temat usterki – znana jest już nazwa podatnego na atak komunikatu oraz metoda osadzania kodu maszynowego w pamięci przypisanej do okna oraz jego uruchamiania. Mówiąc językiem potocznym, Brytyjczyk (o ile ma rację) otworzył właśnie cyfrową puszkę Pandory. Sam zresztą przyznał, że naprawienie usterki wymagać będzie przepisania jądra systemu operacyjnego i wszystkich jego aplikacji. Odpowiedzią Microsoftu jest stwierdzenie, że winę za przypisanie zbyt wysokich uprawnień oknom ponoszą twórcy oprogramowania.
Źródło:
http://security.tombom.co.uk/shatter.html
chip.pl
Widać sierpień jest sezonem na włamania. Zapraszamy do obejrzenia strony http://www.zgora.tpsa.pl/aktualn.htm gdzie znajdziemy miłą uwagę pod adresem zielongórskich administratorów TP SA. Mirror w dziale hacked.
Urząd Marszałkowski Województwa Małopolskiego i ComArch S.A podpisały umowę na realizację „Wrót Małopolski” – pierwszego w Polsce systemu internetowego dostępu do urzędów (e-Government), która tworzy nowe perspektywy dla urzędów, przedsiębiorców, a przede wszystkim dla mieszkańców województwa.
W dniu 8 sierpnia 2002 podpisana została pomiędzy Województwem Małopolskim a Konsorcjum ComArch S.A., ComArch Kraków S.A. i Interia.PL S.A. umowa wykonawcza na realizację serwisu internetowego „Wrota Małopolski”. Umowę podpisali Marszałek Województwa Marek Nawara oraz Profesor Janusz Filipiak – Prezes Comarch S.A.
„Wrota Małopolski” będą portalem internetowym nowej generacji, który powstaje jako realizacja Strategii Rozwoju Województwa Małopolskiego i składał się będzie z dwóch integralnych części – usługowej – służącej obywatelom i podmiotom prawnym województwa małopolskiego do korzystania z usług elektronicznych oferowanych przez urzędy administracji samorządowej województwa oraz informacyjnej – oferującej zarówno odbiór jak i dostarczanie informacji o wszelkich możliwych zasobach województwa – urzędach, kulturze, sporcie, komunikacji, wydarzeniach itp.
„Wdrożenie systemu e-Government przez ComArch wyznacza strategiczny kierunek rozwoju spółki. Uważamy, że sektor publiczny jest jednym z najbardziej perspektywicznych obszarów rynku informatycznego w Polsce. Sukces tego projektu będzie jednak również zależał od tego czy będziemy w stanie zmienić sposób myślenia i sposób działania społeczeństw lokalnych” – mówi Janusz Filipiak, Prezes ComArch S.A.
Docelowo rozwiązania tworzone w ramach „Wrót Małopolski” mają umożliwić wszystkim mieszkańcom Małopolski i firmom funkcjonującym w województwie dostęp do urzędów poprzez komputer osobisty, telefon komórkowy, WAP lub GPRS niezależnie od miejsca pobytu. Założeniem urzędowych serwisów informacyjnych jest danie szansy podmiotom na publikowanie istotnych informacji bez ponoszenia dodatkowych nakładów z ich strony.
W ramach projektu zostanie stworzony interaktywny system informacji dla sektora małych i średnich przedsiębiorstw, który funkcjonował będzie w oparciu o zasoby informacyjne lokalnych i regionalnych instytucji rozwojowych, a także organizacji samorządu gospodarczego Małopolski.
„Wrota Małopolski” mają na celu utworzenie nowej internetowej społeczności województwa małopolskiego mającej dostęp do urzędów przez Internet. W taki sposób będzie można niebawem zorganizować np. wydanie paszportu czy duplikatu prawa jazdy. Już wkrótce możliwe będzie załatwienie wszystkich procedur w urzędzie z wykorzystaniem elektronicznego podpisu.
Rozwiązanie zastosowane w Województwie Małopolskim znacznie usprawni obieg informacji, zaktywizuje rozwój ekonomiczny regionu, oraz wymusi tworzenie nowych, bardziej postępowych regulacji prawnych. Ostatecznie rozwój e-Government może doprowadzić do bezpośredniej demokracji poprzez organizowanie debat w sieci, prowadzenie wielowątkowych forum dyskusyjnych, czy organizowanie głosowań przez Internet. Małopolanie będą komunikować urzędom swoje potrzeby i oczekiwania posiadając jednoczesny dostęp do informacji publicznych, oficjalnych dokumentów i procedur administracyjnych.
Rewolucyjne jest podejście urzędu do obywatela, który w momencie pełnego funkcjonowania „Wrót Małopolski” będzie traktowany jak prawdziwy klient i będzie obsługiwany profesjonalnymi systemami Custormer Relationship Management.
Ważna jest rola „Wrót Małopolski” w wypełnianiu luki, jaka pojawiła się pomiędzy rozwojem technologii internetowych, a rozwojem edukacyjnym społeczeństwa. Portal będzie wkrótce realizował szeroko pojęte nauczanie na odległość (e-learning), dzięki któremu Małopolanie będą mieli możliwość doskonalenia swoich umiejętności i nabywania nowych poprzez zaawansowane i personalizowane narzędzia edukacyjne dostępne przez Internet.
Na koniec warto dodać, że realizacja I fazy projektu ma potrwać do końca listopada bieżącego roku – planuje się kolejne uruchomianie wszystkich funkcjonalności systemu. Zakończenie projektu przewidziane jest na 2005 rok. Projekt będzie realizowany w oparciu o technologie .NET firmy Microsoft.
Właśnie otrzymaliśmy list od Sebastiana Łuczaka (rzecznika prasowego z Pekao SA) w którym informuje, że faktycznie dokonano włamania jednak na zaatakowanej maszynie nie było żadnych, cennych dla włamywacza informacji. Akurat tego można było się raczej spodziewać gdyż chyba żaden bank nie ma połączonego intranetu i siecią zewnętrzną. Jak pisze Pan Łuczak: W związku z tym właśnie, że niemal go nie używamy, reżim monitoringu dla niego był niski i mogło udać się to „wlamanie”.
Na omawianym serwerze z pewnością nie było żadnych dokumentów bankowych czy też informacji o kontach klientów jednak obsługiwał on wraz z drugim serwerem należącym do TPSA (dns.tpsa.pl) główną domenę banku – pekao.com.pl. Dostęp do tej maszyny pozwalał więc np. na podmienienie strony głównej www.pekao.com.pl poprzez zmianę docelowej lokalizacji stron serwisu.
W firmie gdzie wydaje się miliony złotych na infrastrukturę teleinformatyczną nie powinno raczej dojść do podobnego incydentu. Publikowane przez nas informacje mają zazwyczaj na celu podniesienie czujności osób odpowiedzialnych za bezpieczeństwo danych. Tak też było w tym przypadku.
Mimo wszystko postawa rzecznika prasowego firmy była jak najbardziej na miejscu. Kilka znanych firm dało nam już przykład, że chęć zatuszowania podobnych incydentów zazwyczaj przynosi dokładnie odwrotny skutek.
Holenderka, która twierdzi że ma alergię na intelowski procesor, nie zniechęca się negatywnymi opiniami lekarzy i kontynuuje swoją walkę o odszkodowanie.
Obywatelka Holandii twierdzi, że podczas pracy procesor Pentium emituje szczególne promieniowanie, które powoduje u niej wysypkę. Kiedy pracowała na procesorze 486 nie miała takich objawów. W związku z tym alergiczka wytoczyła proces holenderskiemu Ministerstwu Ekonomii i producentowi procesora, firmie Intel.
Z niecierpliwością czekamy na wyrok sądu w tej nietypowej sprawie…
Źródło: The Inquirer
Czyżby jeden z największych polskich banków został skutecznie zaatakowany przez hackera ? Jeden z serwerów DNS [195.116.129.100] przypisany do domeny Pekao, widoczny pod nazwą serwer.pekao.com.pl, wita nas całkiem oryginalną stroną główną.
Być może hacker wykorzystał fakt, iż serwer jest obsługiwany przez Apache w wersji 1.3.12 (można to sprawdzić na hacking.pl/host.php). W czerwcu opublikowaliśmy informację dot. poważnej dziury w Apachu zarówno linii 1.3 jak i 2.0, która może prowadzić, w zależności od wersji i platformy serwera, do zablokowania serwisu lub nawet podmiany jego zawartości przez atakującego.
Jak do tej pory nie było żadnej reakcji ze strony pracowników banku mimo, iż zostali oni poinformowani o całej sytuacji. Natomiast witryna zostala podmieniona najpóźniej ok. godziny 12. Wiadomo jednak, że to nie pierwsza awaria serwerów DNS tego banku. W poprzednim miesiącu odmówiły one współpracy w wyniku czego nie można było dostać się m.in. na stronę główną serwisu.
Zobacz również:
news :: pl.biznes.banki
Jednak był ‚mały’ hacked
Jak poinformował nas Paweł Krawczyk z ipsec.pl MS IE we wszystkich aktualnych wersjach (do 6) zawiera dziurę, która objawia się podczas weryfikowania ścieżki certyfikacji serwera SSL. Błąd polega na tym, że IE co prawda sprawdza ją krok po kroku (od certyfikatu serwera wzwyż do certyfikatu wystawcy), ale pomija jeden istotny szczegół – czy certyfikat wyższego poziomu jest uprawniony do podpisywania czegokolwiek (tzw. X509v3 Basic Constraints).
Oznacza to że dysponując certyfikatem serwera WWW wystawionym przez Thawte, VeriSign lub GeoTrust możemy podpisać nim certyfikat innego serwera, a IE uzna tę ścieżkę za poprawnę – ponieważ kończy się ona na zaufanym urzędzie certyfikującym. W normalnej sytuacji IE powinien stwierdzić, że certyfikat serwera został podpisany certyfikatem, który w ogóle nie posiada do tego uprawnień – i uniemożliwić połącznie.
Konsekwencje tego błędu są dość poważne, bo niweczą mechanizm, który jest sercem bezpieczeństwa SSL – pewność, że łączymy się z autentycznym serwerem np. banku, a nie podstępnym pośrednikiem (tzw. atak man-in-the-middle), który udając przed nami bank, równocześnie udaje nas przed bankiem i w ten sposób zapoznaje się ze szczegółami naszej transakcji. Złamanie ścieżki certyfikacji powoduje niestety, że IE jest podatny na atak m-i-t-m.
Inne przeglądarki (Netscape, Mozilla, Galeon) wyświetlają w takim przypadku błąd. Poprawka do MSIE powinna pojawić się wkrótce, tymczasem do bankowości elektronicznej radzimy wykorzystać np. Mozillę.
Źródło: securityfocus.com
Zobacz również: www.ipsec.pl