Slo-Tech - Dobro znani varnostni inženir Sammy Kamkar je na konferenci Black Hat predstavil zanimiv cross site scripting (XSS) napad, ki omogoča pridobitev zelo natančne fizične lokacije uporabnika. S spretno uporabo javascripta pridobi MAC naslov brezžičnega usmerjevalnika na strani uporabnika, nato pa preko Googleove geolokacijske storitve opravi poizvedbo za lokacijo tega MAC naslova. Google je v okviru programa Street View zbiral tudi podatke o prisotnih brezičnih omrežjih, s katerimi lahko precej natančno določi geografsko lokacijo brezžičnega usmerjevalnika.

Postopek, imenovan "How I met your girlfriend", in s humorističnim vzdevkom "XXXSS" (za cross-site scripting), je lepo razložen v video posnetku predavanja.

1. Uporabnik obišče napadalčevo spletišče
2. Na spletišču je skritih več iframe elementov, ki odpirajo naslove kot npr. http://192.168.1.1/moj_linksys_router ali http://192.168.200.1/imam_dlink - za vsako popularno dostopno točko po eden. Napadalec do teh naslovov ne more neposredno...

Slo-Tech - Te dni na spletu poteka široko zastavljen napad z vrivanjem SQL-stavkov (angl. SQL injection) na strežnike, ki jih poganja IIS in ASP.net. Napadenih je bilo več kot sto tisoč strani, pri čemer so škodo utrpele tudi ugledne strani, kot sta The Wall Street Jorunal in The Jerusalem Post. Pri tem je treba poudariti, da napad zlorablja pomanjkljivo napisano kodo in ne kakšne inherentne varnostne luknje v IIS-u. Analiza napada je pokazala, da naj bi šlo za skripto za upravljanje oglasi tretjega ponudnika, ki je bila vsem stranem skupna. Zlobna koda izkoristi napako v njej in nato obiskovalce skuša preusmeriti na neko stran, ki na njihove računalnike namesti zlonamerno programsko opremo.

Slo-Tech - Tudi letos so strokovnjaki za računalniško varnost iz približno trideset organizacij sestavili seznam 25 najnevarnejših programerskih napak, ki na široko odpirajo vrata zlikovcem. Letošnji seznam je zelo podoben lanskemu. Glavni krivci ostajajo enaki, tj. XSS (cross-site scripting), SQL injection in buffer-overflow. Teh 25 napak je krivih za skoraj vse napade na spletu, med drugim tudi za zloglasni kitajski napad na Google in druga zahodna podjetja. Poleg napak je še obsežna razlaga, kaj točno je problematično in kako se pomanjkljivostim izogniti. Predlagajo pa še eno rešitev za odpravo napak, in sicer vključitev klavzule v pogodbe z razvijalci, da so za hrošče odgovorni oni.

CNet - Varnostne pomanjkljivosti v Internet Explorerju, ki so dvignile veliko prahu, ker so bili prav z njihovo pomočjo iz Kitajske izvedeni napadi na Google in druga zahodna podjetja, so zakrpane. Microsoft je včeraj izdal izredni paket popravkov, v katerem je popravil osem varnostnih pomanjkljivosti, ki nastopajo v vseh verzijah od IE5 dalje. Jerry Bryant iz Microsofta pravi, da so sprva luknje nameravali zakrpati v rednem paketu popravkov, ki je načrtovan za 9. februar, a so zaradi pomembnosti pohiteli. V isti sapi dodaja, da so bili nanje opozorjeni že pred štirimi meseci in da je najbolj kritičen IE6, ki naj bi bil tudi edini neposredno zlorabljen v napadih. Čas bi bil, da ga pošljemo na smetišče zgodovine, kamor po devetih letih nedvomno sodi. Popravke in nove verzije Internet Explorerja snamete na Windows Update.

ComputerWorld - Na spletu še vedno odmeva razkritje napadov na Google in druga zahodna podjetja, ki so jih kitajski hekerji neovirano izvajali pretekli mesec. Google je zagrozil, da se bo iz Kitajske popolnoma umaknil, a so jim za zdaj odložili le nekaj priboljškov.

Odločili so se, da bodo napovedano predstavitev dveh Androidnih telefonov iz Motorole in Samsunga za kitajski trg nekoliko preložili. Predstavitev je bila napovedana za danes, uradne razlage o razlogih za odpoved pa njihova tiskovna predstavnica ni navedla. Neuradno se govori, da se trenutno Google pogovarja s kitajskimi oblastmi, koder je izid sila težko napovedati, zato naj bi se odločili počakati.

Kitajska medtem ostaja nepopustljiva. Vztrajajo, da je naloga oblasti "voditi" Kitajce pri uporabi interneta in da se morajo podjetja prilagoditi lokalnim zakonom. Položaj Googla na Kitajskem so primerjali s položajem kitajskih podjetij v Afriki. Tam se pač Kitajci soočajo z mnogo težavami, ko se morajo prilagajati lokalnim zahtevam,...

Heise - Nemški Zvezni urad za varnost in informacijsko tehnologijo (BSI) je uradno odsvetoval uporabo Internet Explorerja. K tej potezi jih je vzpodbudil nedavni vdor iz Kitajske, pri katerem so napadalci izkoristili do tedaj neodkrito luknjo v Internet Explorerju za napad na Google in druga zahodna podjetja.

BSI piše, da so prizadete verzije IE6, IE7 in IE8 v Windows XP, Visti in Sedmici. Popravka za zdaj še ni na voljo in ker tudi poganjanje IE-ja v varnem načinu in izključitev Acitve Scripting nevarnosti popolnoma ne odvrne, BSI priporoča uporabo alternativnih brskalnikov.

Kaj točno je šlo narobe, si lahko preberete v McAfeejevi analizi. Naslednji paket popravkov bo Microsoft izdal 9. februarja, tako da imajo hekerji še dosti časa za izrabo pomanjkljivosti.

Pa pri nas?

smh.com.au - Pregovorno nezaupljivi Kitajci ne zaupajo zahodnim iznajdbam, tako da ni presenetljivo, da imajo pomisleke o zaprtokodnih operacijskih sistemih. Da bi napravili svoje računalniške sisteme varnejše, so tako te dni na vladne in vojaške računalnike naložili operacijski sistem Kylin, za katerega obstoj so Američani izvedeli šele pred kratkim. Razvoj naj bi bil potekal že od leta 2001, prve računalnike pa so nanj migrirali leta 2007. Kot pravijo ameriški strokovnjaki za računalniško varnost, želijo Kitajci s tem otežiti kibernapade na svoje računalnike, saj so običajna orodja prirejena za za Linux, UNIX ali Windows, medtem ko je Klyin povsem svoja pasma.

Poleg tega so Kitajci razvili še varen mikroprocesor, ki je posebej utrjen proti zunanjemu fizičnemu napadu in avtomatski zlobni programski kodi. V sodelovanju naj bi varen operacijski sitem in mikroprocesor sestavljala izjemno odporno infrastrukturo, ki jo je težko prebiti. Ali, kot se je slikovito izrazil specialist za računalniško...

SANS - Več kot 30 strokovnjakov iz celotnega sveta je sestavilo seznam 25 najnevarnejših napak, ki jih zagrešijo programerji. Napake so bile ocenjene po splošni nevarnosti za razkritje podatkov v informacijskih sistemih in omogočanju računalniškega kriminala. Največje "odkritje" pa je bilo, da se v večini izobraževalnih programov za bodoče računalniške strokovnjake o teh napakah ne uči praktično ničesar, za njihovo prisotnost pa se pri veliko proizvajalcih programske opreme tudi ne testira.

Kako nevarne pa so te napake, pa pokaže že podatek, da sta bili samo dve izmed teh napak v letu 2008 vzrok za najmanj 1,5 milijona vdorov v spletne strani. Ti vdori pa so se izrabili za zlorabo obiskovalecev, ki so zaradi pomankljive zaščite lastnih računalnikov, postali žrtve zlorabe, njihovi računalniki pa zombiji na razpolago kriminalcem.

Kakšne so pa izkušnje z izobraževanejm pri nas? Ali se o kateri izmed teh napak kdo pogovarja v šoli? V kateri šoli? Zakaj da, zakaj ne?

Schneier.com - Pred približno mesecem dni so na Dark Reading objavili članek o varnostnih ranljivostih, odkritih v različnih aplikacijah. Na prvem mestu je z 21,5% Cross Site Scripting (XSS exploit), sledi možnost SQL vrivanja (SQL injection) ki so ga našli v 14% aplikacij, na tretjem mestu so PHP vrivanja (9,5%), sledijo pa prekoračitve pomnilnika (buffer overflow s 7,9%.

To so seveda varnostne ranljivosti, ki so jih odkrili v aplikacijah. Michael Sutton pa si je zastavil vprašanje, koliko teh ranljivosti je dejansko mogoče najti v resničnem svetu. Osredotočil se je na SQL vrivanje in analiziral spletne strani. S pomočjo Googla je izbral 1000 spletnih strani, ki uporabljajo SQL in poiskusil izvesti nedolžno SQL vrivanje. V primeru, da je spletna stran vrnila napako, je Sutton ugotovil, da je spletna stran ranljiva, sicer pa ni.

In rezultat? Izkaže se, da je s SQL vrivanjem trenutno ranljivih kar 11,3% spletnih strani, ki uporabljajo SQL baze podatkov.

'Hekerjem' dela torej še ne bo...

Waxy.org - Pred kratkim je blogger Jason Fortuny s pomočjo fotografije nekega dekleta izvedel drzen socialni eksperiment na strani za iskanje zasebnih stikov Craigslist. Njegov cilj je bil predstaviti se kot podložna ženska, ki išče agresivnega moškega, in ugotoviti koliko odzivov lahko dobi v 24 urah. Rezultat je bil 178 odgovorov s 145 slikami, odzivi pa so vsebovali tudi polna imena, naslove in ostale osebne informacije.

Celoten seznam z odgovori in slikami je objavil na spletu, med prostovoljci, ki so se oglasili, se najdejo tudi uslužbenci Microsofta in drugih znanih podjetij, nek par pa ga je celo prosil, naj se podatki umaknejo, ker ne želita, da pride informacija do prijateljev in svojcev. Jason, ki je na začetku imel prosto objavljene svoje osebne podatke, jih je začel umikati, saj bi mu naj nekdo že grozil, postavlja pa se tudi dosti vprašanj o legalnosti in morebitnih pravnih posledicah tega podviga. Tukaj je še povezava do prvotne novice.

Slashdot - Strokovnjaki za računalniško varnost so odkrili napad, ki izkorišča prej nepoznano varnostno napako v programu Microsoft Word. Napad poteka tako, da se izbranemu cilju pošlje elektronska pošta z "predelano" MS Word priponko. Le-ta ob zagonu na sistem namesti rootkit, ki nato okužen dokument zamenja z neokuženim, Word pa javi napako in ponudi ponoven zagon programa, ob katerem Word odpre neokužen dokument.

Zlobna koda™ pošlje še neznanim napadalcem podatke o računalniku, nato pa čaka na oddaljene ukaze. Zmožna je iskanja ter spreminjanja datotek na okuženem računalniku, spreminjanja registra, upravljanja s procesi, računalnik lahko tudi zaklene ali ponovno zažene. Sledi napadalcev vodijo v Kitajsko oziroma na Tajvan. Kot kaže, napad deluje na MS Word 2003, zaradi usmerjenega izbiranja tarč pa je možno, da je v ozadju industrijsko vohunjenje. Več podrobnosti o napaki in napadu najdete tukaj.