Aktualności

Po ostatniej aferze z portalem Interia.pl i zapewnieniach jego twórców o ich dbałości o bezpieczeństwo, Jacek Konieczny postanowił sprawdzić jak to wygląda na prawdę.

W opublikowanych przez Jacka informacjach, okazało się że żaden z badanych portali, nie zabezpiecza w pełni hasła swoich użytkowników, a część nie robi tego w ogóle.

Dobrze jest jak o tym napiszą w regulaminie, jednak niektórzy wolą się chwalić stosowaniem międzynarodowych standardów, czy najnowocześniejszych technologi zabezpieczeń, faktycznie nie zabezpieczając hasła w ogóle.

Najlepiej jest, jeśli chodzi o dostęp do swojego konta poprzez WWW. W tym przypadku wiele portali stosuje SSL (ale często nie przy wypełnianiu wniosku rejestracyjnego). Gorzej, gdy chodzi o połączenia POP3 i SMTP. Szyfrowanie sesji POP3 (a także SMTP) poprzez SSL działa jedynie na jednym portalu, a o takich zabezpieczeniach jak APOP, StartTLS, czy SASL najwyraźniej specjaliści z naszych portali wogóle nie słyszeli”.

Wyniki „badań” Jacka Koniecznego, co jakis czas uaktualniane, dostępne są pod adresem:
http://bezpoczta.bnet.pl/

Jak poinformował nas MadCow, odkrył on dość poważny błąd w komunikatorze Gadu-Gadu, który potrafi zawiesić działanie programu, dzięki doprowadzeniu go do przepełnienia buforu.

update: błąd ten został poprawiony przez programistów programu Gadu-Gadu

Otóż, można w łatwy sposób „wywołać” u dowolnego użytkownika programu Gadu-Gadu okienkto z napisem „OUT OFF MEMORY”. Błąd ten działa, według zapewnień autora, na wszystkich wersjach Gadu-Gadu włączając do tego najnowszą wersję z numerem 4.9.2

Autor zadał sobie dodatkowego trudu i sprawdził ten sam błąd na pozostałych polskich komunikatorach jakim są Tlen oraz WPkontakt – niestety programy te nie są podatne na ten błąd.

Kod źródłowy programu można pobrać stąd. Autor zaznacza, że można dodać działanie destrukcyjne do tego programu ale sam nie zna się na tym na tyle dobrze aby to uczynić. Zatem wszyscy chętni mogą skontaktować się z autorem i porozmawiać na ten temat, a my prosimy z koleji o przesłanie rezultatów.

Co najdziwiniejsze, MadCow poinformował o tym autorów komunikatora Gadu-Gadu, wysyłając list pod adres tech@gadu-gadu.pl, jednak już od tygodnia nie otrzymał odpowiedzi w tym temacie.

„Chciałem sie przyczynić do poprawy bezpieczeństwa ale widocznie mają ważniejsze sprawy od bezpieczeństwa kilkunastu tysięcy użytkowników (…) Marnie widzę przyszłość tej firmy” – dodaje autor.

Program używacie na własną odpowiedzialność. Za nieprawidłowe działanie programu, redakcja oraz autor nie biorą odpowiedzialności.

Po niespełna dwóch tygodniach ukazała się kolejna wersja ProFTPD o numerku 1.2.5.rc3 – jednego z najlepszych, a co najważniejsze, najbezpieczniejszych serwerów ftp – zdaniem 60,9 % naszych czytelników.

Lista zmian

Pobierz źródła
Podziękowania dla gold’a za podesłanie informacji.

Co robisz gdy startujesz w konkursie dla hakerów tylko po to żeby się przekonać, że docelowy serwer działa z odciętym systemem operacyjnym działającym z prawie wszystkimi serwisami wyłączonymi, tak że nie odzwierciedla to sytuacji jak w rzeczywistości?

Proste! Sam hakujesz konkurs.

Tak dokładnie stało się na podobym konkursie, w którym główna wygrana miała wynosić 100 000 USD, a teraz wydaje się tracic swoją świetność po tym jak hakerzy przejęli serwer który zawierał szczegóły rejestracji. W rezultacie to co powinno byc prostym konkursem przekształciło sie w pokręcone kłamstwo hakerów atakujacych złe systemy używajace niepewnych serwerów postawionych na pierwszym miejscu. Ten epizod stawia mnostwo pytań na temat tego jak w przyszłości takie konkursy powinny być prowadzone…

Pełny artykuł na ten temat został opublikowany na łamach magazynu ZDNet.com.

Parę dni temu informowaliśmy o pojawieniu się wersją RC1 tej dystrybucji, a już obecna jest kolejna wersja nosząca numer 8.1-rc2. Z nowości jakie należy wymienić to głównie aktualizacje wersji istniejących już pakietów i wprowadzenie poprawek drobnych błędów – poprawione zostały błędy związane z bezpieczeństwem w dwóch pakietach (kdenetwork i sendmail). Warto jeszcze wspomnieć o powrocie do wersji SysLinux 1.67. Lista zmian znajduje się tutaj. Zatem są duże szanse na oficjalne wydanie wersji 8.1 Slackware jeszcze w tym miesiącu…

więcej w newsach o Slackware

więcej w artykułach o Slackware

W Wiedniu, 17-latek włamał się do komputerów Pentagonu, tym samym uzyskując dostęp do tajnych informacji o satelitach szpiegowskich, rozlokowaniu rakiet atomowych, a także szczegóły ściśle tajnego, zawartego niedawno, porozumienia USA – Rosja.

17-latek chwilę po uzyskaniu dostępu do sekretów USA, wysłał do Waszyngtonu e-maila: „Panowie, takie tajemnice powinny być lepiej strzeżone”, podając przy tym swój adres pocztowy i internetowy. W niecałą godzinę później do mieszkania młodego wiedeńczyka przybyła policja i specjaliści austriackiego Ministerstwa Obrony zaalarmowani przez FBI, ku zdziwieniu został potraktowany on nie jako zwykły przestępca komputerowy, a jako przyszły pomocnik i specjalista.

Chłopcu nie tylko nic nie grozi, ale ponieważ zaproponował skuteczny sposób uszczelnienia systemu komputerowego Pentagonu, FBI ma zamiar zaproponowac mu współpracę.

Miałem spore wątpliwości czy opublikować tę wiadomość. Ponieważ jednak od przeszło tygodnia informacja ta znajduje sie na newsach[alt.pl.comp.os.hacking], zdecydowałem się ją opublikować. Niie stwierdzam przy tym, czy hasla te sa autentyczne, czy kiedykolwiek istniała dziura w serwisie faq.net.pl. Moim zadaniem jest poinformowanie o pewnym fakcie, jakim w tym wypadku bylo ukazanie sie tego postu

From: brzydkimail@frogshit.com (bug)
Newsgroups: alt.pl.comp.os.hacking
Subject: [OT] Konkurs na refleks
Date: 24 May 2002 16:52:16 -0700
Organization: http://groups.google.com/
Lines: 77
Message-ID:
NNTP-Posting-Host: 200.27.182.30
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: posting.google.com 1022284337 20203 127.0.0.1 (24 May 2002 23:52:17 GMT)
X-Complaints-To: groups-abuse@google.com
NNTP-Posting-Date: 24 May 2002 23:52:17 GMT

Hint na dole 😉 szczerze mowiac to nawet ladne hasla sobie
wykombinowali co niektorzy, ale co im z tego 😛

mmuran@faq.net.pl Muran
muran, !@QWaszx@#WEsdxc

tpolus@faq.net.pl Polus
tpolus, P13o12L80#

arek@bsi.net.pl Łach
arek, alAmaKota

airsiwy@bsi.net.pl Michałkiewicz
airsiwy, Dupasek

maciek@bsi.net.pl Piekulski
maciek, .pitekantr0p?

jacekm@bsi.net.pl Marek

jacek, Mojamalamonika1

kkleszyn@bsi.net.pl Kleszyński
kkleszyn, Asten#46

bilbo@bsi.net.pl Zachara
bilbo, daffy123

ziembor@faq-bot.ziembor.waw.pl Borowski
ziemek, Bud#Ho_su1%b

piotr.suchodolski@faq.net.pl Suchodolski
psuchodolski, za3P7kNn#&13@1

kajetan@chrobot.krakow.pl Miś
kajetan, M$kajmiS99

leszek@pro-info.pl Slusarczyk
leszekslus, DzikiLopez4Y

piciu@faq.net.pl Krzyżański
piciu, PiCIU@56k

kcybulski@faq.net.pl Cybulski
kcybulski, pol@123#KOP

joshua@faq.net.pl Synoradzki
josh, 1kn11_h$0j

pgolen@faq.net.pl Goleń
pgolen, Dupas@123

jgoralski@faq.net.pl Góralski
jgoralski, Dupas@123

ksagala@faq.net.pl Sagała
ksagala, k#921alas*g

tkleszyn@bsi.net.pl Kleszyński
tkleszyn, $70dk0G0rzk!

tonyszko@faq.net.pl Onyszko
gibon, QFtrup&$10

dyson@faq.net.pl Zątek
dyson, 12345!23

Z uwagi na wysoki poziom grupy tylko mala podpowiedz sa to
Hasla do faq.net.pl panow „specjalistow” od bezpieczenstwa winsmiecia,
tym razem to nie byla wina BG co patcha nie dal, a zalosnego skryptu(ow).

Hint2:
email lastname
login, password

Zadanie konkursowe, wygrywa ten kto pierwszy doda newsa na faq.net.pl
lub wykona najbardziej dekstrucyjna komende na serwerze
Nagroda-niespodzianka czeka 😉

Wygląda na to, że głośna sprawa związana z dziurawym systemem kont pocztowych na stronach Interia.pl definitywnie dobiega ku końcowi. Wiadomo, że było już oficjalnie oświadczenie ze strony Interii w tej sprawie, no ale jak widać jeszcze bronią się rękami i nogami. Poniższy tekst znalazł się na stronach Interia.pl i każdy z użytkowników podczas logowania, widzi odnośnik do tej informacji. Oto ona:

Drodzy użytkownicy

W związku z pojawiającymi się ostatnio w mediach publikacjami na temat luk w zabezpieczeniach naszych systemów pocztowych, pragniemy wyjaśnić, że takie przypadki rzeczywiście miały miejsce, niemniej za każdym razem były usuwane w ciągu trzech godzin od momentu gdy dotarły do nas informacje o nich. Jak sprawdziliśmy, nie było w tym czasie prób wykorzystania luki w zabezpieczeniach innych, niż testowe wejścia odkrywcy nieprawidłowości i redakcji Chip Online, która jako pierwsza opublikowała informacje na ten temat. Konto żadnego z użytkowników nie zostało naruszone.

Dziękujemy tym, którzy poinformowali nas o nieprawidłowościach i wszystkim tym, którzy pisali do nas w tych ostatnich dniach. Cenimy sobie wszystkie uwagi, czytamy zastrzeżenia i bierzemy do siebie krytykę. Zapewniamy, że każda informacja od Was jest czytana i odzwierciedlona niezwłoczną reakcją działu technicznego portalu. To właśnie Wasze opinie pozwalają nam dostosowywać naszą ofertę do Waszych potrzeb i cały czas się rozwijać.

W związku z całą sytuacją, nasz dział techniczny po raz kolejny sprawdził stan systemów autoryzacji dostępu do kont, by korespondencja przesyłana za pośrednictwem INTERIA.PL była całkowicie bezpieczna. Zapewniamy, że zrobimy wszystko, by takie sytuacje więcej nie miały miejsca.

Zarząd i Pracownicy Portalu
Powyższy tekst dostępny jest również na stronach Interia.pl pod adresem:
http://poczta.interia.pl/templates/komunikat.html

Podziękowania dla monlej’a za podesłanie informacji.

Telekomunikacja Polska SA, już w najbliższym czasie wprowadzi nowe usługi szerokopaskowego dostępu do Internetu. Dostęp do Internetu DSL to nowa usługa, oparta o „rodzinę” technologii Digital Subscrier Line (DSL) wraz ze stałym dostępem w nielimitowanym czasie i bez ograniczeń ilości przesyłanych danych.

Szerokopasmowe łącza instalowane są w oparciu o istniejące linie telefoniczne, a w ramach podstawowej oferty Telekomunikacja Polska udostępnia łącza asymetryczne ADSL o przepustowości 512 kbit/s i 1 Mbit/s, stały adres IP, pakiet bezpieczeństwa sieciowego e-security, przestrzeń dyskową na konta pocztowe i strony internetowe w domenie firma.internetdsl.pl oraz możliwość konfiguracji indywidualnego profilu usługowego.

Usługa Dostęp do Internetu DSL jest oferowana w dwóch opcjach:

DSL 512 (łącze o maksymalnej przepustowości 512 kbit/s do komputera Abonenta i 128 kbit/s od Abonenta, czteroadresowa podsieć – 1 użytkowy adres IP)

DSL 1 (łącze o maksymalnej przepustowości 1 Mbit/s do komputera Abonenta i 256 kbit/s od Abonenta, ośmioadresowa podsieć – 5 użytkowych adresów IP)

Instalacja pierwszej usługi kosztuje 799 zł + VAT, przy czym abonament miesięczny to 299 zł + VAT, zaś instalacja DSL 1 wyniesie nas 849 zł netto przy abonamencie 649 zł netto.

Więcej informacji na ten temat znajdziecie na stronach TP SA, pod tym adresem.

ak już pisaliśmy, podczas konferencji „Bezpieczeństwo Teleinformatyczne Jadwisin 2002”, która odbędzie się już za 5 dni i potrwa 2 kolejne, będzie można wziąć udział w Hacking Challenge. W zawodach będą wystawione 2 hosty:
linux.hacking-challenge.bsi.net.pl
windows.hacking-challenge.bsi.net.pl
Dodatkowo na każdym z nich będzie serwer www. Challenge polega na udokumentowanym włamaniu, czyli podmianą strony lub założeniem katalogu i pozostawieniem pliku z wizytówką.

Jeśli nikomu się nie uda, to jury (Kolegium WinSecurity Magazine) wybierze dwóch najlepszych na podstawie logów.

Zobacz również:
Konferencja – Bezpieczeństwo Teleinformatyczne Jadwisin 2002