Sok helyen lehetett róla olvasni, úgyhogy én csak egy rövid jegyzetet írok a SZÉP kártya ügyben. Detritus remekül összefoglalta a problémát: 

Az csak az egyik probléma, hogy bár pénzt költesz, nem kérnek PIN kódot; ez bizonyos bankkártyáknál is előfordul, persze ott sem helyes. A nagyobb gáz az, hogy a bizonylatra rányomtatják az egész (!) kártyaszámot lejárati idővel együtt (!) (meg a tulaj nevét, meg a kibocsátó nevét...). A "támadási vektor" tehát az, hogy elmész a plázába, kukázol magadnak egy ilyen blokkot, elböngészel a kedvenc webshopodba, és veszel magadnak valami szépet (már persze amit ezzel lehet venni).

Bár az online tranzakciókhoz a cvv-t is el szokták kérni (ami a kártyára van nyomtatva az aláírás mellé és elvileg sehol nem tárolják (bár láttunk mi már karón szaros palacsintás varjút)), de a BalaBites srácok tesztjei azt mutatják, hogy a cvv sokszor simán "elgépelhető", a tranzakció anélkül is teljesül.

De a legszebb ez az érvelés:

Egy banki szakértő elismerte, hogy az online tranzakcióknál van probléma, de a kockázatelemzés alapján arra számítanak, hogy egymillió tranzakcióra talán száz csalás jut. A bankoknak a veszélyek mellett azt is számításba kellett venniük, hogy PIN-kódot használó infrastruktúra felépítése pedig elég drága, és körülményesebb is a használata, emellett úgy gondolják, a Szép-kártyát jellemzően alacsony keresetűek használják, akik hamar elköltik majd a rajta lévő összeget.  

Andy Greenberg, a Forbes újságírója a Pwn2Own-on felbuzdulva nekiállt, és összerakott két áttekintő cikket (egyik, másik) az "elit" exploit piacok működéséről. Az írásokból nem csak a keresleti és kínálati oldal jellegét ismerhetjük meg, hanem a mindig mindenhol hétpecsétes titokként kezelt árszabásról is kaphatunk információkat. Mindenkinek ajánlom, hogy a cikkeket eredetiben olvassa el, így kell újságot írni! Én most csak néhány saját gondolatomat osztanám meg veletek, kiegészítésként a témában írt korábbi agymenésemhez.

A fenti táblázat azt hiszem jól mutatja, mekkora üzlet van a 0-day exploit fejlesztésben. Mielőtt azonban fuzzing clusterek kiépítése céljából elkezdenétek pénzzé tenni ingóságaitokat, nem árt végiggondolni pár dolgot:

Igazából senki sem tagadja, hogy itt gyakorlatilag fegyverkereskedelemről van szó. Nem tudhatjuk, hogy szoftverünket szép hazánk védelmében, egy jó kis afrikai polgárháború kirobbantásához, vagy valamilyen világösszeesküvés támogatására fogják-e használni - további ötletek meríthetők A háló kalózai sorozatból. Persze láthatóan vannak, akik könnyebben megbékélnek ezzel a hivatással, mint tudjuk, "a lőszergyáros jó ember / valamiből élni kell". 

De azoknak is, akiknek a hat számjegyű összegek hatékonyan gyógyítják lelkiismeretét, érdemes elgondolkodniuk a költség oldalon is. Ennyi pénzből talán még futja riasztóra, szöges kerítésre, páncélautóra, fegyveres testőrökre, de senkinek nem kívánom, hogy naponta azon kelljen aggódnia, hazajön-e a gyerek a suliból...

És egy kis elgondolkodtató adalék a végére: április 1-én jár le a Blue Hat Prize nevezési határideje. A pályázat célja a szoftveres megerősítő megoldások új alapokra helyezése, hosszú távú hatást gyakorolva az IT-biztonságra. A korszakalkotó újítás kiagyalójának 200.000 dollárt, egyetlen árva IE bug árát ajánlotta fel a Microsoft...

Korábbi posztok alkalmával már felmerült, hogy érdemes lenne kicsit részletesebben körbejárni a népszerű böngészők aktuális megerősítő megoldásait, hogy minél többen képbe kerüljenek az oprendszer szintű védelmek, sandboxok és védett módok útvesztőjében. Szerencsére a Microsoft nem rég kihozott egy áttekintő posztot az Internet Explorer 10 biztonsági újdonságairól, remek motivációt adva számomra a sorozat elkezdéséhez :

Hannibal Lecter kérését közvetítem :) 

Kedves Hackerek!
Néhányan emlékezhettek rám a Hacktivity rendezvényekről. Pszichológus hallgatóként, a hackerek személyiségjellemzőit szeretném vizsgálni, ehhez kérem szépen a segítségeteket. Kérlek, töltsétek ki a http://pszichologia-kutatas.pte.hu/ oldalon lévő kérdőívet! Köszönöm a segítségeteket!
Zala Márton

Kritikus Asterisk és FreePBX sebezhetőségek 

Több kritikus és pár kevésbé veszélyes biztonsági probléma is sújtja a népszerű Asterisk kommunikációs szoftvert és a köré épített FreePBX menedzsment alkalmazást. A súlyosabb problémák távoli kódfuttatást tesz lehetővé egy csúnya webes hibán és egy puffer túlcsorduláson keresztül. 

PayPal XSS

Egyre többször mondom el én is, hogy ezekkel a fránya XSS-ekell nehezebb leszámolni, mint az ember gondolná. Még az olyan nagy, biztonságkritikus szolgáltatások, mint a PayPal is érintetté válhat. A H-Online egyik olvasója által felfedezett rés egy triviális helyen, egy keresőmezőben volt. 

Százmilliókat loptak orosz kiberbanditák

Az elmúlt évek egyik legnagyobb fogása lehet annak a nyolc orosz férfinek a letartóztatása, akik egyes számítások szerint majdnem félmilliárd forintnyi rúbelt akasztottak banki trójaik terjesztésével. Az USA-ban közben két évre ítéltek egy szintén orosz származású fiatalembert, aki 3 millió dollárt fújt meg a szabadság virtuális földjéről. Lazán kapcsolódó hír, hogy jelenleg is zajlik egy tömeges támadás WordPress site-ok ellen, legyetek résen! 

Kormányzati kártevő

Kormányzati dokumentumok lenyúlására szakosodott, grúz állami hosztokat C&C-ként használó kártevőt azonosítottak az ESET munkatársai. További infók az Antivírus Blogon

Hosszabb csend után hétfőn új DuQu variánst fedezett fel a Symantec. Az új változat megjelenése azt jelzi, hogy a készítők nem hagyták abba a munkát az első "lebukás" után sőt, a Kaspersky  egyik szakértője szerint ezt a példányt már úgy tervezték, hogy a CrySys specializált DuQu detektora se szúrja ki (lehet, hogy csak emiatt történt frissítés?). Arra következtethetünk tehát, hogy a szoftvert nem egy eldobható eszköznek, hanem hosszú távú felhasználásra szánták, ami passzol a keretrendszer-szerű, moduláris működés elméletéhez.

A detektorból egyébként nemzeti ünnepünkön jött ki a legújabb, számos újdonságot tartalmazó 1.23-as verzió - vajon voltak-e olyan előrelátók (vagy jól értesültek :) a DuQu gazdái, hogy el tudjanak bújni a legfrissebb keresőszoftver elől is? 

Sok a kérdés, kevés a válasz.

PS: Kiderült, hogy a "DuQu keretrendszere" nem valami földöntúl programnyelven, hanem objektum-orientált C-ben készült, MSVC2008-cal forgatva.

Friss: Az új mintára alapozva megjelent a detektor 1.24-es változata, frissített szignatúra listával. 

2012. március 29-én, csütörtökön, nagyszabású, ingyenes* IT biztonsági napot tartunk a MIX Club és Étteremben. A tavalyi első, telt házas (350 résztvevő) rendezvényünkhöz hasonlóan első kézből ismerheted meg az utóbbi évek legérdekesebb IT biztonsági projektjeit: partnereink mutatják be, hogy miért és hogyan választották termékeinket, ezeken lesz a hangsúly: költséghatékonyság, optimalizáció, egyediség, minőség. Vendégelőadóink interaktív előadásokban mutatják be a legaktuálisabb IT biztonsági fenyegetéseket és problémákat.

 

Időpont: 2012. március 29. 08:30-17:00

Helyszín: MIX Club és Étterem

 

* A biztributor IT biztonsági nap számodra ingyenes, amennyiben megadod IT szállító partnere(i)d cégnevét (Egyéb megjegyzések rovatban). Magánszemélyeknek az IT biztonsági nap ára: 29.900 ft + áfa/fő.

MS12-020 státusz

Az események lassulni látszanak, a probléma természetnek feltárása még a PoC és a több helyről származó leírások birtokában is nehéz. IRC-n még mindig több mint 300-an figyelnek, de a téma a bináris analízisről kezd átterelődni az összeesküvéselméletekre és a transzvesztitákra. Néhányan honeypotokkal próbálják elkapni a titokban dolgozókat, és a web pásztázása (PasteBin és társai) is folyamatos. Utóbbi irányból sorban kerülnek elő a kamu kódok, ne dőljetek be nekik!

<wtfr0g> deft: how long it took to your guy till he got rce ?
<deft> wtfr0g: from may to umm.. about august or so
<deft> 1 guy

 A HUP-os kommentek között többen panaszkodnak arra, hogy a hivatalos javítás után megdöglenek egyes konfigurációk, ami biztosan nem fog jót tenni a frissítési ablaknak.

Friss márc.19:

Úgy tűnik, Kostya Kortchinsky képes kontrollálni az EAX regiszter tartalmát. További frissítések a dedikált posztba mennek.

nCore incidens

A népszerű nCore torrentoldal egyik magas rangú tagjának hozzáférésével kezdett el csibészkedni valamelyik okostojás, nagy problémát szerencsére nem okozott. További infók az ASVA.info-n.

iPad 3 jailbreak

Bár a szélesebb nyilvánosság számára használható eszközökre még várni kell, "laboratóriumi" körülmények között a megjelenéstől számított 24 órán belül sikerült jailbreakelni az új iPad-et, a jelek szerint több különböző módszerrel is. 

Lekapcsolták GeoHot-ot

Marihuána birtoklásáért vették őrizetbe GeoHot-ot, a leginkább PlayStation törésével, és a Sony-val szemben vívott jogi küzdelmével híressé vált (de Apple termékek jailbreakelésével is foglalkozó) hackert. GeoHot éppen az SXSW konferenciára igyekezett, mikor Texas határán megállították kocsijukat, amiben kb. 10 gramm füvet illetve ezzell készül csokoládét is találtak. Bár a srác elméletileg orvosi célra magánál tarthat ekkora mennyiséget (mint kb. minden kaliforniai szmóker), az intézkedő seriff állítólag a csoki súlyát is beleszámolta a kérdéses mennyiségbe, így Hotz nem úszta meg figyelmeztetéssel a dolgot, jelenleg 1500 dolláros óvadák fejében szabadlábon védekezhet.

Firefox 11

A Firefox 11-es verziójában javították a Pwn2Ownon kihasznált biztonsági hibát. Az új változat kiadását eltolták, hogy az ne essen egybe a Microsoft havi frissítésével, elkerülendő a kompatibilitási problémákat. A Mozilla közlése szerint a javított sebezhetőségről már annak kihasználása előtt tudtak.

Közel-keleti kiber konfliktusok

Miközben a fél világ a szír elnök levelezését mazsolázza, Irán új szintre emelte a BBC Persian TV blokkolására tett erőfeszítéseit. A csatorna közlése szerint a műholdas adás zavarása mellett automata hívásokkal bombázzák a társaság londoni központját, és a számítógépes rendszerek ellen is "szofisztikált" támadások indultak (DoS?).

Kitalálták Ke$ha Twitter jelszavát

Gondolom olyan bonyolultságú volt, mint a zenéje :)

Hacktion

Kedd óta gyakorlatilag a teljes IT-biztonsági szakma az MS12-020-szal javított RDP sebezhetőség kihasználásán pörög. A Freenode-on külön IRC csatorna (#ms12-020) alakult a különböző eredmények megosztására, a gun.io-n pedig eddig több mint 1400 dollárnyi felajánlás gyűlt össze az első teljes értékű exploit publikálója számára.

A fejlesztés alapját elsősorban a javítás diffelése és egy kínai fájlmegosztóról származó PoC képzi. Utóbbi egy .exe-t és egy hálózati dumpot tartalmaz - mint kiderült, a futtatható állomány hálózati dump megegyezik azzal, amit Luigi Auriemma, a sebezhetőség felfedezője nagyjából fél éve elküldött a ZDI-nek. Felmerül a kérdés: honnan szerezték meg ezt az állományt a kínaiak? A legkézenfekvőbb megoldásnak a Microsoft Active Protections Programja látszik, melynek keretében a cég részletes információkkal - akár konkrét PoC kódokkal - látja el a nagyobb biztonsági termékek gyártóit. A nyilvános partnerek listáját böngészve több keleti gyártót is találunk, és néhány olyat is, akikre személy szerint a sörömet sem bíznám rá...

Idő közben Auriemma a teljes eredeti bejelentést publikálta. Eszerint egy use-after-free problémáról van szó, ami akkor keletkezik, mikor egy RDP kliens egy olyan ConnectMCSPDU csomagot küld a kiszolgálónak, melynek maxChannelIds paramétere kisebb 6-nál, majd bontja a kapcsolatot. Jelenleg több kékhalált produkáló PoC is kering az interneten számos hamis kód mellett, valamint gyakran felbukkan egy orosz fórum linkje is, ahol egy képernyőképpel igyekeznek alátámasztani, hogy már rendelkeznek a csodafegyverrel. Jelenleg úgy látom, hogy a kódfuttatásra alkalmas exploit napokon belül megjelenhet nyilvános fórumokon (is). A státusz egyébként az http://istherdpexploitoutyet.com/ oldalon is monitorozható :)

Nem lehet eléggé hangsúlyozni: frissítsétek az RDP-t futtató gépeket, munkaszüneti nap ide vagy oda! A támadások/hibás szerverek detektálására alkalmas szignatúrák megjelentek Snorthoz illetve Nessushoz is (meg a Tipping Point eszközeihez is nyilván).

A cikk frissül, ha érdemi változás történik.

Friss:

A Microsoft gyakorlatilag elismerte, hogy a MAPP-ból származik a kiszivárgott kód, nyomoznak az ügyben, és "meg fogják tenni a szükséges lépéseket" a kiszivárogtatóval szemben. Az Errata posztja ismét ajánlható a témában.

Friss márc.19:

Úgy tűnik, Kostya Kortchinsky képes kontrollálni az EAX regiszter tartalmát.

MS12-017: A DNS szervernek küldött sépci üzenettel újraindíthatók a 2003-as és 2008-as Windows-ok. Jajj!

MS12-018: Ebben a hónapban sem marad ki a win32k.sys javítása, megint találtak egy jogosultságkiterjesztésre alkalmas problémát. A hiba most a folyamatok (ablakok) közti üzenetküldésre használt PostMessage függvény megvalósításában van. A probléma az oprendszer összes támogatott változatát érinti.

MS12-019: A unicode karaktermegjelenítéshez használható DirectWrite API javítása. A foltozott probléma DoS-hez vezet, a DirectWrite-ot használó alkalmazások "lefagyhatnak", ha speciális unicode szekvenciákkal etetjük őket. 2008 Itaniumot leszámítva az újabb Windows platformok érintettek.

MS12-020: Márcis kritikus frissítése két hibát javít, melyek közüla  súlyosabbik távoli kódfuttatást tesz lehetővé a Távoli Asztal szolgáltatáson keresztül, autentikáció előtt. A probléma súlyosságát jól jelzi, hogy a szokásosan optimista SRD is elég riasztó képet fest a helyzetről, értékelésük szerint a sebezhetőséget kihasználó exploitok 30 napon belül megjelenhetnek a vadonban (ez egyáltalán nem tűnik lehetetlennek). A frissítés sürgősségét az is jól jelzi, hogy a frissítési ciklus lerövidítésére a Microsoft FixIt-et is kiadott, ami elkerülő megoldásként engedélyezi a Network Level Authenticationt az RDP szolgáltatásra. A másik javított sebezhetőség DoS-ba viszi a Távoli Asztalt.

MS12-021: Kevésbé izgalmas probléma a Visual Studio 2008-ban és 2010-ben. Egy helyi fiókkal rendelkező felhasználó elhelyezhet egy VS add-in csomagot a fájlrendszeren, majd ráveheti a gép adminisztrátorát, hogy indítsa el az alkalmazást. Ilyen esetben az alacsonyabb jogosultságú támadó kódja a VS-n keresztül az adminisztrátor jogosultságaival fut le.

MS12-022: DLL hijacking probléma a Microsoft Expression Designban. Több szót erre nem vesztegetnék.

Mivel a Microsoft tegnap kapta kézhez a VUPEN által felfedezett IE 0-day részleteit, javítás erre egyelőre nincs.

Az idei CanSecWest versenyei adtak egy kis betekintést a profi sebezhetőség-kutatás világába, de fel is vetettek több kérdést, dilemmát a műfajjal kapcsolatban. Megpróbálom összefoglalni az elmúlt napok tanulságait néhány bekezdésben, aztán persze az lenne a legjobb, ha ti is leírnátok a gondolataitokat kommentben!

"Melyik a legbiztonságosabb böngésző?"

A fenti hajhullató kérdés több helyen is felmerült, egyszerű válasz pedig természetesen nincs. A Chrome idén szinte minden figyelmet magára vont (lásd még a marketingről szóló részt), és ez meg is látszik az eredményeken. Nem szabad azonban elfelejteni, hogy míg a Chrome exploitokkal a szakértők heteket dolgoztak, addig a Pwn2Own 1-day kategóriájában kiosztott sebezhetőségekre ugyanezek a csapatok órák alatt megírták az exploitokat. A Google úttörő szerepet játszik a böngésző biztonságban, de a Microsoft is szépen igyekszik követni a példát, aminek csak örülhetünk*. 

Persze ha csak a hardeningről lenne szó, könnyű dolgunk lenne. Amíg azonban böngészőtől (és akár oprendszertől) függetlenül borítani lehet a bilit mondjuk egy Java sebezhetőségen keresztül, nem elég pusztán egy jó böngészőt választanunk.

* Feltéve, hogy újabb Windowst használunk, a megerősítések jó része ugyanis csak ilyen esetben alapértelmezett. Erről is kéne írnom egy posztot...

Az Ár

A legkomolyabb viták természetesen a pénz körül alakultak ki. A Vupen tavaly még belebegtette, hogy 40 ezer dolcsiért megdönti a Chrome-ot, de mint kiderült, ez az összeg csak az exploit-kombináció kisebb(?) részére elég, a teljes sandbox kitörés nyilvánosságrahozatalához a 60.000 dollár is olcsó volt. 

Legalábbis a franciáknak, ketten ugyanis úgy gondolták, hogy mégis elég szép pénz ez néhány hét (hónap) melóért. Persze a kalkulációban biztosan helyet kapott a karrierépítés is ("Helló, én vagyok a Pwnium bajnok, ki akar megérinteni?"), azt hiszem, az idei díjak már egyfajta határvonal közelébe értek.

Megfelelő kapcsolatok birtokában a Vupen nyilván jobb üzletet tud csinálni, főleg mivel az exploitokat többször is el lehet adni. Kapcsolatok hiányában viszont ez a pénz egyáltalán nem tűnik rossznak, a Pwnium 120.000-es minusza mutatja, hogy a szponzorok nem irreálisan alacsony jutalmakat ajánlottak fel. Persze meg lehetne próbálni brókerként használni a megfelelő cégeket, de felmerülhetnek problémák az anyagiakon túl is.

A VUPEN csapata (fotó: ZDNet)

Az IT biztonság

Mit is profitál az IT biztonság abból, ha betolom a találmányomat valamilyen privát exploitgyűjteménybe? A hackerek romantikus lelke lehet, hogy nem mindig tartja járhatónak ezt az utat. Sarkítva a problémát: kihez kerül az exploitom? Mi van, ha a saját exploitomat használva zárják el/mérgezik meg a vizet a városomban (lásd még Die Hard 4)?

Mindezt figyelembe véve a "szürke piacok" nem hogy nem segítik a biztonságos informatikát, hanem egyenesen veszélyesek. A Vupennél (és más hasonló műhelyeknél) nyilván mérlegelték ezt a kérdést is, lelkük rajta.

Ha a szponzorokat nézzük, a Pwn2Own motivációja érthető, a TippingPoint/DVLabs IDS-t gyárt, ehhez akar mintákat vásárolni, ilyen szemszögből a sandbox-kitörés (mint egyfajta helyi exploit) kevésbé releváns. A Pwnium, törekedve a mélyre ható védelemre, szoftverhibák javítását tűzte ki céljának, meg persze ott van ...

A marketing

A Google nagyon okosan játszott: az egymillió dolláros díjazás már jóval a CanSecWest előtt beindította az újságírókat, pedig egyértelmű volt, hogy a pénz nagy része végül a banknál marad. A verseny kezdetétől ömlöttek a Chrome-mal kapcsolatos cikkek a webre (a feedolvasómba az elmúlt 4 nap alatt 26 ilyen témájú cikk érkezett). Persze ezek nagy része arról szól, hogy a Chrome-ot sikerült feltörni, a többi böngészőről pedig alig esett szó, de mint tudjuk a negatív hírnek is van értéke. Főleg akkor, ha minden helyen megemlítik az elmúlt évek veretlenségét, a védelmi rendszer megkerülésébe fektetett rengeteg munkát, és nem utolsó sorban, hogy a gyártó minden sebezhetőséget 24 órán belül javított (helló frissítőkedd!). 

A CanSecWest másik nagy nyertese természetesen a Vupen, akik szintén ott voltak minden cikkben, melyekben néha még a Pwnium díját is nekik adták, elvitték az eddigi legnagyobb Pwn2Own nyereményt és még a 0-day-üket is megtarthatták. Pofátlanul szép! 

A DVLabs ebben a játszmában érezhetően lemaradt, valószínűleg a törzspwner Charlie Millert is visszatartó új játékszabályoknak köszönhetően. De CanSecWest jövőre is lesz - ha a blackhatek nem döntik romba Torontót Vancouvert - , addig pedig remélhetőleg mélyebben megismerhetjük az idei termést is!

Digital Playground

Újabb pornóoldal felhasználói adatai szivárogtak ki a héten, ezúttal a Digital Playground volt a nyertes. A The Consortium néven nyomuló banditák rootoltak 4 szervert, hozzáférve 72.000 felhasználó személyes adataihoz, 10.000 plaintext bankkártya rekordhoz, adminisztrátori hashekhez, és még a vállalat konferenciahívásaiba is sikerült belehallgatniuk. A deface-elt oldalon elhelyezett üzenet tartalmazza az egyik tag kirohanását:

"Az oldalon annyi a tátongó lyuk, hogy ha nem tudnám, hogy egy valódi pornóoldalról van szó, azt hinném, hogy egy honeypot"

A srácok figyelmesség képpen némi hardcore pornót is mellékeltek a zsákmányhoz, a hitelkártyaadatokat azonban nem hozták nyilvánosságra. Tiszta '90-es évek!

48-óra alatt esett el az e-szavazó rendszer

2010-ben Washingtonban egy nyilvános tesztet indítottak egy, a külföldön tartózkodó állampolgárok szavazását lehetővé tevő online rendszer biztonságának felmérésére. A kísérletben egy fiktív szavazást rendeztek, úgy ahogy azt egy valódi választás esetán tennék, a lehetőség pedig bárki számára adott volt a próbálkozásra.

A most nyilvánosságra hozott beszámoló szerint a Michigani Egyetem kutatóinak 48 óra alatt sikerült teljes irányítást szerezniük az Open Source Digital Voting Foundation TrustVote platformján alapuló rendszer felett, egy shell injection (!!!) hiba kihasználásával. A bugos Linux kernelt a szakértőknek már meg sem kellett vizsgálniuk.

Így kell reklámot csinálni az e-szavazásnak, meg a nyílt-forrású megoldásoknak kéremszépen!

Apple frissítések

Az Apple frissítette az iOS operációs rendszert, javítva számos biztonsági hiányosságot. Foltozásra került többek között egy Passcode kikerülős hiba és számos Webkit sérülékenység is, ezért a frissítés mindenkinek melegen ajánlott (azért sem írom le a vonatkozó viccet...).

We are Alkotmánybíráz

Kavarog a gyomrom a témától, de a Hírcsárda posztja miatt leküzdöm a hányingert. Szóval a Nemzeti Nyomozó Iroda nyomoz az Alkotmánybíróság honlapját feltörő anonok után. Az AB-nál valószínűleg felismerték, hogy az eredeti rendszer közelít az emetálisajthoz, ezért inkább felhúznak majd valamikor egy ideiglenes honlapot (reméljük azt is rengeteg pénzért). Közben anonék állítólag a kuruc.info-t is megionágyúzták - gondolom a szólásszabadság védelmében. 

A Kaspersky blogján jelent meg egy érdekes bejegyzés, melyben az AV szakértők a nyilvánosság segítségét kérik a DuQu egy kódrészletének elemzéséhez. A kérdéses programrész a C&C kommunikációt és az új funkciók betöltését valósítja meg, de egyelőre nem világos, hogy a bináris kód milyen nyelvből és milyen fordítóval készült.

A kód legfontosabb tulajdonságai, hogy teljesen objektum-orientált, az objektumok függvénypointereit tartalmazó tábla az osztálypéldányokban tárolódik, és futásidőben változtatható, a beépített és a felhasználó által kreált objektumok között nem lehet különbséget tenni, a Windows API közvetlenül kerül felhasználásra, a futás pedig alapvetően eseményvezérelt. .Net-es segítségnek vagy JIT kódnak nincs nyoma.

A fentiek alapján elsőre felmerülő nyelveket a szakértők  - akik azt sem tartják lehetetlennek, hogy egy teljesen új nyelv készült a trójaihoz - kizárták, a közösség pedig már egészen vad teóriákkal állt elő az ősrégi IBM fordítók által generált kommunikációs stackektől a különböző perverz Lisp implementációkig. 

A felfokozott hagulatot William Pitcock igyekszik letörni, aki szerint a kasperskys arcoknak simán le kéne tenniük a crackpipát, ugyanis a kérdéses programrész egyszerűen a Microsoft COM technológiájával készült. A magam részéről távol állok attól, hogy meg tudjam mondani a tutit a kérdésben, minden esetre ahogy általában, most is hajlok arra, hogy a lehető legegyszerűbb megfejtés lesz a nyerő.

Ha Pitcocknak igaza van, az elég kellemetlen a Kaspersky szakértőire nézve, de nem szabad kizárnunk azt a lehetőséget sem, hogy a biztonsági cégnél csak megpróbálják kiugrasztani a nyulat a bokorból.

Itteni idő szerint tegnap este elindultak az idei CanSecWest konferencia játékai, a világhírű Pwn2Own és a Google által idén először megrendezett Pwnium. Ahogy az várható volt, a játékok osztódása elég nagy zavart kavart a fejekben, tisztázzuk még egyszer a szabályokat:

A Pwn2Own-t a Zero Day Initiative-ot is működtető DVLabs rendezi, akik kódfuttatásra potenciálisan alkalmas sérülékenységeket szeretnének vásárolni a résztvevőktől. A verseny idén először két részből áll: A hagyományos "mutasd a 0-day-ed" akció során népszerű, teljesen patchelt böngészőkben kell felhasználói szintű kódfuttatást elérni - ehhez elég lehet egy böngészőhiba, de akár több is szükséges lehet, pl. ha sandbox van a rendering köré építve. A lényeg az, hogy a DVLabs-t csak a kiinduló sebezhetőség részleteire kíváncsi (arra viszont kíváncsi), a többi hibát a játékosok "megtarthatják". Idei újításként a játék másik felében ismert és (valamilyen szinten) dokumentált hibákra kell exploitot írniuk a nevezetteknek, ezzel is lehet pontokat gyűjteni. A jelentős pénzdíjakat a legtöbb pontot gyűjtő játékosok vihetik haza

A Pwnium a Google játéka, ahol csak Chrome-ra lehet lőni, a Google pedig megköveteli, hogy a sandbox kitörésre használt hiba részleteit is ossza meg vele a játékos a maximum 60 ezer dolláros pénzdíjért. A Chrome-mal kapcsolatos fejleményeket itt lehet követni élőben.

A Pwnieum (egyik) fődíját 5 perc után leütötte egy Sergey Glazunov nevű csóka, jegyezzük meg a nevét, még hallani fogunk róla! A legtöbb helyen emlegetett VUPEN nem a Pwniumon indult (így a 60k-t sem ők nyerték), hanem a Pwn2Own-on, ahol először szintén a Chrome-ot sikerült lenyomni, plusz a CVE alapú feladatokkal is szépen haladnak a srácok. Azt viszont valószínűleg soha nem tudjuk meg, hogy hogyan jöttek ki a sandboxból...

Gyros frissítés: A VUPEN feltehetően Flash-en keresztül nyomta le a Chrome-ot. Szerk: Csapdát állított a Google?

Frissítés 2337zulu: A VUPEN egy IE9 0-dayt is demózott. Szerk: Itt olvasható egy interjú Chaouki Bekrarral, aki elmondja, hogy egy IE heap túlcsordulást és a Protected Mode implementációjában található memóriakorrupciós hibát vettek igénybe az exploithoz, melyen két szakértőjük hat héten keresztül folyamatosan dolgozott. Az exploit IE6-tól a böngésző 10-es bemutató változatáig az összes verzión fut, Windows 8-on is. A DVLabs a heap overflow részleteit kapja meg, a Protected Mode kitörés házon belül marad.

Reggeli friss: A Google javította Glazunov hibáit. A szűkszavú leírás szerint egy XSS-ről és egy "rossz előzmény navigációból" adódó problémáról van szó o.O

Frissítés201203101337: Bár snagg (Vincenzo Iozzo) és dvorak (Willem Pinckaers) sikeresen demózott egy Firefox 0-day-t, a Pwn2Own-t végül a  VUPEN nyerte (a FF-os páros a második helyet szerezte meg). Ahogy MonDeekoma is leírta, a Pwniumon közben Pinkie Pie is elvitte a maximális jutalmat három Chrome sebezhetőség kombinációjáért.

Frissítés201203102044: A Google még két hibát befoltozott.

Máris tele van a padlás a LulzSec tagjainak lekapcsolásáról szóló hírekkel. Ami a lényeg: Sabu-t, a LulzSec és az Anonymous prominens tagját tavaly júniusban lekapcsolta és beszervezte az FBI, segítségével lenyomozták a LulzSec többi tagját, akikre tegnap egy összehangolt akció keretében le is csaptak.

A támában az Ars Technica igen jó forrásnak tűnik, náluk olvashatunk például arról is, hogy Sabu-t nem sokkal az FBI akció után a Backtrace Security emberei sikeresen "doxolták", vagyis kitolták egy halom személyes adatát az internetre. Mivel a hasonló dokumentumok akkoriban kétnaponta jelentek meg a legkülönfélébb adatokkal, ezeknek sem tulajdonított senki különösebb jelentőséget. Mint kiderült, a Backtrace-eseknek igen jó forrásaik voltak - azt is megtudták például, hogy Sabu besúgó lett. 

A kulcsfigura levadászához feltehetően az általa birtokolt prvt.com domain volt a kulcs, amit ugyan WHOIS proxy mögé rejtett, de ez egyrészt nem sokat segít, ha az FBI akar megtalálni, másrészt a név megújításakor hiba csúszott a gépezetbe, és egy ideig elérhetővé váltak a tulajdonos - Hector Xavier Monsegur - valódi adatai is. Ilyen névvel pedig nem könnyű elbújni a tömegben... 

Ez nyilván feltűnt az FBI-nak is, bár ők azt állítják, hogy Monsegur egyszer véletlenül saját IP címmel kapcsolódot IRC-re, és ez volt az első nyom, amin el tudtak indulni. Érdekes lesz látni, hogy mekkora nyomozati költséget fognak megállapítani, miután a legfontosabb információkat egy amatőr csapatnak is sikerült megszereznie :)

A hét további részében biztos nyomja majd mindenki a hipereszklúzív híreket, a magam részéről nem szeretnék többet foglalkozni a témával a vasárnapi összefoglaló posztig.

Szerk: Tényleg jó az Errata posztja is.

Az Adobe 2-es prioritású, kritikus frissítéseket adott ki a Flash-hez Androidtól Windows-ig. Ahogy a besorolás is mutatja, a problémák lehetőséget adhatnak távoli kódfuttatásra, éles támadásokat azonban még nem észleltek velük kapcsolatban. 

A lejátszó legfrissebb változata elérhető a gyártó weboldaláról, több böngésző használata esetén elképzlhető, hogy többszöri telepítés szükséges, a Chrome plugin magától frissül.

Bónuszként az Adobe Labs kiadott egy SWF Investigator nevű nyílt-forrású eszközt is, ami a kapcsolódó blog-poszt szerint biztonsági szakembereknek is segítséget nyújthat az SWF fájlok statikus és dinamikus analíziséhez.

Egor Homakov egy olyan hibát demózott, melynek kihasználásával tetszőleges GitHub felhasználó tárolóihoz korlátlen hozzáférést lehetett szerezni. A lépésre azután került sor, hogy Homakov sikertelenül próbálta meggyőzni a GitHubon is használt Ruby on Rails keretrendszer fejlesztőit, hogy változtassák meg az úgynevezett tömeges paraméterhozzárendelés alapértelmezett viselkedését, mivel jelenlegi formájában a lehetőség sok helyen vezet biztonsági problémához. Az érvek nyomatékosítása érdekében Homakov betolt egy commitot a Rails master branch-ébe.

A kihasznált sebezhetőség meglepően egyszerű: A Rails keretrendszer lehetővé teszi, hogy egy objektumot egyetlen Hash objektum (asszociatív tömb) átadásával példányosítsunk, az új példány attributumait a Hash elemeiként felsorolva. A probléma az, hogy alapértelmezetten az objektum bármely paraméteréhez érték rendelhető, vagyis ha a konstruktor paraméternek átadott Hash-t a felhasználó vezérli, hozzáférhet védendő paraméterekhez - például új felhasználó létrehozásakor beállíthatja, hogy a felhasználó az adminisztrátori csoportba tartozzon. A gyakorlatban ehhez egy param[attr] formátumú HTTP paramétert kell hozzácsapni a megfelelő kéréshez, ahol a param a példányosításhoz használt paraméter objektum neve, az attr pedig a beállítandó attribútum.

Homakov a GitHub több felületén is sikeresen kihasználta ezt a problémát, a legfájdalmasabb ütést a fiókokhoz tartozó nyilvános kulcsoknál tudta bevinni: a feltöltendő kulcshoz a célpont fiók azonosítóját megadva a feltöltött publikus kulcs az idegen fiókhoz rendelődik hozzá.

A demonstrációs célú támadás miatt a szakértőt sokan bírálják, a GitHub pedig letiltotta a hozzáférését. A GitHub teljes közösségét veszélybe sodorni tényleg felelőtlenségnek tűnik, a hibakeresésért pénzt kérni egy nyílt forrású projekt esetén minimum nem szimpatikus, de remélhetőleg a történtek gyors cselekvésre késztetik a hasonló hibákkal dolgozó Rails fejlesztőket.

NASA

Több helyen megjelent, hogy a NASA legújabb laptopelhagyási botrányában érintett adatok felhasználásával akár a Nemzetközi Űrállomást is irányítani lehetett volna. Ezzel szemben Paul K. Martin az űrkutatási központ részéről azt nyilatkozta, hogy bár a támadók teljes irányítást szereztek többek között a NASA Sugárhatjású Laboratóriumának számítógépei fölött, és az űrállomás irányításával kapcsolatos egyes algoritmusok is kikerültek a szervezettől, az ISS működése egy pillanatra sem került veszélybe. Ezzel együtt kijelenthető, hogy a NASA biztonsági rendszere messze van a tökéletestől, amit súlyosbít, hogy a szervezet reputációja miatt kedvelt célpontja a virtuális támadók teljes skálájának, a wannabe-ktől a jól szervezett, államilag szponzorált csapatokig. 

Linode

Ismeretlen támadók az online ügyfélszolgálati felület hibáját kihasználva átvették az irányítást több, a Linode cloud szolgáltatónál tartott hoszt felett. Az incidensben érintett több BitCoinnal foglalkozó szervezet is, az akció során több százezer dollárnyi virtuális valutát loptak el.

Google Pwnium

Az idei Pwn2Own-ra a Google ismét megemelte a lécet, de egyúttal új szabályokat is alkotott. A böngészőhibák levadászását célul kitűző versenyt szervező TippingPoint DVLabs a kódfuttatásra alkalmas hibák felkutatásában érdekelt, egy ilyen jellegű hiba azonban nem elég a legtöbb, "védett módban" futó, vagy sandboxolt modern böngészővel szemben. Ezek esetében további, privilégiumemelésre alkalmas hibákon keresztül vezet az út az irányítás teljes átvételéhez. A DVLabs soha nem követelte meg a exploitálás második fázisában használt módszerek nyilvánosságrahozatalát, míg a sandboxára méltán büszke Google szeretné ezeket is megismerni. 

Ezért az idei CanSecWesten valójában két verseny lesz, a Pwn2Own és a Pwnium. Utóbbival 20, 40 illetve 60 ezer dollárt nyerhet az a szakértő, aki a sandbox megkerülésével sikeresen kódot futtat a Chrome böngészőn keresztül, és a mutatványhoz használt össze biztonsági hiba részletét átadja a Google-nek. A díjazás aszerint alakul, hogy a privilégiumemeléshez mennyiben járult hozzá maga a böngésző:

• A 20.000 dolláros díj akkor vihető el, ha a Chrome-tól független hibát, például Flash vagy Windows sebezhetőséget használt ki a támadó.
• 40.000 dollár jár, ha legalább egy hiba a Chrome-ot érinti, de a teljes felhasználói jogkörrel történő kódfuttatáshoz más szoftver hibáját is ki kellett használni.
• A 60.000 dolláros fődíj akkor vihető haza, ha a teljes felhasználói jogkört tisztán Chrome hibákkal érte el a támadó.

Backtrack 5 R2

Megjelent a legnépszerűbb behatolástesztelő disztribúció második karbantartási kiadása. Az R2-ben új kernel, és egy halom új eszköz is helyet kapott. A disztró ezen túl megkapja az upstream Ubuntu frissítéseit is, persze megfelelő integrációs tesztelés után. 

Lenyúlták Jacko hagyatékát

A Sony beismerte, hogy egy korábbi incidens során támadók hozzáfértek a vállalat által 250 millió dollárért megvásárolt Michael Jackson diszkográfiához, melyben eddig sosem hallott, kiadatlan felvételek is szerepelnek. Valaki úgy hallgathatja a Thrillert, ahogy mi még soha...

 Index:

Feltételezhetően vasárnapra virradóra írták át az AB oldaláról elérhető alaptörvény szövegét a magukat az Anonymous hackercsoporthoz tartozónak nevező hackerek.

Az alábbi bekezésekkel egészítették ki többek között az alaptörvény Nemzeti hitvallását és az utána következő fejezeteket:

MI, A MAGYAR NEMZET ANONYMOUS TAGJAI, az új évezred kezdetén, felelősséggel minden magyarért, kinyilvánítjuk az alábbiakat:

• "Valljuk, hogy a zsarnok eszmék, uralkodók, diktátorok csupán a történelem rövid szakaszai, mely zsarnokságot a nép bármikor elmozdíthat, lázadhat ellene."

• "d) november 5. napja, az 1605. évi Guy Fawkes emlékére."

• "(4) A tankötelezettség 20 év, melyet a tanulni vágyó és az őt oktató a lehető legnagyobb tudásával és kitartásával jellemző életszakasz."

• "(5) Az informatikában dolgozók 2^5, azaz 32 évesen a fizetésük 150%-val nyugdíjba mehetnek, továbbá nyugellátás mellett adómentességet élvezzenek."

• "l) teljes jogkörrel felhatalmazza az Anonymous csoportot, hogy felléphessen minden elnyomás, zsarnokság, és azok elkövetőivel szemben. Az önkényes elnyomókkal szembeni fellépőkkel teljes amnesztia van"

• "(9) Az Anonymous és más önszerveződő informatikai csoportok, egyének kötelezhetők arra, hogy az országot érő külső és belső fenyegetések ellen fellépjen. Az ilyen csoportok felruházhatók a fenyegetésekkel szembeni korlátlan jogkör gyakorlására."

• "Mi légió vagyunk. Nem bocsátunk meg. Nem felejtünk. Ezt várják tőlünk."

Azon túl, hogy a saját mottójukat sem értő lurkók megint túl komolyan vették magukat, itt legalább a támadás alapötlete frappáns volt. Az AB oldala jelenleg nem elérhető, így nem tudok tippelni, hogy mi lehetett a támadási vektor (najó, tudok: autentikálatlan admin felület, béna jelszó, esetleg SQLi).

Közben szegény Anont az ág húzza, Európában és Dél-Amerikában 25 feltételezett tagot tartóztattak le, ahogy azt több magyar oldal is megírta már. Arról viszont nem nagyon esett szó, hogy a DDoS-olni igyekvő "hacktivistákat" egy kevéssé önkéntes alapon működő botnetbe próbálják beszervezni élelmes blackhatek. A Slowloris trójaival dúsított változatára mutató linkek jelentek meg PasteBinen, így néhány jóképességű nem csak a sávszélességét, hanem a bankkártya adatait is biztos bedobta már a közösbe.

Frissítés:

GHost utánaguglizott a dolognak, és talált néhány érdekességet. Ezek alapján nem volt túl bonyolult dolga a támadónak:

• Cache 1
• Cache 2
• Cache 3
• Cache 4
• Cache 5
• Cache 6
• Cache 7
• Cache 8

Az Adobe bejelentette, hogy a termékeihez járó frissítéseket ezen túl három prioritási osztályba fogja sorolni, hogy megkönnyítse a javítások telepítésének tervezését:

• 1-es prioritás: A javítás aktívan kihasznált sérülékenység(ek)et orvosol, telepítésünk amint lehet. 
• 2-es prioritás: A javítás egy gyakran célzott termék sérülékenységére vonatkozik, de aktív kihasználásról nem tudni. A Adobe azt tanácsolja, hogy a javítással nem várjunk sokáig.
• 3-as prioritás: A javítás egy eddig nem célzott termékhez készült, az adminisztrátorok belátásuk szerint telepítség a frissítést. 

Ahogy a kategóriák leírásából is látszik a lépés mögötti gondolat az, hogy míg a Flash Playert előszeretettel támadják a blackhatek, addig a Photoshophoz leginkább PoC exploitokat látni, hiszen elég macerás megoldani, hogy eljusson egy grafikushoz egy gradiens fájl, amit aztán a kiszemelt áldozat be is tölt, ráadásul jó esetben a támadó ilyenkor legfeljebb a vállalati honlapok sitebuildjeiig jut el a hálózaton. 

Nyilván nem egy világmegváltó újítás, de a szándékot értékeljük!

+++

Van viszont nekem is egy történetem: kaptam a minap egy PDF fájlt, egy nagyjából megbízhatónak látszó helyről. Amikor megnyitottam, a linuxomon illetve később a windowsos Foxit Readerben is ilyen kép fogadott:

Azonnal az jutott eszembe, hogy szegény ismerősömet megfertőzte valami Adobe Reader-re specializált, PDF-ben terjedő kártevő, rá is uszítottam a víruskergetőket a fájlra, de nem kaptam pozitív jelzést. No nem mintha ez bármit is jelentene, de azért egy virtuális gépen futó Readerbe már be mertem töltötteni a doksit, és csodák csodája, megkaptam az elvárt anyagot, nem volt semmi huncutság - ez kérem egy Acrobat fícsör! 

Hogy miért írok erről? Tegyük fel, hogy a gonosz támadó tényleg egy Adobe Reader exploitot akar a nyakamba varrni, de nem tudja, hogy milyen olvasót használok (vagy egymillió másik helyre is el akarja küldeni az állományt)! Bízva abban, hogy mások tájékozottabbak, mint én, és láttak már ilyen üzenetet, nincs más dolga, mint venni egy ilyen, csak Adobe termékekkel kompatibilis PDF sablont, és abban elhelyezni a kártékony kódot, a felhasználót így a gyári hibaüzenet fogja rávenni a kevésbé biztonságos alternatíva használatára. 

(Ahogy az elvárható, a Foxit alapból nem hajlandó megnyitni a linkelt letöltési oldalt, ahonnan elérhető lenne a sandboxolt Reader X. Az egység sugarú júzer magától pedig jó eséllyel az Adobe Reader 9-et fogja beírni a keresőjébe...)

A fenti képen látható dialógus ablak akkor keletkezett, amikor a tartalomjegyzékből próbáltam kiválasztani egy elemet. Az ablak azt javasolja, hogy kapcsoljam ki a Safe Mode mode-ot, úgy talán menni fog a dolog - így a Foxit felhasználók is megszívhatják.

Nagyjából a blog indulása óta vártam erre: 0xFF admin jogosultságot szerzett a BuheraBlogon:

Ehhez nem kellett más, mint egy jól elhelyezett CSRF támadás (óvatosan kattintsatok!). Szerencsére a kollegialitás győzedelmeskedett, azonnal jelzést kaptam a helyzetről, és még a jogosultságom is megmaradt. Reméljük a Gépház mihamarabb javítja a problémát! 0xFF-nek pedig ezúton is gratulálok, és köszönöm a jóindulatot :)

Ifjúsági Kereszténydemokrata Szövetség

A szólásszabadság hős anonim prédikátorai bejutottak az Ifjúsági Kereszténydemokrata Szövetség honlapjára és a felsőoktatási törvény módosítása elleni tiltakozásul nyomtak is egy DROP DATABASE-t (vagy hasonlót). Ahogy azt 0xFF is megjegyezte, a támadóknak nem volt nehéz dolguk, az oldal még mindig bugos. Mivel az IKSZ-esek nem ragadtak meg teljesen a sötét középkorban, volt mentés, így ez az anon akció is hatalmas eredményt hozott. 

CrypTweet

Elég nagy port kavart a Twitter üzenetek titkosítására szánt CryptTweet megjelenése. A jó szándékkal rendelkező szoftver a Twitter üzenetek titkosítására lenne hivatott például a Jacob Applebaum-féle aktivisták számára, akik nem szeretnék, ha bármelyik szolgáltató vagy kormány hozzáférne a privát üzeneteikhez. A kriptográfiai protokoll megvalósításával kapcsolatban azonban számos kétség merült fel, így a szoftver használatát egyelőre a fejlesztő sem ajánlja éles használatra.

8 hónap a Facebook hackernek

Glenn Mangham-et nyolc hónap börtönre itélték, miután a Facebook fejlesztőknek szánt feladványokat kínáló webszerverének hibáját kihasználva hozzájutott egy belsős alkalmazott jelszavához, amivel hozzáfért a vállalat belső levelező és fejlesztői szervereihez. Valószínűleg ez utóbbi lépés vágta ki a biztosítékot - a hibák feltáróit egyébként gyakran meg is jutalmazó - közösségi oldal üzemeltetőinél, akik szerint ez már túl ment az egyszerű kísérletezgetésen. Mangham azzal próbált védekezni, hogy csak adatokat gyűjtött egy jelentéshez, a feltárt hibák jelentőségének alátámasztására - sikertelenül.

Az okostelefonokrúl

Csak két szösszenet:

• Alakul az Android 4.0 ASLR támogatása, bár még messze nem tökéletes.
• A Windows Phone 7 állítólag az authenticator hitelesítése nélkül küldi el a PEAP/MSCHAPv2 autentikációs információkat.

Visszatért a Phenoelite

Visszatért a német Phenoelite csapat weboldala, az után, hogy a GoDaddy úgy gondolta, hogy a felhasználási feltételek megsértésére hivatkozva megpróbál nagyobb hasznot húzni a domainből. Legalábbis valami ilyesmit lehet kiolvasni a csapat legutóbbi kecskés posztjából

A Hacktion-t nem találom, helyette ezt tudom ajánlani :)

Friss: csak meglett :) (kösz a tippet, Z!)

Egy bekapcsolva hagyott debug funkciónak köszönhetően nagyjából 6500 YouPorn felhasználó e-mail címe és jelszava szivárgott ki Pastebinre. Az új regisztrációkhoz tartozó szenzitív adatokat listázó felület már 2007 novembere óta aktív lehetett. 

Mostanában rá jár a rúd a pornókedvelőkre, nem rég a Brazzers fórumából szippantották ki a felhasználói adatokat.

(köszönet a pointerekért @oroce-nek és Z-nek)

Frissítés:

A YouPorn kiadott egy közleményt, mely szerint a külső fél által üzemeltetett, a YP szervereitől szeparáltan működő chat.youporn.com-ról származnak a kiszivárgott adatok, az oldal alap infrastruktúrája érintetlen maradt. A jelszavak többszöri felhasználásából eredő biztonsági kockázattal persze így sem árt számolni.

(Köszi az infót _2501!)

Friss2:

Szokásosan elkeserítő jelszó statisztika a Breach Blogon.

Hazánkba szakadt távolfiaink üdvözlésére rendezünk egy kis összejövetelt csütörtökön. A helyszín a szokásos, 8:00-tól lehet gyülekezni. Buhera névre van foglalva asztal.

Nagyobb térképre váltás

Böngésző biztonság

A Chrome, a Firefox, a Thunderbird és a Tor  (FF alapú) böngészője is frissült a nyílt forrású libpng könyvtár integer túlcsordulásos sebezhetőségét kiküszöbölendő. A Chrome-ban ezen kívül még 12 problémát javítottak. (Az IE kedden frissült)

A Mozilla a fentieken túl éles hangvételű közleményt adott ki, melyben a termékeiben megbízhatónak ítélt CA-kat utasítja a man-in-the-middle támadást is lehetővé tevő alárendelt CA tanúsítványok azonnali visszavonására. A lépés hátterében valószínűleg az áll, hogy egyes szervezetek a CA-k közreműködésével olyan domainekre kaptak tanúsítványt, melyeknek nem tulajdonosai. Nem tudni, hogy valaki csak egyszerűen meg akarta spórolni az SSL proxy tanúsítványának telepítését az összes vállalati gépre, vagy komolyabb dolgok folytak a háttérben, minden esetre a Mozilla kinyilvánította, hogy az ilyen viselkedés számára semmilyen körülmények között sem elfogadható. A CA-kba vetett bizalom minden esetre kapott még egy nagy pofont. Friss: A bonyadalmat a Trustwave okozta, aki a DLP megoldását akarta támogatni a godmode tanúsítvánnyal.

Google Wallet

Elég csúnya hibát fedeztek fel a Google Wallet szolgáltatásban, melynek lényege, hogy egy androidos készülék segítségével NFC-t (Near Field Communication) használva fizethetünk. A Google Wallet maga egy Android alkalmazás, melyet egy PIN kód véd az illetéktelen hozzáféréstől, például arra az esetre, ha a készülék elveszne. A gond azzal van, hogy a Wallet-hez rendelhető Google Prepaid számla közvetlenül a készülékhez van rendelve, így egy támadó egyszerűen kitörölheti a Wallet alkalmazás összes konfigurációs adatát  - ezzel a PIN kódot is -, majd a következő indításkor egy új kód megadása után a készülék eredeti tulajdonosának Google Prepaid számláját használhatja fizetéskor.

Az alábbi videó szemlélteti a problémát (érdemes megfigyelni, hogy a szaki nem valami triviális PIN-t ad meg, lehet, hogy máshol is ezt használja? :):

A Google elismerte a problémát és letiltotta a Prepaid számlák használatát a szolgáltatásban, amíg megfelelő megoldást dolgoznak ki a sebezhetőségre.

Évtizedes Nortel incidens

A Wall Street Journal riportja szerint kínai hackerek legalább 2000 óta hozzáfértek a Nortel hálózatához, ahonnan bizalmas e-maileket, műszaki dokumentációt, üzleti terveket és más bizalmas adatokat csatornáztak ki. Az incidensre csak 2004-ben derült fény. A támadók akciójukat hét magas rangú tisztviselő, köztük a CEO jelszavának segítségével követték el. 

Éééééés, Hacktion, második évad (ezt is megéltük!!!1):