Titkosítás, biztonság

1 millió dollár jutalmat ad a ZERODIUM egy megfelelő iOS 9 sebezhetőségért

 ( trey | 2015. szeptember 21., hétfő - 18:54 )

1M dollár iOS 9 remote jailbreak-ért

A ZERODIUM nevű, prémium, sebezhetőségeket felvásároló, állítólag kormányzati ügyfélkörrel rendelkező startup figyelemfelkeltő promóciót rittyentett össze The Million Dollar iOS 9 Bug Bounty címmel. A cég 1 millió amerikai dollár jutalmat kínál azoknak, akik exkluzív, böngésző alapú, untethered jailbreak-kel állnak elő az iOS 9-hez. A jutalomalap 3 millió dolláros. A "játék" vagy október 31-ig, vagy a jutalomalap kimerüléséig tart.

A részletek elolvashatók itt.

Stagefright sebezhetőség - ízekre szedve

 ( trey | 2015. szeptember 18., péntek - 12:35 )

A hírhedt Stagefright sebezhetőséget szedte ízekre Mark Brand, a Google biztonsági csapatának, a Project Zero-nak tagja. A Google korábban több ízben is közölte, hogy a sebezhetőség kihasználása nem triviális az újabb Android verziókba épített mitigációs technikák, illetve az összeomlás esetén életbe lépő process respawn mechanizmus miatt. A "nem triviális" nem túl konkrét meghatározás. Mark Brand elemzésének köszönhetően most tisztulhat a kép:

Idézet:
The mediaserver process will respawn after a crash, and there is 8 bits of entropy in the libc.so base address. This means that we can take a very straightforward approach to bypassing ASLR. We simply choose one of the 256 possible base addresses for libc.so, and write our exploit and ROP stack assuming that layout. Launching the exploit from the browser, we use javascript to keep refreshing the page, and wait for a callback. Eventually memory will be laid out as we expect, bypassing ASLR with brute force in a practical enough way for real-world exploitation. [...] I did some extended testing on my Nexus 5; and results were pretty much as expected. In 4096 exploit attempts I got 15 successful callbacks; the shortest time-to-successful-exploit was lucky, at around 30 seconds, and the longest was over an hour. Given that the mediaserver process is throttled to launching once every 5 seconds, and the chance of success is 1/256 per attempt, this gives us a ~4% chance of a successful exploit each minute.

A teljes bejegyzés a technikai részletekkel itt olvasható.

"A közműszolgáltatói IT-rendszerek többsége megbukott a biztonsági teszten"

 ( 6030999 | 2015. szeptember 16., szerda - 15:59 )

Idézet:
A magyar víz-, gáz- és áramszolgáltatók, illetve a csatornázási és a telekommunikációs vállalatok informatikai rendszereinek csupán 5 százaléka tudott védekezni külső támadások ellen az IT-biztonsággal foglalkozó Hunguard Kft. által végzett vizsgálat során.

Újabb mérföldkőhöz érkezett a Let’s Encrypt projekt - kiadták első tanúsítványukat

 ( trey | 2015. szeptember 15., kedd - 21:26 )

Tavaly novemberben jelentette be indulását a non-profit, Let’s Encrypt nevű hitelesítés szolgáltató projekt. Ma közölték, hogy újabb mérföldkőhöz értek: kiadták első tanúsítványukat. Mivel a Let’s Encrypt még nincs benne (folyamatban van) a böngészőkben megbízható hitelesítés szolgáltatóként, azt jelenleg igény szerint kézzel kell telepíteni. Ha ez megtörtént, akkor a https://helloworld.letsencrypt.org/ figyelmeztetés nélkül betölthető.

A Let’s Encrypt ma elküldte jelentkezését a Mozilla, Google, Microsoft és Apple root programjaiba.

További részletek a bejelentésben.

Publikus a CVE-2015-1538 "Stagefright" exploit

 ( trey | 2015. szeptember 10., csütörtök - 20:26 )

A Stagefright sebezhetőséget felfedező Zimperium nyilvánosságra hozta a CVE-2015-1538 (aka. "Stagefright") sebezhetőségre készített exploitját tesztelési, tanulmányozási stb. célokra.

Az exploit mellé mellékeltek megjegyzést is:

Idézet:
This exploit has several caveats. First, it is not a generic exploit. We only tested it to work on a single device model. We tested this exploit on a Nexus running Android 4.0.4. Also, due to variances in heap layout, this is not a 100% reliable exploit by itself. We were able achieve 100% reliability when delivered through an attack vector that allowed multiple attempts. Finally, this vulnerability was one of several that was neutered by GCC 5.0’s ‘new[]’ integer overflow mitigation present on Android 5.0 and later.

Arról, hogy sebezhető-e Stagefright-ra a készüléked operációs rendszere, a Stagefright Detector alkalmazás ad választ.

Illetéktelenek fértek hozzá a Mozilla hibakövető rendszerének privát részéhez; érzékeny sérülékenységi adatok szivárogtak ki

 ( trey | 2015. szeptember 5., szombat - 20:39 )

A Mozilla tegnap bejelentette, hogy illetéktelen(ek) fért(ek) hozzá Bugzilla hibakövető rendszere korlátozott hozzáféréssel rendelkező részéhez. Noha a hibakövető rendszer nagy része publikus, bizonyos, biztonsággal kapcsolatos, érzékeny információkat tartalmazó részéhez csak megfelelő jogosultsággal rendelkező felhasználók férhetnek hozzá. Ezen a területen tartotta a Mozilla a nem publikus, éppen javított, vagy javításra váró Firefox sebezhetőségek leírásait, részleteit. Ezekhez az információkhoz fért hozzá illetéktelen személy (vagy személyek).

A Mozilla szerint az illetéktelen hozzáférés egy megfelelő privilégiumokkal rendelkező felhasználó jelszavának kompromittálódása során vált lehetségessé. A Mozilla szerint a felhasználó egy másik oldalon is ugyanazt a jelszót használta amelyet a Bugzillában és az a másik oldal betörés/adatlopás áldozata lett. Így kerülhetett a jelszó illetéktelen kezekbe, amellyel aztán Firefoxszal és más Mozilla termékekkel kapcsolatos érzékeny információkat tudott a támadó letölteni a Bugzillából.

brokenChain - Keychain biztonsági probléma az OS X-ben

 ( trey | 2015. szeptember 3., csütörtök - 8:23 )

Két biztonsági szakember - Vincent Jebara és Raja Rahbani - arra figyelmeztet, hogy egy olyan "extrém kritikus" sebezhetőség található az OS X-ben, amelyet kihasználva a támadók jószerivel észrevétlenül lophatják el a felhasználók kulcstartóra (Keychain) fűzött adatait. A sebezhetőség veszélye abból adódik, hogy a kihasználása gyakorlatilag nem igényel interakciót a felhasználó részéről. Az Ars Technica szerint a sebezhetőséget 4 éve kihasználják. A problémát a felfedezők jelezték az Apple-nek, aki nem csak, hogy nem javította, de még válaszra sem méltatta őket.

Részletek itt és itt.

A Tarsnap 1000 dolláros exploit jutalma

 ( trey | 2015. szeptember 1., kedd - 9:39 )

Colin Percival FreeBSD fejlesztő, a FreeBSD Security Team korábbi tagja, egykori FreeBSD Security Officer. A FreeBSD közösségen belül a korábbi posztjain kívül feltehetően a FreeBSD Update-en és Portsnap-en végzett munkái után ismert leginkább.

2006-ban Colin egy jobb online backup szolgáltatást akart indítani. Így született meg a Tarsnap, ami úgy reklámozza magát, mint "Online backups for the truly paranoid" (a teljesen paranoiások online backupjai). Körülbelül két évnyi fejlesztés és privát tesztelés után 2008-ban nyilvános béta üzemben elindult a szolgáltatás. 2009 februárjában üzleti szintre ért, 2011 szeptemberében pedig megalakult Tarsnap Backup Inc. vállalat Kanadában.

Ins0mnia - ideje frissíteni iOS 8.4.1-re

 ( trey | 2015. augusztus 27., csütörtök - 12:48 )

Aki még nem frissített iOS 8.4.1-re, annak újabb ok lehet az Ins0mnia sebezhetőség napvilágra kerülése. A FireEye csapat keresztelte el Ins0mnia-nak azt az iOS sebezhetőséget, amely lehetővé teszi tetszőleges alkalmazás korlátlan ideig háttérben való futását azután is, hogy azt a felhasználó bezárta és az már nem látszik a task switcher-ben. A sebezhetőség lehetővé teszi a bármely iOS alkalmazás számára az Apple háttér(ben futás) korlátozásainak áthágását.

A biztonsági cég a fenti videón mutatja be azt, hogy az Ins0mnia alkalmazás a bezárása után is tovább küldi a GPS koordinátákat. Az Apple megerősítette, hogy a sebezhetőséget javította az augusztus 13-án kiadott iOS 8.4.1-ben.

Részletek itt.

A Grsecurity felfüggeszti a stable patchek publikus terjesztését

 ( trey | 2015. augusztus 27., csütörtök - 10:23 )

A Grsecurity projekt tegnap bejelentette, hogy a beágyazott Linux iparág hozzáállása, ezen iparág egyes szereplői által okozott frusztráltság, a folyamatban levő GPL- és védjegysértések stb. miatt úgy döntött, hogy tegnaptól számított két hét múlva felfüggeszti a stable patchkészletei publikus terjesztését. Azokat az említett dátumtól kezdve csak szponzorai számára teszi elérhetővé. A bejelentés - hogy ne hasson ki negatívan a Gentoo Hardened és Arch Linux közösségekre - nem érinti a tesztelésre szánt test patch sorozatot.

Részletek itt.

Újabb crapware miatt kell a Lenovo-nak magyarázkodnia

 ( trey | 2015. augusztus 13., csütörtök - 13:46 )

Az év elején voltak már kellemetlen napjai a Lenovo-nak a Superfish ügy miatt. Most ismét valami hasonló, kellemetlen helyzetbe keveredett a gyártó.

Az Ars Technica szerint a Windows 8 / Windows 10 tartalmaz egy sokak számára ismeretlen és meglepő funkciót. Az OEM PC gyártók beágyazhatnak windowsos végrehajtható állományt a gépeik firmware szoftverébe. A Windows 8/10 ezt a végrehajtható állományt kibontja a boot során és automatikusan futtatja. Ezzel a mechanizmussal az OEM gyártó saját szoftvert injektálhat a Windows rendszerbe, akkor is, ha az frissen került újratelepítésre.

A 2015-ös Pwnie-díj győztesei

 ( trey | 2015. augusztus 9., vasárnap - 12:12 )

Pwnie 2015

A Pwnie-díjátadó egy évente megrendezésre kerülő ceremónia, ahol a biztonsági szakértők és a biztonsággal foglalkozó közösség által elért eredményeket és kudarcokat "jutalmazzák". A Black Hat-ek Oscar-díjátadójának is nevezett "gála" ötlete Alex Sotirov és Dino Dai Zovi agyából pattant ki. Az első Pwnie-díjátadót 2007-ben tartották. Idén immár a kilencedik díjkiosztóra került sor a Las Vegas-i Black Hat biztonsági konferencián. A győzteseket a korábban bejelentett jelöltek közül választották ki.

A 2015-ös Pwnie awards díjazottjai:

A Mozilla elkezdte blokkolni a Flash-t a Firefox-ban

 ( trey | 2015. július 14., kedd - 15:17 )

A hétvégén a Facebook biztonsági igazgatója, Alex Stamos kifakadt és arról tweetelt, hogy itt az ideje annak, hogy az Adobe bejelentse a Flash életciklusának végét és arra kérje a böngészőgyártókat, hogy azok állítsák be a killbiteket az adott napra.

A Firefox support team vezetője komolyan vette a kérést. Olyannyira, hogy meg sem várta az Adobe-ot, már tegnap bejelentette, hogy a Flash összes verziója alapértelmezetten blokkolt a Firefox-ban tegnaptól.

LibreSSL 2.2.1

 ( trey | 2015. július 9., csütörtök - 11:56 )

Brent Cook bejelentette, hogy elérhető az OpenBSD-s OpenSSL-fork, a LibreSSL 2.2.1-es kiadása. A kiadást szélesebb körű operációs rendszer támogatás, kódminőség javulás és egyes funkciók eltávolítása jellemzi. A kiadásban megjelent a (feltehetően) Windows 2008 (a bejelentésben Windows 2009 szerepel), Windows 2003 és Windows XP támogatás.

Részletek a bejelentésben.

OpenSSH 6.9

 ( trey | 2015. július 3., péntek - 9:16 )

Damien Miller bejelentette az OpenSSH 6.9 elérhetőségét. A 6.9-es kiadás főként bugfix kiadás, így főként hibajavításokat tartalmaz néhány új funkció társaságában. A bejelentés megemlíti, hogy a július végére tervezett OpenSSH 7.0-s kiadásban néhány funkció deprecated állapotba kerül és ezek érinthetik a kompatibilitást és a meglevő konfigurációkat.

Részletek a bejelentésben.

"Pehelysúlyú SSL-implementációt készített az Amazon"

 ( trey | 2015. július 2., csütörtök - 7:56 )

"Vadonatúj, pehelysúlyú SSL/TLS implementációt mutatott be az Amazon. Az S2N fantasztikusan kis kódbázissal valósítja meg a titkosítási protokollt, emiatt a készítők szerint könnyebben fenntartható, mind az alternatívák (például OpenSSL). Az S2N szabad szoftver, amely kimondottan az OpenSSL egyik fő könyvtárának, a libssl-nek kiváltására készítettek az Amazon fejlesztői. [...] az implementáció egészében szabad szoftver, a forráskód és a dokumentáció is elérhető a projekt GitHub-oldalán. Az Amazon által használt licenc Apache 2.0, a fejlesztők a külső hozzájárulásokat is nagyon szívesen veszik."

A teljes cikk itt olvasható.

Engedtek a fejlesztők, nem fogja letölteni le a Chromium a "hotwording" blobot

 ( trey | 2015. június 26., péntek - 12:17 )

Nemrég volt szó arról, hogy Debian fejlesztők észrevették, hogy a Chromium újabb verziója csendben blobot tölt le. Zúgolódás kezdődött. A Chromium fejlesztők a nyomásnak engedve végül beadták a derekukat. Ez azt jelenti, hogy

  • eltávolítják a hotwording komponenst
  • A Chromium build-ekben az r335874-től (version 45) kezdve alapértelmezetten le van (lesz) tiltva a "hotwording" és a böngésző nem tölti le a modult
  • nem lesz lehetőség a funkció futási időben történő engedélyezésre
  • a fenti változások nem érintik a Chrome felhasználókat
  • azok a Chromium felhasználók, akik szeretnének hotwording támogatást, kénytelenek lesznek maguknak fordítani

A részletek itt olvashatók.

A HP 0day Internet Explorer sebezhetőségek részleteit hozta nyilvánosságra

 ( trey | 2015. június 24., szerda - 10:19 )


Példa az ASLR áthágására

A HP Zero Day Initiative (ZDI) kezdeményezésének szakemberei javítatlan (0day) Internet Explorer sebezhetőségek részleteit, illetve a hozzájuk való proof-of-concept exploit kódokat hoztak nyilvánosságra. Ritka lépés ez a ZDI-től, ami szinte sosem hoz nyilvánosságra ilyen információkat addig, amíg az érintett gyártó a javítást el nem készíti. Ebben az esetben a ZDI azért tért el a szokásos protokolltól, mert a Microsoft azt közölte, hogy nem tervezi javítani a szóban forgó sebezhetőségeket. Annak ellenére sem, hogy a sebezhetőségek olyan súlyosak, hogy a Microsoft 125 ezer dollárt fizetett ki érte a ZDI csapatának a BlueHat Bonus for Defense program keretében.

LibreSSL 2.1.7 és 2.2.0

 ( trey | 2015. június 12., péntek - 12:19 )

Brent Cook bejelentette az OpenSSL OpenBSD-s forkjának, a LibreSSL-nek 2.1.7-es és 2.2.0-s kiadását. Az új kiadások újdonsága, hogy immár támogatják az IBM AIX operációs rendszerét, illetve a Cygwin környezetet is.

Az újdonságok mellett a fejlesztők refaktoráltak, kódot tisztítottak, illetve különböző bugokat javítottak. A windowsos binárisok kicsit csúsznak, várhatóan a jövő héten jelennek meg.

Részletek a bejelentésben.

Új kolléga nálatok ... kap kiemelt, rendszerszintű jogosultságot (domain admin, vállalati rendszergazda, root, commit stb.)

 ( trey | 2015. június 11., csütörtök - 10:57 )
a belépés után azonnal (1. munkanap)
12% (43 szavazat)
a próbaidő alatt, ha már bizonyított
16% (60 szavazat)
a próbaidő letelte után azonnal, automatikusan
2% (8 szavazat)
a próbaidő letelte után, de csak ha már bizonyított
11% (40 szavazat)
csak ha már bizonyított (akár hónapok, évek is eltelhetnek)
12% (44 szavazat)
majd akkor, ha felmondok!!!! ;)
4% (15 szavazat)
soha!!!! xD
5% (19 szavazat)
egyéb, leírom.
4% (13 szavazat)
csak az eredmény érdekel.
34% (124 szavazat)
Összes szavazat: 366

iOS Mail.app adathalászat proof-of-concept

 ( trey | 2015. június 11., csütörtök - 8:17 )

Az Ernst and Young biztonsági szakembere, Jan Soucek egy olyan keretrendszert ütött össze, amellyel bemutathatja, hogy hogyan lehetne adathalászat típusú támadással rászedni az iOS felhasználókat. Az iOS 8.3 Mail.app inject kit-et elérhetővé tette a GitHub-on. Soucek azt állítja, hogy a problémát januárban jelezte az Apple-nek, de az eddig nem készített javítást rá. Soucek szerint a bug az iOS Mail.app-jében található. A fenti videó egy példát mutat a probléma adathalászatra való kihasználására.

Elnézést kért a Locker ransomware (állítólagos) készítője, elérhetővé tette a decryption kulcsokat

 ( trey | 2015. június 2., kedd - 10:04 )

Előállt a Locker titkosító ransomware állítólagos készítője, aki egy Pastebin üzenetben elnézést kért az okozott problémákért. Azt írta, hogy nem állt szándékában kiadni a malware-t. Az üzenetben tudatta, hogy feltöltötte a mega.co.nz-re az adatbázist, amely tartalmazza az adatokat "bitcoin cím, publikus kulcs, privát kulcs" formában, CSV formátumban. Az adatbázis állítólag az összes adatot tartalmazza és a legtöbb kulcsot még nem használták. Vannak, akik megerősítették, hogy az adatbázis valós.

A bejegyzés szerint az automatikus kititkosítás ma éjfélkor megkezdődik.

A részletek itt olvashatók. További részletek itt.

A brit kormányzat nem újítja meg a Microsoft-tal a Windows XP-kre tavaly kötött támogatási szerződését

 ( trey | 2015. május 12., kedd - 7:54 )

A brit kormányzat tavaly támogatási szerződést kötött 5,5 millió angol fontért az általa még használt Windows XP-kre a Microsoft-tal. A szerződés egy évre szólt, idén április 14-ig tartott. A kormányzat úgy döntött, hogy nem hosszabbítja meg a szerződést, annak ellenére sem, hogy a Whitehall-on még számítógépek ezrei futtatják az "ősi szoftvert".

Ugyan a kormányzat nem újítja meg a szerződést, az egyes minisztériumok és kormányzati hivatalok önállóan dönthetnek a szerződés meghosszabbításáról. A Metropolitan Police a meghosszabbításról tárgyal, mert majdnem 36 ezer gépen futtat még XP-t. Viszont van olyan hivatal, amelyiknek nincs terve a problémára.

Részletek itt és itt.