avatar

Redakcja WebSecurity

WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

dodany: 31.07.2013 | tagi: , ,

Linux 3.0.88, 3.4.55, 3.10.4

0

Greg Kroah-Hartman poinformował o wydaniu poprawkowych kerneli Linux z gałęzi 3.0, 3.4 i 3.10.

Poprawki dotyczą serwera dźwięku Alsa, obsługi USB i FUSE, systemu plików ext4, procesorów ARM i MIPS, magistrali SCSI, bcache, umożliwiającego korzystanie z dysku SSD, jako cache dla standardowego dysku, czy wirtualizacji Hyper-V.

Listy zmian, odpowiednio dla 3.0.88, 3.4.55, 3.10.4, znajdują się na stronie projektu.

dodany: 30.07.2013 | tagi: , , ,

Schemat szyfrowania serwisu Mega hakera Kima DotComa

6

Kim DotCom, znany również pod pseudonimem „Najbardziej poszukiwany człowiek w Internecie”, nadal jest jednym z najpopularniejszych tematów doniesień prasowych, mimo że od momentu wyłączenia jego serwisu do udostępniania plików Megaupload Limited minęło już półtora roku. Przedstwiamy komentarz Ruchna Nigam, security researchers w FortiGuard Labs.

Zaledwie kilka tygodniu temu DotCom opublikował film wideo z systemu kamer przemysłowych CCTV, przedstawiający nalot agentów FBI na jego willę, który został przeprowadzony w styczniu 2012 roku. Film kończy się niezbyt subtelnym nawiązaniem do filmu „Człowiek z blizną”.

Dokładnie 5 miesięcy wcześniej DotCom powrócił na scenę, oferując internautom swoją nową i udoskonaloną usługę udostępniania plików o nazwie Mega. „Dziwnym zbiegiem okoliczności” usługa ta została uruchomiona w pierwszą rocznicę wyłączenia serwisu Megaupload.

Dla wszystkich tych, którzy nie pamiętają (mimo że bardzo trudno zapomnieć obsceniczną buńczuczność tego wydarzenia), oficjalna inauguracja usługi została zorganizowana zgodnie z charakterystyczną dla Kima DotComa zasadą „wszystkie chwyty dozwolone”, a relację z tego wydarzenia opublikowano na kanale YouTube hakera, aby wyryć ją w pamięci następnych pokoleń internautów.

kim dotcom

Kim Dotcom.

Od swojej inauguracji usługa Mega była przedmiotem wielu śledztw i dochodzeń dotyczących bezpieczeństwa infrastruktury i samej koncepcji. Jednak do chwili obecnej Mega znajduje się w doskonałej kondycji i dynamicznie się rozwija. Według mnie w przyszłości dynamika tego rozwoju może się tylko nasilić, biorąc pod uwagę zwłaszcza coraz większe kontrowersje wokół poufności danych w Internecie.

Wspomnianych wątpliwości w żadnym stopniu nie rozwiewają najnowsze rewelacje Edwarda Snowdena dotyczące programu PRISM, wykorzystywanego przez rząd USA do inwigilowania działań obywateli w Internecie. Rzeczywiście, danych przesyłanych do serwisu Mega i w nim przechowywanych teoretycznie nie można szpiegować na poziomie dostawcy usług internetowych – chyba że złamany zostanie sam mechanizm szyfrowania (AES/RSA). Jednak, zgodnie ze stanem wiedzy ogólnej i specjalistycznej, nie mówimy tutaj o takich przypadkach.

Mechanizm funkcjonowania serwisu Mega postaraliśmy się podsumować na prezentowanych poniżej schematach:

Część pierwsza: TWORZENIE KONTA UŻYTKOWNIKA 

schemat

Cześć druga: LOGOWANIE UŻYTKOWNIKA

schemat2

Część trzecia: PRZESYŁANIE PLIKÓW 

schemat3

Część czwarta: UZYSKIWANIE DOSTĘPU DO PLIKÓW 

schemat4

Część piąta: UDOSTĘPNIANIE I POBIERANIE PLIKÓW 

schemat5

Przewaga usługi Mega nad innymi usługami udostępniania plików:

  1. Poufność: Wszystkie dane przechowywane na serwerach Mega są szyfrowane, w związku z czym firma Mega nigdy nie widzi zawartości danych użytkownika. Można to bardzo łatwo zweryfikować, ponieważ pełne szyfrowanie realizują skrypty tekstowe oparte na otwartym kodzie źródłowym po stronie klienta. (DotCom jest tak pewny skuteczności swojego mechanizmu szyfrowania, że ufundował nagrodę w wysokości 10 000 EUR dla osoby, która zdoła go złamać). Podsumowując, bezpieczeństwo danych zależy od osoby dysponującej kluczami, czyli od użytkownika. Jest to również zdecydowana korzyść dla dostawcy usługi, ponieważ serwis może uniknąć problemów z prawami autorskimi, które wcześniej doprowadziły do ostatecznego wyłączenia serwisu Megaupload. Jednak, parafrazując słowa Kima DotComa, jest to niewielka korzyść w porównaniu z całkowitym uniezależnieniem się od inwigilacji, jakie Mega może zaoferować swoim użytkownikom.
  2. Bezpieczne udostępnianie plików: Użytkownicy (nawet ci, którzy nie zarejestrowali się w serwisach udostępniania plików) mogą w bezpieczny sposób udostępniać pliki między sobą, ponieważ odwołania do plików w serwisie Mega opierają się na łączu do pliku oraz kluczu pliku. Z tego względu dostęp do pliku może uzyskać osoba dysponująca informacjami o obu tych elementach. Jest to dodatkowa warstwa bezpieczeństwa dostępu do przesłanych plików.

Wady/luki w zabezpieczeniach:

  1. Ataki za pośrednictwem przeglądarek: Usługa jest nadal wrażliwa na ataki ze strony klienta, na przykład ataki typu „Man in the Browser”, które mogą zastąpić algorytmy szyfrowania używane przez serwis Mega, algorytmami znanymi dla osoby przeprowadzającej atak. Atak tego typu pozwala również obejść kontrolę spójności danych po stronie klienta, realizowaną poprzez wczytanie kodu Javascript z innego serwera Mega. Podsumowując, wszystkie znane słabości wszystkich mechanizmów uwierzytelniania (włącznie z uwierzytelnianiem dwuczynnikowym) występują również w mechanizmie uwierzytelniania serwisu Mega. Jeśli więc komputer klienta padnie ofiarą ataku, użytkownik jest „ugotowany”.
  2. Protokół SSL: Złamanie zabezpieczeń protokołu SSL (lub atak typu booby trap przeprowadzony przez NSA) oznacza złamanie zabezpieczeń serwisu Mega. Jednak według mnie przypadki złamania zabezpieczeń protokołu SSL będą oznaczały o wiele większe problemy dla całego Internetu niż dla serwisu Mega.

Nie wiadomo, co czeka hakera Kima DotComa w przyszłości, ponieważ daty jego ekstradycji i przesłuchania są konsekwentnie przesuwane. Możemy jednak śmiało stwierdzić, że jego druga próba zapewnienia użytkownikom swobody udostępniania treści przetrwa znacznie dłużej.

Źródło: Fortinet

Źródło grafiki głównej: telegraph.co.uk

 

Zobacz także: MEGA-problem nowego serwisu Kima Dotcoma

 

dodany: 30.07.2013 | tagi: ,

Kolejna luka DoS w BIND9

5
Kolejna luka DoS w BIND9

Developerzy BIND-a, otwartoźródłowego serwera DNS, poinformowali o odkryciu luki umożliwiającej wykonanie ataku DoS.

Luka CVE-2013-4854 dotyczy wersji 9.7.7, 9.8.6b1, 9.9.4b1 i starszych, z wyjątkiem gałęzi 9.6. Atakujący może wysłać specjalne żądanie do serwera, które serwer spróbuje przetworzyć, ale z powodu błędu w implementacji standardu RFC5011, wyłączy się.

Więcej informacji o wspieranych gałęziach BIND-a i o samej luce można znaleźć na liście dyskusyjnej projektu.

dodany: 30.07.2013 | tagi: , ,

Luka man in the middle w Ansible

4
Luka man in the middle w Ansible

W Ansible, narzędziu do automatyzacji zarządzania konfiguracją serwerów, znaleziono lukę umożliwiającą przeprowadzenie ataku man in the middle.

Problem wynika z nieprzechowywania w pamięci podręcznej informacji o kluczu publicznym serwera ssh maszyny, z którą połączono się poprzednim razem, przez co nie jest weryfikowane, czy to ten sam serwer. Atakujący może podmienić usługę ssh albo całą maszynę, co zostanie niezauważone przez Ansible.

Luka zyskała oznaczenie CVE-2013-233 i została naprawiona w Ansible 1.2.1

dodany: 29.07.2013 | tagi: , , , , ,

Przezroczysta dekompresja w ext4

0
firefox android

Programista z Mozilli pracuje nad obsługą przezroczystej dekompresji plików w ext4, jednym z najpopularniejszych systemów plików używanych w dystrybucjach Linuksa. Dzięki temu Firefox dla Androida nie musiałby ładować skompresowanej biblioteki libxul do pamięci urządzenia.

Łaty autorstwa Dhavala Giani dodają także obsługę indeksowalnego pliku zip do kernela, niemniej są we wczesnym etapie prac i dekompresja możliwa jest na tyle późno, że nie udałoby się uruchomić skompresowanego systemu.

Więcej informacji można znaleźć na liście dyskusyjnej kernela.

dodany: 29.07.2013 | tagi: , ,

Bezpieczniejszy Android 4.3 dzięki SELinux

0
android suselinux

Jak poinformowało Google, niedawno opublikowane nowe wydanie Androida, oznaczone wersją 4.3, stanie się bezpieczniejsze dzięki SELinux – zestawowi zabezpieczeń w kernelu Linux, regulującemu przydzielanie zasobów do aplikacji.

Do tej pory wszystkie aplikacje były uruchamiane w osobnym środowisku, które ograniczało im dostęp do danych i izolowały kod od innych programów i samego systemu operacyjnego. Zabezpieczało to użytkowników przed utratą haseł po przypadkowiej instalacji złośliwego oprogramowania. Dzięki SELinux możliwe będzie ograniczenie uprawnień do minimum, żeby dana aplikacja sprawnie funkcjonowała. Prawdopodobnie pozwoli też zapobiec atakom na kernel i wykorzystaniu luk w systemie. Rozwiązanie to jest włączone domyślnie w takich dystrybucjach Linuksa jak Red Hat Enterprise Linux, ale nic nie stoi na przeszkodzie, aby używać go na Debianie czy openSUSE.

Inną nowością z dziedziny bezpieczeństwa jest lepsza metoda przechowywania szyfrowanych danych używanych do uzyskania dostępu m.in. do certyfikatów serwerów VPN. Jeżeli urządzenie posiada Trusted Platform Module, atakujący, nawet z dostępem do konta root, nie będzie w stanie wykraść prywatnych kluczy. Urządzenia bez tego modułu będą korzystać ze starego rozwiązania opartego na samym oprogramowaniu.

Kolejną nową funkcją jest tworzenie dodatkowych profili użytkowników z ograniczeniem dostępu. Taki profil otrzymuje własną przestrzeń, widgety czy ustawienia. Ponadto możliwe jest wyłączenie dostępu do wybranych aplikacji. W końcu dodano również możliwość zmniejszania uprawnień poszczególnym programom. Nie jest to żadna nowość – podobną funkcję oferuje CyanogenMod oparty na Androidzie… 2.3.

Prawdopodobnie już niedługo dowiemy się, czy nowe zabezpieczenia przyniosą skutek zgodny z zamierzonym przez programistów z Google.

dodany: 26.07.2013 | tagi: , ,

57% firm nie kontroluje aplikacji uruchamianych przez pracowników

0

Ograniczanie możliwości uruchamiania aplikacji firm trzecich zwiększa bezpieczeństwo korporacyjnych stacji roboczych oraz wydajność pracowników. Jednak 57% firm nie wykorzystuje żadnych narzędzi do kontroli aplikacji – tak wynika z badania przeprowadzonego w listopadzie 2012 r. przez Kaspersky Lab we współpracy z B2B International.

Cyberprzestępcy stosują wiele sztuczek w celu zainfekowania systemu. Jedną z nich jest ukrywanie szkodliwego oprogramowania pod maską popularnej aplikacji – w ten sposób, gdy pracownik próbuje uruchomić aplikację, zainfekowana może zostać cała infrastruktura firmy. Aby zapobiec takim incydentom, firmy powinny opracowywać i stosować polityki bezpieczeństwa regulujące głównie kwestię instalacji i uruchamiania aplikacji – nie wszystkie jednak to robią. Według przeprowadzonego badania, większość firm nie stosuje metod kontroli aplikacji, a 17% nie jest zainteresowanych wykorzystywaniem nowych technologii kontroli aplikacji lub wręcz nie jest świadoma ich istnienia.

Sprawa wygląda podobnie w przypadku podłączania zewnętrznych urządzeń i nośników danych: tylko 44% firm zwraca wystarczającą uwagę na tę kwestię i stosuje narzędzia kontroli urządzeń, podczas gdy 17% nie jest świadomych istnienia narzędzi kontroli ani nie jest zainteresowanych wykorzystywaniem ich. Jednocześnie szkodliwe oprogramowanie dystrybuowane za pośrednictwem nośników USB stanowi nieustanne zagrożenie: w samym tylko 2012 roku rozwiązania bezpieczeństwa firmy Kaspersky Lab zapobiegły ponad 3 miliardom prób lokalnych infekcji. Co więcej, danie pracownikom całkowitej wolności w zakresie podłączania urządzeń zewnętrznych do sieci korporacyjnej zwiększa prawdopodobieństwo wycieku danych.

Jakie narzędzia kontroli mogą stosować firmy

Użycie narzędzi kontroli punktów końcowych daje wyraźne korzyści niezależnie od rozmiaru firmy. Kontrola aplikacji oferuje dodatkową ochronę przed szkodliwymi programami i ogranicza możliwość korzystania z programów niezwiązanych z pracą, takich jak gry lub komunikatory internetowe. Kontrola urządzeń zewnętrznych uniemożliwia podłączanie do firmowych komputerów nieautoryzowanego sprzętu, a tym samym zapobiega wyciekowi danych i infekcjom szkodliwych programów rozprzestrzeniających się poprzez wymienne nośniki danych. Ostatni element układanki – kontrola sieci – pozwala administratorowi całkowicie zablokować lub ograniczyć dostęp do określonych stron WWW. Poza tym, że pracownicy nie będą mogli poświęcać czasu na przeglądanie serwisów, które nie są wykorzystywane w pracy, kontrola sieci zwiększy bezpieczeństwo, eliminując możliwość infekcji poprzez witryny z „podejrzaną” zawartością.

Platforma Kaspersky Endpoint Security for Business łączy wszystkie trzy wspomniane mechanizmy kontroli. Pozwala to firmom skutecznie walczyć ze wszystkimi omówionymi problemami i oferuje wiele dodatkowych korzyści, takich jak możliwość zarządzania wszystkimi aspektami ochrony z poziomu jednej konsoli administracyjnej.

Źródło: Kaspersky

dodany: 26.07.2013 | tagi: , ,

FirefoxOS będzie otrzymywać aktualizacje bezpieczeństwa co 6 tygodni

0

Mozilla poinformowała o swoich planach związanych z aktualizacjami FirefoxOS, mobilnego systemu operacyjnego na smartphone’y, opartego o kernel Linux.

Wraz z wydaniem 1.0, developerzy planują publikować nowe wydania co kwartał, a aktualizacje bezpieczeństwa co 6 tygodni dla dwóch najnowszych wydań. Alex Keybl z Mozilli nie ukrywa, że jest to jedna z najbardziej agresywnych strategii na rynku i może wymagać poprawek.

Chociaż taka częstotliwość aktualizacji może wydawać się bezmyślna, firma wierzy, że aktualizacje bezpieczeństwa mogą być przetestowane i opublikowane zgodnie z planem. Z pewnością jest to wykonalne – Microsoftowi udaje się wydawać aktualizacje co miesiąc.

dodany: 26.07.2013 | tagi:

Dzień Administratora

0
Dzień Administratora

Dzień Administratora jest dniem przypadającym na ostatni piątek lipca każdego roku i jest obchodzony od 2000 r.

Nie zapomnijcie podziękować waszym adminom za ich ciężką pracę!

O tym jak powstało święto, jaki prezent będzie najlepszy i o kilku ciekawostkach związanych ze świętem pisaliśmy w artykule: 27 lipca – Dzień Administratora Systemowego.

dodany: 26.07.2013 | tagi: , , ,

Nowym wydanie systemd 206, alternatywy dla SysVInit

0
Nowym wydanie systemd 206, alternatywy dla SysVInit

Lenart Poettering poinformował o nowym wydaniu systemd, alternatywy dla SysVInit, używanej między innymi w Fedorze i Arch Linuksie.

Wśród zmian można wyróżnić aktualizację dokumentacji o funkcje dodane w poprzednim wydaniu, nową zmienną %v zwracającą wersję kernela, makra dla developerów dystrybucji korzystających z rpm, uproszczenie interfejsu initrd, a także niewyświetlanie informacji podczas wyłączania systemu, jeżeli do kernela został przekazany parametr quiet.

Pełna lista zmian znajduje się na liście dyskusyjnej projektu.