2006

W tym miesiącu Microsoft opublikował trzy biuletyny bezpieczeństwa. Dwa z nich odnoszą się do luk krytycznych, a jeden do średnio poważnej.

Najpoważniejsza, nowa luka dotyczy serwera Microsoft Exchange 2000 oraz 2003 i pozwala na wykonanie dowolnego kodu w systemie a w konsekwencji na przejęcie nad nim całkowitej kontroli. Do jej wykorzystania atakujący może wykorzystać odpowiednio spreparowaną wiadomość w formacjie vCard lub iCard.

Drugi biuletyn dotyczy znanej od marca poważnej luki w Adobe Flash Player (CVE-2006-0024). Opublikowana łata pozwala na zabezpieczenie przed wykorzystaniem luki poprzez wtyczkę w przeglądarce MSIE. Należy przy tym zauważyć, że od marca dostępna jest także nowa wersja samego Flash Playera, która pozbawiona jest luki i niezależnie od instalacji łaty Microsoft zalecana jest jej aktualizacja.

Ostatni biuletyn powinien zainteresować użytkowników systemu zarządzania zadaniami rozproszonymi Microsoft Distributed Transaction Coordinator (MSDTC). Wykryte w nim luki pozwalają na zablokowanie działania usługi przez wysłanie odpowiednio spreparowanych pakietów.

Microsoft: MS Security Bulletin Summary for May, 2006

Źródło informacji: CERT Polska

Jak podaje serwis The Register, uzbrojeni w laptopa złodzieje potrzebują tylko 20 minut, aby ominąć zabezpieczenia nowoczesnych zamków samochodowych, które zamiast tradycyjnych kluczy wymagają specjalnej karty magnetycznej.

Systemy te nie posiadają zazwyczaj dodatkowego, mechanicznego zabezpieczenia, dzięki czemu są bardziej narażone na atak doświadczonych hackerów.

Zdaniem Tima Harta ze stowarzyszenia Auto Locksmith Association, trudno jest ukraść samochód, który zabezpieczony został wieloma systemami bezpieczeństwa. Hurt dodaje jednak, że nie jest to niemożliwe, gdyż zawsze można znaleźć jakieś słabsze strony.

Na stronie leftlanenews.com umieszczono opis zuchwałej kradzieży dwóch aut BMW X5 SUV, które należały do znanego piłkarza Davida Beckhama.

Złodzieje wykorzystali specjalny program, który umożliwił im dostanie się do środka, a następnie uruchomienie silnika. Wykorzystali radiowy system komunikacji, z którego korzystaja poszczególne komponenty samochodu.

Źródło: The Register

Znaleziono lukę w sposobie rozpakowywania przez oprogramowanie antywirusowe Sophos plików CAB (Microsoft Cabinet).

Luka umożliwia zdalne wykonanie kodu przez atakującego, poprzez odpowiednie spreparowanie nagłówka CAB, doprowadzając do nadpisania pamięci sterty. Podatne na atak są instalacje Sophos Anti-Virus na wielu platformach, nie tylko Windows. Aby atak się powiódł oprogramowanie musi mieć włączone sprawdzanie plików CAB.

Sophos udostępnił łaty na wszystkie podatne wersje oprogramowania.

Więcej informacji (wraz z pełną listą podatnego oprogramowania oraz łat) można uzyskać tutaj.

Źródło informacji: CERT Polska

Wytwórnia filmowa Warner Bros zamierza sprzedawać filmy również drogą elektroniczną, wykorzystując w tym celu sieć peer-to-peer firmy BitTorrent.

W ofercie pojawi się ok. 200 tytułów, zabezpieczonych technologią DRM, dzięki której pobrane filmy będzie można oglądać tylko na danym komputerze.

Z inicjatywą takiej formy walki z piractwem wyszła firma BitTorrent, która uzyskała licencję na sprzedaż filmów w internecie. Kierownictwo spółki przyznało, że prowadzi już rozmowy z innymi wytwórniami.

W listopadzie 2005 roku, firma podpisała ugodę z organizacją US Motion Picture Ass. of America (MPAA), na mocy której linki do pirackich wersji filmów zostały usunięte z wyszukiwarki BitTorrent.

Źródło: The Register

Zespół naukowców z Uniwersytetu w Toronto stworzył nowe oprogramowanie o nazwie Psiphon, umożliwiające dyskretne ominięcie systemów cenzurujących internet.

Nowa aplikacja znajdzie zastosowanie przede wszystkim w krajach ograniczających swobodę dostępu do informacji, w których użytkownicy zostali pozbawieni możliwiości przeglądania zagranicznych portali.

Oprogramowanie Psiphon pozwala obywatelom represyjnych reżimów łączyć się ze światem zewnętrznym, za pomocą komputerów w innych państwach, które pełnią funkcję serwerów proxy. Dzięki temu ryzyko identyfikacji użytkownika jest minimalne.

Jak wyjaśniają pomysłodawcy projektu, właściciel udostępnianego komputera musi jedynie założyć konto dla użytkownika „zza żelaznej kurtyny” i przesłać do niego login wraz z hasłem. Zablokowanie takiego połączenia będzie dla sieciowych cenzorów utrudnione, ze względu na brak informacji na temat adresu proxy danego komputera, który będzie znany tylko użytkownikowi oraz właścicielowi „pożyczanego” systemu.

Główną zaletą aplikacji Psiphon jest możliwość anonimowego korzystania z jej usług, ponieważ nie jest wymagana instalacja żadnego oprogramowania na zdalnym komputerze. Dzięki temu trudno będzie udowodnić użytkownikowi ewentualną „winę”, przeszukując zasoby jego dysku twardego.

Psiphon korzysta ponadto z portu 443, który przeważnie wykorzystywany jest do wymiany danych finansowych i rzadko kiedy bywa zablokowany.

Źródło: Vnunet

Firma Apple Computers przedłużyła umowę na sprzedaż muzyki w sieci z czterema największymi wytwórniami muzycznymi: Universal, Warner Music, EMI oraz Sony BMG.

Sprzedaż muzyki przez internet nie przynosi wytwórniom zbyt dużych dochodów, mimo że stale wzrasta. Stanowi ona zaledwie 5% przychodu największych koncernów muzycznych.

Apple będzie sprzedawać każdy utwór za pośrednictwem oprogramowania iTunes. Za pobranie jednej piosenki brytyjscy oraz amerykańscy internauci będą musieli zapłacić odpowiednio 79 pensów lub 99 centów.

Koncerny muzyczne przez wiele miesięcy walczyły o wprowadzenie zmian w dotychczasowej polityce cenowej cyfrowej sprzedaży. Warner, EMI i Sony chciały podwyższyć stawki dla nowości i obniżyć ceny „starszych” utworów. Ostatecznie jednak ustalone zostały sztywne ramy cenowe za dany utwór.

Producent oprogramowania iTunes posiada 80% udziałów w rynku i jest jak dotąd najważniejszym graczem w segmencie muzyki on-line. Sukces tego oprogramowania zasadniczo wpłynął na bardzo dobre wyniki sprzedaży przenośnych odtwarzaczy iPod, produkowanych przez koncern Apple.

Źródło: The Register

ISSA Polska, stowarzyszenie non-profit zajmujące się ochroną systemów informacyjnych, zaprasza na seminarium pt. „Światowe trendy w ochronie prywatności”.

Agenda:

Józef Sulwiński – E&Y – Światowe trendy w ochronie prywatności

Tematyka ochrony prywatności, jest w Polsce obecna od niedawna, jednak w innych krajach ma znacznie dłuższą historię. Podczas prezentacji przedstawione zostaną światowe trendy w zakresie ochrony prywatności poparte przykładami zarówno obecnych, jak i przeszłych spraw sądowych. Przedstawiona zostanie analiza sytuacji prawnej w Polsce oraz w innych krajach, wskazane też zostaną główne zagrożenia dla organizacji związane z tematyką ochrony prywatności.

Józef pracuje w firmie Ernst & Young jako doświadczony konsultant w dziale Zarządzania Ryzykiem Informatycznym (Technology & Security Risk Services) w Warszawie. Swoje doświadczenie zawodowe oraz bogatą wiedzę z zakresu bezpieczeństwa systemów informatycznych zdobył pracując dla banku oraz niezależnego operatora telekomunikacyjnego na stanowisku Kierownika Bezpieczeństwa. Jest absolwentem Uniwersytetu Śląskiego w Katowicach. Józef posiada tytuł CISA (Certified Information System Auditor), CFE (Certified Fraud Examiner), CISSP (Certified Information Systems Security Professional). Uzyskał certyfikat ITIL Foundation. Ukończył także kursy obejmujące tematykę organizacji i zarządzania zespołami odpowiedzialnymi za detekcję i reakcję na nadużycia związane z systemami informatycznymi organizowane przez Carnegie Mellon Software Engineering Institute w USA oraz jako jeden z nielicznych w świecie uzyskał tytuł CERT(r) Certified Computer Security Incident Handler.

Seminarium odbędzie się 17 maja br. o godzinie 17.30 w siedzibie Telekomunikacji Polskiej SA w Warszawie przy ul. Twardej 18, w sali 3.39.

Udział w seminarium jest bezpłatny, jednak wymaga wcześniejszego zgłoszenia pod adresem: info@issa.org.pl.

Służby skarbowe ścigają osoby i firmy, które handlują w Internecie i nie płacą podatków. Inspektorzy kontrolują nie tylko aukcje, ale i przedsiębiorstwa, które przyjmują zamówienia w sieci.

Ministerstwo Finansów potwierdza, że prowadzi kontrole e-handlu od lipca 2005 r. W tę ogólnopolską akcję zostały zaangażowane wszystkie urzędy kontroli skarbowej oraz urzędy skarbowe. Tylko przez pierwsze pół roku przeprowadzono łącznie 160 kontroli, a stwierdzone uszczuplenia, łącznie z sankcją karną, przekroczyły 978 tys. zł.

Na aukcjach się nie kończy

Służby skarbowe nie chcą ujawnić szczegółów swoich działań. Udało się nam jednak ustalić, iż nie ograniczają się do monitorowania aukcji internetowych. Nieoficjalnie nam wiadomo, że inspektorzy śledzą również strony internetowe firm, które w sieci przyjmują zamówienia na oferowane przez siebie towary. W ten sposób sprawdzają, czy przedsiębiorcy wywiązują się z obowiązku płacenia podatków, i nie chodzi bynajmniej tylko o VAT.

Niestety nie wiadomo, według jakiego klucza kontroluje się firmy.

– Urząd Kontroli Skarbowej w Warszawie w ramach zadań ustawowych obejmuje kontrolą również firmy oraz osoby prowadzące działalność polegającą na handlu za pośrednictwem Internetu. Na bieżąco monitoruje wybrane podmioty, które przeprowadzają znaczną liczbę transakcji w tej formie. Jeśli istnieje podejrzenie, że podatnik nie zgłosił prowadzenia takiej działalności lub unika opodatkowania, wszczynamy wobec niego postępowanie – podkreśla Alicja Jurkowska, rzecznik prasowy urzędu. I dodaje: – Szczegółów dotyczących sposobów typowania do kontroli firm lub osób nie możemy ujawnić. Korzystamy z wszelkich ogólnie dostępnych środków umożliwiających zbieranie danych, tj. przeszukiwarek internetowych, informacji od uczestników transakcji.

Od początku akcji, czyli od 1 lipca 2005 r., służby skarbowe ujawniły w sumie 32 podmioty, które handlowały w sieci, nie płacąc podatków.

Część kontroli, jak twierdzi Ministerstwo Finansów, stanowią tzw. kontrole zlecone. Urzędy skarbowe oraz urzędy kontroli skarbowej przeprowadziły ich w sumie 43.

Handlarze pod lupą

Urzędy skarbowe z terenu województwa łódzkiego śledzą wszystkie internetowe portale aukcyjne, na których są zawierane umowy kupna-sprzedaży. Kontroli podlegają więc Allegro, Aukcje24, Swistak, eBay, a także Buysell i Aukcje Internetowe.

Z informacji Izby Skarbowej w Łodzi wynika, że od 2004 r. lokalny program miał uświadomić obywatelom, iż odpłatne zbycie towarów, nawet jeżeli nie jest działalnością gospodarczą, może rodzić obowiązek zapłaty podatku dochodowego, VAT lub podatku od czynności cywilnoprawnych. Izba zobligowała więc podległe sobie urzędy skarbowe do monitorowania aktywności sprzedających towary na aukcjach internetowych, „a w przypadkach świadczących, iż zajęcie stanowi stałe źródło przychodów – do pozyskiwania i gromadzenia informacji o uczestnikach oraz przedmiotach transakcji”.

Co ważne, kontrole trwają również w 2006 r. W pierwszym kwartale urzędy przeprowadziły łącznie 80 kontroli i czynności sprawdzających. Średnie stwierdzone uszczuplenie wyniosło 1800 zł.

Dla porównania dodajmy, że w 2005 r. urzędy skarbowe województwa łódzkiego przeprowadziły ogółem 371 takich kontroli, a ujawnione wtedy uszczuplenia podatkowe wyniosły w sumie 407 tys. zł.

Przedmiotem transakcji zawieranych przez Internet są części i akcesoria komputerowe, elektronika użytkowa (telefony komórkowe, tunery tv sat. oraz sprzęt audio-wideo), galanteria skórzana, tekstylia i artykuły perfumeryjne.

Najczęstsze błędy

Do najczęściej ujawnianych nieprawidłowości należą:

– zaniżanie przychodów poprzez niewykazywanie sprzedaży dokonywanej za pośrednictwem portali aukcyjnych przez podatników prowadzących działalność gospodarczą,

– brak zgłoszenia prowadzenia działalności gospodarczej w zakresie sprzedaży towarów przez Internet,

– brak udokumentowania zawieranych umów sprzedaży przedmiotów o wartości powyżej tysiąca złotych oraz dopełnienia obowiązku uiszczenia podatku od czynności cywilnoprawnych.

Źródło: Rzeczpospolita

Studenci z Koła Naukowego KERNEL zapraszają na kolejny wykład w ramach cyklu „Linux — U mnie działa!”. Już w czwartek, 11 maja, na krakowskiej Akademii Górniczo-Hutniczej poruszone zostaną tematy podziału przepustowości w niewielkich (do 1000 użytkowników) sieciach komputerowych.

Prelegent, Konrad ‚stellars’ Jeleń omówi i zademonstruje zestaw kolejek shape-ujących z użyciem najpopularniejszego obecnie protokołu HTB oraz odpowiadający mu zestaw filtrów. Pokrótce, przedstawione zostaną także alternatywne rozwiązania.

Spotkanie odbędzie się na wydziale Fizyki i Informatyki Stosowanej AGH w czwartek, 11 maja o godzinie 18:15 w sali A pawilonu D10.

Wstęp, jak zwykle, wolny.

Standardowo, po wykładzie rozlosowane zostaną drobne upominki. Aby wziąć udział w losowaniu należy się uprzednio zarejestrować na stronie wykładów LUMD.

Miliony osób korzystających z tanich czy wręcz darmowych połączeń telefonicznych przez internet to coraz większy kłopot nie tylko dla tradycyjnych operatorów, jak nasza TP SA, ale i licznych władz państwowych.

Rozmowy przez internet (określane też jako VoIP) przestały być tylko niszą dla osób oszczędzających na drogich połączeniach, zwłaszcza międzynarodowych. Kiedy dwaj skandynawscy informatycy – Niklas Zennstrom i Janus Friis – stworzyli przed trzema laty program Skype, nie spodziewali się, że będą mogli właśnie ogłosić pozyskanie stumilionowego użytkownika.

Klienci firmy mogą rozmawiać ze sobą za darmo za pomocą komputerów (potrzebne są jeszcze słuchawki i mikrofon), zaś płacą grosze za połączenia z abonentami tradycyjnych sieci telefonicznych (np. SMS-em czy kartą kredytową). Mogą też uzyskać własny numer i odbierać połączenia w dowolnym miejscu z dostępem do sieci. Oferujących podobne usługi spółek jest już mnóstwo, od amerykańskich Yahoo czy AOL po polskie Tlenofon czy Halonet. Co ciekawe, największym rynkiem dla Skype – obok USA i Chin – jest… Polska.

Dla wielkich wypasionych telekomów pokroju TP SA przyszłość maluje się tym bardziej w ciemnych barwach, że internetowi drapieżcy wprowadzają już telefony z odpowiednimi przystawkami, co eliminuje konieczność korzystania z komputera i powiększa rynek odbiorców. Na ich celowniku znajduje się także telefonia komórkowa.

Zachwyt inwestorów tym młodym biznesem jest tak wielki, że w ubiegłym tygodniu największy dostawca połączeń przez internet w USA – spółka Vonage – mógł ogłosić dwukrotne zwiększenie publicznej oferty swych akcji i zaproponować cenę, która określa wartość firmy na 2,6 mld dol. (zbliżoną do Skype, którego w ubiegłym roku kupił aukcyjny gigant eBay). To, że wspomniany Vonage przynosi straty równe przychodom, nikogo nie zniechęca. W końcu inwestorzy kupują przyszłość.

Ich zachwytu nie podzielają jednak władze USA, które również myślą o przyszłości. Ale z troską. Obawiają się, by ten rodzaj łączności nie stał się „bezpieczną przystanią dla kryminalistów i terrorystów”. Kiedy w środę Federalna Komisja Łączności (FCC) uznała, że przepisy z lat 90., które nakazują operatorom komórek umożliwianie policji i FBI zakładania podsłuchów, powinny obowiązywać (od maja 2007 r.) także w przypadku rozmów przez internet, rozpętała się burza. Obrońcy praw obywatelskich i przedstawiciele spółek internetowych protestowali, twierdząc, że obarczenie ich przepisami z „poprzedniej epoki telekomunikacyjnej” jest niezgodne z konstytucją. W obronie nowych przepisów stanął zaś prezydent George W. Bush.

Na Starym Kontynencie rządy mają inne zmartwienie. Niektórym ministrom finansów krajów UE nie podoba się, że firmy umożliwiające rozmowy przez internet działają z krajów z najniższym podatkiem VAT, np. Skype usadowił się Luksemburgu. W piątek szefowie resortów finansów spotkali się w Brukseli i zastanawiali się nad zmianami podatkowymi. Większość chciałaby, by takim firmom naliczać VAT według stawek obowiązujących w krajach, do których dostarczają usługę, a nie według stawek w krajach, z których ona pochodzi. To skomplikowanie życia dla firm internetowych i przez to ulga dla tradycyjnych telekomów, które zapewne w takich działaniach maczają palce.

To i tak walka w białych rękawiczkach. Niektóre kraje, np. Chiny, odmawiają wydawania licencji, a narodowi operatorzy instalują oprogramowanie, które ma blokować rozmowy przez internet. Szkoda czasu i wysiłku. Prędzej czy później takie działania okażą się równie skuteczne co łapanie cieknącej wody durszlakiem.

Źródło: Gazeta.pl