Regisztráció Blogot indítok
Adatok
buherator

1719 bejegyzést írt és 895 hozzászólása volt az általa látogatott blogokban.

Admin Szerkesztő Tag Vendég
A Protonmail szándékosan rossz kóddal működik és egy svájci-amerikai szerződés alapján adatokat szivárogtat az USA-nak – állítja közzétételben egy AmFearLiathMor nevű hacker. A bejelentés szerint a Protonmailt teljesen kompromittálták, nem csak a felhasználók bejelentkezési adatait szerezték meg,…..
Egy rövid postban szeretnék megemlékezni egy víruskereső és szignatúra nélküli fertőtlenítési módszerről, amely nem csak manuálisan játszható, de a jobb védelmi rendszerek részeként automatikusan is működik, legfeljebb nem tudjuk, hogy ott van és teszi a dolgát. A Content Disarm and Reconstruction…..
buherator 2018.09.26 13:16:35
Végre egy téma, amihez még én is hozzá tudok szólni! :)

Szóval a módszert már 2010-ben megpróbálták alkalmazni FX-ék (afaik német kormányzati projekt keretében):

file:///tmp/FX_Blitzableiter_BHUSA2010.pdf

Szóval az alapkoncepció valószínűleg nem hülyeség (appealing to authority...), de pár dolgot érdemes figyelembe venni:

Először is a "csak a fájlformátumokat kell a gyártónak ismernie" ekvivalens az általában vett parser problémával, amiből a legtöbb bajunk származik eleve. Megmondani, hogy hogyan néz ki egy "elfogadható" Word doksi nem könnyebb, mint megmondani, hogy van-e egy Word doksiban gyanús tartalom - ráadásul mindezt újabb memóriakorrupció bevezetése nélkül! Szóval első körben érdemes megnézni, hogy egy adott megoldás milyen technológiával van implementálva, és messze elkerülni pl. a C/C++ parser szörnyeket.

Másodszor az, hogy tudjuk "milyen veszélyesen IS használható építőelemek vannak" (egyébként nem tudjuk, ld. Office egyenetszerkesztő legutóbbi sérülékenysége) még nem elég a boldogsághoz. Egy csomó exploit teljesen legitim elemek "furcsa" használatával működik (pl.
buhera.blog.hu/2013/02/24/use-after-free_masodik_resz), egy szintaktikailag legitim, standard elemeket tartalmazó fájlt pedig mi alapján jelölsz kártékonynak? A Blitzableiter esetében az ötlet az volt, hogy a teljes Flash fájlt újraépítették, ami szinte biztosan eltörte az exploitot.

Végül érdemes lenne megnézni, hogy mi vezetett a Blitzableiter igen mérsékelt sikeréhez (a Flash jóval későbbi halálán túl)...
buherator 2018.09.26 13:17:33
Lehetne a poszt címe "Ha csak úgy nem", vagy egy újabb eleme "A kártevőkészítők által elkövetett kezdeti szarvashibák a Proof of Concept típusú első verziós kódokban" is. Mindenesetre egy egyetemista programozói szemmel elemezte a Java kódot, és szerencsés módon megoldást…..
buherator 2014.06.19 10:05:34
@Csizmazia István [Rambo]: A marketingposzt megírása úgy látszik magasabb prioritást élvezett... Nem hánytorgatnám fel a dolgot, ha egy "hagyományos" szétobfuszkált natív malware-ről lenne szó, de egy Java bytekódban megtalálni egy bedrótozott jelszóval dolgozó AES rutint kevesebb időt vesz igénybe, mint beillesztgetni a képeket a blogszerkesztőben.
Kedves olvasók, barátaim! Hosszú mérlegelés után úgy döntöttem, hogy a mai napon bezárom a BuheraBlog kapuit. Nem áprilisi tréfa. Ezen a lépésen már hónapok óta rágódom, a hazai szakma utóbbi időben tapasztalt mélyrepülése nem okozója, legfeljebb katalizátora lehetett a…..
BuheraBlog Wiszlát XP! 2014.04.08 22:47:56
Nem lepődnék meg ha a mai nap az IT-biztonság fekete keddjeként vonulna be a történelembe: az egyelőre felmérhetetlen súlyú Heartbleed sérülékenység mellett ma lejár a Windows XP (és az Office 2003) biztonsági támogatása, pedig még jócskán vannak élő rendszerek, méghozzá…..
buherator 2014.04.09 10:09:33
@dnet: Köszi, mostanában késve érnek be az SRD posztok a feed olvasómba :(

Szóval ahogy nézem itt előfeltétel, hogy legyen egy alkalmazás, ami .bat vagy .cmd fájlokat CreateProcess()-el akárhonnan. Ha a támadó tudja írni a CWD-t, akkor lerakhat egy cmd.exe-t, a CreateProcess() pedig ezt fogja elindítani a rendszer eredeti cmd.exe-je helyett. Nyakatekert.
buherator 2014.04.12 18:02:43
@Alter Egon: Ez a megjegyzés nyilván nem a rendelkezésre álló erőforrással sakkozó üzemeltetőkre vontakozik, hanem azokra, akik nem allokálnak/harcolják ki a szükséges pénzeket az informatika életben tartására. Abban igazad van, hogy van most egy viszonylag békésnek látszó átmeneti időszak, de ez nem fog sokáig így maradni, megfelelő alapok (korszerű OS) nélkül pedig elég reménytelen hatékony kockázatcsökkentő intézkedéseket hozni.
buherator 2014.04.25 15:39:29
@balcsida: Ez azért nem olyan egyszerű, különböző nyelvekre pl. különböző patchek kellhetnek + egy kalóz patch-hez senki nem ad támogatást ha valami eltörik.
BuheraBlog Heartbleed Challenge 2014.04.12 18:18:14
A Heartbleed sérülékenység kapcsán eddig világos volt, hogy: A bejelentést követő javítási ablakban minden valamennyire is ismert szolgáltatás esetén gyakorlatilag biztosra vehető, hogy a kiszolgálók által kezelt adatok jelentős része (jelszavak, session azonosítók, egyéb…..
BuheraBlog OpenSSL - Fejlövés 2014.04.08 10:35:00
Az OpenSSL 1.0.1-es főverziójában olyan problémát azonosítottak, ami távoli támadók számára kiszivárogtathatja a kommunikációs csatornák titkosítására használt privát kulcso(ka)t. Igen, jól olvastátok, a hibán keresztül kiszivárgohat a szerver tanúsítvány privát kulcsa…..
buherator 2014.04.10 11:21:48
@boldii10: A második patch annyiban különbözik, hogy újraindítja az érintett szolgáltatásokat - ezt egy valamire való rendszergazda is megteszi.

twitter.com/buherablog/status/453486827429969920
buherator 2014.04.10 11:32:27
@boldii10: Nálunk az 1.0.1g megoldotta a problémát, de tény, hogy a restartokkal volt szívás (ld. twitt). A javítást magad ellenőrizted, vagy a checker szolgáltatásokon keresztül? Utóbbiak nekünk is adtak FP/FN-t.
buherator 2014.04.11 09:23:11
@boldii10: Az OpenSSL saját memória cache-e miatt nehezebb az ilyen jellegű védekezés, mint normál esetben:

article.gmane.org/gmane.os.openbsd.misc/211963
BuheraBlog Nagycsoportos XBox hack 2014.04.04 16:52:58
Cukiság péntekre: az 5 (öt) éves Kristoffer Von Hassel szeretett volna apukája XBox-án játszani, de a jelszót természetesen nem tudta, ezért más utakon próbálkozott. A kissrác végül rájött, hogy az XBox Live bejelentkező felületén rossz jelszót megadva egy másik képernyő…..
buherator 2014.04.04 17:08:03
BuheraBlog DualEC a gyakorlatban 2014.03.31 21:29:10
Ahogy az várható volt, az RSA körüli "vihar" gyorsan elcsendesült. Az RSA Conference rendben lezajlott, a szakma láthatóan könnyen túllépett azon, ha a világ egyik legnagyobb biztonsági cége lefekszik az NSA-nek - egy kis ingyen pia kérdése volt az egész. Szerencsére azért nem…..
A Google szakértői célzott támadási kampányt detektált, melyben egy eddig ismeretlen Word sérülékenységet használnak ki a támadók. A probléma az RTF fájlok kezelését érintó memória korrupciós probléma. A most felfedezett exploit a Word 2010-es változatát célozza, de a…..
buherator 2014.03.25 10:30:19
@vmiklos: A MS általában az Active Protections Programon keresztül terjeszti a szerződött partnereknek a triggert.

technet.microsoft.com/hu-hu/security/dn467918

Az SRD-t érdemes még figyelni, oda szoktak még infót csepegtetni:

blogs.technet.com/b/srd/
BuheraBlog Bezár a Full-Disclosure 2014.03.20 09:46:40
John Cartwright, a legendás Full-Disclosure levelezőlista karbantartója tegnap bejelentette, hogy határozatlan időre beszünteti a lista működését. A Full-Disclosure mozgalom - melynek a levelezőlista az egyik fő bástyája volt - azzal a céllal jött létre, hogy a sérülékenység…..
BuheraBlog Pwn2Own 2014 2014.03.14 09:11:27
A Pwn2Own idén is folytatta útját a felívelő pályán. A HP/ZDI és a Google által közösen rendezett megmérettetésen összesen 850.000 dollár jutalmat osztottak ki, és szép summát utaltak jótékony célra is.  Pwn4Fun De persze a sérülékenység-piacon már jól megszokott viták…..
BuheraBlog EC-Council 2014.03.13 16:56:08
Február végén deface-elték a legfőképp Certified Ethical Hacker (CEH) minősítésről híres EC-Council weboldalát. A szervezet most, három hét (!) elteltével nyilatkozott az esetről (a Facebookos handabandázást nem tekintem komolyan vehető reakciónak), a lényeg: A támadók az…..
A kriptográfiát fejlesztői, tesztelői, kódelemzői szemmel nézve fontos ismerni azokat az ökölszabályokat, amelyek alapján a függvényeket biztonságosan meg lehet hívni, a jó prímeket ki lehet választani. Pontosan ezen ökölszabályok kerülnek bemutatásra az RSA algoritmus esetén…..
buherator 2014.02.15 10:51:54
@loolek: " A feladata hogy egyszerűsítse bizonyos pld. unit tesztekhez "véletlen típusú" tesztadatot lehessen legyártani munkát."

Lehet hogy rosszul értem, de ezek szerint attól függően lehet pass/failed egy unit test, hogy mikor futtatod? Miben jobb ez a megoldás, mint a paraméter nélküli Random() konstruktort használni (a seed a nextInt() határértékeit nem befolyásolja)?
buherator 2014.02.15 11:20:02
@loolek: A második hozzászólásomban már nincs szó security-ről.

Ha a unit tesztekben olyan paramétereket használsz, ami az időtől függően random, akkor rohadt nehéz lesz reprodukálni a teszteseteidet (de még1x mondom, lehet h félreértem amit írsz).

Másodszor annak, hogy hogyan seedelsz, semmi köze ahhoz, hogy milyen értékhatérok között mozog a nextInt(). Értem, hogy el akarod rejteni a seedelést, meg egységes API-t akarsz, amit nem értek az az, hogy miért kell az idővel varázsolni pluszban, mikor a sima Random() is kb. ugyanezt csinálja ha jól rémlik.
buherator 2014.03.07 07:25:53
@loolek: Az, ha a segítő szándékú kritikát támadásnak veszed, csak téged minősít. Ajánlott olvasmány: en.wikipedia.org/wiki/Dunning%E2%80%93Kruger_effect
Ha nem látom a saját szememmel, nem hiszem el: az Apple fiaskója után kiderült, hogy a nyílt forrású alkalmazások százai által használt GnuTLS könyvtár is tartalmazott egy ránézésra hasonló, lényegében azonos hatású (köszönj el a tanúsítvány hitelesítéstől), bár…..
BuheraBlog Ruszki rootkit 2014.03.04 19:40:48
A rendkívül szofisztikált és hosszan tartó (marketing) kampányok listájának legújabb állomása a nyomok szerint orosz gyökerekkel rendelkező Uroburos akció, melynek nyomaira a GData szakértői bukkantak rá. Az elkészült elemzés szerencsére valamivel több információt közöl a…..
Az Apple nagy nehezen kiadta a foltot a GOTO fail problémára. A frissítés az SSL kezelés mellett számos távoli kódfuttatásra illetve sandbox-kitörésre alkalmas problémát javít.  A frissítés telepítése után sokan SSL gondokra panaszkodnak, a konteógyártást mindenkire…..
Az Apple ma kiadott iOS frissítésében (7.0.6, 6.1.6) egy különösen veszélyes problémát javított a készülékekkel szállított SSL könyvtárban. Úgy tűnik, Stefan Essernek sikerült megtalálnia a problémát okozó kódrészletet, amivel az Apple előkelő pozícióra tett szert a…..
buherator 2014.02.23 20:55:01
@hillaby:
A beágyzott xkcd strip szerintem jól rávilágít a probléma lényegére. És ezen az sem változtat, hogy a goto elterjedt (vö. "egyél szart, 100 milliárd légy nem tévedhet").

Emellett persze más szempontok (indent, zárójelezés, hibakezelési minta,...) is felhozhatók a problémával kapcsolatban (avandeursen.com/2014/02/22/gotofail-security/), de ennél egyértelműbb példát a goto ellen csak nagy kínlódás árán tudnék felhozni.
BuheraBlog Paradigmaváltás 2014.02.21 13:37:00
FX előadásait, anyagait azért érdemes figyelemmel követni, mert belőlük az ember általában minimális idő alatt megkapja az ismereteknek azt a letisztult, kikristályosodott változatát, amit egyébként csak több hónapnyi tanulás, gyakorlat után ismerne fel (ez egyfajta guru…..
buherator 2014.02.22 11:18:18
@eax_: A kérdés jó, kellene kérni Dnetéktől egymegfelelő mikrocontrollert, és megnézni lehet-e rajta ROP-olni!
Az Internet Explorer 0-day ellen kiadott ideiglenes folt megjelenésével nagyjából egy időben a FireEye újabb célzott 0-day kampányt azonosított. A támadók külpolitikával foglalkozó illetve gazdasági oldalakon keresztül egy Flash 0-day exploitot használnak (az Adobe figyelmeztetője…..
A Microsoft ideiglenes javítást adott ki az Internet Explorer célzott támadásokban kihasznált 0-day hibájához. A FixIt eltéríti az érintett MSHTML API-kat, és a meglévő funkcionalitás újrafelhasználásával helyre rakja a referencia számlálókat, ami a sérülékenységet…..
BuheraBlog Hackelős Csapat 2014.02.17 23:39:03
A Citizen Lab egy elég érdekes tanulmányt közölt az olasz székhelyű, kormányzati felhasználásra szánt spyware-eikről elhíresült Hacking Team lenyomozhatatlan szervereinek lenyomozásáról. A felderített célpontok között pedig egy magyar cím is szerepel. Miután a Citizen Lab…..
A FireEye eddig ismeretlen 0-day Internet explorer exploitot azonosított. A célzott "watering-hole" támadásokban kihasznált use-after-free sérülékenység a böngésző 9-es és 10-es változatait érinti, a támadók most a 10-esre lőnek. Az exploit Flash-es heap-spray-t használ az ASLR…..