Włąśnie mija rok od momentu skomasowanych ataków mających na celu blokadę serwisów oferowanych przez największe amerykańskie firmy z branży internetowej. Czy coś się od tego czasu zmieniło?
7 lutego 2000 roku, naukowiec z AT&T – Steve Bellovin, oficjalnie przedstawił informację mówiącą o dużym zagrożeniu, i braku możliwości ochrony przed nim, jakie jest w Internecie. Na potwierdzenie jego słów nie trzeba było długo czekać, wystarczyła godzina. Pierwszą ofiarą był portal Yahoo, do którego dwa dni później dołączyli Amazon, Buy, CNN, ETrade i MSN. Bollovin twierdzi, że od tamtego czasu sytuacja niewiele się zmieniła – większść operatorów na rynku eCommerce i serwisów informacyjnych jest nadal podatna na ataki. W sytuacji z przed roku ataki DDoS wygenerowały 26% obciążenie sieci Internet (zgodnie z informacjami Keynote Systems). Dzisiaj ataki są bardziej wyrafinowane, cczego ostatnio mógł doświadczyć Microsoft (http://www.cert.pl/index2.html?action=show_news_more&nid=83), dlatego że potencjalne ofiary podjęły jednak jakieś kroki zaradcze. Kroki te były skierowane na możliwości ustalenia rzeczywistych źródeł ataków i wymiany doświadczeń oraz konkretnych danych pomiędzy zainteresowanymi skuteczną obroną. Jednak jak słusznie stwierdził CEO Mazu Networks – Phil London, najbardziej skutecznym rozwiązaniem byłaby powszechana implementacja zabezpieczeń w całej sieci Internet, poprzez każdego właściciela systemów sieciowych. Niestety, choć każdemu zależy na tym, żeby nie stał się ofiarą, to nie każdy decyduje się na to żeby coś w tym kierunku zrobić.

http://www.zdnet.com/filters/printerfriendly/0,6061,2681276-92,00.html

W dniu wczorajszym (wtorek), na swoim posiedzeniu, rząd polski przyjął projekt ustawy o podpisie elektronicznym. Jak wiadomo istnieje jeszcze poselski projekt ustawy.
Zapewne niebawem obydwa projekty dostąpią pierwszego czytania w Sejmie. Projekty posiadają pewne różnice, głównie dotyczące akredytacji dla firm, które chcą wystawiać certyfikaty bezpieczeństwa. Projekt rządowy powierza funkcję akredytacji MSWiA, tylko firmy które nie będą chciały świadczyć usług certyfikacji dla banków, organów władzy publicznej i jednostek sektora publicznego, nie będą musiały uzyskać certyfikacji. Autorzy projektu poselskiego widzą w tym niebezpieczeństwo upolitycznienia i monopolizacji rynku, stwiają więc na zasady wolnego rynku, na którym decydować będzie tylko to czy firma chcąca świadczyć usługi certyfikacji będzie spełniała odpowiednie warunki techniczno-organizacyjne. Obie strony jasno przedstawiają swoje racje i nie odmawiają współpracyw w celu wytworzenia konsensusu, co potwierdziło wczorajsze spotkanie i wypowiedzi wiceministra spraw wewnętrznych i administracji – Kazimierza Ferenca i przedstawiciela Polskiego Towarzystwa Informatycznego – Wiesława Paluszyńskiego, w wieczornym wydaniu Monitora Wiadomości. Dobrze to wróży możliwości uchwalenia ustawy jeszcze w trakcie tej kadencji Sejmu.

http://dziennik.pap.com.pl/internet/20010206175519.html

Jeden z pracowników Lucent Technologies Bell Labs – kryptolog Daniel Bleichenbacher – odkrył słabość w algorytmie DSA (Digital Signature Algorithm), która w konsekwencji może spowodować błędy w zachowaniu integralności transakcji elektronicznych.
Błąd został wykryty w technice generacji liczb losowych DSA. DSA jest częścią Digital Signature Standard, opracowanego przez NIST (National Standards and Technology). Bleichenbacher odkrył, że prawdopodobieństw wyboru liczby losowej z jednego zbioru liczb jest podwójnie większe, niż prawdopodobieństwo wygenerowania tej liczby z drugiego zbioru. Zdaniem odkrywcy nie decyduje to jednoznacznie o nieużyteczności algorytmu, powinien on pozostać przez jakiś czas jeszcze bezpieczny, jednak trzeba mieć świadomość, że może zostać złamany. Kryptolog twierdzi, że to właśnie NIST oraz organizacje, które przyjęły za standard ten algorytm, a mianowicie ANSI (American National Standard Institute) i IEEE (Institute of Electrical and Electronics Engineers) powinny zadbać o naprawienie błędu.

http://www.lucent.com/press/0201/010205.bla.html