Muzyka sama się chroni
Paweł Krawczyk
piątek, 18. kwietnia 2003
Multimedia, które bronią swoich praw same
- tam można podsumować zaprezentowane przez Cryptography
Research podejście do ochrony praw autorskich. Twórcy wyciągnęli
daleko idące wnioski z porażek poprzednich systemów (SDMI, HDCP). Nowa
propozycja polega na wbudowaniu mechanizmów sterujących dekodowaniem
i deszyfrowaniem treści w nią samą, w postaci pseudokodu wykonywalnego
przez wirtualną maszynę działającą w odtwarzaczu. Niezależnie od tego,
czy ten ostatni będzie programowy czy sprzętowy i czy kod VM będzie
jawny czy nie, odtworzenie treści nie będzie możliwe jeśli sam plik
muzyczny na to nie zezwoli (na przykład nie otrzyma od odtwarzacza
odpowiedniego klucza).
Self Protecting Digital Content http://www.cryptography.com/resources/whitepapers/SPDC.htm
|
Windows 2000 Security Hardening Guide
Wojtek Dworakowski
piątek, 18. kwietnia 2003
Microsoft opublikował w końcu dość hardcorowy dokument o hardenningu
win2k (poprzednie były raczej nędzne i nic nie wnosiły do sprawy).
Windows 2000 Security Hardening Guide http://www.microsoft.com/technet/security/prodtech/Windows/Win2kHG.asp
|
Kolejny dwufunkcyjny tryb szyfrowania CWC
Paweł Krawczyk
czwartek, 17. kwietnia 2003
T. Kohno, J. Viega, D. Whiting opublikowali propozycję
kolejnego trybu szyfrowania dla szyfrów blokowych zapewniających zarówno
ochronę poufności, jak i integralności oraz autentyczności przetwarzanych
informacji. Tryb Carter-Wegman Counter (CWC) jest oparty o szyfr AES i
posiada szereg atrakcyjnych cech, m.in. dowiedzione bezpieczeństwo,
równoległość oraz wysoką wydajność w implementacjach sprzętowych
i programowych.
T. Kohno, J. Viega, D.&bnsp;Whiting ,,The CWC-AES Dual-Use Mode'' http://www.ietf.org/internet-drafts/draft-irtf-cfrg-cwc-00.txt
|
Polityka opóźnia DNSSEC
Paweł Krawczyk
poniedziałek, 14. kwietnia 2003
Według Paula Mockapetrisa, współtwórcy DNS i współautora wielu
standardów RFC, wprowadzenie rozszerzeń systemu DNS o funkcje
bezpieczeństwa (DNSSEC) jest
opóźniane wyłącznie z powodów politycznych. I faktycznie DNSSEC,
który zapewnia kryptograficzną ochronę autentyczności nazw zwracanych
przez DNS, jest nie tylko jednym z najdłużej rozwijanych standardów
technicznych Internetu, ale także jako jeden z niewielu nie doczekał
się nawet próbnego wdrożenia na skalę globalną. Pomimo że pierwsze
RFC definiujące DNSSEC pojawiły się w 1997 roku, to trwające po dziś
dzień przepychanki o to, kto będzie stał na czele infrastruktury
klucza publicznego uwierzytelniającej DNSSEC (czytaj: kto będzie na
tym zarabiał) powodują, że praktyczne wdrożenie systemu jest wciąż
blokowane. Według Mockapetrisa rozstrzygnięcia tej nieprzyjemnej
sytuacji potrwa jeszcze minimum pół roku, a na powszechne wprowadzenie
DNSSEC do użycia trzeba będzie poczekać jeszcze przynajmniej dwa lata.
The Register: John Leyden ,,DNS inventor calls for security overhaul'' http://www.theregister.co.uk/content/7/30224.html
DNSSEC http://www.dnssec.net/
|
Bezpieczniejsze OpenBSD 3.3
Paweł Krawczyk
poniedziałek, 14. kwietnia 2003
Na pierwszego maja zapowiedziano premierę nowej wersji systemu
OpenBSD 3.3, który
posiada szereg nowatorskich zabezpieczeń, chroniących głównie
przed potencjalnymi nowymi atakami przez przepełnienie bufora. Nowe
zabezpieczenia to zaimplementowana na poziomie kernela randomizacja
przestrzeni adresowej procesów (ale nie na i386), zablokowanie
wykonywalnego stosu, domyślnym kompilatorem jest natomiast GCC z łatą
ProPolice,
która również dodaje ochronę przed przepełnieniem bufora na poziomie
procesu. OpenBSD 3.3 jest pierwszym systemem operacyjnym, który
takie zabezpieczenia włączył do oficjalnej dystrybucji. Gwoli
sprawiedliwości należy dodać, że znacznie bogatszy zestaw
zabezpieczeń jest dostępny dla Linuxa w łacie na kernel grsecurity, ProPolice jest
także dostępne dla Linuxa. Do stosowania obydwu w swoich systemach
gorąco zachęcam, jako wieloletni użytkownik jednego i drugiego.
OpenBSD 3.3 http://www.openbsd.org/33.html
ProPolice http://www.trl.ibm.com/projects/security/ssp/
http://www.grsecurity.net/
|
Nowy dwufunkcyjny tryb szyfrowania EAX
Paweł Krawczyk
poniedziałek, 14. kwietnia 2003
M. Bellare, P. Rogaway i D. Wagner
opublikowali propozycję nowego, dwufunkcyjnego
trybu stosowania dowolnego szyfru blokowego. Tryb EAX zapewnia
równoczesną ochronę poufności, integralności i autentyczności każdego
szyfrowanego bloku, co jest bardzo wygodne w protokołach takich
jak IPSec. W dotychczas stosowanym trybie CBC dla zapewnienia
dwóch ostatnich cech należało dołączać dodatkowy blok danych
HMAC. Bezpieczeństwo EAX można dowieść, nie jest on także objęty
patentami.
M. Bellare, P. Rogaway i D. Wagner ,,A Conventional Authenticated-Encryption Mode'' http://www.cs.berkeley.edu/~daw/papers/eax.html
|
Wyniki konkursu Stupid Security
Paweł Krawczyk
środa, 9. kwietnia 2003
Organizacja Privacy
International zakończyła pierwszą edycję konkursu Stupid
Security, na który zgłoszono prawie 5000 nominacji z 40
krajów. Celem konkursu jest wyłonienie najbardziej upierdliwych,
drogich, bezsensownych - a przy tym całkowicie nieprzydatnych -
środków bezpieczeństwa jakie w ostatnich latach obficie wprowadzono
w najróżniejszych miejscach na całym świecie. Wśród nagrodzonych
znaleźli się rząd Australii, mer Moskwy (to akurat nic dziwnego),
liczne służby ochrony lotnisk i wiele innych. Warto przejrzeć
wszystkie nominacje, należy uważać z jedzeniem aby nie opluć
monitora ;)
Privacy International Stupid Security http://www.privacyinternational.org/activities/stupidsecurity/
|
Wyniki testów VIA C3 Nehemiah
Paweł Krawczyk
wtorek, 8. kwietnia 2003
Firma Cryptography Research ukończyła raport z analizy projektu i implementacji
sprzętowego generatora liczb losowych PadLock. Układ,
zaprojektowany przez firmę Centaur
Technology na zlecenie VIA, jest obecny w nowej serii procesorów C3 Nehemiah tej firmy.
Cryptography Research ,,VIA Technologies Random Number Generator''
VIA C3 PadLock http://www.via.com.tw/en/viac3/padlock.jsp |
Metody uzyskiwania kodów PIN
Paweł Krawczyk
sobota, 5. kwietnia 2003
Jolyon Clulow opublikował artykuł ,,PIN Recovery Attacks'' omawiający znane ataki pozwalające na złamanie lub odzyskanie kodów
PIN z modułów kryptogaficznych stosowanych przez banki. Nowe ataki,
podobnie jak poprzednie,
nie obniżają bezpośrednio bezpieczeństwa transakcji kartami
bankowymi, ale ułatwiają popełnianie trudnych do wykrycia
nadużyć nieuczciwym pracownikom banków. A ci, jak pokazuje niedawny przykład,
występują także u nas.
Lolyon Clulow ,,PIN Recovery Attacks'' http://arch.ipsec.pl/Clulow.pdf
hacking.pl, ,,Informatyk okradał konta klientów'' http://hacking.pl/news.php?id=2153
|
Kolejny atak na OpenSSL
Paweł Krawczyk
czwartek, 20. marca 2003
Trzech czeskich kryptologów opublikowało nowy atak na implementację
SSL w bibliotece OpenSSL. Atak
jest rozwinięciem znanego wcześniej ataku
Bleichenbachera na protokoły oparte o RSA i wykorzystujące standard
PKCS #1. Atak trzech Czechów wymaga zadania atakowanemu serwerowi
milionów zapytań i w laboratorium odkrywców zajął on ok. 55 godzin po
sieci 100 Mbit/sek, niemniej pozwolił na odtworzenie tzw. premaster
secret, czyli czynnika na podstawie którego generowane są
klucze sesyjne w SSL. Zostały także opublikowane odpowiednie poprawki do biblioteki OpenSSL.
Klima, Pokorny, Rosa
,,Attacking RSA-based Sessions in SSL/TLS'' http://eprint.iacr.org/2003/052/
OpenSSL Security Advisory http://www.openssl.org/news/secadv_20030319.txt
|
Trusted Debian
Paweł Krawczyk
środa, 19. marca 2003
Miłośników Debiana zainteresuje na pewno projekt Trusted Debian, który jako
stosunkowo prosty ugprade do Debiana 3.0 Woody wprowadza szereg funkcji
poprawiających bezpieczeństwo systemu. Nowe pakiety są w większości
skompilowane GCC z dodaną ochroną przed przepełnieniem bufora (drugim
poziomem jest PaX w kernelu), domyślnie zainstalowany jest FreeS/WAN
1.99 z X.509, najnowszy Snort i Zorp oraz sterowniki WLAN wyposażone
m.in. w funkcje monitorowania oraz pracy w trybie AP.
Trusted Debian http://www.trusteddebian.org/
|
Prezent dla operatorów niekonstytucyjny?
Paweł Krawczyk
środa, 19. marca 2003
Gazeta Wyborcza opublikowała artykuł zawierający kolejne komentarze odnośnie rozporządzenia Ministra Infrastruktury
regulującego sprawy zakładania podsłuchu.
P. Rożyński ,,Operatorzy będą musieli wyłożyć setki milionów złotych na sprzęt do inwigilacji'' http://www1.gazeta.pl/wyborcza/1,34513,1378995.html
|
Kolejny atak na OpenSSL
Paweł Krawczyk
poniedziałek, 17. marca 2003
Biblioteka OpenSSL stała się
ostatnio obiektem dociekliwych badań kryptologów, na co zapewne
zasługuje jako jedna z najpopularniejszych obecnie implementacji
protokołów SSL/TLS. Tym razem naukowcy ze Stanfordu opublikowali
praktyczny atak czasowy (timing attack) na serwery niewłaściwie
wykorzystujące bibliotekę. A ściślej, nie wykorzystujące wbudowanego
w nią zabezpieczenia (blinding) przed atakami tego typu. Atak jest
możliwy do przeprowadzenia wyłączenie w sieci lokalnej i pozwala na
odzyskanie klucza prywatnego serwera po ok. milionie zapytań.
Boneh, Brumley ,, Remote timing attacks are practical'' http://crypto.stanford.edu/~dabo/abstracts/ssl-timing.html
|
Atakowanie i zabezpieczanie Oracle
Paweł Krawczyk
poniedziałek, 17. marca 2003
Polska Grupa Użytkowników Systemów Oracle organizuje 1-dniowe
seminarium poświęcone metodom atakowania oraz zabezpieczaniu
Oracle 9i. Organizatorzy postanowili się skupić przede wszystkim
na problemach bezpieczeństwa aplikacji internetowych tworzonych
przy wykorzystaniu technologii Oracle.
Seminarium PLOUG Oracle http://www.ploug.org.pl/seminarium_fx.htm
|
Dziury: Sendmail, Bind, Snort
Szymon Miotk
piątek, 7. marca 2003
Wykryto poważnie dziury w popularnym oprogramowaniu: Sendmail -
buffer overflow pozwalający na zdalne zdobycie praw roota, BIND - nie wiadomo o co chodzi, ale ISC zaleca szybki upgrade do 9.2.2,
Snort - buffer overflow w preprocesorze RPC pozwala na zdalne
zdobycie praw, z jakimi chodzi snort, domyślnie root. Jednocześnie
warto przypomnieć, że snort ma opcję -u user, która pozwala mu działać
z prawami normalnego użytkownika.
CERT Sendmail http://www.kb.cert.org/vuls/id/398025
BIND 9.2.2 http://www.isc.org/products/BIND/
CERT Snort http://www.kb.cert.org/vuls/id/916785
|
Porównanie stosów TCP/IP
Paweł Krawczyk
poniedziałek, 3. marca 2003
Firma Reasoning przeprowadziła
automatyczny audyt sześciu implementacji TCP/IP - pięć z nich
było częścią komercyjnych systemów operacyjnych, a porównano je z
linuksową implementacją z kernela 2.4.19. W trakcie prac znaleziono
8 prawdopodobnych błędów, z czego jeden okazał się faktyczną pomyłką
programistyczną, poprawioną później przez twórców Linuksa. Ilość
błędów na tysiąc linii kodu wynosi dla Linuksa 0.10, a średnia dla
badanych implementacji komercyjnych to 0.55. Wyniki te stawiają Linuksa
w, jak to określono, pierwszej trójce najlepszych programów badanych
przez Reasoning w ogóle.
Reasoning Inc: ,,A Quantitative Analysis of TCP/IP Implementations in Commercial Software and in the Linux Kernel'' http://www.reasoning.com/downloads/Open_Source_White_Paper_v1.1.pdf
|
Exploity na komórki
Paweł Krawczyk
poniedziałek, 3. marca 2003
Niewykluczone że już wkrótce nasze telefony komórkowe
zaczną żyć własnym życiem i kilka razy do roku wybuchać
będą epidemie wirusów zbliżonych do tych, które
emailem mnożą się w programie Outlook Express. Firma @Stake ogłosiła pierwszy atak
DoS na telefony komórkowe, w tym konkretnym przypadku Nokia
6250. Odpowiednio skonstruowany SMS zawierający wizytówkę może
zawiesić aparat i konieczne będzie jego zrestartowanie przez wyjęcie
baterii. Ze względu na zamkniętość oprogramowania telefonów komórkowych
i ograniczone możliwości grzebania w nim napisanie wirusa pod to
środowisko będzie zadaniem nietrywialnym. Nie należy jednak zapominać
o tym że komórki bliższe są już komputerom przenośnym niż zwykłym
aparatom telefonicznym i istnieją systemy operacyjne dedykowane dla
tych architektur, a Motorola posunęła się jeszcze dalej, wkładając
do telefonu zmodyfikowanego Linuksa.
@Stake ,,Nokia 6210 DoS SMS Issue'' http://www.atstake.com/research/advisories/2003/a022503-1.txt
|
Elcomsoft: Nowe dziury w Adobe PDF
Paweł Krawczyk
poniedziałek, 3. marca 2003
Rosyjska firma Elcomsoft,
znana z zeszłorocznych perypetii Dymitra Skliarowa w USA nie wybaczyła
firmie Adobe obcesowego potraktowania swojego pracownika w sprawie dziur
w ebookach. Nowa publikacja Elcomsoftu dotyczy błędów w implementacji kryptografii w Adobe Document
Server. Dość dziwna metoda generowania podpisów elektronicznych
oraz wykorzystanie klucza RSA o długości 512 bitów pozwalają według
Elcomsoftu na stosunkowo łatwe podrabianie wyprodukowanych w ten
sposób dokumentów PDF.
Elcomsoft ,,Implementation flaws in Adobe Document Server for Reader Extensions'' http://www.securityfocus.com/archive/1/313613
|
Polityka: Podsłuchiwanie po polsku
Paweł Krawczyk
poniedziałek, 3. marca 2003
Polityka opublikowała
interesujący artykuł autorstwa panów Bendyka i Ścibora poświęcony
polskim realiom w zakresie inwigilacji z majestacie prawa i poza nim.
W artykule m.in. wypowiedzi ludzi z ABW, polityków i operatorów
telekomunikacyjnych.
Polityka: E. Bendyk, M. Ścibior, ,,Spisane czyny i rozmowy'' http://polityka.onet.pl/162,1112387,1,0,2390-2003-09,artykul.html
|
Nessus 2.0
Paweł Krawczyk
wtorek, 25. lutego 2003
Ukazała się nowa wersja najpopularniejszego darmowego skanera dziur
Nessus 2.0. Zalety nowej wersji
to przede wszystkim znaczące przyspieszenie działania i zmniejszone
wymagania pamięciowe, oraz skuteczniejsze rozpoznawanie usług. Nessus
działa pod większością systemów uniksowych i pozwala na wyszukiwanie
potencjalnych dziur w praktycznie wszystkich istniejących systemowach
operacyjnych, w tym Windows.
Nessus 2.0http://www.nessus.org/
|
Minister rozporządził
Paweł Krawczyk
poniedziałek, środa, 24,26. lutego 2003
Ministerstwo Infrastruktury opublikowało w końcu rozporządzenie do art. 40 ustawy
telekomunikacyjnej, który reguluje obowiązki operatorów
w zakresie udostępniania swoich sieci do podsłuchu przed
uprawnione służby. W porównaniu do poprzedniej wersji
usunięto m.in. absurdalne z technicznego punktu widzenia
zapisy o archiwizacji danych oraz konieczności dostarczania
ich do służb na koszt operatora. Dodajmy także, że nowy projekt
zmian w prawie telekomunikacyjnej również przewiduje wprowadzenie
dodatkowych regulacji w zakresie korzystania z telefonów komórkowych
na karty (prepaid). Niestety nie wiadomo jeszcze jakich...
Michał Trojnara zwrócił uwagę, że po pierwsze paragraf 5
rozporządzenia może być również rozumiany jako wymóg archiwizacji
treści, a w paragrafie 6, pkt 1 określenie ,,uzgadniać'' jest o wiele
bardziej wiążące dla operatora niż dla służb specjalnych, co oznacza
że te ostatnie mogą po prostu nakazać zestawienie dedykowanego łącza
do siebie na koszt operatora. Interesująca jest również wymagana
zdolność przechwytywania wynosząca 0,2% przepustowości operatora,
co według szacunków Michała (15 mln abonentów w Polsce) oznacza, że
władze przewidują podsłuchiwanie ok. 30 tys. osób w tym samym momencie.
Podsłuch ISP http://ipsec.pl/podsluch/
|
Bankomaty mniej bezpieczne
Paweł Krawczyk
czwartek, 20. lutego 2003
Zespół z Cambridge, Mike Bond i Piotr Zieliński, opublikowali nowy
atak na sprzętowe moduły zabezpieczające, stosowane powszechnie do
obsługi bankomatów. Dobrą wiadomością jest to że nowy atak nie zmienia
odporności kodu PIN na przeciętnego złodzieja kart kredytowych. Złą,
że osobom posiadającym dostęp do systemu bankowego umożliwia niemal
trzystukrotnie szybsze łamanie kodów PIN należących do klientów.
TR-560: Bond, Zieliński ,,Decimalisation table attacks for PIN cracking'' http://www.cl.cam.ac.uk/TechReports/UCAM-CL-TR-560.pdf
Ross Anderson, Mike Bond ,,Protocol Analysis, Composability and Computation'' http://cryptome.org/pacc.htm
|
Red Hat i Oracle w kolejce po certyfikat
Paweł Kot
środa, 19. lutego 2003
Oracle i Red Hat planują przeprowadzenie certyfikacji dystrybucji
Red Hat Linux Advanced Server wraz z bazą Oracle 9i działającą na
tej platformie na poziomie Common Criteria Evaluation Assurance Level
(EAL) 4. Osiągnięcie celu: najpierw EAL2, potem EAL4 dla RH, a potem
EAL4 dla Oracle, ma kosztować ok. 1 mln USD i trwać około 10 miesięcy.
Wydatek to spory, ale ma szansę się opłacić. Certyfikat, którym
od jakiegoś czasu szczyci się Microsoft Windows 2000, może otworzyć
Linuksowi (choć w zasadzie na razie tylko tej konkretnej wersji) drogę
do wielu amerykańskich agend rządowych, które wydają się ponętnym
kąskiem i dobrym łupem marketingowym dla samego Linuksa.
Common Criteria to certyfikaty uznawane w wielu krajach, a przyznawane
przez National Institute of Standards and Technology. Jonathan Shapiro
z okazji uzyskania EAL4 przez MS Windows 2000 opisał dokładnie,
co oznacza posiadanie takiego certyfikatu dla systemu operacyjnego.
LinuxNews: Paweł Kot ,,Red Hat i Oracle w kolejce po certyfikat'' http://hedera.linuxnews.pl/_news/2003/02/13/_long/1735.html
|
Rekordowa kradzież kart kredytowych
Paweł Krawczyk
środa, 19. lutego 2003
Włamywacze, którzy opanowali system komputerowy jednej z firm
zajmującej się obsługą transakcji kartami kredytowymi uzyskali
dostęp do bazy zawierającej ponad 5 milionów numerów kart Visa
i MasterCard, poinformowali przedstawiciele tych firm. Nie ujawniono
kto był tak kompetentny, jednak obie firmy zapewniły że ich klienci
nie poniosą finansowych strat z tego tytułu. Jednak koszt wymiany
skompromitowanych kart i prowadzenia ewentualnych dochodzeń będzie
zapewne ogromny.
Reuters: ,,Over 5 million Visa/MasterCard accounts hacked into'' http://www.forbes.com/markets/newswire/2003/02/17/rtr881826.html
|
Jak nie TIA to DSEA
Paweł Krawczyk
środa, 19. lutego 2003
Amerykańskie ministerstwo sprawiedliwości po cichu przygotowuje do
legislacji obszerną (120 stron) ustawę, która - jeśli zostanie wprowadzona
w życie - radykalnie zmieni dotychczasowe uprawnienia organów ścigania
w zakresie inwigilacji i prowadzenia czynności śledczych w przypadkach
uzasadnionych dość ogólnym pojęciem ,,bezpieczeństwa narodowego''. Trudno
powiedzieć jaka będzie przyszłość tego projektu, ale w razie inwazji
USA na Irak rząd Busha może mieć w tym względzie większą siłę przebicia
niż w przypadku równie kontrowersyjnego projektu TIA.
Declan McCullagh ,,Ashcroft's worrisome spy plans'' http://news.com.com/2010-1071-983921.html
|
Nowe błędy w SSL/TLS
Paweł Krawczyk
środa, 19. lutego 2003
Autorzy jednej z najpopularniejszych implementacji protokołu SSL/TLS
OpenSSL poinformowali o odkryciu kolejnego błędu, który ułatwia odzyskanie jawnej treści przekazu
zabezpieczanego przez SSL. Metoda opracowana przez Serge Vaudenay
i innych badaczy z EPFL polega
na wykorzystaniu różnicy w traktowaniu przez serwer błędu skrótu
kryptograficznego pakietu i błędu w dopełnieniu, co w określonych
warunkach, dzięki pomiarom różnic w czasie ich przetwarzania, może
umożliwić atakującemu odzyskanie tekstu jawnego często powtarzającego
się w zaszyfrowanym tunelu (np. hasła). Odpowiednie poprawki zostały
wprowadzone do OpenSSL w wersjach 0.9.6i i 0.9.7a. Brak jest informacji
na temat występowania tego problemu w innych implementacjach SSL/TLS.
OpenSSL Security Advisory ,,Timing-based attacks on SSL/TLS with CBC encryption'' http://www.openssl.org/news/secadv_20030219.txt
Bodo Möller ,,Security of CBC Ciphersuites in SSL/TLS'' http://www.openssl.org/~bodo/tls-cbc.txt
|
Elektroniczna wojna w Iraku
Paweł Krawczyk
środa, 19. lutego 2003
Magazyn GoMemphis prezentuje
interesujący artykuł na temat prowadzenia przez USA wojny na ,,froncie
elektronicznym''. Według autora wojna elektroniczna (information
operations), mająca na celu sparaliżowanie wrogich systemów
łączności oraz sterowania walką, jest jednym z priorytetowych elementów
strategii USA w planowanej wojnie o iracką ropę. Jako przykład podaje
się przeprowadzoną w 1991 roku operację dywersyjną, która zablokowała
iracki system obrony przeciwlotniczej KARI podczas wojny w Zatoce
Perskiej. W trakcie wcześniejszych przygotowań do systemu wprowadzono
wirusopodobne oprogramowanie, które uaktywnione zostało w momencie
ataku amerykańskich sił.
GoMemphis: Gary Pounder ,,Taking byte from Baghdad'' http://www.gomemphis.com/mca/opinion_columnists/article/0,1426,MCA_539_1726690,00.html
|
Artykuł ,,Session fixation vulnerability'' po polsku
Paweł Krawczyk
wtorek, 18. lutego 2003
Sławomir Soszyński udostępnił nam polskie tłumaczenie artykułu
,,Session Fixation Vulnerability in Web-based Applications'' poświęconego dziurom w obsłudze sesji przez aplikacje oparte o
środowisko HTTP. Mamy nadzieję, że tłumaczenie to pomoże polskim
programistom pisać jeszcze bezpieczniejsze programy.
Tłumaczenie Sławomira Soszyńskiego http://arch.ipsec.pl/sess_fix.pdf
|
Ataki na CIFS/SMB
Paweł Krawczyk
wtorek, 18. lutego 2003
Daniel Wasyliszyn opublikował artykuł ,,Enumeracja i omówienie słabości protokołu CIFS/SMB'', w którym pokazuje praktyczne strony ataków na systemy Windows.
Daniel Wasyliszyn ,,Enumeracja i omówienie słabości protokołu CIFS/SMB'' http://arch.ipsec.pl/SMB_ver1.0.html
|
Nowa wersja testów DIEHARD
Paweł Krawczyk
czwartek, 6. lutego 2003
Osoby, które korzystają ze starej, fortranowej implementacji
znanych testów statystycznych DIEHARD ucieszy zapewne informacja,
że autor George Marsaglia udostępnił nową, odświeżoną implementację
zestawu. Napisana całkowicie w C i o wiele lepiej udokumentowana,
pozwala na przeprowadzenie kilkunastu testów pozwalających ocenić
jakość liczb pseudolosowych.
Diehard Battery of Tests of Randomness v0.2 beta http://www.csis.hku.hk/~diehard/v0.2beta/
|
Wykradziono hasła Gadu-Gadu
Paweł Krawczyk
środa, 5-6. lutego 2003
Dzięki Arturowi Poczekalewiczowi wiadomo już jak zostały
wykradzione hasła Gadu-Gadu, opublikowane na serwisie Interceptor. Wraz
z Marcinem Bukowskim odkryli oni dziurę w skryptach ASP na serwerze
firmy obsługującej GG. Elementarny błąd umożliwiał łatwe pobieranie
z bazy hasła oraz adresu email dowolnego użytkownika o znanym
UID. Wybierając kolejne lub losowe UID można było oglądać hasła
przypadkowych użytkowników Gadu-Gadu.
Odkrywcy poinformowali o tym firmę 26. grudnia 2002, jednak błąd został
naprawiony dopiero 1. stycznia 2003, czyli równo po tygodniu. Przez ten
czas jednak błąd został jednak odkryty przez innych, którzy zdobyte
w ten sposób informacje zaczęli wykorzystywać do podszywania się pod
dowolnych użytkowników Gadu-Gadu. Po fali nadużyć operator zalecił
użytkownikom zmianę hasła ,,ze względów bezpieczeństwa''.
Jak wyjaśnia Tomasz Słodkowicz, rozwiązanie to ma również swoje
wady, ponieważ GG nie doczekało się jeszcze żadnej ochrony poufności
przesyłanych danych podczas operacji na bazie (np. zmiana hasła),
pomimo że samo logowanie użytkownika nie naraża go już na podsłuchanie
hasła. Próby tuszowania własnych błędów oraz brak silnej ochrony
poufności w protokole Gadu-Gadu sugeruje, że operator GG nie nauczył
się niczego na błędach swoich poprzedników.
Wykradzione hasła Gadu-Gadu http://www.interceptor.g3.pl/gg/gg.htm
Program ggfun.c http://arch.ipsec.pl/ggfun.c
|
Nowe badania nad sprzętowym łamaniem RSA
Paweł Krawczyk
wtorek, 28. stycznia 2003
Shamir i Tromer opublikowali pracę Factoring Large Numbers
with the TWIRL Device, którą można uważać za kontynuację i
rozwinięcie zeszłorocznego artykułu Bernsteina. Obie prace dotyczą
układów scalonych dedykowanych do faktoryzacji (łamania) współcześnie
używanych kluczy RSA. Według autorów urządzenie zdolne złamać klucz RSA
o długości 512 bitów w ciągu 10 minut może kosztować ok. 10 tys. USD,
a zdolne do złamania klucza 1024-bitowego w ciągu roku około 10 mln
USD. Jest to nadal stosunkowo słaby rezultat za stosunkowo dużą cenę,
ale niewątpliwie pokazuje że łamanie uznawanych dziś za bezpieczne
kluczy 1024-bitowych nie pozostaje poza zasięgiem ludzkich możliwości.
A. Shamir, E. Tromer, ,,Factoring Large Numbers with the TWIRL Device'' http://arch.ipsec.pl/twirl.pdf
|
Amerykańska inwigilacja na chwilę powstrzymana
Wojtek Dworakowski
wtorek, 28. stycznia 2003
Senat USA zablokował wprowadzenie w życie opracowanego przez Pentagon
systemu komputerowego wglądu w dane osobiste wszystkich Amerykanów, który
krytycy porównali do orwellowskiego "Wielkiego Brata".
Senatorowie bez dyskusji i jednomyślnie zabronili instalacji systemu,
zwanego Total Information Awareness Program (dosł. Program Totalnej
Świadomości Informacyjnej). Przewiduje on skanowanie informacji zawartych w
poczcie internetowej obywateli oraz w komercyjnych bazach danych firm
finansowych, biur podróży i instytucji służby zdrowia, które gromadzą dane o
swoich klientach.
USA: Senat kontra ,,Wielki Brat'' http://fakty.interia.pl/news?inf=348614
|
