Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

iPhone, Safari, Firefox i IE ofiarami hackerów

Recommended Posts

W kilka minut po rozpoczęciu hackerskiego konkursu Pwn2Own złamano zabezpieczenia iPhone'a. Włamania dokonało dwóch ekspertów - Vincenzo Iozzo i Ralf Philipp Weinmann - za pośrednictwem przeglądarki Safari, a atakujący dostał się do bazy danych SMS, w tym do wykasowanych wiadomości tekstowych.

Niemiecki hacker o pseudonimie Nils wykorzystał nieznaną wcześniej dziurę w Firefoksie i przejął kontrolę nad 64-bitowym Windows 7. Ominął przy tym zabezpieczenia DEP i ALSR. Nils planował później złamać zabezpieczenia Safari pracującej pod kontrolą Mac OS X, jednak ubiegł go Charlie Miller, znany specjalista ds. bezpieczeństwa produktów Apple'a. Miller utworzył specjalną witrynę WWW za pomocą której pokonał Safari i uzyskał pełen dostęp do linii komend systemu operacyjnego.


Inny uczestnik zawodów - Peter Vreugdenhil - wykorzystał dwie dziury w Internet Explorerze 8 i przejął kontrolę nad 64-bitowym Windows 7, radząc sobie z DEP i ALSR.

Jak dotąd nie próbowano przełamać zabezpieczeń Chrome'a.

Za złamanie zabezpieczeń każdej z przeglądarek płacono 40 000 dolarów nagrody. W zawodach biorą udział IE8 oraz IE7, Firefox 3, Chrome 4 i Safari 4. Ponadto sponsorzy konkursu przyznali nagrody w wysokości 60 000 USD za włamanie do platform mobilnych, którymi są iPhone, BlackBerry, Symbian i Android.

Wśród sponsorów konkursu, który odbywa się w ramach konferencji bezpieczeństwa CanSecWest, znaleźli się Microsoft, Google, RIM, Intel, Adobe czy Juniper.

Share this post


Link to post
Share on other sites

Szkoda, powtarzam zawsze, szkoda, że nie testują podczas konkursu kompa z Operą. Byłoby może nieco jaśniejsze, czy jest naprawdę tak szczelna, jak obiecują (na co mam nadzieję), czy też tylko dlatego, że nikomu się nie chce szukać eksploitów na mało popularny na świecie produkt.

Share this post


Link to post
Share on other sites

Przypuszczam, że to drugie.

Skoro bowiem we wszystkich innych przeglądarkach znajdowane są dziury i można się do nich włamać, to dlaczego w Operze miałoby być inaczej. Musielibyśmy założyć, że albo ludzie tworzący inne przeglądarki to wyjątkowe łamagi, albo pracownicy Opera Software to geniusze. A zapewne wszyscy oni prezentują podobny poziom wiedzy i umiejętności (jako zespoły, nie jako indywidualni ludzie).

Share this post


Link to post
Share on other sites

Przypuszczam, że to drugie.

Skoro bowiem we wszystkich innych przeglądarkach znajdowane są dziury i można się do nich włamać, to dlaczego w Operze miałoby być inaczej. Musielibyśmy założyć, że albo ludzie tworzący inne przeglądarki to wyjątkowe łamagi, albo pracownicy Opera Software to geniusze. A zapewne wszyscy oni prezentują podobny poziom wiedzy i umiejętności (jako zespoły, nie jako indywidualni ludzie).

Jest jeszcze kwestia priorytetów jakie są stawiane przez zespołem. Dla jednych bezpieczeństwo będzie stało wyżej niż funkcjonalność dla jednych drobna luka w bezpieczeństwie będzie mniej istotna niż doprowadzenie do końca zapowiadanych udoskonaleń i puszczenie nowej wersji na czas. deadline vs bugs ..

Share this post


Link to post
Share on other sites

Musielibyśmy założyć, że albo ludzie tworzący inne przeglądarki to wyjątkowe łamagi, albo pracownicy Opera Software to geniusze.

 

Nie powiedziałbym, że przeciwieństwo robienia błędów (łamagi), czyli pisanie poprawnych aplikacji takich jakimi powinny być, to geniusz. To raczej normalne podejście.

 

A, że błędy są, to pewne. Wystarczy przejrzeć changelog dla kolejnej wersji w kategorii "security".

 

Edit: Zabawne, linki z tagu URL są ukrywane wraz treścią na stronie artykułu. Wystarczy przecież usunąć samego linka i pozostawić treść (tutaj słowo "changelog") lub dodać mu rel="nofollow" (choć to akurat niestety nie gwarantuje, że roboty nie pójdą dalej).

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Dnia 17 września br. jury Konkursu wyłoniło zwycięzców. Niby to typowa procedura, jednak tym razem, w związku z wirusem SARS-COV-2, należało zasadniczo zmienić formułę Finału.
      „Fizyczne Ścieżki” to konkurs  dla uczniów i uczennic ze szkół podstawowych (dwie ostatnie klasy) i ponadpodstawowych, organizowany przez Narodowe Centrum Badań Jądrowych i Instytut Fizyki PAN w Warszawie. Organizatorzy konkursu oczekują nadsyłania do Komitetu Organizacyjnego prac należących do jednej z trzech kategorii: praca naukowa, pokaz zjawiska fizycznego i esej o powiązaniu fizyki z cywilizacją.
      Zgodnie ze zwyczajem, kryteria, które powinny spełniać nadsyłane prace zostały opisane na stronie internetowej Konkursu: www.fizycznesciezki.pl  a uczniowie mają kilka miesięcy na przygotowanie pracy .
      Organizatorzy nigdy nie narzucają tematów, pozostawiając je do uznania startujących w Konkursie. Taka zasada sprzyja w naturalny sposób  kreatywności uczniów, a ważne jest nie tyle „wybitność” zawodnika, ile jego żywe zainteresowanie tak trudną dziedziną nauki, jaką jest fizyka.
      Konkurs ma za zadanie pobudzenie tych zainteresowań i udzielenie pomocy w zrozumieniu wymogów dla każdej z kategorii. Rzeczywiście, choć w ciągu 15 lat do organizatorów trafiały prace, które można było uznać za wybitne, większość prac przedstawia wysoki lub średni poziom profesjonalności, za to dużą chęć zrozumienia często nietrywialnych zagadnień.
      Dotychczasowi laureaci już są czasem po doktoratach, większość  zdecydowała się na studiowanie fizyki lub zagadnień inżynierskich. Co mogło się przyczynić do ich sukcesów? Na pewno przedstawiane prace i  własny indywidualizm, ale też sposób wyłaniania laureatów.
      Każda praca jest oceniana wstępnie przez co najmniej dwóch recenzentów. Sprawdzają oni m.in., czy praca nie zawiera fragmentów, które można uznać za plagiat innych prac. Najlepsze kierowane są do rundy finałowej, która ma charakter seminarium naukowego. Podczas finału uczestnicy spotykają się z fizykami z instytutów naukowych i uczelni krajowych, przedstawiają swe prace, po czym następuje dyskusja o pracy. Pozwala ona na zorientowanie się w walorach i słabych stronach  prac, ale także uczy, w jaki sposób wygląda rzeczowa dyskusja naukowa.
      W każdym konkursie przyznawane są nagrody, które powinny stanowić zachętę do zaprzyjaźnienia się z fizyką. Są to ciekawe nagrody rzeczowe i pieniężne, fundowane ostatnio przez Urząd Marszałkowski, ale też wolny wstęp na wydziały fizyki Uniwersytetu Warszawskiego, Uniwersytetu Jagiellońskiego i Uniwersytetu w Białymstoku. Organizatorzy mają nadzieję, że Politechnika Warszawska również dołączy do grona uczelni chętnych na przyjęcie finalistów.  
      XV Konkurs miał swoją specyfikę. Zorganizowanie seminarium finałowego było niemożliwe, zatem poproszono uczestników finału o nagranie swoich prezentacji finałowych w formie filmiku o czasie trwania ok. 20 minut. Każdy członek Jury wypowiadał się na temat pracy i jej prezentacji filmowej oraz przygotował serię pytań, które chciałby zadać finalistom. Ostatecznie wybrano kilka pytań do każdej pracy i połączono się internetowo z finalistami. Tym razem dano finalistom ok. 20 minut na dyskusję, co pozwoliło lepiej poznać ich sposób myślenia oraz zrozumienie zagadnień, których dotyczyła ich praca.
      Ku pewnemu zdziwieniu, jury miało poważne trudności w przyznaniu kolejności nagród, gdyż wszyscy finaliści pokazali swe nie tylko ciekawe osobowości, ale też dobre rozumienie prezentowanych zagadnień. Stąd też niektóre nagrody zostały przyznane ex aequo. W gruncie rzeczy, ten konkurs stał się ciekawym doświadczeniem nie tylko dla finalistów, ale też dla organizatorów, gdyż pokazał wiele subtelności dotyczących oceniania prac uczniowskich i wydobywania z finalistów ich oryginalnych myśli - będą one na pewno brane pod uwagę w organizacji kolejnych edycji konkursów.
      A jakie to najciekawsze prace pojawiły się w XV Konkursie? Aleksander Czarnecki ze Śremu pokazał „Lewitujące diamenty – zaskakujące właściwości światła” – spektakularne zjawisko i bardzo przekonujący jego opis. Tomasz Wojnar z LO w Szprotawie pokazał „Fontannę stroboskopową”, którą można pokazać w każdej szkole. Magdalena Wcisło z LO w Wieluniu zajęła się „Badaniem ruchu spadającego w powietrzu magnesu z wykorzystaniem zjawiska indukcji elektromagnetycznej”. To praca pełna kunsztu eksperymentalnego i mająca wiele walorów dydaktycznych. Wystarczy dodać, że ruchem spadającego magnesu zainteresowali się niektórzy jurorzy tak bardzo, że sami spróbowali zweryfikować spostrzeżenia finalistki.
      Zespół z LO w Płocku: Bartosz Gałecki, Piotr Sochacki, Mateusz Zawadzki podjął się sprawdzenia ruchu „Kulki w rurze z olejem. Banalne? Niekoniecznie”. Jak na wiadomości szkolne, zaimponowali nam znajomością trudnej teorii ruchu takiej kulki. LO w Wieluniu i Płocku zgarnęło wszystkie nagrody w dziedzinie „praca naukowa”. To nie jest wyjątek – w obu liceach opiekunowie uczniów prowadzą ich w sposób wzorowy, co pokazał szereg naszych konkursów.
      Bardzo interesujący esej pt. „O rzeczywistości słów kilka – Hipoteza Symulacji” przedstawił Wojciech Suszko z ZSL Szprotawa. Esej, to wbrew pozorom wyjątkowo trudna konkurencja, gdyż wymaga umiejętności spojrzenia niejako „z góry” na problem, a że mamy do czynienia z bardzo młodymi ludźmi, ich umiejętność takiego spojrzenia na ogół jest niewielka. Tu Wojciech Suszko sięgnął głęboko do problemu możliwości zrozumienia rzeczywistości fizycznej.
      Konkurs po raz kolejny pozwolił na docenienie „nadobowiązkowej” pracy nauczycieli, którym przyznano nagrody pieniężne przeznaczone na zakup sprzętu do pracowni fizycznych w ich szkołach.
      Lista prac finałowych:
      Kategoria: Pokaz Zjawiska Fizycznego
      I miejsce
      Aleksander Czarnecki „Lewitujące diamenty – zaskakujące właściwości światła”, LO Śrem
      II miejsce
      Tomasz Wojnar „Fontanna stroboskopowa”,  LO Szprotawa
      III miejsce
      Jan Nowacki, Maciej Zdunek, Piotr Tokarczyk „ Jak zrobi idealnego flipa”, LO Kalisz
      Wyróżnienia:
      Michał Kogut (Opole), Najjaśniejsze miejsce cienia
      Michał Słowik, Adrian Gazdowicz, Bartlomiej Leń (Sanok), Karta do gry
      Jakub Korkosz, Konrad Dumin (Lublin), Drapacze chmur i ich wpływ na przepływ powietrza
      w aglomeracji miejskiej
      Kategoria: Praca Naukowa
      I miejsce
      Magdalena Wcisło „Badanie ruchu spadającego w powietrzu magnesu z wykorzystaniem zjawiska indukcji elektromagnetycznej”, LO Wieluń
      II miejsce
      Bartosz Gałecki, Piotr Sochacki, Mateusz Zawadzki „Kulka w rurze z olejem. Banalne? Niekoniecznie”, LO Płock
      III miejsce przyznano ex equo:
      – Maria Żuchowska, Michalina Dymalska, Marta Mowczan „Czy w warunkach szkolnych da się zastosować Licznik Geigera- Müllera  do badania niejednorodności struktur”, LO Wieluń
      - Karol Bukowski, Kinga  Oleksiewicz, Ewa Lubarska „ Tunel aerodynamiczny do badania opływu ciał”, LO Płock
      Wyróżnienie otrzymała Paulina Bogacz za pracę „Fizycznym okiem na okarynę”, LO Sucha Beskidzka
      Kategoria Esej
      II miejsce Wojciech Suszko „O rzeczywistości słów kilka – Hipoteza Symulacji”, ZSL Szprotawa
      III miejsce Katarzyna Rakoczy „ (Meta)Fizyczny wymiar spotkania”, LO Sanok
      Wszystkim uczestnikom, finalistom i opiekunom naukowym serdecznie gratulujemy i zapraszamy do kolejnej, XVI edycji Konkursu.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Narodowe Centrum Kultury ogłosiło konkurs na najlepszy przekład z polskiego na polski, a dokładnie ze staropolskiego na współczesny język polski. Wybierać można między utworami 3 autorów: Jana Kochanowskiego, Hieronima Morsztyna i Mikołaja Sępa-Szarzyńskiego. Jury czeka na prace konkursowe do końca marca.
      Konkurs rozpisano z okazji Międzynarodowego Dnia Języka Ojczystego. Jego celem jest przybliżenie odbiorcom dawnej kultury, zainteresowanie ich literaturą staropolską, doskonalenie i wzbogacanie umiejętności językowych.
      Chętni mogą się zabrać za przekład fraszki Jana Kochanowskiego Na zdrowie, Pieśni VII (Słońce pali, a ziemia idzie w popiół prawie...), również Kochanowskiego, a także pieśni Hieronima Morsztyna Dobry dzień lub Sonetu V (O nietrwałej miłości rzeczy świata tego) Sępa-Szarzyńskiego.
      Jury będzie oceniać:
      1) zrozumienie treści i przekazu dawnego utworu,
      2) trafność odniesienia jego sensu do współczesnych realiów/problemów,
      3) inwencję w dziedzinie języka oraz kreatywność w zakresie środków ekspresji artystycznej.
      Nagroda główna to 700 złotych. Na zdobywcę drugiego miejsca czeka 500 zł, a trzeciego 300 zł.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Cyberprzestępcy wykorzystują nowo odkrytą dziurę zero-day w Internet Explorerze. Luka pozwala napastnikowi na korzystanie z systemu na prawach aktualnie zalogowanego użytkownika. Błąd występuje w IE 9, 10 i 11 w wersjach na Windows 7, 8.1, RT 8.1, 10, Server 2008, 2008 R2, Server 2012, 2016 i 2019.
      US CERT (Computer Emergency Response Team) informuje, że atak może zostać przeprowadzony za pomocą odpowiednio spreparowanej witryny lub dokumentu HTML renderowanego przez przeglądarkę. Microsoft donosi, że dotychczas zanotowano ograniczoną liczbę ataków z wykorzystaniem tej dziury.
      Dziura pozwalająca na zdalne wykonanie kodu wykorzystuje błąd w przetwarzaniu obkektów przez silnik Internet Explorera. W wyniku błędu dochodzi do awarii podsystemu pamięci tak, że napastnik może wykonać dowolny kod na prawach zalogowanego użytkownika. [...] Jeśli zalogowany jest administrator, napastnik może przejąć kontrolę nad systemem. Ma wówczas możliwość instalowania programów, przeglądania, zmiany i usuwania danych czy też stworzenia nowego konta z pełnymi uprawnieniami użytkownika, czytamy na stronach Microsoftu.
      Koncern opublikował też porady dotyczące obejścia problemu i tymczasowego zabezpieczenia się przed atakiem. Proponuje ograniczenie dostępu do JScript.dll. Jednak, jako że technika ta wymaga uprawnień administracyjnych, korzystania z linii komend, a ograniczenia należy wyłączyć przed zainstalowaniem łatki, działania takie zalecane są tylko wówczas, jeśli jesteśmy narażeni na atak.
      Odpowiednia poprawka zostanie opublikowana w drugą środę przyszłego miesiąca, w ramach comiesięcznego zestawu łat.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Firma LifeLabs, największy kanadyjski dostawca usług laboratoryjnych, przyznała, że zapłaciła hakerom za zwrot danych 15 milionów klientów. Dnia 1 października firma poinformowała władze o cyberataku na bazę danych. Znajdowały się w niej nazwiska, adresy, adresy e-mail, loginy, hasła, numery w systemie opieki zdrowotnej oraz wyniki testów laboratoryjnych.
      Dyrektor wykonawczy firmy, Charles Brown, przyznał, że firma odzyskała dane dokonując płatności. Zrobiliśmy to we współpracy z ekspertami oraz po negocjacjach z cyberprzestępcami. Nie ujawniono, ile zapłacono złodziejom.
      Dotychczasowe śledztwo wykazało, że przestępcy uzyskali dostęp do testów wykonanych w roku 2016 i wcześniej przez około 85 000 osób. Dane dotyczące numerów w systemie opieki zdrowotnej również pochodziły z roku 2016 i lat wcześniejszych. Obecnie nie ma podstaw, by przypuszczać, że przestępcy przekazali te informacje komuś innemu.
      Teraz przedsiębiorstwo zaoferowało swoim klientom 12-miesięczny bezpłatny monitoring kradzieży danych osobowych oraz ubezpieczenie przed takim wydarzeniem.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Z informacji opublikowanych przez Net Applications rynkowy udział przeglądarek Microsoftu jest rekordowo niski. W sierpniu Internet Explorer i Edge straciły 1,8 punktu procentowego i obecnie należy do nich 12% rynku.
      Zapewne będziemy świadkami dalszych spadków. W bieżącym roku udziały przeglądarek z Redmond wahały się wcześniej w granicach 12,4–14 procent. Za większość wrześniowego spadku, niemal 1,4 pp, odpowiada Internet Explorer. Przeglądarka, która niegdyś dominowała w internecie ma obecnie zaledwie 6,1% udziałów. Udziały Edge'a spadły o 0,4% do poziomu 5,9%. Jeszcze w sierpniu Edge zanotował wzrost i miał najwyższe udziały w swojej historii.
      Przyszłość microsoftowych przeglądarek rysuje się w czarnych barwach. Internet Explorer jest utrzymywany przy życiu tylko dlatego, że domaga się tego część przedsiębiorstw potrzebujących tej przeglądarki ze względu na kompatybilność. Jednak zainteresowanie tą przeglądarką wyraźnie spada. Dość powiedzieć, że w ubiegłym miesiącu używało jej tylko 7% użytkowników Windows, a w ciągu ostatnich miesięcy udziały IE na komputerach z Windows spadły o 60%. Microsoft wolałby nie zajmować się IE i całkowicie poświęcić się rozwojowi Edge'a. Firma zapowiada wypuszczenie wersji Edge'a opartego na google'owskim Chromium. Pozostaje pytanie, czy wobec spadającego zainteresowania Edge'em tworzenie nowej wersji przeglądarki ma sens.
      Nie najlepiej radzi sobie też Firefox. We wrześniu jego rynkowe udziały zwiększyły się o 0,3% i wynoszą obecnie 8,7%. To już czwarty miesiąc z rzędu, gdy udziały tej przeglądarki są niższe niż 9%. W ciągu ostatniego roku Firefox stracił niemal 1 pp udziałów. Nic nie wskazuje na to, by przeglądarka Mozilli miała odzyskać rynek. Przed dwoma laty jej rynkowe udziały wynosiły 11,4%. Jedynie przez 3 z ostatnich 18 miesięcy do Firefoksa należało więcej niż 10% rynku.
      Obecnym zwycięzcą konkurencji na rynku przeglądarek jest Chrome do którego należy 68,5% rynku. To o 0,1% mniej niż w rekordowym dla tej przeglądarki lipcu bieżącego roku. W ciągu roku udziały Chrome'a wzrosły o 2,1 punktu procentowego, a obserwacja obecnych trendów pozwala wysnuć przypuszczenie, że do maja przyszłego roku udziały Chrome'a wyniosą ponad 70%.
      Media prześledziły dane firmy Net Applications od stycznia 2005 roku i stwierdziły, że jak dotąd na przestrzeni ostatnich 14 lat najlepszymi wynikami mógł pochwalić się Internet Explorer. W styczniu 2005 roku należało do niego aż 89,4% rynku. Firefox posiadał wówczas 5,6% udziałów, Netscape Navigator miał 2% rynku, a Safari 1,7%. Do grudnia 2008 roku udziały IE spadły do obecnego poziomu Chrome'a.
      Obecnie do Safari należy 4,4% rynku, a Opera posiada 1,4%.

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...