markasblog

Proszę się nie denerwować, nie trafiono na kolejne sygnały o wykradaniu haseł do popularnych serwisów pocztowych. Pewne było natomiast to, że temat zostanie jeszcze kilkukrotnie poruszony po całym incydencie. Z jednej strony pojawiły się przypuszczenia, w jaki sposób cyberprzestępcy weszli w posiadanie poufnych danych użytkowników Hotmaila, Yahoo czy Gmail, a z drugiej strony pojawiły się analizy siły przechwyconych haseł. Oba tematy zasługują moim zdaniem na przytoczenie tutaj, ponieważ oba poruszają ważne kwestie.

Phishing czy botnet?

We wczorajszej informacji podawałem, że specjaliści z Microsoftu wskazują na możliwość przeprowadzenia ataku phishingowego przez cyberprzestępców. Ostatnie kilka dni niezależni specjaliści nie próżnowali i przedstawili inną, kto wie czy nie bardziej prawdopodobną formę ataku. Mary Landesman, amerykańska specjalista ds. bezpieczeństwa wskazuje na możliwość wykorzystania botnetu. Przytacza tutaj analizę pewnego botnetu, podczas której trafiła na tę sama listę haseł, która została opublikowana ostatnio na pastebin.com. Może to wskazywać na możliwość wykradzenia haseł za pomocą keyloggerów połączonych w botnet. Wskazuje jednocześnie na niemożność zastosowania phishingu z powodu rosnącej świadomości internautów. Mary Landesman twierdzi rónież, że przeprowadzenie ataku phishingowego na tak ogromną skalę jest bardzo problematyczne. Kradzież danych z wielu serwisów, w żaden sposób ze sobą nie powiązanych stawia przed przestępcami wiele niedogodności, do których należą przede wszystkim konieczność stworzenia wielu fałszywych stron internetowych oraz dotarcia do użytkowników tych serwisów.

Wydaje się, że argumenty amerykańskiej niezależnej specjalistki są dużo mocniejsze niż specjalistów z Google, Microsoftu i Yahoo, którzy twardo obstają przy ataku phishingowym.

Wykradzione hasła są „słabe”

Innej, bardzo ważnej analizy, która uwidacznia duży problem, podjął się Bogdan Calin, specjalista ds. bezpieczeństwa z firmy Acunetix. Bogdan Calin poddał analizie hasła, które zostały wykradzione. Wyniki analizy są przerażające. Okazuje się bowiem, że spora część przeanalizowanych haseł charakteryzuje się małym skomplikowaniem – są zwyczajnie „słabe”. Najpopularniejszym hasłem na liście było „123456” a kolejnym „123456789„. Analiza wskazała, że najwięcej haseł składa się z 6 – 9 znaków, przy czym z 6 znaków składało się aż 22%, a z 8 znaków około 21%. Pełna analiza została przedstawiona na oficjalnym blogu firmy Acunetix.

Mary Ladesman wskazywała, że internauci są dużo bardziej świadomi niż kilka lat temu, dlatego też atak phishingowy jest w tej sytuacji mało prawdopodobny. Z drugiej strony Bogdan Calin wskazuje na problem cholernie słabych haseł. Czy świadomi internauci tworzyliby tak słabe hasła? Odpowiedź na to pytanie pozostawiam wam.

Cloudboard – nowa usługa testowana przez Google może przekonać wielu użytkowników do przeniesienia swoich danych „w chmurę”. Próbowaliście kiedyś przenieść dane pomiędzy arkuszem kalkulacyjnym a dokumentem tekstowym zapisanym „w chmurze” od Google? Było to bardzo skomplikowane a wręcz niewykonalne. Z pomocą przychodzi Cloudboard czyli schowek stworzony do przenoszenia danych pomiędzy aplikacjami sieciowymi Google. Cloudboard umożliwi przenoszenie poszczególnych elementów arkusza kalkulacyjnego do edytora tekstowego (np. pojedynczą skopiowaną tabelę będzie można wkleić do edytora tekstów z zachowaniem stylu), otrzymamy możliwość kopiowania zdjęć z Picasy, danych z Gmail, czy filmów z YouTube.

Google wykonało duży krok w celu sprzężenia wszystkich aplikacji.

Na konferencji Adobe Max 2009, która rozpoczęła się 4 października bieżącego roku, a zakończy się w dniu dzisiejszym, został zaprezentowany Flash Player w wersji 10.1. Już wkrótce w kanale deweloperskim pojawi się wersja beta dla systemów Windows, Linux i Mac OS X, a na początku roku 2010 pojawią się implementacje dla Androida i Symbiana. Wersja stabilna powinna pojawić się w pierwszej połowie 2010 roku. Najważniejszą informacją jest to, że nowa wersja Flash Playera jest tworzona nie tylko z myślą o środowiskach desktopowych, ale i platformach mobilnych, umożliwiając odtworzenie wszelkich mediów i uruchomienie każdej aplikacji Flash na smartfonach z zainstalowanym Symbianem, Androidem, Windowsem Mobile, webOS-em czy BlackBerry OS-em. Jedynie użytkownicy IPhona pozostaną bez wsparcia ze strony Adobe.

Flash Player 10.1 powstaje w ramach Open Screen Project, dzięki czemu nowy Flash pozwoli na wyświetlanie w przeglądarkach zaawansowanych aplikacji.

Najważniejszą zmianą w najnowszym Flash Playerze będzie wprowadzenie sprzętowej obsługi akceleracji grafiki 2D jak i 3D oraz strumieni wideo, a w przypadku platformy mobile możliwe będzie korzystanie w aplikacjach z ekranów dotykowych, akcelerometrów itd.

Powód do zadowolenia będą mieli również producenci muzyczni i filmowi, ponieważ Flash Player w wersji 10.1 ma zaimplementowaną technologię Adobe Flash Access 2.0, która nie pozwala na kopiowanie treści udostępnianych za pośrednictwem streamingu HTTP.

Adobe wprowadzając Flash Player 10.1 umocni swoją pozycję na rynku streamingu HTTP oraz zaawansowanych aplikacji internetowych.

Ostatnie kilka dni minęły pod znakiem kradzieży haseł kilku tysięcy użytkowników do serwisów takich jak Hotmail, Gmail czy Yahoo. Pierwsza informacja pojawiła się 05.10.2009 (serwis neowin.com twierdzi, że pierwsza lista z hasłami pojawiła się w internecie już 01.10.2009) w związku z opublikowaniem na stronie internetowej loginów i haseł tysięcy użytkowników usługi Windows Live Hotmail. Dzień później (06.10.2009) podobnie jak w przypadku pierwszej informacji, również BBC News poinformowało o pojawieniu się kolejnej listy z hasłami do skrzynek pocztowych takich usług jak Yahoo, Gmail, AOL. Jak podaje BBC, spora część loginów i haseł do dane kont już dawno nieistniejących lub nieużywanych, jednakże większość dotyczy kont aktywnych.

Na oficjalnym blogu Microsoft potwierdził informacje o kradzieży danych i jednocześnie poinformował, że wszczął już postępowanie wyjaśniające w tej sprawie.

Pracownicy Google również potwierdzili wyciek danych użytkowników Gmail i w tutaj również administratorzy usługi wszczęli działania działania zabezpieczające konta użytkowników, które polegają na zresetowaniu haseł.

Microsoft jako pierwszy wykluczył możliwość włamania się do ich baz danych, wskazując jednocześnie na możliwość phishingu, czyli takiego rodzaju ataku, podczas którego sami użytkownicy nieświadomie podają dane logowania na sfałszowanych witrynach imitujących np.: panele logowania do poczty, banku, for internetowych.

Administratorzy serwisu pastebin.com (serwis na łamach którego programiści mogą dzielić się efektami swojej pracy) , na którym były publikowane dane z ukradzionymi loginami i hasłami bardzo szybko zareagowali na zaistniałą sytuację i wprowadzili zmiany mające uniemożliwić publikowanie w przyszłości tego typu informacji.

Ta konkretnie sprawa tutaj się kończy. Nie należy jednak lekceważyć tego typu niebezpieczeństw w przyszłości. Cyberprzestępcy udowodnili jak bardzo groźnym w ich rękach jest phishing. Teraz zdobyli loginy i hasła do serwisów pocztowych. Nie wyobrażam sobie dnia, kiedy w ręce przestępców wpadną dane umożliwiające logowanie się do sytemu bankowości internetowej.

Google w dniu wczorajszym za pośrednictwem swojego bloga poinformowało, że dołączyło do projektu Open Screen Projekt. Projekt ten wystartował półtora roku temu, gdy Adobe zgłosiło chęć udostępnienia specyfikacji formatu Flash. Samo Google przyznaje, ze już wcześniej współpracowali z firmą Adobe przy takich projektach jak: YouTube, Android, Google Chrome, więc przystąpienie do Open Screen Project to czysta formalność.

Co przyniesie przystąpienie Google do projektu i praca w nim z takimi firmami jak Adobe, BBC, Cisco, HTC, Intel? Wiemy jak bardzo Google stawia na otwarte formaty wykorzystywane w sieci. Wierzy, że tylko otwarte formaty pchają rozwój technologii sieciowych do przodu. A może jest drugie dno podjętej decyzji. Może przystąpienie do Open Screen Project jest związane z wydaniem wkrótce systemu Chrome OS. Jakiej odpowiedzi byśmy nie udzielili, praca wcześniej wymienionych gigantów skupiona wokół jednego projektu może przynieść jedynie wymierne korzyści nam, czyli końcowym użytkownikom technologii sieciowych.

Mozilla udostępniła do testów wersję przeglądarki Firefox wyposażoną w mechanizm CSP (Content Security Policy), dzięki któremu będzie możliwe zminimalizowanie ataków typu XSS (cross-site scripting). Ataki typu XSS polegają na osadzeniu w treści atakowanej strony kodu, który może doprowadzić do jego wykonania przez użytkownika, któremu ten kod zostanie wyświetlony. Więcej informacji na temat XSS można przeczytać na Wikipedii.

Mozilla wprowadzając mechanizm CSP do swojej przeglądarki zwiększyła kontrolę nad aplikacjami internetowymi, które w swojej funkcjonalności umożliwiają użytkownikom pobieranie i umieszczanie na serwerach potencjalnie niebezpiecznego kodu Jaca Script. CSP będzie opierał się na zasadzie listy, na której znajdą się domeny uważane za bezpieczne. W skrócie wyglądałoby to tak, że skrypty wykonywane byłyby tylko wtedy, gdyby pochodziły z „białej listy” domen. Jeżeli skrypt pochodziłby z domeny nie znajdującej się na liście bezpiecznych domen, wówczas taki skrypt nie byłby uruchomiony. O liście bezpiecznych domen przeglądarka zostanie poinformowana za pośrednictwem specjalnego nagłówka dodanego do kodu strony – X-Content-Security-Policy.

Więcej na temat mechanizmu CSP można przeczytać tutaj (strona w języku angielskim).

Digital Sky Technologies (DST), lider na rynku rosyjskojęzycznym jeżeli chodzi o inwestycje w branżę internetową nie poprzestał na zakupie 2% procent udziałów w Facebooku za około 200 mln dolarów w maju tego roku. Agencja Reuters informuje, że przedstawiciele rosyjskiego potentata wciąż wykupują udziały w Facebooku w identycznej cenie za akcje jak w przypadku pierwszej transakcji (14,77 dolara). Ważne jest, że akcje kupowane są z pominięciem giełdy, bezpośrednio od ich posiadaczy. Szacuje się, że na tą chwilę Digital Sky TEchnologies posiada około 3,5 % udziałów.

Dla przypomnienia powiem, że firma DST jest również właścicielem polskiego serwisu społecznościowego – nasza-klasa.pl, posiadając w nim 70 % udziałów.

O tym jak wielki potencjał tkwi w tego typu inwestycjach świadczy fakt, że przedstawiciele Facebooka spodziewają się w tym roku około 500 mln dolarów przychodu, a w roku 2014 przychody mogą sięgnąć miliardów dolarów.

Policja postanowiła włączyć do poszukiwań osób zaginionych i poszukiwanych inne służby państwowe oraz prywatne osoby. Jak to zrobili? Kilka dni temu zostały uruchomione dwie internetowe bazy. Jedna baza kryje się pod adresem poszukiwani.policja.pl (baza osób poszukiwanych), a druga pod adresem zaginieni.policja.pl (baza osób zaginionych). Na chwilę obecną serwisy cieszą się bardzo dużym zainteresowaniem internautów, przez co mogą pojawiać się problemy z dostępnością obu witryn.

Dane zamieszczane w obu bazach są pobierane z Krajowego Systemu Informacyjnego Policji (KSIP), jednak nie wszystkie osoby trafią na listy opublikowane w internetowych bazach a tylko te, na których publikacje danych wyrazili zgodę sąd lub prokuratura. Należy też zaznaczyć, że internetowe bazy nie są bezpośrednio połączone z KSIP-em. Aktualizacja danych odbywa się raz dziennie, a każdy policjant wprowadzający dane o osobie poszukiwanej lub zaginionej musi wcześniej sprawdzić czy jest zgoda na publikowanie danych.

Bardzo ważnym aspektem całego projektu jest to, że udało się zmniejszyć koszty wdrożenia systemu z zaplanowanych na wstępie 500 tyś. zł na niewiele ponad 100 tyś. zł.

O wtyczce Google Chrome Frame i zdaniu Microsoftu jakie gigant z Redmond ma na temat wtyczki pisałem nie tak dawno. Przypomnę jedynie, że Microsoft twierdzi, że stosowanie wtyczki Frame w przeglądarce IE może być niebezpieczne. Okazuje się, że Mozilla postanowiła dorzucić swoje 5 groszy opowiadając się po stronie Microsoftu. Przedstawiciele Mozilli wskazują, że dużym problemem wtyczki Frame jest fakt, że wyłącza ona wiele funkcji wbudowanych w najnowszą wersję przeglądarki Microsoftu, a wśród tych funkcji jest na przykład ochrona prywatności. Innym ważnym problemem jest brak kontroli nad przeglądarką przejawiającą się w tym, że użytkownik nie ma możliwości kontrolowania tego, jaki silnik w danej chwili jest wykorzystywany do obsługi strony. To twórca strony za pośrednictwem odpowiedniej deklaracji w kodzie strony określa najlepszy według niego silnik renderujący. Mozilla bardzo jasno wskazała niebezpieczeństwa na jakie potencjalnie narażeni są użytkownicy IE z zainstalowaną wtyczką Google Chrome Frame.

W przypadku wytknięcia błędów przez przedstawicieli Mozilli, Google podejmie kroki zmierzające do oddania większej kontroli użytkownikowi? Myślę, że już niedługo usłyszymy odpowiedź ze strony Google.

Pisałem jakiś czas temu o wykryciu luki w protokole SMB2 pozwalającej na zdalne wykonanie kodu. Problem dotyczył jedynie systemów Windows Vista, WIndows Server 2008 oraz Windows 7. Microsoft niestety nie zdążył wydać stosownych poprawek dla swoich systemów a w sieci pojawił się już exploit wykorzystujący lukę w zabezpieczeniach. Exploit pozwala na zlokalizowanie systemu Windows podatnego na atak i wykonanie dowolnej akcji.

Microsoft informuje jednocześnie, że wskazany problem nie dotyczy finalnej wersji Windowsa 7 i odsyła do opublikowanego MSA (Microsoft Security Advisory) zawierającego opis kroków pozwalających na zabezpieczenie się przed atakami.

Miejmy nadzieję, że do wydania najbliższych biuletynów zabezpieczeń, Microsoft zdoła przygotować odpowiednią łatkę.