Взлом водафоновских фемтосот; Умер Роберт Моррис-старший; Утилита, ограничивающая шпионские аппетиты андроидных программ; Пора забыть о FireFox 4; Dropbox устроил день открытых дверей.

#302, 15.07.2011

Взлом водафоновских фемтосот
dl // 15.07.11 14:41
Фемтосота - это такая маленькая базовая станция, которую ставят в небольших компаниях или в больших квартирах для расширения зоны доступа.

Команда The Hacker's Choice описала способ использования нескольких уязвимостей в схеме работы фемтосот, используемых Vodafone. Первая позволяет атакующему использовать фемтосоту с расстояния до 50 метров без ведома ее владельца, вторая позволяет перехватить передаваемые по сети ключи. Для этого потребуется административный доступ к фемтосоте, что не вызывает особых проблем после обнаружения стандартного пароля рута "newsys". С этого момента появляется возможность перехвата пользовательского трафика, передача sms и звонков от чужого имени и прочие понятные прелести.

Сама Vodafone утверждает, что THC сообщила ей о проблеме в 2009 году, в 2010 она была устранена, сеть и пользователи не пострадали. THC в свою очередь утверждает, что исправлен был лишь описанный способ получения администраторского доступа к фемтосоте, но принципиальная проблема, связанная с передачей и возможным перехватом ключей, осталась незатронутой, а с тех пор были обнаружены и другие способы получения администраторского доступа.
Источник: The Hacker's Choice

Умер Роберт Моррис-старший
dl // 02.07.11 21:12
Неделю назад умер еще один человек, внесший заметный вклад в историю современной вычислительной техники. Работая с 1960 года в Bell Labs, Роберт Моррис принимал участие в создании системы Multics, а позднее приложил руку к Unix, реализовав первую версию библиотеки math, скромную функцию crypt, а заодно и всю схему юниксовой аутентификации, просуществовавшую с некоторыми изменениями до нынешних времен.

В 1986 году он перешел в NSA, где, по слухам, принимал участие в организации первой так называемой кибервойны, предшествовавшей "Войне в заливе" 1991 года.

Ну а в 1988 году всеобщее внимание к фамилии Моррисов привлек его сын, Роберт Таппан Моррис-младший, запустивший червь Морриса - первый известный сетевой вирус, эффективно положивший заметную часть тогдашнего интернета.

Моррис-старший также известен как автор трех золотых правил компьютерной безопасности: не владейте компьютером, не включайте компьютер, не пользуйтесь компьютером.
Источник: The New York Times

Утилита, ограничивающая шпионские аппетиты андроидных программ
dl // 23.06.11 15:04
WhisperCore позволяет провести тонкую настройку андроидных приложений уже после их установки, позволяя преодолеть стандартный подход "все или ничего". Скажем, те же Angry Birds ни в какую не установятся, если не согласиться дать им крайне необходимый доступ к определению местоположения. В результате пользователи практически не обращают внимания на список возможностей, запрашиваемых приложением при установке, что и приводит к всплескам распространения троянов.

Защита в WhisperCore реализована путем обмана приложений - им передаются случайные координаты, подсовывается пустая база контактов и т.п. В итоге все остаются довольными - и пользователь, защитивший свои данные, и приложение, считающее, что оно получило, что хотело.

Пока WhisperCore работает только на Nexus S и Nexus One, в планах автора расширение установочной базы.
Источник: The Register

Пора забыть о FireFox 4
dl // 22.06.11 22:52
FireFox 4.0.1 останется в нашей памяти как первое и единственное обновление FireFox 4. Все последующие обновления будут выходить только для свежевыпущенной пятерки. Любопытно, что версия 3.6 еще будет поддерживаться в течение некоторого времени. В остальном же поведение Mozilla стало практически гуглевским - там тоже выходят обновления исключительно для последней стабильной версии Chrome. Что лишний раз подчеркивает цену этих дутых цифр.
Источник: InfoWorld

Dropbox устроил день открытых дверей
dl // 21.06.11 10:32
Популярный сервис облачного хранения данных Dropbox отличился в минувшее воскресенье - в течение четырех часов кто угодно мог зайти в любой аккаунт, введя любой пароль. По оценке самого сервиса, за это время происходили обращения менее чем к 1% от 25 миллионов аккаунтов (причем неизвестно, сколько из них было с левыми паролями). После исправления ошибки все открытые к тому моменту времени сессии были принудительно закрыты.

Традиционно обещано расследование, усиление мер безопасности, в общем, "больше никада-никада". Пользователям, которые были залогинены в те четыре часа, высланы уведомления.

Стоит заметить, что система безопасности Dropbox, не использующая шифрование на клиенте (в отличие от альтернатив типа Wuala), активно критиковалась последние несколько месяцев. И вот такой подарок.
Источник: Wired