Heise - Trenutna različica strežniške programske opreme za posredovanje oglasov OpenX 2.10 vsebuje stranska vrata, ki se aktivno uporabljajo za napade na strežniške sisteme. Stranska vrata omogočajo izvajanje poljubne PHP kode. Administratorji OpenX-a so odstranili prizadete pakete s svojih strežnikov in se trenutno še ukvarjajo z rešitvijo. Heiko Weber je pri "rutinski kontroli" enega od oglasnih strežnikov odkril nenavadne vnose v dnevniške zapise in v nadaljevanju odkril stranska vrata v izvorni kodi OpenX. Svoje odkritje je posredoval varnostnemu oddelku spletne strani Heise, ki so obstoj stranskih vrat tudi potrdili.

Obstoj stranskih vrat lahko administratorji preverijo z ukazom:

find . -name \*.js -exec grep -l '<?php' {} \;

V primeru, da nam sistem vrne ime datoteke gre tu za datoteko JavaScript, ki vsebuje s komentarji zapleteno (obfuscated) PHP kodo:

this.each(function(){l=flashembed(this,k,j)}<?php...

Slo-Tech - V Hewlett-Packardovem modularnem sistemu za shranjevanje podatkov HP MSA2000 G3 so bila včeraj odkrita stranska vrata. Naprava ima namreč vgrajenega skrivnega uporabnika z administratorskimi pravicami, ki se ne prikaže v seznamu uporabnikov in ga ni mogoče odstraniti. Njegove prijavne informacije so uporabniško ime admin in geslo !admin ter se ne morejo spremeniti, kar je zelo resen problem. SecurityWeek je že stopil v stik s Hewlett-Packardom, ki je obljubil, da bo kmalu posredoval odgovor. Pričakujemo lahko, da bodo tudi poskrbeli za popravek, ki bo neželenega uporabnika onemogočil in stranska vrata zaklenil.

Žal je praksa vgrajevanja skrivnih uporabnikov in stranskih vrat razširjena bolj, kot bi naivno pričakovali. Nekaj podobnega so nedavno odkrili pri Ciscu. In znova se pokaže, zakaj je slepo zanašanje na...

Slo-Tech - Kot poročajo na Washington Post, je Microsoftu pri razvoju operacijskega sistema Windows Vista pomagala NSA (National Security Agency). Znano je, da je naloga NSA prestrezanje komunikacij in elektronski nadzor, manj znano pa je, da je ena izmed nalog NSA tudi razvoj varnostnih sistemov in varnostno testiranje. NSA je tako Microsoftu pomagala pri razvoju varnosti Windows Vista operacijskega sistema, pravijo pa, da so to storili brezplačno. Po poročanju je Microsoft za pomoč zaprosil tudi druge ameriške vladne agencije in mednarodne ustanove, med drugim tudi NATO.

Vlaganje v varnost je gotovo koristno in hvalevredno, pojavljajo pa se vprašanja, ali je sodelovanje z NSA, ki je znana tudi po svojem nezakonitem nadzoru, pravi korak v to smer. Znano je namreč, da je NSA "pomagala" pri razvoju DES šfrirnega algoritma, v katerem so kasneje našli varostne pomankljivosti za katere obstaja sum, da so bile namerno vstavljene. Po drugi strani pa je NSA sodelovala tudi pri razvoju enega...

apcmag.com - Kot poroča apcmag, so iz Redmonda sporočili, da prihajajoča Windows Vista, kljub drugačnim poprejšnjim napovedim ne bo podpirala zagona iz EFI. EFI - Extensible Firmware Interface je naslednik prastarega BIOS-a, ki ponuja mnogo več, tudi na področju varnosti. Še več, podpore za EFI naj za 32 bitna Okna sploh nikoli ne bi bilo. Novica je šokirala predvsem ljubitelje "jabolčnikov", ki so upali, da bodo iz novih strojčkov z Intelom pod pokrovom poleg Mac OS X lahko poganjali tudi Visto.

S to odločitvijo je postalo tudi jasno, da bo anahronističnemu BIOS-u podaljšana življenjska doba za še kar nekaj let. Obenem se lahko vprašamo po motivu za to odločitev, saj EFI Microsoftu konec koncev ni tuj, celo pisec teh vrstic je že namestil Windows 2003 za IA64 na stroj z EFI-jem. Predstavnik Microsofta je sicer povedal, da bodo EFI podporo vgradili šele za Longhorn Server, razlog za takšno odločitev pa naj bi bilo pomanjkanje namiznih računalnikov z EFI podporo, poleg tega pa naj bi se...

ZDNet - V 15. februarja objavljeni novici smo pisali o poročanju BBC-ja glede zaskrbljenosti britanske vlade zaradi enkripcije v novem Microsoftovem operacijskem sistemu Windows Vista. Po mnenju profesorja Rossa Andersona z univerze v Cambridegu naj bi v Visto vgrajena enkripcija oteževala delo organov pregona, ki tako ne bi mogli priti do podatkov na trdih diskih.

Vprašanju o stranskih vratih v Visto so se medtem posvetili tudi pri ZDNet-u. V članku objavljajo izjavo Microsofta, ki se glasi: “Microsoft ni in ne bo vgrajeval stranskih vrat v Windowse".

“Govori se, da sodelujemo z vladami pri izdelavi stranskih vrat, da bi omogočili dostop do kriptiranih podatkov", je v blogu zapisal Microsoftov razvijalec in kriptograf ter slikovito dodal: “Samo preko mojega trupla".

“Stranska vrata enostavno niso sprejemljiva", je še zapisal. “Poleg tega nihče v naši ekipi ne bi bil pripravljen vgraditi in preizkušati stranskih vrat".

BBC - BBC poroča o zaskrbljenosti profesorja Rossa Andersona z univerze v Cambridegu glede težav, ki bi jih represivnim organom in drugim državnim agencijam lahko prinesel prihajajoči operacijski sistem Windows Vista. Ta naj bi razširil uporabo enkripcije, ki je v Visti sicer primarno namenjena uveljavljanju Trusted Computing-a zaradi varovanja avtorskih vsebin ter zaščite uporabnika pred zlonamerno kodo.

Anderson je tako pozval britansko vlado, da sprejme ukrepe za zagotovitev stranskih vrat, ki naj bi omogočala dostop do kriptiranih vsebin na osebnem računalniku, ne da bi bilo potrebno poznati geslo. Osumljenci kaznivih dejanj, ki uporabljajo enkripcijo podatkov naj bi že danes v svojo obrambo navajali, "da so pozabili geslo". Z razširjeno uporabo enkripcije vsebin na trdem disku naj bi to preiskovalcem predstavljalo resen problem.

"Ministrstvo za notranje zadeve bi se moralo pogovarjati z Microsoftom že sedaj in ne šele tedaj, ko bo sistem na voljo", je dejal zaskrbljeni profesor....

ZDNet - Microsoftov operacijski sistem, ki bo nasledil letos prihajajočo Visto, je dobil novo kodno ime - projekt, nekoč poimenovan z Blackcomb se bo odslej imenoval Vienna. Nov operacijski sistem še nima določenega uradnega datuma izida, znano je le, da bo izšel po izidu Windows Viste, vseboval pa naj bi nekaj karakteristik, ki so bile sprva predvidene kot del Viste, a so jih kasneje izvzeli, kot na primer nov datotečni sistem WinFS.

Zanimivo je, da je Vienna prav tako kodno ime za Microsoftov Live Communication Server 2005, vendar očitno Microsoftovih razvijalcev podvojeno kodno ime ne moti.

Novica izvira s strani ZDnet.

Jaz - Moja najljubša spletna stran za dol-vleko raznih programov, Softseek, se je združila z ZDNet Downloads. Sicer smo že prej lahko opazili, da je ZDNet pridobil Softseek, vseeno pa je integracija bila na nižji ravni. Sedaj vas na Softseekovi strani enostavno prenese na ZDNet Downloads, kjer pa ni Softseekovega prejšnjega sistema shranjevanja programov. Meni je bilo na Softseeku všeč predvsem to, da je imel skoraj vsak program napisan dober opis, in enostavno navigacijo po kategorijah.
Hm, Softseek bom definitivno zelo pogrešala.