Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Hírek - 2012/9. hét

2012.03.04. 22:03 | buherator | Szólj hozzá!

NASA

Több helyen megjelent, hogy a NASA legújabb laptopelhagyási botrányában érintett adatok felhasználásával akár a Nemzetközi Űrállomást is irányítani lehetett volna. Ezzel szemben Paul K. Martin az űrkutatási központ részéről azt nyilatkozta, hogy bár a támadók teljes irányítást szereztek többek között a NASA Sugárhatjású Laboratóriumának számítógépei fölött, és az űrállomás irányításával kapcsolatos egyes algoritmusok is kikerültek a szervezettől, az ISS működése egy pillanatra sem került veszélybe. Ezzel együtt kijelenthető, hogy a NASA biztonsági rendszere messze van a tökéletestől, amit súlyosbít, hogy a szervezet reputációja miatt kedvelt célpontja a virtuális támadók teljes skálájának, a wannabe-ktől a jól szervezett, államilag szponzorált csapatokig. 

Linode

Ismeretlen támadók az online ügyfélszolgálati felület hibáját kihasználva átvették az irányítást több, a Linode cloud szolgáltatónál tartott hoszt felett. Az incidensben érintett több BitCoinnal foglalkozó szervezet is, az akció során több százezer dollárnyi virtuális valutát loptak el.

Google Pwnium

Az idei Pwn2Own-ra a Google ismét megemelte a lécet, de egyúttal új szabályokat is alkotott. A böngészőhibák levadászását célul kitűző versenyt szervező TippingPoint DVLabs a kódfuttatásra alkalmas hibák felkutatásában érdekelt, egy ilyen jellegű hiba azonban nem elég a legtöbb, "védett módban" futó, vagy sandboxolt modern böngészővel szemben. Ezek esetében további, privilégiumemelésre alkalmas hibákon keresztül vezet az út az irányítás teljes átvételéhez. A DVLabs soha nem követelte meg a exploitálás második fázisában használt módszerek nyilvánosságrahozatalát, míg a sandboxára méltán büszke Google szeretné ezeket is megismerni. 

Ezért az idei CanSecWesten valójában két verseny lesz, a Pwn2Own és a Pwnium. Utóbbival 20, 40 illetve 60 ezer dollárt nyerhet az a szakértő, aki a sandbox megkerülésével sikeresen kódot futtat a Chrome böngészőn keresztül, és a mutatványhoz használt össze biztonsági hiba részletét átadja a Google-nek. A díjazás aszerint alakul, hogy a privilégiumemeléshez mennyiben járult hozzá maga a böngésző:

  • A 20.000 dolláros díj akkor vihető el, ha a Chrome-tól független hibát, például Flash vagy Windows sebezhetőséget használt ki a támadó.
  • 40.000 dollár jár, ha legalább egy hiba a Chrome-ot érinti, de a teljes felhasználói jogkörrel történő kódfuttatáshoz más szoftver hibáját is ki kellett használni.
  • A 60.000 dolláros fődíj akkor vihető haza, ha a teljes felhasználói jogkört tisztán Chrome hibákkal érte el a támadó.
Bár a díjazás innen nézve nagyvonalúnak tűnhet, a profi böngészőbuherátorok általában ilyen feltételrendszer mellett keveslik a felajánlott díjakat - úgy látszik mindenki nagyon vigyáz az anti-sandbox kódjaira. Bár a VUPEN-nél tavaly még azt állították, hogy a középső díjért idén hajlandóak lennének nekimenni a Chrome-nak, most visszakoznak. Minden esetre akár lesz versenyző, akár nem, a Google jól fog járni.

Backtrack 5 R2

Megjelent a legnépszerűbb behatolástesztelő disztribúció második karbantartási kiadása. Az R2-ben új kernel, és egy halom új eszköz is helyet kapott. A disztró ezen túl megkapja az upstream Ubuntu frissítéseit is, persze megfelelő integrációs tesztelés után. 

Lenyúlták Jacko hagyatékát

A Sony beismerte, hogy egy korábbi incidens során támadók hozzáfértek a vállalat által 250 millió dollárért megvásárolt Michael Jackson diszkográfiához, melyben eddig sosem hallott, kiadatlan felvételek is szerepelnek. Valaki úgy hallgathatja a Thrillert, ahogy mi még soha...

Címkék: google sony michael jackson incidens nasa iss jacko chrome backtrack bitcoin linode pwnium

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.