hacking.pl

Codzienna dawka nowych wiadomości ze świata bezpieczeństwa. Tutoriale, narzędzia, linux oraz testy penetracyjne.

Skaner Microsoftu sprawdzi bezpieczeństwo IE

Microsoft uruchomił specjalny skaner badający przeglądarkę Internet Explorer.

Dzięki niej użytkownicy mogą sprawdzić, czy w ich Explorerze nie występuje niedawno odkryta luka.

Dziura, związana z nieprawidłową obsługą metody „createTextRange()” pozwala na wykonanie na komputerze dowolnego kodu, jeśli użytkownik odwiedzi specjalnie przygotowaną stronę WWW.

Stephen Toulouse, szef Microsoft Security Response Centre, zapewnia, że jego zespół pracował nieprzerwanie od chwili wykrycia luki. Efektem pracy jest skaner, który dostępny jest w Windows Live Safety Center.

Toulouse poinformował, że poprawka łatająca wspomnianą dziurę, zostanie opublikowana przez Microsoft w kwietniu.

Źródło: Arcabit
http://safety.live.com

E-mailowa wpadka Żywca

Ze strony internetowej Grupy Żywiec można było wyciągnąć ponad 50 tys. adresów e-mailowych. Gratka dla spamerów – tak skwitował to jeden z blogerów.

Informacja pojawiła się w niedzielę późnym wieczorem na blogu Marka Futregi. Rzeczywiście – korzystając z przeglądarki internetowej, można było zajrzeć do zawartości katalogów zgromadzonych na serwerze Żywca.

Jeśli ktoś trafił pod adres www.zywiec.com.pl/games/mailing, mógł z jednego z plików skopiować adresy e-mailowe – łącznie było ich prawie 52 tys. Spółka miała do ich właścicieli przesłać informacje o zakończeniu jednej z akcji promocyjnych.

– Na skutek awarii niezauważonej przez administratorów serwera przez kilka godzin nocnych istniała taka możliwość – potwierdziła nam wczoraj Justyna Piszczek z biura prasowego Grupy Żywiec.

W poniedziałek rano administratorzy zorientowali się w awarii – plik został usunięty ze strony, wyłączono też możliwość przeglądania katalogów.

Czy e-maile mogły w tym czasie trafić w ręce spamerów, którzy bombardują skrzynki pocztowe niechcianą korespondencją? Nie wiadomo, wszystko zależy od tego, czy wielu z nich to nocne marki.

Źródło: Gazeta.pl
http://www.futrega.org/stek/2006/03/26/zywiec_adresy.html

OPSSesja Algorytmiczna 2006

3 kwietnia 2006 (poniedziałek) rozpoczną się Ogólnopolskie Zawody w Programowaniu „OPSSesja Algorytmiczna – Kwiecień 2006”.

Zawody będą podzielone na trzy tury.
Na najlepszych czekają atrakcyjne nagrody:

– komputer kieszonkowy
– aparat cyfrowy
– drukarka fotograficzna
– sieciowy odtwarzacz plików multimedialnych
– odtwarzacz MP3
– kupony Helion.pl
– kamera internetowa, słuchawki, pendrive’y, koszulki

Szczegółowe informacje znajdują się na stronie konkursu
http://opss.safo.biz/.

Intel zwiększy zatrudnienie

Koncern Intel zapowiedział, że do końca roku stan zatrudnienia przekroczy poziom 100 tys. pracowników. Obecnie w firmie pracuje 99 900 osób.

Największy konkurent Intela, firma AMD posiada 10 tys. etatów, podczas gdy ATI i Nvidia łącznie zatrudniają kilka tysięcy osób.

Duża ilość pracowników w koncernu Intel nie jest jednak niczym wyjątkowym w środowisku przedsiębiorstw z branży IT. Przykładowo, firma Hon Hai Foxconn zatrudnia blisko 250 tys. osób.

Źródło: The Inquirer

IE nie będzie nierozłączną częścią Windows

Przeglądarka Internet Explorer 7 nie będzie zintegrowana z najnowszym systemem operacyjnym Microsoftu – Windows Vista.

Firma Billa Gatesa zrywa w ten sposób z niemal 10-letnią tradycją, zgodnie z którą przeglądarka internetowa była nierozłączną częścią systemu operacyjnego.

Działania takie podyktowane są troską o bezpieczeństwo systemu. Microsoft przez lata był krytykowany za to, że uczynił Explorera częścią OS-u. Dzięki temu luki znajdowane w IE służyły do atakowania samego systemu.

Internet Explorer uważany jest za najbardziej wadliwą aplikację produkcji Microsoftu. Specjaliści twierdzą, że usunięcie go z systemu znacznie podniesie bezpieczeństwo tego ostatniego.

Przeglądarka nie będzie zintegrowana z systemem, będzie jednak dostarczana z nim w pakiecie.

Źródło: Arcabit

30 lat Apple

W tym tygodniu minie 30 lat odkąd firma Apple pojawiła się na rynku.

Najbardziej popularnym produktem tej firmy jest iPod i komputer Mac.

W 1976 założycielami było trzech przyjaciół. Dwóch z nich postanowiło rozpocząć samodzielną działalność gospodarczą po tym jak zostali wyrzuceni z colleg’u, natomiast trzeci dołączył do nich po dwóch tygodniach.

Dzisiaj specjaliści twierdzą, że ich nowy system operacyjny podnosi wysoko poprzeczkę dla firmy Windows, chociaż są w posiadaniu jedynie 4% światowego rynku komputerowego.

Apple: Francja sponsoruje piractwo

Ostatni pomysł francuskiego parlamentu dotyczący zabezpieczeń utworów przed kopiowaniem doprowadził szefów Apple’a, lidera na rynku cyfrowej muzyki, do białej gorączki

Francuskie Zgromadzenie Narodowe w tym tygodniu głosowało nad projektem ustawy dostosowującej prawo do unijnej dyrektywy o prawie autorskim. Deputowani chcą, by cyfrowe pliki sprzedawane na terenie Francji (np. muzyczne) można było uruchomić na każdym odtwarzaczu.

Dziś tak nie jest, bo firmy stosują różne systemy zabezpieczające pliki przed kopiowaniem, tzw. DRM (Apple – FairPlay, Microsoft – PlaysForSure, Sony – ATRAC3). I tak np. piosenek kupionych w iTunes, muzycznym e-sklepie należącym do Apple’a, można słuchać tylko na przenośnych odtwarzaczach iPod i niektórych telefonach Motoroli (choć można to obejść, nagrywając pliki na płycie CD i wówczas przekształcić na format MP3). Zaś na iPodach nie można uruchomić np. plików zabezpieczonych przez Microsoft.

– Jeśli propozycja deputowanych stanie się obowiązującym prawem, będziemy mieli do czynienia z piractwem sponsorowanym przez państwo – ostrzega Apple w oficjalnym komunikacie.

W maju ustawą ma się zająć senat, potem trafi ona do prezydenta. Gdyby została przyjęta w obecnym kształcie, firmy działające we Francji musiałyby ujawnić konkurencji szczegóły stosowanego przez siebie systemu DRM.

– Jeśli do tego dojdzie, sprzedaż muzyki z legalnych źródeł gwałtownie spadnie – mówi rzecznik Apple’a Natalie Kerris. – I to w sytuacji, gdy sklepy internetowe zaczynają zdobywać coraz więcej klientów.

Np. iTunes, największy muzyczny sklep online, sprzedał już ponad miliard piosenek po 99 centów. Parlamentarzyści bronią się. Twierdzą, że to właśnie niewspółpracujące ze sobą systemy DRM zniechęcają konsumentów do kupowania cyfrowej muzyki.

Analitycy uważają, że Apple raczej wycofa się z francuskiego rynku, niż otworzy swój system. Nie byłoby to wielkim uszczerbkiem dla koncernu – jak szacuje firma Piper Jaffray, z rynku amerykańskiego spółka zbiera ok. 80 proc. przychodów, z Francji zaledwie 2 proc. Apple na razie nie zdradza, co zrobi, jeśli projekt zyska akceptację senatu i prezydenta.

Nowa ustawa mówi też o grzywnach do 150 euro dla tych, którzy ściągają i udostępniają w internecie pliki chronione prawem autorskim. Za zdejmowanie zabezpieczeń DRM groziłoby prawie 4 tys. euro kary. Za dystrybucję oprogramowania do łamania DRM grzywna mogłaby sięgnąć nawet 300 tys. euro, sąd mógłby też wymierzyć karę trzech lat więzienia.

Źródło: Gazeta.pl

Ameryka walczy z telefonicznymi podszywaczami

Dzięki internetowym serwisom ktoś może się podszyć pod numer twojej komórki. I zrobić ci głupi dowcip albo wyczyścić konto

Wyświetlanie numeru osoby dzwoniącej (caller ID) to standard w komórkach i dużej części telefonów stacjonarnych. Na ekranie telefonu widzisz, kto dzwoni: babcia, kolega czy szef z pracy. Nie chcesz rozmawiać, to nie odbierasz.

W Stanach, Kanadzie i niektórych krajach europejskich działają internetowe serwisy – jak SpoofCom, Telespoof, SpoofTel, Tricktel – które umożliwiają podszycie się pod czyjś numer. Zachęcają: dzięki naszej usłudze możesz zrobić znajomym pyszny żart. Jak to działa? Za pośrednictwem serwisu można połączyć się z dowolną osobą. I wpisać numer, który wyświetli się na komórce (np. numer groźnej szefowej). Serwis pozwala też zmodyfikować głos (np. męski zmienić na kobiecy). I dodatkowa usługa: nagranie całej rozmowy.

Z serwisów korzystają skwapliwie rozmaici dowcipnisie. Ale usługę upodobali sobie również prywatni detektywi i egzekutorzy długów. Dłużnik udaje, że nie ma go w domu. Zna „niebezpieczne” dla siebie numery i nie odbiera tych telefonów. Aż na wyświetlaczu pojawi się znaleziony w książce telefonicznej numer kogoś z rodziny… Wystarczy nagrać i dowód dla sądu gotowy.

Pojawili się oszuści, którzy podszywają się pod numery banków. Podają się za ich pracowników i wyłudzają dane na temat kont i kart kredytowych. I jeszcze jedno niebezpieczeństwo: niektóre banki, np. Western Union, autoryzują przelewy przez teleserwis m.in. na podstawie numeru telefonicznego klienta.

W Stanach trwa właśnie krucjata przeciwko kontrowersyjnym serwisom. Wzięła się za nie amerykańska Federalna Komisja Łączności (FCC). A także Charlie Crist, prokurator generalny z Florydy i jednocześnie republikański kandydat na gubernatora.

W oświadczeniu napisał: „Amerykanie korzystają z identyfikacji dzwoniącego, aby chronić się przed niechcianymi połączeniami i kontaktem z osobami, które mogą im szkodzić. Nie może być zgody na niekontrolowane oszukiwanie naszych obywateli”.

Do administratorów stron internetowych dotarły nakazy sądowe, by ujawnili, kto jest właścicielem serwisów, które oferują takie usługi. Od serwisu Tricktel.com zażądano nawet ujawnienia danych o użytkownikach: kto, kiedy i do kogo dzwonił „pod przykrywką”.

– Na miejscu naszych klientów nie niepokoiłbym się specjalnie, bo władze mają obowiązek zachowania tych informacji w tajemnicy – uspokajał cytowany przez news.com przedstawiciel Telespoof Mark del Bianco. – Niemniej niepokojące jest, po co Komisji dane o wszystkich użytkownikach.

Telespoof pojawił się na rynku przed dwoma laty, serwis założył 21-letni haker. Z generowania fałszywego numeru korzystali przed laty właśnie hakerzy, którzy włamywali się do sieci telefonicznych i dzwonili za darmo. Pionierem kontrowersyjnych usług była kalifornijska firma Star38 – pobierała od klientów 20 dol. miesięcznej opłaty. Dziś serwisy zwykle doliczają 10 centów do normalnej ceny minuty połączenia.

„Nasze usługi mają służyć tylko rozrywce i nie będziemy tolerować bezprawnego ich wykorzystywania” – napisał w oświadczeniu inny z serwisów – SpoofTel. Ale dodał też, że siedziba spółki znajduje się w Kanadzie, a więc poza amerykańską jurysdykcją.

Zdaniem Chrisa Hoofnagle’a z organizacji zajmującej się ochroną prywatności w łączności elektronicznej, choć należy ścigać oszustów, nie należy wylać dziecka z kąpielą. Takie usługi mogą być bardzo użyteczne dla wolności i bezpieczeństwa obywateli, np. ułatwiają anonimowość ludziom informującym policję o przestępstwach czy gazety o aferach.

W Polsce żaden z opisywanych powyżej serwisów nie działa. Ale są oszuści podszywający się w SMS-ach pod operatorów sieci komórkowych – odpowiedź na takiego SMS-a oznacza doładowanie oszustowi komórki. Sprawę opisaliśmy przed tygodniem. A zaraz potem z powodu coraz większej liczby takich oszustw Era wycofała się z usługi zasilania konta za pomocą SMS-a.

Głupi żart za 10 centów

Tricktel to jeden z amerykańskich serwisów, które oferują dzwonienie „pod przykrywką”. Tricktel zachęca: „Zaloguj się i zrób w 100 proc. anonimowy żart telefoniczny”. I dalej instruktaż: wybierz fałszywy numer (który wyświetli się na aparacie rozmówcy), wpisz numer ofiary, połącz się, nagraj rozmowę (usługa dodatkowo płatna) i podziel się nagraniem z przyjaciółmi.

Serwis oferuje też gotowe pomysły na telefoniczne żarty typu „odgłosy orgazmu” czy „powiadomienie o pozytywnym wyniku testu ciążowego”. Kupa śmiechu. Cena: 10 centów dodatkowo do kosztu zwykłego połączenia. Na terenie Polski serwis nie działa.

Źródło: Gazeta.pl
Fałszowanie wiadomości SMS

Poznaj Linuksa

Już jutro (sobota) w ośmiu polskich miastach odbędzie się otwarta impreza pod tytułem Poznaj Linuksa. Wykłady odbędą się w Bydgoszczy, Częstochowie, Gdańsku, Gliwicach, Koszalinie, Szczecinie, Warszawie i Wrocławiu.

Spotkania przeznaczone są dla:

początkujących, którzy nie mieli jeszcze kontaktu z systemem Linux

osób, które chcą poszerzyć swoją wiedzę z dziedziny informatyki oraz wolnego oprogramowania

osób poszukujących bezpiecznego systemu operacyjnego dla komputerów w swojej pracy oraz dla komputerów w domu

oraz wszystkich, którzy interesują sie informatyką i komputerami
Podczas imprezy odbędą się prelekcje prowadzone zarówno przez członków lokalnych grup zrzeszających użytkowników linuksa, jak i przez zaproszonych na imprezę specjalistów w danych dziedzinach. Podobnie jak w zeszłych latach zostaną przygotowane stanowiska, przy których konsultanci odpowiedzą na pytania dotyczące systemu Linuks.

Na spotkaniu będą rozdawane płyty CD/DVD z wersją systemu przygotowaną do uruchamiania bezpośrednio z płyty – bez potrzeby instalacji na komputerze.

Więcej informacji na temat Poznaj Linuksa znajduje się na stronie http://poznaj.linux.pl.

Atak na serwis Sun Microsystems

Nowo uruchomiona witryna WWW firmy Sun Microsystems padła ofiarą ataku DoS. Strona służyła prezentacji usługi, która zamienia tekst pisany na mówiony.

Przetwarzanie odbywało się za pomocą całej sieci spiętych ze sobą komputerów, ale witryna znajdowała się na serwerze nie będącym częścią tej sieci, więc same komputery przetwarzające informacje nie zostały zaatakowane.

Rzecznik prasowy Suna stwierdził, że „problem został szybko rozwiązany. Bezpieczeństwo Sun Grida nie zostało naruszone i użytkownicy usługi nie zostali narażeni na niebezpieczeństwo”.

Ataki typu DoS polegają na zadaniu zaatakowanemu komputerowi tak wielu zapytań, że nie jest on w stanie odpowiedzieć na zapytania legalnych użytkowników.

W odpowiedzi na atak stronę WWW wyłączono, a usługa dostępna jest jedynie dla zarejestrowanych użytkowników. Korzystać z niej mogę tylko obywatele USA, którzy przy rejestracji muszą podać adres i szczegóły dotyczące konta bankowego, co pozwala Sunowi ścigać tych, którzy spróbują wykorzystać usługę do nielegalnych celów.

Źródło: Arcabit