и это случилось: в скринсейвере для гнома, распространяемом в виде .deb-пакета через сайт gnome-look.org, обнаружено вредоносное программное обеспечение, позволяющее использовать компьютер для DDoS-атак.

Ссылки по теме:
http://www.omgubuntu.co.uk/2009/12/malware-found-in-screensaver-for-ubuntu.html
http://www.opennet.ru/opennews/art.shtml?num=24610

Пока это ещё не вирус, оно не умеет распространяться само, однако тенденция…

via http://vitus-wagner.livejournal.com/422761.html

Оригинал этой записи. Комментировать можно тут или там.

позволяет man-in-the-middle вставлять в защищенную сессию собственные данные.

Дыра в дизайне протокола, от реализации не зависит.

Ссылки по теме: http://www.phonefactor.com/sslgap/ http://extendedsubset.com/?p=8

Для плохо понимающих по-английски: http://www.opennet.ru/opennews/art.shtml?num=24132

via sem_lj

Оригинал этой записи. Комментировать можно тут или там.

Вынесено из комментов.

А вот интересно, разработчики хоть одного языка, кроме php, додумались автоматически поддерживать fopen(”scheme://”) ?

Если кто не понял, это такая специальная заготовка для эксплойтов, при некоторой криворукости разработчиков [очень частый случай] позволяющая запустить Remote File Inclusion со всеми вытекающими.

Оригинал этой записи. Комментировать можно тут или там.

Суждения об информационной безопасности мудреца и учителя Инь Фу Во записанные его учениками

via pashok

Upd: переставил ссылку на оригинал. (C) Николай Николаевич Федотов. Несмотря на моё в целом отрицательное к нему отношение, сие произведение есть хорошо.

Оригинал этой записи. Комментировать можно тут или там.

Если вдруг кто ещё не видел: http://habrahabr.ru/blogs/infosecurity/70330/

Оригинал этой записи. Комментировать можно тут или там.

Всюду ненатуралы. Пошел сегодня пополнять счёт в nic.ru, и получил в лоб предупреждение от браузера:

Посмотрел в код страницы - натурально, никакого https не предполагается:

<form method=”POST” action=”http://money.yandex.ru/eshop.xml” style=”margin-bottom:5em”>
<input type=”hidden” name=”scid” value=”***”>
<input type=”hidden” name=”ShopID” value=”***”>
<input type=”hidden” name=”Sum” value=”***”>

<input type=”hidden” name=”CustomerNumber” value=”***/NIC-D”>
<br>
<input type=”submit” name = “BuyButton” value = “Платить через Яндекс.Деньги” onClick = “OnByButtonClick();”>
</form>

Там, конечно, никаких особо секретных данных нет, но осадочек, ОСАДОЧЕК…

Оригинал этой записи. Комментировать можно тут или там.

Некорректная обработка нулевого символа в CN позволяет получить честно заверенный сертификат, который будет приниматься за сертификат от чужого домена. Какая лепота..

Подробности

via motto

Оригинал этой записи. Комментировать можно тут или там.

Запрещая юзерам прямой доступ наружу по 80 порту и ограничивая на корпоративной проксе список сайтов, на которые она пускает, не забывайте заодно заблокировать ICMP.

А то юзеры будут показывать на вас пальцем и неприлично хохотать. Как это сейчас делаю я, запустив ptunnel и поверх него ssh -D.

а мы взамен вам совершенно ничего не гарантируем, в случае чего - сдадим вас с потрохами в правоохранительные органы, и вообще можем вас отключить в любой момент без объяснений.

что тут сказать, молодцы ребята.. http://www.alonweb.com/

Upd:
Domain Name: ALONWEB.COM

Registrant:
Vital
Manko (mail@lesavik.org)
a/ya 45
Hrodna-24
Hrodnenskayav Oblasts'(be),230024
BY
Tel. +375.297800642

Creation Date: 09-Oct-2007
Expiration Date: 09-Oct-2009

Some of the OpenSSH server host keys on this system were generated with a version of OpenSSL that had a broken random number generator. As a result, these host keys are from a well-known set, are subject to brute-force attacks, and must be regenerated.

Users of this system should be informed of this change, as they will be prompted about the host key change the next time they log in. Use 'ssh-keygen -l -f HOST_KEY_FILE' after the upgrade has changed to print the fingerprints of the new host keys.

The affected host keys are:

/etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_dsa_key

User keys may also be affected by this problem. The 'ssh-vulnkey' command may be used as a partial test for this. See /usr/share/doc/openssh-server/README.compromised-keys.gz for more details.

так сказала мне сегодня машинка при установке апдейтов

http://www.schneier.com/blog/archives/2008/03/london_tube_sma.html

Собственно, ничего удивительного в этом нет, там используется тот же Mifare Classic RFID, что и во взломанных несколько месяцев назад голландских картах городсокого транспорта.

А особенно печально в этой истории то, что карт на этом чипе по всему миру используется много миллионов, в том числе для платежей и в качестве бесконтактных ключей от домов и служебных пропусков..

Upd: на самом деле, конкретно карты от лондонского метро никто [пока?] не ломал, а во всех отчетах говорится о реальной возможности клонирования любых карт, использующих Mifare Classic. Ибо вскрыт используемый там алгоритм, на секретности которого по большей части основывалась безопасность. Поскольку алгоритм стал известен, задача упростилась до поиска используемых ключей, а они, как оказалось, подбираются за достаточно непродолжительное время.

http://eprint.iacr.org/2007/120.pdf

Товарищи применили для атаки ARP.
Потому что а) не требует установки соединения и потому позволяет replay перехваченных пакетов.
б) позволяет достаточно быстро нагенерить нужное для подбора ключа количество шифрованного трафика от атакуемой системы
в) первые 16 байт ARP-запросов и ответов известны, что позволяет получить первые 16 байт RC4 key stream и облегчает подбор ключа
г) очень мало кто из IDS и администраторов вообще обращает внимание на ARP. Особенно на логически валидный. Поэтому с большой вероятностью активная атака останется вообще незамеченной.

В общем-то, странно, что никто до этого раньше не додумался.

Мораль: WPA/WPA2, либо наложенный VPN. А то придут злобные хацкеры и поломают ваш домашний WEP.

Темой сегодняшней лекции для веб-девелоперов будет одна простая мысль,
а именно: никогда не доверяйте данным, полученным от пользователя. НИКОГДА.

Вот, собственно, и всё.
Удивительно, но этой мыслью настолько часто пренебрегают, что я начал сомневаться в ее очевидности.
( Подробности )
Upd: те же гениталии, вид с другого ракурса, то есть, применительно конкретно к PHP: http://www.citforum.ru/internet/securities/phpsecure.shtml

Тут вот bugtraq.ru со ссылкой на InfoWorld пишет о том, что Руссинович обнаружил использование Касперским антивирусом и Symantec's Norton SystemWorks технологий сокрытия файлов, аналогичных тем, что были у Сони.
Только вот одна маленькая загвоздка - на http://www.sysinternals.com/Blog/ я про это ничего не нашёл.
Опять новсть из пальца высосана?

P.S. Зато там есть интересная заметка про неправльные якобы Antispyware программы.