Saar Drimer, Steve J. Murdoch és Ross Anderson, a Cambridge Egyetem kutatói olyan eljárást fejlesztettek ki, melynek segítségével egy okoskártyaolvasó terminál percek alatt átalakítható úgy, hogy a rajta áthaladó összes kártyainformáció és PIN-kód lehallgathatóvá válik. Ráadásul a módszer gyakorlatilag bárki által könnyen és legfőképpen olcsón kivitelezhető:

*Egy kis érdekesség: durvának tartottam ezt a számot egy ekkora ország esetében (a világranglistában Dél-Korea egyel nagyobb csak Magyarországnál!), úgyhogy megkérdeztem a Wikipediát, hogy mi a helyzet: az országban kb 50 millióan laknak, ez a hazainál közel ötszörös népsűrűséget jelent!

A Websense kutatói a Yahoo! és a Windows Live szolgáltatásokat fenyegető kártevők után  Gmailre specializálódott anti-CAPTCHA botokat fedeztek fel az Interneten. A támadás most még kifonomultabb, mint az eddigi esetekben: a botok két hosthoz küldik el a CAPTCHA-ra vonatkozó információkat. Ezek közül az egyik az eddigiekhez hasonlóan működik, a másik viszont a teljes kép helyett annak darabjai alapján próbálja kitalálni a rajta szereplő szöveget. Bár ennek a második módszernek a hatákonysága a jelek szerint igen alacsony, elképzelhető, hogy a gépek képesek egymástól tanulva fejleszteni a maguk algoritmusait.
A módszer hatákonysága nagyjából 20% körül van, ami bár még mindig elég maga, azért mutatja, hogy a Gmail CAPTCHA-i az eddigieknél nagyobb fejtörést okoznak a spammereknek. A Websense oldalán remek elemzés olvasható a módszerről.

A Critical Security csapata olyan hibát talált a VMware egyes Windows-os változataiban, amely lehetővé teszi, hogy a támadó a guest rendszerből fájlokat írjon a host nem megosztott (akár rendzser-)könyvtáraiban. Az összes olyan desktop verzió (Workstation, Player, ACE) érintett, amely tartalmazza a Megosztott Könyvtárak funkciót. A hiba kihasználásához engedélyezni kell a megosztott könyvtárakat, és kell hogy legyen legalább egy írási joggal megosztott könyvtár a host operációs rendszeren.
A támadás lényegében egy kb. egy éves hiba kihasználásának továbbfejlesztése. A problémát az okozza, hogy a megosztott könyvtárakhoz tartozó PathName paraméterben a rendszer azelőtt ellenőrzi  a '..' string meglétét (ami nyilván directory traversal támadáshoz vezethetne), hogy egy muti byte-wide character átalakítást végezne rajta, ezáltal lehetővé válik olyan karakterláncok megadása, melyek csak az átalakítás után tartalmazzák a veszélyes karakterszekvenciát. A Critical Security oldalán remek összefoglaló olvasható az exploit készítésének folyamatáról.
A VMware két hét múlvára ígér javítást, addig is célszerű letiletani a megosztott könyvtárakat.

"2008. szeptember 20. és 2008. szeptember 21. között kerül ötödik alkalommal megrendezésre a Hacktivity 2008 konferencia, melynek színhelye Fonó Budai Táncház lesz. A Hacktivity konferencia hagyományosan az információbiztonsági szakma hivatalos és alternatív képviselőit hozza össze a terület iránt érdeklődőkkel, kötetlen, de mégis ismeretterjesztő és néha mélyen technikai formában."

Az teljes, elsősorban előadni kívánóknak szóló tájékoztató ide kattintva tölthető le.

"A Cult of the Dead Cow (CDC) nevű hackercsoport a Google népszerű keresőjére építve elkészítette speciális megoldását, amely weboldalak hibáira világít rá. Az eszközt hackereknek és cégeknek egyaránt ajánlják."

Pár napja a GNUCITIZEN egyik cikkében említés szintjén olvastam erről a Goolag Scannerről, de valahogy nem keltette fel a dolog az érdeklődésemet, aztán ma EQ pajtás szólt a fennt idézett írásról (a címet is ő ihlette), így hát bootoltam egy Windowst, és kipróbáltam mit is tud a kicsike:
Bár alapvetően szkeptikusan álltam hozzá a dologhoz, az azért kecsegtetett némi jóval, hogy .NET framework kell a drága alá, gondoltam lesz valami komoly fícsör, amitől majd hanyattvágom magam. Nem lett. A program gyakorlatilag nem más, mint egy XML feldolgozó, csicsás interface-szel. Az ember kiválaszthat néhány jól ismert dork-ot (sebezhető hosztokra irányító keresőkifejezést), aztán a program lefuttatja a megfelelő kereséseket a Google-n, az eredményt pedig kiértékeli, majd megmondja a frankót. Aztán vagy jön a Google-től az IP ban vagy nem. De általában jön.
Ehhez viszont nem kéne se .NET, se Windows, se 940 KB. Ha pedig valakinek a Google hacking lenne új, azt szintén ki kell ábrándítanom: a módszer nagyjából a Google felemelkedése óta ismert és használt. Minden valamire való hacker csinált már hasonlót, ehhez nem kell Johnny I Hack Stuff-nak lenni.
Persze lehet hogy valakinek jól jön majd egy ilyen eszköz a szerszámosládában sőt, lehet hogy én is fogom használni egyszer-kétszer, de az biztos hogy itt egyelőre nincs semmi korszakalkotó.

Ja igen, a GPL licenszről meg annyit, hogy a forráskódot tartalmazó archívum jelszóval védett, illetve a PacketStormos kiadás kicsomagolható ugyan, de az csak az installerhez tartozó fileokat tartalmazza. Köszönjük!

Frissítés:
Vessetek egy pillantást a dorkokat tartalmazó XML fájlra (Goolag Scan\Dorkdata\gdorks.xml):

<Dork>EarlyImpact Productcart</Dork>
<Category>Advisories and Vulnerabilities</Category>
<Query>inurl:custva.asp</Query>

Van ezeknek bármi fogalmuk arról, hogy mire jók az adatszerkezetek?!

Frissítés 2:
A GNUCITIZEN megcsinalta ugyanezt, csak nem kell hozzá se .NEt, se Windows...

Tegnap ért véget a BlackHat "konferenciasorozat" washingtoni rendezvénye, ahol úgy tűnik, megint nem szarral gurigáztak:

A Princeton egyetem kilenc kutatója most publikált módszerének segítségével olyan széles körben használt merevlemez-titkosítási eljárások is feltörhetők, mint a Vista BitLockere, az OS/X-es FileVault, vagy a Linuxos dm-crypt.

A módszer kulcslépése az, hogy a célgép memóriáját lehűtjük, így az - az általános vélekedéssel ellentétben - áramellátás nélkül is viszonylag hosszú ideig megtartja tartalmát. Ez a viszonylag hosszú idő egy fagyasztóspray által produkált -50 fok esetén nagyjából tíz perc, folyékony nitrogént használva (-196˚C) pedig órákban mérhető (sőt, szobahőmérsékleten is tekintélyes mennyiségű információ megmarad akár egy percig is)! A lefagyasztott memóriamodult egy megfelelő (memóriatörlést nem végző) gépbe áthelyezve kiolvashatók az eredetileg az operációs rendszer által védett adatok, így a titkosító kulcsokra vonatkozó információk is.
Bruce Schneier blogjára rengeteg komment érkezett a tanulmánnyal kapcsolatban, melyek között jónéhány olyan módszer felbukkan, amellyel kivédhető lenne ez a fajta támadás, de azt hiszem a dolog lényegére az a hozzászóló tapintott rá, aki olyan kérdéseket tesz fel, hogy vajon mióta tudnak erről a lehetőségről a különböző nemzetbiztonsági és hírszerző szervezetek, valamint hogy tudnak-e erről pl. a különböző kormányszervek, akiknek valóban szükségük lenne védelemre (lásd az elveszett laptopokról szóló híreket)?

Update:
Frissítettem az első linket, a kételkedők kedvéért pedig itt egy elég jó videó, amin látszik, hogy a memória melegen tartva is elég ideig friss marad egy sikeres támadás kivitelezéséhez:

A Windows Vista Security blogon jelent meg Russ Humphries írása, melyben a szerző természetesen teljes testével védi a BitLockert, tulajdonképpen nem is alaptalanul: Russ felhívja a figyelmet a szoftveren bekapcsolható többfaktoros védelmi lehetőségre, melyek segítségével PIN kódos illetve USB stickes azonosítás is hozzáadható az alapvető védelemhez.
Érkeztek kommentek is, melyekben a hozzászólók többek között kiemelik, hogy a demonstrációs videóban bemutatott eset (bekapcsolt laptop eltulajdonítása) nem is olyan ritka jelenség, mint azt képzelnénk. Másrészt arra is rávilágítanak, hogy egy nagyvállalati környezetben, ahol tömegesen kell a gépekkel foglalkoznia a szervíznek, jelentős hatékonyságcsökkenést eredméynezhet a többlépcsős titkosítás alkalmazása.

Egy AmBiTiOuS nicket használó azeri "hacker" deface-elte a kecskemetitv.hu honlapot. Az oldalon jelenleg egy, Azerbajdzsán területeinek örmény megszállását bemutató figyelemfelkeltő videó, illetve a "Could you forgive??" és a "Hacked by Azerbaijani hacker -AmBiTiOuS- / Don't shock. I did not touch your files. " szövegek láthatók.

Az infóért köszönet illeti billsuxx-t!

Encsé küldte a linket erről a játéról, ami nem egy kifejezett wargame, inkább a lapozgatós kaland, játék, izgalom könyvek hangulatát idézi, de azért van benne pár érdekes feladat.

h0melesstől pedig ezt a videót kaptuk, amin annak jeles példája látható, hogy miért nem szerencsés meghagyni a routerek alapértelmezett jelszavát, valamint bekapcsolva hagyni a távoli menedzsment funkciót. Egy kis kiegészítés: a jelszó megszerzéséhez nem szükséges semmilyen extra addon/szoftver, egyszerűen a weboldal forrását is meg lehet nézni (HTML-t olvasni tudni kell). Ha pedig már miénk a router, akkor a jelszó megszerzése csak a jéghegy csúcsa, rengeteg érdekes dolgot művelhetünk az eszközön, kezdve a DNS szerverek címének átírásától (nyilván a sajátunkra) egészen az ügyes firmware frissítésekig.

Szerdán kiadott biztonsági jelentésében a Cisco 16 különböző Unified IP Phone-jával kapcsolatos sebezhetőségekről számolt be. Az SCCP és SIP protokollok kezelését érintő hibák kihasználásával az érintett eszközök újraindíthatók, illetve bizonyos esetekben kódfuttatás is lehetővé válik. A sebezhetőségeket javító firmware frissítések már elérhetőek.

Elmarasztaló ítélettel zárult egy 19 éves svéd hacker elleni per, aki az ítélet szerint illetéktelenül bahtolt többek között svédország legnagyobb egyetemeinek számítógépeire, valamit a linköpingi Nemzeti Szuperszámítógép Központba is. A fiatal elkövető ügye azonban újabb, immár nemzetközi fordulatot vehet, ugyanis az FBI most a svéd hatóságok együttműködését kérik egy 2005-ös Cisco hackkel kapcsolatban, melynek első számú gyanúsítottja ugyanez a fiatalember. Az incidens során valaki hálózati eszközök szoftverének titkos forráskódját tulajdonította el az amerikai cég rendszereiből. A gyanúsított tagadja a vádakat, azt azonban elismeri, hogy ő készítette a támadáshoz használt szoftverek egy részét.

Milan Vojnović és kollégái a Microsoft Cambridge-i kutatóintézetének munkatársai olyan módszer kifejlesztésén dolgoznak, melyben féreg szerű ágensek segítségével oszthatnak szét hasznos információt - például szoftverfrissítéseket - egy hálózat számítógépei között. Az ötlet nem új, egy beNi nevű hacker annak idején egy saját készítésű féreggel foltoztatott Wordpress blogokat.
Vojnović-ék most azt próbálják elérni, hogy a kívánt információ minél gyorsabban terjedjen a hálózatokon. Az eddigi legjobb féreg véletlenszerű kereséssel próbál olyan hostot találni, ami még nem "fertőzött", majd ha ilyenre bukkan, szűkíti a keresési teret a megtalált géphez tartozó alhálózatra. Ha az alhálózatban elegendő tiszta gépet talál, akkor elkezd terjedni, ha viszont nem, akkor tovább keres. A kutatók szerint ez az algoritmus elég jól közelíti az ideális, teljesen informált eset hatákonyságát, amikor is az ágens pontosan tisztában van a fertőzött és nem fertőzött gépek helyzetével.
De nem csak a Microsoftnál folynak ilyen jellegű kutatások: Chuanyi Ji a Georgiai egyetem munkatársa szintén számítógépes férgekkel foglalkozik. Kutatásai szerint sok károkozó már most a Vojnović-férgekéhez hasonló, bár kevésbé kifinomult módszert használ. A kutató célja a "tökéletes féreg" megalkotása, ami azon túl, hogy segít felderíteni a hálózatok gyenge pontjait, egy esetleges sebezhetőség foltozásához szükséges információt gyorsabban elterjeszti, mint hogy a kártevők azt kihasználnák.

A New Scientist cikke alapján.

A Websense szakértői olyan botokat fedeztek fel, melyek a Windows Live Mail szolgáltatás CAPTCHA-ját feltörve tömegesen regisztrálnak e-mail címeket, hogy azokról spamet küldhessenek. A spammerek számára az ilyen szolgáltatások különösen vonzóak, hiszen ingyenesek, a hatalamas legitim forgalomból nehéz kiszűrni a robotok kéréseit, valamint a domainek viszonylag kevés helyen vannak feketelistán. A jelek szerint külön kiszolgálók állnak rendelkezésre a Turing tesztek megoldására.
Az elemzések azt mutatják, hogy a botok kb. minden harmadik regisztrációs kódot eltalálnak. Ez lényegében megfelel a két hete bemutatott orosz anti-CAPTCHA hatékonyságának, és bár nem tudni biztosan, hogy a spammerek milyen módszert használnak, több mint valószínű, hogy a közzétett példaprogram egy módosított változatásról van szó.

Adrian Kingsley-Hughesnak, a ZDNet újságírójának sikerült módszert találnia az SP1-gyel ellátott Windows Visták aktivációs mechanizmusának feltörésére. Bár a konkrét módszer nem nyilvános, a poszt szerint a hack nem különösebben bonyolult, a szokásos "letölt, futtat, vár, újraindít" játékot kell eljátszanni, valószínű tehát, hogy a Microsoft egyszerűen nem patchelt egy már létező, de kevésbé elterjedt sebezhetőséget. Ez persze a redmondi cégnek nem feltétlenül rossz, sőt...

"A magát török szájberterroristának nevező NetDevilz hackercsapat feltörte az internet legnagyobb pornóvideó-megosztó oldalát [RedTube] - jelentette a Radar Online. A YouTube-hoz hasonló beágyazott videókat tartalmazó RedTube az Alexa statisztikái szerint az egész internet 68. legnagyobb forgalmú oldala (ami persze messze nem szentírás, de egy top100-as Alexa-helyezés annyit biztosan megmutat, hogy jó nagy a forgalma az adott oldalnak). A hackerek egy "No Porn!" üzenetre cserélték le a nyitóoldalt, és állítólag egy olyan hibát kihasználva vették át a hatalmat az oldalon, ami több száz hasonló videómegosztó oldal kódjában is benne lehet." - Index

Update: a "több száz videómegosztó oldal" fenyegetettsége ahogy látom a EroEvo.com posztjában tűnt fel először, ahonnan a Radar és az Index is átvette. Az eredeti oldal így fogalmaz:

"Mi is kíváncsiak vagyunk rá, hogy milyen hiba kihasználásával fértek hozzá a RedTube szervereihez. Lehet hogy ez a hiba több száz más pornó megosztó kódjában is megtalálható."

Tehát semmi konkrétum. Szerény véleményem szerint ez valószínűleg egyszerű pánikkeltés, ha más oldalon is lenne hasonló bug, akkor arról már tudnánk.

Csak hogy el ne pusztuljatok a hírhiánytól. Őszintén bevallom, rám tört a tavaszi fáradtság nyári punnyadás őszi levertség téli álom, de becsületemre legyen mondva, nem is történt semmi korszakalkotó az utóbbi időben.

Persze állítólag az amcsik rájöttek kik állnak a Storm mögött, viszont nem tudják falhoz bíróság elé állítani őket, ráadásul megjelent egy másik(?) banda is a MayDay (M-Day?) nevű okossággal. Az sem okozott túlzottan nagy meglepetést, hogy a DubaiMLM kamu volt, az olyan címekre meg, hogy "Rekord mennyiségű spam jött az utóbbi negyedévben", vagy "Az adathalászok új célpontokat találtak" már lassan kénytelen leszek szűrőt írni.

Jó hír viszont, hogy a Viasat3 21:05-től az Összeesküvéselméletet vetíti, ami bár nem egy kifejezett hacker film, de azért azt hiszem, közel áll a szabadságharcos lelkekhez :)

Végezetül pedig egy szolgálati közlemény: csütörtökön elmegyek síelni, és szerdáig haza sem jövök. A hegyek között pedig reményem szerint habos sör, finom snapss és fürdőruhás lányok várnak majd, ezért ha lenne a közelben számítógép, akkor sem azt nyomkodnám. Posztot tehát ez idő alatt ne várjatok, remélem mire hazajövök, már néhány érdekesebb eseményről is beszámolhatok.