ComputerWorld - V petek ob 11. uri dopoldne po srednjeevropskem poletnem času sta se Univerza Duke in RIPE NCC lotila eksperimenta, v sklopu katerega sta nekoliko spremenila format BGP-poti, ki so jih sporočali usmerjevalniki. Poizkus ni šel po načrtih, saj so nekateri usmerjevalniki nepravilno spremenili atribute poslanih paketkov (RIPE vztraja, da čeprav so format nekoliko spremenili, je bil še vedno povsem skladen s standardi) in jih posredovali dalje.

Takoj po začetku eksperimenta je bilo okrog 3500 blokov IP-naslovov nestabilnih, so povedali v podjetju Renesys. Najbolj so bili prizadeti naslovi v ZDA, Rusiji, Argentini in Romuniji, vse skupaj pa je vplivalo na več kot 60 držav. Skupno je bil moten približno odstotek prometa. Na Univerzi Duke niso razkrili, kaj točno je bil namen preizkusa, je pa bojda šlo za legitimen eksperiment za znanstveni članek. Žal so med njim odkrili nekaj hroščev v usmerjevalnikih, ki so povzročili težave z internetom, je dodal asistent Xiaowei Yang.

Strokovnjaki...

Slo-Tech - Pred kratkim je organizacija OWASP (Open Web Application Security Project), ki se ukvarja z aplikacijsko varnostjo, pričela z uradnim delovanjem tudi v Sloveniji. Slovenska sekcija je prejšnji teden v Mariboru v okviru OTS 2010 predstavila štiri zanimiva predavanja, katerih prosojnice so prosto dostopne na internetu:

- Marko Hölbl: Pasti pri vgradnji kriptografije v aplikacijski svet
- Milan Gabor: Slovenske spletne aplikacije imajo »TALENT«
- Jure Škofič: "Race condition" - Ko želva stavi na srečo, zajec pa na "symlink" napad
- Edvard Šilc: Telesni skenerji na slovenskih letališčih

OWASP Slovenija tudi vse, ki jih skrbi aplikacijska varnost, vabi v svoje vrste. Podporno članstvo je brezplačno.

ZDNet - Microsoft je včeraj napovedal nov program, ki se za zdaj imenuje Omega. V njegovem sklopu bo obstajal tudi DISP (Defensive Information Sharing Program), ki bo vladam, sodelujočim v GSP (Government Security Program) in SCP (Security Cooperation Program), razkril podatke o varnostnih pomanjkljivostih in ranljivostih pred izdajo popravkov. Kot piše Microsoftov Steve Adegbite, bodo te informacije z vladami delili po izvedbi svojega preiskovalnega in popravljalnega cikla, tik preden bodo izdali popravek. Druga novost bo CIPP (Critical Infrastructure Partner Program), ki bo članom nudil detajlne informacije o varnostni politiki, strategijah in pristopih z namenom pomoči pri zagotavljanju varnosti kritične infrastrukture.

Slo-Tech - Izšla je nova verzija francoske Linuxove distribucije Mandriva Linxu 2010, poznano pod kodnim imenom Adelie. V novi inačici najdemo pametno namizje (Smart Desktop), ki omogoča boljšo organizacijo namizja po opravilih, osebnih podatkih (pošta, dokumenti, slike ...) in podobno, z novo funkcijo Mandriva Control Center pa lahko lažje administrirate računalnik. Skrajšali so zagonski čas; izbirate pa lahko med okolji KDE 4.3.2, GNOME 2.28.1 ali LXDE. Druge programske novosti so jedro 2.6.31, Xserver 1.6.5, Firefox 3.5.3, OpenOffice.org 3.1.1, VirtualBox 3.0.8 in druge. Prenos je seveda že mogoč.

Slo-Tech - Kot kaže novice z ranljivostmi v Linux jedru zaradi neustrezne obravnave ničelnih kazalcev (tim. NULL pointer dereference) kmalu ne bodo več novice. Brad Spengler je namreč odkril še en način za eskalacijo privilegijev v Linux sistemih. Kako vse skupaj izgleda v praksi (Spengler je exploit napisal v eni sami uri že 22. oktobra), si je mogoče ogledati v filmčku, objavljenem na YouTube.

A podobna ranljivost ni samo v domeni Linuxa, pač bo glava zabolela tudi Thea de Raadta. Clément Lecigne namreč na svojem blogu opisuje podobno ranljivost v OpenBSD-ju.

Zadnje ranljivosti v Linux jedru bodo gotovo še bolj spodbudile razprave o varnosti Linuxa. Tovrstne razprave so pogosto precej razgrete, pri vsem skupaj pa se žal pogosto pozablja na končni cilj - izboljšanje varnosti. Morda pa bo k temu pripomogel članek Why Linux security has failed (for the past 10 years).

Slo-Tech - Brad Spender, znani varnostni strokovnjak iz GR Security je na YouTube objavil kratek video, v katerem demonstrira novo zlorabo v Linux jedru 2.6.31, ki omogoča dvig privilegijev.

V predstavitvi Spender zlorabo prikazuje na sistemu, ki uporablja SELinux in ima naložene vse varnostne popravke. Zlonamerna koda deluje na 32 in 64-bitnih sistemih, omogoča pa dvig privilegijev na nivo Ring 0 ter popolno onemogočanje varnostnih mehanizmov SELinuxa. Debata o ranljivosti že poteka na našem forumu.

Spender je svoj filmček na YouTube objavil pod kategorijo "Komedija" in morda je čas, da razvijalci Linuxa sprevidijo, da varnost vsekakor ni šala...

Ubuntu - Izid Ubuntu 9.10 se približuje in pred kratkim je izšla Alpha 5 različica tega operacijskega sistema.

Kljub temu, da gre za razvojno različico, ki za vsakdanje delo ni uporabna, pa novi sistem počasi že dobiva končno obliko. Obeta se precej novosti. Ubuntu bo temeljil na Linux jedru 2.6.31, privzeti datotečni sistem v Ubuntu 9.10 bo ext4, privzeti prevajalnik GCC-4.4, spremembe pa bodo tudi v zagonskem nalagalniku (ang. bootloader), ki bo GRUB2. Pričakujemo lahko tudi novega upravitelja prijav (ang. login manager). Vsekakor gre kar za nekaj pomembnih sistemskih novosti, dolgoročno najpomembnejša pa je verjetno zamenjava sistema HAL za DeviceKit.

Na uporabniški strani med novostmi lahko omenimo izboljšano podporo za Intel video kartice, enostavnejšo nameščanje iSCSI ter zamenjavo privzetega IM odjemalca (namesto Pidgin bo odslej privzeti odjemalec za IM omrežja Empathy). Navdušenci nad oblaki pa bodo gotovo veseli podpore za Ubuntu Enterprise Cloud (UEC) in Amazonov EC2.

Novosti...

Slo-Tech - Pred kratkim je Brad Spengler iz GRsecurity objavil ranljivost Cheddar Bay.

Gre za lokalno ranljivost v operacijskem sistemu Linux, na katerem teče SELinux. SELinux (Security Enhanced Linux) je zbirka varnostnih ojačitev Linux sistemov, ki naj bi onemogočala oziroma vsaj otežila napade. Ranljivost je bila potrjena na Linux jedru 2.6.30 in 2.6.30.1 (trenutno to jedro uporablja le RHEL 5 v testnih okoljih) na katerem tečeta SELinux ali PulseAudio. Ranljivost omogoča eskalacijo privilegijev.

Očitno pada še en mit - mit o varnosti Linuxa - precej nenavadno pa je, da Linus Tornvalds zatrjuje, da pri vsem skupaj ne gre za problem Linux jedra (kar je tehnično gledano sicer res) in problem skuša zminimalizirati.

Očitno so nekateri v fazi zanikanja. Faza streznitve pa še pride...

OSNews - Microsoft je izdal svež seženj devetih popravkov. V njem je kar 6 kritičnih obližev, s katerimi so pokrpali luknje v MSXML komponenti (MS07-042), v OLE komponenti (MS07-043), v Excelu (MS07-044), v Internet Explorerju (različice 5, 6 in 7, MS07-045, MS07-050) in v GDI komponenti (MS07-046).

Preostali trije so označeni kot pomembni, dva popravita luknje v Windows Media Playerju (MS07-047) in v napravicah (gadgets na Windows Vista, MS07-048), ki omogočajo izvajanje kode, zadnji pa se tiče uporabnikov Virtual PC-ja (MS07-049) in odpravi luknjo, ki omogoča dvig privilegijev.

Windows Update. Just do it.

Jaz - Torek. Praznik. Še čričkov ne slišim, toliko je dolgčas. Zajadram na Slo-Tech ter vidim zelo aktiven ter zanimivih debat poln forum. Kliknem na oddelek Loža, pač tako malo, za hec, za odpočitev možganov od računalnika. In kaj vidim? Debate, na katere bi bili še največji filozofi ponosni! Najbolj od vseh izstopa PROTOKOL, najbolj aktivna debata v zgodovini naše strani. Že več kot 200 odgovorov nanjo! Vas mika? Prijavite se ter se udeležujte naših izredno zanimivih debat! Vabljeni!