Titkosítás, biztonság

Az Apple vezére nyílt levélben tájékoztatta a felhasználókat arról, hogy az USA kormánya backdoor-t akart építtetni az iPhone-ba

 ( trey | 2016. február 18., csütörtök - 8:50 )

Az Apple vezérigazgatója, Tim Cook nyílt levélben tájékoztatta ügyfeleit arról, hogy az Egyesült Államok kormányzata arra akarta rávenni cégét, hogy építsen backdoor-t az iPhone operációs rendszerébe. A San Bernardino-i terrorcselekmény kapcsán az FBI-nak igénye lett volna arra, hogy hozzáférhessen az ügyben lefoglalt iPhone adataihoz, ezért azt akarta, hogy az Apple készítsen egy olyan iOS verziót, amelyben egyes fontos biztonsági funkciók le vannak tiltva, meg vannak gyengítve és ezt az iOS verziót telepítse fel a szóban forgó iPhone-ra. Ugyan az amerikai kormányzat esküdözött, hogy a hozzáférést csak adott esethez használná, az Apple nem hisz ebben. Az Apple szerint, ha ez az - jelenleg nem létező - iOS verzió rossz kezekbe kerülne, azzal az összes olyan iPhone-on tárolt adatokhoz hozzá lehetve férni, amihez a szoftvert birtoklónak fizikai hozzáférése van.

A ZDI bejelentette Pwn2Own 2016 rendezvényt

 ( trey | 2016. február 12., péntek - 8:40 )

Brian Gorenc bejelentette, hogy idén is megrendezik az egyre népszerűbb Pwn2Own biztonsági vetélkedőt. A rendezvény helyszíne ismét Vancouver lesz. 2016-ban a Hewlett Packard Enterprise, a Trend Micro és a Zero Day Initiative (ZDI) fogott össze a megrendezés érdekében. A korábbi évekhez képest új célpontok is megjelentek a programban. A megszokott célpontok - Microsoft, Google, Apple böngészői stb. - mellett idén megjelenik a VMware is. A Windows-alapú célpontok VMware Workstation virtuális gépben futnak majd. Akinek sikerül kitörnie a virtuális gép szabta korlátokból annak további 75 ezer dollár bónusz ütheti a markát.

Részletek a bejelentésben.

VulnSec - "sok a sebezhető OS X alkalmazás odakinn"

 ( trey | 2016. február 1., hétfő - 12:57 )

A VulnSec egyik szakértője, Radek egy érdekes blogbejegyzést publikált a hétvégén "There's a lot of vulnerable OS X applications out there" címmel. A blogbejegyzés más sebezhetőségek mellett a Sparkle Updater frissítési rendszer MITM sebezhetőségéről szól. A Sparkle Updater-t számos népszerű OS X-es alkalmazás - köztük például az Adium, VLC - használja. A Sparkle Updater nem mindenhol használ HTTP helyett HTTPS-t, ezért egy MITM támadással RCE-t (Remote Code Execution - távoli kódfuttatás) tehet lehetővé. A támadást továbbfejlesztve állítólag a tömeges exploitálás is lehetséges egyszerűen bizonyos esetekben (saját hálózaton levő sebezhető gépek).

Részletek itt és itt.

2 és fél éve bejelentett cookie lopás / áldozat megszemélyesítés sebezhetőséget javított az Apple az iOS 9.2.1-ben

 ( trey | 2016. január 24., vasárnap - 21:32 )

A Skycure-os Adi Sharabani és Yair Amit felfedezte, hogy preparált WiFi hálózat / captive portal segítségével képes lehet egyebek mellett ellopni az áldozat HTTP cookie-jait és azok felhasználásával az áldozatot a cookie-khoz tartozó oldalakon megszemélyesíteni. A támadó képes lehet a cookie-kat automatikusan, az áldozat közreműködése nélkül ellopni.

Skycure írta:
When iOS users connect to a captive-enabled network (commonly used in most of the free and paid Wi-Fi networks at hotels, airports, cafes, etc.), a window is shown automatically on users’ screens, allowing them to use an embedded browser to log in to the network via an HTTP interface. [...] Steal users’ (HTTP) cookies associated with a site of the attacker’s choice. By doing so, the attacker can then impersonate the victim’s identity on the chosen site. [...] While similar characteristics of this attack can happen when users open Safari on their mobile devices, the fact the attacker can automatically open the embedded-browser (by leveraging captive-networks handling by iOS), makes the attack automatic and more effective.

A biztonsági problémát a két szakértő 2013. június 3-án jelentette az Apple-nek, ami most, a 9.2.1-es iOS-ben javította azt. Érdemes mielőbb iOS 9.2.1-re frissíteni. Részletek a Skycure blogbejegyzésében.

Linux.Ekoms.1 - képernyőképet lop az új linuxos trójai

 ( trey | 2016. január 20., szerda - 20:10 )

Az orosz Dr.Web antivírus cég egy új linuxos trójairól írt a minap. A Linux.Ekoms.1 viselkedését vizsgálva arra jutottak, hogy a kártevő bizonyos körülmények közt 30 másodpercenként képernyőképet készít, amelyeket feltölt egy szerverre, illetve különböző fájlokat tölthet le a kompromittált gépekre.

Technikai részletek a Linux.Ekoms.1-ről itt.

Befejezi a CyanogenMod projekt a WhisperPush közvetlen támogatását a CM-ben

 ( trey | 2016. január 20., szerda - 12:49 )

A WhisperPush-ról 2013 végén volt szó először itt a HUP-on.

A TextSecure egy nyílt forrású, keresztplatformos kliens / protokoll, amely az SMS üzeneteket titkosítja mind lokálisan, mind átküldéskor, ha az átküldés egy másik TextSecure felhasználóhoz történik. A TextSecure-t az Open WhisperSystems tartja karban, ahol is a titkosítás, biztonság világban jól ismert Moxie Marlinspike felügyeli a vele kapcsolatos fejlesztéseket. Moxie volt a vezető fejlesztője a TextSecure CyanogenMod-os implementációjának. A TextSecure kliens logikát a CyanogenMod "WhisperPush" nevű rendszeralkalmazása tartalmazza. A WhisperPush kezdeti verziója a CM 10.2 nightly-kben került integrálásra.

Fontos OpenSSH biztonsági javítások érkeztek

 ( trey | 2016. január 15., péntek - 9:43 )

Tegnap délután Theo de Raadt nem szokványos módon egy előzetes figyelmeztetést küldött a misc@ OpenBSD listára, amelyben arról írt, hogy fontos OpenSSH biztonsági frissítés érkezik és az érkezéséig minden operációs rendszeren elővigyázatosságból mindenki adja hozzá az ssh_config-jához a nem dokumentált "UseRoaming no" sort, vagy használja a "-oUseRoaming=no" kapcsolót, hogy védve legyen a CVE-2016-0777 OpenSSH kliensoldali buggal szemben. Vagyis a workaround:

echo -e 'Host *\nUseRoaming no' >> /etc/ssh/ssh_config"

Az összes OpenSSH verzió érintett 5.4-től 7.1-ig. Később megérkezett a Portable OpenSSH 7.1p2 kiadása.

[ részletek | Qualys figyelmeztető | FreeBSD port frissítve | MacPorts frissítve | Ubuntu USN | Debian DSA ]

Fortinet: "az nem backdoor volt, hanem menedzsment authentikációs probléma"

 ( trey | 2016. január 14., csütörtök - 8:37 )

Nem sokkal a Juniper backdoor balhé után jött a hír, hogy a Juniper egyik konkurenciája, a Fortinet is backdoor-gyanús ügybe keveredett. A cég egyik régebbi szoftverében fedeztek fel szakértők gyanús kódokat, mégpedig hardcoded SSH jelszóval összefüggő kódokat. A jelszó - FGTAbc11*xy+Qqz27 - azután került napvilágra, hogy elérhetővé vált egy exploit "SSH Backdoor for FortiGate OS Version 4.x up to 5.0.7" címmel az FD listán.

A Fortinet tagadja, hogy a szóban forgó hozzáférés backdoor lett volna. Helyette azt "menedzsment authentikációs probléma"-nak nevezte:

Tails 1.8.2

 ( trey | 2016. január 11., hétfő - 12:34 )

Megjelent a "The Amnesic Incognito Live System" - röviden Tails - 1.8.2-es kiadása. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Részletek a bejelentésben.

Helyzetjelentést adott ki a Juniper a termékében felfedezett illetéktelen kódokkal kapcsolatos vizsgálatról

 ( trey | 2016. január 10., vasárnap - 10:32 )

A Juniper nemrég illetéktelen kódot fedezett fel egyik saját operációs rendszerében, a ScreenOS-ben. A furcsa esettel kapcsolatban a cég vizsgálatot indított, illetve patchet fejlesztett és adott ki a ScreenOS legfrissebb verzióihoz. A vizsgálattal egy időben mélyrehatóan átnézték a ScreenOS és Junos OS forráskódokat is. Ebben a munkában egy meg nem nevezett, elismert biztonsági cég segítségét vették igénybe. A vizsgálatok után semmi sem utal arra, hogy a ScreenOS-ben és a Junos OS-ben illetéktelen kód lenne.

A Juniper meghallgatva a kritikákat, ígéretet tett arra, hogy lecseréli a ScreenOS 6.3-ban használt (NSA backdoor-gyanús) Dual_EC-t és ANSI X9.31-et arra az RNG technológiára, amelyet a Junos OS széles körű termékportfóliójában használ.

A vizsgálat az illetéktelen kód eredetével kapcsolatban tovább folytatódik. A részletek itt olvashatók.

Linux.Encoder.3 - még mindig nem sikerült a készítő(k)nek normális ransomware-t írni

 ( trey | 2016. január 7., csütörtök - 9:55 )

Az első fércmunka volt, a második sem sikerült. A harmadik nekifutás sem lett jobb, így el kellene gondolkodnia a készítőnek, hogy akarja-e tovább égetni magát, vagy elmegy és keres magának inkább valami rendes melót. Mert ha így folytatja és ebből akar megélni, akkor lehet, hogy nehéz idők várnak rá.

Idézet:
Moreover, the new Linux.Encoder now does not statically link the libc library such that older systems (which are more likely to be vulnerable and thus more susceptible to getting infected) are not compatible with the ransomware and will fail to even start the program. [...] However, the breaking flaw shipped with the Linux.Encoder ransomware resides in the way the attackers are hashing the random bytes to produce the AES-256 key. Apparently, they have completely forgotten to select a hashing algorithm, so the output of the hashing function is unchanged. This means that all calls to the Update and Finish primitives do not, in effect, do anything. As a result, the full AES key is now written to the encrypted file, which makes its recovery a walk in the park.

Részletek itt. Kititkosító segédprogram itt.

Volt alkalmazottak szerint az MS hibázott, mert nem értesítette a feltört Hotmail fiókok tulajait állami szintű támadásról

 ( trey | 2015. december 31., csütörtök - 12:40 )

A Reuters szerint komoly házon belüli vita volt 2011-ben, ami elérte a Microsoft vezető biztonsági tisztviselőjét, Scott Charney-t és az akkoriban jogtanácsosi, most elnöki pozícióban levő Brad Smith-t, ami után a cég úgy döntött, hogy nem figyelmezteti egyértelműen felhasználóit, hogy azok Hotmail e-mail fiókjait államilag, kormányzatilag támogatott támadás érte.

Értesítés, figyelmeztetés helyett a jelszó megváltoztatására kényszerítette a Microsoft a felhasználókat minden további magyarázat nélkül. Az egykori Microsoft alkalmazottak szerint nem volt kizárható, hogy a támadók hozzáfértek egyes célpontok számítógépeihez, így a jelszóváltoztatás után az új jelszavak is a támadókhoz kerülhettek. Hasznos lett volna, ha a Microsoft - más szolgáltatókhoz hasonlóan - értesítette volna a támadás áldozatait arról, hogy feltehetően kormányzati szintű támadásnak vannak e-mail fiókjaik kitéve.

A Juniper backdoor hatására a Cisco önkéntes auditálást indított saját termékeire

 ( trey | 2015. december 23., szerda - 8:46 )

Mint ahogy arról a napokban szó esett, a Juniper Networks illetéktelen kódból származó backdoor(oka)t talált a saját ScreenOS rendszerében. Az ügyfelek érthetően nyugtalanná váltak a hírtől. De nem csak a Juniper ügyfelei. A Cisco-hoz is számos megkeresés érkezett backdoor témában. A Cisco - fő az átláthatóság - blogjában igyekezett a kérdésekre válaszolni. A blogbejegyzés lényege:

Illetéktelen kódot fedezett fel a Juniper Networks a saját operációs rendszerében

 ( trey | 2015. december 19., szombat - 16:43 )

A Juniper Networks december 17-én egy soron kívüli biztonsági közleményt adott ki azzal kapcsolatban, hogy illetéktelen kódot fedezett fel ScreenOS operációs rendszerében. A figyelmeztető szerint belső kódaudit során vették észre, hogy jól felkészült támadó adminisztrátori hozzáférést szerezhet a NetScreen eszközökön, illetve, hogy ott képes lehet belelátni (decrypt) a titkosított VPN kapcsolatokba.

A figyelmeztető arra nem adott választ, hogy az "illetéktelen kód" hogyan kerülhetett bele a ScreenOS-be.

A Kaspersky Threatpost blogja itt foglalkozik az esettel, ahol is a Juniper eszközök és az NSA kapcsolatáról ír. A Wired cikke szerint a Juniper tűzfalakban talált titkos kód a kormányzati backdoor-okra hívja fel a figyelmet.

Tails 1.8

 ( trey | 2015. december 16., szerda - 8:33 )

Megjelent a "The Amnesic Incognito Live System" - röviden Tails - 1.8-as kiadása. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Részletek a bejelentésben.

Publikus bétába fordult a Let's encrypt kezdeményezés

 ( trey | 2015. december 4., péntek - 8:41 )

Let's encrypt public beta

Tavaly novemberben jelentette be a The Electronic Frontier Foundation (EFF), hogy egy új, non-profit szervezet beindításában segítkezik, amelynek célja a biztonságos internetböngészés / használat még szélesebb körben való elterjesztése.

A Let's Encrypt nevű hitelesítés-szolgáltató felügyeletét a Internet Security Research Group (ISRG) végzi majd. Az ISRG a Mozilla-val, Cisco-val, Akamai-vel, EFF-fel és másokkal együttműködve építi fel a szolgáltatáshoz szükséges infrastruktúrát.

Az EFF most bejelentette, hogy publikus bétába fordult a Let's Encrypt kezdeményezés.

[ publikus béta bejelentés | fórum | béta kliens ]

Linux.Encoder.2 - átdolgozták a linuxos ransomware-t

 ( trey | 2015. december 1., kedd - 14:13 )

November elején bukkant fel a Linux.Encoder.1 ransomware, ami a Magento webáruház sebezhetőségeit kihasználva okozott kellemetlen perceket az üzemeltetőknek. Később kiderült róla, hogy fércmunka volt, így a Bitdefender-nek nem került nagy erőfeszítésébe egy Decrypter scriptet írnia, amellyel a titkosított fájlok visszaállíthatók voltak eredeti állapotukra.

Előretelepített operációs rendszerrel érkező számítógépet / laptopot

 ( Crayon | 2015. november 30., hétfő - 8:32 )
hagyom ahogyan van, feltelepítem ami még szükséges és használom.
22% (83 szavazat)
recovery media segítségével újratelepítem a gyári operációs rendszert, kihagyva az opcionális szoftvereket.
4% (15 szavazat)
saját telepítőkészlet segítségével újratelepítem a gyári operációs rendszert.
51% (195 szavazat)
egyéb, leírom.
24% (91 szavazat)
Összes szavazat: 384

A Dell elnézését kért a Superfish-szerű bakiért; instrukciókat adott ki az eDellRoot tanúsítvány eltávolításához

 ( trey | 2015. november 24., kedd - 10:57 )

A Dell is elkövette ugyanazt az hibát, amit korábban a Lenovo a Superfish-sel. A Dell Foundation Services alkalmazása az eDellRoot tanúsítvány telepítésével biztonsági problémát idézett elő a felhasználók előtelepített számítógépén - állítólag nem szándékosan.

A Dell hivatalos vállalati blogján kért elnézést és tett elérhetővé instrukciókat arra nézve, hogy hogyan lehet a tanúsítványtól megszabadulni.

Otthonomba kapott, adataimat is tartalmaz(hat)ó leveleimet, számláimat stb. papírokat ha már nem kellenek ....

 ( trey | 2015. november 19., csütörtök - 14:50 )
egészben a szemetesbe dobom (nem érdekel mi lesz vele).
4% (18 szavazat)
valamelyest igyekszem széttépni (kettőbe, háromba), majd a szemetesbe dobom.
20% (89 szavazat)
igyekszem meglehetősen felaprítani (apróra tépve, ollóval feldarabolva), majd a szemetesbe dobom.
23% (101 szavazat)
megfelelő iratmegsemmisítővel felaprítom, majd a szemetesbe dobom.
12% (54 szavazat)
elégetem.
20% (91 szavazat)
felaprítom, majd elégetem.
4% (16 szavazat)
felaprítom, savval leöntöm, elégetem, a hamuját betonba keverem, majd a betont folyóba dobom!
6% (28 szavazat)
Egyéb, leírom.
4% (17 szavazat)
csak az eredmény érdekel.
7% (33 szavazat)
Összes szavazat: 447

Munkád közben használsz egyedi titkosítási eljárást használó alkalmazást?

 ( Hiena | 2015. november 12., csütörtök - 16:21 )
Igen.
21% (64 szavazat)
Nem
56% (173 szavazat)
Nem tudom.
23% (70 szavazat)
Összes szavazat: 307

Amatőr kódolta a Linux.Encoder.1 ransomware-t, automatikus kititkosító eszközt tett elérhetővé a Bitdefender

 ( trey | 2015. november 11., szerda - 17:56 )

A napokban jött a hír, hogy felbukkant egy fájltitkosító ransomware Linux-ra (és FreeBSD-re). A Linux.Encoder.1 ransomware a Magento webáruház egy sebezhetőségét használja ki. Szerencsére amatőr kódolta a ransomware-t, így a Bitdefender-nek nem került nagy erőfeszítésébe egy Decrypter scriptet írnia, amellyel a titkosított fájlok visszaállíthatók eredeti állapotukra.

Mabouia - itt az első OS X-es ransomware PoC

 ( trey | 2015. november 10., kedd - 20:58 )

Részletek itt. A Symantec elemzése itt.

Linux.Encoder.1 - CryptoLocker-hez hasonló, titkosító ransomware bukkant fel Linux-ra

 ( trey | 2015. november 8., vasárnap - 9:08 )

Az orosz Dr.Web antivírus cég adatbázisában felbukkant egy, a CryptoLocker és társaihoz hasonló funkcionalitást mutató linuxos ransomware. A Linux.Encoder.1 titkosító ransomware-t a PolarSSL library felhasználásával C-ben írták.

A ransomware első körben az alábbi könyvtárakban levő fájlokat titkosítja:

Tails 1.7

 ( trey | 2015. november 4., szerda - 18:54 )

Megjelent a "The Amnesic Incognito Live System" - röviden Tails - 1.7-es kiadása. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Részletek a bejelentésben.