Jakis czas temu zostalo stworzone i jest rozwijane Mini-FAQ na temat FreeBSD. Za projekt odpowiedzialny jest Przemyslaw Frasunek, znany w Polsce ekspert FreeBSD. FAQ znajduje sie tutaj.
Przeglądanie kategorii
Aktualności
Już w maju, dostępne będzie w polskiej wersji językowej oprogramowanie antywirusowe McAfee VirusScan 4.5.1. „McAfee VirusScan radzi sobie najskuteczniej z dzisiejszymi zagrożeniami wirusowymi” – powiedział Ryan McGee, Kierownik Marketingu grupy produktów McAfee. „Poprzez wprowadzenie polskojęzycznej wersji tego produktu chcemy zademonstrować nasze dalsze zaangażowanie na polskim rynku.”
McAfee VirusScan 4.5.1. jest najnowszą wersją wielokrotnie nagradzanego oprogramowania antywirusowego firmy Network Associates, które chroni stacje robocze firm przed infekcjami wirusowymi. Skaner AV, będący integralnym elementem VirusScana, chroni przed wirusami powstałymi w Internecie, plikami ściąganymi z sieci oraz skryptami o formacie ActiveX i Java. Dodatkowo VirusScan jest jedynym produktem na rynku, który umożliwia szybkie i sprawne aktualizowanie oprogramowania oraz wymuszanie polityki bezpieczeństwa wszystkich stacji roboczych w firmie.
VirusScan pokrywa szeroki zakres platform, dopasowując się z łatwością do każdego otoczenia sieciowego, oferując szereg funkcji aktywnego zarządzania polityką bezpieczeństwa sieciowego. VirusScan to wszechstronny skaner i narzędzie wykrywające wirusy już znane, jak również te nowe – zanim zainfekują grupy użytkowników.
„Rynek wschodnio – europejski jest dla nas bardzo istotny i dlatego w centrum naszych zainteresowań leżą starania, aby nasze produkty były przyjazne ich użytkownikom tak bardzo, jak jest to tylko możliwe” – powiedział Wirk Roemmelt, Dyrektor Regionalny na Europę Wschodnią. „Poprzez dostarczenie naszym klientom oprogramowania, które może być przez nich użytkowane w ich rodzimym języku, nie tylko wyróżniamy się wśród naszych konkurentów, ale przede wszystkim zwiększamy funkcjonalność naszych produktów.”
Oprogramowanie w języku polskim jest kolejnym krokiem w ogólno światowej strategii rozwoju oprogramowania McAfee. Firma Network Associates i jej dział McAfee może pochwalić się rozwiązaniami dostępnymi w następujących wersjach językowych: angielskim, portugalskim, francuskim, włoskim, hiszpańskim, holenderskim, szwedzkim, koreańskim, japońskim i chińskim.
W Polsce, wśród małych i średnich przedsiębiorstwach do końca roku, firma Internet Security Systems (ISS) zamierza zwiększyć udziały rynkowe w sektorze finansowym, przemysłu i administracji publicznej oraz wykreować świadomość w zakresie zabezpieczania systemów IT
Założenia te firma osiągnie poprzez aktywny udział w audytach bezpieczeństwa prowadzonych przez firmy z tzw. „Wielkiej Piątki”, wprowadzenie usług bezpieczeństwa Managed Security Service (MSS), nowe alianse strategiczne na rynku polskim i rozwój kanału sprzedaży oraz nasilenie działalności edukacyjnej.
W dobie wzrastającego zagrożenia cyberterroryzmem, przedsiębiorstwa zmuszone są do stosowania nadzwyczajnych środków bezpieczeństwa. Niedostatecznie chronione informacje łatwo dostają się w niepowołane ręce. O wadze problemu świadczy oświadczenie Komisji Europejskiej z 22 kwietnia głoszące, że hakerom i osobom rozprzestrzeniającym wirusy komputerowe będzie grozić kara do czterech lat więzienia. Przed atakami hakerów zabezpieczyć mogą zintegrowane i kompleksowe systemy ochrony. W Polsce z rozwiązań ISS korzystają już banki np. Bank Handlowy w Warszawie, grupa BRE Bank, Kredyt Bank, a także operatorzy telekomunikacyjni (TP SA, Netia, Polska Telefonia Cyfrowa, Polkomltel, Centertel) oraz Ministerstwo Finansów, KGP, GIODO, KIR, Polskie Linie Lotnicze LOT, Zakłady Energetyczne. Jednym z największych projektów (zrealizowanych wspólnie z firmami Nokia i Veracomp) było wdrożenie kompleksowego systemu nadzorującego pracę systemu wyborczego i uniemożliwiającego jego destabilizację. Był to największy system zabezpieczania danych wyborczych wdrożony w Europie Środkowej.
Z badań firmy Internet Security Systems wynika, że poziom świadomości kadry zarządzającej i informatycznej w zakresie zabezpieczania systemów IT jest wciąż niski. Dlatego firma planuje rozszerzenie oferty i zwiększenie dostępności szkoleń poszerzających wiedzę w tym zakresie, zarówno na poziomie inżynierskim, jak i menedżerskim.
Internet Security Systems będzie współpracował z firmami audytorskimi (np. Price Waterhouse Coopers, Andersen, InfoVide) w zakresie świadczenia kompleksowych usług oceniających podatność systemów informatycznych na włamania oraz sprawdzających zgodność konfiguracji systemu z założeniami polityki bezpieczeństwa. Usługi te świadczone będą przez zespoły mieszane złożone zarówno ze specjalistów firm partnerskich, jak i pracowników ISS Security Assessment Service. Zautomatyzowane usługi audytowe będą fragmentem całościowej oferty usług outsourcingowych MSS (Managed Security Services), polegających na zdalnym zarządzaniu systemami bezpieczeństwa, jak firewalle, VPN, systemy antywirusowe, czy IDS (Intrusion Detection System).
Internet Security System zamierza wzmocnić działania edukacyjne także za pośrednictwem Compendium – Centrum Edukacyjnego Veracomp SA, które od jest od marca autoryzowanym ośrodkiem szkoleniowym ISS w Europie Środkowo – Wschodniej, bez klauzuli ograniczenia terytorialnego. Dotychczas, najbliższe centrum szkoleniowe ISS znajdowało się w Brukseli. Dzięki podpisaniu umowy przedsiębiorcy krajów Czech, Słowacji, Węgier, Łotwy, Litwy, Estonii, Słowenii i Chorwacji zyskają na bliskiej lokalizacji oraz możliwości dostosowywania programów szkoleniowych do specyfiki ich potrzeb. Nasza kadra informatyczna – na prowadzeniu szkoleń w języku polskim. Wspólnie z ISS Compendium przygotowało zestaw sześciu kursów w zakresie oprogramowania RealSecure, zaawansowanych rozwiązań Intrusion Detection Systems (IDS) oraz systemów skanerów monitorujących podatność systemów IT na włamania.
Wykryto kolejnego buga w programie sudo, pozwalającego na przepełnienie bufora i w wyniku czego uzyskanie przywilejów administratora systemu – root’a.
Przepełnienie bufora jest możliwe w wersjach od 1.5.7 od 1.6.5p2 (włącznie). Problem istnieje w rozszerzeniu „%h” i „%u” co pozwala na zapisanie większej ilości bajtów niż przewidziano. Najnowsza wersja w której błąd został naprawiony, to 1.6.6, ktorej źródła można znaleźć tutaj.
Siódmy numer magazynu WinSecurity wraz z CD w sprzedaży detalicznej będzie dostępny około 10-11 maja. Temat numeru będzie: Active Directory i Windows 2000, poza tym w numerze znajdziemy: rola DNS w domenie AD; Kerberos i Kerberos w W2K; migracja domeny NT 4.0 do AD; stacje robocze w środowisku domeny AD; Group Policy; strategia, taktyka, sztuka operacyjna czyli budowanie systemu bezpieczeństwa; łamanie zabezpieczeń Windows 2000; PKI; instalacja w trybie unattend i inne.
Dodatkowe informacje i fragmenty wszystkich artykułów dostępne są jak zwykle w przeglądzie (wszystkie w formacie PDF).
Niecałe dwa tygodnie temu, na łamach naszego serwisu pojawił się artykuł „LindowsOS beta – pierwsze wrażenia”, autorstwa Black CombatAnt’a, opisujący pierwsze wrażenia z systemu operacyjnego Lindows. Dzisiejszego dnia ów autor podesłał nam zdjęcia z kolejnej wersji systemu Lindows (Sneak Preview 2).
Jak podaje magazyn Los Angeles Times, armia chińska prowadzi przygotowania do zmasowanego ataku cybernetycznego na Stany Zjednoczone. Gazeta powołuje się na poufny raport CIA, z którego wynika, że Chińczycy mieliby poprzez ataki hackerskie opóźniać reakcję militarną USA w razie konfliktu o Tajwan.
Analitycy i agenci z CIA prezentują swój pogląd, że władze w Pekinie zarządziły wzmożone prace nad „cyberbronią”: celem ataków miałyby być m.in. systemy wojskowe USA, połączone z Internetem. W ten sposób Chińczycy chcieliby sparaliżować lub podsłuchiwać wojskowe środki łączności przeciwnika. Amerykanie sądzą jednak, że Chińczycy nie dysponują jeszcze odpowiednim potencjałem i są w stanie wyrządzić zaledwie tyle szkód, co sprawny, ale pojedynczy hacker.
Oczywiście Chiny stanowczo odrzucają tezy USA, twierdząc, że przygotowują się jedynie do obrony własnych systemów informatycznych. Zatem po czyjej stronie tkwi prawda? Tego jeszcze nie wiemy. Warto jednak pamiętać, że po 11 września agencje wywiadowcze USA raz po raz ogłaszają jakieś nowe zagrożenie, ale nigdy dotąd te rewelacje nie znalazły potwierdzenia w faktach.
Zostala wykryta dziura, ktora potencjalnie umozliwia zawirusowanie plików typu mp3.
– Sandblad advisory #5 –
—..—..—..—..—..—..—..—..—..—..—..—..—-
Title: Mp3 file can execute code in Winamp.
Date: [2002-04-26]
Software: Nullsoft Winamp 2.79
Rating: High because mp3 files are widely trusted as safe.
Impact: Specially crafted mp3 file can execute
arbitrary code when played in Winamp due to a
buffer overflow condition.
Vendor: Nullsoft has confirmed the vulnerability.
Patch: Winamp 2.80 released 02-04-25 will fix the issue.
Download at: http://www.winamp.com/
Workaround: Disable the minibrowser
(enabled by default).
Author: Andreas Sandblad, sandblad@acc.umu.se (o o)
NON TECHNICAL DESCRIPTION:
==========================
It is possible to modify an existing mp3 file in such a way that it can
carries a virus. The virus is activated when the mp3 file is played in
Winamp and can then infect other mp3 files found on harddrives or network
shares. In order to protect yourself you need to upgrade to Winamp 2.80 or
disable the minibrowser.
TECHNICAL DESCRIPTION:
======================
A mp3 file can contain the ID3v2 tag. It’s a newer version of the ID3v1
tag and carries information like title, artist and album. The tag is
parsed by Winamp when a mp3 file is loaded.
If the minibrowser is enabled, Winamp will try to query a script on
http://info.winamp.com for extra information about the song, based on data
from the ID3v2 tag. The buffer overflow condition occours when the url
string intended to be sent to the minibrowser is created. That means the
buffer overflow occours before any actual internet connection to
info.winamp.com is beeing made.
The easiest way to test the buffer overflow condition is to apply at least
159 „?” characters in the title field of the ID3v2 tag. When playing the
mp3 file in Winamp 2.79 the following error log was created:
Access violation – code c0000005 (first chance)
eax=00000021 ebx=00000000 ecx=0012bd00 edx=00000032 esi=00000113
edi=00000113
eip=32253132 esp=00129c08 ebp=25313225 iopl=0 nv up ei pl zr na po
nc
cs=001b ss=0023 ds=0023 es=0023 fs=0038 gs=0000
efl=00010246
32253132 ?? ???
If we debug Winamp we notice that the created url to be sent to the
minibrowser looks something like this:
http://info.winamp.com/winamp/WA.html?Alb=&Art=%21%21%21%21%21%2…(alot)…%21Cid=winamp&Tid=&Track=%21%21%21%…(alot)…
We also understand that the buffer is overwritten by maximum one NULL
character, making the register esp change to 0x129c00. The esp is then
incremented by 0x4 and a ret is done, sending the program to the address
found in 0x129c04.
We need the stackpointer 0x129c04 to be in a dataspace we are in control
of. Seems like we are lucky! The url string is stored from 0x1298d8 to
0x129cd8, thus it seems like we can control the eip. And in fact we can.
Simply check the eip of the error log. It displays eip=0x32253132, that is
hex for „2%12”. Seems like the stack pointer is located somewhere in our
url string containing „…%21%21%21%21…”. (Remember that memory
addresses are retrieved backwards!)
So how do we exploit this thing? Well normal buffer overflow exploit is to
return to anywhere in memory where we can find JMP ESP (opcode 0xFFE4) in
order to get back to the string that caused the buffer overflow. This
method is used because normal buffer overflows are only limited to the
fact that they can’t insert 0x00 in the return adress because of string
operations.
The problem we face is we can only use characters a-z, A-Z, 0-9, „.”,
because all others will be escaped to %HEX. That means the addresses
containing the JMP ESP instruction we need to find are a bit limited (but
of course in most cases not impossible to find as we only need one
location). Since the versions of the system .dll files Winamp import at
launch is OS and system dependent, it really depends on the system if we
are able to find an available address containing the JMP ESP assembler
instruction.
Once we control the eip we have to do something useful. Since we still are
limited in what kind of opcodes we can construct, it’s better to try to
get somewhere in memory where our url is not escaped (ex. ! to %21). When
debugging we notice the register ecx is 0x12bd00 and points to a copy of
our url partly unescaped. So if we somehow can increase the ecx and change
the memory to do JMP ECX we are on a address where we can create any
opcode we want. This can be done with opcodes like:
0x66335142 („f3QB”) XOR DX,[ECX+0x42]
0x4A („J”) DEC EDX
0x665A („fZ”) POP DX
0x6652 („fR”) PUSH DX
It’s not an easy task to perform the above and on some OS it has to be
done differently, but still it’s possible.
Disclaimer:
===========
Andreas Sandblad is not responsible for the misuse of the
information provided in this advisory. The opinions expressed
are my own and not of any company. In no event shall the author
be liable for any damages whatsoever arising out of or in
connection with the use or spread of this advisory. Any use of
the information is at the user’s own risk.
Feedback:
=========
Please send suggestions and comments to:
sandblad@acc.umu.se
Andreas Sandblad,
student in Engineering Physics at the University of Umea, Sweden.
W pierwszym kwartale 2001 i bieżącego roku, zanotowano 830 milionów alarmów i 2185 przypadków naruszenia bezpieczeństwa sieci teleinformatycznych na świecie – wynika z raportu opracowanego przez firmę Internet Security Systems (ISS).
Jak się okazuje, najwięcej ataków prowadzonych jest z terytorium USA, Chin i krajów europejskich – wiadomo to już dzięki przeprowadzonemu raportowi przez firmę Predictive Systems. Ogólny poziom zagrożenia oceniono jako wysoki, a prognozy na rok bieżący wskazują, że ryzyko to będzie rosnąć. Na wzrost zagrożenia cyberterroryzmem wpływa:
– pojawienie się hybryd,
– zaawansowanych programów atakujących sieci teleinformatyczne
– niski poziom świadomości w zakresie zabezpieczeń systemów IT.
Nową grupą szczególnie narażoną na ataki są dostawcy usług internetowych oraz małe i średnie przedsiębiorstwa. Badania przeprowadzono na podstawie monitoringu 350 systemów wykrywania intruzów RealSecure oraz 400 zapór ogniowych zarządzanych przez ISS Managed Security Services, a zainstalowanych w sieciach komputerowych największych przedsiębiorstw i organizacji rządowych na całym świecie.
Poziom zagrożeń spowodowanych atakami wirusów lub zablokowaniem usług DoS (Denial of Service) pozostaje na stałym poziomie. Największe niebezpieczeństwo obecnie wiąże się z rozprzestrzenianiem się hybryd będących kombinacją wirusów i różnorodnych automatycznych skryptów atakujących. Innym typem nowych działań cyberterrorystów jest automatyczne sondowanie możliwości dokonania ataku. Najbardziej znane hybrydy roku 2001 to Code Red, działający w lipcu i sierpniu, oraz Code Blue i Nimda z września. Z danych firmy ISS wynika, że najniższy poziom ataków dokonywanych przez Nimdę wynosił 600 na godzinę, najwyższy – ponad 8000 na godzinę, ze średnią około 3500. Hybrydy same się instalują i rozsyłają, z dużą łatwością oszukując oprogramowanie antywirusowe i zapory ogniowe, które wciąż pozostają kluczowym elementem pierwszej linii obrony. Z danych firmy ISS wynika, że około 70 procent całego ruchu będącego efektem działań cyberterrorystów, przechodzi przez port 80, który zwykle (w zaporach ogniowych) pozostaje otwarty, ponieważ większość działań biznesowych odbywa się poprzez protokół WWW (HTTP). Na ataki hybryd narażone są również wirtualne sieci prywatne (VPN).
Użytkownicy domowi, małe i średnie firmy oraz operatorzy Internetu (ISP) – to obecnie główne grupy szczególnie narażone na ataki cyberterrorystów. Powszechny dostęp do Internetu spowodował pojawienie się grupy użytkowników sieci nie dysponujących odpowiednią wiedzą i nie umiejących poprawnie administrować oraz zabezpieczać swoich komputerów. Przez komputery domowe i notebooki hybrydy przenikają do sieci korporacyjnych, wykorzystując komputery osobiste jako swoiste „stacje przesiadkowe”. Przykładem może być atak zanotowany przez firmę ISS na przełomie grudnia i stycznia – prawdopodobnie jako wynik podłączenia do Internetu komputerów zakupionych na Gwiazdkę, wyposażonych w nieaktualne oprogramowanie antywirusowe.
Z badań wynika także, że większość firm nie posiada kadry i zasobów pozwalających na wprowadzenie standardów rutynowego skanowania (analizowania podatności na włamanie) i naprawy swoich systemów. Aby skutecznie zapobiegać atakom ze strony hybryd chronione muszą być wszystkie poziomy infrastruktury IT – sieci, serwery, komputery, bramki i aplikacje. Na każdym z tych poziomów należy identyfikować i likwidować słabe punkty. Standardem zabezpieczającym przed ich destrukcyjną działalnością powinno stać się stosowanie dynamicznej, proaktywnej obrony będącej kombinacją zabezpieczeń antywirusowych, zapór ogniowych i detekcji włamań wraz z restrykcyjną polityką i procedurami regularnego aktualizowania oprogramowania i aplikowania programów korygujących.
W pierwszym kwartale bieżącego roku firma ISS zidentyfikowała 112 nowych wirusów i wykryła 537 istotnych słabych punktów, luk w systemach IT przez które może nastąpić włamanie. Według programu ISS AlertCon – systemu oceny poziomu bezpieczeństwa w Internecie prowadzonego przez firmę ISS – niezabezpieczone w żaden sposób urządzenie zostanie zaatakowane w czasie krótszym niż jeden dzień od podłączenia do Internetu.
Caldera Volution Managera to ogłoszony przez firmę Caldera International Inc. nowy plan rozwoju, który uwzględnia obsługę platform najczęściej spotykanych w środowiskach sieci heterogenicznych małych i średnich firm oraz oddziałów dużych korporacji.
Volution Manager jest bezpiecznym, internetowym rozwiązaniem do zarządzania systemami, a jego rozszerzona wersja obejmuje zarządzanie następującymi platformami: Windows, AIX, HP-UX, Solaris, IBM eServer zSeries, terminale sprzedaży oraz urządzenia bezprzewodowe i przenośne.
Już na czerwiec planowane będzie udostępnienie w sieci pierwszych, jeszcze wczesnych wersji programu Volution Managera obsługującego systemy Solaris i IBM e-serwer. Wersja obsługujące Windows dostępne będą jesienią tego roku.
Jakie daje możliwości rozszerzenie platformy obsługiwanej przez Volution Managera? Przede wszystkim oznacza dla administratora systemu IT w przedsiębiorstwie ułatwienie rozsyłania oprogramowania i pozwala je łatwo zdalnie aktualizować w wielu miejscach oraz na wielu platformach. Dla partnerów Caldery, czyli sprzedawców oprogramowania i rozwiązań IT poszerzenie platformy daje bardzo oczekiwaną przez nich obsługę Windows, pozwala na zarządzanie środowiskami klientów i pozwala rozszerzyć zakres świadczonych usług. Dla klientów zarządzających punktami sprzedaży, urządzeniami bezprzewodowymi i przenośnymi, Volution Manager stanowi narzędzie, które pozwala rozesłać oprogramowanie do tysięcy urządzeń pracujących w oddalonych od siebie miejscach, pomagając w szybkim ujednoliceniu systemu.
„Decyzja Caldery, by wyjść z obsługą Volution Managera poza systemy Linux i Caldera UNIX w stronę środowisk heterogenicznych wypłynęła z próśb naszych klientów. Docenili oni Volution Managera i chcą go używać do zarządzania wszystkimi systemami i aplikacjami jakie mają w swoich sieciach” – powiedział Drew Spencer, dyrektor ds. technicznych w Caldera International.
„Wkrótce Volution Manager stanie się synonimem wysyłania aktualizacji do tysięcy terminali sprzedaży lub zarządzania wielostanowiskową i wieloplatformową siecią”.
„Jako dostawcy rozwiązań stanęliśmy przed narastającym problemem pomocy naszym klientom w zarządzaniu różnymi platformami sprzętowymi i systemowymi” – powiedział Deepak Thadani, prezes SysIntegrators LLC.
„Nasi klienci potrzebują dokładnie takiego rozwiązania, jakie tworzy Caldera. Przez włączenie do obsługi Volution Managera systemu Windows i największych platform uniksowych oraz urządzeń przenośnych i bezprzewodowych, Caldera zapewnia niezwykle potrzebne rozwiązanie do stabilnego i prostego zarządzania IT oraz zapewnienia bezpieczeństwa”.