Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Chromium: Emelik a tétet

2012.08.16. 10:13 | buherator | Szólj hozzá!

A Google eddig is igen nagyvonalú volt a Chromium platformot, illetve magát a Chrome böngészőt érintő biztonsági problémákat felfedező kutatókkal: az elmúlt években több mint egymillió dollárnyi jutalmat osztottak ki a feltárt sérülékenységekért. Az utóbbi időben a bejelentésre került hibák száma esni kezdett, amiből a fejlesztő csapat azt a következtetést vonta le, hogy a termékeikben sikerült minőségi változást elérni a biztonság terén, az új hibák feltárása lényegesen nehezebbé vált. Erre reagálva a Chromium Vulnerability Rewards Program bővítésre kerül: Legalább 1000 dolláros plusz jutalomban részesülnek azok a kutatók, akik 

  • "különösen kihasználható" sérülékenységeket jelentenek be 
  • a kód egy alacsony hibarátával rendelkező részében találnak biztonsági problémát
  • vagy olyan sebezhetőségre bukkannak, amely a Chromiumon kívül egyéb termékeket is érint.

A közlemény ezen felül javaslatokat is tartalmaz arra vonatkozóan, hogy mely területeken lehet érdemes keresgélni a nagyobb jutalom reményében:

  • ATI/Nvidia driverek biztonsági hibái
  • Helyi jogosultságkiterjesztésre alkalmas hibák a Chrome OS lecsupaszított Linux kernelében
  • Komoly biztonsági hiányosságok az IJG libjpeg könyvtárban
  • Bármilyen, 64-bites rendszeren működő exploit
  • Az alacsony integritású renderer folyamatból a közepes szinten működő böngésző folyamatba kitörni képes módszer, feltételezve, hogy a rendererben lehetséges kódfutattás

A poszt ezek mellett emlékeztet arra is, hogy a cég a külső gyártótól származó komponensek (pl. Adobe Flash) bugjait is értékeli, valamint hogy a memóriakorrupciót eredményező sebezhetőségek mellett a böngésző vezérléséhez vezető univerzális XSS problémákat is jutalmazzák a program keretében. 

Ha pedig mindez nem lenne elég, a Chromium csapata bejelentette a Pwnium 2-t, amit a 10. Hack In The Box konferencián fognak megrendezni két hónap múlva. A megmérettetés során a Google kétmillió dollárnyi jutalmat hajlandó szétosztani a Chrome böngészőt sikeresen exploitáló kutatóknak, a tavalyinál még kecsegtetőbb díjak formájában, melyeket akár "félkész" munkákért is odaítélnek. 

Címkék: google chromium pwnium hack in the box

Microsoft frissítőkedd - 2012. augusztus

2012.08.15. 18:45 | buherator | Szólj hozzá!

MS12-052: Négy hibajavítás az Internet Explorer különböző változataihoz. A problémák a böngésző összes változatát érintik. 

MS12-053: Egy újabb RDP protokollt érintő, use-after-free hiba, amely ezúttal csak XP SP3-as rendszereket érinti. 

MS12-054: Négy hibajavítás a Remote Administration Protocol megvalósítás és a Print Spooler szolgáltáshoz. A Microsoft egy részletes posztban figyelmeztet arra, hogy a Print Spooler format string hibáját féreg-szerű támadásokhoz is könnyen ki lehet használni. A sérülékenység a NetServerEnum API híváskor triggerelődik, vagyis olyan alkalmakkor, mikor egy munkaállomás lekéri a tartományban elérhető erőforrások listáját - ez automatikusan illetve bizonyos hálózati műveletek elvégzésekor is megtörténik. Egy támadó úgy juthat távoli hozzáféréshez az áldozatokon, hogy megszemélyesíti a master vagy backup browsert a hálózaton, vagy ráveszi a browsert, hogy tárolja el az általa behírdetett szolgáltatást, majd ezt a rekordot adja tovább az áldozat felé. A sérülékenység elsősorban az XP és 2003 rendszereket érinti, modernebb operációs rendszereken vagy nem sebezhető a browser szolgáltatás, vagy nincs alapértelmezetten engedélyezve. 

MS12-055: Az ehavi win32k.sys jogosultságkiterjesztés probléma javítása. A probléma minden támogatott Windows változatot érint. 

MS12-056: Egy integer túlcsordulás probléma böngészön keresztüli távoli kódfuttatást tesz lehetővé a JavaScript illetve VBScript motorokon keresztül. A probléma 64-bites rendszereket érint.

MS12-057: Az Office 2007-es és 2010-es változatait érintő, a CGM fájlformátum feldolgozásakor jelentkező sérülékenység javítása, ami felhasználói jogosultságokkal megegyező szintű kódfuttatást tesz lehetővé. 

MS12-058: Ez a csomag javítja a korábban már beharangozott, Oracle Outside In-hez köthető sérülékenységeket. A problémák az Exchange illetve SharePoint kiszolgálókat érintik.

MS12-059: A Microsoft Visio DXF formátum kezelését érintő kliens oldali sérülékenység javítása.

MS12-060: A hónap utolsó javítása a több alkalmazás számára ActiveX vezérlőket biztosító MSCOMCTL.OCX hibáját orvosolja. A Microsoft beszámolója szerint a sérülékenységet célzott támadások során aktívan kihasználják Office dokumentumokon keresztül, de a probléma az SQL Servert, Commerce Servert, Host Integration Servert, Visual FoxProt és a Visual Basic Runtime komponenseit is érinti. 

Címkék: microsoft windows office internet explorer activex visio rdp

Hírek - 2012/32. hét

2012.08.10. 16:51 | _2501 | 1 komment

WikiLeaks DDoS

Aki a wikileaks-et szeretné böngészni, annak most nincs szerencséje, tekintve hogy egy éppen folyamatban lévő, masszív DDoS támadás alatt rogyadoznak a szerverei. A wikileaks első körös spekulációi szerint lehet összefüggést keresni az olimpia, egy jövőbeni, vagy az éppen aktuális szíriai kiszivárogtatott dokumentumokkal. Mint utólag kiderült, mindhárom lövés mellé ment: Egy magát AntiLeaks néven futtató hackorcsapat vállalta magára a támadást:

We are not doing this to call attention to ourselves. We are young adults, citizens of the United States of America and are deeply concerned about the recent developments with Julian Assange and his attempt at aslyum [sic] in Ecuador.

Nem azért csináljuk hogy felhívjuk magunkra a figyelmet. Fiatal amerikai állapolgárok vagyunk, és elég nyugtalanítónak találjuk Julian Assange Ecuadori menedékjogi kérelmével kapcsolatos fejleményeket.

Assange is the head of a new breed of terrorist. We are doing this as a protest against his attempt to escape justice into Ecuador. This would be a catalyst for many more like him to rise up in his place. We will not stop and they will not stop us.

Assange egy új fajta terrorista csoport feje. Azért tesszük ezt, hogy tiltakozásunkat fejezzük ki az igazságszolgáltatás elől történő menekülése ellen. Ez felbátorítaná a hozzá hasonlókat, hogy odáig merészkedjenek mint ő. Nem fogunk leállni, és nem fognak megállítani minket.

Bukták, breachek és balhék

A hongkongi rendőrség őrizetbe vett egy 21 éves srácot aki facebookon hencegett azzal hogy leDoSolta pár állami intézmény weboldalát. Azután zoomoltak rá, miután ostoba módon olyan üzeneteket postolt ki, amelyekben dos támadással fenyegetőzőtt több kormányzati weboldal ellen.

A Reuters hírügynökség blog oldala egy elavult WordPress okán kompromittálódott: Náluk a wordpress 3.1.1 verziója volt fenn, a jelenlegi verzió a 3.4.1. Ezek után a @ReutersTECH twitter accot is beownolták, amit a aztán átneveztek @ReutersME-re (ME mint MiddleEast), majd jónéhány kamu üzenetet is kitwitteltek. Nem néztem utána mi volt a bugz a wordpressben, de lehetett akár egy sérülékeny plugin, vagy egy gyenge jelszó is. Szerencsére van rá eszköz, hogy ezeket a hibákat leteszteljük.

Tanulság? Wordpressel csak óvatosan, nagyon sok kompromizé történt már miatta. Figyeljetek oda rá: tartsátok frissen, járjatok utána a pluginoknak, és legyen erős jelszó, jobban fogtok aludni. Ha Wordpresst üzemeltettek akkor tessék ráereszteni a wpscan-t, nem fog fájni, ingyen van...

Olyan régen volt már hogy valami játékcéget lékeljenek meg a cibercsibészek... No, eljött a Blizzard ideje is: Michael Morhaime hivatalos közleményben értesítette a felhasználóit a tényállásról. Augusztus 4.-én felfedezték hogy a cég hálózatában valaki garázdálkodik. Jelenleg még nem találtak bizonyítékot arra vonatkozóan hogy kártyaadatok vagy számlázási infók kerültek volna ki de a nyomozás még folyamatban van. Biztos hogy hozzáfértek a Battle.net felhasználói adataihoz, mint email címek, felhasználó nevek, és biztonsági kérdések/válaszok. Mike szerint nem kell aggódni amiatt hogy a felhasználói accokba tömegesen fognak belépkedni, mivel SRP-t használnak, így minden egyes felhasználó esetében külön kéne törni a jelszót. Na ők legalább készültek rá, hogy mivan ha megreped a bili...

Irán megelégelte hogy folyamatosan széthaxolják a rendszereiket, ezért úgy döntöttek hogy lekapcsolják az állaigazgatási rendszereket az internetről.

Régen hallotunk már Anonymous-os sztorit... (hja.. a hüvösről nehéz dosolni.. :)) Miután a demonoidot lekapcsolták, az anon célba vette az ukrán kormányt. Az a terv hogy eleresztenek pár DoS-t, és kiraknak pár deface-t. A projekt kódneve: opDemonoid. Kreatív. Nem találok szavakat... hopp, most jött le indexen is...

A háttérben eközben a Mariposa botnet egykori feltételezett üzemeltetője, a szoftver írója, a Szlovén származású Matjažu Škorjancu tárgyalása jelenleg folyamatban van.

Gauss

A Kaspersky Lab bejelentése nyomán kapott szárnyra a hír - ismét megjelent egy -vélhetően állami háttérrel létrehozott- célzott támadásokra használt malware: a Gauss nevet kapta. Az eddig rendelkezésre álló információk szerint a Gauss szoros rokoni kapcsolatban áll a stuxnet/duqu/Flame családdal, bár ez a jószág a közel keletet célozza. Kasperskyék egyenesen úgy kezdik hogy ez egy államilag szponzorált kémcucc, ami bizonyos konfigokra, böngészőben elmentett jelszavakra, böngészési előzményekre, bankkártya adatokra, cookie-kra vadászik. A banki adatok elemelését célzó funkcionalitásnak eddig még nem látott, egyedi karakterisztikája van. 2011 szeptemberére tehető a megjelenése, ehez képest 2012 júniusában fedezték fel, a Flame felgöngyölítése közben, és sok hasonlóságot találtak a két szoftver között. A Gauss C&C szervereit (Command and Control - a vezérlő felület) nem sokkal ezután lekapcsolták, azóta a Gauss alvó állapotban van, arra várva hogy a C&C szerverek ismét elérhetőek legyenek.

Alant egy összehasonlítás, illetve a kapcsolatok vizualizálása az SDFG (Stux,DuQu,Flame,Gauss) család tagjai között.

kaspersky5.png

Első hallásra furcsának tűnhet hogy egy államilag szponzorált trójai banki adatokra vadászik. Tegyük hozzá hogy a Gauss valamiért kíváncsi a rendszer konfigokra is (hálózati eszközök, meghajtók, BIOS infók), illetve a célzott bankok a következők: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank és Credit Libanais. Ez eddig mind libanoni bank... Plusz Citibank, plusz PayPal. Az USB-terjesztési mechnanizmusa ugyanaz mint a Stuxnet és a Flame esetében, kivéve hogy bizonyos körülmények között törölni tudja magát a meghajtóról, és az összegyűjtött információkat egy rejtett fájlban tárolja el. Mindezek mellé, eddig tisztázatlan okból kifolyólag egy új betűkészletet is telepít a fertőzött gépekre, ennek neve "Palida Narrow". Ez az apróság lehetővé teszi hogy egy weboldalon keresztül ellenőrizni tudjuk hogy egy gép fertőzött-e. A srácok a CrySyS-nél már pörögnek rajta, már össze is raktak egy weboldalt amin ellenőrizni lehet a fertőzést, illetve akinek erről bővebb információra van szüksége az a blog.crysys.hu-n talál egy szép összefoglalót erről.

És akkor mindezek mellé fűszerezzük meg a történetet egy csipetnyit: A kód tartalmaz néhány erősen titkosított (RC4) részt: Ennek a kulcsa a %PATH% és %PROGRAMFILES% környezeti változók - valamiféle - kombinációjának 10000-szeri (igen tízezer) MD5-öléséböl származtatható. A Kaspersky Lab twitteren tett közzé felhívást: akik world-class kriptográfiai skillekkel rendelkeznek, és szeretnének beszállni a projektbe, azok jelentkezhetnek a megadott email címen.

Még egy fontos dolog, ami nem maradhat ki: Köszönet Boldinak a segítségért! :)

Egy kis whatever

Ha van még szabad 5 perced, akkor mozizz bele hogy milyen lehet, amikor egy csendes kávézóban leül melléd a történem egy darabja, aztán lazulj le a Gravitas DC20 albumjára.

Címkék: zene reuters irán wordpress hongkong blizzard kaspersky anonymous ddos wikileaks battle.net gauss mariposa breach julian assange crysys

Ingyen wifi a UPC-től

2012.08.08. 13:44 | _2501 | 10 komment

Ax belesniffelt a levegőbe, és megállapította hogy az új lakók beköltözésével párhuzamosan egy új WiFi eszköz is hirdeti magát az éterben. Innen indult a történet. Az SSID "UPC"-val kezdődik, majd ezt követi 6 darab szám. Rengeteg ilyet találni szerte a városban, és némi kutakodás után kiderült hogy a UPC új akciójában a két top netes csomaghoz ingyenes WiFi eszközt adnak. Cisco EPC3925 fajtát. Az eszköz beállításához a UPC írt is egy képekkel illusztrált útmutatót, és az utolsó előtti képen látszik is hogy miről szól ez a post.

pin12345670_upc.jpg

Az eszköz default pin-je 12345670. Ezen a képen a reaver látható akció közben. A legelső pin amivel próbálkozik az bizony a 12345670, és itt 3 másodperc elég volt ahhoz, hogy ez a hálózat kompromittálódjon.

12345670.jpg

Több visszaigazolás érkezett, megerősítve a kezdeti feltételezést. Ezúton is szeretnék köszönetet mondani azoknak akik segítségünkre voltak ebben, visszajeleztek, és elküldték a screenshotokat.

Tömören fogalmazva, ezek az eszközök igen egyszerűen támadhatóak. A felhasználók nagy része nincs tisztában ezekkel a technológiai részletekkel. Megoldás lehet ha az eszköz még a forgalomba hozatal előtt kapna egy egyedi PIN kódot, illetve a UPC útmutatója is tehetne említést arról hogy a PIN-nel kezdeni kéne valamit.

Címkék: wifi reaver wps pin UPC

/away

2012.08.07. 10:34 | buherator | 1 komment

Egy hétre lelépek térerőmentes övezetbe, addig _2501 veszi át a stafétát.

Címkék: Címkék

MS-CHAPv2: Mintha nem is lenne

2012.08.05. 14:11 | buherator | 5 komment

A BlackHat után lement a DefCon is, melynek egyik legnagyobb hatású előadását Moxie Marlinspike és és David Hulton tartották a PPTP VPN-ekhez és a vállalati szintű WPA2 infrastruktúrák kiépítéséhez előszeretettel használt MS-CHAPv2 protokoll gyengeségeiről. Az MS-CHAPv2 különböző gyengeségei már több mint 10 éve ismertek, de az eddigi eredmények szerint megfelelően erős jelszó választásával a protokoll biztonságosan használható. Marlinspike-ék azonban megmutatták, hogy az autentikációs protokoll osztott titka (a felhasználó jelszavának MD4 hash-e) gyakorlatilag egyetlen ismert nyílt szövegen alapuló DES támadás erőforrásigényével kinyerhető egy lehallgatott kézfogásból, ez pedig már jó ideje nem számít elfogadható védelemnek. A gyenge autentikációs protokollra támadszkodó kulcsszármaztatás (például) miatt sok esetben nem csak a felhasználók megszemélyesítése, de egy passzívan lehallgatott adatfolyam megfejtése is lehetővé válhat.

A támadás megértéséhez először érdemes áttekinteni az MS-CHAPv2 működését:

(via CloudCracker.com)

A lépések áttanulmányozása után kiderül, hogy egy passzív hálózati támadó számára az autentikációhoz szükséges egyetlen ismeretlen paraméter a legitim felhasználó jelszavából generált NTHash. Vegyük észre, hogy hash ismeretében a felhasználó jelszavának ismerete nem szükséges az autentikációhoz!

Az NTHash értékét három részre bontják, a részeket pedig DES titkosítók kulcsaként használják. Az MD4 hash kitalálása egy 2^128 méretű kulcstér bejárását igényelni, ilyen konstrukcióban azonban legfeljebb 3*(2^56) próbára lenne szükség, de a helyzet még ennél is rosszabb: A DES effektív kulcsmérete 7 byte, az NTHash pedig 16 byte hosszú, így a protokollban a harmadik DES-hez az NTHash utolsó két byte-ját és öt NULL-t használnak, vagyis az utolsó kulcs (és a hash utolsó két byte-ja) másodpercek alatt kipörgethető.

A maradék 14 byte kitalálásához kihasználható, hogy a két fennmaradó titkosítást azonos nyílt szövegen kell végezni, így az 56 bites kulcstéren csak egyszer kell a költséges DES művelettel végigszaladni: a ChallengeHash értéket minden lehetséges kulccsal titkosítjuk, majd két gyors összehasonlítással eldöntjük, hogy az eredmény megegyezik-e az elfogott két kriptoszöveg valamelyikével.

A kutatók a támadás demonstrálására kiadták a chapcrack nevű eszközt, melynek segítségével egy hálózati dumpból egyszerűen kinyerhetőek a nyers-erőn alapuló támadáshoz szükséges paraméterek, melyek feltölthetők a CloudCracker szolgáltatásba, az innen visszakapott kulcs segítségével pedig a teljes adatfolyam megfejthető - a művelet így kb. egy napot vesz igénybe.

Összefoglalva: az MS-CHAPv2 ideje lejárt, ne használjátok!

Címkék: kriptográfia ms-chapv2 defconmoxie marlinspike david hulton

Dropbox incidens

2012.08.01. 10:00 | detritus | 5 komment

A másfél héttel ezelőtti hírekben mi is megemlékeztünk a Dropbox felhasználókat érintő állítólagos célzott spamekről. Mostanra derült ki, hogy valóban történt incidens, azonban az majdnem csak annyiban érinti a Dropboxot, hogy most ők kénytelenek magyarázkodni. A támadók más oldalakról megszerzett hozzáférésekkel be tudtak lépni Dropbox felhasználók accountjaira (password re-use ftw), a tárhelyszolgáltató szerencsétlenségére pedig egyik munkatársuk is a listán volt. Valószínűleg ez utóbbin keresztül fértek hozzá a felhasználók e-mail címeihez.

A Dropbox az incidensre reagálva újabb biztonsági funkciókat vezet be, mint például kétfaktoros autentikáció, újabb mechanizmusok gyanús tevékenységek automatikus felismerésére ill. egy Security fül a webes felületen, melyen a legutóbbi bejelentkezéseket és az éppen aktív session-öket láthatjuk.

A tisztánlátás érdekében tehát: a Dropboxot, mint szolgáltatást nem törték fel.

Címkék: incidens dropbox

Túl közel állsz!

2012.07.31. 18:40 | buherator | 5 komment

A legutóbbi hírösszefoglalóban már esett szó Charlie Miller BlackHat-es előadásáról, melyben az NFC (Near Field Communication) okostelefonokra gyakorolt hatásairól kaphattunk összefoglalót. Erererg-nek köszönhetően nagy nehezen a vonatkozó cikket is megtaláltam, és miután gyorsan átrágtam magam rajta, azt kell mondanom, Miller ezúttal haknifellépést csinált.

Bár a cikk remek összefoglalót ad az NFC biztonság lehetséges kutatási területeiről, valójában NFC szempontból néhány konfigurációs gyengeségre sikerült csupán rámutatni: nevezetesen az Android Beam-mel ellátott készülékeken, valamint Nokia N9-en olyan az alapértelmezett konfiguráció, hogy (a csillagok megfelelő együttállása esetén) egy rosszindulatú tag fájlokat illetve URL-eket küldhet a készülékekre, melyeket az azon található hozzárendelt alkalmazás felhasználói interakció nélkül megnyit. Ez nyilván azért rossz, mert ha a kezelő alkalmazás hibás (és miért ne lenne az, lásd böngésző hibák, kép- és hangkodekek), akkor a megnyitott weboldal vagy fájl memóriakorrupció segítségével tetszőleges kódot futtathat az eszközön. A kutatás lényegében tehát nem új sérülékenységekre, hanem új - könnyen védhető - támadási vektorokra hívja fel a figyelmet.

Millerék persze magukat az NFC stackeket is megfuzzolták (ennek mikéntjéről szintén hasznos információkkal látnak el), és találtak is néhány (nehezen) kihasználhatónak tűnő sérülékenységet, de ezeknek nem jártak a végére.

Címkék: nokia okostelefon android blackhat charlie miller ncf

PinPadPwn

2012.07.31. 13:29 | detritus | 6 komment

A nemrég véget ért Blackhat konferencián mutatott be a spanyol Rafael Dominguez és a csak Nils-ként ismert német hacker (akinek bizony ismerős lehet már a neve) támadásokat főleg az USA-ban és az Egyesült Királyságban elterjedt, többféle PIN PAD típus ellen.

A PIN PAD az az eszköz, amibe kártyás fizetésnél az ember begépeli a PIN kódját, ami onnantól biztonságban van, a tranzakció végén pedig törlődik. Elvileg.

Mint az ilyen eszközök elleni támadások általában, ez is azzal kezdődött, hogy vettek maguknak az eBay-en egy-egy darabot.

Az egyik típus vizsgálata során kiderült, hogy az eszköz rendelkezik távoli adminisztrációs hozzáférési lehetőséggel és időnként kommunikál is egy szerverrel. Csakhogy eközben elfelejti autentikálni a szervert, ezért lehetőség nyílt man-in-the-middle támadásra. Ehhez természetesen azonos hálózaton kell lenni az eszközzel, de a Nils-ék felhívják a figyelmet arra, hogy wifi-s modellek is léteznek!
A terminált egy linux alapú cucc működteti, amiben persze volt egy bug. Saját programot tudtak telepíteni vagy létezőt módosítani - gondolom ez gyakorlatilag a root jogot jelenti -, innentől pedig természetesen game over.

A másik két modell érdekesebbnek tűnik, ezek ugyanis chip-and-PIN kártyák olvasására alkalmasak. A chip-and-PIN kártyák tartalmaznak egy biztonsági chipet, ami a PIN beütésekor ellenőrzi annak helyességét, valamint egy titkos kulcsot, ami validálja a kártyát a bank felé. Ez elvileg megvédi az ügyfél pénzét akkor is, ha a támadó fake kártyát gyárt és ismeri az áldozat PIN kódját.

A terminálok feletti uralom átvételére az EMV protokoll implementációjának egy stack overflow hibája adott lehetőséget. Magát a hibát egyszerűen egy preparált kártya készülékbe helyezésével lehet triggerelni, miivel azonban az eszközön csak aláírt alkalmazások futtathatók, a támadó kénytelen a memóriában tartani a kódját. Ennek persze az a hátránya, hogy minden rebootnál a kód is törlődik. Addig viszont minden bedugott kártya adatait és PIN kódját lelesi, a mentett adatokat pedig egy másik preparált kártya behelyezésével lehet kinyerni.

Nils-ék a chip-and-PIN funkciót is megkerülték és le tudták másolni a mágnescsíkot, amit ezek a kártyák is hordoznak a visszafele kompatibilitás jegyében. Ez egyszerűen úgy vihető véghez, hogy abortálják a chip-and-PIN ellenőrzést és hibára hivatkozva a mágnescsík lehúzását kérik.

A teljes kontroll bizonyítékaként - és nyilván hogy a megfelelő fun faktor is meglegyen -, az alábbi videót készítették:

Az egész történet talán legnagyobb tanulsága az, hogy hiába céleszközök, gyakorlatilag ugyanazoknak a fenyegettségeknek vannak kitéve, mint amiket más rendszereknél is megszokhattunk.

Címkék: hardver blackhat pinpad Rafael Dominguez Nils

BlueHat Prize eredmények

2012.07.30. 17:20 | buherator | Szólj hozzá!

Múlt héten a Black Hat USA konferencián kiosztották az első BlueHat Prize díjait. A pályázat célja olyan új technológiák kidolgozása volt, melyek hatékony védelmet biztosítanak napjaink exploitjaiban használt ROP láncok ellen, esetleg végérvényesen megakadályozzák a kódújrahasznosításon alapuló támadásokat. 

A 200.000 dolláros fődíjat végül Vasilis Pappas kBouncer megoldásának ítélték oda, Ivan Fratic ROPGuardja az 50.000 dollárt érő második helyet, Jared DeMott /ROP koncepciója pedig a 10.000 dolláros harmadik helyet szerezte meg. Az SRD rövid áttekintést ad a győztes pályamunkákból, nézzük milyen újítások várhatóak a Microsoftnál a ROP-ellenes technológiák terén (a posztban megfigyelhető egy ritka érdekesség: Technetes link a Phrack.org-ra):

/ROP

DeMott egy fordítás idejű megoldást javasolt: elképzelése szerint a fordító létrehozhatna egy olyan adatstruktúrát a futtatható állományban, ami tartalmazza azokat a címeket, ahová a program futása egy RET utasítás után visszatérhet. A betöltő ezeket a listákat felolvasná, majd a RET utasításokra töréspontokat helyezne, melyek kezelésekor az operációs rendszer eldöntené, hogy a visszatérési cím engedélyezett-e, és folytatható-e a program futása.

A megoldás nyilvánvaló problémája az erőforrásigény, a visszatérési címek ellenőrzéséhez ugyanis vállalhatatlanul sok processzoridő és/vagy memória lenne szükséges (adatstruktúrától függően), ezen kívül a ROP gadgetek megfelelő összeválogatásával, illetve más ugró utasítások használatával az ellenőrzés megkerülhető lehet.

ROPGuard

Ivan Fratic munkája egy sor már ismert módszert, és több saját újítást is összefoglalóan tartalmazott a ROP láncok által gyakran hívott API-k (pl. VirtualAlloc, LoadLibraryA, stb.) megerősítésére. Az elképzelés szerint ezeket az API-kat meg lehetne patkolni néhány plusz ellenőrzéssel, melyek elfogadható teljesítmény veszteséggel észlelnék ha nem megszokott helyről/módon hívják őket. Néhány példa ezek közül:

  • Stack pointer értékének ellenőrzése a stack pivoting detektálására.
  • A kritikus függvények visszatérési címeinek ellenőrzése: ha a címet nem előzi meg call, vagy nem futtathatóan volt mappelve, megállunk
  • Stack frame-ek ellenőrzése az előző két kritérium alapján
  • Futásszimuláció annak eldöntésére, hogy a kritikus függvény visszatérése után az első két feltétel teljesül-e minden visszatérésre

Hasonló megoldásokat a Windows 8 előzetesében már láttunk (elesni), Fratic munkája azonban annyira tetszett a Microsoft mérnökeinek, hogy a megoldásokat már be is építették az EMET 3.5 előzetes kiadásába (a cucc még nem javasolt éles üzembe, de a Microsoft szeretné, ha minél többen elkezdenének kísérletezgetni vele, a kompatibilitási problémákat feltárandó). 

Azt ugyanakkor a Microsoft szakértői is megjegyzik, hogy az egészséges ár/érték (biztonság/teljesítmény) fenntartása mellett valószínűleg maradnak majd olyan, kritikus funkcionalitáshoz vezető útvonalak, melyeken keresztül az meglévő láncokat az új ellenőrzésekhez lehet igazítani, de más kerülőutak - pl. ugrás az ellenőrző kód után - is elképzelhetőek lehetnek.

kBouncer

Vasilis Pappas győztes pályamunkája az Intel processzorok Last Branch Recording (Intel doksi itt, 19.4-19.10-es fejezetek) lehetőségét kihasználva ellenőrzi, hogy a kritikus API hívásokhoz vezető RET utasítások CALL-ok utáni címre tértek-e vissza (a pályázat hasonló ellenőrzést javasolt a rendszerhívások szintjén, de erre prototipus a Windows kernel korlátozásai miatt nem volt adható). 

A probléma itt leginkább a kompatibilitás, valamint az, hogy az LBR csak korlátozott számú ugrást tud lekövetni. Ezen túl az összes potenciálisan kritikus kódútvonal lefedése ismét jelentős teljesítményveszteséget okozna, így a támadók előbb-utóbb találnának kihasználható ösvényeket.


(4:20 ;)

Univerzális megoldás tehát nem született a ROP problémára, de a fenti megerősítések biztosan kiültetnek majd néhány izzadságcseppett a támadók homlokára (ha egyszer bekerülnek az alap Windows terjesztésekbe). Addig is érdemes - a progresszív védelem vagy a gyakorlás miatt - folyamatosan figyelni és tesztelni az EMET újításait valamint tanulmányozni a Phrack remek cikkeit.

Úgy tűnik, a Microsoft lát potenciált pályázatban, következő BlueHat kérdését már elkezdték válogatni (minden jó ötlet 5000 dollárt ért a BlackHat-en), ha megjön a kiírás, posztolok mindenképp!

Címkék: microsoft blackhat phrack rop bluehat Ivan Fratic jared demott vasilis pappas

Hírek - 2012/29. hét

2012.07.29. 23:00 | buherator | 2 komment

Soron kívüli Microsoft frissítések

A Microsoft soron kívüli frissítéset adott ki az Exchange-hez és az SharePoint FAST Search Serverhez. A manőverre azért volt szükség, mert az érintett szoftverek részben az Oracle Outside In technológiáját használják különböző fájlformátumok feldolgozásához, az Oracle pedig biztonsági frissítéseket adott ki ehhez a szoftverkomponenshez, amit a Microsoft mielőbb be szeretett volna építeni a termékeibe. További információ az SRD-n olvasható.

Anyu besegít

Óvadék ellenében szabadlábon védekezhet az a kétgyermekes anyuka, aki a gyanú szerint csemetéi tanulmányi előmenetelét az iskola számítógépes rendszerében tárolt jegyeik módosításával igyekezett segíteni. A hölgy korábban az oktatási önkormányzatnál ("school district") dolgozott, és így sikerült megszereni több, a tanulmányi eredmények szerkesztésére jogosult személy jelszavait, melyeket a naplóíráson túl a személyes e-mail fiókok illetve más személyes dokumentumok böngészésére is felhasznált. Persze minderre rálegyinhetnénk, hiszen nálunk néha maga a dékán írja be a jegyeket a főiskolán... (nem akarok politizálni, de ezt nem tudtam kihagyni, bocs).

Okostelefon hackelés NFC-n

Sajnos nem áll rendelkezésre túl sok infó a héten tartott BlackHat USA-ról, de ettől függetlenül Charlie Miller előadására természetesen most is lecsapott a média, összehordva minden hülyeséget. Kb. annyi konkrétumot lehet tudni, hogy Millernek sikerült rávennie több NFC-képes készüléket, hogy egy módosított tag hatására betöltsenek egy meghatározott weboldalt, vagy dokumentumot. Ezek után a telefonon futó böngésző illetve dokumentummegjelenítő hibáit kihasználva lehet kódot futtatni az eszközökön (ilyen szempontból tehát nincs új a Nap alatt). Arról nem találtam használható információt, hogy mindennek az eléréséhez az protokollok legitim funkcionalitását, tervezési vagy implementációs hibáit kellett-e kihasználni, de elég kellemetlen új támadási vektort jelent, ha már úgy triggerelődhet valamilyen veszélyes kód, hogy éppen túl közel állunk egy rosszarcú hackerhez a metrón.

Sűrű hét az Apple-nél

Értehő módon mindenki el volt foglalva a Mountain Lion megjelenésével a héten, de az Apple biztonsági csoportjának nem csak az új kiadás adott feladatot: először is felfedeztek egy Crisis névre keresztelt kártevőt, ami az Adium, Skype, MSN és Firefox alkalmazásokon átmenő adatokat próbálta meglesni, néhány jól kiválasztott számítógépen. Úgy tűnik, a szoftvert célzott támadásokhoz használták, a bejuttatási mód azonban nem ismert, annyit lehet tudni, hogy a Crisi nem kérd adminisztrátori jelszót, így még az is elképzelhető, hogy valamilyen 0-day exploit dolgozik a háttérben. Másodszor találtak egy Morcut nevű rosszaságot is, ami viszont egyszerű mint a faék: a felhasználó pornót akar nézni le szeretné tölteni a Flash Player legújabb változatát, ehelyett kap egy aláírt JAR-t az arcába, ami engedélyezés után szépene teleszórja a gépet minden földi jóval. Amíg az ilyen trükkök működnek, addig sovány vigasz, hogy kiöltek 6 újabb biztonsági a Safariból. A másik oldalon az Apple megvásárolta az AuthenTec nevű biztonsági céget, melynek termékpalettája a különböző hitelesítési és indentitás-menedzsment megoldásoktól a DRM-en át a magas fizikai biztonságot garantáló chipek gyártásáig terjed - a végpont hardening viszont úgy tűnik, nem vág profilba.

Címkék: microsoft apple hírek incidens blackhat nfc charlie miller authentec

Pwnies 2012

2012.07.26. 18:00 | buherator | Szólj hozzá!

Kihírdették az IT-biztonsági szakma Oscar- és Citrom- díjaként számon tartott Pwnie Awards győzteseit:

A legjobb kliens oldali hibáért járó díjat megosztva kapta Pinkie Pie és Sergey Glazunov az idei Pwniumon a Google Chrome böngészővel szemben nyújtott elképesztő teljesítményükért.

A legjobb szerver-oldali hiba díját a maga egyszerűségében gyönyörű "Ottvagyunkmár?" MySQL (és MariaDB) autentikáció megkerülés érdemelte ki. 

A legmenőbb jogosultságkiterjesztésért járó díj j00ru-nál landult, aki a CVE-2011-2018 publikálásával univerzális kernel exploitálási lehetőséget adott minden 32-bites Windows rendszerre NT-től a Windows 8 Developer Preview-ig bezárólag.

A legjobb kutatás díját a földalatti (vagy éppen égbeli) hálózati rétegek fenegyereke, Travis Goodspeed érdemelte ki, aki a vezetéknélküli hálózati protokollok hibakezelési eljárásainak kihasználásával képes volt fizikai rétegbeli csomagokat injektálni felsőbb rétegek csomagjain keresztül, átsuhanva tűzfalakon, IDS-eken és a hálózati védelem egyéb vívmányain.

A lefordíthatatlan Most EPIC FAIL-ért járó megbecsülés idén az F5-nek jár, akik képesek voltak ugyanazt a privát SSH kulcsot telepíteni minden eszközük root felhasználójának, egyszerű és korlátlan hozzáférést adva bárkinek a kedves ügyfelek rendszereihez.

A szintén nyelvi korlátokat támasztó Most Epic 0wnage díját pedig a Flame malware/kiberfegyver fejlesztő csapatának ítélte a zsűri az általuk véhezvitt kriptográfiai kutatásért, melyet a Microsoft belső folyamatainak kijátszásával kombinálva bármelyik windowsos gép felett át tudták volna venni az irányítást (és néhány jelentősebb felett át is vették), méghozzá a Windows Update-en keresztül

A legjobb dalnak járó díjat a nerdcore sztár Dual Core kapta:

A legbénább gyártói válasz kategóriában idén úgy tűnik, nem hírdetnek eredményt, de csendben megjegyezném, hogy az Oracle azért megérdemelte volna...

Címkék: windows mysql pwnie awards windows update oracle f5 dual core pwnium pinkie pie flamer sergey glazu travis goodspeed j00ru

Gamigo breach

2012.07.26. 17:15 | detritus | Szólj hozzá!

Mostanában divattá vált useradatok millióit elveszteni, csak az utóbbi pár hétben - a teljesség igénye nélkül - hallottuk a LinkedIn, a Last.fm, az eHarmony, a Formspring, az Nvidia fórum és az Android fórum nevét. Az illusztris társasághoz most a Gamigo nevű online játékplatform csatlakozott 11 millió rekorddal. A betörést még márciusban észlelték, akkor meg is tették a megfelelő lépéseket, és most, hogy a cucc felkerült a netre, "újra ránéznek az incidensre". A támadó állítólag egy régebbi adatbázis mentéshez jutott hozzá, a tettes a 8in4ry_Munch3r névre hallgató akárki. A hírek szerint az MD5 hashek 94%-át secperc sikerült kipörgetni, valószínű, hogy a jelszavak nem voltak megsózva.

A Gamigo egyébként az Axel Springer német lapkiadó vállalat érdekeltségébe tartozik, amiről csupán a magyar portfólióját elnézegetve megállapítható, hogy nem kis jószág. Pikáns aktualitása az ügynek, hogy épp a legutóbbi szürkekalapos jelentés kapcsán derült ki, hogy az Axel Springernél rendszerszinten vannak komoly bajok a kréta körül.

Címkék: incidens breach axelspringer

metasploit-iráni atomprogram-AC/DC

2012.07.24. 17:15 | _2501 | 7 komment

Mikko Hypponen postolta még tegnap az f-secure blogjára, hogy kapott egy levelet egy iráni tudóstól (a levél forrását állítólag ellenőrizték). A levél maga mindent elmond:

I am writing you to inform you that our nuclear program has once again been compromised and attacked by a new worm with exploits which have shut down our automation network at Natanz and another facility Fordo near Qom.

Azért írok hogy tájékoztassam hogy az atomprogramunkat ismét támadás érte egy új féreg formájában ami megbénította a hálózatunkat Natanzban és a Qom melletti Fordoban.

According to the email our cyber experts sent to our teams, they believe a hacker tool Metasploit was used. The hackers had access to our VPN. The automation network and Siemens hardware were attacked and shut down. I only know very little about these cyber issues as I am scientist not a computer expert.

Az informatikai szakértőinkre hivatkozva úgy gondoljuk hogy ehhez Metasploitot használtak. A támadó hozzáférést szerzett a VPN-ünkhöz. A vezérlő rendszereket és Siemens eszközöket támadták még és állították le. Én nagyon keveset tudok ezekről a kiber dolgokról, mivel tudós vagyok, nem számítógépguru.

There was also some music playing randomly on several of the workstations during the middle of the night with the volume maxed out. I believe it was playing 'Thunderstruck' by AC/DC.

Emellett a munkaállomásokon valami zene szólal meg teljesen véletlenszerűen az éjszaka közepén, teljes hangerőn. Szerintem a Thunderstruck az AC/DC-től.

Azért érdekes ez, mert a támadó már beférkőzött a cél rendszerbe, és ahelyett hogy csendben maradna, hangoskodik. Én inkább vagyok szkeptikus, azt mondanám hogy egyelőre kezeljük ezt a hírt úgy, mint kedd délutáni szórakoztató érdekesség, egyáltalán nem kerek. Túl nagy a WTF faktor. Minden hír az F-secure-t jelöli meg forrásként, azóta nincs fejlemény, de a további hírek Mikko Hypponen twitterén biztosan azonnal meg fognak jelenni.

Címkék: pletyka worm acdc metasploit natanz irani atomprogram

Pénteken SYSADMINDAY 2012

2012.07.23. 16:00 | buherator | Szólj hozzá!

Július 27-én, a rendszergazdák megbecsülésének világnapján ismét megrendezésre kerül a hazai SYSADMINDAY. Gyertek, terjesszétek, ünnepeljünk együtt!

További információkat a rendezvény weboldalán találsz:
http://www.sysadminday.hu/?site=SAD

Az idei rendezvényen külön IT-biztonsági kerekasztal is lesz, ott találkozunk!

Címkék: esemény sysadminday

Hírek - 2012/28. hét

2012.07.23. 11:00 | buherator | Szólj hozzá!

OS X in-App Purchase

Nem rég beszéltünk az Alexey Borodin által az iOS alkalmazásokon belüli ingyenes vásárlás lehetővé tevő módszeréről. Ahogy az várható volt kiderült, hogy a módszer OS X-en is használható

Pwnie Awards

Bejelentették az idei Pwnie Awards jelölteket. A listában ezúttal is a legkomolyabb exploitok és biztonsági kutatások kaptak helyet, a nevezettek forrásanyagainak elolvasása kellemes időtöltésnek ígérkezik. A legbénább gyártói válasz kategóriájának kihírdetésére még várni kell, itt gyaníthatóan valamilyen meglepetéssel készül a zsűri. A nyerteseket július 25-én hírdetik ki Las Vegasban .

Oracle frissítések

Az Oracle kiadta rendszeres javítócsomagját, ami összesen 87 sérülékenységet javít a gyártó különböző termékeiben. Most először a sérülékenység-információ az egységes CVRF formátumban is elérhetők. A TNS Proxy hibáját (szintén Pwnie nevezett) a frissítés nem orvosolja. A Protek Research Lab által felfedezett proof-of-concept exploit kódok elérhetők a csoport weboldalán.

Mozilla biztonsági frissítések

Megjelent a Firefox 14-es verziója, valamint biztonsági frissítéseket kapott a Thunderbird és a SeaMonkey is. A népszerű böngésző ezzel a kiadással 5 kritikus biztonsági hibát, és számos kisebb sérülékenységet javít, frissíteni ajánlott.

TeamViewer biztonsági frissítés

Biztonsági frissítés jelent meg a távoli asztali elérést biztosító TeamViewer szoftverhez. Bár a gyártó részletes információkat nem szolgáltt a javított problémákról, feltételezhető, hogy komoly dologról van szó, a közlemény szerint a frissítés azonnali telepítése javasolt Windows, Linux és OS X rendszerekre is.

Újabb botnetet sikerült felszámolni

Most éppen a Grum botnetnél sikerült lehúzni a rolót. A C&C szerverek Panamában és Hollandiában voltak, ezek megszüntetése után azonban az adminok pár órán belül felhúztak hét újat Oroszországban és Ukrajnában. Ezt gyorsan sikerült visszakövetni és a helyi ISP-k segítségével offline állapotba tenni, így az akcióban résztvevő szakemberek meggyőződése szerint a botnet kimúlt. A Grumot a harmadik legnagyobb botnetként tartották számon, napi 18 milliárd spam van a rovásán.

Dropbox spam

Kedden több Dropbox felhasználó is spamekre kezdett panaszkodni. Az eset azért fura, mert többek állítása szerint olyan címekre kapták a kéretlen (többnyire kaszinót reklámozó) leveleket, amelyeket kifejezetten a Dropboxos regisztrációjukhoz hoztak létre és máshol nem használják. Felmerült a gyanúja annak, hogy esetleg a Dropboxtól szivárogtak ki felhasználói adatok, amit a szolgáltatás fenntartói el is kezdtek vizsgálni, de az oldal egyelőre nem talált erre utaló jelet. A jelenség főleg német felhasználókat érint.

BlackHat adathalászat

Nagyjából 7500 BlackHat-re regisztrált falhasználó kapott adathalász e-mailt a napokban. A biztonsági konferencia szervezői hamar kiderítették, hogy egy önkéntes szervező szerezte meg az e-mail címek listáját egy számára elérhető belső funkción keresztül, biztonsági incidens tehát lényegében nem történt. A kiküldött üzenet elég egyszerűen volt összeállítva, nem valószínű, hogy a résztvevők bármelyike is bekapta volna a horgot. Az adathalász önkéntessel a szervezők "elbeszélgettek".

Minecraft megszemélyesítés

A Team Avolition felfedezett egy csúnya hibát a Minecraft szerverek migrált fiókokat kezelő funkciójában. A sérülékenység abból eredt, hogy a kiszolgáló migrált hozzáférések esetén nem vetette össze az egyszeri munkamenet azonosítót a felhasználónévvel, így egy tetszőleges migrált felhasználóhoz tartozó munkamenet-azonosító birtokában tetszőleges másik migrált felhasználó megszemélyesíthetővé vált. A játék fejlesztője javította a problémát.

Nike

Egy Brad Stephenson nevű 25 éves figura rájött, hogy a Nike-tól hogyan lehet ingyen cuccokat szerezni. A Nike weboldalának egy hibáját kihasználva (melyről sajnos részletek nem ismertek) élsportolók azonosítóihoz kapcsolta a sajátját vendégként, majd a nevükben és költségükre válogatott magának a webáruház tartalmából. Mire észrevették, már legalább 12 ilyen hozzáférése volt és több, mint 80.000 dollár értékben shoppingolt. A cuccok nagy részét elajándékozta, párat eladott az eBayen, a többit megtartotta magának. Egyrendbeli számítógépes csalás vádjával néz szembe.

Címkék: spam firefox hírek patch incidens nike os x pwnie awards botnet oracle adathalászat blackhat dropbox grum in-appstore.com

A megjegyezhetetlen jelszó

2012.07.20. 14:45 | buherator | 4 komment

Amerikai kriptográfusok és neurológusok kidolgoztak egy módszert, melynek segítségével jelszavainkat úgy tudjuk megjegyezni, hogy nem emlékszünk rájuk. Pontosabban a jelszavakat a tudatalattinkba égetjük, ahonnan megfelelő  módon elő tudjuk őket hívni, de szándékosan nem fogjuk tudni visszamondani a rögzített karakterszekvenciákat. Ilyen módon számos, az emberi gyengeségre építő támadás - kólát adok a jelszóért, pajszerral interjúvolom a rendszergazdát - kivédhető lehet. 

A módszer emellett szórakoztató is: a felhasználónak kb. háromnegyed óráig kell játszania egy Guitar Hero-szerű játékkal, amiben az SDFJKL betűk megfelelő sorrendben történő lenyomásával tud pontot szerezni. A gép ezekből a karakterekből generál egy 30 karakteres jelszót (ez kb. egy 13 karakteres kisbetű-nagybetű-szám kombinációnak felel meg), amit jónéhányszor eljátszat a felhasználóval némi véletlen "zajjal" és szünetekkel tarkítva.

A jelszó ellenőrzése ezután szintén a játékon keresztül történik: A felhasználóval a gép eljátszatja a saját (valódi) jelszavát véletlen minták közé keverve: ha a játékos szignifikánsan jobban teljesít a jelszónál, mint más részeken, a rendszer beenged. A kísérletek szerint a játékkal elsajátított jelszavakat a felhasználók két hét elteltével is jól vissza tudják játszani.

A koncepciónak persze vannak hátrányai: Problémás a jelszóváltoztatás, a jelszavak megadása viszonylag hosszú időt vesz igénybe, és gyanítom, hogy a legutóbbi DefCon GrabBag300-hoz hasonló támadások is kivitelezhetők lennének a rendszerrel szemben - de legalább szegény rendszergazda megússza a tortúrát :)

Címkék: játék neurológia jelszó

Brit anti-crypto törvény

2012.07.19. 16:00 | detritus | 1 komment

Megjelent egy érdekes írás Nick Falkvinge jóvoltából a brit törvénykezés egy figyelemre méltó szeletéről. A kifogásolt paragrafus lényege az, hogy ha van valamilyen titkosított adat, amit a hatóságok látni akarnak, akkor nem csak azért lehet börtönbe kerülni, ha az ember nem hajlandó felfedni a kulcsot, hanem azért is, ha nem tudja. Egészen pontosan - idézet a cikkből, "börtönbe küldenek, ha nem vagy képes felfedni valamit, amiről a rendőrség úgy gondolja, hogy titkosított".

Gyanítom, hogy azért túl van ez reagálva egy kicsit. A falkvinge.net szinte kizárólag internetes szabadsággal foglalkozik, ezért a legtöbb jogvédőhöz hasonlóan az elképzelhető legrosszabb forgatókönyvre igyekszik felhívni a figyelmet. Arról sincs információ, hogy a gyakorlatban alkalmazták-e már a kérdéses cikkelyeket. A törvényt a gyakorlatban is alkalmazzák. A gondolattal eljátszani mindenesetre érdekes, a cikk szerzője összegyűjtött pár egyáltalán nem elrugaszkodott forgatókönyvet arra, mekkora bajba kerülhet valaki, ha szó szerint alkalmazzák ellene a törvényt. 

1) Tegyük fel, hogy E.T. telefonhívásaira vadászol és tele van a géped a kozmikus háttérsugárzás digitális lenyomatával. Véletlen bitfolyam, akárcsak látszólag a titkosított adatok. Emberi léptékkel nem megállapítható a különbség.

2) A másik probléma a szteganográfia. Az adatot titkosítás után el lehet rejteni mondjuk képekben vagy hangfájlokban, ha a rendőrség rámutat a nyaralási képekre vagy az MP3 gyűjteményre, hogy ott vannak az államtitkok, akkor annak is börtön lehet a vége.

A TrueCrypt-ben ugyebár hasonló szituációkra találták ki a rejtett partíciókat: ezek segítségével külső nyomás alatt meg lehet adni egy alternatív jelszót, ami ártalmatlan adatokat fed fel, a valódi titkok pedig rejtve maradnak, de ez esetben ez sem feltétlenül segít. Hiszen ha a rendőrség úgy gondolja, hogy van egy rejtett partíció is, akkor ott vagyunk, ahol a part szakad. 

Címkék: jog privacy kriptográfia

Ingyen ebéd az AppStore-ban

2012.07.19. 13:20 | buherator | Szólj hozzá!

Már korábban magyarul is több helyen megjelent, hogy egy orosz hacker, bizonyos Alexey Borodin felfedezett egy módszert, melynek segítségével ingyenesen bonyolíthatók le az alkalmazásokon belüli vásárlások (in-App Purchase) a különböző iEszközökön. Én  most egy rövid összefoglalót szeretnék adni a probléma technikai részleteiről, illetve az Apple megoldásáról.

Az in-App Purchase segítségével az alkalmazásfejlesztők fizetős kiegészítőket illetve szolgáltatásokat - például új játék pályák, új tartalmak, előfizetéses prémium hozzáférések -  társíthatnak az appjaikhoz, méghozzá úgy, hogy a vásárlási tranzakciók kezelését az Apple oldja meg az AppStore-on keresztül, ahová a felhasználók már amúgy is be vannak regisztrálva. 

A vásárlás nagy vonalakban úgy történik, hogy a felhasználó a megfelelő termék kiválasztása után indít egy vásárlási kérelmet az alkalmazáson keresztül az AppStore-ba, az AppStore levonja a vásárlótól a megfelelő összeget, majd kiállít egy számlát. Ezek után az alkalmazás, vagy a fejlesztő szervere ellenőrzi a számla hitelességét, és ha mindent rendben talál, elérhetővé teszi az új terméket a felhasználó számára.

Az ingyen ebéd egy egyszerű man-in-the-middle támadással szerezhető meg: a felhasználó átállítja a DNS-ét és telepít egy új megbízható CA-t az eszközére, melynek eredményeként az AppStore felé irányuló kérések egy másik kiszolgálóhoz - esetünkben a Borodin által összerakott In-Appstore.com-ra - érkeznek be. Mivel ez az oldal az újonnan telepített CA által igazoltan az Apple-höz tartozik (valójában persze nem), az alkalmazás mindent el fog neki hinni amit mond. 

A történet innentől két féle képpen folytatódhat: 

  1. Az In-Appstore mindenképpen egy korábbi vásárlás számlájával válaszol. Ha az alkalmazás maga ellenőrzi a számlát, nem tehet mást, minthogy elfogadja azt, mivel a számla nem tartalmaz olyan információt, ami a számlát a konkrét vásárláshoz kötné, a digitális aláírás pedig stimmel.
  2. A másik esetben az alkalmazás a fejlesztő szerveréhez fordul, aki közvetlenül az AppStore-t kérdezi meg arról, hogy a kapott számla érvényes-e. Az AppStore viszont maga állította ki az ellenőrizendő számlát (csak egy másik vásárláshoz), így simán pozitív választ ad a kérésre, mire a fejlesztői szerver leküldi az új tartalmakat az alkalmazásnak. 

Érdemes végiggondolni, hogy hol hibázott az Apple: 

  • A szerver tanúsítványok ellenőrzése fontos, ha a felhasználót meg szeretnénk védeni az Interneten leselkedő veszélyektől. Ez a technológia azonban nem védi meg az alkalmazásokat magától a felhasználótól!
  • A hack emellett azért volt lehetséges, mert a számlákat nem lehetett az egyes vásárlásokhoz kötni. Ez kis túlzással olyan, mintha a NAV elfogadná a fénymásolt számlákat.

Az Apple-t természetesen elég kellemetlenül érintette az eset, ezért mindent megtettek az In-Appstore.com ellehetetlenítésére: a törést bemutató YouTube videó eltávolíttatták és szerzői jogok megsértése miatt is lépéseket tettek, blokkolták az In-Appstore.com hozzáférését az AppStore szervereihez, valamint felvették a kapcsolatot a PayPal-al, hogy megakadályozzák a Borodin költségeinek kompenzálására szervezett gyűjtést (a legitim receptek begyűjtése pénzbe került, az őket kiszolgáló kisteljesítményű szervert pedig le szeretnék cserélni). 

Ennek hatására a szolgáltatást áthelyezték egy másik országba, Borodin pedig most már BitCoin adományokat is elfogad...

A valódi megoldást vélhetően a nem rég számlákra bevezetett egyedi azonosító fogja jelenteni, bár ennek használatának mikéntjéről a hivatalos fejlesztői dokumentáció egyelőre nem tesz említést.

Tipp: A fejlesztői útmutató nem határozza meg, hogy a fejlesztői szerver hogyan juttatja el a terméket az appnak (rá van bízva a fejlesztőre), ez a terület az egyes konkrét alkalmazások esetén igen érdekes lehet :)

Címkék: apple appstore in-app purchase alexey borodin

Chrome Flash homokozó

2012.07.18. 16:00 | buherator | 3 komment

A Linux felhasználóknak nem lehet újdonság, hogy Flash-t futtatni alternatív operációs rendszeren nem nagy öröm: a lejátszó alapból instabil, a windowsos verziók alapján valószínűleg csúnyán sérülékeny, a különböző megerősítő megoldások belövése finoman szólva nem kényelmes, és akkor még nem beszéltünk a tonnányi Flash hírdetés blokkolásának kérdéséről. Tovább bonyolította a helyzetet, hogy az Adobe bejelentette: nem fogja tovább támogatni az önálló Flash lejátszót Linuxon, helyette a Google-el közösen integrálják a lejátszót a Chrome böngészőbe a Pepper API-n keresztül.

Az együttműködés eredménye a Chrome 20-as stabil verziójával vált elérhetővé a felhasználók szélesebb rétegei számára, a kiadás pedig több kedvező biztonsági újítást is hozott:

A legfontosabb ezek közül, hogy a Flash lejátszó ezen túl a Chrome renderer folyamataiéval megegyező sandboxban fut, azaz a lejátszó nem éri el közvetlenül a fájlrendszert (chroot), valamint a folyamatok közti kommunikációja is erősen korlátozott (PID névterek).

A 64-bites rendszerek felhasználóit pedig további finomságok várják: az új Flash már valódi 64-bites folyamatként fut, a kiterjesztett címtér pedig megnehezíti a JIT/heap spraying kivitelezését, Ubuntu 12.04 felhasználók pedig a seccomp használatával korlátozhatják a lejátszó által hozzáférhető rendszerhívásokat.

A fenti pozitívumokon túl személyes tapasztalatom az, hogy a Chrome Flash lejátszója végre sziklaszilárdan működik, a napi többszöri összeomlás többé nem jön elő. Egyetlen dolog zavart: privát böngészési módban (én mindig így böngészek) nem tudok kiegészítőket használni, így a reklámok blokkolása problémásnak tűnt, de szerencsére erre is van megoldás:

chrome://chrome/settings/content -> Plug-ins -> Bejelölöd a Click-to-Play-t 

A megoldás meglepően kényelmes, a JavaScriptek hasonló módon szabályozhatók (mint egy kis beépített NoScript)

Címkék: flash adobe sandbox google chrome

Szürkekalapos jelentés - 2012Q2

2012.07.18. 10:00 | buherator | 2 komment

Örömmel látom, hogy az elmúlt hónapokban sem tétlenkedtetek: április eleje óta 23 hibajelzést kaptam (illetve ennyinek volt magas biztonsági kockázata), ezek közül azonban csak 6 esetben sikerült javítania az üzemeltetőknek, 3 esetben a CERT Hungary járt el (az ő köreműködésüket külön köszönöm), a többiek nem reagáltak a megkeresésemre, 3 esetben még használható kontakt címet sem sikerült felkutatnom.

Minden esetre ezúton gratulálok endrének, kardhalnak, ~nyuszinak, Medvének és Deviance-nek, amiért sikerült hozzájárulniuk a magyar web biztonságosabbá tételéhez, a hajtás után felsoroltaknak pedig köszönöm, hogy megpróbálták, a dolog nem rajtuk múlott.

A második negyedéves termésben fajsúlyosabb darabok is akadnak, a továbbra kattintás csak saját felelősségre ajánlott.

Címkék: incidens az olvasó ír

Skype hírek

2012.07.18. 00:06 | buherator | 17 komment

Mozgalmas volt a tegnapi nap a Skype háza táján. Először is egy programhiba következtében a kommunikációs szoftver néha nem annak küldi el azonnali üzeneteinek, akinek szerettük volna, ami roppant kínos lehet. A Microsoft elismerte a problémát, és dolgozik a megoldáson.

A másik hír inkább a kacsa kategóriába tartozik: A főcímek a Skype forrásának nyilvánosságra kerüléséről szólnak, de szerencsére még az Indexen is elolvasható, hogy erről szó sincs, pusztán egyes antidebug és obfuszkációs rétegeket sikerült lehámozni (állítólag) a szoftverről, így a még mindig gépi kódú állományok valamivel könnyebben elemezhetők. Megjegyzendő ugyanakkor, hogy egy ilyen komplex szoftver esetében a működés részletes megismerése audió- és videó kodekekkel és kripto protokollokkal együtt elképesztően nehéz vállalkozás, így akik bizonyítékokat várnak a hátsó ajtókra, azok jól teszik, ha betáraznak löncshúsból.

Címkék: hírek bug skype

Hackertoborzó

2012.07.16. 15:28 | _2501 | 3 komment

Ahelyett hogy megbüntetjük az elit hackereket, a magunk oldalára kéne állítanunk őket - Tömören ennyi a lényege John Arquilla Guardiannak adott interjújának. Az elképzelése szerint egy új Bletchley Park létrehozására volna szükség, ahová a top nördöket összegyűjtve, a megfelelő körülmények között csinálhatnák azt, amihez értenek. A cikkben sok jó gondolat elhangzik, a végére szépen bemoziztatja egy olyan vízió körvonalait, amiben  a legkeményebb arcok a legelitebb technológiákkal zsonglőrködve perecbe hajtogatják a kiberteret, méghozzá a nemzet érdekében. Hát nehéz megállni hogy ne üljön ki a képünkre az a sanda kis vigyor... Íme néhány szösszenet a cikkből:

"Létre kell hoznunk egy új Bletchley Parkot. Észlelés, megfigyelés, bomlasztás, ez a kulcs."

A Pentagonnak és a többi ügynökségnek ki kell használnia ezt a fajta képességet - mondta. "Ez egy hatalmas emberi tőke. Ők a kibertér erdőkerülői. A legtöbbjüket a dolog szépsége és a komplexitása ragadta magával.

Velük az oldalunkon meg tudjuk nyerni a háborút hálózaton. A Stuxnet féreg, amely Irán nukleáris programját támadta, megmutatta az igazi erejét annak amit úgy hívunk: cybotage [cyber+sabotage=cybotage, én is most halottam először...]

A hackelés akkor a leghatékonyabb amikor társul a szélesebb értelemben vett katonai stratégiával.

Titkolják ugyan, de ennek az oroszok az igazi úttörői. Kína és Észak-Korea is igen kifinomult. Ők felismerték a stratégiai lehetőségeket.

Ez természetesen még semmit nem jelent, de maga a gondolkodásmód roppant előremutató, Szun-ce is minden bizonnyal elégedetten bólogatna.

Címkék: kiberhadviselés kiberstartégia

Hírek - 2012/27. hét

2012.07.16. 11:47 | buherator | Szólj hozzá!

Kapcsold ki a kütyüket!

A Microsoft arra bíztatja felhasználóit, hogy kapcsolják ki a Windows Sidebar és Gadgets komponenseit, mivel az ezeken elhelyezendő, harmadik féltől származó kütyük sok esetben nem követik a biztonságos programozás alapelveit, sérülékenységeket vezetve be a felhasználók rendszereibe. A lépésnek feltehetően köze van ahhoz az előadáshoz, amit Mickey Shkatov és Toby Kohlenberg fog tartni a hó végén megrendezésre kerülő BlackHaten.

Tumblr perzisztens XSS

Három hétig tartott a Tumblr biztonsági csapatának, hogy kigyomláljanak egy perzisztens XSS hibát a szolgáltatásból. A sérülékenységet az alkalmazások regisztrációjánál megadott kliens-oldali kódokkal lehetett kihasználni. A probléma jó lehetőséget adott volna egy masszív spam kampány lebonyolítására a több mint 63 millió mikroblogot tartalmazó szolgáltatáson - szerencse, hogy ezt a hibát nem a rosszfiúk szúrták ki.

Vége a DarkCometnek

Négy év fejlesztés után a DarkComet távoli adminisztrációs eszköz (RAT) fejlesztője, DarkcoderSc lezárta a projektet. Egyes hírek szerint a döntés oka az, hogy a szoftvert a szíriai konfliktusban is felhasználták a rezsim támogatóinak megfigyelésére, a DarkcoderSc által kiadott közlemény azonban ilyet nem említ, sokkal inkább a fejlesztő azirányú félelmeinek ad hangot, hogy a DarkComet illegális felhasználásáért őt is felelősségre vonhatják, ahogy az a Blackshades RAT fejlesztőjével is megtörtént.

AusCERT #fail

Az ausztrál információs infrastruktúra védelméért felelős AusCERT postára adott egy DVD-t, amin a szervezet Stay Smart Online programjára feliratkozott személyek adatai szerepeltek titkosítatlanul, a posta pedig természetesen elhagyta a lemezt.

Plesk 0-day 

trey@HUP:

Hosting cégek előszeretettel használják a Parallels Plesk megoldását. Underground körökben állítólag 8 ezer dollárért exploit vásárolható olyan Plesk (10.4.4 vagy régebbi verzió, a 11.0 nem érintett) 0day sebezhetőséghez, amely a támadó számára sikeres kihasználás esetén teljes hozzáférést biztosít a kezelt weboldalakhoz. Részletek itt.

AndroidForums.com - 1 millió rekord

Feltörték a Phandroid által üzemeltetett AndroidForums.com fórumot és megfújták a több mint egymillió felhasználói rekordot tartalmazó adatbázist. A támadáshoz egy ismert exploitot használtak. A jelszavakat hashelve tárolták, ennek ellenére természetesen minden felhasználónak érdemes jelszót változtatnia.

Három arcú drive-by támadás

Az F-Secure szakemberei egy kolumbiai weboldalon multiplatform trójaira bukkantak. A kártevő egy aláírt Java appleten érkezik az áldozatok számítógépére, engedélyezés után pedig a platformnak (Windows, OS X, Linux vagy Unix) megfelelő futtatható állományokat tölt le és indít el egy távoli szerverről. Külön érdekesség, hogy úgy tűnik, a támadók egy biztonsági szakember, Dave 'Rel1k' Kennedy demó kódját használták a támadáshoz. 

A macesek ezen kívül a Longage.A-tól is tarthatnak, ami a Word OS X-re készült változatának egy 2009-es hibáját kihasználva próbálja átvenni az irányítást a sérülékeny rendszerek felett. 

A fentieken túl részletes posztokat tervezünk a kulcs nélküli BMW lopásról illetve az App Store hackeléséről, maradjatok vonalban!

Címkék: hírek incidens xss 0day rat fail tumblr auscert darkcomet plesk andoridforums

Yahoo Voice és a popkultúra

2012.07.12. 15:24 | _2501 | 2 komment

Úgy tűnik hogy a yahoo sem úszta meg: tegnap egy cirka 453 ezer rekordos táblát líkeltek a lítek, megtekinthető itt ha éppen elérhető, ugyanis jelen pillanatban éppen összeroskad a szerver a load alatt. Sebaj, alternatíva gyanánt le lehet rántani a thepiratebay-ről is. A jelenleg rendelkezésre álló infók alapján a yahoo voices alól sikerült leszívni a táblát egy sqli segítségével, feltehetően a dbb1.ac.bf1.yahoo.com-on volt a támadási felület.

A CNET csinált egy jópofa statisztikát a kiszivárgot jelszavakról, néhány érdekesebb adat:

  • "Superman"-t kétszer annyian használják jelszónak, mint "batman"-t, a Pókembereseket pedig háromszorosan veri a Földre esett kriptoni
  • A "starwars" szót 52-en, a Star Trekhez kötődő kifejezéseket (startrek, ncc1701, ncc1701a) 59-en választották 
  • A Lakers drukkerek előszeretettel bízzák online fiókjaikat kedvenc csapatukra

Címkék: yahoo incidens yahoo voice

süti beállítások módosítása