Microsoft és Zeus
A Microsoft nyilvánosságra hozott két nevet: Yevhen Kulibaba és Yuriy Konovalenko állítólag a Zeus botnet üzemeltetői. A két úriember egyébként már amúgy is börtönben ül a Zeus miatt. Még márciusban a Microsoftnak hathatós külső segítséggel sikerült bevinnie egy mélyütést a botnetnek, az ugyanekkor indított perben azonban az akkori kereset még csak művésznevükön szólította a gyanúsítottakat, akik összesen mintegy negyvenen vannak. A Zeus és variánsai becslések szerint 13 millió pc-t fertőztek meg és eddig mintegy 100 millió dollárt lopkodtak össze a segítségével, de a bevételeket a kártevő "programcsomagként" történő árusítása is növelte. A bűnözői kör további tagjait nagy erőkkel, nemzetközi összefogással keresik.
Bíróság előtt a TeaMp0isoN vezetője
A TeaMp0isoN nevű kiddicsapatról idén már hallottunk egyszer , akkor T-Mobile-os jelszavakat varázsoltak ki SQL injection-nel. Most a csapat állítólagos vezetője kénytelen szembesülni törögetés árnyoldalaival. Junaid Hussain, avagy TriCK (akkor még a 17 évesek lelkesedésével) a korábbi brit miniszterelnök, Tony Blair GMail accountjának tartalmát lovasította meg tavaly az elnök egyik tanácsadója hozzáférésének segítségével. Hussain azt is elismerte, hogy ők voltak azok, akik hívások százaival trollkodták meg brit nemzeti anti-terrorista forródrótot.
iOS trójai
A Kaspersky szakértői egy, az Apple App Store-ból elérhető rosszindulatú trójai alkalmazásról számoltak be. Az alkalmazás a felhasználók tudta és beleegyezése nélkül elküldi a futtató készülék címjegyzékét egy távoli szerverre, ami később az így begyűjtött adatok alapján az alkalmazás kéretlen propagálásába (értsd: spam) kezd. Hasonló programok jelenléte Andoridon (melyre a szóban forgó alkalmazás szintén elérhető) már teljesen megszokott, eddig azonban az Apple szigorú jóváhagyási folyamata illetve a kötelező kód aláírás nem nagyon engedett teret a rosszalkodásnak. Meg kell jegyezni ugyanakkor, hogy a trójai programok esetén hajszálvékony a határ a felhasználó által bután jóváhagyott illetve a ténylegesen ártó szándékkal készült funkcionalitás között. A gyártó egy programhibára hivatkozva próbálja hárítani a felelősséget, az alkalmazás idő közben lekerült az App Store illetve a Play kínálatából.
Gyanús Comodo
Comodo ügyfélnek lenni izgalmas lehet. A legújabb hír az, hogy az ocsp.comodoca.com-ot a McAfee és maga a Comodo URL szűrő szolgáltatása is "gyanúsnak" minősítette. Bár incidens most éppen valószínűleg nem történt, a cég hivatalos oldalának HTTPS felülete is ezt az érintett URL-t adja meg a visszavonási információk lekérdezéséhez, ami PR szempontól finoman szólva szuboptimális.
A Cyberoam és a PKI
Érdekes megoldásra hívták fel a figyelmet a Tor Project szakértői a Cyberoam egyes DPI eszközeivel kapcsolatban, miután egy figyelmes Tor felhasználó gyanús hibaüzeneteket vett észre a projekt weboldalának böngészésekor. Mint kiderült, a gyártó minden eszközre azonos CA tanúsítványt, vagyis azonos privát kulcsot telepít, melyet az átmenő SSL/TLS forgalom analizálásához használ. Ebből az következik, hogy egy érintett Cyberoam eszközzel rendelkező támadó meg tud fejteni minden titkosított forgalmat, ami a termék felhasználói és a DPI eszközök között közlekedik. A gyártó azzal védekezik, hogy az eszközökből a titkos kulcs triviálisan nem nyerhető ki, a hardveres védelem pontos szintjét azonban nem tisztázzák, ezen kívül elképzelhető, hogy az érzékeny információk kiszivárgásához elég, ha egy lehallgatott adatfolyamot egy saját eszközön keresztül egyszerűen visszajátszunk. A magam részéről minden esetre többet várnék egy biztonsággal foglalkozó gyártótól.
Friss: A privát kulcsot nem volt nehéz kinyerni, a Cyberoam gyorsjavítást ad ki, ami egyedi kulcsot fog generálni minden eszközön.
jvertes 2012.07.11. 18:37:07
Cyberoam frissítés: egyedi kulcsok minden eszközhöz
A Tor Project szakértői a Cyberoam egyes DPI (Deep Scan Inspection) eszközeivel kapcsolatban észrevételezték, hogy a gyártó minden eszközre azonos CA tanúsítványt, vagyis azonos privát kulcsot telepít, melyet az átmenő SSL/TLS forgalom analizálásához használ. Úgy ítélték meg, hogy ez biztonsági kockázatot jelent, amire a Cyberoam szakértői azonnal reagáltak, kiadtak egy OTA (over-the-air) hotfixet, ami lefuttat egy parancsot, s ennek eredménye egy egyedi CA tanusítvány minden eszközre.
A korábbi megoldást a Cyberoam az alábbi megfontolások alapján választotta:
HTTPS Deep Scan Inspection az SSL Bridging Technology szerint működik. Az SSL Bridging-ben a Cyberoam készüléke saját tanúsítványt biztosít a felhasználónak, amíg a kliens és a szerver között létrehozza a kapcsolatot. Ennélfogva a Cyberoam az SSL forgalmat is át tudja kutatni vírusok után. Ez az egyetlen törvényesen elfogadható megközelítés, amellyel a hálózat biztonsági forgalmazói nyomon követhetik a felhasználókat. A TOR szintén hasonlóan működik. Az alapbeállítás alapján egy tanúsítványt küld el a rendszer, amely ugyanaz marad minden készülék esetén.
A publikus és privát kulcsok zár és kulcs mechanizmus alapján működnek, ahol a zár (publikus kulcs) állandó, míg a kulcsok (privát kulcs) különbözőek. Ez alapján elméletben lehetséges dekódolni SSL adatot egy privát tolvajkulccsal. A Cyberoam UTM nem engedélyezi a korábban említett privát kulcs importálását vagy exportálását az SSL Bridging technológiába.
A Cyberoam UTM elfogadja vagy elutasítja. de nem tárolja a HTTPS Deep Scan Inspection adatokat, mivel a feldolgozás valós időben történik. Ennélfogva két Cyberoam készülék közötti adat-lehallgatásnak a valószínűsége egyenlő a nullával.
Mindezen technológiai megfontolások mellett – mivel a Cyberoam elsődlegesnek tekinti ügyfelei biztonságát - ha a legkisebb jel mutat arra, hogy valamilyen megoldás biztonsági rést rejt magában, akkor azt megfontolják, s ha van rá mód, más megoldás mellett döntenek. Ennek jegyében 24 órán belül a Cyberoam kiadott egy OTA (over-the-air) hotfixet, ami lefuttat egy parancsot, s ez az eszközein egy egyedi CA tanúsítványt generál. A Cyberoam UTM eszközökkel rendelkező ügyfelek értesítést kapnak a parancs végrehajtásáról az eszköz kezelőfelületén. Ha az ügyfél nem lát ilyen típusú jelzést a kezelőfelületen, akkor kézzel kell lecserélni a CA tanúsítványt a CLI-n (Command Line Interface) keresztül.
Figyelembe véve az ügyfelek tájékozatlanságát a helyzettel kapcsolatban, a Cyberoam egy update segítségével kényszerítette az egyedi kulcsok generálását. Ezáltal már minden egyes Cyberoam UTM egyedi CA-t használ, biztosítva ezzel ügyfelei maximális védelmét, még akkor is ha a privát kulcs szándékosan vagy véletlenül nyilvánosságra került.
A Cyberoam továbbra is tájékoztatja az ügyfeleit arról, hogy milyen biztonsági kockázatokra kell odafigyelniük azért, hogy a számítógépeiket folyamatos biztonságban tartsák.
Minden ügyfél - ahol ez a csere már megtörtént - egyedi kulccsal rendelkezik, ami az eszközre nézve egyedi és amiről sehol máshol nem létezik másolat, még a Cyberoamnál sem. Miután az ügyfél lecserélte az alap CA tanúsítványát, az UTM eszköz többé nem fogja használni azt az SSL-en keresztül küldött csomagok átvizsgálásra.
„Az azonnal változtatás (a frissítéssel kiküldött egyedi CA tanúsítvány generálása) rögtön egy sokkal biztonságosabb besorolásba helyezte a Cyberoam eszközeit, mint a piacon fellelhető több hasonló UTM eszköz, hiszen azok az eszközök is egy alap CA tanúsítvánnyal kerülnek ki az ügyfelekhez, ezáltal hasonló veszélynek vannak kitéve, miközben a HTTPS-en keresztül érkező csomagokat vizsgálják.” – kommentálta az esetet Béres Péter, a Cyberoam magyarországi képviseletét ellátó Sicontact szakértője. „Szerintem az iparágnak szüksége van az azonnali reagálásra az ilyen esetekben, hogy a nagyobb válság elkerülhető legyen, így úgy vélem, hogy a TOR kutatóinak köszönet jár azért, hogy felhívták a figyelmet erre a veszélyte".
buherator · http://buhera.blog.hu 2012.07.11. 18:54:32
Meg kell jegyeznem ugyanakkor, hogy az alábbi állítás értelmetlen és hamis: "A Cyberoam UTM elfogadja vagy elutasítja. de nem tárolja a HTTPS Deep Scan Inspection adatokat, mivel a feldolgozás valós időben történik. Ennélfogva két Cyberoam készülék közötti adat-lehallgatásnak a valószínűsége egyenlő a nullával."
A hálózati forgalom lehallgathatósága nem áll összefüggésben azzal, hogy az UTM eszköz mit csinál helyben az átmenő adatokkal, másrészt az eredeti figyelmeztető nem arról szólt, hogy két Cyberoam eszköz között mi történik. A probléma az, hogy az UTM mögött ülő felhasználó forgalma válik megismerhetővé (és módosíthatóvá), ha egy támadó megfigyeli/beékelődik az UTM és az áldozat közötti hálózati útvonalba. Innentől fogva pedig a lehallgatás (és módosítás) nagyon is lehetséges, főleg mióta a kérdéses privát kulcs felkerült az internetre is.
Abban pedig erősen kételkedem, hogy más gyártók is ugyanezt a példát követnék, ez ugyanis azt jelenteni, hogy egyikük sincs tisztában a PKI alapjaival.
boldii 2012.07.11. 19:36:12
jvertes 2012.07.12. 09:07:16
A cégek között számomra az a biztonságos, aki gyorsan reagál!
boldii 2012.07.12. 10:29:32
(Valószínűleg van régebbi hasonló is)
De értem a dolgot természetesen.