Władze Uniwersytetu Południowej Kalifornii [USC] podały we wtorek, że w zeszłym miesiącu zhackowano uniwersytecką bazę danych, zawierającą dane 270.000 kandydatów.

Katharine Harrington, dziekan USC do spraw rekrutacji i pomocy finansowej, oznajmiła, że wyłom w internetowym systemie rekrutacji obnażył „tuziny” zestawów danych, zawierających nazwiska i numery ubezpieczeń społecznych.

Harrington nie zna dokładnej liczby osób, których prywatne dane były dostępne dla hackera (hackerów). Nie zna też motywów, którymi kierowali się atakujący.

„Nie dysponowaliśmy odpowiednimi środkami do namierzenia hackerów”, powiedziała dziekan.

Dodała też, że hackerzy nie uzyskali jednorazowego dostępu do wielu zestawów danych. Mogli także zobaczyć je tylko w przypadkowej kolejności.

„Jesteśmy w miarę pewni, że nie doszło do pobierania danych na większą skalę” – oświadczyła Harrington.

USC dowiedział się o wyłomie 20 czerwca, za sprawą poufnej informacji, przekazanej przez dziennikarza.

Niezwłocznie wstrzymano działanie internetowego systemu rekrutacji i poinformowano osoby, których dane znajdowały się w skompromitowanej bazie danych.

Uniwersytet nie szczegółowo potrafił określić, czyje dane zostały skradzione.

W pisemnym oświadczeniu, władze uniwersytetu oznajmiły, że serwis rekrutacyjny będzie uruchomiony niezwłocznie po wdrożeniu nowych środków bezpieczeństwa.

Prawo, obowiązujące w Kalifornii od dwóch lat, nakazuje instytucjom informowanie potencjalnych ofiar kradzieży (lub omyłkowego opublikowania) danych.

Wiele stanów rozważa wprowadzenie podobnych przepisów.

Zdaniem Federal Trade Commision (amerykańskiej komisji handlu) kradzieże danych są najczęstszą przyczyną skarg konsumentów. Szacuje się, że co roku problem dotyczy danych 10 milionów osób.

Źródło: news.com

Rozwiązanie Novella pozwoliło urzędom spełnić wymagania określone w dyrektywie Homeland Security Presidential Directive-12 (HSPD-12 – Dyrektywa Prezydenta USA o bezpieczeństwie narodowym).

Zgodnie z nią, w przypadku dostępu do systemów informatycznych kontrolowanych przez urzędy federalne ich pracownicy i kontrahenci w celu autoryzacji posługiwać się mają standardową kartą identyfikacyjną.

Aby pomóc agencjom w zapewnieniu bezpiecznego i łatwego w zarządzaniu dostępu do zasobów sieciowych, w rozwiązaniu HSPD-12 Novella połączono sprawdzone oprogramowanie komercyjne z usługami konsultingowymi.

Urzędy mogą ponadto korzystać ze swojej dotychczasowej infrastruktury klucza publicznego (Public Key Infrastructure – PKI).

Dzięki rozwiązaniu Novella dział Departamentu Obrony USA (Washington Headquarter Services – WHS) znacznie poprawił bezpieczeństwo zasobów sieciowych, zwiększając jednocześnie satysfakcję korzystających z nich użytkowników.

W celu uwierzytelniania dostępu do sieci wszystkich pracowników wojskowych i cywilnych oraz personelu kontrahentów, WHS stosuje standardową kartę dostępową (Common Access Card – CAC) Departamentu Obrony z certyfikatami PKI.

Uwierzytelnianie odbywa się za pomocą kart CAC w połączeniu z kodem PIN, ale w razie potrzeby można łatwo zastosować także inne metody uwierzytelniania, na przykład biometryczne.

„Dzięki rozwiązaniu Novella znacznie zmniejszyliśmy zagrożenie nieautoryzowanego dostępu do naszych sieci” – powiedział Glen Lee, kontrahent z firmy Reality Based IT Services Ltd., który kierował projektem WHS.

„Novell zrozumiał kryteria i cele sformułowane przez rząd i stworzył rozwiązanie spełniające wszelkie wymagania związane z tym projektem”.

Zapewnienie jednej, standardowej metody dostępu do sieci poprawiło bezpieczeństwo w WHS i uprościło czynności wykonywane przez użytkowników.

Obecnie mogą oni uzyskiwać dostęp do sieci tylko wtedy, gdy posiadają kartę CAC i znają kod PIN.

Nie muszą natomiast pamiętać długich i skomplikowanych haseł, co znacznie zmniejsza liczbę telefonów do stanowisk pomocy technicznej.

Adaptowalne, bezpieczne i łatwe w zarządzaniu

Opisywane rozwiązanie zostało oparte na oprogramowaniu Novell Certificate Login.

Jest to certyfikowany system uwierzytelniania, w którym wykorzystuje się technologię kart procesorowych i infrastrukturę klucza publicznego w celu zapewnienia wyjątkowo bezpiecznego i jednocześnie łatwego w zarządzaniu rozwiązania do kontroli dostępu.

Jako warstwa uwierzytelniania oprogramowania do zarządzania tożsamością Novella, rozwiązanie HSPD-12 udostępnia scentralizowane usługi logowania do sieci komputerowych korzystające z certyfikatów cyfrowych zapisanych na karcie procesorowej użytkownika.

Jest skalowalne, zapewnia obsługę dowolnej liczby użytkowników i lokalizacji.

Może być również rozbudowane o dodatkowe funkcje uwierzytelniania.

„Dyrektywa HSPD-12 wymaga od agencji rządowych dostosowania się do nowego standardu bezpieczeństwa” – powiedział Jim Flyzik, były doradca ds. technicznych w Biurze Bezpieczeństwa Krajowego (Office of Homeland Security) Białego Domu.

„Novell dysponuje jedyną gotową technologią, która działa na wielu platformach i w wielu systemach kontroli tożsamości oraz wykorzystuje dotychczasową infrastrukturę, co pozwala na obniżenie kosztów, zwiększenie produktywności i podniesienie poziomu bezpieczeństwa narodowego”.

Polityka bezpieczeństwa IT staje się kluczowym problemem współczesnych organizacji.

Każda z nich ma inne wymagania w odniesieniu do pojęcia bezpieczeństwa, inaczej wyobraża sobie chronienie swoich zasobów, motywując to innymi przyczynami.

Tak jest też w przypadku sektora administracji publicznej.

Urzędy używając specjalistycznego oprogramowania i sprzętu wymagają odpowiedniej dla nich polityki bezpieczeństwa.

Bezpieczeństwo IT jest bardzo drogie, ponieważ straty z tytułu utraty danych mogą być bardzo duże.

Jednak w wielu przypadkach może okazać się, że zastosowanie podstawowych zasad bezpieczeństwa jest wystarczające dla spełnienia założeń polityki bezpieczeństwa.

Osobną kwestią jest pytanie jak opracować politykę bezpieczeństwa dla swojego urzędu i kiedy ją wdrożyć?

Te zagadnienia będą omawiane podczas niniejszego seminarium, które odbędzie się 31 sierpnia 2005 r. w Warszawie.

W programie obrad wyodrębniono trzy bloki tematyczne:

Procedury,

Infrastruktura bezpieczeństwa IT,

„Czynnik ludzki”.

http://www.e-administracja.org.pl/konferencje/2005/pbi

Już za kilka dni odbędzie się finał organizowanego przez Microsoft, dorocznego konkursu dla studentów Imagine Cup 2005. 27 lipca, w Jokohamie, w rozgrywkach finałowych wezmą udział aż trzy zespoły z Polski.

Tegoroczna edycja konkursu upływa pod hasłem „Tworzenie świata, w którym technologie znoszą wszelkie bariery między ludźmi”.

Zespoły rywalizują w dziewięciu kategoriach. Łącznie, we wszystkich kategoriach, startowało w tym roku 535 studentów z Polski.

W finale znalazły się trzy ekipy reprezentujące nasz kraj, jedna konkuruje w kategorii „Krótki Film”, dwie w kategorii „Tworzenie Gier”.

Zadaniem uczestników kategorii „Krótki Film” było stworzenie animacji, która zaprezentuje problem barier pomiędzy ludźmi.

Wśród sześciu finalistów tej kategorii znaleźli się Julia Górniewicz i Jacek Barcikowski z Uniwersytetu Warmii i Mazur w Olsztynie, czyli zespół o nazwie SKYLINED.

Do konkursu przygotowali półtoraminutową animację pt. „Pudeuka” („Boxes”), stworzoną w technice 2D.

W Jokohamie zmierzą sie z drużynami z Indii, Kanady, Meksyku, Turcji oraz Stanów Zjednoczonych.

Kategoria „Tworzenie Gier” wymagała od uczestników nie tylko umiejętności algorytmicznych i programistycznych, ale także wiedzy na temat sztucznej inteligencji i gier strategicznych.

Zawodnicy mieli za zadanie zaprojektowanie algorytmu sztucznej inteligencji, kierującego poczynaniami bohaterów gry.

Podróżując po organiźmie profesora Hoshimi i sterując nanorobotami i białymi krwinkami, mieli za zadanie uratować go przed złośliwymi wirusami.

Konkurs składał się z 4 rund. W pierwszej rundzie, przeznaczonej do rejestracji uczestników, wzięło udział 2000 drużyn z całego świata.

Runda druga miała charakter eliminacji krajowych i wyłoniła po 8 zwycięskich drużyn z każdego kraju.

W rundzie trzeciej wzięło udział 120 zespołów, z których ostatecznie do finału światowego zakwalifikowało się sześć.

Wśród nich aż dwa z Polski: Al@PUT, w osobach Wojciecha Jaśkowskiego oraz Jakuba Gorgolewskiego z Politechniki Poznańskiej oraz LORD of the BOTS, czyli Rafał Gliszczyński i Przemysław Makosiej z Politechniki Łódzkiej.

W finałowej rozgrywce spotkają się z drużynami z Brazylii, Chin, Estonii oraz Kanady.

„Cieszy nas bardzo sukces Polaków, tym bardziej, że tegoroczna rywalizacja przebiega na bardzo wysokim poziomie. Polscy studenci posiadają szeroką wiedzę w zakresie nowoczesnych technologii i ogromny potencjał twórczy.”

„Jesteśmy przekonani, że będą umieli skorzystać z tych atutów nie tylko w finale konkursu, ale również później, w życiu zawodowym. Tymczasem życzymy im sukcesu w Japonii i zapału do tworzenia nowych rozwiązań” – powiedział Karol Wituszyński z polskiego oddziału Microsoft.

Konkurs Imagine Cup powstał z myślą o młodych twórcach technologii informatycznych.

W tym roku dbywa się już po raz trzeci i cały czas się rozwija.

Podczas gdy w pierwszej edycji, w jedynej kategorii (Software Design) rywalizowało 1 tys. studentów z 25 krajów, tegoroczny Imagine Cup to już ponad 16 tys. studentów, reprezentujących 92 kraje i rywalizujących w 9 kategoriach konkursowych:

Projektowanie Oprogramowania,

Krótki Film,

Algorytm,

Wizualizacja,

Projekt dla Office,

Tworzenie Gier,

Technologie Informatyczne,

Tworzenie Witryny Internetowej,

Biznes Plan.
Konkurs ma na celu zaprezentowanie możliwości, jakie otwierają się przed ludźmi w ich codziennym życiu, dzięki wykorzystaniu nowych technologii.

Międzynarodowa rywalizacja w największym na świecie konkursie dedykowanym dla studentów jest jednocześnie okazją do wymiany doświadczeń, a także szansą na dostęp do nowoczesnych technologii i realizację swoich projektów i ambicji.

W finałach w Jokohamie weźmie udział 80 drużyn – w sumie 212 studentów z 44 krajów z całego świata.
Imagine Cup 2005

Da się zniszczyć Facebooka?
Anonymous vs. meksykański kart…
Nowy Android będzie bezpieczny…
Hakerzy zaatakowali usługi tel…
Microsoft przygotował “obejści…
Infekujące sajty z WordPressem…
Niebezpieczne malware na iOS 5
Stary kod tym razem atakuje Ma…
Jak “popsuć” więzienie od zewn…
Kolejny atak na centrum certyf…

Fundacja Wspierania Edukacji Informatycznej „PROIDEA” rozpoczęła organizacje kolejnej cyklicznej konferencji dotyczącej bezpieczeństwa i systemów operacyjnych.

Odbędzie się ona w Krakowie 15-16 października 2005r.

Koszt uczestnictwa: 60 PLN za wybrany dzień lub 100 PLN za udział w całości konferencji.

Zainteresowanych, którzy chcą przyczynić się do promocji konferencji, zapraszamy do wzięcia udziału w Konkursie na jej nazwę. Autor najciekawszej propozycji zostanie nagrodzony zaproszeniem na bezpłatny udział w konferencji.

Więcej informacji na temat konferencji pod adresem: http://security.proidea.org.pl
http://proidea.org.pl

Kaspersky Lab opublikował kwartalny raport o współczesnych trendach w zagrożeniach cybernetycznych: „Ewolucja oprogramowania złośliwego: kwiecień – czerwiec 2005 r.”.

Tekst ten, przygotowany przez najlepszych analityków firmy Kaspersky Lab, informuje o aktywności „podziemia komputerowego” oraz zawiera szczegółową analizę technologii i technik stosowanych obecnie przez cyber-przestępców.

Raport oferuje czytelnikom profesjonalną analizę najnowszych wydarzeń z dziedziny bezpieczeństwa IT: zmiana wektorów ataków sieciowych, odejście od szerokiego skanowania segmentów Internetu i zwrot w kierunku przeprowadzania ataków na konkretne, główne węzły.

W wyniku takich ataków ucierpiały ostatnio duże instytucje finansowe.

Raport zwraca również uwagę na niepokojące trendy, takie jak ciągła ewolucja programów adware (programy te przekroczyły teraz granicę między zaledwie niepożądanym a nielegalnym oprogramowaniem), pojawienie się nowych technologii wirusowych i wiele innych.

Raport obejmuje następujące tematy:

Zmieniające się trendy ataków sieciowych

Ataki hakerów

Adware

Powrót technologii wirusowych

Zakładnicy elektroniczni

Polityka a wirusy
Pełny raport kwartalny na temat cybernetycznych zagrożeń dostępny jest pod adresem: http://viruslist.pl/analysis.html?newsid=85

Już w przyszłym roku fińska firma Teleste będzie udostępniać abonentom telewizji kablowej łącza internetowe o przepustowości do 100Mb na sekundę. To 50-krotnie więcej, niż standardowo oferują dzisiejsze „kablówki”.

Obecnie transmisję na poziomie 100Mbps uzyskuje się tylko przy użyciu światłowodów. Wymaga to jednak specjalnej infrastruktury, a sieć kablowa jest gotowa do wykorzystania. Finowie opracowali rozwiązanie pozwalające na rekordowy transfer z użyciem istniejących kabli. Koszt podłączenia będzie wahać się od 50 do 200 euro. Usługa „Ethernet-to-the-home” daje Teleste ogromną przewagę nad konkurencją – przedstawiciele firmy oceniają, że do katalogu innych dostawców podobne łącza trafią nie wcześniej niż w drugim kwartale 2007 r.

Obecnie Teleste prowadzi testy w Holandii. Prawdopodobnie w pierwszej fazie udostępniania usługi większość użytkowników będzie korzystać z łącz nie wykorzystujących maksymalnych możliwości „Ethernet-to-the-home”, które na dzisiejsze standardy jest po prostu zbyt szybkie. Pracownicy Teleste przewidują jednak, że już za kilka lat za absolutne minimum uznawane będą łącza zapewniające transmisję na poziomie 30Mbps.

Źródło: ZDNet

Nigeryjski sąd skazał na dwa i pół roku więzienia kobietę po tym, jak przyznała się ona do oszustwa w największym e-mailowym przekręcie w historii kraju.

W skandal wplątany był jeden z brazylijskich banków, a oszustwo dotyczyło kwoty 242 milionów dolarów.

Nigeryjska agencja przeciwdziałania oszustwom podała w sobotę, że Ameka Anajemba, jedna z trzech podejrzanych, będzie musiała oddać do banku 48,5 mln $, przekazać rządowi kolejne 5 milionów i zapłacić 15000 dolarów grzywny.

Przekręty okazały się w Nigerii tak wielkim sukcesem, że ich przeciwnicy okrzyknęli oszustwa jednym z najlepszych nigeryjskich towarów eksportowych, obok ropy, gazu ziemnego i kakao.

Piątkowe skazanie Anajemby przez Sąd Najwyższy w Lagos jest pierwszym większym wydarzeniem tego typu, od czasu powołania w 2003 roku EFCC (agencji ds. przestępstw ekonomicznych i finansowych).

Celem EFCC jest zwalczanie kwitnących w Nigerii sieci oszustów e-mailowych.

W swoim oświadczeniu agencja podała, że wyrok był „kamieniem milowym w walce z oszustwami, korupcją i podobnymi przestępstwami”.

Typowe oszustwo opierało się na e-mailach rozsyłanych po całym świecie.

Obiecywały one udział w fortunie w zamian za niewielką wpłatę. Ci, którzy wpłacili pieniądze, nigdy nie otrzymali obiecanego wynagrodzenia.

Poza Anajembą oskarżono także Emanuela Nwude i Nzeribe Okoli.

Nieżyjący mąż Anajemby zaplanował w latach 1995-98 oszustwo, którego celem był bank Banco Noroeste, z siedzibą w Sao Paolo.

Według oskarżycieli, trójka podsądnych Nigeryjczyków pozyskała 242 miliony dolarów, obiecując pracownikom banku prowizje, w zamian za finansowanie nieistniejącego kontraktu na budowę lotniska w stolicy Nigerii – Abudży.

Oskarżeni nie przyznali się do winy, jednak Anajemba zmieniła zdanie, chcąc uzyskać krótszy wyrok.

Transparenty International ocenia, że Nigeria jest drugim – po Bangladeszu – najbardziej skorumpowanym krajem świata.

Nigeria pokłada teraz nowe nadzieje w EFCC, która zajmuje się obecnie około 200 sprawami związanymi z korupcją.

Agencja od 2003 roku aresztowała ponad 200 podejrzanych o wysyłanie szkodliwego spamu. Ponadto EFCC zarekwirowała mienie o wartości 200 milionów dolarów i doprowadziła do skazania 10 aferzystów.

Źródło: http://news.com

Microsoft opublikował zalecenie dotyczące luki w Remote Desktop Services (usługa zdalnego pulipitu), która umożliwia przeprowadzenie zdalnego ataku odmowy usługi na system Windows.

Według Microsoft, wykorzystanie luki może doprowadzić do restartu komputera. Atak można przeprowadzić zdalnie, za pośrednictwem portu 3389/TCP, na którym nasłuchuje usługa. Luka dotyczy także XP SP2. Należy jednak podkreślić, że usługa nie jest domyślnie uruchamiana w systemach Windows, poza Windows XP Media Center Edition. Zalecane jest filtrowanie portu 3389/TCP i nie uruchamiane serwerów Terminal Services lub Remote Desktop jeśli nie jest to konieczne, ograniczanie się do połączeń po VPN i stosowanie odpowiednich polityk IPSec. Microsoft planuje wypuścić łatę na lukę.

Więcej informacji można uzyskać tutaj.

Źródło informacji: CERT Polska

Visa USA zerwała współpracę z wytwórcą kart (płatniczych i kredytowych) po skandalu z luką w zabezpieczeniach. W wyniku luki narażono dane prawie 40 milionów posiadaczy kart MasterCard, Visa i innych wystawców.

Firma obsługująca transakcje – CardSystems Solutions – przyznała, że nie powinna była posiadać zagrożonych danych.

Słabe punkty w zabezpieczeniach firmy CardSystems doprowadziły do tego, że niezaszyfrowane dane (nazwiska klientów, numery kart, kody ccv) były podatne na ataki hackerów.

Pośród narażonych danych nie było jednak adresów klientów. Liczba kompletów danych, których kradzież potwierdzono, oscyluje w granicach 200000.

Visa zakończyła współpracę z CardSystems po tym jak niezależni badacze dowiedli, że firma nie wprowadziła odpowiednich środków zaradczych po skandalu, który ujawniono w czerwcu.

„CardSystems nie poprawiła i na dzień dzisiejszy nie jest w stanie poprawić błędu, w celu zapewnienia właściwej ochrony danych klientów” – oświadczył Tim Murphy z firmy Visa w notce, która przeciekła do gazety The New York Times. „Visa USA uznała, że CardSystems nie może być już częścią grupy Visa”.

Visa dała 11 bankom czas do końca października, aby te zmieniły firmę obsługującą płatności.

The New York Times nie ma pewności czy MasterCard i American Express podejmą podobne akcje, wymierzone w CardSystems.

W przypadku, gdyby pozostali operatorzy kart zdecydowali się na ten ruch, przyszłość CardSystems stanęłaby pod znakiem zapytania.

Przedstawiciele CardSystems mają nadzieję, że uda się im nakłonić Visa USA do zmiany decyzji.

Skandal z zabezpieczeniami w CardSystems ujrzał światło dzienne po tym, jak MasterCard i anonimowy bank, wespół z Ubizen (firmą, zajmującą się śledztwami komputerowymi) wykryły w kwietniu wysoką liczbę wyłudzeń, mającą swe źródło w problemach w firmie CardSystems.

Zdaniem CardSystems firma zgłosiła wyłom w zabezpieczeniach do FBI 23 maja, dzień po tym, jak eksperci od zabezpieczeń określili źródło problemu.

MasterCard upublicznił sprawę 17 czerwca i na razie jako jedyny zidentyfikował wyłudzenia na tyle dokładnie, że doprowadziły one do CardSystems.

Jednak pozostałe firmy, obsługujące karty prawdopodobnie także ucierpiały, a faktyczna skala szkodliwej działalności, spowodowanej luką w zabezpieczeniach pozostaje nieznana.

Źródło: The Register
Kradzież 40 mln. kart kredytowych