Slo-Tech - Mythos, ki ga je predstavil Anthropic, je zgolj najnovejše in doslej najboljše orodje za iskanje lukenj v programski opremi, še zdaleč pa ni edino. Z umetno inteligenco je mogoče temeljite in hitreje pregledati kodo kot kdajkoli, kar so priznali tudi v Mozilli. V Firefoxu so od februarja, ko so se lotili podrobnega pregleda Firefoxove kode z Anthropicovimi orodji, odkrili skoraj tristo lukenj.

Že marca so razkrili, da so z Opusom 4.6 v Firefoxu 148 našli in zakrpali 22 ranljivosti. Iskanje lukenj pa je eksplodiralo z Mythosom, saj so odkrili 271 ranljivosti, ki jih odpravlja nova verzija Firefox 150, ki je izšla ta teden. Ugotavljajo, da so številne ranljivosti takšne, da bi še pred letom dni povzročile hude šoke, sedaj pa jih odkrivajo z umetno inteligenco, ki potem pomaga poiskati tudi rešitve. In Firefox pri tem ni nič bolj luknjičasta programska oprema kot kakšna druga.

Bobby Holley iz Mozille pravi, da je bila doslej tekma med napadalci in pisci programske opreme kvečjemu...

Slo-Tech - Anthropic, znan po izjemno sposobnem modelu za pisanje kode Claude, je razvil nov model Mythos, namenjen iskanju ranljivosti v kodi in računalniških sistemih nasploh. Model je tako zmogljiv, da javnosti sploh ne dovolijo dostopa.

Za zdaj bodo dostop dobila le nekatera izbrana podjetja, med katerimi so Amazon Web Services (AWS), Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia in Palo Alto Networks. Z njim bodo lahko okrepila zaščito, zakrpala hrošče v svoji programski opremi in preverila tveganje uspešnega napada hekerjev.

Uradno se novi model imenuje Claude Mythos Preview in je na voljo le v okviru iniciative Glasswing. Anthropic pojasnjuje, da je model že odkril več tisoč zelo nevarnih ranljivosti v priljubljeni programski opremi, med drugim v vseh brskalnikih, operacijskih sistemih in pisarniških paketih. Mythos najprej odkrije ranljivost, nato pa je sposoben izdelati delujočo kodo za izrabo (exploit). Kot primer so...

Slo-Tech - Tehnični direktor za Azure, Mark Russinovich, se je pozabaval z Anthropicovim orodjem Claude in mu dal v pregled 40 let staro kodo v binarni obliki. Leta 1986 je Russinovich napisal orodje Enhancer, ki je na računalnik Apple II prinesla možnost uporabe spremenljivk in BASIC-ovih izrazov kot cilje ukazov GOTO, GOSUB in RESTORE. Osnovni Applesoft BASIC je kot cilj podpiral le število vrstice.

Claude Opus 4.6 je pregledal binarno kodo in v njej takoj odkril nekaj hroščev in ranljivosti. Da je v kodi za Apple II hrošč, je zanimivost, ki na današnji svet ne vpliva. Precej bolj pomembno pa je dejstvo, da lahko Claude razvozla binarno kodo in ranljivosti najde v njej! Na svetu obstaja na milijarde mikrokrmilnikov, ki poganjajo raznovrstno kodo, staro in manj staro, ki se že zdavnaj ne posodablja več, vprašanje pa je, kako natančno je sploh bila pregledana.

Umetna inteligenca je sicer znana, da si včasih izmišljuje ali najde irelevantne ranljivosti. Tudi koda, ki jo piše, pogosto ni...

Slo-Tech - Anthropicov Tristan Hume je opisal zanimiv metaproblem, ki ga imajo v podjetju pri preizkušanju novih kandidatov za zaposlitev. Zadnji dve leti uporabljajo test, ki ga lahko kandidati odnesejo domov in rešijo, kar je v dobu velikih jezikovnih modelov lahko problem. Z vsako novo izdajo Clauda morajo test prenoviti, saj ga Claude reši bolje kot velika večina kandidatov.

Od leta 2024 je test reševalo dobrih tisoč kandidatov, izmed katerih so jih več deset tudi zaposlili. To so inženirji, ki so razvijali vse nove verzije od Claude 3, pri čemer so se odlično odrezali. Vsak novi Claude je prejšnje teste v enakem časovnem oknu rešil bolje od velike večine ljudi. Claude 4 je bil boljši od večine, Claude 4.5 pa od vseh. Če so imeli ljudje na voljo neomejeni čas, so tisti najboljši še premagali Claude 4.5.

Konkretni testi so sprva trajali štiri ure, kasneje dve. Kandidati so reševali realistični problem, na voljo pa so imeli vsa orodja, tudi umetno inteligenco. To je smiselno, ker ta...

Slo-Tech - V Applu so skupinici white-hat hekerjev, ki je v preteklih mesecih v velikanovem širšem računalniškem omrežju odkrila več deset resnih ranljivosti, izplačali skoraj tristo tisoč dolarjev, vsota pa bo v prihodnjih dneh še narasla.

Resna informacijska podjetja se zavedajo, da je navkljub sposobnim notranjim ekipam varnostnih strokovnjakov še vedno mogoče spregledati grde odprtine v digitalnem oklepu, zato nagrajujejo zunanje raziskovalce-poševnica-hekerje, ki drezajo v njihovo obrambo iz plemenitih razlogov iskanja ranljivosti. V Cupertinu imajo v ta namen postavljen program Apple Security Bounty, ki ga je sedaj za komunikacijo z njimi uporabila skupinica petih hekerjev okoli Sama Curryja. Gruča se je zadnje tri mesece potikala po notranjosti Applovega omrežja in na plano privlekla 55 ranljivosti, "11 od teh kritičnih". Apple jim je do tega trenutka že izplačal 288.500 ameriških dolarjev nagrade, ko pa bodo strokovnjaki predelali vse prijavljene šibkosti, bo vsota verjetno presegla...

threatpost - Živimo v časih, ko sta prisluškovanje in prestrezanje informacija postali nekaj vsakdanjega, varnostne ranljivosti v programski opremi pa se kar množijo. Zaupati je postalo sila nevarno, zato že dlje časa poteka pregled kode popularnega programa za šifriranje TrueCrypt. Prva faza pregleda ni odkrila resnejših varnostnih lukenj ali stranskih vrat, a kar precej manjših nedoslednosti in ranljivosti.

Kot so pokazali nedavni primeri v GnuTLS in OpenSSL odprta koda ne pomeni nič varnejše programske opreme, če kode nihče temeljito ne pregleda. Pretekli mesec smo pisali o dokazu, da objavljena koda programa TrueCrypt ustreza prevedeni različici, a je bilo...

ZDNet - Naslednji brskalnik, ki je padel na letošnjem hekerskem tekmovanju Pwn2Own v kanadskem Vancouvru, je Internet Explorer. Po tem ko je francoska skupina VUPEN takoj po začetku tekmovanja razsula Googlov Chrome (Chrome sicer letos tehnično ni del uradnega Pwn2Own, a to ni pomembno), so sedaj uspešno kompromitirali še računalnik s sveže nameščenim Windows 7 SP1 in Internet Explorerjem 9 z vsemi popravki.

Chaouki Bekrar iz VUPEN-a pojasnjuje, da so uporabili zelo staro ranljivost, povezano s prekoračitvijo kopice (heap overflow), s čimer so obšli DEP in ASLR, in nepovezano ranljivost v upravljanju s pomnilniškim prostorom. Luknja se je prvikrat pojavila že v Internet Explorerju 6 in do danes ni bila javno razkrita, tako da...