Skocz do zawartości
Forum Kopalni Wiedzy

Rekomendowane odpowiedzi

Jeden z użytkowników serwisu Heise znalazł zadziwiająco banalny błąd w zabezpieczeniach systemu openSUSE 11.2. Okazało się, że aby uzyskać nieautoryzowany dostęp do komputera zablokowanego przez użytkownika wystarczy... nacisnąć i przytrzymać klawisz Enter.

Dochodzi wówczas do awarii blokującego monitor wygaszacza, który w ciągu kilku sekund znika z ekranu, a napastnik może w pełni korzystać z systemu.

Błąd znajduje się w gnome-screensaver-2.28.0-2.3, który jest dostarczany wraz ze standardowymi repozytoriami. Niewykluczone, że dziurawe są też starsze pakiety.

Testy wykazały, że blokada w dystrybucjach Ubuntu i Fedora działa bez zarzutu. Prawdopodobnie błędu nie ma również w SUSE Enterprise, które bazuje na openSUSE 11.1.

Użytkownicy openSUSE 11.2, do których komputerów mogą mieć dostęp inne osoby, powinny zainstalować nowszą wersję gnome-screensaver. Na razie nie jest ona dołączana do standardowych repozytoriów, a więc konieczna jest jej ręczna instalacja.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

a nie lepiej sobie od razu wrzucic Xscreensaver, o wiele lepszy od tego gnomowego (w mnogosci opcji, oraz prawidlowosci dzialania)?:D nie wiem jak to jest na suse, ale na ubuntu zawsze robie sobie ta podmianke...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość derobert

po co w ogóle gnome, konsola rządzi 8)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Właśnie. To nawet jest dobre zabezpieczenie dla większości "domowych" hackerów. Nie będą wiedzieli co z tą konsolą zrobić :D

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

sudo rm -rf /

 

:D

 

swoja droga, przypomnialo mi sie jak w szkolnej bibliotece kiedys restartowali kompa z 98 na dosa i format c: a superinteligentna bibliotekarka jak zobaczyla te 'napisy' to spanikowala i kazala to wylaczyc - nie uwierzyla, ze jak sie to przerwie, to sie moze komp zepsuc...odlaczyla kompa od pradu i dysk poszedl sie zajaczkowac ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

sudo rm -rf /

 

:D

 

swoja droga, przypomnialo mi sie jak w szkolnej bibliotece kiedys restartowali kompa z 98 na dosa i format c: a superinteligentna bibliotekarka jak zobaczyla te 'napisy' to spanikowala i kazala to wylaczyc - nie uwierzyla, ze jak sie to przerwie, to sie moze komp zepsuc...odlaczyla kompa od pradu i dysk poszedl sie zajaczkowac ;)

 

Hmmmm? raczej system plików poszedł... Ale to całkowicie odwracalne... Nie kumam zatem.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Hmmmm? raczej system plików poszedł... Ale to całkowicie odwracalne... Nie kumam zatem.

bierz poprawke na "informatykow" z gimnazjow, ktorzy do tego maja w d*pie biblioteke :D

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

W skrajnych przypadkach może też dojść fo fizycznego uszkodzenia dysku, kiedy się wykona hard reset w czasie gdy głowica jeździ po talerzu. Przynajmniej drzewiej tak bywało, być może teraz producenci jakoś to omijają :D

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Właśnie. To nawet jest dobre zabezpieczenie dla większości "domowych" hackerów. Nie będą wiedzieli co z tą konsolą zrobić :D

 

Tez tak myslalem. I jakie bylo moje zdziwienie, kiedy zobaczylem potem dzieciaki normalnie buszujace na kompie. Dopytywalem sie jak tego dokonaly. Okazalo sie, ze mali hakerzy nie bali sie uzywac przycisku "on/off" ktory dla mnie nie istnial i ktorego nie uzywam a autologowanie zrobilo reszte. Tak czy siak, zhaczyli mojego kompa ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Gavin Thomas, który w Microsofcie sprawuje funkcję Principal Security Engineering Manager, zasugerował, że ze względów bezpieczeństwa czas porzucić języki C i C++. Thomas argumentuje na blogu Microsoftu, że rezygnacja ze starszych języków na rzecz języków bardziej nowoczesnych pozwoli na wyeliminowanie całej klasy błędów bezpieczeństwa.
      Od 2004 roku każdy błąd naprawiony w oprogramowaniu Microsoftu jest przez nas przypisywany do jednej z kategorii. Matt Miller podczas konferencji Blue Hat w 2019 roku zauważył, że większość tych dziur powstaje wskutek działań programistów, którzy przypadkowo wprowadzają do kodu C i C++ błędy związane z zarządzeniem pamięcią. Problem narasta w miarę jak Microsoft tworzy coraz więcej kodu i coraz silniej zwraca się w stronę oprogramowania Open Source. A Microsoft nie jest jedyną firmą, która ma problemy z błędami związanymi  z zarządzaniem pamięcią, pisze Thomas.
      W dalszej części swojego wpisu menedżer wymienia liczne zalety C++, ale zauważa, że język ten ma już swoje lata i pod względem bezpieczeństwa czy metod odstaje od nowszych języków. Zamiast wydawać kolejne zalecenia i tworzyć narzędzia do walki z błędami, powinniśmy skupić się przede wszystkim na tym, by programiści nie wprowadzali błędów do kodu, czytamy.
      Dlatego też Thomas proponuje porzucenie C++. Jednym z najbardziej obiecujących nowych języków programistycznych zapewniających bezpieczeństwo jest Rust, opracowany oryginalnie przez Mozillę. Jeśli przemysł programistyczny chce dbać o bezpieczeństwo, powinien skupić się na rozwijaniu narzędzi dla developerów, a nie zajmować się tymi wszystkimi pobocznymi sprawami, ideologią czy przestarzałymi metodami i sposobami rozwiązywania problemów.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Niedawno donosiliśmy o wynikach badań, z których wynika, że oceany ogrzały się bardziej niż dotychczas sądziliśmy. Teraz ich autorzy informują, że popełnili błąd w obliczeniach. Podkreślają przy tym, że pomyłka nie falsyfikuje użytej metodologii czy nowego spojrzenia na biochemię oceanów, na których metodologię tę oparto. Oznacza jednak, że konieczne jest ponowne przeprowadzenie obliczeń.
      Jak mówi współautor badań, Ralph Keeling, od czasu publikacji wyników badań w Nature, ich autorzy zauważyli dwa problemy. Jeden z nich związany jest z nieprawidłowym podejściem do błędów pomiarowych podczas mierzenia poziomu tlenu. Sądzimy, że łączy efekt tych błędów będzie miał niewielki wpływ na ostateczny wynik dotyczący ilości ciepła pochłoniętego przez oceany, ale wynik ten będzie obarczony większym marginesem błędu. Właśnie prowadzimy ponowne obliczenia i przygotowujemy się do opublikowania autorskiej poprawki na łamach Nature, stwierdza Keeling.
      Redakcja Nature również postanowiła pochylić się nad problemem. Dla nas, wydawców, dokładność publikowanych danych naukowych ma zasadnicze znaczenie. Jesteśmy odpowiedzialni za skorygowanie błędów w artykułach, które opublikowaliśmy, oświadczyli przedstawiciele pisma.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Sędzia Judith Potter orzekła, że sądowy nakaz zajęcia pieniędzy, pojazdów i posiadłości Kima Dotcoma jest nieważny,i nie powinien zostać wydany i nie niesie ze sobą skutków prawnych.
      Właściciel Megaupload może zatem spodziewać się, że jego własność zostanie mu zwrócona, a konta odblokowane, gdyż policja i prawnicy z rządowego biura prawnego popełnili poważny błąd proceduralny.
      Sędzie Potter stwierdziła, że komisarz Peter Marshall złożył do sądu wniosek o taki typ nakazu zajęcia majątku, który nie dawał Dotcomowi możliwości przygotowania obrony. Już po policyjnej akcji i aresztowaniu Dotcoma Marshall zorientował się, że popełnił pomyłkę i wystąpił o właściwy nakaz. Został on wydany, ale tylko tymczasowo. Dlatego też sędzia Potter wkrótce będzie musiała orzec, czy błąd policji oznacza, iż Dotcomowi należy zwrócić majątek.
      Już 30 stycznia do sądu trafiła informacja z rządowego biura prawnego, które przygotowuje takie wnioski, iż popełniono błąd proceduralny.
      Jako, że sąd wydał wspomniany już właściwy nakaz, śledczy twierdzą, że dowodzi to, iż pierwotna pomyłka niczego nie zmienia. Innego zdania są obrońcy Dotcoma. Ich zdaniem majątek mężczyzny powinien zostać mu zwrócony, gdyż został zajęty bezprawnie.
      Profesor Ursula Cheer z Canterbury University mówi, że prawo dopuszcza pomyłki, a powyższa sprawa może stać się drugim poważnym zwycięstwem Dotcoma - pierwszym było jego zwolnienie z aresztu - pod warunkiem, iż jego prawnicy udowodnią policji złą wolę.
    • przez KopalniaWiedzy.pl
      BEREC, agenda Unii Europejskiej odpowiedzialna za regulacje na rynku telekomunikacyjnym poinformowała, że w UE powszechnie blokuje się dostęp do internetu. Według BEREC w ramach praktyk zarządzania ruchem najczęściej ogranicza się przepustowość lub blokuje w ogóle protokół P2P oraz telefonię internetową (VoIP). Ta ostatnia jest blokowana przede wszystkim w sieciach telefonii komórkowej i wynika to z zapisów w umowach zwieranych z klientami.
      Badania przeprowadzone przez BEREC pokazują, że około 25% dostawców internetu usprawiedliwia blokowanie czy ograniczanie ruchu względami „bezpieczeństwa i integralności“ sieci. Około 33% stosuje różne techniki zarządzania ruchem, gdyż obok standardowych usług świadczą też usługi wyspecjalizowane, np. oferują obok internetu telewizję czy telefonię.
      Obecnie BEREC prowadzi analizę uzyskanych danych. Zostaną one sprawdzone, skonsolidowane i na ich podstawie powstanie szczegółowy raport, który zostanie przedstawiony w drugim kwartale bieżącego roku.
    • przez KopalniaWiedzy.pl
      Na licznych forach internetowych pojawiły się adresy, pod którymi można podglądać ludzi... w ich własnych mieszkaniach. Okazało się, że kamery amerykańskiej firmy Trendnet, stosowane w domach w celach bezpieczeństwa, zawierają błąd. Pozwala on na oglądanie obrazu z kamery bez znajomości hasła dostępu.
      Firma Trendnet wysłała do swoich klientów e-maile, w których ostrzega o problemie. Wiadomość dotarła jednak do niewielkiej liczby poszkodowanych, gdyż zaledwie 5% nabywców kamer zarejestrowało je u producenta.
      Firma nie wydała jeszcze oficjalnego komunikatu, gdyż ciągle trwają badania. Trendnet wie o problemie od 12 stycznia. Dotychczas zidentyfikowano 26 modeli kamer, w których występuje błąd. W przypadku 7 modeli przeprowadzono już testy i przygotowano poprawki. Przedstawiciele Trendnetu twierdzą, że do końca bieżącego tygodnia znajdą i załatają błędy we wszystkich modelach.
      Zak Wood, dyrektor Trendnetu ds. marketingu mówi, że problem dotyczy prawdopodobnie mniej niż 50 000 kamer. Trafiły one do klientów na całym świecie.
      Dziurę odkrył jeden z klientów Trendnetu, który stwierdził, że po ustawieniu hasła może oglądać przez internet obraz ze swojej kamery bez konieczności logowania się. Wystarczyło tylko wpisać adres, pod którym znajdowała się kamera. Dzięki wyszukiwarce Shodan zidentyfikował on 350 innych kamer domowych, które mógł podglądać.
      Inne osoby też znalazły ten sam błąd i w ciągu dwóch dni w internecie pojawiło się aż 679 adresów, pod którymi można podglądać innych ludzi.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...