Tom Shannon elég meghökkentő (bár egyelőre csak Windwoson működő, a Linuxos Firefoxot pedig talán fagyasztó) példaprogramot tett közzé annak illusztrálására, hogy hogyan lehet egy felhasználót úgy is távolról nyomon követni, hogy közben a delikvens böngészőt vált (vagy éppen proxy mögé bújik). A módszer lényege az, hogy az oldal egy SWF SharedObject objektumán keresztül "extraperzisztens" sütit pakol a látogató gépére, amely azután kizárólag manuálisan törölhető és hozzáférhető lesz az összes böngésző számára.

Egy elég jó összefoglaló található itt a Flash sütikről. Ebből kiderül eltávolításuk és letiltásuk módja is:

• Windows alatt a sütik itt találhatóak: Documents and Settings\userName\Application Data\Macromedia\Flash Player\#SharedObjects. Innen kell a megfelelő .so vagy .sol kiterjesztésű filet egyszerűen letörölni.
• A Flash Playernek letilthatjuk a merevlemez írását, ha a Beállításoknál a megfelelő kvótát 0-ra állítjuk.

Mint arra pdp is felhívja a figyelmet (valamint az eredeti publikációból hiányzó kódrészleteket is közzéteszi), ez a lehetőség utat ad hatékonyabb tracker cookie-k gyártására, de az igazán kellemetlen az lenne ha valaki mindenféle malware-t kezdene bedobálni a kedves netezők Flash lejátszóiba (tartsuk észben, hogy ezek a sütik bináris adatokat tárolnak!).

A Texasi Egyetem két kutatója, Arvind Narayanan (végzős diák) és prof. Vitaly Shmatikov olyan eljárást mutatott be, melynek segítségével "névtelenített" adatbázisokból lehet konkrét személyhez rendelt adatokat kinyerni. Elméletük bizonyításához két bárki számára hozzáférhető adatbázist használtak: az IMDb-t, és a Netflix-et.

Előbbit azt hiszem nem szükséges bemutatnom, utóbbit viszont annál inkább: a Netflix egy online videótéka, melynek felhasználói a kölcsönzés után értékelhetik is a megtekintett filmeket - mint az IMDb-n. A dolog érdekessége az, hogy a rendszer a leadott értékelések alapján újabb filmeket ajánl a mozizni vágyóknak. Ehhez természetesen egy speciális algoritmus szükséges, amely rendelkezésre is áll, de a Netflix egy verseny keretében keresi az algoritmus további fejlesztési lehetőségeit. Konkrétabban a cég egy halom pénzzel jutalmazza azt, aki a meglévő algoritmusnál 10%-kal jobbat talál ki, valamint minden évben 50.000$ üti a markát annak, aki az adott évben a legfigylemreméltóbb eredményt tudta elérni. Van magyar csapat is, a műegyetem MIT tanszékéről, akik jelenleg 5. helyen állnak a versenyben. Nem rossz mi?

Nade térjünk vissza a texasi adatbányászokhoz. Világos, hogy a Netflix a versenyéhez rendelkezésre kell hogy bocsásson egy jelentős méretű adatbázist, ami alapján a versenyzők tesztelhetik a munkájukat, illetve megítélhetik algoritmusuk hatékonyságát a Netflix szoftverével szemben. A Netflix persze vigyáz felhasználói magánszférájára, ezért az adatbázisban mindenkit valamilyen semleges azonosító reprezentál. Amit hőseink műveltek, az nem más, mint hogy fogták ezt az adathalmazt, összevetették néhány tucat IMDb-n regisztrált felhasználó adataival, és az eljárás végén sikerült néhány embert beazonosítaniuk! Persze mit érünk azzal, ha tudjuk, hogy valaki milyen filmeket szeret? Nos, a kutatóknak egy személyről pl. sikerült gyakorlatilag egyértelműen megállapítani a homoszexualitáshoz és a valláshoz való viszonyát...igen kellemetlen.

A Shmatikov felhívja a figyelmet, hogy ilyen jellegű adatok nyilvánosságra hozatalakor nem elég egyszerűen a személyes adatokat eltüntetni, hiszen az egyéb információk is könnyen azonosíthatóvá tehetik az adatbázisban tárolt személyeket.

A svájci Dreamlab csapata olyan eljárást dolgozott ki, melynek segítségével távolról hallgathatók le bizonyos Microsoft és Logitech perifériák, első sorban billentyűzetek. Az érintett termékek nem a jól bevált Bluetoth-t, hanem egy 27 MHz-es rádiófrekvenciás technológiát használnak, amelyhez a kapcsolódó titkosítás nem kifejezetten erős. Konkrétan arról van szó, hogy az éles eszű mérnökök egy bytetal XOR-olják végig az átküldött információkat, tehát a csillagászati méretűnek nem nevezhető, 256 elemű kulcstéren kell átrágnia magát a megfelelő brute-force algoritmusnak. A támadáshoz mindössze egy egyszerű rádió, és a fennti bruteforcer szükséges, ezek birtokában elvileg tíz méter távolságon belül lehallgathatjuk a Microsoft Wireless Optical Desktop 1000 és 2000 típusú billentyűzeteket, de az érintett termékek listája ennél minden bizonnyal sokkal szélesebb (több más termékről is ismert, hogy hasonló technológiára épül), és jobb rádióval a hatótáv is növelhető elvileg.
A megjelent anyagot innen tudjátok letölteni, és készült egy videó is, ami prezentálja a támadást. Szemfülesek észrevehetik, hogy ez utóbbi anyagot a remote-exploit.org hosztolja, nem kizárt tehát, hogy az egyelőre PoC stádiumban lévő billentyűzetfigyelő alkalmazás megjelenik a következő BackTrack verzióban is.

Éppen az előző Playstationös poszt kommentjeiben filozofáltam az MD5 támadásairól mikor befutott a hír: új ütköztetéses támadást hajtottak végre az MD5 ellen, méghozzá egy PS3 segítségével!
A támadás eredményeként két eltérő funkcionalitású, de azonos MD5 hash-sel rendelkező bináris programot állítottak elő holland kutatók. Ilyenről már volt szó nem is olyan régen, az újdonság a dologban az, hogy ezúttal az üzenetek meglévő blokkjaival történő trükközés helyett úgynevezett választott prefix alapú támadást sikerült végrehajtani. Ennek lényege, hogy az ütköztetendő üzeneteket (programokat) változatlanul hagyva speciális bájtokat fűznek azok végéhez, melynek eredményeként végül azonos hash-hez jutnak. A megfelelő bájtok megtalálása nyers erő módszerrel történik, a bemutatott két fájlra a Playstation két nap alatt találta meg a megfelelő szekvenciát.
A támadást gyakorlatban alkalmazni elég nehéz, de ez az eset is alátámasztja azt a nézetet, mely szerint MD5 hash-t nem szabad alkalmazni integritás illetve hitelesség ellenőrzése céljából.

Érdekesség, hogy ugyanez a kutatócsoport a beszédes nevű Nostradamus Project keretében PlayStation 3 segítségével próbálja megjósolni a közelgő amerikai elnökválasztás kimenetelét. Elég súlyos lenne ha eltalálnák, na persze az MD5-re támaszkodva nem lesz nehéz dolguk :)

Az új-zélandi KiwiConon tartott prezentációjában egy tamsky nevű hacker (Nick Breese) különleges, Playstation 3-ra optimalizált MD5 algoritmust mutatott be.

Az hardveroptimalizáció mikéntjéről nincsenek pontos információim, a következőket lehet tudni: Egy PS3 processzora nyolc darab SIMD architektúrájú feldolgozó egységet (Synergisting Processing Element - SPE) tartalmaz, melyek 3,2 GHz-en futnak, és egy óraciklus alatt négy darab 32 bites integer műveletet tudnak végrehajtani. Az SPE-k közül egy gyárilag ki van kapcsolva, valamint a lapka tartalmaz még egy magot, amely az SPE-k vezérlését végzi. A megjelent hírek szerint tamsky hat ilyen egységet vont be a számításba, és úgy optimalizálta az algoritmust, hogy 50 órajel alatt végezzen el egy MD5 iterációt - ez 1,4 milliárd iteráció másodpercenként. Ilyen iterációból 64 kell egy hash kiszámításához. Valószínűnek tartom, hogy a maradék processzormagok végzik a kevésbé számításigényes feladatokat, pl. a bemenetek generálását és kiegészítését (padding), valamint az I/O műveleteket.

Arról nem áll rendelkezésre mért adat, hogy ez a sebesség hogyan viszonyul egy GeForce8-éhoz, szerény számításaim szerint a grafikus kártyás megoldás egyelőre veri a PlayStationt, tekintve hogy a videókártya - ugyan kisebb órajelen - sokkal több szál futtatására alkalmas, bár ár/érték arányban a két módszer már közelebb van egymáshoz (egy PlayStation3 fele olyan drága, mint az ElcomSoft alapcsomagja, ha az ember nem írja meg magának a szoftvert (vagy szerzi meg illegális csatornákon...)). Update: Breese állítása szerint százszoros sebességet tudott elérni a konzollal (Az Elcomsoft 25-szörös gyorsításról számolt be), ami elég impresszív eredmény, már ha igaz. Arra minden esetre kiválóan használható az ötlet, hogy vetessünk magunknak egy Playstationt a főnökkel, szigorúan kutatási célra (itt van egy kis segítség a kezdéshez).

A másik nagyágyú az Amazon EC2 (Elastic Compute Cloud) projectje, melynek keretében a cég Xen virtualizált gépeket (pontosabban azok teljesítményét) ad bérbe elég olcsón. Egy 1,7 GHz-es Xeonnak megfelelő számítási teljesítményű, 1,7 GB RAM-mal megáldott virtuális masina használata óránként tíz centbe fáj (ez kevesebb mint húsz forint!). A bérlő tetszőleges operációs rendszert és alkalmazást tölthet a gépekre speciális image-ekbe csomagolva, majd egy online felületen managelheti gépei működését, a gépek természetesen hálózatba köthetők, és az internetre is kinézhetnek. Petko Petkov számításai szerint húsz ezer forintból létrehozható lenne a világ legnagyobb szivárványtáblája, de a lehetőségek tárháza tulajdonképpen végtelen.  Két  dolog azért nem teljesen világos számomra: 1)  mekkora gépparkkal rendelkezik az Amazon, hogy be tud vállalni egy ilyen projectet 2) mit fognak kezdeni azokkal, akik ide telepítik a botnetjeik irányító központját, vagy más illegális rendszert? Várjuk a fejleményeket, addig is mindenkinek ajánlom, hogy gondolkozzon el, mihez kezdene egy ekkora rendszerrel?

 

A Full-Disclosure listán bontakozott ki még novemberben a vita, amelynek tárgya a XSS hibák listán való publikálása volt. A reedex nevű felhasználó igen markánsan és provokatívan utasította el az ilyen jellegű felfedezések létjogosultságát, de egyúttal vitára is invitálta Petko Petkovot, valamint mindenki mást is. Az alábbiakban pdp válaszlevelét olvashatjátok, amelyekben reedex kérdéseire/állításaira reagál. Ennek az egy levélnek a bevágása elég egyoldalúan mutatja be kérdést, de úgy gondolom, hogy ez a kis értekezés jó áttekintést nyújt a témával kapcsolatban, és talán felhívja az illetékesek figyelmét itthon is a XSS támadások megelőzésének fontosságára. Aki többre vágyik, az nyomon követheti a szálat itt, és természetesen a kommentek között is várom a másként gondolkodók reakcióit.

Két héttel a legújabb, 7.3-as verzió megjelenése után buffer túlcsordulásos hibát találtak  a QuickTime RTSP protokolkezelőjében. 24 órával a felfedezés után már két távoli kódfuttatásra alkalmas exploit látott napvilágot, úgyhogy mindenkinek jó lesz frissítenie hamar!

A ha.ckers.org-on jelent meg Tim Strinpling egy értekezése a Google Gadgetek lehetséges CSRF támadásáról. A régi mondás, mely szerint, ha a fejlesztők egy hibáról úgy gondolják, hogy lehetetlen kihasználni, jön valami srác Finnországból és kihasználja (vagy valami ilyesmi) ismét beigazolódott: az elméletet beford néhány napon belül gyakorlatra váltotta.
Ha új Gadgetet veszünk fel az iGoogle nyitóoldalunkra, az új kütyü megjelenítési információi (jó AJAX alkalmazáshoz méltóan) XML-ben kerülnek átadásra. A baj az, hogy ennek az fájlnak betöltését idegenként is kezdeményehetjük, és bár a tartalom jó része megfelelő szűrésen esik át, egy entitás, a <screenshot> JavaScript kódot tartalmazhat. Ez ugyan csak IE6 alatt fut le img tagbe ágyazva (végre nem a Firefoxot kell szídnom :)), de ha jól emlékszem még mindig ez az első vagy második legelterjedtebb böngésző a weben. A PoC így néz ki, ha be vagytok jelentkezve a Google-be , akkor ide kattintva aktiválhatjátok a kódot a kezdőoldalatokon (azt hiszem az iGoogle szolgáltatást is engedélyezni kell).

Rambo írt egy remek kis összefoglalót arról, hogy milyen elterjedt módszerek léteznek a különböző módokon tárolt jelszavak hatékony (gyors) megszerzésére. A poszt végén szóba kerül az MD5 és annak "megerősítésének" lehetősége, amelyről eszembe jutott egy szintén nem újkeletű, de annál érdekesebb és rengeteg félreértésre okot adó dolog, nevezetesen az MD5 hash-ek ütköztetési lehetőségei, amely jól illusztrálja az erős kriptográfiai algoritmusok konstruálásának hihetetlen nehézségét is. Nem fogok belemenni az MD5 vagy a hash algoritmusok ismertetésébe, ezeknek nézzen utána az akinek szüksége van rá, csapjunk rögtön a lecsóba! A módszer megismeréséhez a legjobb kiindulópont Peter Selinger idevégó oldala, amelynek egy kivonatát igyekszem most itt magyarul közzétenni.

Gareth Heyes írt egy érdekes posztot a mindennapi életbe befurakodó biometrikus azonosító rendszerekről. Íme a fordítás+egyéb gondolatok összeturmixolva:

Egy nem rég megjelent sajtóhír szerint Németország néhány szupermarketében mostantól ujjlenyomatolvasó használatával is lehet vásárolni. Az ember csak ráteszi az ujját a készülékre, és a megfelelő összeg levonódik az illető számlájáról, más szintje az autentikációnak nincs.

Örülhetnénk, hogy igen, ez már az űrkorszak, de jobban tesszük ha előbb végiggondoljuk szépen a dolgokat. Kezdjük talán azzal, hogy ujjlenyomatot szerezni majd pedig hamisítani nem kifejezetten nehéz: ajánlom a MythBusters idevágó részét (lásd lennt), valamint ezt a cikket amely szerint egy egyetemi kutatócsoport játékgyurma segítségével 90%-ban át tudta verni a leolvasókat. Persze mondhatnánk, hogy egy szupermarket közepén elkezdeni gyurmával bűvészkedni nem túl bölcs dolog, de ezzel nem zártuk ki, hogy egy elég ügyes "tolvaj" észrvétlenül tudja kivitelezni a trükköt. Petko Petkov arcképet mellékelne az ujjlenyomat-információhoz, ami talán egy közértesnéninek is megfelelő támpont lehet a csalók kiszúrásához - de az esti csúcsforgalomban nem feltétlenül.

Nem tudom hogy feltűnt-e, pár napja kilinkeltem az egyik kedvenc online képregényemet, az xkcd-t. A képkockákat Randall Patrick Munroe rajzolja, mostanában - miután a NASA nem hosszabbította meg a szerződését - teljes munkaidőben. A történetekben gyakran felbukkan a "kocka" humor, különböző matematikai és fizikai fogalmak fejreállítása. Az múlt héten egy öt részes - már-már eposzi méretű -  történet bontakozott ki a világ legnagyobb hackeréről, olyan  személyiségek főszereplésével, mint Steve Jobs vagy Richard M. Stallman (hogy csak a közismertebbeket említsem).
Alapmű, de legalábbis véleményem szerint az lesz belőle. Muszáj elolvasni, itt kezdődik!

Ronald van den Heetkamp oldala a The Hacker Webzine átesett a beigért változáson: elkészült egy fórum, ami témáit tekintve erősen a sla.ckers-re hasonlít - meglátjuk hogy elfér-e majd két betyár egy csárdában - , és külön szekciót kaptak a Ronald által fejlesztett eszközök is. A regisztráció nyílt, de mindenki jól fontoja meg, hogy milyen adatokat ad meg magáról ;)

Filmbe illő rendőrségi akció keretében tartóztatták le a svéd Dan Egerstadet, aki még augusztusban jutott hozzá kb. ezer kormányzati e-mail postafiók jelszavához és egyéb érzékeny adatokhoz, melyekből egy rövidebb, 100 adatot tartalmazó listát tett közzé az interneten, miután az érintettek nem reagáltak érdemben megkeresésére.
A rajtaütés során a kiérkező hatóság kikapcsolta az áramot, és kiiktattak gyakorlatilag minden elekromos eszközt a hacker házában, beleértve a hangszórókat és a telefont is (biztos ami biztos...). Egerstadet kihallgatták, és bár lopással is megvádolták - mivel nyolc Play Stationt találtak nála - végül elengedték, a házából lefoglalt számítógépeket és adathordozókat azonban valószínűleg még hónapokon keresztül vizsgálják majd. Az ügy tehát még nem zárult le, kíváncsian várjuk a folytatást

Már február óta ismert a Firefox egy olyan sebezhetősége, amely lehetővé teszi, hogy perzisztens XSS-et hajtsunk végre bármely site-on, ami engedélyezi felhasználói számára .zip fájlok feltöltését. A hiba a jar: protokolkezelő megvalósításában van, a probléma forrása lényegében az, hogy a böngésző külső tartományról származó kódot hajlandó futtatni az aktuális tartományon.
A hibára három napja pdp hívta fel újra a figyelmet, hangsúlyozandó annak kritikus voltát. Ma pedig beford jelentetett meg egy elég impresszív PoC kódot, ami kiolvassa a látogató Google kontaktlistáját (amennyiben be van jelentkezve), ezzel rávilágítva arra, hogy azok az oldalak is veszélyben vannak, akik nyílt átirányítást (?redirect=url) alkalmaznak - így ugyanis el lehet hitetni a böngészővel, hogy a .jar az átírányító oldalról (pl. Google) származik. A problémát tovább súlyosbítja, hogy a NoScript egyelőre nem véd az ilyen támadások ellen (bár a fejlesztői verzióba már berakták az új fícsört), valamint az antivírus programoknak is sok fejtörést lehet okozni pl. több .jar fájl egymásba ágyazásával, de érdekes támadási lehetőségeket rejt az is, hogy az OpenOffice .odt, valamint a Microsoft Office 2007 .doc formátuma a .jar-hoz hasonlóan a .zip formátumra épül.
A Mozillának csipkednie kell magát, ha be akarja tartani a szavát a "tíz kiba* nappal" kapcsolatban. Szigorú értelemben véve már el is késtek jócskán...

Tudom ajánlani az Opera böngészőt, amíg kijön a patch. Nem annyira fullos mint a Firefox, de jobb mint az Explorer, és nincs rá annyi hiba.

Update: Ma kijött a NoScript 1.1.8 "JAR Jammer", ami nevének megfelelően kiszűri ezeket a támadásokat. Nekem minden esetre már kezd kicsit fájdalmassá válni, hogy annyi bugot találnak a Firefoxban, hogy nem győzöm őket kiposztolni...

Kezdek már roszul látni az egyik szememre, de úgy érzem hogy a tegnapi lefolgalásokról itt is érdemes (még több) szót ejteni. Itt ugyanis nem egyszerűen arról van szó, hogy megbukott néhány sportkocsiban furikázó bűnöző, meg néhány srác nem kapja meg a napi pornó/sorozat adagját.
FTP szervert üzemeltetni jogvédett tartalommal bizony nem szép dolog, pénzt kérni a letöltésért meg már túlmegy pár határon (ameddig nem pl. itthon nem elérhető tartalmakról beszélünk...). Torrent trackert üzemeltetni szintén nem szép dolog (legalabbis bizonyos tartalmakkal), azonban teljesen legális.
Megalapozatlanul, csak úgy elvenni valaki más tulajdonát nem szép dolog. Szar minőségű terméket előállítani majd a vásárlóra erőszakolni (ez a legális, ezt kell megvenni) szintén. Kiadóként arról papolni, hogy mennyire megkárosítják szegény művészeket a kalózok, aztán kedves vásárlók pénzén cirkuszt rendezni a SYMA csarnokban ugyancsak piszkálja az ember igazságérzetét. Hologrammos matricával tolvajnak bélyegezni sok millió (milliárd?) embert, ezzel együtt a vélt bűnükért fizetendő büntetést bevasalni tiszességtelen, jogellenes, szemét dolog!

Bár tegnap a BSA lett kivesézve, úgy tűnik, hogy az akciót az ASVA és a ProArt indította. Utóbbiak úgy tűnik, idiótákra bízzák a munkát:

http://www.hangfoglalas.hu/?m=/../../index
http://www.hangfoglalas.hu/admin/

A jelszó kitalálását mindenkire rábízom ;) SQL inject is lesz benne.
Update: a ProArt oldala is bugos...

http://www.proart.hu/?menu=hirek&id=65'

Az információk persze csak tájékoztató jellegűek, de azt azért csendben megjegyezném, hogy laza csuklómozdulattal tönkre lehet vágni mindkét oldalt, ha van az emberben erre hajlam...

"A mai nap folyamán elvileg több, mint 80db szervert foglaltak le. Céges szervereket, torrent trackerek szervereit..."

Először is a következőket szeretném (ismételten) leszögezni:

• A BSA ugyanakkora jogkörrel rendelkezik, mint az Alsófenékpusztai Nyugdíjas Versmondó Egylet, nem rendelkeznek hatósági jogkörrel, csak feljelentgetni tudnak (de azt nagyon)
• Torrent szervereket lefogalalni egyszerű ostobaság, a hozzánemértés ékes példája. Egy ilyen gép definició szerint kizárólag metaadatokat tárol az általa menedzselt tartalmakról. Nincs az az ágyúval fejbedurrantott , idióta kalóz,  aki a trackeréről seedelne.

Update: asva.infot érdemes nézegetni:

21:36 - bar torrenten nincs fent, de weben mar kint van a baratok kozt

És most következzen egy kis szemezgetés a Homár idevágó posztjaiból és kommentjeiből:

Ez az informatikai tárgyú lap még csak csonk (azaz erősen hiányos). Segíts te is, hogy igazi szócikk lehessen belőle!

Mert Wikit írni igazi h4x0rság ;) De tényleg!

Stefano Di Paola és Giorgio Fedon egy hasznos kis trükköt mutattak be a vak SQL Injection támadások sávszélességkímélő kivitelezésére:

Vak támadások esetén sokszor elég a kiszolgáló válaszainak hosszát elemezni, hogy rájöjjünk, miként futott le az általunk beszúrt kód. Ehhez viszont elvileg felesleges lekérnünk a teljes dokumentumot, hiszen a HEAD tartalmazza a Content-Length attribútumot, ami már tartalmazza a szükséges információt. Hogyan lehet elérni, hogy a webszerver csak a válasz fejlécét küldje vissza? Az Apache-ot (az RFC-nek megfelelően) nem lehet rávenni a dologra egy egyszerű HEAD kéréssel:

A Content-Range megadja a dokumentum teljes hosszát! Mi a helyzet a többi kiszolgálóval? A nagy vetélytárs IIS úgy tűnik, nem követi az RFC-ben ajánlottakat, és a HEAD kérés rögtön célra vezet:

Az IBM HTTP és WebSphere alkalmazásai az Apache-hoz hasonlóan viselkednek. Ha van alkalmatok más szoftvereket is tesztelni, ne habozzatok megosztani az eredményeket Stefano blogján vagy akár itt!

A Microsoft megerősítette, hogy támadók aktívanpróbálnak kihasználni egy, a Windows XP-vel és Windows Server 2003-mal érkező secdrv.sys-ben lévő hibát. Ez a fájl a Macrovision Security Driver - tehát egy külső cég szoftvere - amely a játékok másolásvédelmét biztosítja. A hiba helyben kihasználható, privilégiumkiterjesztést biztosít. Ugyanennek a másolásvédelemnek a frissített verzióját használja a Vista is, de azt a sebezhetőség nem érinti. A Microsoft ígért patchet, de a Macrovisiontől származó frissített driver is orvosolja a problémát. Szeretjük a DRM-et!