Błąd SUDO uważaj bo ktoś może przejąć twoje uprawnienia root

Niedawno wykryto dość poważną lukę w SUDO.  Jest ona niezwykle poważna, gdyż w niezwykle prosty sposób pozwala na wykonanie dowolnej operacji. Jednym warunkiem jest uzyskanie fizycznego dostępu do komputera. Atak możliwy jest na komputerach które naturalnie korzystają z SUDO, dlatego, też nie powinien specjalnie dziwić fakt, że najczęściej atakowane są systemy UBUNTU i MAC OS X. Atak można przeprowadzić dla każdego konta które kiedykolwiek korzystało z SUDO.

Jak to możliwe?

Użytkownik SUDO tworzy automatycznie plik timestamp, który daje możliwość wykonywanie wszystkich poleceń, bez konieczności ponownego logowania w interwale czasowym 5 min. Można jednak posłużyć się poleceniem SUDO – K, które nie wymaga uwierzytelnienia, ale pozwala na zmianę w pliku timestamp na interwał (1970-01-01 01:00:00). W większości aplikacji zmiana czasu nie wymaga potwierdzenia hasłem root-a.  Czyli de facto jesteśmy rootem.

Błąd dostał nyumer CVE-2013-1775 i został poprawiony w sudo w wersjach 1.8.6p7 oraz 1.7.10p7.

Darmowe programy do obróbki graficznej

Darmowe oprogramowanie nawet dziś w większości firm nie sprowadza się do pakietu biurowego, ale wymaga stosowania przynajmniej programu do obróbki zdjęć, nie wspominając już o bardziej zaawansowanych programach graficznych.

Polecamy te które sprawdziliśmy:

GIMP – posiada polską wersję językową, aktualizacje, no i możliwość zapisywania plików warstwowych w formacie PNG. Dodatkową zaletę stanowi możliwość konwesji plików do formatów: GIF, JPG, JPEG, BMP. Jedyny minus to dość długie ładowanie, problematyczne warstwowe ładowanie obsługi kilku plików na raz oraz brak obsługi i czytania formatóW CDR. Program dysponuje też własnym alternatywnym dla PNG formatem zapisu XCF, który jednak nie jest odczytywany w jakimkolwiek innym programie.

INSCAPE – program miał stanowić alternatywę dla Corel DRAW, niestety tak naprawdę jego działanie ogranicza się do symulowania możliwości programu i nie posiada możliwości odczytywania formatów CDR. Z powodzeniem jednak pozwala na stworzenie mniej wymagających elementów aplikacji z użycie większości funkcji dostępnych w Corelu.

 

CDN.

Wymiana plików bez konsekwencji prawnych

Europejski Trybunał Praw Człowieka orzekł, że wymiana plików o ile jest wymianą dóbr kulturowych nie może być uważana za kradzież i rozpowszechnianie treści w złej wierze, ale raczej za dopuszczalne krzewienie treści o charakterze kulturalny.

ERGO: Polskie sądy będą zmuszone respektować w wyrokach orzeczenie Trybunału, a co za tym idzie, będzie możliwość podjęcia linii obrony dla osób oskarżonych o bezprawne rozpowszechnianie treści.  Już tylko od interpretacji sądu będzie zależało, czy wykorzystywanie oprogramowania nielegalnego do tworzenia dóbr kultury też będzie możliwa…..

Darmowa alternatywa dla pakietu Microsoft Office

Obecnie najbardziej rozpowszechnione są dwa pakiety:

Open Office: http://www.openoffice.org/pl/

Pakiet jest całkowicie darmowy dla szkół, urzędów, firm i osób indywidualnych. Dzięki wieloletnim pracom zawiera odpowiedniki większości narzędzi z pakietu Microsoft Office. Nie ma też większych problemów  z otwieraniem dokumentów zapisanych w formatach tychże. Bez problemu pozwala tekże na zapisanie dokumentów tesktowych w formatach doc. doxc. pdf. csv. Dzięki czemu staje sie znacznie bardziej funkcjonalny od propozycji konkurencji. Trochę gorzej prezentuje się na tym tle Calc narzędzie zastępujące Excela porównując je z wersjami od 2007, 2010 wzwyż trzeba przyznać, że to narzędzie nie było zbyt mocno rozwijane przez co jest znacznie uboższe od wersji oferowanej przez Microsoft. Może być to szczególnie uciążliwe dla bardziej zaawansowanych użytowników, ponieważ już na poziomie funkcji pojawiają się rozbieżności, a naprawdę poważne różnice i ograniczenia pojawiają się na poziomie tworzenia makr. Z najpopularniejszych aplikacji trzeba jeszcze wspomnieć o Impress, które ma zastępować PowerPointa. Istnieją pewne problemy z kompatybilnością jeśli idzie o tę aplikację. Nie zawsze zostaje właściwie odczytane formatowanie, co rodzi dość poważne problemy przy otwarciu i zamknięciu pliku w PowerPoint i ponownym jego odtworzeniu z pomocą Impress.

Generalnie jest to mimo wszystko, tania i dobra alterntywa jeśli planujemy korzystać z najbardziej podstawowych funkcji.

Libra Office:http://pl.libreoffice.org/

Kolejna darmowa aplikacja stworzina przez część zespołu, który kiedyś pracował nad Open Office. W Libra widać w prawdzie znacznie większą przejżystość funkcji niż w Open Office, ale za to sama aplikacja jest dosyć problematyczna ze względu na potforną wręcz powolność zarówno przy jej otwieraniu, zapisywaniu czy formatowaniu danych. Trochę lepiej natomiast radzi sobie ze słownikami i błędami gramatycznymi niż Open. W samej aplikacji dosyć razi brak użycia standardowych ikon (np. dyskietki dla zapisu) stąd początki korzystania z aplikacji będą wymagały przystosowania od starych nawyków. W programie do prezentacji występuje podobny brak kompatybilności z pakietem Microsoft Office. Jeszcze gorzej ma się sprawa alternatywy dla Excela – tworzenie makra graniczy z załamaniem nerwowym w niektórych przypadkach.

Niemniej oba pakiety choć nieskonałe są darmową alternatywą dla produktów Microsoftu.

FirefoxOS nowy system mobilny, czy zdetronizuje Androida?

Polski rynek urządzań mobilnych został już dawno w znacznej częsci zmonopolizowany przez Androida. Nieliczni już tylko z rozrzewnieniem wzdychają za Symbianem, wymierającym i od dawna nie rozwijanym. Szacuje się, że w Polsce Android objął ponad 70% rynku, co wynika głównie z przewagi urządzeń z tym systemem w ofercie operatorów. Nie bez znaczenia jest duża liczba aplikacji, w tym bezpłatnych, oraz medialny PR. IOS ma się nieco gorzej bo ma zaledwie 13% udziału w rynku, a jeszcze mniejszy ma WP7 bo zaledwie 7%, a liczba ta stale spada, gdyż już pojawiły się urządzanie z WP8.

Co w tej sytuacji zrobił Firefox? Zapowiedział wypuszczenie oprogramowania na silniku wciąż dominującej na rynku ( prawie 70%) przeglądarki internetowej. Zapowiada też, że wymagania pozwolą na używanie systemu w mniej zaawansowanych sprzętowo urządzeniach, przez co ma być dostępny dla mniej zamożnych użytkowników. Dzięki temu system, ma też działać sprawniej i płynniej niż jego konkurenci.

Na razie powstały dwa urządzenia, które mają trafić na rynek w lutym:

KEON – ekran 3,5 cala, kamera 3 Mpix, baterię 1580 mAh, GPS, Wi-Fi, microUSB, 4 GB wbudowanej pamięci, MicroSD, procesor Qualcomm Snapdragon S1 1 Ghz, 512 MB RAM;

PEAK – ekran 4,3 cala, kamera 8 Mpix z tyłu i 2 Mpix z przodu, bateria 1800 mAh, procesor dwurdzeniowy Snapdragon S4 1,2 Ghz.

Dodatkowo wszyscy liczą na mnóstwo darmowych aplikacji tworzonych przez twórców wtyczek i dodatków do przeglądarki. Jak będzie? Wkrótce się przekonamy.

Google Docs jako pretekst do przejęcia konta

Na konta części użytkowników Gmaila oraz korzystających z dobrodziejstwa przechowywania i dzielenia się dokumentami w ramach Google Docs przyszłą informacja o tym, że koniecznie muszą potwierdzić swoje konta.
Sama wiadomość w prawdzie nosi znamiona typowej translatoryki na zasadach (Kali być krowa), która świadczy o spamowości informacji. Niemniej przestrzegamy, jeśli i u Was przez filtry przedostała się takowa informacja.

Uwaga: Drogi użytkownika konta e-mail,

Jesteśmy w trakcie aktualizacji naszej centralnej bazy
danych, e-mail, w pierwszym kwartale 2013 roku, zdając
sobie sprawę, że Twoje konto webmail została zagrożona
przez spammers.They miał dostęp do konta e-mail i zostały z
wykorzystaniem Internetu do nielegalnej działalności. aby
umożliwić inspekcję zabezpieczeń w celu przywrócenia i
utrzymania konta e aktywne. Wystarczy kliknąć na poniższy
link i wypełnić niezbędne informacje potrzebne do
utrzymania aktywnego e-maila.

https://docs(dot)google(dot)com/spreadsheet/viewform?formkey=dG5GUjF0SXFxcXQwczRVdmpndVMteUE6MQ

W przeciwnym razie konto zostanie dezaktywowane.

Kod potwierdzenia:. -/93-1A388-480 Wsparcie zespołu Webmail.

Dziękuję współpracy

Webmail Help Desk.
Administrator systemu

Waszą uwagę powinien zwrócić interfejs strony z formularzem, a szczególną uwagę zwrócić konieczność podania daty ostatniego logowania (gdy maksymalnie do weryfikacji używa się daty urodzin choć i to zdarza sie wybitnie rzadko). Przestrzegamy, gdyż nie niektórych możliwość zdezaktywowania ich konta może podziałać bardzo motywująco w kwestii wypełnienia formularzy.

Nowe zabezpiecznie poczty od Gmail – czy aby na pewno wygodne?

Korzystanie z Gmaila, ma swoje wady i zalety, ale nie da się ukryć, że Google jako pierwsze zaoferowałą olbrzymią darmową pocztę bez spamu i reklam rozsyłabych mailami. Dziś usługa została rozbudowana o wiele niezwykle przydanych części, które stanowią swoiste centrum organizacyjne. Oprócz poczty mamy bowiem dostęp do prywatnego terminarza (Google Calender), który możemy współdzielić, dodatkowo możemy też przechowywać dokumenty i również je współdzielić (Google Docs). Ponadto możemy organizować mini konferencje internetowe z pomocą bezpłatnego narzędzia Hangouts, które w prawdzie jest ograniczone do 10 osób, niemniej jest dostępne cały czas online.

Do tego darmowe rozmowy głosowe o jakości jakiej konkurencyjny skype dawno już nie jest w stanie zapewnić.  Wszystko to wygląda niezwykle przyjaźnie do momentu, w którym uświadamiamy sobie, że nasze konto może zostać przejęte.

Dlatego inżynierowie Google zaczeli prace nad uwierzytelnieniem z pomocą kart kryptograficznych Yubico, które mają mieć możliwość podłączenia USB. Z resztą samo Google już wcześniej wprowadził system dwu stopniowej autoryzacji, która oprócz standardowego hasła żada koda wysłanego esemesem.

Szczegóły nowego zabezpieczenia możecie zobaczyć na filmiku.

IT dla NGO – czyli sektor 3 w internecie

Od momentu przystąpienia do Unii Europejskiej coraz większą uwagę zwraca się na działalność tzw trzeciego sektora dla funkcjonowania społeczeństwa.  Naturalnie wszelkiego rodzaju fundacje i stowarzyszenia funkcjonowały w naszym kraju już znacznie wcześniej, ale to nowe Dyrektywy Komisji Europejskiej przyniosły nowe perspektywy dając możliwość pracy także i w tym sektorze.

SEKTOR 3.0 to działające już 3 rok z rzędu Forum – Technologie w organizacjach pozarządowych, które namawia do wykorzystania nowoczesnych technologii szczególnie w dziedzinie zarządzania oraz komunikacji. Zwracając szczególną uwagę na potrzebę odniżenia kosztów działalności oraz zaangażowania większej ilości osób w projekty można dojść do wniosku, że również w tej dziedzinie IT jest nieozownym elementem funkcjonowania.

Najbliższe FORUM odbędzie się na Politechnice w Gliwicach 30.01.2013 roku.

Problemy z routerami Linksysa

irma DefenseCode opublikowała video, w którym pokazuję jak zdalnie można przejąć kontrolę nad routerami firmy Linsysa WRT54GL (ale na atak podatne są także inne modele). Błąd podobno dotyczy wszystkich firm warów.

DefensCode wysłała do Cisco (producent Linksysa) informację o błędzie, zwrotnie Cisco poinformowało że problem usunięto, ale… jak sprawdzili specjaliści DefenseCode były to tylko słowa, Cisco nic nie zrobiło z Bugiem.

Szczegóły exploita mają być podane w ciągu tygodnia – to powinno zmotywować Cisco do działań

http://www.youtube.com/watch?v=cv-MbL7KFKE&feature=player_embedded