Artykuły dotyczące tematu: luka

dodany: 30.07.2013 | tagi: , , , ,

LinkedIn załatał poważną lukę

0

Serwis LinkedIn załatał dość poważną lukę, która pozwalała na przejęcie tokena dowolnego użytkownika. Błąd leżał konkretnie w otwartym standardzie uwierzytelniania OAuth, który wykorzystują także serwisy Facebook, Twitter oraz FourSquare.

Słabość odnalazł brytyjski deweloper oprogramowania Richard Mitchell. Luka zaszyta w implementacji OAuth pozwalała na pobranie tokena, poprzez błąd w API, który zwracał tokena w przypadku żądania wyświetlenia systemu pomocy przez JavaScript.

Wykorzystanie luki było jak najbardziej realne – jeśli atakujący użyłby jakiejkolwiek sztuczki, która by skusiła ofiarę do uruchomienia systemu pomocy  LinkedIn, mógłby zrobić z stroną nieświadomego użytkownika cokolwiek, np. zmienić nasze CV. Trzeba zaznaczyć,  że przejęcie tokena jest równoznaczne z możliwością zalogowania się na konto. Pomóc w tym mogłaby np. odpowiednio spreparowana strona z zachęcającym linkiem.

Na szczęście LinkedIn naprawił lukę w ciągu 48 godzin od daty zgłoszenia.

dodany: 25.07.2013 | tagi: , , , ,

Luka w serwerach Barracuda

3

W urządzeniach firmy Barracuda Networks odkryto poważną lukę, która pozwala na odczytanie haseł wszystkich użytkowników serwera. Problem ten odkrył Ebrahim Hegazy.

Słabość w zabezpieczeniach pojawia się w przypadku, gdy chcemy zwiększyć poziom zabezpieczeń, wprowadzając dwuetapowe uwierzytelnianie. W urządzeniach Barracuda można to zrobić na kilka sposobów – jednym z nich jest odpowiednia konfiguracja plików .htaccess oraz .htpasswd. 

Sęk w tym, że w tym wypadku .htpasswd powinien znajdować się poza webowym katalogiem, tj. każdym innym niż główny (np. C:\Dowolny\.passwd). Niestety w przypadku Barracudy, plik ten znajduje się wewnątrz katalogu z panelem administracyjnym.

Powyższy fakt daje każdemu możliwość na bezpośrednie odwołanie się do pliku z hasłami przez następujący adres:

Odwołanie to daje bezpośredni dostęp do wszystkich haseł użytkowników serwera Barracuda. Dlaczego? Ano dlatego, że plik ten zawiera hasła w otwartej postaci.:

Przykładowa zawartość pliku .htpasswd (źródło TheHackerNews)

Przykładowa zawartość pliku .htpasswd (źródło: TheHackerNews).

Odkrywca problemu zgłosił tę lukę producentowi, a ten wydał już stosowną poprawkę, dlatego wszyscy administratorzy urządzeń Barracuda Networks powinni ją zainstalować.

dodany: 24.07.2013 | tagi: , , ,

Uwaga na malware wykorzystujący dziurę Androida

17

Niedawno pisaliśmy o poważnej luce w systemie Android (zobacz newsa: Poważna dziura w niemal każdym Androidzie), która pozwala  na modyfikację kodu plików APK, bez potrzeby zmiany sygnatury. Przez to zmodyfikowana aplikacja, która może być złośliwa, nadal będzie odczytywana jako bezpieczna.

Niestety jak się nie trudno domyślić, większość producentów zignorowała ten problem… Tymczasem firma Symantec namierzyła już dwa złośliwce wykorzystujące wspomnianą słabość.

Na razie problem dotyczy co prawda regionu chińskiego, gdyż owe szkodliwe programy udają aplikacje, które mają nam pomóc w odnalezieniu lekarza i umówieniu się z nim na wizytę

Jeśli zainstalujemy malware, to musimy się liczyć z możliwością zdalnej kontroli naszego smartfonu przez atakującego, a tym samym z wydatkami na SMS-y premium, kradzieżą naszych numerów telefonów czy też naszego numeru IMEI.

Złośliwiec ten blokuje także działanie kilku najpopularniejszych programów antywirusowych.

Część złośliwego kodu wykorzystującego dziurę w niemal każdym Androdzie (źródło Symantec).

Część złośliwego kodu wykorzystującego dziurę w niemal każdej wersji Androida (źródło: Symantec).

 

Jak się bronić?

Z uwagi na to, że producenci zlekceważyli kwestie bezpieczeństwa, mimo że Google wydało już odpowiednią łatkę, musimy radzić sobie sami.

Instalujmy przede wszystkim dobrze znane aplikacje. Z pomocą przychodzą nam też sami odkrywcy tej luki – firma BlueBox Security przedstawiła darmowy skaner, który pozwala sprawdzić, czy nasz system jest już poprawiony:

 

Dardmowy skaner od BlueBox Security

Darmowy skaner od BlueBox Security.

Oprogramowanie Symanteca wykrywa złośliwe aplikacje jako Android.Skullkey.

dodany: 23.07.2013 | tagi: , , , ,

Telewizory Samsunga podatne na atak DoS

2

To już nie pierwsza wpadka Samsunga z zabezpieczeniami ich telewizorów. Wcześniej informowaliśmy o podatności modeli z funkcją Smart TV (zobacz newsa: Telewizory Samsung Smart TV zhakowane na 6 sposobów).

Tym razem problem dotyczy także modeli umożliwiających podłączenie do sieci. Odkrył to Malik Mesellem, który na przykładzie swojej plazmy PS50C7700 stwierdził podatność na atak  DoS.

Do przeprowadzenia ataku wystarczy wyłącznie znajomość adresu IP telewizora. Problem możliwości przeprowadzenia ataku dotyczy konkretnie usługi serwera DMCRUIS, który działa na telewizorze w ramach funkcji Smart TV.

Telewizor „wywala się” podczas zbyt długiego zapytania GET wysłanego na port 5600 protokołu TCP. Odkrywca przedstawił także stosowny dowód na wideo:

Problem ten został zarejestrowany pod CVE-2013-4890. Lukę przetestowano w telewizorze z najnowszą wersją oprogramowania, więc nie można mieć zastrzeżeń, że wersja jest przestarzała. Co prawda przetestowany model telewizora jest stosunkowo stary, ale nie można mieć pełnej pewności co do braku podatnści w nowszych modelach Samsunga.

 

 

dodany: 18.07.2013 | tagi: , ,

Poważna luka w Google Glass

2

Z pozoru gadżet Google może wydawać się bezpieczny, gdyż nie wykorzystujemy go do bezpośredniego surfowania po sieci. Sęk w tym, że oprogramowanie owych „okularów” posiadało błąd, który pozwalał na przejęcie strumienia rejestrowanego obrazu!

Co więcej, aby do tego doszło wystarczyło, że ofiara niechcący zeskanowała odpowiednio spreparowany kod QR oraz znajdowała się w zasięgu przygotowanego routera atakaującego. Podatność na złośliwy kod odkryła firma zajmująca się bezpieczeństwem urządzeń mobilnych Lookout Security.

Odpowiedni kod powodował łączenie się Google Glass z zdefiniowaną siecią Wi-Fi. W połączeniu z luką w Androdzie 4.04 dawało to atakującemu możliwość całkowitej kontroli nad okularami.

Oczywiście analitycy firmy Lookout Security zgłosili błąd Google, a dokładniej miało to miejsce 16 maja. Poprawione oprogramowanie dla Glass pojawiło się 4 lipca i ma oznaczenie XE6.

Z czym wiązało się niebezpieczeństwo używania tak zhakowanego urządzenia nie trzeba chyba tłumaczyć – krótka sejsa przed komputerem wraz z wklepaniem paru haseł mogła źle się skończyć dla niczego nieświadomego użytkownika…

Niestety w ostatnim czasie zauważalny jest trend z naciskiem na gadżety, natomiast bezpieczeństwo schodzi na dalszy plan.

dodany: 17.07.2013 | tagi: , , , ,

Masz router Asusa? Sprawdź czy jest na poniższej liście!

3

Nawet z pozoru poważne firmy np. Cisco zaliczyły wpadki w zabezpieczeniach swoich routerów, także nie powinien dziwić fakt, że tego typu problemy znaleziono w kilku modelach Asusa. Odkrył to analityk analityk bezpieczeństwa Kyle Lovett.

Wykryty problem pozwala na zastosowanie eksploita, który pozwala na zdobycie pełnej kontroli nad atakowanym ruterem. Niestety słabość ta dotyczy wyższych modeli Asusa, które bazują na Linuksie.

Słabość tkwi konkretnie w media-serwerze AiCloud – jeśli go aktywowaliśmy, to natychmiast powinniśmy go wyłączyć, gdyż właśnie za jego „pomocą” możemy być narażeni na atak. W praktyce atakujący może pobrać pliki zawierające hasło w otwartym tekście.

Gdy atakujący uzyska dostęp do routera, to praktycznie nic nie stoi na przeszkodzie w przeglądaniu zgromadzonych plików w usłudze serwera czy też uzyskaniu dostępu do udostępnionych udziałów w obrębie sieci rutera.

Mało tego atakujący może także śledzić nasze poczynania, gdyż jest w stanie przechwytywać cały ruch sieciowy przechodzący przez ruter.

Problem ten dotyczy następujących modeli:

  • RT-AC66R
  • RT-AC66U
  • RT-N66R
  • RT-N66U
  • RT-AC56U
  • RT-N56R
  • RT-N56U
  • RT-N14U
  • RT-N16
  • RT-N16R

Pewnie część z Was pomyśli, że słabość dotyczy modeli ze starszym oprogramowaniem – niestety nawet najnowsze wydania są podatne. Oczywiście Lovett zgłosił problem Asusowi, ale firma zbagatelizowała temat.

Sęk w tym, że nawet najnowsze wydania wewnętrzego oprogramowania bazują na starym kernelu Linuxa o numerze 2.6.22.19, który został wydany w 2007 roku!

Widać publikacja tego problemu przez odkrywcę przyniosła jakiś rezultat, ponieważ pojawiły się poprawione wersje firmware dla dwóch modeli RT-AC66U i RT-N66U. Dla pozostałych sześciu poprawki mają ukazać się wkrótce… Miejmy nadzieję, że Asus dotrzyma słowa.

dodany: 10.07.2013 | tagi: , , ,

Jak Facebook pomagał spamerom

0

Można powiedzieć, że Facebooku systematycznie odnajduje poważne błędy, które istnieją dłuższy okres. Tym razem opisywany problem dotyczy adresu e-mail potencjalnie wszystkich użytkowników serwisu.

Podczas procesu rejestracji użytkownik musi podać swój adres e-mail, na który zostaje później przesłana wiadomość z linkiem aktywującym konto. Właśnie ten adres można wydobyć, o ile znamy ID użytkownika. Pomóc nam może w tym zaproszenie od jakiegoś użytkownika.

Spobność tą odkrył Stephen Sclafani, który przeglądał swoje stare zaproszenia:

Przykładowe zaproszenie do Facebooka (źródło http://stephensclafani.com)

Przykładowe zaproszenie do Facebooka (źródło http://stephensclafani.com).

Jeśli klikniemy w link zawarty na końcu zaproszenia, zostaniemy przekierowani na stronę logowania serwisu:

Ekran logowania do FB z zaproszenia (źródło http://stephensclafani.com)

Ekran logowania do FB z zaproszenia (źródło http://stephensclafani.com).

Jak zapewne część z Was już się domyśla programiści Facebooka „dali ciała” właśnie w linku. Scalfani zauważył, że zawiera on dwa parametry: re oraz mid.

Przykładowy link wygląda następująco:

Modyfikacja pierwszego parametru nie zmienia niczego, natomiast drugiego już tak:

Ów numer jest dokładnie zaszyty pomiędzy dwoma literami G zaszytymi w ciągu, czyli w powyższym wypadku jest to 5af3107aba69. Jest on zapisany w systemie szesnastkowym.

Jeśli do linka z zaproszenia podstawimy dowolnie wybrany przez nas numer ID , to wyświetli się adres e-mail powiązany z profilem o podanym ID.

Taki mechanizm „zabezpieczeń” pozwalał w łatwy sposób na zdobycie dowolnego adresu e-mail, z czego napewno byli zadowoleni spamerzy. Na szczęście luka ta została już dawno naprawiona. Scalfani zgłosił problem administratorm Facebooka 22 marca tego roku i błąd został naprawiony w ciągu doby. W nagrodę za otrzymał 3500 dolarów amerykańskich.

Ciekawe, czy Facebook byłby tak samo skłonny zapłacić odszkodawanie za możliwość ujawnienia adresu e-mail pontecjalnym ofiarom luki. Zapewne nawet symboliczny dolar wygenerowałby większą kwotę niż powyższa nagroda.

dodany: 28.05.2013 | tagi: , , , ,

PayPal płaci hakerom, gdy znajdą błąd. Nie uznał błędu, który znalazł 17-latek

12

PayPal ma lukę XSS. Firmę powiadomił o tym nastoletni haker. PayPal tego nie uznał.

Jest nim Robert Kugler – 17-letni uczeń z Niemiec, który interesuje się bezpieczeństwem systemów komputerowych.

W wiadomości do SecLists.Org, opublikowanej 24 maja, napisał:

Chciałbym was ostrzec – PayPal.com ma lukę podatną na ataki Cross-site scripting*. PayPal Inc. ma uruchomiony program typu bug bounty [przyp. red. – program, za pomocą którego hakerzy mogą zgłaszać znalezione przez siebie błędy, a PayPal im za to zapłaci]. Obejmuje on też podatności XSS. Dlatego postanowiłem (…) wysłać informację o błędzie do Site Security PayPala.

Więcej informacji o programie Bug Bounty.

W e-mailu nastolatek określił miejsce, gdzie się znajduje błąd i jak może zostać wywołany – przesłał też screen:  http://picturepush.com/public/13144090.

Niestety – PayPal nie uznał jego odkrycia. I nie zapłacił młodemu hakerowi.

Site Security PayPala twierdzi, że:

Aby zakwalifikować się do Bug Bounty Program, nie można: (…) mieć mniej niż 18 lat. Jeśli PayPal odkryje, że researcher nie spełnia powyższych kryteriów, PayPal usunie go z BBP i zdyskwalifikuje, przez co nie będzie mógł on otrzymywać zapłaty za znalezienie podatności.

PayPal chce zaoszczędzić? Nastoletni haker nie zarzuca tego amerykańskiej firmie. Stwierdził jedynie, że odrzucenie wyników jego testów to

 nie najlepszy sposób motywowania badaczy bezpieczeństwa.

 

*Cross-site scripting (XSS) – sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika.

Źródło: pl.wikipedia.org

SecLists.Org – to serwis, który prowadzi Gordon Lyon – jego pseud. internetowy to Fyodor – ekspert bezpieczeństwa sieciowego i oprogramowania open source, a także pisarz i hacker w dobrym tego słowa znaczeniu (zobacz jego bio w Wikipedii). Publikuje na nim informacje, które dotyczą bezpieczeństwa i programów open source’owych dostępnych w Internecie, których źródłem są jego własne spostrzeżenia powstające przy tworzeniu programów, książek, artykułów, stron WWW i innych projektów.

dodany: 16.04.2013 | tagi: , ,

Twoje ogrzewanie centralne też może zostać zhakowane

5

Elektronika stała się już na tyle powszechna, że dziś wiele systemów niegdyś „analogowych” także wykorzystuje ją od dłuższego czasu. Niestety wygodne rozwiązania wykorzystujące sterowanie urządzeniami poprzez sieć nie są zazwyczaj odpowiednio zabezpieczane.

Poniekąd można się tego spodziewać, gdyż nawet firmy związane bezpośrednio ze sprzętem IT bagatelizują kwestie bezpieczeństwa – za przykład wystarczy podać wpadkę dotyczącą drukarek sieciowych firmy HP (zobacz newsa: Kolejne problemy z drukarkami HP).

Nikogo zatem nie powinna zdziwić dziura w systemie zdalnego sterowania ogrzewania i energii elektrycznej niemieckiej firmy Vaillant. Problem dotyczy systemu o nazwie ecoPower 1.0, który zapewnia nie tylko ciepło dla jednorodzinnego domu, ale stanowi także minielektrownię, dzięki silnikowi Hondy, który napędzany jest spalinami gazu ziemnego.

Niestety luka w tym systemie pozwala na przeprowadzenie ataku, w rezultacie którego można wyłączyć system, bądź dokonać zmiany samej konfiguracji urządzenia. Zmiana z kolei może doprowadzić do uszkodzenia jednostki energetycznej podczas zimy. W lecie natomiast może dojść do przegrzania systemu.

 

Wnętrze kotrolera EcoPower (źródło BHKW-infothek)

Wnętrze kotrolera EcoPower (źródło: BHKW-infothek)

Problem został potwierdzony przez producenta, który od razu zalecił odłączenie systemu od sieci. Oprócz tego każdy klient został poinformowany o ryzyku nieautoryzowanego dostępu. Firma oczywiście pracuje nad usunięciem tej luki – docelowo ma zostać wprowadzone połączenie VPN.

 

Dziurę tę dostrzegł jeden z czytelników BHKW-Infotek . Słabość tkwi konkretnie w systemie zdalnej administracji, przeznaczonej dla serwisu technicznego producenta. Problem powiększa także hasło przechowywane w otwartej postaci, które można odczytać poprzez lukę w systemie zarządzania.

Posiadaczy tego systemu ogrzewania można łatwo odnaleźć, gdyż Vailaint do ich zdalnej obsługi wykorzystuje usługę DynDNS.

Poniżej zamieszczamy wideo demonstrujące wspomnianą lukę:

Wątpliwości co do bezpieczeństwa zwiastuje już system zarządzania, który wykorzystuje aplet Javy z nieważnym certyfikatem!

Dostęp do hasła możemy uzyskać poprzez odpowiedni adres URL – wyświetlane jest tam też hasło serwisowe oraz developera.

Wysłaliśmy zapytanie do polskiego przedstawiciela Vaillant, jak dużo użytkowników tego systemu jest w naszym kraju – kiedy uzyskamy odpowiedź, to oczywiście poinformujemy Was o tym.

Dodano o godzinie 14:46 – w odpowiedzi od krajowego przedstawiciela Vaillant uzyskaliśmy informację, że problem nie dotyczy Polski, gdyż po prostu w ofercie na nasz rynek nie są oferowane te urządzenia.

dodany: 21.03.2013 | tagi: , ,

Jak firmie Apple zależy na bezpieczeństwie – odblokuj iPhone’a spinaczem

4

Trzeba naprawdę pogratulować pomysłowości Apple, które naprawiając problem z nieautoryzowanym ominięciem blokady stworzyło na nowo taką możliwość! O nowej wersji iOSa 6.1.3, w której naprawiono dwie luki pozwalające na ominięcie blokady ekranu, informowaliśmy Was przedwczoraj (zobacz newsa: Apple naprawiło problem z odblokowaniem).

Nowa metoda odblokowania ukazała się wczoraj na YouTube:

Innowacyjnością jest zastosowanie spinacza do papieru. Po co? Nowa luka pozwala na ominięcie ekranu zabezpieczenia poprzez korzystanie z sterowania głosowego – jeśli w trakcie rozpoczęcia  wybierania numeru wyciągniemy kartę SIM.

Trik ten działa za każdym razem – jeśli z powodu bezczynności iPhone się zablokuje, możemy ponownie użyć spinacza. Odkrywca tej metody zademonstrował ją na iPhonie 4s, ale użytkownicy „piątek” potwierdzają ten sam problem.

Pocieszający jest fakt, że narażeni są użytkownicy, którzy mają aktywne wybieranie głosowe – oczywiście jeśli chcemy ustrzec się od nieautoryzowanego odblokowania polecamy wyłączenie tej funkcji.