Titkosítás, biztonság, privát szféra

A Las Vegas-ban nemrég megrendezett, DefCon névre hallgató hacker összejövetelen Alex Pilosov és Anton "Tony" Kapela biztonsági kutatók egy új technikát mutattak be a Border Gateway Protocol (BGP) kihasználására. A Wired egyik blogbejegyzése szerint a technikát felhasználva titokban "lehallgatható" az internet forgalma olyan szinten, amelyről eddig azt feltételezték, hogy lehetetlen olyan személyek számára, akik nem tagjai valamely hírszerzési szervezetnek, például a nemzetbiztonsági hivatalnak.

A United States Computer Emergency Readiness Team (US-CERT) egy figyelmeztetőt adott ki, miszerint tudomása van arról, hogy olyan aktív támadás van folyamatban Linux-alapú számítógépes rendszerek ellen, amelyekben kompromittált SSH kulcsokat használnak fel. A feltételezések szerint a támadások során lopott kulcsokat használnak a rendszerhez való hozzáféréshez, majd helyi kernel exploito(ka)t a "root" hozzáféréshez. Amint sikerül root joghoz jutni, telepítésre kerül a phalanx2 névre hallgató rootkit.

Új védelmi kiegészítéssel bővült az előre mutató, megelőző biztonsági megoldásairól ismert PaX nevű Linux kernel patch. A PAX_REFCOUNT ("Prevent various kernel object reference counter overflows") opció bekapcsolásával lehetőség nyílik a kernel objektumok hivatkozás számlálóinak túlcsordulásából eredő sebezhetőségek kihasználásának észlelésére és megakadályozására.

A Las Vegas-ban megrendezett Defcon konferencián egy olyan "hacking" eszközt mutattak be szakértők, amely segítségével ellophatók a nem titkosított Gmail session-ök ID-jai és amely képes ezek birtokában belépni a Google Mail fiókokba. A San Francisco-i Mike Perry nevéhez fűződik az eszköz megalkotása. Perry azt tervezi, hogy két héten belül publikálja a tool-t.

Gyakori hiba a felhasználók közt, hogy jelszavaiknak nem biztonságos karaktersorozatot (rövid, általában értelmes, kis- és nagybetűt, jeleket és számokat nélkülöző szavakat) választanak, mert a bonyolult jelszavakat elfelejtik. Ezek a jelszavak különböző módszerekkel kitalálhatók, így nem nyújtanak valami komoly biztonságot. A legtöbb felhasználó a bonyolult jelszavakat nem szereti, mert azokat nehéz megjegyezni. Biztonsággal foglalkozó kutatók most egy olyan eljárással álltak elő, amely megfelelően "erős" jelszavakat ad, mégsem kell hozzá hosszú és nehéz karaktersorozatot megjegyezni. A javaslat az, hogy digitális objekumok (képek, szöveg, url, mp3 file, stb.) szolgáljanak a jelszógenerálás és a jelszóra "visszaemlékezés" alapjául.

A BME Híradástechnikai Tanszék CrySyS Laboratóriuma a Kaminsky-féle DNS cache poisoning sebezhetőség apropójából megvizsgálta, hogy mennyire maradtak sérülékenyek a hazai DNS szerverek.

Sokakat érint és sokakat érdekel, hogyan halad a Kaminsky-féle DNS támadás
elleni védekezés implementálása hazánkban. A hiba létezése 2008. július 8. óta ismert, és azóta elérhetőek azok a friss szoftververziók is, amelyek védelmet nyújtanak a hiba ellen.
Vizsgálatunk során leellenőriztük, hogy a hazai DNS szerverek gazdái telepítették-e a
védekezéshez ma elengedhetetlen szoftvereket. Az eredmények azt mutatják, hogy a szerverek mintegy kétharmada jelenleg nem védett a támadás ellen. A nagy szolgáltatók többsége már implementálta a javasolt védelmet, de ez még nem elég az ügyfelek védelmére.

Az elmúlt időszakban sokat emlegetett Kaminsky-féle DNS sebezhetőségről megoszlanak a vélemények. Egyesek (pl. a Verisign) szerint nagyobb volt körülötte a hype, mint amekkora veszélyt rejt(ett), míg mások szerint a probléma sokkal komolyabb, mint elsőre gondoltuk volna. Hogy kinek van igaza, azt nem egyszerű eldönteni, mindenesetre Dan Kaminsky tegnap megtartotta előadását a felfedezésével kapcsolatban a las vegasi Black Hat konferencián. Az előadás diái elérhetők itt.

A széles körben kitárgyalt Kan Kaminsky-féle DNS cache poisoning sebezhetőséghez írt nemrég HD Moore egy másik biztonsági szakértő segítségével exploitot. Az exploit bekerült a Moore által igazgatott Metasploit framework névre hallgató támadás- és behatolástesztelő "szerszámkészletbe". Úgy tűnik, hogy a biztonsági szakértő sem volt elég elővigyázatos, mert cégének dolgozói kedden jelezték, hogy valami nincs rendben. A dolgozók azzal a szándékkal, hogy meglátogatják a Google-t, fake oldalra jutottak. Moore szerint ez azért volt lehetséges, mert a támadók sikeresen piszkáltak meg egy, az AT&T hálózatán levő DNS szervert. A teljes cikk itt olvasható.

A Heise Security mai cikkében arról elmélkedik, hogy a Microsofttal és a Linux disztribútorokkal (plusz a BSD-kel - OpenBSD, NetBSD, FreeBSD - a szerk.) ellentétben az Apple még mindig nem adott ki javítást ahhoz a széles körben ismert DNS sebezhetőséghez, amelyhez már jóideje elérhető publikus exploit. A cikk itt.

Egyre sürgetőbbé válik a Dan Kaminsky által jelzett "cache poisoning" DNS sebezhetőség mielőbbi javítása, mert a Metasploit framework néven ismert támadás- és behatolástesztelő keretrendszerbe bekerült egy, a hiba kihasználására írt exploit.