Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc


Mi vagyunk a 99,8% - vagy kevesebb

2012.02.19. 10:54 | buherator | Szólj hozzá!

Svájci kutatók egy érdekes tanulmányt publikáltak a napokban a weben elérhető nyilvános kulcsok jóságáról. Az eredmények alapján elmondható, hogy átlagosan ezerből két RSA kulcs gyenge valamilyen szempontból. Mivel ehhez képest a DSA (hagyományos és elliptikus görbéken…

Címkék: kriptográfia rsa

Legalább négy CA-t kompromittáltak június óta

2011.10.29. 15:25 | buherator | Szólj hozzá!

Az Electronic Frontier Foundation jelentése szerint június óta legalább négy CA-nál észleltek jogosulatlan tanúsítvány-kibocsátást - ehhez képest a nagyérdemű egy ilyen esetről, a DigiNotar-éról hallhatott (volt még egy Comodo is, de az június előtti eset). Az eredmények az SSL…

Címkék: eff kriptográfia ca pki ssl observatory

Hiba a W3C-féle XML titkosításban

2011.10.23. 06:00 | buherator | 4 komment

Tibor Jager és Somorovsky Juraj olyan problémát demontráltak a World Wide Web Consortium által szabványosított XML titkosítási eljárásával kapcsolatban, amely lehetővé teszi a titkosított üzenetek kulcs nélkül történő megfejtését. Ugyan a kutatási anyag egyelőre nem érhető…

Címkék: xml w3c kriptográfia xml encryption tibor jager somorovsky juraj

Régi-új SSL/TLS támadás

2011.09.26. 12:29 | buherator | Szólj hozzá!

Sajnos úgy érzem, nem lehet tovább halogatni, hogy a Julian Rizzo és Thai Duong által helyi idő szerint pénteken, az argentín Ekoparty konferencián prezentált SSL/TLS támadásról írjak, annak ellenére, hogy még mindig nem tudni pontosan, mit is hozott össze a két kutató. Minden…

Címkék: ssl beast kriptográfia tls ekoparty julian rizzo thai duong

13 éves crypt_blowfish() hiba

2011.06.21. 11:28 | buherator | Szólj hozzá!

Egy 1998-ban bekerült hibát javított az OpenWall projekt a népszerű John the Ripper jelszótörőben. Mint kiderült a probléma más alkalmazásokat is érinthet, a nyílt-forrású implementáció ugyanis helytelenül kezeli a 8-bites karaktereket, előjelbitként értelmezve az MSB-t.Ennek…

Címkék: php bug suse kriptográfia john the ripper blowfish

A Helykitöltő Orákulum

2010.10.05. 00:05 | buherator | 3 komment

Ebben a posztban megpróbálom öszefoglalni a méltán elhíresült "Padding Oracle Attack" lényegét, ami bizonyára nem kevés álmatlan éjszakát okozott néhány programozónak és egy rakás üzemeltetőnek. Matekozni fogunk, szóval igyatok egy kávét vagy ilyesmi! A…

Címkék: kriptográfia padding oracle

Kritikus ASP.NET sebezhetőség

2010.09.20. 11:46 | buherator | 4 komment

 Nem sokon múlt, de sikerült túlélni a Hacktivity-t, az utóbbi 3 napban viszont még e-mailt nézegetni sem volt időm, így a posztok is elmaradtak, pedig lett volna miről írni. Szerencsére Balássy György a saját blogjában már megírta az utóbbi napok egyik legnagyobb…

Címkék: microsoft .net asp.net 0day kriptográfia

Helyi Kerberos megkerülés Windows-on

2010.08.17. 10:44 | buherator | 1 komment

A Kerberos protokoll mindig is a kedvenceim közé tartozott, így külön örömömre szolgál, hogy a velencei Ca'Foscari Egyetem kutatói hibát találtak a windowsos megvalósítás helyi bejelentkeztetést végző változatában, így bemutathatom magát a protokollt, valamint a vele…

Címkék: windows bug kriptográfia kerberos

Nem törték fel a Skype titkosítását

2010.07.08. 15:09 | buherator | 8 komment

 Index:Feltörték a Skype-beszélgetések adatfolyamait titkosító RC4 algoritmust kriptográfiai szakértők – jelentették be a titkosításokkal foglalkozó Enrupt portálon (az oldal azóta összeomlott a kíváncsi olvasók rohama alatt, a bejelentés Google…

Címkék: index skype kriptográfia reverse engineering

Hibázás-alapú támadás RSA megvalósítások ellen

2010.03.06. 16:01 | buherator | 2 komment

A napokban jelent meg egy tanulmány, amely egy az RSA algoritumus megvalósításaival kapcsolatos támadást részletez. Egyelőre nem sikerült átrágnom magam a doksin, de máris kezdenek megjelenni a félreérthető cikkek (kösz a linket Támas!), szóval tisztázzunk néhány dolgot (ahogy…

Címkék: kriptográfia rsa

MS10-012: Egy kis kriptó

2010.02.12. 18:30 | buherator | 4 komment

echo 'keysym XF86Back=Backspace' > ~/.Xmodmap# A lelki békém érdekében...Akik közelebbről ismernek tudják, hogy - bár nem vagyok kellően okos hozzá - a kriptográfia a szívem csücske, a mostani MS frissítés pedig egy remek kriptográfiai témájú sebezhetőséget is napvilágra…

Címkék: kriptográfia smb ntlm

Szigorúan őrzött pendrive-ok

2010.01.06. 12:09 | buherator | 1 komment

A német SySS GmbH munkatársai több, NIST 140-2 Level 2 minősítéssel rendelkező pendrive-ot érintő problémát tettek közzé, amely lehetőséget biztosít az eszközökön tárolt titkosított adatok visszaállítására. A fenti minősítéssel rendelkező adathordozókat alkalmazzák az…

Címkék: sandisk pendrive kingston kriptográfia verbatim syss

Lehetetlen küldetés

2009.12.15. 22:00 | buherator | 5 komment

Azt mondja az Index:A katonai szintű titkosító technológiákat fejlesztő izraeli cég provokálja a hackereket, és aranyrudakat ajánl annak, aki feltöri az algoritmusát. Az előző versenyükön nem volt győztes.A hírt kb. két hete olvastam valahol, és már akkor is azt gondoltam, hogy…

Címkék: kriptográfia gold lock

Újabb WPA támadás - ezúttal halálos?

2009.08.26. 09:11 | buherator | Szólj hozzá!

Egyelőre kommentár nélkül, a most megjelent tanulmány bevezetője: 2008-ban Beck és Tews közzétett egy gyakorlati támadást a WPA ellen. Ez a támadás (melyet Beck-Tews támadásnak neveznek) vissza képes állítani a nyílt szöveget egy titkosított rövid üzenetből, majd…

Címkék: kriptográfia wpa

Újabb AES támadások

2009.08.02. 18:46 | buherator | Szólj hozzá!

Új kriptoanalízis eredményeket jelentettek be az AES titkosítási eljárással kapcsoaltban. A támadások 256 bites megvalósítás csökkentett körszámú változataival szemben hatásosak, és igen alacsony lépésszámban képesek visszaállítani az eredeti kulcsokat. Az AES-256 szabvány…

Címkék: kriptográfia aes

Újabb SHA-1 támadás

2009.06.11. 19:31 | buherator | Szólj hozzá!

Ausztrál kutatók egy 2^52 lépésszámú, ütközéses SHA-1 támadás részleteit tették közzé. A módszer lehetővé teszi, hogy két azonos lenyomattal rendelkező bithalmazt generáljunk. Mindez 268.435.456-szoros javulás a 160 bites lenyomat alapján elvárt, születésnap paradoxonnal…

Címkék: kriptográfia md5

SHA-3: Indul a hash maraton

2009.02.25. 08:00 | buherator | 1 komment

Mától rendezik meg a Leuveni Katolikus Egyetemen a NIST kriptográfiai hash függvények számára kiírt versenyét. Az esemény során első alkalommal mutatkoznak be a nagy nyilvánosság számára a Secure Hash Algorithm 3 (SHA-3) címre pályázó üzenetpecsét-algoritmusok.A megmérettetés…

Címkék: kriptográfia sha3

A hidegindításos támadások megakadályozásáról

2009.01.19. 17:05 | buherator | Szólj hozzá!

Annak idején bejárta a sajtót a Princeton egyetem kutatóinak "felfedezése", melynek segítségével a titkosított partíciók kulcsa kinyerhető volt a kikapcsolt gépek RAM-jából némi folyékony nitrogén vagy fagyasztóspray segítségével.Egy nem rég indult blog nagyjából…

Címkék: privacy hardver kriptográfia cold boot

Még egy döfés az MD5-nek - Authenticode

2009.01.17. 22:06 | buherator | Szólj hozzá!

Úgy tűnik, az MD5 valóban végnapjait éli: Didier Stevens megmutatta, hogy Peter Selinger 2007-ben bemutatott, bináris fájlokra is alkalmazható ütköztetési módszerével át lehet verni a Microsoft Authenticode ellenőrző mechanizmusát.Az Authenticode lényegében egy digitális…

Címkék: kriptográfia md5 authenticode

Újabb gyenge kriptós merevlemez

2008.12.03. 17:18 | buherator | 1 komment

Bár a heise-online sokáig kiemelt helyen szerepeltette az AES-el reklámozott, de valójában primitív XOR-t használó merevlemezekről szóló cikkét, úgy tűnik még mindig vannak olyan gyártók, akik a silány minőségű Innmax 7206-os vezérlőt építik be biztonságosnak szánt…

Címkék: kriptográfia innmax

Az Adobe válaszol

2008.12.03. 14:15 | buherator | Szólj hozzá!

Megérkezett a válasz az Adobe-tól az ElcomSoft közleményére, mely szerint az Acrobat 9 jelszavait százszor könnyebb feltörni, mint az előző változatokét. A cég elismerte, hogy az új verzióban használt AES-256 algoritmus megvalósítása gyorsabb a régebbi, AES-128-asénál, ez…

Címkék: adobe kriptográfia

Gyengült az Adobe Acrobat védelme

2008.11.30. 12:50 | buherator | 3 komment

A GPU-n gyorsított "jelszóvisszaállító" megoldásairól híres ElcomSoft bejelentése szerint olyan hibát találtak az Adobe Acrobat legújabb, 9-es verziójának jelszavas védelmében, melyet kihasználva akár százszor gyorsabban feltörhetők a PDF dokumentumok védelmét…

Címkék: pdf kriptográfia elcomsoft

FreeBSD arc4random hiba

2008.11.26. 10:07 | buherator | Szólj hozzá!

Azt hiszem ennek is jár egy poszt, HUP-on van tovább:Tegnapelőtt este napvilágot látott az idei 11. FreeBSD biztonsági figyelmeztetés. Ezúttal a kernelbeli arc4random nevű rutin inicializálási problémája borzolja a kedélyeket. A hiba minden támogatott FreeBSD-verzió kernelében…

Címkék: bug freebsd kriptográfia

Kisebb hiba az SSH protokollban

2008.11.18. 16:58 | buherator | 4 komment

Nagy-Britannia Nemzeti infrastruktúravédelmi Központjának kutatói egy nehezen kihasználható hibát fedeztek fel az SSH protokollban, amely lehetővé teszi a kommunikáció egyes részeinek megfejtését.Még mielőtt valaki pánikba esne: a probléma kizárólag a cipher-block-chaining (CBC)…

Címkék: bug ssh kriptográfia

WPA papír

2008.11.10. 09:08 | buherator | 1 komment

 A múlt héten beharangozott, WPA támadásról szóló leírás ma végre megjelent. A bevezető:Ez a leírás két támadást mutat be az IEEE 802.11-es szabványt követő vezeték nélküli LAN-ok ellen. Az első támadás egy továbbfejlesztett, kulcs-visszaállításra alkalmas módszer…

Címkék: wep kriptográfia wpa

süti beállítások módosítása