Titkosítás, biztonság

0day Flash Player sebezhetőséget javított az Adobe, további sebezhetőséget vizsgál

 ( trey | 2015. január 23., péntek - 8:00 )

Az Angler Exploit Kit egy ideje 0day Flash Player sebezhetőséget használt ki aktívan:

Idézet:
TL:DR Any version of Internet Explorer or Firefox with any version of Windows will get owned if Flash up to 16.0.0.287 (included) is installed and enabled.

[...]

One last bad news : Windows 8.1 Internet Explorer 11 fully updated is now owned as well,

Az Adobe tegnap frissítést adott ki a CVE-2015-0310-re.

Minket (engem) ... fájltitkosító ransomware.

 ( trey | 2015. január 21., szerda - 12:47 )
nem érintett
66% (338 szavazat)
érintett (fizettem, sikerült visszaállítani a fájlokat)
1% (4 szavazat)
érintett (fizettem, nem sikerült visszaállítani a fájlokat)
0% (0 szavazat)
érintett (nem fizettem, sikerült visszaállítani a fájlokat)
1% (7 szavazat)
érintett (nem fizettem, nem sikerült visszaállítani a fájlokat)
1% (6 szavazat)
érintett (nem sikerült a fájlokat visszaállítani egyéb módon, de backup-ból vissza tudtam állítani)
3% (15 szavazat)
érintett (backup sem volt)
1% (6 szavazat)
Hogy micsoda?
19% (99 szavazat)
Egyéb, leírom.
1% (6 szavazat)
Csak az eredmény érdekel.
6% (32 szavazat)
Összes szavazat: 513

Újabb sebezhetőség részleteit tette elérhetővé a Google a 90 napos türelmi idő leteltével

 ( trey | 2015. január 14., szerda - 20:30 )

A Microsoft rosszallása ellenére a Google nem akadályozta meg, hogy a hibakövető rendszere a beállított 90 napos türelmi idő letelte után újabb javítatlan sebezhetőség részleteit tegye publikussá. A hiba leírását a Google hibakövetője vasárnap hozta nyilvánosságra.

A biztonsági hibák részleteinek közlésével kapcsolatos hozzáállások közül szerintem a ... helyes.

 ( trey | 2015. január 13., kedd - 11:56 )
teljes, azonnali, részletes (full disclosure)
13% (68 szavazat)
a meghatározott türelmi idő letelte utáni automatikus közlés (pl. a Google-féle 90 nap határidős irányelv)
68% (370 szavazat)
koordinált sebezhetőség-közlés (Microsoft által szorgalmazott irányelv)
8% (46 szavazat)
Egyéb, leírom.
1% (4 szavazat)
Csak az eredmény érdekel.
10% (56 szavazat)
Összes szavazat: 544

"Nincs több előzetes értesítés patch-kedd előtt"

 ( trey | 2015. január 11., vasárnap - 9:46 )

"Minden érdemi magyarázat nélkül eltörölte a patch-kedd előtt hagyományosan kiadott értesítéseket a Microsoft. Az IT-biztonságért felelős szakembereknek ezentúl nem lesz lehetőségük időben felkészülni a frissítések tesztelésére - a cég hárít és "megváltozott igényekre" hivatkozik. [...] A cég közlése szerint a jövőben az előzetes információkhoz (ANS - advance notification service) csak a prémium támogatási fokozatért fizető ügyfelek férnek majd hozzá."

A részletek itt olvashatók.

ASUS router remote root (helyi hálózat felől) és workaround

 ( trey | 2015. január 10., szombat - 9:13 )

Néhány hónappal ezelőtt Joshua Drake (jduck) hibát talált ASUS RT-N66U routerében. Kiderült, hogy egy, az UDP 9999 portra küldött csomag segítségével lehetősége nyílik 237 karakterben tetszőleges kódot futtatni a router-en. A hiba - amely a CVE-2014-9583 hibajegy azonosítót kapta - nem csak ezt, hanem más ASUS router-eket is érint. Érinti például a december 31-én kiadott, legfrissebb firmware-t futtató RT-AC87U típust is.

Az ASUS tud a problémáról, már teszteli a javított firmware-t és azt remélhetőleg heteken belül kiadja. Addig is workaround-olható a probléma.

Thunderstrike: EFI bootkitek Apple MacBook gépekhez

 ( trey | 2015. január 1., csütörtök - 18:55 )

A fenti előadás egy Thunderstrike nevű sebezhetőséget mutat be, amely lehetővé teszi maradandó firmware módosítások telepítését a MacBook gépek EFI boot ROM-jaiba. A bootkit "evil maid attack" típusú támadással egyszerűen telepíthető Thunderbolt portokon keresztül és képes túlélni az OS X újratelepítését, illetve a merevlemez/SSD cseréket.

[ Thunderstrike: EFI bootkits for Apple MacBooks ]

Zorp - alkalmazásszintű tűzfal OpenWrt-n

 ( trey | 2014. december 31., szerda - 14:35 )

Idézet:
Részletesebb naplózásra lenne szükséged az otthoni hálózatodban? Bele szeretnél látni applikációs szinten a titkosított adatforgalomba (HTTPS)? Módosítani is szeretnéd a forgalmat például azért, hogy a felhőben tárolt adataidat (Google Calendar) el tudd rejteni az NSA elől? Pénzt viszont nem szeretnél áldozni egy külön szerverre? Az otthoni Wi-Fi routered segítségével is megteheted mindezt.

A Zorp egy robusztus alkalmazásszintű proxy tűzfal, amit kiterjedt informatikai hálózattal rendelkező nagyvállalatok és más magas biztonsági igényű intézmények számára fejlesztettek ki, viszont az OpenWRT lehetővé teszi, hogy Zorp GPL változatát akár egy Wi-Fi routereden futtasd, kihasználva ezzel egy alkalmazásszintű proxy tűzfal nyújtotta előnyöket otthoni hálózatodban.

[ Zorp: An Application Layer Firewall on OpenWrt ]

Engem ... az Xbox Live és/vagy a Sony PlayStation Network ellen indított DDoS támadás.

 ( trey | 2014. december 28., vasárnap - 10:46 )
érint még most is
1% (3 szavazat)
érintett (már nem)
2% (12 szavazat)
nem érintett (van Xbox-om/PS-öm)
9% (45 szavazat)
nem érintett (nincs Xbox-om/PS-em)
75% (388 szavazat)
hogy mi?
9% (48 szavazat)
Egyéb, leírom.
0% (0 szavazat)
Csak az eredmény érdekel.
4% (20 szavazat)
Összes szavazat: 516

Malware-t terjesztett az ISC weboldala

 ( trey | 2014. december 27., szombat - 12:07 )

A Cyphort Labs egyik blogbejegyzése szerint a Internet Systems Consortium, Inc. (ISC) weboldala malware-t terjesztett a napokban. A feltételezések szerint nem konkrétan az ISC ellen intéztek célzott támadást, hanem az oldalon futó Wordpress valószínűleg automatikus exploitálás áldozatává vált.

A Cyphort Labs december 22-én levélben értesítette az ISC-t az általa detektált malware fertőzésről. Az ISC december 23-án lekapcsolta a weboldalt és egy egyszerű figyelmeztetést helyezett ki az incidenssel kapcsolatban.

Komoly fizikai károkat okozó cybertámadást szenvedett el az egyik német acélgyár

 ( trey | 2014. december 21., vasárnap - 13:49 )

A Sony Pictures-t ért kifinomult cybertámadás után Németországban okozott komoly károkat egy hasonló behatolás. A német szövetségi információbiztonsági hivatal, a Bundesamt für Sicherheit in der Informationstechnik (BSI) szerdán kiadott jelentése szerint az egyik német acélgyárban komoly károk keletkeztek azután, hogy illetéktelenek betörtek a gyár termelési hálózatára, azon keresztül pedig a hozzáfértek az egyik nagyolvasztó vezérléséhez.

NTP4 távoli kódfuttatás sebezhetőség

 ( trey | 2014. december 20., szombat - 16:38 )

Stephen Roettger, a Google Security Team tagja számos biztonsági (buffer overflow) hibát talált az NTP4-ben. Közülük az egyik egy buffer overflow sebezhetőség a ctl_putdata() függvényben. A távoli támadó egy speciálisan összeállított csomaggal túlcsordíthatja a stack buffer-t és potenciálisan lehetősége nyílhat távoli kódfuttatásra az ntpd jogosultságával. Ez sebezhetőség a 4.2.8-as verzió előtti összes NTP4 verziót érinti. A 4.2.8-as verzió 2014. december 18-án látott napvilágot.

Theo de Raadt tegnap megjegyezte, hogy az OpenNTPd nem érintett.

Misfortune Cookie - Több mint 12 millió otthoni router sebezhető "takeover"-re

 ( trey | 2014. december 19., péntek - 15:07 )

A Threat Post egyik friss cikke szerint több mint 12 millióra tehető azon otthoni routereszközöknek száma, amelyek a RomPager nevű beágyazott webszerver valamelyik sebezhető verzióját futtatják. E webszerver sebezhető egy rendkívül egyszerű támadási formával szemben.

Főként az internetszolgáltatók által birtokolt, D-Link, Huawei, TP-Link, ZTE, Zyxel stb. által gyártott SOHO eszközökkel van probléma. A Check Point Software a sebezhetőséget "Misfortune Cookie"-nak (CVE-2014-9222) nevezte el.

"Linux 'Grinch' sebezhetőség - válasszuk el a tényeket a FUD-tól"

 ( trey | 2014. december 18., csütörtök - 21:13 )

A Threat Stack úgy gondolta, hogy érdemes lenne alaposabban szemügyre venni az Alert Logic által a köztudatba bedobott "Grinch" Linux sebezhetőséget, vagyis, hogy ideje szétválasztani a tényeket a FUD-tól.

[ The Linux “Grinch” Vulnerability: Separating Fact From FUD ]

CoolReaper - gyári backdoor-t találtak az egyik népszerű kínai gyártó egyes androidos eszközeiben

 ( trey | 2014. december 18., csütörtök - 9:06 )

A Coolpad a hatodik legnagyobb okostelefon-gyártó a világban, harmadik legnagyobb Kínában. A Palo Alto Networks szakemberei azt állítják, hogy a gyártó high-end okostelefonjai közül számos tartalmaz olyan szoftvert, amelyről a vizsgálat után kiderült, hogy nem más, mint a gyártó által elhelyezett backdoor.

A szakemberek miután átnézték azokat a fórumvisszajelzéseket, amelyek a Coolpad eszközökön való gyanús tevékenységekről számoltak be, letöltöttek több, a kínai piacra szánt Coolpad okostelefonokon használt gyári firmware-t. Arra jutottak, hogy a firmware-ek többsége backdoor-t tartalmaz.

A CoolReaper névre keresztelt malware az alábbiakat tudja:

"A Grinch root hozzáférés sebezhetőség az összes Linux platformot érinti"

 ( trey | 2014. december 17., szerda - 21:52 )

"Grinch" Linux sebezhetőség

A Dark Matters egyik cikke szerint biztonsági szakemberek olyan sebezhetőséget fedeztek fel, amely az összes Linux platformot érinti - beleértve azokat, amelyek cloud szolgáltatásokon futnak és az Android mobil eszközöket is. A sebezhetőséget Grinch-nek nevezték el. A cikk szerint a támadó root joghoz juthat az érintett rendszeren.

[ Grinch Root Access Vulnerability Impacts All Linux Platforms | Don’t Let the Grinch Steal Christmas | ondemand webinar ]

Chrome Security Team - a HTTP kapcsolatot nem biztonságosnak kellene jelölni

 ( trey | 2014. december 13., szombat - 21:01 )

A Chrome Security Team azt javasolja, hogy a böngészők fejlesztői fokozatosan kezdjék el jelezni a nem biztonságos eredetű elemekről, hogy azok nem biztonságosak. A javaslat célja az, hogy a gyártók még egyértelműbben jelezzék a felhasználók felé, hogy a HTTP nem nyújt semmilyen adatbiztonságot. A csapat 2015-ben tervezi kidolgozni a dolog mikéntjét.

Addig is javaslatokat, ötleteket visszajelzéseket várnak. A részletek itt olvashatók.

Extrém mód rejtőzködő Linux trójai

 ( trey | 2014. december 9., kedd - 13:34 )

Biztonsági szakemberek egy olyan rendkívül rejtőzködő Linux trójait fedeztek fel, amelyet vélhetően kormányzati szervek, gyógyszerészeti vállalatok ellen vetnek be világszerte, hogy segítségével érzékeny adatokat lophassanak. Az eddig ismeretlen malware valószínűleg egy darabja a Kaspersky Lab és a Symantec által augusztusban említett ún. Turla APT (Advanced Persistent Threat) műveletnek.

[ The 'Penquin' Turla ]

A POODLE újra harap

 ( trey | 2014. december 9., kedd - 12:48 )

"The POODLE bites again" címmel közölt blogbejegyzésében a Google crypto szakértője, Adam Langley arról írt, hogy ugyan nagyot léptek előre az SSLv3 kiirtásával a POODLE sebezhetőség felszámolásában, de még van mit tenni. Pontosabban kiderült, hogy egyes TLS implementációk is sebezhetők lehetnek.

[ Poodle Bites TLS | SOL15882: TLS1.x padding vulnerability CVE-2014-8730 ]

Offset2lib: bypassing full ASLR on 64bit Linux

 ( trey | 2014. december 5., péntek - 19:34 )

 bypassing full ASLR on 64bit Linux

A Linux specifikus, tervezési hibából/gyengeségből adódó ASLR sebezhetőség leírása, PoC exploit, a probléma lehetséges javításai stb. itt.

A LibreSSL Windows portjának helyzete

 ( trey | 2014. december 2., kedd - 8:13 )

Brent Cook tegnap betekintést adott abba, hogy hol tart az OpenBSD OpenSSL-forkjának, a LibreSSL-nek Windowsra való portolása. Az érdeklődők elolvashatják a helyzetjelentést itt.

David A. Wheeler - Apple gotofail

 ( trey | 2014. november 27., csütörtök - 8:53 )

David A. Wheeler a shellshock összefoglalójához hasonlóan egy részletes összefoglalót készített az Apple "gotofail" néven elhíresült, széles körben nyilvánossá vált sebezhetőségéről. Aki csak felületesen tájékozódott eddig a problémáról, annak most egy helyre összeszedte a szerző a legfontosabb részleteket, tudnivalókat. Elolvasható itt.

Ingyenes SSL tanúsítványokat tervez osztani a Let's Encrypt

 ( trey | 2014. november 19., szerda - 17:44 )

Let's Encrypt

The Electronic Frontier Foundation (EFF) egy olyan új, non-profit szervezet beindításában segítkezik, amelynek célja a biztonságos internetböngészés / használat még szélesebb körben való elterjesztése.

A Let's Encrypt nevű hitelesítés szolgáltató felügyeletét a Internet Security Research Group (ISRG) végzi majd. Az ISRG a a Mozilla-val, Cisco-val, Akamai-vel, EFF-fel és másokkal együttműködve építi fel a szolgáltatáshoz szükséges infrastruktúrát. A Let's Encrypt jövőre indul.

További részletek itt.

Vírusirtó vs. 0day bug

 ( trey | 2014. november 16., vasárnap - 12:15 )

A gyakran előforduló rookie/lamer kérdés: "De hát hogyan lett a gépem vírusos, ha van naprakész vírusirtóm?". Nekik ajánlott a fenti playlist.