Archiwum IPSec.pl od listopada 2001 do 26. czerwca 2002

Submitted by Paweł Krawczyk on śr., 2008-05-21 22:02
Chris Anley: ,,Violating Database Enforced Security Mechanisms''
środa, 26. czerwca 2002

Artykuł Violating
Database Enforced Security Mechanisms dotyczy obchodzenia
zabezpieczeń w bazach danych przy pomocy dynamicznie ładowanego kodu,
wraz z przykładem dla Microsoft SQL Server 2000.
Zamknięte pecety na horyzoncie
wtorek, 25. czerwca 2002

Ross Anderson w artykule Security
in Open versus Closed Systems komentuje argumenty w dyskusji
o bezpieczeństwie zamkniętego i otwartego oprogramowania.
Druga część artykułu przedstawia fakty na temat inicjatywy
mającej na celu wprowadzenie do pecetów sprzętowej kontroli praw
autorskich (Digital Rights Management), promowanej przez
m.in. Intela (jako TCPA) i Microsoft (jako Palladium) która
uchroni nas przed hakerami, wirusami, spamem i wojnami, jak donosi Newsweek.
W rzeczywistości rzeczywistość z Palladium/TCPA
może nie być aż tak różowa, o czym pisze TCPA FAQ,
rółnież Andresona.
Rosyjski podpis z błędami
czwartek, 20. czerwca 2002

W rosyjskim standardzie GOST 34.19-2001, definiującym metody
tworzenia podpisów cyfrowych w oparciu o zmodyfikowany algorytm
DSA odkryto błędy, pozwalaje na tworzenie poprawnych sygnatur
bez znajomości tajnego klucza. Informacje na ten temat
zostały opublikowane przez A. W. Kobieca w
artykule Mechanizmy machinacji z podpisju w nowom rosijskom standartie GOST 34.19-2001
Dziura w Apaczu
czwartek, 20. czerwca 2002

W serwerze Apache znaleziono w końcu dziurę, pozwalającą
na zdalne wykonywanie złośliwego kodu, związaną z
błędem z obsługą kodowania chunked w HTTP/1.1. W wyniku
przepełnienia bufora serwer wykona kod atakującego z prawami
nieuprzywilejowanego użytkownika uruchamiającego serwer. Oficjalne
ogłoszenie stwierdza co prawda, że dziura
może być wykorzystana tylko na architekturach
64-bitowych, jednak opublikowany przez Gobbles exploit dla OpenBSD/i386 pokazuje że nie jest to prawda, a zawarte w nim
komentarze sugerują że istnieją również nieopublikowane exploity
dla Linuksa i innych systemów. Zalecany jest bezzwłoczny upgrade do
Apache 1.3.26 lub 2.0.39.
SE Linux dostępny do testów
środa, 19. czerwca 2002

Osoby zainteresowane stworzonym przez NSA Security Enhanced Linux mogą przetestować go w "na żywo", dzięki Russelowi Cookerowi,
który udostępnił taką maszynę publicznie w sieci. Jest ona
dostępna po SSH (ssh -p 222 root@adsl.coker.com.au), hasło
roota to pojedynczy znak "1". Nawiasem mówiąc, warto przypomnieć
że firma Compaq również od dawna udostępnia w ramach programu TestDrive konta na silnych
maszynach działających pod najróżniejszymi systemami operacyjnymi,
począwszy od Linuksa, przez BSD, Windows aż do OpenVMS.
Bezpieczny email po angielsku
niedziela, 9. czerwca 2002

Z powodu nieuwagi pracownika brytyjskiego MSZ, tajne ustalenia między
Scotland Yardem a polskim BOR-em dotyczące prywatnej wizyty księcia
Walii Karola w Polsce trafiły pod niewłaściwy adres e-mailowy - pisze
"The Sunday Times". Wizyta rozpoczynająca się w środę będzie musiała zostać
opracowana od nowa od strony organizacyjnej. (PAP) Trudno uwierzyć, że wysłano
tę pocztę nie szyfrując jej PGP lub S/MIME...

Artykuły publikowane od listopada 2001 do połowy 2002 roku nie były datowane
Niemiecka policja od kilku lat wykorzystuje, często bezprawnie,
urządzenie IMSI Catcher, które podszywając się pod
stację bazową GSM umożliwia podsłuchiwanie dowolnych rozmów
w danej komórce. Dobry opis faktycznego bezpieczeństwa w
sieciach GSM oraz samego Catchera można znaleźć w artykule Protection
in Mobile Communications z Politechniki Drezdeńskiej.
W ostatnim numerze miesięcznika Handel i Zarządzanie czytamy:
,,Polski naukowiec prof. Topolewski twierdzi jednak, że system
szyfrowania RSA, na którym opiera się SSL. oparty jest na banalnym
do złamania szyfrze Cezara''. Czyżby ominęło nas jakieś istotne
odkrycie w zakresie kryptografii, czy też jest to kolejny przypadek
dziennikarskiej nadinterepretacji?
Nowy atak na karty SIM dla telefonów GSM umożliwia
ich sklonowanie w czasie krótszym od minuty. Badacze
z IBM wykorzystali kanał podprogowy jakim są różnice w poborze prądu
przez kartę podczas wykonywania operacji kryptograficznych,
w wyniku czego możliwe jest odtworzenie tajnego klucza
algorytmu COMP128 uwierzytelniającego kartę. Oczywiście, aby
skorzystać z takiej karty nadal konieczna jest znajomość PIN. (Partitioning
Attacks on GSM Cards)
Artykuł Keeping
Secrets in Hardware jest interesującą analizą zabezpieczeń
zastosowanych przez Microsoft w maszynce do gier X-Box wraz z
omówieniem ich słabości. W urządzeniu zastosowano liczne zabezpieczenia
przed reverse-engineeringiem, wykorzystujące zarówno techniki
sprzętowe jak i programowe.
Na MIT opracowano technologię, pozwalającą na miksowanie nagrań
wideo mówiących osób z nowym dźwiękiem tak, by ruchy warg i mimika
twarzy była z nim perfekcyjne zsynchronizowana. Podstawowym
zastosowaniem ma być oczywiście przemysł filmowy, ale jest to
zbyt atrakcyjne narzędzie propagandy czy manipulacji by łudzić
się, że będzie wykorzystywane tylko w celach rozrywki. (boston.com)
Unia Europejska przegłosowała kontrowersyjną dyrektywę o ochronie
danych w komunikacji. Państwa członkowskie UE
mogłyby, między innymi, obligować lokalnych operatorów
telekomunikacyjnych do prewencyjnego (bez nakazu sądu),
globalnego rejestrowania informacji o dokonywanych połączeniach
i przechowywania ich przez nieokreślony czas. Trwa kampania przeciwko temu zapisowi dyrektywy, do tej porty zebrano ponad
16 tys. podpisów. Równocześnie dyrektywa reguluje także inne
problemy sieci, w tym spam. Europejska propozycja narzuca firmom
zajmującym się marketingiem bezpośrednim model opt-in, to
jest reklamy wolno im wysyłać wyłącznie do osób, które wyraźnie
wyraziły na to zgodę. Dodajmy jeszcze tylko, że i nasze Min.
Infrastruktury pracuje nad projektem ustawy o świadczeniu usług drogą elektroniczną, który również reguluje
problem spamu. Można się jedna spodziewać, że w związku z taką a
nie inną polityką UE ponownie pojawi się u nas zeszłoroczny projekt
rozporządzenia o podsłuchu
łącz komunikacyjnych.
Jacek Konieczny przeanalizował środki bezpieczeństwa zapewniane
przez najpopularniejsze polskie serwery darmowej poczty. Wyniki
udostępił tutaj.
Peterm Guttman opublikował interesujący artykuł PKI:
It's not dead, just resting o cieniach i blaskach infrastruktury
klucza publicznego (PKI), która po kilku latach tworzenia standardów
i wdrażania w wielu miejscach rozbiega się z entuzjastycznymi wizjami
z przeszłości.
Lance Spitzner, twórca projektu HoneyNet ogłosił nowy
konkurs The Reverse
Challenge (tym razem z nagrodami) polegający na przeprowadzniu
jak najlepszej analizy binarnej wersji programu znalezionego na jednym
ze zhackowanych serwerów projektu.
Peter Wayner udostępnił za darmo elektroniczną wersję swojego artykułu
Satellite Hacking opisującego wieloletnie zmagania hackerów i producentów kodowanych
programów telewizyjnych.
Anonimowy kryptolog odtworzył i opublikował kod źródłowy
(vme.c) algorytmu
szyfrującego Virtual Matrix Encryption firmy Meganet, która ogłosiła konkurs na jego złamanie. Zapewne wkrótce pojawią się analizy siły samego
algorytmu, publikacja ta natomiast powinna być lekcją że utajnianie
algorytmu szyfrującego jest nieporozumieniem, jeśli jego implementacja
jest publicznie dostępna.
NIST opublikował uaktualnienie standardu FIPS
186-2, definiującego Digital Signature Algorithm. Wśród
najistotniejszych zmian należy wymienić zwiększenie minimalnej długości
kluczy asymetrycznych do 1024 bitów oraz modyfikacje w generatorze
liczb losowych wykorzystywanym na potrzeby DSA.
Dostępna jest nowa wersja otwartej implementacji standardu
OpenPGP GNU Privacy Guard 1.0.7,
z wieloma istotnymi zmianami. Należą do nich m.in. zabezpieczenia
przed "atakiem czeskim", obsługa zdjęć w kluczach publicznych
i inne.
Z inicjatywy CERT Polska oraz
Biura Bezpieczeństwa Łączności i Informatyki UOP powstanie krajowa
sieć współpracy w zakresie ochrony bezpieczeństwa informatycznego
kluczowych gałęzi gospodarki oraz instytucji rządowych. (ComputerWorld)
W ramach IEEE rozpoczęła prace gruba robocza Security in Storage Working Group,
której celem jest stworzenie standardu kryptograficznej ochrony
danych przechowywanych w pamięciach masowych, takich jak dyski i
taśmy. Pierwsze spotkanie grupy jest planowane na czerwiec 2002.
Powstał nowy serwis Tracking Hackers poświęcony w całości dostępnym na rynku darmowym i komercyjnym
rozwiązaniom honeypot, czyli serwerom które istnieją po
to by je skanowano i włamywano się do nich (pod baczną obserwacją
właściciela honeypota). Nowością jest również projekt Honeyd, czyli
demon emulujący działanie kilkudziesięciu systemów operacyjnych.
W3C Consortium oficjalnie wydało ostateczną wersję standardu
Platform
for Privacy Preferences (P3P). Pozostaje jedynie czekać
na implementację w popularych przeglądarkach oraz wykorzystanie
go przez autorów witryn.
Władzę w Polsce może przejąć policja polityczna -
przestrzegają posłowie PiS, PO i LPR, członkowie
sejmowej komisji nadzwyczajnej do rozpatrzenia projektu
ustawy o Agencji Bezpieczeństwa Wewnętrznego i Agencji Wywiadu. (Dziennik
Polski)
Do Sejmu wpłynął projekt ustawy o
ochronie "usług dostępnych warunkowo", czyli kryminalizujący obrót
oraz posiadanie urządzeń i oprogramowania służącego do obchodzenia
zabezpieczeń kodowanej telewizji itp. Z ustawy wyraźnie jednak
wyłączone są nośniki danych (takie jak DVD, CD-ROM), nie ma w niej
także prób ograniczenia dostępu do informacji jak takie zabezpieczenia
obchodzić, co zasadniczo odróżnia ją od amerykańskiej ustawy DMCA.
W. Kinzel i I. Kanter analizując zachowanie dwóch
uczących się wzajemnie sieci neuronowych odkryli, że ich
synchronizacja może być wykorzystana do kryptograficznej
wymiany klucza pomiędzy dwoma komunikującymi się stronami.
(Condensed
Matter). Opublikowano również analizę tego projektu Analysis of Neural
Cryptography (Klimov, Mityaguine, Shamir)
Po trzyletniej przerwie pojawił się kolejny
numer wydawanego przez firmę RSA Security magazynu CryptoBytes.
W numerze m.in. artykuły omawiające różne problemy z implementacją
algorytmu RSA i inne zaawansowane tematy kryptograficzne.
Międzynarodowa organizacja IEEE (Institute for Electrical and
Electronic Engineers) zamieściła w swoim regulaminie
publikacji klauzulę, zobowiązującą wszystkich autorów
do zagwarantowania, że tekst nie narusza amerykańskiej
ustawy DMCA. Jest to krok o tyle zaskakujący, że IEEE jest
organizacją międzynarodową, zrzeszającą ok. 377 tys. członków
w 150 krajach. Uaktualnienie: w kilka dni później IEEE
poinformowało, że usunie kontrowersyjny zapis z regulaminu (NewsBytes).
Europejski parlament jednogłośnie (460:0) odrzucił propozycję
ustawodawstwa, ktore nakładałoby na dostawców Internetu
obowiązek filtrowania dosteępu do określonych stron w
sieci za pomocą różnego rodzaju censorware. (The
Register
Dwóch kryptologów polskiego pochodzenia, Nicolas
T. Courtois i Józef Pieprzyk, opublikowało pracę pt. Cryptanalysis of Block Ciphers
with Overdefined Systems of Equations analizującą bezpieczeństwo
współczesnych szyfrów blokowych. Wyniki sugerują między innymi, że
będący obecnie amerykańskim standardem szyfr Rijndael/AES może
posiadać nieznane do tej pory słabości.
NIST zatwierdził standard FIPS
198 dotyczący funkcji skrótu w trybie HMAC (Keyed-Hash
MAC). Pozwala on na szybkie (w porównaniu do podpisów algorytmami
asymetrycznymi) stwierdzenie integralności komunikatu stronom, które
uzgodniły wspólny klucz. HMAC stanowi podstawę ochrony integralności
np. w IPSec.
Około 90% londyńskich sieci WLAN nie jest w żaden
sposób zabezpieczonych przed podsłuchem lub innymi
atakami na sieci bezprzewodowe, wynika z badań
sponsorowanych przez tamtejszą Izbę Handlową, donosi BBC.
Ciekawe jak jest u nas?
Nakładem Digital Media Forum ukazał się raport zatytułowany Privacy, Consumers,
and Costs opisujący ponoszone przez konsumentów koszty braku
ochrony prywatności oraz błędy w dotychczasowych analizach tego tematu.
Australijski odpowiednik KRRiT,
Australian Broadcasting Authority, opublikował wyniki
testów oprogramowania filtrującego wraz z szeregiem interesujących
wniosków.
EFF opublikował interesującą analizę
legalności systemów wymiany plików peer-to-peer.
Pojawił się długo oczekiwany plugin GNU PG dla Mozilli,
dostępny dla tych samych platform co sama Mozilla (w tym Linux i
Windows), co z pewnością ułatwi szyfrowanie poczty zwykłym
użytkownikom tej aplikacji.
Cryptome opublikowało binaria oraz dokumentację programu DIRT, wykorzystywanego przez amerykańską policję do
przechwytywania klawiatur komputerów osób podejrzanych. DIRT
jest keyloggerem, ukrywającym się w Windows i
wysyłającym podsłuchane dane przez sieć. Uwaga - korzystanie z
programu jest nielegalne także w Polsce. Warto zapoznać się z analizą programu, sporządzoną przez firmę Diamond, która określiła DIRT jako
"najdroższy trojan świata" ;)
Doskonały artykuł Hakerzy
atakują! z Gazety Wyborczej dostarczy wiele uciechy
wszystkim siedzącym nieco w temacie bezpieczeństwa sieci
(choć autora nieco poniosła fantazja). Pozdrowienia dla
kolegów z BSI i samego Cyberszeryfa.
New
Citizen's Guide to FOIA, czyli praktyczny poradnik jak
korzystać z prawa do informacji (FOIA) w Stanach będzie
przydatny również dla osób zainteresowanych polską ustawą o dostępie
do informacji publicznej.
Nowy patent 6,185,681 wystawiony przez US PTO obejmuje, według jego właściciela
(żądającego 25 tys. USD licencji), wszystkie programy szyfrujące dyski
komputerów. We wniosku patentowym złożonym w 1998 roku stwierdzono,
że nie jest znany żadna wcześniejszy wynalazek tego typu, co jest
oczywiście nieprawdą biorąc pod uwagę choćby tak znane programy jak
PGPDisk, ScramDisk, CFS i inne, istniejąće o wiele dłużej. Mimo to
US PTO zaakceptował wniosek i 2 lutego przyznał patent. Sądzimy, że
jest to dobry przykład całkowitej niezdolności US PTO do rzetelnej
weryfikacji istnienia prior art oraz wykorzystywania patentów
na oprogramowanie do nieuczciwej walki z konkurencją. Problem ten
może również wkrótce dotyczyć nas, jeśli Unia Europejska podda się
lobbyingowi firm amerykańskich, forsujących zmianę europejskiego
prawa patentowego.
W amerykańskim senacie oficjalnie zgłoszono propozycję kontrowersyjej
ustawy SSSCA, przemianowanej obecnie na Ustawę o promocji
telewizji cyfrowej (CBDTPA). Gdyby weszła w życie, każde
nowe urządzenie zdolne do kopiowania lub odtwarzania danych
(walkman, mangetowid, komputer i setki innych) musiałoby
być wyposażone w zaakceptowany przez władze system "ochrony
praw autorskich". W praktyce oznacza wprowadzenie
poufnego, kontrolowanego przez firmy medialne systemu
arbitralnie decydującego kto, kiedy, gdzie i jak może słuchać
kupionych przez siebie płyt. Dyskusję na ten temat dokumentuje Declan
McCullagh.
Firma Bodacious ogłosiła konkurs na
złamanie stworzonego przez nią kodu biomorficznego, który
wykorzystuje teorię chaosu do zapewnienia całkowitej
nieprzełamywalności ;) Stawką jest 100 tys. USD, a konkurs polega
na podaniu tysięcznej liczby ciągu, którego pierwsze 999 pozycji jest
znanych. Tłumacząc jednak na polski wyjaśnienia z ich strony, chodzi
tak na prawdę o złamanie generatora liczb pseudolosowych, co przy
znajomości jedynie tysiąca pozycji ciągu wynikowego może być trudne,
ale na pewno nie świadczy o jego bezpieczeństwie.
Unia Europejska pod naciskami koncernów medialnych rozważa wprowadzenie
obowiązkowych zabezpieczeń przed kopiowaniem do urządzeń audiowizualnych.
(Declan McCullagh)
Amerykański matematyk i kryptolog Daniel J. Bernstein w pracy Circuits for Integer
Factorization przedstawił wyniki swoich badań nad optymalizacją
najszybszej obecnie znanego algorytmu faktoryzacji liczb metodą
sita ciał liczbowych (Number Field Sieve). Wykorzystanie
do tego celu specjalizowanych układów scalonych mogłoby radykalnie
zmniejszyć czas potrzebny do rozkładu na czynniki liczb pierwszych,
będących podstawą bezpieczeństwa kryptografii z kluczem publicznym,
np. RSA. Jeśli wyniki prac Bernsteina okażą się możliwe do zastosowania
w praktyce, to trzeba będzie się liczyć z tym, że instytucje które
będzie stać na zbudowanie odpowiednich układów będą w stanie łamać
klucze publiczne o długościach uznawanych obecnie za bezpieczne.
Wielka Brytania rozważa projekt ustawy, która nakładałaby na
naukowców obowiązek przedstawiania wyników swoich prac do
wglądu i akceptacji przez rząd, zanim zostaną opublikowane.
Ustawa miałby być wymierzona przeciwko terroryzmowi.
(New Scientist)
Rada Europy po raz kolejny spotkała się aby dyskutować projekt
kontrowersyjnego traktatu o zwalczaniu cyberprzestępczości,
który - według obaw niektórych organizacji - mógłby zalegalizować
globalny podsłuch lub od nowa rozpocząć restrykcje w dostępie
do silnej kryptografii. Podejrzenia te na razie nie mogą być
zweryfikowane, bo projekt jest tajny a spotkania Rady - zamknięte.
(Wired)
Amerykański kongres dyskutuje szereg nowych projektów ustaw
ściśle związanych z Internetem, m.in. prywatności, spamu,
podatków od sieciowych transakcji itp. (Law.com)
Rosyjskie MSW planuje wprowadzenie obowiązkowej rejestracji
oraz zgody policji dla wszystkich użytkowników Internetu. (PAP)
Amerykanie przekonują ich, żeby jednak tego nie robili, argumentując
to m.in. zagrożeniem sparaliżowania rynków internetowych w Rosji. (News Bytes)
Kilka amerykańskich instytucji o strategicznym znaczeniu zabroniło
korzystania z bezprzewodowych sieci na swoim terenie, motywując
to łatwością podsłuchania tak przesyłanych danych. Według
nieokreślonych analiz, tylko 10% sieci tego rodzaju jest
konfigurowane poprawnie, tak by zapewnić poufność danych. (USA
Today)
Amerykańskie urządzenia wykorzystywane do zakładania legalnych
podsłuchów dla policji i służb specjalnych mogły być przez kilka
lat pod kontrolą powiązanej z Mossadem oraz izraelskimi
firmami siatki szpiegowskiej. Dawałoby to dostęp do większości
danych operacyjnych prowadzonych w USA śledztw, pozwalało
także na śledzenie działań policji. Uzyskane informacje te
mogły być również sprzedawane innym państwom, np. Rosji. (Politech)
Ministerstwo Gospodarki poinformowało o rozpoczęciu prac nad
rozporządzeniami do ustawy o podpisie elektronicznym oraz nowelizacją
samej ustawy. Ministerstwo ma także podjąć decyzję czy jednostka
akredytującą wystawców certyfikatów będzie wyłoniona w przetargu,
czy też zostanie nią zależna od NBP firma Centrast. (Computerworld)
Firma Philips, wynalazca technologii CD, stwierdziła że wprowadzane
przez niektóre amerykańskie firmy nagraniowe zabezpieczenia
przed kopiowaniem polegające na dodawaniu do dźwięku sztucznych zakłóceń
są naruszeniem warunków licencji udzielanej producentom kompaktów.
Rzecznik Philipsa dodał, że takie płyty powinny być wyraźnie oznakowane
oraz że jego firma będzie produkować napędy umożliwiające korzystanie
z nich w komputerach (jest to utrudnione w tradycyjnych czytnikach
CD). The
Register
Zaszyfrowane pliki, znalezione przez reporterów Wall Street
Journal na laptopach kupionych w Kabulu mogły być stworzone przez
ludzi Al-Kaidy. Część z nich udało się złamać w ciągu kilku dni
dzięki temu, że do ich zaszyfrowania użyto eksportowej wersji
windowsowego EFS, który korzystał jedynie z 40-bitowych kluczy DES
(New
Scientist).
Chiny jeszcze bardziej zacieśniają krajową kontrolę
Internetu, nakładając m.in. na dostawców usług obowiązek
monitorowania stron oraz emaili klientów, kasowania i
przesyłania tych zawierających niedozwolone treści władzom.
Associated
Press.
Według nienajnowszych już danych, wynika że 48% z posród najbogatszych
firm wykorzystuje serwer HTTP firmy Microsoft (29% - Netscape, 18%
Apache). Dlaczego tak jest i kto postępuje inaczej, można przeczytać
w artykule z
7thGuard.net
Azotan gadolinu posiada szczególną zdolność utleniania krzemu pod
wpływem określonych impulsów mechanicznych. Cecha ta może zostać
wykorzystana jako zabezpieczenie w urządzeniach elektronicznych -
skradziony laptop lub telefon komórkowy mogłyby dokonać samozniszczenia
obwodów elektronicznych w razie wpadnięcia w niepowołane ręce, donosi
New
Scientist.
Amerykańska Akademia
Nauk sugeruje wprowadzenie prawa, które zwiększałoby
odpowiedzialność producentów oprogramowania za pojawiające się w
ich aplikacjach dziury. Propozycja ta wywołała szeroką dyskusję
na temat potencjalnej skuteczności takich regulacji i najczęściej
wykorzystywaną analogią był tutaj rynek samochodowy oraz prawo
wprowadzające obowiązek instalowania np. pasów bezpieczeństwa
(SecurityFocus).
Ale chyba nie do końca o to chodziło NAS, o czym
świadczą jeszcze częstsze żarty, porównujące oprogramowanie
do samochodów.
Wirus W32.Donut jest pierwszym napisanym dla platformy .Net,
działającym na poziomie języka MS Intermediate Language. Czy zwiastuje
to kolejny sukces firmy przodującej w tworzeniu doskonałych środowisk
do namnażania wirusów takich jak Windows, MS Outlook czy Word? Oby
nie, ale warto pamiętać że agresywnie krytykowana przez Microsoft
Java nie ma takich problemów, pomimo kilkuletniej już kariery (CNet).
Sprawa nie jest tak oczywista jak to się wydawało początkowo, bowiem
specjaliści od wirusów spierają się czy Donut na prawdę z
technicznego punktu widzenia działa na platformie .NET czy nie,
jak twierdzi MS (The
Register).
Rosyjska Duma przyjęła ustawę o podpisie cyfrowym, zrównującą
prawa tego ostatniego z tradycyjnym, odręcznym podpisem. Istotna
różnica polega jednak na tym, że podpis cyfrowy zyskuje ważność
jedynie, jeśli oryginał dokumentu został podpisany tradycyjnie.
Według rosyjskich komentatorów, ustawa weszła w życie wśród
kłótni, posądzeń o prywatę i posiada szereg usterek prawnych
oraz technicznych. Czy to czegoś nam nie przypomina? (RFE/RL)
Firma MkS udostępniła wersję beta, swojego sztandarowego
produktu - skanera antywirusowego MkS_Vir dla Linuksa. Program
można ściągnąć i używać za darmo, również darmowe są uaktualnienia
rozsyłane emailem. Projektem opiekuje się Kamil
Konieczny <kkoniec@mks.com.pl>,
któremu dziękujemy za informację. Warto również
dodać, że dla Linuksa za darmo dostępny jest również F-Prot
Antivirus (7thGuard)
W poniedziałek, 4. grudnia 2001,
algorytm szyfrujący AES został oficjalnie ogłoszony
przez NIST jako oficjalny standard szyfrowania danych, zastępujący
wysłużony DES. Prace nad AES (Advanced Encryption Standard)
trwały przez ostatnie 4 lata.
IBM udostępnił programistom linuksowym bibliotekę openCryptoki.
Jest ona implementacją API standardu PKCS#11, który umożliwia
współpracę różnych urządzeń wykonujących operacje kryptograficzne
(czyli np smart dysków i niektórych kart PCMCIA). Dzięki openCryptopi
możliwe jest proste stworzenie aplikacji, która swoje dane będzie
przechowywać na jednym z takich bezpiecznych urządzeń.
(7thGuard)
Swoją działalność, po prawie 10 latach, zakończyła
lista dyskusyjna Cypherpunks hostowana na serwerze
toad.com, należącym do Johna
Gilmore, współzałożyciela EFF oraz ruchu cypherpunk. Gilmore stwierdził (nie bez racji), że
lista znacznie się zdegenerowała, a jej treść stanowi obecnie spam i
bezprzedmiotowe kłótnie. Nie oznacza to jednak całkowitej śmierci listy,
ponieważ toad.com był tylko jednym z węzłów obsługujących listę
działającą w oparciu o Cypherpunks
Distributed Remailer. Warto również przeczytać artykuł Cypherpunks
RIP w The Register, poświęcony historii ruchu
cypherpunks oraz roli, jaką odegrał w procesie liberalizacji
dostępu do kryptografii i rozwoju technologii.
W dniu 23.11.2001 w Budapeszcie odbyła się ceremonia podpisania
konwencji Rady Europy w sprawie przeciwdziałania cyberprzestępczości.
Do konwencji przystapiło 29 państw, w tym cztery (Japonia, Kanada,
RPA i Stany Zjednoczonene nie będące
członkami Rady Europy. W ceremonii podpisania konwencji brała udział
delegacja rządu RP, w imieniu którego dokument akcesyjny podpisał
Podsekretarz Stanu w Ministerstwie Sprawiedliwości - Jerzy Lankiewicz.
W dniu 22 listopada 2001 IPI PAN organizuje otwarte seminarium pt. ,,Podpis elektroniczny: moc kryptograficzna i ustawa''. Seminarium
odbędzie się o godz. 10:45 w sali seminaryjnej IPI PAN, organizatorzy
zapraszają wszystkich zainteresowanych.
Równocześnie z pracami mającymi na celu uproszczenie
protokołu IKE zespół kryptologów pod kierownictwem
Angelosa Keromytisa zaproponował wdrożenie nowego protokołu JFK (Just Fast Keying). Jego głównymi założeniami miałaby
być prostota (wyłączająca np. skomplikowane negocjacje dostępnych
algorytmów) oraz bezpieczeństwo wygenerowanych przez protokół tuneli
IPSec.
Microsoft oraz 5 firm zajmujących się bezpieczeństwem stworzyło
porozumienie, w ramach którego będzie limitować informacje o nowych
dziurach. Według przyjętej polityki po odkryciu błędu ma być publikowana
jedynie krótka informacja o tym fakcie, bez szczegółów technicznych,
które będą udostępnione jedynie producentom i organizacjom członkowskim
porozumienia. Warto zauważyć, że pomysł ten nie odbiega zbytnio od
obecnie obowiązujących zwyczajów informowania o dziurach i wątpliwe jest
by ci aspołeczni badacze, którzy nie powiadamiają vendorów,
zaczęli to teraz robić pod naciskiem nowej organizacji. (SecurityFocus)
Dwóch naukowców z Cambridge opublikowało szczegóły ataku na akcelerator
kryptograficzny IBM
4758.
Niemiecki rząd przyjął rozporządzenie dotyczące monitoringu mediów
elektronicznych. Zakłada ono, że do 1 stycznia 2005 roku operatorzy
publicznych sieci dostępowych będą zobligowani do zainstalowania
urządzeń i oprogramowania umożliwiającego organom ścigania monitorowanie
poszczególnych użytkowników. Dotyczy to zarówno telefonii analogowej,
telefonii przenośnej, przesyłu danych (też poczty elektronicznej)
o ile korzysta z niej ponad 1000 użytkowników. (Vagla)
Nortel i kilkadziesiąt innych zachodnich firm są wykonawcami chińskiego
projektu Złotej Kurtyny, czyli narodowego systemu
cenzurowania oraz ograniczania dostępu do światowych zasobów
Internetu, stwierdzają autorzy raportu
China's
Golden Gate. Paradoksalnie, z jednej strony Zachód próbuje otwierać
Internet dla Chińczyków za pomocą systemów takich jak SafeWeb, a z drugiej
pomaga budować w tym kraju system inwigilacji rodem z 1984.
Anonimowy hacker podpisujący się jako Beale Screamer opublikował program,
służący do usuwania opracowanych przez Microsoft zabezpieczeń
multimediów w systemie
Digital Rights Management. Programowi towarzyszy kod
źródłowy oraz szczegółowa kryptoanaliza DRM. (The Register)
RIAA próbowała wstawić dla
siebie furtkę w ustawie równającej cyberprzestępstwa z terroryzmem.
Co wspólnego z cyberprzestępczością może mieć organizacja firm
nagraniowych? RIAA obawiała się, że po wejściu tej ustawy spalą
na panewce planowane przez nią ataki na domniemanych piratów,
polegające na rozsyłaniu do nich koni trojańskich i wirusów.
(The
Register)
W prawie wszystkich centralach telefonicznych w Sofii
zorganizowana grupa przestępcza zainstalowała aparaturę,
dzięki której mogła podsłuchiwać i rejestrować rozmowy
telefoniczne - poinformowały bułgarskie władze. »Więcej...
Francuskie organizacje broniące swobód obywatelskich opublikowały
list
otwarty do parlamentarzystów, w którym nawołują do porzucenia
projektu nowej ustawy Loi Securite Quotidienne (prawo
o bezpieczeństwie codziennym). Ustawa, forsowana jako odpowiedź
na ostatnie ataki terrorystyczne, miałaby wprowadzać szereg
zaskakujących nowości, takich jak prawo do przeprowadzania
rewizji osobistej przez prywatnych ochroniarzy, rewizji samochodów
i domów pod dowolnym motywem oraz zakładania podsłuchów bez nadzoru
wymiaru sprawiedliwości. (LSI Jolie)
Władze niemieckiej Westfalii podjęły kuriozalną decyzję nakazując
ponad 50-ciu regionalnym dostawcom Internetu wyblokowanie dostępu do
strony rotten.com. Decyzja ta została
podjęta na podstawie stosunkowo nowej ustawy nakazującej prewencyjną
cenzurę ,,nielegalnych treści''. Ponieważ serwer wyblokowano na
routerach po adresie IP, skuteczność tej blokady jest w praktyce żadna,
ale władze są zapewne zadowolone, że ,,coś'' zrobiono. (Heise,
po niemiecku)
Scott Culp z Microsoftu napisał sążnistą reprymendę skierowaną przeciwko full disclosure, czyli powszechnej praktyce
ujawniania szczegółowych informacji o dziurach znalezionych przez
niezależnych badaczy w programach i systemach operacyjnych. ,,Microsoft
jest dobrze znany z tego, że w swoich komunikatach pomniejsza wagę
dziur, zasłania się kruczkami prawnymi i zwala winę na innych'',
skomentował ten artykuł Richard Forno z firmy Shadowlogic. (Newsbytes)
Warto też przeczytać durny komentarz
Interii, która do wypowiedzi Culpa dodała
jeszcze... terroryzm oraz krytyczny wobec Culpa komentarz
Gartnera.
Robert Fleck z firmy Cigital opublikował raport, z którego
wynika że obecnie używane technologie bezprzewodowych sieci WLAN są
podatne na szereg ataków związanych z protokołem ARP. Ataki te są
doskonale znane w przypadku tradycyjnych sieci, więc wygląda na to że
projektanci WLAN niczego nie nauczyli się na błędach poprzedników.
Eddie Bleasdale z firmy NetProject nie zamierza wycofywać się
z rzuconego przed dwoma laty wyzwania - na tego kto pierwszy zainfekuje jego
Linuksa wirusem czeka 10 tys. funtów. (LinuxNews)
W poniedziałek, tj. 15. października odbędzie się jednodniowa,
otwarta konferencja na temat przestępczości w cyberprzestrzeni,
zorganizowana przez Polskie Towarzystwo Kryminologiczne oraz
Zakład Kryminologii Instytutu Nauk Prawnych PAN. Konferencja
odbędzie się w Warszawie, przy ul. Nowy Świat 72 (Pałac Staszica)
w sali 103 o godzinie 11:00.
Firma Iomart twierdzi
odkryła setki plików graficznych z ukrytą zawartością,
w tym wiele zawierających tekst po arabsku. Wiarygodność
tego doniesienia jest mocno wątpliwa, ponieważ brak jest
jakichkolwiek szczegółów technicznych oraz potwierdzenia ze strony
amerykańskich agencji rządowych, na które powołuje się Iomart. (Business
a.m.) Informacja ta została później zdementowana przez przedstawicieli Iomart.
Amerykański rząd ogłosił plany zbudowania niezależnej od Internetu sieci
komunikacyjnej, przeznaczonej wyłącznie do użytku rządowego. Sieć o
roboczej nazwie GOVNET miałaby służyć do przesyłania danych oraz głosu
pomiędzy jednostkami rządowymi bez ryzyka ataków z publicznej sieci. (Silicon
Valley). Według Gartnera nie jest to jednak najlepszy pomysł.
11 października około godziny 13-tej prezydent
Kwaśniewski podpisał ustawę o podpisie elektronicznym, uchwaloną
18-go września. Ceremonia była transmitowana na żywo przez portal.pl (po RealVideo). (ComputerWorld)
Amerykański przemysł nagraniowy planuje kolejną ofensywę na
Kongres celem wprowadzenia restrykcyjnych ograniczeń w kopiowaniu
danych audio. (7thGuard)
NIST przeznaczył ponad 5 mln
USD na granty dla kilkunastu uczelni oraz firm, zajmujących
się rozwijaniem technologii związanych z bezpieczeństwem
telekomunikacji. Wśród dofinansowanych znalazły się takie
projekty jak bezpieczna łączność bezprzewodowa, systemy
wykrywania włamań i testowanie bezpieczeństwa systemów. (Washtech.com)
Microsoft ogłosił wdrożenie nowej strategii SSPP (Strategic Security Protection Program), mającej na celu
poprawienie bezpieczeństwa istniejących instalacji produktów firmy. To
dobry znak, że tegoroczne katastrofalne epidemie wirusów windowsowych
czegoś nauczyły giganta z Redmond, ale trudno powiedzieć czy przełoży
się to na faktyczne zmniejszenie liczby dziur i innych błędów.
(Wired)
Tragiczne wydarzenia 11 września miały
duży wpływ na prace nad nową amerykańską ustawą o przeciwdziałaniu
terroryzmowi. Wiele negatywnych komentarzy wzbudziło jednak uznanie
za działania terrorystyczne przestępstw komputerowych, co powodowałoby
że włamanie do prywatnego serwera, podsłuchanie hasła czy nawet wysłanie
spamu byłoby zagrożone dożywociem i szeregiem innych sankcji, rażąco
odbiegających od skali tych przestępstw.
Ponad 30 organizacji i firm połączyło siły w ramach Project Liberty, którego celem
jest stworzenie otwartej i jednolitej architektury uwierzytelniania
użytkowników Internetu.
Założenia projektu oraz brak firmy Microsoft na
liście członków sugerują, że Liberty jest konkurencją dla
Passport, które centralizacja
wokół jednej korporacji budzi obawy co do bezpieczeństwa i otwartości
tej platformy. Biorąc pod uwagę, że wśród członków nowej inicjatywy
są takie giganty ja Sun, Nokia, Cisco i wiele, wiele innych (w tym
na przykład Apache Software Foundation) projekt może mieć dużą
siłę przebicia i spore szanse powodzenia.
W połowie lipca w Bletchley Park poświęcono kamień węgielny pod pomnik,
upamiętniający pracę polskich kryptologów, którzy włożyli nieocenione
zasługi w złamanie Enigmy. Pomnik ku cześci Rejewskiego, Różyckiego
i Zygalskiego stanie w przyszłym roku. (Nasz Dziennik)
W dniu 19. września Rada Europy przyjęła projekt konwencji o
cyberprzestępczości, określającej zalecenia odnośnie ścigania
i karania włamań, piractwa, przestępst finansowych, dziecięcej
pornografii oraz innych przestępst związanych z komputerami i
sieciami komputerowymi. Aktualna wersja projektu jest dostępna na stronie
CoE, warto także zapoznać się z
komentarzami do konwencji, zgłoszonymi przez Centrum Demokracji
i Technologii.
Kolejną skuteczną i powodującą nieobliczalne skutki bronią terrorystów
może stać się e-bomba, niszcząca urządzenia
elektryczne oraz elektroniczne, znajdujące się w zasięgu generowanych
przez nią silnych impulsów elektromagnetycznych. (Popular Mechanics)
Pojawił się kolejny, agresywny robak windowsowy Nimda,
atakujący zarówno komputery osobiste (emailem) jak i
serwery IIS (podobnie jak wcześniejszy CodeRed) (MkS).
Prezydent Bush wystąpił do Kongresu z projektem ustawy,
poszerzającej uprawnienia służb śledczych w zakresie
zwalczania terroryzmu. Projekt nie zawiera żadnych
sugestii odnośnie wprowadzenia ograniczeń w stosowaniu kryptografii Wired).
W związku z tragicznymi w skutkach atakami w Nowym Jorku i
Waszyngtonie amerykański Kongres wprowadził - lub rozważa wprowadzenie
- nadzwyczajnych uprawnień dla służb śledczych w zakresie podsłuchu internetowego oraz tradycyjnego.
Ze strony jednego z amerykańskich senatorów padła także propozycja ograniczenia
dostępu do kryptografii pozbawionej rządowych furtek. Pojawiły
się też sugestie, że sieć Echelon już trzy miesiące temu przechwyciła
informacje o
planowanych atakach z użyciem porwanych samolotów pasażerskich.
Z końcem września ABA wprowadza do sprzedaży terminale ABA-X z modułem IPSec, który
umożliwia zabezpieczenie wszystkich rodzajów ruchu obsługiwanego
przez terminal (X Window, RDP, ICA). W terminalu wykorzystano
linuksową implementację Free
S/WAN, więcej informacji na stronie ABA.
Łódzka policja zatrzymała 15-latka, który usiłował włamać się do
serwera Komendy Głównej Policji. Hakerem okazał się uczeń III klasy
jednego z gimnazjów w Skierniewicach. PAP
W ramach ośmieszania DMCA matematyk Phil Carmody opublikował dużą
liczbę pierwszą, która stanowi równocześnie heksadecymalną reprezentację
pliku wykonywalnego programu DeCSS, służącego do dekodowania
płyt DVD. Czy niektóre liczby mogą być nielegalne?
(The Register)
W amerykańskim Kongresie pojawił się projekt nowej ustawy
SSSCA, która nakładałaby na
producentów urządzeń elektronicznych obowiązek wbudowywania mechanizmów
uniemożliwiających m.in. kopiowanie danych. Urządzenia bez takich funkcji
byłyby nielegalne, podobnie jak ich obchodzenie. Ten kuriozalny
pomysł, idący o wiele dalej niż kontrowersyjne DMCA został skrytykowany przez wiele firm i organizacji. Wired
Głosowanie nad senackimi poprawkami do
ustawy o podpisie elektronicznym przełożono na następne
posiedzenie Sejmu, które odbędzie się 18 września -
poinformował marszałek Sejmu Maciej Płażyński. PAP
Od Waldemara Pawlaka uzyskaliśmy komentarz na temat zarzutów Życia odnośnie ustawy o podpisie elektronicznym. Kluczowy cytat: ,,Spółki
zależne od NBP mogą świadczyć usługi WYŁĄCZNIE na rzecz instytucji
finansowych.''
Parlament Unii Europejskiej przyjął raport tymczasowej komisji,
mającej za zadanie zbadanie sprawy sieci Echelon. Raport
potwierdza istnienie takiego systemu globalnej inwigilacji,
utrzymywanego przez USA, Wielką Brytanię, Australię i Nową Zelandię. Raport
komisji UE (lokalna kopia)
Senackie poprawki do ustawy o podpisie elektronicznym
będą głosowane przez Sejm dzisiaj (6 września). PAP.
Cała sprawa budzi jednak wiele kontrowersji związanych z, jak twierdzi
Życie, próbą narzucenia monopolu
z firmą Centrast w roli urzędu nadrzędnego.
Sejmowa Komisja Transportu i Łączności zawetowała poprawki wprowadzone
przez Senat do projektu ustawy o podpisie elektronicznym. ComputerWorld
Anonimowy kryptolog poinformował o złamaniu zabezpieczeń w formacie Microsoft E-Book Reader.
Sporo szumu w polskich bankach narobiła firma Arcus/Ubik która
ogłosiła że posiada raport o
poważnych błędach w bankowych serwisach internetowych. Raport kosztuje
90 tys. złotych, jednak na podstawie tego co zostało upublicznione
możemy podejrzewać że opisywane ataki należą raczej do kategorii publicity
attacks, opisywanych przez Schneiera. Zaprezentowana metoda
ujawniania odkrytych słabości systemów komputerowych odbiega również od
powszechnie przyjętego w tym środowisku zwyczaju, że najpierw publikuje
się dane odkrycie, potem zbiera komentarze, a dopiero na końcu alarmuje media.