Man-in-the-Middle támadásra lehetőséget adó problémát fedeztek fel a GnuTLS függvénykönyvtárban. A 2.6.1-es verzió előtti változatok megbízhatónak tekintik azokat a tanúsítvány-láncokat, melyek végén tetszőleges önaláírt (ezt így mondják?) tanúsítvány áll.
A probléma több népszerű Linux disztribúciót is érint, de ezekre folyamatosan érkeznek a javítások, melyeket mindenképpen érdemes telepíteni.
Azt hiszem ennek is jár egy poszt, HUP-on van tovább:
Tegnapelőtt este napvilágot látott az idei 11. FreeBSD biztonsági figyelmeztetés. Ezúttal a kernelbeli arc4random nevű rutin inicializálási problémája borzolja a kedélyeket. A hiba minden támogatott FreeBSD-verzió kernelében fennáll, javítása csak patch alkalmazásával lehetséges. A hiba következtében ez a rutin az operációs rendszer indítása utáni első 5 percben nem igazán véletlen adatokat szolgáltat a különböző kernelbeli dolgoknak. A felhasználói programok (SSH, GPG kulcsgenerálás, hasonlók) NEM érintettek. A hiba következtében...
Némi agyalás és konzultáció után a hétvégén megszültem két listát, melyek reményeim szerint hozzájárulhatnak a Ti kiteljesedésetekhez, a blog értékének emelkedéséhez, valamint az emberiség által hordozott kollektív tudás progresszív lingvisztikai lokalizációjához. Mert a tudás hasznos, a munka pedig nemesít.
Az egyik lista nem más mint egy szótár, ami (első sorban) a blogon előforduló IT biztonság alapfogalmak magyar nyelvű definicióira tartalmaz linkeket.
A másik lista azokat a kifejezéseket tartalmazza, amelyekre nem találtam megfelelő magyar nyelvű linket, pedig jó lenne, ha lenne ilyen.
GYIK:
Vietnámi kutatók távoli kódfuttatásra alkalmas puffer túlcsordulásos hibát találtak az ffdshow kodekben, amelyet több népszerű Windowsos kodek csomag, és a Windows Media Player is használ.
A sebezhetőség igen vonzó lehet a malware gyárosok számára, hiszen számos felhasználó böngészőjében engedélyezve vannak a videó bővítmények, ezeken keresztül pedig a sebezhetőség távolról is könnyedén kihasználható.
Az alábbi lista a teljesség igénye nélkül tartalmazza azokat a kodek csomagokat, amelyek legfrissebb változatában még nem a javított ffdshow szerepel. Amennyiben valaki ezek valamelyikét használja, az frissítsen az ffdshow legfrissebb változatára, vagy használjon másik, javított csomagot:
A Windows Media Playerrel nem tudom mi a helyzet, minden esetre vigyázzunk az ismeretlen helyről származó videókkal!
Rambo már írt egy kis összefoglalót a külföldi blogszférát lázban tartó "problémáról", melynek segítségével több GoDaddy-s domian név fölött is sikerült átvenni az irányítást az illetékteleneknek.
Frissítés: A Google cáfolta az alábbiakat, és bár elismerte, hogy a Gmail régebben sebezhető volt CSRF támadásokkal szemben, az érintettekk közreműködésével arra jutottak, hogy a szóban forgó domain-lopások hátterében egyszerű adathalász akciók állnak, melyek nem érintik a Gmail biztonságát. Argéi hiba részletei azért érdekesek lehetnek:
Én kezdetben úgy álltam hozzá a dologhoz, hogy nincs új a nap alatt: ez is már valami régóta ismert hiba új köntösbe öltöztetése lehet. Nem tévedtem nagyot, de azt hiszem érdemes tisztázni a támadás főbb elemeit:
A történet lényege, hogy néhány(?) gazfickó rászállt néhány GoDaddy-nél domainnel rendelkező, Gmail-t használó figurára, és a tudtuk nélkül beállítottak egy szűrőt a postafiókjukban, ami a GoDaddy leveleit továbbította a rosszfiúk e-mail címére, majd törölte a levelet, hogy ne maradjanak nyomok.
A GeekCondition-ön megjelent részletes leírás szerint a speciális szűrők illetéktelen beállításához két paraméterre van szükségünk: A célpont egyedi felhasználói azonosítójára (UAID), és a munkamenet azonosítóra.
A munkamenet azonosítót nyílvávalóan valamilyen hagyományos süti-lopó módszerrel lehet megszerezni, ennek részleteibe most nem mennék bele. Az UAID megszerzésére szintén történhet ilyen módszerrel, de ha már domain lopásról van szó, érdemes megemlíteni, hogy a népszerű AdSense szolgáltatás követőkódja szintén tartalmazza ezt az azonosítót, igaz más formátumban, mint ahogy az a HTTP fejlécben utazik.
Ezen adatok birtokában a meló egy egyszerű CSRF támadássá egyszerűsödik. A bajt az okozza, hogy a Gmail nem generál minden felhasználói akcióhoz külön tokent, helyette a fenti két, globálisan illetve egész munkamenetre érvényes azonosítóval védi a fiókokat.
A Filterezésről bővebben itt olvashattok ;)
Via HUP:
Az osztrák Phion biztonsági cég alkalmazásában álló Thomas Unterleitner jelentette be pénteken, hogy olyan "stack buffer overflow" típusú hibát talált a Microsoft Vista hálózati rétegében, amelyet a megfelelő csoporttagsággal rendelkező, rosszindulatú támadó kihasználva összeomlaszthatja a rendszert, de a hibában benne van a kódinjektálás veszélye is.
Unterleitner szerint a hibát októberben jelentette a Microsoft-nak, de a javítására ismeretei szerint csak a következő Service Pack-ben kerül sor. A hiba publikus közlése szerint a 32 és 64 bites Vista-val szállított Microsoft Device IO Control-ban található egy kihasználható puffer túlcsordulás, amelyen keresztül kernel memória korrupciót lehet előidézni.
A hiba súlyát csökkenti, hogy a kihasználásához minimum "Network Configuration Operators" csoporttagság szükséges. A hibát bejelentő mellékelt egy PoC-ot a problémához, de a bejelentés szerint a "route" paranccsal is triggerelhető a hiba.
A hiba a Microsoft Vista Microsoft Windows Vista Enterprise 32 bit & 64 bit, Microsoft Windows Vista Ultimate 32 bit & 64 bit rendszereket biztos, hogy érinti, de erősen valószínű, hogy a többi Vista verzió is érintett. A Microsoft Windows XP-t nem érinti a probléma.
A Service Pack 1 illetve egyéb biztonsági frissítések telepítése nem segít a problémán.
Referenciák:
Kernel vulnerability found in Vista
Microsoft VISTA TCP/IP stack buffer overflow
Frissítés: A Register szerint a sebezhetőséget felfedező Phion állítólag kiadott egy nem hivatalos javítást a hibára. Az az aprócska probléma, hogy linket nem adtak hozzá, szóval vagy csak a cég ügyfeleinek lesz elérhető a javítás, vagy marhára eldugták a foltot, nekem ugyanis nem siekrült megtalálnom...
Többen rágják a fülem, hogy mikor lesz ivászat, hát tessék :)
Az előkarácsonyi BuheraSörözés lehetséges időpontjai:
Helyszín a szokásos. Szavazni oldalt lehet ->
A hazai sajtóban valamiért még nem sikerült belefutnom az alábbi hírbe, pedig a történet több szempontból is érdekes:
A Verzion Wireless több dolgozóját is elbocsátotta, miután kiderült, hogy az alkalmazottak engedély nélkül lehallgatták Barack Obama több telefonhívását, valamint a gyanú szerint továbbították is a felvételeket külső felek számára.
Az eset jól példázza, hogy a biztonsági intézkedéseket nem csak a külső támadókkal szemben szükséges érvényesíteni. A Verzion méretéből adódóan nyilvánvalóan rendelkezik valamilyen belső szabályzattal és a megfelelő technológiával, ami a személyes adatok védelmét szolgáltja - valószínűleg ezek segítségével derült fény a mostani esetre is. De nem szabad elfeledkeznünk arról, hogy az esetek túlnyomó részében ez nincs így: ha regisztrálunk mondjuk egy weboldalon (horribile dictu: közösségi oldalon), az ékesszavú adatvédelmi nyilatkozaton kívül vajon mi garantálja, hogy az ott megadott adatokat nem használják fel illetéktelenül? Tapasztalatból mondom: a legtöbb helyen még arra sem veszika fáradtságot, hogy jelszavainkat titkosítva tárolják.
A másik érdekes kérdés, hogy az, hogy Obama ennyire közvetlenül érzékelhette magánszférájának megsértését, vajon fogja-e befolyásolni a leendő elnök politikáját a privacyt érintő kérdésekben, pl. a PATRIOT Acttel kapcsolatban?
Mindez persze a világ másik végén történt, az események hatásait itt aligha fogjuk közvetlenül érezni. A magánszféra védelme azonban az elkövetkező évtizedek egyik meghatározó témája lehet, ezért érdemes nyitott szemmel és füllel járni a világban!
Nem csak az új illetve javított fícsörök, és a már említett, tetszőleges telefonszám távoli tárcsáztatására alkalmas sebezhetőség miatt érdemes a 2.2-es iPhone firmware-re frissíteni: Az új szoftver összesen 12 darab hibajavítást tartalmaz, melyek közül több távoli kódfuttatást teszt lehetővé a készüléken: az egyik a CoreGraphics motort, a másik a TIFF képek kezelését, a harmadik a Safari böngészőt, azon belül is a táblázatk kezeléséért felelős metódusokat, a nagyedig pedig az Office Viewer Excel fájlokat kezelő modulját érinti.
A frissítés telepítésével megakadályozható továbbá a készülék jelszavas védelmének átlépése, valamint kiküszöbölhető több információszivárgást okozó probléma is.
A javított verziójú alaprendszer azonban nem hozott megoldást az Aviv Raff által felfedezett Safarit és iPhone Mailt érintő URL spoofing sebezhetőségre, valamint a levelező kliensen keresztüli spammelésre alkalmat adó problémára.
A ZDNet cikke alapján.
Frissítés: Jailbreakelt, unlockolt, buherált iPhone tulajdonosok ne upgrade-eljenek, mert a frissítés után nem fog működni a hívás funkció, rosszabb esetben a komplett készülék sem!
Frissítés 2: Máris elkészült a szoftveres unlock az iphone-dev csapat jóvaltávól. Klikk ide!
Collin Mulliner a Fraunhofer Intézet munkatársa olyan hibát fedezett fel az iPhone 2.1-es firmware-ében, amely lehetővé teszi, hogy egy Safarival meglátogatott weboldal hívást indítson a készülékről.
A problémát a Safari tel: URI kezelőjének hibája okozza, ami már korábban is alkalmat adott hasonló támadások kivitelezésére, egy szoftverfrissítés azonban úgy tűnt, megoldja a problémát. Most azonban kiderült, hogy a javítás mégsem volt tökéletes, ráadásul a támadás erejét tovább növeli, hogy a speciálisan összeállított weboldal a tárcsázáson túl képes megakadályozni, hogy a felhasználó megszakítsa a kapcsolatfelvételt.
A problémát a legújabb, 2.2-es firmware-re történő frissítés orvosolhatja. A hiba részletei egyelőre nem publikusak, ha azzá válnak, jelentkezem a részletekkel!
Neves előadók részvételével jótékonysági koncertet szerveznek a kiadatás előtt álló Gary 'Solo' McKinnon tiszteletére. Ross Hemsworth, a Glastonbury rádió vezetője és a Nemzetközi UFO Kongresszus helyi igazgatója több mint 100 zenekart keresett meg a Rock Against Injustice (Rock az Igazságtalanság Ellen) elnevezésű eseményen való szereplésre. A felkért művészek között van Madonna, a Kaiser Chiefs, Jamiroquai, George Michel, Brian May és a Marillion nevű brit zenekar is.
A koncerttel amellett, hogy rá akarják terelni a közvélemény figyelmét Solo ügyére, a brit-amerikai kiadatási megállapodásokkal kapcsolatos aggályosságokra kívánják felhívni a figyelmet. A befolyó pénzt a cambridgei Autizmus Kutató Intézetnek ajánlják fel: McKinnonnál augusztusban diagnosztizáltak Asperger szindrómát.
Az írja a Webisztán:
Nagy lépést tett a Google levelezője a geekeken túli világ felé. Magyar idő szerint szerda este elkezdték kiélesíteni a Gmailben a Témák (Themes) menüpont. Vagyis hamarosan bárki* lecserélheti a megszokott, dominánsan fehér-kék dizájnt például ilyenre is...
Nekem erről az jut eszembe (anélkül, hogy kipróbálhattam volna az új fícsört), hogy vajon milyen technológiával lehet a skineket létrehozni, és hogy vajon ennek a technológiának a lehetőségeit mennyire sikerül majd elég szűk keretek közé szabni ahoz, hogy ne kezdjenek el rohamosan terjedni a spyware-rel teletűzdelt Gmail skinek?
A személyre szabható look-n-feel volt többek között a Ning egyik gyenge pontja, de itt, a blog.hu-n is húzhatnék magamra minden féle ActiveX exploitokkal teleszórt bőrt.
HTML-ben, JavaScripttel nem nagy trükk gonoszságokat véghez vinni. CSS LAN scannert is láttunk már. Ha a Google biztonságos, ugyanakkor (a Google eddigi szokásaihoz híven) bárki által létrehozható témákat akar, akkor egy nagyon jól átgondolt téma API-t kell a felhasználók felé publikálnia, de ha lesz is ilyen, az sem lehet tökéletes - és nem azért mert a Google béna, hanem mert Murphynek igaza volt.
Talán a legjobb megoldás az lenne, ha csak ellenőrzött template-ek kerülhetnének be a választhatók közé. Ez azonban ismét csak elvi megoldást nyújt a problémára: a Gmailnek van annyi felhasználója, hogy a beérkező skinek áradatát - pl. a Firefox vagy az iPhone esetéhez hasonlóan - lehetetlen legyen megfelelően megszűrni.
Ez persze mind csak egy hirtelen agymenés eredménye, mint már említettem, még nem tudtam kipróbálni az új lehetőséget. Ha valakinek van konkrétabb infója azt várom szeretettel a kommentek között!
A massachusettsi bíróság kedden 11 hónap szabadságvesztésre ítélte a 17 éves, Dshocker néven ismert fekete kalapos hackert. Dshocker, aki első sorban a myg0t cheater-gamer társasággal szembeni fellépésével vált ismerté, több tízezer vállalati számítógépbe jutott be, amiket később botnetjének tagjaiként főként DDoS támadások lebonyolítására használt, de beismerő vallomásában hitelkártyacsalás, bombariadók előidézése és swatting is szerepelt. Utóbbiaknál a helyi internetszolgáltató számítógépeit használta fel hívószámának meghamisítására, így egy alkalommal sikerült teljes fegyeverzetben felvonultatni a hely rendfenntartó erőket a szerencsétlen áldozat házához.
Az ifjú bűnözőnek fiatalkorúak nevelőintézetében kell letöltenie büntetését.
A Datel szakembereinek a PSP 3000 megfelelő chipjének kiszerelésével, majd a rajta található logika szilícium-szintű elemzésével sikerült megalkotniuk a Lite Blue Tool névre keresztelt speciális telepet, melynek segítségével a Sony legújabb nyomkodnivalója szervímódba kapcsolható, ezek után pedig tetszés szerint szerteszéjjel hackelhető.
A kütyü 20-30$ között kerül forgalomba az USA-ban és az Egyesült Királyságban.
Ha valakinek elege van a hazai, hagyományosnak mondható sör+sár+sátor+szene tematikát felvonultató fesztiválokból, annak jó hír, hogy jövőre újra megrendezik a négy évente megrendezésre kerülő, immár 20 éves múltra visszatekintő holland hack-tábort, ami idén a Hacking at Random nevet viseli. A végleges időpont most tiszázódott: a New York Times által csak Hacker Woodstockként emlegetett eseményt 2009. augusztus 13-16. között kerül megrendezésre.
Lehet kezdeni tervezgetni...
Nagy-Britannia Nemzeti infrastruktúravédelmi Központjának kutatói egy nehezen kihasználható hibát fedeztek fel az SSH protokollban, amely lehetővé teszi a kommunikáció egyes részeinek megfejtését.
Még mielőtt valaki pánikba esne: a probléma kizárólag a cipher-block-chaining (CBC) módú titkosító algoritmust alkalmazó rendszerek esetén áll fennt, és pl. OpenSSH esetében legfeljebb 32 bitnyi nyílt szöveget lehet megfejteni, 2^(-18) valószínűséggel, vagy 14 bitet 2^(-14) valószínűséggel, ami nem mondható kifejezetten jó aránynak.
Ráadásul egy sikeres támadás kivitelezéséhez több hibát kell egymás után előidézni az SSH folyamban, ami sok kiszolgáló esetében a kapcsolat teljes lezárásához vezet. A vonatkozó RFC ugyanakkor azt mondja ki, hogy ezekben az esetekben újra kell építeni a kapcsolatot így az ezt betartó implementációk támadhatók maradnak.
Ezek következtében a sikeres támadás valószínűsége igen alacsony, maga a felfedezés azonban véleményem szerint határozottan figyelemreméltó, kár hogy bővebb információ egyelőre nem áll rendelkezésre a támadás pontos menetéről.
A probléma a CBC módú titkosítók CTR módúakkal történő kiváltásával, illetve a kliens/szerver szoftverek patchelésével orvosolható.
A frissen indult ApplicationSecurity.co.il társaság első nyilvánosságra került anyaga a .NET keretrendszerbe tölthető rootkitekről szól. A futtatókörnyezet módosításával az összes rajta futtatott alkalmazás működését befolyásolhatjuk ami jó szolgálatot tehet egy sikeres behatolás "utómunkáinak" elvégzésekor. A doksi mellett megtalálhatjátok a csapat .NET-Sploit nevű eszközét, valamint annak forráskódját is, melynek segítségével tetszőleges kód szúrható a keretrendszer alapvető DLL-jeibe.
Az október végi Microsoft PDC-n résztvevő szerencsések hozzájuthattak a Windows 7 egy igen korai, pre-beta változatához, most már pedig a kevésbé szerencsések is hozzájuthatnak a Microsoft legújabb üdvöskéjéhez, hála a P2P fájlcserélő hálózatoknak :) Ebben a kiadásban azonban néhány, már valamilyen szinten használható, de még javában fejlesztés alatt álló funkciót elrejtettek a külső szemlélők elől. Rafael Rivera Blue Badge nevű eszköze azonban sikeresen kikapcsolja ezt a korlátozást, és hozzáférést nyújt pl. az új tálcához, és a multi-touch funkciókhoz.
A program neve a Microsoft alkalmazottak kék színű belépőkártyájára utal: mivel az operációs rendszer még belső tesztelés alatt áll, a védelmi mechanizmus nem kapcsol ba akkor, ha a rendszer úgy érzékeli, hogy arra felhatalmazott alkalmazott használja a megfelelő tartományba léptetve. Rivera eszköze elhiteti a szoftverrel, hogy fennállnak ezek a körülmények, így a kizárólag belső tesztelésre szánt funkciók bárki számára elérhető válnak.
A Blue Badge egyelőre csak 32-bites változatban érhető el, de a 64-bites verzió is állítólag érkezik hamarosan.
Az Economical Times információi szerint múlt hét folyamán ismeretlenek behatoltak a Nemzetközi Valutaalap központjának számítógépeire. Az intézmény PC-ire telepített kémprogramok eltávolítása napokig tartott, nem lehet tudni, hogy a támadók milyen információkhoz jutottak hozzá. Tom Kellerman, a washingtoni Kiber-Biztonsági Bizottság vezetője az esettel kapcsolatban úgy nyilatkozott, hogy "a pénzügyi szektor elektronikus biztonsága szörnyű kockázatnak van kitéve", utalva ezzel az októberi, Világbankkal szembeni incidensre is.
Az IMF tisztségviselői határozottan céfolták a fenti állításokat.
Woodspeed írt egy kis kedvcsinálót az OWASP által is támogatott nyílt forrású webes sebezhetőség-felderítő keretrendszerről, a W3AF-ről. Az anyagot én még korrektúráztam és kiegészítettem egy kicsit, az eredményt innen tölthetitek le.
A Mozilla után most az Apple adott ki javítócsomagot böngészőjéhez. Mint azt látni fogjuk, a befoltozatlan sebezhetőségek lehetőséget adnak az érintett böngészőverziókat futtató rendszerek feletti kontroll teljes átvételére, ezért fontos a mielőbbi frissítés.
A cég összesen 12 darab hibát javított, ezek közül három a nyílt forrású WebKit platformot is érintette, így az ezt használó alkalmazások motorját is érdemes frissíteni - ez persze nyilván a gyártó felelőssége.
Készült a ZDNet cikke alapján.
Ugyan nem biztonsági téme, hacknek azonban hack, és elég hasznos: a kottke.org posztja szerint, ha a YouTube videók URL-jének a végére odabiggyesztjük a "&fmt=18" karaktersorozatot, nagyobb felbontású videót kapunk (amennyiben rendelkezésre áll ilyen), legyen szó egyszerű linkelésről, beágyazásról vagy akár letöltésről. A videómegosztó nem rég adott lehetőséget a feltöltött képsorok jobb minőségben történő megtekintésére, az egyéb felhasználási módoknál - mint pl. a beágyazás - eddig nem volt nyilvános ennek a lehetőségnek az előcsalogatási módja.
Most azonban, hogy az infó napvilágot látott, úgy tűnik a YouTube is a minőség ösztönzése mellett döntött: a cég egyik embere az emlegetett poszt megjelenése után felvette a kapcsolatot a kottke szerkesztőjével, és elmagyarázta, hogy még jobb minőség érhető el az "&fmt=22" paraméter használatával, valamint arra is rávilágított, hogy mivel nem minden videó van meg minden formátumban, adott esetben érdemes sakkozni egy kicsit ezekkel a számokkal.
Didier Stevens blogjában arról ír, hogy hogyan követte nyomon egy malware készítő munkálkodását a PDF fájlok inkrementális frissítési funkcióját kihasználva. Ez a lehetőség alkalmat ad arra, hogy a PDF fájlokban történt változásokat - így a készítő tevékenységét - lépésről lépésre nyomonkövessük.
Az egyik dolog, amit kiemelnék a bejegyzésből az, hogy a megvizsgált PDF trójai írója valószínűleg nem az asötét szobában, orvosi kesztűben, és napszemüvegben gépelő precíz programozózseni, akinek esetleg néhányan elképzelhetik. A delikvens, miután nem bírt rájönni, hogy hogyan kell az Adobe JavaScript API-jának setTimeout() metódusát használni, egyszerűen kihagyta a vonatkozó részt, és késleltetés nélkül írta meg a szkriptjét - a titkok nyitja egyébként egy kis guglizás után könnyen fellelhező lett volna az Adobe hivatalos dokumentációjában.
A másik érdekesség, hogy még ilyen képességek és bénázás mellett is nagyjából egy óra alatt elkészült az alkotás, ami jól mutatja, hogy milyen hatékonyan készíthetők el a kártékony fájlok egy-egy új sebezhetőség napvilágra kerülését követően.
Ha valaki kedvett kapott utánajárni a különböző PDF dokumentumokba rejtett okosságok élettörténetének (vagy bármi másnak), az használhatja Stevens PDF feldolgozó eszközét.
A Mozilla ma összesen 11 biztonsági hibát javított a népszerű Firefox webböngészőben. A sebezhetőségek közül 4 darab kritikus:
Készült a ZDNet cikke alapján, a linkért köszönet Troppauer Hümérnek!
Az izraeli Gizmoix szoftverfejlesztő cég 10.000$ dollárt ajánl annak a hackernek, aki az általuk készített, nyílt forrású Visual WebGui platform hibáját kihasználva megszerzi egyik "titkos ügynökük" adatait. Fontos kikötés a versennyel kapcsolatban, hogy kizárólag a cég alkalmazásában talált hiba kihasználásával megszerzett adat számít érvényesnek, egyéb szoftverkomponensek hibáinak kihasználása nem megengedett. A kihívás adott, lehet nevezni!
