Zdaniem ekspertów nawet 9 na 10 instalacji bazodanowych Oracle jest wystawionych na ataki cyberprzestępców. W prosty sposób mogą oni uzyskać dostęp do danych, czy nawet przejąć kontrolę nad systemami baz danych. Wszystko za sprawą błędu w oprogramowaniu.
Według doniesień Reutersa cyberprzestępcy mogą łatwo przejąć kontrolę nad bazami danych Oracle. Nie muszą nawet posiadać ID użytkownika, ani hasła dostępu. David Litchfield z NGSSoftware Ltd. twierdzi, że już w listopadzie zeszłego roku ostrzegał Oracle Corp. o możliwych atakach. Do dzisiaj firma nie odpowiedziała na jego apel, ani nie wprowadziła poprawek w swojej bazie danych. Zdesperowany Litchfield postanowił zwrócić się do mediów.
Zdaniem Litchfielda błędy w Oracle są na tyle poważne, że pozwalają atakującemu przejąć całkowitą kontrolę bez posiadania ID użytkownika ani hasła. Wszystkie firewalle stają się nieistotne. Przed atakami można uchronić się dokonując zmian w domyślnych ustawieniach Oracle. Litchfield uważa jednak, że potrzebna jest aktualizacja, która wyeliminuje błąd - problem jest zbyt duży, aby pozostawić go w gestii użytkowników baz danych.
W ostatniej - styczniowej - aktualizacji związanej z bezpieczeństwem baz danych, nie uwzględniono informacji o problemie zgłoszonych przez Litchfielda.
r e k l a m a
IBM poinformował o wprowadzeniu do oferty długo oczekiwanych procesorów serwerowych z rodziny Power7. Wraz z premierą procesorów, IBM zapowiedział również nowe systemy serwerowe oparte o nowe układy.
Procesor Power7 posiada od 4 do 8 rdzeni, a każdy z nich wyposażony został w 4 wątki, co ostatecznie daje nawet 32 jednostki logiczne. Podczas prac nad najnowszą odsłoną CPU wykorzystano pewne rozwiązania z procesora PowerXCell 8i, który znalazł zastosowanie między innymi w superkomputerze Roadrunner, do niedawna najszybszego superkomputera na świecie. Do nowości można zaliczyć mechanizm TurboCore, który umożliwia płynną zmianę częstotliwości aktywnych rdzeni oraz przypisanie większej pamięci cache, kosztem nieaktywnych rdzeni. Kolejnym ciekawym rozwiązaniem jest Intelligent Threads, mechanizm ten pozwala na zmianę " w locie" liczby uruchomionych wątków w zależności od obciążenia. Bezpośrednim rywalem Power7 jest Intel Xeon, który może się pochwalić tylko dwoma wątkami na rdzeń.
Zmiany nie ominęły pamięci oraz zarządzania energią. Active Memory Expansion jest w stanie kompresować w czasie rzeczywistym pamięć RAM, a tym samym system widzi nawet podwójną ilość pamięci fizycznie zainstalowanej. Natomiast Intelligent Energy, gdzie ustalamy profile energetyczne, umożliwia wyłączenie niektórych części systemu lub płynną zmianę szybkości procesorów.
IBM wprowadza również kompletne systemy oparte o najnowszy procesor. I tak IBM Power 780, serwer z najwyższej półki będzie mógł obsłużyć do 64 rdzeni. Kolejny to IBM Power 770 z segmentu średniego z obsługą do 64 rdzeni oraz najprostszy IBM Power 750 z obsługą maksymalnie 32 rdzeni. Nowe systemy mogą się pochwalić nieprzeciętnymi możliwościami konsolidacji serwerów. Na jednym fizycznym komputerze można będzie uruchomić nawet 1000 serwerów wirtualnych. Na maszynach poprzedniej generacji możliwe było zwirtualizowanie do 250 maszyn. Pierwsze dostawy serwerów z procesorem Power7 mają rozpocząć się pod koniec kwietnia. Producent nie podał cen poszczególnych modeli. Serwery z nowym procesorem Power7 mają być konkurencja dla maszyn HP i Sun Microsystem.
Już 18 marca we Wrocławiu, a 25-26 maja w Warszawie odbędzie się kolejna edycja konferencji Network GigaCon.
Network GigaCon poświęcony jest tematyce najnowocześniejszych rozwiązań i technologii sieciowych oraz ich obecności na polskim rynku teleinformatycznym. Celem konferencji jest określenie przekroju zastosowań nowych technologii, produktów i usług oraz upowszechnienie związanej z nimi wiedzy technicznej. Tematyka konferencji obejmuje infrastrukturę sieciową, komunikację bezprzewodową, bezpieczeństwo i zarządzanie siecią oraz transmisję głosu i danych.
W tym roku we Wrocławiu zorganizowana zostanie trzecia edycja konferencji, w Warszawie zaś już dziesiąta. Więcej szczegółów oraz formularz rejestracji on-line można znaleźć na stronie wrocławskiej i warszawskiej edycji konferencji. Udział w obu spotkaniach jest bezpłatny. Vortal dobreprogramy jest patronem medialnym konferencji.
Po wielu opóźnieniach Intel rozpoczął dostawy czterodzeniowego Itanium o nazwie kodowej Tukwila. Oficjalna premiera procesora odbędzie się w pierwszej połowie bieżącego roku.
W oficjalnym oświadczeniu Intel informuje, że Tukwila jest dwukrotnie bardziej wydajna od wcześniejszych układów Itanium. Układ wykonano w 65-nanometrowym procesie produkcyjnym, wyposażono go w Hyper-Threading, szynę QPI oraz kontroler pamięci. Jest on kompatybilny z platformami zaprojektowanymi dla procesorów z rodziny Xeon.
Tukwila opóźniona jest o całe lata. Intel obiecał, że pierwszy czterordzeniowy Itanium zadebiutuje około połowy pierwszej dekady XXI wieku, a w 2007 roku obiecano, że przed końcem roku 2008 ukaże się platforma wspierająca architektury IA32 oraz IA64.
Z najnowszego raportu 2010 Global Security Report firmy Trustwave wynika, że przedsiębiorstwa popełniają poważne błędy w zabezpieczeniach swojej infrastruktury IT. Przywiązują dużą wagę do zaimplementowania najnowszych technologii i obrony przed nowymi zagrożeniami, zupełnie pomijając stare, obecne od wielu lat techniki ataku.
Okazuje się, że firmy często nie łatają startych dziur i najczęściej padają ofiarami ataków na otwarte na Internet aplikacje pozwalające na zdalny dostęp do firmowych komputerów, ataków przeprowadzanych z zaufanej sieci oraz ataków typu SQL Injection. Wszystkie te techniki znane są od lat, a ich skuteczne wykorzystanie przez cyberprzestępców to najczęściej wynik zaniechań i niedbalstwa pracowników poszkodowanych firm.
Podczas przeprowadzonych testów penetracyjnych TrustWave odkryło najczęstszy typ zaniedbań - stałe udostępnienie na zewnątrz interfejsów pozwalających na zarządzenie takimi aplikacjami jak Websphere czy Cold Fusion. Co szczególnie zadziwia, bardzo często nie były one chronione żadnymi hasłami, bądź ustawiano dla nich wyjątkowo słabe zabezpieczenia. Innym "grzechem" pracowników przedsiębiorstw jest uruchamianie sieci bezprzewodowych chronionych dawno już złamanym protokołem WEP.
Jak czytamy, w raporcie TrustWave, olbrzymia liczba przedsiębiorstw pada ofiarami ataków na własne życzenie. W wykorzystywanych przez nie aplikacjach czy sposobie postępowania można znaleźć bardzo poważne błędy. Niektóre z nich są znane i wykorzystywane od dziesięcioleci.
IM Flash Technologies (IMFT), spółka firm Intel i Micron opracowała 25-nanometrowy proces technologiczny do produkcji pamięci NAND Falsh.
Wprowadzenie nowego procesu umożliwi zwiększenie pojemności pamięci w popularnych urządzeniach konsumenckich, takich jak smartfony, osobiste odtwarzacze muzyki i multimediów (PMP) oraz w nowej klasie bardzo wydajnych dysków SSD. Inżynierom udało się uzyskać 8 gigabajtów pamięci w pojedynczym module NAND. Pojedynczy moduł mierzy zaledwie 167 mm kwadratowych, to mniej więcej tyle samo co otwór w płycie CD, a mimo to zawiera ponad 10 razy więcej danych niż standardowa płyta.
25-nanometrowy moduł NAND o pojemności 8 GB jest już dostępny w postaci próbek inżynierskich i ma wejść do masowej produkcji w drugim kwartale 2010 roku. Oferuje najwyższą gęstość pamięci w pojedynczej kości multi-level cell (MLC) z dwoma bitami na komórkę i mieści się w standardowej obudowie thin small-outline package (TSOP). Aby zwiększyć pojemność pamięci, można w jednej obudowie ułożyć wiele urządzeń 8 GB jedno na drugim. Nowe 8-gigabajtowe urządzenie zmniejsza liczbę układów o 50 procent w porównaniu z poprzednimi generacjami technologicznymi, co przekłada się na mniejsze, bardziej zagęszczone konstrukcje i oszczędność kosztów. Na przykład dysk SSD o pojemności 256 GB można teraz zbudować z 32 takich urządzeń (poprzednio 64), w smartfonie o pojemności 32 GB wystarczy zastosować cztery, a w karcie pamięci o pojemności 16 GB, zaledwie dwa.
Intel jako pierwszy w branży wprowadził na rynek dwuportową serwerową kartę sieciową w standardzie 10GBase-T. Nowy adapter wspiera między innymi SR-IOV dla zaawansowanej wirtualizacji sieci.
Ethernet Server Adapter X520-T2 zbudowano w oparciu o układ Intel 82599 10 Gigabit Ethernet Controler. Dwa porty RJ-45 umożliwiają tworzenie redundantnego połączenia lub poszerzają dostępną przepustowość do 20 Gbps. Karta łączy się z komputerem za pomocą magistrali PCI-Express, a maksymalna długość połączenia kablowego to 100 metrów.
Producent nie podał jeszcze ostatecznej ceny adaptera, więcej na jego temat można znaleźć na stronach Intela.
McAfee informuje, że ataki na krytyczną dla przedsiębiorstw infrastrukturę są czymś powszechnym, a ich liczba będzie rosła. Z zamówionych badań wynika, iż większość menedżerów ds. IT przyznaje, że na ich firmy przeprowadzana jest cała gama ataków - od DoS po próby infiltracji sieci wewnętrznej. Co gorsza, spośród ponad 600 menedżerów pracujących w firmach, których sieci są istotne z punktu widzenia sieci ogólnokrajowej, ponad 60% uważa, że w ciągu ostatniego roku wzrosła liczba dziur w infrastrukturze.
Właściciele i operatorzy krytycznej infrastruktury informują, że ich sieci i systemy kontrolne doświadczają powtarzanych ataków. Są one często przeprowadzane przez dobrze wyszkolonych przeciwników, takich jak agendy obcych państw. Respondenci sądzą, że w przyszłości sytuacja będzie się pogarszała - czytamy w raporcie. Do krytycznej infrastruktury zaliczono sieci należące do firm z takich sektorów jak przemysł naftowy, transportowy, bankowość czy telekomunikacja. Sytuacja jest na tyle poważna, że aż 80% badanych spodziewa się, że w ciągu najbliższych 5 lat dojdzie do krytycznej awarii trwającej co najmniej 24 godziny.
Ponad połowa respondentów informuje, że ich firmy doświadczyły szeroko zakrojonych ataków DDoS, których skalę można porównać z atakami na Estonię w 2007 roku. Aż 54% przyznało, że miało do czynienia z niezwykle profesjonalnymi próbami infiltracji sieci i kradzieży danych. Dwie trzecie respondentów mówi, że częściej niż raz w miesiącu ich firma doświadcza wielkiego ataku DDoS. Większość z tych ataków ma negatywny wpływ na funkcjonowanie przedsiębiorstwa.
Źródło profesjonalnie przeprowadzonego ataku jest trudne do ustalenia. Respondenci z Chin najczęściej podejrzewają, że dobrze przygotowane ataki są przeprowadzane z USA, rzadko z Rosji. Amerykanie podejrzewają przede wszystkim Chińczyków, ale również Rosjan. Żadna z firm nie sądzi, by to ich własne rządy próbowały infiltrować firmowe sieci.
Koncern Google przy współpracy z dostawcami treści przedstawił propozycje zmian w protokole DNS, które pozwoliłyby skrócić czas ładowania stron internetowych.
Google chce, by autorytatywne serwery nazw kierowały Internautów zawsze na najbliższe serwery, niezależnie od tego, czy dany użytkownik korzysta z DNS swojego dostawcy łącza czy też preferuje publiczne rozwiązania, takie jak chociażby Google DNS. Aktualnie jest to niemożliwe, bo autorytatywny serwer DNS otrzymuje zwykle jedynie adres IP innego serwera, z którego korzysta użytkownik, a nie adres konkretnej końcówki. Zdaniem koncernu wystarczy jednak zmienić zasady działania systemu i zmusić klienta DNS do wysyłania serwerowi autorytatywnemu fragmentu IP Internauty - na jego podstawie serwer określałby położenie użytkownika i kierował go ku najbliższemu serwerowi zawierającemu żądaną treść.
By zapewnić Internautom prywatność, klient DNS ma wysyłać jedynie pierwsze 24 bity adresu IP, co zdaniem autorów koncepcji w zupełności wystarczy do przeprowadzenia geolokalizacji i zarazem uniemożliwi dokładną identyfikację maszyny wysyłającej dane zapytanie. Propozycja została już przedstawiona na forum listy mailingowej dnsext - pomysłodawcy liczą, że zaproponowane zmiany spotkają się z zainteresowaniem i pozwolą nawiązać współpracę umożliwiającą wcielenie ich w życie.
Minęło już trochę czasu od premiery Windows 7 i Windows Server 2008 R2, ale dopiero teraz Microsoft wydał aktualizację dla tych systemów wprowadzających możliwość odtwarzania kopii zapasowych wykonanych w systemach Windows XP i Windows Server 2003.
Narzędzie to jest niezbędne, bo począwszy od Windows Vista w systemie nie znajdziemy już narzędzia NTBackup. Microsoft jakiś czas temu udostępnił to narzędzie oddzielnie do pobrania dla Windows Vista i Windows Server 2008 (oczywiście działa w nim tylko opcja odtwarzania), teraz pojawia się także dla najnowszych systemów.
Fundacja Apache wydała pierwszą od 2007 roku tak dużą aktualizację popularnego filtra antyspamowego SpamAssassin oznaczoną numerem 3.3.0.
Najważniejsza zmiana dotyczy sposobu, w jaki traktowane są definicje pozwalające identyfikować SPAM. W najnowszej wersji są one całkowicie oddzielone od silnika filtra i pobierane za pomocą programu aktualizującego sa-update, bez konieczności aktualizacji całego oprogramowania. Taki model działania SpamAssassina był dostępny jako opcjonalny już w poprzednich wersjach i, jak informuje producent, cieszył się dużym zainteresowaniem. Nowe wydanie filtra udostępnia także szereg nowych opcji, między innymi możliwość wywołania timeoutu dla zbyt długo przetwarzanych e-maili. Poprawiono również obsługę błędów, dodano obsługę reguł Spamhaus CSS, zmniejszono narzut na pamięć RAM. Zintegrowano także kilka pluginów wcześniej dostępnych oddzielnie, na przykład FreeMail weryfikujący, czy e-mail pochodzi z bezpłatnego konta pocztowego.
Najważniejsze zmiany opisane są w dokumencie Release Notes. SpamAssassin 3.3.0 można pobrać ze strony projektu. Przed aktualizacją z poprzednich wersji warto zapoznać się z dokumentami Upgrade Notes.
Setki tysięcy posiadaczy certyfikatów CompTIA takich jak A+, Network+ czy Security+ spotkało niemałe zaskoczenie, gdy firma poinformowała o zmianie w polityce ważności certyfikatów. Przyznawane jak dotąd dożywotnio tytuły miały być ważne tylko przez trzy lata, a co najgorsze - zmiana miała obejmować także osoby już certyfikowane.
CompTIA jednak ugięła się pod naciskiem krytyki i zdecydowała się wycofać z tej kontrowersyjnej decyzji, która de facto zmuszała wiele osób do kosztownej i czasochłonnej recertyfikacji. Wszyscy, którzy już posiadają tytuły CompTIA lub uzyskają je w 2010 roku będą mogli się nimi posługiwać dożywotnio. Osoby, które certyfikat uzyskają po 1 stycznia 2011 roku będzie obowiązywał już nowy, trzyletni okres ważności. Po tym czasie by utrzymać tytuł konieczne będzie systematyczne wnoszenie rocznej opłaty w wysokości od 25 do 49 dolarów i oczywiście uzupełnianie nowych egzaminów.
Po blisko siedmiu miesiącach od wydania vSphere 4.0 firma VMware opublikowała długo oczekiwany przewodnik Hardening Guide, który opisuje techniki użyteczne w projektowaniu zabezpieczeń platformy wirtualizacyjnej opartej o ESX/ESXi. Udostępniono sześć dokumentów - wprowadzenie oraz oddzielne rozdziały poświęcone zabezpieczaniu vCenter, vNetwork, hostów, maszyn wirtualnych i Console OS dla ESX.
Nie są to jeszcze wersje finalne, dokumenty oznaczone są wewnętrznie jako wydanie B. Data wydania finalnych wersji nie jest znana, VMware czeka na komentarze ze strony społeczności.
Firma Stealth wprowadziła do swojej oferty serwer rack wysokości 2U, chłodzony całkowicie pasywnie. Za odprowadzanie nagromadzonego ciepła odpowiada aluminiowa obudowa, która pełni rolę radiatora.
Model SR-2625F w podstawowej wersji wyposażono w procesor Intel Core 2 Duo, 1GB pamięci RAM, dysk 160GB, zintegrowany układ grafiki 3D, Gigabit LAN, port USB 2.0, złącze RS232, port HDMI oraz wyjście DVI-I. W opcji dostępna jest karta sieciowa bezprzewodowa oraz dyski SSD. Istnieje również możliwość zamówienia rozwiązania w podwójnej konfiguracji. Serwer jest zgodny z systemami Windows XP, Windows Vista oraz Windows 7. Za podstawową konfigurację przyjdzie zapłacić 1995 USD a za podwójną platformę 3790 USD.
Brad Smith, główny prawnik Microsoftu, wezwał amerykańskich prawodawców do uregulowania sytuacji chmur komputerowych. Coraz więcej przedsiębiorstw chce działać na rynku chmur, jednak brak odpowiednich uregulowań prawnych powoduje, że nie wiadomo, jak powinny chronić własne interesy oraz interesy swoich klientów.
Potrzebujemy bezpiecznych i otwartych chmur - chmur, które są chronione przed złodziejami i hackerami, a jednocześnie dostarczają danych ludziom na całym świecie - mówił Smith. Czy jesteśmy pewni, że nasze dane są chronione? Gdy mieszkamy w jednym kraju, a dane przechowywane są w innym - które prawo ma nad nimi pieczę? Musimy szybko odpowiedzieć sobie na takie właśnie pytania dotyczące prywatności, bezpieczeństwa i suwerenności międzynarodowej - dodał. Stwierdził, że obecne rozwiązania prawne nie określają w jasny sposób, jak należy chronić prywatność w chmurach obliczeniowych.
W przyszłości możemy spodziewać się podobnych oświadczeń ze strony innych graczy na rynku. Główny problem polega na tym, że mogą oni w różni sposób chcieć rozwiązać te same problemy - będą więc lobbowali za przyjęciem najwygodniejszych dla siebie przepisów. Trudno w tej chwili rozstrzygać, która koncepcja zwycięży.
1 lutego o godzinie 20:00 portal Virtual Study organizuje sesję Pauli Januszkiewicz (MVP: Enterprise Security) - Techniki hakerskie użyteczne dla administratora IT. Będzie to sesja dostępna online za pomocą bezpłatnego klienta Microsoft Live Meeting.
Każdy z nas słyszał o hakerach. Doskonale wiadomo, że ich praca różni się od zadań administratora, jednak wiele technik używanych przez hakerów może być z powodzeniem wykorzystywanych przez administratorów w codziennej pracy. Z tej sesji dowiemy się jak naszą infrastrukturę postrzegają hakerzy, jakich metod używają i dzięki temu jak się przed nimi bronić. Gorąco zachęcamy do udziału na żywo! Jakość sesji jest zdecydowanie lepsza niż nagrania; nieoceniona jest także możliwość zadawania pytań w trakcie i po prezentacji. Przewidziane są również nagrody do rozlosowania wśród uczestników. Sesja miała swoją premierę na TechEd 2009 w Berlinie i cieszyła się tak dużym zainteresowaniem, że na ponad trzystuosobowej sali zabrakło miejsca dla wszystkich chętnych i organizatorzy zadecydowali o jej dodatkowym powtórzeniu w ostatnim dniu konferencji.
Po sesji planowana jest debata na poniższe tematy:
- Czy Administrator powinien mieć pojęcie o bezpieczeństwie?
- Social Networking – dlaczego udostępniamy swoją tożsamość w sieci i co się z tym wiąże?
Udział w sesji wymaga wcześniejsze rejestracji i jest darmowy. Ilość miejsc jest ograniczona.
Zgodnie z zapowiedzią Microsoft wydał poza cyklem zbiorczą, krytyczną poprawkę dla Internet Explorera. Usuwa ona głośną ostatnio lukę, wykrytą podczas ataku na Google i inne firmy. Poprawka łata także siedem innych dziur, które nie były publicznie ujawniane. Microsoft planował jej wydanie na luty ale przyspieszył prace nad nią po pojawieniu się exploitu i ataków przeprowadzanych za jego pomocą. Poprawka przeznaczona jest na wersje Internet Explorera od 5 do 8. Nie dotyczy Windows Server 2008 i Windows Server 2008 R2 instalowanych w wersji Core, w której to wiele niepotrzebnych i stanowiących potencjalnie niebezpieczeństwo elementów, takich jak IE, zostało wyciętych.
Poprawkę powinni zainstalować przede wszystkim użytkownicy Internet Explorera 6 działającego na Windows XP, gdyż jest on najbardziej narażony na atak z wykorzystaniem wspomnianej luki. Użytkownicy nowszych wersji IE także nie powinni czekać z aktualizacją. Choć w mniejszym stopniu, także i one są narażone na atak. Ponadto zapewne pojawią się niedługo exploity na pozostałe luki, stworzone w oparciu o analizę poprawki.
O godzinie 21 czasu polskiego odbędzie się webcast w języku angielskim poświęcowy wydanemu dzisiaj biuletynowi bezpieczeństwa.
W dziale pobierania witryny Microsoft pojawiła się wersja RC System Center Essentials 2010. Nowości w RC to między innymi wsparcie dla klastrów Hyper-V i Live Migration, wskazówki związane z optymalizacją wydajności i zasobami, statusy zadań wirtualizacji oraz poprawione mechanizmy aktualizacji i strony z przeglądem oprogramowania. Do poziomu wersji RC uaktualniono także Deployment Guide oraz Operations Guide.
Pojawiło się finalne wydanie rozszerzenia FastCGI 1.5 pozwalające między innymi stabilnie i wydajnie obsługiwać pod IISem aplikacje PHP. Nowa wersja pozwala między innymi nasłuchiwać zmian w zadeklarowanym pliku i po ich wykryciu przeładować procesy CGI, na żywo dopasowuje maksymalną liczbę instancji do aktualnych potrzeb oraz obsługuje kodowanie zmiennych serwera w UTF8. Lista zmian jest dużo większa i zachęca do aktualizacji.
Microsoft poinformował, że SQL Server 2008 Release 2 zostanie udostępniony w maju tego roku.
Obecnie SQL Server 2008 R2 jest w fazie Community Technology Preview. Ostatnia wersja CTP została wydana w listopadzie. Od pierwszego wydania CTP w sierpniu, najnowszy SQL Server został pobrany ponad 150 tysięcy razy. SQL Server 2008 R2 będzie dostępny w dwóch nowych wersjach: Datacenter Edition i Parallel Data Warehouse. Ta druga znana była jako Project Madison. Zostanie ona wydana nieco później, po majowej premierze.