Újabb IT biztonsági konferencia van készülőben a környéken: Jövő március végén rendezik meg az IT Underground elnevezésű találkozót Prágában. Az ára ugyan kissé borsos: nagyjából 130 000 jó magyar forint, ha csapatostul mentek, a CFP pedig éppen ma zárult le sajnos :(
Minden esetre Prága gyönyörű város, a sör olcsó és finom, szóval már csak emiatt is érdemes lehet kilátogatni :)
Köszönöm csabika25-nek az infót!
Az iViZ Research csapata több komoly hibát fedezett fel több gyáros linuxos antivírus megoldásában:
Négy hónapja nem bírták befoltozni a Facebookon azt a két nem perzisztens XSS lyukat, amit a Register egyik olvasója fedezett fel. Csodák csodája, miután a hír megjelent a népszerű portálon, három órán belül sikerült javítani a problémát. Na igen, így működik a teljes nyilvánosságrahozatal...
Meglepődve tapasztaltam ma reggel, hogy tele van a net durva új MS hibákkal, aztán miután magamhoz tértem rájöttem, hogy tegnap volt a Microsoft rendes havi frissítőnapja, amit ráadásul már múlt héten úgy harangoztak be, mint minden idők egyik legkomolyabb gatyábarázását (Redmond részéről legalábbis). Lássuk hogy miért!
A 28 javított hibából 23 kapott kapott kritikus besorolást. Ezeket a Microsoft 8 bulletinbe csomagolta:
A fent említett Internet Explorer 7 0day mellett a ma már tárgyalt SQL Server probléma sem került javításra ezzel a patchhalmazzal.
Frissítés: Még egy 0day-re derült fény, ezúttal a WordPad Text Converter for Word 97 alkalmazásban. Szintén kódfuttatásra nyílik lehetőség.
Frissítés 2: Néhány órája megjelent az exploit is a foltozatlan IE7 hibára.
A SEC Consult kutatói olyan hibát fedeztek fel a Microsoft SQL Server 2000 adatbáziskiszolgálóban, ami autentikált felhasználók számára (vagy egy sikeres SQL injectiont követően) operációs rendszertől függően kódfuttatást tesz lehetővé az érintett rendszereken az SQL Server jogosultságaival.
A sebezhetőség a sp_replwritetovarbin eljáráson keresztül használható ki, amelynek elérése alapértelmezetten engedélyezett a felhasználóknak.
A Microsoft már elkészült egy javítással, de ennek kiadási dátumáról egyelőre nincs információ.
A támadás az érintett tárolt eljárás törlésével előzhető meg.
Részletes leírás és PoC itt található.
Frissítés: Az SQL Server 2005 is érintett!
A Google ma bejelentette legújabb agyüleményét: futtassunk natív x86 kódot a böngészőnkben!
Most várok egy kicsit amíg mindenki előkaparja magát az asztal alól...rendben. Szóval megijedni egyelőre nem kell, még nem jött el a digitális apokalipszis, a srácoknak a Google-nél több eszük van annál, lássuk miről is van szó:
A Native Client egy BSD licensz alatt terjesztett nyílt forrású program(csomag), amely lehetővé teszi webalkalmazások számára (fog összeszorít), hogy teljes hozzáférést kapjanak a CPU erőforrásaihoz. Azazhogy majdnem. A megszokott webes alkalmazásokba beépülő natív binárisok egy ún. inner-sandboxban futnak, amely a gépi kód elemzésével igyekszik kiszűrni a potenciálisan veszélyes utasításokat. A Google fejlesztői mindehhez egy "megbízható" disassembly eljárást használnak, ami állításuk szerint megbírkózik az átlapolódó utasításokkal vagy önmódosító kóddal variáló potenciálisan káros programokkal is.
A demó alkalmazásokkal megtapasztalhatjuk, hogy milyen mondjuk böngészőben böngészőben Quake-ezni, vagy fraktált generálni, de ne legyenek kétségeink afelől, hogy jópáran már most nekiugrottak a kód szétcincálásának, hogy túljárjanak a szűrőmechanizmusok eszén, és van egy olyan érzésem, hogy tevékenységüknek közöszönhetően hallunk még a Native Client-ről!
A WirtschaftsWoche nevű német lap értesülései szerint adattolvajok 21 milliónyi német állampolgár személyes adatait kínálják eladásra az interneten. A lista neveket, címeket, telefonszámokat, születési adatokat, bankszámlaszámokat tartalmaz. A potom 3 milliárd forintért vesztegetett lista körülbelül tíz százalékát tartalmazó bemutató példányt a lap munkatársainak állítólag sikerült is megszerezniük egy személyes találkozó alkalmával. Amennyiben a hír igaz, a német háztartások 3/4-ének bankszámlája lehet veszélyben. Az adatokat valószínűleg call-centerekből szerezték.
Persze az eset mindenképpen okot ad az ijedtségre, én azért nem adnék ennyi pénzt egy ekkora listáért.
Igen, ez durva:
"[...] több, mint 6000 [Veszprémi Egyetemre járó] hallgató neptun kódja, jelszava, lakcíme, személyigazolvány-száma szabadon letölthető volt hónapokig. Mivel sokan ugyanazt a jelszót használják szinte mindenhová, kimondhatjuk, hogy ez az év egyik legnagyobb adatvesztési botránya."
Frissítés:
"amikor a cikk íródott az adatok már titkosítva lettek a szerveren. Miattunk senki nem tudott letölteni semmit. Ugyanígy mire írtam volna a srácnak, már titkosította az adatokat, de nem akartam, hogy el legyen tusolva az ügy, ahhoz túl nagy kaliberű dolog több ezer ember adatának ilyen szintű leszarása."
"Belsős" infó, hogy a történet azért nem ilyen egyszerű, a link már napokkal azelőtt napvilágot látott egy másik nyilvános fórumon, így rengetegen hozzáférhettek az anyaghoz. Azt nem lehet tudni biztosan, hogy ugyanez a figura posztolta-e oda is, vagy csak "átmentette" a blogra a másik helyen megjelent URL-t.
Frissítés:
Egész jó cikk jelent meg az IT Café-n a még most is gyűrűző balhéról, érdemes elolvasni! Én a következőkkel egészíteném ki az írás végén található kérdéssort:
Ritkán posztolok új kártevőkről, mivel valószínűleg egy egész főállású szerkesztőség is kevés lenne a "piac" eseményeinek nyomonkövetésére. Ma azonban a Symantec egy olyan trójai variánsról adott hírt, amely azon kívül, hogy működését tekintve is kifejezetten érdekes, okot ad arra, hogy ismét felszólaljak a Minek-Nekem-Antivírus júzerekkel szemben.
A Trojan.Flush.M névre keresztelt gazfickó egy DHCP szervert csinál a fertőzött gépekből, és vezeték nélküli hálózatokban folyamatosan monitorozza rajtuk keresztül a hálózati forgalmat, melyben DHCP kéréseket keres, ezekre pedig nyomban válaszol is, két kétes hírű DNS szerver címét adva meg névkiszolgálónak.
Mit is jelent ez? Minek-Nekem-Antivírus Józsi benyalja a trójait. Észrevenni az ég világon semmit nem fog (Józsinak nyilván tűzfala sincs, mert az még az antivírusoknál is idegesítőbb jószág), a cuki kis program viszont szépen átírja a DNS konfigurációt, és amikor óvatlan barátunk ellátogat mondjuk az eBay-re, valójában nem az eredeti oldal, hanem annak tökéletes másolata fog megjelenni böngészője képernyőjén, ami annak rendje módja szerint el is küldi Józsika összes személyes- és számlaadatát a rosszfiúknak.
Ez eddig persze nem nagy ok a szívfájdalomra. Ha azonban Józsi mondjuk betér a kedvenc netkávézójába és felcsapja a laptopját, a környéken bejelentkező számítógépek - legyenek azok akár tökig patchelt Macek, Linuxok vagy OpenBSD-k - könnyen megkaphatják ugyanezeket a gázos DNS beállításokat Józsikától, és onnantól ők sem mindig oda fognak bejelentkezni, ahova szeretnének.
Persze egyrészt a fertőzött gép mindig versenyt fut a legitim routerrel, ezért a továbbterjedés nem garantált, másrészt az SSL-hitelesített kapcsolatok morogni fognak - persze ez utóbbi nem sokat ér ha nincs olyan egységsugarú felhasználó, aki odafigyelne a kapcsolatai titkosságára.
A vírusfertőzés tehát nem magánügy, tessék védekezni! IRL is ;)
A hétvégi teleregény második része. Ez előzményeket itt találjátok.
Alább egy Wired-n megjelent cikk fordításának első részét olvashatjátok, amely ugyan nem technológiai. de legalább irodalmi igényességgel mutatja be a Kaminsky-féle DNS hiba felfedezésének és javításának történetét, ezen keresztül pedig a nyughatatlan hackerek mindennapjait és gondolkozásmódjukat. Igazán kellemes hétvégi olvasmány, remélem nektek is tetszeni fog:
Az iDefense kutatói több túlcsordulálsos hiábt fedeztek fel a Java Runtive Environment (JRE) és a Java Web Start (JWS) egyes változataiban. A sebezhetőségek távoli kódfuttatást tesznek lehetővé az érintett rendszereken, amennyiben az áldozat egy speciálisan elkészített weboldalra látogat.
A Sun több foltot is kiadott a problémák orvoslására, valamint a fenti linkeken megtalálhatók az alkalmazható workaroundok is
Frissítés:
A Zero Day Initiative is előrukkolt egy sor sebezhetőséggel. Ezek egyike információszivárgást tesz lehetővé a SingleInstanceImpl osztály SI_FILEDIR adattagján keresztül; a másik az appletek sandboxából történő kitöréstre ad lehetőséget a file: protokollkezelő használatával, a harmadik pedig a socket korlátozásokat szünteti meg, tetszőleges hoszt számára lehetővé téve ezzel a kapcsolódást.
A Virtual Security Research kutatói a Java Web Starton keresztül távoli kódfuttatásra lehetőséget adó sebezhetőséget fedeztek fel a Java futtatókörnyezet egyes verzióiban.
A Java Web Start lehetőséget ad a felhasználóknak, hogy böngészőjükön keresztül Java alkalmazásokat töltsenek le és futtassanak egyetlen kattintással. A JWS alkalmazások egy JNPL kiterjesztésű XML fájl segítségével töbek közötött azt írják le a felhasználó böngészője számára, hogy hol találhatók a futtatandó JAR állományok, valamint hogy ezeket a fájlokat milyen jogosultsági szinten futtassa a Java interpreter. Emelt jogosultsági szinten csak megbízható forrásból származó, aláírt alkalmazások futtathatók.
Magát a JPNL fájlt azonban nem kell ilyen módon aláírni, egy rosszindulatú támadó azonban ennek az allománynak a segítságável felülírhatja tk. a java.home illetve java.ext változók értékét, amelyek a felhasználható osztálykönyvtárak (akár távoli hoszton lévő) helyét írják le.
Amennyiben a támadó létrehoz egy olyan JPNL konfigurációt, melyben a JAR fájlok egy potenciálisan megbízható féltől származnak, az eredeti osztálykönyvtárak helyett viszont a saját maga által összeállított csomagokat adja meg, a felhasználó a támadó által tetszés szerint módosított metódusokat fogja használni, megemelt jogosultsági szinten.
Az érintett programverziók:
Már többen meglovagolták az Apple legutóbbi szerencsétlenkedését az OS X-re való vírusírtókkal kapcsolatban, én pedig nem tudom megállni, hogy ne tegyem hozzá a magamét a témához:
És akkor az igen komoly támadási felületet jelentő Safari hibákról még nem is beszéltünk...
Ahogy a mondás tartja: "Minden jó programban van legalább 5 változó, pár db ciklus és legalább 1 hiba". Ez alól pedig a Mac-re szánt alkalmazások sem kivételek.
Persze amíg viszonylag kevés felhasználó használ Apple-t desktopként, addig a tömeges támadások valószínűsége is igen alacsony.
Minden esetre a fanboyok hozzáállása, miszerint a kártevők leszarhatók, mert úgysem csinálnak komoly bajt igazán meghökkentő. Mi lenne, ha csak a poén kedvéért, vagy éppen nosztalgiából írna valaki egy jó kis régimódi férget, ami OS X-en mondjuk az összes elérhető képet egy openVMS logóra cserélné, a doksikat teleírná trágárságokkal, véletlenszerűen pornóképre cserélné a hátteret stb. Meg kéne már tanulni, hogy akkor sem jó vírusokat tenyészteni, ha azok esetleg nem károsítanak meg minket közvetlenül, vagy nem vesszük észre hogy ezt teszik!
A számítógép használó lakosság ekkora részének van telepítve minden elérhető biztonsági frissítés a PC-jére - derül ki a Secunia felméréséből, amelyet Personal Software Inspector nevű programjuk 20.000 felhasználójának adatai alapján készítettek. A cég egy előző jelentése alapján pontosan a jól karbantartott alkalmazásokkal lehetne leghatékonyabban megvédeni magunkat a rosszindulatú kódokkal szemben, így az eredmény még elszomorítóbbnak hat. Ráadásul az, aki telepíti a Secunia alkalmazását, már valószínűleg eleve jobban odafigyel a biztonsági kérdésekre, és tudatosabban frissíti a rendszerét, mint azok, akik még egy tű sem hajlandóak
Ami véleményem szerint árnyalja a képet az az, hogy a gazfickók jellemzően az elérhető alkalmazások csak egy igen szűk halmazát célozzák meg, így egy kevésbé elterjedt program sebezhetősége - bár rontja a statisztikát - nem jelent olyan potenciális fenyegettséget, mint modjuk egy böngésző hiba.
A Personal Software Inspector ingyenesen letölthető, biztonságtudatosabb olvasóimnak mindenképpen érdekes lehet lefuttatni egy ilyen tesztet!
Bár a heise-online sokáig kiemelt helyen szerepeltette az AES-el reklámozott, de valójában primitív XOR-t használó merevlemezekről szóló cikkét, úgy tűnik még mindig vannak olyan gyártók, akik a silány minőségű Innmax 7206-os vezérlőt építik be biztonságosnak szánt termékeikbe. Most a Digittrade Security hard disk megoldásáról derült ki, hogy a lemeztitkosításra használt algoritmusa gyenge mint a harmat.
Aki tehát nem szeretné, hogy adatait könnyeb legyen megfejteni, mint a merevlemez dobozát szétcsavarozni, az kerülje el a fennti terméket!
(Azt azért meg kell hagyni, hogy a doboz szépre sikerült...)
Még nyáron írtam arról, hogy az új-zélandi hatóságok szabadon engedték Akill-t, a tizenéves botmestert. Már akkor is hangot adtam nemtetszésemnek a szokatlanul enyhe büntetéssel kapcsolatban, ti. a srác lényegében egy csúnya ejnyebejnyével megúszta, hogy kb. 20 millió dolláros kárt okozott világszerte.
A napokban aztán újabb hír járta be a sajtót: a kis Akill - alias Owen Thor Walker - tényleg felhagyott bűnöző múltjával, és bár neves óceániai cégek ostromolják állásajánlataikkal, a "szuper hacker" most saját céget szeretne alapítani, hogy Bill Gates nyomdokaiba léphessen. Itt egy picit elpattant a cérna.
Már leírtam, hogy jó dolognak tartom, hogy nem vágják tönkre a srác életét ilyen fiatalon, és hogy megpróbálják a tudását a jó cél szolgálatába állítani.
Az egyik bökkenő azonban az, hogy Akill nem annyira fiatal: most 19 éves. Egy normális ember ilyenkor már megtanulja, hogy lopni nem szép dolog, az egyszeri csóringer júzerektől lopni pedig kifejezetten szemétség. Mert hogy Akill nem valami tisztességtelen milliárdos számlájáról utalta át a pénzt mondjuk a szegény afrikai gyerekek számára, hanem hozzánk hasonló emberek adatait adta el a maffiának, hogy XBox-ozhasson!
De még ez is "megbocsátható" lenne, ha Akill tényleg akkora géniusz volna, mint azt hazájában szeretnék hinni, erre azonban kevés bizonyítékot láttam. Erős kételyeket támaszt ugyanis, hogy elkapták a kis bábjátékost, holott már jó ideje ismertek pl. a fast-fluxinghoz hasonló módszerek, amellyel a nagy zombi-hálózatok eddig igen sikeresen állták a sarat a támadásokkal szemben. Az persze nagyon szép, hogy a kis Owen már 3 évesen megtanult olvasni, 15 évesen pedig programozni, de pusztán ezekre támaszkodva még mindig viszonylag nehéz bekerülni egy-egy jobb munkahelyre.
És hogy mi ebben az egészben a legrosszabb? Az, hogy ez után bármelyik új-zélandi suttyó jogosan gondolhatja úgy, hogy ha belevág egy botnet építgetésébe, már nem veszthet sokat: megszedheti magát a feketepiacon, ha pedig véletlenül elkapják, hát úgyis tolongani fognak a kegyeiért az IT cégek, kormányhivatalok, és nem utolsó sorban a média. Lehet hogy végül Kína és Oroszország után Új-Zéland is belép majd a botparadicsomok közé :)
Megérkezett a válasz az Adobe-tól az ElcomSoft közleményére, mely szerint az Acrobat 9 jelszavait százszor könnyebb feltörni, mint az előző változatokét. A cég elismerte, hogy az új verzióban használt AES-256 algoritmus megvalósítása gyorsabb a régebbi, AES-128-asénál, ez pedig egy szótár- vagy nyers-erő alapú támadásnál valóban sebességnövekedéshez vezet.
Emellett azonban a lehetséges kulcshossz majd' négyszeresére, maximum 127 karakterre nőtt, valamint a jelszavak esetében is támogatottá vált az unicode használata, ez pedig irtózatos kulcstérnövekedést eredményezett, így az Acrobat 9 felhasználóknak (és másoknak is) ugyanaz tanácsolható, mint általában: ha meg akarnak védeni valamit, válasszanak erős jelszót!
Ünnepélyes eredményhírdetés: a szavazatok kétharmadának besöprésével nyert a pénteki időpont, azaz tessék beírni a naptárba:
December 12., Egyetem Kávézó (Szabadság híd - Buda)
BuheraSörözés a téli vadászatok és a 25C3 jegyében
Azért még majd írok emlékeztetőt 10-e környékén a társaság szenilisebb felének ;)
A GPU-n gyorsított "jelszóvisszaállító" megoldásairól híres ElcomSoft bejelentése szerint olyan hibát találtak az Adobe Acrobat legújabb, 9-es verziójának jelszavas védelmében, melyet kihasználva akár százszor gyorsabban feltörhetők a PDF dokumentumok védelmét szolgáló jelszavak.
A PDF készítő szoftver 5-ös verziójától kezdve a jelszavakat több MD5 hash cikluson átvezetve tárolják, ezzel megsokszorozva a nyers erőn alapulú (brute-force) támadások által igényelt erőforrásokat. Az Acrobat 9-ben azonban az Adobe áttért az SHA-256 algoritmusra, és úgy tűnik, a titkosítási eljárás újragondolása során alább adták a követelményeket a 8-as verzióhoz képest.
Az ElcomSoft - piaci pozícióját védve - nem közölt részleteket a problémával kapcsolatban. A dokumentumaikat féltő Acrobat 9 felhasználóknak azonban nincs okuk a pánikra: hála az exponencialitásnak, a 100-szoros gyorsulás kivédéséhez elegendő 1-2 karakterrel hosszabb jelszavakat választani a féltett dokumentumokhoz.
Majdnem elfelejtettem: kikerült az idei Chaos Communication Congress beosztása. Jó bulinak ígérkezik :)
Újabb európai hacker konferencia van készülőben: Franciaország hozzánk közelebbi felében rendezik meg az első FRHACK konferenciát 2009. szeptember 7-8-ig. Jelenleg tart a papírgyűjtés, de azt már lehet tudni, hogy a rendezvényen előad ez év lejobb IT-Sec nője, Joanna Rutkowska, a Blue Pill virtualizációs rootkit egyik megalkotója, és Vista kernel hacker.
Jegyezzétek be a naptárba, és ha arra jártok, nézzetek be!
Emlékeztek még, mikor percekig kellett pörgetni a walkmant, mire az ember eljutott a kedvenc számához? Amikor tizedmásodpercre tudtuk, hogy mikor kell megfordítani a kazettát, hogy a B oldalra felvett (fél)album elejéhez jussunk? Azokban a régi, mágnesszallagos időkben igazi áldás volt egy tölthető ceruzaelem: ha Axl Rose hangja a szokásosnál mélyebben karcolt nem kellett a trafikba rohanni új Elemér, csak egy konnektorra volt szükség, és néhány perc múlva újra szólhatott a rákenroll!
Ezeket az éveket idézte fel bennem az Instructables útmutatója, ami a döglött tölthető elemek újraélesztésére mutat egy kissé ugyan veszélyes, de egyszerűen és olcsón megvalósítható módszert.
A Ni-Cd aksik pusztulását a bennük található kristályok növekedése okozza, ami egy idő után rövidzárat kelt a telepben. Ezek a krisztályok azonban magas feszültség hatására (a cikk állítása szerint legalábbis) visszazsugoríthatók, ezzel pedig az akkumlátorok újra működőképessé válhatnak.
Régebbi megoldások általában heggesztő szerszámot javasoltak a művelet kivitelezéséhez, ami viszonylag kevés háztartásban lelhető fel. Ez a módszer egy nagy kapacitású, kb. 100mF-os, 60V-os kondenzátort igényel ami nem olcsó mulattság, de megfelelő alkatrászt találhatunk egy eldobható, vakus fényképezőgépben is!
A fényképezőgép szétbontása után annak meglévő huzalozását kiegészítve egy végtelenül egyszerű áramkört kell építenünk, amely képes lesz egy hagyományos alkáli elemmel feltölteni a kondenzátort, majd ezt kisütve legyilkolni az aksiban túlburjánzott kristályokat.
Figyelem! A módszer amellett, hogy viszonylag nagy feszültségekkel dolgozik, robbanást, tüzet és még egy csomó kellemetlen problémát okozhat, ezért mindenki csak szigorúan a saját felelősségére próbálja ki, lehetőleg megfelelő védő felszereléssel ellátva, biztonságos helyen! Mindennemű felelősség égarancia kizárva!
Frissítés: hitetlen01 küldte a linkjét annak a kereskedelmi forgalomban is kapható kütyünek, ami ugyanezt megcsinálja nagyobb gépekbe (pl. autókba, munkagépekbe) való telepekkel is.
