BuheraBlog
https://buhera.blog.hu/atom
blfr2@https://blog.hu
©2024 blog.hu
https://buhera.blog.hu/2014/04/30/viszlat_es_kosz_a_halakat_489
Viszlát, és kösz a halakat!
2014-04-30T13:37:00+02:00
2014-04-30T13:37:00+02:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">Kedves olvasók, barátaim! Hosszú mérlegelés után úgy döntöttem, hogy a mai napon bezárom a BuheraBlog kapuit. Nem áprilisi tréfa. Ezen a lépésen már hónapok óta rágódom, a hazai szakma utóbbi időben tapasztalt mélyrepülése nem okozója, legfeljebb katalizátora lehetett a döntésnek. Éppen ezért első körben meg is kímélnék mindenkit kritikus gondolataimtól, ehelyett mindenek előtt szeretném megköszönni azt a hihetetlen mértékű támogatást, amit az elmúlt majd' 7 évben kaptam tőletek!</p>
<p style="text-align: justify;">Ez alatt az idő alatt a blog többszörösen túlteljesítette eredeti célját. Az induláskor ez a cél saját ismereteim bővülésének elősegítése, rendszerezése volt. Ebből aztán szép lassan goldenblogos szakmai (hír)oldallá fejlődött a történet, a barátaimmal céget alapítottunk, én pedig a hazai IT-biztonsági szakma egyik arcává avanzsáltam. És ez rendben is volt így.</p>
<p style="text-align: justify;">Azonban eközben a világ, és én is megváltoztunk: Az információbiztonságot felkapta a mainstream média, egymást érik a nagy volumenű adatlopásokról, a hírszerzési szivárogtatásokról, és a feltört kakukkosórákról szóló híradások, és akkor még nem beszéltünk az egyre nagyobb forrásokkal támogatott ezért (szerencsére) egyre gyakrabban feltűnő nívós szakmai eredményekről. Míg annak idején a blog, mint platform ideális formátumot nyújtott ezeknek az újdonságoknak az (akkori szemmel) rapid közlésére, ma már az IT-biztonsági híradás teljes embereket, szerkesztőségeket kíván - szerencsére van is ezekből értékelhető választék* - én pedig egyre kevésbé töltöm szívesen az időmet a blog.hu (egyébként remek :) szerkesztőjében a debugger helyett.</p>
<p style="text-align: justify;">Hét éve az IT-biztonsági hírek, eredmények magyar nyelven történő közlése kuriózum volt, és nagyon remélem, hogy az én munkám is hozzájárult ahhoz, hogy néhány tehetséges embert elkapjon a legjobb értelemben vett gépszíj. Azonban azt is látom, hogy a blog sokakat elkényelmesített: miért vesződjünk a napi hírek bogarászásával, értelmezésével, mikor a Buherán úgyis ott lesznek a legfontosabb tudnivalók? Pedig ma, 2014-ben nem kell többé "underground" fórumokat és IRC csatornákat túrni, aki szeretne, könnyen megtalál minden szükséges anyagot a kedvenc keresőjével, legyen szó hardware backdoorokról vagy éppen a nemzetközi IT-biztonsági trendekről. Aki ezt az energiát nem fekteti be, az jobb, ha más elfoglaltságot keres magának. </p>
<p style="text-align: justify;">Természetesen a könnyen elérhető információtenger sem hagy minket munka nélkül: el kell tudnunk választani az <a href="http://www.scs.stanford.edu/brop/" target="_blank">értékes információt</a> az <a href="http://sg.hu/cikkek/102728/eloszor-kuldott-spamet-egy-hutoszekreny" target="_blank">értéktelentől</a>. Ezen a téren sajnos a blog minden igyekezetem ellenére sem tudott látványos eredményt elérni, a hazai színtéren még mindig évtizedes dogmák és persze a kicsinyes érdekek a meghatározók az érvek és a szakmaiság helyett.</p>
<p style="text-align: justify;">Ennek a felismerése a hazai IT-biztonsági kultúra egésze szempontjából kritikus fontosságú lenne. Nagyon nehéz ugyanis előremutató gondolatokat, eredményeket közvetíteni, miközben a szakértőket a nyakkendőjük és vélt érdemeik, nem pedig tényleges képességeik alapján ítélik meg, ha egy kutatás akkor lesz kimagasló, ha nem kell rajta sokat gondolkodni, és ha a legfontosabb IT rendszerek irányítóinak legnagyobb félelme még mindig az, hogy "fel lehet-e törni" a cég statikus weboldalát.</p>
<p>Ennek a megváltoztatásához közösen kell cselekedniük azoknak, akik úgy érzik, hogy az információbiztonság a hivatásuk és nem csak egy munka a sok közül.</p>
<p style="text-align: justify;">Nem elég egy blog, hanem kell több tucat blog, honlap, portál és profil, melyek közösen állnak ki az értékes mellett, és utasítják el az értéktelent. Az ősleves már készen van, de az evolúciónak kell rendet teremtenie, hogy a megélhetési szakértők, gittegyletek és kamukonferenciák helyén teret kapjanak a szárnyukat bontogató, világszínvonalú magyar hackerek.</p>
<p style="text-align: justify;">Azokat, akik egyetértenek, és azokat, akik vitatkoznának, szeretettel várom a május 22-i Ethical Hacking konferencia után (~17:30) a <a href="http://kocsma.blog.hu/2012/02/24/no_name_sorozo" target="_blank">No Name sörözőbe</a>, ahol a hagyományokhoz méltó tivornya keretében búcsúzunk el a blogtól.</p>
<p style="text-align: justify;">Én persze nem megyek sehová (és ezt vehetitek fenyegetésnek :), <a href="https://twitter.com/buherator" target="_blank">Twitteren</a> és IRL is tovább osztom az észt, e-mailben a szokott módon elértek. A posztot a záróbuliig még frissítem a részletekkel, utána a kommentelési lehetőséget globálisan lezárom, és eldobom a blog.hu-s jelszavaimat (a deface-nek sportértéke tehát még kb. három hétig van ;).</p>
<p style="text-align: center;"><iframe width="420" height="315" src="//www.youtube.com/embed/9fvu951up_0" frameborder="0" allowfullscreen=""></iframe></p>
<p style="text-align: center;"><em>"In the underground, integrity lies within</em><br /><em>in the underground, image doesn't mean a thing</em><br /><em>we can do away with this negativity</em><br /><em>it's a golden day we can force them to step down"</em></p>
<p style="text-align: left;"><small>* <a href="http://phrack.org" target="_blank">Phrack</a> | <a href="http://krebsonsecurity.com/" target="_blank">Krebs on Security</a> | <a href="http://arstechnica.com/security/" target="_blank">Ars Technica</a> | <a href="http://insecure.org/news/fulldisclosure/" target="_blank">Full-Disclosure</a> </small></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F30%2Fviszlat_es_kosz_a_halakat_489%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F30%2Fviszlat_es_kosz_a_halakat_489%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F30%2Fviszlat_es_kosz_a_halakat_489%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Viszlát, és kösz a halakat!"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/04/30/viszlat_es_kosz_a_halakat_489#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/6096961" border="0" /></a><br /></p>
buherablog
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/04/12/heartbleed_challenge
Heartbleed Challenge
2014-04-12T18:18:14+02:00
2014-04-12T18:18:14+02:00
buherator
https://blog.hu/user/45095
<p>A Heartbleed sérülékenység kapcsán eddig világos volt, hogy:</p>
<ul><li>A bejelentést követő javítási ablakban minden valamennyire is ismert szolgáltatás esetén gyakorlatilag biztosra vehető, hogy a kiszolgálók által kezelt adatok jelentős része (jelszavak, session azonosítók, egyéb érzékeny adatok) kiszivárgott. </li>
<li>A bejelentés előtt nagyjából két éven keresztül szemfüles feketekalaposok és <a href="https://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013" target="_blank">a jobban informált szolgálatok</a> is szimatolhattak a kiszolgálók memóriájában.</li>
</ul><p>A nagy kérdés az volt, hogy mekkora az esélye a privát kulcsok kiszivárgásának? Nos, <a href="https://www.cloudflarechallenge.com/heartbleed" target="_blank">a Cloudflare felállított egy tesztrendszert</a>, melyen sérülékeny OpenSSL változatot futtattak egy nginx webkiszolgáló alatt, és felkérték az internet népét, hogy ha tudják, szerezzék meg a privát kulcsukat. </p>
<p>A feladatot 24 órán belül <a href="http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge" target="_blank">két ember is teljesítette</a>, Fedor Indutny nagyjából 2.5 millió, Ilkka Mattila pedig nagyjából 100.000 szívverés elküldése után volt képes helyreáéllítani a "titkok titkát". </p>
<p>A privát kulcsok kiszivárogtatása tehát valós környezetben, interneten keresztül is kivitelezhető, bár az akció elég zajos. </p>
<p>A félreértések elkerülése végett: a privát kulcsokat egy támadó akkor tudja használni, ha megfigyel egy, a kulccsal rejtjelezett (tudom, pongyola megfogalmazás) adatfolyamot. Amíg tehát az eredeti hibát bármelyik bitbetyár a világ bármely pontjáról ki tudta használni, a privát kulcsok leginkább akkor jönnek jól a támadónak, ha történetesen az áldozat mellett ül a Starbucksban (vagy egy fekete dobozban az ISP-nél...). </p>
<p>Aki eddig nem tette meg cserélje le érintett digitális tanúsítványait!</p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F12%2Fheartbleed_challenge%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F12%2Fheartbleed_challenge%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F12%2Fheartbleed_challenge%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Heartbleed Challenge"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/04/12/heartbleed_challenge#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/6023708" border="0" /></a><br /></p>
openssl
heartbleed
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/04/08/wiszlat_xp
Wiszlát XP!
2014-04-08T22:47:56+02:00
2014-04-08T22:47:56+02:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">Nem lepődnék meg ha a mai nap az IT-biztonság fekete keddjeként vonulna be a történelembe: az egyelőre felmérhetetlen súlyú <a href="http://buhera.blog.hu/2014/04/08/openssl_fejloves" target="_blank">Heartbleed</a> sérülékenység mellett ma lejár a Windows XP (és az Office 2003) biztonsági támogatása, pedig még jócskán vannak élő rendszerek, méghozzá olyan helyeken, amiket egyáltalán nem lenne jó 0wnolva látni. </p>
<p style="text-align: justify;">A tisztán látás kedvéért, illetve mivel több vonatkozó kérdést kaptam az utóbbi időben, leírom mi jön most:</p>
<ul><li style="text-align: justify;">Mindenki szépen feltelepíti a <a href="http://technet.microsoft.com/en-ca/security/bulletin/ms14-apr" target="_blank">mai MS frissítéseket</a>. (az MS14-019-et elmagyarázhatná valaki kommentben btw.)</li>
<li style="text-align: justify;">Várunk maximum egy hónapot, amíg kijönnek a következő MS javítások</li>
<li style="text-align: justify;">A hackerek (kalapszíntől függetlenül) elkezdik visszafejteni a patch-eket</li>
<li style="text-align: justify;">A patchek alapján exploitok születnek, amik így-vagy úgy eljutnak rossz kezekbe is, beszéljünk akár az aktuális nagy Ellenségről vagy egyszerű Zeus banditákról</li>
<li style="text-align: justify;">Az exploitok szépen lassan be fognak szivárogni a még mindig XP-t használó hálózatokba, és GAME OVER.</li>
</ul><p>Ezek mellett fontos hangsúlyozni, hogy:</p>
<ul><li>A vírusírtó nem fog megvédeni (<a href="https://twitter.com/matalaz/status/451934665830436864" target="_blank">sőt0</a>, <a href="http://vimeo.com/album/2403503" target="_blank">sőt1</a>)</li>
<li>A rövidesen felbukkanó "XP-őr" sneakoil termékek főleg nem</li>
<li>Imádkozni ér, nyafogni nem, volt idő az átállásra</li>
</ul><p style="text-align: justify;">Most pedig:</p>
<p style="text-align: justify;"><img src="http://gamemoir.files.wordpress.com/2013/08/tumblr_inline_mh0w2at47z1qfvd8a.gif" alt="" class="imgnotext" /></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F08%2Fwiszlat_xp%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F08%2Fwiszlat_xp%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F08%2Fwiszlat_xp%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Wiszlát XP!"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/04/08/wiszlat_xp#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5990720" border="0" /></a><br /></p>
windows
patch
windows_xp
0
BuheraBlog
https://buhera.blog.hu
http://gamemoir.files.wordpress.com/2013/08/tumblr_inline_mh0w2at47z1qfvd8a.gif
https://buhera.blog.hu/2014/04/08/openssl_fejloves
OpenSSL - Fejlövés
2014-04-08T10:35:00+02:00
2014-04-08T10:35:00+02:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">Az OpenSSL 1.0.1-es főverziójában olyan problémát <a href="http://heartbleed.com/" target="_blank">azonosítottak</a>, ami távoli támadók számára kiszivárogtathatja a kommunikációs csatornák titkosítására használt privát kulcso(ka)t. Igen, jól olvastátok, a hibán keresztül kiszivárgohat a szerver tanúsítvány privát kulcsa is, amivel aztán minden korábbi illetve jövőbeni kommunikáció megfejthető (a Perfect Forward Secrecy-t implementáló csatornák védettek a retrospektív támadásoktól). </p>
<p style="text-align: justify;">A sérülékenység <a href="https://github.com/openssl/openssl/commit/96db9023b881d7cd9f379b0c154650d6c108e9a3" target="_blank">egy memóriatartalom kiszivárgását okozó implementációs probléma</a> <a href="https://tools.ietf.org/html/rfc6520" target="_blank">a TLS protokoll heartbeat kiegészítésében</a>, melyen keresztül egyetlen csomag elküldése után legfeljebb 64k adat olvasható ki az érintett processz memóriájából. </p>
<p style="text-align: justify;">A problémát az OpenSSL könyvtár 1.0.1g változatában javították, az 1.0.0 és 0.9.8 főverziók nem érintettek.</p>
<p style="text-align: justify;">Az OpenSSL csomagot a világ webkiszolgálóinak 66%-a használja, az értinett verziók már két éve forgalomban vannak. Néhány népszerű, valószínűleg érintett Linux disztribució:</p>
<ul><li style="text-align: justify;">Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4</li>
<li style="text-align: justify;">Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11</li>
<li style="text-align: justify;">CentOS 6.5, OpenSSL 1.0.1e-15</li>
<li style="text-align: justify;">Fedora 18, OpenSSL 1.0.1e-4</li>
<li style="text-align: justify;">OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)</li>
<li style="text-align: justify;">FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)</li>
<li style="text-align: justify;">NetBSD 5.0.2 (OpenSSL 1.0.1e)</li>
<li style="text-align: justify;">OpenSUSE 12.2 (OpenSSL 1.0.1c)</li>
</ul><p style="text-align: justify;">A sérülékenység kihasználása a szerver oldalon nem hagy nyomot ezért a legrosszabb esettel számolva elméletileg minden érintett verziót futtató szolgáltatáson tanúsítványt kellene cserélni a szoftver frissítése mellett. Nem zárom ki, hogy az ügyesebb támadók már gyűjtögetik a nagyobb bankok és levelző szolgáltatók kuclsait... </p>
<p style="text-align: center;"><strong><a href="http://filippo.io/Heartbleed/" target="_blank">Ezen a linken tesztelhetitek a saját (HTTP?) szervereiteket<br /></a>(A szolgáltatás elég pontatlanná vált az utóbbi időben, javasolt <a href="http://webcache.googleusercontent.com/search?q=cache:JNXilaDKzjIJ:s3.jspenguin.org/ssltest.py+&cd=1&hl=hu&ct=clnk" target="_blank">helyi</a> <a href="https://github.com/FiloSottile/Heartbleed" target="_blank">példányokkal</a> tesztelni.)</strong></p>
<p style="text-align: justify;"><em>És ma az XP is megdöglik...</em></p>
<p style="text-align: justify;"><strong>Friss:</strong> <a href="http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html" target="_blank">Itt olvasható</a> egy részletes leírása a problémának (ha a fent linkelt git commit nem lenne egyértelmű). A szerző szkeptikus a privát kulcsok kiolvashatóságával kapcsolatban (bár nem zárja ki a lehetőséget). Én teszteltem párat és azt kell mondanom, hogy ha privát kulcsokat nem is találtam, de <strong>kiemelten érzékeny adatokat simán meg lehet szerezni, minden érintett azonnal frissítsen! </strong></p>
<p style="text-align: justify;"><strong>Friss2: </strong><a href="https://twitter.com/WarrenGuy/status/453510021930680320" target="_blank">Itt például kiesett egy plaintext jelszó a yahoo.com-ból.</a></p>
<p style="text-align: justify;"> </p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F08%2Fopenssl_fejloves%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F08%2Fopenssl_fejloves%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F08%2Fopenssl_fejloves%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=OpenSSL - Fejlövés"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/04/08/openssl_fejloves#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5985468" border="0" /></a><br /></p>
openssl
fail
heartbleed
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/04/04/nagycsoportos_xbox_hack
Nagycsoportos XBox hack
2014-04-04T16:52:58+02:00
2014-04-04T16:52:58+02:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">Cukiság péntekre: az 5 (öt) éves Kristoffer Von Hassel szeretett volna apukája XBox-án játszani, de a jelszót természetesen nem tudta, ezért más utakon próbálkozott. <a href="http://www.bbc.com/news/technology-26879185" target="_blank">A kissrác végül rájött</a>, hogy az XBox Live bejelentkező felületén rossz jelszót megadva egy másik képernyő tűnik fel, ahol a beviteli mezőt space-ekkel feltöltve be lehet jelentkezni az igényelt fiókba. </p>
<p style="text-align: justify;">Kristoferr természetesen először tartott a lebukástól, de végül mikor apja, Dan rájött a dologra, értesítette a Microsoft-ot a cég pedig 50 dollár pénzdíjjal, négy új játékkal és egy évre ingyenes Live előfizetéssel jutalmazta az ifjú hackert, akit a hivatalos <a href="http://technet.microsoft.com/en-us/security/cc308589.aspx" target="_blank">dicsőségfalra</a> is feltettek.</p>
<p style="text-align: justify;"> </p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F04%2Fnagycsoportos_xbox_hack%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F04%2Fnagycsoportos_xbox_hack%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F04%2F04%2Fnagycsoportos_xbox_hack%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Nagycsoportos XBox hack"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/04/04/nagycsoportos_xbox_hack#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5916877" border="0" /></a><br /></p>
microsoft
xbox
jelszó
cukiság
xbox_live
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/03/31/dualec_a_gyakorlatban
DualEC a gyakorlatban
2014-03-31T21:29:10+02:00
2014-03-31T21:29:10+02:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">Ahogy az várható volt, <a href="http://buhera.blog.hu/2013/12/21/a_bizalom_ara_10_millio_dollar" target="_blank">az RSA körüli "vihar"</a> gyorsan elcsendesült. Az RSA Conference rendben lezajlott, a szakma láthatóan könnyen túllépett azon, ha a világ egyik legnagyobb biztonsági cége lefekszik az NSA-nek - egy kis ingyen pia kérdése volt az egész.</p>
<p style="text-align: justify;">Szerencsére azért nem mindenkit lehet ilyen könnyen lekenyerezni. Neves kriptográfusok nem hagyták békén a témát, <a href="http://dualec.org/" target="_blank">és most publikált kutatásukban demonstrálják</a>, hogy milyen hatású volt a hírszerzők által a BSAFE könyvtárba beerőszakolt Dual EC véletlengenerátor a TLS forgalom biztonságára. </p>
<p><img src="https://m.blog.hu/bu/buhera/image/dualec_attacks.png" alt="dualec_attacks.png" class="imgnotext" /></p>
<p style="text-align: justify;">A kutatók munkájából egyrészt kiderül, hogy bár a különböző programnyelvekhez készült könyvtárak között jelentős különbségek vannak, a hátsó kaput tartalmazó véletlengereátor használata mellett egy kisebb cluster is gyakorlatilag pillanatok alatt képes lehet a TLS kapcsolatok teljes megfejtésére. </p>
<p style="text-align: justify;">A "szervek" számára különösen hasznos továbbá, hogy egyes implementációk olyan nonce értékeket generálnak, melyek alapján egy passzív támadó képes lehet azonosítani, hogy mely szolgáltatások futtatnak támadható implementációkat. </p>
<p style="text-align: justify;">A kutatás során arra is fény derült, hogy nem a Dual EC volt az egyetlen NSA-nek szánt "easter egg" a csomagban: az úgynevezett Extended Random TLS kiegészítés lehetővé teszi a kliensek számára aszokásosnál hosszabb nonce értékek elkérését a szervertől. Mivel a backdoor éppen ezeken a nonce értékeken keresztül szivárogtatja ki a véletlengenerátor állapotinformációját, a kiegészítést használó kiszolgálók kapcsolatainak megfejtése akár 65.000-szer gyorsabb lehet. </p>
<p style="text-align: justify;">Persze mindez az EMC/RSA helyzetén lényegében nem változtat, a cég ugyanolyan megkerülhetetlen szereplő lesz a piacon, mint eddig volt, az igazán fontos, nagy hálózatokban pedig még sok évig ugyanúgy ott fog ketyegni az összes olyan termék, melyek hátsó kapuira még nem derült fény.</p>
<p style="text-align: justify;">Ha szeretnétek tájékozódni, hogy a hasonló csapdahelyzeteket a jövőben hogyan kerülhetjük el, járjatok el<a href="http://hsbp.org/cryptonite" target="_blank"> Cryptonite-ra</a>!</p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F31%2Fdualec_a_gyakorlatban%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F31%2Fdualec_a_gyakorlatban%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F31%2Fdualec_a_gyakorlatban%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=DualEC a gyakorlatban"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/03/31/dualec_a_gyakorlatban#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5888142" border="0" /></a><br /></p>
nsa
kriptográfia
backdoor
rsa
emc
dual_ec_drbg
dual_ec
0
BuheraBlog
https://buhera.blog.hu
http://m.cdn.blog.hu/bu/buhera/image/dualec_attacks.png
https://buhera.blog.hu/2014/03/25/word_rtf_memoria_korrupcio_0-day
Word RTF memória korrupció 0-day
2014-03-25T09:45:43+01:00
2014-03-25T09:45:43+01:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">A Google szakértői célzott támadási kampányt detektált, melyben <a href="http://technet.microsoft.com/en-us/security/advisory/2953095" target="_blank">egy eddig ismeretlen Word sérülékenységet</a> használnak ki a támadók. A probléma az RTF fájlok kezelését érintó memória korrupciós probléma. A most felfedezett exploit a Word 2010-es változatát célozza, de a probléma későbbi verziókban is megtalálható.</p>
<p>A Microsoft <a href="https://support.microsoft.com/kb/2953095" target="_blank">Fix-It-et adott ki</a> a problémára.</p>
<p><em>Szerk:</em> Az SRD posztja a hibáról <a href="http://blogs.technet.com/b/srd/archive/2014/03/24/security-advisory-2953095-recommendation-to-stay-protected-and-for-detections.aspx" target="_blank">itt olvasható</a> valamivel több technikai részlettel.</p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F25%2Fword_rtf_memoria_korrupcio_0-day%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F25%2Fword_rtf_memoria_korrupcio_0-day%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F25%2Fword_rtf_memoria_korrupcio_0-day%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Word RTF memória korrupció 0-day"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/03/25/word_rtf_memoria_korrupcio_0-day#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5877862" border="0" /></a><br /></p>
microsoft
google
word
0day
fix-it
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/03/20/bezar_a_full-disclosure
Bezár a Full-Disclosure
2014-03-20T09:46:40+01:00
2014-03-20T09:46:40+01:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">John Cartwright, a legendás <a href="http://lists.grok.org.uk/full-disclosure-charter.html" target="_blank">Full-Disclosure levelezőlista</a> karbantartója tegnap <a href="http://seclists.org/fulldisclosure/2014/Mar/332" target="_blank">bejelentette</a>, hogy határozatlan időre beszünteti a lista működését. A Full-Disclosure mozgalom - melynek a levelezőlista az egyik fő bástyája volt - azzal a céllal jött létre, hogy a sérülékenység információk korlátozásmentes közzétételével segítse a kritikus fontosságú információk terjesztését és nem utolsó sorban, hogy rákényszerítse a gyártókat a hibajavításra. Ennek szellemében a lista gyakran volt hangos trollkodástól és flamewaroktól, és sokszor került a jogi osztályok célkeresztjébe is, ez azonban az elmúlt 12 évben működését lényegében nem befolyásolta károsan.</p>
<blockquote>"This is all a sign of things to come, and a reflection on the sad state of an industry that should never have become an industry."</blockquote>
<p style="text-align: justify;">Cartwright záró levelében egyrészt rámutat, hogy az IT-biztonság már nem az ami egy évtizede volt, és hogy a régi szellemiség már jórészt kiveszett a közösségből. Az utolsó cseppet a lista bezárásához egy meg nem nevezett kutató aknamunkája adta, aki megpróbált nagyobb mennyiségű üzenetet töröltetni az archívumokból (nyilván nem ismerte az internet-medence-vizelet analógiát...). Sokan <a href="http://seclists.org/fulldisclosure/2014/Mar/123" target="_blank">erre a jóképességű nethuszárra</a> gyanakszanak, aki március közepe óta csinál hülyét magából a listán, de ez csak spekuláció.</p>
<p style="text-align: justify;">A lista pótlásán már több jelentős szakértő gondolkozik, egyértelmű alternatíva egyelőre nincs. A sérülékenységinformációkra éhes agyakat egyelőre a <a href="http://seclists.org/bugtraq/" target="_blank">Bugtraq-el</a> célszerű táplálni.</p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F20%2Fbezar_a_full-disclosure%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F20%2Fbezar_a_full-disclosure%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F20%2Fbezar_a_full-disclosure%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Bezár a Full-Disclosure"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/03/20/bezar_a_full-disclosure#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5870711" border="0" /></a><br /></p>
full-disclosure
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/03/14/pwn2own
Pwn2Own 2014
2014-03-14T09:11:27+01:00
2014-03-14T09:11:27+01:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">A <a href="http://www.pwn2own.com/" target="_blank">Pwn2Own</a> idén is folytatta útját a felívelő pályán. A HP/ZDI és a Google által közösen rendezett megmérettetésen összesen 850.000 dollár jutalmat osztottak ki, és szép summát utaltak jótékony célra is. </p>
<p style="text-align: justify;"><strong>Pwn4Fun</strong></p>
<p style="text-align: justify;">De persze a sérülékenység-piacon már jól megszokott viták sem maradtak el. Idén a Twitter flame fő gerjesztője a rendezők által a rendes esemény elé szervezett, Pwn4Fun névre keresztelt akció volt. Ennek keretében a szervezők munkatársai (akik a Pwn2Ownon nem vehetnek részt) játszhattak a rendes verseny szabályai szerint, a meghírdetett nyeremények feléért, melyet automatikusan a kanadai Vöröskeresztnek utaltak. </p>
<p style="text-align: justify;">Sokan ezt a lépést egyszerű marketingfogásnak látják, melynek érdekében a koordinált nyilvánosságrahozatalt támogató szervezők saját elveiket/szabályaikat rúgják fel és a bugok visszatartásával a felhasználókat is veszélyeztetik. </p>
<p style="text-align: justify;">A Vöröskereszt minden esetre jól járt: a résztvevők a Safari és az IE leütésével 85.000 dollárhoz segítették hozzá a segélyszervezetet.</p>
<p style="text-align: justify;"><strong>Pwn2Own</strong></p>
<p style="text-align: justify;">A nyílt versenyen szokásosan tarolt a VUPEN, a franciák 11 exploitot értékesítettek összesen 400.000 dollár értékben, kijászva a Chrome, az Internet Explorer, a Firefox, az Adobe Reader és az Adobe Flash védelmét is. A böngészők közül egyébként a Firefox volt a legnépszerűbb célpont, a program felett GeoHot, Jüri Aedla és Mariusz Mlynski is sikerrel vette át az uralmat. A Safarira idén csak a kínai Keen Team és team509 mozdultak, szintén sikerrel - ők nyereményük egy részét malajziai jótékonysági szervezeteknek ajánlották fel. A legkeményebb célpontoknak számító Internet Explorert és Chrome-ot a VUPEN mellett a Sebastian Apelt - Andreas Schmidt páros illetve egy névtelen kutató is sikeresen pwnolta.</p>
<p style="text-align: justify;">A kijelölt célpontok közül meglepő módon egyedül a Java maradt talpon, egy click-to-play átugrását igénylő exploit demonstrálásától a VUPEN végül visszalépett. A teljes eredménytábla <a href="http://www.pwn2own.com/2014/03/pwn2own-2014-lineup/" target="_blank">itt tekinthető meg</a>.</p>
<p style="text-align: justify;"><a href="http://buhera.blog.hu/2014/01/31/pwn_2own_ium" target="_blank">Az Unikornis díjat</a> (EMET+böngésző snadbox kitörés, majd SYSTEM szintű kódfuttatás) végül nem vitték el, de ez szvsz. nem a feladat teljesíthetetlenségét, inkább annak életszerűtlenségét jelzi.</p>
<p style="text-align: justify;">Az eredmények jól mutatják, hogy még a legmodernebb exploit mitigációs technikák sem elégségesek egy kellően felkészült támadó megállításához, és hogy a komplex renderelő motorok még mindig gazdag tárházát nyújtják a kihasználható sérülékenységeknek. A javítások (és remélhetőleg a writeupok is) remélhetőleg már utón vannak.</p>
<p style="text-align: justify;"> </p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F14%2Fpwn2own%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F14%2Fpwn2own%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F14%2Fpwn2own%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Pwn2Own 2014"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/03/14/pwn2own#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5859659" border="0" /></a><br /></p>
google
hp
pwn2own
zdi
vupen
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/03/13/ec-council
EC-Council
2014-03-13T16:56:08+01:00
2014-03-13T16:56:08+01:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">Február végén<a target="_blank" href="http://arstechnica.com/security/2014/02/security-certification-group-ec-councils-website-defaced-with-snowden-passport/"> deface-elték</a> a legfőképp Certified Ethical Hacker (CEH) minősítésről híres <a target="_blank" href="http://attrition.org/errata/charlatan/ec-council/">EC-Council </a>weboldalát. A szervezet most, három hét (!) elteltével nyilatkozott az esetről (a Facebookos handabandázást nem tekintem komolyan vehető reakciónak), a lényeg:</p>
<ul><li>A támadók az eccouncil.org domain regisztrátorát kompromittálták és átírták a DNS rekordokat</li>
<li>Ezt a közlemény nem említi, de miután sikeresen visszaállították a honlapot, a támadók még egyszer deface-elték azt, mivel <a target="_blank" href="http://www.eccouncil.org/Certification/professional-series/ecih-course-outline">az admin a korábbival megegyező jelszót használt</a>.</li>
<li>Az EC-Council cloud alapú infrastruktúrája a domain átirányátson keresztül lehetővé tette, hogy a honlap deface-elésén túl a támadók a cég levelezéséhez is hozzáférjenek (!!)</li>
<li>A szervezet szakértői <a target="_blank" href="http://www.eccouncil.org/Certification/Computer-Hacking-Forensics-Investigator">nem tudják megállapítani</a>, hogy a támadók milyen érzékeny adatokhoz fértek hozzá (!!!), kártyaadatokhoz minden esetre nem (?!). </li>
<li>Az viszont biztos, hogy a szervezet sima e-mailben várja a szkennelt azonosító okmányokat a vizsgák lebonyolításához:</li>
</ul><p><a target="_blank" href="http://cdn.arstechnica.net/wp-content/uploads/2014/02/EC-hack.png"><img style="display: block; margin-left: auto; margin-right: auto;" src="http://cdn.arstechnica.net/wp-content/uploads/2014/02/EC-hack.png" alt="" class="imgnotext" /></a></p>
<p style="text-align: justify;">Persze mondhatjuk, hogy <a target="_blank" href="http://buhera.blog.hu/2010/12/27/owned_and_exposed_2">előfordul az ilyesmi</a>, de ez a történet jó alapot szolgáltatna egy <a target="_blank" href="https://s.arciszewski.me/blog/2014/02/ec-council-incident-response">tragikomédiához az incidenskezelésről</a>. Én minden esetre már bánom, hogy valaha fontolgattam a CEH lerakását, most az én papírjaim is a támadóknál vannak.</p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F13%2Fec-council%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F13%2Fec-council%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F13%2Fec-council%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=EC-Council"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/03/13/ec-council#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5858882" border="0" /></a><br /></p>
incidens
ec-council
0
BuheraBlog
https://buhera.blog.hu
http://cdn.arstechnica.net/wp-content/uploads/2014/02/EC-hack.png
https://buhera.blog.hu/2014/03/04/gnutls_vs_ssl_goto_cleanup
GnuTLS vs. SSL - GOTO cleanup
2014-03-04T22:52:45+01:00
2014-03-04T22:52:45+01:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">Ha nem látom a saját szememmel, nem hiszem el: <a href="http://www.reddit.com/r/netsec/comments/1zhjwh/certificate_verification_vulnerability_in_all/cfttoie" target="_blank">az Apple fiaskója</a> után kiderült, hogy a nyílt forrású <a href="http://arstechnica.com/security/2014/03/critical-crypto-bug-leaves-linux-hundreds-of-apps-open-to-eavesdropping/" target="_blank">alkalmazások százai által használt</a> GnuTLS könyvtár is tartalmazott egy ránézésra hasonló, lényegében azonos hatású (köszönj el a tanúsítvány hitelesítéstől), bár valamivel komplikáltabb <a href="http://www.gnutls.org/security.html#GNUTLS-SA-2014-2" target="_blank">hibát</a>, amit most sikerült javítani.</p>
<p style="text-align: justify;"><a href="https://www.gitorious.org/gnutls/gnutls/commit/6aa26f78150ccbdf0aec1878a41c17c41d358a3b" target="_blank">A vonatkozó diff</a> szerint a problémák az X.509 tanúsítványok ellenőrzését (<a href="http://buhera.blog.hu/2014/02/21/paradigmavaltas_492" target="_blank">ugye?</a>) végző kód több függvényét érintik, én azt gyanítom, hogy a változásokat <a href="https://www.gitorious.org/gnutls/gnutls/commit/0fba2d908da6d0df821991ea5fdbeeda0f4ff089" target="_blank">cirka 10 éve</a> (!!!) bevezető kóder szimplán nem úgy értelmezte a hibajelzési konvenciókat, ahogy kellett volna (meg néha elfelejtette inicializálni a változóit).</p>
<pre> if (result < 0)<br /> {<br /> gnutls_assert (); <br />--- goto cleanup;<br />+++ goto fail;<br /> }</pre>
<pre>+++ fail:<br /> result = 0; </pre>
<pre> cleanup:<br /> //...<br /> return result</pre>
<p>Nincsenek szavak.</p>
<p><strong>Szerk:</strong> Diff javítva, thx tr3w!</p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F04%2Fgnutls_vs_ssl_goto_cleanup%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F04%2Fgnutls_vs_ssl_goto_cleanup%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F04%2Fgnutls_vs_ssl_goto_cleanup%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=GnuTLS vs. SSL - GOTO cleanup"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/03/04/gnutls_vs_ssl_goto_cleanup#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5843754" border="0" /></a><br /></p>
ssl
tls
fail
gnutls
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/03/04/ruszki_rootkit
Ruszki rootkit
2014-03-04T19:40:48+01:00
2014-03-04T19:40:48+01:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">A rendkívül szofisztikált és hosszan tartó <a href="http://buhera.blog.hu/2014/02/12/itt_jon_a_maszk_csikcsikibumm" target="_blank">(marketing) kampányok</a> listájának legújabb állomása a nyomok szerint orosz gyökerekkel rendelkező <a href="http://virusirto.blog.hu/2014/03/04/katonai_adatokra_vadaszik_az_uroburos_orosz_kemprogram" target="_blank">Uroburos akció</a>, melynek nyomaira a GData szakértői bukkantak rá. Az elkészült <a href="http://virusirto.hu/ftp/sajtokozlemenyek/2014-03-03/GData_Uroburos_RedPaper_EN_v1.pdf" target="_blank">elemzés</a> szerencsére valamivel több információt közöl a kártevő működéséről a szokásos "tud képernyőképet készíteni és lehallgatja a Skype-ot [értsd: mikrofonodat] is" túristacsalogatónál.</p>
<p style="text-align: justify;">Megtudhatjuk például, hogy a program képes P2P kommunikációra is az internetről szeparált rendszerekről történő adatkijuttatás érdekében, virtuális NTFS fájlrendszereket és rendes kriptót használ, a készítők tehát semmi képpen sem a legkissebb ellenállás irányába haladtak.</p>
<p>A(z eddigi) legérdekesebb részletre azonban <a href="http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3193&start=10#p22352" target="_blank">a kernelmode.info fórumozói hívták fel a figyelmet</a>:</p>
<p style="text-align: justify;">A kártevő rootkitet telepít, de nem akárhogy: a kezdeti payload titkosítottan tartalmazza a VirtualBox egyik eredeti, bár elavult driverét, ami máig hiteles digitális aláírással rendelkezik, így egyszerű felhasználók számára is betölthető. A driver azonban tartalmaz egy sérülékenységet: a felhasználói módból érkező IOCTL-eket a meghajtó <a href="http://msdn.microsoft.com/en-us/library/windows/hardware/ff565432(v=vs.85).aspx" target="_blank">olyan pufferelési módban</a> kapja, hogy az operációs rendszer semmilyen vizsgálatot nem végez az átadott struktúrákon illetve címeken. Mivel a driver maga sem implementál semmilyen ellenőrzést (ez okozza a sérülékenységet), a felhasználói módú program (esetünkben az Uroburos) korlátlan hozzáférést kap a kernel címtartományához.</p>
<p style="text-align: justify;">A kártevő ezt arra használja ki, hogy kikapcsolja a Windows tanúsítványellenőrző rutinját, így ezek után <a href="https://www.youtube.com/watch?v=v1o4mRkE6UM" target="_blank">Szása </a>bármilyen aláíratlan drivert is simán betölthet.</p>
<p style="text-align: justify;">A módszer amellett, hogy szerintem igen elegáns, felhívja a figyelmet a kód aláírás korlátaira (hiába aláírt a kódod, ha sérülékeny, tágabban értelmezve a tanúsítvány csak a kód eredetét, nem a szándékát igazolja), illetve a tanúsítvány lejárati idők megfelelő megválasztásának fontosságára is.</p>
<p style="text-align: justify;"><em>Kernelszakértők javítsanak ki, ha valami ülyeséget írtam, köszi!</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F04%2Fruszki_rootkit%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F04%2Fruszki_rootkit%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F03%2F04%2Fruszki_rootkit%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Ruszki rootkit"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/03/04/ruszki_rootkit#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5843474" border="0" /></a><br /></p>
malware
spyware
rootkit
virtualbox
uroburos
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/02/26/megjott_az_os_x_gotofail_folt_es_meg_sok_fontos_hibajavitas
Megjött az OS X #gotofail folt és még sok fontos hibajavítás
2014-02-26T09:31:32+01:00
2014-02-26T09:31:32+01:00
buherator
https://blog.hu/user/45095
<p>Az Apple nagy nehezen <a href="http://support.apple.com/kb/HT6150" target="_blank">kiadta a foltot a GOTO fail problémára</a>. A frissítés az SSL kezelés mellett számos távoli kódfuttatásra illetve sandbox-kitörésre alkalmas problémát javít. </p>
<p>A frissítés telepítése után <a href="https://twitter.com/jduck/status/438576722720481280" target="_blank">sokan SSL gondokra panaszkodnak</a>, a konteógyártást mindenkire rábízom</p>
<blockquote>
<p><span>For the protection of our customers, Apple does not disclose, discuss, or confirm security issues until a full investigation has occurred and any necessary patches or releases are available.</span></p>
</blockquote>
<p> </p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F26%2Fmegjott_az_os_x_gotofail_folt_es_meg_sok_fontos_hibajavitas%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F26%2Fmegjott_az_os_x_gotofail_folt_es_meg_sok_fontos_hibajavitas%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F26%2Fmegjott_az_os_x_gotofail_folt_es_meg_sok_fontos_hibajavitas%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Megjött az OS X #gotofail folt és még sok fontos hibajavítás"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/02/26/megjott_az_os_x_gotofail_folt_es_meg_sok_fontos_hibajavitas#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5833377" border="0" /></a><br /></p>
apple
ssl
patch
os_x
gotofail
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/02/22/apple_vs_ssl_goto_fail
Apple vs. SSL - GOTO fail;
2014-02-22T12:14:56+01:00
2014-02-22T12:14:56+01:00
buherator
https://blog.hu/user/45095
<p>Az Apple ma kiadott iOS frissítésében (7.0.6, 6.1.6) egy <a href="http://support.apple.com/kb/HT6147" target="_blank">különösen veszélyes problémát javított </a>a készülékekkel szállított SSL könyvtárban. Úgy tűnik, <a href="https://twitter.com/i0n1c/status/437176578326687744" target="_blank">Stefan Essernek sikerült megtalálnia</a> a problémát okozó <a href="http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c?txt" target="_blank">kódrészletet</a>, amivel az Apple előkelő pozícióra tett szert a hülye hibák ranglistáján:</p>
<blockquote>
<p>static OSStatus<br />SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa, SSLBuffer signedParams,<br /> uint8_t *signature, UInt16 signatureLen)<br />{<br /> // ...<br /> if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)<br /> goto fail;<br /><strong>goto fail;</strong><br /> if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)<br /> goto fail;</p>
<p>err = sslRawVerify(ctx,<br /> ctx->peerPubKey,<br /> dataToSign, /* plaintext */<br /> dataToSignLen, /* plaintext length */<br /> signature,<br /> signatureLen);<br /> // ...</p>
<p>fail:<br /> SSLFreeBuffer(&signedHashes);<br /> SSLFreeBuffer(&hashCtx);<br /> return err;</p>
<p>}</p>
</blockquote>
<p style="text-align: justify;">Amint látjátok, egy feltehetően véletlenül becsúszott<a href="https://twitter.com/thegrugq/status/437187452344610816" target="_blank">(?)</a> sorduplikáció azt eredményezi, hogy a kód hibaágra fut még az SSL tanúsítvány tényleges ellenőrzése előtt, ami nem lenne akkora baj, ha a függvény visszaadott hibakódja nem jelezne sikert (err=0, nincs hiba). Így a hibás implementáció gyakorlatilag bármilyen tanúsítványt elfogad. (Komolyan érdekelne, hogy egy ilyen problémára miért nincs legalább egy unit teszt az Apple-nél...)</p>
<p style="text-align: justify;">A durva az, hogy <a href="http://www.theregister.co.uk/2014/02/21/apple_patches_ios_ssl_vulnerability/" target="_blank">a Register szerint</a> a probléma az OS X 10.9.1-et is <a href="https://gist.github.com/rmoriz/fb2b0a6a0ce10550ab73" target="_blank">érinti</a>, javítás azonban egyelőre csak a 10.9.2 bétájában áll rendelkezésre (<a href="https://twitter.com/i0n1c/status/437236432856702976" target="_blank">vagy talán ott sem</a>). Szintén kellemetlen helyzetben vannak a jailbreakerek, akik számára e<a href="https://twitter.com/MuscleNerd/status/436932199288295424" target="_blank">gyelőre nem áll rendelkezésre</a> a frissített verziókra szánt evasi0n.</p>
<p><img src="http://imgs.xkcd.com/comics/goto.png" alt="" class="imgnotext" /></p>
<p style="text-align: justify;"><strong>Friss:</strong> Kutyacica tesztjei szerint a probléma legalább <a href="https://twitter.com/kutyacica/status/437232180289630208" target="_blank">2013 márciusa óta fenn áll</a>. Ez azt jelenti, hogy az Apple megvalósítását használó SSL kliensek (pl. Safari) már legalább egy éve nem voltak megbízhatók.</p>
<p style="text-align: justify;"><strong>Friss2:</strong> A legfontosabb információk, az eszközök tesztelésére használható tesztek, illetve linkek a nem hivatalos patchekhez a <a href="https://gotofail.com/" target="_blank">gotofail.com</a>-on vannak összegyűjtve.</p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F22%2Fapple_vs_ssl_goto_fail%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F22%2Fapple_vs_ssl_goto_fail%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F22%2Fapple_vs_ssl_goto_fail%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Apple vs. SSL - GOTO fail;"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/02/22/apple_vs_ssl_goto_fail#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5826663" border="0" /></a><br /></p>
apple
ssl
os_x
fail
ios
0
BuheraBlog
https://buhera.blog.hu
http://imgs.xkcd.com/comics/goto.png
https://buhera.blog.hu/2014/02/21/paradigmavaltas_492
Paradigmaváltás
2014-02-21T13:37:00+01:00
2014-02-21T13:37:00+01:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">FX előadásait, anyagait azért érdemes figyelemmel követni, mert belőlük az ember általában minimális idő alatt megkapja az ismereteknek azt a letisztult, kikristályosodott változatát, amit egyébként csak több hónapnyi tanulás, gyakorlat után ismerne fel (ez egyfajta guru definiciónak is elmenne, de nem akartam nagyon ömlengősre venni a figurát). </p>
<p style="text-align: justify;">Felix most volt olyan kedves, és <a href="http://www.recurity-labs.com/content/pub/Lindner_Gaycken-Back-to-Basics.pdf" target="_blank">közzétette azt a cikket</a>, amit a NATO egyik kiberbiztonsággal foglalkozó <a href="http://ebooks.iospress.nl/volume/best-practices-in-computer-network-defense-incident-detection-and-response-2" target="_blank">kiadványában</a> jelentettek meg Sandro Gaykennel közösen. A "Vissza az alapokhoz: A hálózati higiénián túl" címet viselő tanulmány 10 rövid oldalban foglalja össze, hogy mi a probléma a napjainkban is érvényes biztonsági paradigmákkal, és hogyan változtathatnánk szánalmas helyzetünkön.</p>
<p style="text-align: justify;">Mert hogy a helyzetünk szánalmas, a cikk rögtön azzal indít, hogy a számítógéphálózatok védelme legalább egy évtizeddel le van maradva a támadási módszerek mögött. Ennek okaként a szerzők négy alapvető, de hibás paradigmát mutatnak be, melyeket megpróbálok néhány mondatban összefoglalni:</p>
<ol><li style="text-align: justify;"><em>Perimeter biztonság:</em> Egyszerű, könnyen megvédhető hálózati komponensekkel dolgozunk, melyek közül elegendő a hálózat határán állókat megvédeni, így a hálózatunk belseje is biztonságos marad - Ennek a nézetnek a helytelenségét talán magyarázni sem kellene, a rendszereink napról napra komplexebbek, a határok pedig egyre kézzelfoghatatlanabbak.</li>
<li style="text-align: justify;"><em>Kiválasztott (támadási) vektor:</em> Ha észlelünk egy lehetséges támadási útvonalat, teszünk ellene, tekintet nélkül a rendszerünk többi részére. - A szerzők jó érzékkel a titkosítást hozták példaként, ami megfelelően alkalmazva hatékony lehet <em>bizonyos támadási formákkal</em> szemben, a támadók azonban adaptívak, így jó kriptó esetén más utat fognak találni rendszerünk kompromittálására (ld. pl. kliens-oldali biztonság).</li>
<li style="text-align: justify;"><em>Észlelés:</em> Detektáljuk a rosszindulatú tevékenységet <em>mialatt</em> az megtörténik. - Ebben a megközelítésben amellett, hogy a védekező félnek eleve ismernie kell az észlelendő tevékenység paramétereit (így meg is akadályozhatná azt), reménytelen versenyt kell futni a támadóval a hatékony reakció érdekében. </li>
<li style="text-align: justify;"><em>Sérülékenység azonosítás:</em> Tárjunk fel sérülékenységeket, és kényszerítsük a gyártókat javításra (full-disclosure) - A baj itt az, hogy a hibák feltárása illetve javítása valójában a játék egy szereplőjének sem áll érdekében gazdaságilag. A sérülékenység piac bimbózása mellet a FD is sorvad.</li>
</ol><p style="text-align: justify;">Ezek a paradigmák lecserélésre szorulnak, a szerzők pedig a következőket ajánlják a jövő rendszereinek tervezéséhez:</p>
<ol><li style="text-align: justify;"><em>A Megelőzés-Észlelés-Helyreállítás háromszög:</em> A megelőzési módszereinket folyamatosan fejleszteni kell a támadások fejlődésével összhangban. Felismerve, hogy így sem fogunk minden támadást megelőzni, fektessünk hansúlyt az észlelésre, de az előzőektől eltérő módon, a sérülékenység-kihasználás utáni (post-exploitation) periódusra fókuszálva, mikor a támadónak már a mi pályánkon kell játszania. Végül támaszkodjunk olyan rendszerekre, melyek ismert jó állapota egy sikeres támadást követően könnyedén visszaállítható. (a szerzők itt - talán meglepő módon - a cloud technológiára kacsintanak).</li>
<li style="text-align: justify;"><em>Tiszta lap: </em>Egykor kevésbé praktikusnak, vagy megvalósíthatatlannak tűnő ötleteket érdemes újra górcső alá venni. A rendelkezésünkre álló (egykor elképzelhetetlen) számítási kapacitással sok rendszerelem működése formálisan verifikálható lehet, vagy miért ne építhetnénk Harvard architektúrájú gépeket?</li>
<li style="text-align: justify;"><em>Interfészek védelme <a href="http://www.cs.dartmouth.edu/~sergey/langsec/" target="_blank">LangSec</a>-kel: </em>A különböző rendszerkomponensek kommunikációjához szükséges nyelvek, és az ezeket feldolgozó forráskódok automatikus generálására és verifikálására ma már léteznek alkalmazható módszerek. Mennyivel szebb lenne a világ, ha az X.509 feldolgozókat nem szerencsétlenebb sorsú embertársainknak kellene leprogramozniuk?</li>
<li style="text-align: justify;"><em>Decentralizált és finomhangolható bizalom: </em>A felhasználók jogosultságkezelésétől a PKI infrastruktúráig a bizalmi rendszereket elosztott alapokra kell helyezni. </li>
</ol><p style="text-align: justify;">Bár ezek az új paradigmák meglévő rendszereinkbe nehezen vagy egyáltalán nem építhetők be, a régi elvek lecserélését mihamarabb meg kell kezdeni, ha nem akarunk még több hátrányt felhalmozni a támadókkal szemben. Ennek első színtere a nagybiztonságú rendszerek, pl. katonaság, repülésirányítás, ipari irányítás lehetnek, de remélhetőleg az újítások (ahogy sok ma is használt megoldás) a civil szférába is átszivárognak majd.</p>
<p style="text-align: justify;">És ugyan ezek a távlatok sokaknak érdektelenül távolinak tűnhetnek, a megfogalmazott elvek, látásmódok alkalmazása a mindennapok során is hasznos lehet, <a href="http://www.recurity-labs.com/content/pub/Lindner_Gaycken-Back-to-Basics.pdf" target="_blank">a teljes anyagot nyomatékosan ajánlanám minden IT-biztonságban érdekelt vezető, döntéshozó figyelmébe!</a></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F21%2Fparadigmavaltas_492%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F21%2Fparadigmavaltas_492%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F21%2Fparadigmavaltas_492%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Paradigmaváltás"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/02/21/paradigmavaltas_492#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5824561" border="0" /></a><br /></p>
policy
nato
fx
sandro_gayken
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/02/20/flash_0-day_operation_greedywonk
Flash 0-day - operation GreedyWonk
2014-02-20T19:04:27+01:00
2014-02-20T19:04:27+01:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">Az <a href="http://buhera.blog.hu/2014/02/14/internet_explorer_0-day_hoember_hadmuvelet" target="_blank">Internet Explorer 0-day</a> ellen kiadott <a href="http://buhera.blog.hu/2014/02/20/fixit_az_ie_0-day-re_cve-2014" target="_blank">ideiglenes folt</a> megjelenésével nagyjából egy időben a FireEye újabb célzott 0-day kampányt azonosított. A támadók külpolitikával foglalkozó illetve gazdasági oldalakon keresztül egy Flash 0-day exploitot használnak (az Adobe figyelmeztetője patch linkekkel együtt <a href="http://helpx.adobe.com/security/products/flash-player/apsb14-07.html" target="_blank">itt olvasható</a>), hogy hozzáférjenek különböző, szintén külpolitikával foglalkozó civil szervezetek rendszereihez. </p>
<p style="text-align: justify;">Az exploit ezúttal rosszul frissített rendszereket támad, melyeken az 1.6-os Java vagy foltozatlan Office változatoknak köszönhetően fel tudnak használni statikus helyre betöltődő DLL-eket az ASLR kijátszására. A sikeres hibakihasználás után a shellkód ismert trójaiakat telepít a célpontokra. </p>
<p style="text-align: justify;"> </p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F20%2Fflash_0-day_operation_greedywonk%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F20%2Fflash_0-day_operation_greedywonk%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F20%2Fflash_0-day_operation_greedywonk%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Flash 0-day - operation GreedyWonk"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/02/20/flash_0-day_operation_greedywonk#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5824477" border="0" /></a><br /></p>
flash
patch
adobe
0-day
fireeye
CVE-2014-0502
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/02/20/fixit_az_ie_0-day-re_cve-2014
FixIt az IE 0-day-re (CVE-2014-0322)
2014-02-20T10:19:42+01:00
2014-02-20T10:19:42+01:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">A Microsoft ideiglenes javítást adott ki az Internet Explorer célzott támadásokban kihasznált 0-day hibájához. <a href="https://blogs.technet.com/b/srd/archive/2014/02/19/fix-it-tool-available-to-block-internet-explorer-attacks-leveraging-cve-2014-0322.aspx" target="_blank">A FixIt eltéríti az érintett MSHTML API-kat</a>, és a meglévő funkcionalitás újrafelhasználásával helyre rakja a referencia számlálókat, ami a sérülékenységet megszűnteti, viszont memory leaket hagy maga után - ezt az apróságot a feltehetően jövő hónapban érkező, végleges javítás fogja megszűntetni.</p>
<p>A sérülékenységről további elemzést olvashattok az exploitot felfedező <a href="http://www.fireeye.com/blog/technical/cyber-exploits/2014/02/operation-snowman-deputydog-actor-compromises-us-veterans-of-foreign-wars-website.html" target="_blank">FireEye-nál</a>, illetve <a href="http://www.secniu.com/blog/cve-2014-0322-0day-root-cause-analysis/" target="_blank">egy kínai kollega blogján</a>.</p>
<p>Az exploittal kapcsolatban egyelőre nem világos, hogy hogyan képes kitörni az Internet Explorer Védett Módjából. Egy érdekes <a href="https://twitter.com/dguido/status/436400348526153728" target="_blank">elmélet</a> szerint az alacsony integritású kód elméletileg detektálhatja, hogy jó helyen jár-e, és csak a megfelelő célpontnál aktiválja a nagy értéket hordozó privilégiumemelő rutint - szívesen látnék ebből egy PoC-t :)</p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F20%2Ffixit_az_ie_0-day-re_cve-2014%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F20%2Ffixit_az_ie_0-day-re_cve-2014%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F20%2Ffixit_az_ie_0-day-re_cve-2014%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=FixIt az IE 0-day-re (CVE-2014-0322)"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/02/20/fixit_az_ie_0-day-re_cve-2014#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5823675" border="0" /></a><br /></p>
microsoft
internet_explorer
0day
fixit
cve-2014-0322
fireeye
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/02/17/hackelos_csapat
Hackelős Csapat
2014-02-17T23:39:03+01:00
2014-02-17T23:39:03+01:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">A Citizen Lab egy elég érdekes <a href="https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/" target="_blank">tanulmányt közölt</a> az olasz székhelyű, kormányzati felhasználásra szánt spyware-eikről elhíresült Hacking Team lenyomozhatatlan szervereinek lenyomozásáról. A felderített célpontok között pedig egy magyar cím is szerepel.</p>
<p style="text-align: center;"><iframe width="450" height="253" src="//www.youtube.com/embed/R63CRBNLE2o" frameborder="0" allowfullscreen=""></iframe></p>
<p style="text-align: justify;">Miután a Citizen Lab közölte a kiszolgáló IP-jének első három oktettjét, a szervert pedig még aktívként tüntették fel, gondoltam játszom egy kicsit. Úgy tűnik nagyjából 5 perc alatt sikerült megtalálni az ominózus RCS (Remote Control System) szervert a Telekom egyik fix IP-knek fenntartott tartományában - a kiszolgáló lenyomozása remek házifeladat tanulni vágyóknak :)</p>
<blockquote>
<p style="text-align: left;">7973ED02A4A9A2387A99C4410FC0B1DC9012FBE5C605C845AD6A17F31802E12B</p>
</blockquote>
<p style="text-align: justify;">A Citizen Lab a kiszolgálók azonosításakor egyrészt a magukat egyszerű HTTP szervereknek álcázó RCS válaszok mintáira, másrészt a kiszolgálók SSL tanúsítványaira hagyatkoztak, a proxy láncokat pedig az csomagok fragmenteket azonosító IPID mezőjének figyelésével azonosították. Ez a mező régebbi operációs rendszereken globálisan használt és kiküldött csomagonként inkrementálódik, az értékéből tehát következtetni lehet arra, hogy egy kiszolgáló hány csomagot küldött ki a megelőző időszakban. A szakérők beküldtek egy csomagot egy RCS szerverként azonosított hosztra, és figyelték, hogy mely más szerverek IPID értékei növekednek ezzel szinkronban. Ilyen módon egy kis statisztikát bevetve a bizonytalanságok enyhítésére elég biztos eredményeket lehet kapni, azonban a Citizen Lab eredményei még így <a href="https://twitter.com/thegrugq/status/435483838634917888" target="_blank">sem 100%-ig meggyőzőek</a>. Maga a tanulmány is számos alkalommal hangsúlyozza, hogy feltevéseket, nem bizonyított, vagy egyenesen bizonyíthatatlan állításokat fogalmaz meg.</p>
<p style="text-align: justify;">Egyebek mellett például a műfaj sajátosságaiból adódóan soha nem állíthatjuk teljes bizonyossággal, hogy egy szolgáltatást nyújtó hoszt és az azt használó személy(ek) fizikai elhelyezkedése között kapcsolat lenne, tehát simán elképzelhető, hogy a Dataplexben zümmögő gépet valójában az etióp elhárítás használja, vagy éppen fordítva, <span style="text-decoration: line-through;">ezért messze menő következtetéseket ezen adatok alapján nem érdemes levonni. </span><strong>Szerk.:</strong> Az viszont annál érdekesebb, hogy Magyarországhoz köthető spyware <em>mintákat</em> is találtak...</p>
<p style="text-align: center;"><iframe width="450" height="253" src="//www.youtube.com/embed/sW-N7qQU-tA" frameborder="0" allowfullscreen=""></iframe></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F17%2Fhackelos_csapat%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F17%2Fhackelos_csapat%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F17%2Fhackelos_csapat%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Hackelős Csapat"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/02/17/hackelos_csapat#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5819564" border="0" /></a><br /></p>
magyarország
spyware
hacking_team
citizen_lab
0
BuheraBlog
https://buhera.blog.hu
http://i.ytimg.com/vi/R63CRBNLE2o/0.jpg
https://buhera.blog.hu/2014/02/14/cryptonite_rsa_algoritmus_a_jo_parameterek_jellemzoi
Cryptonite - RSA algoritmus: a jó paraméterek jellemzői
2014-02-14T13:37:00+01:00
2014-02-14T13:37:00+01:00
buherator
https://blog.hu/user/45095
<blockquote>
<p style="text-align: justify;"><span>A kriptográfiát fejlesztői, tesztelői, kódelemzői szemmel nézve fontos ismerni azokat az ökölszabályokat, amelyek alapján a függvényeket biztonságosan meg lehet hívni, a jó prímeket ki lehet választani. Pontosan ezen ökölszabályok kerülnek bemutatásra az RSA algoritmus esetén Szabó István (ELTE) előadásában:</span></p>
<ul><li style="text-align: justify;">mik a jó prímek tulajdonságai, mennyire legyenek egymástól távol, milyen legyen az arányuk,</li>
<li style="text-align: justify;">prímtesztnél hány ciklusig kell azt futtatni ,</li>
<li style="text-align: justify;">kell-e aggódni a beégetett kicsi "e" értékek miatt chipkártyás kulcsgenerálásoknál,</li>
<li style="text-align: justify;">a kulcsokat milyen méretű adatra kell legalább alkalmazni </li>
</ul></blockquote>
<p>Időpont, helyszín: <a href="http://hsbp.org/tiki-calendar_edit_item.php?viewcalitemId=1425" target="_blank">2014. február 21. 19:00</a>, H.A.C.K (Az erre fogékonyabbaknak <a href="https://www.facebook.com/events/691270237559915" target="_blank">Facebook even</a>t)</p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F14%2Fcryptonite_rsa_algoritmus_a_jo_parameterek_jellemzoi%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F14%2Fcryptonite_rsa_algoritmus_a_jo_parameterek_jellemzoi%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F14%2Fcryptonite_rsa_algoritmus_a_jo_parameterek_jellemzoi%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Cryptonite - RSA algoritmus: a jó paraméterek jellemzői"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/02/14/cryptonite_rsa_algoritmus_a_jo_parameterek_jellemzoi#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5812845" border="0" /></a><br /></p>
esemény
programozás
kriptográfia
rsa
cryptonite
0
BuheraBlog
https://buhera.blog.hu
https://buhera.blog.hu/2014/02/14/internet_explorer_0-day_hoember_hadmuvelet
Internet Explorer 0-day - Hóember hadművelet
2014-02-14T09:43:58+01:00
2014-02-14T09:43:58+01:00
buherator
https://blog.hu/user/45095
<p style="text-align: justify;">A FireEye eddig ismeretlen 0-day Internet explorer exploitot <a href="http://www.fireeye.com/blog/uncategorized/2014/02/operation-snowman-deputydog-actor-compromises-us-veterans-of-foreign-wars-website.html" target="_blank">azonosított</a>. A célzott "watering-hole" támadásokban kihasznált use-after-free sérülékenység a böngésző 9-es és 10-es változatait érinti, a támadók most a 10-esre lőnek. Az exploit Flash-es heap-spray-t használ az ASLR megkerülésére, és egy ROP lánc lefutása után gey egy byte-os XOR-ral obfuszkált <a href="http://megasecurity.org/trojans/z/zxshell/Zxshell2.0.html" target="_blank">ZXShell RAT-t</a> pottyant az áldozat gépére (ez a trükk gondolom az AV-knak ismét megugorhatatlan feladatot jelent). Érdekesség, hogy az exploit <a href="http://arstechnica.com/security/2014/02/new-zero-day-bug-in-ie-10-exploited-in-active-malware-attack-ms-warns/" target="_blank">képes detektálni, ha az áldozat EMET-et használ,</a> ilyenkor a támadók visszavonulót fújnak. Az IE 10 sandbox kijátszásának módjáról egyelőre nem áll rendelkezésre információ.</p>
<p style="text-align: justify;">A FireEye szerint a támadás sok hasonlóságot mutat két korábbi 0-day kampánnyal, melyek amerikai illetve japán célpontokat érintettek. Ez, és a trójai is arra utal, hogy ismét keletről fúj a szél. </p>
<p style="text-align: justify;">A Microsoft elismerte a probléma létezését, javítás egyelőre nincs. A kockázatok a Flash letiltásával, <a href="http://support.microsoft.com/kb/2458544/hu" target="_blank">EMET</a> belövésével, vagy alternatív böngésző használatával csökkenthetők.</p>
<p style="text-align: justify;"><strong>Friss: </strong><a href="http://www.secniu.com/blog/cve-2014-0322-0day-root-cause-analysis/" target="_blank">Itt olvasható</a> egy analízis a sérülékenységről, <a href="http://www.everfall.com/paste/id.php?15480rxegcnt" target="_blank">itt látható</a> egy strings kimenet a payloadből, <a href="http://www.everfall.com/paste/id.php?kxas9umb64gr" target="_blank">itt pedig</a> a visszafejtett SWF spray.</p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F14%2Finternet_explorer_0-day_hoember_hadmuvelet%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F14%2Finternet_explorer_0-day_hoember_hadmuvelet%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Fbuhera.blog.hu%2F2014%2F02%2F14%2Finternet_explorer_0-day_hoember_hadmuvelet%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Internet Explorer 0-day - Hóember hadművelet"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://buhera.blog.hu/2014/02/14/internet_explorer_0-day_hoember_hadmuvelet#comments"><img class="item_ctp" src="https://buhera.blog.hu/rss/image/post/id/5813804" border="0" /></a><br /></p>
flash
internet_explorer
emet
0-day
0
BuheraBlog
https://buhera.blog.hu