Pojawienie się wersji 4.2.2 właśnie dziś było bezpośrednio związane z odkrytym błędem w poprzednich wersjach PHP 4.2.0 oraz 4.2.1. Odpowiednio przygotowany exploit może skutecznie zakłócić pracę serwera webowego. Więcej na ten temat można przeczytać na php.net oraz security.e-matters.de. Zaleca się jak najszybszy upgrade do wersji 4.2.2.
Przeglądanie kategorii
Aktualności
Na oficjalnej stronie PHP pojawiła się informacja o pojawieniu się kolejnej wersji PHP noszącej numerek 4.2.2. Standardowo nowa wersja zawiera poprawki błędów występujących w poprzednich wersjach – szczegółowe informacje dotyczące wykrytych usterek znajdują się tutaj, natomiast źródła dostępne są tutaj.
Interoute, brytyjski operator telekomunikacyjny, poinformował w poniedziałek o przejęciu głównej części europejskiej sieci Ebone należącej do zbankrutowanego holenderskiego koncernu KPNQwest.
Wedle źródeł zbliżonych do firmy o resztę majątku KPNQwest konkurują teraz szwedzka Telia i holenderski KPN. Interoute nie ujawnił ile zapłacił za główną część Ebone, ale zdaniem osób zbliżonych do transakcji było to 15 mln euro, czyli zaledwie 2 proc. tego ile przed rokiem zapłacił za Ebone KPNQwest.
Zobacz również:
Europa bez backbone’a
Amerykański Kongres przyjął poprawkę do kodeksu karnego zaostrzającą wymiar kary dla cyberprzestępców, gdzie za przyjęciem nowego prawa głosowało 385 kongresmenów, przeciw zaś jedynie 46. Od tej pory, sądy będą mogły orzekać kary nawet dożywotniego więzienia za szczególnie ciężkie przestępstwa dokonywane poprzez Internet. Nowe regulacje muszą teraz zostać przyjęte przez Senat.
Zmiany w kodeksie są reakcją na ostrzeżenia o przygotowaniach grup islamskich do ataku na Stany Zjednoczone poprzez globalną sieć. Amerykanie obawiają się, że organizacja Al Kaida zamierza dokonać ataków terrorystycznych – tym razem przez Internet. Eksperci od bezpieczeństwa narodowego wyrażają przekonanie, że atak terrorystyczny dokonany przez sieć może wywołać katastrofę lub sparaliżować życie w kraju. Przytacza się przykład wielkich elektrowni wodnych, których wyłączenie mogłoby spowodować brak energii elektrycznej na dużych połaciach kraju, a co za tym idzie wielkie straty materialne, a także zagrożenie życia obywateli.
Wydaje się, że wydarzenia 11 września ubiegłego roku, spowodowały zwrócenie uwagi nie tylko na zagrożenia fizycznym atakiem, ale także na drogę elektroniczną. A ta ostatnia może powodować znacznie większe straty niż atak z ziemii czy powietrza. Przykładem może być włamanie na serwer NASA, które spowodowało milionowe straty dla tej organizacji. Zmiany w amerykańskim, jakże liberalnym prawie, powinny być sygnałem dla rządów innych państw, aby przejrzały swoje regulacje prawne pod kątem właśnie obrony przed atakiem cybernetycznym.
W nawiązaniu do artykułu, dot. dziury w systemie kont pocztowych Onet.pl, który ukazał się wczoraj na łamach magazynu Reporter.pl chciałbym wyjaśnić klika kwestii. Przede wszystkim wyjaśnienia Pawła Respondka, z działu PR w Onet.pl są niezwykle analogiczne do sprostowania wydanego jakiś czas temu przez Interię po tym jak okazało się, że można logować się na dowolne konto pocztowe nie podając hasła. Zgodnie twierdzili, że nie zostali wcześniej poinformowani o dziurach w systemie darmowych kont pocztowych co raczej mija się z prawdą. W przypadku Interii została nawet zachowana cała korespondencja, w której firma została powiadomiona o problemie jeszcze przed jego opublikowaniem na naszych stronach.
W obu przypadkach pracownicy Onetu i Interii zareagowali dopiero po zamieszczeniu sposobów na dostanie się na cudze konta pocztowe. Chwalenie się czasem reakcji jest w tym przypadku śmieszne bo informacja o problemie trafiła do wielu osób i kto chciał mógł ją skutecznie wykorzystać. Dla przypomnienia w Onet.pl błąd został usunięty po 30 minutach od pojawienia się artykułu na hacking.pl natomiast Interii zajęło to trochę dłużej bo 3 godziny.
Dalej czytamy:
Wczorajsza krótka awaria była ledwie widoczną szczeliną, a nie dziurą
Z pewnością określenie szczelina uspokoi wszystkich posiadaczy kont na Onet.pl. Albo oprogramowanie jest wadliwe albo nie…
Można było dotrzeć do mniej niż 1 proc. użytkowników poczty, z tym że, aby trafić na dwa listy tego samego użytkownika, należało wykonać 500 tys. prób
Sprawdziliśmy to i nieprawdą jest, że trzeba było wykonywać tyle prób, gdyż e-maile były kolejkowane następnym numerem a nie przypisywane losowo. A kolejno widzimy ponowną analogię z Interią. Błąd nie dotyczyły wszystkich użytkowników lecz tylko znikomej ich części. Jakie to szczęście…
Nikt z Hacking.pl nie pofatygował się, żeby poinformować portal o odkrytej usterce.
Jasne… Najlepiej dać nam dostęp do serwerów i będziemy zdalnie naprawiać wszystkie bugi. Nie jesteśmy firmą wykonującą audyty bezpieczeństwa tylko serwisem informacyjnym. Poza tym, jak już pisałem, firma została poinformowana o błędzie jeszcze przed jego publikacją.
Admini Onet.pl bardzo rzetelnie w trosce o internautów sprawdzają sajty hakerskie.
Mam propozycję: zamiast „skanować” m.in. naszą stronę proponuję bardziej skupić się na swojej pracy i nie dopuszczać do podobnych sytuacji. Wszyscy byliby zadowoleni.
Niestety, autorzy tych sajtów nie zachowują się równie rzetelnie.
A co z rzetelnością w stosunku do kilkudziesięciu tysięcy waszych użytkowników ???
Nieinformowanie zainteresowanych stron jest zwykłym hakerstwem.
Jasne, w końcu to hacking.pl. 😉
Na koniec chciałbym oświadczyć, iż jest nam niezmiernie miło, że administratorzy Onet.pl odwiedzają nasz serwis co kilkanaście minut. To właśnie dla Was to robimy ! 🙂
Kolejny, dziewiąty numer WinSecurity Magazine pojawi się już wkrótce w sprzedaży. Tematem przewodnim lipcowego numeru jest administracja i zabezpieczanie serwera Exchange 5.5/2000. Opisano w nim między innymi tak istotne tematy jak odtwarzanie po awarii, umiejscowienie serwera w sieci, migracja z wersji 5.5 do wersji 2000, journalling, wpisy w dzienniku zdarzeń SMTP, czy wykorzystanie skryptów w zarządzaniu AD i serwerem Exchange. Wykraczając poza temat przewodni, w numerze tym zamieszczono również artykuły dotyczące protokołu LDAP, skryptów ADSI, sposobów łamania zabezpieczeń Windows 2000 (cz. III), nowego robaka dla serwera Apache oraz oprogramowania LanGuard S.E.L.M., AdWare, GroupWare i SecureIQ.
Na dołączonej płycie CD znajduje się serwer Microsoft Exchange 2000 w wersji testowej. Fragmenty wszystkich artykułów w formacie PDF i szczegółowy spis treści dostępny jest w przeglądzie.
Tak! To prawda – najpierw Interia.pl teraz przyszedł czas na Onet.pl. Dzięki bardzo prostemu przypadkowi, niedopatrzeniu czy też przeoczeniu, OnetPoczta umożliwia przeglądanie prywatnych wiadomości innych użytkowników bez potrzeby znajomości ich hasła dostepowego do konta pocztowego.
Na początek trochę „teorii”. Zgodnie z zapisem występującym w dostarczonej pomocy (aby przeczytać pomoc, należy być zalogowanym na konto w OnetPoczta) obsługi konta pocztowego „OnetPoczta jest wygodną, łatwo konfigurowalną aplikacją internetową, która umożliwia jednoczesny dostęp do wielu kont pocztowych”. Autorzy w zupełności mieli tutaj rację!
Sprawa przedstawia się bardzo prosto: wystarczy zalogować się na własne (bądź czyjeś) konto w portalu Onet.pl, gdzie naszym następnym krokiem będzie wpisanie poniższego adresu url bezpośrednio w przeglądarce:
http://poczta.onet.pl/czytaj.html?p=1&ui=XXXXXXX&k=0&f=0
gdzie XXXXXXX to kolejne numery identyfikacyjny zapisanej wiadomości przechowywanej na serwerze.
Jak uzyskać taki numer? Nic prostszego! Jeżeli mamy zapisaną wiadomość w naszej skrzynce pocztowej, po „najechaniu” na nią, w statusie, uwidoczni się pełny link wraz z odpowiednim numerem tej wiadomośći. Taki numer kopiujemy i zgodnie z powyższym przykładem, modyfikujemy go o jeden bądź kilka numerów wyżej. To był pierwszy sposób. Drugi, nieco bardziej „brutalny”, polega na losowym wpisaniu jakiś cyferek. Uwierzcie mi! Zabawy jest na kilka, długich i deszczowych dni.
Dla przykładu, po własnej, krótkiej zabawie, znalazłem nastepujące trafne przypadkowo numery:
http://poczta.onet.pl/czytaj.html?p=1&ui=3548929&k=0&f=0
http://poczta.onet.pl/czytaj.html?p=1&ui=3548971&k=0&f=0
http://poczta.onet.pl/czytaj.html?p=1&ui=3548976&k=0&f=0
http://poczta.onet.pl/czytaj.html?p=1&ui=3548989&k=0&f=0
http://poczta.onet.pl/czytaj.html?p=1&ui=3548996&k=0&f=0
Dość ciekawym pomysłem będzie napisanie skryptu, którego zadaniem będzie generowanie kolejnego numeru wiadomości. Dodatkowo warto dopisać stosowny filtr który będzie zajmował się poszukiwaniem odpowiednich wpisów w celu zdobycia np. hasła lub bardziej interesujących nas informacji.
No dobrze. A jak zabezpieczyć się przed takim „nieoficjalnym” czytaniem poczty? Jedyne co przychodzi mi na myśl to, zaraz po przeczytaniu wiadomości, jej natychmiastowe skasowanie, bądź forwardowanie na inne, bardziej bezpieczniejsze konto pocztowe. Z koleji innym sposobem może być całkowite, bądź tymczasowe, zrezygnowanie z użytkowania konta w OnetPoczta.
Jak widać Polskie (czy tylko Polskie?) portale świadczące darmowy dostęp do kont pocztowych stoją pod znakiem zapytania ufności ich przyszłych klientów. Zapewne większość z Was pamięta głośny problem związany z bezpieczeństwem kont pocztowych dostępnych na serwisie Interia.pl. Teraz czarna chmura zapukała do drzwi portalu Onet.pl. A co z pocztą w serwisie wp.pl? Zapewne lada dzień, będzie o niej głośno.
Z góry przepraszam za czytanie i publiczny pokaz prywatnej poczty ale użyte odnośniki mają tylko na celu udowodnić i zademonstrować słabe zabezpieczenia poczty portalu Onet.pl.
update: Jak poinformował mnie Pan Andrzej Zachwieja z Onet.pl, błąd został naprawiony po kilkudziesięciu minutach od publikacji. Rzeczywiście błąd został już poprawiony – jedyne co nasuwa mi się na myśl, to pogratulować szybkiej reakcji ze strony Onet.pl.
Zobacz również:
Onet i Interia w jednym stali domu…
Jak już zapewne wszyscy wiedzą, twórca programu Gnutella – pierwszego popularnego programu umożliwiającego tworzenie sieci peer-to-peer, 29 czerwca popełnił samobójstwo. Gene Kan, 25-letni geniusz komputerowy zajmował się technologiami umożliwiającymi szybką wymianę informacji – pracując w grupie programistów, stworzył program Gnutella, który stał się wyznacznikiem nowego kierunku rozwoju Internetu, a jego powstanie zmieniło sposób myślenia o wymianie dóbr intelektualnych, a także o komputerach w ogóle.
Jego firma została wykupiona w marcu bieżącego roku przez Sun Microsystems za kwotę 10 mln USD – w tym czasie Gane Kan przyjął posadę konsultanta.
W ostatnich czsach, Gene zajmował się projektem InfraSearch, którego celem było umożliwienie komunikacji, współpracy i dzielenia informacji pomiędzy różnymi urządzeniami w sieci – od handheldów, przez telefony komórkowe, po serwery.
Niestety, prywatne życie człowieka, który zmienił oblicze Internetu, nie wyglądało już tak imponująco. Kan borykał się z depresją, zażywał Prozac i był częstym klientem telefonicznych linii dla samobójców. Niedawno zmienił swój życiorys zamieszczony na serwerze Uniwersytetu Kalifornijskiego. Napisał tam: „Smutny przykład istoty ludzkiej. Wyspecjalizowany w porażkach”, jednak administrator usunął stronę.
Artykuł na temat śmierci Gane Kan’ea pt. Quiet, Sad Death of Net Pioneer znajdziecie na stronach magazynu Wired.com, natomiast na BlogSpot znajdują się jego ostatnie zapiski.
Zobacz również:
– http://www.xcflabs.com/~yaroslav/gene/
– http://www.gonesilent.com/
Policja we współpracy z przedstawicielami producentów oprogramowania zrzeszonych w Business Software Alliance w ubiegłym miesiącu (czerwiec) skontrolowała 14 firm, 6 sklepów komputerowych, 7 kawiarni internetowych oraz giełdę komputerową. We wszystkich kontrolowanych sklepach oferujących sprzęt i oprogramowanie komputerowe stwierdzono naruszenie praw autorskich.
W efekcie czerwcowych kontroli legalności oprogramowania policja zabezpieczyła 639 płyt z nielegalnym oprogramowaniem, 32 komputery, 27 twardych dysków oraz 3 nagrywarki. W celu złożenia wyjaśnień zatrzymano 23 osoby.
Najwięcej nieprawidłowości policja stwierdziła w sklepach oferujących oprogramowanie oraz w kawiarniach internetowych. W jednym ze sklepów zarekwirowano 9 twardych dysków, na których nielegalnie zwielokrotniono programy komputerowe. W pozostałych podmiotach policja zabezpieczyła płyty z nielegalnie skopiowanymi programami.
Kontrole przeprowadzono w województwie mazowieckim, lubelskim, śląskim i pomorskim. W Mińsku Mazowieckim sprawdzono 3 sklepy komputerowe oraz w kawiarnię internetową. W każdym z tych miejsc łamano prawa autorskie producentów oprogramowania, a straty oszacowano na ponad 100 000 zł. W sprawdzanej kawiarni internetowej nielegalnie zwielokrotnione oprogramowanie było zainstalowane na 11 komputerach. Również w sklepach zarekwirowano ponad 60 nielicencjonowanych kopii programów.
Firmy poszkodowane, których oprogramowanie było nielegalnie powielane lub zainstalowane to między innymi Adobe, Corel oraz Microsoft. Najczęściej powielanymi, były najnowsze i najbardziej popularne programy, m.in.: AutoCAD 2000, Corel Draw 8.0, Office 2000 Premium, Photoshop 6.0, Windows 2000.
W czerwcu BSA przeprowadziła także 4 szkolenia dla policji i służb celnych. Omawiano na nich sposoby dystrybuowania produktów stosowane przez osoby zajmujące się powielaniem i kradzieżą własności intelektualnej. Prezentowano także najnowsze zabezpieczenia oraz zasady licencjonowania oprogramowania firm zrzeszonych w Business Software Alliance.
Oprogramowanie, podobnie jak materiały zawarte na kasetach wideo czy płytach CD, stanowi własność intelektualną należącą do osób, które je stworzyły. Z oprogramowania nie można korzystać bez uzyskania wyraźnej zgody producenta lub wydawcy, niezależnie od sposobu, w jaki weszło się w jego posiadanie. Pozwolenie takie ma prawie zawsze postać licencji producenta, która jest zazwyczaj dołączana do autoryzowanych kopii oprogramowania. Oprogramowanie jest chronione przed nieautoryzowanym kopiowaniem, dystrybucją i sprzedażą na mocy przepisów prawa autorskiego lub kodeksu karnego.
Czy korzystanie z narzędzi filtrujących pakiety po 1995 roku przeznaczone na systemy operacyjne typu *BSD, Linuks czy też Unix jest w całości legalne? No własnie! Okazuje się, że 7 lat temu pewna firma w stanach opatentowała firewall. Odpowiedni dokument znajduje się tutaj – teraz wystarczy poczekać, aż właściciel opatentowanego projektu upomni się o swoje prawa…