hacking.pl

Codzienna dawka nowych wiadomości ze świata bezpieczeństwa. Tutoriale, narzędzia, linux oraz testy penetracyjne.

Testy wytrzymałości karty elektronicznej

Firma CryptoTech przeprowadziła testy wytrzymałości karty elektronicznej. Sam pomysł testu związany jest z pogłoskami, które pojawiły się w ostatnim okresie a dotyczącymi rzekomego „wycierania się” kart elektronicznych przy składaniu podpisów elektronicznych.

W ostatnim czasie, przy okazji różnych konferencji dotyczących zagadnień związanych z problematyką podpisu elektronicznego, a szczególnie jego bezpiecznej wersji, potocznie zwanej „podpisem kwalifikowanym”, zaczęła żyć własnym życiem oczywista plotka o charakterze mitu, jakoby karty elektroniczne nie nadawały się do roli komponentu technicznego do składania podpisu elektronicznego, zwłaszcza dla składania podpisów masowych.

Mit ten pierwotnie wygłosił, szanowany w środowisku IT profesor, co dodatkowo nadało mu cechę wiarygodności i oparta na tym „micie 1500 podpisów” plotka jest coraz częściej powtarzana i co gorsza, podejmowane są na jej podstawie decyzje biznesowe dotyczące stosowania kart elektronicznych!

Trudno precyzyjnie określić, czym kierował się oraz jakich technologii używał wspomniany mówca powołujący się na własne eksperymenty wykonywane wraz z grupą studentów, na podstawie, których stwierdził stanowczo, iż karty elektroniczne nie nadają się do masowego podpisywania (np. faktur elektronicznych) gdyż „ulegają zniszczeniu/zużyciu po złożeniu 1500 podpisów”.

Firma CryptoTech i jej konsultanci mający już blisko 10-letnie doświadczenie w projektowaniu i budowaniu systemów IT wykorzystujących karty elektroniczne, nie zauważyli takiego zjawiska oraz nawet nie znajdują dla niego podstaw teoretycznych.

Podstawą operacji składania podpisu jest odczyt klucza prywatnego z pamięci EEPROM przez procesor/kryptoprocesor karty i wykonanie na tym kluczu i danych podpisywanych (właściwe skrótu tych danych) szeregu operacji matematycznych. W efekcie tych danych na zewnątrz układu karty, przez jej interfejs komunikacyjny zwracany jest wynik tych operacji – podpis cyfrowy (zwykle z użyciem algorytmu RSA).

W typowym przypadku cały ten proces NIE WYKONUJE ŻADNYCH operacji zapisu do pamięci EEPROM, czyli nie objawia się zjawisko „wycierania EEPROM”. Oznacza to w praktyce, iż włożona do czytnika karta, realizująca podpis cyfrowy (np. RSA 1024) będzie realizowała go WIECZNIE – przynajmniej do czasu jej awarii, gdyż zachodzące w trakcie podpisywania zjawiska nie powodują żadnej zauważalnej degradacji parametrów układu elektronicznego karty.

Potwierdzeniem tego mogą być szeroko używane w Europie urządzenia do oznaczania czasem, używające… wielu równolegle pracujących kart elektronicznych do generowania podpisów w ramach znacznika czasu (takie rozwiązanie wymuszone zostało w pewnym momencie po wprowadzeniu German Signature Act, gdy nie było na rynku odpowiednio certyfikowanych modułów HSM a dostępne były karty elektroniczne posiadające takie certyfikaty). Urządzenia ta wykonały setki tysięcy/miliony podpisów i działają nadal!

Można sobie oczywiście wyobrazić fatalne implementacje algorytmu RSA w ramach karty, które wykorzystują dla przechowywania chwilowych wyników obliczeń pamięć EEPROM lub czynią tak ze względu na bardzo małą ilość pamięci RAM dostępnej dla mikroprocesora karty. Rozwiązania takie jednak już dawno przeszły do historii i trudno znaleźć obecnie na rynku karty/układy kart kryptograficznych, którym groziły by takie rozwiązania w systemie operacyjnym.

Jeśli by nawet przyjąć, iż twórca „mitu 1500 podpisów” doświadczył zjawiska „wycierania EEPROM” to i tak nie ma podstaw by twierdzić, iż karty elektroniczne mogą wykonać tylko 1500 podpisów gdyż efekt „wycierania EEPROM” nawet w przypadku najstarszych (już nieużywanych) kart elektronicznych objawia się po wykonaniu 100.000 zapisów pojedynczej komórki pamięci!

Trudno wyobrazić sobie tak fatalny system operacyjny, który dla realizacji 1500 podpisów musiał wykonać ponad 100.000 zapisów którejkolwiek, pojedynczej komórki EEPROM! Dodatkowo należy podkreślić, że produkowane od kilku lat układy kart elektronicznych mają gwarantowaną trwałość od 500 tys. to 1 mln zapisów w normalnej temperaturze pokojowej.

Więcej o samym teście można przeczytać tutaj. Cały test przeprowadzany jest on-line, jego aktualne wyniki dostępne są tutaj.
Źródło: CryptoTech, Adam Augustyn

Coraz mniejsze, coraz groźniejsze

Autorzy wirusów oraz aplikacji typu spyware coraz częściej decydują się na tworzenie mniejszych „szkodników”, które są wycelowane w konkretne cele – koniec z imprezami masowymi.

Zamiast wypuszczać masowe robaki, które atakują miliony użytkowników na całym świecie, atakujący zmierzają w innym kierunku: tworzenie wirusów, które skupiają się na konkretnych celach, są wymierzone w konkretne firewalle oraz w konkretne systemy detekcji.

Złośliwe oprogramowanie staje się coraz mniejsze i coraz bardziej modularne. Dzięki temu, uderzając w dany komputer celuje się w określone funkcje, nie ogólnie przyjęte nisze polityki bezpieczeństwa. Dopiero po zainfekowaniu komputera dochodzi do instalacji „groźniejszych” modułów.

Atakujący coraz częściej wgłębiają się w strategie danego oprogramowania i to w nim upatrują swoją szansę, koniec z wielkimi i uniwersalnymi molochami.

Kiedyś włamywacze i autorzy wirusów wykorzystywali ogólne luki znalezione w danym systemie operacyjnym. Okazało się to być metodą zbyt mało skuteczną (poprawki, aktualizacje, patche, itp.). Teraz włamywacze skupiają się na konkretnych lukach w konkretnym oprogramowaniu (np. IE).

„8 z TOP10 programów typu adware oraz 6 z TOP10 programów typu spyware wykorzystywało konkretne luki w oprogramowaniu, nie systemie” – mówi firma Symantec.

Niebezpieczeństwo coraz częściej czyha na użytkowników technologii VoIP, którą sprytnie potrafią wykorzystywać autorzy wirusów i innego złośliwego oprogramowania.
Źródło: The Globe and Mail
Nawałnica spyware. Czym i jak się bronić?
Polska drugim źródłem spyware na świecie
Ponad 100 tys. wykrytych programów typu spyware
Przełom w ewolucji złośliwych programów
Analiza współczesnych cyber-zagrożeń

Pogawędki na temat bezpieczeństwa w Windows Vista

We wtorek miał miejsce publiczny chat on-line traktujący o bezpieczeństwie w nadchodzącym systemie operacyjnym Windows Vista. Głównym prowadzącym i odpowiadającym na pytania był sam Mike Nash, człowiek odpowiedzialny za bezpieczeństwo w produktach Microsoftu.

Nash ogólnie poinformował słuchaczy, w jakich kierunkach zmierzają zmiany w Windowsowej polityce bezpieczeństwa (konkretnie mowa tu o systemie Windows Vista). Oto ich zarys:

Bezpieczne IE. Głównym zadaniem jest zlikwidowanie problemu, kiedy to złośliwe oprogramowanie samo instaluje się na komputerze, bez wiedzy użytkownika.

Dlatego też, w nowym systemie IE będzie uruchamiane w „izolacji” od innych aplikacji i procesów systemowych. Zostaną także nałożone limity na IE, przez co proces przeglądarki będzie miał prawo zapisu tylko w lokalizacji ‚Temporary Internet Files’.

Standardowo zostanie także wyłączona obsługa ActiveX a obiekty COM będą poddane bardziej restrykcyjnej kontroli.

Firewall. Ma on zostać wyposażony w szereg nowych przydatnych funkcji, m. in. zaawansowane filtrowanie pakietów oraz forwarding połączeń.

Walka ze spyware. Microsoft obiecuje, iż wyposaży każdego użytkownika ich produktu w technologię wykrywania aplikacji typu spyware. Najprawdopodobniej mowa tutaj o programie Microsoft AntiSpyware.
Źródło: TechWeb News, IT Observer
msvista.pl

Matrix.pl współpracuje z Activcard

Matrix.pl nawiązuje współpracę z ActivCard, światowym liderem w dziedzinie technologii identyfikacji cyfrowej.

Wspólnym przedsięwzięciem obu firm jest „Identity & Access Management Roadshow” – cykl seminariów poświęconych zarządzaniu tożsamością oraz kontroli dostępu do aplikacji.

Pierwsze spotkanie odbędzie się w Warszawie, a kolejne w Kijowie. Rozwiązania ActivCard zostały wcześniej docenione m.in. przez NATO i instytucje rządowe USA.

Seminaria zaplanowane na 21 września w Warszawie i 11 października w Kijowie przeznaczone są dla menedżerów z departamentów informatyki przedsiębiorstw telekomunikacyjnych, ubezpieczeniowych, banków, administracji państwowej i przemysłu.

Spotkania poprowadzą specjaliści Matrix.pl oraz AcitvCard z Polski i Wielkiej Brytanii. Rozwiązania z zakresu zarządzania tożsamością przedstawią zaproszeni goście z firm IBM oraz Polkomtel.

W części warsztatowej zaprezentowane zostanie Demonstracyjne Laboratorium rozwiązań zarządzania tożsamością i kontroli dostępu.

Laboratorium stworzone w oparciu o produkty IBM oraz ActivCard pozwala prześledzić pełny cykl kontroli dostępu do aplikacji dla użytkowników.

Umożliwia szczegółową analizę drogi, jaką przebywa nowy pracownik – od momentu zatrudnienia przez dział HR, poprzez automatyczne nadanie mu dostępu do poszczególnych aplikacji, aż do wydania karty identyfikacyjnej SmartCard, pozwalającej na uwierzytelnianie się w sieci.

Dzięki temu można poznać funkcjonowanie systemu tożsamości cyfrowej, zapewniającego szybki i bezpieczny dostęp do wyselekcjonowanych zasobów organizacji.

„Zdajemy sobie sprawę z tego, jak istotną rolę we współczesnej rzeczywistości biznesowej odgrywa bezpieczeństwo informacji będących strategicznym zasobem korporacji. Współpraca z ActivCard pozwoli nam oferować kompleksowe i efektywne rozwiązania, a naszym klientom – przedsiębiorstwom o rozbudowanych środowiskach IT, dużej liczbie pracowników i rosnącej ilości systemów informatycznych, umożliwi zredukowanie kosztów zarządzania dostępem” – mówi Sebastian Pietrzak, Kierownik Produktu w Matrix.pl.

Matrix.pl planuje również uruchomienie Centrum Demonstracyjnego poszerzonego o funkcje logowania na podstawie biometryki, np. odcisk palca oraz integrację z systemem kontroli dostępu fizycznego, czyli dostępu do pomieszczeń i budynków. Na świecie podobne laboratoria znajdują się w Europie Zachodniej oraz Stanach Zjednoczonych.

„Oferta usług integracyjnych Matrix.pl oparta jest na najlepszych produktach danej klasy dostępnych na rynku. Współpraca z firmą ActivCard, notowaną na amerykańskiej giełdzie NASDAQ i europejskiej EASDAQ, jest kolejnym krokiem konsekwentnej realizacji strategii Matrix.pl w sektorze korporacyjnym. Działania podjęte przez nas we współpracy z ActivCard stanowią unikalną inicjatywę na terenie Europy Środkowej i Wschodniej” – mówi Aleksiej Krokos, Dyrektor ds. Rozwoju Matrix.pl.
www.matrix.pl
www.activcard.com

„Siedem grzechów głównych” w internecie

Aż 80% użytkowników internetu w pracy ma świadomość, że to właśnie wewnętrzni pracownicy stwarzają największe zagrożenie dla bezpieczeństwa IT firmy. A jednak większość z nich nie potrafi zrezygnować z ryzykownych praktyk i robi to, czego nie powinni – wynika z najnowszego badania dotyczącego bezpieczeństwa w sieci, przeprowadzonego przez firmę Sophos.

W podsumowaniu firma podaje listę siedmiu głównych grzechów, jakich dopuszczają się pracownicy w swoich zakładach pracy. Są to:

– pobieranie muzyki i filmów

– otwieranie załączników do maili oraz uruchamianie linków z niechcianej poczty elektronicznej

– odwiedzanie stron pornograficznych i innych niepewnych witryn

– uruchamianie „wesołych” programów, otrzymywanych w poczcie od znajomych

– instalacja nieautoryzowanego oprogramowania i wtyczek do przeglądarek internetowych

– udostępnianie poufnych informacji nieznanym osobom przez telefon i w poczcie elektronicznej

– ujawnianie haseł lub używanie tego samego hasła w kilku różnych aplikacjach

„W większości przypadków, nie jest to celowe nieostrożne zachowanie pracowników, raczej po prostu nie wiedzą oni jak się powinni zachowywać, aby nie stwarzać zagrożenia. Ponadto nie są oni świadomi potencjalnych konsekwencji, jakie mogą wynikać z niebezpiecznego korzystania z internetu i poczty elektronicznej” – powiedział Graham Cluley, konsultant w firmie Sophos.

Źródło: Vnunet

2 mld komórek

Pod koniec ubiegłego tygodnia ilość aktywnych telefonów komórkowych przekroczyła liczbę 2 miliardów. Oznacza to, przynajmniej statystycznie, że co trzeci mieszkaniec ziemi posiada już ‚komórkę’. Często jednak zdarza się, że jedna osoba posiada więcej niż jeden aktywny telefon.

Aby sprzedać pierwszy miliard telefonów komórkowych potrzeba było aż 20 lat.

Kolejny miliard został osiągnięty zaledwie w trzy. Oznacza to, że szybkość adopcji ‚komórek’ na wyniosła ponad 600%.

Obecne przyspieszenie adopcji telefonów komórkowych jest głównie zasługą krajów rozwijających się, m.in. Chin, Indii, państw Europy Wschodniej, a także Ameryki Łacińskiej oraz Afryki.

Niewątpliwy wpływ na większą sprzedaż ‚komórek’ miało wprowadzenie do oferty telefonów wyposażonych w moduły fotograficzne, odtwarzacze MP3 czy wbudowane radio.

Jak podaje Wireless Intelligence, autor podsumowania, największym sprzedawcą telefonów komórkowych pozostaje już od kilku lat Nokia.

Obecnie kontroluje ona niemal 32% udziałów w rynku. Na drugim miejscu z wynikiem prawie 18% znajduje się Motorola, a pierwszą trójkę zamyka koreański Samsung, trzymający pod kontrolą 13% tego rynku.

Przedstawiciele fińskiego koncernu zapowiadają, że na przełamanie kolejnego miliarda aktywnych ‚komórek’ przyjdzie nam poczekać aż do 2010r.

Źródło: The Inquirer

Pogawędki na temat bezpieczeństwa w Windows Vista

We wtorek miał miejsce publiczny chat on-line traktujący o bezpieczeństwie w nadchodzącym systemie operacyjnym Windows Vista. Głównym prowadzącym i odpowiadającym na pytania był sam Mike Nash, człowiek odpowiedzialny za bezpieczeństwo w produktach Microsoftu.

Nash ogólnie poinformował słuchaczy, w jakich kierunkach zmierzają zmiany w Windowsowej polityce bezpieczeństwa (konkretnie mowa tu o systemie Windows Vista). Oto ich zarys:

Bezpieczne IE. Głównym zadaniem jest zlikwidowanie problemu, kiedy to złośliwe oprogramowanie samo instaluje się na komputerze, bez wiedzy użytkownika.

Dlatego też, w nowym systemie IE będzie uruchamiane w „izolacji” od innych aplikacji i procesów systemowych. Zostaną także nałożone limity na IE, przez co proces przeglądarki będzie miał prawo zapisu tylko w lokalizacji ‚Temporary Internet Files’.

Standardowo zostanie także wyłączona obsługa ActiveX a obiekty COM będą poddane bardziej restrykcyjnej kontroli.

Firewall. Ma on zostać wyposażony w szereg nowych przydatnych funkcji, m. in. zaawansowane filtrowanie pakietów oraz forwarding połączeń.

Walka ze spyware. Microsoft obiecuje, iż wyposaży każdego użytkownika ich produktu w technologię wykrywania aplikacji typu spyware. Najprawdopodobniej mowa tutaj o programie Microsoft AntiSpyware.
Źródło: TechWeb News, IT Observer
msvista.pl

Matrix.pl współpracuje z Activcard

Matrix.pl nawiązuje współpracę z ActivCard, światowym liderem w dziedzinie technologii identyfikacji cyfrowej.

Wspólnym przedsięwzięciem obu firm jest „Identity & Access Management Roadshow” – cykl seminariów poświęconych zarządzaniu tożsamością oraz kontroli dostępu do aplikacji.

Pierwsze spotkanie odbędzie się w Warszawie, a kolejne w Kijowie. Rozwiązania ActivCard zostały wcześniej docenione m.in. przez NATO i instytucje rządowe USA.

Seminaria zaplanowane na 21 września w Warszawie i 11 października w Kijowie przeznaczone są dla menedżerów z departamentów informatyki przedsiębiorstw telekomunikacyjnych, ubezpieczeniowych, banków, administracji państwowej i przemysłu.

Spotkania poprowadzą specjaliści Matrix.pl oraz AcitvCard z Polski i Wielkiej Brytanii. Rozwiązania z zakresu zarządzania tożsamością przedstawią zaproszeni goście z firm IBM oraz Polkomtel.

W części warsztatowej zaprezentowane zostanie Demonstracyjne Laboratorium rozwiązań zarządzania tożsamością i kontroli dostępu.

Laboratorium stworzone w oparciu o produkty IBM oraz ActivCard pozwala prześledzić pełny cykl kontroli dostępu do aplikacji dla użytkowników.

Umożliwia szczegółową analizę drogi, jaką przebywa nowy pracownik – od momentu zatrudnienia przez dział HR, poprzez automatyczne nadanie mu dostępu do poszczególnych aplikacji, aż do wydania karty identyfikacyjnej SmartCard, pozwalającej na uwierzytelnianie się w sieci.

Dzięki temu można poznać funkcjonowanie systemu tożsamości cyfrowej, zapewniającego szybki i bezpieczny dostęp do wyselekcjonowanych zasobów organizacji.

„Zdajemy sobie sprawę z tego, jak istotną rolę we współczesnej rzeczywistości biznesowej odgrywa bezpieczeństwo informacji będących strategicznym zasobem korporacji. Współpraca z ActivCard pozwoli nam oferować kompleksowe i efektywne rozwiązania, a naszym klientom – przedsiębiorstwom o rozbudowanych środowiskach IT, dużej liczbie pracowników i rosnącej ilości systemów informatycznych, umożliwi zredukowanie kosztów zarządzania dostępem” – mówi Sebastian Pietrzak, Kierownik Produktu w Matrix.pl.

Matrix.pl planuje również uruchomienie Centrum Demonstracyjnego poszerzonego o funkcje logowania na podstawie biometryki, np. odcisk palca oraz integrację z systemem kontroli dostępu fizycznego, czyli dostępu do pomieszczeń i budynków. Na świecie podobne laboratoria znajdują się w Europie Zachodniej oraz Stanach Zjednoczonych.

„Oferta usług integracyjnych Matrix.pl oparta jest na najlepszych produktach danej klasy dostępnych na rynku. Współpraca z firmą ActivCard, notowaną na amerykańskiej giełdzie NASDAQ i europejskiej EASDAQ, jest kolejnym krokiem konsekwentnej realizacji strategii Matrix.pl w sektorze korporacyjnym. Działania podjęte przez nas we współpracy z ActivCard stanowią unikalną inicjatywę na terenie Europy Środkowej i Wschodniej” – mówi Aleksiej Krokos, Dyrektor ds. Rozwoju Matrix.pl.
www.matrix.pl
www.activcard.com

„Siedem grzechów głównych” w internecie

Aż 80% użytkowników internetu w pracy ma świadomość, że to właśnie wewnętrzni pracownicy stwarzają największe zagrożenie dla bezpieczeństwa IT firmy. A jednak większość z nich nie potrafi zrezygnować z ryzykownych praktyk i robi to, czego nie powinni – wynika z najnowszego badania dotyczącego bezpieczeństwa w sieci, przeprowadzonego przez firmę Sophos.

W podsumowaniu firma podaje listę siedmiu głównych grzechów, jakich dopuszczają się pracownicy w swoich zakładach pracy. Są to:

– pobieranie muzyki i filmów

– otwieranie załączników do maili oraz uruchamianie linków z niechcianej poczty elektronicznej

– odwiedzanie stron pornograficznych i innych niepewnych witryn

– uruchamianie „wesołych” programów, otrzymywanych w poczcie od znajomych

– instalacja nieautoryzowanego oprogramowania i wtyczek do przeglądarek internetowych

– udostępnianie poufnych informacji nieznanym osobom przez telefon i w poczcie elektronicznej

– ujawnianie haseł lub używanie tego samego hasła w kilku różnych aplikacjach

„W większości przypadków, nie jest to celowe nieostrożne zachowanie pracowników, raczej po prostu nie wiedzą oni jak się powinni zachowywać, aby nie stwarzać zagrożenia. Ponadto nie są oni świadomi potencjalnych konsekwencji, jakie mogą wynikać z niebezpiecznego korzystania z internetu i poczty elektronicznej” – powiedział Graham Cluley, konsultant w firmie Sophos.

Źródło: Vnunet

2 mld komórek

Pod koniec ubiegłego tygodnia ilość aktywnych telefonów komórkowych przekroczyła liczbę 2 miliardów. Oznacza to, przynajmniej statystycznie, że co trzeci mieszkaniec ziemi posiada już ‚komórkę’. Często jednak zdarza się, że jedna osoba posiada więcej niż jeden aktywny telefon.

Aby sprzedać pierwszy miliard telefonów komórkowych potrzeba było aż 20 lat.

Kolejny miliard został osiągnięty zaledwie w trzy. Oznacza to, że szybkość adopcji ‚komórek’ na wyniosła ponad 600%.

Obecne przyspieszenie adopcji telefonów komórkowych jest głównie zasługą krajów rozwijających się, m.in. Chin, Indii, państw Europy Wschodniej, a także Ameryki Łacińskiej oraz Afryki.

Niewątpliwy wpływ na większą sprzedaż ‚komórek’ miało wprowadzenie do oferty telefonów wyposażonych w moduły fotograficzne, odtwarzacze MP3 czy wbudowane radio.

Jak podaje Wireless Intelligence, autor podsumowania, największym sprzedawcą telefonów komórkowych pozostaje już od kilku lat Nokia.

Obecnie kontroluje ona niemal 32% udziałów w rynku. Na drugim miejscu z wynikiem prawie 18% znajduje się Motorola, a pierwszą trójkę zamyka koreański Samsung, trzymający pod kontrolą 13% tego rynku.

Przedstawiciele fińskiego koncernu zapowiadają, że na przełamanie kolejnego miliarda aktywnych ‚komórek’ przyjdzie nam poczekać aż do 2010r.

Źródło: The Inquirer