Adatok
buherator
1719 bejegyzést írt és 895 hozzászólása volt az általa látogatott blogokban.
Kiberblog
Lampyre - Nyomozás a magyar fejlesztésű hírszerző (információszerző) szoftver után
2020.03.30 12:48:27
OSINT-mester ismerősöm (BA) hívta fel a figyelmemet egy nagyon érdekes sztorira. Megjelent egy poszt a Lampyre nevű nyílt forrású hírszerző/információszerző (kinek hogy tetszik, továbbiakban: OSINT) szoftverrel kapcsolatban, amely azt állítja, hogy a szoftvert Budapesten fejlesztik, és feltételezi,…..
Nagyon hasznos plugint adott ki a Google Chrome böngészőkhöz.
A Password Checkup bővítmény figyel a bejelentkezési ablakokban beírt felhasználó neveket és jelszavakat (pl. email + jelszó) és szól, ha olyan jelszóval akarunk valahova bejelentkezni, amely már kiszivárgott és kompromittálódott...
A Protonmail szándékosan rossz kóddal működik és egy svájci-amerikai szerződés alapján adatokat szivárogtat az USA-nak – állítja közzétételben egy AmFearLiathMor nevű hacker.
A bejelentés szerint a Protonmailt teljesen kompromittálták, nem csak a felhasználók bejelentkezési adatait szerezték meg,…..
buherator
2018.11.22 12:49:35
Azért azt tegyük hozzá, hogy a Pastebinen leírt forgatókönyv teljesen reális:
eprint.iacr.org/2018/1121.pdf
Szóval a svájci szerver meg az end-to-end crypto sem ér semmit, ha a kliens SW-t minden alkalommal a szolgáltatótól/CDN-ről kell betölteni (ld. host based security - www.wired.com/threatlevel/2012/08/wired_opinion_patrick_ball/all/ ) :P
eprint.iacr.org/2018/1121.pdf
Szóval a svájci szerver meg az end-to-end crypto sem ér semmit, ha a kliens SW-t minden alkalommal a szolgáltatótól/CDN-ről kell betölteni (ld. host based security - www.wired.com/threatlevel/2012/08/wired_opinion_patrick_ball/all/ ) :P
Nem telhet el hónap úgy, hogy valami égbekiáltó dolog ne jelenne meg a Word-el kapcsolatban, és ez igaz lesz októberre is.
A Cymulate mutatott be egy olyan sérülékenységet, amelyet ugyan jelentett a Microsoftnak, de egyelőre a gyártó semmilyen javítást nem adott ki.
Miről van szó?
A Word…..
Egy rövid postban szeretnék megemlékezni egy víruskereső és szignatúra nélküli fertőtlenítési módszerről, amely nem csak manuálisan játszható, de a jobb védelmi rendszerek részeként automatikusan is működik, legfeljebb nem tudjuk, hogy ott van és teszi a dolgát.
A Content Disarm and Reconstruction…..
buherator
2018.09.26 13:16:35
Végre egy téma, amihez még én is hozzá tudok szólni! :)
Szóval a módszert már 2010-ben megpróbálták alkalmazni FX-ék (afaik német kormányzati projekt keretében):
file:///tmp/FX_Blitzableiter_BHUSA2010.pdf
Szóval az alapkoncepció valószínűleg nem hülyeség (appealing to authority...), de pár dolgot érdemes figyelembe venni:
Először is a "csak a fájlformátumokat kell a gyártónak ismernie" ekvivalens az általában vett parser problémával, amiből a legtöbb bajunk származik eleve. Megmondani, hogy hogyan néz ki egy "elfogadható" Word doksi nem könnyebb, mint megmondani, hogy van-e egy Word doksiban gyanús tartalom - ráadásul mindezt újabb memóriakorrupció bevezetése nélkül! Szóval első körben érdemes megnézni, hogy egy adott megoldás milyen technológiával van implementálva, és messze elkerülni pl. a C/C++ parser szörnyeket.
Másodszor az, hogy tudjuk "milyen veszélyesen IS használható építőelemek vannak" (egyébként nem tudjuk, ld. Office egyenetszerkesztő legutóbbi sérülékenysége) még nem elég a boldogsághoz. Egy csomó exploit teljesen legitim elemek "furcsa" használatával működik (pl. buhera.blog.hu/2013/02/24/use-after-free_masodik_resz), egy szintaktikailag legitim, standard elemeket tartalmazó fájlt pedig mi alapján jelölsz kártékonynak? A Blitzableiter esetében az ötlet az volt, hogy a teljes Flash fájlt újraépítették, ami szinte biztosan eltörte az exploitot.
Végül érdemes lenne megnézni, hogy mi vezetett a Blitzableiter igen mérsékelt sikeréhez (a Flash jóval későbbi halálán túl)...
Szóval a módszert már 2010-ben megpróbálták alkalmazni FX-ék (afaik német kormányzati projekt keretében):
file:///tmp/FX_Blitzableiter_BHUSA2010.pdf
Szóval az alapkoncepció valószínűleg nem hülyeség (appealing to authority...), de pár dolgot érdemes figyelembe venni:
Először is a "csak a fájlformátumokat kell a gyártónak ismernie" ekvivalens az általában vett parser problémával, amiből a legtöbb bajunk származik eleve. Megmondani, hogy hogyan néz ki egy "elfogadható" Word doksi nem könnyebb, mint megmondani, hogy van-e egy Word doksiban gyanús tartalom - ráadásul mindezt újabb memóriakorrupció bevezetése nélkül! Szóval első körben érdemes megnézni, hogy egy adott megoldás milyen technológiával van implementálva, és messze elkerülni pl. a C/C++ parser szörnyeket.
Másodszor az, hogy tudjuk "milyen veszélyesen IS használható építőelemek vannak" (egyébként nem tudjuk, ld. Office egyenetszerkesztő legutóbbi sérülékenysége) még nem elég a boldogsághoz. Egy csomó exploit teljesen legitim elemek "furcsa" használatával működik (pl. buhera.blog.hu/2013/02/24/use-after-free_masodik_resz), egy szintaktikailag legitim, standard elemeket tartalmazó fájlt pedig mi alapján jelölsz kártékonynak? A Blitzableiter esetében az ötlet az volt, hogy a teljes Flash fájlt újraépítették, ami szinte biztosan eltörte az exploitot.
Végül érdemes lenne megnézni, hogy mi vezetett a Blitzableiter igen mérsékelt sikeréhez (a Flash jóval későbbi halálán túl)...
buherator
2018.09.26 13:17:33
@buherator: bocs, az első linket rosszul copyztam:
www.recurity-labs.com/research/FX_Blitzableiter_BHUSA2010.pdf
www.recurity-labs.com/research/FX_Blitzableiter_BHUSA2010.pdf
Lehetne a poszt címe "Ha csak úgy nem", vagy egy újabb eleme "A kártevőkészítők által elkövetett kezdeti szarvashibák a Proof of Concept típusú első verziós kódokban" is. Mindenesetre egy egyetemista programozói szemmel elemezte a Java kódot, és szerencsés módon megoldást…..
buherator
2014.06.19 10:05:34
@Csizmazia István [Rambo]: A marketingposzt megírása úgy látszik magasabb prioritást élvezett... Nem hánytorgatnám fel a dolgot, ha egy "hagyományos" szétobfuszkált natív malware-ről lenne szó, de egy Java bytekódban megtalálni egy bedrótozott jelszóval dolgozó AES rutint kevesebb időt vesz igénybe, mint beillesztgetni a képeket a blogszerkesztőben.
Kedves olvasók, barátaim! Hosszú mérlegelés után úgy döntöttem, hogy a mai napon bezárom a BuheraBlog kapuit. Nem áprilisi tréfa. Ezen a lépésen már hónapok óta rágódom, a hazai szakma utóbbi időben tapasztalt mélyrepülése nem okozója, legfeljebb katalizátora lehetett a…..
Nem lepődnék meg ha a mai nap az IT-biztonság fekete keddjeként vonulna be a történelembe: az egyelőre felmérhetetlen súlyú Heartbleed sérülékenység mellett ma lejár a Windows XP (és az Office 2003) biztonsági támogatása, pedig még jócskán vannak élő rendszerek, méghozzá…..
buherator
2014.04.09 10:09:33
@dnet: Köszi, mostanában késve érnek be az SRD posztok a feed olvasómba :(
Szóval ahogy nézem itt előfeltétel, hogy legyen egy alkalmazás, ami .bat vagy .cmd fájlokat CreateProcess()-el akárhonnan. Ha a támadó tudja írni a CWD-t, akkor lerakhat egy cmd.exe-t, a CreateProcess() pedig ezt fogja elindítani a rendszer eredeti cmd.exe-je helyett. Nyakatekert.
Szóval ahogy nézem itt előfeltétel, hogy legyen egy alkalmazás, ami .bat vagy .cmd fájlokat CreateProcess()-el akárhonnan. Ha a támadó tudja írni a CWD-t, akkor lerakhat egy cmd.exe-t, a CreateProcess() pedig ezt fogja elindítani a rendszer eredeti cmd.exe-je helyett. Nyakatekert.
buherator
2014.04.12 18:02:43
@Alter Egon: Ez a megjegyzés nyilván nem a rendelkezésre álló erőforrással sakkozó üzemeltetőkre vontakozik, hanem azokra, akik nem allokálnak/harcolják ki a szükséges pénzeket az informatika életben tartására. Abban igazad van, hogy van most egy viszonylag békésnek látszó átmeneti időszak, de ez nem fog sokáig így maradni, megfelelő alapok (korszerű OS) nélkül pedig elég reménytelen hatékony kockázatcsökkentő intézkedéseket hozni.
buherator
2014.04.25 15:39:29
@balcsida: Ez azért nem olyan egyszerű, különböző nyelvekre pl. különböző patchek kellhetnek + egy kalóz patch-hez senki nem ad támogatást ha valami eltörik.
A Heartbleed sérülékenység kapcsán eddig világos volt, hogy:
A bejelentést követő javítási ablakban minden valamennyire is ismert szolgáltatás esetén gyakorlatilag biztosra vehető, hogy a kiszolgálók által kezelt adatok jelentős része (jelszavak, session azonosítók, egyéb…..
Az OpenSSL 1.0.1-es főverziójában olyan problémát azonosítottak, ami távoli támadók számára kiszivárogtathatja a kommunikációs csatornák titkosítására használt privát kulcso(ka)t. Igen, jól olvastátok, a hibán keresztül kiszivárgohat a szerver tanúsítvány privát kulcsa…..
buherator
2014.04.10 11:21:48
@boldii10: A második patch annyiban különbözik, hogy újraindítja az érintett szolgáltatásokat - ezt egy valamire való rendszergazda is megteszi.
twitter.com/buherablog/status/453486827429969920
twitter.com/buherablog/status/453486827429969920
buherator
2014.04.10 11:32:27
@boldii10: Nálunk az 1.0.1g megoldotta a problémát, de tény, hogy a restartokkal volt szívás (ld. twitt). A javítást magad ellenőrizted, vagy a checker szolgáltatásokon keresztül? Utóbbiak nekünk is adtak FP/FN-t.
buherator
2014.04.11 09:23:11
@boldii10: Az OpenSSL saját memória cache-e miatt nehezebb az ilyen jellegű védekezés, mint normál esetben:
article.gmane.org/gmane.os.openbsd.misc/211963
article.gmane.org/gmane.os.openbsd.misc/211963
Cukiság péntekre: az 5 (öt) éves Kristoffer Von Hassel szeretett volna apukája XBox-án játszani, de a jelszót természetesen nem tudta, ezért más utakon próbálkozott. A kissrác végül rájött, hogy az XBox Live bejelentkező felületén rossz jelszót megadva egy másik képernyő…..
buherator
2014.04.04 17:08:03
@Rejtett kamera Webáruház: "a bug bounty is a reward, not an obligation"
www.offensive-security.com/offsec/bug-bounty-program-insights/
www.offensive-security.com/offsec/bug-bounty-program-insights/
Ahogy az várható volt, az RSA körüli "vihar" gyorsan elcsendesült. Az RSA Conference rendben lezajlott, a szakma láthatóan könnyen túllépett azon, ha a világ egyik legnagyobb biztonsági cége lefekszik az NSA-nek - egy kis ingyen pia kérdése volt az egész.
Szerencsére azért nem…..
A Google szakértői célzott támadási kampányt detektált, melyben egy eddig ismeretlen Word sérülékenységet használnak ki a támadók. A probléma az RTF fájlok kezelését érintó memória korrupciós probléma. A most felfedezett exploit a Word 2010-es változatát célozza, de a…..
buherator
2014.03.25 10:30:19
@vmiklos: A MS általában az Active Protections Programon keresztül terjeszti a szerződött partnereknek a triggert.
technet.microsoft.com/hu-hu/security/dn467918
Az SRD-t érdemes még figyelni, oda szoktak még infót csepegtetni:
blogs.technet.com/b/srd/
technet.microsoft.com/hu-hu/security/dn467918
Az SRD-t érdemes még figyelni, oda szoktak még infót csepegtetni:
blogs.technet.com/b/srd/
John Cartwright, a legendás Full-Disclosure levelezőlista karbantartója tegnap bejelentette, hogy határozatlan időre beszünteti a lista működését. A Full-Disclosure mozgalom - melynek a levelezőlista az egyik fő bástyája volt - azzal a céllal jött létre, hogy a sérülékenység…..
A Pwn2Own idén is folytatta útját a felívelő pályán. A HP/ZDI és a Google által közösen rendezett megmérettetésen összesen 850.000 dollár jutalmat osztottak ki, és szép summát utaltak jótékony célra is.
Pwn4Fun
De persze a sérülékenység-piacon már jól megszokott viták…..
Február végén deface-elték a legfőképp Certified Ethical Hacker (CEH) minősítésről híres EC-Council weboldalát. A szervezet most, három hét (!) elteltével nyilatkozott az esetről (a Facebookos handabandázást nem tekintem komolyan vehető reakciónak), a lényeg:
A támadók az…..
A kriptográfiát fejlesztői, tesztelői, kódelemzői szemmel nézve fontos ismerni azokat az ökölszabályokat, amelyek alapján a függvényeket biztonságosan meg lehet hívni, a jó prímeket ki lehet választani. Pontosan ezen ökölszabályok kerülnek bemutatásra az RSA algoritmus esetén…..
buherator
2014.02.15 10:51:54
@loolek: " A feladata hogy egyszerűsítse bizonyos pld. unit tesztekhez "véletlen típusú" tesztadatot lehessen legyártani munkát."
Lehet hogy rosszul értem, de ezek szerint attól függően lehet pass/failed egy unit test, hogy mikor futtatod? Miben jobb ez a megoldás, mint a paraméter nélküli Random() konstruktort használni (a seed a nextInt() határértékeit nem befolyásolja)?
Lehet hogy rosszul értem, de ezek szerint attól függően lehet pass/failed egy unit test, hogy mikor futtatod? Miben jobb ez a megoldás, mint a paraméter nélküli Random() konstruktort használni (a seed a nextInt() határértékeit nem befolyásolja)?
buherator
2014.02.15 11:20:02
@loolek: A második hozzászólásomban már nincs szó security-ről.
Ha a unit tesztekben olyan paramétereket használsz, ami az időtől függően random, akkor rohadt nehéz lesz reprodukálni a teszteseteidet (de még1x mondom, lehet h félreértem amit írsz).
Másodszor annak, hogy hogyan seedelsz, semmi köze ahhoz, hogy milyen értékhatérok között mozog a nextInt(). Értem, hogy el akarod rejteni a seedelést, meg egységes API-t akarsz, amit nem értek az az, hogy miért kell az idővel varázsolni pluszban, mikor a sima Random() is kb. ugyanezt csinálja ha jól rémlik.
Ha a unit tesztekben olyan paramétereket használsz, ami az időtől függően random, akkor rohadt nehéz lesz reprodukálni a teszteseteidet (de még1x mondom, lehet h félreértem amit írsz).
Másodszor annak, hogy hogyan seedelsz, semmi köze ahhoz, hogy milyen értékhatérok között mozog a nextInt(). Értem, hogy el akarod rejteni a seedelést, meg egységes API-t akarsz, amit nem értek az az, hogy miért kell az idővel varázsolni pluszban, mikor a sima Random() is kb. ugyanezt csinálja ha jól rémlik.
buherator
2014.03.07 07:25:53
@loolek: Az, ha a segítő szándékú kritikát támadásnak veszed, csak téged minősít. Ajánlott olvasmány: en.wikipedia.org/wiki/Dunning%E2%80%93Kruger_effect
Ha nem látom a saját szememmel, nem hiszem el: az Apple fiaskója után kiderült, hogy a nyílt forrású alkalmazások százai által használt GnuTLS könyvtár is tartalmazott egy ránézésra hasonló, lényegében azonos hatású (köszönj el a tanúsítvány hitelesítéstől), bár…..
A rendkívül szofisztikált és hosszan tartó (marketing) kampányok listájának legújabb állomása a nyomok szerint orosz gyökerekkel rendelkező Uroburos akció, melynek nyomaira a GData szakértői bukkantak rá. Az elkészült elemzés szerencsére valamivel több információt közöl a…..
Az Apple nagy nehezen kiadta a foltot a GOTO fail problémára. A frissítés az SSL kezelés mellett számos távoli kódfuttatásra illetve sandbox-kitörésre alkalmas problémát javít.
A frissítés telepítése után sokan SSL gondokra panaszkodnak, a konteógyártást mindenkire…..
Az Apple ma kiadott iOS frissítésében (7.0.6, 6.1.6) egy különösen veszélyes problémát javított a készülékekkel szállított SSL könyvtárban. Úgy tűnik, Stefan Essernek sikerült megtalálnia a problémát okozó kódrészletet, amivel az Apple előkelő pozícióra tett szert a…..
buherator
2014.02.23 20:55:01
@hillaby:
A beágyzott xkcd strip szerintem jól rávilágít a probléma lényegére. És ezen az sem változtat, hogy a goto elterjedt (vö. "egyél szart, 100 milliárd légy nem tévedhet").
Emellett persze más szempontok (indent, zárójelezés, hibakezelési minta,...) is felhozhatók a problémával kapcsolatban (avandeursen.com/2014/02/22/gotofail-security/), de ennél egyértelműbb példát a goto ellen csak nagy kínlódás árán tudnék felhozni.
A beágyzott xkcd strip szerintem jól rávilágít a probléma lényegére. És ezen az sem változtat, hogy a goto elterjedt (vö. "egyél szart, 100 milliárd légy nem tévedhet").
Emellett persze más szempontok (indent, zárójelezés, hibakezelési minta,...) is felhozhatók a problémával kapcsolatban (avandeursen.com/2014/02/22/gotofail-security/), de ennél egyértelműbb példát a goto ellen csak nagy kínlódás árán tudnék felhozni.
FX előadásait, anyagait azért érdemes figyelemmel követni, mert belőlük az ember általában minimális idő alatt megkapja az ismereteknek azt a letisztult, kikristályosodott változatát, amit egyébként csak több hónapnyi tanulás, gyakorlat után ismerne fel (ez egyfajta guru…..
buherator
2014.02.22 11:18:18
@eax_: A kérdés jó, kellene kérni Dnetéktől egymegfelelő mikrocontrollert, és megnézni lehet-e rajta ROP-olni!
Az Internet Explorer 0-day ellen kiadott ideiglenes folt megjelenésével nagyjából egy időben a FireEye újabb célzott 0-day kampányt azonosított. A támadók külpolitikával foglalkozó illetve gazdasági oldalakon keresztül egy Flash 0-day exploitot használnak (az Adobe figyelmeztetője…..
A Microsoft ideiglenes javítást adott ki az Internet Explorer célzott támadásokban kihasznált 0-day hibájához. A FixIt eltéríti az érintett MSHTML API-kat, és a meglévő funkcionalitás újrafelhasználásával helyre rakja a referencia számlálókat, ami a sérülékenységet…..
A Citizen Lab egy elég érdekes tanulmányt közölt az olasz székhelyű, kormányzati felhasználásra szánt spyware-eikről elhíresült Hacking Team lenyomozhatatlan szervereinek lenyomozásáról. A felderített célpontok között pedig egy magyar cím is szerepel.
Miután a Citizen Lab…..
Belépve többet láthatsz. Itt beléphetsz
2) Visszafejtett kódban nem fogsz kommenteket találni...