Mesterhármas

A héten megpukkantották ((c) Breach :) a LinkedIn üzleti közösségi oldal, az eHarmony társkereső és a Last.fm közösségi rádió felhasználói adatbázisainak jelentékeny részét, összesen mintegy 17 millió jelszó hash-t téve közkinccsé. A helyzet még szomorúbb, ha számításba vesszük, hogy a most nagyobb nyilvánosságot kapott dumpok már 2011 óta keringhetnek bizonyos körökben, valamint hogy egyik site-on sem alkalmaztak salt-ot a hash-eléshez. A jelszavak nagy része természetesen gyengének bizonyult, a spammerek már meg is kezdték felhasználásukat.

Adobe frissítések

Az Adobe frissítette a Flash lejátszót illetve a felhasználók nyomására beígért CS5 frissítéseket is közzétette. A Flash Player jelentős újdonsága, hogy Vistától felfelé már Firefoxban is alacsony integritási szintű folyamatban ("védett módban") fut a plugin, jelentősen megnehezítve a lejátszó sérülékenységeit kihasználni kívánó támadók dolgát. Mac-eseknek jó hír, hogy a legfrissebb verzió megkapta a csendes frissítési lehetőséget, valamint az új binárist az Apple is hitelesítette, így a szoftver kompatibilissá vált a Mountain Lion Gatekeeperével.

A Chrome stabil ága a Flash Player-el együtt frissült.

Mozilla Firefox 13

A népszerű böngésző legújabb változata számos sérülékenységet javít, melyek felhasználói interakciót nem igénylő drive-by exploitok létrehozására adhatnak lehetőséget. 

PostgreSQL

A népszerű adatbázismotor is javításokat kapott. Több apróság és DoS-ra alkalmas hiba mellett javításra került a pgcrypto modul is. A korábbi verziókban a DES eljárással használt crypt() metódus lerövidítette a jelszavakat, ha azok a 0x80 bájtot tartalmazták, megkönnyítve ezzel a jelszó megfejtésére utazó támadók dolgát.

Jövő héten: Microsoft, Oracle

Jövő héten frissítőkedd, és az Oracle is készül egy Java javítással, ami még az Oracle számítása szerint is 10.0-ás CVSS értékkel rendelkező hibákat fog orvosolni.

Bár múlt heti ígéretemnek nem tudtam eleget tenni, a hétvége viszonylagos nyugalmát kihasználva megpróbálom összefoglalni az elmúlt napok eseményet a sKyWIper/Flame/Flamer kártevővel kapcsolatban - bár új információk megjelenése most is órákon belül várható.

A Windows Update fiaskója után azt hiszem végleg eldőlt, hogy a kártevő egy minden valószínűség szerint egy vagy több nagy befolyással bíró szervezet, állam által fejlesztett fegyver. Ezt az álláspontot erősíti meg Marc Stevens, a 2007 év végi MD5 ütköztetés egyik koponyájának közleménye, mely szerint a manipulált tanúsítvány egy eddig ismeretlen kriptográfiai támadással készült, tehát az szoftver bevetését igen komoly, titokban folytatott kutatásnak kellett megelőznie. A befektetett munkának azonban impresszív eredménye lett: a Microsoft hétfői rendkívüli javítását lényegében csak úgy lehet telepíteni, hogy ezzel az ember éppen a Flamer benyalását kockáztatja (még ha a támadás célzottsága miatt ennek az esélye minimális is). Az új támadás részleteiről egyébként Alex Sotirov holnap előadást tart a Summerc0n konferencián. A régebbi támadás gyakorlati alkalmazásáról itt olvasható egy jó összefoglaló. 

Ennek fényében a sKyWIper működésének feltérképezésére irányuló kísérletek eredményei is más színezetet kapnak: A Kaspersky szakértői a GoDaddy-vel és az OpenDNS-sel együttműködve eltérítettek egyes vezérlő számítógépekre vonatkozó DNS kéréseket a saját hálózatukba, hogy jobban megvizsgálhassák azokat. Már maguknak a céldomaineknek a felderítése a 80 feltárt domainnel és a regisztrációkhoz használt hamis identitások garmadájával is mutatja az akció volumenét. Mint a beérkező adatokból kiderült, a Flamer HTTP csomagokon keresztül kommunikál, üzeneteit egyszerű XOR eljárással obfuszkálja - ez már elég a legtöbb hálózatból történő kitöréshez. Az adatok megfejtése után kiderült, hogy a kártevő számos verzióban működik, a legfrissebb megfigyelt a 2.243-as azonosítót kapta - az értékből és a felbontás pontosságából tippelhetünk akár a szoftver korára is. 

Az irányítás részleges elvesztésére természetesen a támadók is hamar reagáltak egy speciális önmegsemmisítő modul telepítésével. Bár a Flamernek eleve elküldhető egy SUICIDE parancs, a Symantec honeypotjaiba a lépés nyomán egy teljesen új modul esett be, ami egy hosszú beégetett lista alapján írja felül és törli a kártevő fájljait, önmagát is beleértve. A lista remélhetőleg új nyomokhoz is elvezeti majd a szakértőket. A Symantec munkatársai ezen kívül összeállítottak egy listát a sKyWIper "appjairól", demonstrálandó a kártevő adatgyűjtő képességeit. A tekintélyes méretű lista legérdekesebb elemei a hagyományos hálózati felderítést, illetve elterjedt fájlformátumok feldolgozását végző elemek mellett megtalálható kevésbé gyakori szoftverek, pl. FTP kliensek,  távoli elérést biztosítő szoftverek - a kíváncsiskodók minden bizonnyal jól informáltak voltak a célpontok szoftver preferenciáit illetően.

Miközben pedig a világ tekintete a Flameren csüng (de vicces szó ez :), a Gofas trójai a jól megszokott banki adatok helyett AutoCAD fájlokra vetett szemet áthelyezve a célcsoportot az egyszeri felhasználókról sokkal érdekesebb célpontok irányába. A szellem bizony kiszabadult a palackól.

A Pwnables kategória feladataiban a bináris analízis mellett szoftver exploitálási képességekre is szükség van: letölthető programok mindegyike tartalmaz valamilyen biztonsági hibát, melynek kihasználásával átvehető az irányítás egy távoli szerveren futó szolgáltatás felett. Az alábbiakban a PP200 és PP300 feladatok megoldása kerül ismertetésre eax közreműködésével.

App!cloud

A HWSW cloud computing témájú konferenciát szervez június 13. szerdára. A programban külön szekciót kapott a biztonsági terület is. Diákoknak a szervezők jelentős kedvezményt biztosítanak. A részletes program itt olvasható, regisztrálni itt lehet.

Privacsy

Az első este sikerén felbátorodva június 8. pénteken 19.00 órától ismét Privacsy-t tartunk, továbbra is privacy és kajálás témaköréből kiindulva. Az adagok számítása érdekében ismét kérek minden érdeklődőt, hogy küldjön [Dnetnek] privátban egy mailt. Aki szeretné átvállalni a kaja elkészítését, szerdáig jelezze  [Dnetnek] e-mailben, ha szerda 12:00-ig (CEST) nem érkezik ilyen felajánlás, ismét [Dneték főznek]. 

Linkek: 

• wiki naptár 
• előző eseményt beharangozó levél, infókkal

Az elmúlt hetet a sKyWIper/Flamer uralta, a mai microsoftos bejelentés után pedig szinte követhetetlenné vált az információzuhatag. Remélem össze tudok hozni egy összefoglaló posztot holnap. IT biztonsági témákban mozgóknak egyébként szinte kötelező a Twitter használata, regisztráljatok, ha eddig nem tettétek volna meg!

Incidensek

• Hekkerek harmincmilliós számlát csináltak a hevesi önkormányzatnak - a VoIP rendszeren keresztül
• Betörtek a világ legnagyobb netszolgáltatójához - Pontosabban a SwaggSec talált egy-egy SQL injection hibát a China Telecom és a Warner Brothers honlapján...

Bukták

• Bo Zhang bűnösnek vallotta magát az Egyesült Államok kincstárának fejlesztett egyik forráskód lenyúlásának ügyében 
• Az UGNazi nevű banda Cosmo álnevű tagját lekapcsolták, miután egy célzott "social engineering támadás" keretében 1.7G adatot nyúltak a brit WHMCS pénzügyi szolgáltató renszeréből

A hétvégén a Senkiháziak csapata újra összeállt, hogy összemérje tudását a Föld kétség kívül legidegörlőbb Capture the Flag játékán, a DDTEK inkvizítorai által összeállított Defcon CTF-en. A selejtező idén is 48 órán át tartott, és végül 303 csapatnak sikerült megütnie a minimális, 100 pontos szintet. 

A tavalyi szárnypróbálgatás után idén már fontos tapasztalatok birtokában, és valamivel nagyobb/aktívabb csapattal vágtunk neki a küzdelemnek, igaz kicsit későn - a szombat hajnal 2-es kezdés valahogy mindenkinek korainak tűnt. 

A feladattípusok ismerete, illetve a másod- és harmadnap kombinált Zen-hatásának köszönhetően viszonylag hamar túllendültünk a 200-as kritikus határon (ami azt jelenti, hogy nem csak a trivia kérdést sikerült megoldani), majd a B200-zal dupláztunk egyet, innen pedig nem volt megállás, végül 2300 ponttal a 39. helyen végeztünk, ami egyrészt mind pozíció, mind pontszám tekintetében jelentős előrelépés az egy évvel ezzelőtti eredményhez képest (akkor 1100 ponttal 60. helyen landoltunk), másrészt úgy érzem, az élmezőnyhöz képest sem teljesítettünk olyan rosszul. 

Összességében tehát elégedett vagyok az eredménnyel, de jövőre még keményebben kell tolni, az elmúlt 48 óra szakmai és stratégiai tapasztalatai ebben garantáltan segíteni fognak :)

A megoldott feladatok megoldásait természetesen igyekszem közzétenni (ha a csapat többi tagja is úgy akarja), kezdetnek álljon itt a már emlegetett UR100 és B200:

Frissebb: Dnet közben megírta a GB300-at és az urandom300-at is.

Hajnalban robbant a hír, hogy a sKyKWper/Flamer kártevő microsoftos aláírást használ egyes komponensei megbízhatóságának igazolásához. Az SRD posztja szerint minderre a Terminal Server Licencing Service gyengesége miatt volt lehetőség, ami gyenge kriptográfiai algoritmust (tipp: MD5) használ a Távoli Asztal kiszolgálók tanúsítványainak kiállításához. A TSLS-hez először a Microsofttól kell egy köztes tanúsítványt igényelni (tehát a Microsoft ismerheti az eredeti igénylőt), amivel a szolgáltatások hitelesíthetők, a kriptográfiai hiba azonban lehetővé tette, hogy ezt, a Microsoft gyökér tanúsítójához láncolódó, kizárólag szerver hitelesítésre szánt tanúsítványt binárisok hitelesítéséhez is felhasználják. 

(via @mikko)

A Microsoft a gyenge kriptó letiltásával, és a gyengének bizonyult köztes Microsoft CA-k feketelistázásával reagált a problémára.

Kiberháború témában egyébként remek oknyomozó cikk jelent meg a New York Times-ban - fordítás pedig az Origón - , melyben magas rangú forrásokra támaszkodva állítják, hogy a Stuxnet bevetését Barack Obama személyesen felügyelte, a féreg kiszabadulása Natanzból pedig egy programhibának volt köszönhető.

Friss: Úgy tűnik, a hamisított tanúsítvánt arra használták, hogy a Windows Update-be ékelődjenek.

Friss2: Az SRD legfrissebb posztja bemutatja a támadás részleteit. Úgy tűnik, XP-n a túlzottan megengedő tanúsítványellenőrzés miatt még MD5 ütköztetésre sem volt szükség.

Friss3: A támadáshoz állítólag egy eddig ismeretlen, választott prefixen alapuló ütközéses támadást használtak.

Hétvégén a Defcon CTF-et nyomtuk orrvérzésig, a Híreket ma este pótlom.

Az új sztárkártevővel kapcsoaltban tegnap megpróbáltam a CrySys által közzétett technikai részletekre koncentrálni, de a száraz tények mellett van néhány gondolat, melyekről talán érdemes szót ejteni.

A tegnapi poszt publikálásakor őszintén szólva hiányérzetem volt: nem láttam azt a momentumot, ami kiemelte volna a Flamert a kémprogramok tengeréből: Az antivírusok kikerülése kétségtelenül érdekes, de hasonló módszerekkel szinte minden kártevő él, ha nem is ilyen jól kidolgozott módon. A stuxnetes exploitokra érdekes egybeesésként tekinthetünk, de a két közösen kihasznált sérülékenységre már létezik publikus exploit is (MS10-046, MS10-061). A Lua-ban írt modulok, és a hatalmasnak számító méret (melynek egyik oka éppen a Lua szkriptmotor és a többi előre gyártott könyvtár) pedig a szofisztikáltság helyett bizonyos értelemben inkább a pofátlanságot támasztják alá - minek kódot optimalizálni, ha egy mai gépet úgysem fog meg jelentősen néhány plusz DLL. 

Méltatlankodásaimat ma némileg megtámogatták Weld Pond (az egykori L0pht tagja) twitteres kirohanásai, melyek lényegében arról szóltak, hogy a BO2K már 2000-ben rendelkezett azzal a funkcionalitással, amitől a Flamer esetében ma a fél világ el van ájulva. 

Átgondolva a dolgokat azonban azt hiszem, a kulcs nem ezekben a részletekben keresendő. Jobban mondva a kulcs valószínűleg nem a nyilvános részletekben keresendő. Hiszen naivitás azt hinni, hogy Irán, vagy akár a közreműködő biztonsági cégek minden információt megosztanak a közönséggel, ezzel ugyanis saját céljaiknak illetve ügyfeleiknek is ártanának (maga a közremúködés ténye is érdekes kérdéseket vet fel). Ahhoz, hogy kapcsolatot találjunk két kártevő között, nem feltétlenül szükséges reverse engineering, sokszor elég összevetni az érintett szervezeteket, vagy bejuttatási módokat. Ezekről a tényezőkről a nyilvánosságnak nincs érdemi információja, a vészharangokat kongatóknak viszont minden valószínűség szerint van, ezért nem gondolom, hogy okos dolog lenne vaklármát kiáltani. A sKyWIper tevékenységét egyesek összefüggésbe hozták azzal az áprilisi incidenssel, melynek eredményeként az iráni Olajipari Minisztérium lekapcsolta egyes internetre csatlakozó termináljait, mivel külső támadók "töröltek bizonyos adatokat" a rendszerből (vö. elnevezés). Hasonló háttér esetén az új kártevőt egyszerűen nem említhetjük egy lapon a hagyományos, kiterjedt fenyegetésekkel.

Végezetül szeretném felhívni a figyelmet Mikko Hypponen blogposztjára, melyben a szakértő egy vezető antivírus gyártó prominens képvisőjeként fogalmazza meg azt, amit már sokan, sokszor próbáltak hangoztatni: a legijesztőbb a Stuxnetben, a DuQu-ban és újabban a Flamerben az, hogy hosszú hónapokon és éveken keresztül voltak képesek működni anélkül, hogy a biztonsági szakértők egyáltalán észrevették volna őket. Ez pedig nem fest túl szép jövőképet.

Akit mélyebben érdekel a sKyWIper belső működése, a malware.lu-n talál mintákat (facecontrolos regisztráció után).

Újabb fejezethez érkezett a Stuxnettel fémjelzett kiberkém-történet. Az iráni CERTCC mai közleményében egy új, célzott támadások során használt adattolvaj szoftver felfedezéséről számolt be, melyet a gyanú szerint ismét államilag szponzorált csoportok készíthettek.

A Flamerként emlegetett szoftver a maga 20 MB-os méretével a Kaspersky sokat tapasztalt kutatói szerint minden bizonnyal valaha látott legkomplexebb károkozó. Funkcionalitását tekintve képes a hálózatokon exploitok illetve legitim Windows szolgáltatásokon terjedni és megfertőzni USB adathordozókat, frissítéset a tucatnyi C&C szerver valamelyikéről SSL-el védett csatornán tölti le. A fertőzött rendszereken folyamatosan monitorozza a hálózati forgalmat, képernyőképeket készít és továbbít, valamint képes a mikrofon és a billentyűzet lehallgatására is. 

A minta a CrySys Laborhoz is eljutott, ahol gyors elemzést tettek közzé az általuk sKyWIpernek keresztelt szoftver főbb jellegzetességeiről. A dokumentumból kiderül, hogy bár a megvalósított funkcionalitás jól felkészült fejlesztőkre és nagy költségvetésre utal, szerkezetileg kevés a hasonlóság a Flamer és a DuQu illetve a Stuxnet között - a terjedéshez használt exploitok közül néhány azonban megegyezik. A különbségeket magyarázhatja, hogy az újonnan felfedezett trójait/férget akár 5-8 év óta fejleszthetik (az egyik komponenst már 2007-ben gyanúsnak találták), de természetesen nem zárható ki az sem, hogy a szoftvert a Stuxnettől független felek készítették. 

A Flamer szokatlanul precíz rejtőzködési technikákat használ, LUA-ban írt moduljait a felinstallált biztonsági szoftverekhez igazodva tölti be több mint 300 minta alapján. Szintén érdekes, hagyományos kártevőktől szokatlan megoldás, hogy bizonyos futás során gyűjtött (meta)adatokat a trójai titkosított SQLite adatbázisban tárol. Gyanús, hogy a szoftvert nagy kiterjedésű hálózatokba szánták, ami valamelyest alátámaszthatja a komplex adatstrúktúrákra történő támaszkodást.

Az elemzés a fentieken túl öt különböző titkosítási/obfuszkációs eljárást és különböző saját fájlformátumok használatát is feltárta, de még rengeteg munkára van szükség ahhoz, hogy a kártevő céljáról és működéséről tiszább, koherensebb képünk legyen (a Stuxnet huszad ekkora volt, azt fél évig elemezték). Ha kikerül további információ, frissítem a posztot.

Friss: Kikerült a Symantec riportja is. Fő célterületek: Ciszjordánia, Magyarország, Irán, Libanon - ritkán kerülünk ilyen társaságba!

Friss2: Sophos blogposzt a témában, lényegében a CrySys és a Kaspersky jelentéseiből ollózva. A McAfee-tól Szőr Péter ragadott billentyűzetet, közzétével a cég által észlelt fertőzések helyszíneit.

Friss3: Friss agymenésem+napi összefoglaló a témában itt olvasható. A Kaspersy tovább elemezte a kódot, a friss eredmények itt ovlashatók. Számomra a legérdekesebb újdonság a Beetlejuice modul, ami Bluetooth-on néz körül a fertőzött gép környezetében, illetve hírdetheti is magát: elképzelem az ügynököt, ahogy csak végigsétál a géptermen, miközben a zsebében a telefonja felméri, hány gépet sikerült befertőzni eddig...

Friss4: Érdekes Jerusalem Post cikk, utalásokkal az izraeli háttérre. (Köszi _2501!)

A Google Chrome biztonsági csapata ígéretüknek megfelelően közzétették a Pwnium egyik díjnyertes exploitjának leírását. Pinkie Pie kis remekműve összesen hat(!) biztonsági hiba összekapcsolásával tört ki a Chrome homokozójából:

Pinkie a szép kilátásokkal kecsegtető Native Clientből indult ki a böngésző prerendering lehetőségének egy hibáját kihasználva. A prerendering lehetővé teszi, hogy a böngésző előre feldolgozza a weboldal külső hivatkozásait, így azok várakozás nélkül betöltődhetnek, amint a felhasználó meglátogatja valamelyik linket. A bökkenő ott volt, hogy egy prerenderelt oldal meglátogatásakor az összes ott lévő plug-in automatikusan lefutott, ide értve a Native Client beépülőket is, melyeket egyébként csak a telepített kiegészítők illetve alkalmazások használhatnának. 

A Native Client sandbox-a azonban még a HTML megjelenítőénél is szigorúbb, ez a lépés tehát akár kontraproduktívnak is tűnhetne, ha nem lenne lehetőség hozzáférni az alacsony szintű GPU parancspufferekhez. A GPU parancsok feldolgozásában lévő integer underflow hiba lehetővé tette 8 byte felülírását a parancspuffer utáni memóriaterületen. Mivel a Native Clienten keresztül viszonylag jól lehetett kontrollálni az írás helyét, Pinkie képes volt felülírni egy mutatópárt a GPU folyamat egyik IPC-re használt fa struktúrájában, ezzel lecserélve az egyik részfát egy saját maga által meghatározottra. Ennek segítségével tetszőlege írás és olvasás vált lehetővé a GPU folyamatban, így létre lehetett hozni egy ROP láncot.

Ez azonban csak egy újabb (kevésbé) sandboxolt folyamatba helyezte a támadót. Ebből a folyamatból elérhetővé váltak a Chrome IPC-re használt named pipe-jai, Pinkie pedig talált egy időzítésen alapuló hibát, melyen keresztül a GPU folyamatból megszemélyesíthetett egy renderer folyamatot.

A renderer folyamat azonban megint egy szigorúbb sandboxban fut, kivéve ha speciális erőforrásokat, például a beállítások vagy a kiterjesztések kezelőjét böngésszük. Egy újabb hiba lehetővé tette, hogy egy normál jogosulatlan renderer elindítsa a kiterjesztéskezelőt, és még két további sérülékenység kihasználása kellett ahhoz, hogy Pinkie Pie végül egy NPAPI kiterjesztés figyelmeztetés nélküli felinstallálásával kiterjessze hatalmát a böngésző felhasználó jogosultsági szintjére. 

Bár technikai szempontból ez a leírás még mindig csak a felszínt kapargatja, az véleményem szerint jól érzékelhető, hogy a jól kigondolt biztonsági architektúra mennyire meg tudja nehezíteni egy támadó dolgát. A részletes technikai információkat tartalmazó hibajegyek egy része már nyilvános, a hivatkozásokat megtaláljátok az eredeti posztban. 

A Pwinumon elsőként sikert arató Sergey Glazunov 10 hibát felvonultató exploitjának részleteire még várni kell egy kicsit, az ugyanis olyan sérülékenységre is rávilágított, ami a Google mellett számos más gyártó termékeit is érzékenyen érinti, ezért a publikációval megvárják, mire mindenki lép az ügyben.

Nmap 6.0

trey@HUP:

Megjelent a hálózati adminisztrátorok, rendszeradminisztrátorok szerszámos táskája egyik elengedhetetlen összetevőjének, az Nmap Security Scanner-nek 6.00-s kiadása. A bejelentés szerint a kiadás kb. három év munkájának eredményeit tartalmazza. A 2009-ben megjelent 5-ös kiadás óta 3924 commit és több mint egy tucat point release született. Az Nmap 6-ot sokkal hatékonyabb scripting motor, 289 új script, fejlettebb web szkennelés, teljes IPv6 támogatás, gyorsabb szkennelések stb. jellemzik. Részletek a bejelentésben.

Bredolab bukta

Négy év börtönre ítélték Georg Avanesovot, a Bredolab botnet gazdáját. A hálózat fénykorában 30 millió hosztot tartalmazott, Avanesov pedig a becslések szerint havi 100.000 eurót keresett spameléssel és DDoS támadásokkal.

iOS 5.1.1 untethered jailbreak

A Chronic-Dev Team és az iPhone Dev Team együttműködésével létrejött Jailbreak Dream Team áldozatos munkájának eredményeként megszületett az első (nyilvános) untethered Jailbreak az iOS 5.1.1-hez. Az Absinthe 2.0-ra keresztelt eszközt az amszterdami Hack in the Box konferencián jelentették be, letölthető a greenpois0n.com-ról.

Meghackelték az Al-Kaidát

Bár a hír hihetőségét némileg rontja, hogy Hillary Clinton hivatalos bejelentéséből tudunk róla, az amerikai hírszerzés az elmúlt évben állítólag több jemeni Al-Kaida sejthez köthető weboldalt is feltört. A honlapokon elhelyezett, amerikai katonák meggyilkolására buzdító hírdetések helyére a terror csoport civil jemeni áldozataira emlékeztető anyagokat töltöttek. A weboldalak eredeti szerkesztői ez után igyekeztek felhívni a látogatók figyelmét arra, hogy ne higyjenek el mindent, amit az interneten olvasnak...

Hegyalja

@_totlol twittelte ki, hogy a Hegyalja fesztivál hivatalos oldala szivárogtatja a saját forráskódját, és vele együtt a MySQL jelszót is. Mivel rendes elérhetőséget nem találtam, Facebookon próbáltam üzenni az üzemeltetőknek, de ha valakinek van jobb kontaktja, ne legyen rest szólni nekik!

VMware és Google Chrome biztonsági frissítések

• VMware: A vMA termék könyvtárbetöltési hibája jogosultságkiterjesztést tesz lehetővé.
• Google Chrome: 18 hibát javítottak a böngészőben, miközben majdnem 5000 dollár került kiosztásra  abecsületes bugvadászok között.

A Diablo III megjelenésével ismét csúcsra lettek járatva a Blizzard szerverei, melynek eredményeként néhány hibára is fény derült. Ehhez a képernyőképhez nincs sok mindent hozzáfűzni azon kívül, hogy remélhetőleg kamu:

(via @lo0_ro)

A másik érdekesség, hogy a Battle.net nagybetűre konvertálja a jelszavakat, ami - mint azt a Windows NT óta számtalanszor a fejünkbe vésték - igen rossz ötlet. Ron Bowes a Blizzard autentikációs rendszereinek egykori fejlesztője volt olyan kedves, és közzétett egy hosszabb blogposztot a cégnél használt három autentikációs módról. Ebben lényegében elismeri a problémát, ugyanakkor hasznos és érdekes olvasmányt is nyújt azoknak, akik a játékbirodalom védelmei iránt érdeklődnek - jó olvasgatást! 

A Yahoo! a frissen kiadott Axis böngészővel együtt sikeresen nyilvánosságra hozta a Chrome bővítmények aláírására szolgáló titkos kulcsát is, melynek birtokában bárki készíthetne olyan - potenciálisan rosszindulatú, man-in-the-browser - kiegészítőket, melyek látszólag az általában megbízhatónak ítélt óriáscégtől származnak. 

A hibát rövid úton jelezték a Google-nek, aki feketelistázta a privát kulcsot, és letiltotta az azt tartalmazó bővítményt.

(Kép a CNET-ről)

Behrang Fouladi remek blogposztot tett közzé a szoftveres SecurID tokenek működéséről, másolási illetve klónozási lehetőségeiről. A szoftveres SecurID a hardveres (kulcstartós) megoldáshoz hasonlóan két faktoros autentikációhoz használatosak, létezésüket az okos mobil eszközök egyre nagyobb elterjedtségével indokolják. 

Fouladi a Windows-ra készült verziót kapkodta szét és talált néhány érdekességet. A gyártó szerint a szoftver tokenek eszközhöz köthetők, vagyis elméletileg nem lehet ugyanazt a tokent használni két eltérő munkaállomáson. A valóság ezzel szemben az, hogy a kötéshez használt DeviceSerialNumber paraméter Windows-on az aktuális felhasználó SID-jéből, valamint a gép hosztnevéből származik, melyek nem pusztán könnyen kitalálható (brute-force), de akár távolról lekérdezhető (DNS, RPC) adatok.

A másik közzétett módszer a token adatbázis lemásolásának és megfejtésének módját adja meg. Az álvéletlen generáláshoz használt seed illetve checksum értékek egy SQLite adatbázisban vannak tárolva, a Windows Data Protection API segítségével titkosítva a géphez illetve a felhasználóhoz tartozó mesterkulcsokkal. A gyártó szerint ez a titkosságon túl másolásvédelmet is jelent, ez azonban csak addig igaz, amíg a támadó nem rendelkezik rendszer szintű jogkörrel a szoftver tokent futtató gépen. Ekkor ugyanis az egyszerű fájlokban tárolt kulcsok triviálisan lemásolhatók a token adatbázissal együtt. Ezek birtokában a támadó tetszőleges jövőbeni időpontra kiszámíthatja a token által generált egyszeri kulcs értékét.

Mindez persze nem jelent túl nagy meglepetést a információbiztonságban járatosabbak számára: ha egy helyen van tárolva a titkosított adat és a kulcs, egy kellően erős támadó számára a titkosítás lényegében nem létezik. Fouladi leírása azonban felnyithatja azok szemét, akik eddig pusztán az RSA sales anyagaira támaszkodva alakították ki két faktoros autentikációs rendszerüket, másrészt biztonsági tesztekkor is jól jöhet egy ilyen összefoglaló a hadra fogott biztonsági szakértőknek. 

A szoftveres megvalósításból eredő gyengeségek célszerűen hardverből orvosolhatók: aki teheti, használjon TPM chipes kötést illetve titkosítást, vagy vegye meg a hardveres implementációt - és feledkezzen meg az elmúlt év eseményeiről.

Dnet jelentkezik az új HACK-ből:

Május 25-én pénteken, 18:00-kor kísérleti jelleggel új program indul, sikere esetén kétheti vagy havi jelleggel történő ismétlődést sem utasítjuk el. Neve Privacsy, utalva ezzel a privátszféra erősítésére és egy kellemes vacsorára, melyet a helyszínen, önkéntes segítséggel készítünk el. A vacsora elkészülte után lehetőség van rövid előadásokra (vö. lightning talk) és közös beszélgetésre egy tál meleg kaja, egy üveg mate és/vagy sör társaságában. Az esemény jellege nem zárja ki a PGP és/vagy CAcert WoT építését/terjesztését sem. Az első ilyenre én és dittygirl vállaljuk a kaja részét, az adagok tervezése érdekében kérek mindenkit, aki részt kíván venni, küldjön dnetnek privátban egy e-mailt.

Jogosultságkiterjesztésre alkalmas hibát javítottak a sudo-ban. A probléma a távoli felhasználókhoz rendelt hálózati tartományok helytelen kezeléséből, egész konkrétan egy kifelejtett break kifejezésből adódik:

switch (family) {
  case AF_INET:
     if (ifp->addr.ip4.s_addr == addr.ip4.s_addr ||
     (ifp->addr.ip4.s_addr & ifp->netmask.ip4.s_addr)
     == addr.ip4.s_addr)
       debug_return_bool(true);
     break; # Ez bizony kimaradt...
#ifdef HAVE_STRUCT_IN6_ADDR
  case AF_INET6:
     if (memcmp(ifp->addr.ip6.s6_addr, addr.ip6.s6_addr,
     sizeof(addr.ip6.s6_addr)) == 0)
       debug_return_bool(true);
     for (j = 0; j < sizeof(addr.ip6.s6_addr); j++) {
       if ((ifp->addr.ip6.s6_addr[j] & ifp->netmask.ip6.s6_addr[j]) != addr.ip6.s6_addr[j])
         break;
     }
     if (j == sizeof(addr.ip6.s6_addr))
       debug_return_bool(true);
     break;
#endif /* HAVE_STRUCT_IN6_ADDR */
 }

(Szebb patch itt van)

A hiba következtében IPv4-es címek esetén a hálózati maszkok ellenőrzésekor a végrehajtás tovább halad az IPv6 ágra, ha az IPv4 maszk illesztése nem sikerült. Mivel azonban ebben az esetben az IPv6-os változók inicializálatlanok, az összehasonlítás végül sikerrel végződik, vagyis olyan felhasználónak is megadatik az emelt jogosultság, aki nem a konfigurációban megadott hálózatból érkezett.

Többek között ezért kell jól odafigyelni, hogy mindig kiírjuk azokat a fránya breakeket.

Notepad++

Feltörték a magyar fejlesztésű Notepad++ szövegszerkesztő weboldalát. A honlapon Facebook adathalászatra szánt linkeket helyeztek el, a letöltéseket az elérhető információk szerint nem érintette az akció.

Kickstarter

Az új ötletek közösségi finanszírozását támogató Kickstarter elismerte, hogy nagyjából 70.000, publikálás előtt álló projekt volt elérhető az Interneten egy API hiba következtében. A cég jelentése szerint mindössze néhány tucat projekt adataihoz fértek hozzá illetéktelenül, pénzügyi információk pedig nem szivároghattak ki. Mindazonáltal a Kickstarter elnézést kért a történtekért, a hibát pedig azóta természetesen javították.

iOS app security

Negyedik részénél tart Ysombor iOS hackeléssel kapcsolatos cikksorozata. Magyar nyeven valószínűleg egyedülálló olvasmányról van szó, az érdseklődőknek irány a NOPblog!

EMET 3.0

Megjelent a Microsoft Enhanced Mitigation Experience Toolkit 3.0-ás verziója. A Windows megerősítő funkcióinak finomhangolását lehetővé tevő szoftverlegfőbb újdonsága a továbbfejlesztett nagyvállalati integráció.

A Te Bankod

Még a Subbát is megjárta bra felfedezése (a tükrözésért thx Gabucionnak!), mely szerint a yourbank.hu kint hagyta az OTP-vel folytatott SZÉP kártyás tranzakciók naplóit a weben, így gond nélkül lehetett böngészni, milyen értékben és kinél fogyasztottak a kedves vásárlók. A cég az OTP-n kívül a K&H-val CIB-bel és az MKB-val is partneri kapcsolatban áll - legalábbis egyelőre. Akit érdekel, a rendszerdokumentáció Google cache-ből még mindig olvasgatható (thx GHost!).

Ustream DDoS

Komoly, többlépcsős DDoS támadással bénították meg a magyar gyökerekkel rendelkező, budapesti székhelyű Ustream szolgáltatásait. A támadás apropóját minden bizonnyal az orosz kormányellenes tüntetések adták, melyek beszámolóinak jó része a Ustreamen keresztül volt elérhető. Hasonló esetek korábban már két alkalommal történtek szintén az orosz ellenzék aktivitásához igazodva. Brad Hunstable, a cég egyik alapítója úgy nyilatkozott, hogy bár rendszeresen ki vannak téve túlterheléses támadásoknak, amikre fel is vannak készülve, ennyire adaptív ellenféllel még nem volt dolguk. A támadók összesen hét különböző módszerrel izzasztották a Ustreamet Oroszországból, Kazahsztánból és Iránból, 10 órás kiesést okozva a szolgáltatásban. Hunstable nyilatkozatában hangsúlyozta, hogy a szolgáltatás fenntartártására mint az internetes szólásszabadság megőrzésére tekint.

Hollandia vs. DigiNotar

A Holland állam 8.7 millió eurót követel a DigiNotartól az általa okozott károk kompenzálására. Mint ismeretes, a digitális tanúsítványok kiállításával foglalkozó céget tavaly nyáron támadás érte, melynek eredményeként több száz tanúsítvány került illetéktelenül kiállításra olyan szervezetek nevére mint például a Google vagy a Mozilla. A DigiNotar - aki egyébként a holland állam hivatalos beszállítója is volt - tovább tetézte a bajt azzal, hogy az incidensről sem az érintett szervezeteket, sem a szélesebb nyilvánosságot nem tájékoztatta. A DigiNotar azóta kikerült a böngészők fehérlistáiról, és csődbe ment. 

Bitcoinica

87 ezer dollárnyi bitcoint zsákmányoltak támadók a Bitcoinica egyik szerveréről. Az incidens a szolgáltató rendszerének csak egy kisebb szegmensét érintette, a károsultak számára pedig az ígéretek szerint megtérítik az elveszett virtuális valuta értékét. A Bitcoin árfolyama persze nem köszöni meg ezt az incidenst sem.

Apple frissítések

Az Apple biztonsági frissítéseket hozott ki OS X-hez és az iOS-hez is, mindkét rendszeren kritikus biztonsági problémákat javítva. Ennél többet a szűk szavú bejelentéseknek köszönhetően nem nagyon lehet tudni. A Computer World számításai szerint nyár végére - a Mountain Lion megjelenésével és a Snow Leopard biztonsági támogatásának megszűnésével - az OS X-et futtató gépek majdnem fele kiszolgáltatott marad a támadásokkal szemben. Közben a Flashbackből elvileg havi 10.000 dollárt is nyerhetnek a terjesztők.

A hétvégi összefoglalóban akartam írni a témáról, de beesett néhány új infó, amiért úgy gondolom, megéri külön posztot nyitni. 

Az amerikai Belbiztonsági Minisztérium (Department of Homeland Security - DHS) alá tartozó, ipari vezérlőrendszerek biztonságára felügyelő ICS-CERT legutóbbi közleményében egy december óta tartó támadássorozatról számolt be, melynek célpontjai földgázvezetékek működtetésével foglalkozó cégek voltak. A támadásokhoz a már jól ismert célzott adathalász támadásokat alkalmazták a dolgozók jól megválasztott csoportjaival szemben.

Mivel kényes nemzetbiztonsági kérdésről van szó, ennél többet nem nagyon lehetett tudni a témában. A Christian Science Monitor viszont úgy értesült, hogy SCADA biztonsággal foglalkozó cégek összefüggéseket találtak a mostani és az RSA-nál történt incidensek között. A DHS által vizsgálatra átadott bizonyítékok alapján legalábbis a Critical Intelligence és a Red Tiger Security szakértői is ugyanerre a következtetésre jutottak. A kiszivárgott információk szerint a két esetnél ugyanazokat a vezérlő domaineket használták, és számos egyéb apróság is egy irányba mutat.

Mindez azért különösen érdekes, mert az RSA esetében amerikai kormánytisztviselők úgy nyilatkoztak, hogy a támadás forrásaként Kínát azonosították. A Pentagon kiberstratégiája szerint pedig az olyan kritikus infrastruktúrát ért támadásokra, mint amilyenek a gázvezetékek is, akár hagyományos katonai csapással is válaszolni lehetne. Eközben a kínai és amerikai védelmi miniszterek találkozójukon cáfolták, hogy online hidegháború folyna a két ország között - és valóban, a helyzet a legkevésbé sem mutatja a kihülés jeleit.

Szigorúan konteóként kezelendő, de érdemesnek tartom megjegyezni, hogy éppen a gázvezetékekről szóló hírek megjelenésének idején jött ki a legutóbbi, célzott támadásokat emlegető Adobe biztonsági frissítés.

Az Adobe a múlt szombati rohamjavítás után kedden kijött a Microsofthoz igazított rendszeres havi frissítőcsomagjával. Foltok készültek az Illustratorhoz, a Photoshophoz a Shockwave Flash-hez és az Flash Professionalhez. A Shockwave frissítése 2-es, a többi szoftveré 3-as prioritású. Mac felhasználóknak hasznos újítás, hogy szintén a héten kijött Apple frissítéssel érkező Safariban alapértelmezetten letiltásra kerülnek a régi Flash verziók, az elavult változattal rendelkezőket a legfrissebb változat letöltéséhez irányítja a böngésző.

Rosszabb képet fest, hogy a Photoshop, Illustrator és Flash Professional felhasználóknak CS6-ra kell frissíteniük a problémák megoldásához, tehát csak pénzért juthatnak hozzá a biztonsági frissítésekhez. Az Adobe azzal indokolja a lépést, hogy szerintük a ezek a szoftverek nincsenek kitéve valós támadásoknak. Én pedig azt mondom, hogy még nincsenek, vagy nem tudunk róla (itt egy nem túl komplikált exploit), egy ekkora gyártónak pedig illene felelősséget vállalnia a termékeiért, és nem a felhasználókat lehúzni a saját maga által elkövetett hibák miat egy alig egy éves szoftver esetén.

Frissítés: Az Adobe csendben frissítette a figyelmeztetőit, és most már azt írja, hogy a CS5.x verziókhoz folyamatban van a javítás elkészítése, kiadási tervekről azonban egyelőre nem tudni.

Helyesbítés: A fizetős frissítés a Shockwave-en kívül mindegyik termékre vonatkozott, nem csak a Photoshopra. Javítottam az eredeti szöveget.

MS12-029: A Microsoft Office helytelenül kezeli az RTF fájlokat, ami kódfuttatásra ad lehetőséget a szoftvercsomag 2003-as, 2007-es, valamint a Mac-ekre szánt 2008-as és 2011-es változataiban, valamint a MS Compatibility Pack SP2-ben és SP3-ban. A hiba már a fájlok előképének megrajzolásakor triggerelődik. Az Office 2007-ben azért kapott ez a hiba a 2003-asnál súlyosabb besorolást, mert előbbi esetben az Outlook e-mail kliens alapból a Word-öt használja az e-mailek megjelenítésére, így a hiba e-mailben is egy lépésben kihasználható.

MS12-030: Szintén Office-t érintő javítás, ezúttal az Excel komponensre. A hat javított sérülékenység szinte az összes Office változatot érinti. Mac-en ez a csomag helyettesítheti az előzőt és fordítva. A CVE-2012-0143 jelűsérülékenységről elméletileg elérhető nyilvános információ, én eddig nem találtam.

MS12-031: Még egy, kevéssé izgalmas javítás az Office csomaghoz, ezúttal csak a Visio Viewer 2010 érintett.

MS12-032: Egy jogosultságkiterjesztésre és egy tűzfal megkerülésre alkalmas hiba javítása Vistához és nála újabb Windows változatokhoz. A jogosultságkiterjesztés esetében egy double-free problémáról van szó, míg a tűzfalmegkerülés a kimenő broadcast üzenetek helytelen kezelése miatt lehetséges.

MS12-033: A leírás alapján feltehetően egy versenyhelyzetből adódó probléma ad lehetőséget privilégiumemelésre új Windows változatokon. A hiba a Partíciókezelőt érinti. 

MS12-034: A hónap legérdekesebb javítócsomagja, mégpedig azért, mert érinti az összes támogatott Windows változatot, az összes PC-s Office-t, az összes .NET 4 verziót, valamint a Silverlight 4-et és 5-öt is (csak görgessetek végig az érintett szoftverek listáján...). A már-már kaotikusnak tűnő helyzetre az SRD ad magyarázatot: ez a javítócsomag újra a Duqu által kihasznált, a CrySys-nek köszönhetően tavaly már egyszer javított TrueType font feldolgozási hiba (MS11-087) nyomába ered, mivel a Microsoftnál felismerték, hogy a sebezhető kódrészlet számos más helyre is átszivárgott a win32k.sys-ből.

A fenti szoftverek valamilyen formában mind tartalmazták a hibát, így egy "megapatch" kiadására volt szükség. A redmondiak pedig ha lúd, legyen kövér alapon ebbe a bulletinbe tolták be az MS11-087 miatt javítandó binárisok egyéb foltjait is. Így a csomag javít plusz egy TrueType feldolgozási hibát, GDI+ sérülékenységeket, egy üzenetkezelésből adódó jogosultságkiterjesztés problémát, .NET és Silverlight sebezhetőségeket, valamint backportolja a Windows Vista billentyűzet-kiosztás-betöltési szabályát is. Utóbbi pont eredményeként a billkiosztást. leíró fájlokat csak a system32-ből lesznek hajlandók betölteni a régebbi Windows verziók is.

Friss: Windows Kernel ReadLayoutFile Heap Overflow - Core Security 

MS12-035: Két helytelen objektumszerializációból adódó probléma javítása a .NET keretrendszer összes változatához. A sérülékenységek böngészőn keresztüli kódfuttatást, vagy a Code Access Security megkerülését tehetik lehetővé. A támadó mindkét esetben komplett uralmat szerez az áldozat gépe felett.

Kiírásra került az idei Hacktivty Call For Papers. A szervezők a szokásos előadások mellett idén is várják a tisztán gyakorlati, bevezető jellegű Hello Workshop témákat. A nemzetköziesedés érdekeit szem előtt tartva javasolt angol nyelvű prezentációkkal készülni. A pályázatokat június 1-ig kell elküldeni a cfp kukac hacktivity.com e-mail címre. Részletes információk a pályázat feltételeiről a rendezvény hivatalos oldalán olvashatók.

The Unknowns

Új "hacker csoport" tűnt fel a horizonton, a The Unknowns sikeresen bejutott egyes NASA-hoz, az amerikai hadsereghez, az Európai Űrhivatalhoz, a thai haditengerészethez, a Harvard egetemhez, a Renault-hoz, valamint a francia és bahreini védelmi minisztériumokhoz tartozó webszerverekre is. A képernyőképek alapján valószínűleg most is egyszerű sqlmap-huszárkodásról van szó. A The Unknowns által kiadott közlemény szerint a csoport a fontos webhelyek biztonsági hiányosságaira akarja felhívni a figyelmet, és örömmel látják, hogy a kiszivárogtatott információk gazdáinak többsége már javította is a problémákat. Hab a tortán, hogy a helyesírással sem állnak annyira hadilábon, mint az anonok - a vezetőnek látszó ZyclonB egyébként úgy tűnik, német.  

Megvan a MAPP szivárogtató

Hunger@HUP:

Mivel az MS12-020 RDP hibára kiszivárgott a Microsoft Active Protection Program tagjai egyikétől a belső tesztelésre szánt Proof-of-Concept exploit, ezért a gyártó nyomozásba kezdett, hogy melyik ügyfele sértette meg az NDA-t.

Úgy tűnik, hogy megtalálták a szivárogtató partnert a kínai Hangzhou DPTech Technologies Co., Ltd. személyében.

Sokan arra tippeltek, hogy a kiszivárgott PoC miatt az eredetileg 30 napra tippelt éles exploit helyett már jóval korábban meg fog jelenni rá publikus kód, azonban erre azóta se került sor.

A Microsoft Security Response Center bejelentés itt.

Az OS X frissítés FileVault jelszavakat szivárogtat

Az OS X Lion 10.7.3-as frissítésében feltehetően véletlenül engedélyezve hagyták a DEBUGLOG funkciót, melynek kellemetlen következményeként a FileVault régebbi verzióját home könyvtáruk titkosítására használó felhasználók jelszavai megjelentheznek a merevlemez titkosítatlan részein is. A problémáról David Emery számolt be a Cryptome levelezőlistán. Ezzel a titkosítási funkció gyakorlatilag értelmét veszti, javítás egyelőre nincs, elkerülő megoldásként a FileVault teljes merevlemez titkosítása alkalmazható, de a TimeMachine lemezképekben így is ottmaradhatnak a jelszót nyíltan tartalmazó napló fájlok.

Lekapcsolták John McAfee-t

Politikai indítékról beszél John McAfee (igen, Az a McAfee), miután kommandósok tartóztatták le belize-i otthonában. A közép-amerikai ország szervei illegális fegyvertartásra hivatkozva ütöttek rajta McAfee-n, 17 éves barátnőjén (WTF?), a birtokon tartózkodó vendégeken és biztonsági személyzeten. Az akció során lefoglaltak egy halom fegyvert, némi házliag gyártott antibiotikumot, és lelőttek egy kutyát. McAfee szerint minderre azért került sor, mert - bár a helyi rendőrséget nagylelkű adományokkal látta el - nem volt hajlandó anyagilag támogatni egy helyi politikust. A hatóság közleménye ezzel szemben azt írja le, hogy McAfee-nak nem lett volna joga gyógyszert előállítani, biztonsági őrei közül kettőnek nem volt engedélye ilyen munka betöltésére, egyes fegyverek tartására nem volt engedélye a birtokon tartózkodóknak, valamint hogy McAffe barátnője kiskorúnak számít az országban. Utóbbi közlemény ugyanakkor kissé zavaros, a biztiőrök számát egyszer 4-re, máskor 5-re teszi, és a gyógyszeres vád is érdekesnek tűnik annak fényében, hogy az egykori AV gyáros most éppen antibiotikum üzletben utazik. 

A fentiek alapján gondolhatjátok, hogy érdemes kicsit utánanézni ennek a nem mindennapi figurának...

Tanulj hackelni!

trey@HUP:

A Barnes & Noble panaszbejelentés nyomán eltávolította üzletei polcáról a Linux Format magazin 154., "Learn to Hack" című számát. A címlapon szereplő "Hack" szót itt nem a hagyományos programozási, fejlesztési, alkotási értelemben használták, hanem a rendszerek biztonsági rendszereinek kijátszása, gyenge pontjainak, sérülékenységeinek kihasználása értelemben.

A magazinban egyebek mellett a Metasploit Framework-ről, jelszótörésről, hálózati forgalom lehallgatásáról stb. volt szó. A cenzúrát kiváltó, rendkívül veszélyes cikk elolvasható itt.

VMware és Google Chrome biztonsági frissítések

• Chrome: három magas kockázatú sérülékenység javítva, 1000 dollár jutalom kiosztva.
• VMware: Távoli illetve Guest->Host kódfuttatásra alkalmas hibák is javításra kerültek, erősen ajánlott frissíteni.

Google-ről érkezőknek: nem fogom megmutatni, hogyan törd fel a csajod/pasid Facebook fiókját.

Korábban említettem Glenn Mangham esetét, akit először 8 hónap börtönre ítéltek a Facebook rendszerének feltöréséért, majd később a bíróság lefelezte a büntetést, így most a srác szabadlábon van. Az ügy lezárultával Glenn egy hosszabb blogposztot tett közzé, melyben kifejti, ő hogyan látta a történteket.

Az ügy háttere röviden annyi, hogy Glenn a reménybeli FB fejlesztőknek szánt játékokat futtató alkalmazás hibáját kihasználva hozzáfért a cég alkalmazottainak e-mailjeihez, és a rendszer forráskódjaihoz is, melyeket saját számítógépére le is töltött. Az akciót idő közben észlelték a közösségi oldal biztonsági szakértői, és értesítették az FBI-t, akikkel együttműködve csapdákat állítottak a rendszerben. Glenn is észrevette, hogy lebukott, és megpróbálta eltűntetni a nyomait, de ekkor már késő volt, a hatóságok rövid nyomozás után lecsaptak rá. 

A hacker mostani nyilatkozatában elismeri, hogy hibázott, és vállalja tetteinek következményeit, de az eljárás néhány részletével kapcsolatban kemény kritikát fogalmaz meg. Állítása szerint az ártó szándékot semmilyen bizonyíték nem támasztja alá. Eddigi pályafutása, melynek során többször együttműködött különböző rendszerek üzemeltetőivel biztonsági hibák befoltozásának érdekében, valamint a tény, hogy a birtokába került forráskódokat nem szivárogtatta ki, véleménye szerint éppen a jószándékot támasztja alá. Úgy érvel: a birtokába került kódokat egy offline gépen tárolta, így azok tulajdonképpen nagyobb biztonságban voltak, mint a Facebooknál :) 

Mindez persze nézőpont kérdése, mint ahogy az is, hogy a nyomtakarítás, mint pánikreakció elfogadható-e egy "etikus" hack során, vagy hogy a hibák bejelentése jó lépés lett volna-e a lebukás után, az FBI-al a pályán (a "White Hat policy" az eset idején még nem létezett). A Glenn által megszellőztetett apró részletek a nyomozásról azonban egyértelműen mutatják, hogy a Facebook embereit sem kell félteni, ha incidenskezelésről van szó. Minimum a legális határok feszegetésének tűnik, hogy az egyik Glenn tulajdonában álló domain tulajdonosát az eset után egyszer csak átírták, majd jelszóemlékeztetőt kértek az adminisztrációs felülethez (a hatóságnak feltehetően lettek volna egyszerűbb, kevésbé látványos eszközei a domain megfigyelésére). Emellett jól érzékelteti a Facebook politikai erejét, hogy a Glenn brit hatóságok által lefoglalt útlevelének fényképe eljutott Joe Sullivan (becenevén Tomahawk Joe), a Facebook biztonsági főnökének irodájába, a fülön csípett csalók és pedofilok arckép-trófeái közé. 

Korábban én is belefutottam érdekességekbe a Facebook háza táján, és Tomahawk Joe is többször egyértelműve tette (ha valaki megtalálja a vonatkozó előadást, szóljon!), hogy ha kell, felveszik a kesztyűt a betolakodókkal szemben. A felelős bejelentésekre vonakozó új irányelvek és "A Hacker Út" követése viszont remélhetőleg lehetőséget teremt rá, hogy a kíváncsi kutatók megkülönböztethessék magukat a pedofiloktól és viagraárusoktól. 

Az Adobe gyorsfrissítést adott ki a Flash Playerhez, mivel a szoftver egy sérülékenységét kihasználó célzott támadásokról kaptak híreket. A probléma okaként "objektum tévesztést" (object confusion) jelölnek meg, melynek jelentése nem kristálytiszta, a magam részéről azt valószínűsítem, hogy valamiféle tervezési hibáról lehet szó, mely ellen a hagyományos megerősítő megoldások többsége hatástalan - de ez csak egy tipp. 

Az F-Secure demonstrációs videóján látható az elcsípett éles exploit, ami egy "Arinc or BOEING.doc" nevű Word doksiba ágyazott Flash objektumon keresztül igyekszik kihasználni a hibát (nem értem az ilyenre miért nem ugrik alapból minden AV heurisztika...). Újfent érdekes kérdés, hogy vajon kinek szánhatták ezt az üzenetet...

A lejátszók frissítése Windows platformon, illetve a Chrome böngészőben automatikusan megtörténik, a többi felhasználónak kézzel kell frissítenie, az androidosok a Google Playről szerezhetik be a javítást.

Apró friss: A Wired remek cikket hozott a célzott támadásokról, érdemes elolvasni. 

Friss: A Contagio oldalán részletes elemzés olvasható egy másik mintáról, ami egy Uyghur találkozó meghívójának álcázza magát.