Следствие Публия Теренция:

Когда двое делают одно и то же, получается не одно и то же.

22-00 сижу на кухне чайком балуюсь, забегает жена и к холодильнику. Набрала две руки и бежать. Я ей вслед: ...

XMPP-клиенту yaxim исполнилось 10 лет
Sat, 24 Aug 2019 14:59:36 +0300

Операционной системе Unix исполнилось 50 лет
Sat, 24 Aug 2019 09:14:53 +0300

Google отказался от применения названий десертов для выпусков Android
Sat, 24 Aug 2019 08:42:29 +0300

IBM, Google, Microsoft и Intel образовали альянс для развития открытых технологий защиты данных
Fri, 23 Aug 2019 13:20:08 +0300

Компания Google представила инициативу Privacy Sandbox
Thu, 22 Aug 2019 23:26:03 +0300

Представлены варианты Qt5 для микроконтроллеров и OS/2
Thu, 22 Aug 2019 12:43:06 +0300

27 августа в Московском Политехе выступит Ричард Столлман
Thu, 22 Aug 2019 01:18:55 +0300

В Firefox, Chrome и Safari заблокирован внедряемый в Казахстане "национальный сертификат"
Wed, 21 Aug 2019 19:13:51 +0300

IBM объявил об открытии архитектуры процессоров Power
Wed, 21 Aug 2019 13:33:19 +0300

Xfce 4.16 ожидается в следующем году
Wed, 21 Aug 2019 09:08:46 +0300

Bitbucket прекращает поддержку Mercurial
Tue, 20 Aug 2019 22:59:58 +0300

Утверждено прекращение формирования репозиториев для архитектуры i686 в Fedora 31
Mon, 19 Aug 2019 23:31:48 +0300

OpenDrop - открытая реализации технологии Apple AirDrop
Mon, 19 Aug 2019 20:54:26 +0300

Представлено ответвление Proton-i, переведённое на более свежие версии Wine
Mon, 19 Aug 2019 09:38:24 +0300

В Chrome планируют полностью убрать поддержку FTP
Fri, 16 Aug 2019 08:38:58 +0300

Новости OPENNET
Новости

На прошедшей в Лас Вегасе конференции Black Hat USA состоялась церемония вручения премии Pwnie Awards 2019, в рамках которой выделены наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности и проводится ежегодно, начиная с 2007 года.

Основные победители и номинации:

    Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победителями признаны исследователи, выявившие уязвимость у VPN-провайдера Pulse Secure, VPN-сервис которого используется в Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Военно-морских силах США, Министерстве национальной безопасности (МНБ) США и вероятно в половине компаний из списка Fortune 500. Исследователями был найден бэкдор, позволяющий неаутентифицированному атакующему изменить пароль любого пользователя. Продемонстрирована возможность эксплуатации проблемы для получения root-доступа к серверу VPN, на котором открыт только порт HTTPS;

    Из не получивших премию претендентов можно отметить:

    • Эксплуатируемая на стадии до прохождения аутентификации уязвимость в системе непрерывной интеграции Jenkins, позволяющая выполнить код на сервере. Уязвимость активно используется ботами для организации майнинга криптовалюты на серверах;
    • Критическая уязвимость в почтовом сервере Exim, позволяющая выполнить код на сервере с правами root;
    • Уязвимости в IP-камерах Xiongmai XMeye P2P, позволяющая захватить управление устройством. Камеры поставлялись с инженерным паролем и не использовали при обновлении прошивки проверку по цифровой подписи;
    • Критическая уязвимость в реализации протокола RDP в Windows, позволяющая удалённо выполнить свой код;
    • Уязвимость в WordPress, связанная с загрузкой PHP-кода под видом изображения. Проблема позволяет выполнить произвольный код на сервере, имея привилегии автора публикаций (Author) на сайте;

    Лучшая ошибка в клиентском ПО. Победителем признана легко эксплуатируемая уязвимость в системе групповых вызовов Apple FaceTime, позволяющая инициатору группового вызова инициировать принудительный приём звонка на стороне вызываемого абонента (например, для прослушивания и подглядывания).

    На получение премии также претендовали:

    • Уязвимость в WhatsApp, позволяющая добиться выполнения своего кода через отправку специально оформленного голосового вызова;
    • Уязвимость в графической библиотеке Skia, используемой в браузере Chrome, которая может привести к повреждению памяти из-за погрешности операций с плавающей точкой при некоторых геометрических преобразованиях;

    Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена за выявление уязвимости в ядре iOS, которую можно эксплуатировать через ipc_voucher, доступном для обращения через браузер Safari.

    На получение премии также претендовали:

    • Уязвимость в Windows, позволяющая получить полный контроль за системой через манипуляции с функцией CreateWindowEx (win32k.sys). Проблема была выявлена в ходе анализа вредоносного ПО, эксплуатировавшего уязвимость до её исправления;
    • Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции, позволяющая из подконтрольного злоумышленнику изолированного контейнера изменить исполняемый файл runc и получить root-привилегии на стороне хост-системы;
    • Уязвимость в iOS (CFPrefsDaemon), позволяющая обойти режимы изоляции и выполнить код с правами root;
    • Уязвимость в редакции TCP-стека Linux, используемого в Android, позволяющая локальному пользователю поднять свои привилегии на устройстве;
    • Уязвимости в systemd-journald, позволяющие получить права root;
    • Уязвимость в утилите tmpreaper для чистки /tmp, позволяющая сохранить свой файл в любой части ФС;

    Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена за выявление уязвимостей в технологии защиты беспроводных сетей WPA3 и в EAP-pwd, позволяющих воссоздать пароль подключения и получить доступ к беспроводной сети без знания пароля.

    Претендентами на получение премии также были:

    • Метод атаки на шифрование PGP и S/MIME в почтовых клиентах;
    • Применение метода холодной перезагрузки для получения доступа к содержимому шифрованных разделов Bitlocker;
    • Уязвимость в OpenSSL, позволяющая разделять ситуации получения некорректного добавочного заполнения и некорректного MAC. Проблема вызвана некорректной обработкой нулевых байтов в добавочном заполнении (padding oracle);
    • Проблемы с применяемыми в Германии картами идентификации, использующими SAML;
    • Проблема с энтропией случайных чисел в реализации поддержки токенов U2F в СhromeOS;
    • Уязвимость в Monocypher, из-за которой признавались корректными нулевые сигнатуры EdDSA.

    Наиболее инновационное исследование. Премия присуждена разработчику техники Vectorized Emulation, использующей векторные инструкции AVX-512 для эмуляции выполнения программ, позволяющей добиться существенного увеличения скорости fuzzing-тестирования (до 40-120 миллиардов инструкций в секунду). Техники позволяет на каждом ядре СPU параллельно выполнять 8 64-разрядных или 16 32-разрядных виртуальных машин с инструкциями для fuzzing-тестирования приложения.

    На получение премии претендовали:

    • Уязвимость в технологии Power Query из MS Excel, позволяющая организовать выполнение кода и обход методов изоляции приложений при открытии специально оформленных электронных таблиц;
    • Метод обмана автопилота автомобилей Tesla для провоцирования выезда на встречную полосу движения;
    • Работа по обратному инжинирингу ASICS чипа Siemens S7-1200;
    • SonarSnoop - техника отслеживания движения пальцев для определения кода разблокировки телефона, основанная на принципе работы сонара - верхний и нижний динамики смартфона генерируют неслышимые колебания, а встроенные микрофоны улавливают их для анализа наличия отражённых от руки колебаний;
    • Разработка в АНБ инструментария для обратного инжиниринга Ghidra;
    • SAFE - техника определения использования кода одинаковых функций в нескольких исполняемых файлах на основе анализа бинарных сборок;
    • Создание метода обхода механизма Intel Boot Guard для загрузки модифицированных UEFI-прошивок без проверки по цифровой подписи.

    Самая ламерская реакция вендора (Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте. Победителем признаны разработчики криптокошелька BitFi, кричащие о сверхбезопасности своего продукта, которая на деле оказалась мнимой, устраивающие травлю на исследователей, выявляющих уязвимости, и не выплачивающих обещанные премии за выявление проблем;

    Среди претендентов на получение премии также рассматривались:

    • Исследователь безопасности обвинил директора Atrient в нападении для того, чтобы принудить удалить отчёт о выявленной им уязвимости, но директор отрицает инцидент и камеры наблюдения не зафиксировали это нападение;
    • Компания Zoom оттягивала исправление критической уязвимости в своей системе конференц-связи и исправила проблему только после публичной огласки. Уязвимость позволяла внешнему атакующему получить данные с web-камер пользователей macOS при открытии в браузере специальной оформленной страницы (zoom запускал на стороне клиента http-сервер, принимающий команды от локального приложения).
    • Неспособность более 10 лет исправить проблему c серверами криптографических ключей OpenPGP, мотивируя тем, что код написан на специфичном языке OCaml и остаётся без сопровождающего.

    В номинации упомянуты:

    • Уязвимость в libssh, которая затрагивала единичные серверные приложения (libssh почти не используется для серверов), но была преподнесена NCC Group как уязвимость, позволяющая атаковать любой сервер OpenSSH.
    • Атака c использованием изображений в формате DICOM. Суть в том, что можно подготовить исполняемый файл для Windows, который будет выглядеть как валидное изображение в формате DICOM. Этот файл можно загрузить на медицинское устройство и выполнить.
    • Уязвимость Thrangrycat, позволяющая обойти механизм безопасной загрузки на устройствах Cisco. Уязвимость отнесена в категорию раздутых проблем так как требует для атаки прав root, но если атакующий уже смог получить root-доступ, то о какой безопасности может идти речь. Уязвимость одновременно победила в категории самых недооценённых проблем, так как позволяет внедрить постоянный бэкдор во Flash;

    Самый большой провал (Most Epic FAIL). Победа присуждена изданию Bloomberg за ряд сенсационных статей c громкими заголовками, но придуманными фактами, умалчиванием источников, скатыванием в теорию заговоров, использованием таких терминов, как "кибероружие", и недопустимыми обобщениями. Среди других номинантов:

    • Атака Shadowhammer на сервис обновления прошивок Asus;
    • Взлом хранилища BitFi, разрекламированного как "невзламываемое";
    • Утечки персональных данных и токенов доступа в Facebook.

9.2632 72.6243 0.6153 65.6046

НОВОСТИ: Представлен notqmail, форк почтового сервера qmail Wed, 21 Aug 2019 11:28:15 +0300

Представлен первый выпуск проекта notqmail, в рамках которого началось развитие форка почтового сервера qmail. Qmail был создан Дэниелом Бернштейном (Daniel J. Bernstein) в 1995 году в целью предоставления более безопасной и быстрой замены sendmail. Последний выпуск qmail 1.03 был опубликован в 1998 году и с тех пор официальная поставка не обновлялась, но сервер остаётся примером качественного и безопасного ПО, поэтому продолжает применяться до сих пор и оброс многочисленными патчами и надстройками. В своё время на базе qmail 1.03 и накопившихся патчей был сформирован дистрибутив netqmail, но сейчас он находится в заброшенном виде и не обновлялся с 2007 года.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome