MEGANEWSВ ИСПОЛЬЗОВАНИИ НЕЛИЦЕНЗИОННОГО ПО ПРИЗНАЛИСЬ 57% РЕСПОНДЕНТОВ, сообщается в отчете Business Software Alliance.ЛИНУС ТОРВАЛЬДС О WINDOWS 8 SECURE BOOTСОЗДАТЕЛЬ LINUX ПРОКОММЕНТИРОВАЛ НЕПРОСТУЮ СИТУАЦИЮак мы уже рассказывали, многие поклонникиLinux в последнее время всерьез обеспокоеныКтем, что технология «безопасной загрузки»(Secure Boot) в новой Windows 8 затруднит загрузку ихлюбимой операционной системы на компьютерах с интерфейсомUEFI. Напомним, что на компьютерах новогопоколения, поставляющихся с Windows 8, Secure Bootбудет включена по умолчанию, и устанавливаемое наних ПО должно будет иметь сертификаты безопасностиот Microsoft или OEM-дилеров аппаратного обеспечения.Secure Boot, конечно же, позиционируется кактехнология безопасности, призванная устранить угрозузаражения компьютера вредоносным ПО еще до загрузкисистемы и антивирусной защиты. Прежде чем запуститьтот или иной программный компонент, UEFI проверяетналичие сертификата безопасности и блокирует загрузкулюбого ПО, у которого надлежащие ключи отсутствуют.Данный шаг Microsoft вызвал резкий протест со стороныOpen Source сообщества, так как на этих условияхв категорию «неподписанного» ПО, наравне с вирусами,попадают и загрузчики альтернативных ОС. Недавностало известно, что Fedora и Red Hat заключили сделкис Microsoft, чтобы обеспечить запуск своих дистрибутивовна оборудовании, лицензированном для Windows 8.Естественно, такие новости не могут радовать. Однакосам Линус Торвальдс считает, что страхи вообще сильнопреувеличены. В интервью ZDNet Линус сказал, что невидит здесь особой проблемы. Чтобы зарегистрироватьбинарник для запуска на UEFI-компьютере, нужно оформитьсертификат Verisign стоимостью 99 долларов.Пожалуй, нужно процитировать самого Торвальдса:«Я определенно не большой фанат UEFI, но в то жевремя я понимаю, зачем пользователю может понадобитьсязагрузка с проверкой цифровых подписейи так далее. И если получить ключ для Fedora стоитвсего 99 долларов, я не вижу здесь никакой серьезнойпроблемы». Некоторые фанаты Linux говорят, что этопохоже на сделку с дьяволом, ведь Linux-дистрибутивбудет подписан ключом от Microsoft, а Fedora называется«продажной» компанией, поскольку пошла натакую сделку. Продвинутые разработчики добавляютк этим возражениям еще один аргумент: ведь они несмогут без головной боли запустить свой собственныйуникальный дистрибутив Linux. «Да, да, все пропало, —комментирует Линус, — и я должен бегать в панике, какобезглавленный цыпленок, в отчаянии из-за ключейцифровой подписи. Но если вы можете отключить проверкуключей, чтобы разработчики ядра делали своюработу, то подписанные бинарники на самом деле могутбыть (маленькой) частью хорошей системы безопасности.Я допускаю, что и сам поставлю свой собственныйключ на машину, которая это поддерживает». Торвальдсне верит, что система Windows 8 UEFI действительноувеличит безопасность пользователей: «Настоящаяпроблема, как мне кажется, заключается в том, чтоумный хакер может решить вопрос с ключами, раздобывключ (как много из этих приватных ключей на самомделе остаются приватными?) либо воспользовавшисьуязвимостями в подписанном программном обеспечении,и тогда ему вообще не понадобится ключ».Unified Extensible FirmwareInterface (UEFI) — интерфейсмежду ОС и микропрограммами,управляющими низкоуровневымифункциями оборудования. Выступаетв качестве замены BIOS, егоосновное предназначение — корректноинициализировать оборудованиепри включении системыи передать управление загрузчикуоперационной системы.ПРОШЕЛ ФОРУМ ПО ПРАКТИЧЕСКОЙ ИБ POSITIVE HACK DAYS 2012В ХОДЕ СОРЕВНОВАНИЙХАКЕРЫ СУМЕЛИВЗЛОМАТЬ IPHONE4S, НАШЛИ 0-DAYВ WINDOWS XPИ ОБНАРУЖИЛИ НОВУЮДЫРКУ В FREEBSD010ХАКЕР 08 /163/ 2012
Алексей Синцов#hacker tweets@mihi42: #java#jaxp #DoS CVE-2012-1724 https://t.co/PguomymA @Agarri_FRКомментарий:Эксплойт в один твит. Собственно,в Java до версии 7 Update 5 и 6 Update 33была возможность атаки отказа в обслуживаниипутем организации бесконечного цикла.@cBekrar:MS должны предложить500 000 долларов тем исследователям,которые смогут обойти#BlueHatPrize anti-ROP, до того как тратитьмиллионы на добавление фичи, котораяможет слажать.@0xcharlie:Ачивка выполнена, БрюсШнайер знает о моем существовании:t.co/2SGIJ8oU.Комментарий:Брюс разродился блог-постом на темувреда от существующего рынка эксплойтов.А что еще он может сделать?@sanjar_satsura:... Даже больше скажу, я предсказалвозможности коллизийсертификатов, которые спуфилFlame, практически за шесть месяцев доинцидента. Читай ][Комментарий:Читайте ][! Будете в тренде! Впередивсяких антивирусников :)@andreybelenko:Итак, подтверждена поддержкаASLR в ядре iOS 6.@hdmoore:В одну линию: $ for i in `seq 1512`; do echo 'select @@version;'| mysql -h 127.0.0.1 -u root mysql--password=X 2>/dev/null && break; doneКомментарий:Продолжаем тему эксплойтов, помещающихсяв один твит. На этот раз угарнаяуязвимость в MySQL как результат непредсказуемогозначения функции сравнения —memcmp(). Результат — обход аутентификациив MySQL. Подробнее — goo.gl/EtbCO.Комментарий:Microsoft уже определила финалистовконкурса BlueHatPrize. Напомню, что компанияпообещала 250 000 долларов тому,кто предложит новую защитную методику отзлобных эксплойтов.@mikko:Забавный факт дня: вы знаете,что означает аббревиатура«DCIM» на всех модулях памятидля цифровых камер? «DCIM» стандартно:«Digital Camera IMages».таскбаре.@crypt0ad:Иногда я забываю, что запустилcalc.exe, и тогда я реальноволнуюсь, замечая его на моем@esizkur:Сравнил эти инновации с тем,что было в PaX более десятилет назад: все эти BlueHat идеивыглядят слабо.Комментарий:В продолжение темы критики конкурсаBlueHatPrize.@justinelze:Люблю наш свадебный сайт,в пункте «Оставьте Вашимузыкальные предпочтения»alert(«test») кажется самой популярнойпесней.@homakov:Я никогда не говорю «Вау»,когда вижу CSRF-уязвимостьна сайте, сделанном PHPпрограммистами.Наоборот — я говорю«Вау», если вижу защиту от CSRF-атак там.#php@taosecurity:Официальные лица Китая илиРоссии, возможно, относятсяк Microsoft и другим крупнымвендорам так же, как США к Huawei.«Reverse mirroring;» — они не доверяютнам тоже.@DEVOPS_BORAT:За каждую минуту, которую тытратишь на установку пакетовиз сорцов, твоя жизнь становитсякороче на две минуты.@opexxx:select * from LastFm wherehash=md5('yourpassword')Комментарий:Этот месяц богат на утечки хешей: LinkedIn,Last.fm и другие...ХАКЕР 08 /163/ 2012 011