ITCafé:

A HackersBlog oldalán megjelent írás szerint az úgynevezett SQL Injection és Cross Site Scripting eljárások ellen védtelennek bizonyult a finn F-Secure egyik weblapja. A hackerek tájékoztatása szerint az F-Secure „nem szivárog”, vagyis érzékeny adatokhoz nem férhettek hozzá, mindösszesen néhány korábbi vírusaktivitáshoz kapcsolódó statisztikára bukkantak.

Még annyival egészíteném ki a dolgot, hogy attól, hogy az adatbázisban nem voltak érzékeny adatok, az adatbázis-kiszolgáló szoftver még ugyanúgy kényelmes belépési pontot nyújthatott a rendszer érzékenyebb részei felé. Vajon a román kollegák nem tudtak, vagy csak nem akartak továbblépni?

Azt viszont leszögezhetjük, hogy egy ilyen eset a kimeneteltől függetlenül egy biztonsági cégnél ciki.

Fearless volt olyan kedves, és adott egy pointert a BackTrack 4 újdonságaihoz, úgyhogy most bemutatnék néhányat a disztró legfrissebb fejlesztései közül:

• Minden bizonnyal az egyik legizgalmasabb újdonság, hogy a BT4 teljes mértékben támogatja a Pico e12 és e16 típusú FPGA-kat. Ezek a 24192 ill. 46080 logikai kaput megvalósítani képes kis szörnyecskék írtózatosan fel tudják gyorsítani a brute-force nagy számítási kapacitást igénylő feladatokat, főleg ha sokan vannak. Érdemes velük megismerkedni [ha valaki tud jó magyar nyelvű leírást az szóljon] !
• A BackTrack mostantól teljes értékű disztibúcióként lesz hasznlható: Installálás után a BackTrack saját, biztonsági témájú tárolói mellett az általános Ubuntu tárolóból bármelyik "hagyományos" alkalmazást könnyű szerrel telepíthetjük. Az új változat alkalmas PXE bootra is, melynek segítségével jelentősen leegyszerűsíthetjük pl. egy behatolástesztben résztvevő gépek menedzsmentjét.
• Bemutatkozik a Maltego, melynek segítségével félelmetesen hatékonyan gyűjthetjük össze, ábrázolhatjuk, és elemezhetjük különböző személyek és internetes hosztok adatait és viszonyait. Valójában igen nehéz tömören összefoglalni ennek az alkalmazásnak a lényegét, de szerencsére a gyártó készített néhány videót, melyeken nagyon jól illusztrálják az eszköz lehetőségeit. Social engineereknek kötelező!
• A vezetéknélküli hálózati hardverek támogatottságát tovább szélesítették, az rtl8187-tel hajtott kártyák pedig hatékony csomagbeszúrási képességet kaptak.
• A fejlesztők RFID és CUDA támogatást is ígérnek. Előbbi témában ezt, utóbbival kapcsolatban ezt a prezentációt ajánlanám.
• Az automatikus sebezhetőségfelderítő alkalmazások amúgy sem néptelen családja most még egy taggal, a SAINT Exploittal bővült, melyben különös figyelmet szenteltek annak, hogy a vizsgált rendszer ne dőljön meg a tesztektől, ha nem muszáj.

Az idei év első almás frissítőcsomagjából a ClamAV, a CoreText, és a Safari távoli kódfuttatásra alkalmas hibái érdemelnek kiemelt figyelmet:

A ClamAV speciális .VBA kiterjesztésű fájlok esetében produkál heap overflow-t, így magával a víruskeresés fogja a káros kód lefutását eredményezni, aminek valljuk be, megvan a maga szépsége :)

A CoreText hibája az API-t használó összes alkalmazás esetén megnyitja a kaput a rosszindulatú kódoknak, melyek a Unicode szövegek nem megfelelő feldolgozásából adódó heap overflowt kihasználva képesek lefutni a foltozatlan rendszereken.

Végül, de nem utolsó sorban a Safarinak elég egy jól előkészített feed: URL-t megadni (pl. egy linkre kattintással), és máris borul a JavaScript bili, ráadásul a helyi biztonsági zóna kellős közepén.

Azt hiszem ezekből már elég nyilvánvaló, hogy a frissítést célszerű mihamarabb megejteni, de azért ajánlanám a teljes kiadási jegyzőkönyv átböngészését is, vannak érdekes dolgok.

A tegnapi sörözéssel azt hiszem mindannyiunk szívébe belopta magát az Óberster - azt csak remélni tudom, hogy senki nem ment rossz helyre. A következő lényeges dolgokat sikerült megállapítani:

    * A hazai IT biztonság, és a "szakma" még mindig siralmas állapotokat mutat
    * A magyar haxorok (még mindig) szeretik a pálinkát és a jó pörköltöket
    * Mindezek folyamányaként jónéhány izgalmas küldetés vár ránk 2009-ben!

Minden megjelentnek köszönöm a részvételt, legkésőbb tavasszal újra találkozunk!

Egy régi téma aktualizált változata jelent meg nem olyan régen a heise-online-on, most pedig végre van egy kis időm, hogy összefoglaljam nektek a cikk tartalmát. A probléma az Internet Explorer 7-es (legfrisseb stabi)l változatát, valamint néhány korábbi verziót érint, és lehetővé teszi, hogy speciális tartalmú képeken (valójában elméletileg minden HTML oldalba beágyazódó objektumra működhet a megoldás) keresztül pl. JavaScript kódot futtassunk az áldozatok böngészőjében. Ilyen módon valószínűleg sok olyan tartalommegosztó szolgáltatáson keresztül propagálhatók kártékony kódok, melyek elvileg minden elvárható szűrést elvégeznek a rájuk feltöltött tartalmakon.

Megjelent a méltán népszerű, behatolástesztelésre kihegyezett Linux disztribúció, a BackTrack 4-es változatának tesztelésre szánt verziója. Kipróbálni még nem volt lehetőségem, összefoglalót az újdonságokról pedig még nem találtam, ezért túl sok érdemi információval nem szolgálhatok, de ha valaki néhány bekezdésebn összefoglalja a tapasztalatait, azt szívesen megosztom a nagyérdeművel!

Drága Barátaim!

A változás gyönyörködtet, így dnet javaslatára a holnapi sörözést az Óbester Borozóban tartjuk, ami Keletitől van nem messze, konkrétabban itt:

View Larger Map

Annak, aki esetleg lynx-szel nyomja: 1074 Budapest, Huszár u. 5

Lesz foglalva asztalunk "buhera" jeligére, aki nem ismerné meg a sok kockát, ez alapján tájékozódhat. A foglalás miatt lebonyolított telefonhívás alapján azt hiszem nem lesz majd okunk panaszra. Holnap találkozunk!

MArceLL szólt, hogy az Indapass kilépő oldalán van egy kis átirányítós XSS bug:

http://indapass.hu/kilepes/?redirect_to=http%3A%2F%2Fwww.bix.hu%2F

Nem nagy dolog, de adathalászni pont jó. Az illetékeseket értesítettük.

A szokásos Microsoft frissítőnap újításai a következők:

• Két távoli kódfuttatásra alkalmas hiba került foltozásra az Internet Explorerben 
• Szintén két hiba került javításra az Exchange szerverben. Az első sebezhetőségez egy speciális, TNEF típusú üzenet küldésével lehet kihasználni, melyet feldolgozva a szerver számára kártyékony kódott futtathat, így átvehető az irányítás a kiszolgáló felett. A második sebezhetőség csak simán összedönti az Exchange-t.
• Az SQL Serverben helyi kódfuttatásra lehetőséget adó hibát javítottak. Itt ismét felhívnám a figyelmet, hogy az ilyen helyi sebezhetőségek SQL injection segítségével távolról is kiaknázhatóak.
• Szegény Visio is kódfuttatást lehetővé tévő hibától szenved, melyet természetesen egy speciális fájl megnyitásával triggerelhetünk.

Az ehavi frissítőcsomag tehát több igen súlyos problémát orvosol, célszerű mielőbb frissíteni! 

A Metasploit blog szerint hétvégén nagyszabású DDoS támadás indult többek között a Metasploit.com, a Milw0rm és a Packet Storm biztonsági oldalak ellen. A támadás forrása valószínűleg egy botnet, melynek tagjai a kiszolgálók HTTP portjára küldött kérésekkel próbálják túlterhelni a szervereket.

Ma éjfél körül újraindult a támadás a Metasploit ellen, de mivel most a zombik nem hosztnevet, hanem IP-t támadnak, a szájt zavartalanul elérhető a metasploit.com illetve az attackresearch.com 8000-es portján.

Frissítés: A bemenő SYN csomagok elérték a 15Mbps sebességet a metasploit.com-on, ezért a domaint a 127.0.0.1-re irányították, kéretik az alternatív, metasploit.org címet használni!

Összesen ennyit sikerült levadászni a az RBS World Pay ügyfeleinek számlájáról minden idők talán legnagyobb szabású ATM-es csalássorozatával. A pénzintézet rendszeréből megszerzett adatokkal klónkártyákat készítettek, melyek segítségével világszerte 49 városában vettek le pénzt az RBS számláiról mindössze fél órán belül! Külön érdekessége a dolognak, hogy a csalók képesek voltak a kártyákra megállapított napi limiten felül is pénzt lehívni. 

A hamisított kártyákat használókról több esetben is sikerült felvételt készíteni, azonban az akciót irányító, és a pénz jó részét zsebre tevő személyhez minden bizonnyal igen nehéz lesz eljutni. 

A FOX News riportját itt nézhetitek meg.

A linkért köszönet Hungernek!

Egy unu nevű (feltehetően) román hacker súlyos biztonsági rést fedezett fel a biztonságtechnikában méltán híres Kaspersky Lab. egyik weboldalán, a problémát pedig blogjában publikálta. 

A mellékelt screenshotok szerint SQL injection típusú támadásról van szó, az össze-vissza használt kis- és nagybetűk pedig arra utalnak, hogy egy rosszul konfigurált alkalmazásrétegbeli tűzfal is megkeserítette a támadó életét. A sebezhetőség ennek ellenére hozzáférhetővé tette többek között a regisztrált felhasználók és adminisztrátorok adatait, aktivációs kódokat és az online boltban tárolt információkat. 

A cég egyelőre nem kommentálta az esetet, de a blogon közzétett információk és a már említett képernyőképek a Matasano, az AVG* és az én** véleményem szerint is meggyőzőnek tűnnek.

* Jóhogy, hiszen a konkurenciáról van szó
** Már csak azért is, mert szeretem magamat az előző két névvel együtt emlegetni :)

Frissítés: A srácok közben megcsinálták a BitDefender portugáliai szájtját is...

Frissítés 2: Kaspersky-ék reagáltak az esetre, és elismerték az incidenst, azt azonban tagadják, hogy az érzékeny adatok illetéktelen kezekbe kerültek volna. Mindezt arra alapozzák, hogy a naplófájlok tanúsága szerint unu-ék csak az adatbázissémát kérdezték le, de a konkrét tárolt adatokra nem futtattak lekérdezéseket. A cég továbbá állítja, hogy a sebezhető oldalt azonnal eltávolították, amint értesültek az esetről. Unu ezzel szemben azt állítja, hogy már napokkal az ominózus poszt előtt felvette a kapcsolatot a biztonsági céggel, eredménytelenül.
 

Lezárult a szavazás, melynek tanúsága szerint igen szomjasak lehettek, mert már jövő pénteken szeretnétek ledönteni néhány korsó malátalevet. 

Tehát a helyzet a következő: az időpont február 13., péntek, 19:00 óra. Ha a helyszínre nem kapok jobb javaslatot, akkor a már megszokott Egyetem Kávézó lesz a helyszín.

Az új helyszínről ebben a bejegyzésben tájékozódhattok!

A társaság meg bízom benne, hogy hozza az eddigi formáját :)

Plusz érdekesség, hogy pont ezen a napon fog a UNIX-óra 1234567890-t mutatni :)

Észtország és Grúzia után a közép-ázsiai Kirgizisztán ellen is nagy szabású online támadás indult még múlt hónap közepén Oroszországból. A túlterheléses támadásoknak áldozatul esett az ország két legnagyobb internetszolgáltatója is. Az indíték lehet a jelenlegi korményzó párt szembenállása az orosz kormánnyal, vagy országon belüli pártviszály is. A támadás hatását nehéz megbecsülni, mivel a biztonsági szervezeteknek nincsenek kihelyezett központjai vagy mérőállomásai a környéken. 

Részleteket itt olvashattok. Az összefoglaló a SecurityFocus cikke alapján készült. 

Depth jóvoltából elkészült az nmap proxy patch újabb, tesztelésre szánt változata, melyet letölthettek innen. Tudnivalók első kézből:

A folt elsődleges megvalósítási célja a pentest melók segítese, nem az, hogy mindenki orrba-szájba scanneljen vele.

Miket tud a program:

• Támogatja a socks4,sock5,HTTP proxykat

• Támogatja a proxy láncolást maximum 30 proxyval

• Lehet egyszerre tobb típusú proxyt használni ;)

• A scanneleshez az ultra_scan() engine-t használja. 

Igyekszem minél előbb leforgatni a binárist Windowsra, ha kész lesz, azt is feltöltöm ide.

Nna, itt a windowsos .exe, kicsit bele kellett berhelnem és még nem sikerült rendesen tesztelnem, de lefordult ;) Ha elhasal, visítsatok! 

Múlt hét végén derült fény rá, hogy feltörték a népszerű phpBB fórummotor webes rendszerét, a phpBB.com-ot. A támadók a közösség által használt PHPlist levelezőlista-szoftver egy ismert hibáját használták ki, melnyek segítségével 2 héten keresztül garázdálkodhattak a rendszerben, mire az illetékesek felfedezték a turpisságot. Egy már megszüntetett blogban az egyik támadást magára vállaló személy azt állította, hogy 400.000 felhasználó adataihoz sikerült hozzáférniük, melyek közül több mint 20.000 darab salt nélküli MD5 algoritmussal volt titkosítva, ezeket mind meg is fejtették, és az eredményeket közzétették az interneten. 

Ezekről részletes elemzés is készült [a linket köszönöm Rucgard Kegebdunak], melyből kiderül, hogy a jelszavak nagy része túlzottan rövid, vagy egy jobb szótárból kitalálható volt, a dologhoz azonban hozzátartozik, hogy ezekbe a felhasználói fiókokba már rég óta nem léptek be (egyébként módosult volna a titkosítási algoritmus és a jelszóválasztási szabályzat is), tehát valószínűleg elsősorban olyan felhasználók jelszavai kerültek nyilvánosságra akik nem voltak az odlal gyakori látogatói. 

Helló-belló mindenkinek! Amint látjátok épségben hazaértem a kis kiruccanásomból, úgyhogy el is kezdem bepótolni az elmaradásaimat.

Úgy látom, hogy ugyan a Google megbolondulása, valamint a Firefox biztonsági frissítése a hazai híroldalakat is rendesen lázbahozta, az elmúlt hetek egyik legérdekesebb története mégis kimaradt a fősodorból: Történt ugyanis, hogy a Windows 7 bétájával játszadozó Rafael Rivera rájött, hogy az új operációs rendszer Vista óta továbbfejlesztett User Access Control funkciója (alapértelmezett beállítások esetén) pofonegyszerűen kikapcsolható.

Nem sokkal később ráadásul Long Zheng azt is megírta, hogy a problémát már többször felhozták a Microsoft Connect portálján, ahol az illetékesek mindannyiszor az "elvárt működés" cimkét sütötték a bejelentésekre. Várható volt tehát, hogy a problémát nem fogják javítani a végleges verzióban - ezt nem sokkal később hivatalosan is megerősítették. 

A problémát egyébként az az egyszerű logikai bukfenc okozza, hogy bár az UAC alapesetben megerősítést kér a felhasználótól, amennyiben egy program emelt jogosultsági szinten szeretne tevékenykedni, ez a mechanizmus azonban felhasználói megerősítés nélkül kikapcsolható.

A történet vége az lett, hogy a bloggerek és kommentelők nyomására a Microsoft végül úgy döntött, hogy az UAC beállításait megváltoztató folyamatot "magas integritási szintre" helyezik, amely megakadályozza, hogy a Rivera-féle billentyűleütéseket szimuláló megoldás működjön, valamint egy plusz megerősítéshez kötik az UAC szigorának megváltoztatását. 

Minden jó, ha a vége jó.

Mikor olvastam, hogy lehet szedni a béta verziót, ráadásul azt írták, hogy gyorsabb, jobb, stb... - gondoltam megnézem. Hát nagy hiba volt, csináltam hozzá egy screent is.
Screen

Hát én itt be is fejeztem a próbálgatását.

De nézzük, mit írnak a türelmesebbek. Itt, itt és itt az ie blogon.

1. Adtak egy ilyen lehetőséget, hogy InPrivate Browsing. Ez a következőt jelenti, a böngésző semmilyen adatot nem ment a barangolási szokásainkról, ami a nyilvánosan hozzáférhető gépeknél lehet nagyon hasznos.

2. Megjelenik még az InPrivate Filtering, amely a tartalomszolgáltatók számára tiltja meg, hogy az általuk használt oldalakon keresztül bármilyen adatot gyűjtsenek webes szokásainkról, kedvelt témáinkról.

3. Ami igazán lényeges újítás, az a Clickjacking névre keresztelt támadások elleni védelem, ezek ugyanis eddig szabadon garázdálkodhattak (igyekezvén rábírni a ****** felhasználót, hogy ráklikkeljen a személyes információt kérő gombokra, miközben az adott laprészletet egy saját frame-mel takarták le, amelyek átirányították az illetőt a támadáshoz kialakított weboldalakra).

Az RC1-be épített biztonsági szolgáltatás lehetővé teszi a weboldalak üzemeltetői számára, hogy egy kódot építsenek a weboldal fejlécébe, ami segít a clickjacking észlelésében. Ha egy oldal ilyen kódot használ, akkor az IE8 felismeri a technológiát, figyelmezteti a webböngésző felhasználóját, és azt is lehetővé teszi, hogy egy új, védett ablakban nyissa meg a támadott weboldalt.

A lényege, hogy nem a böngésző véd meg, hanem a fejlesztő, de mint tudjuk ők lusták. Jah, és gondoljatok bele, ha még ie6.0-t használ sok cég, stb, mikor lesz abból ie8!?
Szóval ez a clickjacking védelem inkább marketing, mint tényleges fejlesztés. (NoScript)

Reményeim szerint nyolc órán belül elindulok az Alpok túlvégére megnézni, hogy milyen arrafele a hó minősége, ezért kicsit parkolópályára állítom a blogot. Netem ugyan remélhetőleg lesz, ellenben várhatóan fájdalmasan sokat fogok inni, ezért inkább nem ígérek semmit. Haza a jövő hét legvégén jövök, addig próbáljátok elkerülni valahogy a katatón depressziót!

A decemberi 25C3 konferencián bemuatott "gyilkos SMS" eltávolítására alkalmas eszközt tett közzé. A Symbian 60-as széria megfelelő változatait futtató telefonok kissé túlérzékenyek a nem megfelelő formátumú SMS-ekre, melynek következtében egy ilyen, speciális üzenet fogadása után a készülék nem hajlandó több SMS-t fogadni, és a bajt okozó SMS-t sem lehet egyszerűen kitörölni. Most, a különböző külső biztonsági cégek megoldásai után elérhetővé vált a Nokia hivatalos eltávolító eszköze is. Kár hogy úgy tűnik, a hibás szoftvert nem tervezik foltozni.

Távoli kódfuttatásra alkalmas sebezhetőséget találtak az ffmpeg függvénykönyvtárban, melyet több  népszerű médialejátszó, pl. az MPlayer, a VLC Media Player és a Xine is használ.A sebezhetőség speciális 4X Media fájlokon keresztül használható ki. A fejlesztőcsapat a 16846-os revízióban javította a hibát.

Moszkva küldte be a következő leírást, egy ingyenes magyar tárhelyszolgáltatót érintő problémáról. Mivel egyelőre nincs tudomásom róla, hogy az illetékesek értesítve lettek volna, a jómodor úgy diktálja, hogy kiradírozzam a szolgáltató megnevezését, mindazonáltal a keresési tér nem túl nagy...

****nél vettem észre a következő "sebezhetőséget". (más ingyenes szolgáltatóknál is fennállhat)

A SESSION kezelésnél egy könyvtárba mentik az összes aldomainhez(felhasználóhoz) tartozó munkamenet fájlokat. Ez a könyvtár a szerveren a /mnt/session.

pl.:

pistike.xy.hu domaint kiszolgáló tárhelyen egy egyszerű php támogatta site van, amely  munkamenet változókban tárolja el a belépés adatait.

$_SESSION["login"] true/false
$_SESSION["uId"] beléptetett felhasználó id-ja

Pistike rosszindulatú haverja, Józsi tisztában van a változó nevekkel, mondjuk úgy megsejtette őket.

Így beregisztrál az xy.hu-n, megkapja a jozsika.xy.hu domain-t. 

Feltesz a tárhelyére egy php scriptet kb. a következő tartalommal:

<?

session_start();

$_SESSION["login"] = true;
$_SESSION["uId"] = 1; /* Mert úgy okoskodik, hogy egyes id-jú felhasználó az van.... */

?>

Józsika ezután ellátogat az így elkészült oldalára. A böngészője megkapja a sütit, benne a PHPSESSID nevű munkamenet azonosítóval. 

Ezután Józsika átírja a süti domain paraméterét pistike.xy.hu-ra. Elmenti a megváltoztatott sütit, meglátogatja pistike oldalát. A böngészője a szervernek átnyújtja az immár a pisitike.xy.hu-hoz tartozó munkamenet azonosítót, és létrejön

$_SESSION["login"] = true;

$_SESSION["uId"] = 1;

Józsika belépett pistike.xy.hu-n található site-ra az 1 id-jú user nevében.

Ahogy azt Moszkva is említi, nem biztos, hogy csak egy szolgáltatót érint a probléma sőt, a pénzes rendszerek is ugyanúgy érintettek lehetnek, ezért jó lenne, ha mindenki körbenézne a saját háza táján!

(Frissítés: annyira tudtam, hogy benne fog maradni valami komprommitáló infó...)

Új év, új élet, de mostanra talán már mindenki elfelejtette az újév első (faszagyerekségtől függően második, harmadik, stb...) napján tett "Soha többé ..." kezdetű fejfájós esküjét, így megragadnám az alkalmat, hogy pangó májú kollegáim kérésének eleget téve kiírjam a szavazást az újév első sörözésének időpontjára. Oldalt. Kattint. Nemcsal.

Ja igen: helyszínre is lehet tenni javaslatot a kommentek között. Szempontok:

• sör
• sok hely 
• kevés rugóskés
• baráti árak
• jó megközelíthetőség
• fogalalási lehetőség
• wifi előny

Ma van az adatvédelem világnapja, melynek gyengélkedő marketingjét a PETPortál és az ITCafé egy kis adatrejtős játékkal (én meg ezzel a rövid poszttal) igyekszik feltuningolni.

Az adatrejtés (vagy szteganográfia) azon az ötleten alapszik, hogy ahelyett, hogy bonyolult eljárásokkal bizonyos információk (kulcsok, jelszavak) birtoklásához kötnénk a kódolt adatok visszaállíthatóságát (ez ugyebár az adattitkosítás), más bonyolult eljárásokkal azt érjük el, hogy az érzékeny adat valamilyen más, érdektelen bithalmazban megbújva elkerülje a kíváncsiskodók figyelmét.

A játékban ilyen érdektelennek tűnő bithalmazokból (pl. képekből, hangokból) kell kinyerni a továbbjutáshoz szükséges információkat. 

Jó játékot, és vigyázzatok az adataitokra!

A Dev Team jelenti: Jailbreakelt, függetlenített, stb. iPod ill. iPhone tulajdonosok ne frissítsenek a legújabb, 2.2.1 (5H11a) verziójú firmware-re! Találjátok ki miért...