markasblog

18 stycznia OpenSSL Project wydał poprawkę, która wyeliminowała podatność na ataki DoS, która z kolei została zaimplementowana przy okazji wydania krytycznych łat bezpieczeństwa 6 stycznia tego roku. Luka oznaczona kodem CVE-2011-4108 dotyczy implementacji protokołu DTLS, pozwala na odszyfrowanie zabezpieczonej transmisji bez znajomości klucza szyfrowania. Wydawcy zalecają aktualizację OpenSSL do wersji 1.0.0g lub 0.9.8t, z pominięciem wersji 1.0.0f i 0.9.8s.

Wczoraj mieliśmy drugi wtorek miesiąca, więc posiadacze systemów operacyjnych ze stajni Microsoftu ujrzeli nowe biuletyny bezpieczeństwa. Tym razem wydano 7 biuletynów z czego jeden został oznaczony jako krytyczny, a pozostałe jako ważne. Dla przypomnienia, w zeszłym miesiącu Microsoft wydał 14 biuletynów bezpieczeństwa. Poniżej zamieszczam skrócony opis każdego ze styczniowych biuletynów.

MS12-004 (krytyczny) – dotyczy dwóch luk w zabezpieczeniach formatu Windows Media, które umożliwiają wykonanie zdalnego kodu

MS12-001 (ważny) – dotyczy luki w zabezpieczeniach jądra systemu Windows, która umożliwia obejście funkcji zabezpieczeń

MS12-002 (ważny) – dotyczy luki w zabezpieczeniach programu Pakowarka obiektów systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-003 (ważny) – dotyczy luki w zabezpieczeniach Podsystemu wykonawczego serwera/klienta w systemie Windows, która umożliwia podniesienie uprawnień

MS12-005 (ważny) – dotyczy luki w zabezpieczeniach systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-006 (ważny) – dotyczy luki w zabezpieczeniach protokołu SSL/TLS, która umożliwia ujawnienie informacji

MS12-007 (ważny) – dotyczy luki w zabezpieczeniach biblioteki AntiXSS, która umożliwia ujawnienie informacji

Zachęcam do aktualizacji systemów.

Chiny we wtorek oddały do publicznego użytku swój system nawigacji satelitarnej. Beidou (Wielki Wóz) jest próbą osłabienia pozycji amerykańskiego systemu nawigacji o nazwie GPS NAVSTAR (Global Positioning System – NAVigation Signal Timing And Ranging). System Beidou składa się w chwili obecnej z 10 satelitów krążących na orbicie, ale już pod koniec roku 2012 system będzie bogatszy o kolejne 6 urządzeń. Rzecznik prasowy systemu Beidou tak tłumaczy uruchomienie chińskiego systemu nawigacji satelitarnej:

Jeżeli nie ma niezależnej kontroli nad systemem nawigacji satelitarnej, bezpieczeństwo gospodarcze oraz rozwój społeczny Chin nie ma dostatecznej ochrony.

Należy pamiętać jednak o tym, że system chińskiej nawigacji satelitarnej jest w 100% zgodny z istniejącymi innymi systemami tego typu. W chwili obecnej Beidou ma służyć tylko i wyłącznie Chinom oraz krają ościennym, ale już w roku 2020 chiński system ma osiągnąć globalny zasięg. Aby to osiągnąć, chiński rząd musi wysłać na orbitę Ziemi kolejne satelity, aby w końcu ich liczba urosła do ponad 30.

Twórcy Beidou liczą na zainteresowanie krajowych oraz zagranicznych firm nowym systemem, a także liczą na wkład wszelkich podmiotów w rozwój chińskiego systemu GPS. Dowodem na to może być przede wszystkim opublikowanie dokumentacji technicznej systemu również w języku angielskim.

Na chwilę obecną system pracuje z dokładnością do 25 metrów, ale już po d koniec przyszłego roku dokładność ta wzrośnie do około 10 metrów. Należy oczywiście pamiętać, że parametry udostępnione dla cywilnych użytkowników są znacznie gorsze od tych, do których ma dostęp wojsko. Podobnie jest z systemem GPS NAVSTAR, a ograniczenie dokładności osiąga się dzięki zastosowaniu mechanizmu błędu pseudolosowego.

Beidou nie jest jedynym niezależnym tworem tego typu na świecie. Obok GPS NAVSTAR działa również rosyjski GLONASS oraz europejski Galileo.

Car Connectivity Consortium to organizacja non-profit, która za zadanie postawiła sobie ułatwienie życia użytkownikom smartphonów w podróży samochodem. Ich ideą jest sprawienie, aby telefony typu smartphone stały się integralną częścią elektroniki pojazdów, którymi podróżujemy, a korzystanie z nich stało się bezpieczne , łatwe i przyjemne.

W chwili obecnej konsorcjum pracuje nad dalszym rozwojem technologi MirrorLink™, jako ich głównej dziedziny. Równolegle trwają pracę nad technologią NFC w samochodach, opracowaniem certyfikacji na poziomie protokołu oraz stworzeniem listy testów zgodności, opracowaniem certyfikacji dla aplikacji i narzędzi działających z wykorzystaniem technologii MirrorLink™, zarządzaniem znakiem towarowym MirrorLink™, zdefiniowaniem wspólnego planu działania w dziedzinie łączności pomiędzy systemem In-Vehicle Infotainment (zintegrowany system informacyjny zainstalowany w samochodzie, do którego zalicza się np.: nawigacja, radio/CD, wbudowane systemy współpracy z urządzeniami mobilnymi, odtwarzacze wideo, telewizja, gry) a systemem MirrorLink™, promowanie technologii MirrorLink™ jako nowego standardu, który wkrótce ma stać się dostępny dla wszystkich.

Twitter ćwierka, że w ostatnim czasie do organizacji Car Connectivity Consortium dołączył koncern Fiata oraz BWM, którzy wspólnie z takimi potentatami jak Daimler, GM, Honda, Hyundai, Toyota oraz VW, będą wpólnie pracowali nad rozwojem MirrorLink™.

Kilka dni temu firma SplashData opublikowała raport o najczęściej używanych i zarazem najgorszych hasłach w roku 2011. Okazuje się, że wciąż najpopularniejsze hasła to takie, które wprost wynikają z układu klawiatury, lub są nazwami własnymi, którymi są na przykład imiona użytkowników.

Specjaliści zauważają jednocześnie, że skomplikowanie haseł wciąż rośnie, ale do miana bezpiecznych wciąż im sporo brakuje. Coraz więcej dostawców narzuca na użytkowników określone minimalne kryteria złożoności haseł (np.: minimum jedna cyfra w haśle, lub minimum jedna wielka litera), ale te bardziej „złożone” hasła i tak przybierają formę „abc123″. Innym problemem jest powtarzalność haseł w wielu miejscach. Najczęściej stosowane są te sama hasła do wielu serwisów. Hakerzy pomimo, że mają już narzędzia do łamania bardziej wyrafinowanych haseł i tak w pierwszej kolejności uderzają w łatwe cele, a takimi bez wątpienia są użytkownicy używający jednego hasła do zabezpieczenia różnych miejsc w sieci.

Poniżej zamieszczam 25 haseł, które uchodzą za najczęściej używane i zarazem za najłatwiejsze do złamania w roku 2011 według firmy SplashData:

• password
• 123456
• 12345678
• qwerty
• abc123
• monkey
• 1234567
• letmein
• trustno1
• dragon
• baseball
• 111111
• iloveyou
• master
• sunshine
• ashley
• bailey
• passw0rd
• shadow
• 123123
• 654321
• superman
• qazwsx
• michael
• football

Oczywiście jest to angielskojęzyczna lista. Z doświadczenia jednak wiem, że wielu użytkowników (również moich znajomych) używa haseł, które ja bez problemu mógłbym odgadnąć, chociaż z hakerem mam niewiele wspólnego.

Kluczem do dobrego hasła jest jego złożoność. Nie bójmy się haseł długich, składających się z liter dużych i małych, cyfr oraz znaków specjalnych (%, ^, * itp.). Unikajcie stosowania tych samych haseł w miejscach ważnych ze względu na bezpieczeństwo informacji tam przechowywanych. Jeżeli nie jesteście przekonani do programów zarządzających hasłami, stwórzcie listę papierową i przechowujcie ją w miejscu bezpiecznym. Są to naprawdę proste środki i tanie we wdrożeniu, a mogą wam zaoszczędzić wiele stresu w przypadku włamania na komputer i przechwycenia ewentualnie zapisanych na dysku haseł.

No cóż… Ostatni post jaki zamieściłem na łamach bloga jest z maja. Ciężko ostatnio jest mi się zabrać do czegokolwiek. Nie wiem w sumie z czego to wynika, bo ani w pracy nie mam jakiegoś niesamowitego urwania głowy, ani w domu nie jestem zbytnio zaganiany. Ogarnęło mnie lenistwo. Wszystko co mniej ważne zawsze odkładam na później i na później. I tak samo stało się z publikacjami na łamach mojego bloga. Uznałem, że nikt mi głowy nie urwie za to, że nie będę pisał i nie pisałem.

Postanowiłem odrobinę się zrehabilitować i wznowić publikacje na blogu. Nie jestem w stanie obiecać, że będę robił to często, ale mam nadzieję zapełniać archiwum przynajmniej kilkoma wpisami miesięcznie.

Na targach Computex Taipei Intel zaprezentował kilka nowości, które będą wkrótce zaimplementowane w chipsetach Sandy Bridge (druga generacja procesorów Intela) oraz w mikroprocesorach Trail Cedar, które są dedykowane dla netbooków.

Pierwsza z nowych technologii to Intel’s Rapid Start Technology, która pozwala na szybsze uruchomienie komputera, dzięki zapisowi stanu aplikacji na dedykowanym dysku flash.

Dla przypomnienia Microsoft dopuszcza dwa tryby „uśpienia” komputera, stan gotowości i hibernację. Stan gotowości działa przy bardzo małym poborze mocy i potrzebuje znacznie krótszego czasu na przywrócenie. Hibernacja z kolei oszczędza energię elektryczną, ale czas potrzebny na przywrócenie jest znacznie dłuższy w porównaniu ze stanem gotowości.

Jak podają przedstawiciele Intela, dzięki technologii Intel’s Rapid Start Technology, czas potrzebny na przywrócenie systemu z hibernacji skrócił się do około 5 – 6 sekund. Dodatkową zaletą wykorzystania w tej technologii pamięci flash jest odporność systemu na wyjęcie i ponowne włożenie baterii zasilającej.

Inną nowinką zaprezentowaną przez Intela jest technologia Intel Smart Connect Technology, która pozwala na ciągłą aktualizację treści na komputerze, który aktualnie przełączony jest w tryb gotowości. Pomysł polega na okresowym „budzeniu się” komputera i sprawdzaniu poczty oraz innych aktualnie używanych kanałów informacji.

Wiceprezes Intela, Sean Maloney powiedział, że tego typu technologie tworzone są głównie z myślą o dynamicznie rozwijającym się rynku tabletów. Konieczność tworzenia układów maksymalnie oszczędnych i szybkich w działaniu powoduje, że korporacje takie jak Intel tworzą odrębną linie produktów dedykowanych dla takich właśnie urządzeń, a przykładem może być np. seria układów Atom.

W Regionie Autonomicznym Mongolii Wewnętrznej wybuchły protesty przeciw wydobyciu na tym terenie węgla przez Chiny. Mongołowie zarzucają Chińczykom niszczenie stepów oraz pastwisk przez ciężarówki. Według informacji prasowych, do tej pory zginęło w wyniku protestów dwóch Mongołów. Mongolia Wewnętrzna będąca autonomią chińską jest na chwilę obecną największym chińskim producentem węgla. Niestety rdzenna ludność stanowi jedynie 20% ogólnej liczby mieszkańców regionu. Zdecydowana większość to Chińczycy, którzy w dalszym ciągu napływają do Mongolii Wewnętrznej. Mongołowie obawiają uważają, że zagrożony jest ich tradycyjny sposób życia.

Chiny jak zwykle w takich sytuacjach ograniczają dostęp do informacji obywatelom, wykorzystując w tym celu cenzurę.

Chińskie mikroblogi uniemożliwiają wyszukiwanie terminu „Mongolia Wewnętrzna„. Blokowany jest w ten sposób dostęp do informacji na temat protestów w chińskich serwisach społecznościowych takich jak Sina i Tencent, które w sumie mają około 300 mln użytkowników.

Renren, czyli chiński Facebook również został ocenzurowany. Zablokowano wyszukiwanie dla zwrotu „Mongolia Wewnętrzna”, co poskutkowało tym, że użytkownicy odwiedzający osoby, które na swoim profilu zaznaczyły jako rodzinne strony region Mongolii Wewnętrznej, mają ograniczony dostęp do ich profili.

Chiny mogą się  pochwalić ponad 450 mln internautów oraz permanentną kontrolą treści publikowanych w sieci. W tym roku poziom kontroli znacznie wzrósł w obawie przed Jaśminową Rewolucją, która miałaby uderzyć w chiński rząd.

26 maja (środa) pojawiła się kolejna aktualizacja platformy WordPress. Wersja 3.1.3 wprowadza kilka poprawek bezpieczeństwa. Między innymi poprawiono bezpieczeństwo przesyłania plików z komputerów o niskim poziomie zabezpieczeń oraz poprawiono bezpieczeństwo obsługi mediów. Dodatkowo pojawiła się funkcjonalność, która usuwa stare pliki importu WordPress, jeżeli taki import nie został zakończony pomyślnie. Wprowadzono także mechanizm ochrony przed atakiem typu clickjacking na stronie administratora oraz na stronie logowania. Niestety (dla niektórych) mechanizm ten działa tylko i wyłącznie w nowoczesnych przeglądarkach.

Pełną listę zmian można znaleźć tutaj.

Jednocześnie trwają pracę nad gałęzią 3.2 platformy WordPress. Jednocześnie z wersją 3.1.3 pojawiła się druga beta odłamu 3.2. Wydanie wersji RC planowane jest na początek czerwca, a wersja finalna planowana jest na koniec miesiąca. Najważniejszą ze zmian w wersji WordPress 3.2 Beta 2 w stosunku do pierwszej wersji beta jest zaimplementowanie obsługi biblioteki jQuery 1.6.1.

W zeszłym tygodniu na blogu skupiającym się na systemie Android opublikowano informację, że oprogramowanie Skype wyprodukowane dla platformy Android nie blokuje dostępu do wielu poufnych informacji znajdujących się na telefonach.

W niepowołane ręce mogą wpaść takie dane jak nazwa użytkownika, adres e-mail, lista kontaktów oraz logi rozmów z klienta Skype. Sam producent oprogramowania Skype potwierdził zarzuty w piątek.

Problem polega na tym, że Skype nadaje błędne uprawnienia do plików, pozwalając na dostęp do nich każdemu.

Producent oprogramowania Skype obiecał zająć się problemem prywatności, ale działania mające na celu wyeliminowanie problemu nie zostały ujęte w żadnym harmonogramie.

Chet Wiśniewski, specjalista ds. bezpieczeństwa z Sophos powiedział, że problemy z prywatnością oprogramowania Skype dla Androida mogły

powstać z niechlujstwa w kodowaniu w najlepszym razie, lub braku szacunku dla prywatności w najgorszym.

Na chwilę obecną problem z prywatnością oprogramowania Skype dla Androida nie została wyeliminowana.