Titkosítás, biztonság, privát szféra

Extraordinary: Microsoft officially confirms @NSAGov developed the flaw that brought down hospitals this weekend. https://t.co/zQ6785YpFf

— Edward Snowden (@Snowden) May 14, 2017

A Microsoft elnöke, Brad Smith tegnap megszólalt WannaCry ügyben a cég hivatalos blogján. Mondandójának lényege egyebek mellett, hogy kiszivárgott NSA exploitok vezettek a kialakult WannaCry helyzethez. Ahhoz, hogy a "zsarolóvírus" nagyvállalatoknál okozott katasztrófahelyzetet világszerte. Smith szerint az NSA, a CIA és egyéb hírszerző szervezetek sérülékenységeket gyűjtögetnek, halmoznak fel (téééényleg? - a szerk.), ahelyett, hogy azok létezését felelősen közölnék. Ráadásul emelkedő tendenciát mutat az ezen exploitok kiszivárgását követő széleskörű károkozás. Smith oly messzire ment, hogy ezeket fizikai fegyverek eltűnéséhez hasonlította - szerinte ez olyan, mintha az amerikai hadseregtől elloptak volna néhány Tomahawk rakétát.

A blogbejegyzés itt olvasható.

Riasztást adott ki a WannaCry zsarolóvírus miatt a Kormányzati Eseménykezelő Központ. Mint írták, a zsarolóvírus terjedése kapcsán rövid időn belül, csaknem száz ország érintettségéről jelentek meg hírek, érintett Spanyolország, Nagy-Britannia, Ukrajna, Oroszország, India és Kína is.

Az elemzések szerint a WannaCry távoli kódfuttatást kezdeményez a Microsoft Windows rendszerekben önmaga terjesztéséhez. Mivel a vírus képes féregszerűen terjedni, ezért rendkívül gyorsan fertőz a belső hálózatokon is.

A Microsoft a márciusi javítócsomagjai kiadásakor az érintett sérülékenységeket már javította, frissült az XP-n, a 2003-on és a 2008-on kívül a 7-es, a 8-as és a 10-es szériájú Windows is, a javítás automatikus frissítésen keresztül elérhető.

A hvg.hu portál azt írta, Magyarországra is elért a vírus, a Telenor érintett az ügyben. A telekommunikációs cég a hírportálnak megerősítette az értesüléseket.

[ forrás | WannaCry zsarolóvírus ]

The OpenVPN 2.4 audit results are here:https://t.co/MeHy9crOJX
We are answering questions on Reddit!https://t.co/lNidDActU4

— OSTIF Official (@OSTIFofficial) May 11, 2017

Az OSTIF és a QuarksLab bejelentette, hogy végeztek az OpenVPN 2.4.0 windowsos és linuxos verziójának auditálásával. Az audit során az NDIS6 TAP Driver for Windows, a Windows GUI és a Linux verzió került górcső alá. Az audit eredményei itt olvashatók.

.@natashenka Attack works against a default install, don't need to be on the same LAN, and it's wormable.

— Tavis Ormandy (@taviso) May 6, 2017

MsMpEng: Remotely Exploitable Type Confusion in Windows 8, 8.1, 10, Windows Server, SCEP, Microsoft Security Esse... https://t.co/UlvgYfbg4w

— Project Zero Bugs (@ProjectZeroBugs) May 9, 2017

A Google Project Zero tag Tavis Ormandy és kollégája, Natalie Silvanovich egy olyan távoli, féregírásra alkalmas Windows kódfuttatást fedezett fel, amit csak úgy jellemeztek, hogy a közelmúlt legrosszabbja. Részletek itt.

Számos bank használja előszeretettel a SMS-re épülő kétfaktoros autentikációt, annak ellenére, hogy szakértők régóta mondogatják, hogy kijátszható. A működése egyszerű: az ügyfél megadja bankja weboldalán stb. a belépési adatait, a bank küld egy megerősítő kódot tartalmazó SMS-t az ügyfél korábban regisztrált telefonszámára, az ügyfél ezt a kódot visszagépeli a bank weboldalán, így azonosítva magát második lépcsőben. Az elgondolás jó, de vannak vele gondok.

A probléma a kommunikációs láncban jelen levő Signaling System 7 protokollal van. A probléma régóta ismert, de javítása, lecserélése mégis várat magára. Pedig sürgős lenne, főleg azután, hogy élő példa akadt a kihasználására.

A német O2-Telefonica elismerte a Süddeutsche Zeitung-nak, hogy egyes ügyfeleik bankszámláját megcsapolták az SS7 hibáját kihasználva. A támadók az SS7 hibáját kihasználva elfogták a bank által az ügyfélhez küldött SMS-eket. Természetesen az SMS-ek önmagukban nem lettek volna elegendőek ehhez a mutatványhoz. Az is kellett hozzá, hogy a támadók az áldozatok egyéb belépési adatait előzőleg megszerezzék egyéb, jól ismert módokon (pl. levélben küldött malware-en keresztül).

További részletek itt.

Our #shadowbrokers #DOUBLEPULSAR detection script now has remote uninstall capability for remediation https://t.co/RhvmjkcqbE #threathunting pic.twitter.com/I6yEb27H6T

— Countercept (@countercept) April 25, 2017

A Shadow Brokers által kidumpolt NSA hacking eszközök és exploitok közt volt megtalálható a DoublePulsar SMB és RDP "implantátum", ami állítólag már több mit 55 ezer Windows gépen detektálható.

A Countercept elérhetővé tett egy DoublePulsar detektáló és eltávolító eszközt a GitHub-on. A segítségével szkennelhető egy gép vagy akár egy egész hálózat is.

@DueMarauder We're working on a universal fix now. Follow our Community thread to stay up-to-date: https://t.co/XSbt0Iu4VB.

— Webroot (@Webroot) April 24, 2017

Egy csomó ügyfél panaszkodott arra, hogy a Webroot az egyik szignatúra frissítése után a hibásan detektált malware-ként több fontos Windows fájlt és azon futó alkalmazások fájljait. A cég igyekszik úrrá lenni a zűrzavaron és javítani a problémát. Részletek a cég közösségi fórumán itt.

The story of how SSH got port number 22 https://t.co/rroRgxj4gx

— Hacker News (@newsycombinator) April 23, 2017

A sztorit maga Tatu Ylönen, az SSH protokoll megalkotója mondja el itt.

CVE-2017-7184 Linux kernel privesc demo'ed by @ChaitinTech in #Pwn2Own is now public https://t.co/5YkyssotzF https://t.co/HPPCJEkq4w

— Solar Designer (@solardiz) March 30, 2017

Publikussá váltak annak a privilégium-szint emelést lehetővé tevő, helyi Linux sebezhetőségnek a részletei, amelyet ChaitinTech mutatott be és használt ki a 2017-es Pwn2Own rendezvényen.