Slo-Tech - Na letošnjem hekerskem tekmovanju Pwn2Own, ki se je odvijalo minula dva dni v Vancouvru, so razdelili 460.000 dolarjev nagrad tekmovalcem, ki so odkrili 21 novih ranljivosti v operacijskih sistemih Windows in OS X, v brskalnikih Safari, Edge in Chrome ter v Flashu. Firefox letos sploh ni bil na seznamu, ker se ocenili, da ima toliko lukenj, da njegovo lomljenje sploh ne bi bilo zanimivo.

Potem ko je bil Pwn2Own nekaj časa pod vprašajem, saj je prireditelja Tipping Point od Hewlett-Packarda odkupil Trend Micro, so tekmovanje ohranili in nekoliko modernizirali. Poleg klasičnih tarč in nagrad so uvedli tudi rubriko Master of Pwn, ki je služila kot nekakšen skupni seštevek za vse, ki so tekmovali v več kategorijah.

Na mizi je bilo 65.000 dolarjev za vdor v Chrome, prav toliko za...

threatpost - Danes se je v sklopu konference CanSecWest v Vancouvru začelo vsakoletno tekmovanje v vdiranju v brskalnike in operacijske sisteme Pwn2Own. Prvi dan so si tekmovalci prislužili 317.500 dolarjev, ko so zlomili Adobe Reader in Flash, Windows, Internet Explorer 11 in Firefox. Jutri bo na sporedu drugi dan tekmovanja.

Najprej sta ekipi Team509 in KeenTeam razbili Adobe Flash. KeenTeam je Flash razbila že tudi lani. Obe sta letos izrabili isto ranljivost, in sicer sta s prekoračitvijo kopice (heap overflow) izvedli nepooblaščeno kodo ter z eskalacijo privilegijev pridobili dostop do jedra Windows. Prejeli sta 85.000 dolarjev (60.000 za Flash in 25.000 za Windows). Nicolas Joly, ki je svoj čas delal za VUPEN, je prav tako uspešno zlomil...

Slo-Tech - Raziskovalec iz Tel Aviva je javno razkril ranljivost v Chromu, ki omogoča dobesedno prisluškovanje uporabniku. Zlonamerna spletna stran lahko uporabnika pretenta v odobritev uporabe vgrajenega mikrofona v računalniku, ki ga potem posluša, vse dokler uporabnik ne zapre brskalnika, četudi je stran vmes zapustil. Google napake v štirih mesecih, odkar ve zanjo, še ni odpravil.

Prepoznavanje govora je uporabna funkcija, ki jo Google ponuja celo na svoji glavni strani kot glasovno iskanje. Če ima računalnik delujoč mikrofon in zadnjo verzijo Chroma, lahko Chrome govorjeno besedilo posreduje na Googlove strežnike, ki so izjemno zmogljivi in so hkrati prežvečili že ogromno govorjenega besedila, zato se običajno dobro znajdejo z vsakim...

Slo-Tech - Končalo se je letošnje hekersko tekmovanje Pwn2Own, ki je od srede do danes potekalo v Vancouvru ob boku konference CanSecWest. O rezultatih prvega dne smo že pisali in nič manj zanimivo ni bilo v nadaljevanju. Na kratko torej povzemimo rezultate.

Prvi dan so padli IE10, Chrome, Firefox in Java. Drugi dan tekmovanja so bili na tapeti še ostale tarče. Francoski VUPEN je uspel zlomiti Flash, George Hotz, ki ga poznamo pod vzdevkom geohot in je zraven, ko pišemo o jailbreakih iOS-a in hekanju PlayStationa, pa je uspešno zlomil Adobe Reader. Na koncu je Ben Murphy zlomil še Javo, ki je v dveh dneh torej padla štirikrat in potrdil svoj sloves najbolj luknjičastega vtičnika. To pomeni, da so razdelili 480.000 dolarjev nagrad. Edina nepodeljena nagrada je ostala v kategoriji Safari, ki se ga nihče ni niti...

ComputerWorld - Vsakoletno tekmovanje hekerjev Pwn2Own, kjer se v Vancouvru zberejo najboljši iskalci ranljivosti ter napadajo priljubljene brskalnike in operacijske sisteme, bo letos nagradni sklad dvignilo za petkrat, so sporočili prireditelji. Pwn2Own bo letos potekal od 6. do 8. marca na konferenci CanSecWest v Vancouvru pod pokroviteljstvom HP TippingPointa. Nagradni sklad se je dvignil na 560.000 dolarjev.

Glavna nagrada v višini 100.000 gre tistemu, ki bo prvi kompromitiral Chrome na Windows 7 ali Internet Explorer 10 na Windows 8. Uspešen napad na IE9 bo vreden 75.000 dolarjev, Flash in Adobe Reader vsak po 70.000 dolarjev, Safari 65.000 dolarjev, Firefox 60.000 dolarjev in Java 20.000...

Slo-Tech - Letošnje tekmovanje v iskanju varnostnih pomanjkljivosti se je šele začelo, vendar že vemo, da Google Chrome tokrat ne bo uspel ohraniti lanske titule kot edini nedotaknjeni brskalnik. Francoska skupina VUPEN je namreč le pet minut po začetku prijavila exploit, ki z izkoriščenjem dveh napak uspešno prebije Chromov sandbox. Google je pristnost eksploita že potrdil, tako da jih čaka vsaj 60 tisoč dolarjev, prenosnik Google Chromebook in morda še del skupnega nagradnega sklada 1 milijona dolarjev.

VUPEN in Google imata že nekaj zgodovine. Gre za francosko varnostno podjetje, ki testira varnost priljubljenih programskih paketov in potem svojim naročnikom za lepe vsote prodaja rezultate...

Chromium Blog - Približuje se letošnji dogodek CanSecWest, ki vsako leto marca poteka v kanadskem Vancouvru in v okviru katerega se odvije tudi hekersko tekmovanje Pwn2Own. Na njem se pomerijo ekipe strokovnjakov iz celega sveta in poizkusijo izkoristiti ranljivosti v brskalnikih in mobilnih telefonih, zmagovalci pa so bogato nagrajeni. Letošnji CanSecWest se bo začel danes teden in bo trajal tri dni. Program bo podoben kot lani, le da se je Google odločil, da ne bo več sodeloval, ampak bo razpisal lastno tekmovanje.

Razlog je sprememba pravil na Pwn2Own, ki od letos od tekmovalcev ne zahteva več, da razkrijejo vse hrošče in...

CNet - Google je v svoj brskalnik Chrome vpeljal novo funkcijo, ki je za zdaj še v beta fazi, a je kljub temu že zelo uporabna. Imenuje se Chrome Remote Desktop in prek brskalnika na računalnik prinaša možnost oddaljenega dostopa (podobno kot recimo Remote Desktop v Windows) in krmiljenja. Tovrstna orodja seveda že obstajajo, a Googlov pristop je unikaten zato, ker poteka iz brskalnika Chrome in je neodvisen od operacijskega sistema. Podprti so Windows, Linux, Mac OS X in Chrome OS.

Googlova implementacija je še v povojih, a že povsem zadovoljivo deluje. Izvedena je prek P2P-povezave z libjingle z PseudoTcp (Googlove knjižice, ki podpirajo UDP, TCP ali relay prek Googlovih strežnikov). Povezava je seveda šifrirana...

Microsoft - Medtem ko Facebook, Google in Mozilla hrošče v svojih programih in straneh lovijo tudi tako, da najditeljem in prijaviteljem podeljujejo nagrade, se je Microsoft odločil za drugačen pristop. Klasično lovljenje hroščev za nagrado (bug bounties) je po besedah Katie Moussouris, vodje varnostne strategije v Microsoftu, neprimerno, zato so poizkusili nekaj večjega. Na letošnji konferenci Black Hat so predstavili program, ki ponuja 250.000 dolarjev za najboljšo zamisel.

Kot pravi, raziskovalci že sedaj redno javljajo ranljivosti in hrošče Microsoftu, nekaj tisoč dolarjev vredne nagrade pa tega ne bodo spremenile, saj kdor želi, lahko na črnem trgu zanje iztrži mnogo več. Česa se je torej domislil Microsoft?

Gre za razpis BlueHat Prize, kjer je prva nagrada 200.000 dolarjev, druga nagrada 50.000 dolarjev in tretja nagrada enoletna naročnina na MSDN Universal. Vse ti nagrade...

Slashdot - Raziskovalci iz francoskega VUPEN-a so objavili, da so odkrili resno ranljivost v Googlovem brskalniku Chrome, ki omogoča zaobiti vse varnostne mehanizme (ASLR, DEP in Chromov peskovnik) ter tiho (to pomeni, da se brskalnik ne sesuje po izvršitvi) izrabiti neobjavljeno (0-day) ranljivost za izvedbo zlobne kode. Ranljivost učinkuje na vseh operacijskih sistemih Windows, ne glede na verzijo ali bitnost. Podrobnosti, razumljivo, javno niso razkrili.

Ranljivost obstoji tudi v najnovejši verziji brskalnika Chrome 11.0.696.65 na Windows 7 SP1. Njeno delovanje so prikazali v spodaj priloženem videoposnetku. Vidimo, da se po obisku posebej prilagojene spletne strani z oddaljene lokacije na računalnik prenese zunanja koda (konkretno Računalo)...

Google -

Google kani v naslednjo stabilno različico brskalnika Chrome (po vsej verjetnosti 12) dodati še več zaščite pred nevarnostmi na spletu. Že zdaj se ob obisku znane phishing, XSS oz. XSRF strani pokaže jasno obvestilo (glej prvo sliko), v prihodnosti pa bomo dobili še opozorilo ob poskusu prenosa .exe datoteke s take strani (glej drugo sliko).

Tehnično je preverjanje izvedeno tako, da Chrome vodi lokalni seznam sumljivih domen v zgoščeni obliki. Vsak spletni naslov (url) pred odprtjem preveri zoper omenjeni seznam in če kaj najde, se sproži še dodatno preverjanje na Googlovih strežnikih. Sistem je zelo podoben mehanizmu preverjanja preklicanih certifikatov, le da je bistveno bolj ažuren in da vse podatke vodi Google sam.

Chrome je sicer znan kot precej varen...

Intel - Intel Science Talent Search je prestižni program, ki ga v ZDA že sedemdeset let organizira Society for Science & the Public, sprva pod sponzorstvom Westinghousa, zadnjih trinajst let pa pod Intelovim. Na natečaju za nagrade, ki jih mnogi primerjajo z Nobelovimi nagradami za srednješolce, sodeluje vsako leto okoli med 1500 in 2000 dijakov iz ZDA, ki pripravijo svoje raziskovalne projekte s področja naravoslovja ali matematike. Gre za resno raziskovalno delo na še nerešenih problemih, ki ga mnogi opravijo tudi v najboljših univerzitetnih in zasebnih laboratorijih. Letošnji zmagovalec je 17-letni Evan O'Dorney iz Kalifornije.

O'Dorney je v matematičnem projektu analiziral in primerjal dva načina ocene kvadratnega korena celega števila in...

ZDNet - Včeraj se je v Vancouvru začelo letošnje tekmovanje Pwn2Own, kjer tekmovalci iščejo varnostne luknje v brskalnikih in mobilnih telefonov, v zameno za uspešne napade pa prvouvrščeni dobijo lepe nagrade. Tekmovanje se je začelo po našem času danes ob 0.30 uri. Safari in Internet Explorer sta že padla.

Ekipa francoskega podjetja Vupen je kljub popravku 5.0.4 za Safari, ki je izšel le nekaj ur pred prireditvijo,

ComputerWorld - Vsakoletni hekerski dogodek, kjer hekerji in raziskovalci demonstrirajo svoje poznavanje brskalnikov in mobilnih telefonov ter varnostnih lukenj v njih, se bo letos v Vancouvru začel 9. marca. Za nekoliko več vznemirjenja kot ponavadi je poskrbel Google, ki je razpisal doslej najvišjo nagrado 20.000 dolarjev za kogarkoli, ki bi našel in uspešno zlorabil kakšno ranljivost v njihovem brskalniku Chrome.

Na letošnjem Pwn2Ownu bosta okolje 64-bitna operacijska sistema Windows 7 in Mac OS X, na katerih bodo tekli Internet Explorer, Firefox, Safari in Chrome. Prvi, ki bodo zlomili prve tri brskalnike, bodo prejeli 15.000 dolarjev, kar je 50 odstotkov več kot lani, medtem ko so za Chrome nekoliko drugačna pravila.

Ker Chrome...

Google - Po enem letu od začetka nagrajevanja prijavljenih lukenj v brskalniku Chrome je Google presodil, da si prvi prijavitelj zasluži najvišjo nagrado v višini 3133,7 dolarjev (za manjše ranljivosti se dobi 500, 1000 ali 1337 dolarjev). Sergey Glazunov prejme za svoje neutrudno lovljenje hroščev 3133,7 dolarjev in še osnovno nagrado v višini 1337 dolarjev ter trikrat po 1000 dolarjev. Ni slabo.

Glazunov je našel eno kritično ranljivost in štiri ranljivosti, ki so označene kot zelo pomembne. Skupno je Google v novi podverziji Chroma 8.0.552.237 popravil 13 pomembnih ranljivosti, kar jih je stalo približno 14 tisoč...

Mozilla.org - Mozilla je doslej odkrite ranljivosti v Firefoxu nagrajevala s 500 dolarji, sedaj pa so razpisano nagrado povišali na 3000 dolarjev. Poleg že prej vključenega brskalnika Firefox Web, so odslej zajeti tudi Firefox Mobile in še nekaj novih izdelkov. Odkrivanje neznanih ranljivosti je bilo že prej in še ostaja donosen posel, vreden dosti več od piškavih 500 dolarjev. Četudi vnemar pustimo nelegalne možnosti, ko je prodaja ranljivosti zainteresiranim kupcem, ki bodo za dobro odšteli mnogo več, ostane mnogo legalnih potov, kako iz njih iztržiti čim več. Poleg publicitete, ki so jo prijavitelji deležni od medijev, mnogi na varnostnih luknjah sedijo do raznih tekmovanj v vdiranju, kjer so na voljo lepe nagrade (npr. Pwn2Own). Mozilla upa, da bo z novo politiko prepričala odkritelje ranljivosti, da jih kmalu javijo.

Ars Technica - Z izidom Safarija 5 ta teden je Apple postal avtor najbolj sveže različice brskalnika in hkrati zadnji proizvajalec, ki se je pohvalil, da je njihov brskalnik najhitrejši. Tak slavospev ob izidu nove verzije zapiše kar vsako podjetje, zato so si na Ars Technici pogledali, kateri brskalnik je v resnici najhitrejši. Preizkušali so hitrost JavaScripta v Windows in Mac OS X. Rezultati kažejo, da Safari 5 ni tako hiter, kot bi si Steve Jobs želel, čeravno je hitrejši od Safarija 4.

Na sistemu z Mac OS X so si nasproti stali Safari 5.0, Chrome 5.0.375.70, Firefox 3.6.3 in Opera 10.53, medtem ko sta se jim v Windows pridružila še Internet Exxplorer 8 in 9, Chrome pa je zamenjal Chrome...

Slo-Tech - V Vancouvru se je končalo vsakoletno tekmovanje Pwn2Own, kjer hekerji poskušajo in običajno uspejo na kolena spraviti brskalnike in mobilne telefone. Tudi letos so pred tekmovanjem naredili domačo nalogo, tako da so v minutah obvladali zadane naloge. Poglejmo si izkupiček.

Internet Explorer 8 je navkljub varnostnim tehnologijam ASLR in DEP na Windows 7 strl Peter Vreugdenhil (PDF). Na isti platformi je Firefox premagal heker, ki se predstavlja le z vzdevkom Nils in ki je blestel že lani. Macov Safari je Mac OS X snedel Charlie Miller. Dobili so vsak po 10.000 dolarjev in bodisi MacBooka bodisi PC bodisi Sony Vaio.

Na področju mobilnih telefonov je padel iPhone, ki sta ga v vsega 20 sekundah ukanila Ralf Philipp...

ComputerWorld - Včeraj se je v Vancouvru začelo vsakoletno tekmovanje Pwn2Own, ki ga organizira TippingPoint Zero Day Initiative (ZDI) in kjer se merijo hekerji pri razbijanju različnih aplikacij in platform. Pravila so enostavna - kdor dobi dostop do sistema, dobi še lepo denarno nagrado; skupni fond je vreden 100.000 dolarjev. Tekmovanje traja do petka.

Včeraj so bili na tapeti Internet Explorer 8, Firefox 3 in Chrome 4 na Windows 7 ter Safari 4 na MacOS Snow Leopardu, medtem ko danes napadajo brskalnike IE7, Firefox 3 in Chrome 4 na Visti ter Safari 4 na Snow Leopardu, jutri pa jih bodo še na Windows XP (oz. Safari na Snow Leopardu). Vsak ranjeni brskalnik zmagovalcu prinese 10 tisoč dolarjev.

Poleg brskalnikov na vdor čaka še kopica mobilnih...