Cyberlympics döntő és egyebek

A magyar csaptok szépen szerepeltek a Cyberlympics döntőjében is, a gula.sh 3., a PRAUDITORS a 6. helyet szerezte meg a versenyen. Szerveztünk szurkolást, erről Twitteren próbáltam közvetíteni - látszik, hogy a végére teljesen megkavarodott a sorrend az élmezőnyben, sajnos a hátrányunkra, ami bosszantó, de hát ez egy ilyen játék. Utóbbi csapat az ISACA rendszeres találozóján, november 14-én élőben is beszámol a versenyről, illetve a Hacker Haltedról, de remélem, hogy a blogra is küldenek valami jóféle anyagot, ahogy szoktak ;) Gratulálunk a csapatoknak!

Lazán kapcsolódó téma, hogy a bolygó leghírhedtebb és legnagyobb CTF játéka, a DEFCON CTF jövőre új szervezők kezébe kerül, ami várhatóan teljesen ismeretlen (és várhatóan véres agyvelőben tocsogó) terepet, ezzel pedig kvázi tiszta lapot fog teremteni (a top10 csapatait az előző években kb. esélytelen volt kirobbantani a helyükről) - remélem a selejtezőre sikerül összetrombitálni a dream teamet a Cyberlympics csapatokkal együtt!

Apple biztonsági frissítések

A héten kijött az iOS 6.0.1, számos biztonsági hibajavítással, ezzel nagyjából együtt pedig a Safari böngésző is frissítésre került. A böngészőben a Pwnium 2-n felfedezett SVG hibát, valamint egy versenyhelyzetből adódó JS tömbkezelési hibát javítottak, az iOS-ben ezeken kívül egy kernel információszivárgás, és a Passcode megkerülését vlaamint a Passbook jelszavak megismerését lehetővé tevő problémát orvosoltak.

Mozilla biztonsági politika és HSTS preload

A Mozilla a Nemzeti Biztonságtudatossági Hónap alkalmából egy rövid blogbejegyzésben emlékezik meg a fejlesztés során alkalmazott biztonsági mechanizmusokról, és kiemelik, hogy 2010-ben összesen három Firefox 0-day hibát találtak vadon, melyekre átlag kevesebb mint 48 óra alatt képesek voltak javítást szállítani.

A gyártó emellett bejelentette, hogy a Firefox következő változataival szállítani fognak egy, a HTTP Strict Transport Security-t támogató szolgáltatókat tartalmazó listát (melyet a Chromium projekt hasonló listájára alapoztak). Ezzel a lépéssel megakadályozhatóak az SSL stripping tipusú támadások, mivel a HSTS-nek köszönhetően a böngésző nem lesz hajlandó átállni titkosítatlan kapcsolatra, ha a listán szereplő hosztokkal teremt kapcsolatot (a HSTS egyébként böngészőbe égetett lista nélkül is működik, de úgy az első kapcsolódás kompromittálódása esetén megkerülhető).

Windows 8 0-day

Meglepően nagy visszhangja lett a VUPEN bejelentésének, miszerint sikerült a Windows 8 exploit mitigációs technikáit megkerülő IE10 exploitot fejleszteniük. Az eredmény szakmai szempontból persze tiszteletre méltó, de az, hogy 0-day bugok léteznek, és hogy a Windows 8 megerősítései sem tökéletesek már eddig is közismert tény volt (vagy legalábbis kellett volna hogy legyen). Berkar úrnak minden esetre jár egy újabb piros pont marketingből.