2006

Firma analityczna Gartner podała, że Windows Vista wyjdzie z kilkumiesięcznym opóźnieniem.

Twierdzi, że nie powinnismy się spodziewać Visty wcześniej niż przed drugim kwartałem przyszłego roku. Nowy system Microsoftu miał trafić do sprzedaży w styczniu 2007 roku.

Opóźnienie ma być spowodowane problemami z kompatybilnością między Vistą a starymi wersjami systemu jak i tym, że Microsoft zdał sobie sprawe że i tak nie zdąży przed okresem świątecznym.

Microsoft jednak zaprzecza tym informacjom i obiecuje, że premiera tym razem już się nie opóźni. Prace nad Windows Vista Beta 2 przebiegają zgodnie z planem i ostateczna wersja wyjdzie w zapowiedzianym terminie.

Źródło: CHIP

Zapraszamy do udziału szkoleniu, które poprowadzi Krzysztof Młynarski, ekspert d.s bezpieczeństwa IT, współtworzący wraz z CPI renomowany cykl konferencji nt. bezpieczeństwa sieciowego.

W zapewnieniu bezpieczeństwa IT najważniejszą rolę ogrywa „czynnik ludzki” czyli świadomość użytkowników nt. zasad zachowania bezpieczeństwa. Podczas warsztatów zdobędą Państwo wiedzę na temat rodzajów zabezpieczeń systemów IT. W spotkaniu, które odbędzie się 17 maja udział weźmie do 25 osób i w całości będzie ono prowadzone w formie dialogu miedzy prowadzącymi a uczestnikami.

Więcej informacji

Na Politechnice Wrocławskiej, w dniu 10 maja (sala 322, budynek A-1) o godz. 17.00 odbędzie sie wykład/seminarium pt. „Kleptografia – czyli przestępstwo doskonałe w Internecie”.

Prelegenci: prof. dr hab. Mirosław Kutyłowski, dr Przemysław Kubiak, Filip Zagórski z Instytutu Matematyki i Informatyki PWr, oraz studenci – Zbigniew Gołębiewski i Stanislaw Klekot.

Na wykładzie zostaną poktrótce zaprezentowane kleptograficzne luki w protokołach wyborów elektronicznych, protokołów aukcyjnych, SSL/TLS, SSH, IPSec.

Wykład będzie prowadzony na poziomie elementarnym, jednakże dobrze by było, gdyby słuchacze byli zaznajomieni z takimi terminami jak ElGamal, RSA oraz Diffie-Hellman protocol.

Więcej o samym wykładzie dowiesz się tutaj.

Wystąpienie dotyczące ataku na protokoły SSL/TLS i SSH odbędzie się także 13 maja w Krakowie podczas konferencji CONFidence 2006.
Co to jest kleptografia?

Kleptografia to sposób wykradzenia informacji (najczęściej kluczy) w sposób bezpieczny (dla atakującego) z wykorzystaniem kanału podprogowego. Kleptografia jest naturalnym rozszerzeniem zagadnienia kanałów podprogowych.
Źródło: kleptografia.im.pwr.wroc.pl, Informacja prasowa
Kleptografia
Kleptografia – wykład
CONFidence 2006
(Nie)bezpieczna komunikacja w Internecie

Włamania czy oszustwa komputerowe takie jak wyłudzenie poufnych informacji (np. numerów karty kredytowych, haseł czy numerów PIN) mogą dotyczyć każdego z nas.

Powszechny dostęp do sieci globalnej Internet, usługi świadczone za jej pomocą (np. bankowość elektroniczna), słabości i błędy w oprogramowaniu oraz technologiach umożliwiają intruzom popełnianie nadużyć przy użyciu komputerów oraz sieci. Dlatego też przestępstwa komputerowe przeciwko organizacjom jak i osobom prywatnym są coraz powszechniejsze i coraz częściej finał swój mają w sądzie.

Jednak bez względu na fakt czy sprawa trafi do sądu czy nie powinniśmy być przygotowani na wypadek wystąpienia któregoś z typów incydentów. Jak powinniśmy się zachować? Jakie podjąć działania? Jak zabezpieczyć prawidłowo dane? Jak przeanalizować zebranie dane?

Tego wszystkiego dowiemy się na kursie na certyfikowanego inżyniera z dziedziny Computer Forensics. Podczas kursu przedstawionych zostanie wiele przykładów naruszeń bezpieczeństwa oraz omówione zostaną sposoby ich obsługi.

Kurs daje okazję do zapoznania się z aktualnymi zagadnieniami i problemami z dziedziny Computer Forensics, poznania standardów międzynarodowych oraz narzędzi najczęściej stosowanych podczas analizy powłamaniowej.

Na kursie nauczysz się:

Tworzyć skuteczne i zgodne z obowiązującym prawem procedury właściwej reakcji na incydenty w firmie
Przeprowadzać pełen proces analizy powłamaniowej od momentu inicjującej reakcji do utworzenia raportu końcowego
Wykonywać analizy dostępnych danych (np. dyski twarde, pamięć fizyczna) oraz odzyskiwać usunięte bądź ukryte dane
Rekonstruować aktywność użytkowników na podstawie danych z wiadomości email, plików tymczasowych przeglądarek www, dzienników zdarzeń, komunikacji sieciowej oraz meta danych zawartych na dyskach oraz w pamięci komputera
Identyfikować złośliwy kod korzystając z technik Reverse Code Engineering (RCE)
Budowy systemów plików oraz poznasz architekturę systemów operacyjnych
Kurs przeznaczony jest dla:

Administratorów systemów i sieci oraz osób odpowiedzialnych za reakcje na incydenty bezpieczeństwa. W kursie powinni również uczestniczyć audytorzy oraz pracownicy i kierownicy działów IT i bezpieczeństwa.

Więcej informacji można uzyskać pod adresem: http://konferencje.software.com.pl/digital/pl/index.php.

MySQL AB udostępnił nową wersje swojej popularnej bazy danych oznaczoną numerkiem 5.0.21. Aktualizacja związana jest z wykryciem w wersjach 4.0.26, 4.1.18, 5.0.20 i 5.1.9 oraz poprzednich trzech luk w bezpieczeństwie.

FrSIRT ocenił poziom zagrożenia jako „umiarkowany”, pomimo iż błędy mogą zostać wykorzystane zarówno zdalnie jak i lokalnie.

Pierwszy błąd związany jest z przepełnieniem bufora (buffer overflow) w „sql_base.cc”. Wykorzystanie luki umożliwia wykonywanie dowolnych poleceń w podatnym systemie. Druga luka dotyczy błędnych danych wejściowych w „sql_parse.cc”. Trzecia podatność umożliwia odczytanie części pamięci przy pomocy wiadomości informujących o wykrytych błędach.

Więcej informacji można uzyskać pod tym adresem.

Źródło informacji: Infoworld.com

Niedawno informowaliśmy o wykryciu nowej luki w przeglądarce internetowej Mozilla Firefox. Programiści natychmiast zareagowali na wiadomość o podatności ostatniego wydania i udostępnili nową wersje – Mozilla Firefox oznaczoną numerkiem 1.5.0.3. Zalecamy natychmiastową aktualizacje.

Pobierz:

Mozilla Firefox 1.5.0.3

Citibank poprawi zabezpieczenia dostępu do kont klientów przez internet – poinformowała Gazeta Wyborcza. To kolejny duży bank, który wzmacnia zasieki przed wirtualnymi złodziejami.

Konta osobiste klientów Citibanku mają opinię wygodnych w użyciu, ale są nisko oceniane w rankingach bezpieczeństwa. W innych bankach przy logowaniu do serwisu internetowego bądź przy wykonywaniu przelewów na niezdefiniowany wcześniej rachunek trzeba dodatkowo uwierzytelnić się wobec banku, np. podać kod z tokena (miniaturowy generator haseł), zestaw cyferek z przysłanej przez bank karty kodów bądź „okazać” zainstalowany w komputerze specjalny plik pełniący rolę wirtualnego klucza.

W Citibanku autoryzacja ogranicza się do dwóch haseł – wymyślonego przez klienta i przyznanego przez bank. Oba kody są stałe. I oba podaje się w całości (a nie tylko wybrane cyfry). To oznacza, że hacker, który je pozna, ma otwarty dostęp do konta.

W najbliższym czasie Citibank, z którego usług korzysta 800 tys. klientów detalicznych, wzorem większości konkurentów poprawi zabezpieczenia. – Nowy system wprowadzimy w maju – potwierdza rzecznik Citibanku Paweł Zegarłowicz.

Poza dwoma hasłami będą obowiązywały kody jednorazowe. Jednak nie w formie papierowych formularzy wysyłanych klientowi pocztą. – Klient, który będzie chciał wykonać przelew, otrzyma SMS na swój telefon komórkowy – zdradza Zegarłowicz. Nawet jeśli złodziej pozna hasła potrzebne przy logowaniu, to bez SMS-owego hasła nie będzie mógł wykonać żadnej operacji na rachunku.

Citibank nie jest jedynym bankiem, który uszczelnia dostęp do kont przez Internet. W sierpniu ubiegłego roku swój system w podobny sposób uszczelnił BPH. Oprócz SMS-owych haseł bank wprowadził tzw. hasło maskowane. Przy logowaniu klient jest proszony tylko o niektóre, losowo wybrane fragmenty hasła. Nawet jeśli wpadną w niepowołane ręce, nie wystarczą, by włamać się do konta.

O poprawie zabezpieczeń myślą też inni. Największa wirtualna instytucja finansowa – mający milion internetowych klientów mBank – też porzucił niedawno tradycyjne listy haseł jednorazowych na rzecz haseł wysyłanych przez SMS.

Banki tłumaczą wprowadzanie zabezpieczeń poprawą poczucia bezpieczeństwa klientów. Jednak tak naprawdę chodzi o coraz większą liczbę włamań na cudze konta. W porównaniu z przestępstwami „karcianymi” (kradzieże lub kopiowanie kart) włamania na konta stanowią mniejszość, ale zagrożone są wyższe kwoty. Banki nie ujawniają wartości ponoszonych strat. Statystyki policji mówią o kilku milionach złotych rocznie, ale według ekspertów są znacznie zaniżone, bo duża część przestępstw nie jest zgłaszana. Banki wolą po cichu załatwiać reklamacje klientów.

Źródło informacji: Gazeta Wyborcza

Wczoraj w godzinach popołudniowych duża liczba internautów otrzymała
pocztą elektroniczną anonimowe ostrzeżenie, skierowane do użytkowników programu Blue Frog firmy Blue Security (http://www.bluesecurity.com).

Autor ostrzeżenia informował, że w ręce spamerów dostała się lista
adresów użytkowników programu. Groził, że w razie niezaprzestania
używania programu, jego użytkownicy zaczną dostawać znacznie więcej
spamu. Ostrzeżenie zawierało też treści rasistowskie skierowane
przeciwko właścicielom firmy Blue Security i sugestie, że program Blue
Frog (dostępny wraz z kodem źródłowym) może być wykorzystany do
zmasowanych ataków na niewinne osoby oraz że zawiera kod umożliwiający instalację dowolnego oprogramowania na komputerze użytkownika.

Dziś faktycznie odbiorcy ostrzeżenia zaczęli dostawać większą liczbę
spamu, niż dotychczas. Strona Blue Security od wczoraj nie działa, najprawdopodobniej została zaatakowana za pośrednictwem jednego ze spamerskich botnetów (atak DDoS). Spamerzy w desperacki sposób próbują zniechęcić użytkowników Blue Frog, ponieważ oprogramowanie to okazało się wyjątkowo skuteczne w uprzykrzeniu życia firmom sponsorującym wysyłanie spamu. Atakiem tym potwierdzają więc jego skuteczność i jak można wywnioskować z pojawiających się na różnych stronach komentarzy, system jedynie zdobywa nowych zwolenników.

Oprogramowanie Blue Frog to rozproszony system zgłaszania zażaleń na stronach, które są reklamowane w spamie. Spam zgłaszany do Blue Security jest analizowany, a programiści firmy przygotowują skrypty umożliwiające zautomatyzowanie zgłoszeń na stronach spamerów. Blue Frog umieszcza żądania użytkownika w polach formularzy, w logach serwera (wywołując nieprawidłowy adres strony, np. http://strona.spamera/zadam_usuniecia_mnie_z_waszych_list), nie łamiąc jednak prawa ponieważ na każdy otrzymany przez użytkownika spam przypada jedno zgłoszenie.

Twórcy systemu starają się na wszelkie możliwe sposoby poinformować
administratorów reklamowanych w spamie stron o żądaniach użytkowników.

Dodatkowo, zgłoszenia spamu są przekazywane przez Blue Security do producentów reklamowanego oprogramowania, właścicieli adresów IP, a w
przypadku działań niezgodnych z prawem do organizacji takich jak Interpol czy BSA. Lista użytkowników przechowywana jest w formie skrótów SHA1, tak więc spamerzy nie są w stanie jej uzyskać, ale mogą sprawdzić czy adresy w ich bazach znajdują się na tej liście.

Źródło: Tomasz Andrzej Nidecki, http://spam.jogger.pl/

Microsoft po raz kolejny organizuje konferencje „Developer Days”. Konferencja odbędzie się w trzech miastach: Katowice, Poznań, Warszawa.

Katowice – 9 maja
Poznań – 10 maja
Warszawa – 11 maja

Dokładna agenda dostępna jest na stronie Developer Days 2006.

Źródło informacji: Microsoft Polska

Dariusz Leonarski (Novell Polska) opowie m.in. o zaangażowaniu Novella w społeczność Open Source.

Data: 2006-05-05 18:00
Miejsce: Wydział Elektryczny Politechniki Szczecińskiej, ul. Sikorskiego 37, sala 119.

Spotkanie jest otwarte i bezpłatne. W celu oszacowania ilości chętnych bardzo prosimy o rejestrację na to spotkanie.