Néhány napja már Web-szerte is elterjedt, hogy nyilvánosságra került a hírhedt ZeuS bot egyik verziója. Hungernek köszönhetően én már valamivel korábban hozzájutottam a forráskódokhoz és a build környezethez, így valamivel több időm volt megismerkedni ezzel a kis szörnyeteggel, ráadásul idő közben 26 másik "exploit-kitet" is közzétettek, így lehetőségem volt ezek összehasonlítására is. 

Az alábbiakban egy potenciális vásárló szemszögéből igyekszem bemutatni a ZeuS-t, remélem elnézitek nekem a sokszor "etikátlan" megközelítést, hiszen egy crimekit szépségeit csak úgy láthatjuk meg, ha a rosszfiúk helyébe képzeljük magunkat. 

Z küldte az alábbi okosságot, hasznos trükk a rejtőzködésre, köszönjük:

Elképzelt szituáció: egy gépen (linux, windows, osx) van egy user jogú shell-ünk (grafikus felület nem szükséges). 

Cél: firefox (3.6) böngészőbe keyloggert tenni, elrejteni kommunikációt. FF4 alatt nem működik.

Készítsük el az ez_nem_keylogger.xpi -t, securitytube-on vannak példák. Vagy használjunk tetszőleges addon-t.

define

Win
$profile_path: \ C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\hxxxxxzz.default

OSX
$profile_path: \
/Users/x/Library/Application Support/Firefox/Profiles/xyzxyz.default

Ubuntu
$profile_path: /home/x/.mozilla/firefox/xyzxyz.default

XPI-t kicsomagolva másoljuk be a $profile_path/extensions/xyz@zxy.hu könyvtárba, install.rdf-et töröljük. 

Utána a $profile_path/extension.ini -be szúrjuk a következő sort:

ExtensionXY=$profile_path/extensions/xyz@zxy.hu

firefox elindítása/újraindítása után az addon működik, de nincs az addon listában.

SSL feature addon:

Ha SSL-ben szeretnénk kommunikálni a cél szerverrel, és nem szeretnénk tanúsítványra pénzt költeni, akkor töltsük le a megfelelő NSS (Network Security Services) binárist/forrást (vagy nyomjunk fel egy alkalmas RA-t :) ), majd a következő paranccsal tudjuk a saját CA-nkat importálni a tanúsítványtárba (feltéve, hogy a profile könytárban vagyunk, ahol a cert8.db is van):

certutil -A -n Cert1 -i cert.crt -t "TCu,TCu,TCu" -d . 

A hack bonyolultsága felér egy fagolyó bonyolultságával. Cserébe multiplatform, AV/IDS evasion, proxy kompatibilis :)

 Az Apache Software Foundation kiadta a népszerű webkiszolgáló 2.2.18-as változatát, ami egyebek mellet egy DoS sebezhetőséget is orvosol (vonatkozó CERT-HU hibajegy). A probléma az Apache Portable Runtime apr_fnmatch() metódusában jelentkezik, mikor a mod_autoindex modul által kezelt hosszú nevű fájlok végtelen mintaillesztési rekurzióba kergetik a kiszolgálót. Az APR több más Apache projekt is használja, illetve önállóan is elérhető, ezért a könyvtár felhasználóinak szintén ajánlott a frissítés az 1.4.4-es verzióra.

Az Adobe kiadta a Flash Player 10.3-as változatát, amely a szokásos hibajavításokon túl több új, biztonságot érintő lehetőséget is tartalmaz:

A böngészőmodul elsőként valósítja meg a ClearSiteData NPAPI-t, ami egy egységes felületet biztosít a modulok által mentett adatok eltávolítására. A Flash esetében elsősorban a Local Shared Objectekre kell gondolni, melyeket sokszor használnak a sütik alternatívájaként a felhasználók nyomon követésére. Az API ezen túl lehetőséget biztosít ezen adatok törlésére, ami eddig csak manuálisan, illetve spéci kiegészítők (pl.: BetterPrivacy) segítségével volt lehetséges. A fenti API nyílt forrású böngészőkben lesz elérhető, Internet Explorer felhasználók számára külön megoldás készült.

Kényelmi szolgáltatásként bevezetésre került egy natív beállítás menedzser is, ami várhatóan megkönnyíti majd különböző, biztonságot, privacy-t érintő módosítások konfigurálását is.

Most kaptam a hírt, hogy június 15-én a H.A.C.K. vendége lesz Pavol a szlovák Progressbar képviseletében, aki RFID workshopot fog tartani. A pontosabb részletek egyelőre nem világosak, de a téma iránt érdeklődőknek már most érdemes bejegyezni az időpontot a naptárba.

Megjelent a "de facto szabvány" behatolástesztelő Linux disztribució, a BackTrack 5-ös változata. A legújabb verziót a nulláról építették újra Ubuntu 10.04 LTS alapokon, 32 és 64-bites CPU támogatással, az Android-pártiaknak pedig egy minimalista ARM-os kiadás is készült! A kiadás teljesen megfelel a GPL-nek, a hivatalos szoftver tárolókban már a forráskódok is elérhetők. A kiadás három ablakkezelőt, a Gnome 2.6-ot, KDE 4.6-ot és a Fluxbox-ot támogatja, ezek menüszerkezetét ismert penteszt eljárások alapján alakították ki.

Letölteni torrenttel lehet, ha tetszik az új rendszer, adakozzatok a Hackers For Charity-nek!

 A Microsoft ebben a hónapban kegyes volt hozzánk, és csak két frissítőcsomagot adott ki. Ezek közül az egyik (MS11-036) egy már-már unalmas PowerPoint hibát javít, a másik (MS11-035) viszont egy szaftos, autentikáció nélkül kihasználható WINS sebezhetőséget, érintve a Windows 2003-as és 2008-as Server kiadásait is (kivéve Itanium).

A ZDI tanácslata szerint egy "logikai hibáról" van szó, melynek következtében egy socket íráskor keletkező kivétel kezelésekor néhány támadó által kontrollált érték a stacken marad, ezért a LeaveCriticalSection is rosszindulatúan beállított memóriaterületekkel kezd el dolgozni, így SYSTEM szintű kódfuttatásra nyílik lehetőség.

Kapcsolódó hír, hogy a Microsoft megújította a termékei sebezhetőségeinek besorolására használt Exploitability Index-et. Két változásról van szó: Egyrészt a sikeres kihasználhatóság, illetve publikus exploit felbukkanás valószínűségét reprezentáló értéket ezen túl az aktuális legfrissebb verzióra és az összes többire együttvéve külön-külön megállapítják. Így egy Windows XP-n pofonegyszerűen, de Windows 7-en csak izzadva kihasználató hiba besorolása rendre 1-es illetve 2-es besorolást kaphat. A másik változás, hogy a potenciális DoS jellegét is feltüntetik ezen túl a táblázatokban, megkülönböztetve a "permanens" - küldök egy csomagot, mehetsz a gépterembe resetelni - és "átmeneti" - addig nem él a szolgáltatásod, amíg lövöm - kiesést okozó sérülékenységeket.

Május 26-án az első BalaBit Open Academy keretein belül tartok előadást a PHP webalkalmazásokkal kapcsolatos biztonsági tapasztalatokról. Az ingyenes rendezvényen emellett csupa előremutató technológiáról, módszertanról tekinthettek meg prezentációkat, így jó alkalom lesz ez, hogy képbe kerüljünk a közeljövő hívószavaival. 

A helyszín a BME nem rég felavatott Q épülete lesz, regisztrálni a hivatalos oldalon lehet (alul).

Én mint potenciális látogató is nagyon várom ezt a rendezvényt, gyertek el ti is, aztán igyunk egy sört a "biztonságosan és átláthatóan" működő ZP-ben! :)

Ahogy azt már korábban jeleztem, a csütörtöki Ethical Hacking konferencia utánra foglaltam asztalt az Óbesterbe, ahol jó borokkal, sörökkel, pálinkákkal és természetesen nagy-nagy szeretettel várnak minket :)

Az alaptábort várhatóan mi már 16:30 körül felállítjuk, de aki esetleg megnézné a bónuszfilmet, az is legfeljebb az első körökről marad ki.

Nagyobb térképre váltás

Az OpenID egy decentralizált autentikációs protokoll, amely lehetőséet ad a felhasználóknak, hogy egy azonosítóval (identitással) férjenek hozzá több különböző webes szolgáltatáshoz. OpenID-t használ többek között a Google, a Yahoo! és a Flickr is. 

Az OpenID Foundation figyelmeztetése szerint a protokoll Attribute Exchange (AX) kiterjesztését használó alkalmazások sebezhetőek lehetnek külső támadásokkal szemben, ezért az OpenID implementáció frissítését ajánlják. 

Az AX kiterjesztés lehetővé teszi, hogy az azonosító végpontok kicseréljenek egymás között bizonyos, a végfelhasználóhoz kötődő adatokat (attributumokat). A problémát az okozza, hogy ez a kiterjesztés eredetileg nem követelte meg az üzenetek digitális aláírását, ezért az átvitt attributumok manipulálhatók voltak. 

A kiterjesztés legfrissebb implementációban már megkövetelik az aláírást. 

A problémát felfedező szakemberek az OpenID Foundationnel közösen már korábban felvették a kapcsolatot a legnagyobb felhasználókkal, akik már javították a problémát, de a kisebb halak csak a mostani frissítésre támaszkodhatnak.

 A Pure Security egyik szakértője, Gordon Maddern véletlenül fedezett fel egy hibát a Skype Mac-re szánt változatában. A probléma akkor jött elő, mikor Maddern egy támadáshoz használt payloadot küldött át egyik kollégájának. Mint kiderült, egy távolról kihasználható sebezhetőségbe sikerült belefutni, ami egyszerűen egy speciális (szöveges) üzenet fogadásakor sül el. 

A Skype biztonsági csapata egy formaüzenetben ígért javítást már több mint egy hónapja, a hiba azonban azóta is fennáll. További részletek a sebezhetőséről egyelőre nem állnak rendelkezésre. Illetve mégis: a hiba kihasználása azonnal root-ot ad...

A történet elég nyugtalanító, főleg mivel nem rég jelent meg egy kifejezetten Apple felhasználókra szabott csináld-magad-botnet készlet, ennek készítői pedig már jó eséllyel rámozdultak erre a hibára is.

Ne fogadjatok el idegentől Skype kontaktot!

Frissítés:

A Skype hivatalos közleménye szerint a hibát az április 14-i patch-el (5.1.0.922) javították, de mivel a hibára nem láttak exploitot, ezért nem adtak ki biztonsági figyelmeztetést, ami automatikus jelzést adott volna a felhasználóknak a frissítés fontosságáról. 

Másrészt a sebezhetőség nem ad kapásból root hozzáférést - ezt a Registeren benézték, aztán mindenki így vette át a hírt, én is benyaltam, bocs!

Távolról, autentikáció nélkül kihasználható sebezhetőséget javítottak a népszerű Exim MTA-ban. Egy format string problémáról van szó, amely a bejövő levelek DKIM (DomainKeys Identified Mail) információinak naplózásakor keletkezik. A hiba helye pontosan látszik a javított, 4.76 RC1-es verzió diff-jében.

A "bugocskát" John Levine fedezte fel. Várhatóan rövid időn belül meg fognak jelenni az első exploitok, siessetek a frissítéssel!

Tyrael szerint a "control = dkim_disable_verify" beállítás alkalmazása a megfelelő ACL-ben szolgálhat workaroundként.

Az iCTF egy közel ezer résztvevővel megrendezésre kerülő, nemzetközi verseny, melynek keretében egyetemi csapatok mérhetik össze képességeiket az IT-biztonság területén. A megmérettetésre idén a BME CrySyS laboratóriuma is csapatot szervez. Az iCTF feladatai szoftver biztonsági, kriptográfiai és szteganográfiai problémákat is tartalmaznak, a tervek szerint a jelentkezők egy, a megelőző nyolc év feladatai alapján összeállított felkészítő program teljesítése után indulnak majd a decemberi versenyen.

Amennyiben szeretnétek részt venni ebben a nem mindennapi játékban, jelentkezzetek az alábbi e-mail címek valamelyikén:

Buttyán Levente - buttyan kukac crysys.hu
Pék Gábor - pek kukac crysys.hu

A LastPass multiplatformos jelszómenedzser szolgáltatás hivatalos blogjában egy aggodalomra okot adó bejegyzés jelent meg, mely szerint ismeretlen eredetű hálózati anomáliákat észleltek a rendszerben, és minden felhasználót a mesterjelszavuk megváltoztatására kérnek (kényszerítenek). A következő azonosításkor a felhasználók IP címét is ellenőrzik, illetve e-mail-es hitelesítést kérnek.

Ezek alapján az ember már húzná a strigulát a kockás füzetbe - ez már az év sokadik adatvesztési botránya lehetne. A hivatalos közlemény azonban részletesen kifejti az okokat:

A rendellenesség abban áll, hogy egy adabázisszerver nagyobb kimenő adatforgalmat generált, mint amennyit a feldolgozó kliensek fogadtak. A szerverről így kiszivároghattak e-mail címek, saltolt jelszó hash-ek, valamint maga a salt, de az adatmennyiségek különbsége alapján kizárható, hogy nagy számú felhasználó érintett lenne. 

Igen, a bolhából elefánt tipikus esetének tűnhet ezek alapján a fenti radikális lépés megtétele, ráadásul a cég a kulcsszármaztató algoritmusát is jelentősen megerősíti az eset nyomán. De a történet inkább példaként kellene, hogy szolgáljon:

A szolgáltató az első gyanús pillanattól kezdve tájékoztatta a felhasználókat, és biztosra ment a probléma kezelésében, nem törődve hírnevének csorbulásával, még ezekben az időkben sem, mikor mindenki a masszív károkat okozó behatolásoktól pánikol. Emlékeztetőül: A Sony fiaskójának első külső jele az volt, hogy elsötétült a PSN, és még mindig nem kaptunk semmilyen konkrét, érdemi információt az esettel kapcsolatban, az RSA pedig úgy lapít, hogy lassan el is feledkezünk róla.

A biztonsági incidenseket hosszú távon senki sem kerülheti el. De nagyon nem mindegy, hogy ki hogyan reagál, ha már megtörtént a baj.

Az adatvesztések kivesézésére nem rég tematikus, magyar blog is létrejött, olvassátok azt is: breach.blog.hu.

Tragikomédia következik, két felvonásban. Először is kardhal küldött pár levelet, néhány jólfésült magyar site adminisztrátori panelének screenshotjával, melyeket az "inurl:admin/login.asp" Google dork finomításával könnyedén megtalálhat bárki. Persze a felület jelszóval védett, de a legprimitívebb felhasználó:jelszó párossal be lehet rájuk menni (ennél több infót tényleg nem merek kiírni). Küldtem leveleket az érintetteknek, ötből egy cégtől vették a fáradtságot, hogy válaszoljanak...

De persze ki nem sz*rja le, ha esetleg néhány hazai kereskedő hirtelen malware-t kezd osztani? :(

A baj az (második felvonás), hogy ma, 2011-ben, ugyanilyen szintű problémák előfordulnak sokkal komolyabb helyeken is. Kevin Finisterre - egy rendes whitehat munka során - például egy meg nem nevezett amerikai város rendőrjárőreinek digitális kamerái felett vette át az uralmat hasonlóan "bonyolult" módszerekkel. 

A helyi járőrök autójában egy Rocket nevű, megerősített szerkezetű routert rendszeresítettek, melynek belső WiFi hálózatára más eszközök, többek között a rendőrök intézkedéseit rögzítő videókamera is csatlakoztak. Bár a WLAN-ok titkosításán kellő erőbedobással valószínűleg megfejthette volna, Finisterre sokkal elegánsabb megoldást talált:

Nem tudni, hogy a Rocket alapértelmezései miatt, vagy azért, hogy a járőrflotta adatait a garázsokban könnyebben áttölthessék, de a rögzítést is végző kameraegység FTP és Telnet portjait szépen kiforwardolták a routeren. Amire a tervezők nem gondoltak, az az volt, hogy a routerek másik interfésze a Verzion GPRS/EDGE/3G/LTE... (whatever: cellular) hálózatára nézett, ami Interneten routolható IP-ket osztott a rendőrség eszközeinek, a fenti szolgáltatásokhoz így bárki csatlakozhatott.

No persze jelszó nélkül nem sokra megy az ember, de - ahogy azt már bizonyára kitaláltátok - az FTP szerver jelszava a gyári alapértelmezett, nagy bonyolultságú "PASS" volt, míg a Telnet szervert egy autentikáció megkerülését engedő sebezhetőség sújtotta. Ennek kifinomult kihasználási módja a következő volt:

$ telnet xxx.xxx.xxx.xxx
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx.
Escape character is '^]'.
200 MDVR3xx Telnet Server
pwd
400 Command Error
pwd
200 /
ls -l
100 drw-rw-rw- 1 user group            0 Jan  1  1970 c
200 OK

ésatöbbi...

innentől kezdve a tesztelést végző csapat nem csak élő-egyenes adást élvezhettek a járőrautókból, de tetszőleges intézkedés rögzített felvételét módosíthatták, vagy törölhették volna. Volt bizonyíték, nincs bizonyíték!

Az érintett cégek közül a Rocket gyártója hárította a támadásokat, a többiek még nem adtak ki hivatalos közleményt.

Hasonló esetekről kaphattok szórakoztató beszámolókat Keleti Artúr jóvoltából a következő Ethical Hacking konferencián.

A hegyben álló posztolnivalótól majdnem elfelejtettem beszámolni a legutóbbi sörözésről! Aki nem volt ott, bánhatja, Lockpickerék ugyanis olyan workshopot raktak össze, amilyenre Magyarországon legjobb tudomásom szerint még nem volt példa.

Már az elméleti bevezetők meghallgatása is elég volt ahhoz, hogy az ember máshogy tekintsen a hétköznapi zárjaira, máshogy lépjen be egy szaküzletbe, a darabszámban, súlyban és térfogatban is meggyőző mennyiségű zárrengeteg próbálgatása, és az eközben folytatott eszmecserék azt hiszem a kezdő és haladó résztvevőket is életre szóló élménnyel gazdagítottak. (A magam részéről a mai napig stifteket látok egyes díszburkolatok mintáiba)

Maxigas jóvoltából a nem csekély méretű diasor elérhető online. Ebből is rengeteget lehet tanulni, de persze a személyes jelenlétet semmi sem pótolhatja. A kölcsönös bemutatkozás után remélhetőleg sikerül szorosabbra fűzni a szálakat a csapattal, és lesz lehetőség behozni a lemaradást - az első lépéseken már túl vagyunk.

A jelenlévők nevében még egyszer nagyon köszönöm LockpickerFannak, LockpickerSrácnak, és összes segítőjüknek a kiváló workshopot és a belefektetett munkát, mielőbb várunk vissza titeket! :)

A háttérben már hónapok óta dolgozunk, készítjük elő a 2011-es Hacktivity-t! Apránként összeállt az idei koncepciónk, kialakult a dátum, úgy néz ki megtaláltuk az idei helyszínt, ami akár 1500 embert is képes befogadni, elmentek a felkéréseink a megálmodott keynote speaker-einknek, elkészült az idei CFP-énk és felállt a kibővített programbizottság és szervezői csapat is.

No de először is a legfontosabb, hogy már most írjátok be a naptárotokba, hogy a

2011-es Hacktivity dátuma: 2011. szeptember 17-18.!

A régi hagyományon kéréseteknek megfelelően nem változtattunk, azaz maradtunk a szeptember hónapnál és a hétvégénél, az idei Hacktivity is szombat-vasárnapra esik majd.

Elkészült az idei CFP-énk is! http://hacktivity.hu/portal/hu/hacktivity2011/cfp

Jelentkezzetek, pályázzatok előadónak május 18-ig! 

A teljes hír további fontos információkkal a konferencia weboldalán olvasható.

A Hacktivity csapata idén is együttműködik a krakkói Confidence szervezőivel, így a lengyel konferenciára 30%-os kedvezménnyel válthattok jegyet.

Szintén a környéken, Bécsben kerül megrendezésre az összevont B-Sides-NinjaCon konferencia, melyre ugyancsak tart a CFP.

Extra: A Chaos Communication Camp CFP határideje Május 1!

CC Addict készített néhány videót, melyben remekül látszik, hogy az olyan unalomig ismételt - de rengeteg helyen meglévő - sebezhetőségek, mint a XSS milyen kárt okozhat egy-egy social engineeringgel fűszerezett támadás során.

Az alábbi felvételen a chat.hu az állatorvosi ló:

A bemutatott sebezhetőség ilyen formában már nem működik, de az első javítás nem sikerült tökéletesre...

Az előzetes információk alapján a legtöbben DDoS-t sejtettek a Playstation Network és a Qriocity leállításának hátterében, azonban a Sony tegnapi közleménye (kösz a linket @KTamas, @dn3t!) alapján világos hogy rosszindulatú támadók az említett rendszerekben tárolt személyes adatok széles skálájához fértek hozzá április 17-19. között.

A külső szakértők bevonásával folyó vizsgálat alapján biztos, hogy nevek, címek, e-mail címek, belépési azonosítók és jelszavak, valamint a jelszóemlékeztetők válaszai is kiszivárogtak. Arról egyelőre nincs biztos információ, hogy a tárolt bankkártyaadatok is rossz kezekbe kerültek-e, minden esetre erős aggodalomra ad okot, hogy a Sony kapcsolatba lépett az USA három nagy hitelirodájával (így mondják a credit bureau-t magyarul?) annak érdekében, hogy azok fokozott figyelemmel kísérjék a potenciálisan érintett számlák tranzakcióit. 

Friss:

Eszerint a FAQ szerint mind a 70 millió fiók érintett lehet. Az Anonymous annyit üzent, hogy ezt most kivételesen nem ők csinálták...

Ennek a spanyol srácnak Netflix-en próbálták használni a kártyaadatait, állítólag.

Az Oracle kiadta legújabb rendszeres CPU-ját, mellyel több mint negyven sebezhetőséget orvosolnak különböző termékekben. Most azonban nem a javított hibákat szeretném sorba venni, hanem csak egy már lefutott és egy jövőbeli előadásra szeretném felhívni a figyelmet.

Az egyik Chris Gates (carnal0wnage) tavalyi BlackHat-es előadása, melyben az Oracle webalkalmazások támadási lehetőségei kerülnek bemutatásra. Ebből egyrészt megtudhatjátok, hogy miért nem belezem ki úgy az Oracle CPU-kat, ahogy a Microsoft frissítéseit szoktam, másrészt az előadás elég jó képet ad arról, hogy miért nem fog a felhasználók túlnyomó többségénél pozitív (illetve egyáltalán bármilyen) változást hozni egy-egy ilyen frissítőcsomag kiadása. 

A másik kapcsolódó előadás az Ethical Hacking konferncián lesz megtekinthető Tóth Laci előadásában. A téma egy tényleges - már javított, de bizonyára sok helyen még jelen lévő - Oracle adatbázis sebezhetőség bemutatása valamint néhány post-explitation lehetőség ,megvalósítása lesz. A főpróba erre már megvolt, és bár csak fél füllel tudtam hallgatózni, biztos vagyok benne, hogy érdemes lesz beülni rá májusban. 

Frissítsetek és okosodjatok!

 TECH-CERT:

December végén a Microsoft kutatói a nyilvánosságra hozott IIS FTP szolgáltatással kapcsolatos exploitra úgy reagáltak, hogy nem jelent nagy fenyegetést, mert kihasználása legrosszabb esetben is csak az alkalmazás összeomlásához vezethet.

Az Accuvant Labs biztonsági cég két fehér kalapos hackere Chris Valasek és Ryan Smith nyilvánosságra hozott néhány pillanatképet arról, hogy az említett sérülékenységet kihasználva probléma nélkül hozzáfértek olyan memóriaterülethez, amely elvileg védelem alatt állt. Így egy támadó akár tetszőleges kód futtatási lehetőséget is szerezhet. Ezzel a sikeres demonstrációval egyértelművé vált, hogy az IIS 0-day hibája jóval komolyabb és veszélyesebb, mint ahogy azt a Microsoft belső elemzése során kategorizálta.

A történet lényege azonban nem az, hogy a Microsoft rosszul ítélte meg egy bug kihasználhatóságát. Az Accuvant Labs kutatói is ugyanis egy eddig nem látott módszert dolgoztak ki a Windows heap védelmének megkerülésére, melyet az Infiltrate 2011-en prezentáltak. Ez a módszer egy sor eddig kihasználhatatlannak hitt sebezhetőség kihasználása előtt nyithatja meg az utat. 

A kutatási anyag hiányában egyelőre annyit lehet tudni, hogy a kutatók rávették a célpont alkalmazást, hogy a Low Fragmentation Heap algoritmust alkalmazza memóriafoglaláskor, melyben nem alkalmazzák a már említett védelmi mechanizmusokat.

Ha további információ napvilágra kerül az ügyben, jelentkezem!

Friss: kutyacica kommentben igyekszik helyretenni a dolgokat, művelődjetek!

A brit Védelmi Minisztérium atomellenes szervezetek kérésének eleget téve nem rég nyilvánosságra hozott egy dokumentumot a hadsereg atomtengeralattjáróinak biztonságáról. A dokumentum természetesen egy sor érzékeny információt is tartalmazott, így az egyes problémák részleteit cenzúrázták a kiadott PDF-ben. 

A problémát az okozta, hogy a cenzúrát mindössze a szövegrészek hátterének feketére állításával oldották meg, így fekete részek tartalmát  vágólapra másolva bárki elolvashatta, hogyan kell magolvadást előidézni az érintett tengeralattjárókon. A problémát felfedező Daily Star cikke szerint akár egy egyszerű matróz is katasztrófát okozhatna a még húsz évig szolgálatban lévő flotta tagjaiban, melyek javítására, megerősítésére kevés esély látszik.

Mivel már többen érdeklődtek, ezúton is szeretném megerősíteni, hogy jövő csütörtökön, azaz április 21-én lesz sörözés, ismét a H.A.C.K-ben (Fogasház, VII. ker, Akácfa utca 51.). Kezdés várhatóan 18:00-körül, de pontosabb infókkal még jelentkezem aznap.

Apropó, ahogy magunkat ismerem, május 12-én, az Ethical Hacking konferencia után sem fogjuk megúszni az Óbestert, foglalok is asztalt nem sokára!

Nem lustálkodtak a Microsoftnál az elmúlt egy hónapban, kereken 0b100000 egyedi sebezhetőség került javításra, 0b10001 bulletinben.

Én már tényleg nem tudok mit hozzáfűzni a legújabb malware kampányban kihasznált sebezhetőséghez... Ezúttal a Flash Playerben és a PDF berhelő programokban is sikerült ugyanazt a hibát véteni. 

Jó hír, hogy az Adobe Reader X védett módja elvileg megfogja az exploitokat. Kár, hogy a kártevő a Flash-t célozza... Ez a gyönyörű VirusTotal eredmény mutatja, hogy a nagyszerű víruskergetők 97.6%-a rá se hederít a Word doksiba csomagolt trükkös animációra.

Lehetőleg ne kattintsatok semmilyen Office/PDF dokumentumra...

Friss: ezt a posztot érdemes figyelni, részletes elemzés várható a malware-ről.