|
|
| כניסת חברים · רישום · שכחתי סיסמה |
 |
  מערך הסייבר הלאומי: דגשים לאבטחת השימוש בקוד פתוח [טיוטה לעיון הציבור]ע"י דוביקס פורסם: 12/06/2022 - 20:55  מערך הסייבר הלאומי פרסם טיוטה להתייחסות הציבור בנושא ״דגשים לאבטחת השימוש בקוד פתוח״:״השימוש בקוד פתוח (Open Source) בארץ ובעולם הולך וגובר. לנוכח זאת שכיח לראות כי קוד פתוח מגיע כחלק מובנה במוצרי מדף ושירותים אשר מקורם מצד-שלישי, ואף בכלים ומערכות שצוות ה-IT עושה בהם שימוש. כמו כן, שכיח לראות שילוב קוד פתוח במוצר/בשירות אשר ארגונים מפתחים לטובת שימוש פנימי או חיצוני. לצד זאת, היקף האיומים בקוד פתוח הולך וגדל, כאשר ארגונים רבים אינם מודעים למרחב האיומים, והצעדים הנדרשים להתמודדות מולם. המסמך ׳דגשים לאבטחת השימוש בקוד פתוח (Open Source)׳ מציג רשימת דגשים להחלה במסגרת תהליכים ארגוניים דוגמת פיתוח מאובטח ורכש והתקשרויות, אשר אימוץ שלהם יקטין את הסיכון לארגון וללקוחותיו.״ Jetpack, חברה המייצרת כלי אבטחה עבור וורדפרס, גילתה כי 93 תוספים וערכות נושא השייכות לחברת AccessPress כוללים דלת אחורית. ההנחה כי הקוד הוחדר ע"י פריצה אל אתר החברה.בעת התקנת אחד התוספים הנגועים מוזרק קוד המקודד ב-base64 לקוד האתר. ההערכה כי הקוד מפנה לאתרים הכוללים נוזקה והונאה. כמו כן מאפשר לתוקפים למכור גישה לאתרים הנגועים. לבעלי אתרי וורדפרס, מומלץ: בתור מה שנראה כחלק ממחקר, נשלחו פאצ'ים לקרנל מאוניברסיטת מינסוטה אשר הכילו ביודעין בעיות אבטחה. חלקם נכנסו, חלקן טופלו לפני ההכנסה וחלקן נפסלו.לאחר ניסיונות חוזרים לעשות זאת, Greg KH חסם קבלת פאצ'ים מכל הדומיין של האוניברסיטה ואף יידע את הנהלת מחלקת מדעי המחשב וההנדסה של האוניברסיטה. מקורות: הבאג (Dirty COW = Dirty copy-on-write) קיים כבר 9 שנים בקרנל (2.6.22 ומעלה) של לינוקס ומאפשר שינוים/ניצול הרשאות כתיבה-קריאה במכשירים הפועלים על הקרנל(אנדרואיד, רסברי-פאי,ראוטרים ועוד מיני הפצות לינוקס) ... WhatsApp, אפליקציית הצ'אט הפופולארית, מצפינה את כל ההודעות שלכם עם פרוטוקול ההצפנה של חברת Open Whisper Systems, פרוטוקול הצפנה End-to-end בקוד פתוח.כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.הגליון החמישים וחמישה כולל את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.הגליון החמישים וארבעה כולל את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.הגליון החמישים ושלושה כולל את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.הגליון החמישים ושניים כולל את המאמרים הבאים: כבר מספר שעות ששרתי הNS של centos אינם מגיבים כראוי וגלישה לאתר centos.org אינה אפשרית.אין עדיין התחייסות באתר http://planet.centos.org/ אשר עדיין עובד. פקודות ה yum במערכות centos יכשלו במידה והן פונות לmirrorlist של centos.org. כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון החמישים את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון הארבעים ותשעה את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון הארבעים ושמונה את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון הארבעים ושבעה את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון הארבעים וחמישה את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון הארבעים וארבעה את המאמרים הבאים: על פי הודעה ב-seclists הפורומים של אובנטו נפרצו ו־1.82 מליון חשבונות נפגעו. הודעה באתר מציינת כי, Ubuntu One, Launchpad ושירותים אחרים של אובונטו/קנוניקל לא נפגעו.על פניו נראה כי זה הזמן להחליף סיסמאות גם בשירותים שלא נפגעו ליתר בטחון, במידה ויש קישור לשירותים שכן נפגעו או השתמשתם בסיסמה זהה עבורם. אורן Pine 2593 כניסות :: 1 תגובה כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון הארבעים ושלושה את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון הארבעים ושניים את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון הארבעים ואחד את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון הארבעים את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון השלושים ותשעה את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון השלושים ושמונה את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון השלושים ושבעה את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון השלושים ושישה את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון השלושים וחמישה את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון השלושים ושלושה את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון השלושים ושניים את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים. החודש, כולל הגליון השלושים ואחד את ששת המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון השלושים את שבעת המאמרים הבאים: FreePBX הוא ממשק מבוסס דפדפן פופולרי אשר מאפשר שליטה ועבודה מול אסטריסק גם למשתמשים מן השורה.לאחרונה התגלה כי במידה ואתם משתמשים בממשק הווב באמצעות כתובת חיצונית, ואינכם משתמשים בסיסמה מאובטחת, ניתן להשיג את כל המשתמשים והסיסמאות שלכם ע"י גישה לכתובת: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון העשרים ותשעה את חמשת המאמרים הבאים: מדובר בפירצת אבטחה בקרנל המאפשרת קבלת גישות root בקרנל מגרסה 2.6.39 ומעלה. נראה כי היא תוקנה רק לפני מספר ימים וכי רבות ההפצות עם גרסאות הקרנל הפגיעות. בידיעה אף מצורף קוד לניצול המדגים כיצד ניתן לקבל גישות root דרך משתמש פשוט.ניצן כותב בבלוג "המכללה" כי "ישנן ערכות מתורגמות של וורדפרס אשר כוללות קוד זדוני". מדובר בקוד אשר מקבל גישה לשרת שלכם ויכול לעשות ואף עושה זאת כרצונו. ראשית נצטט את האזהרה של ניצן:כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים. החודש, כולל הגליון העשרים ושמונה את ארבעת המאמרים הבאים: פעמים לא מעטות בעבר הועלו טרוניות בנוגע לחוסר חתימה על חבילות בארץ' (ב-pacman, מנהל החבילות, ספציפית) וגישת מפתחי ההפצה לנושא. החל משחרור pacman 4 וכניסתו למאגר ה-testing חלה תזוזה משמעותית בנושא.Allan McRae כתב סדרה של ארבעה מאמרים בנושא המאירים את אופן העבודה עם חתימות ב-pacman בפרט וארץ' בכלל: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים. החודש, כולל הגליון העשרים ושבעה את חמשת המאמרים הבאים: תמיד חלמתם על מאגר ביומטרי משלכם ? הנה ההזדמנות. חברת DigitalPersona שחררה גרסת קוד פתוח עבור FingerJetFX, נתח מאפייני טביעות אצבע ...כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון העשרים ושישה את חמשת המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון העשרים וחמישה את ששת המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון העשרים וארבעה את שבעת המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון העשרים ושלושה את חמשת המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון עשרים ושניים את ארבעת המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, תוכן הגליון עשרים ואחד (קישור ישיר לקובץ ה-PDF) כולל את ארבעת המאמרים הבאים: המפגש הבא של קבוצת dc9723 יערך בתאריך 21.6.2011 באוניברסיטת תל-אביב, אודיטוריום רוזנבלט בבניין וולפסון, תל אביב, בשעה 19:00.במפגש זה נציין חצי שנה בדיוק לפעילות הקבוצה, העוסקת באבטחת מידע, מאז המפגש הראשון בתאריך 21.12.2010. לוח זמנים: בתאריך 23.6 יערך האקתון מיוחד של קבוצת dc9723 בנושא אבטחת מידע. חשוב לציין שהוא אינו מחליף את המפגש הרגיל אשר ייערך ב-21.6.באירוע, בחסות חברת RSA, אנו נעבוד על מגוון פרוייקטים משותפים מכל תחומי אבטחת המידע החל בהנדסה חברתית, עבור דרך תכנות ואקספלויטים וכלה בהאקינג של חומרה. המפגש יערך בחוות המחשבים של המרכז הבין-תחומי בהרצליה, החל מהשעה 17:00 עד 22:00 ויהיה פתוח לקהל הרחב, אך עם זאת נהוג להשתתף בפרויקט אחד לפחות. בין הפרוייקטים באירוע: Prey (ציד) היא תוכנה חופשית (צד לקוח בלבד) שלא תרגישו את קיומה עד שלא תצטרכו אותה (ומקווה שלא); אם וכאשר מחשבכם/ניידכם נגנב, כל מה שעליכם לעשות הוא להודיע לשרת ע"י הממשק הוובי או בהודעת SMS. מאותו רגע, התוכנה תתחיל לאסוף מידע על הגנב ותאפשר לכם לבצע מספר פעולות מרחוק במחשב הגנוב.כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.המפגש הבא של קבוצת DC9723 יערך בתאריך 26.4.2011 באוניברסיטת תל-אביב, מתחם ההנדסה, אודיטוריום רוזנבלט בבניין וולפסון, תל אביב, בשעה 19:00.שימו לב: פגישה זו מתקיימת ביום שלישי הרביעי של החודש, שלא כרגיל, עקב חג פסח שחל בתאריך המקורי... כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.Digital Whisper עוסק בנושאים כמו אבטחת מידע והאקינג, הינדוס לאחור, פרוטוקולים ורשתות תקשורת, סטגנוגרפיה, קריפטוגרפיה וקריפטו-אנליזה ועוד. בשעה טובה ומוצלחת יצא לאור הגליון השמונה-עשר (גיליון מרץ) הכולל את המאמרים הבאים: האקינג: רשימת תפוצה חדשה ואתר וויקי לקבוצת dc9723 העוסקת באבטחת מידע [עודכן]ע"י פינגווין אנונימי פורסם: 03/03/2011 - 09:43 רשימת תפוצה חדשה לקבוצת ה-DEFCON הישראלית, DC9723. לדברי הפוסט בנושא התפתחויות חדשות ומעניינות בנוגע למפגשי הקבוצה העתידיים יוכרזו ברשימה זו (כמו גם בבלוג).קבוצת DefCon הישראלית מיועדת לשמש כמקום לדיונים, התפתחות ולימוד, לקהילה ההולכת וגדלה של העוסקים באבטחת מידע בישראל. אנו נפגשים בכל יום שלישי השלישי בחודש, במיקום מרכזי בתל אביב, ובמפגשים אלו מתקימות הרצאות ופעילויות. המפגשים מתקיימים באוניברסיטת תל אביב, באדיבות StarTau, (מרכז היזמות של אוניברסיטת תל אביב). שימו לב משתמשי ארץ', לטענת הבלוג IgnorantGuru ארץ לינוקס אינה בטוחה, שכן החבילות אינן משתמשות בחתימה דיגיטלית לאימות מקור החבילות ...מדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.לפי האתר Security week, מוזילה הודיעה כי חשפה בטעות פרטים מלאים על המשתמשים הרשומים באתר התוספים שלה, לרבות דואר אלקטרוני וסיסמה.האתר מארח תוספים לפרוייקטים כדוגמת Firfox, Thunderbird, Sunbird ו-SeaMonkey ... מדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.הגליון החמישה-עשר כולל את המאמרים הבאים: קוראי מגזין Mad בוודאי זוכרים את Spy vs Spy. ידיעות על שני תוספי פיירפוקס, Firesheep ו-BlackSheep , הזכירו לי את הקומיקס הנ"ל ...כמדי חודש, צוות Digital Whisper מפרסם את הגליון החודשי בעברית הדן בנושאים טכנולוגיים עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.הגליון הארבעה-עשר של Digital Whisper כולל את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם את הגליון החודשי בעברית, בנושאים טכנולוגים עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, הגליון כולל את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם את הגליון החודשי בעברית, בנושאים טכנולוגים עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, הגליון כולל את המאמרים הבאים: Damn Vulnerable Linux (או DVL בקצרה) היא הפצה המיועדת למעוניינים להתמחות באבטחה - המערכת מסופקת עם מגוון חבילות שבורות, הגדרות שגויות, תוכנות בגרסאות מיושנות ובעלי פרצות אבטחה ידועות - כל מה שלא תרצו להריץ על שולחן העבודה שלכם.ה-EFF בשיתוף עם פרוייקט Tor שחררו תוסף חדש לפיירפוקס - HTTPS Everywhere. התוסף מנתב באופן אוטומטי גישה לאתרים נתמכים (המציעים הן גישת http והן גישה מוצפנת לשרת בפרוטוקול https) לפרוטוקול המאובטח יותר. לדברי ה-EFF, התוסף עובד במספר אתרים כגון חיפוש בגוגל, טוויטר, פייסבוק, Paypal, ועוד.יצרנית האנטי-וירוס ומוצרי האבטחה AVG מצ'כיה הכריזה השבוע על מוצר חדש הזמין להורדה לכל - ערכת הצלה הניתנת להתקנה על מפתח USB או לצריבה על תקליטור ומיועדת להצלת מחשבים שאינם ניתנים לאתחול עקב הדבקה בוירוס.משרד בטיחות המידע הממשלתי (BSI) הגרמני קרא לאזרחיו להימנע משימוש בכל הגרסאות של אינטרנט אקספלורר, לאחר שפירצת אבטחה בדפדפן הובילה למתקפות של האקרים סיניים לפרוץ לחשבונות ג'ימייל של פעילים לזכויות אדם.Wietse Venema הוא היוצר והמתחזק של Postfix וחוקר ב-IBM. הבלוג של Coverty scan, כלי סריקת הקוד אשר מספק גם שירותי סריקה לפרוייקטי קוד פתוח, ערך עימו ראיון בנושאי אבטחה ותוצאות סריקת הקוד של Postfix.לשאלה אודות ההבדלים בעבודה בקוד סגור או פתוח והאם העובדים בקוד סגור מאמצים מהקוד הפתוח דרכי עבודה לקוד מאובטח ואיכותי, ענה: מאז כנס y2hack4.org בשנת 2004 לא התקיים כנס האקרים ישראלי. לפני כמה ימים עלה לאוויר האתר של כנס ההאקרים הישראלי החדש IL.Hack 2009 הצפוי להערך ביום שני, הרביעי במאי 2009.האחות הקטנה הוא פרוייקט קוד פתוח לשמירה על הפרטיות. לאחרונה הכריז הפרוייקט על גרסת בטא של תוכנת הדוא"ל האנונימית, SmallMail. היישום פותח בתגובה לחקיקה באירופה הקובעת כי על רשויות לשמור במשך חצי שנה תעבורת דוא"ל ורישום שיחות - מה שיקשה מאוד על עיתונות חוקרת מאחר והדבר יאפשר לחשוף מקורות מידע בקלות. דוא"ל אנונימי ? הרי יש לנו כבר אפשרות להצפין דוא"ל, מה הטעם בדבר ?השועל ( Firefox) כבר לא בטוח כבעבר. לפי דיווח של PC World חוקרים מטעם חברת האבטחה BitDefender גילו תוכנה זדונית שגונבת סיסמאות של אתרי בנקים, ופוגעת במשתמשי הדפדפן Firefox:הערה: mksoft: פרט קטן: ככל הידוע לי התוכנה הזדונית מגיעה למערכת דרך פרצות אחרות של מערכת חלונות, ולא דרך פרצה בשועל עצמו. GreenSQL משמש "חומת אש" לבסיס הנתונים MySQL ע"י סינון שאילתות החשודות כניסיון ל-SQL Injection. הוא מתפקד כ-Reverse Proxy לפקודות SQL ויושב בין האפליקציה לבסיס הנתונים עצמו, כמתואר בתרשים הבא:גוגל שחררה את ratproxy, אחד מהיישומים המשמשים אותה לסריקת אבטחת יישומי ווב. הקוד משוחרר תחת רישיון Apache License 2.0.Fork bomb היא סוג של התקפת מניעת שירות היוצרת במהירות מספר רב של תהליכים תוך ניצול גובר והולך של משאבי המערכת עד שהיא הופכת לאיטית ביותר או בלתי שמישה.vivek מ-nixCraft נשאל כיצד הסקריפט הבא מהווה fork bomb : סרטוני פלאש הינם פופלאריים ביותר ברשת. משתמשים בהם אתרים גדולים כקטנים ומפתחים עצמאים. עם זאת, עלינו לזכור כי שימוש זדוני בפלאש אפשרי.מכיוון שפלאש רץ אצל מרבית המשתמשים בהרשאות המשתמש, ניתן לנצל זאת לשתילת קוד ושימוש בסרטונים והיישומונים להפצת קוד זדוני. DeveloperWorks של IBM מספקים כמות נכבדה של מאמרים במגוון רחב של תחומים הנוגעים גם ללינוקס בפרט ופיתוח בקוד פתוח ותוכנה חופשית בכלל. לאיזורי הקהילות שלהם נוסף מדור חדש העוסק באבטחת מידע בלינוקס.SourceFire, שבין היתר עומדת מאחרי Snort - התוכנה לזיהוי ומניעת חדירות, הודיעה על רכישת ClamAV - האנטי וירוס החופשי. בנוסף לזכויות היוצרים וסימנים רשומים היא תקבל את השליטה על הפרוייקט עצמו כולל שם המתחם, אתר האינטרנט ותוכנו ועמוד הפרוייקט ב-SourceForge.nixCraft מציגים את shred, פקודה אשר כותבת על קובץ מספר רב של פעמים ומוחקת אותו (אופציונלי). מטרת הכתיבה המרובה למנוע יכולת שחזור תוכן הקובץ:Yoggie Security Systems מציעים התקן USB המריץ עליו חומת אש מבוססת לינוקס. ההתקן, Yoggie Pico, מיועד בעיקר לבעלי מחשבים ניידים הזקוקים לפתרון הגנה קל במשקל ושימוש.מפתח אנונימי העביר ישירות אל חברת אבטחת מידע Sophos דוגמא לוירוס הפועל באמצעות קובץ מאקרו של אופן אופיס.linux.com, מפרסם מדריך להצפנת סיסמאות בשורת הפקודה:"כמו אנשים רבים, יש לי יותר מידי ססמאות לזכור. כדי לשמור אותם היטב, כתבתי שומר ססמאות פשוט בעזרת dialog ו-GnuPG. הסקריפט מבקש מהמשתמש את סיסמת המאסטר בעזרת תיבת-שיח, מפענח קובץ אשר מכיל הסיסמאות ופותח אותו בעורך טקסט. עם סגירת עורך הטקסט הסקריפט מקודד אותו בחזרה..." מקור: newsforge.com 2225 כניסות :: 2 תגובות linux.com, מפרסם מדריך על הסתרת מערכת קבצים שלמה"הצפנת קבצים פשוטה מועילה, אולם לפעמים יעיל יותר להצפין את כל מערכת הקבצים או הדיסק, כגון הצורך להגן על כמות גדולה של קבצים. לחלופין לא רק צריך להגן, אלא גם להסתיר מידע רגיש..." המדריך מציג כלים כמו loopback device וdm-crypt, מערכות קבצים מוצפנות על בסיס FUSE, ברמת הקרנל את eCryptfs וגם Deniable encryption (בעזרת סטנוגרפיה). לא נפקד מקומה של BSD, אשר כלים עבורה נסקרים לקראת הסוף. מידע נוסף בנושא תמצאו ב"השוואת כלי הצפנת דיסק". מקור: Linux Today 2224 כניסות :: תגובות? "חדירות למערכת יכולות להתבצע על ידי משתמשים מורשים או משתמשים חסרי הרשאות. נסיוני האישי מראה כי משתמש לא מרוצה יכול לגרום נזק למערכת, במיוחד כאשר יש להם גישת Shell. חלק מהמשתמשים חכמים ומסירים את קובץ ההיסטוריה, אך ניתן לעקוב אחר כל הפקודות המורצות ע"י המשתמש"....תחמושת נוספת למתנגדים למנהלי התקן קנייניים. פרצת אבטחה במנהל ההתקן הקנייני של NVIDIA מאפשרת להריץ קוד בתור root. יש גם אקספלויט המנצל פרצה זו.עד כאן הכל די נורמלי, קורה הן בקוד קנייני והן בקוד פתוח. מה שמסבך את העסק הוא שהפרצה ידועה כבר כשנתיים, ולא טופלה. NVIDIA אישרה את הפרצה במהלך חודש יולי. נראה שגרסת הבטא של מנהל ההתקן החדש סוגרת פרצה זו (אשר ככל הידוע משפיעה גם על מנהלי ההתקן לסולאריס ו-FreeBSD). קישורים: מקור: LWN, Local root exploit in NVidia driver OSnews, NVIDIA Graphics Driver Blob Root Exploit ווטסאפ [פורום], אזהרה: חור אבטחה בדרייברים בדריברים של Nvidia 8762 8774 2788 כניסות :: 6 תגובות הבלוג LinuxHelp משווה בין כלי הצפנת דיסק ללינוקס. הכלים הנסקרים:- Qryptix - eCryptfs - Truecrypt - Encfs - LUKS - dm-crypt - CryptoFS כמו כן מסכם הבלוג מאמר ב-TomsHardware המסקר ומשווה ביצועי שלושה מהמוזכרים לעיל (CryptoFS, Encfs ו-LUKS). מקור: Digg, Disk Encryption Tools for Linux and benchmark result of a couple of them 3427 כניסות :: 1 תגובה Linux.com מציגים במאמר "An open source security triple play" את OSSEC-HIDS.התוכנה ניתנת להתקנה בתצורת שרת/לקוח או על מחשב בודד וזמינה למגוון מערכות הפעלה (כולל חלונות). בנוסף לבדיקת קבצי היומן, סריקת ל-rootkits וקבצים ששונו, כמו שאר יישומי ה-IDS, התוכנה יכולה להגיב לאיומים מזוהים בצורה פעילה בהתאם לחוקים שנקבעים ע"י המשתמש. בברירת מחדל היא חוסמת את הכתובת הפוגעת ל-10 דקות (באיום שחומרתו מעל דרגה 6). 2448 כניסות :: תגובות? שדרוג: תסריט להגדרה אוטומטית של חומת אש - עכשיו עם הגנת רשת פנימית ושיתוף אינטרנטע"י דוביקס פורסם: 02/08/2006 - 15:33 שוחררה גרסה 0.3.3 של autofw, תסריט להגדרה אוטומטית של חומת אש.התסריט שמפותח ע"י ברוך אבן, חוסך למשתמש את הצורך להתמודד עם ממשקים מסובכים ומונחי רשת עלומים - התסריט מזהה את הגדרות החיבור של המחשב ומגדיר חומת אש באופן אוטומטי. התסריט אינו מתיימר כמובן לענות על כל תצורת רשת שהיא - אבל תצורות חיבור סטנדרטיות לאינטרנט בישראל ושיתוף אינטרנט אמורות להתמך. השוואת מהירות טיפול בבעיות אבטחה בין הפצות שונות, FreeBSD ו-OpenBSDע"י mksoft פורסם: 27/07/2006 - 21:55 SearchSecurity.com בוחנים את מהירות הטיפול בבעיות אבטחה בהפצות שונות, FreeBSD ו-OpenBSD.באופן טבעי קשה לבצע השוואה שכזו, אי אפשר פשוט לספור בעיות ולהסיק מכך מסקנות. לצורך ההשוואה נבחנו שלושים בעיות אבטחה ברמות חומרה שונות המשותפות לכולן. הראשונה שתיקנה בעיה מסויימת קיבלה 100, והאחרונה 0, כשכל השאר ציון יחסי באמצע בהתאם למהירות התגובה. מקור: LWN, Linux patch problems: Your distro may vary 1758 כניסות :: תגובות? NewsForge דנים בחשיבות אורך סיסמה לעומת מורכבותה. הדיון התעורר בעקבות אתגר עם 100$ בצידו אשר פרסם רוג'ר א. גריימס ברשימת הדיוור Security Basics ובבלוג שלו...יש לקוות ששרת האינטרנט שלכם מוגן ומתוחזק כהלכה, אבל למקרה שבו הצליחו לפרוץ לכם למערכת, מנהל מערכות שטיפל כבר בכמה מקרים שכאלו מציג לכם סט טיפים וכלים שיעזרו לכם להתמודד עם הבעיה במהירות וביעילות.קישורים: MDLog:/sysadmin, How to restore a hacked Linux server, (דרך TuxMachines), ווטסאפ, גיבוי ושחזור מידע של יישומי LAMP 2250 כניסות :: תגובות? LinuxSecurity מספקים סקירה כללית אודות packet sniffing:"... תוכנה אשר מנטרת תעבורת רשת ... ניתן לצפות במידע הלא מוצפן אשר עובר דרך המחשב שלך, כולל סיסמאות ומידע רגיש אחר אשר אינו מאובטח בעזרת הצפנה. שים packet sniffer על נתב באינטרנט ותוכל לצפות בכל תעבורת הרשת אשר עוברת דרכו.." הסקירה מספקת מידע אודות שיטות לגילוי תוכנה שכזו ותוכנות שונות אשר יכולות לשמש לביצוע ה-sniffing. מקור: LXer, Packet Sniffing Overview 1660 כניסות :: תגובות? כפי שלוגים של שרתים רבים מראים, שרותי ssh עוברים מספר לא מבוטל של ניסיונות התחברות (באמצעות מתקפות dictionary או brute force לדוגמא). הדבר מנפח את קבצי הלוג ומקשה על איתור בעיות אחרות.אמנם ניתן להגביל את הגישה לשירות זה (או אחרים לצורך העניין) לכתובות מסויימות, אך זה לא עוזר במקרה ומתעורר הצורך להתחברות מכתובת אחרת שאינה ידועה מראש. מאמר בבלוג MDLog:/sysadmin מדגים את השימוש ב-knockd ליישום Port Knocking והשילוב שלו עם iptables. ביישום שיטה זו, הפורט סגור עד ש"מקישים" צירוף של פורטים מסויימים (בדומה לנקישה סודית על דלת שתוביל לפתיחתה). מקור: OSNews הערה: נערך ע"י mksoft 2570 כניסות :: 10 תגובות LinuxSecurity.com מספרים על סקר שנערך ברשימת הדיוור nmap-hackers.תוצאות הסקר פורסמו ב-sectools.org, אשר נמצא תחת מטריית insecure.org, הבית של nmap. סקרים קודמים בנושא נערכו בשנת 2000 ו-2003. לסקר, אשר אינו כולל nmap בין התוצאות, הצביעו 3,243 אנשים. הסקר כולל כלים קניינים וחופשיים כאחד, כאשר עבור כל אחד יש מקרא המציין את זמינות קוד המקור, קניינות, האם מדובר בכלי שורת הפקודה ו/או ממשק גרפי ומערכות ההפעלה נתמכות. ניתן גם לחתוך את התוצאות לפי קטגוריה (כגון: ניתוח פאקטים, סורקי בעיות אבטחה, גילוי חדירות וכדו'). 1855 כניסות :: תגובות? CNET מפרסם מאמר שכותרתו "טרנד מיקרו: קוד פתוח יותר בטוח".
"יצרן האנטי-וירוס טרנד מיקרו טוען שתוכנה של קוד פתוח יותר בטוחה בצורה מובנית מאשר תוכנה קנינית דוגמת חלונות של מיקרוסופט. לדעת טרנד-מיקרו אחת מהסיבות לכך שבקוד פתוח יש פחות בעיות אבטחה הינה מגוון ההפצות של לינוקס. אע"פ שהם משתמשות באותו גרעין, אפילו אם הפצה מסויימת נפרצה על ידי תוכנה זדונית, תוכנה זו לא בהכרח תפעל בהפצה אחרת."... חלק ממאבטחי-המידע מן הסתם כבר מכירים אותן, אך לטובת אלו מכם שעדיין לא, הנה הן - שתי מערכות ניטור וניתוח פעילויות ברשת : Sguil - נבנתה ע"י בוחן אבטחה ברשת בעבור בוחני אבטחה ברשת. המרכיב העיקרי ב-sguil הוא ממשק-המשתמש הקל לשימוש שלה, אשר מספק התרעות בזמן אמת מ-snort/barnyard. כלולים בו גם מרכיבים נוספים אשר יחדיו יוצרים את האפשרות לניטור פעילויות ברשת ולניתוח מונחה אירועים - של התרעות המערכות לגילוי-פריצות (IDS). תוכנת-הלקוח כתובה ב-tcl/tk ויכולה לפעול על כל מערכת-הפעלה התומכת ב-tcl/tk (כגון גנו/לינוקס, *BSD, MacOS, וחלונות) דף הבית OSSIM - מטרת המערכת ברמה התפקודית היא לאסוף מידע ממערכות ניטור אבטחה ברשת, ולהיות מסוגלת לשלב, לוודא, ולשייך את המידע לאירועים, המדורגים לפי רמת חומרתם (נמוכה, בינונית, גבוהה). וברמה האיכותית היא להיות מסוגלת להתמודד עם מוצרים מסחריים המופיעים לאחרונה בשוק. דף הבית עוד לא מצאתי פרטים נוספים בעניין, אך באוניברסיטת חיפה טוענים כי ד"ר בני פנקס וצוות חוקרים שהוא שותף בו חשפו כשל אבטחה חמור ביותר במחולל המספרים האקראיים שבין השאר משמש ליצירת מפתחות הצפנה:מומחה האבטחה ברוס שנייר כותב ב-Wired News אודות סכנות האבטחה הטמונות בהתרת השימוש ב-DRM לשליטה על מחשבך:
"כאשר טכנולוגיה משרתת את בעליה, היא משחררת. כאשר היא מתוכננת לשרת אחרים, למרות התנגדות הבעלים, היא מדכאת. מתנהל מאבק על מחשבך ממש עכשיו -- אחד שמציב אותך מול תולעים ווירוסים, סוסים טרויאניים, רוגלות, עדכוני תכונות אוטומטיים וטכנולוגיות ניהול מידע דיגיטליות (DRM). זהו מאבק כדי לקבוע מי שולט על המחשב שלך. קונסטנטין ספרונוב מחברת אבטחת המידע קספרסקי מדווח על עליה של כ־100% במספר התוכנות הזדוניות ללינוקס בשנת 2005, לעומת 2004. תוכנות אלה כוללות תולעים, סוסים טרויאנים, מקליטי הקשות (keyloggers) ותוכנות אחרו. על פי הדיווח, בשנת 2004 נרשמו 422 תוכנות זדוניות, לעומת 863 בשנת 2005.3222 כניסות :: 6 תגובות הצעת הרכישה של צ'ק פוינט ל-Sourcefire, המפתחת בין השאר את תוכנת הקוד הפתוח Snort, בוטלה בעקבות חקירה שהתנהלה מטעם הממשל האמריקני והקשתה על השלמת העסקה.כ־80 אחוז מ־50 תוכנות הזדון המובילות יכולות לחשוף מידע רגיש או חסוי.ב־7 במרס פרסמה סימנטק את הדו"ח התשיעי בנושא אבטחת מידע: דו"ח איומי האבטחה ברשת (Internet Security Threat Report), אחד מהמקורות המוסמכים ביותר לבחינה של איומים אלו בעולם. עכשיו זה רישמי :-) דפדפן האינטרנט פיירפוקס בטוח יותר לשימוש מבחינת פרצות אבטחה.חברת אבטחת המידע סימנטק, הודיע כי האופן בו מנתה את מספר פרצות האבטחה עד כה היה שגוי, או לפחות לא מדוייק. עד כה סימנטק ספרה פירצת אבטחה רק אם יצרן התוכנה אישר אותה ככזו. שיטה זו הובילה להטייה של התוצאות כיוון שמיקרוסופט לא אישרה את קיומן של חלק מפרצות האבטחה שדווחו על ידי חברות צד שלישי בדפדפן האקספלורר, ומכיוון שבמודל הפיתוח של פיירפוקס ישנה שקיפות רבה יותר וכתוצאה מכך פרצות רבות יותר מקבלות אישור של קרן מוזילה. בשיטה החדשה, מונה סימנטק פרצות אבטחה לא רק אם היצרן מאשר אותן ככאלו, אלא גם אם צד שלישי דיווח עליהן. ספירה זו של פרצות אבטחה הינה מהימנה יותר כיוון שהיא בלתי תלויה בצד זה או אחר ולכן הסיכוי להטייה של התוצאות קטן באופן משמעותי. לפי הספירה החדשה דפדפן האינטרנט פיירפוקס בטוח יותר מבחינת פרצות אבטחה לעומת מקבילו הקנייני, אינטרנט אקספלורר מבית מיקרוסופט. בדפדפן פיירפוקס נספרו רק 17 פרצות לעומת 24 במקבילה של מיקוסופט - כ־40% יותר! מעניין אם בסימנטק הגיעו למסקנות החדשות לאחר שלפני מספר שבועות כלי הסרת הרוגלות של מקרוסופט גילה "בטעות" את סימנטק אנטי וירוס כתוכנת ריגול (spywere). קישורים: TechWeb, Firefox Whips Internet Explorer In Vulnerability Tally 2891 כניסות :: 8 תגובות ביום חמישי האחרון, ה־23.2.06 הופיע קווין מיטניק במסגרת כנס אבטחת המידע אותו ערכה חברת המחקר IDC לראשונה בישראל. לשימחתי זכיתי להיות בין המוזמנים לכנס, ולהלן סיכום קצר מעיקרי דבריו של מיטניק.קווין מיטניק הוא ההאקר לשעבר המפורסם בעולם, כיום הוא משמש כיועץ אבטחת מידע לאירגונים ותאגידים גדולים בעולם. זו היתה הפעם הראשונה בה הופיע מיטניק בישראל, הופעתו היתה גולת הכותרת של הכנס... News.com מדווחים על פרצת אבטחה במפענח הג'אווהסקריפט של KDE אשר נעשה בו שימוש ב-konqueror וביישומי KDE אחרים. הפרצה מוגדרת קריטית מאחר והיא מאפשרת לתוקף אשר גולשים לאתרו להשתלט על המערכת בעזרת URI מסויים המקודד ביוניקוד.גרסאות 3.2.0 עד 3.5.0 פגיעות. ישנם פאצ'ים לקוד המקור ועדכונים בינאריים של ההפצות (כמו מ-SuSE לדוגמא). לא לשכוח לעדכן. 2014 כניסות :: 6 תגובות תולעת חדשה מנצלת פרצות אבטחה ידועות (ב-PHP, AWStat ו-WebHints ) לתקיפת שרתיםע"י צחי_ פורסם: 09/11/2005 - 11:30 ZDNet מדווח על תולעת חדשה הפוגעת בשרתי web המריצים לינוקס. התולעת מנצלת פרצות אבטחה ידועות ב-PHP, AWStat ומערכת WebHints.לשתי המערכות הראשונות יש תיקונים לפרצות מזה מספר חודשים, אך הפרצה ב-Webhints (המוגדרת קריטית ביותר ע"י Secuinia) טרם תוקנה. מק'אפי, המכנה את התולעת Lopper, טוענת שהתולעת יכולה לשמש להתקפות מניעת שירות, ולקצירת כתובות דואל המאוכסנות בקבצים על השרת. קישורים: דיווח באתר סימנטק, דיווח על פרצת האבטחה ב-WebHints, הדיווח המקורי על כשל האבטחה ב-WebHints הערה: נערך ע"י דוביקס 1993 כניסות :: 5 תגובות חוקרי אבטחה פרסמו קוד של אקספלויט היכול לחדור את מנגנוני האבטחה של מערכות המריצות את הגרסאות האחרונות של Snort.האקספלויט, מתפרסם שבוע אחד בלבד אחרי ש US-CERT הודיעה על הימצאות הכשל. על פי הדיווח של מפרסמי האקספלויט הוא יפעל ברוב המקרים. עם זאת, מאחר ומדובר בבעיה הנובעת מקוד שהוסף ל-Snort רק לפני מספר חודשים ומרבית השרתים לא שודרגו - הסברה היא שרק מספר מערכות מצומצם חשופות לאקספלויט. קישורים: Security Focus, Exploit published for Snort open-source IDS, ווטסאפ, צ'ק פוינט רוכשת את יצרנית תוכנת הקוד הפתוח Snort ב-225 מיליון דולר 1590 כניסות :: תגובות? צ'ק פוינט רוכשת את יצרנית תוכנת הקוד הפתוח Snort ב-225 מיליון דולרע"י דוביקס פורסם: 07/10/2005 - 22:15 השבוע דווח על כך שחברת תוכנות האבטחה הישראלית צ'ק פוינט רכשה את החברה האמריקנית סורספייר (Sourcefire), המתמחה בפתרונות מניעת חדירות בזמן אמת ברשת האינטרנט, תמורת כ-225 מיליון דולר.חברת Sourcefire, היא בין השאר גם המפתחת של תוכנת הקוד הפתוח Snort הזמינה ברשיון GPL. רגע לפני שאנחנו יוצאים לפגרת החגים -ביום רביעי ה- 28.09 בשעה 18:30 שי אוחיון ירצה במועדון הלינוקס בירושלים. הרצאה זו תתמקד בהיבטים עכשוויים של אבטחת מידע ברשתות אלחוטיות בין השאר יוצגו שיטות האבטחה - WEP, WPA, WPA-PSK ויוצגו ההשלכות על משתמשים ביתיים, עסקים קטנים ומערכות אנטרפריז. פרטים נוספים ניתן למצוא באתר המועדון הרצאה קודמת של שי על Wireless Under Linux 1725 כניסות :: 6 תגובות הוראות הטלאה לכשל אבטחה הקשור ל-IDN buffer overflow בפיירפוקס ומוזילהע"י דוביקס פורסם: 10/09/2005 - 09:58 חוקר האבטחה טום פריס (Tom Ferris) דיווח ב-6 בספטמבר לפרוייקט מוזילה על כשל אבטחה העלול לאפשר לאתרים זדוניים להריץ קוד במחשב במשתמש או להתקפת DoS. הכשל קשור לאופן בו הדפדפנים מטפלים בקישורי אינטרנט המכילים בכתובת מספר רב של מקפים (-).ב-8 בספטמבר פרסם פריס בפומבי את קיום הכשל ואף צרף קוד הדגמה. ב-9 בספטמבר פרוייקט מוזילה הפיץ הוראות למעקף זמני של הבעיה וכן תוסף המאפשר הטלאה אוטומטית. כנס Crypto ה-25 במספר, שנערך השבוע בסנטה ברברה, קליפורניה, הצליח לעורר סערות לא מעטות, לא רק בהיבט של אבטחת מידע אלא גם בהיבט של בטחון שדה. רק אחד מתשעה מדענים סיניים שהוזמנו לכנס הצליח להגיע, לאחר שתהליכי אישור הויזות לשאר לא הסתיימו במועד.בין אלו שלא הצליחו להגיע, נמצאת גם Xiaoyun Wang, המדענית הסינית שהרעישה את עולם הקריפטוגרפיה בפברואר השנה, כאשר היא ועוד שני מדענים סיניים אחרים פרסמו מסמך המתאר התנגשויות בקוד hash אחרי 69^2 פעולות (לעומת פריצת Brute Force הדורשת 80^2 פעולות). את המחקר החדש שלה הציג בכנס עדי שמיר, קריפטולוג ופרופסור במכון ויצמן למדע, והחידוש המרעיש שבו - הוא מתאר התנגשויות אחרי 63^2 פעולות בלבד. טיפים וקישורים: Acrobat Reader v7 מוסיף תמיכה ב-JavaScript במסמכים, היכול להעביר מידע אודותיכםע"י דוביקס פורסם: 14/07/2005 - 23:20 koala דיווח בפורומים על כך שאקרובט ללינוקס מאפשר העבר מידע על כל קובץ PDF שנפתח על ידכם ושמכיל קוד JavaScript שנשתל במסמך ע"י חברה שעוסקת באיסוף נתונים.
המידע הוא מסוף מרץ, קרוב לשחרור של גרסת הלינוקס של אקרובט, אבל מפאת חשיבותו הוא מובא להלן. מומלץ להשתמש באחד התחליפים החופשיים (כמו , kghostview, evince, xpdf ועוד, במקרה זה) או לנטרל את התמיכה ב-JavaScript בתוכנה (איך? לצערי/למזלי אני לא יכול לבדוק). קישורים: Linux Weekly News, Unexpected features in Acrobat 7, ווטסאפ, Acrobat Reader v7 אוסף עליכם מידע 1825 כניסות :: 5 תגובות פורסמה עבודת המדענים הסיניים שאיתרו חולשה באלגוריתם ההצפנה SHA-1ע"י דוביקס פורסם: 25/06/2005 - 09:10 בפברואר השנה דיווח מומחה האבטחה ברוס שנייר על כשל במנגנון יצירת המפתחות המאובטחים SHA-1 שתואר בעבודת מחקר של שלושה מדענים סיניים.
המסמך לא פורסם בזמנו מסיבות טכניות, והוא זמין כעת להורדה בפורמט PDF. קישורים: הבלוג של ברוס שנייר, SHA Cryptanalysis Paper Online, ווטסאפ, ברוס שנייר על הרקע והמשמעויות של החולשה שנחשפה באלגוריתם ההצפנה SHA-1, ווטסאפ, נמצאה חולשה קריטית באלגוריתם ההצפנה SHA-1, המנגנון המשמש לאתרי אינטרנט מאובטחים, PGP, ועוד, הבלוג של אבירם חניק, ה- sha מת, יחי ה- sha החדש 1529 כניסות :: 7 תגובות גליון 1.2 של (In)Secure, מגזין אבטחה חינמי, שוחרר להורדה בפורמט PDF. גם הגליון הראשון של המגזין, 1.1 זמין להורדה.
בין המאמרים בשני הגליונות הראשונים: - סיכוני אבטחה בהתקני אחסון ניידים - איך לאבטח רשת אלחוטית - בעיות אבטחה ביישומי ווב מבוססי PHP - אבטחת מידע בקמפוסים וסביבות פתוחות - איך למנוע ממידע ארגוני לזלוג קישורים: אתר הבית של המגזין, ווטסאפ, המגזין לתוכנה חופשית 3: מאמרים בנושאי טכנולוגיה ועולם התוכנה החופשית 1605 כניסות :: 2 תגובות פגישתו הבאה של הפורום הלא מסחרי והטכנולוגי לאבטחת מידע תתקיים ביום ראשון, 19 ביוני, 2005 באודיטוריום לב, אוניברסיטת תל אביב. הפעם הפורמט יהיה מעט שונה, ויכלול פאנל מיוחד שיענה על שאלות הקשורות לפרשת הסוס הטרויאני.
צוות הפאנליסטים: דורון שקמוני, חבר הנהלת איגוד האינטרנט הישראלי ומנכ"ל פורסקאוט ישראל האנק נוסבכר, מנהל רשת מחב"א אופיר ליבר, מנהל אבטחת מידע באינטרנט זהב בועז דולב, מנהל פרויקט תהיל"ה ותחום ממשל זמין במשרד האוצר אדי אהרונוביץ' ינחה את הפאנל. הסיפור על אליס והקיסר: יצירת התנגשויות קודי MD5 במסמכים בעלי משמעותע"י דוביקס פורסם: 11/06/2005 - 08:55 חוקרים מאוניברסיטת Ruhr-Universität Bochum מצאו שיטה המאפשרת לייצר התנגשויות MD5 בין מסמכים בעלי משמעות לבני אדם.החוקרים פרסמו דוגמה חביבה (ראו בקישור) המדגימה כיצד התנגשויות בקוד MD5 מאפשרות לעקוף מנגנוני אבטחה: בהנתן שני מסמכים בעלי אותה חתימת MD5, חתימה דיגיטלית על אחד המסמכים תהיה תקפה גם למסמך השני, היכול להכיל תוכן שונה לגמרי. לאור המחסור בפורום טכני בישראל, נוצרה רשימת הדיוור security-il. מטרת רשימה זו היא להוות את הבסיס לקהילה מקומית שתדון בנושאי אבטחה בעיקר ברמה טכנית אך לא רק, שבנוסף (אני מקווה) תוכל לתרום גם מעבר לידע תאורטי.
http://groups.yahoo.com/group/security-il אפשר להצטרף אליה ע"י שליחת הודעה ריקה מתוכן לכתובת security-il-subscribe@yahoogroups.com ולדאוג להגיב להודעת הווידוא. הערה: הודבק ע"י Koala 1978 כניסות :: 3 תגובות חברת Netcraft שעיקר עיסוקה איסוף וניתוח מידע אודות אתרי אינטרנט, החלה לפני מספר חודשים להפיץ תוסף ל-IE שמטרתו להתריע בפני הגולש על אתרים החשודים כמתחזים (Phishing). בעת ההיא הובטחה גרסת פיירפוקס, וכעת היא זמינה להורדה.Phishing הוא ניסיון לגניבת מידע אישי (כגון סיסמאות, מספרי חשבון בנק, פרטי כרטיס אשראי וכו') ע"י משלוח הודעת דוא"ל מזוייף הנראה כאילו נשלח על ידי גורם אחר בו הגולש נותן אמון (כגון בנק).
לאחרונה נסיונות Phishing הופכים מאורגנים יותר ונפוצים במידה המהווה סכנה משמעותית לגולשים ברשת. ברוס שנייר, מומחה האבטחה הידוע, מספק בבלוג שלו קישור לסדרת תמונות שמוכיחה את ההקפדה הגבוהה בנושאי אבטחה בנמלי התעופה בארה"ב. אין ספק שעכשיו אנחנו יכולים להיות לטוס יותר רגועים.
את סדרת התמונות הלקוחה משידור של רשת abc תוכלו למצוא באתר TheDenverChannel.com. (לא לשכוח את הנקסט->נקסט->נקסט) 2554 כניסות :: 8 תגובות אתר DeveloperWorks של IBM מפרסם סדרת מאמרים המיועדת ללמד אותנו, משתמשי הלינוקס, עקרונות אבטחה בסיסיים, ולהסביר כיצד ניתן, בלא הרבה מאמץ, לשפר את אבטחת המערכת.
מהי אבטחה? איזה סוגים של מפגעים נפוצים יכולים לפגוע באבטחת המערכת שלנו? אלו הנושאים של המאמר הראשון בסדרה. המאמר מכסה היבטים של פרטיות, אמינות וסודיות המידע במערכת. KSpyware היא (אולי) הרוגלה הראשונה שקוד המקור שלה זמין ברשת. לא מדובר ברשיון קוד פתוח (למען הדיוק, הרשיון לא מוזכר בכלל). למרות ה-'K' בתחילת השם - גם לא מדובר בתוכנת KDE, אלא בסקריפט פרל לחלונות.
לדברי המתכנת שכתב את הסקריפט, הוא נועד להדגים כמה קל בעצם לכתוב רוגלות, וגם לצרכי שעשוע. חוץ מהסקריפט הזה, הוא כתב גם ספר הדרכה אודות הגנת אתרים בפני פורצים, ועוד מספר תוכנות אבטחה כגון אוסף כלי הצפנה. קישורים: אתר הבית - KSpyware 2137 כניסות :: 13 תגובות עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח?ע"י דוביקס פורסם: 16/04/2005 - 22:40 קרן מוזילה שחררה עדכון לגרסת 1.0.3 של פיירפוקס וגרסת 1.7.7 של חבילת היישומים מוזילה. השדרוג מתקן תשע בעיות אבטחה שונות - שלוש מהן קריטיות, שדווחו בבאגזילה של הפרוייקט לאחרונה.
שחרור העדכון שדיווחתי עליו לפני כשבוע מעלה שוב את השאלה, האם הפיכת פיירפוקס לדפדפן נפוץ תחשוף אותו לפגעי אבטחה באותו היקף של אינטרנט אקספלורר? בימים הקרובים צפוי להשתחרר עדכון נוסף לפיירפוקס - גרסה 1.0.3. השדרוג מתקן בין השאר את באג האבטחה 288688 שנפתח לפני מספר ימים.
הבאג מאפשר כתיבת JavaScript זדוני שמסוגל לקרוא קטעי זכרון מסויימים. מידע נוסף על הבאג ניתן למצוא בדיווח של חברת Secunia, כולל הדגמה של הבעיה. Secunia קיטלגה את הבאג בדרגת חומרה שלישית (מתוך 5 אפשריות). יש לציין שתיקון לבאג כבר זמין בגרסאות הבדיקה של 1.0.3 - המעוניינים יכולים להתקין את הגרסה הלילית מקישור זה (גרסת פיתוח לצרכי בדיקה בלבד - תודה למגיב האלמוני שהדגיש את הנקודה). עוד בעיות אבטחה שהתגלו לאחרונה, נוגעות ל-MS Outlook ו-MS Internet Explorer. הבעיות שהתגלו ע"י חברת eEye Digital, מאפשרות השתלטות על מחשב בלחיצה תמימה על קישור באתר אינטרנט. אחת הבעיות דווחה למיקרוסופט לפני כ-3 שבועות, והשניה לפני כשבוע, אולם תיקונים עדיין אינם זמינים. חברת eEye הודיעה שאין בכוונתה לפרסם מידע נוסף עד לשחרור תיקונים לליקויים, שהוגדרו על ידה כחמורים ביותר. חברת eEye מכנה את הסתרת הבאגים "Responsible Disclosure" - משחק מילים על "Full Disclosure" שנדון בידיעה בנושא Sybase שפורסמה כאן לפני מספר ימים. 2211 כניסות :: 10 תגובות דעות ופרשנות: מה שבטוח - כלום לא בטוח (לרגל היום הלאומי לאינטרנט בטוח החל מחר)ע"י דוביקס פורסם: 03/04/2005 - 11:10 המוני בית ישראל שישתתפו בהדרכות החינם לגלישה בטוחה באינטרנט יוכלו לחזור מלאי חוויות ורשמים לאחר שילמדו על חדירת וירוסים או תוכנות ריגול, דואר זבל, חדירה לפרטיות, חשיפה לתכנים לא ראויים והתמכרות.
אבל, ראוי להזכיר ביום זה עוד כמה מפגעים, שנוח להתעלם מהם, אולי בגלל שהפתרונות לא בנמצא, לא בשליטתנו או מסיבות אחרות. הסקירה אינה מומלצת לפרנואידים. שלא נדע: Sybase מאיימת לתבוע חברת אבטחה באם תחשוף שמונה חורי אבטחה שמצאהע"י דוביקס פורסם: 02/04/2005 - 11:15 הדיון סביב Full Disclose כנראה שלא נרגע לעולם: יצרנית מסד הנתונים Sybase מאיימת לתבוע חברת אבטחה שרוצה לחשוף שמונה חורי אבטחה במוצריה.
החברה כבר דיווחה בעבר ל-Sybase על החורים, וזו שיחררה טלאי תיקון בחודש שעבר. האיום עבד, וחברת NGS כנראה לא תפרסם את החורים. האמתלה בה Sybase נתלית היא פסקה ברשיון השימוש של גרסות הפיתוח שאוסרת פרסום תוצאות מבחני ביצועים על התוכנה. ברוס שנייר על הרקע והמשמעויות של החולשה שנחשפה באלגוריתם ההצפנה SHA-1ע"י דוביקס פורסם: 22/02/2005 - 16:05 מומחה הקריפטוגרפיה ברוס שנייר, שחשף לעולם את עבודת המדענים הסיניים שאיתרו חולשה באלגוריתם ההצפנה SHA-1, חוזר לזירת הארוע, ומסביר את מהות הכשל שהתגלה, והאם/מתי עלינו להתחיל לדאוג.
הערה: תודה לאוריב ולשאר המגיבים שעזרו לטייב את הטקסט. Go Daddy, העוסקת במגוון שרותי אתרים ובהם רישום שמות מתחם וארוח, מציעה לאתרי פרוייקטים המפתחים תוכנה חופשית וקוד פתוח תעודת SSL המשמשת לגישה מאובטחת לאתרים. התעודה לגישה מאובטחת של 128bit תוענק בחינם למשך שנה וללא כל מחוייבות. נמצאה חולשה קריטית באלגוריתם ההצפנה SHA-1, המנגנון המשמש לאתרי אינטרנט מאובטחים, PGP, ועודע"י דוביקס פורסם: 16/02/2005 - 20:30 מומחה הקריפטוגרפיה ברוס שנייר מדווח בבלוג שלו על כשל במנגנון יצירת המפתחות המאובטחים SHA-1. לפי ההודעה, צוות של שלושה מדענים סיניים כתבו מסמך המתאר התנגשויות בקוד hash אחרי 69^2 פעולות (לעומת פריצת Brute Force הדורשת 80^2 פעולות). המסמך עדיין אינו זמין ברבים, אך המשמעות המיידית היא פגיעה חמורה באפשרות השימוש ב-SHA-1 לצרכי חתימות דיגיטליות.
עפ"י דיווח נוסף, עדי שמיר, קריפטולוג ופרופסור במכון ויצמן למדע, דיווח שצוות המדענים הסיניים שלחו לו טיוטת מסמך המתאר את התגלית בדוא"ל. המסמך מתאר כיצד ניתן להכין שני קטעי מידע שיגרמו ליצירת אותו מפתח SHA-1 בקלות רבה יותר מזו שהוערך עד כה. למרות שהמידע עדיין בבדיקה, פרופ' שמיר מעריך שמדובר במידע אמין לאור המוניטין של המדענים הסיניים בנושא. אלגוריתם SHA-1 משמש באתרי אינטרנט מאובטחים, PGP, מנגנון ההגנה בפני העתקה ב-X-Box ועוד. בין היתר, אלגוריתם זה הוא האלגוריתם הסטנדרטי בחתימות הדיגיטליות בישראל, ומעניין יהיה לראות האם הסטנדרט בישראל ישתנה בעקבות החולשה שהתגלתה. הערה: תודה לאבירם ששלח את הדיווח הראשוני בנושא למערכת תשובת מוזילה לבעיית התחזות האתרים הקשורה לתקן שמות מתחם בינלאומיים [עודכן]ע"י דוביקס פורסם: 15/02/2005 - 20:40 מוזילה מצטרפת לעמדת Opera שהבעיה אינה בדפדפנים אלא בהזנחה מצד רשמי שמות המתחם. בעיות אלו כבר היו ידועות בעת שהוצע תקן IDN והפתרון שהוגדר בזמנו היו הנחיות לרשמי שמות המתחם שהיו אמורות למנוע רישום שמות מטעים.
מתוך דאגה למשתמשים, גרסה 1.0.1 של פיירפוקס וגרסה 1.8 בטא של מוזילה ינטרלו את התמיכה המובניית ב-IDN. במקביל, יסופק תוסף שיאפשר למעוניינים בכך, ולאחר הבהרת המשמעויות, להפעיל את התמיכה בתקן מחדש. כשל חמור בשרת רשימות התפוצה mailman על אפאצ'י 1.3 מאפשר גניבת סיסמאות מנוייםע"י דוביקס פורסם: 12/02/2005 - 11:15 כשל אבטחה חמור אותר בשרת הדוא"ל mailman מגרסאות 2.1 עד 2.1.5 המאפשר התקפה מסוג remote directory traversal exploit וכתוצאה מכך מאפשר גישה לקובץ סיסמאות המנויים. הכשל מאפשר ניווט לספריה אחרת בתוך המערכת ע"י שימוש בקישור המעוצב בצורה מסויימת.
הכשל התגלה בעקבות תלונה של מספר מנויים לרשימת האבטחה full-disclosure אודות חשיפה אפשרית של הסיסמאות שלהם. החקירה זיהתה גישות לקובץ סיסמאות המנויים ובעקבות כך אותר גם הכשל. יתכן שקבצים נוספים במערכת יכולים להיות חשופים בעקבות כשל זה. לפני יומיים דווחה בעיה המאפשרת לקישור באתר להפנות לאתר מזוייף. הבעיה קשורה לתקן IDN (שמות מתחם בינלאומיים). התקן מאפשר להגדיר שמות מתחם הכוללים תוים שאינם תוי כתובת אנגלית. ידיעה זו כוללת מספר עדכונים בנושא זה.
תוכן עניינים: 1. תוסף לפיירפוקס המאפשר זיהוי קל של אתר מתחזה - סקירה + צילומי מסך 2. בן גודג'ר: מקור הבעיה ברשמי כתובות אתרים, ולא בדפדפנים 3. מאמר הסבר על "התחזות אתרים" (phishing) ועל דרכים לפתור את הבעיה דווחה בעיה המאפשרת התחזות אתרים; מעקף פשוט זמין לפיירפוקס; נחשו מי לא פגיע הפעם ולמה ;) [עודכן]ע"י דוביקס פורסם: 07/02/2005 - 23:31 "התחזות אתרים" (phishing) הוא הפנייה לאתר מזוייף בעת לחיצה על קישור מאתר אחר. כשל חדש זוהה בחלק מהדפדפנים התומכים בתקן IDN (שמות מתחם בינלאומיים). התקן מאפשר להגדיר שמות מתחם הכוללים תוים שאינם תוי כתובת אנגלית.
כדי לבדוק אם אתם חשופים לבעיה, גשו לאתר ההדגמה של הבעיה ולחצו על הקישורים לאתר התשלומים paypal. אם הגעתם לאתרים מזוייפים שמוצגים תחת שם המתחם paypal.com, הדפדפן שלכם דורש תיקון. עדכון: לפי דיווח עדכני בבוינג בוינג, הבעיה תוקנה 12 שעות אחרי שדווחה וכבר שולבה בבניה לילית של גרסה 1.0.1 - שדרוג לגרסה היציבה שכנראה יופץ בקרוב. עדכון 2: הגרסה ללינוקס נראית לא תקינה, לפיכך מומלץ שלא להפעילה ולחכות לשחרור גרסה רשמית. זוטות: רצה לתרום לנפגעי הצונאמי, גלש עם Lynx ונאסר ע"י המשטרהע"י כלב^..^תחש פורסם: 06/02/2005 - 17:07 ה-BBC דיווח על מעצר חשוד בניסיון פריצה לאתר שנועד לאסוף כספים לנפגעי הצונאמי. הדיווח ב-BBC ידע רק לספר שהציוד בו השתמש הפורץ לכאורה הוחרם והאיש שוחרר מאוחר יותר למעצר בית.
לפי דיווח באתר בוינג בוינג מאת קורי דוקטורו (סופר המדע הבדיוני?), האיש נעצר לאחר שמפעיל האתר זיהה בלוגים תנועות חשודות. אלו, כך מתברר, היו גלישה בדפדפן לא מזוהה. הדפדפן הלא מזוהה ע"י מפעיל האתר היה Lynx, דפדפן טקסטואלי נפוץ, שבו השתמש הגולש תחת מערכת ההפעלה היוניקסית סולאריס. אתר Cnet מדווח שמפתחי הקרנל ישיקו בקרוב רשימת דיוור שתעסוק בבעיות אבטחה המתגלות בגלעין של מערכת ההפעלה.
הרשימה נועדה לסייע למפתחים לאתר בעיות אשר עלולות להישאר ללא פתרון עקב הכמות הגדולה של הודעות דואר אלקטרוני המגיעות לצוות הפיתוח של הקרנל. כידוע, סוגיית החיסיון בנוגע לבעיות אבטחה הינה מקור לדיונים לוהטים בין מפתחי הקרנל וקהילת התוכנה באופן כללי. יש הטוענים שחשיפה של באג בתוכנה פופולרית מהווה פגיעה באבטחה, אחרים טוענים שהפגמים הינם תוצר של תהליכי פיתוח הלוקים בחסר ואי מתן תשומת לב מספקת לענייני אבטחה. התולעת (אשר זכתה לשם MySpool) משתמשת באקספלוייט "MySQL UDF Dynamic Library Exploit" בשביל להריץ קוד בלתי מורשה.
חשוב להדגיש שהתולעת לא מנצלת שום פרצה ב־MySQL, אלא מנסה לחדור להתקנת MySQL שפתוחה לגישה מהאינטרנט ע"י ניחוש סיסמת המנהל, ואז משתמשת במנגנון ההרחבות של MySQL הקרוי UDF כדי להתקין תוסף שמכיל את קוד התולעת. הערה: הידיעה עודכנה ע"י דוביקס בהתאם להבהרות שהתקבלו מצפריר. SCO, טוב שסוף סוף נזכרתם: משחררת טלאי לבעיה חמורה ב-OpenSSL, באיחור של 10 חודשיםע"י דוביקס פורסם: 27/01/2005 - 23:11 בין תביעה אחת לשניה של SCO כנגד לקוחות ושותפים, היא גם ספקית פתרונות יוניקס שעליהם היא מעידה Bringing Power, Value, Stability, and Reliability to Your Business. את האבטחה שכחו בסיסמה, וכנראה לא בכדי.
שחר שמש כותב בבלוג שלו:
"פורסם פה לראשונה (בעיקר כי סלאשדוט החליטו לא לפרסם, ראוי לציין). לפי עדכון בתגובות ועדכון בבלוג:
מקור: הבלוג של שחר שמש בישראבלוג 1350 כניסות :: 1 תגובה במהלך דיון ברשימת התפוצה של הקרנל שנערך בעקבות הצעה לרכז את כל דיווחי פרצות האבטחה בקרנל הלינוקס לרשימת תפוצה אחת, לינוס טורבלדס הביע תמיכה ברעיון ריכוז הבעיות לרשימה אחת. כמוכן לינוס תומך באפשרות שרשימת התפוצה הזו תוכל להשהות פרסום ציבורי למשך מספר ימים, אך ורק כדי למנוע לחץ על המפתחים לשחרר תיקון בו ביום, וכן לאפשר דיון מעמיק בכל בעיה בטרם הפרצה זכתה לתהודה ציבורית.Werner Puschitz כתב מדריך המפרט את הצעדים הבסיסיים לאבטחת מערכת לינוקס.המדריך כולל בין היתר: - ניטרול שרותי מערכת - בדיקת חשבונות משתמשים - פג תוקף לסיסמאות - קביעת מגבלות לסיסמאות ומניעת שימוש חוזר בסיסמאות ישנות - הגבלת גישה לאחר מספר נסיונות כניסה כושלים ולפי שעות/ימים - הגבלת חשבונות מפני כניסה ישירה ואפשרות ביצוע su - מניעת DOS לא מכוון - הרשאות ובעלות על קבצים - אבטחת sendmail, ssh ו-NFS - פרמטרים הניתנים לכוונון בקרנל 1557 כניסות :: 6 תגובות הפורום, הלא מסחרי והטכנולוגי, לאבטחת מידע הבא יתקיים ביום ראשון הבא, ה - 16 לינואר 2004 באודיטוריום לב, אוניברסיטת תל אביב.הערה: נערך ע"י mksoft Netcraft, המנהלת מאגר מידע אודות אתרי אינטרנט, פיתחה מנגנון שמאפשר חסימת אתרים שדווחו כמתחזים. התוסף זמין כבר ל-IE וגרסה לפיירפוקס נמצאת בפיתוח. האתרים המתחזים מדווחים ע"י המשתמשים.
האקינג: איך לנסוע באופניים מושכרות ברחבי ברלין בלי לשלם דמי שכירותע"י דוביקס פורסם: 28/12/2004 - 17:35 חברת הרכבות הגרמנית מציעה בברלין ובערים גדולות אחרות בגרמניה שרות השכרת אופניים. השרות מתופעל באופן אוטומטי, ע"י טלפון סלולרי. עם קבלת אישור השכרה מהמוקד, האופניים משתחררות וזמינות לנסיעה. טלפון נוסף עם סיום ההשכרה נועל את האופניים והן זמינות לשוכר הבא.
קבוצת קראקרים גרמנית הצליחה לפרוץ את מנגנון ההפעלה של האופניים, שהוגדר בעל "תכנון הנדסי מצויין, וחסר כשלי אבטחה" ע"י הפורצים. הפריצה כללה החלפת חלק מקוד ההפעלה של האופניים בקוד אחר, שבו הוכנסה דלת אחורית המאפשרת לפורצים להשתמש באופניים שעברו שינוי ללא להרשם במוקד וללא לשלם דמי מנוי. עם סיום השימוש, האופניים מוחזרות למצב פעולה רגיל ומאפשרות ללקוח אחר לשכור אותן בתשלום. מחקר: לינוקס יותר חסינה להתקפות מהרשת ב"תצורת קופסה" לעומת שנים קודמותע"י דוביקס פורסם: 26/12/2004 - 14:45 פרוייקט Honeynet פרסם תוצאות ניסוי שבחן במשך מספר שנים את הרגישות של מערכות לינוקס "מהקופסה" לפריצות מהאינטרנט, בתצורת שרת סטנדרטית שלא זכו להגנות נוספות ולא הוטלאו (*).תוצאות המחקר מראות שהחדירה למערכות לינוקס הפכה קשה יותר ויותר, למרות הגידול שחל בשנים אלו בהתקפות זדוניות. התוצאות שנמדדו בשנים 2001-2002 הראו חדירות אחרי 72 שעות , בעוד שב-2003-2004 החדירות ארעו רק אחרי שלושה חודשים ומעלה. סדרת כשלי אבטחה חמורים ב-PHP ; מומלץ לשדרג בהקדם לגרסאות 4.3.10 או 5.0.3 [עודכן]ע"י דוביקס פורסם: 21/12/2004 - 21:32 חברת האבטחה Secunia הודיעה על גילוי סדרת כשלי אבטחה ב-PHP המאפשרים לתוקף זדוני לקבל הרשאות נוספות, לעקוף מנגנוני אבטחה, לקרוא קבצי הגדרות ולפרוץ למערכות הכתובות ב-PHP.מומלץ לשדרג לגרסאות החדשות בהקדם האפשרי ו/או לוודא שדרוג התוכנה באתרי אחסון איתם אתם עובדים. סטודנטים באוניברסיטת אילינוי בשיקגו, קיבלו במסגרת תרגיל משימה מעניינת - למצוא באגים בתוכנות *קס שונות במסגרת קורס "חורי אבטחה ביוניקס". הסטודנטים החרוצים הצליחו למצוא 44 באגים - אבל נכשלו בתרגיל שדרש מכל אחד למצוא 10 באגים, לא פחות ולא יותר. משקל התרגיל בציון הסופי - 60%.
לפני כמה ימים דווח על קבוצת חוקרים שבדקה במשך ארבע שנים את 5.7 מליון שורות הקוד של ליבת מערכת ההפעלה לינוקס בגרסה 2.6. החקירה בדקה את כמות הבאגים בקרנל לינוקס יחסית לכמות שורות הקוד, והחברה דיווחה שרמת הקוד גבוהה מאוד אם להסתמך על היחס המאוד נמוך של באגים לשורות קוד. הפורום, הלא מסחרי והטכנולוגי, לאבטחת מידע הבא יתקיים ביום ראשון, ה - 19 לדצמבר 2004 באודיטוריום לב, אוניברסיטת תל אביב.הערה: נערך ע"י mksoft פרצת אבטחה חובקת דפדפנים מאפשרת הטעיית גולשים; לפיירפוקס ומוזילה יש מעקף חלקי [עודכן]ע"י דוביקס פורסם: 10/12/2004 - 07:00 חברת האבטחה Secunia איתרה פרצת אבטחה בדפדפנים מוזילה, פיירפוקס, קונקורר, אופרה, ספארי, נטסקייפ ואינטרנט אקספלורר (כולל XP עם SP2). פרצת האבטחה מאפשרת לאתר זדוני לשנות תוכן דף של אתר אחר, אם כתובת דף המטרה ידועה. כך למשל, יכול אתר זדוני הפתוח במקביל לאתר אחר (כגון בנק), להחליף תוכן דף באתר המטרה.שוחררה גרסה 1.0 של Firestarter, ממשק גרפי מבוסס גנום המאפשר לקנפג את חומת האש בלינוקס. רשימת השינויים כוללת: - ממשק גרפי שעוצב מחדש - דף סיכום להצגת מצב חומת האש - הצגה גרפית של חיבורים ושל תעבורה המנותבת דרך חומת האש - רשימות "לבנות" ו"שחורות" של אתרים ותעבורה - משמש גם כשרת DHCP לשיתוף אינטרנט לפי מחקר שערכה mi2g מלונדון, לינוקס נפרצת הכי הרבה מבין מחשבים שמחוברים 24/7 לרשת, כאשר OS X ו-BSD הן הבטוחות ביותר.אני לא בטוח, אבל השם mi2g מצלצל לי נשכחות על מחקרים מוזמנים ממיקרוסופט. מישהו זוכר על מה אני חושב? מקור Study: Linux 'Most Breached' OS, securitypipeline.com נוסף ע"י mksoft: חיפוש זריז בווטסאפ העלה את הסיפור הקודם הנוגע ל-mi2g ש-bombadil מתייחס אליו, מומלץ לקרוא גם את תגובת אבירם לסיפור: האם לינוקס היא מערכת ההפעלה המותקפת ביותר באינטרנט?, ווטסאפ 2501 כניסות :: 3 תגובות הפורום, הלא מסחרי והטכנולוגי, לאבטחת מידע הבא יתקיים ביום ראשון, ה - 14 לנובמבר 2004 באודיטוריום לב, אוניברסיטת תל אביב.הערה: נערך ע"י yehuda במהלך ליל יום ראשון פרצו אלמונים לאתר ההורדות של PostNuke וערכו שינויים בקישור חבילת ההורדה בפורמט ZIP של PostNuke גירסה 0.750.מקור הבעיה בכשל אבטחה בתוכנת ניהול ההורדות pafiledb ולא בפוסטניוק עצמה. הערה: נערך ע"י דוביקס LinuxToday מדווחים על phishing המנסה לשכנע משתמשי רד-האט להתקין קוד זדוני.הודעת הדוא"ל שנשלחה למשתמשים מתחזה להודעה מצוות האבטחה של רד-האט (כולל הלוגו), וכוללת הוראות להורדת קובץ מקור (מאתר שבמבט ראשוני נראה שייך לרד-האט, אך אינה קשור אליה בשום אופן), בנייה והתקנת הקוד. כל זאת כדי לסתום פרצה (לכאורה) ב-file-utils. חברת רד-האט מודעת לנושא ואף פרסמה אזהרה, בה היא מזכירה: - כל הדוא"ל הנשלח מהחברה נשלח מכתובת secalert@redhat.com - כל הודעה כזו חתומה במפתח GPG ספציפי - כל עדכוני האבטחה הרשמיים של רד האט חתומים דיגטלית, ויש להתקינם רק במקרה והחתימה מאומתת בסמיכות מעניינת, מפגש הפורום לאבטחת מידע האחרון כלל הרצאה בנושא phishing. קישורים: New Phishing Expedition Targets Red Hat/Fedora Users, LinuxToday.com Security Message from Red Hat, FedoraNews.org המפתחות המשמשים את רד האט לחתימה על הדוא"ל ועדכוני האבטחה, RedHat.com הפורום לאבטחת מידע - יומיים אחרי (ותמונות!), ווטסאפ 1572 כניסות :: 9 תגובות מייקל זלווסקי מדווח ל-BUGTRAQ על בעייתיות במספר דפדפני קוד פתוח ואופרה העלולות לגרום להתרסקות הדפדפן. הדפדפנים המדוברים - אופרה, מוזילה, Lynx ו-Links - מפענחים באופן שגוי רצפי קוד HTML ומתרסקים.
לגבי IE, נראה שבבדיקה הראשונה (הופסקה לאחר כשעתיים) הוא עמד במשימה בכבוד. בבדיקה נוספת הדפדפן קרס, אולם רק לאחר 3 שעות. בנקודה הזו מפתחי IE עשו עבודה טובה. הערה: תודה לצפריר על העדכון מאמר חדש Security Report: Windows vs Linux בוחן מספר מיתוסי אבטחה על פי העובדות, ולא על פי קמפייני שיווק משומנים (ומטעים) שמטבעם מדגישים זוית אחת וחד צדדית העושה חסד עם ממני מסעות הפרסום.המאמר בוחן הבדלים בארכיטקטורות של לינוקס מול חלונות ומטריקות שונות המעניקות נקודת מבט רב-מימדית לניתוח רמת האבטחה של המערכות השונות, ולכן הוא יכול לשמש גם כמקור להיכרות מעמיקה יותר עם הטכנולוגיות והעובדות שמאחורי המספרים היבשים, וגם להדיפת טיעונים חלקיים שנותקו מהקשרם בפרסומות. להלן הסיכום שלי לשתי פגישות TAUSEC האחרונות.יש תמונות מהמפגש! ניתן למצוא אותן באתר שלנו ניתן גם למצוא את המצגת של ההרצאה על Phishing באתר, ובקרוב תמצא שם גם ההרצאה עצמה להורדה (נודיע על כך כאן כשהיא תועלה לאתר). הפורום, הלא מסחרי והטכנולוגי, לאבטחת מידע הבא יתקיים ביום ראשון הקרוב, ה-17 לאוקטובר 2004 באודיטוריום לב, אוניברסיטת תל אביב.לוח זמנים --------- 17:45 - התכנסות. יוגש כיבוד קל. 18:00 - כריסטוף פישר, מנכ"ל BFK 'בע"מ' (GmbH). הרצאה: Video Conference על Phishing. רמה: ההרצאה מתאימה לכל הרמות. הרצאה זו תדון בנושא Phishing תועבר מגרמניה באמצעות Video Conference, ותתמקד בתחקיר ארוע על תולעת Phishing אשר תקפה בנקים גרמניים ואת eBay בתחילת חודש ספטמבר. כריסטוף פישר הוא אחד מאנשי התגובה לארועי אבטחת מידע הידועים ביותר בגרמניה וחבר מכובד בקהילות תגובה לארועים ואבטחת מידע בעולם. הוא היה אחד ממקימי הארגונים המכובדים לחוקרי וירוסים Caro ו-EICAR, וכעת ממלא את תפקיד המנכ"ל החברה BFK GmbH. 19:00 - הפסקה קצרה התרעננות, כמו גם למטרת Networking בין הנוכחים - יוגשו משקאות קרים וחמים. 19:20 - אמיר בן יוסף, מנכ"ל מיטסי. הרצאה: Computer Forensics. רמה: מתאימה לכל הרמות, אם כי ינתן זמן לשאלות טכנולוגיות. ההרצאה של אמיר היא זו שאמורה היתה להתקיים בפגישה הראשונה של הפורום, לפני שלושה חודשים. יוגש כיבוד קל ללא תשלום, הכניסה חופשית. למידע נוסף: גדי (050-428610, ge@linuxbox.org). קישורים: מפת האוניברסיטה דף הבית של tausec הערה: נערך ע"י mksoft 1342 כניסות :: תגובות? חברת האבטחה סימנטק מזהירה שרכיב חדש שייכלל במערכת ההפעלה העתידית של מיקרוסופט, לונגהורן, יערער את אבטחת המערכת ויאפשר התפרצות חדשה של וירוסים והתקפות מרוחקות על מערכות חלונות. הרכיב בו מדובר, Monad, המכונה גם Microsoft Shell, הינו לא יותר מאשר מעטפת פקודות שתאפשר לשלוט על המערכת בשפת סקריפטינג חדשה. דעות ופרשנות: Microsoft Certified Professional Magazine: הגיע הזמן להעיף את IE?ע"י דוביקס פורסם: 06/10/2004 - 14:00
הציטוט הזה לא לקוח מתוך מגזין לינוקס. הוא גם לא לקוח מעיתון במדינה נידחת. הציטוט הזה הוא פסקת הפתיחה ממאמר ב Microsoft Certified Professional Magazine, מגזין המספק מידע טכני וסקירות מוצרים למומחי טכנולוגית מידע, שרבים מהם נושאים בתואר הסמכה של מיקרוסופט, והמו"ל של Redmond Magazine. לפני מספר ימים שוחרר תיקון אבטחה למוזילה פיירפוקס, שדווח בבאג מספר 259708. באג זה היה חסום לגישה ציבורית בתחילה, וכעת הוא נפתח לעיון הציבור. במקביל, מדווח הבאג תיעד את השתלשלות הארועים סביב הבאג בבלוג שלו. מתברר שבאג זה טומן בחובו סיפור לא קטן, שלקחים בצידו:ניפוץ המיתוסים שקבצי מולטימדיה לא יכולים להדביק את המחשב בוירוסים נמשך. אחרי נספר בעיות שהתגלו לאחרונה בספריות המטפלות בקבצי תמונה בפלטפורמות שונות, מגיע תור סרטוני RealPlayer.חברת האבטחה eEye מדווחת על פרצת אבטחה בנגני Real Player (הגרסה הקניינית) ו Helix Player (הגרסה החופשית) המאפשרת הרצת קוד זדוני בחלונות, מק ולינוקס. הבעיה הוגדרה בדרגת חומרה של Critical ותיקון עבורה כבר זמין. עוד מידע על הפרצה והשלכותיה ניתן למצוא במאמר בzdnet. 1334 כניסות :: 4 תגובות האם אפשר להתגונן בפני אויב אם אינכם יודעים אפילו מיהו?
אפשרות אחת היא ללמוד את הכלים, הטקטיקות והסיבות המניעות את האוייב, ולשתף את הקהילה במידע שצברתם. סגן הנשיא של גארטנר, ויקטור וויטמן, בנאום הפתיחה בכנס אבטחת המידע שנערך מטעם גארטנר השבוע בלונדון:
"כולנו משתתפים בבטא הארוכה ביותר אי פעם -- חלונות. מיקרוסופט לא תפתור את כל בעיות האבטחה, ולא משנה מה האיש הכי עשיר בעולם יגיד." חברת Sophos מדווחת שלאחרונה הופצה ברשת תוכנה בשם Dica-Kit המהווה rootkit קלאסי. לאחר כניסה למערכת התוכנה מחליפה כלים כמו netstat, tcpd, ls, ps ו-pstree בקבצים משלה, מה שמקשה על זיהוי הפריצה. בנוסף היא פותחת "דלת אחורית" ומאפשרת גישה למשאבי המחשב.מהו rootkit וכיצד להתגונן מפניו? הערה: הידיעה הורחבה ע"י דוביקס בתכנים מטיוטת מדריך כללי היסוד לאבטחת מערכת לינוקס בויקי מה-קורה באתר ווטסאפ. "ערב טוב לכולם,שיחררנו טלאי חדש (0.4.0.1( עם המון תיקוני באגים, עדכוני הגדרות, עדכוני תוכנת התקנה, תיקוני באגים, ו-, הו, האם הזכרתי, תיקוני באגים?" I2P היא רשת מבוזרת אנונימית ומאובטחת. לפני שאתם משתמשים ברשת כדי להעביר מסרים רגישים בתוך אירגון הטרור שלכם, במיליציה הקפיטלקומוניסטית שלכם או כדי לרקום מזימות להשתלטות על העולם, דעו שזאת רשת חדשה שלא עברה מספיק ביקורת עמיתים (peer review). קישורים: הודעת השיחרור, רשימת השינויים, הוראות התקנה ושידרוג, דף הבית של הפרוייקט. 2128 כניסות :: 6 תגובות הפורום לאבטחת מידע יתקיים ביום ראשון הבא, ה-12 לספטמבר.למדנו מטעויות העבר, והחל מהחודש נציין את רמתה המדוייקת של כל הרצאה, כמו גם סיכום קצר על מה שידובר בהרצאה. עוד חידושים החודש: - הארוע יתקיים באודיטוריום לב באוניברסיטת תל אביב (250 מקומות - ראו קישור למפה). - יוגש "כיבוד קל", משמע שתיה קרה וחמה ללא תשלום. הפורום יתקיים ביום ראשון ה-12/09/04 באוניברסיטת תל אביב.למדנו מטעויות העבר, והחל מהחודש נציין את רמתה המדוייקת של כל הרצאה, כמו גם סיכום קצר על מה שידובר בהרצאה. החודש אנחנו משנים מיקום ועוברים מהחדר בעל 80 המקומות לאולם בעל 250 מקומות - אודיטוריום לב. האודיטוריום צמוד לבניין קפלון לפיזיקה וקרוב למקום מפגשנו מהחודשים הקודמים בבניין שרייבר (ראה קישור למפה מטה). מחקר בלתי תלוי מראה שלחלונות "עלות בעלות כוללת" נמוכה יותר - אבל לא מההיבט שעליו אתם חושבים;)ע"י דוביקס פורסם: 14/08/2004 - 06:22 חדשות לבקרים אנו קוראים מאמרים מוזמנים של מיקרוסופט שמתייחסים להשוואת Total Cost of Ownership - מונח המתייחס בתעשייה לעלות רכישה, ניהול, תחזוקה ושימוש של מערכת מחשב לאורך שנים. מחקר חדש, מספק מימד חדש לביטוי השחוק הזה;)דייויד אייטל (David Aitel), מומחה אבטחה בעל שם, המנהל של חברת האבטחה Immunity, וכנראה גם בעל חוש הומור ציני, פרסם מחקר שמראה ש'בעלות' (מונח מקובל בקרב קראקרים להשתלטות על מחשב זר) על מחשב מבוסס חלונות קלה פי שתיים ממחשב עם פדורה לינוקס. עבור אייטל, "עלות בעלות כוללת" מתייחסת לסך הכל השקעה שקראקר נדרש אליה כדי לפרוץ למערכת עם חלונות - ולפחות בהיבט הזה, מיקרוסופט מנצחת ובגדול. טוב, אז עבר הפורום השני... נהדר!מה היה ומה למדנו? נתחיל במקורות. הפורום הראשון: לפני כחודש וחצי-חודשיים שוחחתי עם ידידינו אבירם בטלפון והתלוננתי נחרצות על כך שאין (בכלל.. אם כי כדי לא לפגוע באף אחד שווה להגיד כמעט) בישראל אף אירוע, מקצועי או חברתי בתחום אבטחת המידע שאינו ממוסחר לחלוטין ומיועד למטרה היחידה של "לדחוף לנו מוצרים לגרון". בצורה "אופן-סורסית" למדי הסכמנו להפסיק להתלונן - ולעשות! הערה: ההסבר טכני (מאוד), אבל עשוי להיות קריא ו/או מעניין גם לאנשים ללא ידע טכני.
המטרה: מטרתה היחידה של תחרות APCHI (תחרות ההאקינג של אוגוסט פינגווין) היתה לעשות קצת כיף. למתחרים עצמם, שקיבלו אפשרות לבחון את כישורי ההאקינג שלהם, למארגנים, שנהנו להכין את המכשולים וזכו לראו את ההבעות הנבוכות של המתחרים כשגילו את המלכודות שהכנו להם, ושל הצופים, שנהנו מההצגה. אני יכול להגיד שבשתי המטרות הראשונות עמדנו יפה (לפחות לפי הפידבק הראשוני מהמארגנים והמשתתפים), ולגבי המטרה השלישית, הצופים צריכים להעיד. יוזם ונותן הרעיון שמאחורי APCHI היה לא אחר מאשר גלעד בן יוסף (קודפידנס), שהציע תחרות "שתתחיל במקום שתחרויות האקינג בדרך כלל מסתיימות". בתחרויות האקינג המטרה היא לרוב להשיג גישה למחשב. כאן אנו מתחילים מגישה מלאה למחשב, וצריכים להמשיך הלאה: "אוקי, קיבלת root. מה אתה עושה עכשיו?" פורום (שני) בנושא אבטחת מידע באוניברסיטת תל אביב (8/08/04)ע"י פינגווין אנונימי פורסם: 22/07/2004 - 00:36 הפורום לאבטחת מידע ו-Computer Forensics אשר מתקיים באוניברסיטת תל אביב זה חודש שני, הוקם במקור בעקבות החלטה לעשות במקום להתלונן על החוסר במפגשים מקצועיים וחברתיים בתחום אבטחת המידע בישראל אשר אינם מסחריים לחלוטין או מנסים "לדחוף לנו מוצרים לגרון".לפורום הראשון (והכיף!) ב-11/07/04, הגיעו כ-75 משתתפים, מחיילים וסטודנטים דרך אנשי משטרה וממשלה ועד למנכ"לים ומדענים ראשיים מחברות שונות. בעקבות ההצלחה אנו מכריזים בזאת על מפגש הפורום (הלא מסחרי!) הבא, אשר יתקיים ביום ראשון, ה-8/08/04 בבניין שרייבר, אויברסיטת תל אביב בשעה 18:00. הערה: נערך ע"י mksoft הדיעה הרווחת היא שהכותרת הבומבסטית משהו 'יוזמת המחשוב האמין' של מיקרוסופט, תקבל אחיזה כלשהי במציאות עם שיחרורה של SP2 עבור WindowsXP. אין ספק שהעדכון המיתולוגי הזה יעניק למיקרוסופט הזדמנות לפרוס את תוכנית השלבים שלה לסתימת החורים במערכת ההפעלה WindowsXP במסגרת קמפיין שיווקי משומן ויעיל, כפי שאנחנו מכירים. (מקור: ynet, האם הפינגווין אשם? תגובה לגדי מאיר)הערה: התגובה פורסמה מחדש ב-ynet 1663 כניסות :: 4 תגובות "מיליוני משתמשי חלונות התעוררו הבוקר אל מול מסך כחול, עם הכיתוב 'זהו הוירוס האחרון. כדי להפסיק את הספאם, על חלונות למות!'. אתחול מחדש לא עזר, מאחר והכונן הקשיח פורמט מחדש. כל המידע אבד. ERPOSS3: הפצת לינוקס מבוססת דביאן עם אבטחה מירבית לשולחן העבודהע"י דוביקס פורסם: 09/07/2004 - 01:14 המשרד הגרמני הפדרלי לאבטחת מידע (BSI) וחברת credativ הציגו במהלך תערוכת LinuxTag 2004 את "שולחן העבודה הלינוקסי הגרמני" - מערכת המופצת בגרסאות live ותקליטור התקנה, המכילים תוכנה חופשית בלבד. המערכת מבוססת על דביאן וודי עם KDE 3.2.2, מוזילה 1.5 ואופן אופיס 1.1.1. מטרת הפרוייקט היא אבטחת מידע על שולחן העבודה, ולפיכך המערכת מכילה בין השאר:- מערכת קבצים מוצפנת (רק בתקליטור ההתקנה) - חומת אש מוגדרת ופעילה כבר אחרי שלב ההתקנה - KMail המוגדר עם חסימת ספאם, וירוסים ותמיכה בהצפנת דוא"ל "לאחר שהעברתי מספר אנשים ל-GNU/Linux, נשאלתי לעיתים קרוב ע"י הורים: האם ניתן להגדיר סינון תכנים עבוד הילדים המשתמשים בלינוקס ? התשובה היא כן, והנה ההסבר..."
המאמר ב-NewForge מתאר הגדרת והתאמת Squid, DansGuardian ו-iptables לביצוע המשימה. קישורים: A parent's guide to Linux Web filtering, NewsForge.com תוכנות בקרת הורים ללינוקס, ווטסאפ [פורומים] 2482 כניסות :: 7 תגובות לפני מספר ימים שוחחתי עם חברי על כך שקשה מאוד (אם בכלל) למצוא כנס או מפגש בתחום אבטחת המידע בישראל שאינו ממוסחר לחלוטין ומיועד למכירת מוצרים.חשבנו, דיסקסנו, והחלטנו לעשות במקום להתלונן. ההרצאות יתקיימו במסגרת פורום בנושא אבטחת מידע ו- Computer Forensics באוניברסיטת תל אביב, ביום ראשון ה- 11 ליולי בשעה 6:30 בערב, בבניין שרייבר. ההרצאות המתוכננות: 1. Port Knocking - אבירם חניק, מנכ"ל Beyond Security. 2. Computer Forensics - אמיר בן-יוסף, מנכ"ל מיטסי הפורום אינו מסחרי בשום צורה שהיא, ופתוח לקהל הרחב. לפרטים נוספים ניתן להתקשר לגדי עברון, 050-428610 קישור: דף הבית של TAUSEC, cs.tau.ac.il הערה: נערך ע"י mksoft 1419 כניסות :: תגובות? נמצאה טעות בפונקציה ()math_error, המאפשרת למשתמש בעל גישת shell לגרום להתרסקות הקרנל, מה שמוביל להפעלת Denial of Service - DoS.כמעט כל הקרנלים מסדרה 2.4 ו- 2.6 פגיעים. ישנם מספר קרנלים בודדים (עם פאצ'ים שונים) שעמידים לכך. שוחררו מספר פאצים עבור הקרנלים השונים. מומלץ לעקוב אחר עדכונים מההפצות בימים הקרובים. קישורים: New Kernel Crash-Exploit discovered, reviewed.homelinux.org new kernel bug, lkml.org Re: timer + fpu stuff locks my console race, lkml.org הערה: נערך ע"י mksoft 1726 כניסות :: 5 תגובות טבלת הדפים של רוב המעבדים הקיימים המבוססים על x86 אינה כוללת סיבית 'הרצה'. תכונה זו מאפשרת להפעיל קוד זדוני הממוקם בדפים אלו בעת שמתקיים מצב הקרוי buffer overflow. טכנולוגיה חדשה בשם NX (מלשון doN't eXecute או 'אל תריץ') המשולבת במעבדים מתוצרת אינטל, AMD ו Transmeta נועדה לסגור את הפרצה. מסיבות של תאימות, ערך הסיבית הוא '0' (לא פעיל) כברירת מחדל. על מנת להפעיל את המנגנון נדרשת תמיכה של מערכת ההפעלה.אינגו מולנר, מתכנת מבית רד-האט, שלח לרשימת התפוצה של הקרנל טלאי המאפשר את הפעלת התכונה החשובה הזו. בדיון שנערך לאחר מכן, ועקב הציפיה שאחוז היישומים החוקיים שייפגעו יהיה קטן מאוד, לינוס טורבאלדס הביע את דעתו שיש להפעיל את התכונה כברירת מחדל בגרסאות עתידיות של הקרנל. תמיכה במנגנון הזה תתווסף גם לעדכון השני של חלונות XP הצפוי בקרוב. קישורים: c|net, Linux gets trial 'NX' security support ההכרזה על הטלאי ברשימת התפוצה של הקרנל הערה: מידע נוסף ותיקונים מחברי קהילה המתמחים בנושאי אבטחה ובקרנל יתקבלו בברכה. 1881 כניסות :: 9 תגובות Linux.com מספק מדריך להפעלת Apache ב-chroot.הפעלת שרותים שונים בצורה כזו "כולאת" אותם בתיקיה משלהם, כך שגם אם ייפרצו עדיין לא יוכלו לגעת בשאר המערכת (אפשרות לעקוף זאת במקרים מסויימים, אך זה מהווה מכשול נוסף). בגדול תהליך כזה כולל: הערה: במקרה של טעות בנושא ה-*BSD, נא לעדכן, תודה. קבוצה גרמנית בשם THC שיחררה קוד דוגמה המדגים כיצד ניתן לפרוץ לשרתי IIS המשתמשים במנגנון ה- SSL יחד עם PCT. ההתקפה תעבוד גם על שרתים המוגנים באמצעות firewall, כיוון שהיא משתמשת בפרוטוקול ה- https.הקוד עובד נגד שרתי IIS 5 ונותן גישה מלאה (ברמת מערכת) למתקיף ללא צורך בכל מידע מקדים על השרת. כיוון שקוד דוגמה כזה כבר מסתובב באינטרנט וכיוון שהפרצה קלה מאוד לניצול, אנחנו צפויים לגל התקפות נרחב וכנראה גם תולעת המנצלת את הפרצה כדי לתקוף שרתי IIS היא רק ענין של זמן. על מנת להמנע מההתקפה, יש להתקין טלאי מאתר מיקרוסופט. הטלאי ניתן להורדה בחינם, והוא זמין למערכות windows 2000, Windows NT4, Windows XP. מקור: Microsoft SSL Library Remote Compromise Vulnerability, securiteam.com [מידע נוסף על ההתקפה ודרכים למניעתה] הערה: בד"כ אנו מפרסמים עדכוני אבטחה במקרה והם מובילים ל- remote exploit. ההודעה הזו פורסמה עבור באי האתר שמתחזקים גם שרתי IIS במסגרת עבודתם. 1882 כניסות :: 2 תגובות סיימת להתקין, מה עכשיו ?בשלושה מאמרים ב-Linux.com סוקר מייק פיטרס את הפעולות שכדאי לבצע לאחר ההתקנה. המאמר הראשון סוקר: - בחירת סיסמא נאותה - הגבלת השימוש ב-su ושימוש ב-sudo - הגבלת מספר השירותים המופעלים - שימוש ב-tcp wrappers המאמר השני סוקר: - מציאת פקודות בעלי הרשאת suid ו-sgid אך לא חייבים להיות כאלה - מציאת קבצים בעלי הרשאת כתיבה או קריאה לכולם אך לא חייבים להיות כאלה - איתור קבצים ללא משתמש או קבוצה - שימוש ב-umask - הפעלת דגלים אשר מונעים אפשרות שינוי קובץ או מאפשרים רק הוספה - בדיקת קבצי היומן של המערכת במאמר שלישי: - שימוש ב-SSH - הגבלת השימוש במשאבים בעזרת PAM - פיירוול - שירותים נפוצים, כגון: apache, NFS ועוד - כלים שימושיים, כגון: chkrootkit, portsentry, snort ועוד. קישורים: Securing a fresh Linux install, part 1, Linux.com Securing a fresh Linux install, part 2, Linux.com Securing a fresh Linux install, part 3, Linux.com 1499 כניסות :: 3 תגובות אבטחת מערכת אינה עניין שיש להקל בו ראש כאשר המערכת שלכם חשופה לאינטרנט, ועל אחת כמה וכמה כשמדובר בשרתים.אתר Linux Security מאפשר לכם להתעדכן בתיקוני האבטחה האחרונים, בין אם באתר ובין אם ע"י שימוש בשרות ה RDF של האתר. בנוסף האתר מציע מידע בנושאים: - תיעוד וחומר רקע בנושאי אבטחת מערכת - קישורים לאתרים אחרים בנושאי אבטחה - פורומים - מידע רב נוסף במגוון נושאים, כגון חומות אש, קריפטוגרפיה, אבטחת שרתים ורשתות, זיהוי פריצות ועוד. למידע וקישורים נוספים אפשר לעיין במדריך ווטסאפ. 1221 כניסות :: 1 תגובה גל קטן של פרצות למכוני מחקר הוא הרקע להודעה מיוחדת של מחלקת המחשוב והאבטחה באוניברסיטת סטנפורד, אשר מדווחת (6 באפריל) על מספר פריצות למוסדות מחקר ומרכזי מחשוב אקדמיים, בהם סטנפורד עצמה. קבוצה שזוהתה לא ידועה עד כה פרצה למספר שרתי לינוקס וסולאריס על ידי ניצול מספר פרצות מוכרות המאפשרות קבלת הרשאות root גם על ידי כניסה ראשונית עם חשבונות רגילים (do_brk(), mremap() בלינוקס) באמצעות SSH.ההודעה באתר האוניברסיטה מפורטת במיוחד ומספקת את כל המידע הטכני הזמין עד כה אודות מה שהתרחש באתרים הללו, כיצד לזהות פעילות חשודה והיא מספקת המלצות לפעולות הנדרשות כדי להגן על מערכות המחשוב באתרים אחרים החשופים לבעיות דומות. מקור: לינמגזין 1514 כניסות :: 3 תגובות לפי מחקר חדש של פורסטר - ממוצע הזמן שלוקח למיקרוסופט לתקן חורים (מה שפורסטר קוראים "ימי סיכון") הוא חצי מהפצות לינוקס המהירות ביותר. לווינדוז הממוצע היה כ-25 יום לעומת 57 ימים לרד-האט ודביאן, 74 לסוזה, ו-82 למנדרייק. לעומת זה, 67% מהחורים בווינדוז סווגו כקריטיים לעומת 63% לסוזה, 57% למנדרייק, 57% לדביאן ו-56% לרד-האט. הערה: נערך ע"י mksoft כדאי גם לקרוא תגובות אחרות למאמר כמו התגובות ב-LinuxToday, שמטילים ספק בשיטת המחקר. דוגמא: הם השתמשו ביום פרסום הפירצה בתור בסיס לחישוב הימים שעוברים עד שתיקון זמין. בד"כ בקוד הפתוח פרצה מפורסמת עם גילויה, בעוד שבמקרה של מיקרוסופט עובר בד"כ זמן של מספר שבועות מגילוי הפרצה עד לפרסומה, מה שמשאיר את המשתמשים ללא מודעות לפירצה, בעוד שהקראקרים והסקריפט קידיז מנצלים אותה. ריכוז מספר ידיעות בנושא אבטחה:* מדריך ל-chkrootkit ו-portsentry * פרצת אבטחה ב-openssl * שוחררה גרסה 1.0 של rootkit hunter הערה: נערך ע"י mksoft תודה לאנונימי/ת ששלחה את הידיעה אודות openssl לעתים קרובות נשאלת השאלה האם תוכנות קוד פתוח הן בעלות מאפייני אבטחה טובים יותר או טובים פחות מתוכנות קנייניות בעלות קוד סגור.דורון אופק נוהג לספר את משל הכספת בהקשר זה (*). שני ספקים מציעים למכירה כספות. האחד לא משחרר את מפרט הכספת וטוען שהיא הכי מאובטחת בעולם למרות הצלחות חוזרות ונשנות של גורמים עויינים לפרוץ לתוכה. היצרן השני משחרר את מפרט הכספת וקורא לכל מי שירצה בכך לעיין במפרט ולנסות לפרוץ לכספת, אך לא רבים מצליחים בכך. ממי הייתם מעדיפים לקנות? אבל מתברר שלא רק הקוד הפתוח עצמו תורם לאבטחה, ויש מאפיינים נוספים המשפרים את מאפייני האבטחה של תוכנות הקוד הפתוח שאנו משתמשים בהן כיום: פרצת אבטחה בקרנל 2.4/2.6 מאפשרת השתלטות: תיקון שוחררע"י פינגווין אנונימי פורסם: 20/02/2004 - 20:07 פרצת אבטחה בקרנל מאפשרת למשתמש מקומי לקבל הרשאות משתמש על. הפירצה, בתת-מערכת ניהול הזיכרון בקרנלים 2.4 ו2.6- נחשפה על ידי חברת אבטח פולנית בשם iSEC שסיפקה מידע להפצות הלינוקס לפני ששיחררה את המידע לציבור. חברת IDC מציינת כי בניגוד לנטייה של חברות קוד סגור לעבור למגננה או לנסות להמנע מפרסום הידיעה, מפתחי הקרנל מגיבים בהכרת תודה וניגשים למלאכה תוך שיתוף פעולה ודיאלוג בין כל הצדדים המעורבים.הפירצה אגב לא מאפשרת השתלטות מרחוק והיא דורשת ידע והיכרות טובה עם קוד הקרנל. תיקון עבורה כבר שוחרר בגירסאות 2.6.3 ו2.4.24- ביחד עם מספר עדכוני אבטחה נוספים הקשורים לדרייברים של ATI ו-USB. מקור: ניוז פקטור, Linux Vendors Warn of Flaws 1451 כניסות :: 3 תגובות חברת גרטנר העריכה לאחרונה כי עד לשנת 2006 קצב ההתקפות והיקף המפגעים אשר עתידים להחשף יהיה כה נרחב עד כי 30 אחוזים מהפגיעות יתרחשו עוד לפני שהארגונים יספיקו להתקין את התיקונים הנדרשים אם הם יהיו זמינים. גיוון טכנולוגי יחסן את הארגון בפני בעיות שכיחות הייחודיות למערכות ההפעלה חלונות ויעודדו את מיקרוסופט, על ידי תחרות, לספק תוכנה איכותית יותר. את הדיון בנושא הגיוון בתשתיות המידע בארגונים פתח דן גיר, מומחה אבטחת מידע בחברת @stake, אשר פוטר לאחר שהציג את רעיון ה'תרבות המונוליתית' השאוב מתחום הביולוגיה. גיר טוען כי חוסר הגיוון שיצרה מיקרוסופט במיחשוב העולמי עלול לגרום לאסון. למרות שהוא איבד את משרתו גיר זכה לקהל מאזינים עולמי. גרטנר מעריכה כי הדומיננטיות של מיקרוסופט בשוק התוכנה וההשענות של ארגונים על בסיס קוד יחיד עשויים להוביל לתופעות קיצוניות של השבתה בהיקפים גדולים של המערכות שלהם ואף עשויים להשבית חלקים ניכרים של האינטרנט. גרטנר: עלות בעיות האבטחה של חלונות בלתי נסבלת, ממליצה לא לחבר שרתי חלונות 2003 לאינטרנטע"י bombadil פורסם: 15/02/2004 - 16:17 בתגובה על הכרזת תיקון האבטחה החמור האחרון של מיקרוסופט (ASN), חברת הייעוץ גרטנר (Gartner Group) שחררה הודעה בה היא ממליצה ללקוחותיה להמנע משימוש במערכת ההפעלה Windows 2003 על שרתים ברשתות הפתוחות לאינטרנט לפני הרבעון השני של 2004.גרטנר אומרת עוד כי ייתכן ותאלץ להאריך תוקף המלצה זו אם מיקרוסופט "לא תתחייב בציבור למאמץ יוצא דופן לחיסול חורים גדולים מאד במערכת ההפעלה שלה". כלומר, אם מיקרוסופט לא תעשה שום דבר חדש, האזהרה תחודש גם אחרי התקופה המצויינת כרגע.
חוקרים בחברת eEye Digital Security העניקו לחברת מיקרוסופט 200 ימים לטפל בבעיה המוגדרת כבעית אבטחת המידע החמורה ביותר שהתגלתה בחלונות. מיקרוסופט אשר נאבקת לאחרונה בביקורת מחודשת על סיכוני אבטחה במוצרים שלה, תתקשה להסביר מן הסתם. חברת האבטחה שחשפה את המפגע חושבת שפרק הזמן שנדרש לחברה לתקן את הפירצה איננו סביר בהתחשב בחומרתה. הפירצה כאמור התגלתה ביולי 2003 ו-eEye הסכימה להמנע מפירסום עד לשחרור העדכון כדי למנוע אפשרות לפגיעה במערכות קריטיות בתשתיות הלאומיות.“אם יהיה וירוס בלאסטר בלינוקס תוך כמה זמן יפתרו לו את זה? במיקרוסופט אתה לפחות יודע שתוך יומיים יגיע הפיתרון.” אריה סקופ, מיקרוסופט ישראל מקור: ynet, מיקרוסופט מודיעה על פירצת אבטחה חמורה 2026 כניסות :: 5 תגובות סקירה של OpenVPN באתר OSNews. לדברי הכותב, מנהל רשתות עם ניסיון של מספר שנים והיכרות טובה עם פתרונות VPN מסחריים, OpenVPN היא הפתרון הנוח ביותר לשימוש ולתחזוקה. מלבד הזמינות של רכיבי השרת והלקוח עבור פלטפורומות שונות, בהן לינוקס, חלונות ומק, היא גם מספקת ביצועים וגמישות בנוסף ל"מחיר" האטרקטיבי.מקור: OSNews, Introduction to OpenVPN 1290 כניסות :: תגובות? רוברט סקובל, עובד מיקרוסופט ובלוגר לעת מצוא, הוזמן לארוחת צהריים משותפת עם ראש צוות הפיתוח של אינטרנט אקספלורר. השניים שוחחו גם על ענייני הבטיחות, אשר מסתבר נמצא בראש סדר העדיפות שלהם. למעשה בימים אלו עומל הצוות על כתיבת תיקון לבאג האחרון המאפשר זיוף שורת הכתובת.זיהוי פריצה למערכת הוא תהליך מורכב הדורש ניסיון רב והכרות אינטימית במיוחד עם המערכת. אחד ממכרי "שיחק מחבואים" עם פורץ בזמן שהוא עסוק במלאכתו וגילה, ממש כמו בסרטים, איך דברים נעלמו לו מתחת לידיים (הפורץ מחק את כל תכולת המחשב ברגע שהוא הבין שהוא נתגלה) תוך כדי עבודה ...למרות שאין ממש דרך חד משמעית לזהות פריצה, יש כמה שיטות שהקלו עלי בעבר באופן אישי. בכל אופן, אם יש לכם חשד כלשהו, נתקו את המכונה מהרשת מיד. שיטות אלו דורשות כאמור לא מעט ניסיון, אבל אני מקווה שתוכלו להתמודד איתן. השיטות מתבססות כאמור על היכרות עם rootkits נפוצים והמאמר הבא כתוב על סמך התבוננות במקרה פריצה מסוים ולכן הן אינן משקפות את המציאות או מקרים אחרים בהכרח לכן אני מציע לכם לקרא את המאמר כרשימת בדיקה, או הצעות איך להתמודד עם פריצה למערכת וטיפול נקודתי בפריצה אם התרחשה. במקרים קשים יותר, הפורץ עשוי לא להסתפק בהסתרת קבצים, תוכניות, שמות משתמשים אלא לשתול מודולים חדשים לקרנל ועוד. הערה: המאמר התפרסם לראשונה בפורום לינוקס בתפוז תיקון לבאג ההתחזות באינטרנט אקספלורר מ ... קבוצת מפתחי קוד פתוחע"י dittigas פורסם: 21/12/2003 - 22:52 קבוצת מפתחי קוד פתוח בשם Openwares.org, הפועלת ממספר אתרים בהם אתר הרשום על שמו של אורי ראג'ואן מתל אביב, שחררה תיקון לבעיית הבאג ב-IE המאפשר לזייף את כתובת האתר. הקבוצה שיחררה את קוד המקור של התיקון תחת GPL.למרות שמדובר כפי הנראה בניסיון של גורם צד-שלישי לדחוף את מיקרוסופט לשחרר תיקונים נחוצים לבעיות שכיחות במוצרים שלה, מומחים ממליצים להמתין לעדכון רשמי של מיקרוסופט. ראו דיון והסברים נוספים, כולל בעיות עם התיקון הזה באתר סלאשדוט. מסתבר כי מוזילה אף היא פגיעה חלקית לבאג המאפשר לאתר להתחזות (spoofing) על ידי שרשור מחרוזת תווים ספציפית ל-URL. לעומת IE למרות זאת, הבעיה במוזילה היא עם תצוגת כתובת האתר בשורת הסטטוס של הדפדפן בלבד וללא כל השפעה על הכתובת כפי שהיא מוצגת בשורת הכתובת. הבעיה זוהתה ותוקנה ב11- בדצמבר 2003. מקור: MozillaZine, Mozilla Partially Vulnerable to Internet Explorer URL Spoofing Security Flaw 1289 כניסות :: 3 תגובות עוד פרצת אבטחה בדפדפן השווייצרי, אופס ... סליחה ... דפדפן האינטרנט של מיקרוסופט. הפעם, פרצה המאפשרת לאתרים להתחזות לאתרים שהם אינם. מסתבר שבין 101 הדברים ש-IE יודע לעשות ומוזילה לא, הוא מאפשר למשל לאתר לספק כתובת מזויפת. במילים אחרות, את "אמזון.קום" אליה גלשתם בביטחון ואמונה טבעיים, יכולה לנהל למשל המאפיה הרוסית ואת כרטיסי האשראי שלכם יסלקו גורמים מפוקפקים.חברת האבטחה הנורבגית Secunia מדווחת על פרצה נוספת שהתגלתה על ידי "Zap the Dingbat" שאף דיווח עליה למיקרוסופט. אפשר להתרשם מהבאג בכתובות הבאה, רק שצריך IE, כלומר אם אתם לא חוששים לגלוש איתו ... הבאג אגב נובע מכשלון של IE לסנן כתובות בפורמאט הבא: http://www.microsoft.com%01@zapthedingbat.com/security/ex01/vun2.htm. אינטרנט אקספלורר יציג את הכתובת ללא כל המידע שמופיע אחרי הכתובת microsoft.com. גולשי Wine/IE תזהרו. מיקרוסופט הודיעה כי בניגוד למדיניות החדשה עליה היא הכריזה, שחרור עדכוני אבטחה אחת לחודש, היא לא תשחרר עדכון בדצמבר. ידיעה קצת תמוהה על פניה מאחר ומנתונים שפירסמה חברת סימנטק לאחרונה, שבע מתוך עשר המפגעים החמורים ביותר שהתגלו במהלך נומבמבר היו במוצרים של מיקרוסופט דווקא.
האם מיקרוסופט לא מצליחה לתקן את הבעיות הללו או שהיא חושבת שהן לא מספיק חמורות. רק כדי לסבר את האוזן, הנה ציטוט מפי הסקופ: "אם יהיה וירוס בלאסטר בלינוקס תוך כמה זמן יפתרו לו את זה? במיקרוסופט אתה לפחות יודע שתוך יומיים יגיע הפיתרון." נו טוב. אגב, גם קוד פתוח בעשיריה הפותחת עם בעיה שהתגלתה ב-GnuPG המשפיעה על כל ההפצות שכוללות חבילה זו. תיקון לבעית אבטחה זו אגב זמין כבר מתחילת דצמבר עבור כל ההפצות. יאהו! מביאה שוב את הסיפור שפירסמנו כאן לאחרונה בנוגע להשבתתם של מכשירי בנק אוטומטיים של חברת Diebold בשני מוסדות פיננסיים שונים כתוצאה מפגיעתה של התולעת "Nachi", הפעם עם תגובות של גרטנר וחברות אבטחת מידע למגמה להסבת מכשירים מסוג זה למערכות הפעלה לשימוש כללי כמו חלונות.
חברת Diebold, המעורבת אגב בפרשיה נוספת הנוגעת להסתרת בעיות שונות בשימוש בתוכנה קניינית שלה במכונות הצבעה בקלפיות בארה"ב, נענתה לאחרונה לבקשות של לקוחות והחלה להסב מכשירי בנק אוטומטיים מתוצרתה לגירסאות Windows XP Embeded. האם הייתם קונים מערכת הפעלה מהאיש הזה? הצצה לדור הבא של טכנולוגיות האבטחה של מיקרוסופטע"י dittigas פורסם: 05/12/2003 - 19:32 מיקרוסופט החליפה לאחרונה את שמה של יוזמת "המחשוב האמין" (או "מחשוב בוגדני" לדעת אחדים) לר"ת חסרי ההשראה, NGSCB או Next Generation Secured Computing Base. יוזמה המהווה בסיס לשינוי טכנולוגי דרמטי באופן בו אנחנו משתמשים במחשב האישי ולא פחות מכך מידת השליטה שיש לנו בתוכן שאנחנו מייצרים או במידע אליו אנו ניגשים באינטרנט.מלבד שירותים שונים לצורך שמירה על פרטיות המידע, NGSCB (לשעבר, Paladium) תאפשר קשר ישיר עם ספקי תוכן, בדרך כלל ללא אפשרות של המשתמש לשלוט באופי הקשר ובסוג הפעילות המתבצעת במחשב. המחשב האישי שלכם יוכל ליצור קשר "מאובטח" עם יצרן החומרה, יצרן התוכנה או כל ספק שירותים אחר שהוגדר לצורך העניין במטרה לאפשר החלפת מידע מאובטחת, מעקב אחר קבצים ב"רשימות השחורות", מחיקת תוכן (ראו מקרה XBox לאחרונה) ועוד. האם NGSCB תפתור את בעיית הוירוסים, התולעים וכשלי האבטחה המוכרים? כפי הנראה לא. דליפות זיכרון ובעיות תכנותיות נפוצות מסוג זה לא יעלמו ווירוסים, שיהיה אולי קשה יותר לכתוב, ימצאו גם בסביבה ה"מאובטחת". הרג'יסטר מדווח כי חברת Diebold מודה כי התקבלו דיווחים על הידבקותם של מכשירי בנק אוטומטיים בתולעים ("Nachi"( בשני ארגונים פיננסיים באוגוסט השנה. על פי הרג'יסטר מדובר בדיווח ראשון מסוג זה, למרות שמדובר בסביבת אשר איננה מחוברת לרשת האינטרנט ולכאורה חשופה פחות להדבקות.כזכור, גרטנר שיחררה באוקטובר השנה המלצה לגוון טכנולוגית את תשתיות התוכנה בארגונים, במטרה להמנע מחשיפה לפגיעות צפויות כמו מתקפות תולעים ווירוסים. בגרטנר מאמינים כי גיוון טכנולוגי עשוי לא רק לחסן ארגונים מפני בעיות אופיניות אלא גם "לעודד" את מיקרוסופט להתייעל ולספק תוכנה איכותית ובטוחה יותר. עמדה דומה הביעה קבוצת מומחי אבטחת מידע מוקדם יותר השנה כאשר העלתה את הטענה כי במצב הנוכחי יש בתלות במערכת ההפעלה חלונות סכנה אמיתית לכלכלה ולתשתית מערכות המידע בארה"ב. האקר סיני, חוקר בתחום אבטחת המידע, חשף ושיחרר מידע אודות 5 פרצות אבטחת מידע חדשות ב-IE. מיקרוסופט טרם פירסמה תיקונים לבעיות אלו המאפשרות לעקוף את הגדרות "אזורי האבטחה" של IE ולפי הערכות היא לא תעשה זאת לפני שחרור עדכוני האבטחה החודשי, אלא אם כן הן יסתבר כי הפרצות הללו מנוצלות. משתמשים המוטרדים מהאפשרות של אתרים לשתול תוכניות זדוניות וירוסים וכיוצא בזה מפגעים במחשבים שלהם נדרשים לבטל את Active Scripting או פשוט לעבור להשתמש בדפדפן בטוח יותר.כזכור מיקרוסופט משתלחת לאחרונה באופן שיטתי בלינוקס בכל הקשור לאבטחת מידע במטרה לקעקע את הדיעה הרווחת כי לינוקס וקוד פתוח בטוחים יותר מחלונות. אריה סקופ צוטט לאחרונה כמי שאומר "אם יהיה וירוס בלאסטר בלינוקס תוך כמה זמן יפתרו לו את זה? במיקרוסופט אתה לפחות יודע שתוך יומיים יגיע הפיתרון". גדי גילאון מבריאות כללית צוטט אומר דברים דומים להפליא "ההשקעה שצריך לעשות כדי להתאים ללינוקס, בעיקר ההשקעה באבטחה - היא נורא מסובכת ויקרה." במאמר שהתפרסם בעיתון הארץ לאחרונה. למרות זאת, יותר מ50%- מהמשיבים לשאלות בנושא אבטחת מידע בסקר של אוונס דטה דיווחו כי הארגון שלהם התנסה בפגיעה אחת לפחות בשנה האחרונה. הסקר אף מחזק את הסברה כי לינוקס זוכה לדימוי חיובי ביותר בכל הקשור לבטיחות ומביא נתונים המראים כי מפתחים בארגונים גדולים ברחבי העולם מאמינים כי לינוקס מערכת הפעלה בטוחה ליישומים ארגוניים קריטיים. אבטחת המידע בחלונות הופכת בהדרגה לבעיה הקשה ביותר עבור מיקרוסופט לכן היא מסבירה אולי את פשר המהלך היחצני הבא. לפי ידיעה באתר טק וורלד (ללא ציון המקור) מיקרוסופט נערכת למסע יחצנות שמטרתו לקעקע את הדעה הרווחת לגבי אמינותה של לינוקס. במיקרוסופט מקווים, על פי הפרשנות, לזכות במרווח נשימה ארוך מספיק כדי לנסות להתמודד עם האתגר על ידי הסטת הדיון הציבורי מחלונות ללינוקס.בעיית אבטחת המידע לא רק שהיא פוגעת באמינות שלה כחברת התוכנה הגדולה בעולם, אלא מעניקה יתרון חשוב למערכת ההפעלה היחידה שמתחרה בה, לינוקס. פרשנויות שונות לגורמים להפסדים בשווי של כ$800- מיליון כתוצאה מאי-חידוש הסכמי מסגרת הזכירו את עניין האבטחה כגורם מרכזי. בעיית האבטחה במערכות ההפעלה שלה הן יותר מאנקדוטה לדעת גרטנר וחברות מחקר וייעוץ אחרות והן אף ממליצות לגוון את הפלטפורמות בארגון כדי להמנע מלקחת סיכונים גדולים מדי. על פי הידיעה, מיקרוסופט שכרה מספר אנליסטים שיחקרו את משך הזמן העובר בין גילוי בעיית אבטחה בחלונות ובלינוקס. האם האנליסטים יקפידו על כללי משחק הוגנים בניגוד לעבר? כמו למשל, האם הבעיות בלינוקס הם באותה דרגת חומרה לעומת הבעיות בחלונות, האם מגוון הפלטפורמות הרב בלינוקס מקשה על הפצת וירוסים וסוסים טרויאניים והאם לתשתית האבטחה בלינוקס יש חלק ברמת האבטחה הכללית של מערכות אלו מול חלונות. נקודות למחשבה. הערה: נערך על ידי דיטיגס. רשת החנויות בוסקוב: 50 אלף דולר עלות שעות עבודה בלבד בתיקון קריסת הרשת במתקפת נימדהע"י dittigas פורסם: 09/11/2003 - 02:57 רשת החנויות האמריקאית בוסקוב (Boscov) מעריכה את ההוצאות שלה (בשעות כ"א בלבד) על תיקון הנזקים כתוצאה מהשבתת רשת המחשבים שלה, בעקבות מתקפת התולעת נימדה (Nimda) בשנת 2001, ב50,000- דולאר. מייקל צ'רי מחברת הייעוץ Directions On Microsoft, מאמין כי בעיות אבטחת המידע של מיקרוסופט אינן נתפסות עוד כאנקדוטה, אלא כאיום אמיתי עבור עסקים.צ'רי מסביר כי לקוחות רבים כמו גם גופים ציבוריים ופדרליים בארה"ב התחילו לחפש תחליפים למיקרוסופט בעוד שאחרים החלו לנטוש את חלונות לטובת מערכת ההפעלה לינוקס. הוא עוד מציין כי נתוני הרווח ברבעון האחרון משקפים יותר מאשר צרוף מקרים. אי חידוש הסכמי המסגרת של לקוחות גדולים לרכישת מוצרים של מיקרוסופט, נובע בעיקר מבעיות אבטחת המידע. "רק כדי להמחיש נקודה זו בדוגמה מהמציאות היום יומית אצלנו, ב-ynet דווח באוגוסט על גירסה חדשה של התולעת בלאסטר, שפגעה ברשת של שירותי בריאות כללית. במקרה זה היה מעניין לא פחות לראות כיצד מכניסה גרטנר שיקול זה לחישוב הכללי של עלות הבעלות הכוללת." ynet, השאלה כבר אינה אם לבחור בלינוקס בגרטנר אומרים כי הנטייה של ארגונים מודאגים לבטל חידוש הסכמי רכישה ולהאריך את מחזורי ההשבחה היא אחד הגורמים לקריסתן של חברות תוכנה. בחברת המחקר יופיטר ריסרץ' מציינים כי מיקרוסופט חייבת לשנות את הדגש לשפר את שביעות הרצון של לקוחות קיימים במקום לנסות לזכות בנוספים. לא צריך תירוצים כדי לעבור למוזילה (או מוזילה פיירבירד). מלבד 101 הדברים שאפשר לעשות עם מוזילה ואי אפשר ב-IE למשל, יש עוד כמה מן הסתם. כולם כבר יודעים ש-IE אינו מאובטח, במיוחד לאור העובדה העצובה שיש בו חורי אבטחה מוכרים שלא נפתרו למרות שחלקם נמצאו כבר לפני כשנתייים.כעת קבוצה של מספר אנשים החליטה לקחת את המושג "קומבינציה" לגבול. הקבוצה הוכיחה כי ניתן בשילוב של כ6- בעיות שונות לגרום למשתמש IE "תמים" להוריד תוכנה מהאינטרנט ולהריץ אותה, וכל זאת ללא צורך לאינטרקציה כלשהי על ידי המשתמש. כל מה שהוא צריך לעשות זה לפתוח את הדף. המרחק של "הוכחת היכולת" הזו מיישום של תולעת קצר למדי ומן הסתם סיבה טובה מספיק לבדוק אלטרנטיבות. אנחנו בחברה למשל, כבר העברנו את כולם לMozilla Firebird כדפדפן ברירת המחדל. כאשר צריכים לגשת לאתרים עקשניים, יש תמיד אופציה לראות את הדף בIE- אם אין ברירה. * הגירסה שנבחנה: Microsoft Internet Explorer v6.Sp1; up-to-date on 2003/10/30 * דוגמא (לא מזיקה) אפשר לראות כאן. הערה: נערך על ידי דיטיגס. לארי מק'ווי, מפתח ומתחזק BitKeeper, מערכת ניהול הקוד בעזרתה מנוהל קוד המקור של לינוקס, מדווח על ניסיון לבצע שינוי בקוד המאפשר למשתמש לא מורשה לקבל הרשאות משתמש-על (root) בגירסה 2.6 של הקרנל. השינוי התבצע בקובץ kernel/exit.c, כאמור ישירות בקוד המקור של הקרנל המוחזק במקביל ומסונכרן מול שרת CVS המחזיק עותק של הקוד משרת BitKeeper. כחלק מתהליך הסינכרון, המערכת מסוגלת לזהות הבדלים בקוד ולהתריע על שינויים בלתי צפויים על ידי בדיקות checksum מקיפות. בעתיד הקרוב תתווסף גם תמיכה במפתחות הצפנה (GPG) כדי למנוע אפשרות של ביצוע שינויים על ידי מקור לא מורשה או על ידי התחזות, כמו במקרה זה. לדברי לינוס המערכת אמינה מספיק כדי לסכל אפשרות מסוג זה והוא מפרט:
אגב, בדיון בעניין זה באתר סלאשדוט מוזכר מקרה דומה בחברת בורלנד אשר אותר רק לאחר שקוד המקור של Interbase שוחרר לקהילת הקוד הפתוח שבע שנים לאחר מכן. השינוי התבצע על ידי עובד החברה, מפתח עם הרשאות גישה מלאות לקוד. מקור: Linux: Kernel "Back Door" Attempt מיקרוסופט מציעה פרסים בשווי כולל של $500,000 למידע על כותבי וירוסיםע"י dittigas פורסם: 05/11/2003 - 20:28 צעד נואש משהו של חברת מיקרוסופט ורשויות החוק והאכיפה בארה"ב לאחר שכל המאמצים לאתר את כותבי הוירוסים Blaster ו-Sobig, כשלו. החברה הודיעה כי תעניק פרסים בשווי כולל של $500,000 ארה"ב, למוסרי מידע שיוביל למאסר והרשעה של כותבי הוירוסים הללו. ראו דיון באתר סלאשדוט: Microsoft Offers A Bounty On Virus Writers. הקוראים מוטרדים בעיקר מאמצעי התשלום ומעדיפים תשלום במזומן על פני אופציות או מניות של מיקרוסופט עושה רושם (LOL). 1473 כניסות :: 8 תגובות זוכרים את הסיפור עם הסטודנט שגילה במקרה שאפשר לעקוף את מנגנון מניעת ההעתקה של חברת SunnComm על ידי לחיצה על מקש ה-Shift בעת הכנסת התקליטור? שינוי מוצע בחוק ה-DMCA עתיד לציין במפורש כי שימוש במנגנוני הגנה מסוג זה פוגעים באינטרס של הצרכנים ובתחרות מסחרית הוגנת ולכן יש לבטלם. התיקון לחוק ה-DMCA מבקש לבטל את השימוש במנגנונים למניעת העתקה וממליץ לחברות להסתפק באזהרה על אי-החוקיות של פעולת העתקה. ג'ון דבורק (PC Magazine) חושב שהדוגמה המביכה הזו ועוד כמה אחרות שהוא דן בהן אומרות רק דבר אחד: חוק "לא חוקי" הנוגד את חופש הדיבור וסותר את החוקה האמריקאית לפחות, אי אפשר לתקן וצריך פשוט לבטל וכמה שיותר מהר.
חברת BitDefender מזמינה בוחנים לגירסת הבטא של שרת אנטי וירוס עבור סמבהע"י dittigas פורסם: 27/10/2003 - 18:58 חברת BitDefnder מזמינה מנהלי רשתות להוריד גרסאות בטא של שרת האנטי וירוס שלה המיועד להתקנה אינטגרלית בשרתי סמבה המשתפים מחיצות ברשת עם תחנות עבודה חלונאיות. BitDefender מאפשר סריקה "בזמן גישה" של קבצים אליהם ניגשים משתמשים ממערכות הפעלה שונות ברשת כמו גם מערכת caching לשיפור ביצועים, סריקה בארכיונים ועוד. המוצר זמין עבור רוב ההפצות הפופולריות, באריזות המתאימות, עבור סמבה 2.2.X ו3- עם קרנלים 2.4.X. פרטים נוספים בהודעה לעיתונות. [אנונימי] אם גם אתם לא מתים על קוד קנייני שרץ בהרשאות root במערכת שלכם, אבל עדיין צריכים לסרוק קבצים בשרת הקבצים בשביל כל מיני מערכות הפעלה בעייתיות, מוזמן לבדוק את האלטרנטיבות החופשיות: Clam AntiVirus. יש למישהו מושג אם samba-vscan בכלל שמיש? 1415 כניסות :: 2 תגובות באלמר: חלונות בטוחה לפחות כמו לינוקס ... בחיי ... נו, תפסיקו לצחוקע"י dittigas פורסם: 23/10/2003 - 17:32 כמו שקורה בדרך כלל, סטיב באלמר הקדיש חלק ניכר מראיון איתו, באירוע של גרטנר שנערך לאחרונה באולרנדו פלורידה, בניסיון להציל את כבודה האבוד של חלונות בכל הקשור לאבטחת מידע ובמיוחד בהשוואה למערכת ההפעלה GNU/לינוקס. כותב הטור "בוקר טוב, סיליקון ואלי" תוהה האם באלמר מודע לעובדה שבחלונות 2003 התגלו כשלי אבטחה קריטיים תוך פחות מ150- ימים לאחר שחרורה? בכל אופן, באלמר באמת מאמין שמיקרוסופט השתפרה בתחום מאז חשיפת יוזמת "מחשוב אמין" והיא הפנתה לפרוייקט הזה את מיטב המוחות שהיא מעסיקה. באלמר אף מרבה לחזור לאחרונה בראיונות שונים על המנטרה המוכרת (ב-FUD הם בטוח הכי טובים) ותוהה לתומו כיצד ארגונים אמורים לסמוך על "איזה מפתח בסין שעובד עד מאוחר לפנות בוקר לתקן כשלים בלינוקס" במיוחד בהשוואה למודל האבטחה הפרגמטי והגיבוי התאגידי ממנו נהנית לכאורה חלונות. צוות פיתוח נוטש את חברת GeCAD RAV Anti-Virus לאחר שנרכשה על ידי מיקרוסופטע"י dittigas פורסם: 17/10/2003 - 17:12 צוות המפתחים האחראי על פיתוח גרסאות לינוקס של RAV Anti-Virus בחברת GeCAD שנרכשה לאחרונה על ידי מיקרוסופט, החליט לפרוש מן החברה. מיקרוסופט כידוע הכריזה כי תפסיק את פיתוחן של הגרסאות עבור לינוקס ונובל ותתמקד במקום במוצר החלונאי בלבד.המפתחים יצטרפו לחברת Kaspersky Labs המתמחה בפתרונות עבור יוניקס ולינוקס אשר מתכוונת להציע בקרוב תוכנית הגירה ללקוחות GeCAD. סקר מעודכן של אוונס דטה: מפתחים מאמינים שלינוקס בטוחה יותר מחלונות XPע"י dittigas פורסם: 17/10/2003 - 11:35 האם לינוקס בטוחה מחלונות? סקר עדכני (ספטמבר) של חברת המחקר דטה אוונס קובע כי זה לפחות מה שמאמינים מפתחים. בסקר השתתפו 500 מפתחים מצפון אמריקה מבתי תוכנה, חברות אינטגרציה, יצרניות חומרה ומפתחים בארגונים גדולים.למרות שרק 25% (עליה של 4% בחצי שנה האחרונה) מהנשאלים מפתחים עבור לינוקס באופן בלעדי, שני שלישים מהם מאמינים כי לינוקס בטוחה יותר מחלונות. חלונות XP שעדיין נתפסה בטוחה בסקר קודם שערכה אוונס דטה, צנחה (50%) בדירוג שלה בסקר המעודכן. אגב, מיד אחרי לינוקס התמקמה חלונות 2003 (עם 12%). לינוקס נתפסת בטוחה יותר בקרב כל החתכים השונים של אוכלוסיית המפתחים מלבד על ידי מפתחים בארגונים. הסקר מדגים עליה מתמדת באמון שזוכה לה לינוקס. בשנת 1999 רק 34% האמינו כי היא מתאימה לשמש כפלטפרומה להפעלת יישומים קריטיים בארגון, לעומת 64% היום. לא פחות מעודד, קובע הדו"ח, לא רק לינוקס זוכה לתדמית חיובית, אלא הקוד הפתוח בכלל. הסקר גילה כי 62% מהנשאלים משלבים קוד פתוח ביישומים שלהם. ג'ון האלדרמן, סטודנט, גילה כי לחיצה על מקש Shift בזמן הכנסת התקליטור
לכונן מאפשר לעקוף את המנגנון המובנה למניעת העתקה של תקליטורים, מוצר הדגל
של חברת SunnComm. ג'ון פרסם את המידע המביך משהו באינטרנט כחלק מדו"ח
מקיף וזכה לכבוד המפוקפק להמצא תחת איום של הגשת תביעה בכפוף לחוקי
ה-DMCA. החברה, למרבה המזל, התאשתה בסופו של דבר. לאחר בדיקה קצרה שאיפשרה
להם לתקן את הבעיה הזו, ומן הסתם עוד כמה אחרות, הם הסירו את האיום בטענה
שהם לא היו רוצים לגרום לכך שחוקרים אחרים יהססו לחשוף מידע שסייע להם
לשפר את המוצרים שלהם.להבדיל, חברת מיקרוסופט עדיין לא שם. סטיב באלמר פותח שוב את הפה, הפעם על חוקרים ומומחי אבטחת מידע החושפים מפגעים ובעיות בתוכנות ומערכות הפעלה, בדומה למקרה לעיל גם אם בדרך כלל בנושאים קצת יותר מורכבים טכנולוגית. באלמר מאמין שבהעדר "שיתוף פעולה" מיקרוסופט תצטרך פשוט לעבוד קשה יותר. כמו שאומר פטריק גריי באתר ZDNet, מיקרוסופט אמנם עדיין לא גייסה את אלוהים לצידה, אבל באלמר לא מהסס לדבר בשם "טובת הכלל" במטרה ליצור תחושה לא נעימה כאילו היא נופלת קורבן לרדיפה. מיקרוסופט, כך נדמה, עדיין לא הפנימה את העובדה שהיא פשוט לא יכולה להמשיך לעבוד בואקום והיא חייבת להתחיל להקשיב ולשתף פעולה עם קהילת החוקרים והאקרים. מאמר חשוב באתר SANS מדווח על 20 בעיות אבטחת המידע הנפוצות במערכות ההפעלה חלונות ויוניקס, כולל הצעות מעשיות לאיך ניתן לשפר את האבטחה.
את רשימת החלונות מובילים: שרת הווב IIS, שרת מסדי הנתונים Microsoft SQL Server , מערכת ההרשאות, הדפדפן IE ושרותי הגישה מרחוק. עוד נמצאים ברשימה לקוח הדוא"ל Outlook, שרותי שיתוף קבצים ושירותי הניהול והבקרה מבוססי SNMP. ברשימת היוניקס מככבים מערכת שמות הדומיין BIND, הפעלות פקודה מרוחקות, שרת הווב אפאצ'י, חשבונות ללא סיסמה או עם סיסמה חלשה והעברות מידע לא מוצפן בין שרותים. מקור: SANS, The Twenty Most Critical Internet Security Vulnerabilities 1856 כניסות :: 2 תגובות אתר ZDNet מדווח כי מיקרוסופט חתמה על הסכם שיתוף פעולה עם Phoenix, אחת מיצרניות ה-BIOS הגדולות בעולם. לפי ההסכם, שתי החברות ישקלו דרכים להעמיק את האינטגרציה של מערכת ההפעלה והחומרה בבמטרה "ליצור מחשב אמין ופשוט יותר להפעלה".לדעת מומחים, מדובר בצעד נוסף בדרך למימוש טכנולוגיות כמו DRM המאפשרות שליטה טובה יותר ליצרניות תוכנה וספקיות תוכן על האופן בו עושים המשתמשים שימוש בקניין הרוחני שלהן. הערה: נערך על ידי דיטיגאס. פרצת אבטחה חדשה התגלתה בשרת OpenSSH הנפוץ. יתכן שהפרצה מאפשרת גישה למערכת כמשתמש root, ללא הסיסמה (לא ברור האם יש exploits לפרצה). הגרסאות הפגיעות הן עד וכולל גרסה 3.6. גרסאות 3.7 ו3.7.1- שוחררו היום.
המערכות הפגיעות הן כל הפצות הלינוקס ו-BSD. לא ידוע האם מערכות אחרות כמו סולאריס פגיעות גם-כן. כמו כן לא ברור האם הפעלת Privilege Seperation מונעת את ניצול החור. סקר של חברה בריטית בשם mi2g קובע כי במהלך אוגוסט השנה GNU/לינוקס נשארה מערכת ההפעלה הפגיעה ביותר באינטרנט ועם אחוזי הפריצה (המוצלחים) הגבוהים ביותר.הנתונים שאספה mi2g מתבססים לכאורה על דיווחים שאוספת החברה בעצמה מלקוחות נבחרים המספקים לה מידע על חדירה לאתרים שלהם, אבל אין שום עדות לאופן בו נערכה המדידה ושיטת המחקר. המספרים שהיא מצטטת בדו"ח הם 12,892 פריצות מוצלחות ללינוקס בהשוואה ל4,626- בלבד לחלונות. בפעם הקודמת ווטסאפ התריע כמעט שבוע לפני שחרורה של
התולעת המפורסמת על הפרצה שהיא הולכת לנצל. זאת חוכמה קטנה מאוד לעשות את
זה שוב, הרי האינטרנט מפוצץ באזהרות לגבי
הפרצות החדשות שנתגלו ב- RPC (למשל, Buffer
Overrun In RPCSS Service). בכל זאת, הפעם יש מספר דברים מעניינים
שקשורים בפרצות החדשות שנתגלו.הערה: תודה לאבירם וכמובן גם לאחרים ששלחו עדכונים בנושא. כפי שאמרנו בעבר, אנחנו מנועים מלפרסם ידיעות מאתרים אחרים כלשונן. סלאשדוט מדווח על פרוייקט חופשי מאוניברסיטת דארתמות' ההופך מערכת המריצה לינוקס ל"מעבד מאובטח וירטואלי" המסוגל לבדוק שאין חדירות עויינות לתוכנות המותקנות בו, ובגרסה עתידית אף להזדהות חד-חד ערכית בפני מערכת מרוחקת.
התוכנה זמינה תחת קוד GPL עבור קרנל 2.4 ויכולה להוות תשובה בפוטנציה לאתגרים עתידיים שיוזמת פלאדיום (או NGSCB בשמה החדש והמוצפן) של החברה ההיא תעמיד בפני מערכות הפעלה אחרות. מקור: סלאשדוט, Dartmouth Project Combines Linux With TCPA קישורים אתר הפרוייקט ווטסאפ, לינוקס ו TCPA - התגלמות הרשע? ווטסאפ, משתלטים על TCPA 1188 כניסות :: 1 תגובה פרוייקט p2pwall משחרר תוסף לחומות אש מבוססות iptables שנועד לחסום תעבורת מידע עם רשתות FastTrack (כגון KaZaa). התוסף מיועד לרשתות המאפשרות תעבורה יוצאת בלתי מוגבלת (כמעט) אך מונעות תעבורת רשת פנימה.
התוסף נועד למנוע העמסה של הרשת הנובעת משיתוף קבצים וכן למנוע תביעות על הורדה בלתי-חוקית של תוכן. הפרוייקט מתעתד להרחיב את מגוון הפתרונות (החופשיים) למגוון שימושים נוספים. 1603 כניסות :: 5 תגובות האם אפשר לזהות מגמה חדשה במיין סטרים של המגזינים המקצועים? התקפות וירוסים הן לא נושא חדש, אבל עושה רושה שהגל המתמשך של אירועים הצליח לראשונה להפנות את הזרקורים אל מי שללא ספק אחראית למצב המורכב הזה. אחרי שהיא מיצתה את מאגר הערות הקטנוניות לגבי עודף המזומנים בקופה שלה, העתונות המקצועית רוצה לראות שינוי במיקרוסופט. באופן דומה למה שמתואר בהמשך, CNN למשל, הסוקרת את מתקפת הוירוסים באופן שוטף, הביאה היום לראשונה נתונים די מדאיגים לנזק הכלכלי האדיר הנגרם כתוצאה מהשבתת הפעילות בעסקים התלויים במערכת ההפעלה חלונות לתפקודם. העתיד? הוא לא נראה הרבה יותר מבטיח (דיטיגאס). מגזין האינטרנט טק-ניוז של הוושינגטון פוסט בוחן אף הוא את השבועיים הקשים שעברו על משתמשי חלונות בין תולעת הבלאסטר ווירוס הסוביג, אל מול חיי השלווה של מיליוני משתמשי לינוקס ומק, וקובע: זאת לא מקריות. אז היה Linux/Microsoft-IIS/6.0
או רק נדמה היה? נטקרפט נאלצה
לשחרר הסבר
לאחר שהוצפה בפניות של סקרנים שרצו לדעת במה בדיוק מדובר.התשובה היא כמובן כן ... ולא. מערך השרתים החזיתי של אקמאי מספק למיקרוסופט וחברות אחרות שירות היזון עומסים אשר יודע לטפל גם בניטרול מתקפות שלילת שירות (DoS) על ידי ניתוב פניות חכם. נטקרפט מצידה מזהה את מערכת ההפעלה כמערכת ההפעלה שמגיבה לפניה לכתובת, למשל microsoft.com שנותבה כאמור לשרתים של אקאמאי המריצים לינוקס. יחד עם זאת, מזהה שרת ה-HTTP, במקרה זה IIS, נשמר ללא שינוי ומדווח כפי שהוא. 1486 כניסות :: 3 תגובות האתר לינוקס וורלד מפרסם סקירה
קצרה המתייחסת לטור
של טוני נורת'אפ (ExpertZone, אוגוסט 2002), באתר חלונות XP המיועד
למשתמשים במהדורה הבייתית.טוני (הכותב בתשלום עבור האתר של מיקרוסופט) מפקפק במשתמע מהיכולת של חלונות XP ושרת הפיירוול המובנה שלה להגן על הרשת הבייתית בחיבור קבוע, ומציע לבדוק חלופות חומרה כמו ראוטרים. השרת המובנה של חלונות (ICF) הוא מסביר "מספק הגנה בסיסית בלבד" ובכל מקרה היא לא תחליף לאנטי וירוס שתמיד צריך להתקין בנוסף. על-פי סטיב סורינג, כתב לינוקסוורלד, משתמשי חלונות לא צריכים להתחבר לאינטרנט מלכתחילה. הבעיה האמיתית היא שאין שום דרך להגן על חלונות בצורה מלאה מאחר והיא חסרה יכולות שנמצאות מזה שנים בלינוקס. קרי, האפשרות לבטל הפעלה של שירותים לפי בחירה, במיוחד כאלה המאזינים על פורטים פתוחים כדוגמת RPC (שירות חלונאי בסיסי שלא ניתן לנטרל), אם לקחת דוגמה מהימים האחרונים. הערה: תודה לאביב על הקישור המקורי בראדלי קון, המנכ"ל של קרן התוכנה החופשית, מסר כי כפי הנראה האתר נפרץ בחודש מרס השנה, ע"י מישהו שהיתה לו גישה לחשבון על המכונה וע"י ניצול באג של בקרנל לינוקס שהוצא לו תיקון שבוע אחרי דיווח הבאג. עפ"י הדיווח נראה כי המחשב נפרץ בשבוע שבין דיווח הבאג לפרסום התיקון. הפורץ התקין תוכנת טרוג'ן על המחשב שאספה סיסמאות גישה ממשתמשים.
ההתרעות על WORM החדש המנצל פרצה בשרות ה-RPC בגרסאות 2000 ו-XP של
מערכת ההפעלה חלונות, לא היו מוגזמות. ה-WORM כבר כאן והוא מחולל שמות. מהדיווח באתר Ynet מסתבר כי מוקד הפעילות של התולעת הוא דווקא במזרח התיכון
ובישראל.
מרכז האבטחה SANS עבר למצב כוננות "צהוב" (דרגה 2 מתוך 3). . אתר Ynet מדווח: "אלפי מחשבים של גולשי אינטרנט בישראל ובעולם מותקפים מאז אמש על ידי תולעת שגורמת להפעלה מחדש או קריסה של מערכת ההפעלה ... ההתקפה מנצלת כשל בפרוטוקול RPC של Windows. מדובר בשירות שמאפשר למחשב מרוחק להפעיל תוכנה במחשב אחר. באופן כללי, המחשב המרוחק שולח בקשה למחשב הקורבן ומבקש ממנו לבצע פעולה מסוימת. התוצאה, במקרה הזה, היא הצפה של מחשב היעד במידע (buffer overrun), קריסת מערכת ההפעלה או הפעלתה מחדש." ווטסאפ, חלונות: ה-WORM הבא בדרך? 1591 כניסות :: 10 תגובות SuSE הוסמכה לתקן אבטחה ISO EAL2+ על חומרה של IBM, תוסמך ל-COE ו-+EAL3 עוד השנהע"י dittigas פורסם: 06/08/2003 - 11:19 הפצת SuSE Linux Enterprise Server 8 זכתה להסמכה מטעם ארגון ISO המעניקה לה ציון הערכה +EAL2, מתוך 7 הדרגות המוגדרות עבור הסמכה זו. SuSE היא ההפצה הראשונה שעונה לדרישות התקינה הזו אשר מבטיחים עמידה בדרישות אבטחת מידע מקובלות. ההסמכה הזו לא רק ייחודית לגירסה מסויימת של ההפצה, אלא גם לחומרה של IBM eServer xSeries בלבד.למרות שהציון הזה ממקם את SuSE נמוך יחסית, יש עשרות מוצרים אשר זכו לציונים גבוהים יותר (EAL4) בהם Solaris, AIX, Trusted Irix כמו גם Windows 2000 (על חומרה של Compaq ו-Dell ומעבדי x86) ואורקל, היא שואפת להתאים את ההפצה לדירוג +EAL3 כבר השנה. שתי החברות מצפות לזכות גם בדירוג Common Operation Environment מאוחר יותר השנה, דרישת סף במכרזים של גופים ממשלתיים ואחרים בארה"ב. עוד לא הספקנו להתאושש מבעית ה- RPC בחלונות וכבר לינוקס מיישר קו. מתברר שבגרסה 2.2.8 של סמבה תוקנה (בשקט) פרצת אבטחה חמורה שמאפשרת (כנראה) לקבל ROOT מרוחק על מערכות שמריצות גרסת סמבה 2.2.8 ומטה.
אנשי סמבה כנראה החליטו לא להודיע על כך ברבים על מנת למנוע מה"רעים" לנצל את הפרצה - אבל המציאות היא שכבר זמן מה מסתובב לו exploit code המנצל את הפרצה הנ"ל. אז מה הרווחנו? ה"טובים" לא יודעים שיש בעיה ולא ממהרים לעדכן, וה"רעים" יכולים לנצל את ההזדמנות ובשקט בשקט לפתח exploit. רבותי - Information wants to be free. הסתרת המידע אולי פותרת בעיות בטווח הקצר, אבל תמיד מזיקה בטווח הארוך. אגרת רישוי PC? על מחבלים, האקרים, יוצרי וירוסים ואזרחים סוג בע"י dittigas פורסם: 29/07/2003 - 11:05 חוץ מהטרמינולוגיה המבולבלת של הסוקר-מתרגם יהודה אלידע בכתבה
במגזין "PC מגזין ישראל" (קצת קשה לקבל שמי שמציג את עצמו כמומחה בתחום
עדיין לא מסוגל להבחין בין "האקר" ו"קראקר"), מאמר די מעניין על
עתיד המחשב האישי ועל הטכנולוגיות שמפתחות כיום חברות התוכנה כדי למנוע שימוש לא
חוקי במוצרים ותכנים שלהן. וכן, המונח "Trusted" מופיע אף הוא כמובן.התחזית המדאיגה משהו של אלידע היא כי "... מחשבים אחרים [שאינם מצוידים במנגנון למניעת העתקות] יצטרכו להסתפק בתוכנות ובתכנים שבעליהם לא מוטרדים משאלות של העתקה לא חוקית. בקיצור, אלה יהיו אזרחים סוג ב' ברפובליקה הדיגיטלית." לפני כשבועיים פרסמה קבוצה פולנית בשם the last stage of delirium פרצה בשרות ה- RPC של Windows המאפשר למתקיף בעל גישה לפורט 135 להריץ קוד על שרתי Windows מכל הסוגים (לפרטים נוספים + הפניה ל- patch של מיקרוסופט: http://www.securiteam.com/windowsntfocus/5SP0C20AKG.html ) עכשיו עלתה רמת הסיכון של ההתקפה, עם שחרור ה- exploit code בידי קבוצה בשם .xfocus הקוד המנצל את ההתקפה כל כך פשוט, עד שאפשר כבר להתחיל ולספור אחורה עד שמישהו משועמם יכתוב את ה- WORM הבא שישתק את האינטרנט (או לפחות את אלה שלא התקינו את ה- patch ולא חסמו פורט 135 ב- Firewall). הערה: לבעלי רשתות מקומיות אשר משתמשות בתחנת לינוקס בתור תחנת קצה ממולץ להפעיל firewall ובו לסגור את הפורטים אשר אינם בשימוש ועלולים לשמש לפרצות באבטחה כדוגמת המקרה שמצויין כאן. 2167 כניסות :: תגובות? כידוע לכולם בעוד מספר ימים יתרחש אחד המאורעות הגדולים של קהילת משתמשי לינוקס ( ותוכנות קוד פתוח ) בארץ.
האירוע הנוצץ של הקייץ הינו השני במספר ובו צפויים להתכנס רבים מחברי הקהילה אשר מוכרים זה לזה בעיקר באופן ווירטואלי ולא במציאות. במסגרת המפגש נוצרת הזדמנות להחליף חתימות gpg בין החברים השונים תוך כדי אימות נכונותן על ידי זיהוי הבעלים. מארגן את המסיבה מולי בן-יהודה אחד מחברי ועד עמותת המקור אשר מארגנת את האירוע. על מנת לנצל את ההזדמנות מתבקש ציבור המגיעים למאורע לפעול על פי ההנחיות למסיבה .... הציבור מוזמן לאירוע 1526 כניסות :: 2 תגובות לאחרונה עולה החשש של התערבות חברות התקליטים או מדינות בפרטיות הגולשים.מאמר בCnet מדווח על מצב הP2P ביחס לאנונימיות הגולשים ומעלה טענות מגוחחות שאי אפשר להסתיר כתובות IP וכד'. שני הפרוייקטים שחררו עדכונים הכוללים תיקוני באגים למספר בעיות אבטחת מידע בגרסאות האחרונות של Apache ו-PHP.
פרוייקט Apache הכריז על גרסה 2.0.46 עם פתרון לבעיות במודול mod_dav ובעיות DoS במודול ההזדהות. הבעיות זוהו בגרסאות 2.0.35 עד 2.0.45. פרוייקט PHP שחרר עדכון 4.3.2 המטפל בעיות Overflow במספר מודולים ותיקוני באגים שונים. שני הפרוייקטים ממליצים ללקוחות ולמשתמשים להתקין את העדכונים לטיפול בבעיות אלו ואחרות המפורטות ברשימת השינויים (ראו בקישורים). קישורים <a href=" http://httpd.apache.org/Announcement "> רשימת השינויים בגרסה Apache 2.0.46 <a href=" http://www.php.net/ChangeLog-4.php "> רשימת השינויים בגרסה PHP 4.3.2 1566 כניסות :: 4 תגובות לא ברור איך השתרבבה חוות הדעת המלומדת של נתן האנקס לעדכון קצר של TechWeb.com בעניין המודעות הגדלה של מיקרוסופט לאבטחת מידע (נחירת בוז קלה לא לגמרי בלתי מתבקשת) אבל מסתבר שיש מי שחושבים שהבעיה האמיתית היא לוא דווקא הרשלנות הפושעת של החברה בצירוף מודל פיתוח תוכנה ארכאי (קרי קוד סגור), אלא האקרים (האקר זה לא קראקר כזכור) חובבי לינוקס.
בכל מקרה, האנקס בטוח ש"האקרים" מוטלים סרוחים בבתי הקפה (coffeeshops) של אמסטרדם (הוא כנראה לא ביקר בה מעולם ולכן הוא משתמש בביטוי היורמי משהו "dope house") ולא יטריחו עצמם לפתור את הבעיות השוטפות של ארגון שמכבד את עצמו (קרי, American Airlines מעסיקתו). בכל מקרה, מיקרוסופט מצאה כנראה את הפתרון המושלם, אם נחזור לידיעה המקורית. מלבד הנוכחות החסרה של הפיל הלבן שכונה למשך פרק זמן קצר Trustworthy Computing, היא מציעה עכשיו עוד פילון קטן בשם MCSA. עוד שלושה מבחנים משלימים ל-MCSE ויש לנו Microsoft Certified System Administrator. מעניין לבדוק איך זה מאזן את חישוב ה-TCO של חלונות לעומת לינוקס והמומחים הנדרשים לניהולה ואיך בדיוק זה יטפל בסרבנותם של אדמינים שמעדיפים לא להתקין תיקונים במערכות ייצור מתפקדות מטעמים מובנים של חוסר אמון קל בעדכונים שמשחררת מיקרוסופט. מקור: TechWeb, Microsoft Launches New Security Certification 1527 כניסות :: 2 תגובות לא, זה לא עוד מאמר על החדירה של לינוקס להוליווד.גם אין שום קשר לבראד פיט ומורגן פרימן. אלו הם שבעת החטאים באבטחת מערכות לינוקס עפ"י searchEnterpriseLinux.com. 1- שימוש בסיסמאות קלות וסיסמאות ברירת מחדל. 2- פורטים פתוחים ברשת. 3- הרצת גירסאות תוכנה ישנות. 4- הרצת תוכנות בקונפגורציה שגויה. 5- חוסר במשאבים וסדר עדיפות שגוי. 6- אי מחיקת חשבונות משתמשים ישנים או שאינם בשימוש. 7- דחיית טיפול במערכות. למאמר המלא לחץ כאן. 2260 כניסות :: 1 תגובה צרכן הקולנוע הממוצע, שילך לסרט Matrix Reloaded יורשם בוודאי מהאפקטים המרשימים ומסצנות האקשן הלוהטות. האקרים ואנשי לינוקס שילכו לסרט, יעריכו דבר מה מעט פחות בולט- זהו סרט הקולנוע ה"מינסטריימי" הראשון שמציג האק בצורה מציאותית.אזהרה: ההמשך מכיל ספוילר לסרט. מי שלא ראה ולא רוצה לדעת, לא להמשיך לקרוא. ראו הוזהרתם :-) הרבה משתמשים בלינוקס תמיד אומרים שהיא יותר בטוחה בגלל שאי אפשר לגשת לROOT (בדר"כ) כאשר מריצים תוכניות על גבי חשבון מקומי וכו'. כמובן שלעיתים יוצא עידכון לתיקון חורי אבטחה בתוכנית כזאת או אחרת כך שבאופן כללי זה די נכון.אך מחקר חדש של סטודנט מאוניברסיטת פרינסטון שופך אור על כך ששום PATCH לא יעזור לך אם תשתמש בשיטה שהוא מתאר לפריצה למערכות עם SANDBOX כמו JAVA או אפילו מערכת ההפעלה מכיוון שתוכניות שרצות כROOT כבר מורשות להיכנס לכל מקום. השיטה שהוא מתאר היא מילוי הזכרון כמה שרק ניתן בכתובת היעד של התוכנית שהינך מעוניין להריץ, ושימוש בקרינה כמו בקרינה שיוצאת ממנורה ביתית לשינוי ביט בצורה רנדומלית. לפי המחקר יוצא שלפחות בשיטת SANDBOX ב70% מהמיקרים התוכנית תקפוץ לכתובת שהגדרתה. דבר זה מוכיח לדעתי בסבירות גבוהה, ששום PATCH או תיקון אבטחה לא יעזור, אם לבן אדם יש גישה פיזית לקופסת המחשב או לסביבת המחשב או אף רק לזכרון המחשב מסוג נדיף או מסוג אחסון (כמו דיסק קשיח). הנה הכתבה שהופיע ב: CNET 1508 כניסות :: 10 תגובות הכל התחיל כשקולגה של Dave Wreski, מנכ"ל חברת Gurdian Digital קיבל טלפון מקולגה שנמצא באתר הלקוח שהתקין שרת חלונות באתר שירותי האינטרנט הציבורי שלהם. הלקוח לא הטריד את עצמו בבעיות האבטחה הצפויות והאתר נפרץ תוך פחות 30 דקות מרגע שעלה לאויר. המקרה הזה הוליד את הרעיון לספק שירותים פתרונות לבעיות אבטחה שכיחות אשר מטרידות לקוחות על ידי שימוש במוצרים קיימים, לעיתים לאחר התאמה אישית שלהם. כיום מתמקדת Gurdian Digital בפתרונות אבטחת מידע מבוססי קוד פתוח בלבד. לחברה יש מעל לחמש מאות לקוחות, עם תקציבים מוגבלים וחשש גדול מפריצה, גניבת מידע ובעיות דומות. השבועון BuisnessWeek מציע למיקרוסופט לשקול ברצינות חלופה ליוזמת "Trusted Computing" שהפכה די מהר לפארסה וסיוט מתמשך עבור לקווחותיה. אם מיקרוסופט מעדיפה לא למצא את עצמה שוב באותו מצב בו סידרה אינסופית של באגים וחורים באבטחת המידע של חלונות 2000 הפכו אותה לאחת מהגרסאות המושמצות ביותר. היא צריכה לשקול שינוי בתרבות הארגונית שלה.
סקר של פורסטר קובע כי 75% ממומחי אבטחת המידע בארגונים לא סומכים על מיקורוסופטע"י dittigas פורסם: 01/04/2003 - 12:23 מיקרוסופט חייבת לפתח כלים פשוטים להתקנה של תיקונים במטרה למנוע חשיפה של מערכות ההפעלה שלה לסיכוני אבטחת מידע. הלקוחות צריכים לעזור למיקרוסופט במקום לסתפק בהתלונן על בעיות אבטחת המידע הרודפות את מערכות ההפעלה והיישומים שלה, כך מאמינה לאורה קוטזל (Laura Koetzle) מחברת המחקר והייעוץ Forester Research .
סקר של פרוסטר מגלה כי 75% ממוחי אבטחת המידע בארגונים גדולים שהשתתפו בסקר אינם מאמינים כי המוצרים של מיקרוסופט אמינים בכל הקשור לאבטחת מידע. 77% מהם מאמינים כי אבטחת מידע היא הנושא הבעייתי ביותר בשימוש במערכת ההפעלה חלונות, אך למרות זאת 89% מהם ימשיכו להשתמש בה גם ביישומים רגישים. הסקר נערך בקרב 35 מומחי אבטחת מידע בארגונים בעלי מחזור מכירות של מעל למילארד דולאר ארה"ב. מומחים של פורסטר מסבירים כי מעט מדי נעשה בחברות במטרה להבטיח את מערכות ההפעלה שלהם. 40% לא מתכננים לבצע שיפורים בעצמם ורק 59% מאלו שנפגעו שינו את שיטת העבודה שלהם. למרות שבהרבה מקרים פתרונות לבעיות שונות זמינים כבר מראש, מעט מדי לקוחות טורחים לעדכן את המערכות שלהם. עיקר החשש הוא של מנהלי מערכות לעמוד בקצב העדכונים של מיקרוסופט ואפשרות ההשבתה של הייצור כתוצאה מאיכות התיקונים. מקור: Yahoo! News, Most IT Experts Do Not Trust Microsoft-Report 2035 כניסות :: 1 תגובה אתר ה CERT מדווח כי התגלתה פירצת אבטחה חדשה ב sendmail אשר יכולה לאפשר לתוקף להשיג שליטה בשרת sendmail פגיע . קוד ה"ניתוח" (address parsing code) של sendmail לא בודק בצורה מתאימה את אורך כתובות הדואר האלקטרוני . הודעת דוא"ל עם כתובת שנבנתה במיוחד יכולה לגרום ל stack overflow ועלולה לאפשר לתוקף מרחוק לבצע פקודות קוד שרירותי תוך שימוש בהרשאות תוכנת ה sendmail (בד"כ root).
רוב הארגונים משתמשים במגוון תוכנות להעברת דואר (MTA) במקומות שונים ברשת ולפחות אחד מהם חשוף לאינטרנט, בגלל ש sendmail הוא ה MTA הנפוץ ביותר יש סיכוי כי לרוב הארגונים בגודל בינוני עד גדול יהיה לפחות שרת sendmail אחד פגיע. כמו כן הרבה תחנות העבודה מסוג יוניקס/לינוקס מספקות התקנה של sendmail שמאופשרת ורצה כברירת מחדל . Sendmail הוציאו טלאים לגרסאות 8.9,8.10,8.11 ו 8.12 אבל הפירצה קיימת גם בגרסאות ישנות לכן מנהלי אתרים שמשתמשים בגרסאות קודמות מתבקשים לשדרג לגירסא 8.12.9 את הטלאים ניתן להוריד מאתר ה ftp של sendmail בכתובות: ftp://ftp.sendmail.org/pub/sendmail/prescan.tar.gz.uu ftp://ftp.sendmail.org/pub/sendmail/prescan.tar.gz.uu.asc המאמר המקורי בכתובת: http://www.cert.org/advisories/CA-2003-12.html 1428 כניסות :: 1 תגובה סלאשדוט.לפי ה- Microsoft Watch, מייקרוסופט תציג את פלאדיום (הידוע גם כ"דור הבא של מחשוב מאובטח") ב- WinHEC בניו-אורלינס. הליבה המאובטחת נקראת עכשיו Nexus מאת מייקרוסופט. מתכנתים שירצו לבנות תוכניות מודעות-נקסוס יאלצו כנראה לרכוש רשיון ממיקרוסופט. מנהל פרוייקט פלאדיום, מריו ג'וארז, אומר "חשוב לציין כי תוכניות מודעות-נקסוס לא יחביאו בתוכן תוכניות קטנות או כל דבר אחר שאינו כלול בסביבת החלונות הסטנדרטית". אני בטוח שכולנו יכולים להוסיף את המילה "כרגע" בסוף המשפט. הם מדברים על תחילת הכנסת הפלאדיום ל- Longhorn Server ב- 2005. אני תוהה איך מייקרוסופט תשכנע לקוחות שאיבוד שליטה זה דבר טוב, וכמה זמן השכנוע יימשך. אני, אישית, כבר מתכנן להעביר את כל החברה שלי לתוכנות נטולות מייקרוסופט, בתקווה שזה לא ימנע ע"י חקיקה מטופשת של צווי-פלאדיום מנדטוריים מסוג "פריץ". הערה: הידיעה תורגמה כמו שהיא ואינה משקפת את דעתו או פועלו של מתרגמה - אבל הוא מסכים לכל מילה :) 1196 כניסות :: תגובות? חור אבטחה שנתגלה בלינוקס מאפשר לתוקפים מקומיים להשיג הרשאת root בעזרת ptrace.החולשה אינה יכולה להיות מנוצלת מרחוק. לינוקס 2.2.25 שוחרר על מנת לתקן זאת, יחד עם patch ל- 2.4.20-pre. לינוקס 2.4.21 אמור להיות חסין מפני פרצה זו - כשישוחרר. לינוקס 2.2.5 לא אמור להיות חשוף לפירצה. את קובץ ה- diff ניתן להשיג מכאן. או לחילופין, מכאן. 1461 כניסות :: 1 תגובה בעיית אבטחה שהתגלתה ב-Sendmail עלולה לאפשר מתקפה שתכלול הרצת קוד על השרת המותקף. כמקובל בעולם הקוד הפתוח והחופשי, הבעיה התגלתה לפני שמאן דהוא הספיק לנצל אותה למתקפה, וכל המשתמשים ב-Sendmail מוזמנים לעדכן את הגירסה שברשותם. לפרטים נוספים.1308 כניסות :: תגובות? דעה מעניינת ומקורית מובאת במאמר `הזה, המתייחס להחלטתה של מייקרוסופט לשחרר את קוד המקור של חלונות למספר מדינות, כחלק ממאמץ להתמודד עם הפצת הקוד הפתוח.
המאמר מתייחס לסכנה שבשחרור הקוד באופן סלקטיבי, לצד אחד ולא לצד אחר. תארו לכם מצב היפוטטי בו מדינה אחת שיש לה גישה לקוד חוקרת אותו ומגלה בעיות אבטחה - המנוצלות לתקוף מערכות של מדינה אחרת שלא קיבלה את הקוד ממייקרוסופט ולכן יכולתה מוגבלת לאתר במהירות את הפרצה ולחסום אותה. האם מדובר בסכנה אמיתית או בפראנויה לשמה? אתם תשפטו... 1451 כניסות :: 4 תגובות ארגון OASIS מאמץ את פרוטקול XACML לאבטחת מידע בשירותי רשתע"י פינגווין אנונימי פורסם: 26/02/2003 - 04:40 ארגון התקינה
OASIS
, האחראי על סטנדרטים חשובים נוספים כמו Open Office,
אישר רשמית את מפרט 1.0 של פרוטקול XACML כסטנדרט רשמי של הקבוצה.
XACML תאפשר למפתחים להוסיף קוד שיאפשר אכיפת כללי גישה לשירותי רשת כבסיס לתשתית רחבה יותר של ניהול הרשאות גישה בסביבה מבוזרת באינטרנט.
XACML תאפשר להעביר כחלק מהמסרים המועברים בין הלקוח והשרת מידע שיאפשר זיהוי מרכזי והגדרת הרשאות גישה מרכזיות, בין מגוון רחב של פלטפורמות ושירותים באופן סטנדרטי וללא תלות בטכנולוגיה המשמשת לאחסון המידע וניהולו בכל נקודה.
חברת סאן הספיקה כבר לשחרר
מימוש פתוח של הפרוטוקול מבוסס ג'אווה.1934 כניסות :: תגובות? ynet מדווח על תולעת חדשה המכונה Lovgate ואשר פוגעת במשתמשי תוכנות הדואר אאוטלוק ואאוטלוק אקספרס. התולעת עונה לדוא"ל באופן הנראה תמים לשולח ההודעה, ומצרפת קובץ אשר פתיחתו פותחת דלת אחורית בפורט 10168 במחשב ומאפשר למשתמשים מרוחקים לגשת ולשלוט במערכת הפגועה. הווירוס, הכולל מנוע SMTP, מנסה לגנוב סיסמאות של משתמשים ושולח את המידע הזה בהודעת דואר אלקטרוני לכתובות שמקורן כנראה בסין.1108 כניסות :: תגובות? בהתחלה היו האקרים. הם לא היו "טובים" או "רעים", הם היו פשוט
חכמים. בית הספר
להאקרים מנסה לסייע למתבגרים מחוצ'קנים (בנים ובנות) שמבלבלים בין
העניין של התקשורת במעלליהם של הקראקרים חסרי האתיקה, בדרך כלל תוצר של
בורות בסיסית.
בית הספר הרכיב תוכנית הכשרה למורים ותלמידים במטרה לעשות סדר בדברים. המורים יכולים להעזר בחומרים שיסייעו להם להעביר את המסר לתלמידים אודות החוקיות, האתיקה וכן התחברות לרשת ISECOM לצורך התנסות מבוקרת. בית הספר מיועד להכשיר האקרים כמסלול טכנולוגי מקצועי בתחום מערכות המידע, אכיפת החוק או אבטחה. 2708 כניסות :: תגובות? הבטא השנייה של Office 2003 שוחררה עם מרכיב חדש בשם IRM (ניהול הרשאות מידע) שיאפשר להגדיר הרשאות גישה ושימוש למסמכים ודוא"ל, ומיועד למנוע הדפסה, העברה או העתקה של מידע רגיש בידי מי שאינו מוסמך לכך.
את ההרשאות ניתן יהיה להגדיר בדואר הנשלח מ-Outlook וכן במסמכים שישמרו דרך Word, Excel ו- Power Point. השימוש בתכונה זו יחייב שדרוג לשרת חלונות 2003, Passport וכן רישיון גישת לקוח. קח פסק זמן: מיקרוסופט ישראל צריכה לעשות כמה טלפונים לרדמונדע"י פינגווין אנונימי פורסם: 06/02/2003 - 11:05 כנראה שהשוק לא מוכן להמתין 10 שנים להבשלה הטכנולוגית של אבטחת מידע במוצרים של מיקרוסופט. בכל מקרה, משהו באמת מסריח כאן, מסתבר שהשמועות אודות הפגיעה הויראלית בשרתי ה-SQL של
בנק לאומי
שזכו לכותרות מאוד צנועות דווקא במקומותינו אכן מטרידים כמה מנכלי"ם של חברות בינלאומיות בעלות מוניטין מפוקפק של מונופול בשוק התוכנה המקומי.
בנק לאומי מכחיש עתה כי ההשבתה של הבנק היא אכן תוצאה של פגיעה של התולעת סלאמר, לאחר שהתפרסמה ידיעה כי הבנק נפגע כתוצאה מוירוס בעקבות התקנת תוכנה פירטית באחד המחשבים על ידי עובד של חברת מטריקס. הבנק, שפיטר את העובד ועשוי לתבוע את מטריקס לא חושב שמיקרוסופט אשמה, לא בשלב זה לפחות. יחד עם אין ספק כי ... במסורת התביעות היצוגיות כנגד מיקרוסופט, קבוצה של אזרחים קוריאנים בוחנת אפשרות לתבוע את החברה בעקבות ניתוקה של דרום קוריאה מהאינטרנט עקב השתוללותו של סלאמר [ מסתבר שזה הוירוס המהיר בעולם,
חיים ברשת
]. ההגנה של מיקרוסופט נכון לעכשיו היא ההתראה המוקדמת וההכרזה הפומבית על זמינות התיקון ... אממ .. כן ... מעבר לקוריוז בעניין המסוים הזה,
The Inquirer שואל מי באמת אחראי? האם יש לראות במיקרוסופט אחראית לעובדה שאחראי הרשת לא התקין את התיקון הנדרש? האפשרות שמיקרוסופט תהיה חשופה לתביעות כתוצאה מכשלים במוצרים שלה די זניחה למי שמכיר את הסכם הרישוי הסטנדרטי שלה ושל אחרות המסיר מהן כל אחריות לשימוש בתוכנה. יכול להיות שזו הזדמנות לשינויים בחוק שיחייבו חברות תוכנה לבצע בדיקות איכות קפדניות לפני שהן משחררות קוד.1400 כניסות :: תגובות? באתר The Register מפורסמות היום שתי ידיעות שלכאורה לא קשורות, אבל למי שמחבר בין השתיים צפויה הפתעה קטנה ;)
בידיעה הראשונה מיידעים אותנו על פרצה חמורה ב-Outlook שמאפשרת משלוח וירוסים וסוסים טרויאניים תוך מעקף מנגנוני אנטי וירוס. הפרצה מבוססת על משלוח קובץ עם 3 סיומות, למשל info.doc.exe.doc - המשתמש ב-Outlook "רואה" את הסיומת הראשונה וחושב שהקובץ בטוח. הסיומת האחרונה משמשת להצגת הצלמית של הקובץ - שוב זיהוי של Word. ואז המשתמש התמים שמריץ את הקובץ נחשף לסכנה - כי Outlook מריץ את הקובץ דוקא לפי הסיומת האמצעית! יש לציין כי מנגנוני הגנה רבים ובהם אנטי-וירוסים משתמשים גם כן בסיומת האחרונה ועלולים להתעלם מהקובץ. מומחי אבטחה רואים בתולעת שעשתה שמות ברשת לאחרונה כסימן לכך שהיוזמה שהוכרזה ע"י ביל גייטס לפני שנה - לשפר את רמת האבטחה בחלונות - נכשלה. בעקבות הארוע האחרון, רמז מנהל האבטחה במייקרוסופט שהמשתמשים אשמים בנזקי התולעת מאחר שלא התקינו תלאי אבטחה שהיה זמין כבר ביוני, רמיזה משעשעת למדי בהתחשב בכך שמייקרוסופט עצמה נמנתה על הקורבנות.
הארוע מוכיח ששיטת הטלאים אינה מספקת פיתרון יעיל. דוגמא נוספת היא טלאי נוסף ששוחרר עבור שרת ה-SQL באוקטובר שפתח פרצה חדשה שלא הייתה קיימת קודם לכן. לפני מספר ימים גרמה תולעת המאפשרת התקפה על שרתי SQL של מייקרוסופט לנזקים קשים באתרים רבים ברשת.
כשהתברר שכבר ביולי היה ידוע למייקרוסופט על הבעיה ואף שוחרר תיקון ולמרות זאת לא טרחו רבים לסגור את הפירצה, הורמו כמה גבות. עכשיו מגיע תיאטרון האבסורד לשיאו, עקב דליפת תכתובות פנימיות במייקרוסופט כשמתברר שאף מחשבי החברה נפגעו כתוצאה מפגיעת התולעת. האם זה מלמד על היחס האמיתי שנותנים במייקרוסופט לאבטחה??? 1633 כניסות :: 1 תגובה חששות מפני התפשטות נוספת של התולעת מיום שבת, במהלך החזרה לעבודה באירופה ובארה"ב. ביום שבת תקפה התולעת המכונה SQL Slammer שרתים רבים בכל רחבי העולם וגרמה להאטת התנועה באינטרנט באופן משמעותי.
מומחים מעריכים כי החזרה מחופשת סוף השבוע ברחבי העולם היום (ב'), ארגונים רבים יפעילו את המחשבים שלהם מבלי לדעת כי למעשה הם חשופים להתקפת התולעת. רבים מן הארגונים שהותקפו כבר בשבת תיקנו את הליקויים עד אתמול והתנועה ברשת חזרה לסידרה. עם זאת ההתקפה עדיין לא פסקה כיוון שהתולעת ממשיכה להתפשט. המשך הכתבה במדור ואללה מחשבים. 1694 כניסות :: תגובות? TCPA ("ברית פלטפורמת המיחשוב האמין") שמובלת ע"י אינטל ופלאדיום שמובלת ע"י מייקרוסופט זכו לקיתונות של ביקורת והוצגו (בין היתר) ע"י אבי התוכנה החופשית כיוזמה ש"מגנה על האינטרסים העסקיים של מיקרוסופט והוליווד" וכן ש"לוקחת מאתנו את הבעלות על המחשב ומעניקה שליטה מלאה לתאגידים על חופש השימוש שלנו במחשב, במידע שאנחנו מפיקים והמידע שמגיע לידינו" (קישורים: מיחשוב בוגדני, עתידה של לינוקס, תשובת מייקרוסופט, שאלות ותשובות)
מעבדות IBM ביצעו לאחרונה בדיקות מעמיקות על שבב TCPA מתוצרתם תחת לינוקס, ופירסמו מספר מאמרים בנושא וכן Driver קוד פתוח להפעלת שבב IBM TCPA תחת לינוקס. CERT, גוף המתמחה באבטחה ברשת, אשר ממוקם באוניברסיטת קרנגי-מלון, הודיע על פרצת אבטחה ב-cvs (מערכת ניהול גרסאות) אשר עלולה להשפיע על פרוייקטי קוד פתוח. הפרצה קיימת בגרסאות cvs עד 1.11.4 ותוקנה בגרסה 1.11.5 ששוחררה לפני מספר ימים. הפרצה מאפשרת לתוקף להריץ קוד, לשנות את התנהגות שרת ה-cvs ולקרוא מידע מוגן השמור בזיכרון.
פרצה זו רק מחזקת את החשיבות של פרוייקטי קוד פתוח. מאחר והקוד ניתן לבדיקה, יש אפשרות לודא האם אכן היתה חדירה ופגיעה בקוד כתוצאה מהפרצה, מה שאינו אפשרי בפרוייקטי קוד סגור. בנוסף, מאחר והקוד הינו פתוח, קל יותר לאתר חדירה מעין זו ובכך לזהות חורי אבטחה, בעוד שבקוד סגור שינויי קוד זדוניים עלולים להתחבא מעין כל בלא להתגלות. 1515 כניסות :: 5 תגובות תולעת חדשה שמנצלת פרצת אבטחה בשרתי Microsoft SQL Server מסתובבת ברשת. 5 מתוך 13 שרתי השמות הגלובלים נפלו. ניתן לחסום את התולעת על ידי חסימת פורט ה udp 1434 .
sd לחסום את הפורט המדובר ב IPTABLES : /sbin/iptables -I FORWARD -p udp --dport 1434 -j DROP מקור : slashdot.org היכנסו לגוף הכתבה אם אתם מעוניינים לראות את הקוד שהתולעת מריצה. כנראה שמדובר בחלק ממתקפה על האינטרנט, יש דיווח על כך גם ב ואללה מחשבים, וגם ב YNET. אגב, לא ידוע (בנתיים) על בעיות בשרתי SQL נפוצים בסביבת לינוקס, כגון MySQL and PostgreSQL. אבל ליתר ביטחון, יש לחסום את פורט 1434 כדי להימנע מהפתעות. הערה: אנא הגיבו כאן עם ידיעות (מאומתות בלבד, כולל קישורים בבקשה) על אירועים שקורים במהלך היממה הקרובה, אשר קשורים למתקפה. לינוקס מאיימת על חלונות? עושה רושם שהם מסתדרים טוב מאוד לבד. "בהמשך לניסיונותיה להשתלט על העולם, פלשה לאחרונה מיקרוסופט גם לתחום מערכות ההפעלה הסלולריות. כיאה למסורת החברה, דאגו שם גם הפעם לשמור על שני העקרונות שמזוהים עם הענק מסיאטל יותר מכל: בלעדיות ובאגים. " [
חיים ברשת
על פלאפון שמריץ (פחות או יותר) חלונות]1396 כניסות :: תגובות? באתר סימנטק פורסם על סוס טרויאני החבוי בקבצי mp3 ואשר מופעל כאשר הקובץ מנוגן בלינוקס דרך התוכנה mpg123 ואשר מוחק את כל הקבצים בספריית הבית של המשתמש.הסוס הטרויאני מנצל באג בגרסת הפיתוח pre0.59s שמאפשר לו הרצת script. הבאג כנראה אינו משפיע על גרסאות אחרות ובכלל זה 0.59r שהיא הגרסה היציבה האחרונה. יש לציין ש-mpg123 אינה חופשית, ולכן מומלץ להשתמש בתחליפים חופשיים כגון mpg321 או אפילו לעודד מעבר ל-ogg vorbis שהינו פורמט אלטרנטיבי ל-mp3 שאינו מוגן בזכויות יוצרים. 1098 כניסות :: תגובות? שתי התראות האבטחה התורניות (אל תדאגו, אחת מהן מתייחסת למוצר של מיקרוסופט) קשורות לאחד משבעת פלאי הרשת - קבצי ה-mp3 שלנו. חברת Fundstone המתמחה באיתור פרצות אבטחה ותיקונן,
הודיעה היום
על בעיה אחת בנגן ה-Winamp ואחת בווינדוס XP.הערה: לקוח מתוך חיים ברשת. 1259 כניסות :: 2 תגובות גירסה 8 לתוכנת ההצפנה הפופולרית לאחר שעברה גלגולים רבים. החברה חזרה לפרסם את קוד המקור של PGP כדי להמנע משמועות הקושרות אותה לארגוני ביון.
חברת PGP הציגה היום את גרסה 8 של תוכנת ההצפנה הפופולרית PGP. התוכנה פותחה לראשונה על ידי פיל צימרמן בשנת 91' , שהפיץ את התוכנה ברחבי העולם בגירסה חינמית. בעקבות הפצת התוכנה נפתחה נגדו חקירה מטעם ממשלת ארה"ב בחשד להפרת מגבלות יצוא של טכנולוגיות הצפנה. הממשלה חששה מפני הפצת טכנולוגיות ההצפנה למדינות עוינות. רק לאחר שלוש שנים ויתרה ממשלת ארה"ב על החקירה, וצימרמן הקים ב 96' את חברת PGP. במשך שלושת השנים הללו הפכה PGP לסטנדרט דה-פקטו של הצפנת דואר אלקטרוני ברחבי העולם. אולם כשנה לאחר הקמת החברה היא נרכשה על ידי חברת NAI המתמחה באבטחת תוכנה וצימרמן עצמו פנה לעסקים נוספים.הערה: נלקח מ ואללה מחשבים. ווינוקס, וירוס לא הרסני אם כי מדאיג, הצליח לאחד בין מערכות ההפעלה המתחרות.הווירוס הראשון שיכול לפגוע במחשבים אישיים הפועלים עם Windows או לינוקס התגלה אתמול ביום שלישי. Central Command, חברות האבטחה שגילתה את הווירוס W32.Winux, טוענת כי הווירוס אינו הרסני ולא נראה כי פגע במחשבים עד כה. ה"מחקר" של אברדין איננו מחקר: זהו מסמך המשתרע על 2.5 עמודים בערך. ניתן למצוא אותו באתר של aberdeen.com [הרשמה נדרשת]. ה"מחקר" נסמך על ניתוח נתונים של CERT, אבל מנתח אותם בצורה, איך נגיד, יוצאת דופן - מצד אחד מערכת "חלונות" ומצד שני "לינוקס ותוכנות קוד פתוח". השוואה אובייקטיבית מחייבת קנה מידה אחיד - מצד אחד כל התוכנות הקנייניות (ובהן חלונות) ומצד שני כל התוכנות פתוחות-הקוד; או מצד אחד "חלונות" (על שלל גרסאותיה, לרבות אלה המיועדות לשרתים) ומצד שני אחת ההפצות של לינוקס (הם בד"כ אוהבים את רד-האט, המחקרים הללו, כי ב- Debain יש הרבה פחות פרצות וב- FreeBSD עוד פחות מזה). אגב, גם בזה אין די מפני שהפצות לינוקס כוללות תוכנות שאינן מקבילות לחלונות אלא ל- Echange Server או ISA Server או MsSQL וכיו"ב. במלים אחרות, יש לדייק עוד יותר בבסיס ההשוואה ואם מעמידים את חלונות נגד כל הנכלל בהפצת לינוקס מסוימת - צריך להוסיף לחלונות גם את התוכנות הללו. בנוסף, ה"מחקר" הזה איננו מציג טבלת נתונים ברורה ואינו מבהיר מהן כל תוכנות הקוד הפתוח שהוא מתייחס אליהן לצד לינוקס (ככלות הכל, יש מערכות הפעלה רבות שהן פתוחות קוד). בסופו של דבר, אין זה מפליא לגלות ש- MS היא לקוח של אברדין ושהחברה לא טרחה לציין זאת ב"מחקר". להזכירכם, לפני חודשים אחדים התברר דבר דומה ביחס למכון אלקסיס דה טורקוויל שפירסם גם הוא טענה ולפיה תוכנות פתוחות קוד הן סכנת אבטחה.
האם כל זה אומר שתוכנות פתוחות קוד הן מאובטחות יותר? לא. זה רק אומר שקשה לסמוך על הטענות של אברדין. במקום זאת כדאי לבדוק את נתוני המקור של CERT ולהסיק מהן באומץ את המסקנות הנדרשות, אם יתברר באמת שבתוכנות פתוחות קוד יש ליקויי אבטחה מהותיים.2058 כניסות :: 5 תגובות סקר של חברת המחקר Abardeen שזכה לאחרונה לחשיפה רחבה טוען כי תוכנות קוד פתוח ולינוקס ביניהן, פגיעות יותר מחלונות בכל הקשור לאבטחת מידע וכי לינוקס במיוחד הופכת למטרה מובהקת. הסקר עוד ממליץ ללקוחותיו לבחור בפלטפורמה המספקת כלים מתקדמים לאיתור וניטרול פרצות אפשריות. האתר
<a href="http://chipzilla.org/?article=6453
" target="_blank">
the inquirer
מעלה מחדש את הנושא לדיון ומזכיר לקוראים כי חברת מיקרוסופט היא במקרה, למי שלא ידע, גם לקוחה של abardeen. 1383 כניסות :: 1 תגובה האקרים עדכנו גרסה עם 'דלת אחורית' בשרת הפרוייקט sendmail.orgע"י פינגווין אנונימי פורסם: 17/10/2002 - 20:25 דוגמה מרתקת לטענה כי זמינות קוד המקור לכל דורש עשויה ליצור בעיות אבטחה. פרוייקט sendmail.org הודיע לאחרונה האקרים עדכנו את קוד המקור של מספר גרסאות גרסה של שרת הדואר sendmail המכילה פרצה (back door) המאפשרת להם גישה בלתי מוגבלת לשרת. הגרסה הנגועה הפעילה קוד שיצר קשר עם השרת בו הותקנה התוכנה ואפשר פתיחת shell עם הרשאות של המשתמש שהתקין את התוכנה. האם תוכנות קוד פתוח בטוחות יותר? למרות שעבור רבים התשובה ברורה: ככל שיותר מפתחים רואים את הקוד הם יגלו ויטפלו ביותר באגים. אבל לא כולם מסכימים עם הטענה הזו: ממומחה אבטחת המידע ג'ין ספאפורד מאוניברסיטת Purdue מחברו של הספר
Unix and Interent Security
גורס כי אבטחת מידע היא תוצר של תכנון טוב, תחום שחלונות ולינוקס לא מצטיינות בו. ספאפורד, אשר עומד בראש מכון מחקר שעוסק באבטחת מידע וייעץ לארגונים שונים כמו ה-FBI וחיל האויר האמריקאי, איננו בטוח שלינוקס מסוגלת לשמור על היתרון היחסי שיש לה בנושא על חלונות בכל הקשור לשמירה על רמת הבטיחות של היישומים, להבדיל מהליבה. 2620 כניסות :: תגובות?
vnunet
מדווח על שלב חדש בהפיכתה של לינוקס למערכת הפעלה מן השורה. חדר המצב של חברת CA העוקב אחר חדירה והפצה של וירוסים זיהה עד כה כ-170 וירוסים שונים בלינוקס המאיימים לפגוע בשירותים שונים כמו שרת האינטרנט Apache. קבוצה אחרת בשם X-Force העוקבת אחרי פרצות אבטחת מידע, מנתה מעל ל-300 פרצות ביישומי לינוקס לעומת 149 בלבד ביישומים עבור חלונות וצופה כי הקצב ילך ויגדל ביחס ישיר לגידול בפופולאריות של לינוקס.1056 כניסות :: 2 תגובות מענק בגובה 12 מיליון דולר ארה"ב ניתן מטעם NSF לפרוייקט
IRIS , לפיתוח פתרונות לרשת מבוזרת עמידה בפני האקרים עם רמת שרידות גבוהה יותר גם בתנאים של עומסים קיצוניים או התקפות DoS, לפי המודל המוכר של רשתות P2P. 1172 כניסות :: תגובות? gv, kghosstview ו-ggv
חשופים לפרצה
המאפשרת הרצת קוד לא רצויה בשיוך של אחת מהתוכנות הללו לתוכניות דואר למשל.1122 כניסות :: תגובות? Security Enhanced Linux (או SE LINUX) הייתה כידוע תרומה חשובה של NSA, ארגון אמריקאי אשר עסוק בעיקר במחקרים בנושאים הקשורים להצפנת מידע ובהגדרת תקנים לאבטחת מידע, לקהילת הקוד הפתוח. המוצר היווה בעיקר הפגנת יכולת ליצר גרסה משופרת של מערכת הפעלה סטנדרטית המתאימה לשימושים שונים על ידי אכיפת מספר כללי יסוד. למרות קבלת הפנים החמה של קהילת האקרים הספקנית לתרומה מלב הממסד, עושה רושם כי מאמציהן של חברות אמריקאיות ושל לובי מאוד פעיל של מיקרוסופט במיוחד, אשר התנגדו לסיוע מצד גוף ממשלתי לפעילות אשר מסייעת לתחרות בהן, מצננת את ההתלהבות של NSA וסוגרת את הפרוייקט. כידוע שני דוחות סותרים, אחד של MITRE והשני של מכון אלקסיס דה-טוקוויל (לפי השמועה במימון של מיקרוסופט) התפרסמו לאחרונה ותרמו לדיון המתחדש בנושא מעורבות של הממשל בתמיכה בקוד פתוח. ראו
רקע ופרטים נוספים
בכתבה שהתפרסמה באתר CNET. 1225 כניסות :: 2 תגובות ההאקר הבא ניהל
תכתובת
קצרה עם מיקרוסופט לפני פרסום
נייר עמדה
לגבי פרצה המאפשרת הרצת קוד באופן שרירותי על ידי ניצול תכונות בסיסיות של ממשק התכנות הסטנדרטי Win32 API באמצעות תוכנית מארחת בעלת הרשאות מתאימות. מיקרוסופט מאשרת כי הבעיה מוכרת אך ניתנת לניצול אך ורק אם המשתמש מאפשר לגורם חיצוני להפעיל את הקוד במחשב שלו מלכתחילה. לכל חובבי האבטחה וסתם למי שמתעניין בתכנות ליוניקס, פורסמה כתבה על כתיבת keyloggers באתר Phrack.לכתבה 1188 כניסות :: תגובות? ככול שעולם האינטרנט הולך ותופס חלק גדול יותר ויותר בחיינו כך גם גדלים סיכויי החדירה לפרטיותנו עם עליית האקרים/קרקרים לרמות חדשות.
כל מחשב שמחובר לרשת חשוף למעשה למתקפות אקראיות ו/או מכוונות אשר עלולות להוביל לאובדן מידע, נזק, חשיפת מידע וכו'. במטרה למנוע או לפחות לצמצם את הפגיעה קיימים Firewall-ים אשר מטרתם לנטר מידע ולחסום אותו במידת הצורך. FireWall יכול להיות מבוסס חומרה, תוכנה או שילוב של השניים ו... מערכות המידע המבצעיות הסודיות של הצבא מבוססות על תוכנות קוד פתוח ולא על תוכנות מיקרוסופט או טכנולוגיות קנייניות אחרות, כך מסר שר הביטחון בתשובה לשאילתא.
מערכות המיחשוב המבצעיות של צה"ל מבוססות על קוד פתוח ולא על טכנולוגיות של מיקרוסופט, כך מסר שר הביטחון, בנימין בן אליעזר, בתשובה לשאילתה של חבר הכנסת אליעזר (צ'יטה) כהן מסיעת האיחוד הלאומי-ישראל ביתנו. ח"כ כהן הגיש את השאילתא בעקבות פרסומים בעיתונות מקצועית במערב, על כך שמנהל מערכות המידע של חיל האוויר האמריקאי הורה להמיר את התוכנות מתוצרת מיקרוסופט בחיל בתוכנות מבוססות קוד פתוח, לאחר שהגיע למסקנה כי הטכנולוגיות של מיקרוסופט אינן די מוגנות ובשל כך ניתן לפרוץ אליהן. רשת האינטרנט מכילה אתרים רבים אשר המידע בהם כולל אתרי מין, אלימות וכו'. לעיתים יש צורך בפיקוח על התוכן הנגיש בעיקר כאשר מדובר בילדים אשר מידע מסוג זה אינו "בריא" עבורם.
קיימות בשוק תוכנות סינון מסחריות אשר בחלקן הצורה בה הן קובעות מה ראוי ומה לא נסתר מהמשתמש או מקודד באופן שלא מאפשר צפיה בקריטריונים הנ"ל אשר במידה מסויימת עלולות לחסום מידע בטעות. ... OpenSSH 3.3 שוחרר ומחליף בזאת את גירסא 3.2.3.
OpenSSH מאפשר גלישה מאובטחת ברשת האינטרנט באופן שמונע "ציתות" לתוכן המועבר ובכללו מידע וסיסמאות.תוכנות רבות העושות שימוש בפרוטוקולים לא מאובטחים כגון : TELNET ו FTP מאפשרות האזנה לתוכן המועבר ועקב כך פגיעה ברמת האבטחה. פרטים נוספים באתר openssh 1106 כניסות :: 1 תגובה הודעת התרעה על חור באבטחת שרת אפאצ'י יצאה וגרמה לשערוריה.
חברת אבטחת מידע גילתה חור אבטחה בשרת אפאצ'י המשמש כשרת ה ווב הנפוץ בעולם ופרסמה מידע על כך בטרם הוצא תיקון לבעיה. באירגון אפאצ'י מוחים בתוקף על אופן פרסום הפרצה בטענה שמדובר בחוסר אחריות מצד המפרסם. מקובל לפרסם הודעה על הפרצה במקביל להוצאת התיקון במטרה למנוע פגיעה בשרתים פעילים כלומר החברה שמגלה את הפרצה מעדכנת קודם את יוצרי התוכנה בעוד מועד ומאפשרת לה להערך לתיקון התקלה. במקרה המדובר ניתנה למייסדי אפאצ'י התראה של שעתיים בלבד לפני פרסום ההודעה פרק זמן קצר מדי למתן מענה הולם. במקרים חמורים זמן ההתראה עלול להתקצר ל 10 שעות שבו עדיין ניתן לתקן את הבעיה אבל שעתיים אינן מספקות בשום אופן. לכתבה המלאה באתר - ZDnet 1074 כניסות :: תגובות? הרבה מנהלי רשתות נוהגים לעזוב תוכנות ישנות אחרי פרק זמן ארוך של שימוש, בעיקר מאחר וברובן מתגלות בעיות אבטחה אשר לא צצו בחודשי השימוש הראשונים.
כתבה שפורסמה ב Security Focus מציעה שגם תוכנות קוד פתוח צריכות לפוג, או "להשמיד את עצמן
" אחרי פרק זמן מסוים, ובכך בעצם לכפות עדכון או שדרוג.
רעיון טוב ? תחליטו בעצמיכם..
לכתבה המלאה</ a> דברו על זה בפורומים 1065 כניסות :: תגובות? אבטחה (שוב...) והפעם קוד פתוח (open source) עד כמה הוא מאובטח ?ע"י yehuda פורסם: 20/03/2002 - 16:08 כידוע אחד הדברים הנפלאים בלינוקס הינו נושא הקוד הפתוח אשר הינו הרעיון הבסיסי בכול הקשור כמעט בלינוקס. תוכנות אשר נכתבות כקוד פתוח "מורדות" מהרשת כמו תותים בשלים לכול דורש ומאפשרות לכול המעוניין לרדת ולחקור את הקוד העומד מאחוריהן, לשנות ולעצב כראות המשתמש ( תוך מחוייבות כמובן להפיץ את השינויים כפי שמוגדר על פי GPL ). לכאורה דבר נפלא אולם עד כמה בטוח לעשות שימוש בתוכנות מסוג זה ???בעייה מעניינת מאוד בספרית ZLIB גורמת לשחרור כפול של אותו זכרון. עם קצת מזל והרבה "תחמון" אפשר לנצל את זה כדי להריץ קוד לא מורשה, או לפחות לגרום ל-DOS.
ZLIB היא ספרייה נפוצה לדחיסה בפורמט ZIP ולכן היא נמצאת בשימוש של המון תוכניות.
משתמשי BSD (כרגיל) מוגנים קצת יותר. תהליך הקצאת הזכרון ב-BSD לא מאפשר ניצול של הבאג, מעבר ל-DOS בחלק קטן מהמקרים.
ב-OpenBSD תיקנו את באג הזה לפני כמה חודשים (כרגיל) בלי לדעת שהוא מהווה בעיית אבטחה.
עוד פרטים באתר של CERT:
כאן.1254 כניסות :: 1 תגובה מסתבר ש AOL אוספים מידע על מה שמשתמשי נטסקייפ 6 מחפשים במנועי חיפוש ברשת כגון גוגל.כתובות IP, התאריך שבו נטסקייפ הותקן וכ"ו...
אחרי ש AOL השתלטו על נטסקייפ, האם זו ממש הפתעה ?
לידיעה בסלאשדוט 1157 כניסות :: 1 תגובה מומחי אבטחה מזהירים מפני חור אבטחה שהתגלה באחד הרכיבים של מודול הפיירוול בקרנל של לינוקס, העשוי לסכן מערכות אשר מריצות את מערכת ההפעלה. הבאג גורם לפתיחת פורטים בלתי רצויים ולתעבורה בלתי מפוקחת אל המערכת
לכתבה המלאה ב IT WORLD 1026 כניסות :: תגובות? |
| מחוברים: 1 חבר, 78 אורחים · סטטיסטיקה | הסכם שימוש · הצהרת פרטיות · שליחת משוב | חזרה למעלה |
|
תוכן האתר תחת רישיון CC BY-SA 4.0 |
עיצוב ופיתוח: Meir |
