Karta kredytowa karcie nierówna. Ta sama Visa lub MasterCard w jednym banku jest bardziej bezpieczna niż w innym. Banki inwestujące w systemy zabezpieczające płatności kartami kredytowymi w internecie można policzyć na palcach jednej ręki.

Bankom bardziej opłaca się oddać skradzione przez złodziei pieniądze niż inwestować miliony w systemy zabezpieczające transakcje kartami kredytowymi w sieci.

– Banki z pierwszej dziesiątki musiałyby wydać na nie po kilka milionów złotych – szacuje Michał Jarski z firmy zajmującej się bezpieczeństwem Internet Securities System.

Na razie oszukańcze transakcje to zaledwie ułamek procentu płatności w internecie (0,07 proc.), banki wolą więc – kiedy ich klient złoży reklamacje – zwrócić pieniądze.

Jednak płatności w internecie przybywa, lada chwila może więc wzrosnąć liczba oszustw – w ubiegłym roku przez firmy rozliczające transakcje w internecie przepłynęło ponad 220 mln zł, niemal cztery razy więcej niż w 2003 r. Rozwija się e-handel.

– W Polsce dopiero zaczyna się gorączka zakupowa on-line – twierdzą autorzy raportu firmy badawczej Gemius. – Dalszy rozwój jest w dużej mierze uzależniony od tego, czy wygodne płatności kartą w internecie będą wystarczająco bezpieczne.

Na razie w bankach jest jak za króla Ćwieczka.

– System autoryzacji kart w internecie jest przestarzały, nie zapewnia wystarczającego bezpieczeństwa – twierdzi Karol Żwiruk z portalu Kartyonline.

Zachodnie banki, po gigantycznych wpadkach, takich jak ta w maju tego roku w USA, kiedy hackerzy wykradli dane o 40 milionach kart Visa oraz MasterCard, uzbrajają swoje systemy informatyczne w superszczelne bariery ochronne.

– W Polsce też trzeba jak najszybciej wdrożyć technologię 3-D Secure, polegającą między innymi na zatwierdzaniu transakcji dodatkowym kodem, który nie znajduje się na karcie – apeluje K. Żwiruk.

Polskie banki na razie nie spieszą się z tą inwestycją, mimo że i u nas zdarzają się spektakularne akcje bankowych oszustów.

Kilka miesięcy temu w ich sieci wpadli właściciele prestiżowych złotych kart banku Pekao S.A. Złodzieje wykradli numery ich kart, a następnie próbowali dokonać nimi transakcji. Na szczęście bezskutecznie.

Mimo takiego zagrożenia, na razie tylko dwa banki instalują systemy ochronne. BRE Bank już wdrożył je dla klientów korporacyjnych oraz private banking, czyli finansowej ekstraklasy z setkami tysięcy złotych na koncie.

BZ WBK finalizuje prace nad uruchomieniem nowego systemu. Do wprowadzenia nowej technologii przymierza się Pekao, ale przedstawiciele banku nie chcą ujawnić, kiedy ich karty zaczną działać w nowym standardzie.

Autor: Monika Krześniak
Źródło: Gazeta Prawna
Visa Authenticated Payment Program: 3-D Secure
Visa zrywa umowe z CardSystems
Kradzież 40 mln. kart kredytowych
Posiadacze kart MasterCard potencjalnymi ofiarami kradzieży danych
Złote karty z Pekao SA w rękach oszustów

Odbywający się w Las Vegas turniej Capture The Flag wykazał, że rewizja kodu jest w tym roku podstawową dla hackera umiejętnością. Nie obyło się jednak bez kontrowersji.

Coroczny turniej, odbywający się w ramach konwentu DEF CON, zawsze przyciąga uczestników z różnych środowisk. Próbują swych sił w ataku i obronie online.

Uczestnicy – samodzielni bądź zorganizowani w drużyny – rywalizują w grze, nazwanej w tym roku „WarGamez”.

Jej celem jest obnażenie i wykorzystanie słabych punktów w systemach przeciwników.

Giovanni Vigna – profesor nadzwyczajny nauk komputerowych na University of California – twierdzi, że w tym roku turniej kładł większy nacisk na praktyczne umiejętności.

Vigna jest liderem teamu Shellphish, który wygrał tegoroczny CTF.

Poprzednie edycje gry pozwalały drużynom na posiadanie własnych serwerów, na których dostępne miały być konkretne usługi.

W tym roku uczestnicy włamywali się do wirtualnych serwerów, osadzonych na jednej, centralnej maszynie.

Ta zmiana wzbudziła nieco kontrowersji, ponieważ wyeliminowała z gry drużyny, broniące się za pomocą specjalnie zaprojektowanych systemów operacyjnych.

Capture The Flag testuje sprawność hackerów i badaczy zabezpieczeń w atakowaniu i obronie systemów, „turniej nie stanowi testu konkretnego oprogramowania” – powiedział jeden z organizatorów.

Źródło: The Register

Microsoft ogłosił wczoraj, że Monad – nowe narzędzie do kodowania, które obrały sobie za cel wirusy – nie będzie częścią mającego się niebawem ukazać systemu Windows Vista.

Zdaniem przedstawiciela Microsoftu, linia poleceń będzie natomiast częścią kolejnego systemu, obsługującego serwery. System ten, nazwany roboczo Longhorn Server, ukaże się w 2007.

Stephen Toulouse, program manager w dziale bezpieczeństwa Microsoft: „Ostateczne wersja Windows Vista nie będzie zawierała Monada. W związku z tym, potencjalne wirusy nie stanowią dla Visty zagrożenia”.

Oświadczenia Microsoftu są odpowiedzią na publikację w sieci pięciu złośliwych kodów, wykorzystujących luki w Monadzie.

Monad miał być początkowo częścią Visty. W związku z tym złośliwe kody zostały szybko okrzyknięte pierwszymi wirusami dla Windows Vista.

Oświadczenie Microsoftu jasno precyzuje, że wirusy atakujące Monada nie zagrożą ostatecznej wersji nowego systemu operacyjnego.

Stephen Toulouse nie wyjaśnił, dlaczego Monad nie będzie częścią Visty. Powiedział jednak, że nowy wiersz poleceń ma być używany w Windowsach przez najbliższe trzy do pięciu lat.

Monad, znany też jako MSH, miał zastąpić prosty wiersz poleceń, obecny w aktualnych wersjach Windowsów.

Wiersz poleceń umożliwia użytkownikom systemu wprowadzanie komand tekstowych – tak, jak to miało miejsce w poprzedniku Windowsa – DOSie.

Monada cechuje jednak o wiele większa funkcjonalność, podobna do tej, jaką odznaczają się produkty konkurencji – np. Unixowy Bash.

Lee Holmes, developer pracujący nad Monadem potępia firmę F-Secure, za pochopne doniesienia o wirusie dla Visty.

Źródło: news.com
Dziurawa wersja testowa Visty
msvista.pl

Balazs Scheidler poinformował o nowej luce w Linux Kernel umożliwiającej lokalnym użytkownikom na przeprowadzenie ataku typu DoS (Denial of Service).

Luka występuje w kodzie XFRM, interfejsie konfiguracyjnym dla IPSec i może umożliwić atakującemu na przepełnienie tablicy.

Zalecamy aktualizację do wersji 2.6.13-rc4 i późniejszych.

Źródło informacji: Secunia
Kernel.org

Jak donosi Open Source Development Labs, rośnie sprzedaż detaliczna aplikacji linuksowych na rynku detalicznym. W porównaniu z rokiem 2004 sprzedaż zwiększyła się aż o 34%.

Wraz ze zwiększeniem popularności aplikacji linuksowych można zaobserwować konsekwentny spadek cen tych produktów, od średnio 4000 USD w 2002r. do poziomu 1000 USD w roku ubiegłym.

„Na rynku detalicznym widoczny jest znaczny wzrost popularności produktów opartych na Linuksie, co wynika z faktu, że klienci poszukują rozwiązań elastycznych, niezawodnych, a przede wszystkim tanich” – powiedział Stuart Cohen, szef wykonawczy OSDL. „Coraz większa dostępność tych produktów przyspiesza ten trend” – dodał Cohen.

Raport OSDL w części oparty jest na danych zgromadzonych bezpośrednio od sprzedawców z sektora IT, m.in. firm BakBone Software, Hewlett Packard, IBM, Novell czy Red Hat.

Źródło: EE Times
Open Source Development Labs

Pochodzący z Austrii hacker o pseudonimie „Second Part To Hell” napisał kilka programów, które mogą być określane mianem pierwszych wirusów dla najnowszego „dziecka” Microsoftu. Robaki wykorzystują luki w nowej linii poleceń systemu Vista, nazwanej Monad.

Kod nowych robaków został opublikowany w poradniku dla twórców wirusów, prowadzonym przez podziemną grupę „Ready Ranger Liberation Front”. „Second Part To Hell” – zwany także „Mario” – stworzył nowe wirusy 21 lipca, czyli zaledwie dzień po tym, jak Microsoft oficjalnie zaprezentował wykorzystywaną w najnowszych „Windowsach” linię komend Monad. Ze względu na złożoność rozwiązania, nowa linia komend systemu operacyjnego Microsoftu otwiera przed hackerami ogromne pole do popisu. „Second Part To Hell” napisał w poradniku, że „Monad przypomina linuksową powłokę BASH, co oznacza wielką liczbę komend i funkcji. Dzięki temu będziemy mogli tworzyć ogromne i skomplikowane skrypty, tak jak to robimy dla Linuksa”.

Fińska firma F-Secure, zajmująca się bezpieczeństwem komputerowym, nazwała rodzinę nowych wirusów „Danom”, co jest odwróceniem słowa Monad. Mikko Hyppönen, szef biura badawczego F-Secure, badając kod nowych wirusów stwierdził, że mają one charakter destrukcyjny, ale nie są zdolne do wyrządzenia użytkownikowi Visty bardzo dotkliwych szkód. „Robaki mają charakter programów koncepcyjnych, a ich twórca chce wskazać swoim kolegom metody pisania wirusów dla nowej platformy” – wyjaśnił Hyppönen. Fińskiego specjalistę ds. bezpieczeństwa zaskoczyło nie tyle samo powstanie wirusa dla Visty, ile to, jak szybko się on pojawił. „Minęło zaledwie osiem dni od udostępnienia testowej wersji nowego systemu operacyjnego” – podekreślił Hyppönen.

Zaawansowana linia komend Monad prawdopodobnie będzie używana tylko przez doświadczonych użytkowników. W związku z tym Hyppönen ma nadzieję, że w momencie premiery nowego systemu, Microsoft nie będzie udostępniał tego rozwiązania jako standardowego elementu nowych „Windowsów”. To z kolei oznacza mniejszą popularność oprogramowania, którego luki wykorzystują wirusy Danom. Czy zniechęci to autorów wirusów do pisana nowych wersji szkodliwego oprogramowania, trudno na razie powiedzieć. Fakt jest faktem, że kolejny produkt giganta z Redmond przypomina dobry szwajcarski ser.

Dotychczas Microsoft nie odniósł się oficjalnie do doniesień o powstaniu nowych wirusów.

Źródło: PC World

Japońska firma Mitsubishi Electric odkupiła od koncernu IBM około 250 patentów związanych z technologią DVD. Tym samym IBM wyzbył się całkowicie praw do zastrzeżonych rozwiązań DVD, natomiast Mitsubishi Electric zwiększyła ilość patentów związanych z tym standardem do około tysiąca.

Odkupienie patentów DVD ma na celu wzmocnienie pozycji Mitsubishi w tym sektorze rynku, jak również ma być potencjałem ułatwiającym szybsze opracowanie nowych produktów. Z kolei IBM tłumaczy swoją decyzje o pozbyciu się patentów polityką firmy, zmierzającą do większej integracji biznesu. Równocześnie Big Blue ogłosiło wyjście z grupy DVD 6C, w której jednym z członków jest Mitsubishi Electric.

Źródło: AsiaBizTech

Kaspersky Lab opublikował analizę kierunków w ewolucji złośliwych programów, z której wynika, że cyber-przestępcy zmieniają taktyki w celu uzyskania większych korzyści finansowych.

Raport dotyczy różnych kategorii zagrożeń cybernetycznych i opiera się na analizie sygnatur złośliwych programów dodawanych do antywirusowych baz danych firmy Kaspersky Lab w okresie od stycznia 2003 r. do maja 2005 r.

Rezultaty analizy przeprowadzonej przez Yury’ego Mashevsky’ego potwierdziły hipotezę wysuniętą już wcześniej przez ekspertów z Kaspersky Lab.

Yury Mashevsky komentuje: „Tempo, w jakim złośliwe programy z kategorii VirWare (wirusy i robaki) oraz TrojWare (konie trojańskie i programy spyware) dodawane są do antywirusowych baz danych wskazuje na zmianę taktyk stosowanych przez cyber-przestępców. Zamiast powodować epidemie wirusów na dużą skalę przestępcy cybernetyczni rozsyłają spam zawierający konie trojańskie i backdoory, które nie posiadają zdolności samoczynnego rozprzestrzeniania się”.

Według niego, „Trend ten został podyktowany względami ekonomicznymi: stworzenie programów z kategorii TrojWare jest znacznie tańsze i łatwiejsze w porównaniu z robakami internetowymi. Dodatkowo trojany można łatwo ukryć przed czujnym okiem rozwiązań antywirusowych przy pomocy wielu różnych narzędzi do kompresji”.

W raporcie przedstawiono również lawinowy wzrost programów AdWare wykrywanych przez program Kaspersky Anti-Virus, omówiono znaczne zwiększenie się liczby nowych złośliwych programów dla platform innych niż MS Windows (Symbian, UNIX, .NET) oraz przeprowadzono analizę zmian w częstotliwości, z jaką publikowane są uaktualnienia antywirusowych baz danych Kaspersky Lab.

Tekst zainteresuje zarówno ekspertów z branży bezpieczeństwa informatycznego, jak również użytkowników produktów antywirusowych, którzy chcą poznać kierunki rozwoju złośliwych programów oraz narzędzi przeznaczonych do ich zwalczania – czyli zainstalowanych na ich komputerach aplikacji.

Pełny artykuł dostępny pod adresem: http://viruslist.pl/analysis.html?newsid=88

Japońska firma Kai Corporation, wynalazca systemów autentykacji, podała wstępne założenia nowego rozwiązania do identyfikacji użytkownika PASSMEMORY, które ma wykorzystywać jego własną pamięć.

W odróżnieniu od standardowych mechanizmów identyfikacji – w oparciu o hasło czy rozwiązań biometrycznych – weryfikacja tożsamości nie byłaby dokonywana przez system cyfrowy, lecz przez samego użytkownika.

Podstawą nowego systemu identyfikacji jest założenie, że użytkownik w sposób zupełnie naturalny zapamiętuje imiona swoich znajomych, nazwy odwiedzonych miejsc, stare fotografie lub dźwięki.

Aby można było prowadzić identyfikację tożsamości uprzednio trzeba wprowadzić tego typu informacje do systemu.

Następnie w trakcie identyfikacji, użytkownik wybiera poprawną odpowiedz z przedstawionej mu listy, która oprócz poprawnych rekordów zawiera także błędne odpowiedzi.

W momencie rejestracji w systemie, użytkownik określa liczbę „niezapomnianych” rekordów, a następnie system generuje określoną liczbę fałszywych wpisów i uzupełnia nimi listę służącą do identyfikacji.

Liczba list identyfikujących oraz rekordów na każdej liście może być dowolnie ustalana przez użytkownika.

Proces autentykacji będzie się odbywał w sesji o ograniczonym czasie, podczas której użytkownik musi wybrać z listy poprawne odpowiedzi.

Zakładając ze identyfikacja opiera się na pięciu listach, a na każdej z nich znajduje się 10 rekordów – z czego jeden jest poprawny, a pozostałych 9 jest losowo wygenerowanych przez system – prawdopodobieństwo przejścia poprawnie przez cały proces weryfikacji tożsamości wynosi 1:100 000.

Dodatkowym utrudnienie jest fakt, że wszystkie poprawne odpowiedzi muszą być wskazane w ściśle określonym czasie, po przekroczeniu którego cały proces identyfikacji trzeba rozpocząć ponownie.

Autorzy wynalazku mają nadzieję, że nowy system zapoczątkuje zmiany w sektorze rozwiązań autentykacji, zarówno w Japonii jak i poza jej granicami.

Na internetowej stronie firmy Kai można zobaczyć prezentację dotyczącą nowego systemu identyfikacji.

Źródło: AsiaBizTech
www.passmemory.com

Firma Lege-Artis-Service będzie ścigać piratów naruszających prawa autorskie AutoMapy. Pozbawienie sprzętu służącego do prowadzenia bezprawnej działalności oraz grzywna to tylko niektóre konsekwencje grożące zarówno piratom jak i kupującym nielegalne oprogramowanie.

Producenci programu AutoMapa podpisali umowę z firmą Lege-Artis-Service, która od tej pory będzie się zajmować ochroną praw autorskich najpopularniejszego w Polsce systemu do nawigacji satelitarnej.

Firma jest członkiem Stowarzyszenia Polskiego Rynku Oprogramowania działającego głównie na rzecz ochrony praw twórców, producentów i sprzedawców oprogramowania.

Już w pierwszych tygodniach współpracy odnotowano duży spadek nielegalnych aukcji internetowych dotyczących oprogramowania AutoMapa.

Panuje dość powszechne przekonanie o bezkarności kopiowania i używania nielegalnych wersji programów komputerowych.

Lege-Artis-Service ma wieloletnią praktykę w ochronie praw autorskich, patentowych, znaków towarowych oraz w walce z nieuczciwą konkurencją.

W ciągu ostatnich lat firma wyspecjalizowała się w masowo „piratowanym” rynku oprogramowania komputerowego.

W kwestii dbania o prawa tej branży (m.in. gry, programy operacyjne, użytkowe, edukacyjne) ściga nielegalnie powielane i rozpowszechniane produkty.

„W ramach namierzania piratów prowadzony jest systematyczny monitoring wszelkiego rodzaju punktów powielania, dystrybuowania i sprzedaży programów komputerowych, jak również serwisów aukcyjnych, np. Allegro czy eBay. Kontrolowana jest zarazem legalność zainstalowanych programów AutoMapa służących do prowadzenia działalności gospodarczej.” – mówi przedstawiciel firmy Lege-Artis-Service, który ze względu na prowadzone działania operacyjne poprosił o nie publikowanie nazwiska.

Ścisła współpraca z prokuraturą, Komendą Główną Policji, podległymi jej Komendami Wojewódzkimi i innymi jednostkami organów ścigania procentuje m.in. wspólnie przeprowadzanymi akcjami kontrolnymi.

„Efektem jest dokonanie w ciągu ostatniego roku kilkuset udanych kontroli sklepów, hurtowni, giełd, bazarów, targowisk i producentów, a także użytkowników końcowych” – dodaje pracownik operacyjny Lege-Artis-Service.