Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Hírek - 2012/26. hét

2012.07.08. 23:17 | buherator | 5 komment

Microsoft és Zeus

A Microsoft nyilvánosságra hozott két nevet: Yevhen Kulibaba és Yuriy Konovalenko állítólag a Zeus botnet üzemeltetői. A két úriember egyébként már amúgy is börtönben ül a Zeus miatt. Még márciusban a Microsoftnak hathatós külső segítséggel sikerült bevinnie  egy mélyütést a botnetnek, az ugyanekkor indított perben azonban az akkori kereset még csak művésznevükön szólította a gyanúsítottakat, akik összesen mintegy negyvenen vannak. A Zeus és variánsai becslések szerint 13 millió pc-t fertőztek meg és eddig mintegy 100 millió dollárt lopkodtak össze a segítségével, de a bevételeket a kártevő "programcsomagként" történő árusítása is növelte. A bűnözői  kör további tagjait nagy erőkkel, nemzetközi összefogással keresik. 

Bíróság előtt a TeaMp0isoN vezetője

A TeaMp0isoN nevű kiddicsapatról idén már hallottunk egyszer , akkor T-Mobile-os jelszavakat varázsoltak ki SQL injection-nel. Most a csapat állítólagos vezetője kénytelen szembesülni törögetés árnyoldalaival. Junaid Hussain, avagy TriCK (akkor még a 17 évesek lelkesedésével) a korábbi brit miniszterelnök, Tony Blair GMail accountjának tartalmát lovasította meg tavaly az elnök egyik tanácsadója hozzáférésének segítségével. Hussain azt is elismerte, hogy ők voltak azok, akik hívások százaival trollkodták meg brit nemzeti anti-terrorista forródrótot.

iOS trójai

A Kaspersky szakértői egy, az Apple App Store-ból elérhető rosszindulatú trójai alkalmazásról számoltak be. Az alkalmazás a felhasználók tudta és beleegyezése nélkül elküldi a futtató készülék címjegyzékét egy távoli szerverre, ami később az így begyűjtött adatok alapján az alkalmazás kéretlen propagálásába (értsd: spam) kezd. Hasonló programok jelenléte Andoridon (melyre a szóban forgó alkalmazás szintén elérhető) már teljesen megszokott, eddig azonban az Apple szigorú jóváhagyási folyamata illetve a kötelező kód aláírás nem nagyon engedett teret a rosszalkodásnak. Meg kell jegyezni ugyanakkor, hogy a trójai programok esetén hajszálvékony a határ a felhasználó által bután jóváhagyott illetve a ténylegesen ártó szándékkal készült funkcionalitás között. A gyártó egy programhibára hivatkozva próbálja hárítani a felelősséget, az alkalmazás idő közben lekerült az App Store illetve a Play kínálatából.

Gyanús Comodo 

Comodo ügyfélnek lenni izgalmas lehet. A legújabb hír az, hogy az ocsp.comodoca.com-ot a McAfee és maga a Comodo URL szűrő szolgáltatása is "gyanúsnak" minősítette. Bár incidens most éppen valószínűleg nem történt, a cég hivatalos oldalának HTTPS felülete is ezt az érintett URL-t adja meg a visszavonási információk lekérdezéséhez, ami PR szempontól finoman szólva szuboptimális.

A Cyberoam és a PKI

Érdekes megoldásra hívták fel a figyelmet a Tor Project szakértői a Cyberoam egyes DPI eszközeivel kapcsolatban, miután egy figyelmes Tor felhasználó gyanús hibaüzeneteket vett észre a projekt weboldalának böngészésekor. Mint kiderült, a gyártó minden eszközre azonos CA tanúsítványt, vagyis azonos privát kulcsot telepít, melyet az átmenő SSL/TLS forgalom analizálásához használ. Ebből az következik, hogy egy érintett Cyberoam eszközzel rendelkező támadó meg tud fejteni minden titkosított forgalmat, ami a termék felhasználói és a DPI eszközök között közlekedik. A gyártó azzal védekezik, hogy az eszközökből a titkos kulcs triviálisan nem nyerhető ki, a hardveres védelem pontos szintjét azonban nem tisztázzák, ezen kívül elképzelhető, hogy az érzékeny információk kiszivárgásához elég, ha egy lehallgatott adatfolyamot egy saját eszközön keresztül egyszerűen visszajátszunk. A magam részéről minden esetre többet várnék egy biztonsággal foglalkozó gyártótól.

Friss: A privát kulcsot nem volt nehéz kinyerni, a Cyberoam gyorsjavítást ad ki, ami egyedi kulcsot fog generálni minden eszközön.

Címkék: microsoft hírek bukta malware zeus comodo pki ios teampoison cyberoam

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

jvertes 2012.07.11. 18:37:07

A Cyberoam (illtve Sicontact) e témában ma kiadott sajtóanyaga:

Cyberoam frissítés: egyedi kulcsok minden eszközhöz
 
 
 
A Tor Project szakértői a Cyberoam egyes DPI (Deep Scan Inspection) eszközeivel kapcsolatban észrevételezték, hogy a gyártó minden eszközre azonos CA tanúsítványt, vagyis azonos privát kulcsot telepít, melyet az átmenő SSL/TLS forgalom analizálásához használ. Úgy ítélték meg, hogy ez biztonsági kockázatot jelent, amire a Cyberoam szakértői azonnal reagáltak, kiadtak egy OTA (over-the-air) hotfixet, ami lefuttat egy parancsot, s ennek eredménye egy egyedi CA tanusítvány minden eszközre.
 
A korábbi megoldást a Cyberoam az alábbi megfontolások alapján választotta:
 
HTTPS Deep Scan Inspection az SSL Bridging Technology szerint működik. Az SSL Bridging-ben a Cyberoam készüléke saját tanúsítványt biztosít a felhasználónak, amíg a kliens és a szerver között létrehozza a kapcsolatot. Ennélfogva a Cyberoam az SSL forgalmat is át tudja kutatni vírusok után. Ez az egyetlen törvényesen elfogadható megközelítés, amellyel a hálózat biztonsági forgalmazói nyomon követhetik a felhasználókat. A TOR szintén hasonlóan működik. Az alapbeállítás alapján egy tanúsítványt küld el a rendszer, amely ugyanaz marad minden készülék esetén.
 
A publikus és privát kulcsok zár és kulcs mechanizmus alapján működnek, ahol a zár (publikus kulcs) állandó, míg a kulcsok (privát kulcs) különbözőek. Ez alapján elméletben lehetséges dekódolni SSL adatot egy privát tolvajkulccsal. A Cyberoam UTM nem engedélyezi a korábban említett privát kulcs importálását vagy exportálását az SSL Bridging technológiába.
 
A Cyberoam UTM elfogadja vagy elutasítja. de nem tárolja a HTTPS Deep Scan Inspection adatokat, mivel a feldolgozás valós időben történik. Ennélfogva két Cyberoam készülék közötti adat-lehallgatásnak a valószínűsége egyenlő a nullával.
 
 
Mindezen technológiai megfontolások mellett – mivel a Cyberoam elsődlegesnek tekinti ügyfelei biztonságát - ha a legkisebb jel mutat arra, hogy valamilyen megoldás biztonsági rést rejt magában, akkor azt megfontolják, s ha van rá mód, más megoldás mellett döntenek. Ennek jegyében 24 órán belül a Cyberoam kiadott egy OTA (over-the-air) hotfixet, ami lefuttat egy parancsot, s ez az eszközein  egy egyedi CA tanúsítványt generál. A Cyberoam UTM eszközökkel rendelkező ügyfelek értesítést kapnak a parancs végrehajtásáról az eszköz kezelőfelületén. Ha az ügyfél nem lát ilyen típusú jelzést a kezelőfelületen, akkor kézzel kell lecserélni a CA tanúsítványt a CLI-n (Command Line Interface) keresztül.
 
Figyelembe véve az ügyfelek tájékozatlanságát a helyzettel kapcsolatban, a Cyberoam egy update segítségével kényszerítette az egyedi kulcsok generálását. Ezáltal már minden egyes Cyberoam UTM egyedi CA-t használ, biztosítva ezzel ügyfelei maximális védelmét, még akkor is ha a privát kulcs szándékosan vagy véletlenül nyilvánosságra került.
 
A Cyberoam továbbra is tájékoztatja az ügyfeleit arról, hogy milyen biztonsági kockázatokra kell odafigyelniük azért, hogy a számítógépeiket folyamatos biztonságban tartsák.
 
Minden ügyfél - ahol ez a csere már megtörtént - egyedi kulccsal rendelkezik, ami az eszközre nézve egyedi és amiről sehol máshol nem létezik másolat, még a Cyberoamnál sem. Miután az ügyfél lecserélte az alap CA tanúsítványát, az UTM eszköz többé nem fogja használni azt az SSL-en keresztül küldött csomagok átvizsgálásra.
 
„Az azonnal változtatás (a frissítéssel kiküldött egyedi CA tanúsítvány generálása) rögtön egy sokkal biztonságosabb besorolásba helyezte a Cyberoam eszközeit, mint a piacon fellelhető több hasonló UTM eszköz, hiszen azok az eszközök is egy alap CA tanúsítvánnyal kerülnek ki az  ügyfelekhez, ezáltal hasonló veszélynek vannak kitéve, miközben a HTTPS-en keresztül érkező csomagokat vizsgálják.” – kommentálta az esetet Béres Péter, a Cyberoam magyarországi képviseletét ellátó Sicontact szakértője. „Szerintem az iparágnak szüksége van az azonnali reagálásra az ilyen esetekben, hogy a nagyobb válság elkerülhető legyen, így úgy vélem, hogy a TOR kutatóinak köszönet jár azért, hogy felhívták a figyelmet erre a veszélyte".

buherator · http://buhera.blog.hu 2012.07.11. 18:54:32

@jvertes: Akkor itt is jelezném, hogy őszintén örülök annak, hogy az érintett gyártó képviselői is olvassák a blogot, a spam moderálásától ezért eltekintek.

Meg kell jegyeznem ugyanakkor, hogy az alábbi állítás értelmetlen és hamis: "A Cyberoam UTM elfogadja vagy elutasítja. de nem tárolja a HTTPS Deep Scan Inspection adatokat, mivel a feldolgozás valós időben történik. Ennélfogva két Cyberoam készülék közötti adat-lehallgatásnak a valószínűsége egyenlő a nullával."

A hálózati forgalom lehallgathatósága nem áll összefüggésben azzal, hogy az UTM eszköz mit csinál helyben az átmenő adatokkal, másrészt az eredeti figyelmeztető nem arról szólt, hogy két Cyberoam eszköz között mi történik. A probléma az, hogy az UTM mögött ülő felhasználó forgalma válik megismerhetővé (és módosíthatóvá), ha egy támadó megfigyeli/beékelődik az UTM és az áldozat közötti hálózati útvonalba. Innentől fogva pedig a lehallgatás (és módosítás) nagyon is lehetséges, főleg mióta a kérdéses privát kulcs felkerült az internetre is.

Abban pedig erősen kételkedem, hogy más gyártók is ugyanezt a példát követnék, ez ugyanis azt jelenteni, hogy egyikük sincs tisztában a PKI alapjaival.

boldii 2012.07.11. 19:36:12

Hát igen, ha hirtelen sokkal nagyobb lett a biztonság, akkor eredetileg miért nem a hirtelen nagyobb biztonságot árulták? Persze tévedni szabad, és sajnos nem egyedi eset.

jvertes 2012.07.12. 09:07:16

@boldii: az IT-világ a hotfixeken keresztül válik nap-mint-nap biztonságoSABBá, de sohasem mondható el - egyetlen eszközről, szoftverről sem - hogy az a mai állapotában már 100%-osan biztonságos...
A cégek között számomra az a biztonságos, aki gyorsan reagál!

boldii 2012.07.12. 10:29:32

Ezzel az indoklással azért vigyázni kell, mert gonosz énem erre azt válaszolja, hogy nyilván olvasta a Cyberoam is a hasonló www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1477 2009-es hibát, és ezek szerint a gyors reagálás 3 év :)
(Valószínűleg van régebbi hasonló is)

De értem a dolgot természetesen.

Tetszett a bejegyzés? Kövesd a blogot!

blog.hu