A dél-koreai webhosting cég, a Nayana 1 millió dollár váltságdíjat fizet ki azután, hogy ransomware támadás miatt 153 linuxos szerverén tárolt adataihoz nem fér hozzá. A támadás során 3400 ügyfelének weboldala esett áldozatul. A hírek szerint a cég vastagon tehet arról, hogy így járt. Gépein 2008-ban fordított 2.6.24.2-es Linux kernel, Apache version 1.3.36 és PHP version 5.1.4 futott. Részletek itt.

Az Ars Technica egyik cikke szerint a Honda leállította egyik japán gyárát, miután WannaCry-t talált a hálózatán. A Tokiótól északnyugatra található Sayama gyárat hétfőn állították le, azután, hogy vasárnap felfedezték a fertőzést. A Honda képviselői nem adtak magyarázatot arra, hogy hogyan lehetett náluk működő WannaCry 37 nappal azután, hogy a "vírust" leállító kill switch-et aktiválták. Az egyik lehetséges magyarázat az lehet, hogy a hálózatukból valamiért nem volt elérhető a kill switch domain.

Részletek itt.

A Stack Clash egy számos operációs rendszer memóriakezelését érintő sebezhetőség. Érinti a i386-on és amd64-en a Linuxot, OpenBSD-t, NetBSD-t, FreeBSD-t és a Solaris-t. A támadók kihasználhatják memóriakorrupció előidézésére vagy tetszőleges kódfuttatásra.

Részletek itt.

Tails 3.0 is out: https://t.co/cMOzflkO1H based on @Debian 9, brand new startup and shutdown, security improvements in depth, and more. pic.twitter.com/3sftoQ5Zln

— Tails (@Tails_live) June 13, 2017

Megjelent a "The Amnesic Incognito Live System" - röviden Tails - 3.0-s kiadása. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Részletek itt.

ETERNALBLUE: Exploit Analysis and Port to Microsoft Windows 10 (whitepaper) [PDF] @JennaMagius @RiskSense https://t.co/jBjULNEkCt pic.twitter.com/EDF0U35RFX

— zerosum0x0 (@zerosum0x0) June 6, 2017

Az (állítólag) NSA berkeiből származó, az The Shadow Brokers által kiszivárogtatott és a WannaCry-ban felhasznált hírhedt Eternalblue exploit elemzése megtalálható itt. Az exploitot "portolták" Windows 10-re.

Sigh, more critical remote mpengine vulns. Found on Linux then reproduced on Windows, full report on the way. This needs to be sandboxed. pic.twitter.com/OzarAmOyH1

— Tavis Ormandy (@taviso) June 7, 2017

Tavis Ormady, a Google biztonsági szakembere újabban ráállt a Microsoft Malware Protection Engine biztonsági hibáinak felderítésére. Fontos a hibák felismerése, mert a Microsoft jelenleg sandbox-ba zárás nélkül, SYSTEM joggal futtatja a cuccot. Ormandy, hogy a munkát könnyebben tudja végezni, nemrég megoldotta, hogy a fuzzing-ot Linux alatt végezhesse.

Ma este jelezte, hogy újabb, kritikus, távolról kihasználható Microsoft Malware Protection Engine sebezhetőségekre bukkant. Ezeket már Linuxon találta, majd utána sikeresen reprodukálta Windowson. Azt ígérte, hogy hamarosan előáll a részletekkel.

SecureLogin  is ready —  Forget About Passwordshttps://t.co/BDa8UpDCGT
please #RT

— Egor Homakov (@homakov) June 4, 2017

Részletek itt.

2017 Android Security Rewards https://t.co/4ZI3D1hkMb pic.twitter.com/VHV2o4HMyD

— Google Security RSS (@googlesecurity) June 1, 2017

A Google az Android Security Rewards programja elindulása óta 1,5 millió dollár jutalmat fizetett ki a biztonsági szakembereknek. A keresőóriás a kifizethető jutalom maximális mértékét most felemelte 50 ezer dollárról 200 ezer dollárra. Részletek itt.

A Kaspersky Lab munkatársai szerint a WannaCry-t kódoló programozó(k) által vétett hibák és a malware kódjának gyér minősége reményt adhat az áldozatoknak arra, hogy visszaállítsák a WannaCry által titkosított fájlokat:

Részletek itt.

Qualys Security Advisory - CVE-2017-1000367 in Sudo's get_process_ttyname() for Linux https://t.co/ZpX1HWenyv

— buherator (@buherator) May 30, 2017

These are accessible remotely, service is unsandboxed, enabled by default and running as SYSTEM. So... yeah. ¯\_(ツ)_/¯

— Tavis Ormandy (@taviso) May 30, 2017

Extraordinary: Microsoft officially confirms @NSAGov developed the flaw that brought down hospitals this weekend. https://t.co/zQ6785YpFf

— Edward Snowden (@Snowden) May 14, 2017

A Microsoft elnöke, Brad Smith tegnap megszólalt WannaCry ügyben a cég hivatalos blogján. Mondandójának lényege egyebek mellett, hogy kiszivárgott NSA exploitok vezettek a kialakult WannaCry helyzethez. Ahhoz, hogy a "zsarolóvírus" nagyvállalatoknál okozott katasztrófahelyzetet világszerte. Smith szerint az NSA, a CIA és egyéb hírszerző szervezetek sérülékenységeket gyűjtögetnek, halmoznak fel (téééényleg? - a szerk.), ahelyett, hogy azok létezését felelősen közölnék. Ráadásul emelkedő tendenciát mutat az ezen exploitok kiszivárgását követő széleskörű károkozás. Smith oly messzire ment, hogy ezeket fizikai fegyverek eltűnéséhez hasonlította - szerinte ez olyan, mintha az amerikai hadseregtől elloptak volna néhány Tomahawk rakétát.

A blogbejegyzés itt olvasható.

[ forrás | WannaCry zsarolóvírus ]

The OpenVPN 2.4 audit results are here:https://t.co/MeHy9crOJX
We are answering questions on Reddit!https://t.co/lNidDActU4

— OSTIF Official (@OSTIFofficial) May 11, 2017

Az OSTIF és a QuarksLab bejelentette, hogy végeztek az OpenVPN 2.4.0 windowsos és linuxos verziójának auditálásával. Az audit során az NDIS6 TAP Driver for Windows, a Windows GUI és a Linux verzió került górcső alá. Az audit eredményei itt olvashatók.

.@natashenka Attack works against a default install, don't need to be on the same LAN, and it's wormable.

— Tavis Ormandy (@taviso) May 6, 2017

MsMpEng: Remotely Exploitable Type Confusion in Windows 8, 8.1, 10, Windows Server, SCEP, Microsoft Security Esse... https://t.co/UlvgYfbg4w

— Project Zero Bugs (@ProjectZeroBugs) May 9, 2017

A Google Project Zero tag Tavis Ormandy és kollégája, Natalie Silvanovich egy olyan távoli, féregírásra alkalmas Windows kódfuttatást fedezett fel, amit csak úgy jellemeztek, hogy a közelmúlt legrosszabbja. Részletek itt.

Számos bank használja előszeretettel a SMS-re épülő kétfaktoros autentikációt, annak ellenére, hogy szakértők régóta mondogatják, hogy kijátszható. A működése egyszerű: az ügyfél megadja bankja weboldalán stb. a belépési adatait, a bank küld egy megerősítő kódot tartalmazó SMS-t az ügyfél korábban regisztrált telefonszámára, az ügyfél ezt a kódot visszagépeli a bank weboldalán, így azonosítva magát második lépcsőben. Az elgondolás jó, de vannak vele gondok.

A probléma a kommunikációs láncban jelen levő Signaling System 7 protokollal van. A probléma régóta ismert, de javítása, lecserélése mégis várat magára. Pedig sürgős lenne, főleg azután, hogy élő példa akadt a kihasználására.

A német O2-Telefonica elismerte a Süddeutsche Zeitung-nak, hogy egyes ügyfeleik bankszámláját megcsapolták az SS7 hibáját kihasználva. A támadók az SS7 hibáját kihasználva elfogták a bank által az ügyfélhez küldött SMS-eket. Természetesen az SMS-ek önmagukban nem lettek volna elegendőek ehhez a mutatványhoz. Az is kellett hozzá, hogy a támadók az áldozatok egyéb belépési adatait előzőleg megszerezzék egyéb, jól ismert módokon (pl. levélben küldött malware-en keresztül).

További részletek itt.

Our #shadowbrokers #DOUBLEPULSAR detection script now has remote uninstall capability for remediation https://t.co/RhvmjkcqbE #threathunting pic.twitter.com/I6yEb27H6T

— Countercept (@countercept) April 25, 2017

A Shadow Brokers által kidumpolt NSA hacking eszközök és exploitok közt volt megtalálható a DoublePulsar SMB és RDP "implantátum", ami állítólag már több mit 55 ezer Windows gépen detektálható.

A Countercept elérhetővé tett egy DoublePulsar detektáló és eltávolító eszközt a GitHub-on. A segítségével szkennelhető egy gép vagy akár egy egész hálózat is.

@DueMarauder We're working on a universal fix now. Follow our Community thread to stay up-to-date: https://t.co/XSbt0Iu4VB.

— Webroot (@Webroot) April 24, 2017

Egy csomó ügyfél panaszkodott arra, hogy a Webroot az egyik szignatúra frissítése után a hibásan detektált malware-ként több fontos Windows fájlt és azon futó alkalmazások fájljait. A cég igyekszik úrrá lenni a zűrzavaron és javítani a problémát. Részletek a cég közösségi fórumán itt.

The story of how SSH got port number 22 https://t.co/rroRgxj4gx

— Hacker News (@newsycombinator) April 23, 2017

A sztorit maga Tatu Ylönen, az SSH protokoll megalkotója mondja el itt.

CVE-2017-7184 Linux kernel privesc demo'ed by @ChaitinTech in #Pwn2Own is now public https://t.co/5YkyssotzF https://t.co/HPPCJEkq4w

— Solar Designer (@solardiz) March 30, 2017

Publikussá váltak annak a privilégium-szint emelést lehetővé tevő, helyi Linux sebezhetőségnek a részletei, amelyet ChaitinTech mutatott be és használt ki a 2017-es Pwn2Own rendezvényen.

Make Dragonfly BSD great again by pwning ring0 and fixing few things here and there! - https://t.co/ndZQZITR54 pic.twitter.com/0kvW01d8U9

— Mateusz Kocielski (@akat1_pl) March 23, 2017

A részletek itt olvashatók.

2015-ben az OpenSSL projekt bejelentette, hogy lecserélné saját, eredeti licencét. A napokban pedig azt, hogy konkrét lépéseket tettek ennek érdekében. Az új licenc Apache Software License 2.0 lenne. A változtatási szándék és annak módja finoman fogalmazva sem nyerte el mindenki tetszését. Kiváltképp nem Theo de Raadt-ét, aki az eljáráson felbuzdulva úgy döntött, hogy újralicenceli a GCC-t.

A magát csak "Turkish Crime Family"-nek hívó hackercsoport azzal fenyegette meg állítólag az Apple-t, hogy ha nem fizet váltságdíjat - Bitcoin-ban vagy Ethereum-ban -, akkor távolról letörlik (wipe) azokat az iPhone-okat, amelyeknek tulajdonosai iCloud és Apple email account-ját megszerezték. A fenyegetők azt állítják, hogy több mint 300 millió account adataihoz jutottak hozzá. Az Apple-nek vagy 75 000 ezer dollárt kellene fizetnie kriptovalutában vagy 100 000 dollár értékű iTunes ajándékkártyát kellene adnia az április 7-ig megszabott határidőig.

Hogy a fenyegetés valós vagy blöff? Jó eséllyel blöff. Hogy az Apple akként kezeli-e vagy sem? Részletek itt és itt.