информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеГде водятся OGRыПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2010
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




Pwn2Own 2010; Милицейско-Агавный DoS; Российские проблемы владельцев американских гуглофонов; РИТ++ / 2010; Гуглехакеры могли получить доступ к исходникам атакованных компаний.

#286, 29.03.2010

Pwn2Own 2010
dl // 28.03.10 21:53
Завершен очередной конкурс Pwn2Own, в рамках которого участникам предлагалось скомпрометировать популярные операционные системы путем атаки на наиболее распространенные браузеры. Предполагалось, что в первый день будут атакованы IE8, FF3, Crome 4 на Windows 7 и Safari 4 на MacOS X Snow Leopard, во второй день IE8 должен был сменить IE7, а Windows 7 - Vista, и в последний день на сцену приглашалась XP. Кроме того, в этом году в конкурсе была выделена мобильная часть, в рамках которых предлагалось атаковать Apple iPhone 3GS, RIM Blackberry Bold 9700, Nokia E72 и HTC Nexus One.

Однако самое интересное произошло в первый день конкурса. Первым пал iPhone, к архиву SMS которого удалось получить доступ за 20 секунд с помощью дырки в Safari. Далее Чарли Миллер (Charlie Miller) успешно атаковал MacOS (опять же с помощью Safari) - причем проделывает он это уже третий год подряд. Далее был продемонстрирован довольно сложный взлом IE8, обходящий DEP, и под занавес пал FireFox. Был сделан неудачный подход к Нокии, до Google Chrome дело не дошло - видимо, потому, что буквально накануне была выпущена обновленная версия. О всех использованных уязвимостях организаторы конкурса известили производителей.

Во второй день не было сделано никаких подходов к снарядам, ну а все, что опубликовано о последнем дне - "Someone is actively working on the Nokia". Похоже, безуспешно.
Источник: DVLabs


Милицейско-Агавный DoS
dl // 17.03.10 23:39
В результате милицейского рейда были отключены все серверы московского хостинг-провайдера "Агава", расположенные в датацентре Голден Телекома на ул.2-й Энтузиастов. По информации Вебпланеты, доблестные сотрудники органов пришли с обыском в связи с жалобой на детскую порнографию, размещенную на iFolder.ru, не смогли найти нужный сервер и поначалу решили вывезти все серверы Агавы из этого дата-центра - хотя "администрация сервиса предложила сотрудникам оказать максимальное содействие в поиске и получении нужной информации, а также в установлении пользователя ее разместившего".

От веселой операции по вывозу сотни серверов милицию пока удалось отговорить ценой отключения и опечатывания всех серверов как проекта ifolder, так и других серверов компании, не имеющих к нему никакого отношения - в частности, первичные DNS-серверы Агавы.
Источник: Вебпланета, Roem.ru


Российские проблемы владельцев американских гуглофонов
dl // 13.03.10 13:17
Точнее, не гуглофонов, а телефонов, привязанных к американскому опсосу T-Mobile - но как раз доля гуглофонов среди трубок, привезенных из Штатов, достаточно высока.

Некоторые их дополнительные функции реализованы с помощью отправки SMS на короткий номер 453, причем отправляют они эти сообщения довольно часто. То ли некие предприимчивые деятели решили этим воспользоваться, то ли так счастливо совпало, но с конца февраля этот номер оказался зарегистрирован в некоторых российских мобильных сетях для очередной контент-услуги "мобильный патруль". А как известно, основное назначение подобных услуг - срубить побольше денег с тех, кто имел неосторожность ими воспользоваться. Не стал исключением и данный случай: SMS на номер 453 в сети МТС обходится владельцу аж в 37 рублей 31 копейку без НДС. Сообщений же таких за сутки может набежать не один десяток, и если у вас нет привычки ежедневно проверять свой баланс, вполне можно попасть на довольно крупную сумму.

Так что владельцам трубок, привезенных из США, стоит срочно повнимательнее ознакомиться с личной жизнью своего телефона.
Источник: asy.livejournal.com


РИТ++ / 2010
dl // 12.03.10 15:02
с 12 по 15 апреля в Москве в конференц-центре "Инфопространство" состоится новая профессиональная конференция веб-разработчиков РИТ++ / 2010.

Под крылом РИТ++ объединено несколько относительно независимых мероприятий:

  • Серверное программирование и конференция MayPerl от Андрея Шитова;
  • Конференция системных администраторов RootConf;
  • Конференция клиентских технологий ClientSide от Вадима Макеева;
  • Управление проектами и специализированная конференция AgileDays;
  • Базы данных, Java в вебе, Качество и Технологии будущего.

Участие в конференции платное, но вечером каждого из трех дней двери конференции будут открываться и сообщества получат возможность проводить бесплатные обучающие мероприятия и общественные встречи.

До 20 марта принимаются заявки и тезисы желающих выступить с самостоятельным докладом.
Источник: РИТ++ / 2010


Гуглехакеры могли получить доступ к исходникам атакованных компаний
dl // 04.03.10 09:23
Согласно материалу, распространенному McAfee на конференции RSA, январьская массовая атака могла поставить под угрозу целостность критичной корпоративной информации, в том числе используемых систем управления кодом. На примере SCM производства Perforce рассматриваются основные угрозы, характерные для подобных систем (кража интеллектуальной собственности, внедрение закладок, анализ украденного кода для выявления новых уязвимостей), а также слабые места данной конкретной системы.

Впрочем, до сих пор нет ни одного свидетельства того, что хотя бы одна атакованная компания пострадала от внедрения зловредных модификаций, так что материал этот отчасти из серии "но если бы рыбы жили на суше, у них водились бы блохи". С другой стороны, проблемы, к которым он привлекает внимание, вполне реальны, так что можно простить несколько алармистский характер, который приобретает эта тема по мере популяризации (достаточно сравнить исходный заголовок с заголовком Wired).
Источник: Wired




обсудить  |  все отзывы (0)
[34189]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach