Billede: Flavio Takemoto, FreeImages.com

En kritisk sårbarhed i Apache Struts 2 Web Application Framework er skyld i at massive mængder hackerangreb der er eskaleret voldsomt de seneste 48 timer.

Open source projektet blev ellers patchet i mandags, men mange har endnu ikke opdateret - og nu er der offentliggjort mindst to exploits.

Sårbarheden tillader afvikling af kommandoer som hvis man var serverbruger.

Hackerne prøver med en række forskellige angreb at udnytte sårbarheden, bl.a. ved at nedlægge firewall'en samt afvikle malware.

Sårbarheden findes i Jakarta file upload multipart parser'en, som er en fast del af framework'et. De berørte Apache Struts versioner er fra og med 2.3.5 til og 2.3.31 samt 2.5 til og med 2.5.10. Servere der kører en berørt version skal omgående opgradere til enten 2.3.32 eller 2.5.10.1.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1548

Billede: wikileaks

WikiLeaks er begyndt at lægge store mængder data til download, som afslører nye informationer om CIAs hackerværktøjer og spionage.

Første datasæt har fået kodenavnet Vault 7, og indeholder over 8.500 dokumenter og filer. Det kan downloades via BitTorrent som krypteret arkiv.

På grund af at en planlagt WikiLeaks-konference kom under angreb, gjorde WikiLeaks kodeordet tilgængeligt tidligere end planlagt.

I Vault 7 finder man bl.a. informationer om zero day våben der kan bruges på iPhones, Androidenheder og SamsungTV - samt routere, Linux, macOS og meget mere.

WikiLeaks forklarer desuden at CIAs hackerdivision har skabt flere tusinde malwares, trojanere, vira og andre værktøjer:

This extraordinary collection, which amounts to more than several hundred million lines of code, gives its possessor the entire hacking capacity of the CIA.

Redaktør: jakobdam   |   Indsendt af: thimon   |   1   |   1843

Billede: Israel Papillon, freeimages.com

Tinder har for mindst 6 måneder siden i stilhed lanceret en specialversion af deres app, ved navn Tinder Select.

Adgang til denne hemmelige datingverden gives af en lille kernegruppe af medlemmer.

En anonym kilde har afsløret til TechCrunch at app'en er beregnet til kendisser samt folk der klarer sig rigtigt godt på Tinder.

Der spekuleres i at et af kriterierne også er Tinder Elo scoren, der beregnes ud fra en avanceret algoritme baseret på flere tusinde paramete i Tinder app'en.

Tinder Select app'en er flottere og mere eksklusivt designet, og brugere kan skifte mellem det regulære Tinder og Tinder Select.

Tinder har ikke ville udtale sig om historien til TechCrunch.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1562

Billede: mozilla

Mozilla har en ledende rolle i udviklingen af WebAssembly, som også Google og Microsoft støtter op om. Nu er Mozilla så de første til at inkorporere WebAssembly i en browser, og Firefox betaversionen kan allerede hentes nu til både Mac, PC og Linux.

WebAssembly muliggør afvikling af moderne 3D-spil og applikationer i browseren, uden man skal bekymre sig om platform, operativsystem, installation eller trælsomme plugins.

WebAssembly er i sig selv et low-level programmeringssprog, der tillader andre højniveausprog såsom C eller C++ at køre i en browser. WebAssembly apps parses og kompileres før de afvikles i browseren, hvilket er markant anderledes end eks. javascript apps, hvor alt hentes ind i browseren der så finder ud af hvordan det bedst kan køre på det pågældende system.

Udover understøttelse af WebAssembly har den nye Firefox beta også fået forbedringer til Wi-Fi portaldetektionen og bedre advarsler for usikre logins.

Downloadside for Mozilla Firefox beta - klik her.

Se en flot WebAssembly demo ved at klikke på "Læs mere"-linket nedenfor.

» Læs mere   |   Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1675

Billede: Flavio Takemoto, FreeImages.com

En fejlagtig backup har uvildigt afsløret indholdet af en hel database brugt af spam-udsender firmaet River City Media (RCM).

Databasen indeholder over 1,37 milliarder e-mailadresser, og for nogle er der sammenkædet flere detaljer såsom navn, fysisk adresse og IP-adresser.

Chris Vickery fra firmaet MacKeeper har sammen med et team af hjælpere undersøgt dette siden januar, hvor River City Medias database blev tilgængelig online takket være en ukorrekt konfigureret Rsync backup.

Denne database er grundlag for udsendelsen af over 1 milliard spammails hver dag.

Vickery har nu kontaktet de firmaer som er påvirket af lækket såsom Microsoft og Yahoo, og idet han kontaktede dem og myndighederne gik spamserverne offline.

» Læs mere   |   Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1581

Billede: Twitter

En bagdør er blevet fundet i enheder lavet af et kinesisk firma specialiseret i VoIP-produkter.

Det var Trustwave, som opdagede den skjulte bagdør i DblTeks enheder, som giver fabrikanten mulighed for at tilgå enheden udenom brugeren. Dette medfører også at andre parter kan tilgå enheden, hvis de finder bagdøren.

Bagdøren eksisterer i deres admin-interface, som potentielt kan give angriberen root-rettigheder på enheden.

Trustwave kontaktede DblTek flere gange i løbet af efteråret 2016, hvor en firmware patch efterfølgende blev tilgængelig i december. Dog i stedet for at fjerne bagdøren, gjorde de det bare mere besværligt at benytte den.

Den nye bagdør har Trustwave også været i stand til at udnytte. Der er i skrivende stund ikke kommet en ny patch til de ramte enheder.

Redaktør: Hykalos   |   Indsendt af: thimon   |   0   |   1613

Billede: spotify

Spotify planlægger at lancere et Hi-Fi streaming abonnement, så man for et ekstra gebyr kan streame musik i ægte CD-kvalitet.

Det nye abonnement vil tilbyde alle fordelene fra Spotify Premium udover lyd i tabsfri CD-kvalitet.

Prisen bliver yderligere $ 5, $ 7,50 eller $ 10 per måned for opgraderingen (der er givetvis tale om en test af markedsprissætning).

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1800

Billede: wordpress

Forskere har fundet en alvorlig sikkerhedsfejl i NextGEN Gallery, som er et populært WordPress plugin der bruges af over 1 million websites.

Der er tale om en SQL injection fejl, der muliggør adgang til websitets database.

Fejlen er dog allerede rettet, og alle brugere af NextGEN Gallery opfordres hermed til at få opdateret deres plugin hurtigst muligt.

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1805

Billede: amazon

Amazon Web Services, der er teknologien bag en lang række websites og online services, fik mærkbare problemer med ydelsen den 28. februar, hvilket resulterede i at flere websites og services gik offline.

Sent på dagen fik Amazon dog styr på problemerne og vendte tilbage til normal drift.

Amazon Web Services krydsede 1 million brugere sidste år, og er blevet voldsomt populært som leverandør af on-demand infrastruktur for både små og store firmaer.

I 2011 havde Amazon et større nedbrud der varede flere dage, og som bl.a. fik Reddit, Foursquare og Quora til at gå offline.

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1684

Billede: twitch

Den Amazon-ejede streamingtjeneste Twitch vil snart tilbyde køb af spil - direkte når man sidder og ser en stream.

70% af prisen for spillet går til udviklingerne, streamere får 5% og resten ser ud til at gå til Twitch.

Ifølge Twitch selv vil der komme mange spil - både AAA-titler og indie-titler.

Køberne får udover spillet, såkaldte Twitch Crates, der indeholder Twitch-tematiserede emotes, chat badges og "bits for cheering".

Hermed muliggør Twitch at betale både udviklere og streamere.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   4   |   1998

Billede: google

Googles sikkerhedsafdeling har fremvist det første eksempel på en kollision i SHA-1 krypteringen.

En kollision for hash-algoritmer er en teoretisk mulighed for at skabe to filer, der får den samme hash-værdi. Dvs. at to forskellige input giver det samme output - eks. to filer der giver den samme hashværdi.

Det handler derfor om at sansynligheden for at det sker skal være så urealistisk som muligt, og at det ikke må være muligt at fremprovokere en kollision ved at kende en given fils hashværdi og regne sig frem til en anden fils der så får samme hashværdi.

Årsagen til at dette er et problem er at hashværdien bruges til kryptografisk bekræftelse for at eks. dokumenter der sendes, ikke er blevet intercepted og ændret. Hvis kollision er muligt og fremprovokation kan beregnes, vil man i teorien kunne intercepte et givent dokument sendt over en sikker forbindelse, ændre i det og matche hashværdien - og dermed snyde sikkerheden.

I 2013 blev der fremsat en teoretisk mulighed for kollisioner i SHA-1, og nu har Google demonstreret at det kan lade sig gøre i praksis.

» Læs mere   |   Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1425

Billede:

Yahoo advarer deres brugere om, at statsstøttede hackere har gennem cookieforfalskning tilgået kontoer uden at skulle bruge kodeord.

Følgende mail er blevet sendt ud til ramte brugere:

Our outside forensic experts have been investigating the creation of forged cookies that could allow an intruder to access users' accounts without a password. Based on the ongoing investigation, we believe a forged cookie may have been used in 2015 or 2016 to access your account

Der vides ikke, hvor mange brugere, der er ramt, men Yahoo er i gang med at underrette deres brugere.

Der menes at hackerne har fået fat i kildekoden og ud fra den genereret cookies til angrebet. Yahoo har udsendt en opdatering, der blokerer de pågældende cookies og skulle derved have lukket hackerne ude.

Redaktør: Hykalos   |   Indsendt af: thimon   |   0   |   1419

Billede: Jason Morrison, FreeImages.com

Englands regering har lavet en "Voluntary Code of Practise", der er designet til at få websites der indeholder copyright overtrædelser, til at ligge væsentligt lavere i søgeresultaterne.

Aftalen er underskrevet af Google, Microsoft (Bing), Motion Picture Association (MPA) og British Phonographic Industry (BPI).

En rettighedshaver kan markere et givent website for at indeholde ulovligt indhold, og hvis det skønnes at dette er korrekt, vil sidens rang blive gjort væsentligt lavere, og den vil ikke længere kunne findes på søgeresultaters side 1.

Steve McCoy, præsident for Motion Picture Association, udtaler:

Pirate websites are currently much too easy to find via search, so we appreciate the parties' willingness to try to improve that situation

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1474

Billede: wikipedia

Udviklingen af Project Loon går rigtigt godt, og i september 2016 kunne projektets ingeniører fremvise hvordan systemet har lært at ride med luftstrømme og forblive på stedet over et givent område i flere måneder ad gangen.

Astro Teller, Experimental X Division direktør hos Alphabet, udtaler:

The reason this is so exciting is we can now run an experiment and try to give services in particular places of the world with 10 or 20 or 30 balloons, not with 200 or 300 or 400 balloons

Teller fortæller også at hans team har forbedret kontrolsystemerne for både navigation og højde, og at AI'en bag kan blive meget smartere.

Den skal desuden testes i andre områder af verden for at lære at håndtere forskellige situationer.

Behovet for færre balloner betyder langt lavere omkostninger og samtidigt langt hurtigere igangsætning af nye regioner. Sidstnævnte kan nu ske i løbet af få uger fremfor måneder.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1631

Billede: google

YouTube-8M er en stor database med videoer hvis indhold er keyword tagget, som programmører kan bruge til at teste deres machine learning algoritmer.

Google annoncerede i går at YouTube-8M får en stor opdatering med flere labels på flere af deres videoer, såvel som audio elementer. Derudover vil Google forbedre datasættet med en konkurrence, der udlover en præmiepulje på ialt $ 100.000 til teams der bygger de bedste algoritmer til tagging af 700.000 nye videoer.

Google vil annoncere de vindende teams til YouTube-8M Workshop der afholdes under IEEE Conference on Computer Vision and Pattern Recognizion i juli måned.

Hvert team kan blive tildelt op til $ 30.000 og tidlige deltagere får gratis Google Cloud credits.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1605