ZDNet - Microsoftov Malware Protection Center se je na zanimiv način vmešal v nedavno debato o varnosti Mac OS X. Analizirali so enega ob obstoječih trojancev in zaključili, da Applov operacijski sistem še zdaleč ni varen pred malwarom, pravzaprav da najhujše še prihaja.

Pod "zanimivo" mislimo, da zadevni trojanec ne izkorišča pomanjkljivosti v samem OS-u ali popularnih vtičnikih (flash oz. java),...

Slo-Tech - Tudi letos so strokovnjaki za računalniško varnost iz približno trideset organizacij sestavili seznam 25 najnevarnejših programerskih napak, ki na široko odpirajo vrata zlikovcem. Letošnji seznam je zelo podoben lanskemu. Glavni krivci ostajajo enaki, tj. XSS (cross-site scripting), SQL injection in buffer-overflow. Teh 25 napak je krivih za skoraj vse napade na spletu, med drugim tudi za zloglasni kitajski napad na Google in druga zahodna podjetja. Poleg napak je še obsežna razlaga, kaj točno je problematično in kako se pomanjkljivostim izogniti. Predlagajo pa še eno rešitev za odpravo napak, in sicer vključitev klavzule v pogodbe z razvijalci, da so za hrošče odgovorni oni.

Wired News - Kot je znano, so pred časom kitajski vladni hekerji napadli Google, zaradi česar je slednji napovedal, da bo razmislil o umiku iz Kitajske. Da gre za resno zadevo, kaže tudi to, da je Googlu svojo pomoč pri preiskavi ponudila ameriška National Security Agency. Po mnenju Schneierja, je napad sicer omogočila zloraba nadzornih tehnologij, ki jih je na zahtevo ameriške vlade v svoje sisteme vgradil Google, omogočajo pa (stranski) dostop do GMail računov s strani pravosodnih organov in tajnih služb.

Vsekakor ne gre za osamljen incident, pač pa za serijo napadov na zahodna podjetja, ki jih je mogoče zaznavati že nekaj let. Pred kratkim so tako napadalci vdrli v tri znana ameriška naftna podjetja. Več o teh napadih je tokrat za Wired spregovoril Kevin Mandia, direktor podjetja, Mandiant, ki se ukvarja z digitalno forenziko. Podrobnejše poročilo o napadih je bilo pred kratkim predstavljeno na zaprti konferenci o informacijski varnosti.

Po njegovih besedah je tarča napada na tisoče...

Google - Devet let star internetni brskalnik Internet Explorer 6, ki ga je že zdavnaj povozil čas, noče in noče umreti, zato potrebujejo njegovi uporabniki kakšno vzpodbudo za opustitev njegove uporabe. Enega takšnih dregljajev pripravlja Google, ki bo s 1. marcem ukinil podporo za IE6 na svojih storitvah, kot so Google Docs in Google Sites. Uradno podprti brskalniki odslej bodo IE7, Firefox 3.0, Chrome 4.0, Safari 3.0 in novejše različice omenjenih. Pri Googlu upajo, da bodo na tak način prepričali 18 odstotkov uporabnikov, ki še vedno uporabljajo predpotopno tehnologijo, v prehod na karkoli...

CNet - Varnostne pomanjkljivosti v Internet Explorerju, ki so dvignile veliko prahu, ker so bili prav z njihovo pomočjo iz Kitajske izvedeni napadi na Google in druga zahodna podjetja, so zakrpane. Microsoft je včeraj izdal izredni paket popravkov, v katerem je popravil osem varnostnih pomanjkljivosti, ki nastopajo v vseh verzijah od IE5 dalje. Jerry Bryant iz Microsofta pravi, da so sprva luknje nameravali zakrpati v rednem paketu popravkov, ki je načrtovan za 9. februar, a so zaradi pomembnosti pohiteli. V isti sapi dodaja, da so bili nanje opozorjeni že pred štirimi meseci in da je najbolj kritičen IE6, ki naj bi bil tudi edini neposredno zlorabljen v napadih. Čas bi bil, da ga pošljemo na smetišče zgodovine, kamor po devetih letih nedvomno sodi. Popravke in nove verzije Internet Explorerja snamete na Windows Update.

Slo-Tech - V operacijskem sistemu Windows so odkrili varnostno pomanjkljivost, ki napadalcu omogoča prevzem nadzora nad sistemom. Luknja tiči v okolju Virtual DOS Machine, ki ga je Microsoft priključil leta 1993 in omogoča izvajanja 16-bitnih programov za DOS v Windows NT. Novoodkrita luknja obstoji v vseh 32-bitnih Microsftovih operacijskih sistemih, ki so bili izdani po letu 1993, torej Windows NT, 2000, XP, Vista in 7.

Googlov Tavis Ormandy pojasnjuje, kako lahko uporabnik brez administratorskih privilegijev vrine in izvede kodo z najvišjimi pravicami. Uradnega popravka še ni na voljo, tako da za zdaj obstaja primitivna rešitev v obliki izključitve podsistemov MSDOS in WOWEXEC. Kot pravi, je Microsoft o napaki obvestil že lanskega junija, v Redmondu so obstoj težave potrdili, zgodilo pa se ni še nič. Debata na našem forumu že teče.

ComputerWorld - Na spletu še vedno odmeva razkritje napadov na Google in druga zahodna podjetja, ki so jih kitajski hekerji neovirano izvajali pretekli mesec. Google je zagrozil, da se bo iz Kitajske popolnoma umaknil, a so jim za zdaj odložili le nekaj priboljškov.

Odločili so se, da bodo napovedano predstavitev dveh Androidnih telefonov iz Motorole in Samsunga za kitajski trg nekoliko preložili. Predstavitev je bila napovedana za danes, uradne razlage o razlogih za odpoved pa njihova tiskovna predstavnica ni navedla. Neuradno se govori, da se trenutno Google pogovarja s kitajskimi oblastmi, koder je izid sila težko napovedati, zato naj bi se odločili počakati.

Kitajska medtem ostaja nepopustljiva. Vztrajajo, da je naloga oblasti "voditi" Kitajce pri uporabi interneta in da se morajo podjetja prilagoditi lokalnim zakonom. Položaj Googla na Kitajskem so primerjali s položajem kitajskih podjetij v Afriki. Tam se pač Kitajci soočajo z mnogo težavami, ko se morajo prilagajati lokalnim zahtevam,...

Heise - Nemški Zvezni urad za varnost in informacijsko tehnologijo (BSI) je uradno odsvetoval uporabo Internet Explorerja. K tej potezi jih je vzpodbudil nedavni vdor iz Kitajske, pri katerem so napadalci izkoristili do tedaj neodkrito luknjo v Internet Explorerju za napad na Google in druga zahodna podjetja.

BSI piše, da so prizadete verzije IE6, IE7 in IE8 v Windows XP, Visti in Sedmici. Popravka za zdaj še ni na voljo in ker tudi poganjanje IE-ja v varnem načinu in izključitev Acitve Scripting nevarnosti popolnoma ne odvrne, BSI priporoča uporabo alternativnih brskalnikov.

Kaj točno je šlo narobe, si lahko preberete v McAfeejevi analizi. Naslednji paket popravkov bo Microsoft izdal 9. februarja, tako da imajo hekerji še dosti časa za izrabo pomanjkljivosti.

Pa pri nas?

CNet - Pred dnevi so odkrili, da so kitajski hekerji od decembra do 4. januarja napadli celo vrsto zahodnih podjetij, zaradi česar je Google celo napovedal, da se bo umaknil iz Kitajske. Microsoft je priznal, da je eden izmed krivcev za uspeh napadalcev tudi njihov brskalnik. Kot je dejal Mike Reavey, vodja Microsoftovega Security Response Center, je bil Internet Explorer eden izmed uporabljenih vektorjev za napad. Podjetje McAfee pojasnjuje, da so napadalci izkoristili pomanjkljivost IE zero-day in ne napake v PDF-jih. Luknja naj bi obstajala v vseh verzijah Internet Explorerja od 5.01 naprej, medtem ko Reavey trdi, da so bili prizadeti le uporabniki IE6. V intenzivni preiskavi, ki poteka o dogodku, sodelujejo MS, Google, Adobe, Mandiant in McAfee. Več o tem.

Mozilla.org - Mozilla nas na svojih straneh obvešča, da bodo v skladu z njihovo prakso o podpiranju starih različic pol leta po izidu nove vse podverzije Firefoxa 2 in pogon Gecko 1.8 podprti le še do sredine decembra, potem pa bo čas, da počasi prestopimo na Trojko. To pomeni, da bodo nehali izdajati popravke za varnostne pomanjkljivosti in stabilnost, kar bo vplivalo tudi na vse ostale na Gecku 1.8 temelječe projekte, denimo Thunderbird 2, Sea Monkey 1.1, Camino 1.5 in druge. Situacija je nekoliko neprijetna, saj npr. njihova naslednika Thunderbird 3 in Sea Monkey 2 sploh še nista izšla.

Newsfactor - Nemalokrat se med komentarji novic ter na forumu odvijajo bitke o pravilnosti objavljanja varnostnih težav še preden so te zakrpane.

Lahko bi rekel, da je hitrost odprave obratnosorazmerna z velikostjo podjetja: za primer naj ponudim Microsoft, ki ob tem birokraciji daje nov pomen, ter programje odprte kode, kjer so Luknji™ ponavadi zakrpani še pred objavo. O slednjem bi se sicer dalo razpravljat -- sama medijska odmevnost lukenj v programih 'velikih' je namreč bistveno večja od onih, ki se pojavljajo na raznih h4x0r buglistah. Kakorkoli že, na NewsFactor sem zasledil zanimiv članek, ki na kratko ovrednoti različne pristope k problematiki ter poda nekaj mnenj. Vsekakor priporočljivo branje.

DeviantArt - Microsoft se je odločil, da bo odstranil funkcijo Smart Tags iz prihajajočih verzij Internet Explorerja in Windows XP.
Smart Tags avtomatično dodaja povezave (linke) na spletne strani, ki so v povezavi z vsebino, ki jo gledate. Primer tega je, če je na spletni strani beseda "browser", bo Smart Tags avtomatično na to besedo dodal link na npr. spletni slovar, ki vsebuje to besedo.
Ker je mnogo spletnih oblikovalcev kritiziralo to idejo, da bi lahko nekdo drug spreminjal vsebino njihovih strani, se je Microsoft najprej odločil, da bo Smart Tags funkcijo v privzetih nastavitvah izklopil, tako da ga lahko uporabnik sam vklopi, če želi. Kljub temu pa ta rešitev ni bila zadovoljiva.
Kljub temu da je bila funkcija Smart Tags vključena v beta verzijah Internet Explorerja, bo odstranjena v končni verziji Windows XP. Ostala pa bo v Office XP, vendar s to razliko, da bodo uporabniki lahko kontrolirali dokumente, ki so jih ustvarili; Smart Tags za splet namreč ustvarjalci spletnih strani ne...