2010. szeptember 18-19-én kerül sor a Hacktivity 2010 konferenciára a Dürer kertben. Kelet-Közép-Európa legnagyobb hackerkonferenciájára az eddigi regisztrációk alapján akár 1024 fő is érkezhet, köztük sok külföldi, mivel idén először az előadásokat folyamatos szinkrontolmácsolás kíséri.

A Symantec Security Response rovatában arról ír, hogy egy érdekes, az Android Market-ben fellelhető alkalmazásban botlottak. Az alkalmazás látszólag egy ismert játék újabb változata, de alaposabban szemügyre véve kiderül, hogy annál azért jóval több. Annyira, hogy a Symantec trójaiként kezeli.

A Pwnie-díjátadó egy évente megrendezésre kerülő ceremónia, ahol a biztonsági szakértők és a biztonsággal foglalkozó közösség által elért eredményeket és kudarcokat "jutalmazzák". A Black Hat-ek Oscar-díjátadójának is nevezett "gála" ötlete Alex Sotirov és Dino Dai Zovi agyából pattant ki. Az első Pwnie-díjátadót 2007-ben tartották. Idén immár a negyedik díjkiosztóra került sor a Las Vegas-i Black Hat biztonsági konferencián. A győzteseket a korábban bejelentett jelöltek közül választották ki.

Giorgio Maone, a NoScript névre hallgató Mozilla Firefox extension szerzője nemrég bejelentette, hogy elérhető a NoScript 2.0-s kiadása. A NoScript segítségével a felhasználó megadhatja melyek az általa megbízható domain-ek, melyek azok, amelyekhez engedélyezi a böngészőjében a JavaScript-et, Java-t, Flash-t stb.

Ismert biztonsági szakemberek - köztük Charlie Miller, Alex Sotirov és Dino Dai Zovi - korábban kijelentették: nincsenek többé ingyen bugok. Ez pontosabban azt jelenti, hogy ők nem fognak azért időt áldozni sebezhetőségek felkutatására, dokumentálására, exploitok kidolgozására és megírására, hogy utána ezeket az információkat ingyen a gyártók rendelkezésére bocsátsák. Charlie Miller egy tavaly tavaszi interjúban kerek perec kijelentette, hogy nem fogja az általa talált hibát az Apple-lel ingyen megosztani. A vállalatnak vannak szakemberei, akik azért kapják a fizetésüket, hogy ezt a munkát elvégezzék. Dino Dai Zovi egy hosszabb blogbejegyzésben akkor kifejtette, hogy mi a motiváció a "No more free bugs" kampányuk mögött.

Jeremiah Grossman - a WhiteHat Security műszaki igazgatója - szerint biztonsági és privacy problémája van a Safari 4 és 5 böngészőknek. A szakember azt állítja, hogy rosszindulatú weboldalak képesek lehetnek az áldozat személyes adatainak, például nevének, munkahelyének, lakhelyének, e-mail címének ellopására. Közzétett egy videót is a probléma demonstrálására:

A Dell értesítette nemrég érintett ügyfeleit, hogy bizonyos szerverekbe szánt alaplapjai úgy jutottak ki tőlük, hogy azok malware-t tartalmaznak. A vállalat hivatalos képviselője szerint a belső minőségellenőrzésük szúrta ki, hogy egyes szerveralaplapjaik kártékony programmal rendelkeznek. Ezután került sor az ügyfelek telefonos értesítésére. Köztük volt az az ügyfél is, aki a PowerEdge R410 alaplap miatt kapta az értesítést, majd fórumtémát nyitott a Dell közösségi oldalán.

Ismert, hogy Tavis Ormandy nemrég egy Microsoft szolgáltatást érintő sebezhetőségről számolt be a full-disclosure listán. A Microsoft a közlés után elmondta, hogy nem örül Ormandy bejelentésének. Az eset nyomán a biztonsági iparban (és máshol) tevékenykedők egy csoportja megorrolt a Microsoft-ra. A csoportnak nem tetszik, hogy a Microsoft ellenségesen kezeli a biztonsággal foglalkozókat, ezért megalakították a Microsoft-Spurned Researcher Collective-et (Microsoft-ot mellőző/megvető/elutasító Kutatók Kollektívája), röviden az MSRC-t. A névválasztás feltehetően nem véletlen. Ezen a néven működik ugyanis a Microsoft biztonsággal foglalkozó blogja, a Microsoft Security Response Center is.

A hardvergyártó Lenovo eszközmeghajtó-letöltési weboldala az elmúlt időszakban rosszindulatú program(ok) terjesztését végző kódot tartalmazott, illetve egyes oldalakon most is tartalmaz. A támadó által beinjektált iframe egy kínai szerverre mutat(ott). A szerver már nem érhető el a beinjektált url-en, így közvetlen veszélyt jelenleg nem jelent a kód. A Mozilla Firefox és a Google Chrome már elkezdte figyelmeztetni felhasználóit a problémára. Mivel a Lenovo látszólag nem reagált, a kód beinjektálását lehetővé tevő sebezhetőség még ott lehet az oldalban. Ez potenciálisan lehetővé teheti a támadók számára, hogy bármikor frissítsék a támadó kódot. A részletek itt.

A Sophos blogján Graham Cluley arról ír, hogy a legutóbbi OS X 10.6.4 Update alkalmával az Apple frissítette az Mac OS X-be épített malware védelmet. A gyártó frissítette azt a "kezdetleges" XProtect.plist fájlt, amelyben azoknak a rosszindulatú programoknak a szignatúrája található, amelyek veszélyt jelenthetnek az OS X felhasználókra. Megjelent a fájlban az Apple által OSX.HellRTS nevezett malware leírása, de a Sophos szerint a gyártó erről nem közölt információkat. A HellRTS lehetővé teszi a rosszindulatú támadó számára a fertőzött géphez való távoli hozzáférést.

A HTTPS Everywhere egy jelenleg béta állapotban levő Firefox kiterjesztés, amely a The Tor Project és Electronic Frontier Foundation közös munkájának eredményeként született meg. A kiterjesztés titkosítja a kommunikációt a böngészés egész ideje alatt azoknál a nagyobb oldalaknál, ahol arra lehetőség van.

Közvetlenül a LinuxCon előtt kerül megrendezésre 2010. augusztus 9-én Boston-ban a 2010 Linux Security Summit konferencia. A rendezvény célja, hogy fórumot biztosítson a Linux kernel biztonságán dolgozó fejlesztők, kutatók és végfelhasználók közti együttműködéshez. A konferencián előadást tart többek közt Dan Walsh (Red Hat), Stephen Hemminger (Vyatta), Kees Cook (Canonical), Brad Spengler (grsecurity). A rendezvény előadástervezete itt. A LinuxCon-ra regisztráltak előtt nyitott a rendezvény.

A nyílt forrású UnrealIRCd fejlesztői nemrég bejelentették, hogy az általuk fejlesztett IRC szerver 3.2.8.1-es verziójának tar.gz csomagját a tükörszervereken kicserélték egy backdoor-t tartalmazó csomagra. A beépített backdoor tetszőleges parancs végrehajtását teszi lehetővé a támadó számára az áldozat szerverén annak a felhasználónak a nevében, aki az IRC szervert futtatja. Úgy tűnik, hogy a csere 2009. novemberében történt (legalábbis egyes tükörszervereken). A Windows binárisokat, a CVS-t és a 3.2.8-at és az annál régebbi verziókat nem érinti a probléma. A bejelentés itt olvasható.

Tavis Ormandy, a Google biztonsági csoportjának tagja tegnap egy, a Microsoft Windows Help and Support Center szolgáltatását érintő sebezhetőségéről számolt be a full-disclosure levelezési listán. A Microsoft nem örül annak, hogy Ormandy ilyeténformán hozta nyilvánosságra a sebezhetőséget. A redmondi vállalat a "felelős közlés" fontosságára hívja fel a figyelmet.

Joanna Rutkowska és csapata az Invisible Things Labs-nél már korábban felvázolta a Qubes névre hallgató elképzelését, amely a számítógépes desktop biztonságát virtualizáció segítségével valósítaná meg. Most Joanna egy friss blogbejegyzésben arról ír, hogy kollégája, Rafal Wojtczuk egy új, a Qubes Beta 1-ben bemutatkozó "killer" funkción kezdett el dolgozni. A neve: egyszer használatos VM-ek.

A liveusb-creator egy keresztplatformos segédprogram, amellyel egyszerűen lehet Live operációs rendszereket telepíteni USB pendrive-okra. Az egyik blogbejegyzés arra figyelmeztet, hogy különböző helyeken hostolva olyan liveusb-creator példányok bukkantak fel, amelyekbe rosszindulatú programot rejtettek. A liveusb-creator weboldala felhívja a figyelmet arra, hogy csak a hivatalos honlapról érdemes letölteni a szerszámot.

Aki úgy érzi, hogy nem tud a Google nélkül élni, de nincs megelégedve a vállalat privacy politikájával, az most segíthet magán a GoogleSharing névre hallgató megoldással. A GoogleSharing egy két részből álló megoldás. Áll egy Firefox add-on-ból és egy anonymizing proxy-ból. A GoogleSharing fals adatokat szolgáltat a Google-nek amikor a felhasználó olyan Google szolgáltatásokat vesz igénybe, amelyekhez nem kell fiókkal rendelkezni. Ilyen például a keresés, a news és képkereső szolgáltatások. A GoogleSharing használata teljesen transzparens a felhasználó számára és csak a Google felé irányuló forgalmat érinti.

Az Apache projekt szervereit kezelő Apache Infrastructure Team friss blogbejegyzésében arról számol be, hogy közvetlen, célzott támadás érte az infrastruktúrájukat, pontosabban azt a szervert, amelyen a hibakövető rendszerüket futtatták. Az Apache - egyebek mellett - az Atlassian JIRA megoldását használta erre a célra. A szoftvernek a brutus.apache.org szerver adott otthont, amelyen Ubuntu 8.04 LTS operációs rendszer futott.

Joanna Rutkowska nem ismeretlen a HUP hűséges olvasói előtt. Többször (0, 1, 2, 3) is szerepelt már a biztonsággal kapcsolatos híradásokban. A lengyel hölgy most egy új, nyílt forrású, Linux-ra, Xen-re és X Window System-re épített operációs rendszerrel állt elő, amelynek elsődleges célja, hogy erős biztonságot nyújtson a desktop felhasználáshoz. Az operációs rendszer a Qubes névre hallgat.

Elszeparált pehelysúlyú virtuális gép minden egyes feladat számára - ez lehetne a mottója a Qubes biztonsági koncepciójának. A Joanna által bemutatott operációs rendszer csökkentené azokat a károkat, amelyeket az egyes rosszindulatú szoftverek okozhatnának a rendszerünkben. Mindezt úgy, hogy az egyes feladatok külön virtuális gépben futnának.

Didier Stevens egy blogbejegyzésben számol be arról, hogy előállított egy olyan proof-of-concept PDF fájlt, amelyből sikerült végrehajtható állományt futtatnia anélkül, hogy bármilyen sebezhetőséget is ki kellett volna használnia. Az Adobe Reader-t futtató felhasználók ugyan kapnak egy figyelmeztető ablakot azelőtt, mielőtt a futtatásra sor kerülne, de a párbeszédablakban megjelenő üzentet a hacker részben tudja befolyásolni. Egy kis social engineering-gel kombinálva felhasználható lehet parancsok, script-ek futtatására az áldozat gépén.

A Microsoft egy videót tett közzé, amelyben azt kívánja demonstrálni, hogy a Google Chrome szinte minden egyes billentyűleütést, amelyet a felhasználó az "address bar"-on ejt, elküld a Google-nek. A Microsoft azt kritizálja, hogy a Google Chrome az address bar-t és a keresődobozt egy beviteli mezőben egyesíti. Ezzel szemben az IE8 ezt külön oldja meg és ezáltal jobban védi a felhasználó személyes adatait. Nem beszélve az In-private funkcióról...

A javában folyó kanadai CanSecWest konferencia adott otthont az idei Pwn2Own biztonsági versenynek. A nevezettek megmutatták, hogy hogyan tudnak feltörni egy nem jailbreak-elt iPhone-t, egy OS X-en futó Safari-t, egy Windows 7-en futó IE8-at és Firefox-ot.

Idén is lesz Pwn2Own verseny. A helyszíne a március 24-én kezdődő kanadai CanSecWest konferencia. A Pwn2Own 2010-re regisztrálás útján lehetett jelentkezni, a jelentkezők közt fél órás időszakokat (time slot) soroltak ki. A sorsolás eredménye határozza meg a versenyzők sorrendjét. A sorsolásból kiderül, hogy kik jelentkeztek a megmérettetésre és mi ellen nyomulnak.

A H Security egyik cikkében arról számol be, hogy a "JDuck" névre hallgató hacker nemrég felfedezett egy olyan speciálisan, rosszindulatúan összeállított PDF fájlt, amely a relatíve újnak számító Return Oriented Programming (ROP) technikát használja fel arra, hogy a kicselezze a Data Execution Prevention (DEP) névre hallgató biztonsági mechanizmust. A cikk szerint ez azt vetíti előre, hogy a DEP-pel biztosítani kívánt megbízható védelem napjai meg vannak számlálva.

A SecurityFocus weboldal elindulásától, 1999-től szolgálta a biztonsággal foglalkozó közösséget. Saját híranyagokat, részletes dokumentumokat készített, vendégszerkesztők írásait publikálta stb. A SecurtiyFocus azon elgondolás mentén jött létre, hogy a közösségnek szüksége van egy olyan helyre, ahol összejöhet és megoszthatja tudását. Akkoriban a biztonsággal foglalkozó közösség fragmentált volt, nem volt egyetlen olyan hely sem, amely ezt biztosította volna, így a SecurityFocus hiánypótló volt.