Titkosítás, biztonság

NTP4 távoli kódfuttatás sebezhetőség

 ( trey | 2014. december 20., szombat - 16:38 )

Stephen Roettger, a Google Security Team tagja számos biztonsági (buffer overflow) hibát talált az NTP4-ben. Közülük az egyik egy buffer overflow sebezhetőség a ctl_putdata() függvényben. A távoli támadó egy speciálisan összeállított csomaggal túlcsordíthatja a stack buffer-t és potenciálisan lehetősége nyílhat távoli kódfuttatásra az ntpd jogosultságával. Ez sebezhetőség a 4.2.8-as verzió előtti összes NTP4 verziót érinti. A 4.2.8-as verzió 2014. december 18-án látott napvilágot.

Theo de Raadt tegnap megjegyezte, hogy az OpenNTPd nem érintett.

Misfortune Cookie - Több mint 12 millió otthoni router sebezhető "takeover"-re

 ( trey | 2014. december 19., péntek - 15:07 )

A Threat Post egyik friss cikke szerint több mint 12 millióra tehető azon otthoni routereszközöknek száma, amelyek a RomPager nevű beágyazott webszerver valamelyik sebezhető verzióját futtatják. E webszerver sebezhető egy rendkívül egyszerű támadási formával szemben.

Főként az internetszolgáltatók által birtokolt, D-Link, Huawei, TP-Link, ZTE, Zyxel stb. által gyártott SOHO eszközökkel van probléma. A Check Point Software a sebezhetőséget "Misfortune Cookie"-nak (CVE-2014-9222) nevezte el.

"Linux 'Grinch' sebezhetőség - válasszuk el a tényeket a FUD-tól"

 ( trey | 2014. december 18., csütörtök - 21:13 )

A Threat Stack úgy gondolta, hogy érdemes lenne alaposabban szemügyre venni az Alert Logic által a köztudatba bedobott "Grinch" Linux sebezhetőséget, vagyis, hogy ideje szétválasztani a tényeket a FUD-tól.

[ The Linux “Grinch” Vulnerability: Separating Fact From FUD ]

CoolReaper - gyári backdoor-t találtak az egyik népszerű kínai gyártó egyes androidos eszközeiben

 ( trey | 2014. december 18., csütörtök - 9:06 )

A Coolpad a hatodik legnagyobb okostelefon-gyártó a világban, harmadik legnagyobb Kínában. A Palo Alto Networks szakemberei azt állítják, hogy a gyártó high-end okostelefonjai közül számos tartalmaz olyan szoftvert, amelyről a vizsgálat után kiderült, hogy nem más, mint a gyártó által elhelyezett backdoor.

A szakemberek miután átnézték azokat a fórumvisszajelzéseket, amelyek a Coolpad eszközökön való gyanús tevékenységekről számoltak be, letöltöttek több, a kínai piacra szánt Coolpad okostelefonokon használt gyári firmware-t. Arra jutottak, hogy a firmware-ek többsége backdoor-t tartalmaz.

A CoolReaper névre keresztelt malware az alábbiakat tudja:

"A Grinch root hozzáférés sebezhetőség az összes Linux platformot érinti"

 ( trey | 2014. december 17., szerda - 21:52 )

"Grinch" Linux sebezhetőség

A Dark Matters egyik cikke szerint biztonsági szakemberek olyan sebezhetőséget fedeztek fel, amely az összes Linux platformot érinti - beleértve azokat, amelyek cloud szolgáltatásokon futnak és az Android mobil eszközöket is. A sebezhetőséget Grinch-nek nevezték el. A cikk szerint a támadó root joghoz juthat az érintett rendszeren.

[ Grinch Root Access Vulnerability Impacts All Linux Platforms | Don’t Let the Grinch Steal Christmas | ondemand webinar ]

Chrome Security Team - a HTTP kapcsolatot nem biztonságosnak kellene jelölni

 ( trey | 2014. december 13., szombat - 21:01 )

A Chrome Security Team azt javasolja, hogy a böngészők fejlesztői fokozatosan kezdjék el jelezni a nem biztonságos eredetű elemekről, hogy azok nem biztonságosak. A javaslat célja az, hogy a gyártók még egyértelműbben jelezzék a felhasználók felé, hogy a HTTP nem nyújt semmilyen adatbiztonságot. A csapat 2015-ben tervezi kidolgozni a dolog mikéntjét.

Addig is javaslatokat, ötleteket visszajelzéseket várnak. A részletek itt olvashatók.

Extrém mód rejtőzködő Linux trójai

 ( trey | 2014. december 9., kedd - 13:34 )

Biztonsági szakemberek egy olyan rendkívül rejtőzködő Linux trójait fedeztek fel, amelyet vélhetően kormányzati szervek, gyógyszerészeti vállalatok ellen vetnek be világszerte, hogy segítségével érzékeny adatokat lophassanak. Az eddig ismeretlen malware valószínűleg egy darabja a Kaspersky Lab és a Symantec által augusztusban említett ún. Turla APT (Advanced Persistent Threat) műveletnek.

[ The 'Penquin' Turla ]

A POODLE újra harap

 ( trey | 2014. december 9., kedd - 12:48 )

"The POODLE bites again" címmel közölt blogbejegyzésében a Google crypto szakértője, Adam Langley arról írt, hogy ugyan nagyot léptek előre az SSLv3 kiirtásával a POODLE sebezhetőség felszámolásában, de még van mit tenni. Pontosabban kiderült, hogy egyes TLS implementációk is sebezhetők lehetnek.

[ Poodle Bites TLS | SOL15882: TLS1.x padding vulnerability CVE-2014-8730 ]

Offset2lib: bypassing full ASLR on 64bit Linux

 ( trey | 2014. december 5., péntek - 19:34 )

 bypassing full ASLR on 64bit Linux

A Linux specifikus, tervezési hibából/gyengeségből adódó ASLR sebezhetőség leírása, PoC exploit, a probléma lehetséges javításai stb. itt.

A LibreSSL Windows portjának helyzete

 ( trey | 2014. december 2., kedd - 8:13 )

Brent Cook tegnap betekintést adott abba, hogy hol tart az OpenBSD OpenSSL-forkjának, a LibreSSL-nek Windowsra való portolása. Az érdeklődők elolvashatják a helyzetjelentést itt.

David A. Wheeler - Apple gotofail

 ( trey | 2014. november 27., csütörtök - 8:53 )

David A. Wheeler a shellshock összefoglalójához hasonlóan egy részletes összefoglalót készített az Apple "gotofail" néven elhíresült, széles körben nyilvánossá vált sebezhetőségéről. Aki csak felületesen tájékozódott eddig a problémáról, annak most egy helyre összeszedte a szerző a legfontosabb részleteket, tudnivalókat. Elolvasható itt.

Ingyenes SSL tanúsítványokat tervez osztani a Let's Encrypt

 ( trey | 2014. november 19., szerda - 17:44 )

Let's Encrypt

The Electronic Frontier Foundation (EFF) egy olyan új, non-profit szervezet beindításában segítkezik, amelynek célja a biztonságos internetböngészés / használat még szélesebb körben való elterjesztése.

A Let's Encrypt nevű hitelesítés szolgáltató felügyeletét a Internet Security Research Group (ISRG) végzi majd. Az ISRG a a Mozilla-val, Cisco-val, Akamai-vel, EFF-fel és másokkal együttműködve építi fel a szolgáltatáshoz szükséges infrastruktúrát. A Let's Encrypt jövőre indul.

További részletek itt.

Vírusirtó vs. 0day bug

 ( trey | 2014. november 16., vasárnap - 12:15 )

A gyakran előforduló rookie/lamer kérdés: "De hát hogyan lett a gépem vírusos, ha van naprakész vírusirtóm?". Nekik ajánlott a fenti playlist.

18 éve távolról kihasználható sebezhetőséget javított a Microsoft

 ( trey | 2014. november 12., szerda - 12:48 )

Robert Freeman, az IBM X-Force Research csapat tagja egy olyan jelentős Windows sebezhetőségről (CVE-2014-6332) számolt be a minap, ami minden Windows verzióban jelen volt és van a Windows 95-től kezdve. Az X-Force 2014. májusában jelentette be a sebezhetőséget egy működő PoC exploit társaságában a Microsoft-nak. A redmondi cég tegnap javította a sebezhetőséget. A sebezhetőség távolról kihasználható az Internet Explorer 3.0 óta. A támadó felhasználhatja a sebezhetőséget távoli kódfuttatáshoz, kikerülve az IE 11 Enhanced Protected Mode sandbox-át, illetve a Enhanced Mitigation Experience Toolkit-et (EMET) is. A Microsoft figyelmeztetője szerint az EMET 5.0 már felkészíthető az exploitálás ellen egy extra konfig hozzáadásával.

Részletek Robert Freeman-től itt.

nogotofail - nyílt forrású SSL/TLS biztonsági tesztelőeszközt adott ki a Google

 ( trey | 2014. november 5., szerda - 8:19 )

Chad Brubaker (Android Security Engineer) tegnap bejelentette a Google biztonsági blogján, hogy az Android Security Team kiadott egy hálózatbiztonsági eszközt, amelyet arra terveztek, hogy segítésével a biztonsági szakemberek és fejlesztők felismerhessék és javíthassák a hibás, gyenge TLS/SSL kapcsolatokat, a cleartext hálózati forgalmat.

Az eszköz neve nogotofail (névadók: iOS/GnuTLS). A kiadott forrás Apache licenc alatt érhető el.

[ bejelentés | kód a Github-on ]

Miért rossz ötlet strings-t futtatni megbízhatatlan helyről származó fájlokon?

 ( trey | 2014. október 28., kedd - 10:31 )

A Google biztonsági csapatát erősítő Michał "lcamtuf" Zalewski a napokban arról blogolt, hogy a számítógép kriminalisztikában és a számítógépes biztonság egyéb területein tevékenykedő biztonsági szakemberek (is) előszeretettel futtatják a "strings" segédprogramot az internetről származó, kétes eredetű binárisokon. Teszik ezt abban a tudatban, hogy a strings úgysem nem csinál semmi mást, mint végigszkenneli a fájlt és a talált stringeket kitolja a stdout-ra - ez pedig nem hangzik túl veszélyesnek.

Pedig nem kéne ezt tenniük, kiváltképp akkor nem, ha a strings GNU Binutils-ban fellelhető verzióját használják. Szóval érdemes változtatni a szokásokon, vagy rászokni a "-a" kapcsoló használatára. A disztribútoroknak pedig érdemes lenne megfontolniuk a "-a" alapértelmezetté tételét.

A részletek itt olvashatók.

A Kickstarter felfüggesztette az Anonabox kampányát; elindult az Invizbox kampánya

 ( trey | 2014. október 19., vasárnap - 11:06 )

A kaliforniai August Germar által megálmodott Anonabox egy Tor-képes OpenWrt eszköz lett volna. Pontosabban, egy "kifejezetten Tor futtatásához tervezett, nyílt forrású, beágyazott hálózati eszköz". A létrehozásához egy Kickstarter kampány indult 7500 dolláros céllal indult, de 5 nap alatt több mint fél millió dollár jött össze.

A kampány kezdete után azonban hamarosan kétségek merültek fel az Anonabox-szal kapcsolatban. A kétségeket August nem tudta eloszlatni, ezért a Kickstarter felfüggesztette kampányát.

Az Anonabox kampánya ugyan elbukott, de egy dologra biztosan jó volt: megmutatta, hogy a közösség éhes egy ilyen biztonsági/privacy eszközre.

VeraCrypt - újabb TrueCrypt fork

 ( trey | 2014. október 19., vasárnap - 8:31 )

VeraCrypt

A VeraCrypt egy újabb TrueCrypt fork. Honlapja szerint számos olyan biztonsági problémát javít, ami megtalálható a TrueCrypt-ben, illetve több dolgot is jobban csinál, mint a TrueCrypt. A VeraCrypt tárolási formátuma nem kompatibilis a TrueCrypt tárolási formátumával.

Részletek a projekt weboldalán.

Tor Browser 4.0

 ( trey | 2014. október 17., péntek - 8:10 )

Megjelent a Tor Browser (korábbi nevén Tor Browser Bundle - TBB) 4.0-s kiadása. A Tor Browser a Tor Project egyik zászlóshajó terméke. Összetevői: Firefox ESR alap, TorButton, TorLauncher, NoScript, HTTPS Everywhere kiegészítő valamint Tor Proxy. Futtatható cserélhető adattárolóról. Elérhető Windowsra, Mac OS X-re és Linuxra.

A Tor Browser használatakor automatikusan elindítja a Tor folyamatot és a böngészési forgalmat a Tor hátózaton keresztül hajtja. A böngészés befejeztével a böngésző minden érzékeny adatot - sütiket, böngészési előzményt stb. - töröl.

A 4.0-s kiadásban egyebek mellett letiltották az SSLv3 protokollt a POODLE sebezhetőség miatt. Részletek a bejelentésben.

Tails 1.2

 ( trey | 2014. október 17., péntek - 7:59 )

Megjelent a "The Amnesic Incognito Live System" - röviden Tails - 1.2-es kiadása. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Az 1.2-es kiadásban számos biztonsági hibát javítottak. A kiadásba belekerült a Tor Browser, ami az eddigi Iceweasel-alapú böngészőt váltotta. A Tor Browser ezen verzióját már nem érinti a POODLE sebezhetőség.

Részletek a bejelentésben.

[Frissítve] Anonabox - OpenWrt-t és Tor szervert futtató, nyílt hálózati eszköz a privacy-tudatos embereknek

 ( trey | 2014. október 16., csütörtök - 7:25 )

A projekt kampánya a Kickstarter-en indult. A projekt gazdája 7500 dollárt kért. Eddig 592 266 dollár jött össze. Még 26 nap van a kampányzárásig.

Frissítés: Több helyen is felmerültek kétségek az Anonabox-szal kapcsolatban. Olvasd el a részleteket itt.

POODLE - Az SSL 3.0 tervezési hibájára figyelmeztet a Google

 ( trey | 2014. október 15., szerda - 11:55 )

Google Security Team három szakembere - Bodo Möller, Thai Duong, Krzysztof Kotowicz - felfedezték, hogy az SSL 3.0-nak komoly tervezési hibája van. Noha az SSL 3.0 már 15 éves, még mindig széles körben támogatott maradt. Például szinte az összes böngésző támogatja annak érdekében, hogy megkerülhessék a HTTPS szerverek bugjait. Ha ezek a böngészők bugos HTTPS szerverrel találkoznak, megpróbálják újra létrehozni a hibás kapcsolatot egy régebbi protokollal (fallback), például SSL 3.0-val. Mivel a hálózati támadó képes kapcsolati hibát előidézni, ezzel rákényszerítheti az áldozat böngészőjét az SSL 3.0 használatára és így kihasználhatja a régi, ám széles körben használt protokoll sebezhetőségét.

A Google azt reméli, hogy a következő hónapokban teljes mértékben eltávolíthatják az SSL 3.0 támogatást a klienstermékeikből.

[ bejelentés | problémaleírás ]

"Nem hackelték meg a Dropbox-ot"

 ( trey | 2014. október 14., kedd - 13:15 )

Ugyan számos internetes híroldal arról számolt be, hogy feltörték a Dropboxot és felhasználónév/jelszó párosok szivárogtak ki, a Dropbox tagadja, hogy bármi ilyesmi történt volna. A Dropbox szerint a felhasználók adatai biztonságban vannak. Az első jelentések megérkezése óta újabb felhasználónév/jelszó párosokat tartalmazó lista került nyilvánosságra. A Dropbox ellenőrizte a listát, de azok nem hozhatók összefüggésbe Dropbox fiókokkal.

Részletek a cég állásfoglalásában.

David A. Wheeler - Shellshock

 ( trey | 2014. október 9., csütörtök - 7:35 )

David A. Wheeler egy részletes összefoglalót készített a bash nemrégiben széles körben nyilvánossá vált Shellshock sebezhetőségéről. Aki csak felületesen tájékozódott eddig a problémáról, annak most egy helyre összeszedte a szerző a legfontosabb részleteket, tudnivalókat. Elolvasható itt.

Tyupkin - Windows XP-s ATM-ek kirámolását segítő malware-t fedezett fel a Kaspersky Lab

 ( trey | 2014. október 8., szerda - 9:49 )

Pénzügyi szervezetek megbízásából a Kaspersky Lab szakértői nyomozásba kezdtek egy kelet-európai ATM-eket érintő cybertámadással kapcsolatban. A vizsgálat során egy malware-re bukkantak, amelynek segítségével támadók számára lehetővé vált az ATM-ek pénzkazettájának kiürítése.