Slo-Tech - Minuli teden so uporabniki Western Digitalovih zunanjih diskov My Book Live, ki so bili povezani v mreže, naleteli na hudo nevšečnost, saj so zaradi ranljivosti lahko izgubili podatke. Diski so se namreč ponastavili na tovarniške nastavitve, kar je povzročilo popolno izgubo podatkov. Sedaj je znanih več informacij, kako so hekerji uspeli to ušpičiti.

Niso le izkoristili tri leta starega hrošča, kakor je kazalo sprva, temveč svežo (0-day) ranljivost. Predhodno nerazkrita ranljivost je tičala v datoteki system_factory_restore, ki vsebuje skripto PHP za ponastavitev diska, kar vključuje izbris podatkov. Ta skripta je vsebovala preveritev istovetnosti uporabnika z geslom, preden bi se pognalo brisanje, a je bila iz neznanih razlogov ta funkcija zakomentirana. To pomeni, da je bila zaščita z geslom namenoma onemogočena. Naprava, ki je priključena v internet, je imela torej možnost brisanja podatkov brez gesla. To je kar klicalo po katastrofi, ki se je sedaj zgodila.

Drugi pogoj za...

Slo-Tech - Na spletni strani StackOverflow najdemo kopico programerskih vprašanj in boljših ali slabših odgovorov, ki jih bralci ocenijo. Najviše ocenjeni odgovori so po navadi tudi pravilni, čeprav to ni nujno. Zanimivo zgodbo o tem je pripravil Andreas Lundblad, ki je avtor največkrat uporabljenega koščka kode s StackOverflowa. Predvsem je ironično dejstvo, da je njegov najpriljubljenejši kos kode vseboval hrošča, ki ga desetletje nihče ni opazil.

Da je njegov kos kode res popularen, sta lani pokazala Sebastian Baltes in Stephan Diehl z Univerze v Trierju. Njun projekt je bil sicer preveriti, kako pogosto, kod in pod katero licenco se v praksi pojavljajo kosi kode, ki so dostopni na strani StackOverflow. Stran namreč izrecno zapoveduje licenco CC BY-SA 3.0, a se vsi uporabniki tega ne držijo in kodo kopirajo vse naokoli. Večina ponovno uporabljene kode je nepravilno označena, sta ugotovila.

Vrnimo pa se k najpopularnejšemu kosu kode, ki je bil objavljen leta 2010. Šlo je za funkcijo, ki...

Slo-Tech - Ko smo v začetku meseca izvedeli, da imajo Intelovi procesorji še cel skrivni operacijski sistem, do katerega uporabnik nima dostopa, smo le še čakali, kdaj se bodo našle prve varnostne luknje v tej skrivni kodi. Res ni bilo treba dolgo čakati, saj je Intel ta teden že potrdil, da je odkril 11 resnih hroščev, ki so v več milijonih procesorjev po celem svetu.

Ko sta Maxim Goryachy in Mark Ermolov iz Positive Technologies odkrila kritično ranljivost v ME (Management Engine) v Intelovih procesorjih, je Intel opravil širšo revizijo svoje kode in ugotovil, da so v ME, TXE (Trusted Execution Engine) in SPS (Server Platform Services) hrošči, ki predstavljajo varnostna tveganja. Goryachy in Ermolov bosta svoja odkritja...

Reuters - Hekerski napad na Microsoft, ki se je zgodil leta 2013 in ga je podjetje takrat sicer omenilo, a njegov pomen zmanjšalo, je bil po poročanju Reutersa bistveno resnejši. Neznani napadalci so tedaj pridobili dostop do baze, v kateri ima Microsoft shranjene podatke o znanih ranljivostih v programski opremi, ki jih še niso zakrpali. Microsoft je to vedel, a tega javnosti ni sporočil.

Reuters se sklicuje na pričevanja petih nekdanjih zaposlenih, ki so mu zgodbo potrdili. Microsoft je za napad izvedel že leta 2013, ko je preiskoval vdore v Facebook, Twitter in Apple. Tedaj je odkril, da je bil tarča uspešnega vdora tudi sam, o čemer je javnost obvestil zelo pomanjkljivo. Microsoft je tedaj zapisal, da je skupina, ki jo poznamo pod imeni Morpho,...

Mozilla.org - Iz Mozille so sporočili, da je neznani napadalec nepooblaščeno dostopil do varovanega dela sistema Bugzilla, kjer so bili objavljeni hrošči in ranljivosti, ki do izdaje popravkov niso javno dostopni. Napadalec je uporabil identifikacijske podatke enega izmed upravičencev do dostopa, ki jih je slednji uporabil tudi na ostalih straneh, zato je vdor vanje razkril tudi možnost dostopa do Bugzille. Tehnično torej niso bili zlomljeni varnostni mehanizmi Bugzille, so bili pa ti pomanjkljivi in jih je Mozilla že izboljšala.

Pojasnjujejo, da je napadalec zagotovo vstopil v Bugzillo že lanskega septembra, nekateri indici pa kažejo, da je imel dostop morebiti že vse od septembra 2013. Takoj po odkritju incidenta so v Mozilli...

Slo-Tech - Nedeljski vdor v Hacking Team ni očrnil le podjetja in povzročil veliko zadrego državam, ki so do tedaj lahko zatrjevala, da ne poslujejo z njimi in da trojancev ne uporabljajo, temveč je sprožil nekaj resnih varnostnih težav. Hacking Team je kmalu po vdoru pozvala svoje stranke, naj prenehajo uporabljati njihovo programsko opremo RCS (Remote Control System) z imenom Galileo za oddaljen nadzor računalnikov.

Raziskovalci iz Trend Micra so analizirali objavljene podatke iz vdora - gre za 400 GB datotek - in v njih odkrili tri ranljivosti. Ena izmed njih je že zakrpana, dve pa ste bili predhodno neznani (zero-day). V internih dokumentih je Hacking Team eno izmed ranljivosti za Flash imenovala kar "najlepši hrošč v Flashu v zadnjih štirih letih". Druga ranljivost...

The Wall Street Journal - Po bitki je enostavno biti general, a vseeno nekateri napadi in vdori razkrijejo, da so bile nekatere ranljivosti znane že dosti pred dejansko zlorabo, pa nihče ni ukrepal. Podobno je bilo tudi v primeru vdora v Target, s katerim so napadalci uspeli odtujiti bančne in osebne podatke več kot 110 milijonov strank. IT-oddelek v podjetju je na ranljivosti (ne nujno dejansko zlorabljene) opozarjal že dva meseca pred napadom, piše Wall Street Journal. Pojavljale so se tudi zahteve po temeljitem pregledu in preizkusu sistema, a so jih nadrejeni zavrnili, poročajo viri iz podjetja.

To ni presenetljivo, saj so v začetku lanskega leta ameriška vlada, ameriški CERT in zasebna podjetja za IT-varnost...

ZDNet - Vdor v Snapchat ni bil potegavščina, kot se je sprva špekuliralo, ampak je šlo za res. Neznani napadalci so pridobili uporabniška imena in telefonske številke 4,6 milijona uporabnikov Snapchata in jih (z zakritima zadnjima števkama) objavili na spletni strani SnapchatDB.info. Ali sta neka uporabniško ime in številka javno objavljena, je mogoče preveriti na strani Gibson Security, ki z vdorom ni povezana.

Snapchat je priljubljena aplikacija za pametne telefone, ki omogoča pošiljanje sporočil in slik, ki po 1-10 sekundah izpuhtijo s prejemnikovega telefona in Snapchatovih strežnikov. A aplikacija ni brez varnostnih lukenj. Raziskovalci iz Gibson Securityja so Snapchat več mesecev opozarjali, da ima njihova aplikacija ranljivosti, a se ni zgodilo nič. Ker ni preostalo drugega, so na...

Chromium Blog - Približuje se letošnji dogodek CanSecWest, ki vsako leto marca poteka v kanadskem Vancouvru in v okviru katerega se odvije tudi hekersko tekmovanje Pwn2Own. Na njem se pomerijo ekipe strokovnjakov iz celega sveta in poizkusijo izkoristiti ranljivosti v brskalnikih in mobilnih telefonih, zmagovalci pa so bogato nagrajeni. Letošnji CanSecWest se bo začel danes teden in bo trajal tri dni. Program bo podoben kot lani, le da se je Google odločil, da ne bo več sodeloval, ampak bo razpisal lastno tekmovanje.

Razlog je sprememba pravil na Pwn2Own, ki od letos od tekmovalcev ne zahteva več, da razkrijejo vse hrošče in...

Slashdot - Mnogokrat pišemo o tako imenovanih zero day ranljivostih programov, pri čemer se vedno obregamo na urnost proizvajalcev pri pripravi popravkov, redko pa se govori o ekonomski vrednosti teh ranljivosti. Kot so pokazali zadnji napadi, so zero day ranljivosti dragocene tako za napadalce kot tudi obrambo.

Kot pišejo v zanimivem članku na Net Security, je treba za odkritje kakšne kvalitetne luknje žrtvovati približno tri mesece trdega dela hekerjev. Ti zato na podzemnih trgih ranljivosti, ki so se razcveteli v zadnjem času, zanje zahtevajo več sto tisoč dolarjev. Na njih so poleg zlikovcev dejavne tudi vladne agencije, ki lahko cene navijejo tudi milijona dolarjev. Obstaja pa še beli trg, kjer sodelujejo podjetja, kot so VeriSign, TippingPoint in Google, ki kupujejo zero day ranljivosti z namenom pokrpati svoje izdelke,...