Altervedo’s Weblog

Web and tech

Αρχείο για Safari

Η RC1 του Firefox 3 ακόμα πιο γρήγορη

Σύμφωνα με σημερινό δημοσίευμα του blog Hardware 2.0 του Adrian Kingsley-Hughes, στην ZDNet, που παρουσιάζει ένα νέο γράφημα μετρήσεων της ταχύτητας των διαφόρων browsers, η RC1 του Firefox 3 είναι η πιο γρήγορη έκδοση από όλες τις προηγούμενες εκδόσεις του Firefox 3 και του Firefox 2. H RC1 αφήνει πίσω της και όλους τους άλλους browsers άλλων εταιρειών, όπως Safari, Opera και Internet Explorer.

Σας θυμίζω ότι η RC1 έκδοση του Firefox 3 έγινε διαθέσιμη πριν λίγες μέρες.

Advertisements

Η PayPal σώζει μόνο τον Internet Explorer 7

Η PayPal απειλεί να μπλοκάρει όλους τους browsers που δεν υποστηρίζουν συγκεκριμένα χαρακτηριστικά, καθώς και όλες τις εκδόσεις των browsers που πλέον δεν υποστηρίζονται από τους δημιουργούς τους.

Η PayPal, υποστηρίζει ότι έχει σκοπό να μπλοκάρει όλους τους browsers που δεν έχουν προστασία anti-phishing και δεν υποστηρίζουν τα πιστοποιητικά προστασίας EV. Στην ουσία όποιος χρήστης θα χρησιμοποιεί browser που δεν ικανοποιεί τα στάνταρντς της PayPal δεν θα μπορεί να έχει πρόσβαση στις σελίδες της εταιρείας.

Oι browsers που θα μπλόκαρε η PayPal αν εφάρμοζε την ιδέα της άμεσα, θα ήταν σίγουρα όλες οι εκδόσεις του browser της Apple, Safari, όλες οι εκδόσεις του Firefox 1.x, οι εκδόσεις 3, 4, 5 και 6 του Internet Explorer, καθώς και όλες οι εκδόσεις της Opera. Δεν αποκλείεται, αν ακολουθούσε αυστηρά την γραμμή της, να έπρεπε να αποκλείσει και τον Firefox 2.

Στην ουσία ο μόνος browser που ικανοποιεί ακριβώς τις απαιτήσεις της PayPal, out-of-the-box αυτή τη στιγμή, είναι ο Internet Explorer 7. Είναι ο μόνος browser που έχει λειτουργίες anti-phishing και υποστηρίζει τα EV certificates ( Extended Validation Certificates ).

Δε νομίζω πως η PayPal θα προχωρήσει στον αποκλεισμό όλων των browsers ( εκτός από τον Internet Explorer 7 ). Δεν θα ήταν λογικό για μια εταιρεία να αποκλείσει τόσο μεγάλο αριθμό πελατών της από την ιστοσελίδα της. Εξάλλου, ο Firefox και η Opera μέσα στους επόμενους μήνες θα έχουν, πιστεύω, όλα τα χαρακτηριστικά που θεωρεί ως απαραίτητα η PayPal, αλλά και η Apple δε νομίζω ότι θα θελήσει να μείνει πίσω. Για αυτό το λόγο και η PayPal έμεινε στις γενικές απειλές χωρίς να καθορίσει ημερομηνίες ή χρονικά όρια.

Στο κείμενο A Practical Approach To Managing Phishing ( αρχείο PDF ) ( παράγραφος 4.1 ) η PayPal κάνει αναφορά σε «UnSafe Browsers», καθώς επίσης και στην στρατηγική καθολικού αποκλεισμού κάποιων browsers ή κάποιων εκδόσεων αυτών, και στην εμφάνιση απλών προειδοποιήσεων για κάποιους browsers ή εκδόσεις τους.

H Apple αλλάξε πολιτική όσον αφορά το «σπρώξιμο» νέου software

Ίσως θα θυμόσαστε πριν λίγο καιρό της διαμαρτυρίες πολλών, και ιδιαίτερα του John Lilly της Mozilla, όταν η Apple διαμέσω του εργαλείου της για το update των προγραμμάτων της σε περιβάλλον windows, μας εγκατέστησε, σχεδόν σιωπηλά, και τον browser της, Safari.

Οι διαμαρτυρίες περί «βρώμικης» πολιτικής φαίνεται ότι «έπιασαν». Η Apple αθόρυβα έκανε κάποιες αλλαγές στο software ενημέρωσης. Πλέον, θα εμφανίζονται δύο τομείς ( κουτάκια ) ( δες εικόνα ). Το πάνω ( το σημείωσα με μπλε ) θα μας ενημερώνει για τις διαθέσιμες ενημερώσεις των προγραμμάτων Apple, που έχουμε ήδη εγκατεστημένα στον υπολογιστή μας, ενώ το κάτω ( το σημείωσα με πράσινο ) θα μας προτείνει καινούρια προγράμματα της Apple.

Οι άνθρωποι της Mozilla Foundation, δεν είναι απολύτως ικανοποιημένοι με τις αλλαγές. Δηλώνουν ότι η αλλαγή αποτελεί θετική εξέλιξη, ωστόσο ζητούν από την Apple να προχωρήσει σε μια ακόμη αλλαγή. Προς το παρόν, στο κουτάκι με τα προτεινόμενα νέα software είναι από default επιλεγμένη η εγκατάστασή τους ( το σημείωσα με κόκκινο ). Έτσι, κάποιος που δε δώσει σημασία και πατήσει απευθείας «εγκατάσταση» δε θα λάβει μόνο τις ενημερώσεις αλλά και το νέο software. Τις νέες σκέψεις της Mozilla, εξέφρασε ο Aza Dotzler ( director of community development ) στο blog του ( http://weblogs.mozillazine.org/asa/archives/2008/04/good_for_apple.html )

Η Apple σε safari για vulnerabilties

Είναι ένας κόσμος δύσκολος, έτσι δεν είναι; Φανταστείτε πόσο δύσκολος που τα παιδιά της Apple χρειάστηκαν έναν μήνα περίπου για να διορθώσουν την αδυναμία που είχε παρουσιάσει ο Miller κατά τη διάρκεια του διαγωνισμού PWN to OWN στην CanSecWest Vancouver 2008. Η αδυναμία αφορούσε τον browser Safari της Apple ( από εδώ και ο τίτλος του post μου ) και επέτρεπε την εκτέλεση κακόβουλου κώδικα στον mac από τρίτους, αν ο νόμιμος χρήστης του υπολογιστή επισκεπτόταν ειδικά διαμορφωμένη σελίδα, που περιείχε κακόβουλο κώδικα. ( Στην ουσία η αδυναμία αφορούσε το WebKit, που είναι η μηχανή πάνω στην οποία βασίζονται ο Safari και άλλες εφαρμογές της Apple ). H Apple υποστηρίζει ότι διόρθωσε την αδυναμία εισάγοντας επιπλέον ελέγχους στις javascript regular expressions.

Την Τετάρτη, η Apple, προχώρησε στη διόρθωση της πιο πάνω αδυναμίας, ενώ ταυτόχρονα διόρθωσε και 3 άλλες αδυναμίες. Άλλη μία από αυτές αφορούσε το WebKit, ενώ οι άλλες δύο αφορούσαν αποκλειστικά τον Safari σε περιβάλλον Windows. Πλέον ο Safari είναι στην έκδοση 3.1.1.

Αναφορά της Symantec για τις απειλές στο web

Οκ, με τα προϊόντα Symantec οι περισσότεροι από εμάς δεν τα πάμε καλά (προσωπικά εξαιρώ μόνο το Ghost και το θρυλικό Partition Magic). Ωστόσο η αναφορά που δημοσίευσε η εταιρεία για την κατάσταση της ασφάλειας στο web και τις νέες απειλές θεωρείται αρκετά αξιόπιστη. Η έρευνα αφορά την περίοδο από τον Ιούλιο έως τον Δεκέμβριο του 2007. Συνεπώς αρκετά παλιά νέα αν σκεφτούμε ότι οι ρυθμοί εμφάνισης νέων απειλών είναι εξωφρενικά γρήγοροι. Αυτό το λέω όχι για να μειώσω την αξία της έρευνας, αλλά για να το τονίσω ότι πολλά από τα νούμερα που περιέχει έχουν ήδη αλλάξει και κατά πολύ.

Καταρχήν σας παρέχω το link για το pdf αρχείο που περιέχει την έρευνα. Ανοίξτε το από εδώ (αρχείο pdf) χρησιμοποιώντας τον αγαπημένο σας pdf reader. To καλύτερο που έχετε να κάνετε είναι να διαβάσετε τα highlights στις σελίδες 5 έως 8. Θα πάρετε μια ιδέα για τα συμπεράσματα της έρευνας.

Αλλά ας τονίσω και εγώ κάποια σημαντικά νέα που προκύπτουν.

  1. Η Ελλάδα δεν αναφέρεται πουθενά στο κείμενο της έρευνας γεγονός θετικό. Σημαίνει ότι για τη συγκεκριμένη περίοδο δεν ήμασταν ούτε ανάμεσα στους σημαντικότερους θήτες αλλά ούτε και στα σημαντικότερα θύματα, όσον αφορά τις επιθέσεις online.
  2. To 2007 αποτέλεσε τον πιο παραγωγικό χρόνο για τους κακούς. Έτσι, σύμφωνα με την έκθεση της Symantec, τα δύο τρίτα του κακόβουλου κώδικα που κυκλοφορεί στο web γράφτηκε μέσα στο 2007. Με την έννοια κακόβουλου κώδικα, αναφέρομαι σε ιούς, trojans, phishing, εκμετάλλευση αδυναμιών σε διάφορα προγράμματα, τεχνικές επιθέσεων σε servers και όλες γενικότερα τις απειλές που αφορούν online συστήματα.
  3. Έτσι και πάντα με βάση τη Symantec, μέσα στο 2007 ανακαλύφθηκαν 711.912 απειλές (το 2006 ανακαλύφθηκαν μόλις 126.243 απειλές), από τις οποίες οι 499.811 το δεύτερο εξάμηνο του 2007. Υπήρξε μια άυξηση της τάξης του 571% σε σχέση με το αντίστοιχο εξάμηνο του 2006.
  4. Ο συνολικός αριθμός απειλών ξεπέρασε για πρώτη φορά στην ιστορία το εκατομμύριο (1.122.311).
  5. Τις Ηνωμένες πολιτείες, κατά το εξάμηνο υπό εξέταση, αφορά το 30% της συνολικής κακόβουλης δραστηριότητας.
  6. Το Περού ήταν η χώρα με τη μεγαλύτερη δραστηριότητα που αφορά απειλές ανά συνδρομητή μιας broadband σύνδεσης.
  7. Με το 6% του συνόλου, τα IPs που ανήκουν στον ιταλικό ISP Telecom Italia μετρήθηκαν ως τα πιο ενεργά όσον αφορά κακόβουλου κώδικα.
  8. Η Μαδρίτη ήταν η πόλη με τα περισσότερα PCs μολυσμένα από bots. To 3% επί του συνόλου των μολυσμένων από bots υπολογιστές βρίσκεται σε σπίτια της Μαδρίτης.
  9. Όλες οι εταιρείες που παράγουν λειτουργικά συστήματα βελτίωσαν τους χρόνους έκδοσης διορθώσεων ασφάλειας με εξαίρεση την Apple και τη Sun. Για τα προβλήματα της Apple και τις καθυστερήσεις της στην έκδοση των patches σας είχα μιλήσει πρόσφατα.
  10. Από την άλλη τονίζεται ότι ο browser του οποίου πιο γρήγορα από όλους διορθώθηκαν οι «τρύπες» ήταν ο Safari της Apple.
  11. Υπήρξε αύξηση των προσπαθειών phishing κατά 5% σε σχέση με το πρώτο εξάμηνο του 2007.
  12. Στο τοπ 10 των οικογενειών κακόβουλου κώδικα, 5 είναι Trojans, 2 worms, 2 worms με back door και 1 worm με χαρακτηριστικά ιού.
  13. Όσον αφορά το spam, υπήρξε αύξηση 16% σε σχέση με το αντίστοιχο (2ο) εξάμηνο του 2006.
  14. Τα περισσότερα spam zombies PCs βρίσκονταν στο έδαφος των Η.Π.Α. με ποσοστό 10% επί του συνόλου των υπολογιστών spam-zombies παγκοσμίως.
  15. Παρατηρήθηκε άυξηση των επιθέσεων με τη χρήση αδυναμιών στους διάφορους browsers. Ταυτόχρονα υπήρξε αύξηση των αδυναμιών που ανακαλύφθηκαν στους διάφους browsers.

Adobe Flash Player, ξανά προβλήματα ασφάλειας

Νέα προβλήματα ασφάλειας για τον Flash Player της Adobe. Η εταιρεία εξέδωσε νέο σημείωμα ασφάλειας APSB08-11 και ταυτόχρονα έκανα διαθέσιμη μια νέα έκδοση του Flash Player, την 9.0.124.0. Τα προβλήματα ασφάλειας αφορούν τις εκδόσεις 9.0.115.0 και προηγούμενες καθώς και την έκδοση 8.0.39.0 και προηγούμενές της.

Τον τελευταίο καιρό ο Flash Player αποτελεί πραγματικά μια πληγή για τα desktop συστήματα καθώς παρουσίασε πολύ συχνά προβλήματα ασφάλειας, που σε αρκετές περιπτώσεις διορθώθηκαν μόνο αφού έγιναν δημόσια γνωστά.

Για να εξασφαλίσετε την ασφάλεια του συστήματός σας είναι αναγκαία η εγκατάσταση της νέας έκδοσης του Flash Player για τους browsers που χρησιμοποιείτε. Έτσι, αν στο σύστημά σας έχετε εγκατεστημένους τους Firefox, Internet Explorer και Safari, θα χρειαστεί να εγκαταστήσετε τρεις διαφορετικούς Flash Players.

Προσωπικά διαπίστωσα ένα πρόβλημα στην εγκατάσταση του flash plugin για τον Firefox 2, αν δεν απεγκατασταθεί μέσω της Προσθαφαίρεσης προγραμμάτων η παλαιότερη έκδοση. Συνεπώς, η καλύτερη τακτική είναι αυτή της απεγκατάστασης όλων των flash plugins που βλέπετε στη λίστα των εγκατεστημένων προγραμμάτων, στην προσθαφαίρεση προγραμμάτων του πίνακα ελέγχου των windows, και στη συνέχεια η εγκατάσταση της νέας έκδοσης για κάθε browser σας διαμέσω της σελίδας: http://www.adobe.com/products/flashplayer/.

MacBook Air…2 hard 2 hack…για 2 λεπτά

Ας μην τα βάλουμε με το MacBook Air, για όλα φταίει ο Safari, ωστόσο πλέον κυκλοφόρησε. Χρειάζονται δύο λεπτά για να hackάρετε ένα MacBook Air. Όλα συνέβησαν στο CanSecWest Vancouver 2008, συνέδριο που ασχολείται με θέματα ψηφιακής ασφάλειας. Οι διοργανωτές αποφάσισαν και φέτος να στήσουν έναν διαγωνισμό PWN to 0WN. Ποιός θα χάκαρε ένα από τα τρία ακόλουθα notebooks:

  • VAIO VGN-TZ37CN με εγκατεστημένη Ubuntu 7.10
  • Fujitsu U810 με Vista Ultimate SP1
  • MacBook Air με OS X 10.5.2

Και τα τρία notebooks είχαν τα πιο πρόσφατα updates και το configuration τους χαρακτηρίστηκε ως standard.

Ο νικητής παίρνει δικό του το notebook αν καταφέρει να το χακάρει εκμεταλλευόμενος μια άγνωστη ως τώρα αδυναμία (0day attack) και ένα χρηματικό βραβείο 10.000 δολλαρίων. Έτσι, χθες, ο Charlie Miller έκανε δικό του ένα MacBook Air και 10.000 δολλάρια μέσα σε δύο λεπτά, χρησιμοποιώντας μια αδυναμία του browser Safari για να αποκτήσει τον έλεγχο του notebook. Ο Miller έγινε γνωστός και ως ο πρώτος που κατάφερε να χακάρει το iPhone.

O Miller ήταν ο πρώτος που προσπάθησε πάνω στο MacBook Air…δε χρειάστηκε δεύτερος.

Για να μην υπερβάλουμε, όμως, η αλήθεια είναι ότι την πρώτη μέρα του διαγωνισμού κανείς δεν κατάφερε να χακάρει τα notebooks λόγω των περιορισμένων μεθόδων πρόσβασης σε αυτά που επέτρεψαν οι διοργανωτές στους διαγωνιζόμενους. Πράγματι την πρώτη μέρα που οι επιθέσεις μπορούσαν να γίνουν μόνο μέσω δικτύου, κανείς δεν κατάφερε να αποκτήσει τον έλεγχο των notebooks. Τη δεύτερη μέρα του διαγωνισμού οι κανόνες άλλαξαν και πλέον επιτράπηκε στους hackers να ζητήσουν από τους διοργανωτές να κάνουν συγκεκριμένες πράξεις, όπως να επισκευθούν μια σελίδα ή να ανοίξουν ένα email.

Έτσι, ο Miller κατάφερε να πάρει τον έλεγχο του MacBook Air ζητώντας από τους διοργανωτές να επισκευθούν μια συγκεκριμένη ιστοσελίδα στης οποίας κώδικα είχε εισάγει ήδη τον δικό του «κακό» κώδικα, ο οποίος μόλις εκτελέσθηκε από τον browser Safari, του έδωσε πρόσβαση στoν πίνακα ελέγχου του MacBook Air. H όλη διαδικασία πήρε στον Miller μόλις δύο λεπτά.

Ο Miller με βάση τους κανόνες του διαγωνισμού υπέγραψε δήλωση που τον υποχρεώνει να μη διαδόσει την αδυναμία του Safari μέχρι η ίδια η Apple να δημοσιεύσει κάποιο update που να κλείνει την ¨τρύπα». Η Apple ενημερώθηκε για την vulnerability του software της άμεσα από τους διοργανωτές.

Η ειρωνία είναι πως τον ίδιο Safari, που ο Miller χάκαρε σε 2 λεπτά, η Apple λίγες μέρες πριν μας τον εγκατέστησε σχεδόν με το ζόρι.

Σήμερα είναι η τελευταία μέρα του διαγωνισμού και θα μάθουμε πως τα πήγαν τα άλλα δύο notebooks που τρέχουν Ubuntu 7.10 και Windows Vista Sp1.

Πιο πρόσφατα:
Νίκησε η Ubuntu, Leopard και Vista KO, CanSecWest συνέχεια.