Paparazzik a SPOOFEM.COM hívószám-hamisító szolgáltatás segítségével betörtek többek között Paris Hilton és Britney Spears hangpostafiókjába. A kíváncsiskodók a szőke celebritások telefonszámát megadva tárcsázták a szolgáltató hangposta szolgáltatását, mire a telefonközpont azt hitte, hogy valóban a botrányhősnőkkel beszélget. A SPOOFEM.COM bocsánatot kért az érintettektől.

Miután Kína vérbe fojtotta a megszállt Tibetben indult tüntetéseket, néhány "hazafi", aki valószínűleg túl gyáva volt beállni a seregbe szerzeteseket gyilkolni, úgy gondolta, hogy jó lesz belerúgni egyet a tibetiek pártján álló civil szervezetekbe is. A támadók speciális Excel, Word és PDF dokumentumokat küldenek a megcélzott aktivista csoportok e-mail címeire, melyek billentyűzetfigyelőket, és egyéb spyware-eket telepítenek. Az üzenetek látszólag a testvérszervezetektől érkeznek olyan szöveggel, melynek a gyanútlan felhasználók könnyen bedőlhetnek, célzott támadásról van tehát szó.

Bár az anarchisták valószínűleg kicsit másra gondoltak, mikor a címben szereplő idézetet felfújták a panelházak oldalára, én most inkább egy kis összefoglalót szeretnék prezentálni az Egyesült Államokban hadrendbe állított elektronikus szavazógépekkel kapcsolatos biztonsági hírekből:

Feltörték a Sequoia Voting Systems, az amerikai választások elektronikus szavazógépeinek legnagyobb besztállítójának honlapját. A támadóka  blogmotor egy hibáját használták ki és oda nem való üzeneteket helyeztek el.

Az incidenst először az az Ed Felten fedezte fel, aki kollégáival együtt elektronikus szavazórendszerek biztonságát vizsgálja. Őket kérték fel többek között a kedden New Jerseyben zajlott választási fordulóval kapcsolatosan felmerült anomáliák kivizsgálására is, miután a kutatócsoport a ShmooConon a különböző típusó szavazógépek több hibájára is rámutatott.
A Premier Election Solutions gépeivel kapcsolatban pl. olyan hibákra derült fény, amelyek a beépített frissítési lehetőségen keresztül adnak módot idegen kód futtatására speciális nevű fájlok segítségével. Mindazonáltal  J. Alex Halderman, Felten egyik munkatársai úgy nyilatkozott, hogy egy "kis fejlesztéssel" a gépek nagyon jól ellátnák feladatukat. Hát köszönjük :)
A Sequoia rendszereivel kapcsolatban az adott okot gyanakvásra, hogy a biztonsági okokból papíron rögzített szavazatok és a gép által regisztrált válaszok között eltérés mutatkozott. A vizsgálatot végül mégsem tudták elvégezni, a Sequoia ugyanis a licenszfeltételekre hivatkozva jogi lépéseket helyezett kilátásba a kutatócsoporttal és a vizsgálatot megrendelő állammal szemben is hangsúlyozva, hogy a cég már több külső fél bevonásával is végeztet ilyen vizsgálatokat. Ezek még folyamatban vannak...

A FBI "legújabb" módszere a pedofilok lebuktatására az, hogy hívogató linekeket helyeznek el különböző oldalakon, amelyek a várt pornográf tartalom mutatása helyett rögzítik az oda tévedő IP címét. Az Egyesült Államokban törvénybeütköző a kiskorúakat bemutató erotikus tartalmak letöltése és az erre tett kísérlet is. A tavalyi év során több embert siekrült így rács mögé juttatni.

A módszer azonban felvet néhány ijesztő problémát: mi van akkor, ha valaki a vezetéknélküli hálózatomat használva tölt le ilyen tartalmakat? RSnake arra világít rá, hogy egy egyszerű CSRF támadás bárkit a csapdának állított linkekre irányíthat (a referer pedig egyszerűen hamisítható mint azt tudjuk...). A nyomozóiroda munatársai nagyot néznének, ha mondjuk egy trendmicro.com-hoz hasonló oldal összes látogatója hirtelen ott figyelne az adatbázisaikban... Találj egy XSS-t, és tepertess le pár embert a kommandósokkal, nagyszerű lehetőség a swattingra!

Ijesztő!

Az itt is bemutatott kritikus Excel sebezhetőségre nem rég kiadott hivatalos javítás úgy tűnik nem sikerült hibátlanul: az Excel 2003 ugyanis bár a javítás hatására megszabadul a javítani kívánt sebezhetőségtől azonan olyan, a felhasználó által létrehozott Visual Basic alkalmazások esetén, melyek ún. Valósidejű Adatforrásokat (Real Time Data source) használnak számítási hibák léphetnek fel. A Microsoft most javította a foltot, amelyet már csak az eredeti hiba javítása céljából is érdemes telepíteni.

Mint arról beszámoltam, a múlt hónapban kritikus hibát találtak a VMware egyes verzióiban, melynek kihasználásával a guest rendszerek a megosztott könyvtárak funkciót használva hozzáférhetnek a host filerendszeréhez. A javítás most érkezett meg, a frissítés erősen ajánlott!

"A jelek szerint nem elégítette ki a Microsoftot, hogy a 25 milliárdos állami megrendelés eredményhirdetésén a közigazgatási, illetve az oktatási kategóriában is a cég magyarországi disztribútorát és hétszeres gold partnerét hirdették ki győztesnek. Az eredményhirdetés másnapján a Microsoft levében fenyegette meg a Campus és School szerződések alapján beszerzett szoftverek tulajdonosait, hogy ha az állam nem köti újra a szerződéseket, az összes iskolás, hallgató és tanár gépéről haladéktalanul törölni kell a programokat. Az ultimátum végső határideje március 30." - Index

Na többek között az ilyetől tartva miatt hőbörögtünk annak idején. Van pár jó komment a HUP-on is.

Egyszer volt, hol nem volt, volt egyszer egy alkalmazás, úgy hívták, hogy G-Archiver. Ez a kis program szorgosan archiválta sok-sok felhasználó GMail postafiókját, hogy azok offline is elérhetőek legyenek. Történt egy napon, hogy Dustin Brooks, a bitbetyár is úgy gondolta, kipróbálja a kicsi Dzsít, mert bizony ő is szerette volna az összes levelét a merevlemeze biztonségos szektorai közt tudni. Ahogy gondolt, úgy is tett: letöltötte programot, és kimentette a leveleit. De a furfangos Dustin, miközben a bitmező szélén pipázgatott arra gondolt: - Hinnye! Van nekem egy DotNet Reflector a bugylibicskám mellett, csak meg kéne néznem már ennek a G-Archivernek a forráskódját!  Nem is vesztegette az idejét a mi hősünk, hipp és hopp, visszafejtette az alkalmazást!

A G-Archiver felhasználók azóta megváltoztatták jelszavukat, és máig vígan leveleznek. John, a programozó azóta mindenkinek azt bizonygatja, hogy csak véletlenül hagyta benne a csintalan kódrészletet dédelgetett alkalmazásában. De az emberek csak nevetnek rajta, mert nem tudták eldönteni mi a szánalmasabb: egy gonosz programozó, vagy egy hülye?

A GNUCITIZEN tagjai nem kisebb célt tűztek ki maguk elé, mint hogy megalkossák a világ legjobb hacker kézikönyvét! A hatalmas feladatot természetesen nem egyedül akarják véghezvinni: a szcéna minden tagját arra kérik, hogy küldjenek be ötleteket, trükköket, hackeket. Az érkezett anyagok - ha érdemesnek találtatnak rá - a beküldő neve alatt jelennek meg ingyenes, online formában, valamint az ígéretek szerint nyomtatottan is. A kiadás költségeit valamint az egyéb ügyes-bajos dolgokat a GNUCITIZEN állja, a befolyó profit sorsáról viszont a szerzők közösen döntenek.
A leendő szerkesztők olyan összeállítást akarnak készíteni, amely kiállja az idő próbáját, ezért érdemes a beküldött anyagokat is ehhez a kritériumhoz igazítani. Egy kis iránymutatás Petko Petkovtól:

"Olyan cucc, ami általánosan használható. Például, hogy mit tudsz kezdeni a kismettel vagy a tcpdumppal? El tudok képzelni néhány dolgot! Hogyan tudsz paraméterezni egy tesztelési célra készült bash szkriptet anélkül, hogy paraméterfeldolgozást [parsing] végeznél? Ez nagyon hasznos a SIP, HTTP vagy más szöveg alapú protokoll esetében. Az alap dolgok különösen jól jönnek. Sokat számítanak! Mi a különbség a Windowsos tracert és a Linuxos traceroute között? Hogyan térképezel fel egy hálózatot egy teljesen alapjWindows telepítés alól? Hogyan tudsz megírni egy egyszerű COM vírust fordító, vagy más fejlesztőeszköz hiányában? Mi a különbség a különböző szkennelési technikák között? Hogyan buherálsz meg egy beágyazott rendszert TFTP-n keresztül? Exploitok: hogyan fedezed fel őket? Exploitok típusai. Példák! Stb., stb., stb..."

A lehetőségek skálája tehát igen széles, a cikkeket a group kukac gnucitizen.org-ra várják, de egy egyszerű beküldőrendszeren is dolgoznak.

Holland és német kutatók veszélyes támadási formát dolgoztak ki az egy milliárd példányban értékesített kártyával bíró, többek között a holland, londoni, és hong-kongi tömegközlekedésben használt MIFARE Classic RFID rendszerrel szemben. A holland Radboud Egyetem Digital Security csoportjának munkatársai valós környezetben demonstrálták a lehetséges veszélyeket:

Látható, hogy a kártyák könnyű szerrel klónozhatók. Az alapvető probléma az, hogy a gyártó saját titkosító algorutmust használt az autentikációnál alkalmazott kulcsok védelmére, melynek biztonságát kizárólag az garantálta, hogy az algoritmus a nyilvánosság számára ismeretlen volt. A Virginiai Egyetemen dolgozó német kutatóknak - Karten Nohlnak és Henryk Plötznek - azonban a hardver architektúra vizsgálatával sikerült visszafejteniük az algoritmust, majd ugyanezt sikerült véghezvinni a hollandoknak is, a németek eredményeire támaszkodva, de az autentikációs protokoll hibáinak kihasználásával.
Mint kiderült, egy kicsit módosított LSFR (Linear Shift Feedback Register) algoritmusról van szó.  A kulcsok 48 bitesek, nyers erővel tehát kb. 9 óra alatt megfejthetőek. Azonban a hitelesítő protokoll hibájából adódóan ez az időigény jelentősen javítható: váratlan bemenetek hatására ugyanis a rendszer olyan válaszokat ad, melyekből a kulcsok kikövetkeztethetők (ez látható a videó elején)!
A támadás olcsón és egyszerűen kivitelezhető. A MIFARE kártyákat a tömegközlekedésen kívül sok más beléptetőrendszerben is alkalmazzák, a bemutatott lehetőségek főleg ezekre lehetnek veszélyesek. Az érintett kártyák kibocsátója, az NXP (régebben Philips Semiconductors) néhány nappal ezelőtt egy új, megerősített védelemmel ellátott kártyaverzióval állt elő, amely az igéretek szerint megoldja az említet problémákat, és könnyű átállást tesz lehetővé a régi, sebezhető rendszerekről.

Egy napok óta zajló, több tízezer webhelyet érintő támadáshullám áldozata lett a Trend Micro. Úgy tűnik a biztonságtechnikával foglalkozó cégek sincsenek biztonságban... A támadók úgy tűnik, ASP technológiával készített portálokat támadnak, melyeken olyan kódokat helyeznek el, melyek több átirányításon keresztül próbálnak meg főként ismert ActiveX exploitokat futtatni, majd olyan kódokat installálni, melyek különböző online játékokban próbálják meg a támadók oldalára fordítani a "szerencsét".

A támadássorozat közvetlen előzménye egy főleg phpBB fórumokat célzó, 200.000 oldalt érintő tömeges SQL injectiont használó támadássorozat, melynek hatását az alábbi videó szemlélteti:


Nem lehet tudni, hogy a két támadási hullám összefügg-e egymással, mert bár időben rendkívül közel zajlottak le egymáshoz, de a módszerek és az exploitok által szállított "hasznos teher" is jelentősen eltérő volt.

Ha valakit érdekel, itt van a beszűrt JavaScript kódok egyik variánsa (thx Ph4nt0m):

Ma mókáztam egy kicsit az Internet Explorerrel és kipróbáltam az új IE 8 beta-t is. Emellett össze is vetettem az új biztonsági lehetőségeket az IE7-tel. És mindkét verzóról sokat lehet beszélni. A használhatóságról inkább ne kérdezzetek. Szerintem borzalmas. Nem tudom észrevettétek-e, de az egérrel történő szövegkijelölés igazi kihívásáá vált. Valami elég furcsa határolókat használnak, mert legtöbbször olyan dolgokat is kijelölsz, amiket nem is akartál. Tipikusan Microsoft, de térjünk át a biztonságra! Már biztos hallottál vagy olvastál az új, XDR nevezetű lehetőségről, melynek segítségével domain-közti kéréseket hajthatunk végre. Ha mégsem,  most  röviden  elmagyarázom a dolog lényegét néhány más új lehetőség mellett, mielőtt belemegyek az IE7 és IE8 "visszafejtésébe".

Dmitri Ivanovich Golubov, alias Script, a 2005-ben bankkártyacsalások miatt elítélt feketekalapos hacker megalapította az Ukrán Internet Pártot.  Golubov a CarderPlanet.com című weboldal  üzemeltetése kapcsán vált hírhedté. Az oldalon több millió hitelkártya adataival kereskedtek, millió dolláros kárt okozva ezzel a bankvilágnak. Ennek ellenére az egyes helyeken keresztapának is titulált csaló csak hat hónapot töltött elzárva, állítólag politikai nyomásnak köszönhetően. Ha azonban Gobulovnak pártjával sikerül bekerülnie a parlamentbe, mentelmi jogának köszönhetően az ukrán törvények szerint jó ideig nem kell majd tartania a nyomozóhatóságoktól.
Eddig is gondoltam, hogy politikusnak lenni elég jó üzlet, de most azt hiszem a lehetőségek egy új dimenziója nyílt meg előttem...

Nézegetem a statisztikákat és azt látom, hogy a méltán népszerű, általam is rendszeresen látogatott napirajz.hu-ról érkeztek ide jó sokan. Persze érdekelt, hogy mi köti össze a BuheraBlogot a durva tintenpenkalandokkal? Hamar kiderült, hogy ez.

Remélem, Grafitemberék hamar egyenesbe jönnek, a tolvajoknak pedig a képregényben vázolthoz hasonló sors jut. A tanúlság legyen az mindannyiunk számára, hogy bár az ilyen esetek szokatlannak, valószínűtlennek tűnnek, de észben kell tartanunk, hogy ez már a 21. század, és a gazemberek már nem mindig egy sötét kapualljban, bikacsökkel a kezükben várnak arra, hogy megkopaszthassanak minket!

A probléma egyébként ott van a rendszerben, hogy a tervezők nem gondoltak arra, hogy a kommunikációs csatornát titkosítani kellene, ez pedig - bár bajt eddig nem okozott - komoly figyelmeztetés az ICD* gyártók számára, akiknek jó lesz minél gyorsabban megtanulniuk, hogy az orvosi eszközök és az informatikai módszerek egybeolvasztásakor az új lehetőségek kiaknázása mellett számolni kell azok biztonsági kockázataival is.

*ICD: Implentable Cardic Defibrillator

A MS08-014 és CVE 2008-0081 jelű sebezhetőségek egy incializálatlan stack változóból adódó Excel sebezhetőségről szólnak. Már valószínűleg láttál ehhez hasonló figyelmeztetéseket a fordítótól:

Ma kezdődött el A Cyber Storm II nevű szimuláció, amely Ausztrália, Kanada, az Egyesült Államok, az Egyesült Királyság, és Új-Zéland nemzetbiztonságát, többek között kormányzati IT infrastruktúrájának védelmét hivatott letesztelni. Az akcióban az amerikai Nemzetbiztonsági Minisztérium vezényletével több mint száz cég (többek között a Microsoft, a McAffee, a Telstra és a Verzion) és egyéb szervezet (például az FBI és a Védelmi Minisztérium) vesz részt.
A vizsgálat a résztvevők reményei szerint fényt derít a legfontosabb nemzetbiztonságot érintő problémákra, valamint olyan tapasztalatot nyújt a hardver- és szoftvergyártóknak, melyek segítségével még jobbá tehetik termékeiket.

Federico Biancuzzi, a SecurityFocus munkatársa tizenkét EU tagállam jogászait kérdezte a "Full-Disclosure", azaz a különböző szoftver sebezhetőségek teljes nyilvánosságrahozatalának helyi jogi szabályozásáról. Magyarországgal kapcsolatban Suba Ferenc válaszolt:

Az Aurigma ActiveX képfeltöltő szoftver puffer túlcsordulásos hibáját kihasználva támadják a  Facebook és a MySpace felhasználóit. A hibát kihasználva teljes mértékben átvehető az irányítás az áldozatok gépe fölött. Az exploit kínai oldalakon bárki által használható "toolkit" formájában is terjed, tömeges próbálkozások várhatóak. Jó lesz vigyázni, főleg a Windows felhasználóknak.

Adam Boileau új-zélandi kutató a sindey-i Ruxconon bemutatott eszköze újabb szép példája a fizikai hozzáféréssel rendelkező támadók elleni védekezés reménytelenségének, a bejelentkezőképernyők és képernyővédő-jelszavak által nyújtott biztonság látszólagosságának, valamint annak, hogy hogyan válik a "fícsör" a hacker kezében fegyverré.
Boileau már 2006 óta végzett kísérleteket a Firewire porton keresztül történő memóriahozzáféréssel. Kutatásai a (laikusok számára talán kevésbé) beszédes nevű  winlockpwn programban teljesedtek ki, melynek segítségével Firewire porttal rendelkező XP SP2-es gépeken szerezhető adminisztrátori jogosultság. Ehhez mindössze annyit kell tenni, hogy egy winlockpwnt-t futtató laptopot csatlakoztatunk a célpont nagy sebességű portjára, és lefuttatjuk a megfelelő parancsot - a támadás másodpercek alatt kivitelezhető. A hozzáférhető leírás alapján valószínűleg hasonló támadás véghezvihető szinte bármilyen más oprációsrendszerrel szemben is, ehhezszintén Boileau által fejlesztett speciális függvénykönyvtárak állnak rendelkazésre.
A módszer a Firewire physical-memory-DMA lehetőségét használja ki, tehát tulajdonképpen nincs szó valódi hibáról, csak egy ismert tulajdonság újragondolásáról. A Microsoftot már évekkel ezelőtt értesítették a problémáról, de a fennti okok miatt a gyártó nem tartja szükségesnek javítás kiadását. Szakértők megoldásként a Firewire port alapértelmezett letiltását javasolják.

A linkért köszönet Rambonak!

Az utóbbi időben keveset hallani jófajta böngészőhackekről, talán végeleg kifilézték a  Firefoxot a srácok... Ronald viszont friss hús után nézett, és talált is egy távolról kihasználható hibát az Internet Explorer 7-ben, melynek segítségével tetszőleges fájl tartalma kiolvasható az áldozat merevlemezéről. Pontosabban tetszőleges fájl első sora, ugyanis a PoC kód XML fájlként próbál értelmezni egy nyilvánvalóan rosszulformázott fájlt, majd a hibaüzenetet kiolvasva megkapja a hibás sort, ami jelen esetben éppen az áhított információ. Frappáns ötlet, még ilyet ! :)