Google - Tudi v praksi je mogoče zlorabiti ranljivost rowhammer, ki so jo raziskovalci opisali decembra lani, so pokazali v Googlovem Projectu Zero.

Če na kratko povzamemo decembrsko odkritje, gre za ranljivost, ki je posledica zasnove čipov DDR3. Ker so ti fizično čedalje manjši, večkratno zaporedno branje podatkov iz iste vrstice lahko vpliva na podatke v sosednjih vrsticah. Da napad izvedemo, je treba brati večtisočkrat, preden se zapis v DRAM-u osveži (tipično vsakih 64 milisekund). V tem primeru se lahko spremeni kakšen sosednji bit (bit flip), kar ne vodi nujno do zrušitve sistema. Lahko se namreč zgodi, da pridobimo administratorski dostop do računalnika z eskalacijo privilegijev. Ob odkritju je kazalo, da je ranljivost zelo teoretična in je v praksi ne bo mogoče enostavno zlorabiti, a Google je pokazal, da nas od tega ne loči veliko.

Google je preverjal 29 prenosnih računalnikov in dobra polovica je bila ranljiva. Pokazali so, da je mogoče ranljivost izkoristiti v zločeste namene....

Heise - Francoski VUPEN je odkril ranljivost v norveškem brskalniku Opera, ki omogoča prilagojenim spletnim stranem okužiti računalnike s sistemom Windows. Prizadeti sta zadnja verzija 11.00 kakor tudi prejšnje različice od 10.63 navzdol na Windows 7 in XP SP3.

Problem tiči v datoteki opera.dll, ki ima v delu za procesiranje datotek HTML z velikim številom podrejenih elementov (child elements) hrošča. Prvikrat je nanj opozoril Jordi Chancel v začetku januarja, a je uspel le zrušiti brskalnik. VUPEN pa je uspel hrošč zlorabiti tako, da vrine in izvede zlobno kodo na računalniku. Zato se ranljivost klasificira kot kritična. Popravka še ni.

Slashdot - Microsoft Research je razvil orodje za odkrivanje zlonamernega JavaScripta v brskalniku med deskanjem po spletu. Orodje se imenuje Zozzle in izvaja statično analizo kode JavaScript na strani in hitro ugotovi, ali je stran zlonamerna in ali vsebuje zlorabo ranljivosti (exploit). Za učinkovito delovanje se mora Zozzle navaditi svojega posla, pojasnjuje Microsoft, saj razvršča JavaScript po statistiki (natančen opis delovanja). Zozzle je še v eksperimentalni fazi in še nekaj časa ne bo namenjen širši publiki. Microsoft

Slo-Tech - Raziskovalec Mohammad Sohail Ahmad iz podjetja AirTight je odkril ranljivost v protokolu WPA2, ki jo je poimenoval Luknja 196. Ime je dobila po zaporedni številki strani v standardu IEEE 802.11 (revizija iz leta 2007), kjer se skriva ozadje zanjo. Napaka omogoča avtoriziranemu uporabniku omrežja prestrezanje in dešifriranje podatkov drugih uporabnikov na istem omrežju z MITM-napadom. Podrobnosti bodo predstavljene na konferencah Black Hat Arsenal in DEF CON 18, ki bosta potekali prihodnji teden v Las Vegasu.

Zlomljen ni šifrirni algoritem AES, iz katerega je izpeljan WPA2, marveč je zlorabljena pomanjkljivost v implementaciji, ki omogoča prejem prometa z dostopne točke (AP) s skupnim deljenim ključem vsem odjemalcem. WPA2 namreč uporablja dve vrsti ključev: PTK (pairwise transient key), ki je unikaten za vsakega odjemalca, in GTK (group temporal key) za zaščito poslanih podatkov več odjemalcem v omrežju. S PTK je moč zaznati ponarejanje (spoofing) in poneverbo podatkov (data...

Mozilla.org - Mozilla je doslej odkrite ranljivosti v Firefoxu nagrajevala s 500 dolarji, sedaj pa so razpisano nagrado povišali na 3000 dolarjev. Poleg že prej vključenega brskalnika Firefox Web, so odslej zajeti tudi Firefox Mobile in še nekaj novih izdelkov. Odkrivanje neznanih ranljivosti je bilo že prej in še ostaja donosen posel, vreden dosti več od piškavih 500 dolarjev. Četudi vnemar pustimo nelegalne možnosti, ko je prodaja ranljivosti zainteresiranim kupcem, ki bodo za dobro odšteli mnogo več, ostane mnogo legalnih potov, kako iz njih iztržiti čim več. Poleg publicitete, ki so jo prijavitelji deležni od medijev, mnogi na varnostnih luknjah sedijo do raznih tekmovanj v vdiranju, kjer so na voljo lepe nagrade (npr. Pwn2Own). Mozilla upa, da bo z novo politiko prepričala odkritelje ranljivosti, da jih kmalu javijo.

TG Daily - Secunia je objavila polletno poročilo (PDF-datoteka) o ranljivostih v izdelkih različnih proizvajalcev, ki so bile odkrite letos. Neslavno prvo mesto je pripadlo Applu, a to ni edina plat medalje.

Deset proizvajalcev z največ ranljivostmi je odgovornih za 30 odstotkov vseh odkritih ranljivosti. Da bi dobili zgodovinski pregled, so pri Secunii teh deset preučili za nazaj do leta 2005 in narisali graf. Ugotovili so, da so bili na prvih treh mestih ves čas Oracle, Apple in Microsoft, le nekoliko so se izmenjevali v vodstvo. Letos vodečemu Applu sledi Oracle, tretji je Microsoft. Zanimivo je, da povečanemu vlaganju v varnost navkljub nobeno izmed teh podjetij ni uspelo zmanjšati števila odkritih ranljivosti - nasprotno, krepko je raslo.

Druga plat medalje pa pravi, da je večina Applovih ranljivosti bolj teoretične...

Ars Technica - Omenjeni napotek je skorajda že stara lajna računalnikarjev, a kaj ko se ga uporabniki ne držijo. Za poganjanje sistema z administratorskimi pravicami ni pametnih razlogov (še zlasti po uvedbi funkcije Run as), saj se tako morebitna nesnaga bolj neovirano razširi po sistemu. Na BeyondTrust so opravili analizo (PDF), ki te nasvete podkrepi s številkami. Ugotovili so, da pri poganjanju sistema brez administratorskih privilegijev izzveni:

• 90 odstotkov odkritih kritičnih ranljivosti Windows 7
• 100 odstotkov ranljivosti v Microsoft Office iz leta 2009
• 94 odstotkov ranljivosti v vseh verzijah IE in 100 odstotkov ranljivosti v Internet Explorerju 8, oboje iz leta 2009
• 64 odstotkov vseh lani odkritih ranljivosti v Microsoftovih izdelkih.

To pomeni, da si lahko življenje zelo...

Arnes - Kot poročajo številni varnostni portali, med drugim tudi Arnesov SI-CERT in Slashdot je raziskovalec Dan Kaminsky v DNS protokolu odkril resno ranljivost, ki omogočajo izvedbo tim. zastrupljanja predpomnilnika (ang. cache poisoning), posledično pa napadalec lahko s pomočjo DNS predpomnilnika izvede napad z ribarjenjem (tim. phishing).

Kaminsky je o ranljivosti obvestil 81 proizvajalcev programja za DNS strežnike, večina pa jih je danes izdala koordiniran popravek ranljivosti. Podrobnosti o ranljivosti sicer še niso javno znane, jih bo pa Kaminsky objavil avgusta letos na Black Hat konferenci. Na voljo je tudi on-line program za preverjanje ranljivosti vašega DNS-ja.

Pa še opozorilo: poleg nadgradnje DNS programske opreme na vaših strežnikih (če jih imate) pa ne pozabite nadgraditi tudi programske opreme na napravah kot so domači brezžični usmerjevalniki.

Slo-Tech - Za The Hacker Webzine se je pojavil zanimiv članek o identificiranju uporabnikov interneta, ki uporabljajo Firefox.



Programček z imenom Total Recall vsebuje dve skripti (HTML in XML). XML skripta poskuša pridobiti chrome DTD datoteke iz dodatkov za Firefox ter uporabniške nastavitve v brskalniku.



Na podlagi teh podatkov izračuna skupno kontrolno vsoto (ang. hash) uporabnikovega brskalnega okolja. Izkaže se, da so lahko v primeru, da je vhodnih podatkov dovolj veliko število, te kontrolne vsote unikatne za vsakega uporabnika. Te podatke je skupaj z IP naslovom in piškotkom mogoče shraniti v bazo na strežniku.



Kaj to pomeni v praksi?



Predpostavimo, da bodoči napadalec obišče neko spletno stran iz svojega IP naslova. Upravitelj spletne strani poleg IP naslova zabeleži tudi unikatno kontrolno vsoto uporabnikovega brskalnega okolja.



Čez nekaj časa se napadalec odloči za izvedbo napada na spletno stran. Seveda tokrat na spletno stran ne dostopi preko svojega IP naslova, pač pa...

Schneier.com - Kot kaže se nam v bližnji prihodnosti obeta precejšnje število varnostnih težav povezanih z JavaScriptom. V članku JavaScript Hijacking, objavljenem na spletni strani podjetja Fortify Software so namreč trije raziskovalci opisali nov način napada na Ajax spletne aplikacije.

Napad namreč omogoča napadalcu, da prestreže podatke, ki se prenašajo s pomočjo JavaScripta. Prestrezanje je mogoče izvesti s pomočjo tim. JavaScript ugrabljanja (JavaScript hijacking), ki je mogoče zaradi različnih XSS ranljivosti.

Prav tako v našem forumu že poročajo, da se je na internetu znašla koda aplikacije Jitko, ki omogoča samodejno vzpostavitev prikritega omrežja s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Aplikacijo je na konferenci Smoocon prejšnji mesec predstavil Billy Hoffman, eden izdmed udeležencev konference pa si je zapomnil URL omenjene kode in si kodo presnel ter jo objavil na internetu. Kodo je sicer na zahtevo Hoffmana že umaknil, kljub temu pa jo je mogoče dobiti v...

Slo-Tech - Pri FortConsult so objavili raziskovalni članek z naslovom Practical Onion Hacking: finding the real address of Tor clients. V njem do pokazali, kako je v HTML kodo mogoče vriniti "spletnega hrošča", ki razkrije pravo identiteto obiskovalca (pravi IP naslov). To so storili s pomočjo JavaScripta in Flasha, zaključujejo pa, da je uporaba teh tehnik razmeroma enostavna.

Pri odkriti ranljivosti pa ne gre za ranljivost Tor omrežja, pač pa za ranljivost podpornih programov in programov, ki uporabljajo Tor. Avtorji članka upajo, da bo na podlagi njihove raziskave popravljen podporni program privoxy (ki bo tako zlonamerno kodo sposoben odstranjevati), kot najhitrejšo rešitev pa svetujejo izklop Flasha, Active X, Jave in JavaScripta, uporabo SSL povezav, uporabo tujih DNS strežnikov ...

Samo za paranoike.

Arnes - JavaScript ranljivost inicializacije 'window()' metode v kombinaciji z <BODY onload> HTML oznako omogoča izvedbo poljubne kode. Exploit je že na voljo (seveda kot "proof of concept" koda). Onemogočite JavaScript še danes, vsaj dokler MS ne izda uradnega popravka. FireFox kot kaže kode ne izvede, vendar pa se neha odzivati. Več na Arnesu, CVE, Secunia, Microsoft.

Slashdot - Naključna raziskava med pešci, ki so prečkali postajo Liverpool Street v Londonu, je pokazala, da je kar 70% ljudi pripravljenih razkriti svoje računalniško geslo v zameno za tablico čokolade. 34% anketriancev je že razkrilo svoje geslo, brez da bi sprejeli kakršno koli podkupnino, enak odstotek pa za geslo uporablja frazo, ki je povezana z imenom njihovega otroka ali hišnega ljubljenčka. Anketa je še pokazala, da je 79% ljudi že delilo informacije, ki bi neznancem lahko pomagale ukrasti njihovo identiteto. Klik!

In potem je Microsoft kriv za računalniško (ne)varnost ...

The Register - Da - kljub temu, da naj bi Hotmail sicer v sporočilih pregledal JavaScript ter (morebiti) zlonamerno html kodo, je ObLiviON našel način, kako se to lahko obide.

Namreč, Hotmail sicer res pregleda telo sporočila, ne pa tudi polj 'Od' ter 'Za'. Spammerju oz. krekerju bi to omogočilo sestaviti sporočilo, ki bi naslovljenca preusmerilo na neko drugo stran, tam pa bi ga recimo ne-pravi 'Hotmail' zopet povprašal po geslu. Klik!