A Symantec tegnap sárgára emelte a ThreatCon szintet, miután egy új, egyes becslések szerint eddig 250.000 weboldalt érintő tömeges SQL injection támadás indult meg, amely egy eddig foltozatlan Flash hibát használ ki. A Flash természete miatt az exploit böngészőfüggetlen, IE-vel ugyanúgy beszopható, mint Operával. Részeletes elemzést a támadásról Ronald oldalán találtok.

Ja, és persze ez is Kínából jön...

A téma - talán nem véletlenül - nagyon is aktuális: A Spiegel szombati száma arról számolt be, hogy Németország legnagyobb telekommunikációs szolgáltatója, a Deutsche Telekom a gyanú szerint megsértette a telekommunikáció bizalmasságáról szóló törvényt, és a csorbította a sajtószabadság alkotmányos jogát, mikor az általa rögzített telefonbeszélgetéseket elemzésnek vetette alá abból a célból, hogy fényt derítsen rá, melyik alkalmazott szivárogtatott ki információkat a sajtónak. A helyzetet súlyosbítja, hogy a feladatot egy külső tanácsadó cégre bízták, akik ezáltal ki tudja milyen bizalmas információkhoz férhettek hozzá. Szép dolog tehát a törvényi szabályozás, de a Nagy Testvért ez sokszor nem tartja vissza, és bár erre az esetre fény derült, ki tudja, hány hasonló "leskelődés" maradt eddig észrevétlen?

A TÁP Színház témábavágó előadását ma 16:00-tól tekinthetitek meg a moszkva téren. A teljes idézett cikk a TASZ oldalán olvasható + itt az Indexes változat is.

Frissítés: Most látom, hogy Bruce Schneier is most posztolt egyet a mobiltelefonok nyomonkövetéséről.

Mindenki szeretné fontos adatait biztonságban tudni, egy hirtelen érkező diszkhalál, de akár egy mostanában erre felé is egyre gyakrabban előforduló vihar, ne adj' Isten tornádó felbecsülhetetlen károkat okozhat az egyszeri ember digitálisan tárolt adataiban, és csak kevesek engedhetik meg maguknak, hogy a híres-neves Kürt Kft-vel támasztassák fel halodd adathordozóikat.
Logikusnak tűnik, hogy fontos munkáinkat, levelezésünket, pornógyűjteményünket rendszeresen elmentsük, lehetőleg egy távoli, jól védett helyre, bízva abban, hogy nem ugyanakkor éri atomtámadás a mentési pontot, mikor belecsap a gépünkbe a villám. Ezen igény kielégítésére több internetes szolgátlatás is indult, melyek legtöbbje hatalmas tárhelyet, alacsony árakat, és kivételes biztonságot ígér. Nos, a Heise-Online és a német c't magazin tesztje szerint ez utóbbi igéret legfeljebb akkor teljesül, ha a "kivételes" kategóriába a "kivételesen rossz" is beletartozik.

A Londonban megrendezésre került EUSecWest konferencián Rich Smith, a HP Rendszerbiztonsági Laborjának munkatársa egy új típusú támadási módot mutatott be, melynek segítségével hardver eszközök tehetők tönkre szoftveres úton (Buherátor teszt, +1 pont ;), adott esetben akár az Interneten keresztül is.
Egyre inkább hajlamosak vagyunk róla megfeledkezni, de egyre jobban körbevesznek minket a különböző, mindennapi használati tárgyakba épített beágyazott számítógépek. Ilyen rendszerek buherálásával viszonylag kevesen foglalkoznak, talán éppen ezért a gyártók nem helyeznek akkora hangsúlyt az ilyen termékek biztonsági tesztelésére. Persze ezeknek a  vezérlő számítógépeknek a lelkét is valamilyen szofter - a firmware - hajtja, a kibocsátó cég pedig szeret lehetőséget biztosítani saját maga számára ennek a szoftvernek a frissítésére arra az esetre, ha pl. egy későn kiderülő hardver hibát kellene szoftveresen orvosolni. A frissítés sok esetben külső hálózatról is történhet, ennek ellenére a frimware frissítéshez sokszor nincs szükség autentikációra.
Smith ennek a rossz gyakorlatnak a veszélyeire akar rámutatni. Ki is fejlesztette a PhlashDance (mennyire jó! :) névre keresztelt fuzzert, amely véletlenszerű adatokkal bombázza a beágyazott rendszereket majd a kapott válaszokból igyekszik kimutatni a különböző biztonsági réseket.
Egy ilyen, a hardver maradandó működésképtelenségét okozó támadás Smith szerint felérhet egy DDoS akcióval, ráadásul nem igényel annyi erőforrást, ami nagyon vonzó lehet a rossz fiúk számára. HD Moore, és a Hack a Day bloggerei viszont úgy gondolják, hogy az eszköz tönkretételével szemben sokkal hasznosabb lehet egy profitorientált támadó számára, ha hátsó kaput csempész a szoftverbe, melyen keresztül pl. lehallgathatja az azon átmenő adatokat. Egy biztos: a beágyazott rendszerek gyártóinak felül kell vizsgálniuk eddigi termékeiket, és a jövőben több figyelmet kell fordítaniuk az eszközök védelmére.

Ilyenkor jön rá az ember, hogy milyen hasznos is a címben szereplő elv: az iráni ISP-k megszüntették a hozzáférést egy sor nőjogi aktivista, valamint az államot bíráló weboldalhoz. A helyi törvények szerint ugyanis ezt kell tenniük minden iszlám-ellenes weboldallal. A blokkolt oldalak között olyan félelmetes veszedelmeket rejtő site-ok szerepelnek, mint az egymillió aláírás összegyűjtését célként kitűző, a nők jogainak kiterjesztését sürgető "One Million Signatures", vagy a Shir Zanan, női sporteseményeket szervező portál.
Irán egyébként a legaktívabb bloggerországokhoz tartozik, így kissé nehéznek ígérkezik a nép szájának befogása...

Az Inquirer cikke alapján.

Megszokhattuk, hogy általában a népszerű Abobe Readerrel kapcsolatban érkeznek a rossz hírek. Emiatt jó ötletnek tűnhet egy konkurens terméket, pl. a Foxit Readert választani PDF olvasásra. Nem szabad azonban elfelejtenünk, hogy ez is csak egy program a sok közül, és programozói ugyanazokoat a hibákat követik el, mint a többi gyártó emberei.

A Foxit Readerben most a beágyazott JavaScript feldolgozó egy hiányosságát lehet kihasználni. A util.printf() függvény format stringjében lebegőpontos azonosító használatakor a program nem megfelelően hajtja végre a méretellenőrzést, így pedig káros kód futtatható le a speciális PDF dokumentumot megnyitó felhasználó számítógépén.

Úgy érzem itt az ideje, hogy jelentést tegyek a House of Hackers magyar tagozatának állapotáról.

A Hungrian Hackers csoport tagjainak száma a kezdeti gyors emelkedés után 31 főnél stagnál. Ez a többi csoporthoz viszonyítva kifejezetten szép szám, és az én várakozásaimat is többszörösen fölülmúlta. Ezen kívül a magyar csoport aktivitása jelenleg a legnagyobb, a csoportlistában első helyen állunk.

A csapat is kezd szépen összerázódni: több pörgős lokális fórumtéma is indult, melyek keretén belül elkezdtük jobban megismerni egymást, és úgy tűnik, hosszú távú együttműködésekre számíthatunk.
Informatus bejegyezte a hohh.org (House of Hungarian Hackers) domaint, melyet felajánlott a közösség céljaira. A fő felhasználási területen még gondolkozunk, de már akadt néhány projekt (mint ez is), melyek valószínűleg ezen a tartományon fognak helyet kapni.

Persze az egész közösség hiteltelenné válna, ha a tagok nem esnének neki a portálmotor hackelésének. Külön öröm számomra, hogy a legérdekesebb hibákat eddig a hazai fórum keretein belül láthattam, Raavenkroft tollából.

Szóval csak ajánlani tudom a csatlakozást azoknak, akik eddig még csak külső szemlélői voltak a történéseknek!

A sokat támadott HackerSafe* tanúsítványt kiadó, azóta a McAffee által felvásárolt Scan Alert egykori alelnökét Brett M. Oliphantot több rend beli csalással és sikkasztással vádolja Indiana állam ügyészsége. A vádak szerint Oliphant fedezet nélküli kötvények(?) segítségével  több mint 1,2 millió dollárt csalt ki számos vállalkozásának befektetőiből, melynek nagy részét saját (magas) életszínvonalának fenntartására költötte, egy részét pedig visszafizette azoknak, akik gyanakodni kezdtek.  Az egykori alelnök ezen kívül legalább nyolc nőt is behálózott, akik segítettek neki vállalkozásai felfuttatásában, egészen addig, amíg Oliphant egyszer csak túl forrónak nem érezte a talajt, és lelépett, hatalmas tartozásokat hagyva maga mögött. Itt olvashatjátok az egyik pórul járt nő történetét, aki végül Brett testvérében, Bryanben lelt társra. Bryan segített Brettnek befektetőket találni, és saját pénzéből is támogatta testvére cégeit, majd miután fény derült a csalásokra, teljesen tönkrement, most pedig neki is bíroság előtt kell felelnie a történtekért. Tiszta szappanopera...

* A HackerSafe tanúsítványt - természetesen tisztes fizettség fejében - azok a weboldalak kaphatják meg, amelyek sikerrel teljesítenek egy rendszeresen végzett automatizált biztonsági tesztet. A tanúsítási eljárást sok bírálat érte, mivel a XSS-re lehetőséget adó hibákat a teszt során egyszerűen nem veszik figyelembe, holott egy ilyen sebezhetőség igen komoly fenyegetést jelenthet, pl. hitelkártya információkkal dolgozó weboldalak esetén.

Erre már tényleg nem nagyon tudok mit szólni: néhány macskazabáló szarjancsi sikeresen lenyúlt némi pénzt a Vöröskereszt számlájáról abból a pénzből, amit a nagylelkű adakozók éppen a bitmágus kis férgek földrengés súlytotta honfitársai számára gyűjtöttek össze. A támadók egyébként a Vöröskereszt egyik oldalának biztonsági hiányosságát kihasználva fértek hozzá a számlához, ahonnan a pénzt négy különböző ország bankjaiba utalták. Remélem ebben az esetben a kínai hatóságok kicsit hatékonyabban járnak el, az elkövetők pedig mennek a gulágba követ fejteni!

Öt embert vett őrizetbe a spanyol rendőrség, akiket azzal gyanúsítanak, hogy a D.O.M deface-csapat tagjaiként két év alatt mintegy 21000 weboldalt írtak át. A nyomozás az után indult meg, hogy a csoport a spanyol választások után támadást indított az egyik helyi politikai párt weboldala ellen. A letartóztatottak közül ketten még csak 16 évesek (fiatalság bohóság...). A D.O.M által jegyzett deface-ek archívuma itt található.

... az egyik feljövőben lévő ASP SQL injekt fertőzést. A Redmond - The Independent Voice of the Microsoft IT Community (A Microsoft IT közösségének független hangja), a Redmond Developer News és a Redmond Channel Partner Online oldalaiba is sikerült kínai támadóknak kártékony kódokat betölteni, így a népszerű oldalak jó ideig fertőző gócként funkcionáltak.
Már néhányszor mondtam, de nem lehet eléggé hangsúlyozni: senki sincs biztonságban!

Aviv Raff távoli kódfuttatásra alkalmas hibát fedezett fel az Internet Explorer 7-es és 8 beta verzióiban. A problémát az okozza, hogy a "Linktábázat nyomtatása" egy olyan új HTML oldalt hoz létre, melyet a böngésző a Helyi Zónában futtat, de az oldalra kigyűjtött URL-eket nem ellenőrzi megfelelően, így azokba veszélyes HTML kód szúrható be, ami aztán lényegében korlátozások nélkül futhat az áldozat számítógépén.

A hiba naprakész Windows XP-n kihasználható, de Vistán az alapértelmezett védőmechanizmusok miatt csak komoly felhasználói közbenjárással lehet a támadást véghez vinni. A "Linktáblázat nyomtatása" funkció ráadásul alapértelmezetten ki van kapcsolva, ezért a hiba kihasználhatósága jelentősen romlik.

2006 szeptember 17 és 2008 május 13 között minden fajta OpenSSL-sel kapcsolatos véletlen érték mindössze egy folyamatazonosítóból generált hash volt Debian és Ubuntu rendszereken, valamint olyan más disztrókban, amelyek ezek valamelyikére alapulnak.

Ez gyakorlatilag azt jelenti, hogy összes kulcsod (RSA, DSA, akármi), amit ezeken a rendszereken generáltál ezen időszak alatt, komprommitált. És az összes DSA kulcsod is komprommitáltnak tekintendő, függetlenül attól, hogy hol és mikor generáltad, ha egy rossz rendszeren aláírtál vagy autentikáltál vele. Lásd a Wikipedia DSA szócikkét: ha k ismert, akkor x (a titkos kulcs) kiszámítható s-ből.

Ezek a sorok azért kerültek eltávolításra, mert inicializálatlan adat használatára vonatkozó figyelmeztetéseket generáltak a Valgrind és Purify eszközökben bármilyen OpenSSL-lel kapcsolatos kóddal kapcsolatban. Egy erről szóló visszajelzés az OpenSSL csapat felé olvasható itt. Ennek a kódnak az eltávolítása az OpenSSL-ben használt  Pszeudo-Véletlenszámgenerátor (PRNG) seeding folyamatának teljes tönkretételéhez vezetett. A véletlen adat kiinduló seedhez keverése helyett az egyetlen "véletlen" adat ami felhasználásra került, az aktuális folyamat azonosítója lett. Linux platformon alapértelmezetten a maximális folyamatazonosító 32.768, ami nagyon alacsony számú kiindulási értéket eredményez a PRNG műveletek számára.

A hétvégén újabb tömeges JavaScript injektáló hadjárat indult ezúttal régi verziójú phpBB fórumok ellen. A Google eddig 278.000 fertőzött oldalt tart számon. A beillsztett szkript videó kodeknek álcázott Zlob trójait próbál a látogatók gépére juttatni. phpBB tulajdonosoknak erősen ajánlott a legújabb verzióra frissíteni!

Ha eddig nem nézegettétek volna a nagy barna Google Reader buborékot oldalt, hát most itt a remek alkalom, hogy elkezdjétek, plusz szeretném mindenki figyelmébe ajánlani a megosztott híreim különálló oldalát, ami például a nem rég bekerült Solaris sebezhetőség és Debian hiba mellett külön feeddel, valamint csudajó nindzsás dizájnnal is büszkélkedhet ! :)

Egy újságinterjúban az Egyesült Államok légierejének egyik ezredese, Charles Williamson egy katonai célú botnet kiépítését szorgalmazta. Érvként hozta fel, hogy egy tavaly az Észtországot célzóhoz hasonló támadásra jelenleg infrastruktúra hiányában nem tudnak a kiberfronton reagálni, és nem rendelkeznek megfelelő elrettentő erővel sem a kibertámadásokkal szemben. A tiszt úgy gondolja, hogy a hálózatot kiöregedett PC-kből lehetne összeállítani, azzal valószínűleg laikusként nem számolt, hogy honnan lesz meg a megfelelő sávszélesség.
Williamson ezredes ugyanakkor elismerte, hogy egy ilyen rendszer használata komoly nemzetközi jogi vitákat eredményezhet, ugyanis az Államokra potenciálisan veszélyes zombiseregek tagjai sokszor szövetséges országokban vannak, az pedig elég rosszul veszi ki magát, ha le kell lőni a legjobb spanok gépeit.
Én azt mondanám Williamson úrnak, hogy hagyja a dolgot a titkosszolgálatokra: van egy olyan gyanúm, hogy ha nem is működik, már rég óta bevethető állapotban van egy-két  furfangos féreg, természetesen az antivírus gyártók szemhunyásával támogatva. Persze biztos én vagyok a paranoid összeesküvésgyártó :)

Minden harmadik chilei állampolgárnak szerepeltek személyes adatai abban a listában ami a múlt hét végén került nyilvánosságra. A fájl tartalmaz személyi igazolvány számokat, címeket telefonszámokat, e-mail címeket és oktatási háttereket. Az információk vélhetően az ország oktatási minisztériumából, áramszolgáltatójától és katonaságától származnak, a hacker valószínűleg ezekhez a rendszerekhez szerzett hozzáférést. A listán szereplők között van a chilei elnök egyik lánya is. A nyilvánosságra került dokumentumban a közzétevő azt állítja, hogy az adatok nyilvánosságrahozatalával az állami informatikai rendszerek biztonsági hiányosságaira akarta felhívni a figyelmet.

SoBe, a botmester 16 éves volt, amikor az FBI először házkutatást tartott szülei Floidai házában. Társát és mentorát, Jeanson James Anchetat 57 hónap letöltendő szabadságvesztésre ítélték több rend beli csalásért. SoBe jelenleg háziőrizetét tölti, a rá kiszabott büntetés fiatal kora ellenére nem publikus, de szakemberek 12 és 18 hónap közötti börtönbüntetésre saccolnak. A történet részleteit, és a lebukott botvezér gondolatait elolvashatjátok a The Register cikkében.

Az Amerikai-Brazil Információbiztonsági Kutatócsoport (INSERT) jelentése szerint átléphető a Gmail 500 címzett/üzenetes üzenetküldési limitje és a szolgáltatás egy botnetéhez mérhető hatékonyságú spamforrásként használható. A kutatóknak a levéltovábbítási szolgáltatás segítségével 11 üzenet/másodperces kimenő sebességet sikerült elérniük 4000 címzett felé (elvileg korlátlan mennyiségű üzenet kiküldhető), gyakorlatilag nyílt SMTP-relay-nek használva a Google szervereit. A kifejlesztett PoC program arra is lehetőséget ad, hogy meghamisítsák a levelek fejléc mezőit, ezért a módszer adathalász támadások kivitelezésére is alkalmas. Mivel minden üzenet a Gmail általában megbízhatónak tartott SMTP szerverein fut keresztül, a fekete- illetve fehérlistás szűrőeljárások nagyrészt hatástalanok az így kiküldött levelekkel szemben.
A csapat értesítette a Google-t a problémáról, és addig nem kívánnak további információt kiadni a hibáról, amíg nem kapnak megfelelő visszajelzést a cégtől. Annyit azonban elárultak, hogy a hiba kihasználásához több számítógépre, valamint az SMTP és a HTTP protokollon keresztüli kommunikációra is szükség van.

Nagyon csúnyán szerteszéjjel lett hackelve többek között a hírhedt cDc és az Anonymous csapat is, a megjelent papíros tartalmazza a bandák tagjainak jelszavait illetve jelszóhasheit, e-mailjeit, privát IRC beszélgetéseit, a megtört rendszerek bash history-ját, a webalkalmazások konfigurációs fájljait, stbstbstb... ez nagyon durva alázás! Persze ha nem kamu... De már csak az információmennyiség alapján is úgy gondolom: nem az.

Személy szerint nem fáj a szívem túlzottan egyik formációért sem: a cDc "munkái" az utóbbi időben jóval bármelyik wannabe hacker klub találmányainak színvonala alatt maradtak, az Anonymous féle önfényezéstől meg alapjáraton rosszul vagyok, nem beszélve az undorító akcióikról. Így talán mindkét csapat észbekap egy kicsit...

De a megdőlt rendszerek sora itt még nem ért véget:  elesett a g00nz.net, a BlackCode és még néhány IT-biztonsági cég is. A zine nagyon hosszú, eddig csak szemezgetni volt időm belőle, de mindenkinek ajánlom, hogy nézzen bele: érdekes visszaidézni a régi szép (?) időket, amikor még nem a pénz mozgatta a szakmát, hanem a becsvágy.