Az Errata Security érdekes cikket jelentetett meg az iPhone-ok WiFi kezelési szokásaival kapcsolatban. Ha egy iPhone-nal rendelkező bitbűvész elkezdni sniffelni a telefon vezetéknélküli-hálózati forgalmát, hamar kiderül, hogy egy új hálózatra történő csatlakozáskor a készülék a http://www.apple.com/library/test/success.html weboldalt próbálja meg elérni, mindenfajta felhasználói utasítás nélkül. Erre azért van szükség, mert sok helyen működnek ún. captive portalok, melyek csak hitelesítés után hajlandóak kiengedni az újonnan csatlakozó felhasználókat az internetre, így ha csak a levelezőkliensnek lenne szükséges a hálózat, de az iPhone nem az elvárt választ kapja az Apple.com-tól, automatikusan megjelenik egy Safari ablak, melyben a felhasználó bejelentkezhet. 

A kérés részletesebb vizsgálatakor kiderül az is, hogy ennek az első HTTP kérésnek a UserAgent fejlécében szerepel a "wispr" string, ami a Wireless Internet Service Provider roaming protokollra utal. Az ezt átmogató portálok ill. AP-k érzékelik ezt a fejlécet, és egy XML üzenetváltás segítségével automatikusan hitelesítik a felhasználót. 

Vegyük észre, hogy a teljes forgalom nyílt HTTP csatornán zajlik!

• Captive portal jelenléte esetén a Safari ablak mindenképpen felpattan, egy közbeékelődő támadó pedig olyan exploitot plántál az oldalba, amilyet szeretne.
• Az XML üzenetekben küldött bejelentkezési azonosítók passzívan lehallgathatók
• A programozók imádják elszúrni az XML feldolgozást

A felhasználó pedig még mindig nem csinált semmit, csak csatlakozott egy WiFi hálózathoz.

De az iPhone üzeneteiben történő vájkálás közvetlen pozitív hasznot is eredményezhet: Az AT&T hálózatának használata az Államokban ingyenes az iPhone tulajdonosoknak. Az iPhone (felteszem ESSID alapján) ilyen HotSpotokon a http://attwifi.apple.com/library/test/success.html oldalhoz csatlakozik első körben, amit feltehetően érzékel a captive portal, és automatikusan beengedi a felhasználót. Nem tudom, hogy itthon van-e hasonló kedvezmény, de ha igen, érdemes lehet belelesni a szifonok forgalmába!

 Csak röviden: a TechCrunch Európai oldalai Zeus igájába taszítják a látogatók gépeit. Az üzemeltetők már napok óta tudnak a dologról, de téves riasztásként értékelték az esetet, így nem állították le az oldalt. A letöltődő malware variánt a VirusTotal adatbázisában szereplők közül csak két antivírus termék fogja meg!

(Avagy erre a címre tuti kapok néhány tucat Google találatot)

A Meta Rhein Main Chaos Days 111b minikonferencián Alexander Klink egy olyan módszert mutatott be, melynek segítségével némi social engineeringet és MitM támadást bevetve távolról bekapcsolható a Flash Player felhasználók mikrofonja és kamerája. 

A problémát a Macromedia.com-on elérhető Settings Manager okozza: ez a szolgáltatás nem más, mint két egymásba épülő SWF applet egy HTML oldalba ágyazva, melyek  közül a legbelső dokumentálatlan API hívások segítségével közvertlenül módosíthatja a látogató Flash Playerének beállításait (figyeljetek, egyes appletek egyenlőbbek a többinél!). Bár ez a belső applet hitelesített HTTPS csatornán töltődik le a felhasználóhoz, az áldozat gépén futó szoftver csak a felhasználóra hagyatkozik a tanúsítvány ellenőrzésekor, aki vagy figyelmen kívül hagyja a böngészőtől kapott figyelmeztetést, vagy nem (lehet tippeket tenni), előbbi esetben a letöltődő applet megnyitja a multimédia eszközöket a nagyvilág számára, és már el is lehet kezdeni streamelni a műsort.

A pontos hogyanokról a slideshow sajnos nem tesz említést, de a fentieken kívül rejt még egy vicces érdekességet, ezt mindenki nézze meg maga!

Bizonyára mindenki tudja, hogy az idei Hacktivity egyik keynote előadója Bruce Schneier lesz. Az azonban engem is meglepetésként ért, hogy a neves biztonsági szakértő egy nappal a konferencia előtt a BME-n is tart majd egy előadást, melynek témája a "Biztonság újraértelmezése" lesz. Szóval aki nem tud eljönni konferenciára, az is kaphat egy kis kárpótlást szeptember 17-én 15:00-tól, a BME I épületének IB017-es előadójában. 

A Hacktivityt csak emiatt természetesen vétek kihagyni! Köszönet Stefnek az infóért!

trey@HUP:

Chris Evans, Google egyik biztonsági szakértője a full disclosure levelezési lista nyilvánosságához fordult [hivatkozás tőlem] egy eddig még javítatlan Internet Explorer 8 buggal kapcsolatban. Levele szerint azért tette ezt, mert eddig sikertelenül próbálta rávenni a Microsoft-ot a hiba javítására. A biztonsági problémára egy PoC-t is publikált. Az Internet Explorer 8-ban jelenlevő bugot kihasználva a weben keresztül támadást intéző képes lehet az IE felhasználók 3rd party oldalahoz tartozó authentikált session-jeit eltéríteni (például egy tetszőleges weboldal ráveheti a felhasználót, hogy az postázzon ki egy tweet-et a Twitter-re). Chris szerint bizonyítékok vannak arra, hogy a Microsoft 2008 óta tud a hibáról, de javítani azt még nem javította.

A PoC megvalósítás itt érhető el (gombnyomásra üzenetet helyez el a Twitteren, ha van aktív session). Evans eredeti bejegyzése a problémáról itt olvasható.

Régen volt szó hardver hackekről, most viszont egy igazi csemegét szállított a Hack-a-Day! Adrian Crenshaw egy vonalkód fuzzert készített a Teensy fejlesztői boardra, amely mindössze egy LED kimenettel képes tetszőleges vonalkódot mutatni a fényvisszaverődést alapul vevő leolvasók felé. A módszer lényege Nathan Pegramtól származik, aki a Pauldotcom podcast egyik adásában vetette fel, hogy az egyszerű, egydimenziós kódok (ami a sörösdobozon is van) leolvasói "átverhetők" úgy, ha az olvasó saját fényforrása helyett egy sajátot használunk. Minden az időzítésen múlik: egyszerűen olyan ütemben kell felvillantani a LED-et amilyen ütemben a leolvasó fénysugara elsuhanna a vonalkód fehér részei fölött. A leolvasó ugyanis a fényvisszaverődést érzékeli, ami nyilvánvalóan elsősorban a fehér felületeken érvényesül.

De a dolog lényege nem is az ilyen jellegű átverés, hanem az olvasót használó szoftver megbolondítása: Adrian kütyüje például autómatikusan lejátssza az ASCII tábla első 31 elemét, valamint néhány hagyományos támadási mintát (pl. egyszerű SQL injectionre vagy XSS-re), hátha a tisztelt programozók nem gondoltak rá, hogy valaki ilyen jeleket vagy karaktersorozatokat is beleírhat egy vonalkódba. 

A mikrokontroller programjának forráskódja természetesen szabadon elérhető, így bárki tesztelheti a helyi közértet, csak nehogy infarktust kapjon a pénztáros néni! Adrian tervei között szerepel még az eszköz továbbfejlesztésse E-Ink alapon, de az ehhez potenciálisan használható e-könyv olvasók egyelőre túl drágák. 

Remélem születnek majd hasonlóan ügyes apróságok a Hacktivityn is!

A Symantec - talán a Pwnie-díjak között már sokadik éve kiosztott "Legjobb Dal" kategória sikerén felbuzdulva - új marketingkampányba kezdett. A neves biztonsági cég a neves gengszterrepper Snoop Doggal karöltve arra buzdítja a szövegben erős fiatalokat, hogy késztsenek rap számokat, melyekkel az interneten leselkedő veszélyekre hívják fel a figyelmet. Alább látható a zenésszel készült spontán interjú:

Az akció akkora sikert aratott, hogy a hét elején indult weboldalra már fel is töltöttek hét (7) darab videót - ráadásul az oldalt egy időre le kellett kapcsolni a rajta talált XSS hibák miatt! A szerencsés nyertes koncertjegyet és laptopot nyerhet, valamint találkozhat Snoop Dogg menedzsmentjével is!

A Forbes bloggere felhívja a figyelmet (további facepalmok reményében érdemes kattintani), hogy nem ez volt az első kísérlet a szoftver- és a rap-ipar összeboronálására.Az alábbi, 1992-ben készült, közel 10 perces (!!!) videót csak erős idegzetűeknek ajánlom:

Bocs a minőségi posztok hiányáért, erősen gyúrunk Hacktivity-re, ott megkapjátok a pótlást ;)

Mától lehet regisztrálni az Informatikai Biztonság Napjára. A sajtóközleményből (kiemelések tőlem):

Mérföldkőhöz érkezett az „Informatikai Biztonság Napja”, amely 2010. szeptemberben 28-29-én két napos IT biztonsági konferencia és kiállítás lesz. A több mint 1200 IT biztonsági szakembert a tavaly már jól bevált – helyszínre, a Cinema City Arénába várják  Idén először ítélik oda a rendezvényen az „ITBN Security Award”- díjat a szakma legjobb vállalkozásainak és kiemelkedő személyiségeinek.  . A támogatók jóvoltából a rendezvényre történő bejutás regisztrációhoz kötött, térítésmentes. Az innováció fontosságát szeretnék hangsúlyozni a szervezők, ezért a nagy Magyar feltalálók, és találmányok állnak ebben az évben a fókuszban

Az indiai hatóságok többegy hete tartják fogságban Hari Prasadot, aki az országban használt papírmentes elektronikus szavazógpek biztonsági hiányosságaira hívta fel a figyelmet. A rendőrség azért vette őrizetbe a férfit, mert meg akarják tudni, hogy kitől szerezte a kutatásaihoz használt szavazógépet. Prasad egy országos tévécsatornán demonstrálta, hogy hogyan lehet manipulálni a gépbe bevitt szavazatokat. A mostani rendőrségi akció után felmerül a kérdés, hogy vajon a szavazógépeket gyártó cégen kívül esetleg befolyásosabb köröknek is érdekük lehet a manipuláció lehetőségének elfedése.

A Hindustal Timesnak adott egyik rendőrségi közlemény szerint egyelőre annyit sikerült megtudnia a hatóságnak, hogy Prasad egy holland és egy amerikai társsal dolgozott együtt. Ez nem túl nagy eredmény, figyelembe véve, hogy az általuk kiadott publikációban az összes résztvevő kutató - köztük amerikai és holland munkatársak - neve is szerepel. Az ügyészség egyelőre augusztus 28-ig hosszabította meg Prasad előzetes letartóztatását.

Még a múlt héten kapott szárnyra a hír, hogy kritikus sebezhetőséget fedeztek fel az iTunes-ban, és bár részletek nem jelentek meg a sebezhetőséggel kapcsolatban, HD Moore úgy nyilatkozott, hogy a zenelejátszót érintő probléma még legalább 40 más alkalmazásban jelen van. Most kinyílt Pandora szelencéje, a Microsoft figyelmeztetőt jelentetett meg, majd megjelent egy sor alkalmazásspecifikus exploit is.

De miről is van szó? A Windows alapértelmezetten engedélyezi a távoli WebDAV megosztásokhoz történő hozzáférést akár böngészőn keresztül. Egy támadó így akár egy linken keresztül elcsalhatja az áldozatát egy olyan megosztásra, amely egy sebezhető alkalmazáshoz tartozó típusú fájlt tartalmaz. Ez a fájl nem tartalmaz semmilyen ártó kódot, viszont a megosztáson ott figyel még egy DLL, melynek a neve megegyezik egy, a sebezhető alkalmazás által használttal. Amennyiben a szoftver nem állítja be megfelelően a DLL keresési útját (innen ered a sebezhetőség), a támadó által összeállított, megosztáson szereplő DLL fog betöltődni az alkalmazás saját függvénykönyvtára helyett.

KB: We can't fix this one - Microsoft DLL Hijacking Exploit from Offensive Security on Vimeo.

A Exploit-DB-n eddig a következő alkalmazásokhoz jelentek meg exploitok:

• Opera
• Windows Movie Maker
• Firefox
• Office PowerPoint
• uTorrent
• Wireshark

Peter van Eeckhoutte ezeken kívül még összegyűjtött párat. Látható tehát hogy a probléma a szoftverek széles skáláját érinti.

Az NSA állítólag már 12 éve felvetette ezt a lehetőséget, és *nix rendszereken is már jó ideje ismert, hogy az LD_PRELOAD, illetve LD_LIBRARY_PATH nem megfelelő beállítása hasonló problémákhoz vezet. 

A sebezhető alkalmazások detektálására a metasploitos srácok kiadták a DllHijackAuditKitv2-t, a fejlesztőknek pedig a Microsoft összeállított egy biztonságos DLL használatra nevelő útmutatót. Üzemeltetőknek ajánlott (mint mindig) letiltani az összes Internet felé irányuló WebDAV és Windows Networking kérést, de ez még nem akadályozza meg a belső hálózatról érkező támadásokat! Jobb megoldás, ha letiltjuk a WebDAV kliens szolgáltatást, valamint a 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
Session Manager\CWDIllegalInDllSearch

registry kulcs beállításával globálisan letiltható, hogy alkalmazások az aktuális munkakönyvtárban keressék a DLL-jeiket. Ugyanez megtehető alkalmazásspecifikusan (pontosabban a futtatandó bináris neve szerint) a 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\binaryname.exe\CWDIllegalInDllSearch

kulccsal. A beállítandó értékekért és további információért a megoldási lehetőségekről látogassatok el az SRD blogra!

Sajnos a fesztiválszezonnak jórészt vége, de ezek az okosságok még azért okozhatnak fejfájást a kedves üzemeltetőknek, Dropzone felfedezései:

http://ticketpro.hu/events.php?order_by=-1 UNION ALL SELECT VERSION(),NULL,NULL,NULL,NULL,NULL,NULL

http://www.jegy.hu/articles.php?aid=-1' UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,VERSION(),NULL /*

A TicketPronak 6 napja írtam, a jegy.hu-val pedig már korábbról vannak nem túl jó tapasztalataim. Ez van, srácok!

A legfontosabb az időpont és a helyszín:

Augusztus 22., vasárnap, 19:00 - HACK, VII. Akácfa utca 51., Fogasház, első emelet. A bejárat után jobbra van egy lépcső, amin van egy hegesztett kerítés egy ajtóval, ami vagy nyitva van, vagy nem, utóbbi esetben van egy kis fekete csengő felszerelve, azzal lehet jelezni a belépési szándékot. Mi már korábban ott leszünk, be fogunk engedni.

A program akkor kezdődik, amikor jónak látjuk, a következő előadások vannak lefixálva:

• |Z| megmutatja hogyan vegyük át az irányítást egy Windows domain felett
• Gróf arra mutat megoldást, hogy mi van akkor, ha "elfelejtettük" a domain admin jelszavunkat. 
• + (legalább) egy meglepetés :)

Evés és ivás: Alapvetően mindenki hozott anyagból oldja meg ezeket a dolgokat, segítségképpen kb. 5 perc járásra van egy éjjel-nappali + a földszinten működő krimó is szívesen szolgál italokkal.

Bréking: A Biztributor ismét megszponzorálja a rendezvényt megfelelő mennyiségű söritallal, szóval biztosan nem maradunk szomjasak :) Köszönjük az újabb nagylelkű felajánlást!

Infrastruktúra: WiFi, projektor, hűtő, pingpong, csocsó, D flip-flopok

Mindenkit várunk szeretettel :)

A Kerberos protokoll mindig is a kedvenceim közé tartozott, így külön örömömre szolgál, hogy a velencei Ca'Foscari Egyetem kutatói hibát találtak a windowsos megvalósítás helyi bejelentkeztetést végző változatában, így bemutathatom magát a protokollt, valamint a vele kapcsolatos támadásokat.

Sajnos Dundika sem szeretne levelezni velem, pedig tudnék mutatni ezt-azt... Buksikutya küldte a következő szösszenetet:

http://dundika.hu/index.php?mode=s&id='

Fogadjátok szeretettel a Microsoft rekorddöntögető frissítőkeddjének összefoglalóját, majdnem ínhüvelygyulladást kaptam mire a végére értem...

Ys küldte az alábbiakat:

Átjáróház oldal, http://harashow.hu/***/

Itt meg http://harashow.hu/***/mycon.inc a root jelszó a $pass. :)

Tehát nagy valószínűséggel az összes júzernek ugyanaz a mysql jelszava,
ami a rootjelszó is egyben. Gratulálunk, Ön arany hangszórót nyert az
"üzemeltessünk biztonságtudatosan linux szervert" versenyben.

Írtam nekik levelet 5 napja, válasz nem érkezett.

0-day sebezhetőség látott napvilágot a Windows XP SP3 és újabb változataihoz (ideértve a Server 2008-t is). A win32k.sys CreateDIBPalette() metódusa helytelenül végzi a hosszellenőrzéseket, ezért a BITMAPINFOHADER adatsruktúrák biClrUsed adattagjának értékét 256-nél nagyobbra állítva heap tulcsordulást lehet előidézni a GetClipboardData() API híváson keresztül. A megjelent exploit kékhalált okoz az érintett rendszereken, de elméletilg kiegészthető jogosultságkiterjesztést eredményező kóddá is. A Microsoft egyelőre vizsgálódik az esettel kapcsolatban.

Charlie Miller a BlackHat-en prezentált, a fuzzing módszerekkel gyűjtött adatok szűréséről szóló előadásában (elég érdekes btw) egy eddig ismeretlen Adobe Reader sebezhetőséget mutatott be: A PDF olvasó 9-es főverziójának CoolType.dll fájljában definiált egyik metódusban integer túlcsordulás történik, ha a TrueType betűkészletek Maximum Profile táblájában található maxCompositePoints mező értékét túlzottan magasra állítják. 

Bár támadásokról egyelőre nincs hír, az Adobe rendkívüli frissítést tervez kiadni a szoftver windowsos, maces és UNIX-os vátozataihoz, mivel félő, hogy a fenti információk alapján rosszindulatú felek is reprodukálhatják a problémát (jóhogy...), melyet aztán különböző malware-eken keresztül használhatnak ki.

"Békével jöttünk", mondták az Új Világ meghódítói.

"Békével jöttünk", mondják a kormányok, amikor kolonizálják, szabályozzák és militarizálják az új digitális világot.

"Békével jöttünk", mondják az országméretű vállalatok, akik pénzt akarnak csinálni a Hálózatból, és hozzáláncolják felhasználóikat az általuk készített csilivili eszközökhöz.

"Békével jöttünk", mondjuk mi hackerek és kockák, mikor nekivágunk a való világnak, hogy megváltoztassuk azt, mert már beférkőzött természetes közegünkbe, a kibertérbe is. Ismerjük meg egymás tisztán békés szándékait az idei Chaos Communication Congressen, melyet december 27-30. között, hétfőtől csütörtökig tartunk Berlinben.

A tavalyi élményeken felbuzdulva ismét elzarándoklunk a Föld talán legnagyobb múltra visszatekintő hackerkonferenciájára. Ha csatlakoznál hozzánk, jelentkezz a jobb oldali kontakt linkeken keresztül, vagy a HACK bármelyik kommunikációs csatornáján!

A kemény mag számára érdekes lehet a most kiírt CFP is, jó lenne, ha idén magyarokat is látnánk az előadók között!

Mikor már azt hittem, hogy végleg dugába dőlt a villámelőadásokkal egybekötött Buhera Sörözés ötlete, a kemény mag megmentette a helyzetet! Hosszas egyeztetés után legalkalmasabbnak augusztus 22-e, vasárnap* tűnik, ezt nyugodtan írja be mindenki a naptárba! A helyszín valószínűleg a H.A.C.K. lesz, bár ez még egyeztetés alatt van. Az időpont közeledtével egy másik posztban közlöm majd a pontos részleteket.

Természetesen ha valaki időközben kedvet kap egy kisebb közönség előtti dumáláshoz, az jelentkezzen bátran, találunk neki helyet :)

* igen, tudom, másnap munka, de ennél jobb lehetőség nem adódott

Megszületett az idei Pwnies végeredménye:

• Legjobb szerver-oldali hiba: Apache Struts2 keretrendszer távoli kódfuttatás - futtass tetszőleges, akeretrendszert használó alkalmazáson keresztül saját kódot egyetlen HTTP kéréssel!
• Legjobb  kliens-oldali hiba: Java megbízható metódus láncolás - amely csak utólag került be a jelöltek közé, de a Java biztonsági modelljének feje tetejére állítása tényleg megér egy pónit! 
• Legjobb jogosultságkiterjesztés: Windows #GP trap handler - Itt azt hiszem, nem szükséges magyarázat.
• Leginnovatívabb kutatás: Flash mutatók kikövetkeztetése és JIT spraying - ASLR és DEP megkerülés a Flash virtuális gépén keresztül
• Legbénább gyártói válasz: LANrev távoli kódfuttatás - Nyissuk meg a gyerekeink webkameráit a pedofilok előtt, aztán bagatelizáljuk el a problémát, brávó!
• Legeposzibb bukás : (bocs1: hülye fordítás; bocs2: ez kimaradt az előző posztból) XSS az IE8 XSS szűrőjének segítségével - A kimenet kódolása ebben az esetben nem úgy sült el ahogy szerették volna, biztonsági szoftverek biztonsági rései kihazsnálni pedig mindig szívmelengető élmény.
• A Legjobb dal a Pwned - 1337 edition lett a Sophsec előadásában

Szolgálati közlemény: néhány napra elmegyek erdélyi pálinkákat kóstolgatni, jövő héten jövök, addig olvasgassátok a Leginnovatívabb kutatás kategória jelöltjeit!

Elkezdődött az idei Black Hat, juhé! Az alső napon Barnaby Jack, az IOActive szakértője olyan módszereket mutatott be, melyekkel teljesen átvehető az írányítás bizonyos ATM-ek fölött. A dolog iróniája, hogy míg ezt és a hasonló - eddig kivétel nélkül lefújt - előadásokat hatalmas sajtóérdeklődés kísért bemutatásuk előtt, most, hogy az előadás lezajlott, valószínűleg elcsendesednek a dolgok: részleteket a támadásokkal kapcsolatban ugyanis nem tudhattak meg a konferencia résztvevői sem.

Annyi biztos, hogy a pénzkiadó automaták is ugyanúgy támadhatók, mint bármilyen másik számítógép. Jack egy helyi és egy távoli támadást mutatott be Windows CE-t futtató ATM-ekkel szemben. Az első esetben egy interneten megvásárolható kulccsal fért hozzá a gép operációs rendszeréhez, a második esetben a firmware frissítések hitelesítésének egy hibájával sikerült átvennie az irányítást az automaták felett. Egy rootkitet telepítve ezután lehetővé vált az adminisztrátori jelszavak, és a gépbe táplált PIN kódok kinyerése, valamint távolról pénzkiadásra is lehetett utasítani a gépeket - ami ugyan látványos lehetett, de a fentieket figyelembe véve nem egy meglepő fordulat.

A szakértő szerint - ugyan a konferencián bemutatott két modell szoftverét azóta befoltozták - bármilyen internetre vagy telefonhálózatra kötött ATM hasonlóan támadható, mivel a gyártók nem követnek semmilyen biztonságos szoftver létrejöttét elősegítő fejlesztési módszertant. Az ATM-ek távolról wardialinggal vagy speciális IP szkenneléssel találhatók meg.

Hiába, a pénzkiadó automaták is csak egyszerű számítógépek.

Az alábbiakban olvashatjátok az idei Pwnie Awards jelöltjeinek listáját. A linkek a blogon megjelent korábbi bejegyzésekre mutatnak, ahol lehet. Részletesebb információkért érdemes átnézni az eredeti oldalt is. Továbbá külön szeretném felhívni a figyelmet a "Leginnovatívabb kutatás" címre jelölt anyagokra, amiket biztosan érdemes elolvasgatni!

Legjobb szerveroldali hiba

A Hacktivity szervezői maximum 4 fős, céges csapatok jelentkezését várják a konferencia ideje alatt rendezendő Capture the Flag játékra. A feladatra jelentkező csapatoknak tíz órájuk lesz - a hagyományos wargame-től szeparált hálózatban - távolról megszerezni az irányítást néhány számítógép fölött, melyek a gyakorlatban is előforduló, sebezhető konfigurációkkal lesznek ellátva. 

A jelentkezéseket az info kukac hacktivityhu-ra küldjétek augusztus 8-ig!

Az első posztomban, melyben az új Windows 0-day fenyegetettségről írtam, említés szintjén szerepelt, hogy a sebezhetőséget kihasználó Stuxnet kártevő a fertőzött gépekről SCADA - legtöbbször ipari berendezések megfigyelésére és irányítására használt - rendszerekhez is megpróbál hozzáférni. 

Stef hívta fel a figyelmemet a Wired cikkére, mely szerint a rosszindulatú kód egy rég óta nyilvános, a Siemens WinCC rendszerébe drótozott jelszóval (2WSXcder) próbál hozzáférni a környékén lévő SQL szerverekhez. Több fórumbejegyzés szerint, ha megpróbálják megváltoztatni ezt a jelszót, a rendszer működésképtelenné válik, így ezeknek az általában kritikus feladatot ellátó rendszereknek a védelmét gyakorlatilag egyedül a hálózat egyéb részeitől történő leválasztás szolgálhatja. Naivitás azonban azt gondolni, hogy ezt a fajta szeparációt minden esetben sikerült megfelelően megvalósítani - már ha egyáltalán törekednek erre az üzemeltetők.

A Wired megszólaltatta Joe Weiss-t is, aki az ipari vezérlőrendszerek védelmének szakértője: állítása szerint nem csak a Siemens esetében beszélhetünk ilyen potenciálisan veszélyes gyakorlatról, a hasonló megoldások szállítóinak több mint fele szintén alkamaz szofverbe kódolt jelszavakat.

Nem túl szívderítő ilyeneket olvasni olyan rendszerekkel kapcsolatban, melyeken keresztül néhány gomb megnyomásával akár közvetlen életveszély is okozható.