Nem is tudom hogy kezdjem... Szóval ott állok ma reggel a buszmegállóban, csomagom a gép gyomrában, mikor a stewardess elkéri az igazolványomat, és ahogy azt a szolgálati szabályzat előírja, elkezdi vizsgálni a plasztikkártya lejárati dátumát: 2008. december 27. Útlevél persze nem volt nálam (ennek a miértje megint egy érdekes törtönét egyébként), érvényes utiokmány nélkül pedig nem hagyhatom el az országot.

Így végül nem szálhattam fel a buszra, és azt hiszem, itt már olyan erők munkálkodnak, amelyek ellen én kevés vagyok, mint az algopirin. Persze próbálkozhatnék még holnap, és beeshetnék egy nap késéssel a konfra, de a sors ellen úgy érzem nem tudok, és már nem is akarok küzdeni: maradok itthon, a családdal és a barátokkal, a forró tea mellett, jövőre pedig kétszerezett erővel, az idei év tapasztalatainak birokában vágok majd neki a CCC-nek!

Ezúton is elnézést az agyatok húzásáért!

U.i.: Azért egy hazánkfia, tg sikeresen nekivágott az útnak, drukkoljunk együtt neki, hogy minél jobban sikerüljön számára a buli!

Frissítés (2008.12.27 22:43): Most fogytak el a jegyek 

Ezeknek is most kell hapacsolni :P

Egy csuklyás, arc nélküli alak fegyvert fog az olvasóra - napok óta ez a látvány fogadja a kekesteto.com weboldal látogatóit.

Tovább Index...

Nos, kemény szervezőmunka eredményeként holnap hajnalban - ha az ébresztőórám, a busztársaság és Szent Izidor is úgy akarja - úgy néz ki mégis elindulunk a 25th Chaos Communication Congressre. Így előreláthatólag lesz élménybeszámoló, up-to-date poszotlás a világ egyéb eseményeiről ellenben kevesebb.

Ha időközben 0wnolják a blogot, azt köszönjétek az Indának, aki a rengeteg hasznos újítás mellett nem volt képes egy SSL-es autentikációt megvalósítani...

Ezúton kívánnék minden kedves olvasómnak kellemes ünnepeket! A posztgyakoriság az elkövetkező napokban előreláthatólag elég kiszámíthatatlan lesz, de remélem ilyenkor senkinek nem a BuheraBlog az egyetlen társa, akivel így karácsony környékén együtt töltheti az idejét ;)

Mint azt valószínűleg többen tudjátok, úgy volt, hogy páran elnézünk a 25C3-ra. Nos, jelenleg úgy áll a dolog, hogy egy váratlan, igen sajnálatos esemény miatt az út mégis elmarad, így sajnos nem szolgálhatok első kézből származó infókkal az eseményről.

Vígaszul álljon itt Hunger levele, aki még az angyalkák beérkezése előtti utolsó pillanatban összedobott egy exploitot a Roundcube webmailre:

Hali!

Mivel kikerült a PoC tegnap, ezért publikáltam az exploitomat a roundcube webmail-hez (str0ke kitette milw0rm-ra és a securityfocus-on is elérhető már). Érdekessége, hogy egy sima shell scriptben van összeütve az egész és a hagyományos php kód injektálás helyett ez fix kódot tol be a hibás résznél, amely viszont hivatkozik a HTTP Accept headerre és onnan olvassa fel base64el kódolt, futtatni kívánt kódot. Az egész interpreter jellegűen működik, tehát ugy lehet php utasításokat/függvényeket futtatni a távoli szerveren, mintha egy shellbe írná be az ember.

A kód kicsit nehezen átlátható talán elsőre és eléggé kusza, de nagyjából működik. Az exploitnál a kódinjektálásból jön vissza a "Succeeded" szöveg, így csak akkor jelenik meg ez az üzenet, ha garantáltan sikeres volt a támadás (nincs false positive).

Két nappal ezelőtt csináltam egy felmérést, akkor 50 roundcube kiszolgálóból 47 sebezhető volt. Köztük a Linus Torvalds volt egyeteme is (roundcube.cs.helsinki.fi) és itthon jópár szerver (thinkgeek.hu, stb.).

Üdv.

Hunger

Még augusztusban adtam hírt a három bostoni metróhackerről, akik egy igen kellemetlen jogi kört voltak kénytelenek futni, miután rájöttek, hogyan lehet ingyen utazni a helyi járatokon, és felfedezéseikről előadást is szándékoztak tartani a Defconon.

Bár az eset már lényegében augusztusban lezárult az MBTA visszatartó indítványának elutasításával, a teljes ügyet hivatalosan csak október 7-én ejtették, de ezt csak most hétfőn jelentették be nyilvánosan, tekintettel a különböző felek PR stratégiájára (amit én persze fel nem foghatok). 

A három MIT-es hallgató most az MBTA-el közösen dolgozik a metró biztonsági rendszerének tökéletesítésén, így a történet úgy tűnik mindenki számára szerencsés véget ért.

A Microsoft tegnap kiadott figyelmeztetésében a hó eleji frissítőcsomag kapcsán már tárgyalt SQL Server sebezhetőség veszélyeire hívja fel a figyelmet. 

Mint az ismeretes, az sp_replwritetovarbin tárolt eljárást felhasználva jogosultságkiterjesztés érhető el a rendszeren autentikált felhasználók számára. Az SVRD blog azonban arra figyelmeztet, hogy pl. egy SQL injection támadással kombinálva a támadást, gyakorlatilag autentikáció nélkül is lehetőség nyílik káros kódfuttatásra. Másrészt egy októberi hibát kihasználva a NetworkServiceként futó SQL Server jogosultságait Local Systemre lehet emelni, így gyakorlatilag teljesen átvehető az érintett rendszerek fölött az irányítás.

Nyilvános exploit már van, konkrét aktív támadásokról a Microsoft egyelőre nem tud. A lehetséges workaroundokról itt és itt olvashattok.

Múlt héten jelent meg az OpenVAS, nyílt forrású sebezhetőség-felderítő eszköz legújabb 2.0-ás változata.

Az OpenVAS a méltán népszerű, de 2005-ben zárt forrásúvá tett Nessus GPL licensz alatt fejlesztett változata. A 2.0-ás változat a saját Network Vulnerability Testeken (NVT) túl támogatja az Open Vulnerability and Assessment Language (OVAL) formátumú felderítő szkripteket is, így több mint 6000 előre elkészített teszt közül válaszhatunk célpontjaink vizsgálata során. 

A szoftver és a részletes dokumentáció, valamint a szkriptek letölthetők innen.

 Feltörték a VDSZSZ honlapját és egy vicces üzenetet helyeztek el rajta, amiben a VDSZSZ vezetői a sztrájk befejezéséről írnak, Gaskó Istvánt pedig ugandai szénbányába küldik.

Tovább az indexen

Frissítés:

Közben keményen megy a heggesztés a háttérben:

A yellowsn0w az év utolsó napján kerül kiadásra.

Mert keveset aludtam, a véralkohol szintem ellenben még mindig magas.

Egyéb iránt /me != PZ

Csak hogy tiszta legyen ;)

Dan Kaminsky egyik BlachHates előadásán megemlített ötlete alapján Landon Fuller elkészített egy kis programot, melynek segítségével a DNS rendszeren keresztül lehet üzeneteket váltani. 

Mindez ugyan őrültségnek tűnhet (az is), de a megoldás szépsége miatt azt hiszem érdemes rá szánni néhány percet:

A kommunikálni készülő feleknek szükségük lesz egy közös szótárra, egy inicializáló vektorra (IV), egy rekurzív, gyorsítótárazó névszerverre, valamint egy wildcard DNS zónára.

A DNS kérésekben beállítható az úgynevezett RD (Recursion Desired) flag, ami 1-re állítva engedélyezi a rekurziót, 0-ra állítva pedig értelemszerűen letiltja azt, így a szerver csak a saját, helyi gyorsítótárában tud keresni.

A küldő oldalon csapjuk hozzá az üzenetünkhöz annak pl. 8 biten ábrázolt hosszát, és az így keletkezett bitsorozat minden bitjéhez válasszunk egy-egy nevet a wildcard zónából a szótárunk és az IV segítségével. Ezek után az 1-es bitekhez tartozó neveket kérjük el rekurzívan a névszervertől.

Ekkor a névszerver gyorsítótárába bekerülnek ezek a nevek.

A fogadó oldalon a szótár és az IV segítségével generáljuk le az előzővel megegyező bit-név megfeleltetéseket tartalmazó listát, majd kezdjük el nem-rekurzívan lekérdezni ezeket a közösen használt szervertől! A kiszolgáló azokat a neveket fogja megtalálni (a saját gyorsítótárában), amelyeket a küldő is lekérdezett, ezek lesznek tehát az 1-es bitek, a többi pedig maradhat 0. Voila, az üzenet előállt!

Az Adobe biztonsági értesítést adott ki, melyben egy, a Flash Player linuxos változatásban található kritikus hibára figyelmeztet. A sebezhetőséget kihasználva egy speciális SWF fájl segítségével kátékony kód futtatható az érintett rendszereken, ami főleg akkor fájdalmas, ha valaki rootként böngészi a netet (node ki tenne ilyen balgaságot?). 

Érdemes telepíteni a lejátszók frissített, 10.0.12.36-os, illetve 9.0.152.0-ás változatát.

Nagyjából 12 órája megjelent az Internet Explorer 0dayt javító folt a Microsoft gondozásában. Közben több mint 100.000 weboldalba injektálták kifejezetten erre a sebezhetőségre kihegyezett exploitot, így egyes véleményekkel ellentétben azokat a felhasználókat is veszély fenyegetheti, akik csak a megszokott oldalaikat böngészik a neten. Igaz ugyan, hogy a fertőzött területek 81%-át adó Dél-Korea weboldalai viszonylag kevés honfitársunk könyvjelzői között szerepelnek, de például német és amerikai oldalak kompromitálódásáról is érkeztek hírek. Mindenki frissítsen mihamarabb!

A Franfurter Rundschau újságíróihoz eljutott egy, Németország legnagyobb hitelkártya-kibocsátója, a Landesbank Berlin ügyfeleinek privát adatait tartalmazó mikrofilm. A felvétel több tízezer ügyfél nevét, címét, számlaszámát, és számlatörténeti adatait tartalmazza. Nem lehet tudni, hogy ki küldte a csomagot, ami a mikrofilm mellett tartalmazott az Atos Worldwide-tól tartozó, 71.400 euróról szóló számlát is, melyet adatkezelés címén állítottak ki.

A Mozilla is kiadott egy biztonsági frissítést böngészőihez, amely a Firefox 2-es szériájának utolsó javítását tartalmazza, a második generáció támogatása ez után meg fog szűnni. Ezen kívül érdemes megemlíteni, hogy ez az update kiöli a kettes szériából az adathalászat-védelmi funkciót, mivel a Google által nyújtott interfész megváltozott, és a jövőben nem kívánják támogatni az elavult változatot.

A hibák same-origin policy-sértést, információszivárgást, illetve egy esetben memória korrupciót tettek lehetővé. 

Az utóbbi napok eseményeivel egybevetve ez a figyelmeztető azt hiszem jól példázza, hogy legtöbbször nem érdemes pusztán a felfedezett hibák számával mérni egy program biztonságát.

A Microsoft tegnap bejelentette, hogy ma kiadja a foltot az eddig javítatlan, összes Internet Explorer verziót érintő  kritikus sebezhetőségre. Addig is nézegessétek ezt :)

Közben olvasom a HUP-on:

"Nem javaslom az embereknek, hogy emiatt az egy hiba miatt váltsanak," - mondta John Curran, a Microsoft UK Windows csoportjának vezetője.

Végülis eddig, csak nagyjából 10.000 SQL injektált oldalról tudni, ami felhasználja a bárki számára elérhető exploitot...

Aztán látom, hogy van hivatalos, magyar nyelvű bejelentés is a MS részéről, meg hogy az egyik tiszteletre méltó kollega a kapcsolódó threadben is hozzászólt a dologhoz, ezt nevezem párbeszédnek (az más kérdés, hogy a közlemény meg hülyeségeket állít...)!

Az Opera "erősen ajánlott" biztonsági frissítést tett közzé böngészőjének asztali operációs rendszerekre szánt változataihoz. A legsúlyosabb problémát a szöveges beviteli mezőkkel, HTML feldolgozással, és a file: URI kezelővel kapcsolatos puffer túlcsordulásos sebezhetőségek. A változások teljes listája itt található.

Nem rég jelent meg a Sony PlayStation-re készült virtuális valóságának, a Home-nak a nyílvános tesztverziója. Mint minden ilyen alkalmazás esetében, a lelkes hackerek itt is hamar nekiálltak megnézni, hogy mi is van a "dobozban", a próbálkozásokat pedig figyelemre méltó eredmények koronázták:

Egy StreetskaterFU nicken blogoló srác fogta magát, és egyszerűen lehallgatta, hogy milyen kommunikáció zajlik a konzol és a Home szerver között, és meglepődve tapasztalta, hogy a teljes kommunikáció titkosítatlanul folyik. Innentől kezdve gyerekjáték volt lekövetni a különböző szervernek küldött parancsokat, majd reprodukálni azokat, ami már eleve izzasztó eredményekkel járhatott volna a Sonynak. Ami viszont minden bizonnyal harakikit triggerelt szegény japánokban, az az, hogy deszkás barátunk rájött, a szerverek gyakorlatilag nem végeznek hozzáférés szabályzást a nekik küldött parancsokkal kapcsolatban, így a szervereken található fájlok jelenős része gyakorlatilag néhány pofonegyszerű kéréssel letölthető, törölhető vagy módosítható.  

Mindez lehetőséget ad a játékban megjelenő reklámok eltüntetésétől kezdve a szerver oldalon történő exploit futtásig szinte bármire (Bár ez egyesek számára csak növeli a játékélményt :). Remélhetőleg a végleges változatban ezeket a "lehetőségeket" meg fogják szüntetni...

Az Apple 21 hibajavítással rukkolt elő, melyek köött természetesen jónéhány biztonságot érintő változtatás  is szerepel. Lássuk ezeket:

• CVE-2008-4217: CPIO állományok fejlécének feldolgozásánál kódfuttatásra alkalmas stack overflow került javításra
• CVE-2008-3623: A Core Graphics színkezelésében javított heap overflow speciális képeken keresztül adott lehetőséget kódfuttatásra
• CVE-2008-317: A Safari lehetővé tette sütik beállítását a legfelsőbb szintű domainekre, ami session fixation támadásokon keresztül alkalmat adott a felhasználók privát adatainak megszerzésére.
• CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824: Távoli webhelyeken keresztüli kódfuttatásra lehetőséget adó sebezhetőséget javítottak az Adobe Flash Player implementációjában.
• CVE-2008-4218: Integer overflow a 386_set_ldt és i386_get_ldt rendszerhívásokban, ami jogosultságkiterjesztésre ad lehetőséget helyi felhasználóknak.
• CVE-2008-4220: integer overflow a Libsystem inet_net_pton API-jában, amit általában nem hívnak meg megbízhatatlan adattal, ezért konkrétan kihasználható eset ezzel a hibával kapcsolatban egyelőre nem ismert.
• CVE-2008-4221: memória korrupció a Libsystem strptime API-jában, amely speciálisan megadott dátum értékek segítségével adott lehetőséget kódfuttatásra.
• CVE-2008-1391: Újabb integer overflow-k a Libsystem-ben, ezúttal az strfmon függvényt érintve. Extra nagy integer argumentumok átadásával kódfuttatásra nyílit lehetőség eddig.
• CVE-2008-4223: Megkerülhető autentikáció a Podcast Producer szerverben, amely adminisztratív jogok szerzésére adott lehetőséget.  

A több javításra került problémáról itt olvashattok. 

Frissítés:

Az Appleblog ír a felhasználói interfészen történt változásokról, valamint arról, hogy tört Apple kütyükkel rendelkezőknek - amíg az ügyes hekkerek ki nem találnak valami frappánsat - jobb vigyázni a frissítéssel. 

sghctomától kaptam a következő levelet:

Üdv!

Hétvégén kicsit besokalltam a vizsgaidőszak előtti zh-áradattól, és
pihenésképpen befejeztem a régóta ígért alap RCE tutorialt. Amit
tartalmaz: nagyon minimális leírás a disassemblerekről, debuggerekről,
és egy kis crackme "feltörése" byte patching-gel OllyDbg-gal. Ha
gondolod, kiegészítheted vele a szótárat, bár a téma kicsit elüt a
többi ott lévő dologtól (nem igazán IT-biztonság).

Csináltam egy másik írást is; egy, a tutorial írása közben felmerült
probléma megoldását írtam le benne: az Olly azon fícsörje, hogy
CTRL+F1-et nyomva egy API függvényen megjelenik az adott API-hoz
tartozó help, nem működik Vista-n, mert már nem támogatottak a .hlp
file-ok, és az őket megjelenítő WinHelp API. Az pdf-ben leírtam, hogy
hogyan lehet kicserélni az olly exe-ben ezeket a WinHelp hívásokat az
új HtmlHelp-re. Imádok exe-kben turkálni, talán más is
érdekesnek/hasznosnak tartja az írást :)

Link a két pdf-hez:
http://sghctoma.extra.hu/downloads/vistaolly.pdf
http://sghctoma.extra.hu/downloads/reversing.pdf

üdvözlettel:
toma

Javítás még nincs, támadások viszont vannak dögivel a már tárgyalt, összes támogatott verziót érintő  IE7 sebezhetőséggel kapcsolatban. A javítófolt megjelenéséig a Microsoft több áthidaló javaslatot is megjelentetett, amelyek alkalmasak az eddig megfigyelt támadási minták kivédésére, illetve a támadók dolgának megnehezítésére. Az SVRD külön posztban foglalkozik a felmerülő lehetőségek működési elveivel és lehetséges negatív hatásaikkal.

A megoldási javaslatok mindegyike lényegében egy hibás DLL fájlhoz történő hozzáférés letiltását javasolja, ami nyilván valóan problémát okozhat, ha más alkalmazásaink legitimen akarnak hozzáférni az osztálkönyvtárakhoz. 

A legjobb megoldásnak az átlag Windows XP felhasználók számára az XML Island funkció letiltása tűnik az msxml3.dll-ben, mivel ezt csak viszonylag kevés weboldal használja. Mindez a 

HKEY_CLASSES_ROOT\CLSID\{379E501F-B231-11D1-ADC1-00805FC752D8}

registry kulcs eltávolításával érhető el.

Figyelem! Ez a megoldás nem nyújt univerzálsi védelmet a sebezhetőséggel szemben, de az eddig észlelt támadó kódokat megfogja.

A Vistán (illetve Server 2008-on) dolgozó IE8 felhasználók sokkal jobb helyzetben vannak, az ő esetükben ugyanis elérhető az ún. Védett Mód (Protected Mode), ami alacsony integritási szintre kényszeríti a böngésző folyamatát, így megakadályozható, hogy a potenciálisan veszélyes processz hozzáférjen az OLEDB32.DLL sebezhető objektumához. A pontos lépéseket az SVRD blog ismerteti.

Íme a tegnapi este egyik termése depth jóvoltából:

Ez egy folt, a népszerű portscanner, az nmap 4.76-os változatához, ami lehetővé teszi, hogy proxyn (akár TOR-on) keresztül pásztázhassuk kiszemelt célpontunk kapuit. A következő képpen használhatjuk:

nmap -v -p 80 --proxy localhost:8118 celpont.hu

Ez természetesen csak egy "belső" tesztverzió, amit jó lenne, ha minél többen kipróbálnánátok, a felmerült problémákat, észrevétleket pedig jeleznétek a kommentek között, vagy nálam e-mailben. Megfelelő mértékű teszt után a kiegészítés remélhetőleg be fog kerülni az nmap hivatalos terjesztésébe is.

Jó szórakozást!

Frissítés: Leforgattam a patchelt változatot Windowsra. Innen lehet letölteni. 

Még egyszer szeretném megköszönni a tegnapi részvételt azoknak, akik eljöttek, remélem mindenkinek legalább olyan jó hangulatban és hasznosan tellt az este, mint számomra! 

Jó volt látni, hogy kinőttük a helyet, legközelebb azt hiszem kénytelenek leszünk új helyszínt választani, erre szívesen veszem az ötleteket (a tegnapiakat sajnos kioldotta az agyamból a sör).

Szolgálati közlemény, hogy a blog.hu jelenleg letiltotta a névtelen kommentezés lehetőségét, ezért csak belépve lehet hozzászólni a posztokhoz. Ez nem tudom, hogy véglegesen így marad-e, vagy még köszörülnek a beállításokon, minden esetre nem rajtam múlik a dolog, legyetek megértőek!

Frissítés: Most látom a hivatalos inda közleményt, amely tisztázza, hogy tényleg központi változásról van szó, a dolgok így maradnak, ahogy most vannak, de a regisztráció egyszerűsödni fog, valamint új funkciók válnak elérhetővé a kommentekkel és kommentezőkkel kapcsolatban.  depth, synapse, stb: regisztráljatok! :D

Az utóbbi napokban több böngész-biztonsággal összefüggő hír is napvilágot látott, ezeket igyekszem most néhány mondatban összefoglalni, csak hogy mindenki képben legyen.

A legizgalmasabb események a Google körül zajlottak: megjelent a biztonsági szempontból igen érdekes Chrome első stabilként aposztrofált verziója (ebből blogolok éppen egyébként). Ezzel nagyjából egyidőben a keresőóriás fejlesztői kiadták Böngészőbiztonsági Kézikönyvüket, melyben a böngészők tervezésénél és megvalósításánál felmerülő biztonsági kérdéseket próbálják körüljárni. Érzésem szerint ez akár a böngészőhackereknek is jó kiindulási alapot, ötleteket adhat, ezért érdemes lehet végignyálazni.

A Mozillánál is mozgás van: Kijött a Firefox 3.1 második bétája, aminek örülünk, az viszont minden bizonnyal egy kis zavart okozott az Erőben, hogy lemondott Windows Snyder, aki a cég biztonsági vezetőjeként dolgozott idáig.

Az Internet Explorer frontján pedig szokás szerint áll a bál: a legutóbbi frissítőcsomagból ugyanis kimaradt egy kritikus IE7 sebezhetőség javítása, amit a kínaiak ellenben már aktívan ki is használnak. Az első nyilvános exploit is keletről jött: a knownsec állítólag véletlenül publikálta a kódot, mivel azt hitték, hogy a Microsoft már javított. PoC egyébként van itt és itt is.

Vistán az IE7 védett módba állításával lehet védekezni, más platformokon érdemes alternatív böngészőket használni, amíg a MS végre lép az ügyben.

Aikon megjegyzése: "Mi a francnak kell nekünk Native Client, ha az IE7 ugyanúgy tud natív kódot futtatni?"

Néhány infó a holnapi sörözéssel kapcsolatban:

A hepaj 19:00-kor kezdődik az Egyetem Kávézóban, ami a Szent Gellért tértől van 2 sarokra a Zenta utcában.

Van asztalunk foglalva Buhera névre. 

Érdemes lesz eljönni, mivel értesüléseim szerint több attrakció is készül az estére!