Author Archives: infosec

Regin, new computer spying bug

Η Symantec ισχυρίζεται  ότι έχει ανακαλύψει ένα από τα πιο εξελιγμένα κομμάτια  κακόβουλου λογισμικού που έχει συναντήσει ποτέ.

Αναφέρει ότι το Regin, όπως ονομάστηκε το κακόβουλο λογισμικικό, πιθανότατα δημιουργήθηκε από μια κυβέρνηση και έχει χρησιμοποιηθεί ως εργαλείο κυβερνο-κατασκοπείας για έξι χρόνια ενάντια σε μια σειρά από στόχους σε όλο τον κόσμο.

Περισσότερες πληροφορίες εδώ

Beta Version of Access Control Policy Tool (ACPT)

Αυτή η ιστοσελίδα είναι διαθέσιμη στα English.

Σταδιακή εγκατάλειψη του SHA-1

Η χρήση του αλγόριθμου SHA-1 για το Διαδίκτυο έχει κατακριθεί από το 2011, όταν το CA / Browser Forum, το οποίο απαρτίζεται απο τους δημιουργούς των κορυφαίων web browsers αλλά και αρχές έκδοσης πιστοποιητικών (CA) που εργάζονται μαζί για να καθορίσουν τις βασικές απαιτήσεις ασφάλειας για τα πιστοποιητικά SSL, δημοσίευσ τις Βασικές Απαιτήσεις για το SSL . Αυτές οι απαιτήσεις συνιστούσαν όλες τις CA Authorities να εγκαταλείψουν τη χρήση του SHA-1 και να μεταβούν σε ασφαλέστερο πρωτόκολλο , το συντομότερο δυνατόν, ενώ ακολούθησαν παρόμοιες εκδηλώσεις και ενέργειες και σε άλλους τομείς και οργανισμούς όπως για παράδειγμα ο ΝIST ο οποίος εγκατέλειψε τον SHA-1 για κυβερνητική χρήση απο το 2010.

Αυτός είναι ο λόγος για τον οποίο o Chrome Web Browser θα ξεκινήσει η διαδικασία της εγκατάλειψης του SHA-1 (όπως χρησιμοποιείται στις υπογραφές πιστοποιητικών για HTTPS) με την έκδοση Chrome 39 το Νοέμβριο. Οι HTTPS ιστοσελίδες οι οποίες χρησιμοποιούν πιστοποιητικό SHA-1 το οποίο έχει ισχύ μέχρι και μετά την 1 Ιανουαρίου του 2017 δεν θα εμφανίζεται πλέον ως πλήρως αξιόπιστο στην διεπαφή χρήστη του Chrome.

Περισσότερες πληροφορίες εδώ

Poodle Security Breach

Poodle ονομάζεται μια νέα ευπάθεια που ανακαλύφθηκε στο σχεδιασμό του SSL έκδοση 3.0 και επιτρέπει σε έναν εισβολέα να υπολογίσει το αρχικό κείμενο (plaintext) ασφαλών συνδέσεων.
Το SSL 3.0 είναι σχεδόν 18 ετών, αλλά η χρήση και υποστήριξή του εξακολουθεί να είναι διαδεδομένη. Πιο σημαντικό είναι το γεγονός πως σχεδόν όλα τα προγράμματα περιήγησης (browsers) το υποστηρίζουν και, προκειμένου να επιλυθούν σφάλματα που προκαλούνται σε διακομιστές HTTPS, τα προγράμματα περιήγησης προσπαθούν μετά από μια αποτυχία να συνδεθούν χρησιμοποιώντας παλαιότερες εκδόσεις του πρωτοκόλλου, συμπεριλαμβανομένου του SSL 3.0. Επειδή όμως οι εισβολείς δικτύων μπορούν να προκαλέσουν αποτυχίες σύνδεσης, καταφέρνουν έτσι να ενεργοποιήσουν τη χρήση του SSL 3.0 και στη συνέχεια να εκμεταλλευτούν την ευπάθεια Poodle.

Περισσότερες πληροφορίες εδώ

Σχετικοί Σύνδεσμοι
Poodle Is A Very Different Sort Of Security Breach

Ευρωπαϊκός Μήνας Κυβερνο-Ασφάλειας 2014

To European Cyber Security Month (ECSM) είναι μια εκστρατεία υπεράσπισης της Ευρωπαϊκής Ένωσης, που πραγματοποιείται τον Οκτώβριο. H εκστρατεία ECSM έχει ως στόχο να προωθήσει την ασφάλεια στον κυβερνοχώρο μεταξύ των πολιτών, για να αλλάξει την αντίληψή τους σχετικά με τις κυβερνο-απειλές και παρέχει επίκαιρες πληροφορίες για την ασφάλεια, μέσω της εκπαίδευσης και της ανταλλαγής ορθών πρακτικών.

ECSM 2014

Το 2014 o οργανισμός ENISA θα επιδιώξει να αυξήσει τη συμμετοχή του ιδιωτικού και του δημόσιου τομέα σε αυτή την πρωτοβουλία μέσω της συνεργασίας. Οι άξονες προτεραιότητας του προγραμματισμού:

  • Ενισχυμένο περιεχόμενο των ECSM
  • Ανάπτυξη συνεργειών
  • Αξιολόγηση και ανάπτυξη των αποτελεσμάτων

Έναρξη εκδήλωσης: 1η Οκτωβρίου, περισσότερες πληροφορίες εδώ

Ευρωπαϊκή Εβδομάδα Προγραμματισμού 2014

Στις 11-17 Οκτωβρίου 2014 θα πραγματοποιηθεί για δεύτερη χρονιά η Ευρωπαϊκή Εβδομάδα Προγραμματισμού.

Εκατομμύρια παιδιά, γονείς, εκπαιδευτικοί, επιχειρηματίες και πολιτικοί ιθύνοντες θα συμμετάσχουν σε μαζικές εκδηλώσεις και θα παρακολουθήσουν μαθήματα για να μάθουν προγραμματισμό και να αποκτήσουν συναφείς δεξιότητες.

Η ιδέα είναι να προβληθεί ο προγραμματισμός, να απομυθοποιηθούν οι σχετικές δεξιότητες, και να έρθουν σε επαφή άτομα που έχουν μεγάλη επιθυμία να αποκτήσουν γνώσεις.

Στη διεύθυνση http://codeweek.eu θα μάθετε περισσότερα και θα βρείτε τις εκδηλώσεις που πραγματοποιούνται στην πόλη σας

Πρόκειται για μια πρωτοβουλία βάσης που ξεκίνησαν νεαροί σύμβουλοι της Νέιλι Κρους, η οποία προσέλκυσε την υποστήριξη κινημάτων προγραμματισμού και εκπαίδευσης όπως τα CoderDojo και RailsGirls, καθώς και σημαντικών εταιρειών τεχνολογίας και πληροφορικής, που επιδιώκουν να εξοικειώσουν εκατομμύρια παιδιά με τον προγραμματισμό διοργανώνοντας για παράδειγμα εργαστήρια επίδειξης, αναπτύσσοντας εργαλεία εκμάθησης και συμβάλλοντας στην εκπαίδευση δασκάλων. Εταιρείες, όπως οι Rovio (Angry Birds), Microsoft, Google, Telefonica, Liberty Global και Facebook στηρίζουν την Ευρωπαϊκή Εβδομάδα Προγραμματισμού, πολλές από τις οποίες στο πλαίσιο της δέσμευσής τους για την πρωτοβουλία «Μεγάλος συνασπισμός για ψηφιακές θέσεις εργασίας»

Χρήσιμοι σύνδεσμοι

Ιστότοπος της Ευρωπαϊκής Εβδομάδας Προγραμματισμού

Twitter: @codeWeekEU Hashtag: #codeEU

Facebook: codeEU

Heidelberg Laurate Forum 2014

Το Heidelberg Laureate Forum είναι το αποτέλεσμα μιας κοινής πρωτοβουλίας του Ινστιτούτου Χαϊδελβέργης για Θεωρητικές Σπουδές και του Klaus Tschira Stiftung. Το τελευταίο υπήρξε υποστηρικτής του Lindau Nobel Laureates Meeting για πολλά χρόνια, και η εμπειρία αυτής της εκδήλωσης γέννησε την ιδέα της δημιουργίας κάτι παρόμοιου και για τους δύο, ζωτικής σημασίας, επιστημονικούς κλάδους των Μαθηματικών και της Επιστήμης Υπολογιστών.

Στις 22 Μαΐου 2012, μια επίσημη συμφωνία μεταξύ των διοργανωτών και των ιδρυμάτων χορήγησης βραβείων υπεγράφη στο Όσλο, με την ευκαιρία της 10ης Τελετής Abel Prize.

Τον Μάιο του 2013, το Ίδρυμα Heidelberg Laureate Forum καθιερώθηκε επίσημα ως υποστηρικτική οργάνωση για την ετήσια διοργάνωση του Heidelberg Laureate Forum.

Forum 2014

Παρακαλώ κάντε κλικ εδώ για μια λίστα των βραβευθέντων που συμμετείχαν και εδώ για την επισκόπηση του Προγράμματος για το 2014.
Παρακαλώ κάντε κλικ εδώ για περαιτέρω λεπτομέρειες.

Κύριος τόπος συνάντησης: Πανεπιστήμιο της Χαϊδελβέργης στην Πλατεία Πανεπιστημίου, 69117 Χαϊδελβέργη.

Ευπάθεια Shellshock στο λογισμικό GNU Bash

Shellshock είναι το όνομα που δόθηκε  σε μια ευπάθεια  που υπάρχει στο GNU Bash και αφορά τις εκδόσεις 1.14 έως 4.3. H ευπάθεια επιτρέπει ενδεχομένως σε κακόβουλους χρήστες  να πάρουν τον έλεγχο του συστήματος ή/και να πραγματοποιήσουν απομακρυσμένη εκτέλεση αυθαίρετου κώδικα απευθείας στο ευάλωτο σύστημα.

Δεδομένης της ευρείας χρήσεως του λογισμικού GNU Bash σε λειτουργικά συστήματα GNU Linux / Unix / Mac OS / Windows / Android ο αριθμός των δυνητικά ευάλωτων συστημάτων εκτιμάται  ότι αγγίζει αρκετά εκατομμύρια συστήματα. Οι εκδόσεις 1.14 έως 4.3 του GNU Bash καλύπτουν 25 χρόνια εγκαταστάσεων του εν λόγω λογισμικού!

Σύμφωνα με τις τελευταίες εκτιμήσεις οι επιθέσεις που ήδη έχουν εκδηλωθεί και αφορούν στην ευπάθεια Shellshock έχουν ξεπεράσει το ένα δισεκατομμύριο .

O οργανισμός NIST έχει βαθμολογήσει την  ευπάθεια Shellshock ως 10 από 10 σε όρους της σοβαρότητας, των επιπτώσεων και της δυνατότητας αξιοποίησης. Επιδεινώνοντας το πρόβλημα, η ευπάθεια Shellshock επίσης κατατάσσεται χαμηλά στην κλίμακα της πολυπλοκότητας, το οποίο σημαίνει ότι έχει τη δυνατότητα  να χρησιμοποιηθεί εύκολα από ένα μεγάλο ποσοστό κακόβουλων χρηστών (script kiddies).

Συνολικά αναγνωρίστηκαν 6 διαφορετικά bugs στο λογισμικό GNU Bash τα οποία αντιμετωπίστηκαν. Αναλυτική χρονική περιγραφή μπορείτε να δείτε εδώ.

Περιγραφή

Το λογισμικό GNU Bash απο την έκδοση 1.14 μέχρι την έκδοση  4.3 συνεχίζει να επεξεργάζεται τα ακολουθούντα αλφαριθμητικά μετά τις δηλώσεις συναρτήσεων στις τιμές των μεταβλητών περιβάλλοντος, επιτρέποντας σε απομακρυσμένους επιτιθέμενους να εκτελέσουν αυθαίρετο κώδικα, όπως αποδείχθηκε στις περιπτώσεις που αφορούν την ιδιότητα ForceCommand στο λογισμικό  OpenSSH sshd, το mod_cgi και mod_cgid modules στον Apache HTTP Server, scripts που εκτελέστηκαν από πελάτες  DHCP , αλλά και  άλλες περιπτώσεις όπου πραγματοποιείται ρύθμιση του περιβάλλοντος  μέσω του Bash shell

Ιστορικό

Η ευπάθεια Shellchock ανακαλύφθηκε από τον Stéphane Chazelas, αναφέρθηκε στον προγραμματιστή του GNU Bash και της αποδόθηκε το αναγνωριστικό CVE CVE-2014-6271. Ωστόσο, στην αρχή το το πρόβλημα δεν έγινε πλήρως κατανοητό, και η  λύση που παρουσιάστηκε δεν απαντούσε πλήρως στο πρόβλημα .

Το αναγνωριστικό CVE-2014-7169 έχει ανατεθεί για να καλύψει το θέμα ευπάθειας που εξακολουθούσε να υπάρχει μετά τη λανθασμένη διόρθωση.

Υπάρχει αποθετήριο κώδικα «proof of concept» της ευπάθειας  Shellshock  στο  GitHub.

Έλεγχος

Μπορείτε γρήγορα να ελέγξετε την ευπάθεια του συστήματος σας εκτελώντας την παρακάτω εντολή στο GNU Bash :

env X="() { :;} ; echo you might be vulnerable" /bin/bash -c "echo hello"

Aν εμφανιστεί το μήνυμα  “you might be vulnerable” τότε το σύστημα σας έχει εγκατεστημένη ευπαθή έκδοση του GNU Bash.

Εναλλακτικά μπορείτε να εκτελέσετε online έλεγχο του συστήματος σας στη διεύθυνση https://shellshocker.net/

Σχετικά

David A. Wheeler: Shellshock

Troy Hunt’s Shellshock FAQ

 

«Η χρήση του TrueCrypt δεν είναι ασφαλής» – το τέλος της ανάπτυξης του TrueCrypt

SecNews : «Η χρήση του TrueCrypt δεν είναι ασφαλής» – το τέλος της ανάπτυξης του TrueCrypt

(English) Heartbleed

Αυτή η ιστοσελίδα είναι διαθέσιμη στα English.