Aktualności

Specjaliści z Alliance Security Labs znaleźli w SecureIIS błędy, które wystawiają użytkowników na zagrożenia, przed którymi program ten miał ich chronić.

Błędy ma wersja 1.0.4 oraz wcześniejsze. Ironią losu jest, że dotyczą one zabezpieczeń, które reklamowane są przez firmę eEye jako główne atuty produktu. Oto niektóre nieprawidłowości:

1. Sprawdzanie słów kluczowych.
SecureIIS nie sprawdza zakodowanych znaków w żądaniach. Tak więc słowo „ADMIN” zostanie wykryte, ale „%41DMIN” już nie. Część główna (body) posta nie jest sprawdzana wogóle. Przykład:

GET /whatever.script?user=%41DMIN HTTP/1.0

oraz:

POST /whatever.script HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Lenght: 10
user=ADMIN

2. Ochrona zasobów przed nieautoryzowanym dostępem.
Podobnie jak w p.1, związane to jest z brakiem kontroli nad zakodowanymi ciągami znaków. Wystarczy więc zakodować kropkę jako %2e lub slash jako %2f, aby pozwolić niepowołanym osobom na swobodny dostęp do wszystkich plików. Przykładowo, następujące żądanie nie zostanie odrzucone przez SecureIIS:

GET /whatever.script?file=/%2e%2e/%2e%2e/boot.ini HTTP/1.0

oraz:

POST /whatever.script HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 20
page=/../../boot.ini

3. Przepełnienie bufora (nagłówki HTTP).
Pomimo ustawionego „Host protection” (z domyślnym limitem 256b), wysłanie więcej niż 256b w nagłówku hosta przechodzi przez SecureIIS i nie jest odrzucone:

GET / HTTP/1.0
Host: [500 x losowe znaki a-z ]

4. Przepełnienie bufora (SecureIIS).
Jeśli żądanie jest duże (kilkanaście tysięcy znaków), może się zdażyć, że atakujący pozna treść żądań poprzednich użytkowników, sposób wewnętrznej konfiguracji strony lub inne poufne dane.

Stwarza to dla witryny WWW poważne zagrożenie bezpieczeństwa, jakkolwiek incydenty z p.4 występowały losowo i były trudne do powtórzenia. (czyli zdarzyć się może wszystko :))

Osoby zainteresowane zgłaszać się powinny do firmy.

Microsoft ostrzega użytkowników przeglądarki Internet Explorer, że dzięki dwóm nowo odkrytym błędom, hackerzy mogą podszywać się pod renomowane witryny internetowe.

Najpoważniejszy z nich związany jest z CRL (internetowymi certyfikatami bezpieczeństwa). Jeśli opcja ta jest włączona, atakujący może uniemożliwić przeglądarce weryfikację ważności certyfikatu, zgodności nazwy na serwerze z nazwą w dokumencie oraz stwierdzenia czy dana witryna jest godna zaufania czy nie.

Druga „dziura” umożliwia atakującemu wyświetlenie na pasku adresu fałszywego, niezgodnego z rzeczywistością adresu URL. Może to doprowadzić do przekazania w niepowołane ręce poufnych danych, lub uruchomienia plików i poleceń, które w innej sytuacji byłyby uznane za niebezpieczne.

Microsoft ostrzega, że zagrożenie występuje nawet w czasie sesji z wykorzystaniem SSL.

Poprawka dostępna pod adresem

O atak na strone stanu Waszyngton www.leg.wa.gov podejrzewa się Chińskich hackerów. Strona została zdefasonowana poprzez zamieszczenie na niej tekstów w języku chińskim. Atak został szybko wykryty i skutki szybko usunięte. W wyniku włamania nie odnotowano uszkodzeń czy utraty danych.

Oracle wypuściło oprogramowanie Data Guard przeznaczone do utrzymywania kopii baz danych w wypadku uszkodzenia systemu. Data Guard zapewnia stały i nieprzerwany dostęp do danych nawet w krytycznych warunkach. Działa pod kontrolą Oracle 8i. Wersja 9i stosować będzie podobną technologię.

Firmy te podpisały akt założycielski nowej spółki informatycznej Incentii SA. Firma będzię się zajmować modnym ostatnio zagadnieniem dystrybucji oprogramowania przez sieć. Kapitał zakładowy wynosi 5 milionów złotych. TPSA obejmuje 2,55 miliona stanowiących 51% kapitału zakładowego.

ARIS (Attack Registry Intelligence Service), to nowy serwis uruchomiony przez SecurityFocus, służący do zbierania informacji o naruszeniach bezpieczeństwa z całego świata.

Informacje zbierane przez system IDS wszystkich uczestników należących do projektu ARIS, jest głównym „motorem napędowym” ARISa, a dzięki odpowiedniemu programowi – ARIS extractor, produkowane logi są konwertowane na wspólny, zrozumiały format z pominięciem informacji mogących naruszać naszą prywatność po czym wysyłane są do centralnego serwera.

Dzięki tym wszystkim informacją które zostaną zebrane, ARIS posiada bogate i uaktualniane na bieżąco informacje z wielu, rozsianych po całym świecie systemów wykrywania włamań. Pozwala to na tworzenie dostępnych praktycznie w czasie rzeczywistym statystyk dotyczących częstotliwości ataków w różnych regionach, a także określanie które z nich są w danym momencie najpopularniejsze.

Wszystkie zebrane informacje są poddawane obróbce i udostępniane administratorowi. Same dane można analizować pod różnym kątem. Dla przykładu można przeanalizować pochodzenie oraz częstotliwość wykrytych ataków i to nie tylko w odniesieniu do naszej sieci, bo ARIS potrafi również korelować nasze dane z informacjami zgłoszonymi anonimowo przez innych uczestników, ale także dzięki temu można na przykład wykryć w zarodku rozproszony skan, pochodzący z jednego źródła i skierowany przeciwko wielu serwerom w danym regionie.

Strona domowa projektu: ARIS
Strona rejestracyjna ARIS: ARIS register

Wyniki badań przeprowadzonych przez International Data Corporation – (ISP) wykazują iż Linux zaczyna się coraz bardziej liczyć jako system pod kątem serwera. Odnotowano 24% wzrost sprzedaży tego systemu. Równie dobre wyniki uzyskał Windows NT i 2000 gdzie wzrost sprzedaży wynosił 20%.

Oznacza to że systemy Microsoftu opanowały 40% serwerowego rynku. Z kolei Novell zanotował spadek sprzedaży swojego Netware o 3%.

Podział rynku wygląda następująco:

1. Windows NT/2000 – 41%
2. Linux – 27%
3. Novell Netware – 17%
4. UNIX – 13%
5. Pozostałe – 2%

Intel wprowadza układy optyczne dające możliwość budowy systemów transmisji ATM, POS, Ethernet. Układy te pozwalają na tworzenie połączeń światłodowych wykorzystujących technologię FEC – naprawiającej błędy transmiji długodystansowych. Wszystkie nowe produkty Intela obsługują tryb 10 GB/s.