https://bugtraq.ru/review/archive/2010/29-03-10.html

Pwn2Own 2010; Милицейско-Агавный DoS; Российские проблемы владельцев американских гуглофонов; РИТ++ / 2010; Гуглехакеры могли получить доступ к исходникам атакованных компаний.

#286, 29.03.2010

Pwn2Own 2010
dl // 28.03.10 21:53
Завершен очередной конкурс Pwn2Own, в рамках которого участникам предлагалось скомпрометировать популярные операционные системы путем атаки на наиболее распространенные браузеры. Предполагалось, что в первый день будут атакованы IE8, FF3, Crome 4 на Windows 7 и Safari 4 на MacOS X Snow Leopard, во второй день IE8 должен был сменить IE7, а Windows 7 - Vista, и в последний день на сцену приглашалась XP. Кроме того, в этом году в конкурсе была выделена мобильная часть, в рамках которых предлагалось атаковать Apple iPhone 3GS, RIM Blackberry Bold 9700, Nokia E72 и HTC Nexus One.

Однако самое интересное произошло в первый день конкурса. Первым пал iPhone, к архиву SMS которого удалось получить доступ за 20 секунд с помощью дырки в Safari. Далее Чарли Миллер (Charlie Miller) успешно атаковал MacOS (опять же с помощью Safari) - причем проделывает он это уже третий год подряд. Далее был продемонстрирован довольно сложный взлом IE8, обходящий DEP, и под занавес пал FireFox. Был сделан неудачный подход к Нокии, до Google Chrome дело не дошло - видимо, потому, что буквально накануне была выпущена обновленная версия. О всех использованных уязвимостях организаторы конкурса известили производителей.

Во второй день не было сделано никаких подходов к снарядам, ну а все, что опубликовано о последнем дне - "Someone is actively working on the Nokia". Похоже, безуспешно.
Источник: DVLabs

Милицейско-Агавный DoS
dl // 17.03.10 23:39
В результате милицейского рейда были отключены все серверы московского хостинг-провайдера "Агава", расположенные в датацентре Голден Телекома на ул.2-й Энтузиастов. По информации Вебпланеты, доблестные сотрудники органов пришли с обыском в связи с жалобой на детскую порнографию, размещенную на iFolder.ru, не смогли найти нужный сервер и поначалу решили вывезти все серверы Агавы из этого дата-центра - хотя "администрация сервиса предложила сотрудникам оказать максимальное содействие в поиске и получении нужной информации, а также в установлении пользователя ее разместившего".

От веселой операции по вывозу сотни серверов милицию пока удалось отговорить ценой отключения и опечатывания всех серверов как проекта ifolder, так и других серверов компании, не имеющих к нему никакого отношения - в частности, первичные DNS-серверы Агавы.
Источник: Вебпланета, Roem.ru

Российские проблемы владельцев американских гуглофонов
dl // 13.03.10 13:17
Точнее, не гуглофонов, а телефонов, привязанных к американскому опсосу T-Mobile - но как раз доля гуглофонов среди трубок, привезенных из Штатов, достаточно высока.

Некоторые их дополнительные функции реализованы с помощью отправки SMS на короткий номер 453, причем отправляют они эти сообщения довольно часто. То ли некие предприимчивые деятели решили этим воспользоваться, то ли так счастливо совпало, но с конца февраля этот номер оказался зарегистрирован в некоторых российских мобильных сетях для очередной контент-услуги "мобильный патруль". А как известно, основное назначение подобных услуг - срубить побольше денег с тех, кто имел неосторожность ими воспользоваться. Не стал исключением и данный случай: SMS на номер 453 в сети МТС обходится владельцу аж в 37 рублей 31 копейку без НДС. Сообщений же таких за сутки может набежать не один десяток, и если у вас нет привычки ежедневно проверять свой баланс, вполне можно попасть на довольно крупную сумму.

Так что владельцам трубок, привезенных из США, стоит срочно повнимательнее ознакомиться с личной жизнью своего телефона.
Источник: asy.livejournal.com

РИТ++ / 2010
dl // 12.03.10 15:02
с 12 по 15 апреля в Москве в конференц-центре "Инфопространство" состоится новая профессиональная конференция веб-разработчиков РИТ++ / 2010.

Под крылом РИТ++ объединено несколько относительно независимых мероприятий:

• Серверное программирование и конференция MayPerl от Андрея Шитова;
• Конференция системных администраторов RootConf;
• Конференция клиентских технологий ClientSide от Вадима Макеева;
• Управление проектами и специализированная конференция AgileDays;
• Базы данных, Java в вебе, Качество и Технологии будущего.

Участие в конференции платное, но вечером каждого из трех дней двери конференции будут открываться и сообщества получат возможность проводить бесплатные обучающие мероприятия и общественные встречи.

До 20 марта принимаются заявки и тезисы желающих выступить с самостоятельным докладом.
Источник: РИТ++ / 2010

Гуглехакеры могли получить доступ к исходникам атакованных компаний
dl // 04.03.10 09:23
Согласно материалу, распространенному McAfee на конференции RSA, январьская массовая атака могла поставить под угрозу целостность критичной корпоративной информации, в том числе используемых систем управления кодом. На примере SCM производства Perforce рассматриваются основные угрозы, характерные для подобных систем (кража интеллектуальной собственности, внедрение закладок, анализ украденного кода для выявления новых уязвимостей), а также слабые места данной конкретной системы.

Впрочем, до сих пор нет ни одного свидетельства того, что хотя бы одна атакованная компания пострадала от внедрения зловредных модификаций, так что материал этот отчасти из серии "но если бы рыбы жили на суше, у них водились бы блохи". С другой стороны, проблемы, к которым он привлекает внимание, вполне реальны, так что можно простить несколько алармистский характер, который приобретает эта тема по мере популяризации (достаточно сравнить исходный заголовок с заголовком Wired).
Источник: Wired