Relativno bezopasan sigurnosni problem eskalira: Korištenje korisničkih imena sa vodećim znamenkama može dovesti do neželjenih eskalacijske prava - a programeri ne žele to promijeniti.
http://fsec.foi.hr/ "Vendor-neutral information security symposium" FOI organizira simpoziji o sigurnosti nevezan za specifične vendore, a koji se održava 7-8. Rujna u Varaždinskom narodnom kazalištu. Cijene, spikeri i par detalja još nisu objavljeni, ali da imate uvid. Neka od imena predavanja:
Jaya Baloo (KPN) - How we do CISO @ KPN
Ivan Fratrić (Google Project Zero)
Xavier Mertens - HTTP for the Good or the Bad
Arnim Eijkhoudt (KPN)
x0rz
Brent Cook (Rapid7)
live0verflow
Napomena: tko još nije, pročitati prvi topic.
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
Je, kratak samo 140 stranica prezentacije. Zasebno su testirali Windows 10 i Ubuntu Trusty(16.04) s time da su na ubuntu morali prekompajlirati kernel s puno sigurnosnih opcija isključenih da bi samo bili u mogućnosti pronaći bilo što.
Evo zaključka - ukratko win je shit biscuit a linux rocks:
Windows
Summary of the results so far
•A total of 29 vulnerabilities fixed by Microsoft in the last months (mostly June).
Windows infoleak summary
•The problem seems to have remained almost completely unrecognized until just now (with a few exceptions).
•Windows has a very loose approach to kernel→user data transfers.
•Tip of the iceberg, there may be many more instances of the bug lurking in the codebase.
•Hundreds of memcpy() calls to user-mode exist, every one of them is a potential disclosure.
•Especially those where size is user-controlled, but the amount of relevant data is fixed or otherwise limited.
•Lack of source code makes it very difficult to determine if an access is a bug and what its impact is.
Linux
Direct kernel→user disclosures
•Just one (1) minor bug!
•Disclosure of 7 uninitialized kernel stack bytes in the handling of specific IOCTLs in ctl_ioctl(drivers/md/dm-ioctl.c).
•/dev/control/mapper device, only accessible to root.
•Looks like Linux doesn’t have any direct, trivially reachable infoleaks to user-mode...
Conclusions
•The Linux community has been on top of the problem for the last few
years.
•Seemingly hardly any easy infoleaks left at all at this point.
•Some uses of uninit memory, but even these are not trivial to find.
•Even when bugs show up, they are rather short-lived.
•Most remaining bugs should be swept off by KMSAN in the near future.
Open BSD će imati „drugačiji“ kernel na svakom rebootu ili upgradeu. Nova funkcionalnost omogućuje da kernel image bude drugačiji nakon svakog boota kako bi se onemogućilo primjerice da se zna točna lokacija određenih funkcija te time kompromitira kernel.
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
Wikileaks je dokumentiro dva alata sa kojim CIA krade vjerodajnice korisnika na OpenSSH (centos,debian,rhel,suse,ubuntu), jedan alat ja za MS-Windows a drugi za Linux.
Skripta se zove BothanSpy koristi se za MS Windows a za Linux CIA ima program koji se zove Gyrfalcon. Kod instalacije Gyrfalcon automatski se instalira i rootkit Rootkit JQC/KitV koji je također razvijen od strane CIA-e. https://fdik.org/wikileaks/year0/vault7 ... 21796.html
Očigledno je Samba Cry postala poznata rupa koja je još uvijek omiljena meta napadača. Sada postoji još jedan zlonamjeran programa koji želi iskoristiti istu rupu u sistemu a očito je usmjeren na ranjive NAS sisteme.
Trend Micro je otkrio malware koji nosi ime Elf_Shellbind.
Elf_Shellbind je programiran za arhitekture koje su uobičajene za vanjska rješenja pohrane podataka, kao što su ARM, MIPS pa čak i PowerPC, .
Korištenje običnih rutera u svrhe nadgledanja kretanja osoba u prostorijama, pa čak i do razine da je moguće detektirati što pišu po tastaturi, prepoznavanje specifičnih individua itd.
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
tip koji je zaustavio wannacry je uhićen zbog kompletno nepovezanih hakerskih aktivnosti. Mnogi sumnjaju da ipak nije nepovezano, ali kako nema jasnih dokaza spada u teorije urote i ljude guštere.
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
HBO je hakiran na socijalnim mrežama vezano uz Game of Thrones. Skupina ne radi štatu, već više ovakve stvari koriste kao marketinšku kampanju. Igrom slučaja relativno u isto vrijeme je i izašla 6 epizoda GoT prije vremena preko HBO Španjolske: http://thehackernews.com/2017/08/game-o ... ason7.html
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
