Miután a Symantec elismerte, hogy illetéktelenek eltulajdonították több szoftvere - egyebek mellett a pcAnywhere - forrását, azt javasolta ügyfeleinek, hogy ideiglenesen álljanak le a szoftver használatával. Közben egy illető - bizonyos Yamatough -, aki azt állította, hogy birtokában vannak a kódok, pénzt akart kicsikarni a vállalatból annak fejében, hogy nem publikálja a forrást az interneten. A Symantec együttműködött a hatóságokkal annak érdekében, hogy kiderítsék, ki fenyegeti. Állítólag a hatóságok egy Sam Thomas nevű kitalált Symantec alkalmazott bőrébe bújva léptek kapcsolatba a hallgatási pénzt kérővel.

A minap akadtam rá a Mobile-OTP oldalra, ami leginkább - de nem kizárólag - a mobiltelefonra telepíthető klienssel való jelszógenerálásról szól.

A lényeg dióhéjban:

Mint az ismert, a Symantec egyes termékeinek forráskódja publikus lett. Na nem azért, mert a cég azt nyílt forrásúvá tette, hanem azért, mert ahhoz illetéktelenek fértek hozzá. Ezt a cég a Facebookon elismerte. De nem csak hozzáfértek a kódokhoz, hanem azok egy részét publikálták is az interneten. A vállalat szerint nem a saját hálózatára törtek be, hanem egy 3rd party-tól szerezték meg illetéktelenek a forráskódokat. Eleinte a Symantec igyekezett nyugtatni az ügyfeleit, állítva, hogy régi - több éves - kódokról van szó és ráadásul az egyik érintett termék már nyugdíjazásra került. Viszont most arról ír a ComputerWorld, hogy a cég azt javasolja ügyfeleinek, hogy a álljanak le a pcAnywhere szoftver használatával addig, amíg ahhoz frissítés nem érkezik. A Metasploit mögött álló H.D. Moore, meglepődött azon, hogy egy Symantec kaliberű cég ilyesmire kéri ügyfeleit.

A részletek itt olvashatók.

Szemfülesek észrevették, hogy az X.Org 1.11-es verziójától kezdve egy commitnak köszönhetően olyan "feature" mutatkozott be (újra, ezúttal alapértelmezetten), amelyet fel-/kihasználva bárki feloldhatja a képernyőzárt (Lock Screen) azon a gépen, amelyhez fizikai hozzáférése van. A képernyőzár feloldásához mindössze a Ctrl+Alt+Keypad-Multiply kombót kell alkalmaznia. A feltehetően érintett Linux disztrók listája itt. A felsorolt Linux disztrók mellett más OS-ek is érintettek lehetnek, amennyiben a problémás X.Org verziókat használják.

A cikk elolvasható itt.

A Sony után újabb játékfejlesztőt/terjesztőt ért incidens. A Valve bejelentette, hogy vasárnap este illetéktelenek fértek hozzá a fórumához és a Steam digitális tartalomterjesztő rendszerének adatbázisához. A behatolók hozzáfértek a felhasználónevekhez, a hashed + salted jelszavakhoz, a játékvásárlás-történetekhez, e-mail címekhez, számlázási adatokhoz és a titkosított hitelkártyaadatokhoz.

A CrySysLab egy új, nyílt forrású eszközt adott ki, amely képes észlelni a Duqu trójai nyomait és a futó Duqu példányokat. A részletek elolvashatók a crysys.hu-n.

Charlie Miller-t - többszörös Pwn2Own győztes, ismert arról, hogy rendszeresen talál biztonsági sebezhetőséget az Apple termékeiben - az Apple kizárta az iOS Developer programból. Az ok: Miller ismét biztonsági rést talált az Apple termékében, arra készített egy PoC alkalmazást, amelyet beküldött az App Store-ba, majd miután közölte, hogy az alkalmazás "többet is tud" mint aminek látszik, az Apple megvonta a fejlesztői licencét. Ezt Miller közölte a Twitter-en.

Miller a következő videóban mutatja be a problémát és az arra készített InstaStock alkalmazást, amelyet az Apple szeptemberben fogadott be az App Store-ba:

A Duqu (vagy, ahogy itt-ott hivatkoznak rá "Stuxnet 2") egy trójai, amelynek felfedezése magyar vonatkozású. A Duqu egy, a Windows kernelben aktívan jelen levő sebezhetőséget használ ki. Javítás nincs, workaround létezik a hibára. A biztonsági szakembereket tömörítő, független NSS Labs mérnökei most egy nyílt forrású keresőeszközt adtak ki, amely szerintük képes az összes Duqu drivert észlelni. A bejelentés - amely számos információt tartalmaz a Duqu-ról - megemlíti, hogy a kereső 100%-ban detektálja a trójai drivereit "false positive", azaz ok nélküli riasztás nélkül.

A CrySyS Adat- és Rendszerbiztonság Laboratórium egy nemzetközi összefogás keretében részt vett a Duqu trójai program felfedezésében. Működésének részletesebb megismerése során megbizonyosodtak arról, hogy a Duqu közel azonos a korábbról ismert Stuxnettel. A minták elemzését követően részletes riportot készítettek az általuk elnevezett Duqu trójai programról. Az előzetes riportot eljuttatták az illetékes szervezetekhez annak érdekében, hogy együttes erővel, megalapozottan tudjanak fellépni.

Az Exploit Pack egy új, nyílt forrású, GPLv3 feltételei szerint terjeszthető biztonsági keretrendszer. Szerzője Juan Sacco. Az Exploit Pack felhasználói felülete Java-ban íródott, motorként Python-t használ. Felhasználhatók hozzá az ismert, népszerű exploit-ok, de a modulszerkesztőjével új exploit-ok is fejleszthetők. A fejlesztő szerint az alkalmazása űrt tölt be: kiváló minőségű, nyílt forrású exploit framework a biztonsági emberek számára, GPL licenccel és Python motorral.

A projekt weboldala itt. A bejelentés elolvasható itt.

Illetéktelenek fértek hozzá minap a Microsoft hivatalos YouTube csatornájához. Onnan az összes videót eltávolították, majd oda nem illő anyagokat töltött fel. A Microsoft egy közleményben elismerte, hogy valaki hozzáfért a csatornájához. Együttműködve a YouTube-bal mára a helyreállt a rend, és megkezdődött az eredeti videók visszaállítása. A részletek itt.

Jeremy White tegnapi bejelentése szerint illetéktelenek fértek hozzá a WineHQ adatbázisaihoz. A tegnapi ismereteik szerint valakinek sikerült valahogy engedély nélkül hozzáférnie a phpMyAdmin névre hallgató, MySQL adatbázis(ok) adminisztrálását megkönnyítő webes felületű szerszámhoz. White nem tudta megmondani, hogy ez hogyan sikerült a támadó(k)nak. Az üzemeltetők nem szívesen adtak az appdb fejlesztőknek hozzáférést az adatbázisaikhoz phpMyAdmin-on keresztül, hiszen tisztában vannak azzal, hogy a phpMaAdmin az egyik kedvelt célpontja a támadóknak. De megtették. Az eset után megszüntették a phpMyAmin hozzáférést a külvilág felől. Azt egyelőre nem tartják valószínűnek, hogy a támadóknak más módon sikerült volna hozzáférniük a rendszereikhez.

Az Armorize Malware Blog blog arra figyelmeztet, hogy a mysql.com-ot megbabrálták és az a nap folyamán malware-t terjeszt(ett). A figyelmeztetés és technikai elemzés itt olvasható.

Az Adobe Product Security Incident Response Team tegnap blogjában bejelentette, hogy 2011. szeptember 21-én a tervek szerint biztonsági frissítés érkezik az Adobe Flash Player termékhez. A bejelentés szerint a frissítés kritikus (critical) besorolású biztonsági hibákat, valamint fontos (important) besorolású XSS hibát javít. Az előzetes figyelmeztető elolvasható itt.

Frissítés: Megjelent a bulletin.

Sajnos nem kell sokat befektetnie annak, aki olyan botnet birtokába akar kerülni, amelyet a fejlesztője személyes támogat. Az Aldi Bot 1.0 csomag pont ezt kínálja. A G Data blogja szerint underground piactereken 5-10 euró környékén hozzá lehet jutni a csomaghoz, aminek része a Builder, az áldozat gépére eljuttatandó stub, a frissítések és a telepítési támogatás. A kezdőknek a fejlesztő személyesen segít a telepítésben. A botnet több dologra - jelszavak lopása, DDoS stb. - használható. A YouTube-on megtalálható egy videó, amelyben az látható, ahogy az Aldi Bot segítésével megtámadják a német szövetségi rendőrség weboldalát.

Úgy tűnik, hogy a blogbejegyzés írója nem érti miért van az Aldi a cucc nevében és logójában. Mi jó eséllyel tippelünk rá: az ára miatt. További részletek itt.

A Bittorrent cég megerősítette, hogy az uTorrent.com alatt dolgozó webszervereit tegnap támadás érte, amelynek folytán a weboldal mintegy 2 órán keresztül malware-t kínált letöltésre uTorrent kliens helyett. A támadók a Windows verziót cserélték le egy hamis antivírus “scareware” szoftverre. A problémát az üzemeltetők hamar észlelték és elhárították. A cég elnézést kért a kellemetlenségért. A részletek itt.

Egy szűkszavú közlemény olvasható a linuxfoundation.org-on arról, hogy a Linux Foundation infrastruktúrája - beleértve a linuxfoundation.org-ot, a linux.com-ot és ezek aldomainjeit - karbantartás miatt leállították. A karbantartás egy szeptember 8-án észlelt biztonsági behatolás miatt folyik. Az alapítvány szerint az incidens összefüggésben van a kernel.org-ot ért múlt heti támadással.

The Daily Telegraph, UPS, The Register, National Geographic, Vodafone, Acer. Akik meglátogatták ezeket az oldalakat az elmúlt néhány órában, azt vehették észre, hogy a megszokottól eltérően néznek ki. Ennek az az oka, hogy egy török hacker csoportnak sikerült valahogy megváltoztatni az oldalakhoz tartozó DNS bejegyzéseket. Az áldozatokban az a közös, hogy mindegyiküknek a Net­Names a regisztrátora. A törököknek feltehetően sikerült a NetNames regisztrátor DNS konfigurációs kezelőfelületén kereszült SQL injection támadással módosítaniuk a fenti oldalak bejegyzései és így a látogatókat az eredeti oldalak helyett a saját oldalukra irányítaniuk. A részletek itt olvashatók.

A The Linux Kernel Archives legfrissebb híre szerint ismeretlen elkövetőknek sikerült betörniük a kernel.org infrastruktúrájába. A jelenleg ismert adatok alapján augusztus hónap során több szerver is a támadások áldozatául esett. Az üzemeltetők - akik az incidenst augusztus 28-án észlelték - valószínűsítik, hogy egy kompromittálódott account-ot használtak fel támadók, akik root jogot szereztek a "Hera" nevű szerveren. A kernel.org csapata jelenleg úgy hiszi, hogy a forráskód tárolók érintetlenek, de ennek bizonyítására vizsgálatot indítottak. Emellett ígéretet tettek a biztonság további fokozására. Az érintett szervereket lementik, újrahúzzák. A támadásról értesítették az Egyesült Államok-beli és európai hatóságokat. A részletek itt olvashatók.

Frissítés: Jonathan Corbet - az LWN főszerkesztője - írása a témában.

Több mint 7 hónapos fejlesztés után elérkeztem a január elején felállított célomhoz: a Tomoyo Mandatory Access Control (MAC) megoldásához fejleszteni egy teljesen automatikus "1 klikkes" megoldást, mely kompromisszumok és mindenfajta felhasználói beavatkozás szükségessége nélkül képes megfelelő módon rendezni az alkalmazások Tomoyo által összegyűjthető hozzáférési szabályait. Ismereteim szerint ilyen automatikus MAC konfigurációs megoldás még nem létezik (fix me), és a nagy disztribútorok is előre gyártott szabályokat szállítanak.

Ez az első stabil verzióm teljes funkcionalitással. Feature lista itt. (Tomoyo része a mainline kernelnek 2.6.30-as verzió óta)

A phising (adathalászat), cybersquatting (másvalaki védjegyét képező domain regisztrálása, rosszhiszemű, üzleti célú felhasználása) és typosquatting (a cybersquatting egyik alfaja, amely arra alapoz, hogy az emberek egy része félre fogja gépelni az ismert domain-ek nevét) után új fenyegetés lehet a vezető domain-ek tulajdonosai számára a bit-squatting.

Artem Dinaburg, aki az Egyesült Államok fegyvergyártó óriásánál, a Raytheon-nál dolgozik, vasárnap beszél a Def Con 19 konferencián kutatásának eredményeiről "Bit-squatting: DNS Hijacking Without Exploitation" előadásában.

Frissítés: Dinaburg prezentációja itt.

A Pwnie-díjátadó egy évente megrendezésre kerülő ceremónia, ahol a biztonsági szakértők és a biztonsággal foglalkozó közösség által elért eredményeket és kudarcokat "jutalmazzák". A Black Hat-ek Oscar-díjátadójának is nevezett "gála" ötlete Alex Sotirov és Dino Dai Zovi agyából pattant ki. Az első Pwnie-díjátadót 2007-ben tartották. Idén - augusztus 3-án - immár az ötödik díjkiosztóra került sor a Las Vegas-i Black Hat biztonsági konferencián. A győzteseket a korábban bejelentett jelöltek közül választották ki.