De beste pentesting kit werd nog beter (dit is een gedurfde uitspraak, ik weet het). Versie 3.5 die nu net uitkwam, bevat 613 exploit en 306 auxiliary modules. Ter vergelijking: in versie 3.4 waren dit respectievelijk 551 en 261 modules! De recentste Adobe, Java, Wifi en Windows exploits werden uiteraard toegevoegd. De grafische interface kreeg een opfrisbeurt en talrijke bugs (+100) werden eruit gehaald, wat het programma veel stabieler, sneller en prettiger om mee te werken maakt. En ja hoor, Metasploit is nog steeds gratis.

Onderzoek van 40.000 openbare Wi-Fi netwerken in zes steden bracht aan het licht dat de helft snel en simpel gekraakt kon worden. De onderzoekers waren in een wip en een gauw verbonden en hadden meteen toegang tot persoonlijke gegevens, gratis surfen en downloaden. Terwijl de grote meerderheid van de eigenaren dacht dat ‘hun’ netwerk voldoende beveiligd was, en zo’n 25 procent van de private netwerken zelfs geen paswoorden gebruikten, konden de onderzoekers rustig binnendringen in beveiligde netwerken.

Adobe stuurde deze week een waarschuwing buiten voor hun Shockwave Player (Win en Mac versies). De bug kan de computer doen vastlopen of een inbreker toegang geven tot het systeem. Adobe neemt de bug zeer ernstig en spreekt van een kritische situatie. Ze werken koortsachtig aan een patch maar konden nog niet vrijgeven wanneer deze beschikbaar zal komen. Gezien het feit dat enkele honderden miljoenen computergebruikers shockwave installeerden kunnen we ons aan een lawine van aanvallen verwachten. Tijdelijke oplossing (en aan te bevelen): Shockwave uitschakelen in je browser.

Het is nogmaals bewezen dat we niet te snel moeten denken dat Linux meestal de dans wel zal ontspringen al het op beveiligingslekken aankomt. Het is wel zo dat de meeste problemen vaak vliegensvlug zijn opgelost en dat de lekken niet echt onrustwekkend zijn. Nu hebben we nochtans wel een ernstige situatie met RDS (Reliable Datagram Sockets). RDS, ontwikkeld door Oracle, wordt gebruikt voor het in bulk verzenden van berichten naar verschillende bestemmelingen. Het doel van RDS is om IPC (Inter-process communication) draaiende te houden zonder time-outs wanneer je systeem zwaar belast is. De kans is groot dat RDS op je systeem draait wanneer je een krachtige DBMS server of Linux, MySQL, PHP – Perl – Python of Apache stack toepassing hebt draaien. Vanaf Linux kernel 2.6.3 (de eerste met RDS) kan een hacker door misbruik te maken van de bug, super-user (root) worden. Al wat hij nodig heeft is een klein stukje broncode geschreven in C (ik vond ze na twee minuten zoeken op het net!) en een internet verbinding, .. en jouw server is de zijne. De kern van het probleem was dat de kernel functies die verantwoordelijk zijn voor het kopiëren van gegevens tussen de kernel en de zogenaamde ‘user space’ bepaalde controles niet uitvoerden. Deze bug is alleen belangrijk voor u indien 1/ RDS op uw systeem draait 2/ CONFIG_RDS kernel configuration optie staat aan (default is gewoonlijk uit) 3/ Geen restricties op ‘unprivileged users loading packet family modules’ (dit staat bij default meestal aan). Niet getreurd… in de Linux wereld blijft zo’n bug meestal niet lang zonder oplossing (Linus Torvalds bijvoorbeeld heeft al een fix). Als je in afwachting helemaal zeker wil zijn en RDS even kan missen, gebruik je dit commando : echo "alias net-pf-21 off" > /etc/modprobe.d/disable-rds

Mozilla ontwikkelaars werkten de klok rond om een lek te dichten dat Crackers misbruiken om kwaadaardige software te installeren. De bug kwam aan het licht na het uitpluizen van de broncode van de website van de Nobelprijs voor de vrede. Tijdens een bezoek aan die site werden de surfers met Firefox versie 3.5 of 3.6 getrakteerd op een gratis Trojaans paardje dat stiekem op de computer werd geïnstalleerd. Dit stukje software haalde op zijn beurt dan weer een hele resem andere malware binnen zodat al snel de controle over de computer kon overgenomen worden. Binnen de 48 was er een patch beschikbaar versies 3.5.12 en 3.5.15 (de bug zat zowel in Windows als in Linux en Mac versies). Versie 4 beta heeft nooit risico gelopen.