Новини: новий взлом Sony, Pwnium і Pwn2Own та використання HTTPS
22:42 10.03.2012За повідомленням www.xakep.ru, у Sony вкрали файлів на 253 мільйона доларів.
Черговий взлом корпоративної мережі компанії Sony. Цього разу облікові записи користувачів залишилися в недоторканності, зате загублена коштовна власність - зловмисникам удалося одержати нелегальний доступ і скопіювати більш 50000 музичних записів, у тому числі дуже коштовні і рідкі записи Майкла Джексона. Власне, ці записи і являють собою головну цінність. Загальна вартість украдених файлів оцінюється приблизно в $253 млн.
За наявною інформацією крадіжка файлів відбулася незабаром після відомого взлому корпоративної мережі Sony PlayStation Network у квітні минулого року. Нагадаю, що торік відбулося два гучних інциденти пов’язаних з даною корпораціює: Anonymous взломали Sony PlayStation Network, а Lulz Security взломали сайт Sony Pictures.
За повідомленням bugtraq.ru, анонімний тінейджер з російським студентом вибралися з гуглівської пісочниці.
На початку березня Google Chrome був взломаний на конкурсах Pwnium і Pwn2Own. Два рази в рамках Pwnium і один раз в рамках Pwn2Own. Що наочно демонструє дірявість даного браузера.
Цього року Google вирішила не спонсувати черговий конкурс Pwn2Own, виявивши, що правила дозволяють учасникам ховати від виробників виявлені уразливості. Замість цього був оголошений паралельний конкурс Pwnium.
Перші $60000 узяв російський студент Сергій Глазунов - як я і передбачав після оголошення конкрусу Pwnium - дві уразливості якого дозволили обійти пісочницю Chrome, в якості демонстрації запустивши калькулятор на цільовій машині. Аналогічних результатів у рамках Pwn2Own домоглася команда VUPEN, що відмовилася відкрити використані уразливості. Команда VUPEN і стала переможцем на Pwn2Own. І незадовго до закінчення конкурсу деякий тінейджер, під псевдонімом Pinkie Pie, представив свій комплект із трьох уразливостей, що також дозволили вибратися з хромовської пісочниці і виконати довільний код.
За повідомленням www.xakep.ru, чи потрібний HTTPS як стандарт для всіх сайтів.
Повсюдне поширення безкоштовного Wi-Fi дозволило зловмисникам красти ідентифікаційні дані прямо під час використання бездротових мереж. Для вирішення цього питання вимагаються серйозні зміни прийнятих веб-стандартів, вважає Джефф Атвуд, автор популярного блога Coding Horror.
Більшість відомих сайтів вирішують цю проблему чи за рахунок зашифрованого HTTPS-трафіка для всіх залогінених користувачів, чи надаючи його як опцію. Наприклад, Twitter перейшов на HTTPS за замовчуванням деякий час тому, а Gmail зробив це ще в січні 2010 року.
Зазначу, що не всі сайти потребують SSL для доступу до них (наприклад, сайти, що не мають акаунтів користувачів), тому немає потреби всім сайтам використовувати HTTPS. А ось тим сайтам, які мають в цьому потребу, їм варто звернути на це увагу.
