Viviane Reding, az Európai Unió alapjogi biztosa levelet írt Eric Holder amerikai igazságügyi miniszternek. A biztos részletes magyarázatot vár Amerikától a PRISM megfigyelési üggyel kapcsolatban. Hét kérdést tett fel Holdernek. A kérdések:

A három legnagyobb internetes cég - a Google, Microsoft és a Facebook - azzal fordult az USA kormányzatához, hogy az biztosítson nagyobb átláthatóságot az általa feléjük indított, nemzetbiztonsággal összefüggő kérésekkel kapcsolatban. Hasonló témájú állásfoglalások jelentek meg kedden néhány órán belül a három cégtől, amelyben arra kérik az USA kormányát, hogy az tegye lehetővé számukra, hogy publikálhassák a titkosszolgálatoktól hozzájuk érkező adatkérések számát és tárgyát.

részlet a kiszivárogtatott dokumentumokból

A PRISM botrány tovább dagad. Előlépett az anonimitásból Edward Snowden, aki a The Guardian szerint a hír forrása volt. A lap szerint a 29 éves férfi több külsős vállalat - Booz Allen, Dell - embereként végzett munkákat az NSA-nak és technikai asszisztens minőségben a CIA-nak. Most Hongkongban tartózkodik.

A miértről és másról részletesen a vele készített szöveges interjúban és videóban.

A The Guardian és a The Washington Post által kirobbantott PRISM megfigyelési ügyben tegnap megszólalt a James R. Clapper, az amerikai nemzeti hírszerzés igazgatója. Közleményében arról ír, hogy feloldotta egyes információk titkosítását "annak reményében, hogy azok segítenek eloszlatni néhány mítoszt és megadják a szükséges háttért azokhoz, amik publikálásra kerültek."

A vezető által kiadott dokumentum:

Tavis Ormandy, a Google biztonsági csoportjának tagja 2010-ben már tett hasonlót. Három évvel ezelőtt egy 0day sebezhetőség részleteit közölte. Akkor a Microsoft nem örült. A Google alkalmazottja most egy 0day Windows exploitot tett közzé a full-disclosure levelezési listán. A H Security megerősítette, hogy az exploit használatával a támadó NT Authority\SYSTEM jogokhoz juthat az áldozat rendszerén.

Részletek itt.

Nem újdonság, de ha valakit érdekel, hogy Ubuntu 13.04 alatt hogyan lehet a $subject-ben említetteket egyszerűen és gyorsan összekalapálni, az látogasson el ide.

A Drupal.org biztonságért és infrastruktúráért felelős csapata nemrég észlelte, hogy illetéktelen hozzáférés történt a Drupal.org-on és groups.drupal.org-on tárolt felhasználói adatokhoz. Köztük felhasználónevekhez, e-mail címekhez és hash-elt jelszavakhoz. A Drupal.org-on tárolt összes jelszó hash-elt és sózott (salted) volt. A groups.drupal.org-on néhány régebbi jelszó nem volt sózva.

Az incidensről az érintettek levélben kaptak értesítést. A levél szerint az illetéktelen hozzáférés egy, a Drupal.org infrastruktúrájába telepített 3rd party programon keresztül történt.

A felhasználói jelszavakat resetelék, a felhasználóknak a következő belépéskor új jelszót kell létrehozniuk.

Az Oslo Freedom Forum egy évente megtartott rendezvény, amely annak lehetőségeit vizsgálja, hogy hogyan lehetne tiltakozni, fellépni a tekintélyelvűség ellen és amely a szabad és nyílt eszméket hirdeti. Az idei, május 13-tól 15-ig tartott konferencián volt egy workshop, amelyet szólásszabadság aktivistáknak rendeztek. Ezen a workshopon arról volt szó, hogy ezek az aktivisták hogyan próbálják megvédeni az általuk használt eszközöket a kormányzati megfigyelésekkel, lehallgatásokkal, ellenőrzésekkel szemben. A workshop alatt az egyik angolai résztvevő gépén Jacob Appelbaum felfedezett egy eddig még ismeretlen, OS X-es spyware-t, amelynek az az érdekessége, hogy egy érvényes Apple Developer ID-hoz tartozó tanúsítvánnyal írták alá. Mivel a malware megfelelően alá volt írva, a Gatekeeper nem jelzett a felhasználóknak.

Részletek az F-Secure blogjában.

A H Security azt állítja, hogy a Microsoft beleolvas a Skype-on keresztül küldött üzenetekbe. A weboldalt az egyik olvasó értesítette, aki azt állította, hogy szokatlan hálózati forgalmat észlelt azután, hogy egy Skype IM csevegést folytatott. Röviddel azután, hogy HTTPS URL-t küldött át az IM szolgáltatáson keresztül, az URL-t meglátogatták egy IP címről a Microsoft redmondi főhadiszállásáról. A H Security nekiállt tesztelni. Átküldött két HTTPS URL-t. Az egyik egy login információt tartalmazott, a másik pedig egy privát cloud-alapú fájlmegosztó szolgáltatásra mutatott. Az eredmény? Néhány órával később mindkét HTTPS URL-t meglátogatták egy IP-ről, amelyet a redmondi Microsoft-hoz regisztráltak.

A H Security szerint a Microsoft mind a login információkat, mind a privát cloud-alapú fájlmegosztó szolgáltatáshoz létrehozott spec. URL-t felhasználta.

A H Security kérdőre vonta a Skype-ot... A részletek itt olvashatók.

Webszerver üzemeltetőknek mindenképpen érdemes tudni arról, hogy egy relatíve új átirányító backdoor szedi gyanútlan áldozatait. A ESET a backdoort Linux/Cdorked.A néven katalogizálta. A kifinomult, rejtett backdoor célja az, hogy a gyanútlan látogatókat rosszindulatú weboldalakra irányítsa át. Az első elemzések arról szóltak, hogy a Linux/Cdorked.A egy Apache backdoor, de később kiderült, hogy a Lighttpd és nginx is érintett.

A H Security arra hívja fel a figyelmet, hogy a régi trükkök nem halnak ki, időről-időre újra előkerülnek, hogy a gyanútlan, óvatlan internetezőket rászedjék. Újszülöttnek minden vicc új, így érdemes néha elővenni emlékeztetőül ezeket a dolgokat. Például azt, hogy nem érdemes minden parancsot (még ha az elsőre ártalmatlannak is látszik) a webes leírásokból, howtokból közvetlenül a parancssorba másolni, mert a végén nagy csodálkozás lehet a vége. Vagyis: amit másolsz, az nem (biztos, hogy) az, amit látsz.

A részletek itt és itt.

Ahogy arról már korábban szó volt, a Pwnium 3 vetélkedőn senkinek sem sikerült a Chrome OS-t a kiírásnak megfelelően 100%-ban legyűrnie és teljes díjat bezsebelnie. Akkor a Google azt nyilatkozta, hogy kiértékelik az elért eredményeket és azok függvényében lehetséges, hogy részdíjazásban részesíti a részeredményeket. Ez így is történt.

A hírek szerint az amerikai kormányzat nemzeti sebezhetőség-információs adatbázisa (National Vulnerability Database - NVD) több napja offline állapotba került. A National Institute of Standards and Technology (NIST) által üzemeltetett szolgáltatás a kérésekre "Page not available" választ adott. Az üzemeltetők az e-mailes megkeresésre azt a választ adták, hogy a szolgáltatást leállították, mert a NIST két NVD szerverén malware nyomokat találtak. Az oldal jelenleg sem üzemel.

A részletek itt.

Nikolaos Rangos - alias Kingcope - számos 0day sebezhetőség napvilágra hozója, számos 0day exploit írója és számos biztonsági publikáció szerzője - AthCon 2012 IT biztonsági rendezvényen tartott "Venue into my work uncovering and exploiting zero days vulnerabilities and advanced fuzzing techniques" előadása megtekinthető a Youtube-on.

A Google egy rakás pénzt (3,14159 - vagyis pi millió dollárt) ajánlott fel azoknak a versenyzőknek, akik sikeresen legyűrik a Chrome OS-t a Pwnium 3 biztonsági vetélkedőn. A Pwnium 3-ra a kanadai CanSecWest rendezvényen került sor tegnap. A friss Twitter üzenetek szerint nem sikerült senkinek sem teljes díjat nyernie. A Google Chrome csapat kiértékeli az eredményeket és lehetséges, hogy a részeredményeket jutalmazza. Hivatalos bejelentés még nincs, további (pontosabb) részletek később.

parancssor "nt authority\system" jogokkal

A Twitter-en olvasható friss tweetek és beszámolók szerint a kanadai CanSecWest keretében megrendezett Pwn2Own biztonsági vetélkedő alatt sikeresen exploitálták mind a Chrome, Firefox, IE 10 böngészőket, mind a Java-t, mint a Windows 8-at.

Mathais Krause egy sebezhetőséget fedezett fel a Linux kernelben, amelyet kihasználva a helyi támadó root jogokhoz juthat. Krause megerősítette a H Security-nek, hogy a kernelverziók a 3.3-tól a 3.8-ig érintettek. A sebezhetőséghez exploit kering az interneten. Az exploitcsomagban található egyes fájlok dátuma 2012-07-14, ami utalhat arra, hogy a sebezhetőséget már tavaly nyár óta ismerhetik egyes körökben. A hétvégén beküldésre került a hiba javítását célzó patch.

Az ISC Diary arról ír, hogy egy főként RPM-alapú Linux disztribúciókat érintő, feltehetően sshd rootkit bukkan fel egyre több rendszeren. Egyelőre még nincs pontos információjuk arról, hogy mi a kezdeti támadási vektor (találgatások már vannak), de amint bővebb információjuk lesz, a bejegyzés frissítését ígérik.

"Az evasi0n azért érdekes, mert mindenféle memóriakorrupció nélkül emel privilégiumot és biztosít teljes hozzáférést a rendszerpartícióhoz. Teszi ezt azáltal, hogy kihasználja a /var/db/timezone sebezhetőségét annak érdekében, hogy hozzáférjen a root felhasználó launchd socket-jéhez."

Az elemzés itt. További érdekesség a pár nappal ezelőtt napvilágot látott evasi0n-nel kapcsoltban, hogy segítségével közel 7 millió iOS eszközt jailbreakeltek néhány nap alatt. Ezzel az evasi0n minden idők legnépszerűbb jailbreak megoldása lett.

A SEC Consult Vulnerability Lab ma közzétett SA-20130124-0 biztonsági figyelmeztetőjében arra hívja fel a figyelmet, hogy számos Barracuda Networks által gyártott termékben - Barracuda Spam and Virus Firewall, Barracuda Web Filter, Barracuda Message Archiver, Barracuda Web Application Firewall, Barracuda Link Balancer, Barracuda Load Balancer, Barracuda SSL VPN - kritikus SSH backdoor található. Minden olyan termék érintett, amelyen 2.0.5-nél régebbi Security Definition fut. Terminálon és SSH-n keresztül lehetőség nyílhat a készülékekhez hozzáférni a nem dokumentált felhasználói fiókok adataival.

A 0day exploitjairól ismert Kingcope ma egy linket tett közzé a full-disclosure levelezési listán. A link az "Attacking the Windows 7/8 Address Space Randomization" című blogbejegyzésére mutat. A blogbejegyzésben arról ír, hogy hogyan lehet megkerülni a Windows 7/8 operációs rendszerek memóriavédelmi mechanizmusait annak érdekében, hogy a támadó tetszőleges assembly kódot futtathasson a rendszeren. Kingcope szerint a téma meglehetősen összetett, ráadásul a blogbejegyzésben leírt metódusok nem hibamentesek és lehet még rajtuk javítani. Ennek ellenére számos esetben lehetséges ezen módszerek felhasználásával teljesen megkerülni a Windows 7, és kiváltképp a Windows 8 ASLR-jét.

Az (egykor a 3Com ma már a) HP DVLabs fennhatósága alá tartozó Zero Day Initiative (ZDI) bejelentette, hogy idén is megrendezi a Pwn2Own névre hallgató biztonsági vetélkedőjét. Az idei versenyt részben a Google szponzorálja.

A Pwn2Own 2013 vetélkedő a nyugat-kanadai Brit Columbia tartomány legnagyobb városában, Vancouverben megrendezésre kerülő CanSecWest 2013 rendezvény alatt folyik majd március 6-7-8-án. A HP ZDI több mint félmillió dolláros pénz- és jutalomalapot társított a rendezvényhez. A kategóriák és a díjak:

A US Computer Emergency Response Team (US-CERT) által publikált ICS-CERT Monitor legfrissebb száma szerint két amerikai erőmű szenvedett el vírusfertőzést 2012 utolsó negyedévében. Mindkét esetben USB pendrive-val sikerült megfertőzni az ipari vezérlőrendszereket. Az egyik esetben a turbinavezérlőt sikerült kifektetni annyira, hogy az erőmű három hétre leállt. A Reuters megjegyzi, hogy számos kritikus vezérlőrendszerben elavult, öreg - Windows 2000, Windows XP - rendszereket használnak...

Az openvpn-devel levlistán James Yonan bejelentette, hogy elérhető az OpenVPN Connect client for iOS ingyenesen az App Store-on keresztül. A szoftvert az OpenVPN Technologies az Apple-lel közösen fejlesztette, így hivatalos, Apple által jóváhagyott kliensnek tekinthető.

A kliens már az új C++ OpenVPN core-ra épül. Ugyanerre épül az OpenVPN Connect client for Android is. A C++ core 100% protokol-kompatibilis az OpenVPN 2.x ággal. Az OpenVPN Technologies azt tervezi, hogy pár héten belül nyílt forrásúvá teszi a C++ core-t. Az iOS kliens teljes forrását nem tudják megnyitni, mert egyes részei proprietary Apple API-kat használnak.

Részletek a bejelentésben.

A DefenseCode egy előzetes figyelmeztetőt küldött a full-disclosure listára, amelyben arról tájékoztat, hogy egy, a Cisco Linksys WRT54GL routerében, alapértelmezett telepítésben található 0day sebezhetőség kihasználható távolról root hozzáférés szerzésére. Készült exploit is, amely működés közben látható a fenti videón. A sebezhetőség kihasználását WRT54GL routerrel próbálták, de más Linksys router is érintett lehet.