Znajdź zawartość

Apple złożyło wniosek patentowy na technologię, która umożliwia przechowywanie na urządzeniach peryferyjnych - od drukarek po zasilacze - danych koniecznych do odzyskania zapomnianych haseł. Rozwiązanie takie nieco utrudni życie samemu użytkownikowi, ponieważ gdy zapomni hasła, będzie mógł odzyskać je dopiero po podłączeniu oryginalnego zasilacza czy konkretnej drukarki, jednak znacznie utrudni życie ewentualnym złodziejom. Obecnie osoby kradnące laptopy interesują się tylko komputerem, pozostawiając np. w okradanym samochodzie, peryferia. Teraz odzyskanie hasła z ukradzionego sprzętu będzie trudniejsze bez posiadania tego peryferyjnego urządzenia, które zostało wybrane jako dodatkowe zabezpieczenie. Gdy zapomnimy hasła, system zaproponuje nam podłączenie urządzenia peryferyjnego, na którym jest ono przechowywane. Po jego podłączeniu i weryfikacji zaproponuje reset hasła i ustawienie nowego. Równie prosta ma być konfiguracja. Przy pierwszym ustawieniu hasła system poprosi nas o wybór urządzenia peryferyjnego, na którym mają być przechowywane dane potrzebne do jego odzyskania.

Twórca projektu grsecurity, Brad Spengler, ostrzega, że większość z zastosowanych w Linuksie mechanizmów kontroli uprawnień może zostać wykorzystana przez napastnika do przełamania zabezpieczeń systemu. Filozofia bezpieczeństwa w Linuksie opiera się w olbrzymiej mierze na ścisłej kontroli dostępu do usług, procesów i zasobów. Z jednej strony pozwala to ograniczyć uprawnienia poszczególnych użytkowników do rzeczywiście potrzebnych im do pracy, a z drugiej - w przypadku ataku zmniejsza rozmiary szkód, gdyż np. narzędzie, które udało się wykorzystać napastnikowi do konkretnych działań, nie będzie miało uprawnień do wykonania innych komend lub uzyskania dostępu innych zasobów. Spengler przetestował 35 linuksowych mechanizmów pod kątem wykorzystania ich podczas przeprowadzanego ataku. Odkrył, że 21 z nich może pozwolić napastnikowi na zwiększenie uprawnień w systemie lub inny sposób nim manipulować. Jednym z takich mechanizmów jest CAP_SYS_ADMIN, który umożliwia podmontowywanie i odmontowywanie systemu plików. Potencjalnie pozwala on napastnikowi na podmontowanie własnego systemu plików nad istniejącym i zastąpienie zainstalowanych programów dowolnym kodem. Spengler mówi, że za pomocą CAP_SYS_ADMIN można też przekierowywać pakiety na firewallu, a zatem napastnik ma możliwość przekierowania połączeń sshd na dowolny serwer i kradzież haseł oraz nazw użytkownika, co pozwoli na logowanie się do systemu na prawach administratora. Praca Spenglera nie oznacza, że Linux jest systemem szczególnie niebezpiecznym. Większość opisanych przez niego scenariuszy ataków jest możliwa do przeprowadzenia jedynie w bardzo specyficznych warunkach lub też wymaga fizycznego dostępu do atakowanego systemu.

Współczesne banknoty mają dziesiątki zabezpieczeń przed ich fałszowaniem. Uczeni z Niemiec i Japonii zaprezentowali właśnie technikę, która umożliwi opracowanie całkowicie nowych sposobów zabezpieczania. Umieścili oni mianowicie układy logiczne na banknotach. Na dolary, franki szwajcarskie, jeny i euro naniesiono ostrożnie złoto, tlenek glinu oraz organiczne molekuły, tworząc w ten sposób tranzystory i proste obwody. Co ważne, dokonano tego, jak stwierdził Ute Zschieschang z Instytutu Maksa Plancka, bez użycia agresywnych chemikaliów i wysokich temperatur, które mogłyby zniszczyć powierzchnię banknotu. Takie proste tranzystory cienkowarstwowe (TFT) mają grubość zaledwie 250 nanometrów i pracują przy napięciu 3 woltów. Prąd o tak niskim napięciu może być dostarczany do banknotów bezprzewodowo, za pomocą zewnętrznych czytników, podobnych do tych, które zbierają dane z tagów RFID. Przeprowadzono już pierwsze testy, które wykazały, że wspomniane obwody mogą przeprowadzać proste operacje obliczeniowe. Specjaliści zastanawiają się teraz, w jaki sposób wykorzystać je do zabezpieczenia banknotów.

Niemiecki federalny sąd kryminalny orzekł, że użytkownicy sieci bezprzewodowych powinni zabezpieczać je hasłem tak, by nie mogły z nich korzystać osoby postronne. Właściciel takiej sieci może zapłacić do 100 euro grzywny, jeśli ktoś nieuprawniony nielegalnie pobierze za jej pomocą film czy muzykę. Użytkownicy prywatni mają obowiązek upewnienia się, że ich łącze bezprzewodowe jest odpowiednio zabezpieczone przed intruzami, którzy mogą je wykorzystać do naruszenia praw autorskich - czytamy w orzeczeniu. Jednocześnie sąd nie stwierdził, że użytkownicy mogą być w takim przypadku pociągani do odpowiedzialności za łamanie prawa. Ponadto orzeczono, że nie należy wymagać od użytkownika by na bieżąco zwiększał zabezpieczenia swojej sieci. Jego obowiązkiem jest tylko założenie dobrego hasła podczas konfiguracji. Niemiecka narodowa agenda ochrony praw konsumentów stwierdziła, że stanowisko sądu jest wyważone. Werdykt wydano po tym, jak jeden z muzyków - nazwiska nie ujawniono - pozwał do sądu użytkownika, do którego sieci bezprzewodowej dostali się przestępcy, pobrali z niej plik muzyczny i rozpowszechnili go w internecie. Pozwany wykazał jednak, że w tym czasie był na wakacjach, a zatem to nie on rozpowszechnił plik. Sąd stwierdził jednak, że był on winny niezabezpieczenia łącza, co pozwoliło przestępcom działać.

Microsoft informuje, że najnowsza wersja pakietu MS Office będzie korzystała z technologii "piaskownicy" (sandbox). Tym samym koncern przyznał, że nie jest w stanie powstrzymać cyberprzestępców przed wykorzystywaniem błędów w swoim oprogramowaniu. Analityk John Pescatore przypomina, że w ciągu ostatnich 18 miesięcy przestępcy wykorzystywali technologię "fuzzlingu", czyli umieszczania za pomocą automatycznych narzędzi swojego kodu w MS Office i szukania w ten sposób błędow. Źli faceci używają fuzzlingu, by znaleźć błędy w Office, a Microsoft teraz stwierdził: 'Ok, nie jesteśmy w stanie znaleźć i załatać wszystkich luk. Więc postanowiliśmy użyć piaskownicy, by je odizolować - mowi Pescatore. Sandbox pozwoli odizolować pliki tak, że nie będa one miały dostępu do innych plików i aplikacji. Jeśli nawet użytkownik uruchomi złośliwy spreparowany plik, to nie powinien on wyrządzić większych szkód. Z jednej strony technika sandbox powinna lepiej zabezpieczać użytkownika, z drugiej jednak, jako że jest to pewien rodzaj wirtualnej maszyny, będzie zużywała zasoby komputera.

Telefon można zabezpieczyć przed wykorzystywaniem przez nieupoważnione osoby, wpisując każdorazowo PIN lub hasło, ale jest to dość uciążliwa procedura, z której chyba rzadko kto korzysta. Zamiast tego KDDI R&D Laboratories zaoferowały oprogramowanie rozpoznające właściciela komórki na podstawie gestu – machania ręką z aparatem w dłoni. Autoryzacja zachodzi dzięki czujnikowi przyspieszenia, który zbiera dane biometryczne osoby dotykającej telefonu. Jest to możliwe, gdyż na przebieg ruchu wpływa wiele zindywidualizowanych czynników, w tym długość ramienia, budowa mięśni czy sposób uchwycenia komórki. Twórcy programu twierdzą, że ze względu na ponad 96-procentową trafność taka metoda uwierzytelniania jest odporna na spoofing. Dane biometryczne są gromadzone przed każdym użyciem aparatu. Następnie porównuje się je do wzorca. KDDI R&D Laboratories zamierzają udoskonalić swój wynalazek, by w przyszłości różnymi gestami zdobywać np. dostęp do poszczególnych aplikacji.

Niewykluczone, że najnowsze osiągnięcia technologiczne znacząco utrudnią życie oszustom czy złodziejom telefonów komórkowych. Specjaliści zastanawiają się bowiem nad przydatnością emisji otoakustycznej (OAE) w technologiach biometrycznych. Gdy do naszych uszu dociera jakiś dźwięk, komórki w ślimaku wibrują, wzmacniając go. Steruje nimi mózg, który nakazuje wzmacniać preferowane dźwięki i wyciszać te mniej pożądane. Jednak kurczenie się i rozszerzanie komórek powoduje, że wydają one własne dźwięki. Zjawisko to nazywane jest emisją otoakustyczną. Specjaliści badając emisję, badają jakość słuchu. Możliwe, że emisja otoakustyczna jest indywidualną cechą każdego człowieka. Jeśli tak, to można by na jej podstawie identyfikować osoby dzwoniące. Złodziej, który ukradł nam tożsamość i spróbuje dodzwonić się do naszego banku by wydać dyspozycje przelewu pieniędzy, nie odniesie sukcesu. Pracownik infolinii wyśle mu bowiem przez telefon serię dźwięków i odbierze emisję otoakustyczną z jego ucha. Jeśli nie będzie ona zgodna z wzorcem naszej emisji - połączenie zostanie przerwane. Podobne zabezpieczenia można będzie zastosować w telefonach komórkowych - z urządzeń będą mogły korzystać tylko osoby o wcześniej zdefiniowanym wzorcu emisji otoakustycznej. Stephen Beeby, inżynier z University of Southampton, zauważa, że podczas badania słuchu, gdy lekarz traktuje nasze ucho serią kliknięć, siła i częstotliwość emisji otoakustycznej wydają się różnić u każdego człowieka. Różnica ta jest spowodowana indywidualnymi różnicami w budowie wnętrza ucha. Beeby i jego zespół badają teraz, czy zjawisko OAE da się wykorzystać w systemach biometrycznych. Odpowiedź na to pytanie powinniśmy poznać w połowie przyszłego roku. Zadanie nie jest łatwe, gdyż np. u osób, które piły alkohol emisja jest słabsza, częstotliwość OAE zmieniają też leki, infekcje ucha czy zalegająca woskowina. Ponadto, jak zauważa Tony Mansfield z National Physical Laboratory, trzeba wykazać, że OAE nie zmienia się w czasie. Odcisk palca pobrany od osoby 20-letniej pozwoli ją zidentyfikować nawet 50 lat później. Nie wiadomo, czy OAE też jest cechą niezmienną.

W przyszłym tygodniu, podczas konferencji PacSec w Tokio, zostanie omówiona pierwsza w historii metoda praktycznego ataku na WPA. Standard Wi-Fi Protected Access (WPA) jest powszechnie stosowany w celu zabezpieczania sieci bezprzewodowych. Erik Tews i Martin Beck pokażą, w jaki sposób można odczyta dane przesyłane pomiędzy routerem a notebookiem. Specjalistom udało się złamać klucz TKIP (Temporal Key Integrity Protocol). Informują, że można tego dokonać w 12-15 minut. WPA zostało złamane tylko częściowo, gdyż Tews i Beck nie są w stanie odczytać danych, które komputer przesyła do routera. Jednak już samo złamanie zabezpieczeń danych wędrujących z routera do peceta umożliwia przestępcy np. podsunięcie użytkownikowi fałszywych informacji. Nie od dzisiaj wiadomo, ze TKIP można złamać metodą "brute force", jednak wymaga ona użycia sporych mocy obliczeniowych. Tews i Beck nie korzystali jednak z "brute force". By złamać klucz najpierw znaleźli sposób na to, by router wysłał im dużą ilość danych. To ułatwiało złamanie klucza. Jednak tę sztuczkę połączyli z "matematycznym przełomem", dzięki któremu złamali WPA znacznie szybciej, niż to wcześniej było możliwe. W ciągu kilku najbliższych miesięcy ukaże się praca naukowa, w której Tews ujawni sposób przeprowadzenia włamania. Z kolei część kodu wykorzystanego podczas ataku na WPA już została włączona do stworzonego przez Becka narzędzia Aircrack-ng. Osiągnięcie Becka i Tewsa może stanowić poważny problem przede wszystkim dla przedsiębiorstw, gdyż powszechnie używają one sieci bezprzewodowych. Najpopularniejsze standardy ochrony tego typu sieci to WEP, WPA oraz WPA2. Pierwszy z nich od dawna jest uważany za przestarzały i niebezpieczny, stąd też szeroko używane są WPA i WPA2. Teraz okazało się, że i WPA można złamać. Bezpieczny pozostał zatem jedynie WPA2. Pytanie tylko, jak długo.

Na forum MacRumors pojawiła się informacja o poważnej dziurze w iPhonie z zainstalowanym najnowszym firmware'em w wersji 2.0.2. Jeden z użytkowników opisał prosty sposób, jak zdobyć niemal całkowitą kontrolę nad telefonem zabezpieczonym hasłem. By tego dokonać nie trzeba mieć żadnej wiedzy programistycznej. Wystarczy, by w zablokowanym i chronionym hasłem telefonie kilknąć Telefon alarmowy. Następnie dwukrotnie należy nacisnąć Home. Później naciskamy na niebieską strzałkę obok nazwy kontaktu i zyskujemy pełny dostęp do Safari, listy kontaktów, map, SMS-ów czy Ulubionych. Pod wpisem na forum pojawiły się komentarze użytkowników potwierdzające skuteczność metody. Co więcej, jeden z nich stwierdził, że sposób ten działa również na iPhonie z firmware'em 2.0.1. Przed opisanym wyżej atakiem można zabezpieczyć się w dość prosty sposób. Należy przypisać klawiszowi "Home" inną funkcję niż domyślna. By to zrobić wchodzimy w Ustawienia, później Ogólne, wybieramy Home Button i przypisujemy mu funkcję Home lub iPod. Wówczas podwójne kliknięcie przeniesie nas nie do kontaktów, a z powrotem do ekranu logowania lub do ekranu powitalnego.

Najstarsze znane ślady hominida mają 3,7 mln lat. Ciągną się na odcinku 23 metrów. W 1978 roku odkrył je zespół Mary Leakey. Stanowisko zwane Laetoli znajduje się na terenie Tanzanii. Teraz po raz kolejny już rozgorzała dyskusja, jak zabezpieczyć niezwykle cenne znalezisko przed zniszczeniem. W 1995 roku odciśnięte w popiele wulkanicznym ślady pokryto warstwą ochronną. Teraz wietrzenie zaczęło powoli ją usuwać. Istnieją więc uzasadnione obawy, że dowody istnienia dwunożnej istoty sprzed milionów lat bezpowrotnie znikną wskutek erozji, wegetacji roślin oraz działalności człowieka, w tym wypasania bydła. To dlatego tanzański antrolpolog Charles Musiba zaapelował o stworzenie muzeum, w którym ślady byłyby najważniejszą ekspozycją. Inni antropolodzy nie zgadzają się z nim, podobne protesty pojawiły się zresztą 13 lat temu, gdy odciski stóp pokrywano ochronną warstwą. Zbuntowani eksperci argumentują, że Park Narodowy Ngorongoro jest oddalony o kilka godzin jazdy stąd i strzeżenie Laetoli wymagałoby sporo wysiłku (czytaj: nakładów finansowych). Musiba przedstawił swój projekt w zeszłym miesiącu na międzynarodowym sympozjum w Korei Południowej. Z całą stanowczością stwierdził, że Tanzania dysponuje możliwościami naukowymi i funduszami, gwarantującymi zbudowanie i monitorowanie muzeum. Naukowiec podkreśla, że czuł się zobligowany, by publicznie poruszyć tę kwestię. Obecne warunki wykazały, że zabezpieczenia są tylko czasowe. Wg niego, muzeum mogłoby być częścią safari dla turystów. Pozostali antropolodzy nie protestują przeciwko tworzeniu muzeum, ale przeciwko jego lokalizacji. Tim White z Uniwersytetu Kalifornijskiego w Berkeley i Terry Harrison z Uniwersytetu Nowojorskiego uważają, że należy raczej "wyciąć" trop ze wzgórza i przewieźć go do muzeum w Dar es Salaam albo w Arushy. Jeśli pozostaną odkryte, zadziałają jak wabik na kłopoty. Odciski zostaną po prostu zadeptane i wyniesione na butach. Donatius Kamamba, dyrektor Muzeum Narodowego w Dar es Salaam i Tanzańskiego Departamentu Starożytności, obiecuje, że stan śladów zostanie zbadany. Pomysł przenoszenia popiołu wulkanicznego wydaje mu się jednak nietrafiony: może się przecież rozpaść podczas transportu. Początkowo ślady zabezpieczono glebą, ale nie wybrano z niej nasion akacji, które zaczęły kiełkować. Potem specjaliści z Getty Conservation Institute w Los Angeles (Neville Agnew i Martha Demas) usunęli starą warstwę i pokryli ślady specjalną matą zabezpieczającą przed wnikaniem wody. Wszystko było w porządku, dopóki nie pojawiły się ulewne deszcze... Teraz trzeba podjąć decyzję, co dalej.