»

Pisci Linuxa najhitreje krpajo luknje

Google Project Zero - Raziskovalci iz Googlovega Project Zero ugotavljajo, da je Linux programsko okolje, kjer se najhitreje zakrpajo odkrite ranljivosti. Če to privzamemo kot merilo za varnost operacijskega sistema, Linux odločno prehiti Windows in macOS. Najslabše se je odrezal Oracle, ki je v povprečju potreboval 109 dni, da je zakrpal odkrite in prijavljene hrošče. Linuxu, ki resnično odstopa, sledita Mozilla in Google.

V okviru Projecta Zero, ki sodi pod Googlovo okrilje, strokovnjaki iščejo ranljivosti v pogosti programski opremi in nanje proizvajalca odgovorno opozorijo. To pomeni, da mu dajo na voljo 90 dni, da luknje zakrpa. Če se ne zgodi nič, začne teči dodatni 14-dnevni rok, nato pa odkrito ranljivost javno priobčijo na spletu. V takem primeru lahko ranljivost začno izkoriščati tudi zlonamerni igralci, kar predstavlja velik in skrajni pritisk na proizvajalca, da luknjo vendarle odstrani.

Gogole Project Zero je v letih 2019-2021 odkril 376 ranljivosti. Od teh jih je bilo 93,4 odstotka...

9 komentarjev

Ranljivost v iOS je omogočala prisluškovanje prek Wi-Fi brez interakcije uporabnika

Slo-Tech - Spomladi (še pred vgraditvijo sistema za slednje stikom prek stalno vključenega Bluetootha) je Apple zakrpal ranljivost v operacijskem sistemu za svoje mobilne telefone iOS, ki je omogočala dostop do vsebine telefonov zgolj ob vključenem Wi-Fi, ne da bi uporabnik kakorkoli posredoval. Ranljivost je odkril Ian Beer, ki je zaposlen v Googlovem oddelku za iskanje ranljivosti Project Zero. Sedaj ko je ranljivost že lep čas zakrpana, je podrobnosti razkril na blogu podjetja.

Za napad je dovolj, da se sprehodimo mimo oddajnika Wi-Fi (torej praktično katerakoli mobilna naprava), ki nam posreduje ustrezno pokvarjen paketek (packet of death). Ranljivost se skriva v gonilniku AWDL, ki skrbi za omrežno povezljivost v Applovih napravah. Ker gonilniki bivajo v jedru, kjer imajo najvišje privilegije, so hrošči v njih tako nevarni. AWDL skrbi tudi za Wi-Fi, zato je to ranljivost možnost uporabiti na daljavo in - temu pravimo wormable - širiti od naprave do naprave. Beer je pokazal, kako lahko ranljivost uporabo v različne namene. Oblikoval je delujoče primerke kode, ki so kradli elektronsko pošto, fotografije, sporočila, gesla in celo ključe. Zadostoval je Raspberry Pi in Wi-Fi adapter, nato pa je trajalo le nekaj sekund in naprave v...

45 komentarjev

Nezakrpana ranljivost v Androidu se že izrablja

Slo-Tech - Maddie Stone iz Googlovega Project Zero je v Androidu odkrila resno ranljivost, ki hekerjem omogoča prevzem nadzora nad nekaterimi telefoni z Androidom. Ranljivost se tudi v praksi že izrablja, pri čemer Project Zero s prstom kaže na NSO Group. Gre za izraelsko podjetje, ki je specializirano za iskanje, zbiranje in preprodajo ranljivosti. NSO se brani, da omenjena ranljivost ni v nikakršni povezavi z njimi. Google je obstoj ranljivosti potrdil in obljubil, da oktobra izide popravek.

Trenutno kaže, da je prizadetih več telefonov številnih proizvajalcev. Med drugim je moč zlorabiti Pixel 1 in 2, Huawei P20, Redmi 5A in Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3 in Samsung S7, S8 in S9. Googlov popravek bo neposredno uporaben za Pixel, medtem ko bodo morali ostali proizvajalci poskrbeti za njegovo integracijo v sistemsko posodobitev. Ranljivost je del Linuxovega jedra, kjer so jo odpravili v verziji 4.14 (v začetku leta 2018). Popravljena je tudi v novejših jedrih Androida, ni pa...

0 komentarjev

Google odkril 20 let staro ranljivost v Windows

Slo-Tech - Raziskovalci v Googlovem Projectu Zero, ki se ukvarja z iskanjem ranljivosti v programski opremi drugih podjetij, so odkrili varnostno luknjo v Windows, ki tam tiči že 20 let. To pomeni, da so (bile) prizadete vse verzije od Windows XP dalje, vključno z najnovejšim Windows 10. V osnovnem Windows XP sicer prizadete kode ni, jo pa dobimo, če namestimo Office. Tavis Ormandy iz Googla pojasnjuje, da je ranljiv odjemalec MSCTF (podsistem CTF v Windows Text Services Framework), zaradi česar lahko aplikacije z nizkimi privilegiji ali aplikacije iz peskovnikov dosežejo eskalacijo privilegijev. V praksi to pomeni, da lahko prijavljeni lokalni uporabniki pridobijo administratorske pravice.

Najbolj zanimivo je, je dejal Ormandy, da je luknja na široko...

4 komentarji

Hude ranljivosti v Symantecovi programski opremi

Slo-Tech - Googlovi raziskovalci v Projectu Zero so odkrili resne ranljivosti v praktično vseh Symantecovih izdelkih za varovanje računalnikov, in sicer v Norton Security, Norton 360 (ostalih starejših izdelkih pod blagovno znamko Norton), Symantec Endpoint Protection, Email Security, Protection Engine idr. Ranljivosti je že pripoznal tudi Symantec, ki je naštel 17 prizadetih izdelkov, a za zdaj trdi, da še niso opazili nobenih primerov izrabe teh ranljivosti.

Kot so zapisali v Googlu, so ranljivosti resne predvsem zato, ker za okužbo ni potreba nobena interakcija z uporabnikom, ker so ranljive tudi najnovejše verzije programske opreme v privzetih nastavitvah in ker se ob zlorabi zlonamerna koda izvede z najvišjimi...

19 komentarjev

VUPEN želi iz Francije

VUPEN-ova ekipa v Vancouvru letos. Bekrer stoji v sredini.

Heise - Francoski VUPEN, ki ga poznamo kot večkratnega zmagovalca hekerskega tekmovanja Pwn2Own in podobnih natečajev ter kot vodilno varnostno podjetje, ki se ukvarja z iskanjem ranljivosti v programski opremi in prodaji podrobnosti o luknjah, se seli. Svoj sedež bodo iz Montpellierja zaradi francoske birokracije v eno izmed prožnejših držav. Omenjajo se Luksemburg, Singapur in ameriška zvezna država Maryland, kjer že imajo podružnico. Ni še povsem jasno, ali bodo podjetje le preselili, ali pa ga bodo poslali v likvidacijo in se v tujini organizirali povsem na novo.

Kot je povedal vodja VUPEN-a Chaouki Bekrar, so problem izvozne omejitve v Franciji. Dejal je, da sicer razume in podpira izvozne omejitve za nevarno tehnologijo, kamor sodijo tudi javnosti...

31 komentarjev

Google Zero bo iskal hrošče tudi v tujih programih

Chris Evans nabira ekipo za Project Zero.

Wired News - Projekti nagrajevanja odkriteljev ranljivosti v programski opremi (bug bounties) so med podjetji že nekaj običajnega. Ima ga tudi Google, kjer so v štirih letih podelili že precej nagrad. Sedaj pa bo Google lovljenje hroščev dvignil na novo dimenzijo, saj se bodo lotili tudi tuje programske opreme in to kar v lastni hiši.

Zagnali so Project Zero, na katerem bodo zaposlili največje strokovnjake za iskanje ranljivosti in lovljenje hroščev. Ti ne bodo imeli...

15 komentarjev

Na letošnjem Pwn2Own največkrat zlomljen Firefox

Slo-Tech - Prejšnji teden je v Vancouvru potekala konferenca CanSecWest, v okviru katere vsako leto teče tekmovanje v vdiranju Pwn2Own. Razdelili so 850.000 dolarjev nagrad za 12 uspešnih napadov na komercialno programsko opremo. Največkrat je padel Firefox.

Prvi dan tekmovanja je pet ekip demonstriralo pet uspešnih napadov. Jüri Aedla je uspešno napadel Firefox (izvajanje kode zaradi pisanja in branja izven mej, out-of-bound read/write), Mariusz Mlynski je zoper Firefox izkoristil kar dve ranljivosti, in sicer eno za eskalacijo privilegijev in drugo za obvoz vgrajenih varnostnih mehanizmov. Francoska ekipa VUPEN, ki je tradicionalno med najmočnejšimi, je pokazala kar štiri ranljivosti. Zlomili so Adobe Flash, Adobe Reader, Microsoft Internet...

20 komentarjev

Google skupno ponuja milijon dolarjev za ranljivosti v Chromu

Google bo delil tudi chromebooke

vir: Chromium Blog
Chromium Blog - Približuje se letošnji dogodek CanSecWest, ki vsako leto marca poteka v kanadskem Vancouvru in v okviru katerega se odvije tudi hekersko tekmovanje Pwn2Own. Na njem se pomerijo ekipe strokovnjakov iz celega sveta in poizkusijo izkoristiti ranljivosti v brskalnikih in mobilnih telefonih, zmagovalci pa so bogato nagrajeni. Letošnji CanSecWest se bo začel danes teden in bo trajal tri dni. Program bo podoben kot lani, le da se je Google odločil, da ne bo več sodeloval, ampak bo razpisal lastno tekmovanje.

Razlog je sprememba pravil na Pwn2Own, ki od letos od tekmovalcev ne zahteva več, da razkrijejo vse hrošče in...

12 komentarjev

Microsoft odpira četrt milijona dolarjev vreden natečaj

Microsoft - Medtem ko Facebook, Google in Mozilla hrošče v svojih programih in straneh lovijo tudi tako, da najditeljem in prijaviteljem podeljujejo nagrade, se je Microsoft odločil za drugačen pristop. Klasično lovljenje hroščev za nagrado (bug bounties) je po besedah Katie Moussouris, vodje varnostne strategije v Microsoftu, neprimerno, zato so poizkusili nekaj večjega. Na letošnji konferenci Black Hat so predstavili program, ki ponuja 250.000 dolarjev za najboljšo zamisel.

Kot pravi, raziskovalci že sedaj redno javljajo ranljivosti in hrošče Microsoftu, nekaj tisoč dolarjev vredne nagrade pa tega ne bodo spremenile, saj kdor želi, lahko na črnem trgu zanje iztrži mnogo več. Česa se je torej domislil Microsoft?

Gre za razpis BlueHat Prize, kjer je prva nagrada 200.000 dolarjev, druga nagrada 50.000 dolarjev in tretja nagrada enoletna naročnina na MSDN Universal. Vse ti nagrade...

18 komentarjev

Google po enem letu podelil najvišjo nagrado za lovce na hrošče v Chromu

vir: Google
Google - Po enem letu od začetka nagrajevanja prijavljenih lukenj v brskalniku Chrome je Google presodil, da si prvi prijavitelj zasluži najvišjo nagrado v višini 3133,7 dolarjev (za manjše ranljivosti se dobi 500, 1000 ali 1337 dolarjev). Sergey Glazunov prejme za svoje neutrudno lovljenje hroščev 3133,7 dolarjev in še osnovno nagrado v višini 1337 dolarjev ter trikrat po 1000 dolarjev. Ni slabo.

Glazunov je našel eno kritično ranljivost in štiri ranljivosti, ki so označene kot zelo pomembne. Skupno je Google v novi podverziji Chroma 8.0.552.237 popravil 13 pomembnih ranljivosti, kar jih je stalo približno 14 tisoč...

19 komentarjev

Z ranljivostmi se živahno trguje

Življenjski cikel zero day ranljivosti

Slashdot - Mnogokrat pišemo o tako imenovanih zero day ranljivostih programov, pri čemer se vedno obregamo na urnost proizvajalcev pri pripravi popravkov, redko pa se govori o ekonomski vrednosti teh ranljivosti. Kot so pokazali zadnji napadi, so zero day ranljivosti dragocene tako za napadalce kot tudi obrambo.

Kot pišejo v zanimivem članku na Net Security, je treba za odkritje kakšne kvalitetne luknje žrtvovati približno tri mesece trdega dela hekerjev. Ti zato na podzemnih trgih ranljivosti, ki so se razcveteli v zadnjem času, zanje zahtevajo več sto tisoč dolarjev. Na njih so poleg zlikovcev dejavne tudi vladne agencije, ki lahko cene navijejo tudi milijona dolarjev. Obstaja pa še beli trg, kjer sodelujejo podjetja, kot so VeriSign, TippingPoint in Google, ki kupujejo zero day ranljivosti z namenom pokrpati svoje izdelke,...

7 komentarjev