Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc


GnuTLS vs. SSL - GOTO cleanup

2014.03.04. 22:52 | buherator | 3 komment

Ha nem látom a saját szememmel, nem hiszem el: az Apple fiaskója után kiderült, hogy a nyílt forrású alkalmazások százai által használt GnuTLS könyvtár is tartalmazott egy ránézésra hasonló, lényegében azonos hatású (köszönj el a tanúsítvány hitelesítéstől), bár…

Címkék: ssl tls fail gnutls

Megjött az OS X #gotofail folt és még sok fontos hibajavítás

2014.02.26. 09:31 | buherator | Szólj hozzá!

Az Apple nagy nehezen kiadta a foltot a GOTO fail problémára. A frissítés az SSL kezelés mellett számos távoli kódfuttatásra illetve sandbox-kitörésre alkalmas problémát javít.  A frissítés telepítése után sokan SSL gondokra panaszkodnak, a konteógyártást mindenkire…

Címkék: apple ssl patch os x gotofail

Apple vs. SSL - GOTO fail;

2014.02.22. 12:14 | buherator | 14 komment

Az Apple ma kiadott iOS frissítésében (7.0.6, 6.1.6) egy különösen veszélyes problémát javított a készülékekkel szállított SSL könyvtárban. Úgy tűnik, Stefan Essernek sikerült megtalálnia a problémát okozó kódrészletet, amivel az Apple előkelő pozícióra tett szert a…

Címkék: apple ssl os x fail ios

NSA útközben

2013.09.14. 13:27 | buherator | 2 komment

A legújabb hírek az NSA-el kapcsolatban sajnos még mindig nagyon kevés konkrétumot tartalmaznak (ideje lenne, hogy valaki végre tényleg kiszivárogtassa a kiszivárgott dokumentumokat...), de talán egy lépéssel közelebb visznek a megfejtéshez NSA és a TLS viszonyában. A legutóbbi, a…

Címkék: ssl nsa kriptográfia tls

TLS helyzetjelentés

2013.03.28. 10:44 | buherator | 1 komment

Rég volt szó minden online tranzakciók védőszentjéről, a TLS-ről, pedig történt pár dolog az elmúlt hónapokban - ezer bocs, mostanában viszonylag kevés időm/energiám van kriptó pépöröket értelmezni. Mindenek előtt egy kis múltidézés: Kb. másfél éve jött ki Rizzo-Duong…

Címkék: ssl beast kriptográfia crime tls rc4 lucky 13

Frissítőkedd - 2013. január

2013.01.08. 21:03 | buherator | Szólj hozzá!

Microsoft MS13-001: Erős darabbal indul az új év: a sokak szívében kiemelt helyet elfoglaló Printer Spooler szolgáltatás hibája lényegében a nyomtatási sorok "megfertőzését" teszi lehetővé: egy nomtatási joggal rendelkező felhasználó olyan feladatokat hozhat létre a nyomtató…

Címkék: microsoft ssl patch nvidia .net xss tls moinmoin

Az SSL nehéz

2012.10.28. 10:08 | buherator | 4 komment

A Stanfordi és Texasi egyetemek kutatói közzétettek egy érdekes tanulmányt a különböző SSL/TLS-t alkalmazó könyvtárak, middleware-ek és SDK-k minőségéről. Ezeket a komponenseket számos érzékeny adatot kezelő alkalmazásban megtaláljuk, találkozhatunk velük például banki…

Címkék: ssl java php programozás amazon apache aim tls oscommerce ubercart curl andorid zencart prestashop jsse

Hírek - 2012/6. hét

2012.02.12. 15:00 | buherator | 4 komment

Irán blokkolja az titkosított forgalmakat Iráni netezők az elmúlt héten a forgalomblokkolás jelentős növekedéséről számoltak be. A hírek szerint az állami kontroll alatt álló szolgáltatók félbeszkítják a népszerű külföldi kommunikációs szolgáltatásokhoz - pl. Facebook,…

Címkék: microsoft google hírek ssl privacy cenzúra adobe irán debian chrome sandbox novell flash player chromium os convergence

Microsoft frissítőkedd - 2012. január

2012.01.11. 11:59 | buherator | Szólj hozzá!

Az év első fekete keddjén a Microsoft nem gurított különösen nagyot - az igazán félelmetes .NET sebezhetőséget még decemberben kivégezték.MS12-001: Windows XP SP3-on kívül minden támogatott operációsrendszer verzióban javítani kellett egy SafeSEH "megkerülésre"…

Címkék: microsoft windows ssl patch beast xss tls windows media player visual studio csrss clickonce safeseh antixss

SSL DoS eszköz a THC-től

2011.10.26. 15:44 | buherator | 1 komment

A The Hackers Choice nyilvánosságra hozta SSL DoS eszközét (TLS-el is működik), amely a titkosított kapcsolatok létrehozásakor a csatlakozó kliens és a szerver között fellépő számításigénybeli aránytalanságokra épül. A THC szerint egy átlagos kiszolgáló nagyjából 300…

Címkék: ssl thc dos tls ddos

Régi-új SSL/TLS támadás

2011.09.26. 12:29 | buherator | Szólj hozzá!

Sajnos úgy érzem, nem lehet tovább halogatni, hogy a Julian Rizzo és Thai Duong által helyi idő szerint pénteken, az argentín Ekoparty konferencián prezentált SSL/TLS támadásról írjak, annak ellenére, hogy még mindig nem tudni pontosan, mit is hozott össze a két kutató. Minden…

Címkék: ssl beast kriptográfia tls ekoparty julian rizzo thai duong

Újjászületett X.509 ellenőrzési probléma iOS-en

2011.07.28. 12:07 | buherator | 2 komment

Az iOS 4.3.5-ös illetve 4.2.10-es verzóiban egy olyan X.509 tanúsítványok kezelésével kapcsolatos problémát javítottak, melynek első változatát kilenc éve az Internet Explorerrel kapcsolatban fedezte fel Moxie Marlinspike. A probléma oka, hogy az operációs rendszer…

Címkék: ssl patch ios x.509

Kompromittált Comodo CA tanúsítványok - Frissítve!

2011.03.23. 14:49 | buherator | 13 komment

Az alábbi eset valószínűleg be fog vonulni a tankönyvekbe, mint remek példa a hagyományos PKI gyengeségeire.Az történt, hogy illetéktelenek valamilyen módon hozzájutottak kilenc, a Comodo CA által kibocsátott tanúsítvány kulcshoz, melyek segítségével megszemélyesíthető…

Címkék: ssl incidens comodo pki crl ocsp

A webmail és a CA-k

2010.04.18. 19:03 | buherator | 5 komment

Ez tényleg fáj:Kurt Seifried rájött, hogy a RapidSSL (és minden bizonnyal még néhány "jónevű" CA) pusztán egy (tipikusan ssladmin@ kezdetű) e-mail cím meglétéhez köti az SSL tanúsítványok kibocsátását, ami ingyenes webmail szolgáltatók esetében nem túl szigorú…

Címkék: ssl freemail webmail citromail indamail mailbox

DeepSec CfP

2009.03.31. 08:20 | buherator | Szólj hozzá!

November közepén kerül megrendezésre Bécsben a harmadik DeepSec IT-biztonsági konferencia, melyre megkezdődött az előadástémák összegyűjtése. A javaslatokat július 15-ig várják. További részletek a közleményben. Reméljük hamarosan sikerül egy rendes SSL tanúsítványt is…

Címkék: ssl esemény cfp deepsec

Moxie és az SSL

2009.02.19. 22:45 | buherator | 11 komment

Nos dióhéjban nézzük, miről is beszél Moxie Marlinspike:Tanúsítvány láncolásA PKI rendszerek bizonyos szint fölött definíció szerint a bizalmon alapulnak. Bár egy weboldal tanústványát kiállító entitásról általában egy másik hitelesítő intézmény kezeskedik, a lánc…

Címkék: ssl blackhat moxie marlinspike

Még mindig nem törték meg az SSL-t...

2009.02.19. 16:58 | buherator | 17 komment

Nincs sok időm írni, de annyit gyorsan elmondok, hogy ez a cikk az ITCafé-n (amit feltehetően az Index is át fog venni néhány órán belül) teljes egészében hülyeség, félrevezetés és hazugság!Moxie Marlinspike kidolgozott néhány valóban figyelemreméltó trükköt az SSL-lel…

Címkék: ssl hülyeség itcafe