ZDNet - Programski jezik JavaScript, ki predstavlja eno glavnih tehnologij modernega svetovnega spleta, je dopolnil 25 let, kar je v računalništvu že zelo častitljiva starost. Začelo se je leta 1995, ko je Brendan Eich iz Netscapa (se še spomnite njihovega brskalnika?) dobil nalogo, da razvije skriptni jezik za odjemalce, ki bi dobro sodeloval z Javo. Nalogo je dokončal v 10 dneh in dobili smo prvo verzijo JavaScripta. Zanimivo je, da je standard ECMAScript izšel šele leta 1997, torej za JavaScriptom, ko je postalo jasno, da bo potrebna združljivost med tehnologijami v različnih brskalnikih. Microsoft in Netscape sta združila moči in rezultat je bila standardizacija. Tudi Microsoftov jezik TypeScript je združljiv z ECMAScript in se v brskalniku obnaša enako, saj je JavaScript podmnožica.

Vpliv, ki ga je imel JavaScript in razvoj in videz spleta, je ogromen. JavaScript je še danes eden najbolj priljubljenih programskih jezikov, običajno na drugem ali tretjem mestu različnih lestvic. Toda...

Slo-Tech - Konzorcij za svetovni splet W3C (World Wide Web Consortium) je izdal končno specifikacijo standarda WebAssembly, ki je s tem postal uradni spletni standard. S tem se pridružuje HTML-ju, CSS-ju in JavaScriptu kot četrti programski jezik, ki ga (lahko) brskalniki brez dodatnih vtičnikov poganjajo. Označujejo ga kot varen, prenosljiv, nizkonivojski jezik za učinkovito izvajanje in kompakten zapis kode, ki je namenjen brskalnikom.

Gre za arhitekturo z virtualnim naborom ukazov, ki na spletu omogoča poganjanje zahtevnih aplikacij in ki jo lahko uporabljamo tudi drugod. Implementacij bo več, tako od brskalnikov pa vse do samostojnih sistemov. V WebAssemblyju lahko pričakujemo tudi video in avdio kodeke, grafiko, 3D igre, kriptografijo itd. WebAssembly omogoča, da brskalniki poganjajo binarno kodo, kar je hitro.

V spletu se obnaša kot navidezni stroj, v katerem lahko spletne strani nativno poganjajo prevedeno kodo. Tako naj bi bil WebAssembly precej hitrejši od JavaScripta, obljubljajo....

Slo-Tech - SQL vrivanje (SQL injection) je preprost in žal še vedno razmeroma pogost napad na spletne aplikacije. V osnovi poteka tako, da napadalec v vnosna polja spletne aplikacije vnaša delce programske kode (SQL ukaze). S tem ranljivo aplikacijo prepriča, da mu posreduje podatke iz zaledne baze (npr. gesla, seznam uporabnikov, ipd.), do katerih sicer ne bi smel imeti dostopa.

SQL vrivanje je mogoče preprečiti s tim. filtriranjem vnosov, obstaja pa še bolj enostaven način, in sicer, da spletna aplikacija sploh ne uporablja SQL baze. Slednjega pristopa so se očitno poslužili na spletni strani MyStops.eu. Gre za spletno stran, ki je namenjena popotnikom, saj omogoča hitro iskanje in pregled postankov ter prikaz navodil za pot do izbranega postanka.

...

Slo-Tech - V namiznem odjemalcu za aplikacijo Signal, ki načeloma omogoča varno hipno komunikacijo, so odkrili dve zelo resni ranljivosti, zaradi česar morajo vsi uporabniki posodobiti svojo nameščeno verzijo. Kdor uporablja Signal, ki sicer velja za zelo varno aplikacijo, saj ga je uporabljal tudi Edward Snowden, le na mobilnih naprav, z ranljivostjo nima opraviti nič. Drugačna pa je situacija na namiznih računalnikih.

Tu so snovalci Signala aplikacijo zgradili na platformi Electron, kar je sicer dobrodošlo z vidika hitrosti razvoja, saj pod eno streho združuje spletni strežnik, javascript in brskalnik. Manj zaželeno pa je to z varnostnega vidika, saj je v njej resna luknja. V resnici kar dve, saj so minuli teden najprej odkrili prvo luknjo zaradi vrivanja vode (XSS), le malo kasneje pa...

Slo-Tech - Na majski konferenci TakeDownCon 2011 bi bila morala raziskovalca Brian Meixell in Dillon Beresford iz NSS Labs pripraviti predavanje o ranljivosti v Siemensovih sistemih za krmiljenje industrijskih procesov SCADA. Takrat sta se v zadnjem trenutku premislila in predavanje preklicala, ko sta dobila prijazna namiga od Službe za domovinsko varnost (DHS) in Siemensa, da bi bilo modreje počakati, da Siemens napako zakrpa. Poudarila sta, da jima niso grozili ali nanju kako drugače prisilno vplivali.

Kakorkoli, Siemens se je podvizal in ranljivost odpravil. V petek so izdali popravke za krmilnik Simatic S7-1200, v katerem sta bili dve ranljivosti. Prva je omogočala prevzem nadzor nad sistemom s ponovitvenim napadom (replay attack), medtem ko je druga napaka tičala v spletnem strežniku...

CNet - Fabrice Bellard je dokazal, da se da v JavaScriptu že praktično vse. Pogon je namreč že tako hiter, da je Bellard napisal emulator procesorja arhitekture x86 (konkretno 486) brez koprocesorja. Poimenoval ga je JavaScript PC Emulator. K sreči odsotnost koprocesorja ni ovira, da na njem ne bi pognal Linuxa, saj Linux zmore sam emulirati koprocesor.

Bellard pravi, da je projekt izvedel za zabavo, ker so novi pogoni JavaScripta že dovolj hitri, da je z njimi moč početi komplicirane stvari. Kodo je napisal, da se je naučil čim več o optimizaciji za JaegerMonkey (ki je Firefoxu 4) in V8 (ki je v Chromu). S tem emulatorjem bi lahko poganjali stare gre za DOS, izvajali teste hitrosti (benchmark) ali kaj podobnega. Najpomembnejša pa je ugotovitev, da je JavaScript dozorel dovolj,...

Slashdot - Microsoft Research je razvil orodje za odkrivanje zlonamernega JavaScripta v brskalniku med deskanjem po spletu. Orodje se imenuje Zozzle in izvaja statično analizo kode JavaScript na strani in hitro ugotovi, ali je stran zlonamerna in ali vsebuje zlorabo ranljivosti (exploit). Za učinkovito delovanje se mora Zozzle navaditi svojega posla, pojasnjuje Microsoft, saj razvršča JavaScript po statistiki (natančen opis delovanja). Zozzle je še v eksperimentalni fazi in še nekaj časa ne bo namenjen širši publiki. Microsoft

Slo-Tech - SecurityBananas so na svoji spletni strani objavili članek o KreiosC2, prikritem omrežju, ki za komunikacijo uporablja Twitter.

Gre za izboljšano različico Twitterbota, ki sta jo na konferenci Defcon predstavila Tom Eston in Kevin Johnson. Za razliko od "klasičnih" prikritih omrežij KreiosC2 komunicira preko Twitter računa, pri čemer lahko uporablja šifriranje in base64 kodirane ukaze, mogoče pa je tudi dinamično spreminjati ukazni jezik in se s tem izogniti Twitter filtrom.

Na voljo sta izvorna koda KreiosC2 in videoposnetek delovanja, za bolj radovedne pa še nekoliko podrobnejše informacije.

No, pa so socialna omrežja le koristna za nekaj...

Slo-Tech - Za vse programerje v programskem jeziku PHP bo gotovo zanimiva naslednja informacija. Stefan Esser je namreč na svojem blogu objavil predavanje z naslovom Lesser Known Security Problems in PHP Applications, ki ga je imel na Zend konferenci septembra letos.

V predavanju je prikazal nekaj manj znanih možnosti napadov na PHP programsko kodo, na primer možnosti zlorabe zaradi napačne uporabe vhodnega filtriranja, nekatere zlorabe s pomočjo piškotkov, zlorabe spletnih sej, manj znane možnosti izvedbe XSS napadov, manj znane zlorabe SQL, zlorabe šibkih generatorjev naključnih števil, itd.

Vsekakor vredno branja.

ZDNet - Kot poročajo na ZDNet, je bila odkrita nova Flash ranljivost, ki ugrabi odložišče računalnika. Zlonamerneži jo seveda že izkoriščajo.

Ranljivost omogoča da po prikazu okuženega Flash oglasa na računalniku ni več mogoče normalno uporabljati odložišča (ang. clipboard), pač pa se odložišče vedno znova prepiše s poljubnim nizom (zlonamerneži uporabljajo URL naslov do lažnega antivirusa). Zloraba deluje v vseh operacijskih sistemih (Windows, Linux in Mac).

Na voljo je tudi neškodljiva demonstracija - a pozor! Po kliku na povezavo se vam bo odložišče samodejno prepisalo z nizom "http://www.evil.com" in to ne glede na to, kaj boste kopirali nanj. Za odpravo napake je nato potrebno zapreti brskalnik.

Po nekaterih informacijah naj bi bili okuženi oglasi na številnih spletnih straneh, med drugim tudi Newsweek, Digg in MSNBC.com.

Slo-Tech - ECMAScript, ki je večini razvijalcev bolje poznan pod imenom Javascript, se je že lep čas razvijal v dveh različnih komitejih ECMA standarizacijskega telesa, ki sta imela v svoji preteklosti nadvse lepo določljivo in predvsem ločeno nalogo kako se naj v prihodnosti ECMAScript razvija - EMCAScript 4 naj bi tako v prihodnosti prinesel na splet koncepte in zmožnosti jezikov, ki jih sedaj podpirajo nekoliko bolj konvencionalni jeziki.

Ker pa tako radikalen postopek ne more biti dosežen čez noč se je začel razvijati tudi EMCAScript 3.1, ki naj bi popravil manjše napake in hrošče obstoječe in danes vsem spletnim razvijalcem poznane različice 3.

Ker pa je skupina zadolžena za razvoj ECMAScript 3.1 (sestavljala sta jo Microsoft in Yahoo) hotela z časom vgraditi v jezik določene koncepte, ki bi bili nekompatibilni z četrto različico (razvijali so jo Google, Mozilla, Adobe in Opera), se je pojavilo v odboru trenje, ki bi lahko povzročilo marsikateri sivi las. A se to vseeno ne bo zgodilo,...

Neowin - Raziskovalca Mark Dowd iz IBM-a in Alexander Sotirov in podjetja VMware sta na letošnji konferenci BlackHat v Washingtonu predstavila predavanje z naslovom How To Impress Girls With Browser Memory Protection Bypasses.

V predavanju sta predstavila povsem nov način onesposobljenja vseh mehanizmov za zaščito pomnilnika RAM, ki jih uporablja Vista. Pokazala sta kako je mogoče zaobiti Vistin Address Space Layout Randomization, Data Execution Prevention ter ostale mehanizme s katerimi se Vista skuša zaščititi pred zlonamerno kodo, ki se skuša naložiti preko spletnega brskalnika.

V predstavitvi sta tako pokazala kako je mogoče z različnimi jeziki (Java, ActiveX, .NET) preko okužene spletne strani naložiti kakršnokoli vsebino na katerokoli lokacijo v pomnilniku RAM.

Po mnenju nekaterih uglednih varnostnih raziskovalcev, npr. Dina Dai Zovija, pa pri tem ne gre samo za še eno varnostno ranljivost, pač pa sta raziskovalca predstavila kako zaobiti temeljne varnostne mehanizme Viste, hkrati...

Slashdot - Kot poročajo na Slashdotu, je mogoče v Mac OS X 10.4 Tiger in Mac OS X 10.5 Leopard z zagonom preprostega AppleScript skripta administratorske privilegije.

Ukaz (dokaz ranljivosti), ki to omogoča je naslednji: osascript -e 'tell app "ARDAgent" to do shell script "whoami"';

Ukaz deluje za navadne uporabnike (razen, če so prijavljeni preko hitrega preklapljanja uporabnikov) in administratorje, potreben pa je fizični dostop do računalnika. Ker gre za izkoriščanje Apple Remote Desktop, so nekateri uporabniki že predlagali odstranitev tega programskega paketa.

Na novico nas je opozoril InExtremis.

Mozilla.org - Kmalu po izidu Firefox 3 so na TippingPoint objavili informacijo (ranljivost ZDI-CAN-349), da so preko programa Zero Day Initiative nekaj ur po uradnem izidu Firefoxa dobili informacijo o visoko kritični ranljivosti tega spletnega brskalnika.

Ranljivost v Firefox 3.0 in 2.x omogoča zagon poljubne programske kode, potrebno pa je minimalno "sodelovanje" uporabnika (klik na povezavo ali obisk okužene spletne strani). Pri TippingPoint so o ranljivosti nemudoma obvestili razvijalce Firefoxa, ti pa pravijo, da na odpravi napake že intenzivno delajo ter poudarjajo da izraba varnostne ranljivosti še ni javno dostopna.

Še ni. Prav tako pa tudi popravek še ni na voljo.

Na novico nas je opozoril InExtremis.

Schneier.com - Kot kaže se nam v bližnji prihodnosti obeta precejšnje število varnostnih težav povezanih z JavaScriptom. V članku JavaScript Hijacking, objavljenem na spletni strani podjetja Fortify Software so namreč trije raziskovalci opisali nov način napada na Ajax spletne aplikacije.

Napad namreč omogoča napadalcu, da prestreže podatke, ki se prenašajo s pomočjo JavaScripta. Prestrezanje je mogoče izvesti s pomočjo tim. JavaScript ugrabljanja (JavaScript hijacking), ki je mogoče zaradi različnih XSS ranljivosti.

Prav tako v našem forumu že poročajo, da se je na internetu znašla koda aplikacije Jitko, ki omogoča samodejno vzpostavitev prikritega omrežja s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Aplikacijo je na konferenci Smoocon prejšnji mesec predstavil Billy Hoffman, eden izdmed udeležencev konference pa si je zapomnil URL omenjene kode in si kodo presnel ter jo objavil na internetu. Kodo je sicer na zahtevo Hoffmana že umaknil, kljub temu pa jo je mogoče dobiti v...

Slo-Tech - O XSS ranljivostih s(m)o na Slo-Techu že pisali. A kljub temu, da gre za tim. ranljivost na strani spletnega odjemalca, so posledice zlorabe lahko precej drastične.

Raziskovalec Billy Hoffman, znan tudi pod imenom Acidus, je namreč januarja lani na konferenci Black Hat Federal 2006 predstavil prispevek z naslovom Analysis of Web Application Worms and Viruses. V prispevku je predstavil možnosti napadov s tim. spletnimi virusi, ki izkoriščajo XSS ranljivosti ter AJAX tehnologijo.

V soboto pa bo imel Hoffman predavanje na to temo tudi na Smoocon konferenci v Washingtonu.

Na konferenci bo predstavil možnosti vzpostavitve prikritih omrežij (tim. botnetov) s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Predstavil bo tudi konkreten primer, aplikacijo Jikto, ki omogoča samodejno vzpostavitev prikritega omrežja.

Orodje Jitko se lahko preko okužene spletne strani namesti na uporabnikov računalnik. Po namestitvi lahko orodje izvaja samodejno skeniranje, oz. iskanje...

Slo-Tech - O XSS (Cross-site Scripting) napadih je bilo že veliko povedanega. Še vedno pa jih ogromno uporabnikov in skrbnikov jemlje kakor nenevarne ali pa jih preprosto ignorira. Tovrstne pomankljivosti omogočajo vstavljanje poljubne skriptne kode, masovno se uporabljajo pri izvajanju phishing napadov, kraji piškotkov in ostalih oblikah spletnih prevar. Spretno izvedeni XSS napadi pa se lahko uporabljajo tudi za manipulacijo z informacijami v obliki vstavljanja neavtoriziranih novic v spletne portale medijskih družb. Tudi slovenski spletni prostor ni imun na tovrstne napade...




Spletne strani v nobenem primeru niso bile razobličene, tudi podatki na strežnikih niso bili kompromitirani ali kako drugače...

Slo-Tech - V sredo, 22. novembra, vas ob 19.00 vabimo v Kiberpipo na Spletne urice, kjer bo Marko Mrdjenovič predaval, kako urediti tabelo z JavaScriptom in kakšno povezavo ima to z Ajaxom.

Urejanje tabel je nekaj, na kar smo navajeni iz namiznih aplikacij. Ob premiku aplikacij na splet postaja urejanje z JavaScriptom vedno pomembnejše. Kakšne načine urejanja poznamo in kako tako urejanje najlažje implementiramo v naši aplikaciji in preko AJAXa shranimo, nam bo predstavil Marko Mrdjenovič, izkušeni spletni razvijalec ter vodja produkcije pri spletni agenciji Parsek.

Schneier.com - Pred približno mesecem dni so na Dark Reading objavili članek o varnostnih ranljivostih, odkritih v različnih aplikacijah. Na prvem mestu je z 21,5% Cross Site Scripting (XSS exploit), sledi možnost SQL vrivanja (SQL injection) ki so ga našli v 14% aplikacij, na tretjem mestu so PHP vrivanja (9,5%), sledijo pa prekoračitve pomnilnika (buffer overflow s 7,9%.

To so seveda varnostne ranljivosti, ki so jih odkrili v aplikacijah. Michael Sutton pa si je zastavil vprašanje, koliko teh ranljivosti je dejansko mogoče najti v resničnem svetu. Osredotočil se je na SQL vrivanje in analiziral spletne strani. S pomočjo Googla je izbral 1000 spletnih strani, ki uporabljajo SQL in poiskusil izvesti nedolžno SQL vrivanje. V primeru, da je spletna stran vrnila napako, je Sutton ugotovil, da je spletna stran ranljiva, sicer pa ni.

In rezultat? Izkaže se, da je s SQL vrivanjem trenutno ranljivih kar 11,3% spletnih strani, ki uporabljajo SQL baze podatkov.

'Hekerjem' dela torej še ne bo...

Slo-Tech - Kreativni ruski računalniško-varnostni raziskovalec Valery Marchuk na svoji spletni strani opozarja javnost na nevarnost spletnih razobličenj v obliki XSS napadov. Spretno formulirana XSS razobličenja so namreč lahko zelo prikrita. S tem prevarajo večino uporabnikov, ki prirejene informacije tako sprejmejo kakor legitimne. Lep primer sta XSS napada na CBS in BBC:
- lažna CBS News stran,
- lažna BBC stran.

Ob času objavljanja novice ranljivosti še nista odpravljeni, sicer pa se zaslonski sliki nahajata tukaj:
- slika lažne CBS News strani,
- slika lažne BBC strani.

Valerij dokazuje, da XSS ranljivosti niso nedolžna varnostna razpoka, ter da pred njimi niso imuni...

Schneier.com - Raziskovalca David Maynor in Jon Ellch sta odkrila način kako vdreti v računalnik z brezžičnim vmesnikom, pri čemer ni potrebno, da je računalnik sploh vključen v omrežje.

Dovolj je že, da računalnik omrežje išče, oz. da je brezžični vmesnik vključen. Gre za izkoriščanje napak v gonilnikih brezžičnih naprav. Podrobnosti o napadu še niso znane, bo pa napad javno predstavljen na konferenci Black Hat USA 2006.

Raziskovalca sta uporabila hekersko oz. skriptarsko (script kiddie) orodje LORCON (Loss of Radio Connectivity). Z omenjenim orodjem za vsiljevanje paketkov (packet injection) skriptarji brezžične vmesnike "bombandirajo" z številnimi paketki podatkov (tehnika se imenuje fuzzing), z čimer skušajo doseči sesutje gonilnikov ali programov. Raziskovalca sta preučila tudi delovanje povezav Bluetooth, Ev-Do (EVolution-Data Only) in HSDPA (High Speed Downlink Packet Access).

Bo potrebno brezžične vmesnike od sedaj naprej fizično ugašati?

Slashdot - Pri Internet Security Systems so objavili novo ranljivost v Sendmail strežniku. Zloraba ranljivosti omogoča pridobitev nadzora nad računalnikom, na katerem teče Sendmail. Uradni popravek pa je že na voljo. Odzvale so se tudi nekatere distribucije Linuxa in izdale svoje interne popravke. Čeprav exploit uradno še ni "v divjini", proizvajalec svetuje čimprejšnjo namestitev popravka oz. nadgradnjo.

Na Microsoftovi strani pa spet nič novega. Odkritih je bilo namreč nekaj novih ranljivosti v brskalniku Internet Explorer:
- ranljivost "grasshopper"
- zloraba klica "createTextRange()" methode
- zloraba objavljena na Full-disclosure poštnem seznamu

Microsoft je preko Microsoft Security Response Center Blog že podal uradno izjavo.
US-CERT kot začasno rešitev priporoča izklop Active Scripting-a.

H. D. Moore pa je objavil skripto za testiranje in iskanje novih ranljivosti v brskalnikih. Kot pravi sam: "Preiskusilo jo je samo nekaj uporabnikov z brskalniki Firefox, Opera, Safari,...

Arnes - JavaScript ranljivost inicializacije 'window()' metode v kombinaciji z <BODY onload> HTML oznako omogoča izvedbo poljubne kode. Exploit je že na voljo (seveda kot "proof of concept" koda). Onemogočite JavaScript še danes, vsaj dokler MS ne izda uradnega popravka. FireFox kot kaže kode ne izvede, vendar pa se neha odzivati. Več na Arnesu, CVE, Secunia, Microsoft.

The Register - Da - kljub temu, da naj bi Hotmail sicer v sporočilih pregledal JavaScript ter (morebiti) zlonamerno html kodo, je ObLiviON našel način, kako se to lahko obide.

Namreč, Hotmail sicer res pregleda telo sporočila, ne pa tudi polj 'Od' ter 'Za'. Spammerju oz. krekerju bi to omogočilo sestaviti sporočilo, ki bi naslovljenca preusmerilo na neko drugo stran, tam pa bi ga recimo ne-pravi 'Hotmail' zopet povprašal po geslu. Klik!