Archiwa kategorii: Ciekawostki IT

Ciekawostki IT

Nieznane wi-fi, niebezpieczne wi-fi ?

akiś czas temu głośno było o tym, że wszyscy Ci, którzy posiadają niezabezpieczone sieci dostępne przez wi-fi mogą mieć poważne problemy jeśli ich sieć zostanie wykorzystana do nielegalnych działań. Naszym zdaniem to dotyczy równie dobrze słabo zabezpieczonych sieci. Nie ma się co oszukiwać większość haseł sieciowych jest prosta i tendencyjna możliwa do złamanie w kilkanaście minut do około 2 h. Filtrowanie po MAC-u też nie zawsze zdaje egzamin jeśli słabo zabezpieczymy dostęp do routera. Dla mało zaawansowanych włamywaczy problemem może się okazać paradoksalnie ustawienie pływających kanałów (część nawet nowego sprzętu zupełnie sobie nie radzi z takim połączeniem), ale trudno w ogóle w opisanych wyżej przypadkach mówić o bezpieczeństwie IT.

Druga strona medalu czyli łączenie się z ogólnodostępnymi sieciami Wi-fi to również niesie za sobą ryzyko choć innego rzędu. Za korzystanie z cudzej sieci Wi-fi również grozi kara, ale może zajmijmy się innymi aspektami zagadnienia.

Po pierwsze możemy paść ofiarą oszustwa, który będzie monitorował każdy nasz ruch wykonany w tej sieci i tym samym przejmie nasze loginy i hasła – słowem wszystkie dostępy z jakich korzystaliśmy poprzez wybrane połączenie. Scenariusz jest mało atrakcyjny, choć to zaledwie jeden z możliwych.

Jak już wspomniałam korzystanie z nawet niezabezpieczonej sieci Wi-fi może grozić konsekwencjami w tym karą grzywny.

Ale nie można zapominać, że bezpieczeństwo IT to nie tylko dostępy do naszych kont, czy odpowiedzialność karna to również możliwość „załapania” złośliwego oprogramowania i mam tu na myśli nie tylko wirusa, ale również oprogramowanie śledzące.

Czym to grozi? Tym, że mikrofon i kamera mogą zacząć rejestrować Ciebie i wszystko co się wokół ciebie dzieje bez Twojej wiedzy i zgody, keylooger zapamięta każdy twój ruch na klawiaturze.

Może na tym dziś zakończmy. Mam nadzieję, że przynajmniej część z Was zabezpieczy teraz lepiej swoje sieci oraz rzadziej będziecie się dawali skupić darmowym hotspotom.

Internet po nowemu, czyli więcej niż jedna sieć

Ostatnio pojawiła się rewolucyjna koncepcja zmiany idei funkcjonowania internetu wymyślona przez Polaków. W prawdzie jakiś czas temu już poruszaliśmy problem przy okazji omawiania bezpieczeństwa internetu w urządzaniach mobilnych. Dla przypomnienia, urządzenia te przesyłają nasze dane do szybkich serwerów, tam zamiast nas logują się do np. banku i odsyłają nam skompresowane dane. Czyli de facto wchodzą w posiadanie takich danych poufnych jak nasze loginy i hasła do kont bankowych (w tym konkretnym przykładzie).

Niemniej idea wykorzystania szybszych i bardziej wydajnych łączy dla wydelegowanych zdań zdaje się być ideą dominującą w myśli informatycznej. Autorem rozbudowanej teorii „internetu po nowemu” jest prof Wojciech Burakowski. Rzecz opiera się o urządzenia najnowszej generacji, które na węzłach fizycznych mają pozwolić na tworzenie węzłów wirtualnych. Znacznie prościej sprowadza się to do skumulowania kilku sieci internetowych w jednym podłączeniu np. w jednym kablu.

Obecnie stworzono model oparty na 3 sieciach. Pierwsza działa podobnie jak internet, druga służy do przesyłania danych wysokiej jakości, np. zdjęć (przecież nie każdy korzysta z formatu RAW gwarantującego utrzymanie jakości nawet po kompresji) filmów HD. Ostatnia z sieci ma być tzw siecią nowej generacji nazwana – siecią nowych treści.

To ostatnie pojęcie domaga się z pewnością objaśnienia. Otóż obecnie każdy użytkownik wyszukując dane ściąga je na swój komputer, co często trwa bardzo długo lub zostaje przerwane poprzez zerwanie połączenia. Założeniem nowej sieci powinno być umożliwienie użytkownikowi wybranie źródła pobierania danych.

Praktyczne zastosowania takiego rozwiązania są upatrywane np. w medycynie, gdzie czujniki na ciele pacjenta mogą stale pozwalać na monitorowania stanu zdrowia pacjenta, bez względu na jego lokalizację, dzięki przesyłaniu danych bez żadnych zakłóceń i opóźnień. Niektórzy nawet idą dalej i widzą zastosowanie podobnych rozwiązań dla czujników ruchu, które można wykorzystać w zakresie szkoleniowym dla sportowców jak i penitencjarnym.

Prace nad nowym obliczem internetu trwają od 2010 roku, a wdrożenie rozwiązań wedle danych Unii Europejskiej finansującej programm, powinno nastąpić do 2015 roku.

 

Błąd SUDO uważaj bo ktoś może przejąć twoje uprawnienia root

Niedawno wykryto dość poważną lukę w SUDO.  Jest ona niezwykle poważna, gdyż w niezwykle prosty sposób pozwala na wykonanie dowolnej operacji. Jednym warunkiem jest uzyskanie fizycznego dostępu do komputera. Atak możliwy jest na komputerach które naturalnie korzystają z SUDO, dlatego, też nie powinien specjalnie dziwić fakt, że najczęściej atakowane są systemy UBUNTU i MAC OS X. Atak można przeprowadzić dla każdego konta które kiedykolwiek korzystało z SUDO.

Jak to możliwe?

Użytkownik SUDO tworzy automatycznie plik timestamp, który daje możliwość wykonywanie wszystkich poleceń, bez konieczności ponownego logowania w interwale czasowym 5 min. Można jednak posłużyć się poleceniem SUDO – K, które nie wymaga uwierzytelnienia, ale pozwala na zmianę w pliku timestamp na interwał (1970-01-01 01:00:00). W większości aplikacji zmiana czasu nie wymaga potwierdzenia hasłem root-a.  Czyli de facto jesteśmy rootem.

Błąd dostał nyumer CVE-2013-1775 i został poprawiony w sudo w wersjach 1.8.6p7 oraz 1.7.10p7.

FirefoxOS nowy system mobilny, czy zdetronizuje Androida?

Polski rynek urządzań mobilnych został już dawno w znacznej częsci zmonopolizowany przez Androida. Nieliczni już tylko z rozrzewnieniem wzdychają za Symbianem, wymierającym i od dawna nie rozwijanym. Szacuje się, że w Polsce Android objął ponad 70% rynku, co wynika głównie z przewagi urządzeń z tym systemem w ofercie operatorów. Nie bez znaczenia jest duża liczba aplikacji, w tym bezpłatnych, oraz medialny PR. IOS ma się nieco gorzej bo ma zaledwie 13% udziału w rynku, a jeszcze mniejszy ma WP7 bo zaledwie 7%, a liczba ta stale spada, gdyż już pojawiły się urządzanie z WP8.

Co w tej sytuacji zrobił Firefox? Zapowiedział wypuszczenie oprogramowania na silniku wciąż dominującej na rynku ( prawie 70%) przeglądarki internetowej. Zapowiada też, że wymagania pozwolą na używanie systemu w mniej zaawansowanych sprzętowo urządzeniach, przez co ma być dostępny dla mniej zamożnych użytkowników. Dzięki temu system, ma też działać sprawniej i płynniej niż jego konkurenci.

Na razie powstały dwa urządzenia, które mają trafić na rynek w lutym:

KEON – ekran 3,5 cala, kamera 3 Mpix, baterię 1580 mAh, GPS, Wi-Fi, microUSB, 4 GB wbudowanej pamięci, MicroSD, procesor Qualcomm Snapdragon S1 1 Ghz, 512 MB RAM;

PEAK – ekran 4,3 cala, kamera 8 Mpix z tyłu i 2 Mpix z przodu, bateria 1800 mAh, procesor dwurdzeniowy Snapdragon S4 1,2 Ghz.

Dodatkowo wszyscy liczą na mnóstwo darmowych aplikacji tworzonych przez twórców wtyczek i dodatków do przeglądarki. Jak będzie? Wkrótce się przekonamy.

Google Docs jako pretekst do przejęcia konta

Na konta części użytkowników Gmaila oraz korzystających z dobrodziejstwa przechowywania i dzielenia się dokumentami w ramach Google Docs przyszłą informacja o tym, że koniecznie muszą potwierdzić swoje konta.
Sama wiadomość w prawdzie nosi znamiona typowej translatoryki na zasadach (Kali być krowa), która świadczy o spamowości informacji. Niemniej przestrzegamy, jeśli i u Was przez filtry przedostała się takowa informacja.

Uwaga: Drogi użytkownika konta e-mail,

Jesteśmy w trakcie aktualizacji naszej centralnej bazy
danych, e-mail, w pierwszym kwartale 2013 roku, zdając
sobie sprawę, że Twoje konto webmail została zagrożona
przez spammers.They miał dostęp do konta e-mail i zostały z
wykorzystaniem Internetu do nielegalnej działalności. aby
umożliwić inspekcję zabezpieczeń w celu przywrócenia i
utrzymania konta e aktywne. Wystarczy kliknąć na poniższy
link i wypełnić niezbędne informacje potrzebne do
utrzymania aktywnego e-maila.

https://docs(dot)google(dot)com/spreadsheet/viewform?formkey=dG5GUjF0SXFxcXQwczRVdmpndVMteUE6MQ

W przeciwnym razie konto zostanie dezaktywowane.

Kod potwierdzenia:. -/93-1A388-480 Wsparcie zespołu Webmail.

Dziękuję współpracy

Webmail Help Desk.
Administrator systemu

Waszą uwagę powinien zwrócić interfejs strony z formularzem, a szczególną uwagę zwrócić konieczność podania daty ostatniego logowania (gdy maksymalnie do weryfikacji używa się daty urodzin choć i to zdarza sie wybitnie rzadko). Przestrzegamy, gdyż nie niektórych możliwość zdezaktywowania ich konta może podziałać bardzo motywująco w kwestii wypełnienia formularzy.

Nowe zabezpiecznie poczty od Gmail – czy aby na pewno wygodne?

Korzystanie z Gmaila, ma swoje wady i zalety, ale nie da się ukryć, że Google jako pierwsze zaoferowałą olbrzymią darmową pocztę bez spamu i reklam rozsyłabych mailami. Dziś usługa została rozbudowana o wiele niezwykle przydanych części, które stanowią swoiste centrum organizacyjne. Oprócz poczty mamy bowiem dostęp do prywatnego terminarza (Google Calender), który możemy współdzielić, dodatkowo możemy też przechowywać dokumenty i również je współdzielić (Google Docs). Ponadto możemy organizować mini konferencje internetowe z pomocą bezpłatnego narzędzia Hangouts, które w prawdzie jest ograniczone do 10 osób, niemniej jest dostępne cały czas online.

Do tego darmowe rozmowy głosowe o jakości jakiej konkurencyjny skype dawno już nie jest w stanie zapewnić.  Wszystko to wygląda niezwykle przyjaźnie do momentu, w którym uświadamiamy sobie, że nasze konto może zostać przejęte.

Dlatego inżynierowie Google zaczeli prace nad uwierzytelnieniem z pomocą kart kryptograficznych Yubico, które mają mieć możliwość podłączenia USB. Z resztą samo Google już wcześniej wprowadził system dwu stopniowej autoryzacji, która oprócz standardowego hasła żada koda wysłanego esemesem.

Szczegóły nowego zabezpieczenia możecie zobaczyć na filmiku.

IT dla NGO – czyli sektor 3 w internecie

Od momentu przystąpienia do Unii Europejskiej coraz większą uwagę zwraca się na działalność tzw trzeciego sektora dla funkcjonowania społeczeństwa.  Naturalnie wszelkiego rodzaju fundacje i stowarzyszenia funkcjonowały w naszym kraju już znacznie wcześniej, ale to nowe Dyrektywy Komisji Europejskiej przyniosły nowe perspektywy dając możliwość pracy także i w tym sektorze.

SEKTOR 3.0 to działające już 3 rok z rzędu Forum – Technologie w organizacjach pozarządowych, które namawia do wykorzystania nowoczesnych technologii szczególnie w dziedzinie zarządzania oraz komunikacji. Zwracając szczególną uwagę na potrzebę odniżenia kosztów działalności oraz zaangażowania większej ilości osób w projekty można dojść do wniosku, że również w tej dziedzinie IT jest nieozownym elementem funkcjonowania.

Najbliższe FORUM odbędzie się na Politechnice w Gliwicach 30.01.2013 roku.

Czerwony październik – czyli skuteczny atak na wielką skalę wykryty po 5 latach działania

Należy podziwiać zdolności autora lub autorów ataku na 69 krajów, wśród których co ciekawe nie znalazła się Polska. Dlaczego? Być może odpowiedzi należy szukać w informacji, iż inwigilacją objęto, wysoko postawionych urzędników administracji i dyplomatów, przy czym inwigilacja dotyczyła wszystkich urządzeń w tym mobilnych. Gorsze informacje to te, że inwigilowano także wojskowych, naukowców zajmujących się energią nukleraną oraz pracowników firm energetycznych. Kryptonim akcji nie jest przypadkowy – większość inwigilowanych jednostek to jednostki zlokalizowane w Europie wschodniej oraz Azji.

Sposób przeprowadzenia ataku

Tak prosty, że aż sprytny, wszystko rozpoczynało się do dobrze sfałszowanego z informacjami zawartymi w załącznikach w formacie Word i Excel – to właśnie luki w tych dwóch aplikacjach wykorzystano do zainstalowania modułu podstawowego, który uzyskiwał uprawnienia do  pobierania i instalowania kolejnych modułów. Rozszerzona wersja nie tylko mogła zbierać wszelkie możliwe informacje przetwarzane na na aplikacjach offline-owych, ale też rozprzestrzeniać się na mobilne urządzenia z pomocą USB, czy śledzić kolejność przycisków na klawiaturze.

Wniosek

wydaje się prosty, ustawienia antywirusów w pewnych przypadkach powinny obejmować obowiązkowy skan załączników, ponadto w przypadku jednostek (komputerów) używanych do przetwarzania kluczowych danych łączenie powinno się odbywać bezprzewodowo (podczerwień, bluetooth, wifi).

Ustalenia

Serwery użyte do ataków znajdują się w Niemczech i Rosji co naturalnie o niczym nie świadczy. Kod zbadany przez ekspertów wydawał się być złożony z dwóch specyficznych warstw. Pierwsza stanowiąca bazę oprogramowania wskazywała na twórców z Chin, zaś doinstalowywane komponenty to już programy o cechach typowych dla programistów z Rosji. Połączenia inicjowano głównie ze Szwajcarii, Grecji, Kazachstanu i Białorusi.

I tak się zastanawiam jaki kraj daje najlepszy kooperatyw dla współpracy rosyjsko-chińskiej….jakieś pomysły ?

EC3 – czyli kolejne centrum do walki z cyberprzestępczością

Nareszcie i Unia Europejska doczekała się swojego organu do walki z cyberprzestępczością. Nowy organ nazywany w sprócie EC3 a powiązany z Eropolem, ma być narzędziem do walki z „nowym” rodzajem przestępczości zorganizowanej. Jak wiadomo przepisy w poszczególnych krajach wspólnoty różnią się na tyle, że często umożliwia to przestępcom prowadzenie swojej działalności w danym Państwie, poza jego granicami i daje zdecydowanie większe prawo do bezkarności, w przypadku gdy działania nie są karane w miejscu „siedziby działalności”. Tyle wzniosłej teorii, praktyka pokazuje jednak, że ma to być jednostka, której zadaniem będzie głównie gromadzenie informacji o dziełalności cyberprzestępczej, w tym informacji prasowych i udostępnianie ich organom śledczym i organom ścigania. Początki działalności mają się skupić na cyberprzestępczości związanej z bankowością, seksualnym wykorzystywaniem dzieci oraz działalność która bezpośrednio uderza w działalność informacyjną UE. Tym samym EC3 to kolejny moloch który zamiast realnie działąć, będzie miał jedynie na celu mgazynowanie informacji. Zatem internauci miejcie się na baczności, bowiem zdani jesteście na własną przezorność. Wasze bezpieczeństwo w sieci zależy głownie od Was.

Darmowy PhotoShop i inne narzędzia ADOBE

Sprawa firmy odbiła się w świecie głośnym echem. Nic dziwnego, firma słynie z walki o legalne oprogramowanie i nie lubi się dzielić swoimi programami za darmo. Wygląda, więc na to, że tylko źle przemyślana strategia i niewłaściwie dobrane przez analityków firmy, casy, sprawiły duże zamieszanie. By otrzymać dostęp do oprogramowania wystarczyło założyć w pełni darmowe konto Adobe ID i już można było pobrać za darmo starsze wersje oprogramowania takie jak: Photoshop CS2, Photoshop Elements 4.0/5.0, Creative Suite 2, GoLive CS2, Illustrator CS2, InCopy CS2, InDesign CS2. Trzeba mieć jednak świadomość, że starsze wersje oprogramowania, nie zawsze są kompatybilne z obecnym sprzętem i oprogramowaniem, co szczególnie mogą odczuć użytkownicy MAC-ów. Niestety już 13 grudnia firma zamknęła możliwość aktywowania pakietów online, co może oznaczać, że docelowo pakiety miały być dostępne tylko dla posiadaczy starych licencji dla CS2, lub zachęcić do płatnych updetów z wersji CS2 na nowsze. Dlatego powstaje dość poważny problem natury legislacyjnej, czy w wyniku (jak się wydaje) ewidentnego błędu, może powstać problem natury legislacyjnej. Może się bowiem okazać, że osoby, które pograły darmowe wersje programów posiadają je nie do końca legalnie. Wszystko będzie w tym wypadku zależało od roszczeń Adobe i interpretacji prawnych.

Co ciekawe CS2 z 2005 roku daje się uruchomić na Windows 7.