Poważny błąd, ale szybka reakcja

Jak informują twórcy Dropboksa, błąd dotknął mniej niż 1% użytkowników, ale dmuchając na zimne, firma po wykryciu nieprawidłowości postanowiła unieważnić wszystkie aktualnie zalogowane sesje. Oprócz tego, wszyscy użytkownicy na konta których nastąpiło logowanie w czasie trwania błędu, zostali powiadomieni e-mailem (czy ktoś z was go dostał?).

Dropbox - komunikat do klientów objętych działaniem błędu, fot. Bartosz Kolasiński

Zła passa zdaje się nie opuszczać Dropboksa. Już dwa miesiące temu zgłoszono poważne zastrzeżenia co do sposobu uwierzytelniania użytkowników, a potem oficjalnie potwierdzono to, o czym doskonale wiedzieli ludzie bardziej rozeznani w kryptografii — Dropbox posiada kopie kluczy i ma możliwość rozszyfrowania Twoich danych w każdej chwili.

Tym razem warto jednak podkreślić wzorową komunikację Dropboksa z użytkownikami. Niewiele firm w tego typu sytuacjach tak szybko i konkretnie informuje o tym co sie stało i co się dzieje.

P.S. Ten incydent to kolejny argument dla przeciwników przechowywania danych w chmurze. I kolejny powód, żeby zachęcić do szyfrowania danych po stronie klienta przed wrzuceniem ich w na zewnętrzny serwer/chmurę/zwał-jak-chciał.

Przeczytaj także:

• * Dropbox kłamie
• * Dropship – P2P dla Dropbox?
• * Dropbox: “złe” uwierzytelnianie

Przeczytaj także:

• Miliony domowych routerów podatne na atak!
• Łamanie PIN-ów metodą brute force
• * SpyEye SQL injection

Cenzura PDF

Cenzury PDF-a dokonano za pomocą “zamalowania” zastrzeżonych fragmentów tekstu poprzez zmianę tła na czarne pod konkretnymi wyrazami. O ile wizualnie (i po wydrukowaniu) wszystko wygląda jak należy, to już zwykłe zaznaczenie zamazanego tekstu, skopiowanie go i wklejenie do innego dokumentu odkrywa “ocenzurowane” fragmenty. A dotyczą one awaryjnych procedur i problemów brytyjskich okrętów podwodnych z napędem atomowym.

Zastrzeżone informacje zostały również zindeksowane przez wyszukiwarkę Google, której crawlery potrafią eksportować PDF-y do HTML-a. Pracownicy Brytyjskiego Ministerstwa Obrony zdradzają, że najbardziej obawiają się reakcji …Amerykanów, których procedury bezpieczeństwa w nieszczęsnym dokumencie również zostały opisane, celem skontrastowania z brytyjskimi.

Francuzi nie gorsi…

Nieudana cenzura PDF

Przypomnijmy, że podobną wpadkę w 2007 roku zaliczyło Fédération Internationale de l’Automobile, które opublikowało PDF-a z zapisem przesłuchania członków zespołów McLarena i Ferrari, ujawniając m.in. wysokość wynagrodzeń kontraktów.

Brytyjczycy biją się w pierś i przyznają, że każda osoba, która ma odrobinę doświadczenia z komputerami powinna była wiedzieć jak poprawnie ocenzurować dokument. Ciekawe, kiedy (czy?) pojawią się teorie spiskowe, że użycie takiej techniki “zamazywania” poufnych informacji, było celowym działaniem służb specjalnych… ;)

Przeczytaj także:

• Wałęsa niewystarczająco zabezpieczył dane, które opublikował w internecie
• Akt urodzenia Baracka Obamy sfałszowany?
• Miał być bat na pedofili, jest bat na piratów

Domeny obozów zagłady

Jak ci bardziej uświadomieni informatycznie mogą się domyślić, w chwilę po wypowiedzi ministra, zagraniczne domeny obozów śmierci zostały wykupione przez polskich cybersquatterów. Jeśli pomysł ministra Zdrojewskiego się przyjmie, to muzea zapewne będą musiały odkupić domeny po zdecydowanie większych niż standardowe cenach…

majdanek.org, kupiony wczoraj wieczorem

Dla pełniejszego obrazu tego zjawiska w Polsce, przeczytajcie opublikowany przez nas kilka miesięcy temu artykuł o cybersquattingu i typosquattingu w Polsce.

Przeczytaj także:

• Dziennikarze “podszyli” się pod kilka rządowych domen i “przejęli” e-maile
• Typosquatting = $500 milionów rocznie dla Google
• Domena .xxx

HADOPI świętej pamięci

Najpierw słowo wstępu. HADOPI to skrót oznaczający Wysoki urząd ds. rozpowszechniania utworów i ochrony praw w Internecie (fr. Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet). W myśl ustawy HADOPI, internauta, który trzy razy zostanie przyłapany na ściąganiu warezów zostanie odcięty od internetu. Na szczęście, część z zapisów ustawy uznano za niezgodne z konstytucją i HADOPI została odrzucona rok temu.

fot. giveawayboy, CC

A teraz do rzeczy…

Orange stworzyła bardzo brzydki kod

Wczoraj wieczorem na blipie napisaliśmy, że hackerzy dotarli do rządowego trojana, tfu! programu autorstwa Orange. To właśnie ta aplikacja w myśl ustawy miała być instalowana na komputerach obywateli, aby mogli oni wykazać przed swoim kochającym państwem, że ich internetowa aktywność nie narusza ustaw o ochronie praw autorskich.

Problem w tym, że według hackerów, ten program to jeden wielki backdoor, włączający maszyny na których się znajduje do, jak to uroczo określają, patriotycznego, “rządowego botnetu” :-) Co ciekawe, aby zainstalować trojana, trzeba za niego zapłacić 2 EUR…

• http://telechargement.assistance.orange.fr/ct/Install-CT.exe
  (i mirror na RapidShare, bo Orange właśnie się zorientowało, że ktoś im reverse-engineeringuje oprogramowanie i postanowiło usunąć binarkę ze swojego serwera).

Hackerzy w swoim oświadczeniu listują niedociągnięcia programu:

1. Program przed użyciem musi zostać aktywowany. W tym celu odwołuje się do adresu http://update-cdt.nordnet.fr/hadopi-server-technical-ws-1.0.x/HadopiTechnicalServlet gdzie jeszcze dwa dni temu witał go serwer JBossa z loginem admin i hasłem admin (prawie jak na Wykopie) — najprawdopodobniej serwer ten spełnia funkcję C&C botnetu.
2. Program uwierzytelnia się otwartym tekstem
3. Cult of Dead Hadopi stworzył keygena do programu (aby można było aktywować oprogramowanie bez dołączanie go do “botnetu”. Jeden z działających seriali: HADO-PIHA-DOPI-AC7B
4. Możliwość wyłączenia oprogramowania wymaga podania hasła, które jest tajne… ale przetrzymywane w rejestrze według formuły: SHA1(unicode(password + “Hadopi Secret Partage”)) w zmiennej “StartupState” klucza HKLM\SYSTEM\CurrentControlSet\Services\cdtsvc. Jeśli komuś uda się znaleźć kolizję dla hasha, ma swoje hasło :-)
5. Od czasu do czasu HADOPI sprawdza, czy nie ma aktualizacji. Szuka wtedy pliku o nazwie cdtupd.exe.zip i jeśli go znajdzie, to go instaluje, na prawach administratora… Tak więc każdy kto przejmie serwer aktualizacji (update-cdt.nordnet.fr) lub zatruje DNS swojej ofierze, może zmusić ją do wykonania dowolnego kodu.

Jak piszą wyznawcy kultu zdechłego hadopi, wydawało się, że program stworzony do monitoringu użytkowników będzie doskonale zabezpieczony. A tu taki klops. To chyba dobrze, że Francuzi nie muszą go używać. Z drugiej jednak strony, gdyby musieli, łatwo byłoby ominąć ten nakaz…

Przeczytaj także:

• * Wyciek danych z HADOPI
• Orange.pl: nieautoryzowany dostęp do kont innych klientów
• SMS-y i MMS-y skanowane w Chinach. A w Polsce?

Niestety, nikt nie zastanawia się nad konsekwencjami i bezpieczeństwem korzystania z webaplikacji. I pal sześć, jeśli sprawa dotyczy przekonwertowania .wav na .mp3 …ale w momencie kiedy chodzi o klucze kryptograficzne do serwera, a szukającym jest administrator a nie słitaśna nastolatka, to tego typu nieroztropność nadaje się na podwójny *facepalm* (gdy jeden to za mało).

sshkeygen.com

Jest sobie taka strona, która zachęca do generowania klucz SSH. Za darmo rzecz jasna. Trzeba tylko podać imię i nazwisko właściciela, nazwę firmy i IP domeny na której klucze będą wykorzystywane. Opcjonalnie można wybrać ich długość i hasło do materiału klucza… :>

Formularz generowania klucza SSH na sshkeygen.com

Strona, co prawda lojalnie ostrzega:

Na ciebie spada odpowiedzialność zapewnienia bezpieczeństwa transmisji wygenerowanego klucza na twój komputer

…ale nie na tym polega jej fail. BTW: do tego celu idealnie nadałby się SSL, który ostatnio tak mocno reklamowała Google, a którego implementacja akurat w przypadku Google nie do końca zapewnia “poufność” transmisji.

Gdzie leży prawdziwy problem?

Nikt nie ma pewności, czy sshkeygen.com przypadkiem nie kopiuje generowanych przez siebie kluczy, a jego właściciel wieczorami nie wybiera się na “login-party” po cudzych serwerach — w końcu wszystkie dane (IP serwera, klucz + hasło) ma podane na tacy.

Podobnie naiwne projekty

Niedawno opisywaliśmy podobny projekt, którego celem było sprawdzenie czy dany numer karty kredytowej jest w rękach cyberprzestępców. Tamten serwis został celowo stworzony, żeby edukować naiwniaków i dzięki odpowiedniej budowie chronił wprowadzane w niego dane.

Patrząc jednak na stronę “about” serwisu sshkeygen.com można odnieść wrażenie, że w tym przypadku autor rzeczywiście wierzy w przydatność narzędzia i nie dostrzega ogromnego wręcz Security Faila generowania klucza na obcej, niezaufanej maszynie. Jak na ironie, na stronie znajduje się nawet zestaw porad, jak bezpiecznie przeprowadzać procedurę generowania klucza SSH:

Szewc bez butów chodzi?

Spróbujmy jednak dowiedzieć się czegoś więcej o serwerze na którym hostowana jest ta strona:

na tym samym serwerze co sshkeygen.com znajdują się także inne strony

Na tym samym serwerze znajdują się jeszcze dwie inne strony — jedna z nich związana z “hackingiem“… No cóż, ci co wygenerowali sobie hasła via sshkeygen.com, albo polecają tę stronę (jak ostatnio robi to sporo “znanych” serwisów i blogów), muszą chyba mocno wierzyć, że autor jest white-hat hackerem ;-)

My nie wierzymy i stanowczo odradzamy korzystanie z tej strony!

Powrót z przeszłości?

Idea tego serwisu śmieszy mnie tym bardziej, że już w 2006 roku zażartowałem sobie, że GMail powinien umożliwiać generowanie kluczy i szyfrowanie korespondencji:

Mój żart sprzed 4 lat ktoś wziął na serio...

Przeczytaj także:

• Wyłudził 300 tys. zł. …z banku
• Firma “Zjem-mięso” i luki w procesie rekrutacji
• “Wiceprezes” Sony PWND!!!

Thomas przez 13 lat posługiwał się podrobioną licencją i pracował dla firm w Wielkiej Byrtanii, Belgii oraz Włoszech, spędzając w sumie ponad 10 000 godzin w powietrzu… via thelocal

Security Fail #11

Przekręt udał się po części dlatego, że licencje pilotów wyglądają inaczej w każdym kraju. Mimo, że Thomas miał niezalaminowaną kartkę z logo wyciętym z firmowego papieru szwedzkiej linii lotniczej, to np. Włosi i tak nie mieli pojęcia jak wygląda oryginał i przyjęli go na szkolenie dla pilotów. A ponoć linie lotnicze tak dbają o nasze bezpieczeństwo (por. katastrofy lotnicze a bezpieczeństwo)…

Witamy na pokładzie. Nazywam się Thomas Salme i dziś będę Państwa pilotem. Temperatura za oknem...

O dziwo, Thomas przez 13 lat nie spowodował żadnego wypadku. Ciekawe, czy taka z niego zdolniacha, czy po prostu elektronika we współczesnych samolotach jest bezbłędna? A teraz najlepsze. Za swój przekręt, Salme dostał mandat w wysokości tysiąca dolarów oraz zakaz latania przez rok. Tyle.

Lepszy czy gorszy od Polaka?

Mamy teraz dylemat: kto zrobił lepszy przekręt, Thomas w roli fałszywego pilota, czy ciągle-nie-wiadomo-kto w roli fałszywego ochroniarza, który kilka tygodni temu na podrobioną legitymację dostał worek pieniędzy?

P.S. Przyznajcie się w komentarzach, jakie lewe dokumenty sobie drukowaliście i co dzięki nim zyskaliście — postarzanie legitymacji szkolnych, żeby móc legalnie kupić piwo się nie liczy, każdy to robił ;-)

Przeczytaj także:

• Katastrofy lotnicze, czyli dlaczego bezpieczeństwo nie opłaca się liniom lotniczym
• Wyłudził 300 tys. zł. …z banku
• Masz telefon w Orange, uważaj na oszustów!

Anti-XSS w IE8

Lukę w Microsoftowym filtrze anty-XSS zaprezentowano podczas konferencji Black Hat. Do demonstracji wykorzystano serwisy takie jak, Digg, Twitter i Bing.

Demonstracja ataku na przykładzie Twitter.com

Demonstracja ataku na przykładzie Bing.com

Jeśli chcecie przetestować exploit typu PoC na sobie, możecie to zrobić pod tym adresem. Podatność występuje w przypadku większości stron, które pozwalają użytkownikowi IE8 na stworzenie własnego profilu.

Jak działa anti-XSS w IE8?

W skrócie, IE8 skanuje żądania jakie wysyła przeglądarka do serwera pod kątem “podejrzanych” instrukcji. Jeśli taka instrukcja zostanie wykryta, IE8 układa wyrażenie regularne, pasujące do złośliwego kodu, a następnie za jego pomocą filtruje odpowiedzi od serwera (aby złapać i ubić reflected XSS).

O samym filtrze i jego zasadach działania można poczytać tutaj, natomiast sam atak wykorzystuje błąd w parserze neutralizującym wykryte w odpowiedziach od serwera XSS-y.

Microsoft naprawił, naprawia i będzie naprawiał

Microsoft już wziął się za łatanie i częściowo usunął błędy w filtrze cross-site scriptingowym (MS10-002 i MS10-018). Nadal jednak nie można powiedzieć, że internauci korzystający z IE8 są w 100% bezpieczni — jednym z wyjść jest wyłączenie filtru do czasu naprawy mechanizmu.

My powyższy błąd chcielibyśmy podsumować stworzoną przez nas grafiką:

Gdyby ktoś nie wiedział o co kaman z powyższym, tutaj kilka słów wyjasnienia i genezy tego memu.

Przeczytaj także:

• Paskudny błąd w IE8 umożliwia kradzież danych
• Exploit na Internet Explorer (wszystkie wersje) [CSS, 0day]
• Dziura we wszystkich Windowsach (MHTML)

Absurdalny wyskok SKOK-u

Naklejki o takiej treści zdobią wejścia do kas SKOK Stefczyka:

Uwaga! Osoby zasłaniające twarz (np.: wysokim kołnierzem, szalikiem, czapką, kapturem, ciemnymi okularami) nie będą obsługiwane

Reporter Gazety przeprowadził wywiad z rzecznikiem prasowym SKOK-u. Padło w nim ciekawe pytanie: “A co jeśli klienci noszą muzułmańską burkę lub są niewidomi i noszą okulary?” …i jeszcze ciekawsza odpowiedź:

Jeżeli zasłanianie twarzy jest (dla klientów) konieczne z takich powodów, nie będziemy stwarzać żadnych utrudnień. Nowe zarządzenie ma nas chronić przed zamaskowanymi przestępcami.

Sporo osób zapewne myśli sobie teraz: Ha! Zamiast w kominiarce, rabusie będą udawać niewidomych i chodzić w okularach na pół twarzy.

A ja tylko przekornie zapytam: co, jeśli do SKOK-u mimo wszystko, wejdzie ktoś w kominiarce, nieopatrznie ingorując komunikat na naklejce, i przystawi pistolet do głowy kasjerki… To co? Nie zostanie obsłużony? Każą mu wyjść i wrócić z odkrytą twarzą? Nie sądzę…

Przeczytaj także:

• Durnych zakazów ciąg dalszy…
• * “Głębokie ukrycie” na video
• Okradali sklepy …odkurzaczem

Socjotechnika na 5 milionów złotych

W tym odcinku Security Fail występują: Centrum Obsługi Gotówkowej we Wrocławiu zwane dalej “liczarnią zewnętrzną” i Solid Security zwana dalej firmą ochroniarsko-transportową.

Zazwyczaj firma ochroniarsko-transportowa obsługująca bank zjawia się u progów liczarni zewnętrznej, aby odebrać gotówkę i przekazać ją rankiem do oddziału banku. Tym razem, zamiast prawdziwego ochroniarza zjawił się “przebieraniec”. Pokazał identyfikator, wypowiedział magiczne słowa “sezamie otwórz się”, które jak się okazuje brzmią “dzień dobry, ja po gotówkę dla Raiffeisena”… i dostał worek zawierający 5 milionów złotych w gotówce.

Pieniądze. Gdzie one teraz są?

Okazuje się, że liczarnie nie stosują “haseł dnia”, “elektronicznych kodów” ani innych środków ochrony dostępu… aby odebrać gotówkę wystarczy odpowiednio wyglądać. No to wygląda na to, że oprócz Ikei macie nowe miejsce na trenowanie socjotechniki :-) Więcej tutaj.

Przeczytaj także:

• Wyłudził 300 tys. zł. …z banku
• Ukradli 5.5 miliona Euro z banku
• * 500 tys. zniknęło z konta

A przekładając to *dosłownie* na polski, pogrubienia nasze:

Informujemy, ze nasza strona korzysta z 128-bitowego szyfrowania. Mając to na uwadze, hasła stworzone tylko z liter i alfabetu (?) tworzą algorytm który jest trudny do złamania. Odradzamy wykorzystywanie znaków specjalnych ponieważ oprogramowanie hakerskie potrafi je łatwo rozpoznać.

Długość hasła jest ograniczona do 8 znaków aby ograniczyć kontakt z klawiaturą. Niektóre programy potrafią rozszyfrować hasło bazując na informacjach o często naciskanych klawiszach.

Dlatego, im mniej uderzeń w klawisze w danej jednostce czasu, tym mniejsze prawdopodobieństwo złamania hasła.

Gurav Sharma, z e-mail servicing team, chyba już nie pracuje w American Express. Mógłby się za to spełnić jako scenarzysta filmów o hakowaniu — tam taka informatyczna pomysłowość i kwiecistość wypowiedzi jest przecież obowiązkową składową każdego hakera. Przy “ograniczaniu kontaktu z klawiaturą” wymięka nawet emacs z sendmailem i potrójną ścianą ognia…

O sprawie doniósł nam jako pierwszy Paweł Stawicki.

Przeczytaj także:

• American Express i duża wtopa programistów
• Nagie hasło [PIC]
• Telefoniczne hasła, czyli jak rozbawić bankowego konsultanta podczas weryfikacji tożsamości

Śledzi się nas przez telefony komórkowe, skanuje “do naga” na lotniskach …a problem jak widać leży gdzieś indziej ;-)

Przeczytaj także:

• SecurityFail: Wykrywacz bomb o zerowej (sic!) skuteczności
• * Pakistan banuje kryptografię
• COFEE – z tego programu korzysta polska Policja

Wykrywacze bomb,

Fałszywy wykrywacz bomb przyniósł Jimowi McCormickowi miliony… Ponoć działał wyśmienicie, a nie miał nawet żadnego zasilania! Miał za to czytnik magicznych kart — w zależności od tego jaką kartę włożył operator, takie materiały wybuchowe mógł wykrywać. Producent twierdzi, że urządzenie działało dzięki energii elektrostatycznej operatora…

Wykrywacz bomb

Ponoć w wykrywacz bomb mieli także zainwestować panowie z CIA… Zobaczcie relacje BBC na temat tego megaprzekrętu:

Nie nasuwa mi się na usta nic innego niż WTF!? I to do kwadratu, bo Irakijczycy kupili i używali tego fałszywego wykrywacza bomb na punktach kontrolnych… Ciekawe ile meteriałów wybuchowych wpuścili do miasta?

Wykrywacz marihuany

Cała sprawa przypomina mi podobny przekręt z amerykańskich szkół. Tam, ochroniarze wyposażeni w różdżki mieli wskazywać szafki uczniów, w których rzekomo znajdować miała się marihuana. Taka szarlatańska metoda wykazała nawet 50% skuteczność — no ciekawe dlaczego…? ;-)

Przeczytaj także:

• Skutki walki z terroryzmem [video]
• Brytyjczycy zhackowali czasopismo al-Qaedy
• Fałszywy pilot 13 lat woził pasażerów Boeingiem 737

Jeden z nabywców ramki Kodak Easyshare zorientował się, że do wyświetlanych na jego urządzeniu zdjęć dostęp może mieć każdy Internauta.

EasyShare -> EveryoneCanSee ;-)

Kodak Easyshare Wireless Digital Picture Frame to ramka na zdjęcia z obsługą sieci Wi-Fi. Ramka porzez sieć bezprzewodową łączy się ze specjalnym serwerem w internecie aby pobrać dane, które następnie wyświetla użytkownikowi. Ten specjalny serwer to FrameChannel, a każda ramka ma na nim założone osobne konto. Dane dostępowe do konta znajdują się w pudełku.

Korzystając z hasła z pudełka, użytkownik loguje się na serwer FrameChannel i przygotowuje materiał mający pokazać się o określonej porze w ramce. I nie są to tylko zdjęcia — ramka potrafi wyświetlić komunikaty z Facebooka, statusy z Twittera, wiadomości, pogodę, zdjęcia z flickra, ponieważ tak naprawdę jest w stanie odczytać i wyświetlić dowolny kanał RSS.

Problem w tym, że adres kanału RSS jest mocno przewidywalny:
http://rss.framechannel.com//productId=KD9371/frameId=00:23:4D:B8:05:65
Tak, tak, ostatnia wartość to adres MAC karty sieciowej wbudowanej w ramkę…

Gdyby komuś z was przyszło do głowy zmianić MAC na inny, pamiętajcie, że może spotkać was kara, na przykład zdjęcie owłosionej jak goryl cioci Heli w podeszłym wieku …i w bikini ;)

Przeczytaj także:

• Dziura w Facebooku ujawnia prywatne zdjęcia użytkowników
• Błąd w Facebooku ujawnia zdjęcia i nazwiska wszystkich jego użytkowników — a jest ich 500 milionów :)
• Acer “przypadkiem” udostępnił dane 40 000 klientów

Zabawny błąd w funkcji śledzenia i wykrywania twarzy wbudowanej w kamerę Hewlett-Packarda znalazł jeden z czarnoskórych pracowników sklepu elektronicznego. Funkcja śledzenia postaci zawiesza się, jeśli w polu widzenia kamery znajdzie się …ciemna twarz.

Dave udostępnił nagranie, na którym wraz ze swoją białoskórą koleżanką prezentują błąd. Nagranie pochodzi z laptopa wyposażonego w wadliwy system śledzenia:

Teraz już wiemy, że sprzęt HP testowali biali, Chińczycy… albo Michael Jackson ;-)

P.S. Jeśli ta kamerka podobnie reaguje na ludzi z kominiarką na głowie, nie polacamy jej do wykorzystania w domowych systemach monitoringu, które opisaliśmy parę tygodni temu ;-)

Przeczytaj także:

• Nie okradaj hackera bo…
• Zakaz zakrywania twarzy na ulicy. Jak go obejść?
• Szkoła podglądała uczniów przez kamerki w laptopach