Nem rég megjelent a JDK 7u10, ami hasznos biztonsági beállítási lehetőségekkel gazdagította a Java vezérlőpultját. A felhasználók ezen túl egy négy fokozatú biztonsági szint beállításával globálisan meghatározhatják, hogy a virtuális gép milyen appleteket indítson el automatikusan.
Alacsony biztonsági szinten majdnem minden applet automatikusan lefut, kivéve azokat, melyek nincsenek aláírva és elavult Java verziót, vagy sandboxból kimutató jogokat igényelnek
Közepes szinten - és ez az alapértelmezett - az aláíratlan appletek engedélyt kérnek a futásra, ha az aktuális Java verzió "nem biztonságos" (vagyis a futó főverzióra meghatározott security baseline-nál korábbi)
Magas szinten minden aláíratlan applet futását engedélyezni kell
Nagyon magas szinten minden applet engedélyt kér, aláíratlan appletek pedig nem futnak, ha a Java verzió nem biztonságos
A beállítás a futtatókörnyezet szintjén hat, vagyis az összes telepített böngésző beépülőre hatással lesz. Látható, hogy az Oracle nagy jelentőséget tulajdonít a kisalkalmazások aláírásainak, de tartsuk észben, hogy attól, hogy tudjuk, hogy egy program kitől származik, még nem lehetünk benne biztosak, hogy az illető jót akar nekünk (vagy hogy nem kompromittálódott a privát kulcsa). Másrészt az aktuális security baseline információ nem biztos, hogy minden pillanatban rendelkezésre áll, vagy időben frissül, így én a legmagasabb biztonsági szint belövését ajánlom.
Aki eddig nem állt át Java 7-re, az jó lesz ha siet, a Java 6 ugyanis jövő februártól nem támogatott (röhögni ér, egy csomó helyen még mindig 1.4-et használnak).
Primitív adattörlő kártevőt fedeztek fel Iránban a CERTCC.ir közlése szerint. A jószág Önkicsomagoló RAR archívumokat, és BAT2EXE programmal generált batch szkripteket használ, és néhány jól meghatározott időpontban elkezdi törölni a felhasználó asztalát, valamint D-I jelű meghajtóit. A kártevőt az adattörlés összeköthetné a feltehetően célzottan Iránnak szánt Wiperrel, de a megoldás más hasonlóságot nem mutat a Stuxnet famíliával. További technikai részletek a CrySys blogján olvashatók.
Gigabukta - 10 év
Egy évtizedet gondolkozhat az a 36 éves floridai férfi, aki a jelszóemlékeztetők válaszainak kitalálásával (kiguglizásával) illetéktelenül hozzáfért számos hölgy híresség - pl. Scarlett Johansson és Christina Aguilera - e-mail fiókjához, majd az ott talált képeket pulikálta. Bár soha nem vagyok a hasonló csibészek pártján, ez az ítélet azért érzésem szerint túlzás, főleg ha figyelembe vesszük, hogy az ügyészség eleve csak 6 évet kért a vádlottra. A bíró úgy tűnik nem nézte túl jó szemmel, hogy a delikvens az után is folytatta tevékenységét, hogy megindult ellene az eljárás, és lefoglalták számítógépét.
Az xda-developers.com fórumszekciójában alephzain arról számolt be, hogy az Exynos SoC-ra épülő Samsung eszközökkel kapcsolatban egy rendkívül súlyos biztonsági problémát fedezett fel. A problémát az okozza, hogy a Samsung kernelforrásából épített rendszeren a /dev/exynos-mem eszköz mindenki által írható/olvasható. Az érintett eszközök listáján szerepel a Samsung Galaxy S2, a Samsung Galaxy S3, a Samsung Galaxy Note 2, a MEIZU MX és potenciálisan minden olyan Exynos SoC-ra épülő eszköz, amely a Samsung kernelforrását használja alapul. [...]
A Samsung az Androidcentral.com megkeresésére a következőket közölte: tudnak a napokban napvilágot látott Exynos kernelsebezhetőségtől és szoftverfrissítés kiadását tervezik amilyen gyorsan csak lehetséges. Mint egyébként is, de most még jobban érdemes fokozott elővigyázatossággal kiválasztani a telepítésre szánt alkalmazásokat és lehetőleg csak megbízható forrásból telepíteni azokat. [...]
OpenType vs. Microsoft foltok
A legutóbbi MS frissítéssel érkező MS12-078 javítás hazavágott egy nagy rakás OpenType betűkészletet. Bár a problémát a patch leszedése orvosolta, több cégnél kitört a pánik, miután az év végi hajrában hirtelen elszálltak a szépen megszerkesztett oldaltervek. Az érintettek szerint a problémát az okozta, hogy a GetGlyphOutline() API nem a specifikációnak megfelelően működött, egyes biztonsági szakértők viszont inkább arra gyanakszanak, hogy inkább az érintett fontok nemvoltakszabványosak. A probléma minden esetre megoldódott, a patch javított változatával a probléma már nem jelentkezik (elvileg).
Egy gyors poszt mielőtt lelépek szülinapozni/hétvégézni/karácsonyozni/évvégét ünnepelni.
Joernchen újabb gondolatébresztő poszttal gazdagította a Phenoelite blogját: a kutató arra kívánja felhívni a figyelmet, hogy egyes Ruby on Rails-t használó fejlesztők nem gondolkodnak eleget alkalmazásaik publikálása előtt, ami könnyedén tömeges törésekhez vezethet.
A RoR keretrendszer előszeretettel tárol hitelesítő adatokat kliens oldalon, ami nem lenne baj, ugyanis a visszakapott adatok hitelessége szerver oldalon HMAC-el ellenőrizve van. A problémát az okozza, hogy sokan a forráskóddal együtt vígan megosztják az algoritmus kulcsát is például GitHub-on, telepítéskor pedig kevesen cserélik le azt.
Ilyen módon egy megfelelő célpontot találva bárki átírhatja például a felhasználói azonosítóját mondjuk egy adminisztrátoréra vagy idegen felhasználókéra, melynek hatását (az évvégi doksihegyekkel a hátam mögött) remélem nem kell ecsetelnem :) Külön vicces, hogy a RoR Authlogic autentikációs módban annyira megbízik a HMAC-ben, hogy a felhasználótól kapott, ellenőrzött adatokat gond nélkül hozzácsapja egy SQL lekérdezéshez, SQL injection-re adva lehetőséget.* Ez ugyebár azért nagyobb baj, mint a sima privilégiumemelés/felhasználó megszemélyesítés, mert az adatbázis simán futhat egy másik kiszolgálón, rossz konfiguráció esetén pedig az injection akár operációs rendszer szintű parancsvégrehajtásra is lehetőséget adhat (legutóbb december elején Kingcope exploitjainál került elő a téma).
Szóval kedves nyílt-forrást fejlesztők, egy jó tanács az ünnepekre: Push/commit előtt gondolkodjatok egy kicsit el azon, mennyi bedrótozott érzékeny infót tartalmaznak az alkalmazásaitok!
* Friss: A probléma valójában nem az Authlogic-kal, hanem RoR-el van, viszont az elterjedt esetekben csak Authlogic-on keresztül kihasználható. Részletes leírás a ma (jan 3.) javított problémárólitt olvasható.
Az US-CERT két aggodalomra okot adó figyelmeztetést is kiadott a Shockwave Playerrel kapcsolatban. Mindkét probléma az ún. Xtrák kezelését érinti. Ezek lényegében a bővítmény bővítményei, melyeket a lejátszó automatikusan be- illetve letölt, amennyiben ezt egy Shockwave tartalom igényli. A helyzet elsőre nem tűnik nagyon rossznak, ugyanis a lejátszó csak a Macromedia vagy az Adobe által digitálisan aláírt binárisokat lesz hajlandó futtatni.
De gondoljuk csak végig ezt még egyszer: Macromedia?! Bizony, egy rosszándékú klipp azt is kérheti a lejátszótól, hogy egy elavult verziójú Xtrát töltsön be, mellyel kapcsolatban már rég óta ismertek lehetnek kihasználható biztonsági rések. Mivel a kiegészítések digitálisan aláírtak, a lejátszó nem idegesíti a felhasználót mindenféle megerősítő ablakkal betöltéskor.
Erről a problémáról a CERT már 2010-ben értesítette az Adobe-t, javítás azonban csak jövő februárra várható.
Másrészt mint kiderült, a "Full" módban telepített Shockwave Player eleve egy elavult verziójú Flash lejátszót tartalmaz, annak minden bajával együtt, a rendszerben egyébként telepített, és remélhetőleg frissen tartott változatra pedig rá sem hederít.
Utóbbi problémán a gyártó konfiguráció-menedzsment folyamatainak javítása segíthet, előbbi kérdéssel kapcsolatban viszont érdemes elgondolkodni azon, hogy bizonyos futtatható állományok hitelesítésekor a tanúsítványok lejáratát a biztonsági-frissítési ciklusokat figyelembe véve megfelelően szűkre húzzuk.
Kisebb riadalmat okozott a héten, hogy az Inj3ct0r nevű kiddie banda kiposztolt egy üzenetet, ami az exploit-kereskedelemben utazó ExploitHub egyik rendszerének dumpját tartalmazta. Az év többi részében az ExploitDB anyagait szorgosan másoló csapat állítása szerint majdnem 250.000$ értékű kódot sikerült zsákmányolniuk ez azonban ordas kamunak tűnik. Az oldalt üzemeltető NSS Labs-nál a ltászat ellenére ugyanis nem hülyék dolgoznak: bár egy kint fejeltett install szkripten keresztül az ExploitHUB egyik internetre néző kiszolgálójára a hivatalos közlemény szerint valóban sikerült bejutniuk a kis csibészeknek, az elvárásoknak megfelelően ezen exploitokat nem, csak a megvásárolható kódok listáját tárolták. A magam részéről ehhez még hozzávenném, hogy jó eséllyel felhasználói adatokat is tárolhatott ez a szerver, a nyilvánosságra került dump azonban kizárólag publikusan elérhető adatokat tartalmazott. Biztos ami tuti, azért érdemes jelszót változtatni az oldalon.
Karácsonyi szünetre vonul a GhostShell nevű hackercsoport, de utolsó nagy dobásként 1,6 millió felhasználónevet és jelszót tettek közzé. A felhasználói adatokat olyan cégek és hivatalok adatbázisaiból nyerték ki, mint a NASA, a Pentagon, az amerikai Nemzeti Bank, az Interpol vagy épp az FBI. [...] az Európai Űrügynökség (ESA) adatainak egy része is belekerült a szórásba, így néhány magyar felhasználó nevét, telefonszámát, felhasználói azonosítóját és jelszavát is megismerhetjük.
Bukták
John McAffee-t visszatoloncolták az USA-ba, miután állítólagos belize-i ámokfutása után Guatemalába szökött, ott azonban elkapták, mivel a vele utazó nagyeszű újságírók nem törölték ki a GPS koordinátákat a Twitterre feltöltött fotóikból. A történet annyira szórakoztató, hogy legszívesebben leírnám még egyszer, de nem teszem: McAfee ugyanis már eladta a jogokat a sztori megfilmesítésére.
Nemzetközi bűnüldöző szerverk, valamint a Facebook együttműködésének eredményeként sikerült őrizetbe venni tíz személyt, akiket a 11 milliós Butterfly botnet üzemeltetésével gyanúsítanak. A társaság számlájára összesen 850 millió dolláros kár írható, amit a főként FB-n és MySpace-en terjesztett, "indítst el ezt az EXE-t, jó lesz neked" típusú Yahos kártevőn keresztül zsebeltek be.
"A Kolozsvári Táblabíróság jogerős végzése értelmében a követelt félmillió dollár helyett csak 15 ezres kártérítést kell fizetnie az NASA informatikai rendszerét feltörő Butyka Róbert kolozsvári hekkernek." - további infók az Indexen.
Sok éves jogi hercehurca után ugyanakkor Gary "UFO hacker" McKinnon, úgy tűnik megússza a NASA szerverein történő turkálást: a kiadatás megtagadása után az Egyesült Királyságban nem emelnek vádat az Asperger-védekezés feltalálója ellen.
Vérdíj
Tisztára valamelyik '90-es évek beli cíberpunk sci-fi-ben éreztem magam, mikor azt olvastam, hogy a japán rendőrség jutalmat tűzött ki egy C# programozáshoz jól értő, az online anonimitásban jártas illető kézrekerítésére. A jutalmat az után ajánlották fel, hogy a bűnüldözők két ártatlan fiatalt vettek őrizetbe, miután a valódi elkövető a gépüket proxyként használva tömegmészárlásokat előre vetítő üzeneteket helyezett el különböző fórumokon.
MS12-078: Újabb TrueType illetve OpenType betűkészletek kezelését érintő problémák javítása. A fontkezelést megvalósító kernel driveren keresztül távoli kódfuttatás érhető el rendszer szintű jogkörrel, ha a felhasználó megnyit egy speciális betűkészlettel készült weboldalt, e-mailt vagy más dokumentumot. Az OpenType hibát a Chromium Security Rewards Program keretében jelentették be a Documill szakemberei.
MS12-079: RTF fájlok kezelését érintő probléma javítása a Word 2013-asnál korábbi, windowsos verzióihoz. A probléma a speciálisan összeállított dokumentumot megnyitó felhasználó jogkörével enged kódot futtatni az érintett rendszereken.
MS12-080: Két hibajavítás az Exchange-hez, melyek közül az egyik a beépített Oracle Outside In komponenst foltozza, kiküszöbölendő egy csatlomány-előnézetek generálásakor keletkező, kódfuttatásra alkalmas hibát. Ez a sérülékenység alapértelmezetten LocalSystem jogosultságot nyújthat a sikeres támadónak, ami igen szűk mozgásteret biztosát. A másik javított probléma egy RSS csatornákon keresztüli DoS.
MS12-081: Ez egy szokatlan darab. Kódfuttatás érhető el a bejelntkezett felhasználó jogkörével, amennyiben a felhasználó egy speciálisan elnevezett fájlt vagy alkönyvtárat tartalmazó könyvtárat áll neki böngészni. A legfrissebb Windows szérián kívül minden támogatott oprendszer változat érintett.
MS12-082: Office dokumentumokba ágyazott DirectPlay tartalmak segítségével távoli kódfuttatás érhető el a Windows RT, valamint Server 2008 és 2012-n kívül minden Windows változaton.
MS12-083: A Microsoft IP-over-HTTPS (hogy mik vannak?) protokollmegvalósítása elfogad visszavont tanúsítványokat is, ami lehetőséget adhat a hitelesítő eljárások megkerülésére. A probléma elsősorban az IP-HTTPS protokollt előszeretettel használható DirectAccess VPN-helyettesítő szolgáltatásokat érinti.
Az Internet Explorer ebben a hónapban ugyan érintetlen maradt a microsoft részéről, ne felejtsétek el, hogy az Adobe szinkronizált frissítési ciklusával elérhetővé váltak új Flash változatok is. A javított sérülékenységek némelyikét Windows platformokkal szemben már aktívan kihasználják, ezért frissítsetek, amint lehet! Az Adobe emellett a ColdFusion-ön is tolt egyet.
Bónuszként úgy tűnik, hogy az Internet Explorer feliratkozik néhány olyan OS-eseményre is, ami a saját ablakán kívül történik, így egy egyszerű JavaScripttel követni lehet a felhasználók egérmozgását, illetve bizonyos billentyűinek állapotát is. A Microsoft állítólag október óta tud a dologról, de javítani egyelőre nem terveznek.
A bejegyzés komponálása közben a hallgatói Hálózat tüntetésével páruzamosan a kis anonok állítólag lelőtték Hoffmann Rózsa honlapját (vagy kifogyott a képernyőfényképész alól az ADSL). Remélem a pokémonok kaptak forró kakaót, amíg a HH-sok kint álltak a hóban...
Onity
Az idei BlackHat egyik sztárelőadásában Cody Brocious egy filléres Arduino felhasználásával demonstrálta, milyen könnyedén nyithatók a közel 4 millió szállodaajtón használt Onity zárak. Bár a cég először elzárkózott a javítástól, később pedig az ügyfeleire hárította volna az elekrotnikus zárak áramköreinek kicserélésének költségét, néhány éles rablást követően végül beleegyezett, hogy kicseréli zárait, legalábbis a nagyobb amerikai hotelekben.
Bukták
Több TB-nyi adatot juttatot ki és próbált meg értesíteni a Svájc titkosszolgálati feladatait ellátó NDB (Nachrichtendienst des Bundes) egyik volt alkalmazottja. A korábban vezető informatikai szakemberként a szervezetnek dolgozó gyanúsított a hírek szerint frusztrálttá vált, miután javaslatait a rendszerrel kapcsolatban figyelmen kívül hagyták, ezután döntött úgy, hogy a hátizsákjában hordozható merevlemezeken kicsempész más ügynökségek, vagy piaci szereplők számára értékes információt. A férfit azután kapták el, hogy számlát akart nyitni Svájc legnagyobb bankjánál. Azt nem tudni, hogy a CIA-től és az MI6-től is származó adatokat sikerült-e a lebukás előtt értékesítenie.
Új vádakkal kell szembenéznie az Anonymous egykori szóvivőjeként ismertté vált Barret Brownnak. Brownt még októberben tartóztatták le, miután online megfenyegetett egy FBI ügynököt. A vád most a Stratfor incidenshez köthető többrendbeli személyiséglopással és csalással is kiegészült. Ítélethozatal még egy darabig nem várható.
Elítélték Nerdo-t, aki három kis anonpajtásával annak idején tíz napon keresztül DDoS-olták a PayPal-t illetve zenekiadók weboldalait. A vád szerint a 22 éves Nerdo nevezte meg a célpontokat, és ő koordinálta az akciót IRC-n, így őt tekintik a négyfős banda vezetőjének. A szárnysegédek már korábban bűnösnek vallották magukat, a büntetési tétel kiszabására néhány héten belül fog sor kerülni.
1.1 millió
Támadás érte az Egyesült Államok egyik legnagyobb biztosítótársaságát. A Nationwide Mutual-tól 1.1 millió ember személyes adatait lovasítótták meg. Az incidens október 3-án esett meg, a vállalat azonban csak novemberbe kezdte el bevonni a hatóságokat az ügybe. A vállalat kedvezményeket és ingyenes identitáslopás-monitorozást ajánl érintett ügyfeleinek, valamint hangsúlyozza, hogy nincs információjuk arról, hogy a kiszivárgott adatokat illetéktelenül felhasználták volna - utóbbi gondolat azt hiszem megérdemli a Leszakadó Platinaplafon PR-díjat.
Kristin Paget az Apple-nél folytatja
trey@HUP:
A neves biztonsági szakértő, Chris Paget Kristin Paget mostantól az Apple csapatát erősíti. Paget volt egyike azoknak a szakembernek, akiknek a Windows biztonságának rendberakása fűződik nevéhez. A Wired elérte Paget-et, aki megerősítette, hogy az Apple alkalmazásában áll, de munkájáról többet nem árult el. Hogy korábban a Microsoft-nál mi volt pontosan a feladata, azt is titok övezi.
Kinkcope korai mikulásként december elején elküldött néhány érdekességet a Full-Disclosure listára. Lássuk mit kaptak a rosszcsontok csoki helyett!
Oppa Stuxnet Style!
A közzétett exploitok egy része fájl írási lehetőségeket használ fel parancsvégrehajtásra. A felhasznált módszer először a Stuxnet által kihasznált Windows Printer Spooler Service sérülékenység révén vált széles körben ismertté: A Windows Management Instrumentation periodikusan olvassa a %SYSTEM32%\wbem\mof könyvtárat új osztályleírók után kutatva. Egy ide helyezett .MOF fájlban megadható egy eseményszűrő, valamint a szűrőhöz tartozó szkript. A Stuxnet, valamint Kingcope exploitjai is létrehoznak egy szűrőt, ami Windows órájára figyel, és a megfelelő időpontban (konkrétan a másodperc számláló 5-ös értékénél) egy ActiveX vezérlőn keresztül lefuttatnak egy másik, a rendszerbe feltöltött EXE fájlt.
Ezzel a módszerrel működik például a FreeFTPD távoli kódfuttatás exploitja: A kiszolgáló a FreeSSHD hibás protokollmegvalósítását használja az FTPS burkoló megvalósításához, így az autentikáció a kliens módosításával megkerülhető. Mivel azonban az FTP kiszolgáló alapból nem biztosít shellt, a fenti módszer kerül alkalmazásra a parancsvégrehajtás eléréséhez.
Kingcope ezen kívül két új implementációt ad MySQL-en keresztüli oprendszer vezérlésre: az egyik lényegében megegyezik a már rég óta ismert UDF technikával, a másik viszont a Stuxnet módszerrel egy kicsival talán kisebb megkötést ad a támadónak (nem kell CREATE FUNCTION, csak CREATE FILE jog).
0-day-ek
A legnagyobb újdonságot két MySQL 0-day hiba jelenti. Egy stack és egy heap overflow problémáról van szó: előbbi felháborítóan egyszerű, egyetlen GRANT utasításra triggerelődik, ha az adatbázisnév kellően hosszú és közvetlen EIP vezérlést ad, utóbbiegy érvénytelen DELETE utasítás esetén ad 4 byte-nyi kontrollt a támadónak a kiszolgáló egyik pointere felett.
A stack overflow-t a MySQL-ben és a MariaDB-ben is, a heap overflow-t ahogy látom egyelőre csak a MariaDB-ben javították.
Bár a sérülékenységeket Kingcope csak PoC formában publikálta (a mysqld meghal, de támadói kód nem fut le), már ez is elég egy elegáns jogosultságkiterjesztés bemutatásához:
Ha van egy felhasználónk, aki képes fájlokat írni, létrehozhatunk egy TRIGGER fájlt, amiben gonosz módon a root-ot adjuk meg tulajdonosként, így a trigger az ő nevében fut le. Azaz csak futna, ugyanis a fájl nem kerül betöltésre a kiszolgálóba annak újraindulásáig, ehhez viszont elég zavart okoznunk az erőben a fenti stack overflow-val. Következő alkalommal, mikor a TRIGGER feltétele teljesül, az általunk meghatározott utasítás fog lefutni a root felhasználó jogkörével.
Bónuszként van itt még egy autentikáció utáni DoS-ra alkalmas sérülékenység az UpdateXML() eljárásban, valamint egy felhasználó enumerációs technika, ami abból adódok, hogy a 4-es vagy régebbi MySQL kiszolgálók autentikációs módját 5-ös kiszolgálóknál használva elrontott bejelentkezéskor különböző hibaüzenet jön vissza létező illetve nem létező felhasználók esetén. Kingcope felhívja a figyelmet továbbá, hogy bejelentkezett felhasználók viszonylag gyorsan képesek jelszavakat pörgetni online a MySQL protokolljában definiált change_user parancs segítségével.
Egy magát Parastoo-nak nevező csoport behatolt a Nemzetközi Atomenergie Ügynökség (IAEA) egyik szerverére, és több mint 100 szakértő adatait publikálták. A támadással a csoport azt kívánta elérni, hogy az IAEA fogalmazzon meg kritikát Izrael nukleáris programjával kapcsolatban. A szervezet elismerte az incidenst, de hangsúlyozza, hogy a támadás csak egy már leselejtezett szervert érintett.
A Kaspersky közzétette egy, még tavaly a szír külüggyel szemben spear phishing támadásokra használt kártevő elemzését. A módszerekben nincs nagy újdonság, de azért hasznos olvasmány.
A Japán Űrkutatási Ügynökségtől lenyúlták egy szilárd tüzelőanyagú rakéta terveit. Az incidens mindössze egyetlen munkaállomást érintett - ez jól mutatja, hogy egy minimális kiterjedtségű támadás is mekkora kárt tud okozni.
Piwik
Hátsó ajtót építettek a Piwik webanalitikai szoftverbe. A kártékony kódrészlet egy, a Piwik szervereit érintő biztonsági incidens eredményeként került a forrásba november 26-án, a támadók a weboldalon futó egyik WordPress plugin hibáját kihasználva szereztek hozzáférést. Az incidens a szoftver 1.9.2-es változatát érintette.
Biztonsági frissítések
Google Chrome -Pinkie Pie 64-biten is sikeresen átvette az irányításta böngésző felett, a hibát egy másik, elérési utak helytelen kezelésével kapcsolatos problémával együtt javították.
Négy héttel ezelőtt, október 30-án került megrendezésre a Cyberlympics 2012 döntője, ahol két magyar csapat, a PRAUDITORS és a gula.sh képviselte hazánkat. Az alábbiakban a gula.sh csapat beszámolója következik.
Október 27-én szombat hajnalban indultunk Miamiba. A PRAUDITORS csapat ugyanazt a járatot választotta, mint mi, így a berlini átszállás alatt, illetve a TSA ujjlenyomat vételre várva volt időnk megvitatni, hogy vajon milyen lesz a verseny, és persze azt is, hogy mit fogunk csinálni utána :).
A hétfői verseny előtti vasárnap összeültünk, hogy lefejlesszük a még hiányzó eszközöket, illetve megbeszéljük a követendő taktikát. A fejlesztés hajnalig tartott, volt olyan csapattársunk, aki nem is aludt a verseny előtt. A tét nem volt kicsi, mivel az utolsó kontinentális szintű selejtezőn második helyezést értünk el, és a második helyezettek közül csak egy juthatott be a döntőbe, ezért meg kellett nyernünk az előselejtezőt, hiszen nem 3 órányi játékért utaztuk át a fél világot.
Elérkezett végül a hétfő reggel. Elsőként érkeztünk a helyszínre, ereinkben több kávéval, energiaitallal és adrenalinnal, mint vörösvértesttel. Kezet fogtunk a szervezőkkel, megérkezett közben a többi csapat is, mi pedig körbeültük az asztalunkat, és pattanásig feszült hangulatban vártuk, hogy végre történjen valami. A kezdés előtt pár perccel az egyik szervező ismertette a játékszabályokat, amiket már szinte kívülről tudtunk, annyiszor néztük át az előzetesen kapott anyagokat.
Mikor elhangzott az utasítás, hogy kezdhetünk, szinte egyszerre kattantak az UTP kábeleink a portokba. Az előselejtező alatt minden csapat 5 szervert kapott, csupa elavult OS-t (pl. Windows 2000, Windows XP), régi Linux-ot. Blue teamünk bejelentkezett a gépeinkre, és hardenelni kezdte őket (a Windowsos gépekre RDP-n ez nem mindig sikerult sajnos), Red teamünk pedig elindította az éjszaka fejlesztett eszközöket. Nagyjából 30 percnyi játék után fölényesen vezettünk, a gépek nagy részén a mi flagunk volt (a csapatunk egyedi stringje egy flag.txt file-ban), a gonosz trükkjeink (gonosz, nem szabálytalan!) pedig néha látványos fejtörést okoztak az ellenfeleknek. Valahol itt lehetett az a pillanat, amikor kicsit megnyugodtunk, illetve amikor a szervezők bejelentették, hogy “Forensics” challenge-eket is bedobnak. A challenge-ekre nyilvánvaló volt, hogy a WeChallen a magyar ranglistát vezető csapattársunkat állítsuk, aki az előselejtező végére egymaga több pontot szerzett, mint az utolsó csapat összesen. (Az egyik challenge beküldése után a szervező, aki a megoldást ellenőrizte felkiáltott, hogy milyen nagyszerű, mert ezt eddig senki sem oldotta meg...ezúton is köszönjük még egyszer Z-nek a szép teljesítményt :) ). Végül letelt a három óra, megnyertük az előselejtezőt és indulhattunk a hatórás döntőn.
Alig fél óránk volt, hogy összeszedjük a tapasztalatainkat, megbeszéljük hogy miken változtatunk, majd amit csak lehetett, még a döntő előtt módosítottuk. Kicsit higgadtabban érkeztünk a döntőre, ami annyiban volt más, hogy nem volt felhasználónk a gépekhez, először hozzáférést kellett szerezni, flagelni, majd megvédeni más csapatoktól (illetve “forensics” challenge-ek sem voltak, Z őszinte sajnálatára). A másik különbség a célpontok jellegében volt. Míg az előselejtezőn szinte minden gépet egy gyors exploittal meg lehetett szerezni, addig a döntőben csak néhány gépet, és inkább hosszabban kellett szöszmötölni, mire sikerült teljes hozzáférést szerezni. Voltak gépek, amiket az egész verseny alatt senki sem tudott birtokolni (a mai napig nem tudjuk, hogy volt-e valami szerepe ezeknek a gépeknek, vagy hogy volt-e rá mód, hogy flageljük őket).
A verseny kezdetén csak 10 célpont volt, és az idő előrehaladtával 5-10 gépenként hoztak be újabbakat, míg a végére összesen kb. 30-35 célpont lett. A HACK.ERS csapata szinte az elejétől fogva vezetett, így az igazi küzdelem a második és harmadik helyért folyt. A hat óra alatt volt, hogy második-harmadik helyen voltunk, volt hogy az ötödiken, a verseny vége előtt fél órával pedig letakarták a scoreboardot, így már csak az eredényhirdetésen tudtuk meg, hogy a harmadik helyet sikerült megszereznünk.
Nagyon örültünk a dobogós helyezésnek, viszont nagyon fáradtak is voltunk, így igazi ünneplésre csak pár órával később került sor. Összességében pozitív élményekkel zártuk a versenyt, mindannyian nagyon élveztük a dolgot, az utána következő jól megérdemelt pihenésről pedig a 30 fok és Miami Beach gondoskodott. ;)
Az utóbbi napokban kisebb pánikot okozott bizonyos körökben, hogy egy eddig kevéssé ismert máltai cég, a ReVuln egy 0-day SCADA sérülékenységek kihasználását bemutató videót tett közzé, nem titkoltan privát exploit kínálata propagálására. A sérülékenységek részleteit a cég a vele kapcsolatba lépő ICS-CERT-nek nem adta ki, az exploitok kizárólag a ReVuln fizető kuncsaftjai számára lesznek megismerhetők a független publikálásig vagy javításig.
Mielőtt azonban elszaladunk lekapcsolni Paksot, érdemes tisztába kerülni néhány dologgal: a SCADA szoftverek jórészt teljesen hagyományos, x86-on, népszerű operációs rendszereken futó komponensekből állnak, melyekben jól ismert módszerekkel lehet sérülékenységeket keresni és a hibakihasználás eszköztára is készen áll. És bár az ember szívesen feltételezné, hogy az általában kritikus funkcionalitást megvalósító szoftverek tervezése és fejlesztése szigorú biztonsági kontrollok mellett történik, a valóságban sajnos elmondható, hogy ezek a termékek (is) gyakran igen silány minőségűek.
Ezt a hazai tapasztalatok mellett Aaron Portnoy rövid kísérlete is alátámasztja: az Exodus Intelligence "kereskedőházat" vezető kutató saját bevallása szerint 23 sérülékenységet talált különböző SCADA szoftverekben egyetlen délelőtt alatt.
A két eredmény publikálását körülvevő kis szappanopera azt hiszem jól bemutatja a sérülékenység-piac ellentmondásait: Portnoy finom utalásokat tesz, hogy kritikus ipari rendszerek ellen használható exploitokat árulni nem feltétlenül a legetikusabb magatartás, mire Luigi Auriemma, a ReVuln alapítója felemlegeti, hogy Portnoy-ék is elérhetővé teszik partnereik számára a sérülékenység-információkat még a javítás megjelenése előtt, és talán még a kutatóikat is átverik eközben. (A nagyközönség pedig csendben pánikol, hogy mikor zuhan a fejére egy repülő)
A pátoszos érvek és elvek mögött persze leginkább jól kigondolt üzleti modellek és marketing stratégia állnak, melyek mind a maguk módján próbálják felszívni és pénzzé tenni a világ kutatói által rajtakapott bugokat. És bár úgy tűnhet, hogy egy új jelenséggel van dolgunk, mi most valószínűleg csak a kis halak összezörrenéseit látjuk a már évtizedek óta offenzív kutatásokkal foglalkozó, csendben úszkáló "védelmi beszállítók" uralta tengerében.
A víruskergetők legújabb találata egy spéci kis féreg, ami USB adathordozókon és hálózati meghajtókon keresztül terjed és kifejezetten alim, shahd illetve maliran nevű adatbázisokra utazik, melyekben adatokat változtat meg és töröl. Az egyértelműen szabotázs céljára fejlesztett, Narilam névre keresztelt kártevőt eddig csak Iránban észlelték. Friss: Megjelent az iráni CERTCC hivatalos közleménye is, melyben kifejtik, hogy a kártevő már 2010 óta ismert, és feltehetően egy kis- és közepes cégeknek szállító szoftverfejlesztő társaságot célzott. Valószínűleg tehát valamiféle amatőr lejártó akcióról lehet szó, nem pedig államilag támogatott szabotázsról, bocs a félretájékoztatásért!
Biztonságos rádiók
Bajban lehet az amerikai Nemzetbiztonsági Minisztérium, miután kiderült, hogy a több száz millió dollárból biztonságos kommunikáció céljára fejlesztett rádióhálózat nem működik. Emellett egy szakértői bizottság azt is megállapította, hogy a civil vészkommunikáció hordozására nem a legjobb választás az LTE, mivel a vezérlő csatornák zavarásával a szolgáltatás nagy területen jammelhető egy néhány száz dolláros szoftveres rádió segítségével.
Bukták
Első fokon bűnösnek találták weev-et, aki az ügyfél azonosítók pörgetésével több mint 100.000 iPad tulajdonos e-mail címét nyerte ki az AT&T hálózatából. A Full-Disclosure egykor kedvenc troll-csemetéje természetesen fellebbez az ítélet ellen.
Görögországban egy 35 éves férfit gyanúsítanak egy 9 millió rekordos, személyes adatokat tartalmazó adatbázis lenyúlásával. Az eset érdekessége, hogy ez a mennyiség gyakorlatilag a teljes görög lakosságot érintő incidenst jelent. Mielőtt leesne a kedves olvasó álla megemlíteném, hogy kishazánkban is volt nem egy ilyen eset: az iWiW adatbázisának értékesítése mondjuk nem jött össze, de ha az információim korrektek, legalább az egyik kópé még mindig szabadlábon van...
eBay
A népszerű aukciós és bevásárló portálban egy SQL injection és egy XSS sérülékenységet is javítottak. A hibákat egy független szakértő, David Vieira-Kurz jelentette be, a problémákat 20 nap alatt orvosolták. Az eset remélhetőleg ösztönzi majd az internetes óriást, hogy a Facebook, a PayPal és a Google példáját követve anyagilag is ösztönözze a független sérülékenység ellenőrzést.
S
Két apró de jelentős hírmorzsa: A Facebook nekiállt az összes közösségi forgalom HTTPS csatornára terelésének, a HTTP Strict Transport Security pedig hivatalosan is Internet szabvány lett, juhé!
Bulvár
A mélytengeri bulvár kategóriában, ma megosztanám John McAfee hivatalos blogjának URL-jét, illetve azt a vicces kis hírt, hogy Vilmos herceg hivatalos oldalán olyan fotók jelentek meg, melyeken kivehetők voltak az RAF egyes jelszavai.
Biztonsági frissítések
Firefox 17 - A legújabb változat összesen 16 sérülékenységet orvosol, melyek közül 6 kpott kritikus besorolást
Opera 12.11 - Az új kiadás távoli kódfuttatásra alkalmas sérülékenységet javít
ColdFusion - Ebben a verzióban csak egy "sovány" DoS probléma javítására futotta
Az Adam Gowdiak nevével fémjelzett Security Explorations nyilvánosságra hozta az ún. SE-2012-01 projekt eredményeit. A projekt célja az volt, hogy képet adjon a Java futtatókörnyezetek biztonságáról, és rámutasson a biztonsági architektúrát fenyegető hibaosztályokra. A most közzétett kutatási anyag egyrészt hiánypótló összefoglalást ad a Java biztonsági mechanizmusairól, és bemutat egy sor módszert ezek megkerülésére is.
A kutatás fókuszában a Reflection API állt, ami az alkalmazások futásidejű elemzését illetve manipulálását teszi lehetővé. Mint kiderült, bár az API tervezésekor eredetileg számoltak a biztonsági következményekkel, maga a futtatókörnyezettel szállított csomgok sok esetben veszélyes módon használják ezt a felületet.
(c) Security Explorations - Katt a nagyításhoz!
Az alaprendszer nyilvánosan elérhető osztályai megengedhetik a hívónak, hogy tetszőleges paramétereket adjon át az osztályokon belül használt Reflection interfészekhez. Mivel ezek az osztályok általában kiterjedt, vagy egyenesen korlátlan jogosultságokat biztosító kontextusban léteznek, a Reflection API pedig csak a közvetlen hívó privilégiumait ellenőrzi, egy sandboxból jövő támadó például referenciákat szerezhet biztonsági okokból letiltott csomagok (tipikusan a sun.*) osztályaira és metódusaira, amivel teljes hozzáférést kaphat a virtuális gépen kívüli világhoz. A dolog kicsit hasonlít a parancsinjektálásra, csak itt végül Java bytekód kerül futtatásra.
Ez persze csak egy igen nagyvonalú összefoglaló, az anyag számos különböző exploit technikát ismertet, kezdve a triviálisan kihasználható "Mire kérsz referenciát?" attitűddel megáldott publikus metódusoktól, a hívótól származó adatok szó nélküli deszerializálásán keresztül az XML-ben felépített bytekódokig - mondhatni kötelező olvasmánnyal van dolgunk. Ezen túl a publikáció másokat is megihletett: az Immunity Java szakértője egy hosszabb blog posztban emlékezik meg a Godwiakék munkájának gyümölcseként mostanra már ellehetetlenített, AnonymousClassLoadert alkalmazó exploit technikáról, ezt is melegen ajánlom minden Java hackernek.
(c) Security Explorations - Katt a nagyításhoz!
Az SE-2012-01 érdekes tapasztalatokat oszt meg a különböző gyártók hibajavítási szokásaival kapcsolatban is: A SE az Oracle mellett az Apple és az IBM Java implementációit is vizsgálta, és ezekben is talált problémákat, melyeket jelzett is a gyártóknak.
Az Apple ugyan minden hibát kijavított maximum 5 hónap alatt (valamint egy frissítéssel nem régeltávolította az alapértelmezetten települő saját csomagját a felhasználók gépeiről), de a javítások tényéről nem, vagy csak részben tájékoztatta a felhasználókat (sérülékenység javítás vs. biztonsági megerősítés), a hiba felfedezőiről pedig egyáltalán nem emlékeztek meg és a hibák státuszáról sem tájékoztatták őket. Az IBM ezzel szemben rekordsebességgel (2 hónap) javította a bejelentett problémákat, a feljesztőket pedig rendszeresen tájékoztatta.
Az Oracle-nek pedig most sem sikerült szépítenie: a lomha javítási tempónak köszönhetően a cégnek egy 0-day fenyegetést gyorsjavítással kellett kezelnie, két hibajavítással pedig még mindig adós a válllat. Ezek közül az egyik az utóbbi 10 év összes Java kiadását érinti, a gyártó jövő februárra ígéri a javítást, ami a SE szerint egy 25 karakteres módosítást igényelne, és még integrációs tesztekre sem lenne szükség (bár ezt az Oracle feltehetően másként látja).
Ennek a posztnak kapcsán sem győzöm tehát hangsúlyozni, hogy a Java jelenlegi állpotában egy időzített bomba a munkaállomásokon, amivel szemben sem a rendszeres frissítés, sem a bevett memória-hardening nem nyújt védelmet, az antivírusokról nem is beszélve (az obfuszkálós posztomat egy kollega tovább vitte - kösz a linket axt!). Az SE-2012-01 várhatóan katalizálja majd a kutatást, reménykedjünk benne, hogy ez talán megolajozza egy kicsit a fő szállító óriás fogaskerekeit!
Úgy tűnik hogy a Nintendo Wii U hálózata órákkal az indítás után már kompromittálódott. A hibát Trike, egy mezei felhasználó véletlenül találta a Miiverse böngészése közben, szóval nem kellett semmi exploit vagy tech hókuszpókusz, ennél sokkal triviálisabb a hiba: a fejlesztők egyszerűen bent felejtettek egy tesztelésre használt kódot. A felhasználó a neogaf fórumán tette közzé a felfedezését, a post címe valami ilyesmi: "Azt hiszem feltörtem a Miiuniverse-t, de lehet hogy hülye vagyok". Az ember a kontaktlistáját szerette volna szerkeszteni, és eközben talált rá véletlenül a debug menüre, amiről először azt hitte hogy valami rejtett feature. A debug menü előhívása a post szerint úgy működik, hogy a pointert az "X" fölé viszi a Miiverse-ben, majd a konzolon is megnyomja az X-et. Bóklászás közben elkeveredett egy olyan felületre ahol az adminisztrátorokat lehet adminisztrálni, úgy mint hozzáadni, törölni és módosítani. Az alábbi kép ezt a felületet mutatja:
Attól tartok hogy az authorizáció és authentikáció hiánya csak a jéghegy csúcsa, lehet érdemes lenne a körmére nézni a fejlesztési és élesítési folyamatoknak. Alig hogy elindult a Wii U, máris elkezdték szétcincálni, különböző fórumokon igencsak aktívak a témáról szóló threadek. Akit érdekel a téma, annak ajánlom figyelmébe a wiiuhacks.com oldalt, ahol szépen gyűjtögetik a legfrisebb buherálásokat, és ahogy elnézem nincs belőlük hiány.
Novemberben újra lesz Open Academy, ahol most sem feledkeztek el a biztonsági témákról. A sajtóanyagból:
Az idei program több szempontból is kuriózumnak számít, hiszen a nyitóelőadást az ESET központjából érkező malware kutató Robert Lipovsky tartja, aki a legismertebb kártevők és a víruslaborok világába kalauzolja el a hallgatóságot. A külföldi előadó mellett újdonságnak számít az Open Academy Meetup is, melyre tíz perces előadás-pályázatokat várnak a szervezők. A program további részében a Microsofttól Lepenye Tamás beszél a Windows 8 adminisztrációról, Czéh István a BalaBit IT üzemeltetési vezetője az infrastruktúra tervezésről, Krasznay Csaba a HP IT biztonsági szakértője pedig a Human Security Awareness-ről.
Időpont: 2012. november 28. 17:00-22:00 (sajnos ez erősen üti az OWASP Napot) Helyszín: BME Q épület
A rendezvény mindenki számára nyílt és ingyenes, de regisztrációhoz kötött. A részletes információk és teljes program megtalálható az Open Academy weboldalán.
Az első kevésbé sikeres kezdeményezés után újra alakulóban van egy hazai OWASP tagozat, melynek első, alakuló rendezvényére jövő szerdán kerül sor:
Időpont: 2012. november 28., szerda, 16:00 - 20:00
Helyszín: 1146 Budapest, Ajtósi Dürer sor 19-21. szám alatti Professzorok Háza irodaház halljában.
Programterv:
Az első rendezvénnyel a magyarországi alkalmazásbiztonsági szakmát célozzuk meg. Megvitatjuk, miről szól ez a szakma, és mi a szerepe ebben az országban jövőre. Cél lenne a tagok toborzása, támogatók vonzása, valamint a helyi tagozattal foglalkozó, stratégiáját és rendezvényeit meghatározó közösség kialakítása.
A rendezvény tervezett mottója
"2013-ban Magyarországon milyen alkalmazásbiztonságnak van helye, mik a lehetőségei és korlátai?"
Vitaindító gondolat
"Nem igényel bizonyítást, hogy az alkalmazásbiztonság a 2010-es években a fejlesztés elválaszthatatlan részévé válik, és pénzt kell rá költeni. Hasonlóan ahhoz, ahogyan az előző évtizedben a tesztelés vívta ki a maga helyét a fejlesztésben és a büdzsékben. Vajon Magyarországon, mely relatíve érdektelen a hackerek számára, és ahol a 2013-as év megint a költségek leszorításáról fog szólni -- itt ki és miért fog költeni az AppSec-re?!"
Első menet 16:00-17:45
"Intro az OWASP-ról", Szabó Bálint és Fekete Tibor (OWASP magyar tagozat), 20p
Az antívirus piac egyik legnagyobb neve, John McAfee az utóbbi időben nem éppen a kiberbiztonsággal kapcsolatos tevékenységéért kerül be a hírekbe. Az üzletember most valószínűleg átlépett egy határt: a gyanú szerint McAfee a házilag kotyvasztott MDPV nevű kábítószer hatása alatt lelőtte a szomszédját majd elmenekült a rendőrség elől, jelenleg körözés alatt áll Belize-ben.
Bukták
Hat évre eltiltották a nettől Cosmot. Ügyvédje az ex-UGNazi tagot Mozarthoz hasonlítja, ami a manapság jellemző kiddie eszközök és módszereket figyelembe véve azért erős túlzásnak tűnik. Ettől persze a 2012-ben a világ fejlett részén nettől való eltiltás elég nagy érvágás lehet bárki életében. De aki kiddonak ál...
A FreeBSD Security Officer ma bejelentette, hogy 2012. november 11-én, vasárnap behatolást észleltek a FreeBSD.org gépei közül kettőn. Az érintett gépeket elemzés céljából offline állapotba tették. Emellett az infrastruktúrát alkotó, fennmaradó gépek jelentős részét elővigyázatosságból szintén lekapcsolták az internetről.
A FreeBSD projekt eddig nem talált semmilyen bizonyítékot arra nézve, hogy olyan módosításokat hajtottak volna végre a támadók, amelyek a végfelhasználókat bármiféle veszélynek tenné ki. Ennek ellenére arra bíztatnak minden felhasználót, hogy olvassák el a helyzetjelentést és annak fényében hozzák meg önmagük a megfelelőnek ítélt döntésüket.
A helyzetjelentés szerint a behatolás - amelyet november 11-én észleltek - legkorábban szeptember 19-én történhetett.
Az incidens a jelek szerint egy fejlesztőtől kiszivárgott SSH kulcs miatt következett be. A támadás a külső felektől származó csomagok build környezetét érintette. Az alaprendszer komponensei érintetlenek maradtak, az azonban egyelőre nem zárható ki, hogy a szeptember 19. és november 11. között generált bináris csomagok kompromittálódtak.
Most az Adobe egyik szervere esett áldozatul egy SQL injekt támadásnak, a felelősséget egy bizonyos ViruS_HimA vállalta magára egy pastebin üzenetben, november 13-án. Állítása szerint az adatbázis dump 150,000 email címet, md5 hashelt jelszót, és egyéb felhasználói adatokat tartalmaz. Indoklása szerint a támadás aprópóját a cég kritikus hibákhoz való hozzáállása adja, és itt főleg a reakcióidőkre kell gondolni. Az áldozat a connectusers.com, amely ezidáig az Adobe Connect videokonferencia szolgáltatásának hivatalos fórumának adott helyet. Az incidenst követően a szolgáltatást leállították, jelenleg a következő üzenettel fogadja a látogatókat:
Az Adobe Connect blogján megerősítette a breach tényét, és elkezdte a jelszavak megváltoztatását és az érintett felhasználók értesítését. Természetesen a jelszavak más weboldalakon, szolgáltatásokon való újrahasznosítása magában hordozza a további kompromájzok lehetőségét, ami már nem feltétlenül az Adobe problémája, de a fenti blog bejegyzésben erre külön figyelmeztetik a felhasználókat. A támadó fontosnak tartotta megemlíteni hogy talált .mil, és .gov-os, adobe-s és egyéb érdekes címeket is, amelyekből adott is egy kis ízelítőt, illetve az alábbi screenshoton piros nyilakkal jelölte.
A támadó az első pastebines postban már előre beígért egy leaket a Yahoonak is. Ezek szerint már onnan is van valami... És még egy post, a már feltört jelszavakról.
MS12-071 - Három use-after-free probléma javítása az Internet Explorer összes támogatott változatában (IE10-et is beleértve). Aproblémák távoli kódfuttatásra adnak lehetőséget, mielőbbi frissítés ajánlott.
MS12-072 - Egy távoli támadó kódot futtathat, ha az áldozat egy speciális táska objektumot (igen, ilyen is van a Windows-ban :) nyit meg a hálózaton. A kódfuttatás lehetősége egy integer túl- illetve alulcsordulásos problémából adódik. Minden 2008 Server Core-on kívüli Windows változat érintett.
MS12-073 - Az IIS 7.5 FTP szerverén rosszul vannak meghatározva az Operational Log jogosultságai, így egy támadó a napló olvasásával felhasználónevekehez és akár jelszavakhoz is(!) hozzáférhet. Ezen kívül TLS kapcsolatok felépítése előtt védtelen csatornán is elfogad üzeneteket az FTP kiszolgáló, ami parancs beszúrásra adhat lehetőséget (érdekes módon a figyelmeztetőben nincs aktív támadói pozícióra vonatkozó kikötés, szóval lehetséges, hogy IP spoofing is működik).
MS12-074 - Öt hibajavítás a .NET keretrendszerhez. A legsúlyosabb sérülékenység távoli kódfuttatást tehet lehetővé a .NET alkalmazások által felderített automatikus proxy konfigurációkba (WPAD) szúrt JavaScript kód segítségével - erről bővebben itt olvashattok. Javításra került ezen kívül egy DLL hijacking, két Reflection-t használó jogosultságkiterjesztésre alkalmas és egy információszivárgást okozó probléma is.
MS12-075 - Három helyi jogosultságkiterjesztésre alkalmas probléma javítása a Windows összes támogatott változatához. Az egyik sérülékenység szokásosan a TrueType betűkészletek kezelését érinti, a másik kettő kevéssé specifikált use-after-free probléma a win32k.sys-ben.
MS12-076: Több memóriakorrupciós probléma javítása az Excelben. A múlt hónapban FD-re érkezett PoC-al ez az update úgy tűnik nem foglalkozik (bár valószínűleg a hiba sem kihasználható, de legalább nagy a flame). A javítások az Office Mac-es változataihoz valamint a hozzákapcsolódó kompatibilitási csomagokhoz is telepítendőek!
A hibák besorolása az utolsó kivételével kritikus, és a Microsoft megítélése szerint 30 napon belül minddel kapcsolatban várható exploit megjelenése.
Van egy ősi kínai mondás, miszerint Kevin Mitnick olyan a hackereknek, mint Erdős Pál a matematikusoknak: aki nem ismeri a nevét, nem is lehet igazi szakmabéli. Annyi biztos, hogy akit egyszer elkezd igazán érdekelni a hackelés, előbb-utóbb találkozik Mitnick nevével. A másfél éve amerikában megjelent életrajzi könyvéhez magyarul először az idei ITBN-en lehetett hozzájutni.
Rengeteg legenda és félinformáció kering a tetteiről, sokan valószínűleg a Free Kevin mozgalomról is hallottak. Ez a könyv hivatott hitelesen leírni Mitnick történetét. A sztorikat ő maga szállítja, irodalmi stílusba pedig az a William L. Simon ültette őket, akivel az előző két könyvét is jegyzi, és aki mellesleg a fiatal Kevin Mitnick elleni egyik eljárásban szereplő ügyész ikertestvére.
A könyv Mitnick gyerekkorától indul. Az egész az egyszerű bűvésztrükkökre való rácsodálkozással kezdődött, aztán jöttek az ártalmatlan csibészkedések a haverokkal, belógások ide-oda, majd fokozatosan durvább ügyek következtek. El is kapták, azt gondolná az ember, pár hónap a fiatalkorúak börtönében kijózanító hatással bír. Persze erről szó sincs, a hackelések folytatódtak, a trükkök kifinomultabbak és agyafúrtabbak lettek, az ellenfél és a kihívás egyre nagyobb lett. Közben folyamatosan ment a macska-egér játék a hatóságokkal, eszméletlen izgalmas történeteket kapunk a legnagyobbak meghackeléséről, az FBI csapdáiról, a social engineering igazi erejéről. Mitnick hihetetlen kurázsiról és pofátlanságról tesz tanúbizonyságot (felhívni azt az FBI ügynököt, aki az ellened folyó hajtóvadászat vezetője és megkérdezni tőle, hogy mióta hallgatják le a telefonod nem kis tökösséget kíván :)). A végén persze kattan a bilincs és hosszú évek következnek a hűvösön. A jogi eljárásban tapasztalható alapvető alkotmányos jogok - ami függetlenül attól, hogy mit követett el, mindenkinek jár - megsértése hívta életre a Free Kevin mozgalmat.
Nagyon fontos kiemelni, hogy Mitnick nem angyal és nem is ártatlan áldozat. A könyvben leírt grandiózus és lehetetlennek tűnő törések akkor is törvénytelennek számítanak, ha a hackert csak a kíváncsiság vagy a kihívás hajtja. Aki jó bulinak tartja az így szerzett hírnevet, az gondolkodjon el azon, hogy milyen lehet folyamatosan abban a tudatban élni, hogy nem biztos, hogy haza tud menni este, mert lehet, hogy a rendőrök éppen feltúrják a lakást, és akkor csak az marad, ami épp nála van.
A kép viszont, amit Mitnick önmagáról sugallni próbál, alapvetően követendő hozzáállás lehet mindenkinek. Állítása szerint sosem okozott kárt, a kiválasztott ellenfél legyőzése volt a cél, nem a vandálkodás. Egy jó analógiát is talált erre: a sakkban is csak annyi a cél, hogy feldöntsd az ellenfél királyát, és nem az, hogy ezután még az összes fennmaradt bábuját is leszedd a tábláról. A károkozás persze viszonylagos, hiszen a nyomozati költségek és a rendszergazdai túlórák is átválthatók USD-re. Ezek viszont még mindig eltörpülnek amellett, amit valóban okozhatott volna. Letartóztatásakor több tízmillió dollárnyi, akár azonnal készpénzre váltható információn csücsült, mégis ügyvédet kellett kirendelni mellé, ill. ismerősökön keresztül talált jogászok védték ingyen, mert nem tudta kifizetni a költségeket. (A károk megbecsülésekor persze a cégeket sem kellett félteni...) Összességében végül elég olcsón megúszta. A könyvben leírt hackelések töredékéről tudott egyáltalán a vádhatóság, és ebből sem tudtak mindent rábizonyítani. Egyes tettekről most írt először és én élek a gyanúval, hogy nem is írt le mindent.
Van viszont egy nagyon fontos tanulsága a történetének. Bár az események, főleg a nagy cégek elleni támadások a kilencvenes évek elején-közepén játszódnak, a biztonságtudatosság csöppet sem javult azóta. Mitnick fő fegyvere a social engineering: kidumálni a célpontból a legbizalmasabb titkaikat. Minek jelszavakat találgatni meg exploitokat reszelgetni, ha fel is lehet hívni a fejlesztőt, hogy ugyan csomagolja már be a forráskódot és küldje már el ftp-n? Az informatikai környezet persze hatalmasat változott azóta, de a felhasználók fikarcnyit sem. Talán nem túlzás azt mondani: sőt.
Mitnick 2000 januárjában szabadult, jó útra tért és ma saját biztonsági cégét vezetgeti, miközben körbehaknizza a világot. Hírnevét a médiának köszönheti, mely hisztérikusan karolta fel nem mindennapi történetét. Legnagyobb tragédiája egyben legnagyobb szerencséjévé is vált: nem tudott leállni.
Kevin Mitnick egy TV show keretében használt újra számítógépet, miután letelt 8 éves eltiltása
Hódmezővásárhely Városellátó és Foglalkoztató Közhasznú Nonprofit Kft.
A csodás Blikkben olvashattuk, hogy megfogták F. Józsefet, aki a címben említett szervezettől nyújta le a dolgozók 12 millió forintnyi fizetését. Az általában Herakleitos néven futó "profi hacker" eddig torrent site-ok törögetésével és trójai programok terjesztésével szerzett magának kétes hírnevet elsősorban a hazai torrentes körökben. A lebukást a hírek szerint elsősorban annak köszönheti, hogy saját e-mail címet adott meg, mikor a zsákmány számára széfet bérelt.
Mindig Coca-Cola
Három év elteltével derült ki, hogy 2009-ben feltörték a Coca-Cola számítógépes rendszerét és onnan a kínai Huiyuan csoport felvásárlásával kapcsolatos anyagokat nyúltak le. A céget 2.4 milliárd dollárért akarták felvásárolni, de az üzlet az incidens után nem sokkal meghiúsult.
Twitter
A Twitter egy rakás felhasználónak kiüttöte a jelszavát, miután több nagy népszerűségű hozzáféréssel kapcsolatban illetéktelen tevékenségre lettek figyelmesek - a gépezetbe azonban apróbb hiba csúszott, így sok, egyébként érintetlen felhasználónak is jelszót kellett változtatnia. A Sophos beszámolója szerint a valódi áldozatok közös jellemzője volt az érdeklődés a kínával kapcsolatos témák iránt, a politikai motivációnak azonban némileg ellent mond, hogy az ügyben szintén érintett Ars Technica falára egyszerű "dolgozz otthonról" spamet küldtek a támadók.
#OpNov5
Anonék megint hatalmasat gurítottak november 5. alkalmából: a kiddoknak sikerült deface-elniük egy hippifesztivál, egy webfejelesztő cég és egy non-profit egyesület honlapjai mellett a Symantec és az NBC néhány oldalát, valamint azt hitték, hogy sikerült bejutniuk a PayPal-hoz, de mint kiderült, valamelyik okosnak a ZPanelről sikerült némi useradatot bányásznia. Szintén az Anonhoz próbálják kötni egy régebbi VMware kernel kiszivárgását, de szerintem ez inkább csak terelés. A "magyar szárny" pedig újból hülyét csinált magából.
Tor - Fontos biztonsági frissítést kapott a Tor kliens: a gyorsítótár adatainak törlésére használt memset() utasításokat egyes fordítók kioptimalizálhatják, így a kliens érzékeny adatokat hagyhat maga után a memóriában. A probléma a kliens Mac-es, Linux-os, és Windows-os változatait érintheti a 2.2.39-5-ös verzió előtt.
Az Adobe biztonsági frissítést adott ki az AIR és Flash Player szoftverekhez. A lejátszóban hét kritikus problémát orvosoltak, a frissítőcsomag telepítése Windowsra 1-es prioritású, vagyis egyes problémákat már aktívan kihasználnak rosszindulatú támadók.
A Microsoft is frissítette a beépített Flash Playerrel érkező Inernet Explorer 10-et, ezen túl pedig az Adobe (is) a Microsoft frissítési ciklusához fog igazodni, ami a gyakorlatban gyakoribb termékfrissítést jelent majd.
Ha ki kellene választanom a kedvenc kutatási beszámolómat, Tavis Ormandy Sophail című műve minden bizonnyal a döntősök között lenne. Most megjelent a Sophos antivírus elemzésének második része, ami nem kevésbé arcpirító és szórakoztató mint az első darab.
A kutató egyrészt feltárt néhány memóriakorrupciót okozó problémát az antivírusmotor fájlfeldolgozó moduljaiban - ezekkel lényegében abban a pillanatban behódoltatható a Sophos védelmével támogatott gép, mikor az antivírus elkezdi elemezni a tetszőleges módon bejuttatott EXE, RAR, PDF, stb. fájlt (innentől fújhatjuk pl. a Reader X sandboxát). A felhasználónak meg sem kell nyitnia a fájlt, az on-access scanner egy kernel driveren keresztül minden I/O műveletet figyel, és átadja az adatokat a sérülékeny, legmagasabb jogosultsági szinten futó folyamatnak.
Ezeknél a problémáknál azonban (szvsz.) sokkal érdekesebb, hogy az új sérülékenységek bevezetése mellett hogyan bonthatja le a rosszul megtervezett AV a rendszer meglévő védelmeit is.
A Sophos először is saját puffer-túlcsordulás elleni védelmet szállít, ami röviden annyit csinál, hogy behúzatja a saját spéci DLL-jét minden új folyamatba, majd feketelistáz egy sor, ROP payload-ok által előszeretettel használt API hívást. Ez az egyébként nagyjából triviálisan megkerülhető védelem nem aktív jobb ASLR megvalósítással rendelkező rendszereken (Vista, Win7, stb.), de a DLL - amit (állítólag teljesítmény okokból) /DYNAMICBASE nélkül forgattak - attól még ezeken is betöltődik, ezzel gyakorlatilag hatástalanítva a rendszer ASLR-jét.
Másrészt a webről jövő kártevők elcsípése érdekében a víruskergető egy Layered Service Providerrel monitorozza a TCP/IP socketeket, a külső moduljait azonban egy alacsony integritásiu szinten írható könyvtárból tölti be. Ezzel gyakorlatilag hatástalanítja az új IE változatok Védett Módját is. Az LSP által a hálózati folyamba szúrt figyelmeztető oldal ezen kívül univerzális DOM XSS-el sebezhető, a megjelenített oldalra nem lesz érvényes a Same-Origin Policy sem.
Hab a tortán, hogy a frissítési mechanizmus helyi jogosultságkiterjesztésre használható, a Windowson SYSTEM jogokkal rendszeresen fel-felébredő frissítő folyamat ugyanis egy bárki által írható könyvtárból tölti be a moduljait.
A Sophos megköszönte Ormandy munkáját, és nem győzik hangsúlyozni, hogy a felsorolt problémák aktív kihasználásával még nem találkoztak. A jogosultságkiterjesztés problémára ugyanakkor a módosítások listája nem tér ki.