Isidor Blog

Spammerek ellen l�p fel a Facebook

csiff — Mon, 06 Sep 2010 06:51:32 +0000

A Facebookon egy �jabb biztons�gi funkci� bevezet�se kezd�d�tt el. Az �zemeltet�k rem�nyei szerint ezzel valamelyest visszaszor�that�v� v�lhat a spammerek k�z�ss�g�p�t�n val� nemk�v�natos t�nyked�se.

A Facebook fejleszt�i m�jus v�g�re k�sz�ltek el annak a funkci�nak a kialak�t�s�val, amelynek seg�ts�g�vel a felhaszn�l�k �rtes�t�st kaphattak arr�l, hogy a fi�kjukba milyen sz�m�t�g�pr�l t�rt�nt bejelentkez�s. Ez a szolg�ltat�s azonban ink�bb csak a nyomon k�vet�st seg�tette, mintsem val�ban k�pes lett volna megakad�lyozni a sz�m�t�g�pes b�n�z�st a c�ljai el�r�s�ben. R�ad�sul a biztons�gi megold�s alap�rtelmezett m�don kikapcsolt �llapotban ker�lt bevezet�sre, �gy csak azon felhaszn�l�k �lhettek az abban rejl� lehet�s�gekkel, akik a fi�kjuk biztons�gi be�ll�t�saiban enged�lyezt�k a szolg�ltat�st.

A Facebook fejleszt�i m�jus �ta tov�bb dolgoztak a biztons�gi funkci� hat�konyabb� t�tel�n, aminek eredm�nyek�nt mostanra elk�sz�lt a leg�jabb verzi�. Ez m�r kicsit t�bb lehet�s�get k�n�l a felhaszn�l�i fi�kokhoz val� jogosulatlan hozz�f�r�sek felismer�s�hez. A k�z�ss�g�p�t� �zemeltet�i �gy l�tj�k, hogy a tov�bbfejlesztett szolg�ltat�s els�sorban a spammel�s visszaszor�t�s�ra lesz alkalmas. Erre nagy sz�ks�g is lenne, hiszen a Facebook az elm�lt id�szakokban igencsak felkeltette a spammerek �rdekl�d�s�t. Az � m�dszereik k�z�l a legelterjedtebbnek az a sz�m�t, amikor meghamis�tott, megt�veszt�, adathal�sz weboldalakon kereszt�l felhaszn�l�neveket �s jelszavakat gy�jtenek, amelyeket azt�n arra haszn�lnak fel, hogy a Facebook regisztr�lt tagjainak fi�kjain kereszt�l �zeneteket k�ld�zgessenek. Ezek a k�retlen k�ldem�nyek sokszor igencsak megt�veszt�ek lehetnek, hiszen a c�mzettek gyakran a bar�taik, ismer�seik nev�ben kapj�k meg a nemk�v�natos k�ldem�nyeket. Tov�bbi probl�ma, hogy egyre t�bb spammer rendelkezik olyan eszk�z�kkel, amelyek seg�ts�g�vel automatiz�lt m�dszerekkel tudj�k elv�gezni a lopott adatokkal val� bejelentkez�st a k�z�ss�g�p�t�be, majd azon szint�n automatikusan tudnak �zeneteket k�ld�zgetni. Egy h�ttel ezel�tt ilyen technik�kkal terjedt rengeteg olyan �zenet, amelyek ingyenes iPad-et �g�rgettek.

A Facebook bejelentkez�sek monitoroz�s�ra szolg�l�, tov�bbfejlesztett funkci�ja - az eddigiekt�l elt�r�en - m�r nemcsak a hiteles�t�skor megadott sz�m�t�g�pneveket �s bejelentkez�si id�pontokat jelen�ti meg, hanem p�ld�ul az �ppen akt�v kapcsolatok �llapot�t, a bejelentkez�s - nem mindig teljesen pontos - hely�t �s az oper�ci�s rendszer valamint a b�ng�sz� t�pus�t is. Ami enn�l fontosabb, hogy lehet�s�get ad arra, hogy a felhaszn�l� lez�rja azokat a kapcsolatokat, amelyeket �ppen nem haszn�l. Ezzel egyr�szt kiz�rhatja a jogosulatlanul bejelentkez� szem�lyeket vagy robotokat, illetve inakt�vv� teheti azokat a kapcsolatokat, amelyeket kor�bban nyitva hagyott p�ld�ul a munkahely�n vagy egy mobil k�sz�l�ken. “A v�delmi eszk�z l�that�v� teszi azokat az inform�ci�kat, amelyek alapj�n meg lehet arr�l gy�z�dni, hogy �ppen milyen h�l�zati kapcsolatok �lnek egy-egy profilhoz” - mondta Andrew Walls, a Gartner kutat�si igazgat�ja a Facebook bejelent�s�re reag�lva.

Nyilv�nval�an az �j funkci� sem fog megv�deni minden t�mad�st�l, azonban nagyobb es�lyt biztos�t a nemk�v�natos tev�kenys�gek kisz�r�s�re. Fontos megjegyezni, hogy ez a szolg�ltat�s sem enged�lyezett alap�rtelmezett m�don: a fi�kbe�ll�t�sok/fi�kv�delem men�pontok alatt lehet aktiv�lni. A Facebook nem egyszerre teszi el�rhet�v� mindenki sz�m�ra az �j funkci�t, ugyanis azt folyamatosan terjeszti ki a felhaszn�l�k egyre sz�lesebb k�r�re.

Forr�s:
Biztons�gport�l

K�s�rletezgettek az internettel - nem j�tt be

csiff — Mon, 30 Aug 2010 06:52:28 +0000

Egy f�lresiker�lt egyetemi k�s�rlet k�vetkezt�ben r�vid id�re fennakad�sok alakultak ki egyes internetszolg�ltat�kn�l.

A Duke Egyetem �s a RIPE NCC (Reseaux IP Europeens Network Coordination Centre) k�zpont kutat�i �gy hat�roztak, hogy p�nteken egy routol�ssal kapcsolatos k�s�rletet v�geznek el, melynek sor�n az internetes adatforgalom ir�ny�t�s�ban kulcsfontoss�g� szerepet j�tsz� BGP (Border Gateway Protocol) kezel�s�n is v�ltoztatnak. Ennek megfelel�en a RIPE NCC munkat�rsai a k�zponti routereken a megszokott�l n�mileg elt�r� konfigur�ci�s be�ll�t�sokat eszk�z�ltek. Erre az�rt volt sz�ks�g, mert a kutat�k egy k�s�rleti adatform�tumot akartak kipr�b�lni. Miut�n az adatok a routerek k�z�tt az �j form�tum szerint elkezdtek k�zlekedni, akkor n�h�ny percen bel�l nyilv�nval�v� v�lt, hogy a k�s�rlet gondokat okoz a h�l�zatban.

Erik Romijn, a RIPE NCC munkat�rsa elismerte, hogy a k�s�rlet sor�n t�bb internetszolg�ltat� is jelezte, hogy a h�l�zati infrastrukt�r�kban probl�m�kat v�ltek felfedezni. “Amint kider�ltek a rendelleness�gek, azonnal le�ll�tottuk a k�s�rletet, �s elkezdt�k kivizsg�lni a t�rt�nteket. Az eddigi inform�ci�ink szerint a probl�m�t az okozhatta, hogy egyes routerek nem megfelel�en m�dos�tott�k a k�s�rleti jelleggel haszn�lt attrib�tumokat, ami hib�s �tv�laszt�shoz vezetett. Mindennek nem szabadott volna bek�vetkeznie olyan rendszereken, amelyeken a BGP-t�mogat�s megfelel�en konfigur�lt” - mondta Romijn.

A BGP nem megfelel� kezel�s�vel kapcsolatos probl�m�k kor�ntsem �j kelet�ek. Az egyik legismertebb eset egy pakiszt�ni szolg�ltat�n�l k�vetkezett be, amikor az a YouTube blokkol�s�ra vonatkoz� korm�nyzati utas�t�st a routerek nem kell� k�r�ltekint�ssel t�rt�n� konfigur�l�s�val pr�b�lta v�grehajtani. Ennek eredm�nyek�nt a vide�megoszt� k�t �r�ra el�rhetetlenn� v�lt. Id�n pedig egy k�nai internetszolg�ltat�n�l jelentkez� hiba miatt b�nult meg egyes helyeken az internet.

Biztons�gi szak�rt�k m�r t�bbsz�r felh�vt�k a figyelmet arra, hogy a BGP az internetes infrastrukt�r�k elleni t�mad�sok eset�ben is kulcsfontoss�g� szerephez juthat. Ez�ttal Paul Ferguson, a Trend Micro kutat�ja fejezte ki aggodalm�t: “A p�nteki eset ugyan csak kisebb hat�st gyakorolt az internetre, de ha valakinek egyszer lehet�s�ge lesz arra, hogy sz�nd�kosan adjon meg helytelen �tval�szt�si be�ll�t�sokat, akkor sokkal rosszabb is t�rt�nhet”.

Forr�s:
Biztons�gport�l

Vesz�lyes a HTML5?

csiff — Tue, 24 Aug 2010 07:20:44 +0000

A Usenix Security rendezv�ny r�sztvev�i a HTML5 biztons�gi probl�m�it is megvitatt�k. Kider�lt, hogy az �j szabv�ny szerint k�sz�l� weboldalak megfelel� �vint�zked�sek n�lk�l sokf�le t�mad�ssal szemben lehetnek kiszolg�ltatottak.

“A webes alkalmaz�sok hitetetlen�l gazdagg� tehet�k a HTML5 seg�ts�g�vel. A b�ng�sz�k teljes alkalmaz�sokat kezdenek menedzselni, �s nemcsak weblapok megjelen�t�s�vel foglalkoznak. Azonban sz�mos olyan t�mad�si forma l�tezik, amelyekre gondolnunk kell” - v�lekedett Sid Stamm, a Firefox biztons�g��rt felel�s egyik szakember a Washingtonban megrendezett Usenix Security rendezv�nyen. Ezekkel a mondataival igyekezett kifejteni azt a HTML5-tel kapcsolatos biztons�gi megk�zel�t�st, miszerint a tartalmak �s a funkci�k gazdags�ga kell� odafigyel�s n�lk�l biztons�gi probl�m�khoz j�rulhat hozz�. Stamm p�ldak�nt hozta fel az Opera legut�bbi hibajav�t�s�t, melynek sor�n a b�ng�sz�ben egy olyan s�r�l�kenys�g megsz�ntet�s�re is sor ker�lt, amely a HTML5-ben specifik�lt �canvas� nem megfelel� kezel�s�vel, illetve megjelen�t�s�vel volt �sszef�gg�sbe hozhat�.

A rendezv�nyen felvet�d�tt a k�rd�s, hogy vajon elker�lhetetlen-e az, hogy a W3C (World Wide Web Consortium) �ltal f�mjelzett szabv�ny, jeles�l a HTML5, �j s�r�l�kenys�geket hozzon mag�val. T�bb biztons�gi kutat� szerint mindez sajnos elker�lhetetlen. “A HTML5 rengeteg �j funkci�val szolg�l, �s er�t ad a webnek. Sokkal t�bb minden el�rhet� egy egyszer� HTML5 alap� weboldal �s JavaScriptek seg�ts�g�vel, mint ami eddig lehets�ges volt” - mondta Lavakumar Kuppan kutat�, aki szerint az �j lehet�s�gek el�bb ut�bb biztons�gi neh�zs�geket fognak el�id�zni. Kuppan �s egyik koll�g�ja �ppen a ny�r elej�n fedezett fel egy olyan sebezhet�s�get, amely a HTML5 Offline Application Cache-t �rintette. A hiba a Chrome, a Safari, a Firefox eset�ben valamint az Opera egyik b�ta verzi�j�ban is kihaszn�lhat� volt.

Az offline technik�k igencsak foglalkoztatj�k a biztons�gi szak�rt�ket, akik szerint a cache-ben t�rolt adatok k�nnyed�n �ldozat�ul eshetnek a sz�m�t�g�pes b�n�z�knek. Megfelel� jogosults�gkezel�s n�lk�l ugyanis sokkal t�bb inform�ci�hoz lehet hozz�f�rni a klienseken, mint eddig. Kevin Johnson, a Secure Ideas szakembere is az offline tartalmak kezel�se kapcs�n emelte fel a szav�t. “�vekig a k�l�nb�z� s�r�l�kenys�gekre - t�bbek k�z�tt az SQL injectionre �s puffert�lcsordul�si hib�kra - koncentr�ltunk. Ezeket befoltoztuk, jav�tottuk �s monitoroztuk. Azonban a HTML5 eset�ben maguk a megval�s�that� funkci�k haszn�lhat�k fel t�mad�sok kivitelez�s�hez” - mondta Johnson. A szakember p�ldak�nt a Google Gmail-t eml�tette. “M�g kor�bban a t�mad�knak jelszavakat kellett szerezni�k, visszafejteni�k, addig most m�r elegend�, ha ahhoz a b�ng�sz�h�z nyernek hozz�f�r�st, amelynek seg�t�s�g�vel a Gmail postafi�kok tartalma helyileg elt�rol�sra ker�l. Az �j funkci�k�szlet ijeszt�. Ha egy webes alkalmaz�sban tal�lok egy s�r�l�kenys�get, �s HTML5 k�dot juttatok a weblapba, akkor k�nnyed�n tudom m�dos�tani az oldalt, �s azt rejtek el azon, amit csak akarok. A helyi adatt�rol�s miatt pedig a t�mad�knak a felhaszn�l�k tudta n�lk�l ny�lhat lehet�s�g�k a lementett adatok m�dos�t�s�ra” - h�vta fel a figyelmet a vesz�lyekre Johnson. A rendezv�nyen a szak�rt�k a Geolocation �s a meg�jult CSS kapcs�n is kifejezt�k az aggodalmaikat. Egyesek szerint lehet�s�g ny�lhat arra, hogy a felhaszn�l� tudta n�lk�l ker�ljenek illet�ktelen kezekbe a tart�zkod�si helyre vonatkoz� inform�ci�k.

Forr�s:
Biztons�gport�l

C�lba vett�k a v�rusok az Androidot

csiff — Wed, 11 Aug 2010 06:39:46 +0000

A Kaspersky Lab egy olyan k�rt�kony programot fedezett fel, amely kifejezetten a Google Android alap� k�sz�l�keket k�pes megfert�zni. A tr�jai emelt d�jas SMS-�zeneteket k�ld�zget.

A mobilv�rusok kor�ntsem terjednek olyan sz�mban, mint a PC-s t�rsaik. Pedig az iPhone �s az Android t�rh�d�t�sa kedvez annak, hogy a v�rus�r�k - a Symbian mellett - kiszemelj�k maguknak ezeket a platformokat, �s olyan k�rt�kony k�dokat k�sz�tsenek, amelyek sz�les k�rben k�pesek terjedni. Ennek ellen�re napjainkban legink�bb azokr�l a rosszindulat�, els�sorban adatokat kisziv�rogtat� alkalmaz�sokr�l lehet hallani, amelyek egyes esetekben az Apple App Store valamint a Google Android Market weboldalain v�lnak let�lthet�v�.

Az eddigi tal�n legismertebb iPhone kompatibilis k�rt�kony program az Ikee volt, amelyet egy fiatal ausztr�l programoz� hozott l�tre. A k�d olyan felt�rt k�sz�l�keken terjedt, amelyeken az SSH-hoz tartoz� alap�rtelmezett jelsz�t a felhaszn�l� nem v�ltoztatta meg. Azonban ez a k�rtev� sem j�rult hozz� t�lzottan nagy k�rokhoz. A nagy riv�lis, Android eset�ben eddig m�g enn�l is visszafogottabb volt a v�rushelyzet. A Kaspersky Lab azonban arr�l sz�molt be, hogy egy olyan tr�jai terjed�s�re lett figyelmes, amely az Android alap� k�sz�l�kek megfert�z�s�re alkalmas.

A FakePlayer.A nev� tr�jai olyan �zenetek seg�ts�g�vel terjed, amelyek a felhaszn�l�t egy �ll�t�lagos m�dialej�tsz� alkalmaz�s telep�t�s�re pr�b�lj�k r�venni. Amennyiben a k�sz�l�k tulajdonosa a szoftvert felinstall�lja a telefonj�ra, akkor azzal egy�tt a tr�jai �llom�nyai is felker�lnek a k�sz�l�k�re. A k�rtev� c�lja, hogy emelt d�jas SMS-�zeneteket k�ldj�n an�lk�l, hogy ebb�l a felhaszn�l� b�rmit is �szrevenne. Ezzel igyekszik hozz�j�rulni a terjeszt�inek p�nzszerz� akci�j�hoz.

Forr�s:
Biztons�gport�l

Soron k�v�l foltozott a Microsoft

csiff — Tue, 03 Aug 2010 07:03:20 +0000

A Microsoft �gy hat�rozott, hogy nem v�rja meg az augusztusi hibajav�t� keddet, �s egy soron k�v�li friss�t�ssel foltozza be a Windows parancsikonok kezel�s�vel �sszef�gg� sebezhet�s�g�t.

A Microsoft j�lius 16-�n egy biztons�gi t�j�koztat� keret�ben k�z�lte, hogy a Windows Shell egy kritikus vesz�lyess�g� s�r�l�kenys�get tartalmaz. Mivel a sebezhet�s�g r�szletei �ppen a j�liusi hibajav�t� kedd ut�n ker�ltek napvil�gra, ez�rt egy h�napot kellett volna v�rni arra, hogy az oper�ci�s rendszer biztons�gi r�s�t be lehessen foltozni. Ez azonban - f�leg annak tudat�ban, hogy m�r egyes k�rt�kony programok is elkezdt�k kihaszn�lni a hib�t - nagyon sok id�nek t�nt. �gy l�tta ezt a Microsoft is, �s azonnal elkezdett dolgozni a friss�t�s fejleszt�s�n. A c�g a m�lt h�t v�g�n �gy v�lte, hogy a hibajav�t�s megfelel a min�s�gi k�vetelm�nyeknek. Ez�rt elhat�rozta, hogy - a s�r�l�kenys�g vesz�lyess�g�re val� tekintettel - nem v�rja meg az augusztusi hibajav�t� keddet, hanem egy soron k�v�l friss�t�ssel rukkol el�.

A Microsoft az MS10-046-os biztons�gi k�zlem�ny�ben jelezte, hogy a Windows Shell s�r�l�kenys�ge speci�lisan szerkesztett parancsikonok r�v�n v�lhat kihaszn�lhat�v�. Amennyiben a felhaszn�l� egy ilyen ikonra kattint, akkor a t�mad�k k�rt�kony k�dokat futtathatnak le, �s ak�r teljes m�rt�kben �tvehetik az �rintett rendszerek feletti ir�ny�t�st. A kock�zatok ann�l nagyobbak, min�l t�bb jogosults�ggal haszn�lja a sz�m�t�g�p�t a felhaszn�l�.

A hibajav�t�sok tegnap este el�rhet�v� is v�ltak, �gy c�lszer� min�l hamarabb friss�teni a rendszereket. A hiba a Windows XP, a Windows Vista, a Windows 7, a Windows Server 2003 valamint a Windows Server 2008 eset�ben is jelen van. A hibajav�t�sok a szokott m�don, az automatikus friss�t�si funkci�k seg�ts�g�vel telep�thet�k, vagy a Microsoft weboldalair�l t�lthet�k le.

A Windows Shell hib�j�nak t�rt�nete
Amikor j�lius k�zep�n elterjedt a h�re, hogy a Windows egyes esetekben nem kezeli megfelel�en a parancsikonokat, akkor a legt�bb biztons�gi c�g azonnal felh�vta a figyelmet a vesz�lyekre. A hib�r�l els�k�nt a VirusBlokAda nev� belorusz c�g sz�molt be. Egy nappal k�s�bb a Microsoft meger�s�tette, hogy a sebezhet�s�g kihaszn�l�sa elkezd�d�tt, �s egy Stuxnet nev� f�reg a terjed�s�hez is felhaszn�lja azt. Nyilv�nval�an egyre t�bb v�rus�r� kezdett felfigyelni az ad�d� lehet�s�gekre, �s mind t�bb sz�m�t�g�pes k�rtev�ben jelent meg a hiba kihaszn�l�s�hoz sz�ks�ges k�d. �gy p�ld�ul a Sality v�rus is �lt a parancsikonos tr�kk�kkel.

Forr�s:
Biztons�gport�l

Isidor Biztons�gi K�zpont

Felt�rt�k a hekkerkonferencia vide�szolg�ltat�s�t

csiff — Mon, 02 Aug 2010 07:15:05 +0000

A Black Hat konferencia k�zvet�t� rendszer�be egy hiba cs�szott, �s ez�ltal egy �lelmes biztons�gi szak�rt�nek siker�lt ingyenesen ig�nybe vennie az am�gy t�bb sz�z doll�ros vide�szolg�ltat�st.

Michael Coates, a Mozilla webbiztons�gi igazgat�ja az id�n nem tudott ell�togatni a Black Hat hekkerkonferenci�ra, ez�rt �gy gondolta, hogy interneten, blogokon, f�rumokon kereszt�l k�veti az esem�nyt. Amikor felkereste a rendezv�ny weboldal�t, akkor �r�mmel l�tta, hogy egy �jonnan ind�tott, Black Hat Uplink nev� szolg�ltat�s r�v�n, interneten kereszt�l is bekapcsol�dhat a konferenci�ba. �gy gondolta, hogy mindez sz�m�ra meg�r 385 doll�rt, ez�rt elkezdett regisztr�lni. Biztons�gi kutat� mivolta persze nem engedte, hogy ne n�zze meg a regisztr�ci�s oldal k�dj�t, amiben r�vid id� alatt tal�lt is egy hib�t. Ennek kihaszn�l�s�val el�rte, hogy a regisztr�ci�kor el�g volt csak megadnia egy e-mail c�met. Nevet, lakc�met, telefonsz�mot �s hitelk�rtyasz�mot nem kellett el�rulnia. Ekkor m�g azt gondolta, hogy majd az els� bel�p�skor kell megadnia a hitelk�rtyasz�mot a fizet�shez, azonban mint k�s�bb kider�lt, erre nem volt sz�ks�g. Coates szerint annyi “h�tr�nya� sz�rmazott a tr�kkb�l, hogy nem kapott meger�s�t� e-mailt, amiben bent lett volna a bejelentkez�shez sz�ks�ges URL. Azonban e probl�m�j�ra a Google seg�ts�g�vel hamar tal�lt megold�st, majd ingyenesen tudta n�zni a Black Hat esem�nyeit.

“Az igazs�ghoz hozz�tartozik, hogy a Black Hat nem saj�t maga �zemeltette ezt a szolg�ltat�st. Ennek ellen�re ironikus, hogy a vil�g legnagyobb hekkerkonferenci�j�nak video streaming megold�s�ba egy ilyen biztons�gi r�s volt.” - v�lekedett Michael Coates.

A Black Hat vide�szolg�ltat�s�t az id�n az Inxpo biztos�totta. Ez az els� �v, hogy a konferencia szervez�i ilyen k�zvet�t�si lehet�s�ggel rukkoltak el�. Jeff Moss, a Black Hat igazgat�ja elmondta, hogy hasonl�an m�sokhoz, a konferenci�k szervez�inek is sz�molniuk kell azokkal a kock�zatokkal, amelyeket k�ls� c�gek bevon�sa jelent. “Mindig idegeskedek e rendszerek miatt, mert mi nem kapjuk meg a forr�sk�dokat, �s nem tudjuk fel�lvizsg�lni azokat. Nem volt id�nk video streaming szoftvert �rni, ez�rt k�rt�nk fel egy k�ls� c�get abban a rem�nyben, hogy ez j� lesz.” - nyilatkozta Jeff Moss.

Miel�tt Michael Coates nyilv�noss�gra hozta volna a felfedez�s�t, azel�tt �rtes�tette az Inxpo fejleszt�it a biztons�gi r�sr�l, akik azt hamar meg is sz�ntett�k. Azt azonban nem lehet tudni, hogy a s�r�l�kenys�get kor�bban m�sok is felfedezt�k-e, �s h�nyan n�zt�k ingyen a hekkerkonferenci�t.

Forr�s:
Biztons�gport�l

Megbolond�tott banki automat�k

csiff — Fri, 30 Jul 2010 07:16:57 +0000

A Black Hat hekkerkonferenci�n egy biztons�gi kutat� bemutatta, hogy mik�nt lehet felt�rni a banki automat�kat, �s azokat k�l�nf�le �rdekes m�veletekre r�b�rni. Az el�ad� megkaparintotta a jackpotot is.

A bankjegykiad� automat�k �s azok felt�r�si lehet�s�gei mindig is piszk�lt�k a b�n�z�k fant�zi�j�t. Az elm�lt �vekben sz�mos olyan m�dszer ker�lt napvil�gra, amelyek valamilyen �ton-m�don lehet�s�get adtak a t�mad�k sz�m�ra arra, hogy p�nzt zs�km�nyoljanak. Ezek k�z�tt a meglehet�sen felt�n�, falb�l kir�nt�s technik�t�l elkezdve a kifinomultabb, PIN-k�dok kik�mlel�s�re alkalmas m�dszerekig sok minden el�fordult. M�r tavasszal lehetett tudni, hogy a mostani Black Hat hekkerkonferenci�n egy biztons�gi el�ad� demonstr�lni fog olyan �jabb lehet�s�geket, amelyek az eddigiekn�l kifinomultabb m�don k�pesek r�venni az automat�kat p�nz kiad�s�ra. Ez az el�ad�s nem is maradt el.

Barnaby Jack, az IOActive kutat�ja kor�bban �gy hat�rozott, hogy elkezd foglalkozni az ATM-ek biztons�g�nak felm�r�s�vel. Annak �rdek�ben, hogy a vizsg�latait a lehet� legk�nyelmesebb m�don tudja elv�gezni, v�s�rolt mag�nak k�t banki automat�t. Egy Triton �s egy Tranax m�rk�j�t. Mivel az Amerik�ban sem �ppen megszokott jelens�g, hogy valaki otthonra ATM-eket v�s�rol, ez�rt a szakember el is �js�golta, hogy amikor kisz�ll�tott�k sz�m�ra a k�sz�l�keket, akkor a fut�r megk�rdezte t�le, hogy mi�rt van sz�ks�ge automat�kra otthon. Jack erre annyit mondott: “�n csak nem cs�pem a tranzakci�s d�jakat�”.

A konferenci�n a k�z�ns�g �rdekl�dve n�zte, hogy a kutat� mik�nt tud p�nzt kinyerni az automat�kb�l. Mint kider�lt, ehhez nem volt sz�ks�ge k�l�n�sebben bonyolult eszk�z�kre, �s p�r perc alatt mindk�t, Windows CE alap� berendez�st t�rdre k�nyszer�tette. A Tranax gy�rtm�ny� automata eset�ben sikeresen megker�lt egy t�voli hozz�f�r�st szab�lyoz� authentik�ci�s folyamatot, majd a k�sz�l�kre egy saj�t k�sz�t�s�, Scrooge nev� rootkitet m�solt fel. Emellett egy online menedzsment programot is kifejlesztett, amelynek seg�ts�g�vel t�rolni tudta az ATM-en megadott adatokat. Az el�ad� egy l�tv�nyos k�s�rlettel is el��llt, amelynek keret�ben arra b�rta r� az automat�t, hogy az sz� szerint kisz�rja mag�b�l az �sszes p�nzt, mik�zben a monitoron megjelen�tett egy “Jackpot” feliratot.

A Triton ATM a h�napokig tart�, Barnaby Jack f�le ostromot jobban �llta, legal�bbis, ami a t�voli hozz�f�r�ses t�mad�sokat illeti. Ez azonban nem szegte kedv�t a kutat�nak, hiszen r�j�tt, hogy v�s�rolhat� olyan univerz�lis kulcs, amelynek seg�ts�g�vel minden neh�zs�g n�lk�l lehet hozz�f�rni az automata legfontosabb hardvereit tartalmaz� rekesz�hez. A bemutat� sor�n a szakember odas�t�lt az ATM-hez, kinyitotta azt, majd felt�lt�tte a saj�t firmware k�dj�t. Ezt k�vet�en m�r szabad volt el�tte az �t.

Fontos megjegyezni, hogy Barnaby Jack a s�r�l�kenys�geket m�r kor�bban jelezte a gy�rt�knak, �s a fejleszt�k mindk�t k�sz�l�k eset�ben orvosolt�k a biztons�gi hib�kat.

Forr�s:
Biztons�gport�l

Fordult a kocka

csiff — Thu, 29 Jul 2010 07:00:49 +0000

Napjainkban m�r nem a Windows �s a Microsoft k�l�nf�le szoftvereiben felfedezett s�r�l�kenys�gek okozz�k a legt�bb probl�m�t, hanem els�sorban az egy�b alkalmaz�sok friss�t�seinek neh�zkes kezelhet�s�ge seg�ti a t�mad�kat.

A Secunia biztons�gi c�g egy �rdekes felm�r�st �ll�tott �ssze a Windows alap� PC-ket s�jt� s�r�l�kenys�gekkel kapcsolatban. A szakemberek az ingyenesen haszn�lhat� PSI (Personal Software Inspector) alkalmaz�sb�l sz�rmaz� statisztik�kat vett�k alapul, amikor elk�sz�tett�k a jelent�s�ket. Ennek leg�rdekesebb meg�llap�t�sa, hogy manaps�g m�r kor�ntsem a Windows oper�ci�s rendszerek, vagy az egy�b Microsoft szoftverek (p�ld�ul az Office vagy az Internet Explorer) okozz�k a legt�bb fejt�r�st, hanem a legk�l�nf�l�bb m�don friss�thet�, egy�b szoftverek. Ennek ellen�re az�rt a Windows eset�ben sem lehet t�l kedvez� eredm�nyekr�l besz�molni, ugyanis 2010 els� f�l�v�ben a Windows XP s�r�l�kenys�geinek mennyis�ge 31 sz�zal�kkal, m�g a Windows Vist�ban felfedezett biztons�gi r�sek sz�ma 34 sz�zal�kkal emelkedett az elm�lt �v hasonl� id�szak�hoz k�pest. Azonban az igaz�n aggaszt� adat arr�l tan�skodik, hogy a nem Microsoft fejlesztette szoftverek k�r�ben 92 sz�zal�kkal n�tt a sebezhet�s�gek sz�ma, ami egyben azt is jelenti, hogy e hib�k mennyis�ge egy �v alatt majdnem megdupl�z�dott.

“Megd�bbenve tapasztaltuk, hogy az �gynevezett third-party szoftverekben felt�rt s�r�l�kenys�gek sz�ma milyen m�rt�kben n�tt.” - mondta Stefan Frei, a Secunia kutat�si igazgat�ja. A meglepet�s annak ellen�re volt nagy a szakemberek k�r�ben, hogy az ezen alkalmaz�sokban felt�rt biztons�gi r�sek m�r 2007 �ta folyamatosan egyre t�bb probl�m�t okoznak. Frei �gy v�li, hogy napjainkban e szoftverek rejtik a legt�bb kock�zatot a v�gfelhaszn�l�k sz�m�ra.

A Secunia jelent�se j�l al�t�masztotta n�h�ny m�sik biztons�gi c�g kor�bban k�zz�tett tanulm�ny�t. P�ld�ul a McAfee m�r ezel�tt jelezte, hogy a legnagyobb probl�m�kat az Adobe Reader k�r�l l�tja. A felm�r�sek ugyanis azt mutatj�k, hogy a rendk�v�l sz�les k�rben haszn�latos PDF-kezel� alkalmaz�s, illetve b�ng�sz�kbe be�p�l� plugin s�r�l�kenys�geihez k�sz�tett exploit k�dok mennyis�ge 65 sz�zal�kkal emelkedett 2010 els� negyed�v�ben.

A Secunia a k�l�nb�z� szoftverek kapcs�n a legnagyobb probl�m�nak azt l�tja, hogy az alkalmaz�sok gyakran nem rendelkeznek megfelel� friss�t�si mechanizmussal. Sokszor ugyan jeleznek a felhaszn�l�nak, ha el�rhet� �jabb verzi�, de gyakran az �j telep�t�f�jlokat manu�lisan kell let�lteni �s install�lni. Ez pedig - mint ahogy a felm�r�s is mutatja - nem igaz�n hat�kony m�dszer. Frei �gy l�tja, hogy a third-party programokkal kapcsolatban felmer�l� sebezhet�s�gek, illetve a nem megfelel�en kialak�tott programfriss�t�sek bonyolultabb� teszik a felhaszn�l�k �let�t els�sorban az�ltal, hogy a PC-k menedzsel�se neh�zkesebb� v�lik.

Forr�s:
Biztons�gport�l

Bekem�ny�tett a Google

csiff — Wed, 21 Jul 2010 07:54:35 +0000

A Google az egyre tr�kk�sebben terjesztett k�retlen levelek miatt friss�tette a spamsz�r�j�t, valamint arr�l is besz�molt, hogy a lev�lszem�t, illetve a v�rusok eset�ben tov�bbra is kedvez�tlen trendek figyelhet�k meg.

A Google az elm�lt h�napokban arra lett figyelmes, hogy az elektronikus levelez�sbe egyre t�bb olyan k�ldem�ny ker�l bele, amelyek k�l�nf�le JavaScript alap� tr�kk�kkel pr�b�lj�k szolg�lni a spammerek, illetve a v�rusterjeszt�k c�ljait. Ezek az e-mailek els� r�n�z�sre semmilyen k�rt�kony �sszevet�t nem tartalmaznak, �s sokszor “Non Delivery Report” t�rggyal ker�lnek be a postafi�kokba. Amennyiben azonban a felhaszn�l� megtekint egy ilyen k�ldem�nyt, akkor az �zenetbe rejtett JavaScript k�dok lefuthatnak, �s k�l�nb�z� m�veleteket hajthatnak v�gre. A leggyakoribb esetnek az sz�m�t, amikor az e-mail megtekint�sekor egy webes �tir�ny�t�s t�rt�nik a felhaszn�l� b�ng�sz�j�ben, de az is sokszor el�fordul, hogy k�rt�kony f�jlok let�lt�se kezd�dik el. A webes �tir�ny�t�sok alkalm�val nem ritka, hogy p�ld�ul gy�gyszereket rekl�moz� weblapok bukkannak fel a b�ng�sz�kben.

A JavaScriptekkel felv�rtezett spamek kisz�r�se �rdek�ben a Google �jabb v�delmi l�p�seket tett. Ezek k�z�l a legfontosabb, hogy friss�tette a Postini Anti-Spam Engine (PASE) spamsz�r� motorj�t. “Szerencs�re a spamcsapd�inkba hamar beker�lnek az ilyen k�ros levelek, ez�rt a m�rn�keink figyelmeztet�seket tudnak kiadni, �s gyorsan lehet k�l�nf�le sz�r�ket k�sz�teni. Emellett az antiv�rus partnereink gyors �rtes�t�s�re is lehet�s�g�nk ny�lik” - v�lekedett a Google.

A Google szerint a m�sodik negyed�vben 16 sz�zal�kkal n�tt a lev�lszem�t mennyis�ge. A Postini e-mail biztons�gi megold�sok naponta �tlagosan h�rommilli�rd k�retlen elektronikus �zenetet sz�rtek ki. Sajnos a k�rt�kony programok eset�ben sem volt jobb a helyzet. A m�sodik negyed�vben ugyan “csak” h�rom sz�zal�kkal emelkedett a v�rusos e-mailek sz�ma, ugyanakkor ebben az id�szakban 2,5-szer t�bb k�ros k�ldem�ny terjedt az interneten, mint 2009 m�sodik negyed�v�ben.

“A spamek �s a v�rusok mennyis�ge folyamatosan n�vekszik. Ez a trend azt mutatja, hogy a spammerek m�g mindig nagyon akt�vak, �s a botnetjeik komoly v�rus valamint spamforgalmat gener�lnak” - v�lekedtek a Google szakemberei. Majd hozz�tett�k, hogy a spammerek tov�bbra is megb�znak a klasszikus m�dszereikben, �gy nagyon sok a k�z�ss�gi szolg�ltat�sokkal, illetve a nagy �rdekl�d�sre sz�mot tart� esem�nyekkel kapcsolatos, felhaszn�l�k megt�veszt�s�re �p�tkez� k�retlen lev�l. Mindezek mellett gyakran el�fordul, hogy a csal�k a felhaszn�l�k postafi�kjaihoz tartoz� jelszavak megfejt�se vagy kitudakol�sa ut�n olyan leveleket k�ld�zgetnek a postafi�k tulajdonos�nak nev�ben, amelyekben p�nzt pr�b�lnak k�lcs�nk�rni a c�mjegyz�kben szerepl� ismer�s�kt�l. A Google azt �ll�tja, hogy az ilyen t�pus� csal�sok ellen is tett m�r megel�z� l�p�seket.

Forr�s:
Biztons�gport�l

Friss�tett a Microsoft

csiff — Wed, 14 Jul 2010 06:42:53 +0000

A Microsoft kiadta a j�liusi hibajav�t�sait, amelyek telep�t�s�vel a Windows oper�ci�s rendszerek, illetve az Office alkalmaz�sok tehet�k biztons�gosabb�.

A Microsoft az el�z� havi, meglehet�sen nagy mennyis�g� friss�t�s�t k�vet�en most n�mileg visszafogottabb hibajav�t�ssal rukkolt el�. Ez�ttal n�gy biztons�gi k�zlem�nyt tett el�rhet�v�, amelyekben �sszesen �t s�r�l�kenys�gr�l sz�molt be. Ennek ellen�re a mostani hibajav�t� keddet sem c�lszer� f�lv�llr�l venni, hiszen kritikus �s fontos vesz�lyess�gi besorol�s� s�r�l�kenys�gek lapulnak a h�tt�rben.

A n�gy biztons�gi k�zlem�ny k�z�l kett� a Windows oper�ci�s rendszerekben kor�bban felfedezett sebezhet�s�gek orvosl�s�hoz ad ir�nymutat�st. A hiba a Windows S�g� �s T�mogat�s K�zpontj�nak egyik rendelleness�g�vel hozhat� �sszef�gg�sbe. A biztons�gi r�sr�l j�niusban Tavis Ormandy, a Google m�rn�ke sz�molt be, aki egy id� ut�n a hiba kihaszn�l�s�hoz sz�ks�ges technikai r�szleteket is publik�lta az interneten. Az�ta sz�mos k�rt�kony program igyekezett kihaszn�lni a s�r�l�kenys�gben rejl� “lehet�s�geket”.

A mostani hibajav�t�sokb�l az Office sem maradt ki. A Microsoft ugyanis egy kritikus �s egy fontos vesz�lyess�gi besorol�ssal ell�tott k�zlem�nyt adott ki a szoftvercsomaghoz. Ez�ttal ActiveX-vez�rl�k �s az Outlook kapcs�n mer�ltek fel probl�m�k.

A s�r�l�kenys�gekkel kapcsolatban tov�bbi inform�ci�k az Isidor Biztons�gi K�zpont weboldalain olvashat�k.