2010. szeptember 18-19-én kerül sor a Hacktivity 2010 konferenciára a Dürer kertben. Kelet-Közép-Európa legnagyobb hackerkonferenciájára az eddigi regisztrációk alapján akár 1024 fő is érkezhet, köztük sok külföldi, mivel idén először az előadásokat folyamatos szinkrontolmácsolás kíséri.

Két nap, 28 előadás, 2 workshop, 3 tréning, egy kerekasztal vita, Wargame, Capture the Flag, Hack the Vendor játékok 100.000 ft-os nyereményekkel, Wall of the Sheep, Hardver workshop Mitch Altman-nal, egész nap sör, hot-dog, pizza, jó beszélgetések, falmászás és este fergeteges buli. Körülbelül így lehetne leírni egy mondatban a legrégebbi hazai független IT biztonsági rendezvény 2010-es évi programját.

A szombati keynote speaker nem más, mint Bruce Schenier Amerikából, aki a világ egyik leghíresebb IT-biztonsági szakértője. Bruce reggel nyitóelőadást tart, majd a nap végét is ő zárja azon a könyvbemutatón, ahol dedikálja HVG Kiadó és a Kancellár.hu Zrt. közös gondozásában magyarul is megjelent Schneier on Security című könyvét. Vasárnapi keynote speakerünk "FX" Lindner a "Hogyan Lopjunk Kontinenst" hacker kultuszkönyv társszerzője, aki 2001-ben elsőként írt Cisco IOS Exploit-ot a világon.

Az előtérben mindeközben játszhatnak a kihívásokra vágyó résztvevők egyénileg és csapatokban is. Újra lesz

A Symantec Security Response rovatában arról ír, hogy egy érdekes, az Android Market-ben fellelhető alkalmazásban botlottak. Az alkalmazás látszólag egy ismert játék újabb változata, de alaposabban szemügyre véve kiderül, hogy annál azért jóval több. Annyira, hogy a Symantec trójaiként kezeli.

A játékkal - amely saját jellemzése szerint a Google Android Snake játék újabb változata - települése és regisztrálása után a várakozásoknak megfelelően lehet játszani. Azonban éles szeműek megfigyelték, hogy játék közben a telefonon megjelenik a parabolaantenna ikon, amely arra utal, hogy a GPS használatban van. A vizsgálatok után kiderült, hogy a játékba elrejtettek egy másodlagos funkcionalitást is. A játék bizonyos időközönként adatokat küld egy távoli szervernek, lehetővé téve egy másik személy számára, hogy az megfigyelhesse a telefon helyzetét a tulajdonosa tudta nélkül.

Hogy az érdekeltek hozzáférhessenek a játék által elküldött koordinátákhoz, egy másik, fizetős programra van szükség. A "GPS Spy" nevű programot egy másik Android-os készülékre feltelepítve megfigyelhetővé válik az a személy, akinek a telefonjára feltelepítették a Snake játék variánsát.

A cikk megjegyzi, hogy mindazonáltal, hogy kétségkívül nyugtalanító a program léte, komoly fenyegetést nem jelent és feltehetően nem is széleskörű probléma. Ettől függetlenül a felhasználóknak érdemes odafigyelni arra, hogy mit telepítenek, illetve figyeljenek arra, hogy a feltelepített alkalmazásnak ne kérjenek olyan jogokat, amelyekre valójában nincs is szükségük.

A részletek itt.

A Pwnie-díjátadó egy évente megrendezésre kerülő ceremónia, ahol a biztonsági szakértők és a biztonsággal foglalkozó közösség által elért eredményeket és kudarcokat "jutalmazzák". A Black Hat-ek Oscar-díjátadójának is nevezett "gála" ötlete Alex Sotirov és Dino Dai Zovi agyából pattant ki. Az első Pwnie-díjátadót 2007-ben tartották. Idén immár a negyedik díjkiosztóra került sor a Las Vegas-i Black Hat biztonsági konferencián. A győzteseket a korábban bejelentett jelöltek közül választották ki.

2010-es év győztesei

Pwnie (ejtsd: Pony)

Legjobb szerver-oldali bug

• Meder Kydyraliev - Apache Struts2 framework remote code execution

Legjobb kliens-oldali bug

• Sami Koivu - Java Trusted Method Chaining

Legjobb privilégium-szint emelést lehetővé tevő bug

• Tavis Ormandy - Windows NT #GP Trap Handler

Leginnovatívabb kutatás

• Dionysus Blazakis - Flash Pointer Inference and JIT Spraying (for defeating ASLR and DEP using the Flash AVM2 virtual machine and JIT engine)

Legpancserebb gyártói reagálás

• Absolute Software - LANRev remote code execution

Legjobb dal

• Dr. Raid and Heavy Pennies - Pwned - 1337 edition

Legsúlyosabb FAIL

• Microsoft Internet Explorer 8 XSS filter

A részletek itt.

Giorgio Maone, a NoScript névre hallgató Mozilla Firefox extension szerzője nemrég bejelentette, hogy elérhető a NoScript 2.0-s kiadása. A NoScript segítségével a felhasználó megadhatja melyek az általa megbízható domain-ek, melyek azok, amelyekhez engedélyezi a böngészőjében a JavaScript-et, Java-t, Flash-t stb.

A kiadással kapcsolatos részletek a változások listájában. Letölthető innen. Licence GNU GPLv2.

Ismert biztonsági szakemberek - köztük Charlie Miller, Alex Sotirov és Dino Dai Zovi - korábban kijelentették: nincsenek többé ingyen bugok. Ez pontosabban azt jelenti, hogy ők nem fognak azért időt áldozni sebezhetőségek felkutatására, dokumentálására, exploitok kidolgozására és megírására, hogy utána ezeket az információkat ingyen a gyártók rendelkezésére bocsátsák. Charlie Miller egy tavaly tavaszi interjúban kerek perec kijelentette, hogy nem fogja az általa talált hibát az Apple-lel ingyen megosztani. A vállalatnak vannak szakemberei, akik azért kapják a fizetésüket, hogy ezt a munkát elvégezzék. Dino Dai Zovi egy hosszabb blogbejegyzésben akkor kifejtette, hogy mi a motiváció a "No more free bugs" kampányuk mögött.

Alex Sotirov és Dino Dai Zovi - No more free bugs

A kampány legfőképpen olyan for profit vállalatokkal szemben indult, amelyeknek sebezhető termékeit pénzért lehet megvásárolni, magyarul, olyan vállalatok ellen, amelyek profitot termelnek az adott termékek árusításán keresztül. Kiváltképp olyan for profit vállalatok ellen, akik már foglalkoztatnak biztonsági szakembereket, akiknek az lenne a dolga, hogy ezeket a sebezhetőségeket megtalálják. Dai Zovi blogbejegyzésében megemlíti, hogy a nyílt forrású projektekben vagy az internetes infrastruktúrában felfedezett sebezhetőségek méltán igényelnek megkülönböztetést.

Dai Zovi 4 pontba szedte a kampány mögött álló okokat:

• A sebezhetőségek veszélynek teszik ki a felhasználókat. Nyilván, ha nem így lenne, akkor a gyártók nem javítanák őket.
• A sebezhetőségeknek értékük van. Vannak cégek, akik szakembereket alkalmaznak a hibák felkutatására, javítására. Vannak olyan cégek, magánszemélyek stb. akik legálisan pénzt fizetnek a bejelentett sebezhetőségek után (Tippingpoint / ZDI, Mozilla, Google, Donald Knuth, Dan Bernstein).
• A hibák bejelentése veszélyt rejt a bejelentő számára. Akár fenyegetéseknek, pereknek, börtönnek teheti ki őket.
• A sebezhetőségekkel kapcsolatos információk ingyenes közlése nem fair azokkal az ügyfelekkel szemben, akik fizetnek ezekért a szolgáltatásokért, információkért.

Vannak cégek, akik megpróbálják valamiféleképpen honorálni a biztonsági kutatók munkáját. Az elmúlt napokban a Mozilla bejelentette, hogy felemeli azt a jutalmat, amelyet a termékeit, szolgáltatásait érintő, bejelentett sebezhetőségek után fizet. Néhány nappal később a Google követte a példát.

Állítólag security körökben az hír járja már egy ideje, hogy a Microsoft is hasonló lépésre szánhatja el magát és hamarosan a redmondi cég is jutalmat fizet a bejelentett bugok után. A híresztelés kacsának bizonyult, hiszen a vállalat hivatalosan cáfolta, hogy jutalmat tervezne fizetni a kutatóknak a bejelentett, sebezhetőségekről szóló információk után.

A Microsoft részéről Jerry Bryant elmondta, hogy véleményük szerint nem az legjobb megoldás, hogy jutalmat fizetnek a bugok után. Szerintünk biztonsági körökben nem minden esetben anyagi a motiváció az egyes bejelentésekkel kapcsolatban. Megjegyezte, hogy a Microsoft rendszeresen megemlíti a biztonsági figyelmeztetőiben a hiba felfedezőjét, megemlékezve arról, hogy az adott kutató értékes információkkal járult hozzá sebezhetőség orvoslására kidolgozott javítás elkészítéséhez. Annak ellenére, hogy nem osztanak hibánként jutalmat, elismerik és jutalmazzák a tehetséges embereket. Volt példa már arra, hogy biztonsági körökben befolyásosnak számító egyének csatlakozhattak a Microsoft biztonsági csapatához alkalmazottként. Ezen kívül a vállalat közvetlen szerződéseket köt biztonsági vállalatokkal és néha magánszemélyekkel azért, hogy azok leteszteljék biztonsági szempontból egyes termékeiket még a kiadás előtt.

A részletek itt.