Titkosítás, biztonság

A júliusi patchkedd javítást hozott a @taviso által felfedezett kernelsebezhetőségre

 ( trey | 2013. július 10., szerda - 12:42 )

Tavis Ormandy (@taviso) - a Google biztonsági csapatának tagja - májusban közölte egy súlyos, a Windows változatok széles skáláját érintő biztonsági sebezhetőség részleteit. A sebezhetőség kihasználására alkalmas PoC exploitot tett közzé nem sokkal később. A H Security állítja, hogy a Microsoft - noha tisztában volt azzal, hogy a sebezhetőséget célzottan kihasználják - nem figyelmeztette a sebezhetőséggel kapcsolatban ügyfeleit. A tegnapi patchkedden számos más súlyos sebezhetőség mellett javítás érkezett erre a sebezhetőségre is.

A részletek itt.

Biztonsági incidens az Opera Software-nél, malware-t kaphattak egyes Opera felhasználók

 ( trey | 2013. június 27., csütörtök - 10:27 )

Az Opera Software részéről Sigbjørn Vik közölte, hogy 2013. június 19-én cégük belső hálózatán illetéktelen támadási tevékenységet észleltek, számoltak fel. A rendszerüket "megtisztították" és nem találtak bizonyítékot arra, hogy felhasználói adatok sérültek volna a támadás során. Együttműködnek a nyomozóhatóságokkal.

Mindazonáltal a támadás során a támadók legalább egy régi, lejárt Opera kódaláíró tanúsítványt elloptak, majd azt malware aláírására használták fel. Ez lehetővé tette számokra rosszindulatú szoftverek terjesztését, amelyek úgy tűnhettek, hogy azokat az Opera Software terjesztette.

Meggondolta magát a Microsoft, "security bug bounty" programokat indít

 ( trey | 2013. június 21., péntek - 13:06 )

Számos szoftvercég, internetes szolgáltató indított már a múltban "security bug bounty" programot. A legismertebbek talán a Mozilla, Google, Facebook, Paypal stb. programjai.

Ezen programok keretén belül a cégek különböző összegű "jutalmakat" fizetnek azoknak, akik termékeikben biztonsági hibákat találnak és azok részleteit felelős közlés magatartást követve számukra bejelentik.

Biztonsági szakemberek régóta várták, hogy a legnagyobb szoftvergyártó, a Microsoft is indít ilyen programot. Korábban több biztonsági szakember is kijelentette: nincsenek többé ingyenes bugbejelentések. Ha a cégek ilyet akarnak, fizessenek érte.

2010-ben a Microsoft kijelentette: nem fizet jutalmat a hozzá bejelentett bugok után. A redmondi vállalat részéről Jerry Bryant (jelenleg a Microsoft vezető rangidős biztonsági programigazgatója) akkor elmondta, hogy véleményük szerint nem az a legjobb megoldás, hogy jutalmat fizetnek a bugok után. Szerintünk biztonsági körökben nem minden esetben anyagi a motiváció az egyes bejelentésekkel kapcsolatban.

Megjegyezte, hogy a Microsoft rendszeresen megemlíti a biztonsági figyelmeztetőiben a hiba felfedezőjét, megemlékezve arról, hogy az adott kutató értékes információkkal járult hozzá a sebezhetőség orvoslására kidolgozott javítás elkészítéséhez. Annak ellenére, hogy nem osztanak hibánként jutalmat, elismerik és jutalmazzák a tehetséges embereket. Volt példa már arra, hogy biztonsági körökben befolyásosnak számító egyének csatlakozhattak a Microsoft biztonsági csapatához alkalmazottként. Ezen kívül a vállalat közvetlen szerződéseket köt biztonsági vállalatokkal és néha magánszemélyekkel azért, hogy azok leteszteljék biztonsági szempontból egyes termékeiket még a kiadás előtt.

Ez volt a helyzet 2010-ben. Azóta a vállalat revideálta álláspontját és a többi céghez hasonló bug bounty programot jelentett be.

Az Európai Bizottság válaszokat vár Amerikától a PRISM-mel kapcsolatban

 ( trey | 2013. június 12., szerda - 21:06 )

Viviane Reding, az Európai Unió alapjogi biztosa levelet írt Eric Holder amerikai igazságügyi miniszternek. A biztos részletes magyarázatot vár Amerikától a PRISM megfigyelési üggyel kapcsolatban. Hét kérdést tett fel Holdernek. A kérdések:

Nagyobb átláthatóságot akar a Google, Microsoft, Facebook az USA kormányzatának kéréseivel kapcsolatban

 ( trey | 2013. június 12., szerda - 10:57 )

A három legnagyobb internetes cég - a Google, Microsoft és a Facebook - azzal fordult az USA kormányzatához, hogy az biztosítson nagyobb átláthatóságot az általa feléjük indított, nemzetbiztonsággal összefüggő kérésekkel kapcsolatban. Hasonló témájú állásfoglalások jelentek meg kedden néhány órán belül a három cégtől, amelyben arra kérik az USA kormányát, hogy az tegye lehetővé számukra, hogy publikálhassák a titkosszolgálatoktól hozzájuk érkező adatkérések számát és tárgyát.

Felfedte kilétét a PRISM botrányt kirobbantó személy

 ( trey | 2013. június 10., hétfő - 8:05 )


részlet a kiszivárogtatott dokumentumokból

A PRISM botrány tovább dagad. Előlépett az anonimitásból Edward Snowden, aki a The Guardian szerint a hír forrása volt. A lap szerint a 29 éves férfi több külsős vállalat - Booz Allen, Dell - embereként végzett munkákat az NSA-nak és technikai asszisztens minőségben a CIA-nak. Most Hongkongban tartózkodik.

A miértről és másról részletesen a vele készített szöveges interjúban és videóban.

Részleteket közölt a PRISM-mel kapcsolatban az amerikai nemzeti hírszerzés igazgatója

 ( trey | 2013. június 9., vasárnap - 9:31 )

A The Guardian és a The Washington Post által kirobbantott PRISM megfigyelési ügyben tegnap megszólalt a James R. Clapper, az amerikai nemzeti hírszerzés igazgatója. Közleményében arról ír, hogy feloldotta egyes információk titkosítását "annak reményében, hogy azok segítenek eloszlatni néhány mítoszt és megadják a szükséges háttért azokhoz, amik publikálásra kerültek."

A vezető által kiadott dokumentum:

0day Windows exploitot tett közzé a Google egyik biztonsági szakértője

 ( trey | 2013. június 5., szerda - 8:06 )

Tavis Ormandy, a Google biztonsági csoportjának tagja 2010-ben már tett hasonlót. Három évvel ezelőtt egy 0day sebezhetőség részleteit közölte. Akkor a Microsoft nem örült. A Google alkalmazottja most egy 0day Windows exploitot tett közzé a full-disclosure levelezési listán. A H Security megerősítette, hogy az exploit használatával a támadó NT Authority\SYSTEM jogokhoz juthat az áldozat rendszerén.

Részletek itt.

Kétlépcsős azonosítás SSH-hoz a Google Hitelesítő használatával

 ( trey | 2013. június 3., hétfő - 14:01 )

Nem újdonság, de ha valakit érdekel, hogy Ubuntu 13.04 alatt hogyan lehet a $subject-ben említetteket egyszerűen és gyorsan összekalapálni, az látogasson el ide.

Biztonsági incidens a Drupal.org-on

 ( trey | 2013. május 30., csütörtök - 8:26 )

A Drupal.org biztonságért és infrastruktúráért felelős csapata nemrég észlelte, hogy illetéktelen hozzáférés történt a Drupal.org-on és groups.drupal.org-on tárolt felhasználói adatokhoz. Köztük felhasználónevekhez, e-mail címekhez és hash-elt jelszavakhoz. A Drupal.org-on tárolt összes jelszó hash-elt és sózott (salted) volt. A groups.drupal.org-on néhány régebbi jelszó nem volt sózva.

Az incidensről az érintettek levélben kaptak értesítést. A levél szerint az illetéktelen hozzáférés egy, a Drupal.org infrastruktúrájába telepített 3rd party programon keresztül történt.

A felhasználói jelszavakat resetelék, a felhasználóknak a következő belépéskor új jelszót kell létrehozniuk.

Új, érvényes Apple Dev. ID-hoz tartozó tanúsítvánnyal aláírt OS X malware bukkant fel

 ( trey | 2013. május 18., szombat - 20:30 )

Az Oslo Freedom Forum egy évente megtartott rendezvény, amely annak lehetőségeit vizsgálja, hogy hogyan lehetne tiltakozni, fellépni a tekintélyelvűség ellen és amely a szabad és nyílt eszméket hirdeti. Az idei, május 13-tól 15-ig tartott konferencián volt egy workshop, amelyet szólásszabadság aktivistáknak rendeztek. Ezen a workshopon arról volt szó, hogy ezek az aktivisták hogyan próbálják megvédeni az általuk használt eszközöket a kormányzati megfigyelésekkel, lehallgatásokkal, ellenőrzésekkel szemben. A workshop alatt az egyik angolai résztvevő gépén Jacob Appelbaum felfedezett egy eddig még ismeretlen, OS X-es spyware-t, amelynek az az érdekessége, hogy egy érvényes Apple Developer ID-hoz tartozó tanúsítvánnyal írták alá. Mivel a malware megfelelően alá volt írva, a Gatekeeper nem jelzett a felhasználóknak.

Részletek az F-Secure blogjában.

H Security - "Óvatosan a Skype-pal. A Microsoft elolvas mindent, amit írsz."

 ( trey | 2013. május 14., kedd - 21:04 )

A H Security azt állítja, hogy a Microsoft beleolvas a Skype-on keresztül küldött üzenetekbe. A weboldalt az egyik olvasó értesítette, aki azt állította, hogy szokatlan hálózati forgalmat észlelt azután, hogy egy Skype IM csevegést folytatott. Röviddel azután, hogy HTTPS URL-t küldött át az IM szolgáltatáson keresztül, az URL-t meglátogatták egy IP címről a Microsoft redmondi főhadiszállásáról. A H Security nekiállt tesztelni. Átküldött két HTTPS URL-t. Az egyik egy login információt tartalmazott, a másik pedig egy privát cloud-alapú fájlmegosztó szolgáltatásra mutatott. Az eredmény? Néhány órával később mindkét HTTPS URL-t meglátogatták egy IP-ről, amelyet a redmondi Microsoft-hoz regisztráltak.

A H Security szerint a Microsoft mind a login információkat, mind a privát cloud-alapú fájlmegosztó szolgáltatáshoz létrehozott spec. URL-t felhasználta.

A H Security kérdőre vonta a Skype-ot... A részletek itt olvashatók.

Linux/Cdorked.A - új Apache, Lighttpd, nginx átirányító backdoor

 ( trey | 2013. május 12., vasárnap - 9:56 )

Webszerver üzemeltetőknek mindenképpen érdemes tudni arról, hogy egy relatíve új átirányító backdoor szedi gyanútlan áldozatait. A ESET a backdoort Linux/Cdorked.A néven katalogizálta. A kifinomult, rejtett backdoor célja az, hogy a gyanútlan látogatókat rosszindulatú weboldalakra irányítsa át. Az első elemzések arról szóltak, hogy a Linux/Cdorked.A egy Apache backdoor, de később kiderült, hogy a Lighttpd és nginx is érintett.

Újszülöttnek minden vicc új: a copy & paste veszélyei

 ( trey | 2013. április 17., szerda - 13:17 )

A H Security arra hívja fel a figyelmet, hogy a régi trükkök nem halnak ki, időről-időre újra előkerülnek, hogy a gyanútlan, óvatlan internetezőket rászedjék. Újszülöttnek minden vicc új, így érdemes néha elővenni emlékeztetőül ezeket a dolgokat. Például azt, hogy nem érdemes minden parancsot (még ha az elsőre ártalmatlannak is látszik) a webes leírásokból, howtokból közvetlenül a parancssorba másolni, mert a végén nagy csodálkozás lehet a vége. Vagyis: amit másolsz, az nem (biztos, hogy) az, amit látsz.

A részletek itt és itt.

Részleges díjat fizetett a Google Pinkie Pie-nak a Chrome OS hackeléssel kapcsolatban

 ( trey | 2013. március 19., kedd - 10:10 )

Ahogy arról már korábban szó volt, a Pwnium 3 vetélkedőn senkinek sem sikerült a Chrome OS-t a kiírásnak megfelelően 100%-ban legyűrnie és teljes díjat bezsebelnie. Akkor a Google azt nyilatkozta, hogy kiértékelik az elért eredményeket és azok függvényében lehetséges, hogy részdíjazásban részesíti a részeredményeket. Ez így is történt.

Malware fertőzés miatt leállt az amerikai nemzeti sebezhetőség-információs adatbázis

 ( trey | 2013. március 15., péntek - 11:01 )

A hírek szerint az amerikai kormányzat nemzeti sebezhetőség-információs adatbázisa (National Vulnerability Database - NVD) több napja offline állapotba került. A National Institute of Standards and Technology (NIST) által üzemeltetett szolgáltatás a kérésekre "Page not available" választ adott. Az üzemeltetők az e-mailes megkeresésre azt a választ adták, hogy a szolgáltatást leállították, mert a NIST két NVD szerverén malware nyomokat találtak. Az oldal jelenleg sem üzemel.

A részletek itt.

Kingcope: "Uncovering Zero-Days and advanced fuzzing"

 ( trey | 2013. március 11., hétfő - 16:51 )

Nikolaos Rangos - alias Kingcope - számos 0day sebezhetőség napvilágra hozója, számos 0day exploit írója és számos biztonsági publikáció szerzője - AthCon 2012 IT biztonsági rendezvényen tartott "Venue into my work uncovering and exploiting zero days vulnerabilities and advanced fuzzing techniques" előadása megtekinthető a Youtube-on.

Az első hírek szerint állva maradt a Chrome OS a Pwnium-on

 ( trey | 2013. március 8., péntek - 9:56 )

Pwnium 3

A Google egy rakás pénzt (3,14159 - vagyis pi millió dollárt) ajánlott fel azoknak a versenyzőknek, akik sikeresen legyűrik a Chrome OS-t a Pwnium 3 biztonsági vetélkedőn. A Pwnium 3-ra a kanadai CanSecWest rendezvényen került sor tegnap. A friss Twitter üzenetek szerint nem sikerült senkinek sem teljes díjat nyernie. A Google Chrome csapat kiértékeli az eredményeket és lehetséges, hogy a részeredményeket jutalmazza. Hivatalos bejelentés még nincs, további (pontosabb) részletek később.

Chrome, Firefox, IE 10, Java, Win 8 - mind elesett a Pwn2Own 2013-on

 ( trey | 2013. március 7., csütörtök - 10:18 )


parancssor "nt authority\system" jogokkal

A Twitter-en olvasható friss tweetek és beszámolók szerint a kanadai CanSecWest keretében megrendezett Pwn2Own biztonsági vetélkedő alatt sikeresen exploitálták mind a Chrome, Firefox, IE 10 böngészőket, mind a Java-t, mint a Windows 8-at.

Local root sebezhetőség a Linux kernelben

 ( trey | 2013. február 26., kedd - 9:00 )

Mathais Krause egy sebezhetőséget fedezett fel a Linux kernelben, amelyet kihasználva a helyi támadó root jogokhoz juthat. Krause megerősítette a H Security-nek, hogy a kernelverziók a 3.3-tól a 3.8-ig érintettek. A sebezhetőséghez exploit kering az interneten. Az exploitcsomagban található egyes fájlok dátuma 2012-07-14, ami utalhat arra, hogy a sebezhetőséget már tavaly nyár óta ismerhetik egyes körökben. A hétvégén beküldésre került a hiba javítását célzó patch.

ISC Diary: sshd rootkit szabadon

 ( trey | 2013. február 23., szombat - 17:30 )

Az ISC Diary arról ír, hogy egy főként RPM-alapú Linux disztribúciókat érintő, feltehetően sshd rootkit bukkan fel egyre több rendszeren. Egyelőre még nincs pontos információjuk arról, hogy mi a kezdeti támadási vektor (találgatások már vannak), de amint bővebb információjuk lesz, a bejegyzés frissítését ígérik.

Az evasi0n jailbreak technikai elemzése

 ( trey | 2013. február 11., hétfő - 15:25 )

"Az evasi0n azért érdekes, mert mindenféle memóriakorrupció nélkül emel privilégiumot és biztosít teljes hozzáférést a rendszerpartícióhoz. Teszi ezt azáltal, hogy kihasználja a /var/db/timezone sebezhetőségét annak érdekében, hogy hozzáférjen a root felhasználó launchd socket-jéhez."

Az elemzés itt. További érdekesség a pár nappal ezelőtt napvilágot látott evasi0n-nel kapcsoltban, hogy segítségével közel 7 millió iOS eszközt jailbreakeltek néhány nap alatt. Ezzel az evasi0n minden idők legnépszerűbb jailbreak megoldása lett.

Kritikus SSH backdoor számos Barracuda Networks termékben

 ( trey | 2013. január 24., csütörtök - 21:04 )

A SEC Consult Vulnerability Lab ma közzétett SA-20130124-0 biztonsági figyelmeztetőjében arra hívja fel a figyelmet, hogy számos Barracuda Networks által gyártott termékben - Barracuda Spam and Virus Firewall, Barracuda Web Filter, Barracuda Message Archiver, Barracuda Web Application Firewall, Barracuda Link Balancer, Barracuda Load Balancer, Barracuda SSL VPN - kritikus SSH backdoor található. Minden olyan termék érintett, amelyen 2.0.5-nél régebbi Security Definition fut. Terminálon és SSH-n keresztül lehetőség nyílhat a készülékekhez hozzáférni a nem dokumentált felhasználói fiókok adataival.

Kingcope: A Windows 7/8 címtér randomizálásának támadása

 ( trey | 2013. január 24., csütörtök - 17:23 )

A 0day exploitjairól ismert Kingcope ma egy linket tett közzé a full-disclosure levelezési listán. A link az "Attacking the Windows 7/8 Address Space Randomization" című blogbejegyzésére mutat. A blogbejegyzésben arról ír, hogy hogyan lehet megkerülni a Windows 7/8 operációs rendszerek memóriavédelmi mechanizmusait annak érdekében, hogy a támadó tetszőleges assembly kódot futtathasson a rendszeren. Kingcope szerint a téma meglehetősen összetett, ráadásul a blogbejegyzésben leírt metódusok nem hibamentesek és lehet még rajtuk javítani. Ennek ellenére számos esetben lehetséges ezen módszerek felhasználásával teljesen megkerülni a Windows 7, és kiváltképp a Windows 8 ASLR-jét.

Pwn2Own 2013

 ( trey | 2013. január 21., hétfő - 15:04 )

Az (egykor a 3Com ma már a) HP DVLabs fennhatósága alá tartozó Zero Day Initiative (ZDI) bejelentette, hogy idén is megrendezi a Pwn2Own névre hallgató biztonsági vetélkedőjét. Az idei versenyt részben a Google szponzorálja.

A Pwn2Own 2013 vetélkedő a nyugat-kanadai Brit Columbia tartomány legnagyobb városában, Vancouverben megrendezésre kerülő CanSecWest 2013 rendezvény alatt folyik majd március 6-7-8-án. A HP ZDI több mint félmillió dolláros pénz- és jutalomalapot társított a rendezvényhez. A kategóriák és a díjak: