HUP cikkturkáló

http://m.hvg.hu/itthon/20170817_bubi_adatok

BKK T lazán kapcsolódik.

CVE-2017-9800:
A maliciously constructed svn+ssh:// URL would cause Subversion clients to
run an arbitrary shell command. Such a URL could be generated by a malicious
server, by a malicious user committing to a honest server (to attack another
user of that server's repositories), or by a proxy server.

CVSSv3 Base Score: 9.9 (Critical)
CVSSv3 Base Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:H/RL:O/RC:C

A successful exploit will run an arbitrary shell command with the privileges
of the Subversion client.

CVE-2017-1000117

A malicious third-party can give a crafted "ssh://..." URL to an
unsuspecting victim, and an attempt to visit the URL can result in
any program that exists on the victim's machine being executed.
Such a URL could be placed in the .gitmodules file of a malicious
project, and an unsuspecting victim could be tricked into running
"git clone --recurse-submodules" to trigger the vulnerability.

CVE-2017-1000115:

Mercurial's symlink auditing was incomplete prior to 4.3, and could be abused to write to files outside the repository.

CVE-2017-1000116:

Mercurial was not sanitizing hostnames passed to ssh, allowing shell injection attacks by specifying a hostname starting with -oProxyCommand. This is also present in Git (CVE-2017-1000117) and Subversion (CVE-2017-9800), so please patch those tools as well if you have them installed. All three tools are doing their security release today.

https://public-inbox.org/git/xmqqh8xf482j.fsf@gitster.mtv.corp.google.c…
https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.3_.282017-08-10…
http://subversion.apache.org/security/CVE-2017-9800-advisory.txt
http://blog.recurity-labs.com/2017-08-10/scm-vulns

​Scientists Put Malware in DNA For the First Time - "encode malicious software into physical strands of DNA, so that when a gene sequencer analyzes it the resulting data becomes a program that corrupts gene-sequencing software and takes control of the underlying computer."​

https://www.wired.com/story/malware-dna-hack

HVG-ről:

Nagyon nem lennénk most az HBO helyében, egy eddig ismeretlen hackercsoport ugyanis azzal állt elő vasárnap este, hogy sikerült betörniük a cég szervereire, ahonnan közel 1,5 TB adatot tudtak kilopni – számolt be róla az Entertainment Weekly. A sztori olyannyira nem légből kapott, hogy már az HBO is megerősítette, igaz, ők "kiberincidensről" beszének.

A hackerek vasárnap az újságírókat tájékoztatták arról, hogy sikerült adatokat lopniuk az HBO szervereiről. Mint kiderült, több, még le nem vetített rész is kikerült a 104-es szoba, valamint a Nagypályások című sorozatból, amelyek már fel is kerültek a netre, de az adatlopás érinti a Trónok harca következő részét is. Ez utóbbbi esetén a rész írott szkritpjeit emelték el a hackerek, és azt ígérik, hamarosan ezt is közzéteszik majd.

Ha mindez nem lenne elég probléma az HBO számára, a feltételezések szerint nemcsak sorozatokat és az azokhoz kötődő dolgokat lophatták el, hanem az alkalmazottak személyes adatait, valamint pénzügyi információkat is. A cég közleményben reagált: eszerint már megkezdték az eset kivizsgálását, és szoros együttműködésben dolgoznak a különböző kiberbiztonsági cégekkel.

http://hvg.hu/tudomany/20170731_hbo_tronok_harca_szivarogtatas_hacker

Az alábbi cikk arról szól, hogy egy startup, hogyan csempészett reklámot néhány nyílt forráskódú eszközbe:

https://theoutline.com/post/1953/how-a-vc-funded-company-is-undermining…

Múlt szombaton átlépte a 20%-ot a Google (userek) IPv6 használata, ami elég jó képet ad a világ IPv6 használatáról, tekintve, hogy a Google-t nagyon nagy számú user használja világszerte. (Kivéve Kínát, ahol a Google keresője blokkolva van.) Hogy a 20% 2017-ben sok vagy kevés arról lehet vitatkozni, mindenesetre ez kb exponenciálisan változik jelenleg, a 10%-ot 2016 jan.1-én lépte át.

Az sem véletlen, hogy a 20%-ot éppen egy szombati napon értük el, jól látható heti ingadozása van a görbének, mindig szombaton vannak a maximumok, ami szerint az otthoni hálózatok IPv6 penetrációja magasabb a vállalati hálózatokénál.

Az oldalon országok szerinti bontásban is szerepelnek az adatok, eszerint Magyarország 10% körül jár, a jobb országok már átlépték a 30%-ot, jelenleg Belgium a legerősebb, ők ~50%-on állnak.

Google IPv6 Statistics

> A szerver felé továbbított kérésben a kosárba rakáskor kell átírni egy számot, mert a böngésző küldi el a szervernek, hogy mennyibe kerüljön a bérlet.
- via Meghekkelhető a BKK rendszere, bármennyiért lehet jegyet venni

Cleartext jelszótárolás

via https://twitter.com/vista_df

Valamint:

> "Úgy látszik magától nem csatlakozik a netre, és ezért mondták azt, hogy naponta legalább egyszer frissíteni kell a felületet. "

Ennek vajon mi értelme? Feltételezem van egy QR kód, azt leolvassa az ellenőr és központi szerver segítségével egyből látja a random id-hez tartozó adatokat. (persze lehetne digitális aláírással offline módon is csinálni, de ilyen űrtechnikát nem feltételezek)

Próbáltam keresni a rendszer kiépítésére szánt költséget, de a "BKK eticket millárd" -ra a google csak egy 2013-as cikket dobott ki:
> "A döntés értelmében a bank 54,5 millió euró értékben finanszírozza a projektet, amelynek bevezetése jövőre kezdődhet el. "

YES
Your site needs HTTPS.

Hackers in Singapore are going legit: The government may soon require them to get a license.
Hacking without a license is punishable by two years’ jail and up to S$50,000 ($36,000) in fines.

Global Cybersecurity Index 2017
1. Singapore
2. USA
3. Malaysia
4. Oman
5. Estonia
6. Mauritius
7. Australia
8. Georgia
8. France
9. Canada
10. Russia

via https://qz.com/1026300/singapores-government-wants-to-license-hackers/

This story begins, as they so often do, when I noticed that my machine was behaving poorly. My Windows 10 work machine has 24 cores (48 hyper-threads) and they were 50% idle. It has 64 GB of RAM and that was less than half used. It has a fast SSD that was mostly idle. And yet, as I moved the mouse around it kept hitching – sometimes locking up for seconds at a time.

So I did what I always do – I grabbed an ETW trace and analyzed it. The result was the discovery of a serious process-destruction performance bug in Windows 10.

A teljes cikk itt olvasható.