Eddig még nem tudtam hova tenni a Puruttya blogot, de most közzétettek egy kólaautomata hackelős videót. Ettől persze nem kerültem jobb helyzetbe (mármint a blog hovatételét illetően), de azért köszönöm nekik, hogy felhívták a figyelmünket a dologra!
Ezt a posztot Gyaloghekkernek ajánlom ;)
Ugyan már pár napja kint van, de lehet hogy még van aki nem vette észre: jobb oldalt szavazás, tessék kattintgatni!
depth felvetésére és a blog jellegére való tekintetel csalni szabad :)
Bár a pontos módszer egyelőre nem tisztázott, valószínúleg speciális Flash animációkon keresztül rossz indulatú támadók kártékony weboldalra mutató linket próbálnak elhelyezni a fertőzött(?) weboldalak látogatóinak vágólapján. A hivatkozás az xp-vist-update.net-re mutat, ami hamis anti-malwre szoftvereket kínál, valamint minden gyanú szerint több féle böngésző sebezhetőség kihasználásával igyekszik a látogatók gépét minden féle szeméttel teletömni.
A szokatlan módszer mögött valószínűleg az a logika áll, hogy a módosított vágólap-tartalmat a felhasználók sokszor be fogják szúrni levelekbe, blogbejegyzésekbe, vagy akár a böngészőjük címsorába. A támadást eddig Windowst és OS X-et futtató Firefox felhasználók jelentették, de nem kizárt, hogy más operációs rendszerek illetve böngészők is érintettek lehetnek.
A hét elején érkezett microsoftos javítócsomag javítatlanul hagyott néhány hibát, melyeket azóta aktívan ki is használnak.
Egyrészt az MS08-041 csak az Accesshez tartozó Snapshot Viewert ActiveX vezérlőt javítja, a különálló Snapshot Viewer szoftvert nem, így az továbbra is sebezhető marad.
Másrészt a SecurityFocus birtokába jutott információk szerint távoli kódfuttatásra lehetőséget adó hiba van az NSlookup.exe szolgáltatásban is. Ez a probléma az újabb Windows verziók közül az XP SP2-t érinti bizonyítottan, de más verziók is sebezhetők lehetnek. A Microsoft dolgozik a probléma felderítésén, demonstráció itt.
A SuSE biztonsági csapat két hibát fedezett fel a népszerű Postfix levelezőszerver kódjában. Az egyik sebezhetőség helyi jogosultság-kiterjesztést tesz lehetővé, a másik pedig a felhasználók postafiókjához enged illetéktelen hozzáférést. Információ csak az utóbbi bugról jelent meg. Eszerint a problémát az okozza, hogy a Postfix épít néhány, POSIX illetve X/Open szabványban lefektetett elvre, melyeket egyes rendszerek - az újabb Linuxok és Solaris valamint IRIX verziók - figyelmen kívül hagynak, ezért lehetővé válik a symlinkek hardlinkelése alacsony jogosultsági szinten. Bocs, ezt így le kellett írnom :) Szóval a dolog lényege az, hogy az alapesetben rendszergazda által birtokolt, leveleket tartalmazó fájlról lehet olyan linket létrehozni, hogy az egy egyszerű felhasználó számára is olvasható legyen.
Linuxosok, Solarisosok, IRIX-esek frissítsetek!
A hollan rendőrés High-Tech Bűnözési Egysége elfogott egy 19 éves holland fiatalembert, akit a több mint 100.000 tagot számláló Shadow botnet üzemeltetésével vádolnak. Horogra akadt továbbá egy brazil állampolgár is, aki feltehetően szolgáltatásokat akart vásárolni a bábjátékostól. A nyomozáshoz a hatóság a Kaspersky Labs segítségét kérte, akik utólag a hatóság és a biztonságtechnikai ipar közös győzelmének könyvelik el az esetet, és a további együttműködést szorgalmazzák. A hatóság a vádemeléshez várja azok jelentkezésék, akik úgy érzik, hogy a Shadow részeként használták fel számítógépüket.
A Drupal csapat több kritikus hibára tett közzé javítást. A sérülékenységek az 5-ös és 6-os szériát érintik, kihasználásukkal XSS-re, CSRF-re, és veszélyes fájlok feltöltésére alkalmasak. Az érintettek frissítsenek 5.10-es illetve 6.4-es verziókra!
Az 1.5-ös szériát futtató Joomla! felhasználók sürgősen frissítsék CMS-üket, mivel jelenleg is aktívan kihasználnak egy, az adminisztrátori jelszó kiütését lehetővé tevő hibát. A hiba az 1.5.6-os változatra történő frissítéssel, vagy a következő sorok /components/com_user/models/reset.php fájl 113. sorába történő beszúrásával javítható ki:
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}
Az eredmény:
További magyar áldozatok
Az ehavi Microsoftos javítócsomag összesen 11 foltot tartalmaz, ezek közül 6 darab javít kritikus hibát. Lássuk tehát az izgalamasabbakat:
MS08-041: Az Access 2003-as és régebbi verzióihoz tartozó Snapshot Viewer távoli kódfuttatásra ad lehetőséget. A hiba egy speciális weboldal segítségével használható ki. A támadó az áldozat felhasználójának jogosultságaival tevékenykedhet.
MS08-042: A Word 2002-t és 2003-at érintő sebezhetőség szintén távoli kódfuttatásra ad lehetőséget, teljes rendszergazdai jogkörrel.Az SWI blog külön posztban tárgyalja a veszélyes Word dokumentumok felismerésének módját.
MS08-043: Excelt érintő sebezhetőségek javítása. CVE-2008-3003 - Microsoft Office Excel 2007 Gold és SP1 Az OpenXML fájlok távoli adatforráshoz tartozó jelszavai a felhasználó akarata ellenére tárolásra kerülnek, és egy ZIP tömörítő valamint egy szövegszerkesztő segítségével kiolvashatóak.
CVE-2008-3004 - Microsoft Office Excel 2000 SP3, 2002 SP3, 2003 SP2 és SP3
CVE-2008-3005 - Microsoft Office Excel 2000 SP3, 2002 SP3, Office 2004 és 2008 for Mac
CVE-2008-3006 - Microsoft Office Excel 2000 SP3, 2002 SP3, 2003 SP2 és SP3, 2007 Gold és SP1; Office Excel Viewer 2003 Gold és SP3; Office Excel Viewer; Office Compatibility Pack 2007 Gold és SP1; Office SharePoint Server 2007 Gold és SP1; Office 2004 és 2008 for Mac
Ezek a hibák is kódfuttatásra adnak lehetőséget speciális Excel fájlok segítségével
MS08-044: A hibá kihasználásával kód futtatható, ha az áldozat az Office hibás verziójának használata közben megnyit egy speciális képet.
CVE-2008-3018 - Microsoft Office 2000 SP3, XP SP3, 2003 SP2; Office Converter Pack; és Works 8
CVE-2008-3019 - Microsoft Office 2000 SP3, XP SP3, 2003 SP2; Office Converter Pack; és Works 8
CVE-2008-3021 - Microsoft Office 2000 SP3, XP SP3, 2003 SP2; Office Converter Pack; és Works 8
CVE-2008-3460 - Microsoft Office 2000 SP3, XP SP3, and 2003 SP2
MS08-045: A távoli kódfuttatásra lehetőséget adó sebezhetőségek, az Internet Explorer minden támogatott verzióját érintik.
CVE-2008-2254
CVE-2008-2255
CVE-2008-2256
CVE-2008-2257
CVE-2008-2258
CVE-2008-2259
MS08-046: A Windows 2000, Windows XP, és Windows Server 2003 Image Color Management rendszerében található hiba távoli kódfuttatásra ad lehetőséget speciális képfájlok segítségével.
Jó foltozgatást/törögetést!
Lezárult a Race to Zero, a DefCon vírusátíró-versenye. Az eredmények a vírusírtók számára tanulságosak, az egyszerű felhasználóknak megdöbbentőek, mi meg csak sanda mosollyal dőlünk hátra a székünkben:
A verseny során tíz fordulóban egymás után nyolc jólismert vírust és két exploitot* kellett átírni, majd a módosított kártevőkre ráereszteni egy halom vírusírtót. A fordulót az a csapat nyerte, akiknek sikerült az első olyan kódot produkálnia, amely mindegyik antivírus szoftver szűrőjén átjutott.
A versenyt a Mandiant csapata nyerte, valamivel több mint 6 órás idővel, de egy másik, késve kezdő csapat egy speciális packer segítségével az első napra kitűzött kilenc szintet mindössze 2 óra 25 perc alatt teljesítette!
Ez tehát azt jelenti, hogy ha egy kártevőre elkészül az "ellenszer", egy órán belül már nagy valószínűséggel meg is jelenhet a következő változat, ami simán átcsúszik az ellenőrzéseken. Az egyik élvonal beli versenyző szerint a jelenleg elterjedt, minta alapú felismerési eljárások egyszerűen nem működnek. A megoldás szerinte a viselkedés alapú szűrés lehetne, ez viszont csak desktop rendszereken képzelhető el, szervereken aligha.
Az átlagos felhasználó kilátásai tehát nem túl fényesek, talán érdemes lenne elgondolkozni a malware probléma alacsonyabb, pl. operációs rendszer szintű megoldásán...
Három MIT-s, DefCon-on előadni készülő hackert állítottak elő a rendőrök, miután a massachussetsi tömegközlekedési vállalat, az MBTA zokon vette, hogy a srácok olyan anyagok bemutatására készültek, amely gyakorlatilag darabokra szedi a bostoni tömegközlekedés informatikai infrastruktúráját, a fizikai biztonságól kezdve a jegyek hamisításán át a belső hálózathoz történő teljes hozzáférésig. A dolog valószínűleg ott lett elbaltázva, hogy a cég mindössze egy héttel a közzététel előtt lett értesítve az egész infrastruktúrát érintő problémákról, ami túlságosan kevés az érdemi javítások elvégzésére. Persze azért a bemutatni kívánt fóliák nyilvánosságra kerültek, érdemes őket végignyálazni, gyalázós anyag :)
Az esemény másik balul elsült akcióját néhány francia riporter követte el, akik lehallgatták a szomszéd stáb internetforgalmát, majd mikor a megszerzett adatokat közzé akarták tenni a Birkák Falán, egy FBI ügynök csendben megjegyezte, hogy alapesetben egy ilyenért letartóztatnák őket, ezért jobb lenne, ha hanyagolnák a dolgot. A lehallgatás ugyanis még a DefCon-on is csak az érintett fél informálása mellett legális.
Az Electronic Frontier Foundation a DefCon-on bejelentette a Coder's Right Project-et, melynek célja a programozókra leselkedő jogi csapdák és buktatók (pl. szerzői jogok, illetéktelen használatról szóló rendelkezések) bemutatása, valalmint a segítségnyújtás ezek kikerülésére.
Az oldal jelenleg reverse engineeringről és egy segezhetőség-jelentésről szóló FAQ-t, egy sor megtörtént jogi eset összefoglalóját és jónéhány tanulmányt tartalmaz. Érdemes képbe kerülni, kattintsatok!
Legtöbbször nyugodtan vehetjük tudomásul, hogy fontos és bizalmas adatainkat nyilvános helyről ma már legtöbbször titkosított csatornán keresztül érhetjük el. Sandro Gauci azonban elrontja a kedvünket:
A védekezés alapesetben biztonságos sütik beállításával, vagy kizárólag titkosított csatornán elérhető domainek beállításával oldható meg Martin O'Neal a SecurityFocus listán azt írta, hogy elég az áldozatot a http://somesecurebank.com:443-ra irányítani, így az SSL-only megoldás nem segít!
Demonstráció alant:
Surf Jacking Gmail demonstration from Sandro Gauci on Vimeo.
Erről a DNs bugról már valószínűleg írtak volna egy vaskos könyvet, ha nem jönnének naponta újabb és újabb hírek vele kapcsolatban. Én a látszat ellenére nem vagyok egy grafomán típus, szóval rövid leszek:
Egy Zbr nevű orosz hackernek sikerült kihasználnia a DNS hibát egy patchelt BIND-et futtató gépen. A mutatványhoz két támadó gép kellett, amelyek gigabites LAN-on kapcsolódtak a célponthoz, és valamival kevesebb mint 10 óra kellett a helyes port-ID kombináció eltalálásához.
Kaminsky többek között ennek kapcsán elmélkedik egy hosszat a blogján. Az írásban kifejti, hogy ugyan a támadásokat megnehezíthetjük, de az alapvető probléma - ahogy láttuk - ettől még megmarad, ráadásul a támadási minta a BGP és az SNMPv3 protokollra is alkalmazható, és lassan beláthatatlanná válik a sebezhetőség által érintett rendszerek univerzuma.
Közben lement Kaminsky hivatalos előadása is, az erről készül videó (esküszöm volt rá egy linkem de eltüntettem valahova :P) és prezi már elérhető.
Nos, úgy tűnik kissé elszámoltam magam az idővel, ugyanis a DefCon már javában tart, és már ki is osztották az idei Pwnie-díjakat, az eredmények nem lettek túl meglepőek:
A tájékoztatást köszönjük a HackADay-nek!
Agytágítás okán jövő hétig nem leszek, de sebaj, BlackHat előtt úgysem publikál senki semmit :) Menjetek strandra!
Az Electronic Frontier Foundation (EFF) kiadta Switzerland nevű eszközének első alfa verzióját. Az ingyenes, nyílt-forráskódú szoftver célja az, hogy felhasználói ellenőrizzék, hogy szolgáltatóik mennyire "szólnak bele" a forgalmukba, azaz mennyire semleges is valójában az Internet a szemszögükből nézve.
A Switzerland részben elosztott módon működik: a felhasználók egymás között forgalmazhatnak IP csomagokat, melyeknek sértetlenségét egy központi szerver ellenőrzi. Segítségével kimutatható a csomagok módosulása, eltűnése, extra csomagok beszúrása, ezek segítségével pedig leleplezhetők többek között a különböző ismert és ismeretlen anti-P2P, hírdető, és cenzúrázó megoldások.
A különböző típusú forgalmak korlátozása az utóbbi időben a BitTorrent protokoll körül váltott ki nagyobb visszhangot, mivel több szolgáltató úgy döntött, hogy a jelentős warez tartalomra való tekintettel korlátozza az ilyen jellegű forgalom átvitelét, holott magát a protokollt gyakran teljesen legális, illetve másképp nem elérhető tartalmak átvitelére használják.
Biztos sokan ismerik azt a városi legendát, amelyben néhány figura még az ECHELON idejében elkezdett azzal szórakozni, hogy minden ártalmatlan e-mailjük végére odaírtak valami fenyegetőnek ható kifejezést pl. bomba vagy dzsihád, aztán egyszer csak kopogtak náluk a nemzetbiztonság emberei.
A történetnek nem tudom mennyi a valóságalapja, most viszont egy kis "szerencsével" bárki letesztelheti, mire is képesek a kriptográfusok, meg az ő vasaik odaát az NSA-nél. Egyszerűen töltsünk le néhány bombareceptet az internetről, az anyagot titkosítsuk kedvenc algoritmusunkkal, töltsük fel egy pendrive-ra, utazzunk ki az USA-ba, drukkoljunk, hogy a vámon kobozzák el a kis adathordozót, végül várjuk, hogy mikor gördül be a fekete autó a ház elé. Persze vigyázzunk, mert ha túl jó összeállítást készítünk, lehet hogy rögtön a kommandó ront be a vasárnapi ebéd kellős közepén, az pedig eléggé el tudja rontani az ember hétvégéjét...
Komolyra fordítva a szót: azt az okos embert idézném, aki azt jósolta, hogy a terroristák lassan úgy érik el a céljukat, hogy a tőlük való félelmet kihasználva a demokratikus államok vezetői is olyan diktatórikus intézkedéseket vezetnek be, amilyenek a terroristák szülőföldjén is legtöbbször uralkodnak.
Aki mégis az USA-ba vágyik, és netán némi bizalmas adatot is magával kíván vinni, annak felhívnáma figyelmét Bruce Schneier ajánlására: mivel a vámosok erősen el tudják rontani az emeber napját, ha nem adjuk oda nekik a jelszavainkat, ezért érdemes féltett adatainkat a titkosítás mellett el is rejteni egy külön partíción, pl PGP Disk, vagy TrueCrypt segítségével. Ezt nem valószínű, hogy első körben kiszúrják a határon, mikorra pedig az alaposabb elemzés fényt derítene a turpisságra, mi már rég Californiában koktélozunk, vagy Alaszkában vadászunk jávorszarvasra, persze kilépéskor még mindig ránk szállhatnak.
Még jobb, ha az érzékeny információkat titkosítva egy apró USB kulcsra, vagy memóriakártyára mentjük, ami befér akár a zsebünkbe is. Ezt nem valószínű hogy egyáltalán kiszúrják, ha pedig mégis, nyugodtan mondhatjuk pl. azt, hogy a főnökünk küldte a kütyüt egy kinti kollégának, és gőzünk sincs hogy mi van rajta.
Fontos hangsúlyozni, hogy minden esetben bivalyerős jelszót válasszunk!
Persze ez sem tökéletes megoldás (szemét dolog ráállítani a főnökre az FBI-t), de bízom a kedves olvasók fantáziájában :) Az érdeklődőknek ajánlom elolvasásra a teljes cikket, valamint a "steganography" kulcsszó beírását a Google-be!
A Mike On Ads blogon megjelent egy aranyos kis szkript, amely megkísérli megmondani, hogy a kedves látogató férfi-e avagy nő. A dolog persze kevésbé mulattságos színben tűnik fel, ha kicsivel több információt teszünk közzé: A Mike On Ads blogon megjelent egy szkript, amely a böngészési előzményeid alapján megkísérli megmondani, hogy férfi vagy-e avagy nő.
Jogos a kérdés, hogy hogyan tud valaki belenézni távolról az én historymba? A szkript eredetije nem új, Paul Cook blogján jelent meg még májusban - és valószínűleg nem is ez volt az első ilyen kód, az ötlet azonban még mindig zseniális:
A böngésző nem enged távoli hozzáférést a böngészési előzményeinkhez, a meglátogatott linkeken azonban a többitől eltérő stílust érvényesít. Adjunk meg tehát pl. egy speciális színt a már meglátogatott linkek számára CSS-sel, írjunk ki egy halom hiperhivatkozást, majd ellenőrizzük, hogy melyiknek lett különleges színe. Gyerekjáték.
Gyerekjáték az adathalásznak eldönteni, hogy melyik bankhoz járunk, gyerekjáték a spammernek rájönni, hogy "mire van feltétlenül szükségünk", gyerekjáték kiismerni, hogy milyen politikai párttal, egyházzal vagy pornóoldallal szimpatizálunk. Még szerencse, hogy Mike csak arra volt kváncsi, fiúk vagyunk-e, vagy lányok!
A hamarosan kezdődő pekingi Olimpián a szervezők gondoskodtak róla, hogy a világ legfelkészültebb sportolóin és legrátermetteb vegyészein kívül az információ szabadságát hagyományosan nagyra tartó hackereket is nemes kihívás elé állítsák.
Mint azt bizonyára tudjátok, Kína az Olimpia idején is zárva tartja az országba érkező információt a totalitárius állam kedve szerint megszűrő Nagy Tűzfalat, valamint a külföldi szállodák számítógépeire is feltelepíttette a vendégek internetes kommunikációját lehallgató állami kémszoftvert. Szerencsére azonban a kilátogató, esetleg az ázsiai országban élő tudósítóknak, aktivistáknak és bloggereknek nem kell fél órán belül futni a 10.000 métert ahhoz, hogy sikerrel célba érjenek:
Egy Kínában élő fotóriporter, Zach Hoing - odakinnt egyébként nem elérhető - blogjában első kézből nyújt tájékoztatást azoknak, akik a net szabadságát a modern kommunizmus árnyékában is élvezni akarják. Útmutatásának talán leglényegesebb eleme, hogy elutazásunk előtt készüljünk fel az útra: konfiguráljunk VPN kapcsolatot egy kinntről elérhető szerveren (vagy akár routeren), melyen keresztül aztán szabadon elérhetünk amit csak szeretnénk anélkül, hogy kíváncsi szemektől és fülektől kellene tartanunk.
A Chaos Computer Club és a FoeBuD speciális TOR szoftvert tartalmazó USB kulcsokat kínál, melyek segítségével ugyan elég lassú, de garantáltan anonim kapcsolat építhető ki a Nagy Tűzfel mögül, feltéve, hogy a belépési pont nincs tiltott tartományban, és a kilépési pontokkal is vigyázni kell!. A CCC ezen kívül proxy-beállítási tippekkel is segíti a Kínába igyekvőket, bár egy ilyen átjáró használata ugyan hozzáférést enged a megszűrt tartalmakhoz, de a lehallgatás ellen nem véd!
A kínai cenzoroknak tehát még sok kutyát spenótot kell enni ahhoz, hogy az Internet által biztosított információszabadságot a saját tetszésüknek megfelelően korlátozhassák. Ha valakit esetleg további részletek érdekelnek a Nagy Tűzfal átlépésével kapcsolatban, az nyugodtan keressen meg :)
(Aikonnak szeretettel ;)
A Defconos srácok a Wardriving határait kitágítandó, WarBallooningot szerveznek az idei eseményre. A tervek szerint a csapat tagjai egy léggömbre ráakasztanak egy spéci firmware-rel megspékelt routert, néhány nagyteljesítményű antennát, meg egy webkamerát, aztán 15 emelet magasságból figyelik a hálózatokat. Az eredményről videó készül, a felhasznált forráskódokat CVS-en lehet majd elérni.
Az igazat megvallva nem hiszem hogy túl fogják tudni szárnyalni a srácok a kettővel ezelőtti Hacktivity után előadott War<ÉjszakaiBuszonRészegen>inget ;)
Tegnap a Lordok Háza elutasította Gary 'Solo' McKinnonnak az Egyesült Államoknak történő kiadatása elleni keresetét. A 42 éves brit férfit azzal gyanúsítják, hogy betört többek között az amerikai Védelmi Minisztérium, a hadsereg, a légierő, a tengerészgyalogság és a NASA több tucat (egyes információk szerint több ezer) számítógépére. Az FBI szerint ezzel mindegy 700.000$-os közvetlen kárt okozott az amerikai államnak, Solo számára azonban a rosszabb hír az, hogy ezeket a cselekedeteket könnyen terrorakcióként kezelheti a tengeren túli bíróság, amelyhez természetesen igen súlyos büntetési tételek kapcsolódnak. Jogászok szerint egy ilyen vád beigazolódása esetén a hacker akár 60 évnyi börtönbüntetéssel is számolhat.
McKinnon ugyan beismerő vallomást tett, de állítása szerint szó sem volt terrorakciókról. A tetteit vezénylő fő cél az volt, hogy bizonyítékot szerezzen a Egyesült Államok földönkívüliekkel, antigravitációs-technológiákkal, és ingyen energiával kapcsolatos kísérleteire (Hacker teszt: 0 pont :) ), de egyéb akciókról is láttak napvilágot információk: A hacker egyszer pl. háború ellenes üzeneteket jelenített meg a hadsereg munkaállomásain, az FBI szerint pedig - bár ezt a bíróság előtt eddig egyszer sem hozták fel - szeptember 11-e után Solo több fontos fájlt is törölt illetve módosított a kormány számítógépein.
Jó kérdés, hogy mindehez hogyan szerzett jogosultságot az eredetileg fodrásznak tanult, mára a világ legveszélyesebb hackereként emlegetett férfi? A válasz elég prózai, meghökkentő, de azért nem teljesen hihetetlen: Solo állítólag egy egyszerű Perl szkripttel üresen hagyott jelszavakat keresett, és talált.
A hacker utolsó reménye most a strassburgi nemzetközi Emberijogi Bíróság, ahol még megakadályozhatják McKinnon kiadatását.
A folytatásról beszámolok, addig is, akit érdekel Solo története, annak tudom ajánlani a BBC összefoglalóját. Ha pedig valaki úgy érzi, hogy köteles támogatni a "világ legveszélyesebb hackerét" a jogszerűtlen eljárással szemben, az látogasson el a FreeGary weboldalra!
Ha ez a DNS bug nem visz el egy Pwnie díjat sem, hát megeszem a kalapom. Íme az utóbbi néhány nap fejleményei:
Elkezdődött a hiba éles rendszereken történő kihasználása. Ezek közül a legnagyobb port talán az AT&T egyik nevadai névszerverének megmérgezése okozta. A támadók itt a www.google.com domaint irányították át speciális, Google-éhoz hasonló sitera, melyen egy rejtett, hírdetéseket tartalmazó IFRAME-et jelenítettek meg.
Ez volt az a szerver, amely forwarderként kiszolgálta tk. HD Moore cégének, a BreakingPoint Systems-nek a kéréseit is. A különböző hírpotálokon és blogokon persze futótűzként terjedt a hír, hogy Moore-t azzal a hibával húzták csőbe, amelyikre ő írta az első exploitot. Mivel azonban egy külső cég gépéről volt szó, a story nem ilyen egyszerű, de a véleményformálást mindenkire rábízom.
Az eset kapcsán kialakult összeesküvéselméletek közül egyébként kiemelném Nyosigombocét és BaT-ét, akik zseniálisan meglátták az összekötő szálat az AT&T buktája, a patcheletlen Apple termékek és az AT&T-iPhone összefonódás között :)
Fontosnak tűnő információ még, hogy a BIND javított változatánál teljesítménycsökkenés tapasztalható nagy forgalmat bonyolító névszerverek esetén. Javítás már van, de még nincs rendesen kitesztelve, a fejlesztők türelemre intenek, és azt javasolják, hogy a stabil patch elkészültéig mindenki maradjon a lomhább, de biztonságos verziónál.
Az Infobyte Security Research csapata közzé tett egy Evilgrade nevű eszköt, amely a legutóbbi DNS cache poisoning hiba kihasználásával, illetve egyéb man-in-the-middle módszerek segítségével lehetővé teszi, hogy elterjedt alkalmazások automatikus frissítési szolgáltatásán keresztül futtassunk saját kódokat a szolgáltatást igénybe vevő számítógépeken.
A program lényegében egy modulokkal bővíthető keretrendszer, melyhez eddig többek között a Java RE, OpenOffice.org, WinZip, WinAmp és iTunes programok frissítési szolgáltatásait utánzó kiegészítéseket is kifejlesztettek.
A kódfuttatáshoz természetesen sikeres beékelődéses támadást kell végrehajtani, de sajnos nem bízhatunk abban, hogy az összes DNS szervert belátható időn belül javítani fogják (és akkor még nem is beszéltünk a DHCP szerverekről, vagy az ARP poisoningról), ezért csak az aláírt frissítésekkel működő szoftvereket tekinthetjük biztonságosnak.
Reméljük, hogy ez az eszköz a különböző botnetek zombiállományának növelése helyett, inkább a rendszergazdák és programozók észbekapását fogja eredményezni.
Miután Terry Childs, a San Francisco kormányzati gerinchálózatát elbitorló rendszeradminisztrátor a rá kiszabott óvadék csökkentét kérvényezte, az esettel kapcsolatban eljáró egyik ügyész az enyhítés elleni érvelés részeként benyújtott egy dokumentumot, amely közel 150 felhasználó VPN hozzáféréshez használható nevét és jelszavát tartalmazta bizonyíték gyanánt. Ez persze még nem lett volna akkora baj, ha a dokumentumot - a közérdekű adatok nyilvánosságának elvét követve - nem érhette volna el akárki.
A nyilvánosságra került adatokat Childs gépéről vadászták össze, megváltoztatásukra pedig az illetékesek szerint nem volt lehetőség, mivel ehhez minden érintett felhasználó otthoni számítógépének konfigurációját meg kellett voltna változtatni. Pánikra azonban a san franciscoi vezetés szerint nincs ok, a kikerült adatok ugyanis pusztán a belépés első fázisán engedik keresztül az esetleges támadókat (Bruhahaha!).
Persze elképzelhető, hogy egyeseknek már tényleg nem jelentett előrelépést a hozzáférési információk kikerülése: az InfoWorld szerint néhány jelszó egyszerűen megegyezett a felhasználónévvel, vagy nagyon egyszerűen kitalálható volt (éljen a jelszó policy!).
Nem lennék a helyi IT gárda helyében.
