Verisign

Egy új szabályozásnak megfelelően a Verisign-nak negyedéves jelentésben kellett beszámolnia az őt ért biztonsági incidensekről. A kiadott dokumentum szerint a céget 2010-ben több sikeres támadás is érte, és bár a beszámoló homályosan fogalmaz, arra lehet következtetni, hogy államilag szponzorált akciókról volt szó. A Verisign Inc. és a Symantec mostani közleményei szerint sem az előbbi társaság által kezelt DNS infrastruktúrához, sem az időközben felvásárolt hitelesítő szolgáltatásokra nem volt hatással a támadás - ezt az állítást ennyi idő elteltével ellenőrizni persze lehetetlen. 

A témában jó összefoglaló olvasható a berta.hu-n.

PHP bénázás

A héten már írtam egy remek PHP sérülékenységről, azonban nem ez volt az egyetlen esemény a futtatókörnyezet háza táján. Érdemes elolvasni ezt a szösszenetet Stefan Essertől, amiből megtudhatjuk, hogy hasonlóan a már tárgyalt esethez, a nagy javítási lázban még egy védelmet sikerült kigyilkolni, majd a változást commitolni a PHP 5.3 fő ágába. Mindez igen siralmas képet fest a PHP fejlesztési alapelveiről, és a kód minőségéről is. A kedélyeket pedig nem javítja az sem, hogy a Debian unstable ágában alapértelmezetten kikapcsolták a Suhosin-t, miközben a fenti esetekben is ez a megerősítés jelentette az utolsó(előtti) védelmi vonalat. Ja, itt is megjelent egy PoC.

Visszafejtették egyes műholdas telefonok titkosítási algoritmusait

Német szakértők állítólag visszafejtették a GMR-1 és GMR-2 titkosítási algoritmusokat, melyeket a Közel-Keleten és Afrikában népszerű Thuraya műholdas telefonok is használnak. A zárt titkosítási algoritmust alkalmazó beszélgetések megfejtéséhez fél óra és nagyjából 2000 dolláros felszerelés szükséges, de drágább cuccal akár valósidejű lehallgatás is megvalósítható. Technikai részleteket egyelőre nem találtam, a kutatók az algoritmusok közzétételét ígérik, azt gyanítom, hogy egyelőre nyers-erőn alapuló támadással érhető el eredmény. 

Apple biztonsági frissítések

Az Apple kiadta rendszeres frissítőcsomagját, a szokásosan szűkszavú összefoglaló itt olvasható.

Két és fél évet kapott a Mariott-hacker

Anno elmondtam a véleményemet azzal kapcsolatban, hogy valaki egy cég bizalmas adatait lobogtatva próbál állásoz (vagy más előnyhöz jutni). Szerencsétlen srác nem úszta meg annyival, mint erdélyi kollegája, bár az eredetileg kilátásba helyezett 10 évhez képest a két és fél év még egészen barátinak tűnik. 

Srácok, csak ésszel!

Alább élvezzétek a Hacktion 15. részét, melyből többek között azt is megtudhatjátok, hogy egy laminált papírdarabbal kiadhatjuk magunkat az orosz titkosztolgálat emberének :)