A tegnap este néhány tanúlsága:

• Időben el kellene kezdeni a szervezést
• Elszoktam az alkoholtól
• Érdeklődés mindezek ellenérre van, szóval biztosan lesz folytatás!

Köszönöm mindenkinek, aki jelenlétével emelte az este fényét!

Az Adeona egy érdekes, új, nyílt-forrású kezdeményezés, amely megpróbál lehetőséget teremteni ellopott laptopjaink, illetve egyéb hordozható informatikai eszközeink felkutatására. A kis méretű, Windows, Linux, és Mac OS operációs rendszerekre is elérhető kliens feltelepítése után szorgos információgyűjtésbe kezd arról, hogy éppen milyen IP-címtartománnyal illetve topológiával rendelkező hálózatban tartózkodik a számítógép, mi a külső IP címünk, melyek a közelben lévő routerek, mi a hozzáférési pontunk neve (vezeték nélküli hálózatot használva), Mac esetén pedig a beépített kamera segítségével képeket is készít az aktuális környezetről!

Az így gyűjtott adatok egy OpenDHT alapú elosztott tárhelyre kerülnek fel, erős titkosítással védve, így biztosítva, hogy ne legyünk egy központi szolgáltatásra utalva, és hogy senki más ne tudja felhasználni a nyomkövető által gyűjtött adatokat.

Mostanában rengeteg hír jelenik meg milliónyi és milliónyi értékes adatot tartalmazó laptopok elvesztéséreről, érdemes tehát kipróbálnia ezt az ügyes kis eszközt, annak aki sokat hurcol értékes adatokat notebookon, PDA-n, vagy okostelefonon, de nem árt fontolóra venni valamilyen titkosító szoftver alkalmazását sem.

A sörözés helyszíne az Egyetem Kávézó:

Nagyobb térképre váltás

Van foglalva asztalunk, az árak barátiak, van billiárd, csocsó és hasonlók. Lesz nálam egy Hacktivity belépő, azt keresse aki nem ismer meg arcról ;)

HD Moore közzétett egy, az általa fejlesztett Metasploit keretrendszerbe épülő, Dan Kaminsky féle DNS cache poisoning hibát kihasználó modult, így most már néhány kattintással bárki kipróbálhatja, valójában mennyire komoly ez a sebezhetőség.

Amennyiben valaki arra kíváncsi, hogy saját névszervere sebezhető-e, Kaminsky oldalán elvileg fellelhető egy tesztezköz, de ezt nekem egyelőre nem sikerült megtalálnom...

Frissítés:
Egy gyöngyszem a témát körüljáró indexes cikkből: "A DNS-szerverek fordítják le a felhasználó által begépelt url-címet (például azt, hogy index.hu) ip-címmé: egy 11 jegyű számmá" :)

Frissítés 2:
Újabb exploitok jelentek meg, egyikük képes a névszerveren eltárolt, adott domainhez tartozó összes bejegyzést átírni. HD Moore tesztjei alapján egy kiseres támadás mindössze 1-2 percet vesz igénybe!

Dobpergés, stb.

Mivel egyéb halaszthatatlan elfoglaltságaimra (pfff..) tekintettel a hétvége részemről bukó, úgy döntöttem, hogy a sörözést július 25-e péntek estére, a Rendszergazdák Megbecsülésének Napjára teszem.

A kedves érdeklődők legyenek 19:00 körül a Szent Gellért tér (Szabadság híd, Budai oldal) környékén (persze később is lehet csatlakozni). Pontosabb infókat is ->>kaptok<<- hamarosan, kérem, hogy aki ilyen paraméterek mellet úgy látja, hogy eljönne, jelezzen valamilyen nyilvános vagy privát csatornán, hogy tudjam kb. hányan leszünk! Köszi!

Az Indexen is megjelent a hír, hogy egy 43 éves rendszergazda, Terry Childs gyakorlatilag megbénította San Fransisco állami szervek számára fenntartott FibreWAN-ját. 

Az előzetes meghallgatáson Childs ugyan ártatlannak vallotta magát, de tegnap egy, a város polgármesterével titokban folytatott rövid beszélgetés után végül kiadta azokat a jelszavakat és egyéb információkat, melyek segítségével a rendszer újbóli meghódításával megbízott szakértők egy hét után végre hozzá tudtak férni a kulcsfontosságú szerverekhez és hálózati eszközökhöz.

Azt nem lehet tudni, hogy Chris együttműködését mennyire fogja díjazni a bíróság, ahogy az sem tisztázott, hogy mi volt a rendszergazda indítéka erre a nem hétköznapi akcióra. A férfi ügyvédje minden esetre azzal érvel, hogy a cselekmények nem veszélyeztették a város biztonságát, és egyébként is, az egész incidensről azok a munkatársak tehetnek, akik figyelmen kívül hagyták a hálózat biztonsági hiányosságaira rámutató  - állítólag szép számban érkező - figyelmeztetéseket, és nem fordítottak elegendő energiát a rendszer biztonságának megerősítésére.

Hogy ez az érvelés mennyire helytálló, azt mindenki döntse el maga, az minden esetre biztos, hogy a San Fransisco-i (az Index szerint ezt így kell írni, de ebben én nem vagyok teljesen biztos...) IT vezetés most csattanós pofont kapott, ez pedig azt hiszem eléggé ösztönző erejű lesz a jövőben.

A sörözéssel kapcsolatban egyelőre bizonytalanok a dolgok, de holnap remélhetőleg fogok tudni konkrétat mondani.

Majd' két hete röppent fel a hír, hogy Dan Kaminsky cache poisoningra lehetőséget fedezett fel a DNS protokollban. Kaminsky szerint "A probléma rendkívül komoly, az összes DNS szervert javítani kellene, amilyen gyorsan csak lehetséges. [...] a probléma magával a DNS protokollal van, nem meghatározott implementációval.", ezért a kutató arra kérte kollegáit, hogy tartózkodjanak a spekulációktól, amíg a nyilvánosság előtt fel nem fedi a  problémát az idei Blackhaten, hogy így nyerjen időt a gyártóknak a hiba kijavítására, és a patchek kiadására. A bejelntést követő pánikszerű hangulatot jól jelzi, hogy igen közel a nevezési időszak végéhez, ilyen kevés rendelkezésre álló információ birtokában is jelölték a bugot a "Leginkább túlhypeolt hibának" járó Pwnie-díjra.

Halvar Flake azonban vizsgái szabadidejében nekiállt utánaolvasni a témának, és bár eleinte magával a DNS rendszer működésével sem volt teljesen tisztában, végül sikerült rájönnie a titokra. Látva, hogy a hibát egy hozzá hasonló, kvázi laikus illető is megtalálhatja, ényegében a full-disclosure filozófiáját követve végül közölte sejtését, melyről a netes közösség hamar megállapította, majd Kaminsky is elismerte, hogy valóban beharangozott hibáról van szó.

Íme tehát Flake írásának lényegi része magyarul (most már úgyis mindegy alapon):

Mallory meg akarja mérgezni az ns.polya.com-ra érkező, www.gmx.net-re kérdező DNS kéréseket. A gmx.net névszervere az ns.gmx.net, Mallory IP-je 224.224.224.224.

Mallory elkezd a www.ulam00001.com, www.ulam00002.com.... hosztokra vonatkozó  hamis kéréseket küldeni az ns.polya.com-ra. Az ns.polya.com nem gyorsítótárazta még ezeket a címeket, tehát megkérdez egy gyökér szervert, hogy merre található a .com névszerver. Ez után meg is kapja a .com NS címét, akitől megkérdezi, hogy hopl találja az ulam00001.com, ulam00002.com, stb. névszerverét. 

Mallory ez után hamisított, a .com névszervertől érkezőnek látszó válaszokat küld az ns.polya.com-nak, melyekben azt állítja, hogy az ulamYYYYY.com címekért felelős névszerver az ns.gmx.net, melynek címe 224.224.224.224.

A rengeteg www.ulamYYYYY.com domain kérésre azért van szükség, mert ugyan a DNS kérések egyedi azonosítóval védettek az ilyen jellegű hamisítások ellen, de az azonosítók mindössze 16 bit hosszúak, a mai DNS fogalom mellett pedig belátható időn belül összehozható egy jó kis ütközés.

A hibáról, és a lehetséges javítási módokról a Matasano Chargenen jelent meg véletlenül egy elég jó összefoglaló, amit azóta - Kaminsky elveit követve - leszedtek, de a hivatalos bejelentést követően minden bizonnyal vissza fognak rakni. Ennek tanúsága szerint egy megfelelően gyors internetkapcsolattal rendelkező támadó kb. 10 másodperc alatt véghez tud vinni egy ilyen támadást. 

Aki teheti, sürgősen foltozza be a fennhatósága alá tartozó NS-eket, vagy váltson OpenDNS-re

Nagyjából $10.000 büntetés kiszabása, valamint az általa birtokolt szórakoztató elektornikai és számítástechnikai cikkek elkobzása után szabadon engedték a 19 éves Owen Thor Walkert, ismertebb nevén AKILL-t, aki egy nemzetközi hálózat fejeként nagyjából 1.3 millió számítógépet hajtott uralma alá egy saját készítésű szoftver segítségével. A fertőzött gépek felhasználásával aztán különböző kártékony kódokat terjesztett, a megszerzett információkat (pl. hitelkártya adatokat, felhasználóneveket és jelszavakat) pedig más bűnözői csoportoknak adta el, összesen nagyjából 20 millió dolláros kárt okozva.

Walker annak köszönheti a szokatlanul enyhe büntetést, hogy a helyi (új-zélandi) bűnüldöző szervek a maguk oldalára akarják állítani a fiatalembert, aki ígéretet is tett arra, hogy tudását ezután csak a jó cél érdekében, a hatóságok munkájának segítésére fogja felhasználni.

Milyen megható... A bíróság hozzáállása persze dícséretre méltó, de én azért ezt a halk ejnye-bejnyét nem tartom reális szankciónak ebben az esetben, főleg ha figyelembe vesszük, hogy ennél jóval kisebb károkat okozó cselekmények esetében is sokszor kemény börtönbüntetést szabnak ki.

Kikerültek a Hacktivity oldalára azok az előadások, amelyek már biztosan szerepelni fognak a konferencia kínálatában. Azt hiszem az előző évekhez képest igen erős a felhozatal, remélem a lista bővülésével sem fog esni a várható színvonal.

Még mindig kihasználható a közkedvelt Rapidshare fájlmegosztón az a több mint két hónapos XSS hiba, amit nktpro fedezett fel, és tárt a nagyközönség elé. Persze sok nagy forgalmú oldalon láttunk már hasonlóan hosszú ideig nyitva maradó réseket, ebben az esetben azonban az oldal programozói elkövettek még egy hatalmas baklövést: a bejelentkezett felhasználók neve és jelszava lényegében titkosítatlanul van tárolva a felhasználóhoz bejelentkezéskor érkező sütiben.

Innentől kezdve könnyű szerrel írható egy olyan szkript, amely a Rapidshare oldalára beszúrva ellopja a belépett felhasználó nevét és jelszavát. A Premium felhasználóknak ajánlatos tehát óvatosnak lenni a különböző, rapidshare.com-ra mutató linkekkel!

Jelentem élek és működök, perpillanat kb. 500 híren és néhány száz levélen próbálom átrágni magam, sok minden történt ez alatt szűk két hét alatt, lesz miről írni!

Előre is elnézést kérek, ha valamilyen szignifikáns infót kihagyok, vagy egy százszor lerágott hírt teszek közzé újra, de a bejövő infókat csak nagy vonalakban fogom tudni szelektálni.

2008. december 27-30. között rendezik meg a 25. Chaos Communication Congresst Berlinben. Azt hiszem ez a legjobb konf, ahová egy magyar hacker első körben ellátogathat, ezért - bár a dolog még csak ötlet szintjén létezik - útitáraskat keresek magam mellé, akik úgy gondolják, hogy lenne kedvük és lehetőségük részt venni ezen a nem mindennapi eseményen.

A HoH-on már indítottam ezzel kapcsolatban egy témát, a kérdéseket fel lehet tenni ott, vagy nálam e-mailen (üzenetküldés oldalt, házon kívül vagyok, úgyhogy nem fogok válaszolni egy ideig).

Kedvcsinálónak itt egy jó kis klipp a 2003-as rendezvényről, ami azt hiszem magáért beszél:

Annak idején jómagam is lelkes Opera felhasználó voltam, majd ahogy másokat, engem is szépen lassan megával ragadott a Firefox és az ő ezernyi bővítménye. Legutóbb a 9.5-ös verzió megejenésekor húztam elő az egyik sarokból a kiszolgált programot, és frissítettem az új (a hivatalos marketing szerint mindenképpen) korszakalkotó verzióra. És valóban: a 9.5-ről ódákat tudnék zengeni, de ez nem az a blog, így hát csak egyetlen új funkció egyetlen új felhasználási módját fogom röviden ismertetni.

Az Opera - a FF által diktált trendet követve - igyekezett a zárt forrás mellett lehetőséget biztosítani a felhasználók számára, hogy új funkciókat építhessenek bele böngészőjükbe. Így született meg a Userscript interfész, melynek segítségével lényegében helyi kiterjesztett API-t elérő JavaScript fájlokat tölthetünk be minden egyes meglátogatott oldalhoz.

Egy ilyen egyszerű JavaScript kódsor a Ronald keze munkáját dícsérő Arioso szkript is, ami veszélyes URI-kat, és ismeretlen helyről betöltődő kódokat keres és blokkol a megjelenített oldalakon, ezzel csökkentve a támadási felületet. Természetesen az eszköz még messze van attól a minden szintre kiterjedő védelemtől, amit a Firefox-os NoScript képvisel, de így is hasznos védelmi eszközként szolgálhat a weben burjánzó kártékony kódok ellen.

Emellett természetesen a szkript némi JS tapasztalattal tetszés szerint bővíthető és testreszabható, így a közösség munkája nyomán egy teljesértékű védelmi eszköz születhet az Opera felhasználók számára, csak tessék fejleszteni!

Bezony, ma 1 éves a blog. Nagyon durva érzés ez nekem. Tisztán emlékszem, arra a forró nyári délutánra, amikor egy mocskos vonatvagonban izzadva eszembe jutott, hogy az egyre unalmasabbá váló sudoku helyett visszatérek hackeléshez, és elkezdek a témáról blogolni, ha mást nem, unaloműzőnek. Nos, azt hiszem jó ötlet volt :)

Most le kéne írnom egy csomó statisztikát, meg értékelni az elmúlt időszak történéseit, de ehhez túl fáradt vagyok. Csak meg szeretném köszönni, hogy minden nap ennyien idejártok, kommenteltek, és e-maileztek, végső soron pedig mindig odakényszerítetek a gép elé, hogy kibányásszam a gyöngyszemeket a hálózat posványából. Mivel az utóbbi napokat egy gépzajtól hangos pincében töltöttem, és nem volt lehetőségem cukrászdába menni, ezzel a születésnapi tortával kell beérnetekek, ami ugyan nem túl impozáns, de szeretettel adom, amúgy IT style ;)

Nem került bele az OS X június 30-i javítócsomagjába a suid root ARDAgent helyi jogosultságkiterjesztést lehetővé tévő hibájának javítása. Mint az ebből a részletes elemzésből kiderül, a probléma megoldása egyáltalán nem triviális: a papírforma alapján az ARDAgentnek csak a saját magától érkező Apple Eventeket szabadna fogadnia, a külső forrásból érkezőket nem. Ez utalhatna akár egy, a biztonsági rendszer mélyén megbúvó hibára, de az elemzések eddig azt mutatják, hogy ilyenről nincs szó, bár kiderült, hogy egyes esetekben (pl. a System KeyChain feloldása után) a SecurityAgent alkalmazás is hasonló módon enged teret a magas privilégiumszinten történő parancsfuttatásra.

Már csak azért is érdemes tehát a javításra várni, hogy végre megtudjuk, milyen programozói baki vezethetett ehhez a rendkívül furcsa jelenséghez. Az OS X felhasználóknak addig is érdemes leszedniük a suid bitet az ARDAgenről, hogy megvédjék magukat a problémát kihasználó támadásokkal szemben.

Először is elnézéseteket kell hogy kérjem az utóbbi napok gyér posztjai, valamint az aktuális irás kuszasága miatt, elég kemény hetek állnak mögöttem, és bár koránt sem a blog áll a prioritási sorom utolsó helyén, még idáig is felgyűrűzött a permanens idő és energiahiány.

Másodszor és harmadszor pedig van egy jó és egy rossz hírem, kezdem a jóval: ez az állapot meg fog szűnni, és minden vissza fog térni a régi kerékvágásba. A rossz hír az az, hogy erre várnotok kell még nagyjából két hetet, ugyanis jó messzire megyek külföldre, és több mint valószínű, hogy a net közelébe sem fogok jutni. Ez a hosszabb szünet remélhetőleg lehetőséget fog teremteni arra is, hogy elgondolkozzam arról, hogy merre van az előre, milyen irányba haladni, így ez után a bő tíz nap után ha mionden jól megy nem csak sokkal kipihentebben, de sokkal bölcsebben is fogok visszatérni :)

Addig is, hogy ne szomorkodjatok annyira, igyekszem betárazni néhány posztot, amit időzítve fog kidobálni majd a rendszer, hogy ne unatkozzatok.

Szóval visszatérek, kitartás, és "Hack Da Planet" ;)

Nagyobb változás történt az iDefense hagyományos, negyedévenként megrendezett, sebezhetőségek felderítésére irányuló versenyében. A visszajelzésekre támaszkodva az iDefense csapata úgy döntött, hogy a biztonsági hiányosságok felderítésére fordítható időt megnyújtják, és a versenyt évenként fogják megrendezni, és ezen túl a pályamunkákat a naptári év végéig lehet benyújtani.

A benyújtható kutatási eredményekkel kapcsolatban a legfontosabb követelmények a következők:

• A sebezhetőség kihasználása reprodukálható kell hogy legyen
• A sebezhetőség kihasználásához csak minimális social engineering használható
• Az érintett alkalmazásnak a legfrissebb verziójú, teljesen foltozott változatának is sebezhetőnek kell lennie

Az ezévi megmérettetés nagydíja 50.000$-t ér, valamint a nyertest meghívják az iDefense egy iparági konferencia keretében megrendezett díjkiosztójára. Az első, második és harmadik díj rendre 25.000$, 10.000$, 5.000$ pénzjutalmat jelent, tehát megéri nekivágni a kihívásnak, hajrá!

A Microsoft bejelentette, hogy több új biztonsági fejlesztést hajtott végre az Internet Explorer 8-as változatában. Lássuk hát, hogy mi van a Miculás puttonyában:

A legfigyelemreméltóbb újítás egy NoScripthez hasonló XSS blokkoló megoldás, amely kiszűri a megjelenített oldalból a gyanúsnak vélt kódrészleteket. A fejlesztők nem voltak könnyű helyzetben: egy hajszál vékony csíkon kellett volna lavírozniuk a biztonság és a használhatóság között, ez pedig lehetetlen feladatnak bizonyult, és ők a használhatóság felé mozdultak el. Az IE nem kérdez, egyszerűen blokkolja az általa károsnak vélt kódokat.  Kérdés hogy a szűrő mennyi hamis negatív és hamis pozitív eredményt produkál, én sajnos úgy látom, hogy ez esetben nagy árat kell majd fizetnünk a kényelemért. A Facebook felhasználóknak azért - ha nem akarnak a NoScripttel bajlódni - érdemes lehet átváltani a még béta állapotú böngészőre, mivel nem rég fedeztek fel jó néhány XSS-re alkalmas rést a közösségi oldalon, hátha meg lehet így úszni egy támadást.

Az adathalász támadások kivédéséhez a böngésző (a Google-höz hasonlóan) több helyről is folyamatosan gyűjti a phishing oldalakról szóló bejelentéseket, és természetesen ezek alapján figyelmeztet a gyanús siteokra. Ennél innovatívabb megoldásnak tűnik, hogy az Explorer kiemeli a meglátogatott oldal URL-jét, amennyiben pl. egy e-mailből nyitottuk meg azt, így emlékeztetve a felhasználót arra, hogy ellenőrizze a kapott címet. A böngésző ezen kívül a meglátogatott oldal struktúrája alapján képes heurisztikus jelzést adni arról, hogy adathalász oldallal van dolgunk.

Hasznosnak ígérkező fejlesztés továbbá, hogy a böngésző az általa kezelt adatokat képes egy nem-futtatható memóriaterületre írni, így gátat lehet szabni pl. bizonyos puffer túlcsordulásos támadásoknak. Ez a lehetőség IE7 alatt komoly instabilitást okozott, de mostanra úgy tűnik, sikerült elhárítani ezeket a problémákat, bár ez a funkció csak Vista SP1 és Server 2008 platformokon érhető el.

Ezeken kívül egy sor egyéb kicsi de hasznos biztonsági lehetőség került bele a programba, ezekről bővebben az IEBlogon olvashattok. Én úgy gondolom, hogy a frissítéset követően mindenképpen egy nagyságrendekkel biztonságosabb böngészőt kapunk kézhez, de arról már nem vagyok meggyőződve, hogy emellett a rengeteg új funkció mellett a teljesítménytől is el leszünk ragadtatva.

Kedves Olvasóim!

Nem sokára, július 10-én lesz 1 éves a blog. Eme jeles alkalomból szeretném megvalósítani egy régi, nagy tervemet: meg szeretném szervezni az első Buhera Sörözést, melynek keretében lelkes közönségem végre személyesen is megismerheti egymást. Remélem, hogy ez az alkalom jó lehetőséget fog teremteni arra, hogy a kapcsolatok erősítésével új együttműködések, ötletek, és talán barátságok is szülessenek.

A történet azonban nem ilyen egyszerű. Az ugyanis a helyzet, hogy július 20-ig külföldön leszek, ezért a tényleges születésnapról mindenképpen le fogunk csúszni, így az időpont kitűzése sem triviális feladat. Ezennel tehát arra kérek mindenkit, aki kedvet érez ahhoz, hogy néhány hasonló érdeklődésű potenciális bűnöző társaságában elfogyasszon néhány sört/bort/kólát, az jelezze részvételi szándékát itt a kommentek között, vagy egy személyes üzenet formájában, valamint tegyetek javaslatot az időpontra, helyszínre is!

Az irányelvek:

• A helyszín legyen Budapest valamely frekventált részén
• Legyen tűrhető az árszínvonal, de azért ne legyen késdobáló
• Ne nézzenek csúnyán, ha néhány köbméternyi kockafej kockulni kezd

Júli 25-höz mit szóltok?

Valószínűleg a szovjet jelképek betiltása miatt eddig kb. 300 litván weboldalt érintő támadássorozat indult meg, feltehetően Oroszországból. Az akciók során a támadók szovjet zászlók képeit, és Litvánia ellenes dalokat helyeznek el az áldozatul esett weboldalakon. Nem valószínű, hogy a cselekmények államilag lennének koordinálva, minden bizonnyal csupán túlbuzgó nemzettudattal rendelkező crackerek összehangolt akciójáról van szó.

A török NetDevilz csapat sikeresen eltérítette az internet két nagy infrastrukturális szolgáltatójának néhány domainjét. A cann.net, icann.com, iana-servers.com, internetassignednumbersauthority.com és iana.com webhelyeken egy ideig ez az üzenet volt olvasható:

"Azt hiszitek, hogy ti irányítjátok a domaineket, de tévedtek. Mi irányítjuk őket, beleértve az ICANN-ét is! Nem hiszitek? haha :) (Szerethető Török hackerek csapata)".

Ez nem jelent deface-t, az eredeti oldalak a helyükön maradtak, a támadóknak "csak" a DNS bejegyzéseket sikerült módosítani. Az érintett címek ráadásul nem is a szervezetek elsődleges domainjei. Az SANS ISC szakemberei szerint azonban a támadás intő jel, mivel ha ezekkel a szervezetekkel megtörténhet ilyesmi, akkor senki sincs biztonságban.

 

Nem egyszerű téma az IT-biztonság, lássuk be! Az embernek folyamatosan naprakésznek kell lennie a legújabb trendekkel és fenyegetésekkel kapcsolatban, ha talpon akar maradni, és dédelgetett rendszereink soha véget nem érő ápolásra szorulnak a virtuális világ ezer veszélyével szemben. A feladat nehézségét jól mutatja, hogy a hatalmas hírverés, és a csúcsra járatott vészcsengők ellenére még mindig több fontos, nagy forgalmat bonyolító magyar és külföldi weboldal SSL tanúsítványa érintett a majd' két hónapos OpenSSL hibában.

Legalábbis ez derül ki az Anka Márton oldalán vezetett listából, amelyet az általa fejlesztett, a tanúsítványok minőségét ellenőrző Firefox plug-in találatai alapján vezet. A listára Meister hívta fel a figyelmem, aki a Netbanknál volt kénytelen néhány hosszú kört futni, mire eljutott az illetékesek agyáig, hogy szar van a palacsintában. A levélváltás nagyon tanúlságos, már-már ijesztő látni a rendszergazda által az informatikai rendszerbe vetett korlátlan bizalmat, amely végül is - akár tetszik, akár nem - aláaknázta a rendszer biztonságát. Hibás tanúsítványt ugyanis bárki generálhat. Az azonban mindenkinek az egyéni hozzáállásán múlik, hogy egy új fenyegetés megjelenésekor gondosan ellenőrzi a rendszer védelmét, vagy lényegében egy verzióinformációra támaszkodva homokba dugja a fejét. De még ezt is elkönyvelhetnénk egy apró botlásnak: csak az nem hibázik, aki nem is csinál semmit. A segítő szándékú felvilágosítás hatására ügyvédekkel fenyegetőzni viszont egyszerűen szánalmas. Reméljük, hogy a többi érintett cég felvilágosultabban fog hozzáállni a kérdéshez!

Én megkockáztatom a dolgot, és kiküldök pár levelet. Ha gondoljátok, tegyetek így ti is! Kíváncsi vagyok a reakciókra!

Frissítés (2008.06.29):

Pénteken küldtem egy levelet többek között a MozDev csapatának is, ők válaszoltak elsőként:

"We are actually looking into purchasing a new cert in the near future and we'll ensure that the request is not generated with one of the compromised Debian SSL keys.  Thanks for bringing this to our attention."

Azt hiszem ez a fajta válasz kellene, hogy az etalon legyen!

Frissítés (2008.07.01):

Tegnap, azaz hétfőn a Pannon is válaszolt. A levelüket ellátták mindenféle "Bizalmas" cimkékkel, szóval nem fogom bemásolni, de a lényeg az, hogy ők is korrektül megköszönték a jelzést, és ígéretet tettek a tanúsítványok frissítésére. 

A nem rég megjelent OS X helyi root exploit egyszerűsége sokakat megihletett. A Macshadows.com fórumozói például közzétették egy trójai program vázlatát, amelyből kiindulva gyakorlatilag olyan egyszerűen tudunk mindenféle gonosz kis szkriptet faragni, mintha legóznánk. A dolgot méginkább leegyszerűsíti, hogy az AppleScript nagyon hasonlít a természetes angolra, ezért a különböző kódrészek lényegét egy kis nyelvtudással bárki megértheti (najó, azért egy kevés Mac/*nix tapsztalat illetve JavaScript jártasság nem árt...).

A Macshadows-os srácokat láthatóan nem a károkozás vezérli, egyszerűen jól szórakoznak egymás kódrészletein, és élvezik, hogy egyre több sajtóorgánum figyel fel rájuk. Mondhatnám, hogy olvasmányos az anyag :)

A kis szkriptsuttyók most már biztos izzadnak, hogy kilinkelem-e témát. Bevallom, hezitáltam kicsit, de aztán győztek az elvek: az információnak szabadnak kell lennie! Mindazonáltal aki az így talált kódokat bárki ellen felhasználja, az elkönyvelheti magát szerencsétlen kis galandféregnek.

Köszönöm megértésüket!

Tobias Klein integer túlcsordulásos hibát fedezett fel a Solaris 10 IP multicast szűrőjében. A hiba helyben kihasználható, és alkalmas az operációs rendszer összeomlasztására vagy akár kernel szintű kódfuttatásra is. A hiba egy integer túlcsordulásos sebezhetőségből adódik, ami speciális ioctl() hívások segítségével használható ki. Az érintett rendszerek listáját, és a Sun figyelmeztetését itt találjátok.