Titkosítás, biztonság, privát szféra

A StillSecure biztonsági cég egymás mellé állított néhány OS-t, és próbára tette őket a neten antivírus szoftver nélkül.

Amon Ott bejelentette, hogy megjelent az RSBAC - a szabad és nyílt forrású (GPL) Linux kernel biztonsági kiegészítés - 1.2.4-es verziója.

Főbb funkciók:* Free Open Source (GPL) Linux kernel security extension

* Independent of governments and big companies

* Several well-known and new security models, e.g. MAC, ACL and RC

* Control over individual user and program network accesses

* Fully access controlled kernel level user management

* Any combination of models possible

* Easily extendable: write your own model for runtime registration

* On-access virus scanning with Dazuko interface

* Support for current kernels in 2.4 and 2.6 series

* Stable for production use since January 2000

A változások teljes listája itt. Bejelentés itt.

Bruce Schneier blogjában további fejtegetéseket olvashatunk a pár nappal ezelőtt felröppentett SHA1 ügyről. Schneier szerint megszületett az első olyan támadási lehetőség az SHA1 ellen, amely gyorsabb, mint a brute force támadás.

Három kínai crypto szakember pár nappal ezelőtt megmutatta, hogy az SHA1 nem ütközés-mentes. Elkészítettek egy olyan algoritmust, amely gyorsabban találja meg az ütközéseket az SHA1-ben, mint ha valaki nyers erővel próbálná meg feltörni azt.A felfedezés szerint már nem 2^80-on próbálkozás kell ahhoz, hogy ütközést találjanak az SHA1-ben, hanem csak 2^69-en. Ez azt jelenti, hogy 2.000-szer gyorsabban lehet eredményt elérni, mint a brute force megoldással.

A szakember, hogy érzékeltesse a problémát az alábbi példát hozta:

1999-ben egy csapat titkosítási szakember épített egy DES törő gépet. A gép 2^56-on DES műveletet végzett el 56 óra alatt. A gép 250 ezer dollárban került, de másolatok már készíthetők 50-75 ezer dollárból is. Moore törvényének értelmében, ha hasonló gépet építenénk ma, az már 2^60-on műveletet tudna elvégezni 56 óra alatt, és 2^69 számítást három és negyed éven belül. Vagy egy 25-30 millió dolláros gép már most el tud végezni 2^69-en műveletet 56 óra alatt.

A szakember példaként hozta az elosztott számítást is. Például a Distributed.net által végzett sikeres kódtörést 2002-ben.

Néhány szakember a dologról:

Jon Callas, PGP:

"It's time to walk, but not run, to the fire exits. You don't see smoke, but the fire alarms have gone off."

Érdekes olvasmány. Érdemes elolvasni.

Szerencsére a szakemberek szerint van megoldás. Ezek lehetnek az SHA-224, SHA-256, SHA-384, és az SHA-512.

Az írás itt.

Bruce Schneier neves amerikai titkosítási és biztonsági szakértő szerint az SHA1 algoritmus tervezési hibákat tartalmaz. Szerinte most nem csak elméleti, hanem igazi, valószínűleg kihasználható hibáról van szó. Ha ez így van, akkor az SHA1-nek vége, mint a digitális aláírásokhoz használt hash algoritmus.A szakértő blogjában azt olvashatjuk, hogy Xiaoyun Wang, Yiqun Lisa Yin, és Hongbo Yu (a kínai Shandong Egyetemről) olyan dokumentumot készítettek, amely ezt az állítást alátámasztják. Jelenleg a papír nem érhető el publikusan. Schneier több részletet ígér, ha azok a birtokába kerülnek.

Bővebben a szakember blogjában.

Ezzel a címmel jelent meg ma prezentációja Dave Aitelnek, az Immunity, Inc. alapítójának. A hacker olyan híres könyvek társszerzője, mint a The Hacker's Handbook vagy a The Shellcoder's Handbook. Jelenlegi előadásaival azt szeretné bemutatni, hogy hogyan gondolkoznak a hackerek és milyen technikákat használnak a hibák felderítéséhez és kihasználásához.Ez a prezentáció azért emelkedik ki az átlag előadások közül, mert az igazi hackerek szemszögéből mutatja be a problémákat és azok kihasználását, ezáltal nem hasonlítható össze az átlag leírásokkal, melyeket akadémiai vagy önjelölt szakértők írnak.

Dave kiemeli, hogy egy exploit során nem feltétlenül egy hibára alapoznak a hackerek, így olyan bugok is kihasználhatóak lesznek, melyek önmagukban kevesek lennének egy sikeres betöréshez. Mivel biztosra akarnak menni, ezért nem publikus hibákat használnak ki (0day), így nem áll fenn a veszélye annak, hogy a támadott rendszer már patchelve van és nyomot hagynak a logokban vagy egy IDS elcsípi a probálkozásokat.

Számomra a prezentáció kulcsmondata a "Patching is basically useless for security" volt, melyel nem azt akarja kifejezni a szakértő, hogy az emberek ne foltozzák be a hibákat, hanem hogy senki se erre alapozza a biztonságot. A tanulmány jól mutatja be különböző ábrákon, hogy jelenleg a sikeres betörések java része a patchek megjelenése előtt következik be.

A Grsecurity felhasználók (és fejlesztők) szívét biztos megmelengeti, hogy Dave többször is megdicséri és ajánlja a Grsecurityt a Linuxokhoz.

A bemutató diái letölthetők innen.

Werner Puschitz összeállított egy olyan biztonsági útmutatót, amelynek célja, hogy összeszedje az éles körülmények között üzemeltett Linux rendszerek biztonságosabbá tételéhez szükséges alapvető dolgokat.

A tartalomból:* General

* Patching Linux Systems and Limiting Software Packages (RPMs)

* Disabling System Services

* Checking Accounts

* Enabling Password Aging

* Setting Password Restrictions

* Restricting Use of Previous Passwords

* Locking User Accounts After Too Many Login Failures

* Restricting User Access Based on Time and Day

* Restricting Direct Login Access for System and Shared Accounts

* Restricting su Access for System and Shared Accounts

* Restricting System Access from Servers and Networks

* Preventing Accidental Denial of Service

* Checking File Permissions and Ownership

* Securing NFS

* Securing SSH

* Securing Sendmail

* Kernel Tunable Parameters

* Displaying Login Banners

* Miscellaneous

* Security Books

Az útmutató elolvasható itt.

Tegnap megjelent a Grsecurity biztonsági kernelpatch a 2.4.28-as és 2.6.10-es kernelekhez. A letöltés szekcióban a grsec patch mellett biztonsági patcheket is találunk.
2.4.28:

--------

http://www.grsecurity.net/grsecurity-2.1.0-2.4.28-200501051112.patch

http://www.grsecurity.net/linux-2.4.28-secfix-200501071141.patch

2.6.10:

--------


http://www.grsecurity.net/grsecurity-2.1.0-2.6.10-200501071049.patch

http://www.grsecurity.net/linux-2.6.10-secfix-200501071130.patch

A grsecurity-t kedvelők a 2.6-os szériában hosszú ideje nélkülözni kénytelenek, a 2.6.8-ban bevezetett memóriakezelési változások miatt... Jó hír, a PaX csapat végre megküzdött a változásokkal, és Spender kiadott egy release candidate-et 2.6.10-hez, és 2.4.28-hoz.http://www.grsecurity.net/~spender/grsecurity-2.1.0-2.4.28-200501051112.patch

http://www.grsecurity.net/~spender/grsecurity-2.1.0-2.6.10-200501051205.patch

Bejelentés: itt

Teszteljen, aki úgy érzi, mert 2 nap, és release lesz...

Újabb phpBB féreg. A féreg ezúttal javít(ani próbál).

Karácsony előtt kezdett tombolni a Santy.{A, B, C} névre hallgató perl féreg, amely a 2.0.11-es verziójúnál korábbi phpBB fórumokban található highlight bugot használja ki. A féreg távolról parancsokat futtat a hibás fórummotort futtató gépen, és azt deface-li, vagy irc-s támadásokhoz ``zombi'' géppé alakítja. A sikeres támadás után a Santy odébbáll és újabb áldozatokat keres. Ehhez a Google és a Yahoo keresőit használja fel.

A járvány meglehetősen komoly, mert a phpBB sok millió oldal kedvenc fórummotorja. A támadás ráadásul karácsonykor tetőzött, amikor a legtöbb oldal gazdája és a hosting cégek rendszergazdái is mással foglalkoztak, mint az oldaluk patchelésével. Az eredmény: kb. 40.000 deface-lt oldal pár nap alatt. A próbálkozások miatt a javított oldalakon is komoly hálózati forgalmat generál a Santy. Akkor is próbálkozik, ha az oldal már nem sebezhető (hatásos védekezés lehet ellene a patchelésen kívül a mod_rewrite és a mod_security Apache modulok használata. Persze ettől még az oldalon nem lesz kisebb a hálózati forgalom.)

Valaki úgy gondolta, hogy ha a bugot rossz szándékkal fel lehet használni, akkor akár jó (?) szándékkal is. Ez a valaki írt egy Anti-Santy férget, és eleresztette az interneten. A működése hasonló a Santy-éhoz (elképzelhető, hogy egy módosított Santy), amely szintén sebezhető oldalakat keres a Google-ban (hogy mennyire hatékony azt nem tudni, mert a Google már sok-sok napja blokkolja a féreg kéréseit). Viszont ellentétben a Santy-val, ez nem tesz irc botokat az áldozatul esett gépekre. Egyszerűen megpróbálja kijavítani a viewtopic.php-ban levő bugot, majd a következő üzenettel deface-li az oldalt:

``viewtopic.php secured by Anti-Santy-Worm V4. Your site is a bit safer, but upgrade to >= 2.0.11.''

Vírusírtó cégek a támadások alapján arra következtetnek, hogy az Anti-Santy wormok Argentínából indultak útjukra.

Természetesen ez a féreg sem jobb, mint a Santy. Ugyanolyan káros forgalmat generál a phpBB oldalakon, mint korábbi társai.

Bővebben itt.

A phishing (adathalászat) támadás során a támadó spoofolt email cím, vagy hamisított weboldal felhasználásával próbálja meg becsapni az áldozatát és megfosztani személyes, titkos adataitól (például: jelszavak, bankszámla adatok, hitelkártya számok, stb.). A phishing a social engineering egyik fajtája. E típusú támadás az 1990-es évek közepén vésődött be az emberek agyába, mikoris crackerek AOL accountokat próbáltak lopni.

Példa a phishing-re: A támadás során a cracker az AOL munkatársának adhatja ki magát, és arra kérheti a kiszemelt felhasználót, hogy az küldje el jelszavát abból a célból, hogy azt leellenőrizhessék. Miután a naív felhasználó elküldte jelszavát, azzal tetszőleges visszaélést követhet el a támadó. Például spammelhet.

A phishing típusú támadások sokkal veszélyesebb fajtája, mikor a támadó pénzintézetnek adja ki magát. Erre nem is olyan régen volt példa itthon is, mikor a legnagyobb magyar bank nevében próbáltak meg bankszámla adatokat és jelszavakat kicsalni a gyanútlan ügyfelekből. A bank közleményben jelezte, hogy soha, semmilyen körülmények közt nem kéri ügyfeleit titkos banki adatai kiszolgáltatására. A phishing nagy probléma, mert azok az emberek akik nem nagyon járatosak az ilyen típusú támadásokban, könnyen áldozatul eshetnek. Elég egy az ügyfél bankjának netbanking oldalához megtévesztésig hasonló weboldalt elkészíteni, spammelni, majd várni, hogy ki mikor adja meg bankszámlájának adatait.

A phishing típusú támadások egyre nőnek. A phishing ellen létrejött egy munkacsoport, az APWG (Anti Phishing Working Group), amelynek szponzorai között megtalálhatók a legnagyobb hitelkártya cégek éppúgy, mint a vezető vírusírtó és biztonságtechnikai cégek. Nem véletlenül. Például Jonathan Schwartz, a Sun elnöke szerint a phishing az egyik olyan dolog amitől a legjobban fél.

Most éppen a NetCraft gondolta úgy, hogy valamit tenni kellene a phishing ellen. A NetCraft egy olyan böngésző toolbar-t készített és tett elérhetővé a napokban, amely a böngszőben jelzi, ha valaki phishing oldalra tévedt.

A toolbar állandóan információkat szolgáltat az éppen aktuálisan meglátogatott weboldalról, és jelzi, ha az oldallal probléma van. Ehhez a NetCraft adatbázisát használja fel, de a felhasználók is közreműködhetnek azzal, hogy gyanús oldalakat jelentenek a NetCraft-nak a toolbar vagy az erre készült weboldal segítségével.

A toolbar segítségével blokkolhatjuk a ártó szándékú weboldalt. Azon túl, hogy a toolbar segít a phishing oldalak elleni harcban, további infókat is szolgáltat az siteokról. Például jelzi, hogy az adott oldal mennyire népszerű a toolbar használók közt. Emellett elérhetők az oldal NetCraft által monitorozott adatai is, például az uptime, netblock owner, stb.

A toolbar egyelőre csak IE-re tölthető le, de a készítők már dolgoznak a Firefox verzión is, amelyet ígéretük szerint hamarosan letölthetünk.

Bővebben a NetCraft oldalán itt, itt és itt.