Nowa praca dyplomowa w Bibliotece Paweł Krawczyk poniedzialek, 19. wrzesnia 2005
Dzieki uprzejmosci Konrada Malewskiego mozemy zaprezentowac nowa
prace dyplomowa w naszej Bibliotece.
W pracy oceniano skutecznosc atakow DDoS na rozne systemy operacyjne.
|
Zmiany w IPSec.pl Paweł Krawczyk środa, 30.czerwca 2005
Serwis IPSec.pl działa na nowym serwerze.
Serwis ma teraz również inną strukturę - aktualności
z dziedziny bezpieczeństwa publikujemy obecnie na
Security
ComputerWorld. IPSec.pl bedzie docelowo zmieniac profil na
katalog i archiwum zasobów związanych z bezpieczeństwem sieci.
|
Kolejna duża liczba pierwsza Paweł Krawczyk poniedziałek, 21. lutego 2005
W ramach projektu GIMPS odkryto kolejną ogromną liczbę pierwszą
Mersenne'a.
Informacja jest nieoficjalna ale jeśli zostanie potwierdzona, to
nowa liczba będzie 42-gą, największą obecnie znaną liczbę postaci
2p-1. Liczy takie są nazywane liczbami Mersenne'a.
Projekt GIMPS http://www.mersenne.org/
|
Dziury w szyfrowaniu MS Word i Excel Paweł Krawczyk środa, 19. stycznia 2005
W szyfrowaniu dokumentów zapisywanych przez najnowsze wersje
Worda i Excela odkryto błędy, które niweczą szyfrowanie w przypadku
powtórnego zapisania pliku ze zmianami.
Problem wynikał stąd, że programy nie zmieniają wektora inicjalizującego
przy zapisywaniu kolejnej - zmienionej - wersji dokumentu. W rezultacie
uzyskujemy dwa dokumenty z różnymi tekstami jawnymi i tym samym kluczem.
Ponieważ zastosowany jest szyfr strumieniowy XOR taka metoda szyfrowania
jest fatalnym błędem opisanym szczegółowo w naszym leksykonie.
ComputerWorld: "Microsoft: błąd w szyfrowaniu Worda i Excela" http://security.computerworld.pl/news/74618.html
Hongjun Wu "The Misuse of RC4 in Microsoft Word and Excel" http://eprint.iacr.org/2005/007.pdf
|
Praca we Wrocławiu Paweł Krawczyk piątek, 14. stycznia 2005
Siemens sp. z o.. (biuro regionalne we Wrocławiu) poszukuje osoby
dobrze znającej zagadnienia bezpieczeństwa sieci (szczególnie
technologii IPSec) oraz język programowania C/C++.
Zainteresowanych
prosimy o wypełnienie formularza "Specjalista ds. Informatyki
COM/SDC/PD/B" znajdującego się na stronie Siemensa.
http://www.siemens.pl/praca_oferty_nowe.asp#
|
Wirtualne płatności - książka Damiana Daszkiewicza Paweł Krawczyk poniedziałek, 17. stycznia 2004
Nakładem wydawnictwa Złote Myśli ukazała się książka Damiana Daszkiewicza poświęcona m.in. bezpieczeństwu płatności elektronicznych. Dostępna jest recenzja tej publikacji.
|
Nowy MAC Bernsteina Paweł Krawczyk piątek, 14. stycznia 2005
D.J. Bernstein, znany z niekonwencjonalnych i bezkompromisowych
rozwiązań w zakresie bezpieczeństwa i kryptografii opublikował nowy
algorytm bezpiecznego skrótu wiadomości (MAC) o roboczej nazwie
Poly1305-AES.
Algorytm charakteryzuje się gwarantowanym bezpieczeństwem,
modularnością (zamiast AES można użyć innego szyfru) i bardzo wysoką
wydajnością. Algorytmy MAC mają o wiele szersze zastosowania niż
nawet szyfry - wykorzystuje się je na każdym kroku do potwierdzania
autentyczności i integralności danych, skracania haseł itd.
D.J. Bernstein "Poly1305-AES"
http://cr.yp.to/mac.html
|
Hakin9 , numer 6/2004 ? obecny !
Piotr Kuliński
piątek, 10 grudnia 2004
Ukazała się 'nowa wersja' Hard Core IT Security Magazine. Recenzja w dziale recenzje tuż obok.
|
Fedora Core 3 obecna
Piotr Kuliński
wtorek, 16 listopada 2004
Od kilku dni mamy możliwość ściągania Fedory Core w wersji 3.
W odróżnieniu od wersji 2 wersja 3 ma domyślnie uruchamiana opcję
instalacji SELinux. Nowością w wersji 3 jest istnienie dwóch rodzajów
polis. Domyślną polisą bezpieczeństwa staje się polisa określona jako
polisa 'docelowa' (targeted policy). Polisa ta stosuje politykę
restrykcji SELinux tylko do części działających procesów i demonów,
min: named, httpd, dhcpd, portmap, squid, nscd, syslogd, snmpd , ntpd.
Pozostałe procesy działają w domenie unconfined_t, w której stosowany
jest standardowy tryb kontroli dostępu DAC (discretionary access
controls). Drugą z dostępnych polis jest standardowa polisa 'ścisła'
(strict policy), w której wszystkie procesy bez wyjątku poddane są
zasadom MAC określonym przez architekturę SELinux.
What's New in Fedora Core 3 SE Linux http://www.linuxjournal.com/node/7887
|
Bomba z opóźnionym zapłonem.
Piotr Kuliński
poniedziałek, 15 listopada 2004
Przygotuj się na problemy z aplikacjami typu 'web-based'.
Brytyjska firma NGS Software zajmująca się
konsultacjami z dziedziny bezpieczeństwa przewiduje wzrost ataków na
osobiste komputery z wykorzystaniem zaszytego w aplikacjach webowych
kodu z 'opóźnionym zapłonem'. W opublikowanym dokumencie NGS prezentuje swoje wnioski na temat 'zmieniającego się kształtu
bezpieczeństwa'. Gunter Oldman, autor publikacji wyjaśnia : '[...] w
pewnych przypadkach możliwym dla atakującego może stać się
wstrzyknięcie szkodliwego kodu w obszar danych. Kod taki może zostać
wykonany w późniejszym czasie.'
Przykładem może być końcowy interfejs WWW, który pobiera dane dla
późniejszego ich przetworzenia przez aplikację. Odpowiednie
spreparowanie danych może spowodować, że dane te zostaną potraktowane
jako kod do wykonania w trakcie ich późniejszego wykonywania. O
sposobie wykorzystania ukrytego kodu zadecydować może już sam napastnik
(np. zlecając mu instalacje konia trojańskiego). Problem jest na tyle
poważny, że część słabości może ujawniać się nie w trakcie działania
samej aplikacji, ale dopiero w momencie przetwarzania konkretnych,
spreparowanych danych.
Say hello to the 'time bomb' exploit http://www.theregister.co.uk/2004/11/12/time_bomb_exploit/
|
Bankomaty pod obstrzałem
Piotr Kuliński
niedziela, 07 listopada 2004
Już wkrótce może się okazać, że odnalezienie sprawnego bankomatu w mieście może okazać się prawdziwą sztuką.
Zwłaszcza w dobie plagi internetowych wirusów. Problem spowodowany być
może bardzo prosto - coraz więcej banków decyduje się na wyposażanie
swoich bankomatów w system operacyjny giganta z Redmont (Microsoft dla
niezorientowanych). Problemem może być tutaj zakończenie wsparcia
systemu OS/2, w który wyposażona jest znaczna część "ścian". Co prawda
eksperci uspokajają, iż "wszystko jest pod kontrolą". Znając jednak
historię bezpieczeństwa systemu Windows oraz jego zamknięty kod, można
przewidzieć sytuację, że mimo podjętych prób zabezpieczeń bankomat
przywita nas ekranem znanym nam z niejednej stacji z "Windozami" (np.
"program wykonał niedozwoloną operację i nastąpi jego zamknięcie").
Sądzę, iż to tylko kwestia czasu, gdy plaga wirusów będzie równoznaczna
z problemem podjęcia pieniędzy. Stary system, mimo, że prosty i toporny
zapewnia jednak posiadanie prostej cechy - za czasów jego powstawania
nikt nie myślał o sieciowych organizmach buszujących w sieci a w chwili
obecnej nikt nie jest zbytnio zainteresowany pisaniem takich stworzeń
na owe systemy. Cóż, widocznie ilość kolorowych plam na ekranie
bankomatu (koniecznie przynajmniej 24-bitowa paleta) plus dodatki takie
jak opcja prognozy pogody na najbliższy miesiąc, będą w przyszłości w
bankomatach ważniejsze, niż toporne ale bezbłędne i szybkie działanie.
Dla mnie niestety nie. Jeśli jest ktoś w stanie wytłumaczyć mi, czemu
silnikiem takich bankomatów nie mógłby być system Linux lub któryś z
członków rodziny BSD (na dodatek bezpłatne) to chętnie takiej
odpowiedzi bym posłuchał. Myślę, że oprócz wygody banków argumentów
jest niewiele....
|
