Van úgy, hogy az ember úgy érzi, a világ összeesküdött ellene. A Google esetében ez mostanában valószínűleg több mint egyszerű paranoia.

Billy Rios a trükkös Picasa sebezhetőség után most egy pofonegyszerű ötlettel rukkolt elő: Az újabb Flash Playerek megengedik, hogy az ún. crossdomain.xml fájl helyét egy külső szerveren definiáljuk. Ekkor a lejátszó feltételezi, hogy az a domain, melyen a fájlt találta, cross domain kéréseken keresztül hozzáférhető a számára. Nincs tehát más dolgunk, mint egy megfelelően formázott crossdomain.xml-t feltölteni a Google Docs-ba, és készíteni egy ügyes Flash animációt, ami ezt az XML-t olvassa, innentől kezdve pedig már beármit bűvészkedhetünk az animációt megtekintő felhasználók Google Fiókjával.

Petko Petkov egyelőre részletek nélkül említett egy, a befordéhoz nagyon hasonló CSRF sebezhetőséget, melynek segítségével a Gmail felhasználók e-mail forgalma eltéríthető egy gonoszul megformázott weboldal segítségével. Amíg nem készül el a javítás, érdemes a szűrőbeállításainkat gyakran ellenőrizni!

Speciális Unicode karakterek segítségével teljesen elrejthetők a fájlok kiterjesztései Windows Vista alatt. Max Ried felfedezése azon alapul, hogy a pl. arab nyelvű szövegek esetén használt RLO (right-to-left override) és LRO (left-to-right override) vezérlőjelek használatakor a fájlnevekben bizonyos esetekben a valódi kiterjesztés nem jelenik meg a felhasználó számára:

Így néz ki a fájl XP alatt, Vista esetén viszont:

Mint látható, az operációs rendszer a fájltípust megfelelően értelmezi, csak a felhasználó elől marad rejtve a kód futtatható jellege.
A Heise Security cikke itt.

Rá jár a rúd a Google-re mostanában. Hiába, nem könnyű a világ egyik legnagyobb informatikai szolgáltatójának lenni... Már beszámoltam a Google Search Appliance hibájáról, ami közel 200.000 felhasználót érintett. Midnenkit megnyugtatok, a mostaniak még ennél is kiterjedtebbek:

Billy Rios és Nate McFaters egy olyan kis programcsomagot készített, melynek segítségével bárki Picasa-ban tárolt képei megnézhetők, ha megnyit egy speciális weboldalt. A támadás azért is különösen érdekes mert mindezt XSS-el, CARF-el (Cross Application Request Forgery), a Flash same domain policyjának megkerülésével, és a már jól ismert URI handler hiba kihasználásával együttesen érték el.
beford blogjának első posztjában két PoC exploitot mutat be, mindkettő a Google Polls szolgáltatásában lévő XSS-en alapul. Az első megmutatja a contact listádat, a második átirányítja a Gmail-es címre érkező leveleidet. Pontosabban beford ezt állítja, nálam nem működtek a kódok, valószínűleg a Google gyorsan javította hibát, ami egy pirospontot ér a három fekete mellé. Persze lehet, hogy csak én nem vettem észre, hogy meg lettem hackelve...na az lenne a ciki :)

Túléltem a Hacktivityt, jó buherátorhoz méltóan borostásan, álmosan, és másnaposan értem haza azzal a jóeső érzéssel, hogy idén is hoztuk a formát!

Ötször próbáltam befejezni ezt a posztot, de úgy döntöttem, hogy reménytelen a dolog. Egy dologra reagálnék csak a ma már emlegetett Index cikkéből:

"Kovács Krisztán, a Hacktivity szervezője elégedett volt a résztvevők számával, de jövőre tovább bővítené a látogatók körét. Szeretné, ha a Hacktivity nemzetközivé válna, és valamiképpen kapcsolódna a neves hackerkonferenciákhoz, mint amilyen a Las Vegas-i DefCon."

Ehhez csak annyi kell, hogya jövőre mi tartsuk az előadásokat. Ez pedig nem elsősorban a szervezőkön, hanem rajtunk fog múlni!

Akit esetleg megrendített az Index vezércikke, annak íme egy kis háttér:

A szivárványtáblák ötlete már 1980-ban felvetődött a híres-neves Martin Hellman-ban, a módszert aztán a szintén legendás Rivest fejlesztette tovább '82-ben. A módszer tehát több mint húsz éves, a naprakész Index viszont egy vadonat új, 2003-as módszert alkalmazó programot, a Philippe Oechslin által kifejlesztett Ophcrack-et használja!

De ne szaladjunk ennyire előre! Kis számolgatással könnyen kijön, hogy ha mondjuk az összes 8 karakter hosszúságú jalszóhoz tartozó MD5 hash-t el akarjuk tárolni, akkor szüségünk lesz pár száz gigabájt tárolókapacitásra, 9 karakter esetén pedig már terrabájtokról beszélhetünk (jópofa exponenciális görbe ugyebár). Másrészt jobb helyeken (pl. UNIX alapú operációs rendszerek) a hash-eket "besózzák" (salting), azaz a titkosítani kívánt jelszavakhoz először hozzáfűznek egy egyedi karaktersorozatot, ami a generált hash-t is egyedivé teszi, így ha különböző gépeken ugyanazt a jelszót használjuk,  a tárolt hash nem lesz ugyanaz, és a szivárványtáblák is értelmüket vesztik.

Akkor mégis hogy sikerült néhány bölcsésznek feltörni egy ilyen bonyolult jelszót? Nos, a válasz a megjelenése óta szidalmazott, Windows-ok által használt LM hash-ekben keresendő:

Hellman módszere lehetővé teszi, hogy a számítási sebesség rovására csökkentsük a szükséges táblaméretet, Oechsin pedig olyan módszert talált, mellyel számításokat spórolhatunk. Ez persze nem fogja a több terrás adatbázist kezelhető méretűre zsugorítani, ezt a Windows teszi meg helyettünk. Az LM hash-ek legnagyobb hibája, hogy a maximum 14 karakter hosszú jelszavakat két darab, hét karakter hosszúságú jelszóként kezeli, ráadásul a kisbetűket automatikusan naggyá konvertálja. Ilyen bonyolultságú jelszóból pedig nincs sok, a szivárványtáblák legfeljebb néhány gigabájt méretűek lesznek. Salting persze nincs, minek is egy korszerű operációs rendszerbe (bocs, 2007-re sikerült áttérni a default NTLMv2-re)...

Szóval nincs itt semmi korszakalkotó, évek óta ismerjük a sziváérványtáblákat, évek óta ismerjük azok gyengeségeit, és évek óta törjük a béna windows-os hash-eket, csak egyes újságíroknak ez mindeddig nem esett le.

Örömmel jelentem, hogy sikerült kimásznom az ágyból, és nem sokára elindulok Hacktivityre. A kevésbé örömteli hír az, hogy a blog.hu-ra nem tudok belépni biztonságosan, úgyhogy a helyszíni közvetítés úgy néz ki elmarad, de megígérem, hogy szorgosan fogok jegyzetelni, hogy megírhassam az eseményeket!

Azoknak akiknek esetleg nem lett volna világos, hogy miért is kellene a QuickTime-ot javítani egy hiba következtében, amely Firefoxon keresztül használható ki, most íme ugyanannak a hibának a kihasználása Internet Explorer alatt (köszönjük meg szépen Thor Larholmnak):

Az idei BlackHat óta már-már szállóigévé vált a Mozillás Mike Shaver mondata: "Tíz kib@szott nap". Mármint hogy ennyi idő alatt javítják a kritikus hibákat. Azóta ezt a kijelentést nem sikerült megcáfolni, most viszont az a furcsa helyzet állt elő, hogy a cég nem a saját hibáját javította ilyen szoros határidővel, hanem az Apple termékét segítette ki saját programján keresztül.

Mint arról beszámoltam, a Firefoxba ágyazódó QuickTime plugin távoli parancsfuttatást tett lehetővé. Most a Mozilla olyan frissítést adott ki a böngészőhöz, amely megakadályozza, hogy a beépülő modul veszélyeztesse a felhasználókat. A folt a Firefox 2.0.0.7-es verziójával települ.

A QuickTime persze ettől függetlenül veszélyes lehet más alkalmazásokkal együtt használva.

Nagyjából egy év telt el azóta, hogy David Maynor először bejelentette, hogy heap overflow sebezhetőséget talált az OS X Madwifi meghajtójában. A támadást később, a 2006-os BlackHat-en demonstrálta is, részleteket azonban nem közölt. Ennek eredményeként az Apple ugyan kiadott egy javítást az operációs rendszerhez, azt azonban senki nem tudta, hogy ez javítja-e Maynor hibáját, illetve az sem volt egyértelmű, hogy a hiba egyáltalán felhasználható-e úgy, ahogy ezt a felfedező állítja. A kevés rendelkezésre álló információ, és a médiahiszti azt eredményezte, hogy a felfedezés idén megkapta a leginkább túllihegett hibának járó Pwnie-díjat.

Ez utóbbi döntés utólag bizonyos szempontból elhamarkodottnak tűnik: Maynor ugyanis publikálta az exploitot, melynek segítségével a foltozatlan MacBookok felett könnyű szerrel átvehető az irányítás (főleg mivel seperc alatt elkészül a Metapsloit modul is). Az továbbra sem világos, hogy Maynor miért várt ennyit a részletek közzétételével, az írás minden esetre izgalmas és tanulságos, érdemes elolvasni mielőtt rábízzuk magunk a Metasploitra.

Aki nem akar célponttá válni, az frissítse az OS X-ét legalább 10.4.7-es verzióra!

A 202c törvény által lepadlózott német hackerek nem ülnek a babérjaikon: A TecChannel beperelte a Szövetségi Információbiztonsági Hivatalt* (BSI - Bundesamt für Sicherheit in der Informationstechnik), annak BOSS néven online terjesztett live CD-je miatt, melyen megtalálható többek között a Nessus hálózati scanner, és a John the Ripper jelszótörő program. Ezek a szoftverek ugyanis a német kiberbűnözési törvény hatálya alá esnek, terjesztésük és birtoklásuk pedig büntetendő.

* Valójában a feljelentést ismeretlen tettes ellen tették, a live CD terjesztője viszont egyértelműen a BSI

A német Medion egy nagy szállítmány olyan gépet értékesített, melyekre az előtelepített Vista mellé egy Stoned.Angelina névre hallgató bootvírus is felmászott. Af ertőzött gépek száma valahol 10.000 és 100.000 között lehet, járványveszéltől azonban nem kell tartani, mivel a vasakban nincsen floppy meghajtó, amin keresztül a vírus terjedni tudna.

A Stoned.Angelina 1994-től nagyjából 2001-ig volt aktív, azóta gyakorlatilag nem fordult elő vele kapcsolatos eset. A vírus (milyen jó ezt leírni, nem worm vagy spyware, hanem igazi, tökös vírus!) ugyan valószínűleg rosszul lett megírva, ezért néha tönkrevághat egy-egy floppyt, de a valódi tevékenysége csupán abból áll, hogy néha megjeleníti a "Your computer is now Stoned" ("A géped most be van Tépve") üzenetet a gép indulásakor.

A felhasználóknak tehát nem kell megijedni, a dolog viszont felhívja a figyelmet arra, hogy nem szabad leírni az öreg kártevőket! Valaki felbootol egy ősrégi rendszert, és máris új életre kelnek a rég elfelejtett kis rosszcsontok. Ráadásul több vírusirtóban teljesítmény növelés céljából ki van kapcsolva az ehhez hasonló fertőzések elleni védelem, mivel a kockázat igen alacsony.

Két biztonsági tanácsadó, Scott Dunn és Adrian Kingsley-Hughes azt állítja, hogy a Windows Update akkor is foltozza magát, ha a felhasználó úgy állította be a programot, hogy az csak értesítéseket adjon az elérhető frissítésekről.

A Microsoft úgy kommentálta a dolgot, hogy azok a felhasználók, akik teljesen kikapcsolják az automatikus frissítéseket, tényleg nem kapnak semmit, valamint a Windows Server Update Servicest és Systems Management Servert használó vállalati ügyfeleik is teljes kontrollal rendelkeznek a letöltött frissítések fölött. A Microsoft Update Product Team blog szerint viszont a Windows Update frissítésére azért van szükség hogy a felhasználók a későbbi frissítéseket is gond nélkül elérhessék. Akkor viszont mi van azokkal a felhasználókkal, akik kikapcsolják az automatikus frissítéseket? Ők örökre elvághatják magukat a Microsoft védelmező patch-karjaitól?

A SecurityFocus cikke alapján.

Michael Kubert a hírhedt 202c paragrafusra hivatkozva feljelentette magát a mannheimi hatóságoknál, miután közzé tett néhány jelszó brute-forcert Németországban elhelyezett szerverén. Kubert ezzel azt akarja tesztelni, hogy hogyan értelmezik a német bíróságok a sokat kritizált, és az ország IT-biztonsággal foglalkozó oldalainak bezárását eredményező új kiberbűnözési törvényt.

Az akció természetesen elsősorban a figyelem felkeltésére lehet jó, esetleg precedensként lehet rá hivatkozni a jövőben - feltéve, ha kedvező döntés születik - de én sem vagyok jogász. Drukkoljunk Michaelnek!

Petko D. Petkov még tavaly tett közzé két highly critical QuickTime hibát, melyek közül az egyiket kijavították, a másikkal azonban nem törődtek. Az év végén tett még egy kísérletet, hogy felhívja a figyelmet a foltozatlan hibára, eredményt azonban ezzel sem ért el. Most újra próbálkozott, és egy olyan módszert publikált, melynek segítségével elvileg bármely QuickTime bővítménnyel rendelkező Firefox böngésző távoli parancsfuttatásra bírható, egy félelemetesen egyszerű kód segítségével:

Kezdjük az elején! Az alábbi egyszerű kód QTL fájlként futtatva egy egyszerű üzenetet jelenítmeg a képernyőn:

A dolog érdekessége az, hogy ez a kód bármilyen QuickTime által támogatott audió és videó kiterjesztéssel elmenthető. Így az alábbi exploit



gyakorlatilag tetszőleges média fájlnak álcázható. A hiba kihasználásával a hamisított fájlt megnyitó felhasználó jogkörével tetszőleges kód futtatható, de adminisztzrátori jogkör nélkül is installálhatók hátsó kapuk a böngészőbe.

Demonstráció gyanánt íme néhány okosan megírt média fájl (nem okoznak kárt):

BEYONCE.mp3
pr0n0.mov
FunnyDog.mpeg
GhostInTheShell.avi

A fennti kódok Windowshoz készültek, de a hiba elvileg bármilyen platformon kihasználható!

Ja igen, plusz szépsége a dolognak, hogy a QuickTime automatikusan betelepül a Firefoxba, ha az ember felrak egy iTunest, szóval elég sokan érintettek a dologban...

Egy a héten megjelent tanulmány szerint a kiberbűnözés tavaly átlagosan 350.424 $ kárt okozott vállalatonként. Ez látványos emelkedés az ezt megelőző évhez tartozó 168.000 dollárhoz képest, valamint ez volt az első év, amikor az online csalásból származó kár túlszárnyalta a hét éven keresztül első helyezett vírustámadások által okozott veszteségeket.

Nem rég írtam arról, hogy egy svéd kutató - bizonyos Dan Egerstad - több száz nagykövetség és civil szervezet e-mail postafiókjaihoz tartozó jelszavakat tett közzé az interneten, ezek megszerzésének módját azonban nem ismertette. Egészen péntekig. Beszámolója szerint a jelszavakat néhány Tor exit-node (kilépő csomópont) segítségével szerezte meg:

/ gyk: A Tor működése nagy vonakalban: A Tor azaz a the Onion Router az Onion Routing módszert használja a felhasználók identitásának és cselekedeteinek elfedésére. Az Onion Routing lényege, hogy különböző hálózati kéréseket láncba fűzött ún. onion routereken keresztül továbbítjuk, a csomagok információtartalmát pedig minden onion router számára rétegesen (mint a hagyma, vagy mint az ogre?) titkosítjuk nyilvános kulcsú (valójában hibrid...) algoritmussal. Mialatt a csomag végighalad a Tor hálózaton, minden csomópont egy rejtjeles réteget leválaszt a kapott csomagról. Emiatt az egyes onion routerek sem azt nem tudják megállapítani, hogy honnan-hova történik az adattovábbítás, sem magukat az adatokat nem ismerik. A célállomás pedig természetesen csak az utolsó routert látja, a valódi lekérdezőt nem. További infó: tor.eff.org /

A Tor ismert gyengesége, hogy mivel a célállomás, akivel az adatot közöljük nem feltétlenül tud arról, hogy egy Tor hálózattal áll szemben, ezért az utolsó csomópont (onion router) meg kell hogy fejtse a küldendő üzenetet, amit utána a célállomás felé továbbít. Ha pedig az eredeti  kommunikáció a kezdő és a célállomás között nem titkosított eleve, akkor ez az utolsó csomópont akár el is olvashatja a küldött üzenetet (bár azt nem fogja tudni, hogy az valójában kitől érkezett).

A Tor hivatalos oldala külön figyelmeztet is erre, Egerstad figyelmét azonban az keltette fel, hogy az öt újonnan felállított Tor node-jának forgalmát figyelve úgy találta, hogy a forgalom 95%-a titkosítatlanul halad keresztül a gépeken (ez valószínűleg a gépek földrajzi elhelyezkedéséből adódott)! Írt tehát egy ügyes kis scriptet, ami a 25-ös port-on figyelte néhány kifejezést mint pl. "war", "military", "embassy".

A svéd kutató kb. 200-250 kormányzati és követségi jelszót valamint útlevél adatokat szerzett meg. Állítása szerint felfedezése után megkereste az egyik érintett hivatalt, de rá sem bagóztak, így kitett 100 jelszót az internetre. Még ezek után is egyedül Iránból érkeztek kérések, hogy árulja el, miként jutott hozzá az információkhoz.

Ez azonban még csak a zsákmány egyik fele: a csapdába beleesett kb. 1500 felhasználó közül sokat Fortune 500-as cégeknek dolgoznak, az általuk titkosítatlanul továbbított információk "nem milliókat, milliárdokat érhetnek"!

Egerstad azt nyilatkozta, hogy biztos benne, hogy nem ő az első és nem is az utolsó aki ezt a lehetőséget kihasználta, így jobb nem is belegondolni, hogy kik és milyen információkhoz juthattak hozzá ezidáig.

Tanúlság: A Tor kriptográfia segítségével biztosítja az anonimitást, titkosításra azonban nem alkalmas! Ha jelszavakat lődözöl bele a Hálózatba, használj SSL-t PGP-t, VPN-t vagy hasonló technológiát!

A Wired cikke itt.

Ha eddig úgy gondoltad volna, hogy a német törvények szigorúak, posztolj pár sértő kommentet Thaiföldön!

A Prachatai nevű független lap szerint legalább egy embert bebörtönöztek a thai hatóságok az új, júliusban életbe lépett Számítógépes bűnözési törvény megsértése miatt. Az új szabályozás, amit eredetileg a pornográfia megfékezésére vezették be, tiltja az "offenzív tartalmak" publikálását.

A Financial Times magasrangú thai tisztviselőkre hivatkozva két bebörtönzött állampolgárról számol be, akik "a monarchiát inzultálták" webes fórumokon.

Több más médium is megpróbált megerősítést kapni ezügyben, sikertelenül, tegnap azonban a Prachatai "megbízható forrásoktól" azt az információt kapta, hogy a thai kormány egy 36 éves programozót tart fogva, aki egy jól ismert nickkel kommentezett különböző webes fórumokon. A forrás szerint a gyanúsított több int hat napi fogvatartás után sem a családjával, sem az ügyvédjével nem beszélhetett. A thai kormány eddig nem nyilatkozott az ügyben.

A DarkReading cikke itt.

Gareth Heyes készített egy terjedelmes leírást, melyben részletesen leírja, hogy hogyan talált és használt ki egy addig ismeretlen hibát a Safari béta verziójában.

Bár alapvetően lusta ember vagyok, azért megpróbálom a lehető legkevesebb kihagyással tolmácsolni Gareth írását, mivel annak nem csak tanító, de nevelő hatása is figyelemre méltó.  Következzen a cikk:

Amerikai illetékesek arról számoltak be, hogy a kínai Népi Felszabadítási Hadsereg (People's Liberation Army - ők azok akik megszállták többek között a gyakorlatilag fegyvertelen Tibetet) indította a Védelmi Minisztérium elleni eddigi legsikeresebb támadást még Júniusban.

A támadás ugyanazzal a módszerrel történt mint a német kormányhivatalok esetében, és a fertőzött állományok csak alsó szintű, nem biztosított e-mail rendszereken jutottak át, ezért valószínűleg - bár a vizsgálat még folyik - nem kerültek ki érzékeny adatok a Pentagonból.

Kína természetesen elutasítja a vádakat, és "hidegháborús vádaskodásnak" minősíti a bejelentést, amerikai tisztviselők viszont azt állítják, hogy teljes pontossággal bemérték a támadás forrását, és ez a kínai hadsereg volt.