информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100За кого нас держат?Страшный баг в WindowsSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2009
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




Успешная атака на SSL; Пара недель с уязвимым Акробатом; Итальянская полиция оказалась бессильной перед Skype; Ложный факт в Википедии подтвердил себя сам; SQL injection на сайте Лаборатории Касперского.

#270, 21.02.2009

Успешная атака на SSL
dl // 20.02.09 22:33
Исследователь, называющий себя Moxie Marlinspike, продемонстрировал на очередной BlackHat-конференции утилиту SSLstrip, которая реализует технику перехвата SSL-соединений, основанную на том факте, что, как правило, перед началом взаимодействия по https и установкой SSL-соединения пользователи заходят на некоторую обычную веб-страницу с помощью незащищенного http-соединения, где и нажимают заветную кнопку Login.

Прелесть этой атаки в том, что собственно SSL-соединение никто и не атакует. SSLstrip работает как обычный прокси, отслеживающий http-трафик. Хотя пользователь искренне считает, что взаимодействует с сайтом по https, на самом деле он общается с SSLstrip по простому http, ну а та в свою очередь честно идет на сайт по https от имени пользователя. Путем подмены favicon даже получается имитировать значок защищенного соединения, ну а http там в строке адреса или https - на такую мелочь не каждый обратит внимание.

По словам автора атаки, с помощью SSLstrip за сутки ему удалось собрать 117 паролей к почтовым аккаунтам, семь логинов PayPal и 16 номеров кредитных карт.
Источник: InfoWorld


Пара недель с уязвимым Акробатом
dl // 20.02.09 18:25
Adobe сообщила о критической уязвимости в Adobe Reader и Acrobat (как девятой, так и более ранних версий), которая может приводить к аварийному завершению приложения и исполнению произвольного кода на атакуемой системе. Имеются свидетельства успешного использования данной уязвимости. Дополнительную радость этой новости придает тот факт, что Adobe планирует выпустить исправление для девятки аж 11 марта, а для других версий еще чуть позже. До тех же пор пользователям предлагается положиться на свои антивирусы и не открывать документы из непроверенных источников.
Источник: Adobe


Итальянская полиция оказалась бессильной перед Skype
dl // 15.02.09 14:42
Миланские полицейские озабочены тем, что представители организованной преступности стали все активнее пользоваться Скайпом для переговоров. Система шифрования, которой компания ни с кем не делится, не дает использовать привычные для полицейских методы перехвата. Тревогу подняли таможенники и налоговики, услышав, как подозреваемый в перевозке наркотиков предложил сообщнику переключиться на Скайп для уточнения деталей по поставке двухкилограммовой партии кокаина.

Любопытно, что несмотря на то, что полиция стала все активнее использовать средства технического перехвата и все более зависеть от них в последнее время, правительство Италии наоборот собирается ограничить возможности по прослушиванию переговоров, разрешив использование прослушки только для наиболее серьезных преступлений и запретив огласку результатов до вынесения вердикта суда (что с учетом медлительности итальянского правосудия может означать задержку на полтора десятка лет).

Итальянские журналисты крайне негативно относятся к готовящемуся законопроекту, в то время как многие политики (включая самого премьер-министра Берлускони, частные телефонные разговоры которого регулярно утекали в печать), явно вздохнут с облегчением.
Источник: BBC


Ложный факт в Википедии подтвердил себя сам
dl // 11.02.09 17:34
Новый министр экономики Германии благодаря происхождению из аристократической семьи с длинной историей обладает не менее длинным именем: Karl Theodor Maria Nikolaus Johann Jacob Philipp Franz Joseph Sylvester Freiherr von und zu Guttenberg. Когда только пошли слухи о его возможном назначении, кто-то подправил посвященную ему страницу в Википедии, добавив Wilhelm между Philipp и Franz (Вильгельмом больше, Вильгельмом меньше, делов-то). Когда же назначение случилось, и немецкая, и международная пресса, включая весьма известные газеты и телеканалы, просто взяли имя из Википедии. Тем временем в википедийной статье случился откат, мотивированный необходимостью подтверждения информации. Каковое и предоставили, сославшись на авторитетный источник в виде статьи на spiegel.de, автор которой взял "полное" имя министра - правильно - из Википедии. Круг замкнулся.
Источник: Slashdot


SQL injection на сайте Лаборатории Касперского
dl // 09.02.09 06:22
HackersBlog опубликовал в субботу информацию о наличии SQL injection на сайте Лаборатории Касперского, позволяющей получить доступ к списку пользователей, кодам активации и прочей критичной информации путем простой модификации адреса запрашиваемой веб-страницы. В качестве подтверждения опубликован список имен таблиц (более 150 штук), доступ к которым был получен таким образом, и несколько скриншотов, на которых можно увидеть имя пользователя, хэш пароля и т.п.

Пока не вполне понятно, действительно ли был получен доступ ко всей критичной информации, или дело ограничилось только списком таблиц, официальной реакции еще не было. Открытым остается и вопрос, не повлияет ли все это на конечных пользователей, называется как минимум два гипотетических сценария усугубления проблемы: целенаправленные атаки на "засвеченных" пользователей, а также модификация страниц обновления с линковкой затрояненных версий продуктов. Ситуация не самая приятная, впрочем, согласно архивам Zone-h, с 2000 года уже было 36 взломов различных сайтов ЛК - например, в июле опять-таки через SQL injection на малайзийском сайте ЛК были размещены протурецкие лозунги. Так что ребятам не привыкать.
Источник: The Register




обсудить  |  все отзывы (0)
[35145]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach