GHost küldött egy Facebook-ot érintő érdekességet:

Tehát van egy ismeretlen, vagyis veled nem kapcoslatban lévő ember aki letiltotta a fotóinak a hozzáférését mindenki elől, de engedélyezve hagyta az üzenőfalát mindenkinek, fotók ugye feltöltéskor kikerülnek az üznet falra, ahonnan direkt linket kapsz a fotóra
itt már ismét kapsz egy direkt linket a fotó albumra, majd ha még kijjebb mész a listában akkor a végén megkapod a fotók nem jeleníthetők meg hibaüzenettet teljesen jogosan.

A korlátozás tehát csak az albumhierarchia legfelső szintjét érinti, az alsóbb szinten elhelyezkedő gyűjtemények az üzenőfal link ismeretében böngészhetők. Szeretünk Facebook!

Eddig nem találtam a fentieknek megfelelő beállításokkal rendelkező ismeretlent, de rajta vagyok az ügyön!

Kipróbáltam, működik.

A Niobium Attack Research nem rég meglepett néhány hasznos leírással, ezeket sorban fogom közölni itt a blogon. Először két Apache-ot érintő információszivárgásról lesz szó, melyeket a keresőbarát URL-eket használó webhelyek egyre növekvő számára való tekintettel minden bizonnyal sok helyen lehet majd hasznosítani.

A Liquid Nexxus az Open Web Application Security Project (OWASP) magyar tagozatával karöltve Budapesten rendezi meg a Web Application Security & Testing Masterclasst július 6-7. között. A rendezvény elsősorban azoknak a fejlesztőknek és projektvezetőknek szól, akik szeretnék garantálni, hogy a szoftverfejlesztési folyamat minden lécsőjében szerepet kapjon a biztonságtudatosság. A kétnapos program során a résztvevők megismerkedhetnek napjaink legeljterjedtebb és legfenyegetőbb webes támadási módszereivel, valamint útmutatást kaphatnak, hogy hogyan védekezzenek ezek ellen. A témaköröket Matteo Meucci, az OWASP Testing Guide-ot karbantaró csapat feje, valamint Lucas Allen, a LiquidNexxus vezérigazgatója prezentálják.

Sajnos a belépőt elég borsos áron osztogatják, további információt a hivatalos tájékoztatóból kaphattok.

Először is mindenkitől elnézést az elmúlt hetekben tapasztalt hosszabb kimaradásokért, kicsit rámszakadt a menny meg a pokol, de most már azt hiszem nyugodt szívvel állíthatom, hogy visszatérek a normális kerékvágásba. Felgyűlt pár dolog az utóbbi időben, szóval lesz mit posztolni, elsőnek jöjjön egy kis jól bevált full(?)-disclosure:

Dropzone küldött egy listát SQL injectionnel támadható weboldalkról, melyben több népszerű portál is szerepelt. Ezeknek meg is írtam hogy baj van, és volt olyan, ahonnan választ is kaptam. Persze olyan is volt, ahonnan nem, a Budapest Airport például csak az automatikusan generált üzenetet bírta visszadobni. Ez több mint egy hete volt.

A csúnya a dologban egyrészt az, hogy le sem kell írnom a konkrét sebezhető pontot, aki minimálisan járatos a témában, az öt perc alatt megtalálja, hol lehet hozzányúlni a replülőtér üzemeltető adatbázisához - melynek környékén valószínűleg ott lesz a jegyrendelő rendszer is.

Másrészt több jel mutat arra, hogy Dropzone listájának minden tagja ugyanazt a sebezhető portálrendszert futtatja, így a bud.hu alapján könnyen készíthető olyan Google dork (keresőkifejezés), mellyel egy halom másik sebezhető szájt is megtalálható.

Úgy tűnik ugyanakkor, hogy a fejlesztő cég* már készített egy javított verziót a webalkalmazásból, így elképzelhető, hogy elég az érintett hosztokon egy "egyszerű" verziófrissítést végigvinni. Tehát ha valaki a fentiek alapján magára ismert, az keresse fel kedvenc fejlesztőcégét!

* Direkt nem írok nevet, mivel nem egyértelmű, hogy a sebezhető kódok valóban egy helyről származnak

Frissítés: A BA-nak küldött előző levelem ugyan elkallódott, de most közvetlenül le tudtam levelezni az egyik rendszergazdával a dolgot: volt értelme a posztnak.

Ismeretlenek gúnyos üzenetet helyeztek el a British Petrol twitter-üzenőfalán, reakcióként az oljcég Top Kill nevű projektjére, melynek célja elzárni a Mexikói öbölöt irdatlan mennyiségű olajjal beszennyező egyik kutat.

Mostantól Terry vezeti a Top Kill műveletet, a munka folytatódik, amint találunk egy XXL-es búvárruhát.

Az üzenetben szereplő Terry a @BPGlobalPR nevű, a BP-ből folyamatosan gúnyt űző felhasználó által kreált fiktív karakter. A @BPGlobalPR-t az olajcég többször megpróbálta elhallgattatni, így ez az incidens igen rosszul érintheti a vállalatot, melyet egyébként is élesen kritizálnak a történtek miatt: a katasztrófa megakadályozására kifejlesztett rendszerek egyáltalán nem működtek a sérült kúton, és a cég csak néhány napja tudta megállítani az olaj bezúdulását, amely már a világűrből is látható méretű foltot eredményezett a térségben.

Az üzenetet fél órán belül eltávolították a mikroblogról.

Én sajnos lemaradok, de ti menjetek, és érezzétek olyan jól magatokat, ahogy én éreztem magam legutóbb!

Nem kellett sokat várni a How Stron is Your Fu? folytatására, az Offensive Security csapata már meg is szervezte a következő megmérettetést: a második fordulót Június 19-21 között tartják meg. Lényeges változás az első versenyhez képest, hogy ezúttal a jelentkezők létszámának azzal próbálnak korlátot szabni, hogy adományt gyűjtenek a Hackers for Charity számára. Minden játékosnak 49$-t kell adományoznia mintegy nevezési díjként a jótékonysági szervezet javára. Ezzel együtt a díjazás is bővül, az online Cracking the Perimiter tanfolyam mellett a legjobbak a BlackHat konferenciára is belépőt nyerhetnek.

A nevezés június 6-án indul és az első 102 jelentkező vehet majd részt a versenyen.

"Az iPhone 3GS hardver-alapú titkosítást nyújt. Az iPhone 3GS 256 bites AES titkosítást használ a készüléken található összes adat védelmére. A titkosítás mindig engedélyezett, és a felhasználó nem kapcsolható ki." - Áll az iPhone biztonsági összefoglalójában.

Ehhez képest Bernd Marienfeldt talált egy módszert, amivel gond nélkül kiolvasható egy csomó érdekes adat a készülék memóriájából. Nem kell mást tenni, mint kikapcsolni a telefont, USB-n rákötni egy Ubuntu Lucid-et (vagy az ebben megtalálhatóval megegyező libimobiledevice könyvtárat használó operációs rendszert) futtató számítógépre, újra bekapcsolni, és máris kiolvashatók az eszközön tárolt fotók, zenék, és még jópár infó. Nincs PIN kód, nincs titkosítás. 

Az Apple szakemberei eddig nem tudták reprodukálni a problémát, mások viszont igen, a leírtak alapján a szakértők szerint valamilyen versenyhezet állhat a probléma hátterében.

Szóval ha a homevideóitokat az iPhone-otokon tartjátok, próbáljátok meg nem elhagyni részegen!

Ráadásként egy kapcsolódó hír: Deface-elték az Apple-nek is gyártó Foxconn weboldalának állásajánlatokat tartalmazó részét. A cég egyik dél-kínai üzemében ijesztően elszaporodtak az öngyilkosságok, idén összesen 9-en vetettek véget életüknek a munkások közül és még ketten kíséreltek meg öngyilkosságot. A lecserélt oldalon szarkasztikus szöveget helyeztek el. Az Apple és szintén a Foxconnál dolgoztató HP és Dell vizsgálják az érintett gyárban uralkodó mukakörülményeket.

Igyekszem én is tiszteletemet tenni!

Az ITBN konferenciára idén pályázat útján is elfogadunk előadásokat. Szeretnénk olyan független előadóknak, előadásoknak is helyet biztosítani a konferencián, amelyek cégektől és akár konkrét termékektől függetlenül mutatnak be egy-egy témát, vagy technológiát, amely az informatikai biztonság területén napi rendszerességgel felmerül.
Szeretnénk ösztönözni olyan független, vagy függetlenül megnyilvánulni képes szakembereket, egyetemi oktatókat, hallgatókat esetleg szakköri csoportokat, akiknek van érdekes szakmai véleményformáló, esetleg kutatásfejlesztéssel kapcsolatos mondanivalója.

A pályázati kritériumok valamint minden egyéb lényeges információ megtalálható az ITBN honlapján. A pályázatok beküldési határideje 2010.06.15.

Ellenlábas támadók kiteregették egy német székhelyű zsiványtanya, a Carders.cc összes szennyesét, amolyan zero-for-0wned stílusban. Ahogy a domainnév sugallja, az oldal lopott bankkártyaadatokkal (is) kereskedő csalók, tolvajok fóruma volt, nem nagy kár érte, a "néhány boldog nindzsa" által kiadott kis esettanulmány viszont elég vicces.

A  szerveren - állítólag egy véletlen folytán - bekapcsolva maradt egyes IP címek naplózása, ami egy ilyen jellegű oldalnál nem pici probléma. Aztán egy halom könyvtárra biztos ami tuti alapon 777-es jogosultságmaszk volt ráhúzva, és a /root-ot is olvasni lehetett a webszerver jogosultságaival. A szösszenet természetesen tartalmaz még egy halom titkosított és titkosítatlan jelszót és e-mail címet, valamint szebbnél szebb forráskódokat. A teljes adatbázisdump - 5000 tag privát üzeneteivel - állítólag Rapidshare-en figyel, ha valaki találna hozzá linket azt szívesen venném.

(hatalmas köszönet Hungernek az infóért!)

A Microsoft arra figyelmeztet, hogy egy eddig javítatlan, helyi jogosultságkiterjesztésre lehetőséget adó sebezhetőséget fedeztek fel a 64-bites Windows 7 és Windows Server 2008 (R2) operációs rendszerek GDI ill. DirectX megjelenítésben szerepet játszó CDD.DLL meghajtójában. A probléma csak azokat a rendszereket érinti, amelyekben DirectX 10 vagy annál jobb képességekkel megáldott videókártya van, és engedélyezték az Aero parasztvakítást munkaasztal-effekteket (ez alapértelmezetten ki van kapcsolva a szerver oprendszeren).

A probléma abból adódik, hogy az érintett könyvtár nem végez megfelelő ellenőrzést, mielőtt a felhasználótól származó adatot másol kernel módba. A hiba kihasználását megnehezíti, hogy eleve nem teljesen irányítható, hogy a memória mely részére kerül a támadó által szolgáltatott adat, a helyzetet pedig tovább rontja az érintett rendszereken alapértelmezetten engedélyezett ASLR. Publikus exploitot egyelőre nem találtak, de a hibával kapcsolatos egyes részletek az IfranView képnézegető fórumaiban fellelhetőek. 

A MySQL következő 5.1.47 változatának changelogja szerint a verzió több sülyos sérülékenységet is javítani fog. A leírtak alapján nem nehéz  beazonosítani a konrét hibákat: a COM_FIELD_LIST parancs táblanév argumentumának speciális megadásával illetéktelenül hozzá lehet férni más adattáblák tartalmához. Ugyanezen a helyen puffer túlcsordulást is azonosítottak, valamint a hibás verziókat futtató adatbázis szerverek végtelen ciklusba kergethetőek az elvárt maximális csomagméretnél nagyobb hálózati csomagok segítségével. 

Javítás a helyzetből adódóan nincs.

(via H-Security)

A lett hatóságok kézre kerítették azt a férfit, aki feltehetően felelős azért, hogy egy sor helyi politikus, kormányzati tisztviselő és bürökrata jövedeleminformáció tavaly idő előtt nyilvánosságra kerültek. Ilmars 'Neo' Poikans az adóhatóság egy védtelen adatbázisának adatait twittelte ki rendszeresen, megmutatva, hogy annak ellenére, hogy az országban a rossz gazdasági helyzet miatt sok embert elbocsátottak, másoknak pedig a fizetését csökkentették, a kormány közelében ülők még mindig több ezer eurós havi fizetéseket és több tízezer eurós évvégi jutalmakat kapnak. A férfi, aki egyébként MI kutatóként dolgozik a Lett Egyetemen hamar nemzeti hőssé vált. Jelenleg szabadlábon védekezhet, mivel együtt működött a hatóságokkal, akik úgy értékelték, hogy nem jelent veszélyt a társadalomra. Elmarasztaló ítélet esetén Neo azonban akár 10 év börtönt is kaphat.

A hétvégén került megrendezésre az Offensive-Security 48 órás "How-Strong is Your Fu?" címet viselő versenye, melyen összesen több mint ezer (>1000!), a világ különböző tájáról érkező hacker mérhette össze a tudását a szervezők által berendezett mini-pokolban. Mi is ott voltunk, az alábbiakban következzenek a tapasztalatok, és persze a különböző pályák megoldásai!

A Mozilla kiterjesztette plug-in-frisseség-ellenőrző (remélem a grammarnazik most kaptak agyvérzést) programját a Firefox konkurenseire is, így most már Chrome-mal, Operával és Safarival is ellenőrizhetjük a böngészőbe épülő modulok szavatosságát. Az Internet Explorer 7-es és 8-as változata egyelőre részben támogatott, de Johnathan Nightingale bejelentésében további ezirányú fejlesztéseket ígér. 

A honlaptulajdonosok emellett egy JavaScript alapú plecsnivel segíhetik látógatóikat böngészőjük biztonságosabbá tételében, ahogy azt jobb oldalt feltehetőleg már ti is látjátok.

A fejlesztés természetesen nem tökéletes, az én kiterjesztéseim közül többet nem ismert fel a Plug-in Check, a plecsni ugyanakkor erre nem tesz utalást, és boldogan közli, hogy minden rendben van. Minden esetre mindez hasznos újításnak tűnik, ami remélhetőleg egyre több neten barangoló felhasználót fog megvédeni az elhanyagolt frissítésekre játszó banditáktól.

A szolgáltatást pl. a legújabb Adobe Shockwave Player frissítéssel tehetjük próbára.

A Microsoft ebben a hónapban két bulletint adott ki:

MS10-030: Távolról kihasználható sebezhetőség az Outlook Express, Windows Mail, Windows Live Mail szoftverekben. A probléma speciális POP3 és IMAP válaszok segítségével használható ki, tehát a célpontokat vagy rá kell venni, hogy egy támadó által üzemeltetett e-mail szerverre csatlakozzon, vagy közbeékelődéses támadással lehet támadásra alkalmas bitfolyamot beszúrni az adatforgalomba.

MS10-031: Off-by-one stack túlcsordulás a VBE6.DLL-ben. Ezt a könyvtárat jónéhány népszerű alkalmazás (pl. Office) használja, a hiba ugyanakkor csak a csillagok megfelelő együttállása esetén használható ki: 

• Csak 0x2e értékű bájt írható felül
• Csak 0 értékkel lehet felülírni
• Nem szerepelhet 0 értékű byte a puffer kezdete és a felülírt byte között

Ez nem sok, de ki tudja, mi mindent javítottak még csendben :) Méretéből adódóan ez tipikusan olyan frissítés, amit érdemes szétlegózni.

Távoli kódfuttatásra lehetőséget adó problémát fedeztek fel a Safari böngésző windowsos változatában. A sebezhetőség a szülő ablakok helytelen kezeléséből adódik. A hiba kihasználásához a támadónak egy olyan speciális weboldalt kell létrehoznia, amely megnyit egy pop-up ablakot, majd bezárja magát. Mikor a célpont felhasználó bezárja a felugró ablakot, a böngésző érvénytelen memóriacímhez próbál hozzáférni, ahová a támadó a saját kódját töltheti. 

A szabadon elérhető PoC kód egyelőre csak Windowson működik, de elképzelhető, hogy a probléma a Maces változatokat is érinti.

Frisstés: Az Intego vizsgálatai szerint a Mac-es változatok nem érintettek

A Jarlsberg egy Pythonban írt mikroblog alkalmazás a Google-től, amelynek ezúttal nem a mikroblog-társadalom újjáépítése a célja, hanem az, hogy az arra nyitott fejlesztőket bevezesse a biztonságos webalkalmazás-programozás alapjaiba. 

Az alkalmazás futtatható a Google AppEngine-jében, vagy helyi gépen is, a különböző hibákat pedig egy sor feladat végrehajtása közben lehet felkutatni. A feladatok először csak egy teljesítendő célt definiálnak, ha reménytelennek érezzük a dolgot, egy-két segtséget is igénybe vehetünk, végül megnézhetjük a teljes exploit-ot, és ami a legfontosabb, a javítás módját is. 

A program összeállításánál első sorban a tisztán webes sérülékenységekre fókuszálnak, és olyan kevésbé ismert problémákat is kiveséznek, mint a CSSI (Cross-Site Script Injection) vagy a CSRF (Cross-Site Request Forgery). Az SQL injection ugyanakkor kimaradt (a feladatok közül, szó azért esik róla), mivel az alkalmazás nem használ SQL-t - ezt sajnálom, bár tény, hogy az SQL injection nem egy kizárólag webet érintő probléma.

Szerintem jó alap lehet ez bármelyik webfejlesztőnek, a Python szintaxisa pedig kellően jól olvasható és általános ahhoz, hogy bármelyik, más nyelvben jártas kóder kiigazodjon rajta.

Nem csak a mi magyar narancsunk férgesedik, a nagy tesónál is sikerül néha otthagyni a bilit a napon. 

Egy TechCrunch-on megjelent videó tanúsága szerint egy darabig meg lehetett tekinteni a barátaink (csak a barátaink?) élő chatjét, valamint várakozó kapcsolatait. A helyzet iróniája, hogy a hibás funkció éppen a magánszféra védelmét szolgáló "Hogyan néz ki a profilom más felhasználó szemével" lehetőség volt. Ha kiválasztottuk a "más felhasználót", a sarokban a választott személy kommunikációs doboza jelent meg, és más funkciókat is az ő nevében lehetett elérni. 

A TC bloggerének szavaival élve: "Tudjuk, hogy a Facebook azt akarja, hogy nyíljunk meg és minél több információt osszunk meg magunkról, de nem biztos, hogy pontosan így gondolták a dolgot."

Na, erről beszéltem:

Nicolás Economou, a Core Security munkatársa az MS10-024-es jelű Microsoft javítócsomagot elemezve két csendben javított problémába botlott az Exchange és az SMTP szolgáltatás DNS protokoll-megvalósításában. Egészen konkrétan a két szoftver inkrementális számozást alkalmazott a DNS lekérdezéseiben, valamint ezek az implementációk nem ellenőrizték a visszakapott DNS válaszok azonosítóit sem, pofonegyszerűvé téve ezáltal a gyorsítótár-mérgezést.

Ezeket a hibákat a Microsoft nem publikálta a vonatkozó tanácslatban - melyben egy egyszerű DoS sebezhetőségről beszélnek -, valamint CVE azonosító sem született az ügyben. Az érintett rendszergazdák így nem lehettek képesek felmérni a javítás fontosságát, és adott esetben elhanyagolhatták a frissítést.

Aki az érintett szolgáltatásokat üzemelteti, jó lesz ha újra ellenőrzi a patch szinteket.

$P küldött egy érdekes levelet, amiben arra hívta fel a figyelmemet, hogy egy nagy, Magyarországon (is) tevékenykedő online jegyértékesítő rendszerében közvetlenül hozzá lehet férni a kigenerált belpőkhöz, mivel az őket tároló szerveren elfelejtették kikapcsolni a könyvtárlistázást.

Írtam is az üzemeltetőnek, mire a következő választ kaptam:

A lenti levélre kell valamit írni? 

Felteszem, az üzenetet nem nekem szánták, de azért megírtam a konkrét problémát, hogy lássák, mi a helyzet, meg hogy szóljanak a rendszergazdának, aki feltehetően 2 perc alatt elintézné a problémát*. Ez hétfőn történt, a site azóta is úgy áll, és néma csend. Jobb screenshotokat azért nem tudok posztolni, mert magukon a jegyeken és a fájlnevekben is túl sok az infó, de azt azért megemlítem, hogy a generált PDF-eken nagybetűkkel fel van írva, hogy ne engedjük lemásolni a kinyomtatott papírt, mert egyedül a rajta szereplő vonalkód azonosítja a kedves vásárlót. Tehát ha valaki megtalálja az oldalt (bárki, aki rendelt már jegyet ettől a cégtől), ingyen mehet mulatni, csak meg kell előznie a valódi vásárlót a sorban.

Remélem a fentiek adnak egy kis ösztönzést a cselekvésre.

Frissítés (05.05 23:57): újra megnéztem az oldalt, még mindig nem történt semmi, viszont kiderült, hogy az összes nagy nyári fesztiválra itt is lehet jegyet rendelni :)

(A szigetesek persze okosak, és személyihez kötik a bemenést, de szerintem lehetne találni megoldást)

Az elmúlt héten meglepően jó cikkekbe futottam bele a magyar weben, nem szeretném, ha lemaradnátok róluk:

• Az Index egy kifejezetten jó beszámolót jelentetett meg az Ethical Hacking konferenciáról
• Keleti Arthur lerakott egy újabb mérföldkövet a magyar hacker-interjúk történetében
• Az Dajkó Pál az ITCafé szineiben pedig igen részletesen kivesézte a szerdán esedékes DNSSEC-átállást.

A Microsoft figyelmeztetést adott ki, mivel nyilvánosságra került egy SharePoint2007-et érintő reflektív XSS sebezehtőség. A probléma abból adódik, hogy a /_layouts/help.aspx nem megfelelően kezeli a NULL byte-okat, így az alábbihoz hasonló lekérdezés segítségével kód injektálható az oldalba:

/_layouts/help.aspx?cid0=MS.WSS.manifest.xml%00%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E&tid=X

Mivel a SharePoint Http-Only flaggel ellátott sütiket használ, az injektált oldalra csalt webes felhasználó munkamenet azonosítóját nem lehet triviálisan elcsenni, de a scripteken keresztül az áldozat nevében parancs futtatható a SharePoint környezetben.

Tegnap lezajlott a harmadik Ethical Hacking konferencia, amin végre én is részt tudtam venni - érdemes volt. A szervezőknek sikerült színvonalas programot összeállítani, a népes közönségben pedig képviselte magát a hazai IT-biztonsági élet apraja-nagyja. Az előadások közül kiemelném Balássy György .NET-es prezentációját, Barta Csaba kéjutazását a Windows Registryben, Kabai Andrástól pedig megkérdezném, hogy hol bújkált idáig? :) A magam részéről sajnálom, hogy a technika ördöge bekavart, remélem ettől függetlenül hasznosnak találtátok az elhangzottakat. 

Bár természetesen van hova fejlődnünk, jó látni, hogy a különböző szakmai rendezvényeken évről évre magasabbra kerül a léc, remélem ez a tendencia nem fog megtörni még egy jó darabig. A labda most a Hacktivitynél van, de azt hiszem a szeptemberi program miatt sem kell aggódnunk :)