Slo-Tech - Nate Lawson je imel 5. avgusta letos na Google Tech Talk predavanje na temo varnosti kriptografije z naslovom Crypto Strikes Back!.

Številne kriptografske metode so danes dobro preizkušene in so postale kar nekako standardne, navadno pa se zaplete pri njihovi implementaciji. Lawson tako na predavanju predstavi nekaj glavnih težav pri implementaciji kriptografije, od tim. side-channel napadov, do napak pri implementaciji algoritmov za izračun kontrolnih vsot. Dotakne se tudi slavne Debian PRNG ranljivosti ter posledic za DSA digitalne podpise.

Ob hitri menjavi ključev se je namreč kar nekako spregledalo, da so ranljivi tudi vsi DSA ključi, ki so bili zgolj uporabljeni v sistemih z okvarjenim generatorjem naključnih števil.

Lawson namreč na svojem blogu ugotavlja, da je varnost DSA zelo odvisna od varnosti tim. naključnega izziva (ang. random challenge) k. Če je ta parameter znan, je namreč mogoče izračunati celoten zasebni ključ uporabnika. To pa pomeni, da napadalec lahko v...

Slo-Tech - Na domači strani Linux jedra je na voljo najnovejša različica le-tega in sicer verzija 2.6.7, ki prinaša kar precej posodobitev, med drugimi tudi popravek za pred nedavnim odkrito luknjo, ki zamrzne sistem že ob izvedbi preprostega C programa. Ranljivi so vsi sistemi z nepatchanimi 2.6.x ter tudi 2.4.x jedri. Pravtako so ranljive tudi 64-bitna inačice zgoraj omenjenih jeder. Na srečo sta na voljo že popravka za 2.4.x ter 2.6.x jedro.

Vsem Linuxašem, ki ste na 2.6.x jedru, priporočamo posodobitev. Ne pozabite uporabiti slovenskega zrcalnega strežnika.

Omenimo še veselo novico, da se bo razvoj varnostnih dodatkov za jedro grsecurity nadaljeval. Avtorju je namreč uspelo dobiti sponzorje, ki bodo poskrbeli za njegov vsakdanji kruh in mleko.

The Register - Le nekaj dni po tem, ko je podjetje ISS blatilo konkurenčni (open source) izdelek oz. opozarjalo na lukjno, pa se je na tapeti znašel sam: izdelki serije BlackIce (požarni zidovi) so ranljivi na posebej prirejene ICMP paketke ('ping'), ki lahko program sesujejo ali pa izvedejo poljubno kodo -- med drugim lahko recimo odpre vrata za kakega trojanca. Če si lastite katerega od njihovih izdelkov, pa brž sem.

Vnunet - Outlook, porečete? Ne, tokrat bom naredil nekaj veselja vsem anti-Linuxašem. Namreč, Mutt, zelo priljubljen lupinski urejevalnik e-pošte (za neznalčke: tak, ki ga poganjaš v DOSu), je ranljiv na posebej sestavljena sporočila, ki lahko s pravicami trenutnega uporabnika poženejo zlo kodo. Uporabniki Mutta ste o tem verjetno že obveščeni, če ne, pa -- Klik!

The Register - Nihče ne ve, kdaj se je invazija Code Reda pričela. Vemo samo, da je virus udaril tako rekoč čez noč in povzročil ogromno škode (stroški segajo v milijarde dolarjev). Kot sem že večkrat omenil, so za škodo krivi tudi admini, ki niso pravočasno zakrpali varnostne luknje v IIS (Code Red napada samo te strežnike). Za Code Red je veljalo, da bo to virus, ki bo pojedel celoten internet, vendar se to ni zgodilo. Vendar nesreča ne počiva, saj se je pred kakšnim tednom dni pojavil nov soroden virus z imenom Code Red 2. Code Red 2 ne bo pojedel interneta, niti ne bo napadal raznih vladnih organizacij. Ne, CR2 uporablja precej bolj zahrbtno taktiko in če ste še niste zakrpali luknje v svojem IIS, potem je skrajni čas, da to naredite. CR2 inštalira command shell (\inetpub\scripts\root.exe) in s tem naredi sistem še kako ranljiv na razne napadalce, ki kar čakajo kdaj bodo prevzeli strežnik. Poleg tega CR2 na žrtvinem sistemu ustvari tudi druge navidezne roote (za nevedne, root je nekakšen...