U ciljanom XSS napadu provaljeno je u dobro čuvane servere na Apache.org domeni. Posljedica napada su ukradene zaporke svih korisnika koji su koristili servis za praćenje bug-ova, tijekom perioda od tri dana. Ovo je drugi napad u osam mjeseci koji pogađa spomenutu domenu. Najveći problem kod ovog napada je činjenica da su dvije baze enkriptiranih zaporki bile podložne napadima rječnikom, jer Atlassian (kreator JIRA software-a za praćenje problema) nije dodao nasumični salt u hash-eve zaporki.

Vijesti koje nam stižu iz Kine postaju sve zanimljivije i egzotičnije. Nakon napada na Google i ostale visoko-profilne tvrtke, zanimanje za tzv. Shadow network postalo je sve veće. Zadnji sofisticirani napadi bili su upućeni prema uredu Dalai Lame, Ujedinjenim narodima, Indijskoj vladi te prema drugim državama. Očito je da je međunarodna špijunaža uzela velike razmjere na internetu, a Kina je trenutno glavni igrač. Paralelno s tim, prošli tjedan loši su usmjerivački podaci (koji dolaze iz Kine) uzdrmali internet. Mali kineski ISP - IDC China Telecommunication odaslao je desetke tisuća ruta korištenjem BGP-a (Border Gateway Protocol), što je zahvatilo mnoge ISP-ove kao AT&T, Level3, Deutsche Telekom i ostale, a samim time pogođene su mreže tvrtki kao Dell, CNN, Starbucks i Apple. Drugim riječima, cijeli promet za spomenute mreže išao je preko Kine, što omogućuje prisluškivanje svog prometa. Cijeli incident trajao je oko 20 minuta. Ovo je ujedno i pokazatelj slabosti BGP-a.

Wesley Kerfoot objavio je na Full Disclosure mailing listi XSS ranjivost Paypal.com domene. Iako se radi o tzv. non-persistent XSS ranjivosti, stvar je vrlo ozbiljna s obzirom da je pogođen PayPal, kojeg mnogi koriste za novčane transakcije i čiji su računi direktno vezani na bankovne račune, kao i na kreditne kartice. Kod non-persistent ranjivosti skripta na serveru odmah obrađuje korisnički zahtjev (preko HTTP query parametara ili HTML formi) bez odgovarajućeg procesiranja i provjere.

Dva Google-ova sigurnosna istraživača otkrili su 20 propusta u kernelu, koji imaju utjecaj na Windows, Linux i popularni VMware. Samo za 10 postoji zakrpa u ovom trenutku. Ovo ukazuje na interes internetskog diva za dobrom i stabilnom sigurnošću kernela, s obzirom da njihov browser (kao i ostali programi) ovisi o kernelu. Očito da Google ozbiljno drži do sigurnosti, što je za svaku pohvalu. Ali, na temelju naše zadnje vijesti, moglo bi se izvući raznih (paranoičnih zaključaka). Jedan od njih malo podsjeća na neke od novijih botneta koje smo imali prilike vidjeti - gdje malware na zaraženom računalu pokušava eliminirati svaki drugi malware kako bi računalo bilo samo i isključivo pod kontrolom jednog botneta. Naravno, Google nema tako radikalan pristup, ali očito da shvaća prijetnje cyber-kriminalaca vrlo ozbiljno.

U natjecanju sigurnosnih istraživača Pwn2Own,koje je završilo prošli tjedan, moglo se vidjeti mnogo zanimljivih stvari. Kao što su svi predviđali - iPhone-ov OS podlegao je napadima. Uz njega, pali su još i Microsoftov Internet Explorer 8 i Appleov Safari 4. Zanimljivo je da nitko nije pokušao probiti zaštitu Google-ovog Chrome preglednika, pri čemu treba uzeti u obzir da je Google izbacio sigurnosni update par dana prije natjecanja. U nastavku, Microsoft je napao Google s video uratkom u kojem prikazuje kako Chrome sprema svaki posjećeni URL, a IE ne. Google se oglasio na optužbu i izjavio kako će način skupljanja podataka učiniti anonimnim što prije.

Neki bi rekli - još jedna tema za aluminijsku kapicu, ali prijetnja je poprilično stvarna u ovoj priči. Istraživači računalne sigurnosti otkrili su da tvrtka Packet Forensics proizvodi uređaj koji služi za MITM napad, s time da napadač mora posjedovati certifikat koji se koristi u komunikaciji. To nedvojbeno dovodi do zaključka da korisnici ovakvog uređaja imaju pristup CA generatorima certifikata, iz čega proizlazi da ključni segment SSL koncepta komunikacije više nije vjerodostojan. Da stvari budu gore, mnoge platforme počinju uključivati i državne CA kao vjerodostojne (po defaultu), što znači da u bližoj budućnosti možda neće biti potreban ni sudski nalog CA-u za izdavanje dupliranog certifikata, već da će državne vlasti same moći napraviti vjerodostojni certifikat i prisluškivati promet bez da korisnik ikad sazna.

Ruska firma ElcomSoft (koju smo već spominjali u kontekstu probijanja passworda) izdala je novi software koji koristi najnovije ATI grafičke kartice za duplo brže probijanje passworda na iPhone-u. Također, postignuti su zavidni rezultati pri probijanju wireless enkripcije WPA-PSK (čak 103,000 passworda u sekundi!). Software su testirali na ATI Radeon HD5970 kartici i postigli duplo bolje rezultate od NVIDIA-inog Tesla rješenja. Tehnologija koju koristi ovaj software iskorištava arhitekturu za paralelno računanje koju pružaju grafičke kartice novije generacije. S ovakvom stopom rasta, moguće je da će se proizvođači grafičkih kartica jednoga dana morati ograničiti u performansama kartica koje proizvode, jer bi bez novih naprednih enkripcijskih algoritama postojeći bili ugroženi.

ZeuS botnet spominjali smo u više članaka do sada, najviše u vezi s krađom financijskih podataka i izvršavanjem kriminalnih transakcija. Njegov autor (koji navodno živi negdje na području istočne Europe) konstantno dograđuje programski kod. Zadnja verzija donosi mnoge mogućnosti, među kojima je i preuzimanje kontrole nad računalom (u stilu VNC-a), no to će vas koštati 10,000 $. Neki od drugih modula omogućavaju izvršavanje transakcija u ime korisnika zaraženog računala (kako bi u slučaju traceback-a sve izgledalo regularno), kao i spremanje data polja u Firefoxu (npr. username i password polja). Autor se potrudio i oko same zaštite builder Toolkit-a, i to korištenjem tokena koji uzima u obzir mnogo hardverskih detalja (kako se softver ne bi mogao prenositi na druga računala). Uza sve to, ZeuS koristi i tzv. polymorphic enkripciju, tako da se svaka nova verzija čini drukčijom i samim time nevidljivom za anti-virusne programe.

Popularni web preglednik Opera sadrži kritičan propust koji omogućava udaljeno izvršavanje proizvoljnog koda na računalu korisnika (u verziji 10.50). Zakrpa još uvijek nije napravljena.

Konačno, nakon godina razvoja i priprema, izašao je Elive 2.0 Topaz. Ono što je specifično za Elive je da ga krasi posebno prerađeni Enlightenment 17 window manager. Cijela distribucija je zasnovana na Debian GNU/Linux-u i pruža vrlo oku-ugodno okruženje uz minimalne hardware zahtjeve. Kao i mnoge druge distribucije, Elive dolazi sa svim aplikacijama za posao i zabavu. Možete očekivati Elive 2.0 na PC-evima u Hacklabu.