Slo-Tech - Ko smo v začetku meseca izvedeli, da imajo Intelovi procesorji še cel skrivni operacijski sistem, do katerega uporabnik nima dostopa, smo le še čakali, kdaj se bodo našle prve varnostne luknje v tej skrivni kodi. Res ni bilo treba dolgo čakati, saj je Intel ta teden že potrdil, da je odkril 11 resnih hroščev, ki so v več milijonih procesorjev po celem svetu.

Ko sta Maxim Goryachy in Mark Ermolov iz Positive Technologies odkrila kritično ranljivost v ME (Management Engine) v Intelovih procesorjih, je Intel opravil širšo revizijo svoje kode in ugotovil, da so v ME, TXE (Trusted Execution Engine) in SPS (Server Platform Services) hrošči, ki predstavljajo varnostna tveganja. Goryachy in Ermolov bosta svoja odkritja...

Mozilla.org - Iz Mozille so sporočili, da je neznani napadalec nepooblaščeno dostopil do varovanega dela sistema Bugzilla, kjer so bili objavljeni hrošči in ranljivosti, ki do izdaje popravkov niso javno dostopni. Napadalec je uporabil identifikacijske podatke enega izmed upravičencev do dostopa, ki jih je slednji uporabil tudi na ostalih straneh, zato je vdor vanje razkril tudi možnost dostopa do Bugzille. Tehnično torej niso bili zlomljeni varnostni mehanizmi Bugzille, so bili pa ti pomanjkljivi in jih je Mozilla že izboljšala.

Pojasnjujejo, da je napadalec zagotovo vstopil v Bugzillo že lanskega septembra, nekateri indici pa kažejo, da je imel dostop morebiti že vse od septembra 2013. Takoj po odkritju incidenta so v Mozilli...

Google - Google je v novi različici politike razkrivanja ranljivosti nekoliko omilil časovne roke, ki so v začetku tega leta povzročili veliko hude krvi. V okviru Projecta Zero je namreč Google našel ranljivosti v Microsoftovi in Applovi programski opremi, o čemer je proizvajalca obvestil. Ko v 90 dneh popravkov ni bilo, je Google v skladu s svojo politiko podrobnosti ranljivosti javno razkril, kar je hudo razburilo Microsoft in Apple. Microsoft je na primer imel popravek že bolj ali manj končan in je čakal še zadnje faze testiranja pred izdajo, kar so Googlu sporočilu, a so bili v Mountain Viewu neomajni; 90 dni je dovolj za vsakogar.

Sedaj so pri Googlu vendarle nekoliko omilili svojo politiko. Še vedno vztrajajo pri 90-dnevnem roku za razkrivanje ranljivosti, kar...

Slo-Tech - Google in Microsoft nadaljujeta obmetavanje z razkrivanjem ranljivosti in obtoževanje, kdo slabše skrbi za svoje uporabnike. Začel je Google, ki je konec decembra javno razkril podrobnosti o ranljivosti v Windows 8.1, še preden je Microsoft uspel zakrpati luknjo. Slednji mu ni ostal dolžan in je izpostavil, da ima Android 4.3 ranljivost, ki pa je Google sploh ne namerava odpraviti.

V zelo starih časi so se ranljivosti takoj po odkritju priobčile javnosti, proizvajalci programske opreme pa so hitro spisali popravke. Kasneje se je ta način umaknil tako imenovanemu odgovornemu razkritju (responsible disclosure) oziroma koordiniranemu razkritju ranljivosti (coordinated vulnerability...

Wired News - Projekti nagrajevanja odkriteljev ranljivosti v programski opremi (bug bounties) so med podjetji že nekaj običajnega. Ima ga tudi Google, kjer so v štirih letih podelili že precej nagrad. Sedaj pa bo Google lovljenje hroščev dvignil na novo dimenzijo, saj se bodo lotili tudi tuje programske opreme in to kar v lastni hiši.

Zagnali so Project Zero, na katerem bodo zaposlili največje strokovnjake za iskanje ranljivosti in lovljenje hroščev. Ti ne bodo imeli...

Bloomberg - Facebook se je lani pridružil Googlu in Mozilli ter začel finančno nagrajevati odkrite ranljivosti. Kdor v njihovih izdelkih najde kakšno luknjo in jo javi Facebooku, lahko prejme od 500 do 10.000 dolarjev, odvisno od resnosti odkrite ranljivosti. Do danes so razdelili že 400.000 dolarjev. Sedaj pa se je Facebook odločil, da bodo svoj program razširili in začeli nagrajevati tudi posameznike, ki bodo odkrili luknje v Facebookovem notranjem komunikacijskem omrežju (torej v informacijski hrbtenici podjetja) in ne le v končnih izdelkih.

To odločitev je vzpodbudil majski dogodek, ko so dobili poročilo, da je nekdo odkril veliko luknjo v njihovem notranjem omrežju. Hitro so jo zakrpali, nato...

Symantec - Symantec je izdal poročilo o varnosti na internetu za leto 2011, v katerem ugotavljajo zanimive trende. Število novoodkritih ranljivosti se zmanjšuje, a so nepridipravi po drugi strani toliko podjetnejši, da se skupno število napadov še vedno vzpenja. Spreminjajo pa se vektorji, saj zlasti spam izgublja svoj primat na rovaš družabnih omrežij.

Število napadov se je lani v primerjavi z letom pred tem povečalo kar za 81 odstotkov. Prav tako je zraslo število variant zlonamernih programov (malware), in sicer za 41 odstotkov. Čeprav se je njihovo število povečalo, pa izkoriščajo iste ali sorodne ranljivosti, saj je bilo lani odkritih za petino manj ranljivosti kakor leto poprej. Zmanjšala se je tudi količina poslanega...

ZDNet - Znano je, da Microsoft redno objavlja poročila in podatke o ranljivosti svoje programske opreme, manj ljudi pa ve, da to počno tudi za programe tretjih proizvajalcev. V programu MSVR (Microsoft Vulnerability Research), ki teče že od leta 2008, redno prijavljajo napake tretjim proizvajalcem, letos pa so spremenili tudi politiko MSRC-ja (Microsoft Security Response Center), tako da zanje občasno izdajajo tudi varnostna priporočila.

Pri tem so zelo produktivni. V zadnjem letu, torej od julija 2010, so odkrili 109 ranljivosti v programski opremi tretjih proizvajalcev in jim to diskretno javili. Samo avgusta letos so odkrili kritične ranljivosti v WordPressu in Safariju, pretekli mesec pa v Google Picasi in Facebooku. Skupno so v zadnjem...

Microsoft - Medtem ko Facebook, Google in Mozilla hrošče v svojih programih in straneh lovijo tudi tako, da najditeljem in prijaviteljem podeljujejo nagrade, se je Microsoft odločil za drugačen pristop. Klasično lovljenje hroščev za nagrado (bug bounties) je po besedah Katie Moussouris, vodje varnostne strategije v Microsoftu, neprimerno, zato so poizkusili nekaj večjega. Na letošnji konferenci Black Hat so predstavili program, ki ponuja 250.000 dolarjev za najboljšo zamisel.

Kot pravi, raziskovalci že sedaj redno javljajo ranljivosti in hrošče Microsoftu, nekaj tisoč dolarjev vredne nagrade pa tega ne bodo spremenile, saj kdor želi, lahko na črnem trgu zanje iztrži mnogo več. Česa se je torej domislil Microsoft?

Gre za razpis BlueHat Prize, kjer je prva nagrada 200.000 dolarjev, druga nagrada 50.000 dolarjev in tretja nagrada enoletna naročnina na MSDN Universal. Vse ti nagrade...

Facebook - Podobno kot to počneta Google in Mozilla, je tudi Facebook napovedal finančno nagrajevanje odkritih hroščev na svojih straneh in v svojih aplikacijah. Medtem ko Google plačuje do 3.133,7 dolarjev, odvisno od resnosti ranljivosti, in Mozilla 3000 dolarjev, je Facebook svojo nagrado za zdaj postavil na 500 dolarjev. Za velike luknje lahko podelijo tudi večjo nagrado, a se o tem odloča vsakokrat posebej.

Pripravili so poseben portal Whitehat, kjer lahko odkritelji odgovorno javijo napake, tako da ima Facebook čas za odpravo, odkritelji pa kandidirajo za 500 dolarjev. Pri tem so izključene napake v aplikacijah tretjih proizvajalcev, tretjih strani, napake kot posledice napadov DoS in...

ComputerWorld - Microsoft je že pred časom napovedal spremembo politike v MSRC-ju (Microsoft Security Response Center), po kateri bodo objavljali tudi podatke o ranljivosti v programih tretjih proizvajalcev, ki tečejo pod Windows. Prva sta si to prislužila brskalnika Chrome in Opera, ko je Microsoft v varnostnem priporočilu (security advisory) opozoril na ranljivosti v nezakrpanih verzijah. Proizvajalca sta opisane ranljivosti sicer odpravila že lani oktobra oziroma decembra.

To je prvi primer, da je Microsoft izdal varnostno priporočilo zavoljo varnostne ranljivosti v programu kakšnega drugega proizvajalca. To bo odslej redna praksa, pojasnjujejo v MSRC-ju, pri čemer pa bodo vsakokrat pred objavo...

Slo-Tech -

Hadopi je francoski zakon in vladna agencija, ki skrbi za izvrševanje "three stikes" zakonodaje. Uporabniku, ki trikrat zapored dobi obvestilo o uporabi p2p programja za prenos nezakonitih kopij, se kar brez sodne odločbe odklopi internetno povezavo za obdobje od dveh do dvanajst mesecev, račune pa je še vedno treba plačati. Istočasno se ga uvrsti na črno listo, da ne bi sklenil pogodbe s konkurenčnim ponudnikom interneta.

Vladna agencija obenem uporabnike obvešča o zakonitih načinih pridobitve glasbe in videa, žal pa pri tem pa niso najbolj uspešni. Januarja se jim je tako zgodil precej neprijeten incident, saj se je po javni razgrnitvi novega logotipa (glej sliko) pokazalo, da si za tipografijo niso pridobili pravic in jo po vsej verjetnosti dobili - kako ironično - kar z torrent omrežja. Logitip so hitro zamenjali, nedavno pa se je pokazala še luknja v njihovem iskalniku po zakonitih vsebinah. Pri francoski...

ComputerWorld - Vsaj od torka, ko je bil prvikrat odkrit, po internetu divja obsežen napad z vrivanjem SQL, ki je do danes okužil že več sto tisoč strani. Napad so prvi odkrili v podjetju WebSense, kjer so ga po poimenovali LizaMoon po domeni, na katero preusmerja obiskovalce napadenih strani.

Napadalci z vrivanjem SQL na stran poizkusijo vstaviti kodo za JavaScript s povezavo do strani Lizamoon, ki nato na obiskovalčev računalnik prenese strašilno programsko opremo (scareware). Ta se pretvarja, da gre za neobstoječi antivirusni program Windows Stability Center, ki je na računalniku zaznal viruse in ponudi odstranitev proti plačilu.

Napadalci naj bi uspeli vstaviti zlobno kodo v strani na vsaj 21 različnih domenah, skupno pa je prizadeti več sto tisoč strani. Strokovnjaki pravijo, da...

Google - Po enem letu od začetka nagrajevanja prijavljenih lukenj v brskalniku Chrome je Google presodil, da si prvi prijavitelj zasluži najvišjo nagrado v višini 3133,7 dolarjev (za manjše ranljivosti se dobi 500, 1000 ali 1337 dolarjev). Sergey Glazunov prejme za svoje neutrudno lovljenje hroščev 3133,7 dolarjev in še osnovno nagrado v višini 1337 dolarjev ter trikrat po 1000 dolarjev. Ni slabo.

Glazunov je našel eno kritično ranljivost in štiri ranljivosti, ki so označene kot zelo pomembne. Skupno je Google v novi podverziji Chroma 8.0.552.237 popravil 13 pomembnih ranljivosti, kar jih je stalo približno 14 tisoč...

CNET News - Mozilla je že pred časom razpisala program, po katerem so lahko posamezniki zaslužili 500 ameriških zelencev za najdeno varnostno ranljivost, vendar kljub času recesije in krčenju proračunov tudi v IT sektorju to ni spodbudilo resnejšega interesa po iskanju varnostnih ranljivosti. Ko pa so se odločili skladno z izboljšanim stanjem na trgu dela in splošnim stanjem gospodarstva to cifro pomnožiti za šest, torej na tri tisoč dolarjev, so vpodbudili nekoliko resnejši interes.



Ker so trije tisočaki precejšen znesek za dvanajstletnika, je Alex Miller še bolj zastrigel z ušesi kot večina odraslih in se vrgel na delo (nenazadnje, le zakaj bi pomival avtomobile za borih dvajset dolarjev?)....

Mozilla.org - Mozilla je doslej odkrite ranljivosti v Firefoxu nagrajevala s 500 dolarji, sedaj pa so razpisano nagrado povišali na 3000 dolarjev. Poleg že prej vključenega brskalnika Firefox Web, so odslej zajeti tudi Firefox Mobile in še nekaj novih izdelkov. Odkrivanje neznanih ranljivosti je bilo že prej in še ostaja donosen posel, vreden dosti več od piškavih 500 dolarjev. Četudi vnemar pustimo nelegalne možnosti, ko je prodaja ranljivosti zainteresiranim kupcem, ki bodo za dobro odšteli mnogo več, ostane mnogo legalnih potov, kako iz njih iztržiti čim več. Poleg publicitete, ki so jo prijavitelji deležni od medijev, mnogi na varnostnih luknjah sedijo do raznih tekmovanj v vdiranju, kjer so na voljo lepe nagrade (npr. Pwn2Own). Mozilla upa, da bo z novo politiko prepričala odkritelje ranljivosti, da jih kmalu javijo.

ZDNet - Microsoft je včeraj napovedal nov program, ki se za zdaj imenuje Omega. V njegovem sklopu bo obstajal tudi DISP (Defensive Information Sharing Program), ki bo vladam, sodelujočim v GSP (Government Security Program) in SCP (Security Cooperation Program), razkril podatke o varnostnih pomanjkljivostih in ranljivostih pred izdajo popravkov. Kot piše Microsoftov Steve Adegbite, bodo te informacije z vladami delili po izvedbi svojega preiskovalnega in popravljalnega cikla, tik preden bodo izdali popravek. Druga novost bo CIPP (Critical Infrastructure Partner Program), ki bo članom nudil detajlne informacije o varnostni politiki, strategijah in pristopih z namenom pomoči pri zagotavljanju varnosti kritične infrastrukture.

ComputerWorld - Včeraj se je v Vancouvru začelo vsakoletno tekmovanje Pwn2Own, ki ga organizira TippingPoint Zero Day Initiative (ZDI) in kjer se merijo hekerji pri razbijanju različnih aplikacij in platform. Pravila so enostavna - kdor dobi dostop do sistema, dobi še lepo denarno nagrado; skupni fond je vreden 100.000 dolarjev. Tekmovanje traja do petka.

Včeraj so bili na tapeti Internet Explorer 8, Firefox 3 in Chrome 4 na Windows 7 ter Safari 4 na MacOS Snow Leopardu, medtem ko danes napadajo brskalnike IE7, Firefox 3 in Chrome 4 na Visti ter Safari 4 na Snow Leopardu, jutri pa jih bodo še na Windows XP (oz. Safari na Snow Leopardu). Vsak ranjeni brskalnik zmagovalcu prinese 10 tisoč dolarjev.

Poleg brskalnikov na vdor čaka še kopica mobilnih...

Slashdot - Mnogokrat pišemo o tako imenovanih zero day ranljivostih programov, pri čemer se vedno obregamo na urnost proizvajalcev pri pripravi popravkov, redko pa se govori o ekonomski vrednosti teh ranljivosti. Kot so pokazali zadnji napadi, so zero day ranljivosti dragocene tako za napadalce kot tudi obrambo.

Kot pišejo v zanimivem članku na Net Security, je treba za odkritje kakšne kvalitetne luknje žrtvovati približno tri mesece trdega dela hekerjev. Ti zato na podzemnih trgih ranljivosti, ki so se razcveteli v zadnjem času, zanje zahtevajo več sto tisoč dolarjev. Na njih so poleg zlikovcev dejavne tudi vladne agencije, ki lahko cene navijejo tudi milijona dolarjev. Obstaja pa še beli trg, kjer sodelujejo podjetja, kot so VeriSign, TippingPoint in Google, ki kupujejo zero day ranljivosti z namenom pokrpati svoje izdelke,...

Slo-Tech - Kot kaže novice z ranljivostmi v Linux jedru zaradi neustrezne obravnave ničelnih kazalcev (tim. NULL pointer dereference) kmalu ne bodo več novice. Brad Spengler je namreč odkril še en način za eskalacijo privilegijev v Linux sistemih. Kako vse skupaj izgleda v praksi (Spengler je exploit napisal v eni sami uri že 22. oktobra), si je mogoče ogledati v filmčku, objavljenem na YouTube.

A podobna ranljivost ni samo v domeni Linuxa, pač bo glava zabolela tudi Thea de Raadta. Clément Lecigne namreč na svojem blogu opisuje podobno ranljivost v OpenBSD-ju.

Zadnje ranljivosti v Linux jedru bodo gotovo še bolj spodbudile razprave o varnosti Linuxa. Tovrstne razprave so pogosto precej razgrete, pri vsem skupaj pa se žal pogosto pozablja na končni cilj - izboljšanje varnosti. Morda pa bo k temu pripomogel članek Why Linux security has failed (for the past 10 years).

SecurityFocus Online - Očitno se težave z ničelnimi kazalci v Linux jedru kar vlečejo, saj se je po tim. Cheddar bay ranljivosti in podobni ranljivosti v 2.4 in 2.6 jedrih, ki temelji na neustrezni obravnavi ničelnih kazalcev (tim. NULL pointer dereference) v jedru tokrat našla še ena ranljivost

Tudi tokrat gre za problem obravnave ničelnih kazalcev (NULL pointer dereference) in sicer v jedrih različic do 2.6.31 (ranljivo ni le jedro različice 2.6.31.2). Ranljivost - gre za lokalno ranljivost - se tokrat pojavlja v eCryptfs, deluje pa tudi na Ubuntu 9.04 če je mmap_min_addr večji od 0 (to je mogoče preveriti z ukazom "cat /proc/sys/vm/mmap_min_addr"). Prejšnja podobna ranljivost, ki sta jo odkrila Julien Tinnes in Tavis Ormandy je sicer zahtevala, da je na sistemu nameščen SELinux ali pa PulseAudio in da je mmap_min_addr nastavljen na 0.

S pomočjo ranljivosti napadalci lahko okvarijo vsebino pomnilnika RAM (tim. memory corrupt) in s tem onemogočijo delovanje sistema, po nepotrjenih podatkih pa naj bi...

Mozilla.org - Kmalu po izidu Firefox 3 so na TippingPoint objavili informacijo (ranljivost ZDI-CAN-349), da so preko programa Zero Day Initiative nekaj ur po uradnem izidu Firefoxa dobili informacijo o visoko kritični ranljivosti tega spletnega brskalnika.

Ranljivost v Firefox 3.0 in 2.x omogoča zagon poljubne programske kode, potrebno pa je minimalno "sodelovanje" uporabnika (klik na povezavo ali obisk okužene spletne strani). Pri TippingPoint so o ranljivosti nemudoma obvestili razvijalce Firefoxa, ti pa pravijo, da na odpravi napake že intenzivno delajo ter poudarjajo da izraba varnostne ranljivosti še ni javno dostopna.

Še ni. Prav tako pa tudi popravek še ni na voljo.

Na novico nas je opozoril InExtremis.

Ars Technica - Kot poroča Ars Technica, je imela na nedavni konferenci SyScan Conference, direktorica podjetja Immunity, Justine Aitel predstavitev z naslovom "The IPO of the 0day".

V predstavitvi je predstavila nekaj zanimivih statistik o tim. 0-day izrabah varnostnih ranljivosti, ki so objavljene na internetu. Izkazalo se je namreč, da od objave 0-day izrabe varnostne ranljivosti do izdaje popravka zanj v povprečju mine 348 dni. Najdaljši odzivni čas je bil po njegovih ugotovitvah 1080 dni (več kot tri leta), najhitrejši pa 99 dni.

Aitelova tudi ugotavlja, da se 0-day izrabe varnostne ranljivosti čedalje bolj usmerjajo v finančni sektor, podjetjem pa priporoča, da zaposlijo ali najamejo hekerje, ki se bodo ukvarjali z varnostjo njihovih sistemov.

Morda pa bi podjetja kakšno izrabo varnostne ranljivosti lahko tudi odkupila?

Slo-Tech - 21.4.1994:
rlogin [hostname] -l -froot
IBM AIX rlogin bypass vulnerability

12.2.2007
telnet -l -froot [hostname]
Sun Solaris 10/11 telnet bypass 0-day

Res je telnet že precej arhaičen in večina uporablja SSH ali telnet over SSL. Fascinantno pa je, da se še vedno lahko odkrije tako trivialne ranljivosti... Pomankljivost je bila odkrita s pomočjo OpenSolaris izvorne kode. Le koliko časa je bila znana le posvečenim krogom?

Več informacij:
SANS DShield

In ko smo že pri 0-day ranljivostih, v javnosti se je pojavil tudi remote exploit, ki izkorišča ranljivost v priljubljenem Torrent klientu uTorrent v1.6 (zadnja različica). Gre pa za prekoračitev na kopici (heap overflow). Uporabniki Windows XP SP2/Vista niso ranljivi.

Schneier.com - Ugledna pravna revija Harvard Law Review je objavila nepodpisan članek oz. razmišljanje o varnostnih incidentih na internetu.

Avtor pri svojem razmišljanju ubira povsem svež pristop. Trdi namreč, da bi na računalniška omrežja morali gledati kot na nekakšne organizme z imunskimi sistemi. Zanje pa je značilno, da jih napadi bolezni krepijo.

Odkrite in izrabljene varnostne ranljivosti imajo za posledico reakcijo - odpravo teh ranljivosti s strani proizvajalcev ter povišano varnostno kulturo uporabnikov. Vse to po mnenju avtorja krepi "imunski sistem" interneta in zmanjšuje verjetnost, da bi nekoč prišlo do katastrofalnega napada, ki bi lahko ogrozil nacionalno ali celo globalno varnost. Po mnenju avtorja so torej nekatere oblike kiberkriminala celo koristne oz. prinašajo več koristi kot stroškov, kar bi bilo po njegovem mnenju potrebno upoštevati tudi pri obravnavi (preganjanju in kaznovanju) kiberkriminalnih dejanj.