Titkosítás, biztonság

Felfedte kilétét a PRISM botrányt kirobbantó személy

 ( trey | 2013. június 10., hétfő - 8:05 )


részlet a kiszivárogtatott dokumentumokból

A PRISM botrány tovább dagad. Előlépett az anonimitásból Edward Snowden, aki a The Guardian szerint a hír forrása volt. A lap szerint a 29 éves férfi több külsős vállalat - Booz Allen, Dell - embereként végzett munkákat az NSA-nak és technikai asszisztens minőségben a CIA-nak. Most Hongkongban tartózkodik.

A miértről és másról részletesen a vele készített szöveges interjúban és videóban.

Részleteket közölt a PRISM-mel kapcsolatban az amerikai nemzeti hírszerzés igazgatója

 ( trey | 2013. június 9., vasárnap - 9:31 )

A The Guardian és a The Washington Post által kirobbantott PRISM megfigyelési ügyben tegnap megszólalt a James R. Clapper, az amerikai nemzeti hírszerzés igazgatója. Közleményében arról ír, hogy feloldotta egyes információk titkosítását "annak reményében, hogy azok segítenek eloszlatni néhány mítoszt és megadják a szükséges háttért azokhoz, amik publikálásra kerültek."

A vezető által kiadott dokumentum:

0day Windows exploitot tett közzé a Google egyik biztonsági szakértője

 ( trey | 2013. június 5., szerda - 8:06 )

Tavis Ormandy, a Google biztonsági csoportjának tagja 2010-ben már tett hasonlót. Három évvel ezelőtt egy 0day sebezhetőség részleteit közölte. Akkor a Microsoft nem örült. A Google alkalmazottja most egy 0day Windows exploitot tett közzé a full-disclosure levelezési listán. A H Security megerősítette, hogy az exploit használatával a támadó NT Authority\SYSTEM jogokhoz juthat az áldozat rendszerén.

Részletek itt.

Kétlépcsős azonosítás SSH-hoz a Google Hitelesítő használatával

 ( trey | 2013. június 3., hétfő - 14:01 )

Nem újdonság, de ha valakit érdekel, hogy Ubuntu 13.04 alatt hogyan lehet a $subject-ben említetteket egyszerűen és gyorsan összekalapálni, az látogasson el ide.

Biztonsági incidens a Drupal.org-on

 ( trey | 2013. május 30., csütörtök - 8:26 )

A Drupal.org biztonságért és infrastruktúráért felelős csapata nemrég észlelte, hogy illetéktelen hozzáférés történt a Drupal.org-on és groups.drupal.org-on tárolt felhasználói adatokhoz. Köztük felhasználónevekhez, e-mail címekhez és hash-elt jelszavakhoz. A Drupal.org-on tárolt összes jelszó hash-elt és sózott (salted) volt. A groups.drupal.org-on néhány régebbi jelszó nem volt sózva.

Az incidensről az érintettek levélben kaptak értesítést. A levél szerint az illetéktelen hozzáférés egy, a Drupal.org infrastruktúrájába telepített 3rd party programon keresztül történt.

A felhasználói jelszavakat resetelék, a felhasználóknak a következő belépéskor új jelszót kell létrehozniuk.

Új, érvényes Apple Dev. ID-hoz tartozó tanúsítvánnyal aláírt OS X malware bukkant fel

 ( trey | 2013. május 18., szombat - 20:30 )

Az Oslo Freedom Forum egy évente megtartott rendezvény, amely annak lehetőségeit vizsgálja, hogy hogyan lehetne tiltakozni, fellépni a tekintélyelvűség ellen és amely a szabad és nyílt eszméket hirdeti. Az idei, május 13-tól 15-ig tartott konferencián volt egy workshop, amelyet szólásszabadság aktivistáknak rendeztek. Ezen a workshopon arról volt szó, hogy ezek az aktivisták hogyan próbálják megvédeni az általuk használt eszközöket a kormányzati megfigyelésekkel, lehallgatásokkal, ellenőrzésekkel szemben. A workshop alatt az egyik angolai résztvevő gépén Jacob Appelbaum felfedezett egy eddig még ismeretlen, OS X-es spyware-t, amelynek az az érdekessége, hogy egy érvényes Apple Developer ID-hoz tartozó tanúsítvánnyal írták alá. Mivel a malware megfelelően alá volt írva, a Gatekeeper nem jelzett a felhasználóknak.

Részletek az F-Secure blogjában.

H Security - "Óvatosan a Skype-pal. A Microsoft elolvas mindent, amit írsz."

 ( trey | 2013. május 14., kedd - 21:04 )

A H Security azt állítja, hogy a Microsoft beleolvas a Skype-on keresztül küldött üzenetekbe. A weboldalt az egyik olvasó értesítette, aki azt állította, hogy szokatlan hálózati forgalmat észlelt azután, hogy egy Skype IM csevegést folytatott. Röviddel azután, hogy HTTPS URL-t küldött át az IM szolgáltatáson keresztül, az URL-t meglátogatták egy IP címről a Microsoft redmondi főhadiszállásáról. A H Security nekiállt tesztelni. Átküldött két HTTPS URL-t. Az egyik egy login információt tartalmazott, a másik pedig egy privát cloud-alapú fájlmegosztó szolgáltatásra mutatott. Az eredmény? Néhány órával később mindkét HTTPS URL-t meglátogatták egy IP-ről, amelyet a redmondi Microsoft-hoz regisztráltak.

A H Security szerint a Microsoft mind a login információkat, mind a privát cloud-alapú fájlmegosztó szolgáltatáshoz létrehozott spec. URL-t felhasználta.

A H Security kérdőre vonta a Skype-ot... A részletek itt olvashatók.

Linux/Cdorked.A - új Apache, Lighttpd, nginx átirányító backdoor

 ( trey | 2013. május 12., vasárnap - 9:56 )

Webszerver üzemeltetőknek mindenképpen érdemes tudni arról, hogy egy relatíve új átirányító backdoor szedi gyanútlan áldozatait. A ESET a backdoort Linux/Cdorked.A néven katalogizálta. A kifinomult, rejtett backdoor célja az, hogy a gyanútlan látogatókat rosszindulatú weboldalakra irányítsa át. Az első elemzések arról szóltak, hogy a Linux/Cdorked.A egy Apache backdoor, de később kiderült, hogy a Lighttpd és nginx is érintett.

Újszülöttnek minden vicc új: a copy & paste veszélyei

 ( trey | 2013. április 17., szerda - 13:17 )

A H Security arra hívja fel a figyelmet, hogy a régi trükkök nem halnak ki, időről-időre újra előkerülnek, hogy a gyanútlan, óvatlan internetezőket rászedjék. Újszülöttnek minden vicc új, így érdemes néha elővenni emlékeztetőül ezeket a dolgokat. Például azt, hogy nem érdemes minden parancsot (még ha az elsőre ártalmatlannak is látszik) a webes leírásokból, howtokból közvetlenül a parancssorba másolni, mert a végén nagy csodálkozás lehet a vége. Vagyis: amit másolsz, az nem (biztos, hogy) az, amit látsz.

A részletek itt és itt.

Részleges díjat fizetett a Google Pinkie Pie-nak a Chrome OS hackeléssel kapcsolatban

 ( trey | 2013. március 19., kedd - 10:10 )

Ahogy arról már korábban szó volt, a Pwnium 3 vetélkedőn senkinek sem sikerült a Chrome OS-t a kiírásnak megfelelően 100%-ban legyűrnie és teljes díjat bezsebelnie. Akkor a Google azt nyilatkozta, hogy kiértékelik az elért eredményeket és azok függvényében lehetséges, hogy részdíjazásban részesíti a részeredményeket. Ez így is történt.

Malware fertőzés miatt leállt az amerikai nemzeti sebezhetőség-információs adatbázis

 ( trey | 2013. március 15., péntek - 11:01 )

A hírek szerint az amerikai kormányzat nemzeti sebezhetőség-információs adatbázisa (National Vulnerability Database - NVD) több napja offline állapotba került. A National Institute of Standards and Technology (NIST) által üzemeltetett szolgáltatás a kérésekre "Page not available" választ adott. Az üzemeltetők az e-mailes megkeresésre azt a választ adták, hogy a szolgáltatást leállították, mert a NIST két NVD szerverén malware nyomokat találtak. Az oldal jelenleg sem üzemel.

A részletek itt.

Kingcope: "Uncovering Zero-Days and advanced fuzzing"

 ( trey | 2013. március 11., hétfő - 16:51 )

Nikolaos Rangos - alias Kingcope - számos 0day sebezhetőség napvilágra hozója, számos 0day exploit írója és számos biztonsági publikáció szerzője - AthCon 2012 IT biztonsági rendezvényen tartott "Venue into my work uncovering and exploiting zero days vulnerabilities and advanced fuzzing techniques" előadása megtekinthető a Youtube-on.

Az első hírek szerint állva maradt a Chrome OS a Pwnium-on

 ( trey | 2013. március 8., péntek - 9:56 )

Pwnium 3

A Google egy rakás pénzt (3,14159 - vagyis pi millió dollárt) ajánlott fel azoknak a versenyzőknek, akik sikeresen legyűrik a Chrome OS-t a Pwnium 3 biztonsági vetélkedőn. A Pwnium 3-ra a kanadai CanSecWest rendezvényen került sor tegnap. A friss Twitter üzenetek szerint nem sikerült senkinek sem teljes díjat nyernie. A Google Chrome csapat kiértékeli az eredményeket és lehetséges, hogy a részeredményeket jutalmazza. Hivatalos bejelentés még nincs, további (pontosabb) részletek később.

Chrome, Firefox, IE 10, Java, Win 8 - mind elesett a Pwn2Own 2013-on

 ( trey | 2013. március 7., csütörtök - 10:18 )


parancssor "nt authority\system" jogokkal

A Twitter-en olvasható friss tweetek és beszámolók szerint a kanadai CanSecWest keretében megrendezett Pwn2Own biztonsági vetélkedő alatt sikeresen exploitálták mind a Chrome, Firefox, IE 10 böngészőket, mind a Java-t, mint a Windows 8-at.

Local root sebezhetőség a Linux kernelben

 ( trey | 2013. február 26., kedd - 9:00 )

Mathais Krause egy sebezhetőséget fedezett fel a Linux kernelben, amelyet kihasználva a helyi támadó root jogokhoz juthat. Krause megerősítette a H Security-nek, hogy a kernelverziók a 3.3-tól a 3.8-ig érintettek. A sebezhetőséghez exploit kering az interneten. Az exploitcsomagban található egyes fájlok dátuma 2012-07-14, ami utalhat arra, hogy a sebezhetőséget már tavaly nyár óta ismerhetik egyes körökben. A hétvégén beküldésre került a hiba javítását célzó patch.

ISC Diary: sshd rootkit szabadon

 ( trey | 2013. február 23., szombat - 17:30 )

Az ISC Diary arról ír, hogy egy főként RPM-alapú Linux disztribúciókat érintő, feltehetően sshd rootkit bukkan fel egyre több rendszeren. Egyelőre még nincs pontos információjuk arról, hogy mi a kezdeti támadási vektor (találgatások már vannak), de amint bővebb információjuk lesz, a bejegyzés frissítését ígérik.

Az evasi0n jailbreak technikai elemzése

 ( trey | 2013. február 11., hétfő - 15:25 )

"Az evasi0n azért érdekes, mert mindenféle memóriakorrupció nélkül emel privilégiumot és biztosít teljes hozzáférést a rendszerpartícióhoz. Teszi ezt azáltal, hogy kihasználja a /var/db/timezone sebezhetőségét annak érdekében, hogy hozzáférjen a root felhasználó launchd socket-jéhez."

Az elemzés itt. További érdekesség a pár nappal ezelőtt napvilágot látott evasi0n-nel kapcsoltban, hogy segítségével közel 7 millió iOS eszközt jailbreakeltek néhány nap alatt. Ezzel az evasi0n minden idők legnépszerűbb jailbreak megoldása lett.

Kritikus SSH backdoor számos Barracuda Networks termékben

 ( trey | 2013. január 24., csütörtök - 21:04 )

A SEC Consult Vulnerability Lab ma közzétett SA-20130124-0 biztonsági figyelmeztetőjében arra hívja fel a figyelmet, hogy számos Barracuda Networks által gyártott termékben - Barracuda Spam and Virus Firewall, Barracuda Web Filter, Barracuda Message Archiver, Barracuda Web Application Firewall, Barracuda Link Balancer, Barracuda Load Balancer, Barracuda SSL VPN - kritikus SSH backdoor található. Minden olyan termék érintett, amelyen 2.0.5-nél régebbi Security Definition fut. Terminálon és SSH-n keresztül lehetőség nyílhat a készülékekhez hozzáférni a nem dokumentált felhasználói fiókok adataival.

Kingcope: A Windows 7/8 címtér randomizálásának támadása

 ( trey | 2013. január 24., csütörtök - 17:23 )

A 0day exploitjairól ismert Kingcope ma egy linket tett közzé a full-disclosure levelezési listán. A link az "Attacking the Windows 7/8 Address Space Randomization" című blogbejegyzésére mutat. A blogbejegyzésben arról ír, hogy hogyan lehet megkerülni a Windows 7/8 operációs rendszerek memóriavédelmi mechanizmusait annak érdekében, hogy a támadó tetszőleges assembly kódot futtathasson a rendszeren. Kingcope szerint a téma meglehetősen összetett, ráadásul a blogbejegyzésben leírt metódusok nem hibamentesek és lehet még rajtuk javítani. Ennek ellenére számos esetben lehetséges ezen módszerek felhasználásával teljesen megkerülni a Windows 7, és kiváltképp a Windows 8 ASLR-jét.

Pwn2Own 2013

 ( trey | 2013. január 21., hétfő - 15:04 )

Az (egykor a 3Com ma már a) HP DVLabs fennhatósága alá tartozó Zero Day Initiative (ZDI) bejelentette, hogy idén is megrendezi a Pwn2Own névre hallgató biztonsági vetélkedőjét. Az idei versenyt részben a Google szponzorálja.

A Pwn2Own 2013 vetélkedő a nyugat-kanadai Brit Columbia tartomány legnagyobb városában, Vancouverben megrendezésre kerülő CanSecWest 2013 rendezvény alatt folyik majd március 6-7-8-án. A HP ZDI több mint félmillió dolláros pénz- és jutalomalapot társított a rendezvényhez. A kategóriák és a díjak:

Hetekre leállt egy amerikai erőmű vírusfertőzés miatt

 ( trey | 2013. január 17., csütörtök - 15:30 )

A US Computer Emergency Response Team (US-CERT) által publikált ICS-CERT Monitor legfrissebb száma szerint két amerikai erőmű szenvedett el vírusfertőzést 2012 utolsó negyedévében. Mindkét esetben USB pendrive-val sikerült megfertőzni az ipari vezérlőrendszereket. Az egyik esetben a turbinavezérlőt sikerült kifektetni annyira, hogy az erőmű három hétre leállt. A Reuters megjegyzi, hogy számos kritikus vezérlőrendszerben elavult, öreg - Windows 2000, Windows XP - rendszereket használnak...

Hivatalos, Apple által jóváhagyott OpenVPN jelent meg iOS-hez

 ( trey | 2013. január 17., csütörtök - 14:40 )

Az openvpn-devel levlistán James Yonan bejelentette, hogy elérhető az OpenVPN Connect client for iOS ingyenesen az App Store-on keresztül. A szoftvert az OpenVPN Technologies az Apple-lel közösen fejlesztette, így hivatalos, Apple által jóváhagyott kliensnek tekinthető.

A kliens már az új C++ OpenVPN core-ra épül. Ugyanerre épül az OpenVPN Connect client for Android is. A C++ core 100% protokol-kompatibilis az OpenVPN 2.x ággal. Az OpenVPN Technologies azt tervezi, hogy pár héten belül nyílt forrásúvá teszi a C++ core-t. Az iOS kliens teljes forrását nem tudják megnyitni, mert egyes részei proprietary Apple API-kat használnak.

Részletek a bejelentésben.

Cisco Linksys Remote Preauth 0day Root sebezhetőség (helyi hálózat felől)

 ( trey | 2013. január 13., vasárnap - 10:44 )

A DefenseCode egy előzetes figyelmeztetőt küldött a full-disclosure listára, amelyben arról tájékoztat, hogy egy, a Cisco Linksys WRT54GL routerében, alapértelmezett telepítésben található 0day sebezhetőség kihasználható távolról root hozzáférés szerzésére. Készült exploit is, amely működés közben látható a fenti videón. A sebezhetőség kihasználását WRT54GL routerrel próbálták, de más Linksys router is érintett lehet.

Kijátszható a Microsoft IE 0day-re kiadott FixIt-je

 ( trey | 2013. január 7., hétfő - 19:39 )

December 29-én a Microsoft biztonsági figyelmeztetőt adott ki egy, az Internet Explorer 6, 7, 8 verzióit érintő remote 0day miatt. A javítás megérkeztéig egy FixIt kiadásával próbálta védeni az ügyfeleit a redmondi cég. Közben azonban kiderült, hogy a FixIt ellenére a felhasználók nem érezhetik magukat biztonságban.

FYI: Yahoo Mail accountok eshettek áldozatul egy DOM-Based XSS sebezhetőségnek

 ( trey | 2013. január 7., hétfő - 19:07 )

Részletek itt.