PC World - V skriptnem jeziku PHP je bil odkrit nov hrošč, ki lahko povzroči neodzivnost strežnikov. Če mora program pretvoriti zelo veliko ali majhno število, ki je zapisano kot niz, v zapis s plavajočo vejico (recimo vrednost 2.2250738585072011e-308), zaide v neskončno zanko. Na ta način bi napadalec lahko onesposobil strežnik, saj postane neodziven, če bi mu posredoval ustrezne podatke. Prizadeti sta verziji PHP 5.2 in 5.3, če tečeta na Intelovi arhitekturi x86-32 s FPU. Napaka je bila odpravljena v 24 urah. Uporabniki lahko namestijo popravke ali pa ponovno prevedejo PHP z dodatnimi zastavicami.

Slo-Tech - Za vse programerje v programskem jeziku PHP bo gotovo zanimiva naslednja informacija. Stefan Esser je namreč na svojem blogu objavil predavanje z naslovom Lesser Known Security Problems in PHP Applications, ki ga je imel na Zend konferenci septembra letos.

V predavanju je prikazal nekaj manj znanih možnosti napadov na PHP programsko kodo, na primer možnosti zlorabe zaradi napačne uporabe vhodnega filtriranja, nekatere zlorabe s pomočjo piškotkov, zlorabe spletnih sej, manj znane možnosti izvedbe XSS napadov, manj znane zlorabe SQL, zlorabe šibkih generatorjev naključnih števil, itd.

Vsekakor vredno branja.

Schneier.com - Generatorji naključnih števil so zelo pomembni za varno delovanje kriptografskih aplikacij, zato je zelo pomembno, da le-ti generirajo čimbolj naključna števila. Varnost kriptografije je namreč odvisna tudi od varnosti generatorjev naključnih števil.

Žal so nekatere raziskave pokazale, da generatorji naključnih števil v nekaterih operacijskih sistemih niso dovolj zanesljivi. Raziskava Dorrendorfa, Guttermana in Pinkasa iz novembra letos je pokazala, da generator naključnih števil v Windows 2000 ni varen. Algoritem, ki se uporablja tudi za generiranje SSL ključev namreč ni bil javno objavljen, analiza pa je pokazala, da je mogoče z razmeroma preprostimi napadi predvideti prihodnje "naključne" vrednosti in s tem uganiti npr. SSL šifrirne ključe.

Seveda pa niti uporabniki operacijskega sistema Linux niso varni. Raziskava iz marca 2006 je namreč odkrila številne ranljivosti tudi v generatorju naključnih števil v tem operacijskem sistemu.

Ameriški National Institute of Standards...

Wired News - Ko podjetje kupi videonadzorni sistem - po možnosti takega, modernega, ki omogoča prenos slike preko interneta - se vodstvo podjetja oddahne. Sedaj smo varni.

Pa je temu res tako? Amir Azam in Adrian Pastor, raziskovalca iz podjetja ProCheckUp sta dokazala drugače. V članku z naslovom Owning Big Brother in v video demonstraciji sta prikazala, kako je mogoče s pomočjo XSS zlorabe "vdreti" v kamere podjetja Axis 2100 in zamenjati video, ki ga vidijo varnostniki.

Napadalec mora kameri najprej poslati ustrezno oblikovan URL, ki ga kamera shrani v datoteko aktivnosti (log datoteko). Ko administrator preveri datoteko aktivnosti (v kar ga je mogoče "prepričati" s kakšnim napadom s poplavljanjem), se poslani JavaScript izvede in na kameri ustvari nov uporabniški račun, podatke pa pošlje napadalcu. S pomočjo uporabniškega računa lahko potem napadalec spremeni video, ki ga vidi varnostnik.

Sicer je res, da so kamere Axis 2100 že razmeroma stare in niso več v proizvodnji, vendar...

Slo-Tech - O XSS ranljivostih s(m)o na Slo-Techu že pisali. A kljub temu, da gre za tim. ranljivost na strani spletnega odjemalca, so posledice zlorabe lahko precej drastične.

Raziskovalec Billy Hoffman, znan tudi pod imenom Acidus, je namreč januarja lani na konferenci Black Hat Federal 2006 predstavil prispevek z naslovom Analysis of Web Application Worms and Viruses. V prispevku je predstavil možnosti napadov s tim. spletnimi virusi, ki izkoriščajo XSS ranljivosti ter AJAX tehnologijo.

V soboto pa bo imel Hoffman predavanje na to temo tudi na Smoocon konferenci v Washingtonu.

Na konferenci bo predstavil možnosti vzpostavitve prikritih omrežij (tim. botnetov) s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Predstavil bo tudi konkreten primer, aplikacijo Jikto, ki omogoča samodejno vzpostavitev prikritega omrežja.

Orodje Jitko se lahko preko okužene spletne strani namesti na uporabnikov računalnik. Po namestitvi lahko orodje izvaja samodejno skeniranje, oz. iskanje...

Schneier.com - Pred približno mesecem dni so na Dark Reading objavili članek o varnostnih ranljivostih, odkritih v različnih aplikacijah. Na prvem mestu je z 21,5% Cross Site Scripting (XSS exploit), sledi možnost SQL vrivanja (SQL injection) ki so ga našli v 14% aplikacij, na tretjem mestu so PHP vrivanja (9,5%), sledijo pa prekoračitve pomnilnika (buffer overflow s 7,9%.

To so seveda varnostne ranljivosti, ki so jih odkrili v aplikacijah. Michael Sutton pa si je zastavil vprašanje, koliko teh ranljivosti je dejansko mogoče najti v resničnem svetu. Osredotočil se je na SQL vrivanje in analiziral spletne strani. S pomočjo Googla je izbral 1000 spletnih strani, ki uporabljajo SQL in poiskusil izvesti nedolžno SQL vrivanje. V primeru, da je spletna stran vrnila napako, je Sutton ugotovil, da je spletna stran ranljiva, sicer pa ni.

In rezultat? Izkaže se, da je s SQL vrivanjem trenutno ranljivih kar 11,3% spletnih strani, ki uporabljajo SQL baze podatkov.

'Hekerjem' dela torej še ne bo...

Slashdot - Včasih je veljalo, da je uporabnikom po spletu mogoče slediti le s pomočjo piškotkov. Kot kaže, to ne velja več, vsaj sodeč po zapisu, objavljenem na spletni strani Mukund.org.

Avtor Mukund Sivaraman je namreč ugotovil, da je sledenje mogoče izvajati tudi s pomočjo posebne JavaScript kode, ki vsebuje identifikacijo (podobno kot piškotek), in ki jo strežnik s pomočjo ustreznega HTTP cache-control ukaza vrine v medpomnilnik spletnega brskalnika.

Sledenje torej deluje tudi v primeru, da ste pobrisali piškotke, ne pa tudi medpomnilnika (tim. cache). Nejeverneži lahko stvar preiskusijo sami.

Pravi "paranoiki" pa bodo odslej poleg piškotkov brisali tudi medpomnilnik brskalnika.