Cyberlympics döntő és egyebek

A magyar csaptok szépen szerepeltek a Cyberlympics döntőjében is, a gula.sh 3., a PRAUDITORS a 6. helyet szerezte meg a versenyen. Szerveztünk szurkolást, erről Twitteren próbáltam közvetíteni - látszik, hogy a végére teljesen megkavarodott a sorrend az élmezőnyben, sajnos a hátrányunkra, ami bosszantó, de hát ez egy ilyen játék. Utóbbi csapat az ISACA rendszeres találozóján, november 14-én élőben is beszámol a versenyről, illetve a Hacker Haltedról, de remélem, hogy a blogra is küldenek valami jóféle anyagot, ahogy szoktak ;) Gratulálunk a csapatoknak!

Lazán kapcsolódó téma, hogy a bolygó leghírhedtebb és legnagyobb CTF játéka, a DEFCON CTF jövőre új szervezők kezébe kerül, ami várhatóan teljesen ismeretlen (és várhatóan véres agyvelőben tocsogó) terepet, ezzel pedig kvázi tiszta lapot fog teremteni (a top10 csapatait az előző években kb. esélytelen volt kirobbantani a helyükről) - remélem a selejtezőre sikerül összetrombitálni a dream teamet a Cyberlympics csapatokkal együtt!

Apple biztonsági frissítések

A héten kijött az iOS 6.0.1, számos biztonsági hibajavítással, ezzel nagyjából együtt pedig a Safari böngésző is frissítésre került. A böngészőben a Pwnium 2-n felfedezett SVG hibát, valamint egy versenyhelyzetből adódó JS tömbkezelési hibát javítottak, az iOS-ben ezeken kívül egy kernel információszivárgás, és a Passcode megkerülését vlaamint a Passbook jelszavak megismerését lehetővé tevő problémát orvosoltak.

Mozilla biztonsági politika és HSTS preload

A Mozilla a Nemzeti Biztonságtudatossági Hónap alkalmából egy rövid blogbejegyzésben emlékezik meg a fejlesztés során alkalmazott biztonsági mechanizmusokról, és kiemelik, hogy 2010-ben összesen három Firefox 0-day hibát találtak vadon, melyekre átlag kevesebb mint 48 óra alatt képesek voltak javítást szállítani.

A gyártó emellett bejelentette, hogy a Firefox következő változataival szállítani fognak egy, a HTTP Strict Transport Security-t támogató szolgáltatókat tartalmazó listát (melyet a Chromium projekt hasonló listájára alapoztak). Ezzel a lépéssel megakadályozhatóak az SSL stripping tipusú támadások, mivel a HSTS-nek köszönhetően a böngésző nem lesz hajlandó átállni titkosítatlan kapcsolatra, ha a listán szereplő hosztokkal teremt kapcsolatot (a HSTS egyébként böngészőbe égetett lista nélkül is működik, de úgy az első kapcsolódás kompromittálódása esetén megkerülhető).

Windows 8 0-day

Meglepően nagy visszhangja lett a VUPEN bejelentésének, miszerint sikerült a Windows 8 exploit mitigációs technikáit megkerülő IE10 exploitot fejleszteniük. Az eredmény szakmai szempontból persze tiszteletre méltó, de az, hogy 0-day bugok léteznek, és hogy a Windows 8 megerősítései sem tökéletesek már eddig is közismert tény volt (vagy legalábbis kellett volna hogy legyen). Berkar úrnak minden esetre jár egy újabb piros pont marketingből.

A grúz CERT közzétett egy érdekes tanulmányt az ország vezető hírportáljait ért támadássorozatról, melyben az elkövetők orosz titkosszolgálati kötődéseire igyekeznek bizonyítékot szolgáltatni. Ha valaki nem lenne képben a világpolitikával: a grúzok és az oroszok (és a többi környékbeli nép) nagyon nem szeretik egymást, ezért mindkét fél állításait a másikkal kapcsolatban érdemes fenntartással kezelni.

De térjünk a tárgyra: a CERT-Georgia 2011. márciusában az ország főbb hírportáljait érintő támadássorozatot észlelt. A támadások eredményeként a portálok meghatározott, általában a grúz külpolitikával foglalkozó cikkei mellé kártékony kódokat illesztettek, melyek egy addig ismeretlen, antivírusok által nem detektált kártevőt pottyantottak a látogatók gépeire. A kártevők alapvetően érzékeny információkat tartalmazó dokumentumokat kerestek és küldtek el különböző C&C szerverekre (ezek egyike egyébként a magyar Net23-nál futott), később a funkcionalitás képernyőmentési illetve helyi terjedési mechanizmusokkal is kiegészült.

A folytatáshoz érdemes megjegyezni, hogy a a CERT-Georgia riportja nem mutat egészen professzionális képet a szervezetről: az írókra ráférne egy angoltanfolyam, a képernyőképeken zavarbaejtően sok információ látszik, több állítás nincs alátámasztva, stb. De talán éppen a naív hozzáállásnak köszönhető, hogy az ügyet vizsgáló szakértők túlléptek a hagyományos nyomozati eszközök keretein, és ellentámadásba lendültek.

A grúzok megfertőztek egy tesztgépet a vizsgált malware-el, és ezen keresztül egy "érdekes dokumentumba" csomagolva elküldték a támadónak a saját kártevőjét, majd monitorozni kezdték az addig már uralmuk alatt álló C&C szervereket. A csapda működött, a CERT teljes kontrollt szerzett a támadó gépe felett, megfigyelték a kártevő fejlesztési lépéseit és még a támadó arcáról is sikerült felvételt készítenük a webkamerán keresztül.

De hogy kerül képbe az orosz titkosszolgálat? A támadó gépén orosz nyelvű e-maileket találtak, valamint több C&C hoszt a hírhedt Russian Business Network-höz tartozott. Az RBN viszont alapvetően nem kormányzati játékos, jelentős fektegazdasági szereplőként viszont a felsőbb kapcsolat egyáltalán nem lenne meglepő. A grúzok valódi ütőkártyája egy .ru végű domain, melynek WHOIS információi az orosz belügy egyik épületére mutatnak, de ez megint nem jelent semmit (lásd a NAV épületeibe bejelentett fantomcégek népes listáját), sőt talán túl "szép" is ahhoz hogy igaz legyen (miért adná meg egy hírszerző a munkahelyi címét egy domain dílernek?). Szintén némileg ellentmond az államilag támogatott akció teóriájának, hogy az eshkinkot1 nickkel működő támadó nyilvános fórumokon hagyott kérdései alapján nem egy kifejezett überhackerről van szó ("hogyan proxyzok ki egy LAN-ból", "hogyan adom hozzá a sploitomat a Metasploit-hoz"), persze lehet, hogy a fővédnökök egyszerűen kiszervezték a munkát, lásd Die Hard 4.

A támadók kilétéről, motivációjáról sokkal értékesebb információkat adhatnak a C&C-ken megfigyelt zombi-hosztok, valamint a róluk lopott információk, de ezekről a jelentés (érthető okokból) csak kevés adatot szolgáltat, így hát marad a "nem zörög a haraszt" érvelés.

Valamivel egy évvel a DigiNotar fiaskó után az incidenst kivizsgáló Fox-IT nyilvánosságra hozta jelentését (holland állami beszállítóról van szó, azt hiszem ezt nevezik átláthatóságnak) a történtekről. A több mint 100 oldalas riport minden oldala sűrű arccsapkodásra ingerli az olvasót, a legjobb szó, ami az első átolvasás után eszembe jut, az a szégyen. Jobban belegondolva azonban be kell hogy lássam, hogy a szolgáltató által elkövetett hibák egy része nagyon is tipikus sőt, a problémák szinte bele vannak kódolva egyes informatikai audit folyamatokba. Az ember azért persze elvárná egy CA-tól, hogy egy OSCP laborfeladatnál magasabb biztonsági szinten generálja azokat a rohadt tanúsítványokat :P

Internetről elérhető szerverek DMZ-ben? - Pipa!

A Digi Notar ránézésre jól szegmentált hálózatot üzemeltetett, a zónák között tűzfalak szabályozták a forgalmat, az internetre néző szolgáltatásokat DMZ-ben tartották, ahogy a nagy könyvekben meg van írva.

Ennek ellenére a támadó, miután behúzta gyakorlatilag az összes DMZ-ben található gépet (webes hibán keresztül, természetesen), egy belső SQL szerveren keresztül vígan becsatornázta a forgalmát a belső hálózati szegmensekbe, majd onnan vissza is tudott kanyarodni a DMZ-n keresztül. Sajnos sokan elfelejtik, hogy a DMZ feladata nem merül ki a befelé irányuló forgalom megszűrésében, hanem oda kellene figyelni a kifelé induló kapcsolatokra is - példának okáért miért is kellene egy egyszerű webszervernek kapcsolatot nyitnia bármilyen internetes hoszt irányába?

Használsz IPS-t? - Pipa!

A képen látható, alapértelmezett konfigurációban futó, tűzfal elé helyezett IPS a nagy arányú hamis-pozitív jelzés miatt - ahogy a tapasztalat is mutatja - nem sokat ért.

Készül napló a kritikus erőforrásokon végzett műveletekről? - Pipa!

A féloldalas tűzfalbeállításoknak köszönhetően tehát a támadó könnyedén átvette az uralmat a hálózat legfontosabb szegmenseiben lévő gépek felett, így "már csak" a tanúsítványgenerálás maradt hátra. És itt jön a történet legdurvább, már-már gyomorforgató része (legalábbis defenzív nézőpontból :). 

A HSM-ekkel kapcsolatban álló CA szerverek ugyanis olyan gépekre logoltak, melyekhez a támadó hozzáférhetett, a logokat pedig módosíthatta illetve törölhette. Sőt, a behatoló a menedzsment szoftver megberhelésére is vette a fáradtságot, így például vissza is dátumozhatta a kiállított tanúsítványokat. Mindezen pedig az sem segített, hogy a CA szerverek csak egy megfelelő smart-kártya jelenlétében voltak hajlandóak szignózni, volt ugyanis olyan kiszolgáló, melynél ez a "kulcs" az incidens lefolyása alatt folyamatosan, heteken keresztül rendelkezésre állt.

Így tehát nem lehet biztosan megállapítani, hogy egy DigiNotar által hitelesített tanúsítvány legitim-e, a szolgáltató által kibocsátott összes tanúsítványt potenciálisan kompromittáltnak kell tekinteni, a böngészőgyártók döntése a DigiNotarral szembeni bizalom megvonásáról nagyon is helyes volt.

A nyomozás ezzel együtt feltárt több száz, biztosan rosszindulatú tanúsítványt, ezek nagy rész eddig ismeretlen volt, és nem tudni kikkel szemben használhatták őket. Nemzetközileg elismert tanúsító szervezetek a világ IT-biztonsági kulturában hollandiától elmaradottabb részein is működnek, rossz belegondolni, milyen állapotok uralkodhatnak arrafelé.

Érdekesen alakul az amerikai szenátus által generált kis szilíciumvihar: az USA után nemzetbiztonsági okokra hivatkozva Kanada is Ausztrália kormánya is beavatkozott a Huawei beszerzésekbe, utóbbi esetben egy 37 milliárd dolláros beruházásból zárták ki a kínaiakat, miután felmerült a gyanú, hogy a cég információkat szolgáltatott ügyfeleiről Kínának. A Huawei reputációjánák az sem tett túl jót, hogy egyik disztribútora embargó hatálya alá tartozó amerikai antennákat akart eladni egy iráni mobilszolgáltatónak.

Persze a kínaiak sem tétlenkednek: a Huawei teljes hozzáférést ajánlott fel forráskódjaihoz az ausztál államnak, ami szép gesztus, de valószínűleg az egész kontinensen nincs annyi szakértő, aki a teljes kódbázist belátható időn belül képes lenne ellenőrizni, másrészt nem csak a konkrét berendezések jelenthetnek hírszerzési kockázatot. A cég ezen kívül delegációt küld a termékeiben számos hiányosságot feltáró FX-hez a "Huawei biztonsági kulturájának megváltoztatása érdekében".

Közben keleten az Unicom, Kína második legnagyobb telkója biztonsági okokra ("sérülékenységek és hátsó kapuk") hivatkozva az ország egyik legfontosabb gerinchálózatán lecserélte a Cisco eszközeit.

Szépen dőlnek a dominók...

DKIM

A héten elég nagy port kavart Zachary Harris felfedezése, miszerint a Google, a Yahoo!, az Apple és más informatikai óriások még mindig az ajánlott 1024 bitnél rövidebb kulcsokat használnak a levelezésük DKIM hitelesítéséhez. A Google 512 bites kulcsát Harris az Amazon EC2-n három nap alatt képes volt faktorizálni, így  többek között képes volt levelet küldeni a keresőóriás alapítóinak a saját nevükben (egyébként a számítási kapacitást biztosító Amazon kulcsai is érintettek voltak). Apró szépséghiba a filmbe illő sztoriban, hogy Harris az után lett figyelmes a problémára, hogy maga is egy hamisított levelet kapott egy kamu álláshírdetéssel, feltételezhető tehát, hogy rosszindulatú felek már korábban felfedezték a problémát, melyet aktívan ki is használtak*.

A fentiektől elvileg teljesen függetlenül puffer túlcsordulásos sérülékenységet javítottak a népszerű Exim levelezőszerver DKIM feldolgozását végző kódjában. A probléma speciális DNS rekordok megadásával használható ki. 

* Jelezték hogy az eredeti cikkben ilyen nem szerepel, ami igaz, én úgy emlékszem, hogy valahol ezt olvastam, de forrást keresni most pár napig tuti nem lesz időm/energiám, bocs!

PS3 LV0 kulcsok

Nyilvánosságra kerültek a Playstation 3 legalacsonyabb szintű titkosító kulcsai. A Három Muskétás hackercsoport úgy tűnik már korábban megszerezte ezeket az adatokat, de megpróbálták titkokban tartani. Ez egészen addig sikerül, míg egy jóakarójuk ki nem szivárogtatta a kulcsokat, melynek eredményeként egy másik csoport elkezdte őket pénzért árulni. Minden mindegy alapon a Muskétások most bárki számára elérhetővé tették a kulcsokat, melyek segítségével a Sony összes jövőbeni frissítőcsomagja visszafejthető és módosítható lesz (a bootloader pedig meg fogja enni őket), úgy tűnik tehát, hogy a cég ezt a csatát most végleg elvesztette az alternatív felhasználási módok kedvelőivel szemben.

Google Drive

A Google Drive mellé járó Windows-os illetve Mac-es kliensei úgy tűnik, hogy egy speciális bejelentkezési módot használnak a felhasználók bejelentkeztetésére: miután a fióktulajdonos telepítés után megadja a felhasználónevét és jelszavát, a kliens eltárolja ezeket az információkat, majd képes a belépést elvégezni akár a kétfaktoros autentikáció második lépésének kihagyásával is. Az eddigi beszámolók a "hátsó ajtót" (FTR: ez nem egy hátsó ajtó) trójai programok szempontjából vélik veszélyesnek, én azonban azt mondom, hogy ha már valaki benyalt egy ilyet, az nem a Drive kliense miatt kell hogy aggódjon. Sokkal érdekesebb lenne megnézni a kliensek által használt alternatív belépési útvonalat, ennek ismeretében ugyanis egy felhasználónév és egy jelszó birtokában trójai programok nélkül is megkerülhető lehet az autentikáció. De ez csak egy ötlet... 

ASP.NET biztonság

Balássy György blogján az elmúlt időszakban igen jó írások jelentek meg ASP.NET biztonsági témában, érdemes elolvasni őket:

• Az ASP.NET Medium trust halála
• Biztonsági fejlesztések az ASP.NET 4.5-ben

Shockwave Player frissítések

Az Adobe hat sérülélkenységet javított a Shockwave Playerben. A foltok 2-es prioritást kaptak, tehát kihasználható, kritikus sérülékenységekről van szó, aktív exploitokról azonban nem áll rendelkezésre információ. A frissítés emellett természetesen mihamarabb ajánlott.

A Stanfordi és Texasi egyetemek kutatói közzétettek egy érdekes tanulmányt a különböző SSL/TLS-t alkalmazó könyvtárak, middleware-ek és SDK-k minőségéről. Ezeket a komponenseket számos érzékeny adatot kezelő alkalmazásban megtaláljuk, találkozhatunk velük például banki mobilalkalmazásokban e-kereskedelmi site-ok fizetési moduljaiban, de a különböző cloud szolgáltatások eléréséhez is érdemes ezeket a kulcsrakész szoftvereket használni. 

A probléma az, hogy úgy tűnik, a szóban forgó szoftverek fejlesztői nem fordítottak kellő figyelmet az általuk használt alacsonyabb szintű API-k dokumentációjára, vagy egyenesen kiiktattak bizonyos ellenőrzéseket a kellemetlen felhasználói hibajelzések vagy éppen a könnyebb tesztelhetőség érdekében. 

Az egyik tipikus hiba a cURL könyvtár tanúsítványellenőrzést beállító opcióinak helytelen paraméterezése: a tanúsítványok "Common Name" attributumának vizsgálatához először is be kell állítani a CURLOPT_SSL_VERIFYPEER opciót igazra, ezen kívül a CURL_SSL_VERIFYHOST értékét 2-re kell állítani. A baj az, hogy a fejlesztők gyakran azt hiszik, hogy a második opció is egy boolean, így true-t adnak értékül neki, ami a legtöbb nyelvben az 1-es értékre fordítódik. Ilyen beállítás mellett azonban a könyvtár csak azt ellenőrzi, hogy létezik-e CN attributum a tanúsítványban, azt már nem, hogy az megegyezik-e az aktuális hosztnévvel. Ettől a problémától szenvedett a PayPal Payments Standard SDK korábbi verziója, valamint az Amazon Flexible Payments Service SDK-ja is. A ZenCart-tal szállított PayPal IPN modul simány False-ra állította a VERIFYPEER értéket, így gyakorlatilag semmilyen névellenőrzés nem történt. 

Egy másik érdekes példa az Apache HttpClient 3-as főverziója, ami a JSSE SSLSocketFactory-ját használja a kapcsolatok kialakítására, ez az alacsony szintű API (ahogy a dokumentációban is olvasható) nem végez hosztnév ellenőrzést, az Apache HttpClient pedig szintén megfeledhezik erről. Bár a legfrissebb 4-es főverzióban már orvosolták ezt a problémát (így a csomag esetenként érvényes tanúsítványokat is visszadob...), számtalan helyen (pl. az Axis 2-ben) még mindig a 3-as változatot használják, az újabb verzió ugyanis nem visszafele kompatibilis.  

Sajnos olyan is előfordul, hogy a hivatalos dokumentáció egy szót sem ír az SSL/TLS kapcsolatok ellenőrzéséről. Ilyen például a PHP fsockopen() függvénye, mely ugyan képes titkosított kapcsolatokat kezelni, a távoli hoszt tanúsítványán azonban nem hajt végre semmilyen ellenőrzést. Ezt az eljárást a már emlegetett ZenCart és PrestaShop rendszerek is használják, ha a cURL nem elérhető.

Végül, ahogy már említettem, előfordul, hogy a fejlesztők szándékosan kapcsolják ki a távoli hoszt hitelességének ellenőrzését. Ez történik többek között az Apache Libcloud 0.11.1-nél korábbi verzióiban, az Amazon Elastic Cloud Balancing API Toolsban, az osCommerce, a ZenCart, az Ubercart és a PrestaShop szinte összes fizetési szolgáltatást integráló moduljában, az AIM-ben és számos Andorid alkalmazásban. 

Népszerű tévhit, hogy ha a kapcsolatom titkosított, minden meg van oldva. Pedig a titkosítás hitelesítés nélkül általában nem sokat ér, az esetek többségében passzívan hallgatózó támadó könnyen aktív man-in-the-middle-é tudja varázsolni magát. Gyakori védekezés, hogy a hálózat alapvetően megbízható, ami internetes alkalmazásoknál eleve abszurd kijelentés, egyébként érdemes átgondolni, hogy ha tényleg sérthetetlenek az összeköttetések (általában nem azok), akkor miért is használunk SSL/TLS-t?

Az érintett szoftverek listájáért érdemes átolvasni a teljes dokumentumot, ökölszabályként pedig elmondható, hogy ha már elfogadunk kódot idegenektől, legyen gondunk rá, hogy teszteljük is azt.

SPE/miniFlame

A Kaspersky kutatói a Flame C&C szervereinek vizsgálata során felfedeztek egy új, a Stuxnet-Flame-Duqu-Gauss családba sorolható jószágot. A kártevő, melyet miniFlame-nek kereszteltek el azonos a C&C-n SPE kódnéven emlegetett modullal, melynek még három testvérét (köztük a Flame-et) definiálták a szerveren. Az elnevezést indokolja, hogy a miniFlame is alapvetően hátsó kapuként üzemelt a fertőzött gépeken, de úgy tűnik, ezt a rosszcsontot minden alkalommal a célpont által diktált igényekhez igazították. Kissé komikus, hogy az eddig célzott ("highly targeted") kártevőként aposztrofált Flame működését az új jelentés már kiterjedt kémakcióként aposztrofálja a miniFlame (eddig felfedezett) 20-30 áldozatának tükrében. További technikai finomságok a CrySys labornál.

Nem adják ki Gary McKinnon-t

Az Egyesült Királyság nem adja ki az USA-nak Gary 'Solo' McKinnont, aki azért került bajba, mert - saját bevallása szerint - a földönkívüliek látogatására keresett bizonyítékokat a NASA, és az USA néhány kormányhivatalának szerverein. A férfit a tengeren túlon jó eséllyel életfogytig tartó börtönbüntetéssel sújthatták volna. A kiadatás körül folyó éveken át tartó jogi huzavonának végül Theresa May belügyi államtitkár (?) vetett véget, aki szerint McKinnon valószínűleg öngyilkos lenne, ha kiadnák, így a lépés sértené a férfi alapvető jogait. 

Comex már nem dolgozik az Apple-nek

trey@HUP:

Nicholas Allegra - alias comex - arról vált ismertté, hogy olyan eszközöket (JailBreakMe 2.0, JailBreakMe 3.0) fejlesztett ki, amelyekkel kihasználva az iOS sebezhetőségeit egyszerűen lehet jailbreakelni az iPhone, iPod, iPad eszközöket. Az Apple tavaly nyáron szakmai gyakorlatra fogadta a fiatal hackert.

Az együttműködés eddig tartott. Csütörtökön comex arról tweetelt, hogy a múlt hét óta már nincs kapcsolata az Apple-lel. Egy másik tweet-ben röviden arról is írt, hogy mi áll a szakítás mögött. Elfelejtett válaszolni egy e-mailre. A Forbes telefonon megkereste comex-et, aki elmondta, hogy a szóban forgó e-mail egy ajánlat volt arra nézve, hogy folytassa gyakornoki munkáját távmunkásként. Úgy tűnik, hogy az Apple-nél komolyan veszik az ilyen mulasztást. [...]

Folytatás a HUP-on

Oprendszert fejleszt a Kaspersky

Kifejezetten ipari vezérlő illetve SCADA rendszerek számára fejlesztene operációs rendszert a Kaspersky. A projekttel kapcsolatban egyelőre nincs túl sok érdemi információ, de a cég névadója által adott interjúból kiderül, hogy a cél egy olyan platform kidolgozása, melyen a meglévő alkalmazások el tudnak futni, de rajtuk keresztül mégsem lesz lehetőség "deklarálatlan funkcionalitás" elérésére. Paradoxnak ható elképzelés, és arról még nem is szóltunk, hogy vajon hajlandó lesz az USA vagy más nagyobb potenciális vásárló egy "jó kapcsolatokkal rendelkező" orosz üzletember cége által fejlesztett szoftverre bízni az infrastruktúráját. 

Google Play malware kergető

A Google rosszindulatú-szoftver kereső megoldásokat integrál a Google Play szolgáltatásba. Az androidos kártevők napjainkban megfigyelhető elszaporodása szoros összefüggésben áll azzal, hogy a szolgáltató - az Apple-el ellentétben - nem végez ellenőrzést a feltöltött alkalmazásokon, a felhasználóktól pedig nem lehet elvárni, hogy felmérjék, egy-egy alkalmazás telepítése milyen kockázatokkal járhat. A Google most egyrészt feltöltéskor ellenőrzi az alkalmazásokat, másrészt az Android felhasználók készülékein is felderíti a már telepített, ismerten káros, vagy gyanúsnak jelölt szoftvereket. A fejlesztés valószínűleg a VirusTotal megvásárlásának is köszönhető.

Spala Feri és Tóth Laci kiérdemelték, hogy előadhassák az idei DerbyCon-on a később Hacktivity-n is bemutatott "Adatbázis hackelésről másképp" című alkotásukat, mellyel azt hiszem sikerült ismét megerősíteni kishazánk körvonalait a nemzetközi IT-biztonsági térképen. Feri - akiben Hacktivity szervezőt is tisztelhetünk, egyébként pedig a Deloitte-nál szakért - volt olyan kedves, és összefoglalta tengeren túli tapasztalatait (az anyagot angolul kaptam, fordítás tőlem):

LaciFeriMenniAmerika

Egy fél mondat, hogy miért is keletkezett ez az írás. Egyszer volt hol nem volt, Tóth Lacival úgy döntöttünk, hogy megpróbáljuk meghódítani Amerikát és beadtuk több konferenciára is a mi kis kutatásunkat. Aminek az lett az eredménye, hogy az idén másodszor megrendezésre kerülő DerbyCon (Loisville, Kentucky) elfogadta a témát és meghívtak minket előadni. Így esett, hogy ketten felkeredtünk és szeptember végén átrepültünk a nagy víz túloldalára mutatni egy kis Oracle kung-fut az amerikaiaknak.

Először is elszeretném mondani, hogy ez volt az első látogatásom az USA-ban, szóval egyes észrevételek mások számára magátólértetődőek lehetnek. Azt hiszem mindnyájan tudjátok, hogy ez egy telejsen más világ, és a legtöbb dolog szokatlan egy Közép-Kelet Európából érkező látogató számára. Ez a hacker konferenciákra is igaz. Bizonyos szemszögből a DerbyCon olyan mint a Hacktivity, vannak szponzorok, lockpickerek, srácok a helyi hackerspace-ből, ajándéktárgyak, stb. De a legtöbb előadás, vagyis a legtöbb előadó különböző. Az amerikai előadók nem prezentációt tartanak, hanem show-t csinálnak. Bár ezek a srácok ugyanúgy penteszterek és IT szakemberek, de tudnak szórakoztatni, el tudják adni magukat. Ezt pedig nem szabad alábecsülni, én szakiként, értékelve a tudást és a bináris kung-fu-t azt mondom, hogy ez nem elég, és messze le vagyunk maradva ezek mögött az arcok mögött. Szakmai szempontból sok előadás semmi újat nem mondott, én (és gondolom nagyrészt ti is) tisztában voltam azzal, hogy nem jó ötlet minden adatunkat kiadni a Facebooknak, Twitternek, Google-nek, vagy mindenemet a mobilomon tárolni, de Tom Eston és Kevin Johnson Social Zombies előadása megnevettetett, jól éreztem magam és jól szórakoztam közben. És ez nem csak a "könnyed" előadásokra igaz, Rob Fuller és Chris Gates a carnal0wnage-ból mutatott pár király trükköt és hasznos eszközt, melyeket behatolásztesztelések közben fejlesztettek ki, és ők is szórakoztató módon adták elő mindezt. Jó, persze nem minden előadó showman (mint Joe McCray - lásd: Hacktivity), de a legtöbb annyira könnyeden, felszabadultan nyomja, hogy még ha nem is mondd semmi újat, akkor sem érzed úgy, hogy elvesztegetted az időt.

A szentimentális összefoglaló után néhány szóban az előadásokról:

A nyitóünnepség után HD Moore mutatta be egyik kutatását, melynek keretében portscaneket futtatgatott [a teljes Internetre kiterjedően - a szerk.], és statisztikákat készített az azonosított szolgáltatásokról és azok eloszlásáról a különböző IP címeken. Mély szakmai szinten nem sok újdonságot hallottunk, de az előadás érdekes volt, egy remek keynote a csodás Metasploit atyjától. HD-t Dan Kaminsky követte, aki olyan örök kedvenc IT-biztonsági problémákról beszélt, mint a véletlengenerálás vagy az SQL injection - miért léteznek még mindig ezek a problémák, és hogy lehetne őket véglegesen megoldani? Még egy keynote egy ikonikus IT-sec formától, úgy két órán belül láttam HD Moore-t és Dan Kaminsky-t egy színpadon, nem rossz! De haladjunk tovább, egyp7 a Metasploit jogosultságkiterjesztési lehetőségeiről beszélt, ami unalmasnak tűnhet, de hányan tudtátok, hogy Metasploiton belül lehet C programokat fordítani? Johnny Long a Hackers For Charity-ről beszélt, ezzel kapcsolatban két megjegyzés: Először is tudtátok, hogy a DerbyCon 2.0-n többet (kb. 30 ezer dollárt, ha jól emlékszem) gyűjtöttek nekik, mint az egész DefCon?  Másodszor, el kéne gondolkoznunk a programban való részvételen, nem? Lehet hogy el kellene hívnunk Johnny-t a 2013-as Hacktivityre...

Visszatérve az előadásokhoz, Matthew Sullivan saját készítésű eszközét, a Cookie Cadert mutatta be, ami a HTTP session hijackinget könnyíti meg, megér egy pillantást.

Bevallom nem ültünk bent minden előadáson (nem is tudtunk volna, mivel 4+1 párhuzamos szekció volt), mert ellógtunk városnézni, na meg próbáltunk is párat. Amúgy tudtátok, hogy Muhammad Ali Lousville-ből származik? Építettek is egy nagy múzeumot a tiszteletére, ahol egy lány(!) osztálynak tartottak tanulmányi kirándulást amíg ott voltunk. Baromi érdekes volt ez is, az egész Ali Centernek volt egy ilyen "Légy büszke!", "Bármit elérhetsz!" hangulata, ami nem csoda, ha valaki látott legalább
egy dokumentumfilmet Aliról, akkor ezen nem lepődik meg, viszont az amerikaiak úgy általában is ilyen felfogásban élnek és ezt már fiatalkorban megismertetik a gyerekekkel. A tizenéves kiscsajok is járkáltak körbe a füzetükkel és fel kellett írniuk ezeket az idézeteket, gondolatokat. Jó, persze van aki erre azt mondja, hogy agymosott amcsik, de valahogy mégiscsak működik ez az egész. Mégiscsak boldogabbnak tűnnek valahogy. És ha már belekezdtem ebbe a kitekintésbe, még egy dolgot megnéztünk, a baseball ütő múzeumot és gyárat. Ugyanis az amerikai profi baseball liga (MLB) játékosainak nagy többsége Loiusville-ben gyártott (Louisville Slugger) ütőt használ és most már nekünk is van egy-egy kicsinyített :). Ja és még valami.. ettünk igazi amerikai steaket, felejtsétek el amit itthon adnak, kihoztak egy kb 40 dekás húst egy kb fél kilós krumplival, és az íze… hiába na, mindent a maga helyén kell enni. És most már értem miért nagydarabok az amerikaiak...

Összegezve a gondolataimat az első amerikai konferenciámról:
- Nem egy pályán focizunk. Ezt úgy értem, hogy a DerbyCon egy kis konferencia, de ott volt Johnny Long, HD Moore, Dan Kaminsky, Jeff Moss, és még sokan mások (megjegyezném, hogy a DerbyCon nem állja az előadók utazási vagy szállásköltségét. 200 dollárt kapsz, vagy két ingyen jegyet)
- Az amerikai közönség teljesen más. Nevetnek, tapsolnak, és a teljes előadást interaktívvá teszik. Odamennek az előadókhoz az előadás után, hogy csak annyit mondjanak, "ez jó volt, haver!", "köszi, jól szórakoztam!", ésatöbbi. Ezt nevezzük amerikai mentalitásnak azt hiszem.
- Nem elég csinálnod egy remek technikai előadást, úgy kell kung-fuznod, hogy közben szórakoztatod is a veled szemben ülőket. Nem csak azért, mert lehet hogy nem értik a l33t részeket, hanem azért, mert a többségük szórakozni is szeretne a tanulás mellett. Szóval süss vigyort a közönség arcára és mutasd meg mit tudsz, ez a legjobb kombináció!

Végezetül fogadjátok szeretettel Feriék prezentációját:

A mostani negyedéves Oracle frissítőcsomag - bár szokásosan szűkszavú - tartalmaz néhány izgalmat: 

Először is, a cég összesen 109 hibát javít különböző Oracle termékekben, ezen kívül pedig 30 Java biztonsági frissítés is érkezett. A cég a továbbiakban a Java biztonsági frissítéseket a rendszeres negyedéves CPU-kkal együtt adja ki, háromról négyre emelve a keretrendszer éves frissítéseinek számát. 

A legtöbb felhasználót érintő Java sérülékenységek egyharmada 10.0-ás CVSS-t kapott, itt tehát a szokásos böngéssz-és-hódolj (elismerem, gagyi fordítás) forgatókönyv játszik, azonnali frissítés javasolt. Ezen kívül a Java 2D csomagja szerver-oldali alkalmazásokat is távoli kódfuttatásnak tehet ki.

Mac felhasználók számára érdekes fejelmény, hogy az Apple az Oracle frissítésének kiadásával párhuzamosan letolt egy saját Update-et is, ami leszedi a Java futtatókörnyezetet, hogy a felhasználókat az Oracle változatának használatára kényszerítse. (Kommentbe írja már meg valaki, hogy az Oracle Java frissíti-e magát Mac-en, köszi!)

Az Oracle RDBMS-el kapcsolatban a legfontosabb javítás a már tárgyalt, jelszavak offline brute-force-olását lehetővé tevő protokoll sérülékenységet szünteti meg. Ehhez hasonlóan 10.0-ás CVSS besorolást kapott a JRockit egyik sérülékenysége, a Solaris TCP/IP stackjében távoli DoS problémákat javítottak, és a MySQL Information Schemáját érintő, autentikáció után komplett kontrollt biztosító (CVSS 9.0) sérülékenysége is határozottan érdekesnek látszik. 

Az Oracle frissítési politikáját ebben a hónapban a Fusion Middleware-rel kapcsolatos 9 hibát bejelentő Travis Emmert részéről éri kritika (korábbi eszmefuttatások például itt és itt olvashatók): a szakértő OWASP Top10-es hibákat talált az Oracle webalkalmazásaiban, és jogosan teszi fel a kérdést, hogy hogyan maradhatnak ilyen pofonegyszerűen feltárható és javítható hibák egy ekkora gyártó termékeiben egyáltalán? Emmert kétségbe vonja, hogy egyáltalán bármilyen biztonsági tesztelési rendszer érvényben lenne az Oracle-nél, miközben a felhasználók jogosan várnák el, hogy ilyen kaliberű (és árú) termékeknél ilyen alapvető problémák már ne forduljanak elő. A szakértő újra felemlegeti, hogy az Oracle a javított hibák jellegéről (CWE azonosító) semmilyen információt nem ad, így nehezen felmérhető, hogy egy adott probléma a gyakorlatban hogyan is érint egy telepítést.

További észrevétel, hogy a frissítési folyamat végtelenül lassú, és hogy a bejelentőknek ugyan köszönetet mond a gyártó, de nem rendeli őket a bejelentett sérülékenységeikhez, így a sebezhetőség-információk kategorizálása problémákba ütközik.

A magam részéről most is a CVSS számításon rugóznék: az ugyanis, hogy a kritikus Java javítások értékelését 10.0-ről - az Impact értékeket Complete-ről Partalra változtatva - 7.5-re  csökkentené a gyártó, ha a böngésző felhasználó korlátozott jogú, szvsz. a probléma bagatelizálása, a tipikus Java kártevőnek ugyanis bőven elég, ha az aktuális felhasználó adataihoz hozzáfér, az adminisztratív jog már csak hab a tortán. 

A Lockpicking Blog és a H.A.C.K kooperációjának eredmnyeként a jövőben remélhetőleg rendszeresen (egy-ket havonta) lesz lehetőségetek zárnyitással foglalkozni. A sorozat első állomásaként egy minden bizonnyal széles rétegeket érintő témát, a bringa- illetve motorzárak világát mutatják be a srácok a tőlük megszokott, hardverral masszívan megtámogatott módon.

Időpont: 2012. Október 25. csütörtök, 19:00
Helyszín: H.A.C.K, 1056. Bástya u. 12., a Kálvin térnél

Facebook Event itt található, írjátok fel magatokat, és osszátok tovább az infót kétkerekű ismerőseiteknek!

A magyar sajtóban is több helyen megjelent hír, hogy az USA titkosszolgálati bizottsága egy jelentéstervezetben nemzetbiztonsági kockázatnak nyilváníttatná a kínai Huaweit és ZTE-t. A téma már csak azért is érdekes, mert a két gyártó Magyarországon is jelentős beszállítója különböző telekommunikációs illetve más kritikus infrastruktúrát üzemeltető cégeknek, de a téma ennél jóval messzebb vezet.

A kérdést ugyanis valójában nem úgy kellene feltenni, hogy vajon kémkedett-e a Huawei. Ezt technológiai értelemben bizonyítani ugyanis szinte lehetetlen, az pedig, hogy a kínai gyártók képviselői nem működtek maradéktalanul együtt a vizsgálóbizottsággal (a jelentés tulajdonképpen ezt és csakis ezt állítja), nem mindenki számára elég meggyőző érv.

A valódi kérdés, hogy megengedhető-e a kritikus IT infrastruktúránkat (hardveres és szoftveres) fekete dobozok hálózataként üzemeltetni? Az, hogy az szenátusban valaki feltette a kérdést, hogy vajon mit is csinálnak a kínaiak dobozai, csak az első dominó a logikai láncban: Mit csinálnak azok az eszközök, amiket Kínában szerelnek össze, vagy kínai komponenseket tartalmaznak? Létezik-e egyáltalán olyan komplex informatikai eszköz, amit kizárólag az USA területén, megbízható emberek gyártanak? Mi van, ha ezekbe az üzemekbe is beférkőzött az Ellenség? Hogy is vannak implementálva azok a fránya kripto algoritmusok? És most helyettesítsük be az USA helyére Magyarországot...

A válasz az, hogy bizonyos feltételek esetén igen, vagyis <bullshiting> kockázatarányosan kell a védelmi szinteket meghatározni</bullshiting>. Vagyis az mindegy, hogy egy gyártó kémkedik-e, az a lényeg, hogy jó eséllyel kémkedhet. Most úgy tűnik, hogy az amerikai kormányzat számára a Huawei működésének átláthatatlansága, kombinálva a Kínából tapasztalható hírszerzési tevékenységgel, informatikai incidensekkel átlépett egy határt.

De vajon meddig vezet mindez, és mikor válik ez a hozzáállás globálissá? Látszik, hogy ha elimináljuk a potenciálisan megbízhatatlan elemeket, szépen lassan visszatérünk a kőkorba, ami nyilván nem opció. Az amerikaiak most kibillentették a rendszert az egyensúlyi állapotból, a következő évek kérdése az lesz, hogy hol jutunk ismét nyugvópontra.

Az összeesküvéselméletek gyártásához fogadjátok szeretettel FX-ék epikus defconos előadását a Huawei sérülékenységeiről, a HITBKUL2012-s prezentáció a bedrótozott jelszavakkal itt tolvasható PDF-ben. Azt azonban ne felejtsétek el, hogy hasonló problémák más gyártók esetében is felmerültek már, így pusztán műszaki paraméterek alapján ítéletet mondani nem lenne célszerű.

Szóval valamelyik okos kitalálta, hogy le kéne blokkolni a kurucokat jogsértő tartalmakat. Ahogy az [origo] is megírja, hasonlóra már van példa máshol is a világon, én azonban a halmazból inkább Iránt, Észak-Koreát és Kínát emelném ki. 

Szögezzük le: ez az elképzelés halálra van ítélve, az Internet technológiájából adódóan minden tartalom elérhető marad a megfelelő eszközökkel, hacsak nem megyünk át egy országos LAN partyba, ahogy az Kim Dzsongék világháló-felfogásában szerepel. 

Az Adobe bejelentette PDF kezelő szoftvereinek legfrissebb változatait, köztük a XI-es Readert és Acrobatot is. Az új verziós számos biztonsági újdonságot nyújtanak:

Az X-es szériában bevezetett védett mód még csak a fájl írási műveleteket korlátozta a malware dropperek korlátozása érdekében. A shellkódok azonban alkalmasak lehetnek célzott adatkijuttatásra is, ezért a XI-es változat kiterjesztette a homokozót a fájlolvasás műveletekre is. A legfrissebb verzió ezen kívül saján Window Station-höz kapcsolódik, ami a korábbi posztban szintén emlegetett, IPC mechanizmusokból adódó kockázatokra nyújt megoldást. 

A támadók mozgásterét szűkítő lépéseken túl a memóriakorrupciós hibák kihasználhatóságának csökkentése is fejlődött: a XI Windows 7-es és 8-as rendszereken bekapcsolja a ForceASLR-t, vagyis az operációs rendszer azokat a dinamikus modulokat is véletlenszerű helyre tölti be, melyeket /DYNAMICBASE nélkül forgattak. 

A nagy biztonságot igénylő munkaállomások számára  az Adobe kiadta a PDF Whitelisting Framework-öt, melynek felhasználásával a különböző forrásból érkező dokumentumokban szabályozni lehet a különböző tartalomtípusok - pl.: JavaScript, Flash - megjelenítését. 

Végül az új szoftververziók már az elliptikus görbékeny alapuló hitelesítő eljárásokat is támogatják a digitális aláírásokban.

Ezek mellett a szívderítő újdonságok mellett kicsit ünneprontóan hat, hogy az Adobe az Acrobat felhősítésével egy újabb támadási felületett nyitott.

Ennek is vége, és azt mondom: klassz volt. Megérte elmenni, főleg úgy hogy most volt jegyem is. XD  (A cégem beszponzorált. Köszi apu! :)) A Hacktivity 2.0-n még kipengettem a jegy árát, azóta tradicionálisan belógtam mindegyikre. Most is beültem néhány előadásra, ebből kettő ami érdekes volt, de volt kettő ami kiverte a biztosítékot. Az egyikről 10 perc után kijöttem: miután rájöttem hogy mire akar kilyukadni, és mielőtt agyrákot kapok a szorulásos-nyöszörős angol miatt. Ahogy elnéztem, nem voltam egyedül ezzel a besokallással, jöttek utánam páran. ^__^ A másik amiről elmenekültem pedig egy olyan téma volt, amivel 10 évvel ezelőtt is ciki lett volna kiállni: Spot the Web Vulnerability. Az ember elmondta hogy mi az az SQLi, XSS, FileInclusion. Én arra számítottam hogy valami új technika, támadási vektor, esetleg módszertan lesz. Hát nem az volt. Arrrgh! Azokat az előadásokat szeretem amik újat hoznak, amit még nem olvastunk... Meg az se baj ha picit mélyebben technikai.

Boldi (CrySyS Lab) előadása a Stuxnet/DuQu/Gauss/stb vírusokról kellemes volt, de végig ott kaparászott bennem a gondolat, hogy ha ez csak a felszín, akkor mi lehet a mélyben? Amit még megemlítenék az Dnet előadása, ami tömören arról szólt hogy hogyan lopjunk adatot a billentyűzet 3 ledjének segítségével. Összefoglalom: 3 led = ebből 1 órajel, 2 adatbit. Zsivány. ^__^

A helyszín egész jó volt. Szerintem. A dóm egyes előadásoknál kicsinek bizonyult, másoknál meg a nagyterem tűnt túl nagynak. Kint a kertben pöfékelni és kávét szürcsölve sztorizgatni a kockákkal a nyugiban ... az jó. Na ez nincs a hétköznapokban.

Mindenkinek akivel eddig beszélgettem erről, egyetértett velem abban hogy a Hacktivity-re nem az előadások miatt járunk. Néha kiesik egykét érdekes prezi, jó előadó, esetleg olyan ami eddig nem volt, de nem ez a jellemző. Nem ezért éri meg. Az emberek azok akik miatt megéri. A jó sztorik, a pioneer agyalások nem az előadásokon hangzanak el, hanem kint a workshopokban, a teraszon, az előtérben beszélgető emberek között. Itt Hacktivity-n, térben és időben van jelen az a pár tucat arc, akikkel anno csak IRC-ről ismertük egymást, akik benne voltak a zsiványságban, az ország/világ különböző pontjairól. Nem tudtuk hogy néznek ki, mi a polgári nevük, de tudtuk hogy milyen témában kit kell kérdezni. Ezek az arcok akik megmaradtak, azok kb. itt vannak. A sztorizónában még pár szóban megemlékezünk a renegátokról, akik nyom nélkül eltűntek: Egyik építészmérnök lett, a másik megházasodott, a harmadikról akkor hallottunk utoljára amikor IRC-n közvetítette hogy a rendőrök most lépnek be egy házkutatási paranccsal és az anyja próbálja meg feltartani őket. :/ Mindenkinek megvan a maga története. Mindenki más utat járt be, nincsenek már nagy lázadások, mindenki megfontoltabb lett... Most ezek az arcok mind nagy, komoly cégeknél húzzák felelősségteljes pozíciókban.

Jó látni ezeket az embereket, jó beszélni velük, megosztani és begyűjteni a gondolat-magokat. Asszem nekünk inkább erről szól a Hacktivity. :)

Buherátor megjegyzése

A társaság nem csak azért fontos, mert találkozhatunk régi ismerősökkel, hanem azért is, mert új arcokat ismerhetünk meg. Sajnos tapasztalat, hogy a legtöbben szégyenlősek ismeretlenül belszállni egy társalgásba, vagy feltenni egy kérdést az előadóknak, pedig egy hacker konfon az etikett ilyen szempontból sokkal lazább: mindenki örül, ha a tudását megoszthatja, és ha új információkkal, ötletekkel, véleményekkel gazdagodik. A rendezvények hangulatát a közönség kell hogy meghatározza, tegyünk érte, hogy a hazai konferenciák még jobbak legyenek!

Pwnium 2

A Kuala Lumburban rendezett Hack In The Box konferencián a Google újra feltett 2 millió dollárt a Google Chrome böngésző megerősítésére. A díjból végül 60.000 dollár került kiosztásra, melyet a múltkori versenyen is sikert arató, Pwnie-díjas Pinkie Pie vitt el egy teljes Chrome exploittal. A teljes felhasználói szintű kódfuttatáshoz egy SVG feldolgozást érintő, valamint a renderer és a browser közti IPC mechanizmusban bújkáló, tetszőleges fájl-írást biztosító hiba kihasználására volt szükség - pontosabb részletek egyelőre nem ismertek, de a Google most is részletes tájékoztatást ígér. A böngészőt a hiba demonstrálása után 10 órával javították.

Mozilla 16+0.1

A Mozilla kiadta a Firefox böngésző legfrissebb változatát, majd vissza is vonta azt, mivel a fejlesztők rájöttek, hogy egy hiba lehetővé teszi a felhasználó böngészési-előzményeinek kiolvasását rosszindulatú weboldalak számára. A javított 16.0.1-es változatban végül ezt, illetve más hibákat is orvosoltak.

Népírtás WoW-on

Több World of Warcraft város is teljesen elnéptelenedett, miután valaki egy bármely más játékost leírtani képes karaktert hozott létre a játékban. Egészen félelmetes, mikor a South Park írja a (virtuális) valóságot.

THC-IPV6 v2.0

Megjelent a The Hacker's Choice IPv6 tesztelő eszközkészletének második főverziója. A csomag az eddigi szoftverek hibajavításai mellett új DoS, spoofing illetve felderítési funkciókkal gazdagodott. 

LulzSec - megint egy vallomás

Raynaldo Rivera, a LulzSec-ben royal, wildicv, illetve neuron néven tevékenykedő 20 éves csibész is bűnösnek vallotta magát a bíróság előtt. Rivera elsősorban a sonypictures.com elleni SQL injection támadással járult hozzá a csoport tevékenységéhez, ami a Sony-nak (saját becslésük szerint) valamivel több mint 600.000 dollárba fájt. A vallomás remélhetőleg a maximális 15 éves börtönbüntetésnél enyhébb ítéletet eredményez majd.

Dont worry .. Your data is safe with me :P .. Wayyy safer than FB #Its #Encrypted

A Facebook nemrég átlépte az 1 milliárd regisztrált felhasználót, amiből 600 millió mobilfelhasználó, Suriya Prakash pedig azt mondja hogy az ő számaikat gyerekjáték ledumpolni. Egy kis ízelítő privatepaste-n, kicsit cenzúrázva. Volt levelezés is a biztonsági csoporttal, akiknek úgy tűnik, hogy elsőre nem jött át hogy mi a para:

A módszer annyi hogy mobilszámokra keresünk, és ha van ilyen a rendszerben, illetve a felhasználó privacy beállításai is megengedik, akkor megkapjuk a felhasználó nevét/egyéb adatait. (http://m.facebook.com/search/?query=123456789) Ordas tahó módszer, de sajnos úgy tűnik hogy működik. Suriya blogjában találtam egy linket egy scriptre amivel meg lehet próbálni splojtálni a sérülékenységet, de nem ajánlott mivel a FB azóta már megreszelte, és 24 órára szögre akasztja a kevésbé fair játékosokat:

Your account has been temporarily suspended. We have detected some suspicious activity coming from this IP. As a security precaution, your account has been temporarily suspended.

Elméletileg... A srác azt mondja a blogjában hogy nem sikerült még kitiltatnia magát...

Vannak tippek hogy hogyan tudjuk megóvni az adatainkat az ilyen támadásoktól, de az ultimate megoldás az, ha nem adjuk meg. Van néhány gondolatom a sztorihoz:

• A FB default beállítása az hogy bárki utánad tud nézni a telefonszámod és az email címed alapján. Nehéz kérdés, hogy hol kell meghúzni a határvonalat a biztonság és az átlag felhasználók kényelme között... Ha magasan van a léc akkor az átlag user nem tudja majd használni, ha alacsonyan akkor meg jön a kiddo hogy "OMG h4cK3d WTF"... Egy biztos: valaki szopni fog, de az üzlet nem engedi hogy a felhasználó legyen az.
• Az hogy egy ilyen sügér egy ennyire agyatlan megoldással képes egy ekkorát leakelni az egy dolog, sokan megcsinálták már, sqlmaphoz is elég az 1 IQ pont. De most akkor ez bug, vagy nem bug? Én azt mondom hogy nem bug, hanem feature, de attól még hiba. Ez nem biztos hogy tiszta volt... Hiba például egy SQL injekt. De mivel ez az elvárt működése a keresésnek, ezért nem lehet azt mondani hogy rosszul írták meg. Pontosan azt csinálja amit kitaláltak, hogy csinálnia kell. Arra nem gondoltak, hogy jön egy ilyen kismókus, és ilyen módon fogja felhasználni. Mondhatjuk azt is hogy felvállalt kockázat, de ha reportolás előtt tudatában lettek volna annak hogy erre is felhasználható, akkor talán beleépítettek volna valami korlátozó mechanizmust, nem pedig utána. Hiba. Koncepciós, vagy tervezési hiba. *Szerintem.
• Biztosan sok-sok ilyen levelet kap naponta a security staff, és mindegyiket komolyan kell venni. Nem nehéz belefásulni, - sajnos tudom - de nem szabad fél vállról venni, mert bár lehet hogy aki reportol egy "bugot", az tényleg egy vadbarom, (és Excelből generálja a telefonszámokat mint ez is) de ha működik a vacka akkor nincs mese. Az én szerény véleményem az hogy jelen esetben a FB securitys arcok nagyon félvállról vették a kis kretént, és ez hiba. Lehet hogy nagy koponya aki a FB-nél a securitys cuccokat intézi, és csuklóból írja hexában a shellkódot arm-ra, és hányingere van már ezektől a láma reportoktól, de a masszív leak tényén nem változtat.

MS12-064: Az Office Windows-os változatait illetve 2010 SP1-es SharePoint Servert érintő két sérülékenység javítása, melyek Word illetve RTF dokumentumok megnyitásakor vezethetnek kódfuttatáshoz.

MS12-065: Szintén a Word fájlok feldolgozását érintő probléma javítása a Works 9-hez.

MS12-066: A Microsoft termékek széles skáláját érintő, Cross-Site Scripting támadásra lehetőséget adó sérülékenység javítása. A probléma az InfoPath, SharePoint Server, Groove, Lync, Communicator, és Office WebApps szoftvercsaládok különböző verzióit érinti, részletes lista a hivatalos figyelmeztetőben.

MS12-067: A Microsoft most az automatikus frissítési ciklusban is letolja azokat a FAST Search Server frissítéseket, melyek kiadására a szoftver Oracle-től származó komponenseiben felfedezett hibák kezelése érdekében volt szükség. 

MS12-068: Egy integer túlcsordulás probléma a Windows kernelben jogosultságkiterjesztést tehet lehetőve. A sérülékenység a 8-on illetve a Server 2012-n kívül minden támogatott OS verziót érint.

MS12-069: A Windows 7 és Server 2008 telepítéseket érintő, szolgáltatásmegtagadást okozó probléma javítása. A probléma a Kerberos protokollmegvalósításban, egy NULL pointer dereferencia miatt triggerelődhet, és célpont újraindulásához vezet. 

MS12-070: Már nyaltam volna a szám szélét, hogy egy SQL Server jogosultságkiterjesztést is kapunk ebben a hónapban, de csak arról van szó, hogy az SQL Server Report Manager reflektív Cross-Site Scripting támadásokra adhat lehetőséget. 

Nos, ez eddig nem volt túl izgalmas, de a Microsoft ehavi frissítései itt nem értek véget:

Először is, ehónapban a Windows Update-en keresztül elkezd terjedni az a módosítás, ami az 1024 bitnél rövidebb modulusú RSA privát kulcsokat használó tanúsítványokat minden más paramétertől függetlenül megbízhatatlannak bélyegez. A támogatás információ úgy fogalmaz, hogy rövidebb modulusú kulcsok ma már "rövid idő alatt előállíthatók" - az az érzésem, a srácok tudhatnak valamit... A Windows 8 és a Server 2012 alapból a fent ecsetelt módon működik.

Másodszor, a cég munkatársai vétettek egy aprócska hibát még augusztusban, melynek eredményeként a közel jövőben lejáró digitális időbélyegek kerültek az abban a hónapban kiadott frissítések nagyobbik részére. Ezt a csorbát most a cég egyrészt a binárisok újraszignált változatainak kiadásaival, másrészt a WinVerifyTrust API módosításával igyekszik orvosolni. A második intézkezés nyomán az API az érintett frissítéseknél használt hitelesítőket külön ágon kezeli, és elegánsan átsiklik azon tény felett, hogy a tanúsítvány lejártakor az időbélyegzett állományokat is érvénytelennek kellene tekinteni. 

Harmadszor az IE10 felhasználók a MS-os csatornán keresztül megkapják a szintén ma megjelent 25 Adobe Flash Player frissítést is. A többi böngésző felhasználói kézzel frissítsenek amint lehet, mert az ehavi szeretetcsomag 1-es prioritású, azaz aktív kihasználás alatt álló hibát is javít!

4.5 millió brazil router

A SOHO hálózati eszközök biztonságára már sokszor, sok helyen megpróbálták felhívni a figyelmet (Paulik Tamás 2011-es Hacktivity előadását nem sikerült megtalálnom...), valós támadásokról azonban ritkán hallani. Remélhetőleg Fabio Assolini Virus Bulletinen tartott előadása remélhetőleg kibillenti a biztonsági közösséget a téma iránti apátiából, 4.5 millió fertőzött eszközre már talán érdemes odafigyelni. A Kaspersky szakértője egy brazil felhasználókat érintő támadást figyelt meg és elemzett, mely ugyan igen primitív módszereket használt (a példában szereplőhöz hasonló exploittal tele van az Exploit-DB), mégis hosszú ideig észrevétlen tudott maradni, és jelentős felhasználói csoportot érintett.

Bukták

Romániában 2 év felfüggesztett szabadságvesztésre ítélték, valamint 120.000 dollár megfizetésére kötelezték TinKode-ot, aki néhány éve többek között a MySQL.com és a NASA egyes weboldalainak feltörésével szerzett magának kétes hírnevet. Tinkode azzal próbált védekezni, hogy ő csak a rendszerek biztonsági hibáira akarta felhívni a figyelmet, a webes sérülékenységek felderítése számára egyfajta hobbi volt, de valószínűleg jópár helyen kiverte a biztosítékot, hogy a sérülékenységek részleteit azonnal közzétette, az üzemeltetőket pedig csak ez után értesítette. A TinKode felmentéséért indított, 5000 támogatót célzó online petíció jelenleg kevesebb mint 200 aláírásnál jár.

Hazai fronton Szabó Henrik nyilatkozott többek között az NNI-s Anonymous letartóztatások ügyében is. Amellett, hogy a cím - "Magyarországon nem sokat hekkelnek" - jól mutatja a hatóság rálátását a témára, piros pont jár azért a felismerésért, mely szerint a legtöbb pokémon "csak kihasználja a nemzetközileg ismert csoport hírnevét", nincs tehát szó világméretű szerveződésről vagy más utópiákról.

ECSM

Október az EU Kierbiztonság Hónapja, melynek célja, hogy "felhívja a szervezetek és a polgárok figyelmét a kibertérben található fenyegetésekre, illetve serkentse a biztonságtudatosságra történő nevelést, oktatást". A biztonságtudatossági nevelésről Z mutatott egy remek mozzanatot DerbyCon-ról: röviden összefoglalva a tapasztalat azt mutatja, hogy az emberek nagy ívben tesznek a jótanácsokra, és kattintanak amit érnek, szóval lehet, hogy az Unió sem a legjobb szögből közelíti a problémát.

A kritikus IT infrastruktúrák üzemeltetőinek a szintén a héten lebonyolított hadgyakorlat ugyanakkor hasznos tapasztalatot nyújthatott, közelebbit azonban ezzel kapcsolatban - érthető okok miatt - nem tudunk.

Jövő héten frissít a Microsoft, és persze jön a Hacktivity - a MOM Művközpontban várok mindenkit, aki inna egy-két sört!

Az amerikai National Institute of Standards and Technology hat év után kiválasztotta a legújabb hivatalos kriptográfiai üzenetpecsét-szabvány, az SHA-3 algoritmusát. Az új szabvány kiválasztására indított nyílt pályázatra összesen 64 beadvány érkezett, melyek közül az utolsó fordulóban az öt legjobb versenyzett, végül az olasz és belga kutatók által konstruált Keccak lett a győztes. 

A NIST a döntést a Keccak ("keccsakk") a SHA-1-től illetve SHA-2-től alapjaiban eltérő, elegáns felépítésével (ez új feladatot ad a támadóknak), valamint az algoritmus rugalmasságával (változtatható kimenetméret, növelhető teljesítmény), hardverbarát felépítésével és remek teljesítményével indokolta.

Bruce Schneier - aki csapatával a szintén döntős Skein alkoritmust nevezte - a döntés előtt nem sokkal arról írt, hogy célszerűnek tartaná, ha nem hírdetnének eredményt a pályázaton, a hosszú kimenetű SHA-2 algoritmusváltozatok ugyanis még mindig jól tartják magukat, az új rendszerekre történő átállás (amit pl. az Egyesült Államok törvényei is előírnak egyes kormányszervek számára) így felesleges kiadásokhoz vezetne. Az eredményhírdetést követően a sztárkriptográfus ugyanakkor elismerte, hogy a hivatal jó döntést hozott, és gratulált a győztesnek. 

Mielőtt pedig valaki elkezdené átírni a meglévő kódjait SHA-3 alapú jelszótárolásra, ismét megjegyezném, hogy erre a célra sokkal jobb megoldások léteznek, a Keccakhoz hasonló, teljesítményre (is) optimalizált algoritmusoknál, melyeket elsősorban integritásellenőrzésre lesz célszerű használni (pl. digitális tanúsítványokban).

IEEE: 100.000 jelszó

Radu Drăgușin az IEEE egyik nyilvános FTP szerverén talált 100GB HTTP logot, melyből majdnem 100.000 ieee.org felhasználó neve és jelszava volt kiolvasható. A szakértő szerint a naplók legalább egy hónapja elérhetőek voltak mielőtt felfedezte őket. Az IEEE elismerte a problémát, és elnézést kért a felhasználóktól. Az adatszivárgás a weboldal regisztrált felhasználóinak kb. 2%-át érinti. A gyűjtött adatokról remek statisztikai adatokkal szolgál az ieeelog.com.

Elkészült az információbiztonsági törvény tervezete

Célegyenesbe került a nemzeti információs infrastruktúra védelmét szabályozni hivatott információbiztonsági törvény. A törvénytervezettel kapcsolatos legfontosabb tudnivalókat dr. Muha Lajos foglalja össze az ITCafé interjújában.

Backdoor-ral patkolt phpMyAdmin-t terjesztett az egyik SourceForge szerver

trey@HUP:

A phpMyAdmin projekt friss figyelmeztetője szerint a SourceForge tükörszerver rendszerének egyik szervere (cdnetworks-kr-1) a phpMyAdmin egy olyan módosított csomagját terjesztette, amely backdoor-t tartalmaz. A backdoor a server_sync.php fájlban található és távoli kódfuttatást tesz lehetővé a támadók számára. A csomagban található js/cross_framing_protection.js fájlt is módosították. További részletek itt.

A SourceForge-al már voltak komoly problémák (tíz éve is...), a magam részéről erősen meg szoktam gondolni, mit telepítek onnan...

Telvent

Feltehetően kínai támadók hatoltak be a Schneider Electric érdekeltségébe tartozó, SCADA szoftverek gyártásával foglalkozó Televent informatikai rendszerébe. A cég még vizsgálja az incidenst, de az már biztosra vehető, hogy a támadóknak sikerült hozzáférniük az OASyS SCADA szoftver "projekt fájljaihoz", valamint a cég által ügyfeleknek kiküldött figyelmeztető üzenetek alapján feltételezhető, hogy a támogató csatornákon keresztül a további iparvállalatok irányába is terítésre került valamilyen malware. A támadás biztonsági szakértők szerint a Comment Grouphoz köthető.

Kapcsolódó olvasmány a Dell SecureWorks CTU elemzése az energiaipari és katonai célpontokat érintő Mirage kampányról.

Újabb kritikus Java sebezhetőséget jelentett be a Security Explorations

trey@HUP:

A Security Explorations - ugyanaz a csapat, aki a múltkori Java sebezhetőséget is napvilágra hozta - egy újabb kritikus Java sebezhetőségről írt a Full Disclosure levelezési listán. A sebezhetőség az Oracle Java SE összes friss verzióját érinti. A bejelentés itt olvasható.

Ahogy már korábban kifejtettem, ennek a bejelentésnek pontosan akkora a hírértéke, mintha azt mondanánk, hogy "a szoftverekben vannak ismeretlen biztonsági problémák" - vagyis egész pontosan 0. Miután a SE semmilyen részletet nem közöl a hibával kapcsolatban, a bejelentést alapvetően a marketingrészleg fogalmazványának lehet tekinteni - persze nem baj, ha minél többen elgondolkoznak a Java alapértelmezett kikapcsolásán a böngészőkben.

Google Chrome 22

A Google kiadta a Chrome böngésző legfrissebb stabil változatát. A kiadás egy nagy rakás biztonsági problémát javít, melyekért összesen 29.500 dollárt fizetett ki a cég a becsületes felfedezőknek, ami új rekord. A díj több mint felét a Pwnium és Pwnie nyertes Sergey Glazunov vitte el két univerzális XSS-el, de jutalmaztak két finn kutatót is, akik a Chrome gyötrése közben egy Windows kernel biztonsági hibába botlottak.

Cisco frissítések

A Cisco kiadta féléves biztonsági frissítőcsomagját. A javítások a cég közlése szerint DoS problémákat orvosolnak (bár a BGP-s hibajegy elég homályosan fogalmaz...) az IOS különböző változataiban és az Unified Communications Managerben.

2012 Útmutató IT Biztonsági Szakembere

Végül ezúton szeretném megköszönni a rám leadott szavazatokat, ez tényleg nagyon jól esett :)

Esteban Fayó olyan módszert mutatott be a múlt heti Ekoparty konferencián, melynek alkalmazásával anélkül pörgethetők ki az Oracle adatbázisok jelszavai, hogy akár egyetlen sikertelen belépési kísérlet is naplózásra kerülne a szerveren, ráadásul a támadás offline (vagyis iszonyú gyorsan) végezhető.

Fayó akkor figyelt fel a problémára, mikor azt tapasztalta, hogy bizonyos sikertelen belépési kísérletek nem kerülnek rögzítésre az RDBMS naplóiban. Némi nyomozás után félelmetes felfedezés született: az Oracle saját autentikációs protokollja (O5LOGON) a kliensek csatlakozásakor elküldi a session kulcsot valamint a felhasználói jelszó hasheléséhez használt salt értéket, a session kulcsból pedig maga a hash is kikövetkeztethető (csak nekem jut eszembe az ISAKMP aggresive mode?)! Az információk kinyerése után a kapcsolat lebontható, a kiszolgáló pedig úgy tesz, mintha mi sem történt volna. 

Bár a támadás pontos részletei egyelőre nem nyilvánosak, a fenti információk birtokában némi reverse-engineering segítségével kinyomozhatók az Oracle kódolásának részletei. Az Oracle az adatbáziskezelő 11.2.0.3-as változatában adta ki a protokoll javított változatát, ez azonban nincs bekapcsolva alapértelmezetten. Fontos megjegyezni, hogy ez nem egy CPU-s folt volt, hanem egy új release, ilyen javítás a 10.2, 11.1 és 11.2-es változatokhoz októberben várható. 

A problémára további ideiglenes megoldást jelenthet a régi O3LOGON protokollra, vagy külső hitelesítő szolgáltatásra történő átállás. Az Oracle ezen kívül a legalább 12 karakteres jelszavak használatát javasolja, ami  a tapasztalat szerint sci-fi a gyakorlatban. Az Oracle mindezt a 1492721.1-es azonosítójú support doksiban részletezi a fizető ügyfeleknek. 

Eljött az ideje, hogy kicsit körbejárjuk az legújabb SSL-fejtegetős témát, hála annak, hogy Juliano Rizzo és Thai Duong publikálták a diáikat (és van egy kis szabadidőm :). 

A Rizzo-Duong páros legutóbb a szintén SSL megfejtésre használatos BEAST támadással tűnt fel nagyjából egy éve, a most prezentált CRIME pedig ennek a leszármazottja. A rövidítés a Compression Ratio Info-leak Made Easy (vagy Mass Exploitation) kifejezésre oldható fel, és valójában több hasonló módszert fog össze, melyek különböző algoritmus- illetve protokoll-kombinációk ellen használhatók. Részletek a Tovább után:

Az ilyen szituációkra mondja azt az angol, hogy a szar elérte a ventillátort: júliusban kompromittálták az Adobe kód-aláíró infrastruktúráját, és a cég nevében aláírt állományokat célzott támadáshoz használták. A támadók először egy kevésbé fontos Adobe gépre jutottak be, ahonnan kiterjesztették hatalmukat egy build-szerverre, aminek hozzáférése volt némi forráskódhoz illetve kérhetett kód aláírást is. A lehetőséget a jól ismert pwdump7.exe és libeay32.dll, valamint egy egyedi ISAPI szűrőt megvalósító DLL hitelesítésére használták fel - legalábbis eddig ezekből a fájlokból látott mintát a cég. 

Az érintett tanúsítvány visszavonására október 4-én fog sor kerülni, a visszavonás az Adobe Muse, Adobe Story valamint az Adobe.com asztali alkalmazásokat fogja érinteni. Az Adobe ezen kívül arra figyelmeztet, hogy az érintett tanúsítvány átmozgatása a Windows megbízhatatlan tanúsítványai közé nem akadályozza meg a most felfedezett rosszindulatú kódok futását. 

A cég a teljes kód-aláíró infrastruktúráját lekapcsolta és vizsgálatnak vetette alá, melyből kiderült, hogy a HSM-ben tárolt privát kulcs nem került illetéktelen kezekbe. A forráskódokat illetően biztos, hogy a népszerű alkalmazásokhoz (Flash Player, Shockwave Player, Reader, AIR) a kompromittált build szervernek nem volt hozzáférése, és hogy az általa hozzáférhető alkalmazások forráskódját nem  módosították vagy lopták el. 

Az Adobe a biztonsági szoftver gyártókkal együttműködve dolgozik azon, hogy a végpont-védelmi megoldások detektálják az érintett tanúsítvánnyal hitelesített fájlokat. 

Ha fejlemény van, frissítem a posztot.

Ez egy igazi gyöngyszem.

Amikor először megláttam Ravi Borgaonkar előadását, igencsak elcsodálkoztam rajta, hiszen manapság már viszonylag ritkán lát az ember ilyen banális bugot. Kezdetben hitetlenkedve olvastam, majd pár másodpercnyi meghökkenés és homlokráncolás után ez hamar átfordult derültségbe. Nem a kárörvendés, szó nincs erről, inkább a lehetőségek felismerésének felvillanyozó érzése materializálódik kaján vigyor formájában. Szóval miről is van szó? A Samsung "tel:" protocol handlere HTML környezetben a dialer appnál landol, ami annyit tesz, hogy ha egy támadó rá tudja venni a telefont hogy nyisson meg egy megfelelően kraftolt weboldalt, tetszőleges hívást tud kezdeményezni. Igen, eredetileg erre szolgálna ez a feature, viszont a dialerrel nem csak hívást indítani lehet, a demonstrációban a fiatalember USSD (Unstructured Supplementary Service Data) kódokkal játszadozik... na de mi ez?

Ha előkapod a telefonodat, és betárcsázod hogy "*#0000#" akkor azonnal láthatod a telefonod mindenféle paramétereit és verzióit, vagy *#06# esetén az imei számodat. Egyik másik ilyen kódot közvetlenül a telefon értelmez, míg mások megjárják a hálózatot és a központban landolnak. Van amelyikkel infókat lehet lekérdezni, és van ami beállításokat intéz. A fenti bemutatóban a "*2767*3855#" (Samsung Galaxy S3) specifikus kóddal a Samsung egyik okostelefonjában triggerel egy Factory Data resetet, aminek eredményeképpen a telefon minden beállítása végérvényesen elvész. Ehhez elég a felhasználót egy olyan oldalra irányítani ami tartalmazza a következő kódot:

<iframe src="tel:*2767*3855%23" />

A hwsw így fogalmazta meg:

A helyzetet súlyosbítja, hogy a tárcsázón keresztül a telefon más funkciói is elérhetőek, így például cserélhető a PIN-kód is. Mivel triviális annak megoldása, hogy a támadó háromszor hibásan próbálkozzon PIN-cserével, a telefon SIM-kártyája is kivonható forgalomból. A hibát felfedező biztonsági szakemberek igazolták a fenti forgatókönyv működését a Galaxy S II esetében, Twitter-felhasználók visszajelzései szerint pedig működik Galaxy S III, valamint a Galaxy Beam, Galaxy S Advance és Galaxy Ace esetében is.

Na igen... feltéve hogy tudod a régi pint. "**04*RÉGI_PIN*UJ_PIN*UJ_PIN#" vagy ugyanez a pin2 -vel csak **04 helyett **042. De letilthatod/jelszóval korlátozhatod a kimenő hívásokat, tilthatod a bejövőket, és egy sor minden mást. Elég egy QR kódos matricára rázoomolni a metrón, és beng: elvesztek az adataid, vagy dobhatod ki a sim kártyádat. A telefon böngészője elküldi az User-Agent headert, így mint támadó, el tudom küldeni a típusnak megfelelő kódokat a csóró ember telefonjára, szóval vannak lehetőségek... Ezeknek a kódoknak a márkaszervizekben biztos utána tudnak nézni. Vagy a google.

Hagyjuk most a telefon specifikus kódokat. Nálunk a szolgáltatók nem szeretik használni az USSD kifejezést, helyette inkább azt mondják hogy "(digitális) kényelmi szolgáltatások". Ezek szolgáltatónként és a központok típusától függően változ(hat)nak, de van néhány ami kb mindenhol fix. Az Axe10 és EWSD rendszerek alap szolgáltatásai pl a híváskorlátozás, vagy a CF* (CFU/CFB/CFNR) amelyek lehetővé teszik az előfizetők számára ezeknek a funkcióknak a használatát. Ahogy elnézem semmi akadálya hogy az előfizető vonalán efféle huncutságokat lehessen beállítani. Állítsak be ébresztést hajnal 4:15-re (*55*0415#), vagy csak indítsak egy emeltdíjas hívást? Vagy irányítsam át a bejövő hívásokat a fővárosi elmegyógyintézethez (**62*TELSZÁM#)? A tata docomo pl elérhetővé tette a facebookot és a twittert a *325# és *515# kódok segítségével.

Mindent összevetve nagyon bájos kis bug... Valahogy elfogott az érzés, hogy nosztalgikusan és végleg elköszöntek az oldschool phreakelés kivénhedt veterán szellemei, utolsó pár hamuba sült pogácsa gyanánt suttogva tippeket a hitech kor gyermekeinek a letűnt idők reneszánsz technikáiról. Nincs már több patch panel fölött görnyedés, kábel szúrkálás gombostűvel, "at" parancsokkal zsonglőrködés... minden digitális.

Kutyacica élménybeszámójának második része a csütörtöki napról a Tovább után