Titkosítás, biztonság, privát szféra

Az Ars Technica egyik cikke szerint 2016 közepén az Apple állítólag malware-t talált a szervereinek egy részét szállító Supermicro által gyártott szerverek firmware-ében. Az Apple ezután szakított a hardvergyártó céggel és visszaküldte neki a tőle vásárolt felszerelést. Egy informátor szerint a megreklamált firmware-t a Supermicro támogatási oldaláról töltötték le és az most is megtalálható ott. A Supermicro egyik vezetője szerint csak az Apple-nek volt gondja a firmware-rel, több ezer más ügyfelüknek nem.

Részletek itt.

Akkor:

Linus Torvalds about changing Git's SHA-1 to SHA-256 "So in this case, the collision is entirely a non-issue" https://t.co/7CPr0HWcWO

— Juliano Rizzo (@julianor) February 23, 2017

és ma:

Linus on Git and SHA-1 https://t.co/PYp25E2xrS

— LWN.net (@lwnnet) February 25, 2017

10 évvel az SHA-1 bemutatkozása után ma a Google és az amszterdami CWI Institute kutatói jelentős bejelentést tettek: ütközés előállítására használható gyakorlati technikát jelentettek be. PoC-ként pedig kiadtak két PDF fájlt különböző tartalommal, de egyező SHA-1 hash-sel.

Today, 10 years after of SHA-1 was first introduced, we are announcing the first practical technique for generating a collision. This represents the culmination of two years of research that sprung from a collaboration between the CWI Institute in Amsterdam and Google. We’ve summarized how we went about generating a collision below. As a proof of the attack, we are releasing two PDFs that have identical SHA-1 hashes but different content.

Részletek a itt.

Még mindig nem tudni pontosan, hogy mi okozta azt a példa nélküli esetet, hogy a Microsoft elhalasztotta az aktuális havi biztonsági frissítéseinek kiadását. Mint az ismert, a redmondi szoftvergyártó meghatározatlan ideig eltolta a 2017 februári rendszeres biztonsági frissítések kiadását. A magyarázat nélküli, utolsó pillanatban közzétett közlemény szerint valamilyen, nem specifikált hiba miatt az összes javítás kiadását csúsztatta. Később az eredeti blogposztot a Microsoft azzal egészítette ki, hogy a februárra tervezett biztonsági javításokat majd a márciusban esedékes frissítésekkel együtt, március 14-én adja ki.

Ezek után a szoftvergyártó kedden mégis adott ki kritikus hibajavításokat (Flash Player), de továbbra sem javított olyan 0day hibákat, amelyekre publikus exploit érhető el. Az egyik egy korábban említett SMB bug, a másik pedig egy, a Google által a napokban publikált bug, melynek részleteit a Google már hónapokkal ezelőtt jelezte a Microsoftnak.

Azt ugyan még mindig nem tudni hivatalos forrásból, hogy miért halasztotta el a Microsoft az aktuális, havi patchek kiadását, de pletykák keringenek arról, hogy probléma lépett fel a cég build rendszerében.

Részletek itt.

MMU side-channel attack that breaks ASLR in 10s of seconds! We had to keep this a secret for a while. Enjoy: https://t.co/sZSJwSfYv3 #NDSS17

— Kav (@gober) February 14, 2017

A holland Vrije University öt kutatója egy olyan támadást fejlesztett ki, amely rendkívül hatékonynak bizonyul az Address Space Layout Randomization (ASLR) védelmi mechanizmus áthágásában minimum 22 processzorarchitektúrán, beleértve a legnépszerűbb gyártók - Intel, AMD, ARM, Allwinner, Nvidia - termékeit. A támadást ASLR⊕Cache vagy röviden AnC néven emlegetik.

In this project, we show that the limitations of ASLR is fundamental to how modern processors manage memory and build an attack that can fully derandomize ASLR from JavaScript without relying on any software feature. [...] We are releasing the native version of AnC as a library to reverse engineer page table caches. We are not going to release the JavaScript version of AnC in order to protect Internet users from the AnC attack. However, we predict that any sufficiently advanced adversary can replicate our results in a few weeks with the knowledge from our NDSS’17 paper. [...] We started the disclosure process in coordination with the Dutch National Cyber Security Center (NCSC) in October of 2016 with a disclosure date set to February 15, . This was a challenging process involving many different parties including the processor, browser and OS vendors. Some processor vendors agreed with our findings that ASLR is no longer a viable security defense at least for the browsers. Others did not dispute our findings. From the browser vendors, most found AnC relevant.

Részletek a projekt weboldalán.

Today's Signal for Android and iPhone release includes beta support for encrypted video calling: https://t.co/31gWIdcyMM

— Open Whisper Systems (@whispersystems) February 14, 2017

Az Open Whisper System bejelentette, hogy biztonságos üzenetküldő alkalmazásának, a Signal-nak androidos és iOS-es új kiadása béta állapotú titkosított videohívás funkciót is kínál. A Signal egy GPL-es üzenetküldő alkalmazás, amely biztonságos (end-to-end titkosított) szöveges üzenet, telefonhívás és immár videohívás funkciókat is kínál.

Részletek a bejelentésben.

VU#867968: Microsoft Windows SMB Tree Connect Response memory corruption vulnerability https://t.co/Raq3jYAEM8

— US-CERT (@USCERT_gov) February 2, 2017

CERT/CC Reports a Microsoft SMB Vulnerability https://t.co/XPIq7huJIe

— US-CERT (@USCERT_gov) February 3, 2017

Csütörtökön a US CERT egy biztonsági figyelmeztetőt publikált, amelyben egy, az összes támogatott Windows verziót érintő memóriakorrupciós hibára hívja fel a figyelmet. A hibát Laurent Gaffié fedezte fel és jelezte a Microsoftnak 2016. szeptemberében. A hiba az alábbi Windows verziókat érinti:

• Windows XP
• Windows Server 2003
• Windows 7
• Windows 8
• Windows Server 2008
• Windows Server 2012
• Windows 10

Javítás még nincs a hibára, de PoC exploit már elérhető:

A Pwn2Own rendezvény az elmúlt egy évtizedben a biztonsági "vetélkedők" fénypontjává nőtte ki magát. Az évek során szerepelt a célpontok közt Windows, OS X, böngésző, mobiltelefon operációs rendszer, de Linux nem nagyon volt. Most ez változik. A 2017-es Pwn2Own célpontjai közé bekerült:

Local Escalation of Privilege

[...]

This is also the first time we included Linux as a target. In this category, the entry must leverage a kernel vulnerability to escalate privileges. If they do, contestants will earn $30,000 for Microsoft Windows 10, $20,000 for macOS, and $15,000 for Ubuntu Desktop.

További részletek a Trend Micro blogbejegyzésében.