Slo-Tech - Minili so časi, ko so bili Chromebooki prenosniki zgolj z brskalnikom Chrome. Sčasoma so napredovali, a glavni problem je ostala nepodpora po izteku predvidene življenjske dobe (AUE). Tedaj so prenehali dobivati popravke in nadgradnje, kar ni predstavljalo le težave z umanjkanjem novih funkcionalnosti, temveč predvsem zaradi varnostnih lukenj, ki so ostajale nezakrpane. To se bo počasi spremenilo.

Dobili bodo nov operacijski sistem Lacros (Linux And ChRome OS), ki bo polnokrvni sistem, na katerem bo tekel brskalnik Chrome. S tem se bo brskalnik ločil od operacijskega sistema, kar bo blagodejno vplivalo tudi na varnostne posodobitve. Google je sicer v zadnjem času storil veliko, da Chromebooki ne bi postali neuporabni kosi silicija po preteku podpore. Septembra lani so sporočili, da bodo vsi modeli od leta 2019 prejemali posodobitve deset let. Dotlej je bila ta meja osem let.

Nekaj pozitivnih sprememb pa bodo opazili tudi uporabniki pri vsakodnevni uporabi. Ena izmed očitnejših je...

Slo-Tech - V Vancouvru se je končalo znamenito hekersko tekmovanje Pwn2Own, ki tam poteka že od leta 2007. Na letošnjem tekmovanju so se od 18. do 20. maja merili računalniški strokovnjaki in hekerji, ki so iskali ranljivosti v popularni programski opremi. Tudi letos je večina programske opreme padla, za kar so bili tekmovalci nagrajeni. Skupno je 17 ekip ali posameznikov skušali izkoristiti ranljivosti v 21 kosih najpopularnejše programske opreme.

Prvi dan so bili na sporedu Microsoft Teams, Oracle VirtualBox, Mozilla Firefox, Microsoft Windows 11, Apple Safari in Ubuntu Desktop, ki so prav vsi padli. Nekaterimi med njimi - Microsoft Teams in Ubuntu Desktop - celo večkrat, saj je ranljivosti uspešno izkoristilo več skupin. Drugi dan so bili na vrsti Tesla Model 3 Infotainment System, Ubuntu Desktop in Windows 11, a je padel le Ubunto, in to dvakrat. Zadnji dan tekmovanja sta padla še Windows 11 in Ubuntu Desktop, prvi celo trikrat.

Tovrstni rezultati niso nič neobičajnega, saj običajno...

Slo-Tech - Končala se je letošnja izvedba vsakoletnega hekerskega tekmovanja Pwn2Own, na kateri prijavljene skupine in posamezniki poizkušajo demonstrirati izrabo ranljivosti v programski opremi, ki je na razpolago. Pwn2Own vsako leto poteka v Vancouvru, letos pa je zaradi pandemija koronavirusa postal virtualno tekmovanje. Ni pa se spremenil razplet, saj se je ponovno izkazalo, da je večina priljubljene programske opreme ranljiva. Razen enega poizkusa so uspeli vsi ostali.

Skupili so jo Applov Safari na MacOS, operacijski sistem Windows, Ubuntu Desktop, Oraclov VirtualBox in Adobe Reader na Windows. Uspešni tekmovalci so prejeli tudi nagrade, in sicer prvi dan 180.000 dolarjev in drugi dan še polovico toliko.

Tekmovanje je potekalo po ustaljenih pravilih. Razpisana je bila programska oprema, ki so jo ponudili proizvajalci in zagotovili tudi nagrade. Tekmovalci so se prijavili konkretno za posamezen izdelek in ga potem na tekmovanju morali tudi resnično napasti. Katero ranljivost so izrabili, so smeli razkriti le proizvajalcem, ki imajo sedaj 90 dni časa za pripravo popravkov, šele nato bo luknje javno znane.

Slo-Tech - Proizvajalci programske in strojne opreme se počasi zavedajo, da miloščina, ki se običajno ponuja v programih prijavljanja hroščev in ranljivosti (bug bounty), ne more konkurirati bistveno bogatejšim ponudbam obveščevalnih agencij in specializiranih preprodajalcev ranljivosti. Ti ponujajo tudi milijon ali dva. Google se je zato odločil, da za čip Titan M nagrado pošteno dvigne. Kdor v Androidu najde hrošča, ki lahko vpliva tudi na varnost čipa Titan M, bo upravičen do največ 1,5 milijona dolarjev nagrade.

Čipe Titan M, ki jih je Google predstavil lani, najdemo v telefonih Pixel 3 in Pixel 4. Čip opravlja funkcije zagotavljanja varnosti, in sicer skrbi za obdelavo občutljivih podatkov, varni zagon (Verified Boot), šifriranje podatkov, varne transakcije, zaklep zaslona itd. Ranljivost v tem čipu bi imela katastrofalne posledice za varnost naprave (dokler je seveda ne bi zakrpali). Zato kdor odkrije način, kako v Titanu M izvesti nepooblaščeno kodo, lahko prejme milijon dolarjev, če...

Trend Micro - Letos bo hekersko tekmovanje Pwn2Own, ki ob boku konferenci CanSecWest vsako leto poteka v Vancouvru, praznovalo 10. obletnico. Zaradi tega so prireditelji nabral še posebej velik kupček denarja in razpisali nekatere discipline, ki jih na tekmovanju še ni bilo. Lotili se bodo tudi Apacheja. Skupni nagradni sklad presega milijon dolarjev, kar je več kot dvakratnik lanskega.

Letošnji Pwn2Own bo potekal med 15. in 17. marcem v Vancouvru. Tekmovanje bo potekalo v petih kategorijah: pobeg iz navideznega stroja (VM Workstation in Microsoft Hyper-V), brskalniki in vtičniki (Edge, Chrome, Firefox, Safari, Flash v Edgeu), lokalna eskalacija privilegijev (Windows 10, Apple MacOS, Ubuntu), poslovna okolja (Adobe Reader, Word,...

Slo-Tech - Ranljivost, ki omogoča prevzem nadzora nad iPhonom ali iPadom, je vredna vsaj 1,5 milijona dolarjev. Toliko namreč zanje ponuja zloglasno podjetje Zerodium, ki ga vodi Chaouki Bekrar, ki je znan kot vodja francoskega VUPEN-a.

Zerodium se ukvarja z iskanjem in zbiranjem ranljivosti v programski opremi, informacije o katerih potem prodajajo zainteresiranim strankam, med katerimi so velika podjetja in številne državne agencije po svetu. To je izvrsten posel, v katerem se vrtijo milijoni, in tudi precej skrivnosten posel. Ranljivosti javno ne izpostavljajo, prav tako o njih ne obveščajo proizvajalcev. Pred letom dni so na primer za vdor v iPhone razpisali nagrado v višini milijona dolarjev in jo tudi izplačali.

V vmesnem času se je zaščita Applovih izdelkov izboljšala,...

Slo-Tech - Programe lova na hrošče, kjer so odkritelji in prijavitelji hroščev v programski opremi za svoja odkritja nagrajeni, imajo številna podjetja. Tako imenovane bug bounty programe imajo tako klasični proizvajalci programske opreme ali ponudniki storitev, kakršna sta Google in Facbook, kot tudi drugi tehnološki velikani, denimo Tesla ali celo United Airlines. Opazna izjema je bil Apple, ki do minulega tedna tega programa ni imel. Toda tudi v Cupertinu se počasi premika.

Podjetja so pač spoznala, da so hrošči in ranljivosti neizbežen del programske opreme, zato je najbolje, da jih odkritelji odgovorno prijavijo proizvajalcu. Ker je trg ranljivosti živahen, morajo seveda prijavitelje tudi finančno motivirati, sicer bodo ti svoje odkritje raje prodali...

Mozilla.org - Iz Mozille so sporočili, da je neznani napadalec nepooblaščeno dostopil do varovanega dela sistema Bugzilla, kjer so bili objavljeni hrošči in ranljivosti, ki do izdaje popravkov niso javno dostopni. Napadalec je uporabil identifikacijske podatke enega izmed upravičencev do dostopa, ki jih je slednji uporabil tudi na ostalih straneh, zato je vdor vanje razkril tudi možnost dostopa do Bugzille. Tehnično torej niso bili zlomljeni varnostni mehanizmi Bugzille, so bili pa ti pomanjkljivi in jih je Mozilla že izboljšala.

Pojasnjujejo, da je napadalec zagotovo vstopil v Bugzillo že lanskega septembra, nekateri indici pa kažejo, da je imel dostop morebiti že vse od septembra 2013. Takoj po odkritju incidenta so v Mozilli...

Slo-Tech - V petek je bil v Vancouvru drugi dan tekmovanja Pwn2Own in tudi to pot so tekmovalci vdrli v vse izdelke na preizkušnji. Junak dneva je bil Jung Hoon Lee, ki je pod vzdevkom lokihardt zlomil zadnjo stabilno in najnovejšo beta verzijo brskalnika Chrome. Prek brskalnika mu je uspelo priti do dveh gonilnikov v jedru Windows, kar mu je omogočilo prevzem popolnega nadzora nad sistemom. V dveh minutah je dobil 110.000 dolarjev, kar je najvišja nagrada v zgodovini Pwn2Own. Seveda pa je treba vedeti, da trajajo priprave na tekmovanje več mesecev in da tekmovalci tja pridejo z že izdelanimi kosi kode za njim poznane ranljivosti, tako da si je ta znesek v resnici prislužil z večmesečnim delom (in večletnim izobraževanjem).

Že pred tem je Lee...

Slo-Tech - Za nami je prvi dan dvodnevnega tekmovanja Mobile Pwn2Own, ki poteka v okviru konference PanSec v Tokiu. Za razliko od klasičnega Pwn2Owna so tu tarče telefoni, katerih zaščito poizkušajo prijavljeni tekmovalci zlomiti. Prvi dan je bil njihov izkupiček stoodstoten.

Mobile Pwn2Own tako kot izvirno verzijo organizira Zero Day Initiative, ki je v lasti Hewlett-Packarda. Letošnja sponzorja sta Google in BlackBerry, ki sta prispevala za 450.000 dolarjev nagrad. Tekmovalci se merijo v več kategorijah.

Prvi dan so bili na tapeti iPhone 5S, Samsung Galaxy S5, LG Nexus 5 in Amazon Fire Phone. Pet ekip se je lotilo štirih tarč in jih tudi zlomilo, pri čemer so našli devet hroščev. Korejska ekipa...

Wired News - Projekti nagrajevanja odkriteljev ranljivosti v programski opremi (bug bounties) so med podjetji že nekaj običajnega. Ima ga tudi Google, kjer so v štirih letih podelili že precej nagrad. Sedaj pa bo Google lovljenje hroščev dvignil na novo dimenzijo, saj se bodo lotili tudi tuje programske opreme in to kar v lastni hiši.

Zagnali so Project Zero, na katerem bodo zaposlili največje strokovnjake za iskanje ranljivosti in lovljenje hroščev. Ti ne bodo imeli...

ComputerWorld - V Vancouvru poteka že sedmi Pwn2Own, kakor se imenuje vsakoletno tekmovanje v iskanju ranljivosti in njihovi uporabi za vdor v priljubljene operacijske sisteme, brskalnike in mobilne naprave. Letos se ponovno vrača Google, ki je lani sponzorstvo odpovedal, ker spremenjena pravila niso zahtevala razkritja uporabljenih ranljivosti proizvajalcu. Letos je spet vse po starem, saj morajo tekmovalci razkriti vse detajle o ranljivosti, da si prislužijo nagrado (tehnično gledano jim ZDI ranljivost odkupi). Nagradni sklad ni skromen in znaša dobrega pol milijona dolarjev.

Prvi dan tekmovanja so že padle največje zvezde. Francosko podjetje VUPEN, ki je vodilno v iskanju in žal tudi trgovanju...

ComputerWorld - Vsakoletno tekmovanje hekerjev Pwn2Own, kjer se v Vancouvru zberejo najboljši iskalci ranljivosti ter napadajo priljubljene brskalnike in operacijske sisteme, bo letos nagradni sklad dvignilo za petkrat, so sporočili prireditelji. Pwn2Own bo letos potekal od 6. do 8. marca na konferenci CanSecWest v Vancouvru pod pokroviteljstvom HP TippingPointa. Nagradni sklad se je dvignil na 560.000 dolarjev.

Glavna nagrada v višini 100.000 gre tistemu, ki bo prvi kompromitiral Chrome na Windows 7 ali Internet Explorer 10 na Windows 8. Uspešen napad na IE9 bo vreden 75.000 dolarjev, Flash in Adobe Reader vsak po 70.000 dolarjev, Safari 65.000 dolarjev, Firefox 60.000 dolarjev in Java 20.000...

ZDNet - Naslednji brskalnik, ki je padel na letošnjem hekerskem tekmovanju Pwn2Own v kanadskem Vancouvru, je Internet Explorer. Po tem ko je francoska skupina VUPEN takoj po začetku tekmovanja razsula Googlov Chrome (Chrome sicer letos tehnično ni del uradnega Pwn2Own, a to ni pomembno), so sedaj uspešno kompromitirali še računalnik s sveže nameščenim Windows 7 SP1 in Internet Explorerjem 9 z vsemi popravki.

Chaouki Bekrar iz VUPEN-a pojasnjuje, da so uporabili zelo staro ranljivost, povezano s prekoračitvijo kopice (heap overflow), s čimer so obšli DEP in ASLR, in nepovezano ranljivost v upravljanju s pomnilniškim prostorom. Luknja se je prvikrat pojavila že v Internet Explorerju 6 in do danes ni bila javno razkrita, tako da...

Slo-Tech - Letošnje tekmovanje v iskanju varnostnih pomanjkljivosti se je šele začelo, vendar že vemo, da Google Chrome tokrat ne bo uspel ohraniti lanske titule kot edini nedotaknjeni brskalnik. Francoska skupina VUPEN je namreč le pet minut po začetku prijavila exploit, ki z izkoriščenjem dveh napak uspešno prebije Chromov sandbox. Google je pristnost eksploita že potrdil, tako da jih čaka vsaj 60 tisoč dolarjev, prenosnik Google Chromebook in morda še del skupnega nagradnega sklada 1 milijona dolarjev.

VUPEN in Google imata že nekaj zgodovine. Gre za francosko varnostno podjetje, ki testira varnost priljubljenih programskih paketov in potem svojim naročnikom za lepe vsote prodaja rezultate...

Chromium Blog - Približuje se letošnji dogodek CanSecWest, ki vsako leto marca poteka v kanadskem Vancouvru in v okviru katerega se odvije tudi hekersko tekmovanje Pwn2Own. Na njem se pomerijo ekipe strokovnjakov iz celega sveta in poizkusijo izkoristiti ranljivosti v brskalnikih in mobilnih telefonih, zmagovalci pa so bogato nagrajeni. Letošnji CanSecWest se bo začel danes teden in bo trajal tri dni. Program bo podoben kot lani, le da se je Google odločil, da ne bo več sodeloval, ampak bo razpisal lastno tekmovanje.

Razlog je sprememba pravil na Pwn2Own, ki od letos od tekmovalcev ne zahteva več, da razkrijejo vse hrošče in...

Slashdot - Raziskovalci iz francoskega VUPEN-a so objavili, da so odkrili resno ranljivost v Googlovem brskalniku Chrome, ki omogoča zaobiti vse varnostne mehanizme (ASLR, DEP in Chromov peskovnik) ter tiho (to pomeni, da se brskalnik ne sesuje po izvršitvi) izrabiti neobjavljeno (0-day) ranljivost za izvedbo zlobne kode. Ranljivost učinkuje na vseh operacijskih sistemih Windows, ne glede na verzijo ali bitnost. Podrobnosti, razumljivo, javno niso razkrili.

Ranljivost obstoji tudi v najnovejši verziji brskalnika Chrome 11.0.696.65 na Windows 7 SP1. Njeno delovanje so prikazali v spodaj priloženem videoposnetku. Vidimo, da se po obisku posebej prilagojene spletne strani z oddaljene lokacije na računalnik prenese zunanja koda (konkretno Računalo)...

ComputerWorld - Vsakoletni hekerski dogodek, kjer hekerji in raziskovalci demonstrirajo svoje poznavanje brskalnikov in mobilnih telefonov ter varnostnih lukenj v njih, se bo letos v Vancouvru začel 9. marca. Za nekoliko več vznemirjenja kot ponavadi je poskrbel Google, ki je razpisal doslej najvišjo nagrado 20.000 dolarjev za kogarkoli, ki bi našel in uspešno zlorabil kakšno ranljivost v njihovem brskalniku Chrome.

Na letošnjem Pwn2Ownu bosta okolje 64-bitna operacijska sistema Windows 7 in Mac OS X, na katerih bodo tekli Internet Explorer, Firefox, Safari in Chrome. Prvi, ki bodo zlomili prve tri brskalnike, bodo prejeli 15.000 dolarjev, kar je 50 odstotkov več kot lani, medtem ko so za Chrome nekoliko drugačna pravila.

Ker Chrome...

Google - Po enem letu od začetka nagrajevanja prijavljenih lukenj v brskalniku Chrome je Google presodil, da si prvi prijavitelj zasluži najvišjo nagrado v višini 3133,7 dolarjev (za manjše ranljivosti se dobi 500, 1000 ali 1337 dolarjev). Sergey Glazunov prejme za svoje neutrudno lovljenje hroščev 3133,7 dolarjev in še osnovno nagrado v višini 1337 dolarjev ter trikrat po 1000 dolarjev. Ni slabo.

Glazunov je našel eno kritično ranljivost in štiri ranljivosti, ki so označene kot zelo pomembne. Skupno je Google v novi podverziji Chroma 8.0.552.237 popravil 13 pomembnih ranljivosti, kar jih je stalo približno 14 tisoč...

Slashdot - Na konferenci CanSecWest, ki trenutno poteka v Vancouvru, so priredili tekmovanje v vdiranju v sisteme, imenovano PWN 2 OWN. Tekmovalci se borijo proti trem prenosnikom (Vaio VGN-TZ37CN, Fujitsu U810 in MacBook Air), na katerih tečejo trije konkurenčni operacijski sistemi (Ubuntu 7.10, Vista Ultimate SP1 ter OS X 10.5.2).

V okviru prvega dne tekmovanja so lahko sisteme za nagrado 20.000 dolarjev napadali samo preko omrežja, kar ni prineslo večjih uspehov. Včeraj je bila nagrada razpolovljena, zato pa so dobili tekmovalci možnost, da se na računalniku odpre predpripravljena spletna stran ali elektronsko sporočilo. To je tekmovalcem prineslo dosti več možnosti, kar je dokazal Charlie Miller, ki je že v dveh minutah po začetku tekmovanja uspel prevzeti nadzor nad MacBookom Air.

Kako je to Millerju uspelo, zaenkrat ni znano, ker se morajo tekmovalci zavezati, da podatkov ne bodo izdali, dokler jih organizator ne pošlje avtorjem sistema in ti dobijo možnost za popravek. Glede na to,...

OSNews - Približno dva tedna nazaj se je odvijala varnostna konferenca pod okriljem CanSecWesta. Tam se je zbralo kar nekaj hekerjev, katerih naloga je bila vdreti v sistem Mac OS X z vsemi popravki ter brez dodatnih varnostnih nastavitev. Prvi dan je bil neuspešen, naslednji dan pa so prišli v igro tudi brskalniki. Zmagovalec Dino Dai Zovi, ki je izkoristil luknjo v Safariju, da je dobil dostop do ukazne vrstice, je domov odnesel 10.000 ameriških dolarjev.

Pred kratkim so tako na MacWorldu objavili intervju z zmagovalcem, ki se precej ukvarja z varnostjo v Mac OS-u in je pred kratkim napisal knjigo z naslovom The Art of Software Security Testing: Identifying Software Security Flaws. V intervjuju razkriva nekaj podrobnosti o samem tekmovanju in tudi obrazloži svoje mnenje o varnosti v Applovem operacijskem sistemu. Največ pritožb pa je gotovo vzpodbudila njegova izjava, da če primerja OS X 10.4 in Visto, ima Vista vsaj s stališča varnosti kvalitetnejše napisano kodo z manj varnostnimi...