HUP - titkosítás, biztonság

Malicious PyPI package opens backdoors on Windows, Linux, and Macs - @billtoulashttps://t.co/hZgy1DwZKn

— BleepingComputer (@BleepinComputer) May 21, 2022

Újabb rosszindulatú Python csomagot fedeztek fel a PyPI-ben, a Python hivatalos 3rd party szoftvertárolójában. Május 17-én töltötték fel a támadók a tárolóba a pymafka nevű csomagot, ami nevében erősen hasonlít a széles körben használt PyKafka csomaghoz. Használói gépén, függően az operációs rendszer típusától (Windows, Linux, Darwin), a csomagban található setup.py script rosszindulatú tevékenységbe kezd: az internetről reverse shellt, Cobalt Strike beacon-t stb. tölt le. Részletek itt.

A modern CPU-k modell-specifikus regisztereiről (MSR) már korábban is ismert volt, hogy meglehetősen szelektíven dokumentáltak. A gyártók a regiszterek egy részét közzéteszik a CPU architektúra programozási útmutatóban, ezzel lehet bizonyos CPU feature-öket, egyes utasítások támogatását, vagy különféle teljesítménynövelő megoldásokat ki-be kapcsolni. Viszont sokszor ezen regiszterek egyes bitjei is "Reserved", "Unused" és hasonló jelzőkkel vannak ellátva, másrészt találtak már korábban is olyan MSR-eket amik teljesen hiányoztak a dokumentációból.

Ennek kapcsán az első igazán nagy horderejű eredmény Cristopher Domas nevéhez fűződik, aki a Via C3 processzorokban szándékosan beépített backdoort fedezett fel, ezidáig ez az egyetlen eset, amikor egy processzor biztonsági hibája minden kétséget kizáróan szándékosan került beépítésre. A hátsó ajtó aktiválásához dokumentálatlan MSR-eket kellett meghatározott módon felprogramozni. A munka kulcsfontosságú része ezek felderítése volt.

Nemrég a Grazi Műszaki Egyetem (Daniel Gruss kutatócsoportja - a nevük ismert lehet a Spectre és Meltdown sebezhetőségről) valamint a Helmholtz számítógépes biztonsági kutatóközpont és az Amazon AWS egy kutatója publikáltak egy új módszert a rejtett MSR-ek felderítésére: Finding and Exploiting CPU Features using MSR Templating címmel.

A munka számos eredménnyel járt, a szokásos új támadási módszereken túl kivételesen új védekezési lehetőséget is találtak: egyes dokumentálatlan MSR-eket már ismert sebezhetőségek hatástalanítására is fel lehet használni, ráadásul - a méréseik szerint - szinte észrevehetetlen teljesítményvesztés árán.

The @Synacktiv team shows off their remote exploit of the #Tesla Model 3. Earlier today, this research earned them $75,000 during #Pwn2Own. pic.twitter.com/PZDCcJJvcE

— Zero Day Initiative (@thezdi) May 20, 2022

Ilyen az, amikor távolról a Tesla motorháztetejét kinyitják, ablaktörlőjét elindítják stb. ☝‍️

Confirmed! And for our last confirmation of the day, Keith Yeo (@kyeojy) scored a full win with a Use-After-Free exploit on Ubuntu Desktop, earning $40K and 4 Master of Pwn points. That means that ALL attempts on Day 1 of #Pwn2Own 2022 were successful! pic.twitter.com/uY28om378H

— Zero Day Initiative (@thezdi) May 19, 2022

Teljes fordulatszámon pörög a Zero Day Initiative (ZDI) népszerű, biztonsági szakemberek számára szervezett "törjünk fel mindent, amit csak tudunk komoly pénzdíjakért és dicsőségpontokért" vetélkedője, a Pwn2Own:

Amikor az iPhone-t a tulajdonosa kikapcsolja, az nem kapcsol ki teljesen, a legtöbb vezetéknélküli kapcsolatot biztosító chip bekapcsolva marad. Például, egy a felhasználó által kezdeményezett leállítás (shutdown) után az iPhone továbbra is felfedezhető, helyzete továbbra is meghatározható a Find My-on keresztül. A Darmstadti Műszaki Egyetem kutatói megtalálták a módját annak, hogy kihasználják a mindig bekapcsolt állapotot és olyan malware-t futtassanak, amely akkor is működik, amikor a készülék (látszólag) ki van kapcsolva. Részletek a "Evil Never Sleeps: When Wireless Malware Stays On After Turning Off iPhones" dokumentumban. A teljes tanulmányt az ACM WiSec 2022 konferencián, a vezeték nélküli és mobilhálózatok biztonságáról és adatvédelméről tartott 15. ACM konferencián a mutatják be 2022. május 16. és május 19. között.

Miközben állítólag a spanyol miniszterelnök telefonját is Pegasus kémprogrammal vették célba, az egyik magas rangú EU tisztviselő szerint az Európai Bizottságnak ezzel az üggyel semmi tennivalója sincs:

„A tagállami hatóságoktól várjuk el az ügy felderítését és ezáltal a polgárok bizalmának helyreállítását” - mondta Johannes Hahn költségvetésért felelős uniós biztos az Európai Parlament szerdai plenáris ülésén. Szerinte a Pegasus kémprogram EU-n belüli illegális használatának kivizsgálása nem tartozik az Európai Bizottság (EB) hatáskörébe.

Hatodik alkalommal kerül megrendezésre hazánkban a nemzetközileg elismert BSides IT-biztonsági konferencia 2022. május 26-án a budapesti Lurdy Rendezvényközpontban, ahová 16 előadó érkezik 8 különböző országból, izgalmas témákkal.

We are especially proud to present you Tails 5.0, the first version of Tails based on Debian 11 (Bullseye).

It brings new versions of a lot of the software included in Tails and new OpenPGP tools.https://t.co/J2NhgfdXsp

— Tails (@Tails_live) May 3, 2022

Kiadták a Tails 5.0-s, első Debian 11-re (Bullseye) épülő verzióját. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Részletek a bejelentésben.

EU officials' iPhones were targets of NSO Group's spyware https://t.co/qNb53Saley

— AppleInsider (@appleinsider) April 11, 2022 Európai Unió igazságügyi biztosának telefonját is célba vették az izraeli cég által fejlesztett kémszoftverrel, a Pegasussal a múlt év során a Reuters szerint. Erről uniós tisztviselők és a Reuters birtokába jutott dokumentumok tanúskodnak. Az nem derült ki, sikerült-e betörni a kémszoftverrel az érintett eszközökbe. [...] A célszemélyek között volt a hírügynökség szerint Didier Reynders belga politikus, aki 2019 óta az Európai Unió igazságügyi biztosa. [...] A hírt sem Didier Reynders, sem az Európai Bizottság, sem az Apple nem akarta kommentálni. Részletek itt és itt.

A Tesla Charging Port Opener kód segítségével a hatótávolságon belül levő akármelyik/bármelyik Tesla töltőportját ki lehet nyitni:

#Google has rolled out an urgent out-of-band update for the #Chrome browser for millions of Windows, #macOS, and #Linux users to patch a new actively exploited zero-day #vulnerability.

Read details: https://t.co/YT2qcyhqld#infosec #cybersecurity #hackernews #technews #hacking

— The Hacker News (@TheHackersNews) March 26, 2022

A sérülékenységet aktívan kihasználják, így annak, aki használja, házi feladat: mielőbbi frissítés.

Kids, never do this! https://t.co/j4R1Diq8OJ

— MikroTik (@mikrotik_com) March 21, 2022  

Get ready to get attacked. This rule is very dangerous. At least add an additional parameter "src-address" and set the IP where you will be connecting from.

— MikroTik (@mikrotik_com) March 21, 2022

Kezdődjön a flame!

Szigorúan vállalati kategória érdekel, aminek van teljes értékű központi menedzsmentje.

Tele van az internet online átverésekkel, csalásokkal. Estél-e már áldozatául ilyesminek?

22-year-old #Ukrainian hacker allegedly linked to Sodinokibi/REvil #ransomware gang has been extradited to the United States and put on trial for his role in carrying out #cyberattacks on several companies, including #Kaseya.

Read details: https://t.co/dVAYGG3mtg#infosec

— The Hacker News (@TheHackersNews) March 10, 2022

A lengyelek kiadták az USA-nak azt a 22 éves, ukrán nemzetiségű Yaroslav Vasinskyi-t, aki a gyanú szerint az orosz REvil zsarolóvírus-bandához köthető. Azzal vádolják, hogy fájltitkosító malware támadásokban vett részt olyan cégekkel szemben, mint például a Kaseya. Március 3-án Dallasba szállították. Ha minden vádpontban (pénzmosás, számítógépes rendszerek elleni támadás, bűnszövetkezetben való részvétel stb.) bűnösnek találják, akár 115 évet is kaphat. Részletek itt.

Great work by the VUSec team, and thanks for them getting the needed Linux kernel developers involved early on, fixes are all in Linus's tree now and will be in the next round of stable updates. https://t.co/YP2viiSLFW

— Greg K-H (@gregkh) March 9, 2022

A VUSec csapat jelezte. hogy a korábban nagy port kavart Spectre v2 sérülékenység visszatért, a jelenleg alkalmazott védelmi megoldásokat megkerüli. Greg-Kroah Hartman jelezte, hogy a szükséges javítások már Linus kernelfájában vannak és a stable kernelsorozat frissítésének következő körében már benne is lesznek.

Telegram is the most popular messenger in urban Ukraine. After a decade of misleading marketing and press, most ppl there believe it’s an “encrypted app”

The reality is the opposite-TG is by default a cloud database w/ a plaintext copy of every msg everyone has ever sent/recvd. https://t.co/6eRGIyXyje

— Moxie Marlinspike (@moxie) February 25, 2022

A Signal nevű azonnali üzenetküldő szolgáltatás (és protokoll) mögött álló Moxie Marlinspike biztonsági szakértő a Twitteren arra figyelmeztet, hogy noha a Telegram üzenetküldő a legnépszerűbb ilyen alkalmazás Ukrajnában, komoly gondok vannak a biztonságával. Szerinte az évtizednyi félrevezető marketing és sajtó hatására az emberek azt hiszik, hogy egy titkosított alkalmazás, pedig nem ...: