Titkosítás, biztonság

"Nincs több előzetes értesítés patch-kedd előtt"

 ( trey | 2015. január 11., vasárnap - 10:46 )

"Minden érdemi magyarázat nélkül eltörölte a patch-kedd előtt hagyományosan kiadott értesítéseket a Microsoft. Az IT-biztonságért felelős szakembereknek ezentúl nem lesz lehetőségük időben felkészülni a frissítések tesztelésére - a cég hárít és "megváltozott igényekre" hivatkozik. [...] A cég közlése szerint a jövőben az előzetes információkhoz (ANS - advance notification service) csak a prémium támogatási fokozatért fizető ügyfelek férnek majd hozzá."

A részletek itt olvashatók.

ASUS router remote root (helyi hálózat felől) és workaround

 ( trey | 2015. január 10., szombat - 10:13 )

Néhány hónappal ezelőtt Joshua Drake (jduck) hibát talált ASUS RT-N66U routerében. Kiderült, hogy egy, az UDP 9999 portra küldött csomag segítségével lehetősége nyílik 237 karakterben tetszőleges kódot futtatni a router-en. A hiba - amely a CVE-2014-9583 hibajegy azonosítót kapta - nem csak ezt, hanem más ASUS router-eket is érint. Érinti például a december 31-én kiadott, legfrissebb firmware-t futtató RT-AC87U típust is.

Az ASUS tud a problémáról, már teszteli a javított firmware-t és azt remélhetőleg heteken belül kiadja. Addig is workaround-olható a probléma.

Thunderstrike: EFI bootkitek Apple MacBook gépekhez

 ( trey | 2015. január 1., csütörtök - 19:55 )

A fenti előadás egy Thunderstrike nevű sebezhetőséget mutat be, amely lehetővé teszi maradandó firmware módosítások telepítését a MacBook gépek EFI boot ROM-jaiba. A bootkit "evil maid attack" típusú támadással egyszerűen telepíthető Thunderbolt portokon keresztül és képes túlélni az OS X újratelepítését, illetve a merevlemez/SSD cseréket.

[ Thunderstrike: EFI bootkits for Apple MacBooks ]

Zorp - alkalmazásszintű tűzfal OpenWrt-n

 ( trey | 2014. december 31., szerda - 15:35 )

Idézet:
Részletesebb naplózásra lenne szükséged az otthoni hálózatodban? Bele szeretnél látni applikációs szinten a titkosított adatforgalomba (HTTPS)? Módosítani is szeretnéd a forgalmat például azért, hogy a felhőben tárolt adataidat (Google Calendar) el tudd rejteni az NSA elől? Pénzt viszont nem szeretnél áldozni egy külön szerverre? Az otthoni Wi-Fi routered segítségével is megteheted mindezt.

A Zorp egy robusztus alkalmazásszintű proxy tűzfal, amit kiterjedt informatikai hálózattal rendelkező nagyvállalatok és más magas biztonsági igényű intézmények számára fejlesztettek ki, viszont az OpenWRT lehetővé teszi, hogy Zorp GPL változatát akár egy Wi-Fi routereden futtasd, kihasználva ezzel egy alkalmazásszintű proxy tűzfal nyújtotta előnyöket otthoni hálózatodban.

[ Zorp: An Application Layer Firewall on OpenWrt ]

Engem ... az Xbox Live és/vagy a Sony PlayStation Network ellen indított DDoS támadás.

 ( trey | 2014. december 28., vasárnap - 11:46 )
érint még most is
1% (3 szavazat)
érintett (már nem)
2% (12 szavazat)
nem érintett (van Xbox-om/PS-öm)
9% (45 szavazat)
nem érintett (nincs Xbox-om/PS-em)
75% (388 szavazat)
hogy mi?
9% (48 szavazat)
Egyéb, leírom.
0% (0 szavazat)
Csak az eredmény érdekel.
4% (20 szavazat)
Összes szavazat: 516

Malware-t terjesztett az ISC weboldala

 ( trey | 2014. december 27., szombat - 13:07 )

A Cyphort Labs egyik blogbejegyzése szerint a Internet Systems Consortium, Inc. (ISC) weboldala malware-t terjesztett a napokban. A feltételezések szerint nem konkrétan az ISC ellen intéztek célzott támadást, hanem az oldalon futó Wordpress valószínűleg automatikus exploitálás áldozatává vált.

A Cyphort Labs december 22-én levélben értesítette az ISC-t az általa detektált malware fertőzésről. Az ISC december 23-án lekapcsolta a weboldalt és egy egyszerű figyelmeztetést helyezett ki az incidenssel kapcsolatban.

Komoly fizikai károkat okozó cybertámadást szenvedett el az egyik német acélgyár

 ( trey | 2014. december 21., vasárnap - 14:49 )

A Sony Pictures-t ért kifinomult cybertámadás után Németországban okozott komoly károkat egy hasonló behatolás. A német szövetségi információbiztonsági hivatal, a Bundesamt für Sicherheit in der Informationstechnik (BSI) szerdán kiadott jelentése szerint az egyik német acélgyárban komoly károk keletkeztek azután, hogy illetéktelenek betörtek a gyár termelési hálózatára, azon keresztül pedig a hozzáfértek az egyik nagyolvasztó vezérléséhez.

NTP4 távoli kódfuttatás sebezhetőség

 ( trey | 2014. december 20., szombat - 17:38 )

Stephen Roettger, a Google Security Team tagja számos biztonsági (buffer overflow) hibát talált az NTP4-ben. Közülük az egyik egy buffer overflow sebezhetőség a ctl_putdata() függvényben. A távoli támadó egy speciálisan összeállított csomaggal túlcsordíthatja a stack buffer-t és potenciálisan lehetősége nyílhat távoli kódfuttatásra az ntpd jogosultságával. Ez sebezhetőség a 4.2.8-as verzió előtti összes NTP4 verziót érinti. A 4.2.8-as verzió 2014. december 18-án látott napvilágot.

Theo de Raadt tegnap megjegyezte, hogy az OpenNTPd nem érintett.

Misfortune Cookie - Több mint 12 millió otthoni router sebezhető "takeover"-re

 ( trey | 2014. december 19., péntek - 16:07 )

A Threat Post egyik friss cikke szerint több mint 12 millióra tehető azon otthoni routereszközöknek száma, amelyek a RomPager nevű beágyazott webszerver valamelyik sebezhető verzióját futtatják. E webszerver sebezhető egy rendkívül egyszerű támadási formával szemben.

Főként az internetszolgáltatók által birtokolt, D-Link, Huawei, TP-Link, ZTE, Zyxel stb. által gyártott SOHO eszközökkel van probléma. A Check Point Software a sebezhetőséget "Misfortune Cookie"-nak (CVE-2014-9222) nevezte el.

"Linux 'Grinch' sebezhetőség - válasszuk el a tényeket a FUD-tól"

 ( trey | 2014. december 18., csütörtök - 22:13 )

A Threat Stack úgy gondolta, hogy érdemes lenne alaposabban szemügyre venni az Alert Logic által a köztudatba bedobott "Grinch" Linux sebezhetőséget, vagyis, hogy ideje szétválasztani a tényeket a FUD-tól.

[ The Linux “Grinch” Vulnerability: Separating Fact From FUD ]

CoolReaper - gyári backdoor-t találtak az egyik népszerű kínai gyártó egyes androidos eszközeiben

 ( trey | 2014. december 18., csütörtök - 10:06 )

A Coolpad a hatodik legnagyobb okostelefon-gyártó a világban, harmadik legnagyobb Kínában. A Palo Alto Networks szakemberei azt állítják, hogy a gyártó high-end okostelefonjai közül számos tartalmaz olyan szoftvert, amelyről a vizsgálat után kiderült, hogy nem más, mint a gyártó által elhelyezett backdoor.

A szakemberek miután átnézték azokat a fórumvisszajelzéseket, amelyek a Coolpad eszközökön való gyanús tevékenységekről számoltak be, letöltöttek több, a kínai piacra szánt Coolpad okostelefonokon használt gyári firmware-t. Arra jutottak, hogy a firmware-ek többsége backdoor-t tartalmaz.

A CoolReaper névre keresztelt malware az alábbiakat tudja:

"A Grinch root hozzáférés sebezhetőség az összes Linux platformot érinti"

 ( trey | 2014. december 17., szerda - 22:52 )

"Grinch" Linux sebezhetőség

A Dark Matters egyik cikke szerint biztonsági szakemberek olyan sebezhetőséget fedeztek fel, amely az összes Linux platformot érinti - beleértve azokat, amelyek cloud szolgáltatásokon futnak és az Android mobil eszközöket is. A sebezhetőséget Grinch-nek nevezték el. A cikk szerint a támadó root joghoz juthat az érintett rendszeren.

[ Grinch Root Access Vulnerability Impacts All Linux Platforms | Don’t Let the Grinch Steal Christmas | ondemand webinar ]

Chrome Security Team - a HTTP kapcsolatot nem biztonságosnak kellene jelölni

 ( trey | 2014. december 13., szombat - 22:01 )

A Chrome Security Team azt javasolja, hogy a böngészők fejlesztői fokozatosan kezdjék el jelezni a nem biztonságos eredetű elemekről, hogy azok nem biztonságosak. A javaslat célja az, hogy a gyártók még egyértelműbben jelezzék a felhasználók felé, hogy a HTTP nem nyújt semmilyen adatbiztonságot. A csapat 2015-ben tervezi kidolgozni a dolog mikéntjét.

Addig is javaslatokat, ötleteket visszajelzéseket várnak. A részletek itt olvashatók.

Extrém mód rejtőzködő Linux trójai

 ( trey | 2014. december 9., kedd - 14:34 )

Biztonsági szakemberek egy olyan rendkívül rejtőzködő Linux trójait fedeztek fel, amelyet vélhetően kormányzati szervek, gyógyszerészeti vállalatok ellen vetnek be világszerte, hogy segítségével érzékeny adatokat lophassanak. Az eddig ismeretlen malware valószínűleg egy darabja a Kaspersky Lab és a Symantec által augusztusban említett ún. Turla APT (Advanced Persistent Threat) műveletnek.

[ The 'Penquin' Turla ]

A POODLE újra harap

 ( trey | 2014. december 9., kedd - 13:48 )

"The POODLE bites again" címmel közölt blogbejegyzésében a Google crypto szakértője, Adam Langley arról írt, hogy ugyan nagyot léptek előre az SSLv3 kiirtásával a POODLE sebezhetőség felszámolásában, de még van mit tenni. Pontosabban kiderült, hogy egyes TLS implementációk is sebezhetők lehetnek.

[ Poodle Bites TLS | SOL15882: TLS1.x padding vulnerability CVE-2014-8730 ]

Offset2lib: bypassing full ASLR on 64bit Linux

 ( trey | 2014. december 5., péntek - 20:34 )

 bypassing full ASLR on 64bit Linux

A Linux specifikus, tervezési hibából/gyengeségből adódó ASLR sebezhetőség leírása, PoC exploit, a probléma lehetséges javításai stb. itt.

A LibreSSL Windows portjának helyzete

 ( trey | 2014. december 2., kedd - 9:13 )

Brent Cook tegnap betekintést adott abba, hogy hol tart az OpenBSD OpenSSL-forkjának, a LibreSSL-nek Windowsra való portolása. Az érdeklődők elolvashatják a helyzetjelentést itt.

David A. Wheeler - Apple gotofail

 ( trey | 2014. november 27., csütörtök - 9:53 )

David A. Wheeler a shellshock összefoglalójához hasonlóan egy részletes összefoglalót készített az Apple "gotofail" néven elhíresült, széles körben nyilvánossá vált sebezhetőségéről. Aki csak felületesen tájékozódott eddig a problémáról, annak most egy helyre összeszedte a szerző a legfontosabb részleteket, tudnivalókat. Elolvasható itt.

Ingyenes SSL tanúsítványokat tervez osztani a Let's Encrypt

 ( trey | 2014. november 19., szerda - 18:44 )

Let's Encrypt

The Electronic Frontier Foundation (EFF) egy olyan új, non-profit szervezet beindításában segítkezik, amelynek célja a biztonságos internetböngészés / használat még szélesebb körben való elterjesztése.

A Let's Encrypt nevű hitelesítés szolgáltató felügyeletét a Internet Security Research Group (ISRG) végzi majd. Az ISRG a a Mozilla-val, Cisco-val, Akamai-vel, EFF-fel és másokkal együttműködve építi fel a szolgáltatáshoz szükséges infrastruktúrát. A Let's Encrypt jövőre indul.

További részletek itt.

Vírusirtó vs. 0day bug

 ( trey | 2014. november 16., vasárnap - 13:15 )

A gyakran előforduló rookie/lamer kérdés: "De hát hogyan lett a gépem vírusos, ha van naprakész vírusirtóm?". Nekik ajánlott a fenti playlist.

18 éve távolról kihasználható sebezhetőséget javított a Microsoft

 ( trey | 2014. november 12., szerda - 13:48 )

Robert Freeman, az IBM X-Force Research csapat tagja egy olyan jelentős Windows sebezhetőségről (CVE-2014-6332) számolt be a minap, ami minden Windows verzióban jelen volt és van a Windows 95-től kezdve. Az X-Force 2014. májusában jelentette be a sebezhetőséget egy működő PoC exploit társaságában a Microsoft-nak. A redmondi cég tegnap javította a sebezhetőséget. A sebezhetőség távolról kihasználható az Internet Explorer 3.0 óta. A támadó felhasználhatja a sebezhetőséget távoli kódfuttatáshoz, kikerülve az IE 11 Enhanced Protected Mode sandbox-át, illetve a Enhanced Mitigation Experience Toolkit-et (EMET) is. A Microsoft figyelmeztetője szerint az EMET 5.0 már felkészíthető az exploitálás ellen egy extra konfig hozzáadásával.

Részletek Robert Freeman-től itt.

nogotofail - nyílt forrású SSL/TLS biztonsági tesztelőeszközt adott ki a Google

 ( trey | 2014. november 5., szerda - 9:19 )

Chad Brubaker (Android Security Engineer) tegnap bejelentette a Google biztonsági blogján, hogy az Android Security Team kiadott egy hálózatbiztonsági eszközt, amelyet arra terveztek, hogy segítésével a biztonsági szakemberek és fejlesztők felismerhessék és javíthassák a hibás, gyenge TLS/SSL kapcsolatokat, a cleartext hálózati forgalmat.

Az eszköz neve nogotofail (névadók: iOS/GnuTLS). A kiadott forrás Apache licenc alatt érhető el.

[ bejelentés | kód a Github-on ]

Miért rossz ötlet strings-t futtatni megbízhatatlan helyről származó fájlokon?

 ( trey | 2014. október 28., kedd - 11:31 )

A Google biztonsági csapatát erősítő Michał "lcamtuf" Zalewski a napokban arról blogolt, hogy a számítógép kriminalisztikában és a számítógépes biztonság egyéb területein tevékenykedő biztonsági szakemberek (is) előszeretettel futtatják a "strings" segédprogramot az internetről származó, kétes eredetű binárisokon. Teszik ezt abban a tudatban, hogy a strings úgysem nem csinál semmi mást, mint végigszkenneli a fájlt és a talált stringeket kitolja a stdout-ra - ez pedig nem hangzik túl veszélyesnek.

Pedig nem kéne ezt tenniük, kiváltképp akkor nem, ha a strings GNU Binutils-ban fellelhető verzióját használják. Szóval érdemes változtatni a szokásokon, vagy rászokni a "-a" kapcsoló használatára. A disztribútoroknak pedig érdemes lenne megfontolniuk a "-a" alapértelmezetté tételét.

A részletek itt olvashatók.

A Kickstarter felfüggesztette az Anonabox kampányát; elindult az Invizbox kampánya

 ( trey | 2014. október 19., vasárnap - 12:06 )

A kaliforniai August Germar által megálmodott Anonabox egy Tor-képes OpenWrt eszköz lett volna. Pontosabban, egy "kifejezetten Tor futtatásához tervezett, nyílt forrású, beágyazott hálózati eszköz". A létrehozásához egy Kickstarter kampány indult 7500 dolláros céllal indult, de 5 nap alatt több mint fél millió dollár jött össze.

A kampány kezdete után azonban hamarosan kétségek merültek fel az Anonabox-szal kapcsolatban. A kétségeket August nem tudta eloszlatni, ezért a Kickstarter felfüggesztette kampányát.

Az Anonabox kampánya ugyan elbukott, de egy dologra biztosan jó volt: megmutatta, hogy a közösség éhes egy ilyen biztonsági/privacy eszközre.

VeraCrypt - újabb TrueCrypt fork

 ( trey | 2014. október 19., vasárnap - 9:31 )

VeraCrypt

A VeraCrypt egy újabb TrueCrypt fork. Honlapja szerint számos olyan biztonsági problémát javít, ami megtalálható a TrueCrypt-ben, illetve több dolgot is jobban csinál, mint a TrueCrypt. A VeraCrypt tárolási formátuma nem kompatibilis a TrueCrypt tárolási formátumával.

Részletek a projekt weboldalán.