Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

ThinkGeek

2009.01.10. 17:12 | buherator | 5 komment

A ThinkGeek nevű online boltot azt hiszem egy kockának sem kell bemutatni: ez az a hely, ahol koffeinből van a kerítés, és kapszaicinből a háztető, a ruházati osztály termékein pedig megtalálható egy komplett természettudományos kurzus anyaga. 

Amerika viszont messze van, szokták mondani, így a szállítási költségek igencsak meg tudják terhelni az egyszeri geek pénztárcáját. Megfelelő mennyiségű rendelés mellett viszont egyrészt kedvezmény jár, másrészt a járulékos költségekből származó overhead is jobban eloszlik, dnet barátommal arra gondoltunk tehát, hogy összetoborzunk néhány hasonló érdeklődésű kockát, és egy nagy közös rendeléssel mérünk csapást a ThinkGeek raktáros majmaira (hogy az ő szóhasználatukkal éljek).

Aki tehát szeretne valami jóságot* a tengeren túlról magának, vagy kedves ismerőseinek**, az dobjon egy levelet kívánságaival a buherator kukac gémél komra!

Frissítés: A kívánságaitokat a poszt kikerülésétől számított 1 héten belül adjátok le! 

* az árú postán jön, különösen értékes holmikat, elektronikus kütyüket tehát nem célszerű rendelni

** és hajlandó ránk bízni megtakarított forintjait

 

Címkék: bevásárlás thinkgeek

A hacker is ember

2009.01.10. 13:00 | buherator | Szólj hozzá!

Hunger hívta fel a figyelmemet erre a háromnegyed órás dokumentumfilmre, amely igyekszik bemutatni a hackerek emberi arcát. A műsor gyakorlatilag teljes egészében a Toorconon és a Defconon résztvevő buherátorok nyilatkozataiból lett összevágva, nélkülözve a bulváros közhelyeket, és arra irányítva a figyelmet, hogy milyen nagyszerű dolog is valójában hackelni és hackernek lenni. Az említett konferenciák szevezői mellett megszólalnak többek között a Hacker Foundation, az EFF,  és a SANS kéviselői, valamint egy sor jól ismert és kevésbé jól ismert hacker is. 

Nekem nagyon tetszet a film, szerintem nézzétek meg ti is! Persze angolul van az egész, de ha néhány feliratkészítésben illetve fordításban jártas ember hajlandó összeállni velem, megcsinálhatjuk a magyar fordítást is! 

Címkék: film hackers are people too

A Windows 7 biztonsági újdonságai

2009.01.10. 07:00 | buherator | 3 komment

Bár a Vistáról kígyót-békát lehet kiabálni, a magas hardverkövetelmények, az inkompatibilitás, és egy sor egyéb elbaltázott lépés miatt, azt azonban nem lehet figyelmen kívül hagyni, hogy a Microsoft legfrissebb támogatott változata egy sor előremutató biztonsági fejlesztést hozott: a User Access Control-t, amely ugyan sokakat az őrületbe kerget, de ma már sajnos elengedhetetlen eszköze a modern operációs rendszereknek, a Data Execution Preventiont, az ASLR-t, melyek előnyeit remélem nem kell ecsetelnem, stb.

Nézzük, hogy a pénteken béta állapotban nyilvánosságra hozott Windows 7 milyen újításokat tartalmaz elődjéhez képest:

  • A UAC-ba két új, kevésbé szigorú beállítást építettek, melyek használatával a felhasználónak kevesebb kattintásra van szüksége (ha egyáltalán szüksége van) bizonyos, eddig megerősítéshez kötött akciók engedélyezéséhez. Ennek biztosan nagyon örülnek az egyszeri felhasználók, de sajnos attól, hogy rövidgatyában és strandpapucsban megyek ki az utcára, még nem lesz 30 fok, ha értitek mire gondolok...
  • Bemutatkozik az AppLocker, melynek segítségével a programok futtathatósága hitelesítéshez illetve verziószámhoz közhető. Pl. megtiltható, hogy az Adobe reader 9.0-nál alacsonyabb verziója fusson, az is csak akkor, ha az Adobe aláírta. Kár, hogy az egyszeri felhasználó sokszor még ahhoz is lusta, hogy az automatikus frissítéseket telepítse, félek, hogy az AppLockerel sem sokan fognak bajlódni, bár a rendszergazdák kezében jó szolgálatot tehet ez az eszköz.
  • A BitLocker to Go-val hordozható adattárolóinkat titkosíthatjuk - hát igen, úgy látszik a fiúk Redmondban olvassák a híreket. A titkosítás jól hozzáilleszthető lesz a Windowsos tartomány-policykhez, és gondolom jó marketing érzékkel szükség lesz a Windows 7 minél több helyre történő telepítésére a megfejthetőség érdekében :)
  • A harmadik féltől származó tűzfalak ezen túl módosíthatjáka  Windows tűzfalának beállításait. Khm, ebben csak én látok "fantáziát"?
  • DNSSEC támogatás - ez jó, haladjunk a korral!

Mindent összevetve én úgy látom, hogy bár a Microsoft kénytelen volt a felhasználói nyomás hatására a biztonsággal szembeni kompromisszumokat állítani, és korszakalkotó újításokkal most sem számolhatunk, de a Vista "vívmányainak" meghagyásának köszönhetően azért egy, az XP-nél jóval biztonságosabb operációs rendszerre számíthatunk.

A kevésbé lényeges változásokat is magába foglaló cikket a 4sysops oldalán találjátok

Deface-elték a NATO és az amerikai hadsereg oldalait

2009.01.09. 23:05 | buherator | komment

Török és angol nyelvű üzenetek jelentek meg a NATO Parlament és az amerikai hadsereg washingtoni körzetének weboldalain. Az oldalakon Palesztína felszabadítására felszólító, az izraeli támadások beszüntetését követelő, valamint nyugat- és izrael-ellenes szlogeneket helyezett el a "Peace Crew" nevében egy magát Agp_Scorpnak nevező támadó.

Képernyőképek a Zone-H-en.

Tech infó: Ha csak a közel-keleti konfliktus érdekel, itt követheted a posztokat.

Címkék: háború incidens nato deface us army

A Storm Achilles-sarka

2009.01.09. 21:46 | buherator | 2 komment

Az aacheni és a bonni egyetem diákjai állításuk szerint sikeresen visszafejtették a még ma is sok aggodalmat keltő Storm botnet forráskódját, és arra jutottak, hogy a hálózat - eddigi ismereteinkkel ellentétben - viszonylag egyszerűen térdre kényszeríthető.

A kutatók a Storm férgének hálózati kommunikációval kapcsolatos részének vizsgálata alapján elkészítettek egy, a féreg viselkedését utánzó programot, melyet fertőzött gépek hálózatába kapcsolva a számára érkező parancsokat vizsgálták. A csapat arra a meglepő eredményre jutott, hogy a botnetet irányító ún. Command&Control szervereknek nem kell hitelesíteniük magukat a kliens gépek felé, ezért létrehozhatók olyan hamis szerverek, melyek pl. egy féregírtó program letöltésére és futtatására utasítják a zombikat, így a hálózat önmagát "gyógyítaná meg". 

Van azonban néhány probléma: az eljárás pl. a Németországban érvényes (egyébként hírhedten bugyuta) kiberbűnözési törvény hatása alá eshet, bár az eljárás elindításához állampolgári feljelentés vagy a közérdek különös sérelme szükséges. Másrészt minden jóindulat ellenére előfordulhat, hogy a tisztítókúra kárt tesz a megjavítani kívánt számítógépek némelyikében, és a Storm gazdái is támadásba lendülhetnek, a következmények tehát igen kiszámíthatatlanok.

Abban minden esetre egyetérthetünk, hogy sikerült emgtalálni egy eddig legyőzhetetlennek hitt botnet gyenge pontját, bár azt hiszem a derkék bábjátékosok gyorsan tanulni fognak ebből a hibából.

A "Stormfucker" alpha változatát itt érhetitek el.

Címkék: botnet storm

Kiberháború a Közel-Keleten II.

2009.01.09. 21:23 | buherator | komment

Ez lenne a zsidó világösszeesküvés? :)

Izraeli fiatalok egy csoportja önkéntesekből álló botnetet toboroz, hogy így vehesség ki a részüket a gézai konfliktusban. A Wired információi szerint tanulókból álló Help Israel Win nevű csapat egy Patriot névre keresztelt szoftvert kínál letöltésre, melynek segítségével összehangolt DDoS támadást igyekeznek végrehajtani népszerű palesztín weboldalak ellen. 

Ugyan a program a felhasználók belegyezésével települ fel a számítógépekre, biztonsági szakértők arra figyelmeztetnek, hogy a szoftver segítségével elvileg a teljes uralom átvehető a rendszerek fölött, hasonlóan egy hagyományos trójai programhoz. A HIW illetékese ugyanakkor azt közölte, hogy ugyan a Patriot frissítési funkciója valóban alkalmas ilyen célra, de ezirányú felhasználását nem tervezik, ezen kívül teljes értékű eltávolító programot mellékelnek az eszközhöz - mindezt ezidáig alátámasztják a független vizsgálatok.

Eddig nagyjából 8000 számítógép válhatott a botnet részévé, és a csapat állítása szerint eddig két szájtot sikerült lelőniük, de ők maguk is többször weboldaluk áthelyezésére kényszerültek a túloldalról érkező támadások miatt, és az izrael-ellenes hacktivisták egyre több weboldalt deface-elnek.

De legalább vér nem folyik.

Címkék: hírek háború incidens botnet deface ddos hacktivizmus

OpenSSL probléma

2009.01.08. 09:26 | buherator | 11 komment

A Google biztonsági csapata man-in-the-middle támadásra lehetőséget adó sebezhetőséget fedeztett fel a népszerű OpenSSL csomag kliens részében. Az EVP_VerifyFinal() függvény visszatérési értéke több helyen is helyetenül került ellenőrzésre, ezért a DSA és ECDSA szabvány szerint aláírt tanúsítványok ellenőrzése nem mindig történt megfelelően.

Ajánlott frissíteni a legfrissebb, 0.9.8j változatra. A nagyobb linux disztribúciókhoz illetve BSD változatokhoz már megjelentek a frissített csomagok.

Frissítés: A probléma az OpenSSL függvénykönyvtárát használó egyéb szoftvereket is érintheti, probléma merülhet fel pl. a BIND és az NTP esetében is, ezeket is érdemes frissíteni.

Címkék: bug openssl man in the middle

A Twitter hacker kitálalt

2009.01.07. 12:32 | buherator | 6 komment

A Wired interjút készített a hackerrel, aki nem rég feltörte többek között Barack Obama, Britney Spears és a FOX News Twitter fiókját. Hétfőn összesen 33 Twitter fiókból érkeztek olyan üzenetek a nészerű oldal üzenőfalára, melyet nem a gazdájuk küldött. A törést magára vállaló, 18 éves GMZ egy kis programot írt, amely - kihasználva, hogy a Twitter nem korlátozza a belépési próbálkozások maximális számát -  egy szótárba gyűjtött összes szót kipróbálta a megadott felhasználó jelszavaként. A kis szkriptet először a YouTube-on használta, Miley Cyrus fiókjának feltörésére, majd miután kitiltották az IP-jét, úgy döntött, hogy bepróbálkozik a Twitternél is.

GMZ első kiszemelt célpontja egy Crystál nevű felhasználó volt, akire pusztán azért esett az ifjú titán választása, mert viszonylag aktívnak tűnt. Mint kiderült, Crystal a Twitter egyik kezelője volt, így lehetősége nyílt megváltoztatni a többi felhasználó jelszavát, innentől kezdve pedig gyerekjáték volt bejutni tetszőleges mikroblogba.

Az infót - miután saját maga nem akarta felhasználni -  kitette a Digital Gangster fórumára, ahol állítása szerint öt embernek adta ki a megszerzett adatokat, mielőtt hozzászólásait törölték volna. GMZ szerint tehát a botrányt kavaró üzeneteket nem ő küldte ki.

A tanúlság talán az, hogy választhatunk akármilyen jó jelszót, ha a fölöttünk atyáskodó adminok nem elég körültekintőek.

Címkék: incidens twitter

Samba szösszenet

2009.01.06. 18:35 | buherator | Szólj hozzá!

A 3.2.6-os Samba fájlszerverek esetén a registry shares = yes, include = registry, vagy backend=registry beállítás esetén üres megosztásnévre hivatkozva elérhető a szerver gyökérfájlrendszere, akkor is, ha nem volt megosztva. A sebezhetőság legegyszerűbben 3.0.28-asnál régebbi SMB kliens használatával használható ki. Patchek és frissebb verziók már elérhetőek.

Címkék: bug samba

Xterm szösszenet

2009.01.06. 18:24 | buherator | Szólj hozzá!

A Debian és az Ubuntu fejlesztői részéről is megerősítésre illetve javításra került az a probléma, amely káros kódfuttatásra ad lehetőséget az xterm grafikus terminálon keresztül. Speciális, ún. Device Control Request Status Stringek kiiratásakor parancsként futnak le az LF karakterek közé írt karakterláncok, így ilyen szekvenciákat  pl. egy e-mailbe vagy a syslogba szúrva elérhető, hogy az üzenet ill. fájl megtekintésekor tetszőleges parancsok fussanak le. 

A felfedezésért Paul Szabo-nak jár a kredit ;)

Címkék: bug debian ubuntu xterm

Kiberháború a Közel-Keleten

2009.01.06. 09:23 | buherator | komment

A Wired beszámolója szerint az IDF (Israel Defense Forces) - Izraeli védelmi erők vasárnap behatoltak az Al-Aqsa TV-csatorna informatikai rendszerébe, ahonnan propagandaanyagot sugároztak a lakosságnak. 

A Hamászhoz kötehető csatornán - amely korábban többek között Farfour, az antiszemita Mikiegér szerepeltetésével szerzett magának nevet - a behatolók egy a Hamász vezetőinek lelövését mutató animációt, majd a "Fogytán az idő" szöveget jelenítették meg. Korábban egy csörgő telefon képe szakította meg az adást, melyet nem vettek fel, majd egy "A Hamász vezetői bújkálnak és magatokra hagynak a frontvonalon" szövegű üzenet hangzott el.

A másik oldalról a Hamász még októberben tűzött ki 2000$-nak megfelelő jutalmat azoknak a hackereknek akik sikeresen komprommitálják valamely prominens izraeli szervezet informatikai rendszerét. [Frissítés:] A felhívás (vagy inkább a fegyveres akciók) eredményeként december végén alig 48 óra leforgása alatt több mint 300 izraeli weboldalt "deface-eltek" (valószínűleg valójában néhány névszerver feltöréséről volt szó, így a valódi gépek helyett a támadók szerverére lett irányítva a hivatkozott weboldalak forgalma). 

Mint tudjuk, az információ hatalom, a háborús propaganda pedig már a kezdetektől eszköze a fegyveres konfliktusoknak. A fenti események ismét jelét adják annak, hogy a virtuális térben folytatott hadviselés egyre inkább a modern harcászat részévé válik. 

Sajnos tartok tőle, hogy a sok önjelölt történész itt is neki kezdene a sárdobálásnak ha tehetné, ez viszont nem egy politikai blog, szóval a kommenteket letiltom. Ha valakinek mondanivalója van, az megteheti privát üzenet formájában.

Címkék: média háború incidens deface

Egy hacker mind fölött III.

2009.01.06. 08:05 | buherator | 2 komment

Iceman történetének harmadik, befejező része.

Címkék: bukta max butler

Hacking at Random 2009 - Call for Papers

2009.01.05. 11:30 | buherator | Szólj hozzá!

Karácsony óta várják az augusztus elején megrendezésre kerülő Hacking at Random konferencia szervezői a rendezvényen előadni vágyók előadástémáit, melyekből összeállíthatják a négy nap programját. 

A gondolatokat egy irányba terelendő, a rendezők három nagy témát határoztak meg, melyek a konferencia elsődleges irányvonalát hivatottak meghatározni. Ezek a három témakor az Adatok kezelése, a Decentralizáció, valamint az Emberek és a politika, de természetesen az ezekbe a kategóriákba be nem illeszthető ötleteket is szívesen fogadják, legkésőbb május 1-ig.

További részletek a hivatalos közleményben.

 

Címkék: hacking at random

Egy hacker mind fölött II.

2009.01.05. 11:00 | buherator | Szólj hozzá!

Jobb később, mint soha, itt a folytatása Max Butler történetének. A fordításért óriási köszönet ismét GHostnak jár!

Címkék: max butler cardersmarket jeff norminton christopher aragon

Zune - MitÍrKi?

2009.01.03. 13:05 | buherator | 32 komment

A programozás ZH-k szerelmeseinek íme a kódrészlet, ami (állítólag) a Zune dátum paráját okozta:

BOOL ConvertDays(UINT32 days, SYSTEMTIME* lpTime)
{
    int dayofweek, month, year;
    UINT8 *month_tab;

    //Calculate current day of the week
    dayofweek = GetDayOfWeek(days);

    year = ORIGINYEAR;

    while (days > 365)
    {
        if (IsLeapYear(year))
        {
            if (days > 366)
            {
                days -= 366;
                year += 1;
            }
        }
        else
        {
            days -= 365;
            year += 1;
        }
    }


    // Determine whether it is a leap year
    month_tab = (UINT8 *)((IsLeapYear(year))? monthtable_leap : monthtable);

    for (month=0; month<12; month++)
    {
        if (days <= month_tab[month])
            break;
        days -= month_tab[month];
    }

    month += 1;

    lpTime->wDay = days;
    lpTime->wDayOfWeek = dayofweek;
    lpTime->wMonth = month;
    lpTime->wYear = year;

    return TRUE;
}

A kérdés magától értetődik: hol a hiba?

Címkék: zune programozás

Feltörték az Independence trackert

2009.01.02. 19:43 | buherator | Szólj hozzá!

 Az ASVA.info-tól érkezett a hír:

Ismeretlenek feltörték az Independence oldalát. A “hackerek” nem magát a torrent trackert, illetve annak a front-endjét törték fel, hanem az Indepmail rendszert, ami tulajdonképpen egy ingyenes webmail rendszer.

 

A webmail rendszer a népszerű RoundCube volt, és ha hihetünk a támadók üzenetének, az adatbázist is sikerült megszerezniük.


A támadáshoz minden bizonnyal a karácsony környékén nyilvánosságra hozott, itt is megénekelt RoundCube exploitot használták. A kalózok is jobban teszik, ha lépést tartanak az újdonságokkal!

Az üzenetből ítélve akár automatikus támadásról is szó lehet, kérdés, hogy a sebezhető felület elérhető volt-e anonim falhasználók számára.

Az ASVA.info linkelt posztját a fenti linken találjátok, az írás folyamatosan frissül!

 

Címkék: torrent incidens tracker roundcube

Nokia: Nincs több üzenet

2009.01.02. 12:39 | buherator | 1 komment

A 25C3 utolsó napján Tobias Engel olyan exploitot mutatott be, amely megakadályozza, hogy az újabb típusú Nokia S60-as telefonok SMS-eket illetve MMS-eket fogadjanak. A problémát az okozza, hogy bár a szabvány lehetővé teszi SMS-ek e-mailként történő küldését, a címzett kliens nem ellenőrzi, hogy a feladó telefonszáma (e-mail címe) legfeljebb 32 karakter hosszú-e, ahogy az az SMS-ek esetén meg van szabva. Nagyjából negyven telefontípus érintett. A problémán a gyári beállítások visszaállításával lehet segíteni, illetve az F-Secure mobil biztonsági csomagja a cég állítása szerint képes a normális működés adatvesztés nélküli visszaállítására.

Fehér hó + Pezsgő = yellowsn0w

2009.01.02. 12:27 | buherator | 2 komment

újévi ígéretükhöz híven az iPhone Dev csapat kiadta az iPhone 3G-hez készült szolgáltatófüggetlenítő megoldását, a yellowsn0w-t. 

Azok, akik esetleg a Zune újévi meglepetésével szívnak, a Microsoft tanácsa szerint várjanak míg lemerül a kütyü, ekkor resetel a szoftver, és a készülék újra használhatóvá válik. 

Címkék: zune iphone yellowsn0w

Nem törték fel az SSL-t...

2008.12.31. 02:26 | buherator | 2 komment

Reménykedtem, hogy nem erre jövök haza, de nem volt szerencsém... Szóval a helyzet az, hogy a CCC-n volt egy előadás, melyben azt mutatta be egy több nemzetközi egyetemről és kutatóintézetből összeállt csapat, hogy bezony ma már 200 db. PS3-mal 1-2 napon belül lehet hamis SSL tanúsítványt gyártani, ha az alárírási algoritmusban MD5 hasht használnak. Szóval az SSL köszöni jól van, de figyelni kell, mert az egyik használható kriptográfiai eljárás gyenge láncszem lehet.

A jó hírek:

  • MD5 hasht már nagyon kevés tanúsító szervezet használ. Magyarországon rövid tesztem eredményeként azt mondhatom, hogy a CIB, az Erste, az ING és az OTP oldalainak tanúsítványai nem hamisíthatóak. 
  • Már csak azért sem, mert meglévő tanúsítványokat nem lehet hamisítani, bár az is igaz, hogy a támadásban kihasznált MD5 gyengeség már 2007 óta ismert!
  • Ha olyan oldalon jártok ahol hosszú zöld csík van a böngészősávban, akkor az az oldal tuti kóser. Ezek Extended Validation tanúsítványok, melyeknél tilos az MD5 használata.
  • A támadáshoz azt is kihasználták, hogy a megtámadott tanúsítószerv szisztematikusan növekvő azonosítót használ a tanúsítványaihoz, és itt is sok múlt az időzítésen.
  • 200 db. PS3 alsó hangon is 10 millió forintos ár környékén mozog. Alternatívaként ki lehet bérelni az Amazon EC2-jét, 2000$-ért alkalmanként.
  • A tanúsítványgyártók visszavonhatják a tanúsítványaikat, így a rosszban sántikálók tanúsítványai érvényteleníthetőek lesznek. 
  • Nem sokára gyaníthatóan elkészül egy-egy böngésző plugin, ami visít, ha valaki MD5-tel aláírt tanúsítványt nyom az arcunkba. Jan 2.: Meg is érkezett az SSL Blacklist legújabb változata, ami gyenge, Debianon generált kulcsok mellett most már az MD5-tel aláírt tanúsítványokat is képes detektálni.

Rossz hír lehet, hogy az algoritmus vélhetően jól párhuzamosítható, tehat masszívabb botneteket is elméletileg be lehet állítani az ütközéskeresésre.

Szóval mindenki nyugodtan alhat (egyelőre), ma sem jött el a világvége.

A prezentáció letölthető innen
Az előadás meg innen

Frissítés: A VeriSign blogbejegyzésében közölte, hogy a prezentáció alanyául szolgáló RapidSSL azonosítógenerálási gyengeségét röviddel a prezentáció megjelenése után kijavították, és legkésőbb január végéig befejezik az MD5-tel aláírt tanúsítványok kiadását. A már meglévő MD5-ös tanúsítványokat - bár ezek jelenlegi ismereteink szerint nincsenek kitéve a támadás kockázatának - díjmentesen cserélik. 

 

Így kell iPhonet hackelni

2008.12.30. 13:15 | buherator | 1 komment

Az iPhone Dev csapat nagyszerű prezentációját láthatjátok odafent, melyben az iPhone unlockolásának gyönyörűségeit ecsetelik. Készítségek elő a popcornt, jobb, mint egy akciófilm!

Címkék: videó iphone 25c3

25C3 CTF eredmények

2008.12.30. 12:28 | buherator | Szólj hozzá!

Tegnap hirtelen felindulástól vezérelve néhányan a #hohh-ról  úgy döntöttünk, hogy benevezünk a CCC idei Capture the Flag játékára. A verseny során minden csapatnak be kellett üzemelnie egy virtuális gépet egy egységesen összeállított konfigurációból kiindulva, valamint meghatározott szolgáltatásokat üzemeltetve. A szolgáltatások egyikét magának a csapatnak kellett megvalósítania egy specifikáció alapján. Az így elkészült "vulnboxot" egy erre a célra létrehozott hálóba kellett beállítani, ahol a többi csapat, valamint maguk a szervezők is folyamatos támadásoknak illetve funkcionális teszteknek tehették ki a virtuális gépeket. 

Toprongyos csapatunknak, bár a kihívás mindannyiunkat váratlanul ért, azért sikerült kimászni a sereghajtók mezőnyéből, és elég tapasztalatot gyűjtöttünk ahhoz, hogy jövőre versenyre kelhessünk akár az idei bajnokokkal, a Wii és iPhone hackerek egyesített erejét felvonultató WiiPhoniesal is, akik (OMFG!) 100%-osan teljesítették a játék összes feladatát. Gratulálunk nekik!

Címkék: játék móka 25c3 capture the flag

Kritikus(?) Windows Media Player sebezhetőség - Frissítve!

2008.12.28. 14:19 | buherator | Szólj hozzá!

Frissítés: Az SVRT szerint a Microsoft szakemberei utánajártak a problémának, és azt találták, hogy nincs szó integer túlcsordulásról, pusztán egy processzorkivételt nem kezel le a program, ez pedig nem ad alkalmat káros kód futtatására. Reméljük igazuk van. A Security Trackernek minden esetre sikerült beiktatnia egy karácsonyi munkanapot a Microsoftos kollegáknak... A Poszt végén található jótanácsok azért továbbra is érvényesek.

A Security Tracker jelentése szerint speciálisan formázott WAV, SND vagy MIDI fájlok segítségével kihasználható, kódfuttatásra alkalmat adó integer overflow sebezhetőség súlytja a Windows Media Player összes támogatott változatát. 

A javítatlan probléma komoly veszélyt jelent az ünnepekkor hatványozottan jelen lévő viccesvideó-küldözgetési őrületben, ezért lehetőleg tartózkodjunk minden ilyen jellegű fájl WMP-vel történő megnyitásától, de más médialejátszók esetén is győződjünk meg róla, hogy a legfrissebb változatot használjuk! Ezen kívül az is sokat tud segíteni, ha nem adminisztrátorként böngésszük kedves ismerőseink(?) karácsonyi jókívánságait. Vagy ha nem nyitjuk meg őket egyáltalán.

 

Címkék: bug 0day windows media player

Egy hacker mind fölött I.

2008.12.28. 12:34 | buherator | 2 komment

A Wired újabb izgalmas hackerstoryval lepett meg minket, melyben Max Butler történetét mutatják be, aki elhatározta: átveszi az irányítást a világ illegális hitelkártya-piacai felett. A hét részes történet összeköti az utóbbi idők legnagyobb kártyacsalással összefüggő balhéjait és bepillantást enged egy mindenre elszánt feketekalapos agyába és a netes alvilág működésébe is. Remélem végzek vele még az idén, jó szórakozást!

Max Butler búvóhelyén a hőség szinte elviselhetetlen volt. A berendezés volt az oka. Butler több szerverrel és laptoppal szorította be magát egy stúdiólakásba magasan San Francisco Tenderloin környéke föle, és a processzorok és kijelzők tömege pulzáló hőséget gerjesztett a szobában. Butler vett néhány ventillátort, de ezek nem sokat könnyítettek a dolgon. A villanyszámla olyan magas volt, hogy a házmester azt gyanította, hogy Butler hidrokultúrás drogfarmot üzelemtet.

De Butlernek el kellett viselnie a hőséget, ha irányítani akarta az egész online alvilágot. Majdnem két évtizeden keresztül hackerként tökéletesítette képességeit. Ingyenes hívásokat kezdeményezett a helyi telefontársaságokon keresztül és beférkőzött a légierő számítógépeibe is. Most, 2006 augusztusában az eddigi legvakmerőbb húzására szánta el magát: át akarta venni az uralmat azok fölött a feketepiacok fölött, melyeken a kiberbűnözők a lopott szemlyiségi adatoktól kezdve a hamisításhoz használt eszközökönig mindent adtak és vettek. Ezek az oldalak együttvéve többmillió dollárt termeltek évente és Butlernek volt egy terve, hogy hogyan vegye át felettük az irányítást.

Székében ülve, ujjait a billentyűzeten zongoraművészként pihentetve Butler megkezdte a támadást. A legtöbb illegális online rablás úgynevezett carder oldalakon keresztül zajlott, olyan helyeken, ahol az online bűnözők hitelkártya-, és társadalombiztosítási számokat és más lopott adatokat adhattak és vehettek. Butler egyenként térdre kényszerítette őket. (Ez és a történet többi része bírósági dokumentumok valamint barátokkal és hozzátartozókkal történt beszélgetések alapján lett rekonstruálva; Butler nem volt hajlandó nyilatkozni). Először áttörte a védelmüket, rávéve SQL adatbázisszervereiket hogy a saját parancsait futtassák, vagy egyszerűen egy-egy hackelt jelszóval lépett be. Mikor bennt volt, leszívta az összes adatot, beleértve az oldalakon kereskezők  felhasználóneveit, jelszavait és e-mail címeit. Aztán kivégezte őket, olyan játszi könnyedséggel ürítve ki az adatbázisokat, mint ahogy a gyújtogató lángra lobbant egy gyufát. Két teljes napig dolgozott, amikor kimerült, a lakás kinyitható ágyán aludt egy-két órát, aztán felkelt és folytatta tovább. Butler az Iceman nevet használva emailt küldött azoknak, akiknek a hozzáférését megszerezte. Ahogy írta, ha akarták, ha nem, most már a saját oldalának, a CardersMarket.com-nak a tagjaivá váltak. Butler egyetlen bátor csapással felállította az Internet egyik legnagyobb, 6000 felhasználót számláló bűnözőknek szánt piacterét.

Az egész az üzletről szólt. A lopottadat-piac túl sok, hibáktól és besúgóktól hemzsegő oldalra aprózódott el. Az egész alvilág fölött uralom átvételével Butler egy olyan piacot teremtett, melyben saját maga is megbízhatott. De még ennél is fontosabb volt, hogy kielégíthette versengő ösztöneit is. Offline módban Butler egy kedves óriás volt, nagylelkű és érzékeny. De belső erődjének magányában Iceman könyörtelen mohósággal folytatta online birodalmának építését. Valójában nem a pénz érdekelte. Ő azt akarta bebizonyítani, hogy ügyesebb, bátrabb és keményebb, mint bárki más.

A hatalomátvétel Butler erőfeszítéseinek betetőzése volt, de egyúttal pályája zuhanásának kezdetét is jelentette. Akciói az igazságszolgáltatás célpontjává tették, akik számára ő jelentette a számítógépes bűnözők új fajtájának megtestesülését, azokét a pénzsóvár kibercsalókét, akik már sokkal nagyobb csapást jelentenek az Internetre, mint kikapcsolódásként hackelő társaik. Az egyre növekvő carder fórumok világszerte ehetővé tették a tolvajoknak, hogy adatokat, eszközöket és szolgáltatásokat vásároljanak. Az FBI adatai alapján 2005 óta a hackerek és a korrupt alkalmazottak több mint 140 millió rekordot loptak el az Egyesült Államok banjaitól és más cégeitől, ami nagyjából 67 milliárd dollárnyi éves veszteséget eredményezett. 200-ben Robert Mueller, az FBI igazgatója a kiberbűnözést tette meg az iroda egyik elsőszámú priorításává, melyet csak a terrorizmus és a nemzetközi kémkedés előzött meg. Butlert hatalomszerzése pontosan a szövetségiek céltáblájának közepére állította.

A következő napokban legyőzött ellenfelei fellázadtak a kényszerű egyesüléssel szemben, harcoltak felhasználóik visszaszerzéséért, és erőtlen ellentámadásba kezdtek. Ha Butlert meg is érintettéték az ellene mozgósított erők, ezt nem mutatta ki. "Alapvetően," - írta később - "[a erősítés] későn érkezett". Nem ismert félelmet, de kudarcra volt ítélve, ahogy mindig is. 


A most 36 éves Max Butler a kezdetektől fogva nehezen találtam meg a helyét a világban. Egy kétgyermekes család nagyobbik fiaként nőtt fel az idahoi Meridianben, számítógép geekként egy vidéki városban, ahol a csajok csak a rodeo bajnokokra buktak. 14 éves korában szülei elváltak. Butler a helyi BBS szcénában találta meg a maga társaságát. A számítógépek egy alternatív valóságot nyújtottak, egy helyet, ahol minden problémát meg lehetett oldani akarattal, csellel vagy értelemmel. A hackelés még izgalmasabb volt, egy kalandos, kihívásokkal teli dimenziót nyújtva. Barátai szerint a középiskola alatt Butler valósággal elmerült a számítógép illetve telefon hackelésben, kinyomtatott Phrack magazinnal járt órára és ingyen telefonált.

De aggresszivítása is nyomot hagyott maga után. Majd' 2 méteres magasságával ő volt azon kevés kockák egyike, akik azok fölé a cowboy kalapos kötekedők fölé tornyosulhattak, akik a haverjaival gúnyolódtak minden sarkon.

Kötekedő jelleme mellett igen zaklatott is volt. Elsőévesen betört az iskolájába, üzeneteket írt a táblákra, oltóhabbal fújta tele a folyosókat, majd kifosztotta a kémia szertárat. A pszihológusok később bipoláris zavart diagnosztizáltak nála. 1990-ben, elsőéves főiskolásként barátnőja nyolc hónap után szakítani akart vele. Butler nehezen viselte a dolgot, folyamatosan hívogatta a lányt, és öngyilkossággal fenyegetőzött. Amikor a lány meglátogatta édesanyja házában, hogy jobb belátásra bírja, megragadta volt barátnője torkát és azt mondta, meg fogja ölni. Feljelentették fegyveres támadás vádjával - ez esetben a fegyver a saját keze volt. 1991-ben elítélték és öt kemény évet kapott.

1995-ben szabadult, és megpróbált új életet kezdeni. Nevét megváltoztatta Max Vision-re és Bay Area-ra költözött, ahol néhány Idahoi barátja jött össze főiskola után. A csapat lakást bérelt Half Moon Bay-en, egy csendes kisvárosban, húsz mérföldre a Szilícium Völgytől, ahol a .com gazdaság éppen éledezett. A házat egy geek paradicsommá alakították, nagy teljesítményű játékgépekkel a szobákban és Cat 5 kábelekkel a folyosókon. Mikor a Nap lement, Butler egész éjszakás rave-eken ünnepelte a szabadságot San Franciscoban. Az egyik bulin megismerkedett egy főiskolás lánnyal, Kimi Wintersszel, akit rögtön meg is hívott egy másnapi bulira magához. Hat hónappal később összeházasodtak.

Így, huszas évei közepén a letelepedést fontolgatva, Butler tanácsadói vállalkozásba kezdett, melyben hacker képességeit adta bérbe. Több mint 100$-t keresett óránként azzal, hogy behatolásteszteket hajtott végre vállalat kliensek részére, emellett pedig az FBI san franciscoi irodájában is kamatoztatta fehérkelepos képességeit. De ez nem volt elég. Eg yvalódi hackernek egy rendszer védelmének a megkerülése a tulajdonos tudtával olyan, mintha az ember pornót nézne, miközben rendes szexre is lehetősége lenne. Ezért barátai elmondása szerint szabadidejét privát hálózatokban történő barangolással töltötte - olyan módszerek segítségével, amitől meg akarta védeni ügyfeleit napközben.

1998 tavaszán ez a kttős élet azonban összedőlt. Internetes szakértők biztonsági rést találtak a mindenütt jelenlévő BIND névszerver démonban. Ha foltozatlanul hagyják, a lyuk lehetőséget ad több százezer számítógép fölött hatalom átvételére. butler magára vállalta, hogy szövetségi számítógépekre betörve foltozza a hibát. Persze ha már ott volt, hagyott egy apró kiskaput, így kormányzati és katonai hálózatokhoz férhetett hozzá szerte az országban.

Pop-up ablakok értesítették Butler minden alkalommal, amikor egy hátsó kapu sikeresen telepítésre került, és nem sokára a számítógépe képernyője tele volt ilyen figyelmeztetésekkel: katonai támaszpontok, nukleáris laboratóriumok, a kereskedelmi-, közlekedési-, és belügyminisztérium,  valamint a Nemzeti Egészségügyi Intézet. Aztán néhány héttel később kopogtattak az ajtón. Ugyanazok az FBI ügynökök voltak, akiknek annak idején önként segített, és velük volt egy fiatal nyomozó a légierőtől, aki a pop-up üzeneteken keresztül lenyomozta Butlert. Három évvel azután, hogy kiengedték a börtönből az újrakezdés reményével, Butler útban volt visszafelé.

2001 májusában 18 hónapra ítélték, melyet a Taft szövetségi börtönben kellett letö9ltenie. Két hónappal később Winters telefonon közölte vele, hogy el akar válni. Talált valaki mást. "Nem gondolsz a jövődre" - mondta.

Butler ordított és mentegetőzött. A lezárás reményében felesége Taftba utazott, ami 300 mérföldnyire volt délkeletre San Franciscotól. Butler mikor bevezették hiába könyörgött, hogy felesége gondolja meg magát. Azt mondta, gondol a jövőre, és hogy tervei vannak. "Beszéltem néhány emberrel" - mondta, lecsendesítve magát - "Emberekkel, akikkel azt hiszem, együtt tudnék dolgozni".

Folyt. köv ;)

Címkék: kultúra hitelkártya max butler carder carding

25c3 élőben

2008.12.27. 18:57 | buherator | Szólj hozzá!

Szerencsére az Internet korában a biohardver meghibásodása, vagy az iratok lejárata sem akadályozhatja meg az egyszeri kockát abban, hogy tanúja legyen a világ legfontosabb eseményeinek:

A CCC követhető Twitteren, az identiti.ca-n sőt, élő streamek is rendelkezésre állnak az érdeklődők számára! A tudás hatalom, figyeljetek!

Thx woodspeed!

Címkék: video 25c3

Mennyire vagy anonim?

2008.12.27. 17:55 | buherator | 7 komment

Magánszféránk illetve altestünk védelme érdekében gyakran szükségünk lehet rá, hogy pl. proxyk mögé bújva rejtsük el IP címünket a kíváncsi szemek elől. Ez a feladat azonban nehezebb, mint aminek látszik!

A Metasploit Project legúabb "terméke" egy Decloaking Engine névre keresztelt, nyilvános API-n keresztül elérhető eszköz, amely megkísérli a lehető legtöbb információt kinyerni a weben közlekedő Anonymusok valódi tartózkodási helyével kapcsolatban. Lássuk milyen módszereket használ a motor mocskos kis titkaink leleplezésére:

  • Az IFRAME-be töltött kémoldal kéréseket intéz egy, a decloak.net tartományába eső speciális subdomainre, amit természetesen a kliens névszerverének fel kell oldani. A decloak.net speciálisan elkésztett névkiszolgáló szoftvere, feljegyzi, hogy honnan érkeztek hozzá DNS kérések a különböző alcímekre, innen pedig következtetni lehet arra, hogy a kedves látogató milyen ISP-nél előfizető, vagy akár arra is, hogy az illető mely cégnél dolgozik.
  • Ha egy Java applet megpróbál feloldani egy hoszt nevet a socket API-n keresztül és a hoszt név nem egyezik meg az appletet kiszolgáló webhelyével egy biztonsági kivétel dobódik. Ennek ellenére a DNS kérés ugyanúgy elküldésre kerül, az eredmény pedig megegyezik az első pontban tárgyaltakkal.
  • Ha egy Java applet UDP üzeneteket küld vissza a kiindulási hosztjára, a csomagok általában nem a beállított proxyn keresztül közlekednek, ez pedig felfedheti a kliens valódi IP-jét. Hasonló módszerről már volt szó itt is.
  • Ha a Java engedélyezve van, a webes kliens IP címe elérhető a socket API-n keresztül, ami a munkaállomás nevének és a számítógép belső hálós IP címének kiszivárgását is eredményezheti. 
  • A Flash plugin lehetővé teszi direkt TCP kapcsolatok nyitását a kezdeményező hoszt felé, melyek kikerülhetik a proxy szervert, felfedve a valódi IP címet.
  • Ha a Microsoft Office automatikusan megnyitja a hozzá rendelt, Internetről letöltött fájlokat, egy neten lévő képet letöltő dokumentum visszaadásával ki lehet kerülni a böngésző proxy beállításait, és kideríthető a kliens által használt DNS szerver címe is.
  • A Quicktime pluginnek megadható olyan paraméter, ami direkt kapcsolatot eröltet a letöltendő médiához a böngésző beállításainak alkalmazása helyett.
  • Az iTunes által regisztrált itms:// protokollkezelő olyan beállítások alkalmazásával  nyitja meg a médialejátszót, amely szintén direkt kapcsolat nyitására készteti azt. 

Végeztem néhány tesztet az igen gyakori Vidalia Boundle+Firefox+Torbutton összeállítással, a tapasztalatok a következők:

  • NoScripttel a legtöbb próbálkozás elvérzik, de a DNS felismerés meglepően hatékonyan működik még így is!
  • Az iTunes egy áruló mocsok, bár ha időben bezárom, nincs ideje beköpni. Az alapértelmezett Privoxy konfiguráció szűri a Flash tartalmakat. Nem véletlenül.
  • Maga a teszt viszonylag sokáig tart, és a küldönböző felpattanó ablakok (pl. Letöltések, iTunes) elég árulkdóak lehetnek. Mindazonáltal az API lehetőséget ad a tesztelési eljárások megválogatására, így ezek a mellékhatások jelentősen csökkenthetők.

Most pedig mars vissza az asztalhoz bejglit zabálni!

 

Címkék: itunes java privacy proxy dns quicktime tor decloak

süti beállítások módosítása