Titkosítás, biztonság, privát szféra

A Dr. Web antivírus cég azt állítja, hogy több mint fél millió Mac számítógép fertőződhetett meg a BackDoor.Flashback trójaival világszerte. A trójai feltehetően egy olyan Java sebezhetősége(ke)t használ ki, amelyet az Apple április 3-án javított ki. A sebezhetőséget az Oracle februárban javította a windowsos verzióban.

Ivan Sorokin - a Dr. Web malware elemzője - azt állította a Twitter-en, hogy a botnet mérete már meghaladta a 600 ezres számot. A fertőzött gépek nagy része az Egyesült Államokban található, majd' háromszázas nagyságrendben Cupertino-ban, így nem kizárt, hogy az Apple főhadiszállásán is áldozatul esett néhány gép. Az F-Secure szerint valósak lehetnek a Dr. Web által közölt számok. Azok számára, akik belefutottak a trójaiba, az F-Secure közzétett egy instrukciót a manuális eltávolításra.

További részletek itt és itt.

Azoknak, akik publikus IP-n elérhető FreePBX-et üzemeltetnek Asterisk szerverük konfigurálására, érdemes lehet egy kicsit jobban figyelni, mert a full-disclosure lista egyik levele szerint a FreePBX jelenlegi és korábbi verzióin hiányzó bemenet-ellenőrzés miatt távolról kódot lehet futtatni. Ráadásul emellett XSS problémák is vannak vele. Érintett verziók: 2.10.0, 2.9.0 és esetlegesen korábbi verziók is. 2011. június 12. óta próbált a sebezhetőség felfedezője patch-et beküldeni a gyártóhoz, sikertelenül. Mivel a gyártónak nem volt eddig szándékában a problémával foglalkozni, Martin Tschirsich a nyilvánossághoz fordult és közölte a sebezhetőség részleteit. Ezen kívül nem hivatalos patcheket is elérhetővé tett a probléma javítására. A FreePBX projekt egyelőre nem erősítette meg hivatalosan a probléma létezését és nem közölte, hogy szándékában áll-e a hibát javítani. A részletek itt.

"Alapértelmezetten engedélyezett root account-tal szállítani (a CyanogenMod-ot - a szerk.) 1000000+ eszközre tátongó lyuk volt. Hisszük, hogy ezen változtatásokkal kompromisszumra jutottunk, amely lehetővé teszi a rajongóknak, hogy továbbra is használhassák a root-ot ha úgy kívánják, miközben jó biztonsági szintet kínálunk a felhasználók többségének."

A CyanogenMod projekt bejelentése arról, hogy a CM9-től a root account alapértelmezetten tiltva lesz, elolvasható itt.

Néhány nappal ezelőtt ismeretlen személy(ek) egy projektet regisztrált(ak) a SourceForge-on Anonymous-OS néven, azt színlelve, hogy a projektnek köze van az elmúlt hónapokban a lapok címoldalán rendkívül sokat szereplő Anonymous csoporthoz, megmozduláshoz. A projekt egy Ubuntu 11.10 alapú LiveCD, amely olyan Linux disztribúció benyomását szeretné kelteni, hogy vele weboldalak biztonságát lehet "tesztelni", benne olyan hacking eszközök vannak csomagolva, amelyek ezt a tevékenységet segítik.

Nem sokkal az Anonymous-OS felbukkanása után a biztonsági szakma, közösség egy része kételyeinek adott hangot a projekttel kapcsolatban és a kételyt erősítette, hogy az Anonymous csoport a Twitteren azt közölte, hogy az OS hamis, semmi köze az Anonymous csoporthoz és trójaikkal van megpatkolva.

Nem tartott sokáig, hogy szabadon elérhető Proof-of-Concept (PoC) exploitot fedezzenek fel az MS12-020-ra. Az sem kizárt, hogy információ szivárog vagy a Microsoft-tól, vagy a Microsoft Active Protection Program-ból (MAPP), a programban szereplőktől, vagy a ZDI-től..
A Microsoft kedden jelentette be, hogy távolról kihasználható, kritikus sebezhetőség található az RDP implementációjában. A Microsoft sürgette a rendszeradminisztrátorokat az azonnali patchelésre, mert attól tartott, hogy 30 napon belül kódfuttatást lehetővé tevő exploit bukkanhat fel a hibára. A hírek szerint kínai fórumokon már felbukkant egy exploit. Nem is akármilyen.

Frissítve: Auriemma egy írást tett közzé, amelyben egyebek mellett az olvasható, hogy miért gondolja azt, hogy a rondán megírt PoC-t a Microsoft készítette, illetve néhány lehetséges forgatókönyvet vázol fel arról, hogy hogyan szivároghatott ki a cucc.

Biztonsági incidens történt tegnap a GitHub-on. Egor Homakov állítólag egy régóta ismert Ruby on Rails problémát (mass-assignment vulnerability) használt ki. A H Open cikke szerint Homakov-nak lehetősége nyílt egyebek mellett változtatásokat push-olni tetszőleges GitHub projektbe.

Részletek itt.

A biztonsági termékeiről ismert Trend Micro bejelentette, hogy HijackThis termékének forrását megnyitotta és azt a GNU General Public License v2 feltételei szerint közzétette. A program eddig is ingyenesen elérhető volt, de mostantól szabad szoftverként folytatja pályafutását. A projekt weboldala megtalálható a SourceForge-on itt. A Trend Micro bejelentése itt olvasható.

Egy szoftverfejlesztő, midőn a Path iOS-es alkalmazását elemezte, felfedezte, hogy a szoftver a felhasználók előzetes beleegyezése nélkül feltölti azok címjegyzékét a cég saját szerverére. Az alkalmazás által generált hálózati forgalom mitmproxy-val való elemzése után kiderült, hogy a felhasználók teljes címjegyzéke - beleérte a teljes nevek, e-mail címek, telefonszámok - feltöltésre kerülnek a Path szervereire. A Path vezérigazgatója, Dave Morin elismerte a problémát és azt mondta, hogy nagyon komolyan veszik azt. Természetesen a cég vezetőjének volt "mentsége" az adatlopásra. Annak ellenére, hogy megpróbált valamiféle magyarázatot adni a dologra, Morin megígérte, hogy a jövőbeli verziókban előbb megkérdezik majd a felhasználót, hogy az engedélyezi-e az adatküldést. Az újabb verzió elkészült és az Apple jóváhagyására vár az App Store-ban. A korábbi androidos verziók is érintettek voltak, de a cég vezetője szerint Android-on már néhány hete verziót váltott az alkalmazás és már megkérdezi a felhasználókat az adatfeltöltéssel kapcsolatban.

Frissítés: We are sorry. We made a mistake.

Miután a Symantec elismerte, hogy illetéktelenek eltulajdonították több szoftvere - egyebek mellett a pcAnywhere - forrását, azt javasolta ügyfeleinek, hogy ideiglenesen álljanak le a szoftver használatával. Közben egy illető - bizonyos Yamatough -, aki azt állította, hogy birtokában vannak a kódok, pénzt akart kicsikarni a vállalatból annak fejében, hogy nem publikálja a forrást az interneten. A Symantec együttműködött a hatóságokkal annak érdekében, hogy kiderítsék, ki fenyegeti. Állítólag a hatóságok egy Sam Thomas nevű kitalált Symantec alkalmazott bőrébe bújva léptek kapcsolatba a hallgatási pénzt kérővel.

A minap akadtam rá a Mobile-OTP oldalra, ami leginkább - de nem kizárólag - a mobiltelefonra telepíthető klienssel való jelszógenerálásról szól.

A lényeg dióhéjban: