Fontos linkek Fontos linkek

  • WEB mail
  • Telefonkönyv
  • PTE
  • PMMK
  • ETR

Állásajánlatok Állásajánlatok

A <em>hacking</em> cimkéjű tartalom.

Nincs eredmény.

Kiemelt hírek Kiemelt hírek

A <em>hacking</em> cimkéjű tartalom.

Nincs eredmény.

Hírek Hírek

A <em>hacking</em> cimkéjű tartalom.

Hekkerek egy egész bankot elloptak Brazíliában

Minden idők egyik legnagyobb szabású online bakrablását göngyölítette fel a Kaspersky biztonságtechnikai cég. Az eset még tavaly októberben történt Brazíliában, a tettesek azóta sincsenek meg, és azt sem tudni, pontosan mihez sikerült hozzáférniük a támadóknak. Az eset annyiban különleges, hogy a hekkerek nem betörtek a bank rendszerébe, hanem úgy, ahogy van, ellopták az egészet. Pontosabban építettek egy álbankot, és az ügyfeleket odaterelték az igazi helyett.

A DNS-en át jöttek

A támadás kulcsa a DNS rendszer volt, ez az internetnek az az alapvető fontosságú rétege, ahol az URL-ekből ip-címek lesznek, és ezáltal az adatcsomagok megtalálják a célpont szervert, ahová menniük kell. Az interneten minden egyes gépet egy ip-cím azonosít. ha valaki beírja a böngészőjébe, hogy google.com, az először a DNS-adatbázisban nézi meg, hogy ehhez a névhez milyen ip-cím tartozik, ott megtalálja, hogy 74.125.224.72, és a guglizni vágyó felhasználó adatcsomagjait az ilyen számú szerverhez továbbítja. A dolog azért jó, mert nyilván sokkal könnyebb megjegyezni azt, hogy google.com, mint azt, hogy 74.125.224.72. A brazil bank támadói egyszerűen felépítettek egy, az eredetire megszólalásig hasonlító banki weboldalt, feltették a netre, majd a DNS-adatbázisban a bank nevénél ennek az ip-címére írták át az eredeti szerverek címeit. Mintha a sárga csekkeken, amin ön a villanyszámláját fizeti be, valaki átírta volna a címzett számlaszámát az ELMŰ-éről a sajátjára.

Hogy ezt pontosan hogyan csinálták, egyelőre nem tiszta. A brazil webes címek DNS-adatbázisát a NIC.br doménregisztrációval foglalkozó osztálya, a registro.br tartja fenn, ők azonban állítják, hogy a rendszerük biztonságos, és hozzájuk nem törtek be hekkerek, de azt elismerik, hogy valamilyen adathalászós módszerrel, és egy munkatársuk hozzáférésének megszerzésével mégis csak bejuthattak, és manipulálhatták az adatbázist.

Akárhogy is, tavaly október 22-én, szombaton, délután 1 órakor a brazil bank mind a 36 weboldala, az összes desktop és mobilos banki szolgáltatása helyét észrevétlenül átvette a hekkerek csali oldala. A bank összes ATM-je, és az összes általa üzemeltetett kártyaleolvasó is a hekkerek által üzemeltetett szerverrel kezdett kommunikálni a valódi banki rendszer helyett. Ez nagyjából 5-6 órán át tartott. Persze ezzel a trükkel a hekkerek nem fértek hozzá direktben senkinek a bankszámlájához, viszont minden ügyfél, aki ezen a szombat délutánon online próbált bankolni (vagy ATM-et használni, vagy kártyával fizetni), önként és dalolva adta át nekik a jelszavát, számlaszámát és pin-kódját.

A hekkerek arra is vették a fáradságot, hogy biztonságos, https kapcsolaton kommunikáljanak a csali szervereik, és ehhez még a megfelelő tanúsítványokat is beszerezték. Az egyszeri felhasználó számára tehát esélytelen volt, hogy észrevegye a csalást: az URL stimmelt, a titkosított webes kapcsolat stimmelt. Bejelentkezés után a kamu oldal arra kérte a felhasználót, hogy az frissítse a Trusteer nevű böngészőkiegészítőt - amit egyébként az igazi banki weboldal is használt, ironikus módon éppen a nagyobb biztonság érdekében. A csali weboldalról persze nem a frissítés töltődött le a felhasználó gépére, hanem egy kémprogram, ami egy kanadai szerverre küldte el az áldozat személyes adatait, jelszavait, email-címlistáját, amit csak talált a gépen. A kémprogram gyorsan ki is kapcsolta a gépen levő esetleges vírusirtót. Ennek a vírusnak egyébként sikerült visszafejteni a forráskódját, és portugál nyelvű részleteket találtak benne, ami arra utal, hogy maguk a támadók is brazilok lehettek.

Senki nem tudja, mit vittek el

Mivel a bank összes rendszere elérhetetlenné vált, az a bizarr helyzet állt elő, hogy amint kiderült a turpisság, nem tudták erről online értesíteni az ügyfeleiket, hiszen az emailrendszerük is el volt vágva az internettől. Márpedig a turpisság kiderült, hiszen a hekkerek kamu weboldala a bejelentkezési adatok begyűjtése, és a kémprogram telepítése után nem csinált semmit - nem is csinálhatott, hiszen a bank saját belső rendszerével nem volt kapcsolata, nem tudott utalásokat indítani, vagy akár csak egy bankszámlát lekérdezni se. Az ügyfelek telefonon zargatták a bankot, az ügyfélszolgálaton látták, hogy valami nem stimmel, szóltak az IT-seknek, akik pedig egy merő pánikban hívogatták a NIC.br-t, hogy valaki eltüntette az internetről az egész bankot, és a sajátját tette a helyére.

Mire helyreállt a rend, délután 6-7 óra volt. Hogy mekkora a kár, egy délután alatt a hekkerek mennyi személyes adatot szereztek meg, hány gépet fertőztek meg, az ellopott hozzáférésekkel hány bankszámlát csapoltak meg a támadók, nem tudni, a bank nem közöl részleteket. Egyáltalán, azt sem tudni, melyik bankról van szó, a Kaspersky jelentése kínosan kerüli a megtámadott pénzintézet megnevezését. Annyit lehet tudni róla, hogy a brazil bankpiac egyik komoly játékosáról van szó, több száz bankfiókkal az országban, amerikai és kajmán-szigeteki érdekeltségekkel, kb. 5 millió ügyféllel, és 26 milliárd dollárnyi kezelt vagyonnal. A támadók kilétéről, vagy hogy milyen nyomokat hagytak maguk után, szintén nem szól a jelentés.

Szakértők szerint az eset rámutat, hogy a DNS-rendszer mennyire sebezhető, és milyen nagy kockázatot jelent az, hogy kritikus rendszerek üzemeltetői is sokszor külső, biztonsági szempontból potenciális támadási felületet nyújtó szereplőkre bízzák a kezelését.

forrás:index.hu

Vádat emelt Amerika az orosz Yahoo-támadók ellen

Eddig csak azt lehetett tudni, hogy a Yahoo 500 millió felhasználói fiókjának adatlopása mögött állami szereplőt sejt, de most már egyértelmű, hogy a támadással az Egyesült Államok az orosz Szövetségi Biztonsági Szolgálatot (FSZB) vádolja, illetve a konkrét ügynököket és felbérelt hackereket is megnevezte.

Vádat emelt és körözést adott ki az Egyesült Államok Igazságügyi Minisztériuma a négy támadó ellen, akik a Yahoo több mint 500 millió fiókjának feltöréséért felelősek. A gyanúsítottak közt az orosz biztonsági szolgálat, azaz a Szövetségi Biztonsági Szolgálat (FSZB) két ügynöke található (Dmitry Dokuchaev, Igor Sushchin), és két általuk felbérelt hacker, Alexsey Belan "Magg" és Karim Baratov "Kay". Ahogy az államügyész fogalmazott "ez a történelem egyik legnagyobb adatszivárgása", ezért az Egyesült Államok fokozott figyelmet fordít arra, hogy a bűntényt felderítse, és a felelősöket számon kérje. A vád szerint illetéktelenül ellopták a több mint félmillió profil adatait, majd az eltulajdonított információk egy részét további támadásokhoz használták fel - írja a minisztérium közleménye.

A hackerek közül Belan ellen már a korábbiakban, 2012-ben is vádat emelt az Egyesült Államok, és egy évvel később a legkeresettebb bűnözők listáján szerepelt, de európai elfogatása után Oroszország a kiadatását kérte, azonban hazájában a letartóztatása helyett az FSZB bérelte fel. Segítségével 2014-ben sikerült ellopni a Yahoo felhasználói adatbázisának legalább egy részét, köztük a tulajdonosok nevével, másodlagosként megadott e-mail címével, telefonszámával, és a belépéshez szükséges webböngésző sütikkel.

Ezenkívül a támadók segítségével az FSZB hozzáférést szerzett a Yahoo felhasználókezelő eszközéhez (AMT), amellyel a szolgáltató figyeli a fiókok változásait. Mindezekkel az eszközökkel az orosz biztonsági szolgálat legalább 6500 fiókot kezdett el elemezni, amelyek az érdekeltségi körükbe tartoztak. Ilyen formában érték el a támadók többek közt orosz újságírók, orosz és amerikai hivatalnokok, valamint pénzügyi, biztonsági, közlekedési cégeknél dolgozók üzeneteit. Továbbá Belan az e-mailek között bankkártya és ajándékkártya adatokat keresett, illetve 30 millió Yahoo fiók esetében spam kampányt indított, tehát az ellopott adatokat a saját haszonszerzés céljából is felhasználta.

AZ FSZB Belan mellett igénybe vette a kanadai és kazah származású Baratov segítségét is, hogy a Yahoon keresztül adathalászattal érje el 80 célszemély többi postafiókját, melyek közül a vád szerint legalább 18-hoz sikerült is hozzáférést szereznie. Több részletet is feltárt a Krebs on Security biztonsággal foglalkozó oldal a támadókról, többek közt azt is bizonyítja, hogy Baratov a korábbiakban sem próbálta leplezni tevékenységét. Különböző olyan bejegyzett domaincímek találhatóak a támadó nevén, amelyekkel főleg e-mailes hacker szolgáltatásokat reklámozott. Valószínűleg phishing támadással érte el Baratov ebben az esetben is Yahoon kívüli fiókokat, akár egy linkhez kapcsolódó rosszindulatú kóddal vagy hamis bejelentkező oldallal - ez egyelőre még nem bizonyított. Baratov már letartóztatás alatt áll, mivel a kanadai hatóságnak sikerült elfognia.

Mind a négy támadót 47 bűncselekménnyel vádolja az amerikai hatóság, köztük összeesküvés, számítógépes csalás, kémkedés, kereskedelmi titkok lopása és minősített lopás. Mindezt a támadók 2014-től kezdve végezték, és csak 2016 szeptemberében derült ki a tevékenységük, de a közlemény szerint még tavaly decemberben is felhasználták a lopott adatokat. A várható büntetés mértékét mind a négy támadó esetében több évtizedben szabta meg az Egyesült Államok. A Yahoo felelősségéről a vádemelés kapcsán nem volt szó, ebben az ügyben az amerikai tőzsdefelügyelet folytat vizsgálatot.

forrás:hwsw.hu

68 millió Dropbox-felhasználó adatai szivárogtak ki

Több mint 68 millió Dropbox-felhasználó adatai szivárogtak ki. Maga az adatlopás még 2012-ben történt, de csak most derültek ki a részletek, miután az ellopott adatokat a hekkerek árulni kezdték a neten.

A feltört szolgáltatásokat figyelő és az érintetteknek értesítést küldő haveibeenpwned.com szerint pontosan 68 648 009 fiók adatai kerültek ki, amivel ez minden idők hatodik legnagyobb ilyen adatlopása. A lista első öt helyezettjéből egyébként négynél (MySpace, LinkedIn, Badoo, VKontakte) szintén idén nyáron bukkantak fel a lopott adatok, és mindegyiknél ugyanúgy több évvel ezelőtti támadásról van szó, mint most a Dropbox esetében is.

Az adatlopás tehát illeszkedik  az utóbbi hónapok trendjébe: néhány évvel ezelőtt történt a támadás, akkoriban a meghekkelt cég jóval kisebb számú érintett felhasználóról tudott, és eleinte azt hitték, csak emailcímek szivárogtak ki, majd idén az online feketepiacon feltűntek az akkor ellopott adatok, és kiderült, hogy sokkal komolyabb a helyzet.

A különböző cégek meghekkelése közötti kapcsolatot az is mutatja, hogy a LinkedIn feltörésekor szerezték meg a hekkerek egy Dropbox-alkalmazott jelszavát, ezzel sikerült bejutniuk a rendszerbe és hozzáférniük egy belső dokumentumhoz. (Azóta a cégnél szigorúbban is veszik a saját alkalmazottaikat érintő biztonságot.)

A hekkerek emailcímeket és jelszavakat szereztek meg, utóbbiakat erősen titkosított (hashelt és sózott) formában, ami azt jelenti, hogy nehezebb visszafejteni őket, és a jelek szerint eddig még nem is sikerült. Ennek ellenére mindenkinek azt javasoljuk, hogy nézze meg a haveibeenpwned.com-on, az emailcíme megadásával, hogy érintett-e, és ha igen, minél előbb változtassa meg a jelszavát, ha 2012 óta nem tette meg. (Ugyanitt fel is iratkozhat, hogy ha a jövőben érintett lesz egy adatlopásban, automatikus emailértesítést kapjon róla.) A Dropbox egyébként támogatja a kétlépcsős azonosítást is, ide kattintva elérhető a saját útmutatójuk arról, hogy lehet bekapcsolni.

Mobilneten törhető több millió autó

Megdöbbentő következtetésre jutottak a biztonsági szakemberek az egyik legnagyobb amerikai biztosító által használt autókövető rendszer elemzésével. Az autó adatbuszára kapcsolódó, netes kapcsolattal rendelkező dongle semmilyen védelemmel nem rendelkezik, ezzel a járművet szinte bárkinek ki tudja szolgáltatni.

Tudjuk, mert mindenhonnan ez folyik: a M2M kommunikáció és a szenzoros adatok rögzítése forradalmat hoz az élet minden területén. Egyes piacokon és egyes országokban ez már mindennapi valóság, az amerikai Progressive Insurance például a sofőrök egyéni vezetési stílusa szerint árazza a biztosítás díját. Mivel az adatok birtokában hajszálpontosan meg tudja becsülni a biztosított által képviselt egyedi kockázatot, a jól viselkedő sofőrök lényegesen kevesebbet fizethetnek.

Hogyan működik?

A Progressive Insurance egy egyszerű dongle-t küld a biztosítottaknak, amelyet a gépjármű diagnosztikai portjára kell kötni, innen gyűjti ki a működésre vonatkozó adatokat az egység, majd dedikált mobilnetes kapcsolatán keresztül ezt elküldi a biztosítónak. A Snapshot alapvetően három adatot gyűjt, a megtett kilométerek számát, a durva fékezéseket és a késő éjszakai levezetett órák arányát - a biztosító ezekből viszonylag pontosan be tudja lőni a még profitábilis biztosítási díjat. A rendszer eddig bizonyított, az adatok szerint mintegy kétmillió autót biztosít már ezzel a módszerrel a Progressive Insurance.

A bökkenőt a műszaki megvalósítás jelenti. A Snapshot nevű dongle ugyanis kétirányú kommunikációt folytat mobilinterneten ahogy feltölti az adatokat a biztosító szerverére - és ez a kommunikáció a legalapvetőbb biztonsági kritériumoknak sem felel meg. Ez még nem lenne önmagában katasztrofális, bár a vezetési stílusra vonatkozó nyers adatok lenyúlása már a magánszféra komoly megsértése lenne.

Létezik a nulla biztonság

Az igazi problémát az jelenti, hogy a Snapshot által használt csatlakozó az autó elektronikáját is kinyitja a támadók előtt, az OBD-II buszon keresztül ugyanis nem csak adatok olvashatóak ki, de átvehető a kontroll az autó számos vezérlőberendezése fölött, és vezérelhető gyakorlatilag minden, az autó elektronikájára kötött periféria, a központi zártól a szervokormányig, a motorvezérlésig. A Forbes IT-blogja által megszólaltatott Corey Thuen a Digital Bond Labs munkatársa, a kutatás eredményeit pedig a beágyazott rendszerek biztonságával foglalkozó saját S4 konferenciáján fogja részleteiben is bemutatni.

A Snapshot firmware-ét alaposan megvizsgáló biztonsági szakember szerint a minimalista operációs rendszer a legalapvetőbb biztonsági megfontolásokat is nélkülözi. A rendszer például nem kér digitális aláírást a saját firmware felülírásához, így egy támadó a dongle teljes vezérlését lecserélheti saját szoftverére - amely secure boot hiányában gond nélkül működni is fog. A hálózati kapcsolatot ugyanígy nem védi semmi - nincs hitelesítés sem szerveroldalon sem a mobilhálózat oldalán. Ennek fényében nem meglepő, hogy az adatkapcsolat sem biztonságos, nem védi semmilyen titkosítás. "Gyakorlatilag semmilyen biztonsági technológia nem védi" - mondja Thuen.

forrás: hwsw.hu

Tíz dollárért mindent bevallanak a Microsoft billentyűzetei

Néhány dolláros befektetéssel lehallgathatók a Microsoft vezeték nélküli billentyűzetei. Az eszközök sebezhetőségét Samy Kamkar biztonsági szakértő egy fali USB-s töltőnek álcázott kütyüvel demonstrálta, amelyet otthon bárki összeállíthat.

A vezeték nélküli billentyűzetek "lehallgatásának" gondolatával már bizonyára sok tréfás kedvű vagy éppen rosszindulatú barkácsoló - netán kormányzati szerv - eljátszott, vannak azonban akik a játéknál jóval tovább jutottak. Ilyen többek között Samy Kamkar biztonsági kutató is, aki a Microsoft vezeték nélküli klaviatúráiban rejlő veszélyekre mutatott rá - a szakértő szerint a hasonló eszközök egy otthon elkészíthető, néhány tízdolláros, kütyüvel szóra bírhatók. A projektet Kamkar nem csak demonstrálta, de a KeySweeper névre keresztelt eszköz elkészítéshez szükséges részletes információkat is közzétette.

Egy hétvégés projekt

A redmondi vállalat vezeték nélküli billentyűzeteiben több biztonsági rés is akad, amelyeket kihasználva lehetőség adódik belehallgatni azok vezeték nélküli kommunikációjába, sőt az adatátvitel titkosítása is feltörhető. A feladatot valamelyest megnehezíti, hogy bár a Microsoft eszközei 2,4 gigahertzen kommunikálnak (ami a készülék hátulján lévő FCC azonosítóból hamar kiderül) azt nem valamelyik ismert protokollon teszik, mint például a Wi-Fi vagy a Bluetooth, hanem a vállalat saját fejlesztésű megoldását használják - ezért is tartozik hozzájuk külön USB vevőegység.

Egy ilyen klaviatúrát szétszedve rövid személődés után felfedezhető a rádiós kommunikációért felelős lapka - annak szériaszáma alapján pedig a hozzá tartozó adatlap. Jelen esetben egy 2,4 gigahertzes RF chipről van szó, amely másodpercenként 250 kilobit, illetve 1 vagy 2 megabites adatátviteli sebességgel dolgozik, és GFSK (gaussian frequency-shift keying) digitális frekvenciamodulációt alkalmaz.

A lapka kommunikációjának feltöréséhez szakértőnk Travis Goodspeed blogjához fordult segítségért, aki 2011 februárjában dolgozott hasonló projekten, egészen pontosan egy Microsoft Comfort Desktop 5000 klaviatúra vezeték nélküli kommunikációjának feltörésén. Goodspeed a fent említett, a billentyűzetekben dolgozó RF chip segítségével - amely egyébként nagyjából 1 dollárért megrendelhető az eBay-ről - tudta elcsípni az eszköz által adott jeleket, ugyanakkor nem volt könnyű dolga, miután a hallgatózáshoz nemcsak a célba vett frekvenciát kell ismerni, de az adott készülék MAC-címét is. Goodspeed megoldásával ugyanakkor ez is hamar beszerezhető - a pontos részletekért érdemes felkeresni a szakértő kapcsolódó blogbejegyzését.

Nehezen találni gyengébb titkosítást

A titkosítás feltörése innentől fogva nem különösebben nehéz, ahogy azt korábban már Thorsten Schröder és Max Moser biztonsági szakértők is felfedezték saját billentyűzet-lehallgató eszközük, a KeyKeriki fejlesztése során: az egyes billentyűleütéseket ugyanis a Microsoft eszközei ECB (electronic codebook) módszerrel titkosítják, az eszköz MAC-címe alapján. Ez az egyik leggyengébb titkosítási eljárás, lényege, hogy az adathalmazt több blokkra bontja, majd ezeket külön-külön titkosítja - ettől azonban az adatmintázatok továbbra is megmaradnak. Egy ECB-vel titkosított, aránylag nagy, egyszínű részeket tartalmazó bitkép például továbbra is jól felismerhető lehet, mert bár az egyes pixelek színei nem ismertek, az adat mintázata változatlan marad. Ahogy Kamkar fogalmaz: olyan, mint ha egy pakli kártyát úgy próbálnánk megkeverni, hogy azt egyszerűen kettéválasztjuk majd a két részt megcseréljük.

Akár néhány dollárból

A hétvégi hacker-projekt teljes költsége nagyjából 10 és 80 dollár között mozog, attól függően, hogy milyen kiterjedt funkcionalitást akar az ember az apró műanyag dobozba préselni. Amire egészen biztosan szükség lesz, az értelemszerűen egy USB-s fali töltő, a fentebb említett, egydolláros RF lapka, illetve egy Arduino, vagy Teensy mikrokontroller. Ehhez még igény szerint hozzácsapható egy apró flash-tárhely a begyűjtött információk tárolásához, továbbá egy 2G kapcsolatot támogató FONA modul, amelynek segítségével a leütések rögtön továbbíthatók is egy távoli számítógépre. A FONA egységhez továbbá egy akkumulátor is kapcsolható, így a kütyü még a falból kihúzva is tovább fülelhet a billentyűzet kattogására. Ami a szoftveroldalt illeti, a sikeres hallgatózáshoz a mikrokontrollerre telepített program mellett még egy jQuery és PHP alapú webes backendre is szükség van - a projekt részletes leírása, illetve az ahhoz szükséges szoftverek elérhetők Kamkar GitHub oldalán.

A szakértő olcsó, de annál veszélyesebb megoldása vélhetően senkiben nem hagy kétséget, hogy még 2015-ben is bőven van hova fejlődnie a vezeték nélküli eszközök biztonságának. A Microsoft a KeySweeperrel kapcsolatban a VentureBeatnek nyilatkozva annyit mondott, tudnak a problémáról és már megkezdték annak vizsgálatát. Bár Kamkar fali töltője egészen biztosan az egyik leglátványosabb bizonyíték a vezeték nélküli billentyűzetek gyér védelmére, azok a kutatások amelyekre épít (például Goodspeed, iletve Schröder és Moser munkája) már évek óta elérhetők nyilvánosan, mégsem értek el különösebb hatást a vezeték nélküli eszközök titkosításának megerősítése terén - remélhetőleg ez az újabb készülékek megjelenésével változik majd.

forrás: hwsw.hu

Kikerült az androidos biztonsági hibát kihasználó példakód

Mindenki számára elérhető a múlt héten bejelentett komoly androidos biztonsági sebezhetőséget kihasználó példakód. A Google ugyanakkor bejelentette, hogy a javítás március óta a gyártóknál van, a frissítés leküldése a felhasználók telefonjaira immár a vállalatok felelőssége.

Elkészült és mindenki számára elérhető a súlyos androidos biztonsági rést kihasználó példakód, amelynek birtokában a potenciális támadók anélkül módosíthatják a hivatalos alkalmazásokat, hogy a rendszer vagy a felhasználó ezt észrevenné. Az apktool névre keresztelt script kibontja az aláírt telepítőcsomagot, majd módosítás után úgy tudja azt újra összeállítani, hogy az eredeti aláírást a rendszer továbbra is érvényesnek fogadja el.

A szerző Olivia Fora állítása szerint a scripttel újracsomagolt támadó kódot a Google-féle biztonsági szoftverek jelenleg nem ismerik fel, a megfelelően preparált telepítő minden gond nélkül lefutott a tesztkészüléken, a támadó kód pedig aktív maradt. Mint ismeretes, a Google Bouncer technológiája a Play Store-ba feltöltött alkalmazásokat vizsgálja virtualizált környezetben, a gyanús viselkedést mutató appokat pedig törli a piactérről. Az Android Jelly Bean 4.2 óta pedig a rendszer része a Verify Apps funkció is, amely a Play Store-on kívül telepített alkalmazásokat tudja megvizsgálni. Fora szerint sem a Bouncer, sem a Verify Apps nem jelzett biztonsági problémát a tesztalkalmazás esetében.

Megkerülhető az aláírás

Az Androidon minden alkalmazást aláírás véd, amely elvileg szavatolja, hogy a telepítőcsomag (APK) kódját nem módosították, valóban az kerül fel a készülékre, amit a fejlesztő az alkalmazás-piactérre feltöltött. A kriptográfiai aláírásellenőrzés azonban hibás, ennek kiaknázása lehetővé teszi támadók számára, hogy a rendszer számára láthatatlan módon, az eredeti, érvényes aláírás megtartása mellett módosítsák egy alkalmazás kódját, tetszőlegesen. Magyarul az aláírás és az APK tartalma közötti kötelék megbontható, így adott elfogadott aláírás mellett tetszőleges kód futtatható a rendszeren. A hiba roppant egyszerű, az aláíró (és az aláírást ellenőrző) algoritmus minden fájlhoz hash-t készít, több ugyanolyan nevű állomány esetében azonban csak a legutolsót veszi figyelembe. Ha a támadó meg tudja oldani, hogy az APK futtatásakor ne az eredeti, hanem a módosított második állományt használja, akkor nyert ügye van.

A biztonsági problémát súlyosbítja, hogy ilyen módon nem csak a felhasználói alkalmazások, de a beépített rendszerprogramok is támadhatóak-felülírhatóak, vagyis akár "system" szintű jogosultsággal is lefuthat az idegen kód, ami néhány fogással egészen root jogig bővíthető, ennek birtokában pedig a támadó már a telefonon tárolt összes adathoz, a készülék összes funkciójához hozzáfér.

Már javítva? Várjunk csak...

A Google közlése szerint a hibát már az év elején javították az Androidban, a megfelelő frissítést pedig március során elküldték a gyártópartnereknek és a mobilszolgáltatóknak, megfelelő tesztelés után ők illetékesek a telefonok biztonsági frissítésében. Ez pedig eléggé súlyos problémát jelent, az androidos telepített bázis nagy része már régen nem kap sem biztonsági, sem egyéb frissítéseket, kérdéses, hogy az érintett gyártók (és érintett eszközök) mekkora arányban kapják meg a jövőben a megfelelő támogatást.

A támadás kivitelezéséhez az szükséges, hogy a felhasználó a módosított APK-t letöltse a telefonjára és lefuttassa azt. Emiatt elsősorban a Play Store-on kívülről szerzett alkalmazások lehetnek gyanúsak, de maga a Play Store is támadható marad. Ha a támadó megszerzi például a hálózati forgalom fölötti ellenőrzést, akkor elképzelhető, hogy a bolt és a telefon közé ékelődve leküldheti a készülékre a módosított telepítőcsomagot, amely a felhasználó számára transzparens módon települ is. Az utóbbi forgatókönyv tömegesen nem használható, célzott támadásokhoz azonban értékes lehet.

forrás:hwsw.hu

Könnyen kijátszhatók az okos mérőórák

Az energiaszolgáltatás és közmű jövőjét az okos mérőeszközök jelentik - ez szinte minden szempontból helytálló kijelentés, viszont a csalók számára is új lehetőségeket tartogatnak az új módszerek.

Mik is azok az okos mérőórák? Alapvetően olyan internetre kapcsolt, automatikus eszközökről beszélünk, amelyek a jelenlegi egyszerű módszereket felváltva mérik az áramfogyasztást, a felhasznált melegvíz vagy fűtőanyag mértékét. A technológia már jó pár éve létezik, főleg, mióta a gyártók az intelligens otthon fogalmát is kelléktárukba helyezték, egyre több cég kínál ilyen eszközöket, de a közeljövő már inkább arról szól, hogy nem egyedileg, hanem tömegesen terjedjenek el. Sokfelé tervezik állami és közüzemi szervek, hogy fokozatosan megkezdik a régi mérési módszerek cseréjét, ami alapvetően jó dolog.

A brit kormány például 2020-ra már 30 ezer háztartásban üzemeltetne okos mérőórákat, ami hasznos a szolgáltatóknak és a fogyasztónak is egyaránt. A technológia legfontosabb előnye, hogy pontosabbá válik a mérés, eltűnnének a jelenlegi becsléseken alapuló, vagy általánydíjas csekkek, ráadásul a fogyasztók akár órákra lebontva meg tudják nézni, mikor mennyi energiát vagy vizet fogyasztottak. Ezzel tudatosabbá válhatnak a fogyasztási szokások, és végeredményben csökkenthetők a költségek is.

a cikk a technet.hu-n folytatódik.

Feltörték a Google Glasst

Röviddel a piacra kerülése után máris feltörték a Google szemüvegét.

Régi  informatikai igazság, hogy amit az ember készít, azt a másik ember fel is tudja törni. Most a nemrégiben megjelent Google Glass jutott erre a sorsra, ugyanis egy lelkes iOS és Androidfejlesztő sikeresen átvette a teljes ellenőrzést a szemüveg rendszere fölött. Bár Jay Freeman nem publikált konkrétumokat a sikeres feltörésről, állítása szerint mindössze 2 órát vett igénybe a művelet. A vacsora ideje alatt történt feltörés konkrét célja egyelőre meglehetősen homályos, valószínű, hogy Freeman mindössze kedvtelésből állt csak neki. Az egyelőre hősünk számára sem világos, hogy mihez kezd majd a most már tökéletesen irányítható szemüveg kódjával, elképzelhető, hogy csak a kamera által rögzített filmek tárhelyét változtatja majd meg.

Az persze valószínű, hogy mire 2014-ben piacra kerül a Glass, már komolyabb védelmet is beépít a kaliforniai gyártó, hiszen nem lenne jó, ha sok száz dolláros szemüveget bárki kénye-kedve szerint alakíthatná.

forrás: wikitech.hu

Az első hírek szerint állva maradt a Chrome OS a Pwnium-on

A Google egy rakás pénzt (3,14159 - vagyis pi millió dollárt) ajánlott fel azoknak a versenyzőknek, akik sikeresen legyűrik a Chrome OS-t a Pwnium 3 biztonsági vetélkedőn. A Pwnium 3-ra a kanadai CanSecWest rendezvényen került sor tegnap. A friss Twitter üzenetek szerint nem sikerült senkinek sem teljes díjat nyernie. A Google Chrome csapat kiértékeli az eredményeket és lehetséges, hogy a részeredményeket jutalmazza. Hivatalos bejelentés még nincs, további (pontosabb) részletek később.

Emlékeztetőül a versenyen sikeresen exploitálták a Chrome, Firefox, IE 10 böngészőket, mind a Java-t, mint a Windows 8-at.

forrás:hup.hu

Microsoft: leállt az Azure és a Java résén keresztül be is törtek

Péntek délután leállt az Azure felhő tárolószolgáltatása, a cég egyes PC-it pedig a más vállalatoknál is sikeresen alkalmazott Java-alapú támadással pedig feltörték. Ügyféladatok nem kerültek veszélybe, állítja a Microsoft.

Péntek kora délután, magyar idő szerint már este világszerte összeomlott az Azure felhő tárolószolgáltatása. A Microsoft hivatalos Azure-blogjából kiderül, hogy egy nagyon egyszerű ok húzódott meg a háttérben: egy SSL tanúsítvány lejárt, emiatt a HTTPS forgalom teljesen megbénult a tárolószolgáltatásban. A hivatalos tájékoztatás szerint a cég mérnökei szombat hajnalra tudták részlegesen elhárítani a hibát az érintett clustereken, ekkorra a szolgáltatás a világ 99 százlékáról már elérhető volt, a teljes üzemet pedig szombaton reggel 8-ra érte el az Azure - magyar idő szerint ez már délután 5 órát jelent.

Az adattárolási szolgáltatás hibája más Azure-komponenseket is "magával vitt", kiesések voltak az Azure Service Bus, Azure Web Sites és és Acces Control 2.0 szolgáltatásokban is. A leállás hossza és kiterjedtsége miatt az ügyfelek kártérítést kapnak, amit a következő számlájukon ír majd jóvá a Microsoft, olvasható a blogban. Emellett a cégnél megkezdődött a hibafeltárási folyamat, amelynek eredményeképp várhatóan a jövőben nem fordul elő hasonló eset. Az incidens alatt a HTTP forgalom zavartalanul folyt, számolt be a cég az Azure dashboardon, ahol a felhőszolgáltatás életjeleiről ad tájékoztatást.

Nem az az első eset, hogy az Azure egy banális hiba miatt megbénul. Majdnem egy évvel ezelőtt, tavaly februárban a szökőnap hibás kezelése miatt állt le az adminisztrációs felület, ami miatt nem lehetett új alkalmazásokat telepíteni, indítani vagy a már futókat módosítani. A problémát akkor is biztonsági tanúsítványokkal kapcsolatos baki okozta - egy hibás algoritmus 2013. február 29-i keltezésű tanúsítványokat akart kiadni, amelyeket a rendszer nem fogadott el érvényes dátumnként, ez vezetett a frissítés alatt álló szerverek tömeges bedőléséhez.

A Microsoft egy másik incidensről is kénytelen volt beszámolni, sok más vállalathoz hasonlóan a Java böngészőplugin javítatlan sebezhetőségét kihasználva Redmondba is betörtek, köztük az Apple platformra fejlesztő részleg OS X-et futtató számítógépeire is. "A vizsgálat során találtunk néhány számítógépet, köztük párat a Mac részlegünknél, amelyet kártékony kóddal fertőztek meg a más cégeknél is használt módszerrel" - olvasható a Microsoft biztonsági blogjában. "Nincs bizonyíték arra, hogy ügyféladatok érintettek lennének, a vizsgálat továbbra is folyik." A Java sandbox sebezhetőségét kihasználva nemrég az Apple és a Facebook rendszereibe is bejutottak, de ügyféladatokat sehonnan sem tulajdonítottak el a jelenleg rendelkezésre álló információk alapján.

forrás:hwsw.hu

Biztonsági incidens a wiki.debian.org-on

Steve McIntyre a Debian wiki adminisztrátora a debian-devel-announce listán nemrég bejelentette, hogy a "moin" csomag twikidraw / anywikidraw komponensének biztonsági sebezhetőségét illetéktelenek használták ki a Debian wiki szerverén (wiki.debian.org). Az incidens okán a wikit a régebbi szerverről egy újabbra migrálták és javított csomaggal az szolgáltatást helyreállították. A régi szerver auditálása során arra jutottak, hogy a "wiki" account-on kívül más account nem sérült, viszont az is kiderült, hogy támadók elvitték a wiki szerkesztőinek e-mail címeit és jelszó hash-eit. A részletek itt olvashatók.

forrás:hup.hu

Egyetlen emaillel eltéríthetők a lakossági routerek

Látványosan egyszerű támadással változtatható meg egyes otthoni és kisválllalati (SOHO) routerek több beállítása, elegendő, ha az eszköz mögött ülő felhasználó iOS alól nyit meg egy emailt. A veszély nem elméleti, az ilyen hibákat már széles körben használják ki támadásokhoz.

Roppant egyszerű támadással téríthető el az alapértelmezett beállításokkal rendelkező routerek internetes forgalma - írja a Bogdan Calin biztonsági szakértő blogbejegyzése. A poszt szerint egyes lakossági routerek esetében elegendő egyetlen email megnyitása ahhoz, hogy módosítsuk például a névszerver címét, ezzel a netes forgalom nagy részét a támadó átirányíthatja.

a cikk a hwsw.hu-n jelent meg.

Windows 8 / IE 10 0day exploit

A VUPEN Security vezetője, Chaouki Bekrar a Twitteren bejelentette, hogy cégének sikerült különböző 0day-ek kombinálásával a Windows 8 / IE 10 összes új exploit mitigációs megoldásait kijátszania:

A Microsoft egyik szóvivője jelezte, hogy olvasták a Twitter üzeneteket, de egyelőre részleteket nem osztottak meg velük. Továbbra is bátorítják a biztonsági szakembereket arra, hogy vegyenek részt a Microsoft Koordinált Sebezhetőség-közlési programjában (Microsoft Coordinated Vulnerability Disclosure program) annak érdekében, hogy segítsenek a vállalatnak az ügyfelek biztonságának biztosításában.

A részletek itt és itt.

forrás: hup.hu

Óriási magyar siker a hekkerolimpián

A tavaly első ízben meghirdetett hekkerolimpián, a CyberLympics döntőjében a kancellar.hu információbiztonsággal foglalkozó tanácsadó cég csapata, a Six Pistols a harmadik helyen végzett. Az idei döntőben megduplázódtak az esélyek, az európai kontinensselejtezőn ugyanis mindkét továbbjutó helyet magyar csapat szerezte meg. Így Európát az októberben Miamiban rendezett döntőn honfitársaink képviselik, a PRAUDITORS és a gula.sh csapata.

A cikk az index.hu-n jelent meg.

Poul-Henning Kamp: az md5crypt már nem tekinthető biztonságosnak

A LinkedIn incidens apropóján írt egy cikket az ACMQUEUE hasábjaira Poul-Henning Kamp FreeBSD fejlesztő, az md5crypt megalkotója. Kamp írásában azt elemzi, hogy miért hibázott a Linkedin, mikor a jelszavakat unsalted SHA1 hash-ek formájában tárolta.

A '90-es évek közepén Kamp, hogy a standard UNIX crypt(3) gyengeségére - könnyen, gyorsan "brute force"-olható - megoldást adjon, megalkotta a md5crypt-et. Az md5crypt feltehetően a legszélesebb körben használt jelszókódoló. Éppen ezért kell felhívni a figyelmet arra, hogy napjaink hardverei mellett az md5crypt már nem tekinthető biztonságos megoldásnak. Körülbelül annyit ér ma, mint 1995-ben a DES-alapú standard UNIX crypt(3), ami miatt megszületett. Hogy ez mennyire így van, azt maga a szerző mondja el "Md5crypt Password scrambler is no longer considered safe by author" írásában.

Poul-Henning Kamp, az md5crypt szerzője mindenkinek azt javasolja, hogy késedelem nélkül váltson erősebb jelszókódolóra.

Átírta az alaptörvényt az Anonymous

Átfogalmazta az Alkotmánybíróság honlapján található alaptörvényt néhány hekker, a csoport tagja magukat a magyar Anonymous tagjainak nevezték.

Az Index beszámolója szerint feltételezhető, hogy vasárnapra virradóra írták át az Alkotmánybíróság honlapjáról elérhető alaptörvény szövegét a magukat az Anonymous hackercsoporthoz tartozónak nevező hackerek.

Lyukas a Google pénztárcája

A Google Wallet alkalmazásba egy újabb súlyos sérülékenységre derült fény, ami a Google feltöltőkártyás ügyfeleinek virtuális pénztárcáját igencsak érzékenyen érintheti. A Google fejlesztőinek egy súlyos sebezhetőséget kell megszüntetniük a Google Wallet alkalmazásban, ugyanis az bizonyos körülmények között jelentősen megkönnyítheti a tolvajok, csalók számára a károkozást. A hibára először a Smartphone Champ blogja hívta fel a figyelmet, amikor közölte, hogy azon eltulajdonított vagy ellopott androidos készülékek, amelyeken engedélyezett volt a Google Wallet és aktív egy Google Prepaid Card (feltöltőkártya), azokon a tolvajok egyszerűen ki tudják játszani a PIN-kódos védelmet, majd a saját céljaikra használhatják fel a kártyán lévő összeget.

A cikk a biztonsagiportal.hu-n jelent meg.

Biztonsági incidens a Microsoft indiai webáruházában

A Microsoft indiai webáruházához illetéktelenek fértek hozzá. A weboldalt deface-elték, de úgy fest, hogy az adatbázisokhoz is hozzáfértek. Az eddigi adatok alapján a jelszavakat plain text tárolták, így azokat a támadók könnyűszerrel megszerezték. A webáruházon jelenleg a "The Microsoft Store India is currently unavailable." üzenet olvasható. A behatolás részletei itt olvashatók.

Támadás vár a magyar kormányzati oldalakra?

Az Anonymous már a környékünkön jár, az elmúlt napokban már a cseh és a szlovák kormányzati oldalakat is betámadták, mert a két ország aláírta azt az egyezményt, amelyiket Magyarország is.

Csütörtökön a cseh kormány és az ottani szerzői jogvédő hivatal oldalait támadták le hekkerek, szomvat este pedig a szlovák kormány oldala esett el több órára. A két támadás forgatókönyve megegyezett: DDoS akció, azaz túlterheléses ellehetetlenítés történt mindkét, környékünkön történt esetben.

A teljes cikk a technet.hu-n jelent meg.

Nem állt le az Anonymous, folyik a toborzás

Az Anonymous csoport a múlt héten ismét bebizonyította, hogy szinte órák alatt képes komoly fennakadásokat okozni. Ennyivel azonban nem érte be, hiszen folyamatosan toborozza a tagjait.

A teljes cikk itt olvasható.

1 - 20 / 25 tétel megjelenítése.
Tételek oldalanként 20
of 2

Oktatási hírek Oktatási hírek

A <em>hacking</em> cimkéjű tartalom.

Nincs eredmény.

Naptár Naptár

vasárnap

20

2017.08.20.
H K Sze Cs P Szo V
31 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3
Ezen a napon nincsenek események.
Idő Cím Típus  
Ezen a napon nincsenek események.
0 tétel megjelenítése.

Cimkefelhő Cimkefelhő