En blogg om IT-säkerhet och relaterade ämnen för dem som arbetar inom IT

Säkerhetsforskaren MustLive från Ukraina utförde 2007 “Days of bugs in WordPress” där han avslöjade hela 82 säkerhetshål. Idag påbörjar han “Days of bugs in WordPress 2″  där han kommer att publicera säkerhetshål som han har hittat från 2007 fram tills nu och det kan bli bråda dagar för utvecklarna hos WordPress för när han är klar med rapporteringen (till WordPress?) så kommer han att publicera detaljerad information till e-postlistan Full-disclosure gällande sårbarheterna.

Alla avancerade CMS innehåller säkerhetshål och nu när t.ex. WordPress 3.0 som är relativt ny släpptes så fanns det nya funktioner som även då innehåller nya säkerhetsproblem. WordPress 3.0.1 släpptes igår men där finns ingen information om att några säkerhetshål är tilltäppta utan det är en ren buggrättningsrunda så det kommer blir mycket spännande att se om det gäller de äldre motorerna eller om det även gäller 3.0.x.

Jag känner mig personligen dock inte orolig även om denna blogg är WordPress så är det en kalkylerad risk och eftersom bloggen är det enda som finns på detta konto och självklart är alla inloggningar helt unika så finns det inte mycket att hämta mer än att jag måste rensa allt och återställa med en backup om/när något sådant inträffar.

– Johan Ryberg

Källa:
http://websecurity.com.ua/4416/

När man talar om trollen (Var 5:e Androidapp är skadlig?). Jag han bara publicera inläggen för att sedan hitta i min RSS-läsare denna rapport från Lockout som besöker Blackhat 2010 som hittat ett oönskat beteende i applikationer från utvecklaren Jackeey Wallpaper / callmejack som tar fram olika program som visar bakgrunder i telefonen. Dessa program skickar bland annat telefonnummret, IMSI, kortnummret till röstbrevlådan till en kinesisk webbserver (www.imnet.us). Frågan är vad dem skall göra med informationen.

– Johan Ryberg

Källa:
http://blog.mylookout.com/2010/07/mobile-application-analysis-blackhat/

Android växer sig allt större och antalet apps och telefonmodeller ökar lavinartat. Google har helt klart lyckats med sin satsning att få fram en stark motståndare till Appels iOS. Det finns dock några mindre bra saker som jag vill ta upp och dem är följande:

• Okontrollerad marknadsplats (Android Market)
• Svårbegriplig information gällande applikationers rättigheter
• Ingen varning vid förändring av applikations rättighet vid uppgradering

Grundidén med Android är att det skall vara en öppen plattform och så är även Android Market. Google har möjlighet att i efterhand automatiskt radera applikationer som dem finner skadliga men för oss användare kan skadan redan ha skett. Vem som helst kan publicera vilken som helst mjukvara, det finns ingen som kontrollerar detta. Firefox som jag har skrivit om tidigare har en grupp redaktörer som har som uppgift att kontrollera AMO (addons.mozilla.org) och för att en utvecklare skall få sitt addon publicerat måste det genomgå ett flera tester och bland annat så kontrolleras programvaran mot ett par olika antivirusprogram.

Androids motsvarighet till redaktörer saknas helt och hållet och istället överlåter man granskningen till användaren av Androidplattformen (handdator/tablet/TV/osv.). När du via Market installerar en app får du upp en lista med vilka rättigheter som programmet kräver och då är det upp till dig att avgöra om dessa krav är rimliga för vad programmet är tänkt att utföra.

Själv är jag kluven, jag tycker att det är jättebra att jag som användare har möjlighet att granska vilka större grupper av funktioner som applikationen behöver kunna få tillgång till för att fungera fullt men för den normala användaren så kommer denna information totalt ignoreras, ingen kommer att läsa, det är precis som avtalstexten som står när man skall installera en program. Man väljer att klicka “Jag godkänner” eftersom man vill använda programmet, resten är oväsentligt för den stora massan.

En annan sak som jag stör mig på är att om jag installerat app “X” vars rättigheter jag självklart har granskat och det kommer en uppgradering ett par veckor senare så kommer jag att behöva godkänna samma? lista med krav, eller…. Det kan mycket väl tillkommit eller försvunnit en rättighet utan att det syns på något tydligt sätt. Detta tycker jag är ett problem. Vid uppgraderingar så granskas inte längre applikationer på samma sätt och om det t.ex. tillkommer “Tjänster som kostar pengar” eller “android.permission.CALL_PHONE” så är risken mycket stor att man missar detta och kanske har applikationens beteende förändrats så att den t.ex. ringer betalnummer i smyg utan användarens vetskap. Här borde det tydligt stå vad som tillkommit sedan förra versionen för att öka säkerheten markant.

Nu är inte var 5:e app skadlig, men var 5:e har tillgång till personlig information enligt en undersökning utförd av SMobile Systems vilket potentiellt kan innebära en stor risk för användaren då ingen har fått möjlighet att kontrollera vad applikationen gör med informationen den har tillgång till.

Källor:
http://developer.android.com/reference/android/Manifest.permission.html
http://threatcenter.smobilesystems.com/?p=1887

– Johan Ryberg

För ett tag sedan fick jag reda på hur en bekant till mig hanterar data på sitt arbete. Han förklarade att hans kunder ofta har med sig data för bearbetning och som då oftast finns på USB-minnen som överlämnas till honom eller till någon medarbetare som då ansluter USB-minnet till närmsta arbetsstation för att kopieras till nätverket innan det importeras i deras stödsystem.

Jag kände genast rysningar igenom min ryggrad med goda minnet av tidigare problem med autorun och sårbarheter och som tur var är min bekant chef på företaget i fråga och efter en mindre diskussion installerades en gemensam punkt för sådana importer via en arbetsstation som kör Ubuntu/Linux.

Även om man kunnat lösa problemet via policys så har jag aldrig känt mig riktigt säker med Windows och främmande lagringsmedium och tur var väl det nu när denna “SCADA”-mask vid namn Win32/Stuxnet har kommit som en blixt från klar himmel.

Detta säkerhetshål som ännu inte har fixat är riktigt läskigt och det kommer att ställa till med ordentligt stora problem. Tyvärr räcker det alltså att bara titta på en infekterad genväg för att riskera att bli smittad och än så länge finns det bara ett känt hot men det lär inte dröja länge förrän det dyker upp nya varianter som är betydligt mer aggressiva än detta som än så länge “bara” ger sig på Siemens WinCC SCADA system.

Edit: En säkerhetsforskare som kallar sig ivanlef0u har precis släppt kod som utnyttjar ovan nämnda säkerhetshål, hans blogg finns här: http://www.ivanlef0u.tuxfamily.org/ vilket är ännu ett bevis för att vi snart har ett stort problem för samtliga Windowsanvändare.

– Johan Ryberg

Källa:
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://isc.sans.edu/diary.html?storyid=9181

I skrivande stund används strax över 157 000 000 tillägg i Firefox, bara Adblock Plus står för cirka 10 470 000 olika installationer. Tilläggen hjälper oss att t.ex. skydda oss, ladda ner inbäddad information som t.ex. Flash-filmer eller debuggar webbsidor, möjligheterna är oändliga.

De flesta tillägg bygger på öppen källkod och vi har alla en teoretisk chans att granska koden men i praktiken ser aldrig detta. Många påstår att öppen källkod är mer säker av just den anledningen att koden kan granskas men är ingen garanti. Ett exempel på detta är IRC-servern UnrealIRCd som någon gång i november 2009 fick sin källkod modifierad med en trojan och som inte upptäcktes förrän 12 juni 2010.

De flesta tillägg är från början vanliga program som utför precis vad dem skall göra men det finns exempel på tillägg som redan från början utför saker dem inte skall göra som t.ex. Mozilla Sniffer. Detta tillägg stal användarnamn och lösenord som angetts i formulär och tillägget skickade automatiskt informationen vidare till en server.

Ett annat problem är buggar och en del buggar utgör en attackyta som hackers kan utnyttja och det exemplet är CoolPreviews. Detta tillägg hanterade inte vissa hyperlänkar korrekt om dem skrevs på ett speciellt sätt vilket innebar att det gick att skjuta in javascript som kördes på klienten och som då kunde ta över datorn.

Dessa två ovan är relativt vanliga exempel som dagligen dyker upp i olika former (virus/trojaner/sårbarheter) som attackerar redan befintliga datorer och installerade program men vad händer den dagen en utvecklare blir hackad och när denna hacker publicerar en uppdatering till låt säga Adblock Plus?

De flesta av oss tar utan vidare emot uppdateringar av våra tillägg utan att fungera en sekund, det är normalt. Vi valde vid första installationstillfället att lita på utvecklaren och vidare uppdateringar ser man endast som bonus, att programmet blir bättre med nya utökade funktioner.

Låt säga att Adblock Plus med sina 10 miljoner unika installationer blir föremål för en hacker precis som UnrealIRCd, det behöver inte ta 7 månader att upptäcka, det räcker med en dag, eller ett par timmar för att en enormt stor del av användarbasen har uppdaterat och fått sina datorer smittade. Låt säga att det är just användarnamn och lösenord som finns sparade i Firefox som är målet. Då är det inte bara Windows utan alla plattformar som kan köra Firefox som är såbara.

Detta gäller inte enbart Firefox, det gäller i princip alla mjukvaror som på ett eller annat sätt uppdaterar sig. Det ställer enorma krav på utvecklarna och dem som publicerar dessa uppdateringar att säkra sina system så ingen utifrån kan ta sig in och manipulera den data som sedan skjuts ut till klienterna. Självklart är vi själva ytterst ansvariga att se till att våra system är säkra men detta kommer att ställa till det ordentligt för någon dag sker ett misstag och då kommer vi få en överraskning vi helst hade varit utan.

– Johan Ryberg

Källa:
https://addons.mozilla.org/en-US/statistics/
http://forums.unrealircd.com/viewtopic.php?t=6562
http://blog.mozilla.com/addons/2010/07/13/add-on-security-announcement/

Craig Heffner, en säkerhetsforskare på företaget Seismic LLC har nu rapporterat om att det fortfarande är allt för enkelt att ta över en router om standardlösenordet fortfarande används. Det räcker att surfa in på en förberedd hemsida för att hacket skall lyckas vilket är extremt oroväckande.

Bland annat är Linksys och öppna källkodsalternativ till just Linksys sårbara och dessa modeller är väldigt populära.

Oavsett om din router finns med på listan nedan så skall man ALLTID byta lösenord från standard till något lämpligt som inte är lätt att gissa.

Se till länkad lista nedan till Google Docs för de 30 modeller som är testade.

— Johan Ryberg

Själv använder jag Google Docs för vissa saker och applikationen Spreadsheets har aldrig fungerat med den nya versionen som innehåller mängder med nya funktioner och ett upparbetat gränssnitt. Jag möttes ideligen av följande felmeddelandet “A browser error has occurred” och man uppmanades att ladda om sidan så fort jag öppnade ett kalkylark.

Jag hade länge sökt efter en lösning och på Googles supportforum var det mängder med människor som hade samma problem tills idag, eller jag gav mig på problemet igen och hittade äntligen lösningen.

Firefox inställning “dom.storage.enabled” var satt till false av någon anledning. Normalt är den true men inte hos mig. Efter att jag satt den till true (skriv about:config i adressfältet) och startat om Firefox så fungerar Google Docs perfekt igen

— Johan Ryberg

Om du använder SSH och samtidigt tillåter att hela Internet får ansluta till din maskin så har du garanterat sett hur många intrångsförsök det sker. Detta är oftast inte manuella intrång utan sådana som är automatiserade via script/botnets och oftast vet inte ägaren till maskinen om detta.

denyhosts har jag skrivit om en del och det går att bygga ut systemet ytterligare via ett plugin som heter report-hack-isp och som du kan ladda ner här: http://wiki.github.com/nazar/report-hack-isp/

Detta script plockar enkelt beskrivet ut IP-adressen samtidigt som den blir blockerad av denyhosts och gör uppslag på IP/värdnamnet med whois för att plocka ut e-postadressen till abuse och skickar ett e-postmeddelande dit med ett meddelande om vad som hänt med tillhörande logg.

För att installerade detta under Ubuntu behövs ruby och whois installeras utöver en normal installation samt eventuellt sendmail eller liknande om e-postserver saknas.

— Johan Ryberg

Många upplever problem med att synca bannade IP-adresser och dem för följande felmeddelande:

2010-07-15 14:23:51,381 – sync : ERROR long int exceeds XML-RPC limits
Traceback (most recent call last):
File “/usr/share/denyhosts/DenyHosts/sync.py”, line 117, in receive_new_hosts
self.__prefs.get(“SYNC_DOWNLOAD_RESILIENCY”))
File “/usr/lib/python2.6/xmlrpclib.py”, line 1199, in __call__
return self.__send(self.__name, args)
File “/usr/lib/python2.6/xmlrpclib.py”, line 1483, in __request
allow_none=self.__allow_none)
File “/usr/lib/python2.6/xmlrpclib.py”, line 1132, in dumps
data = m.dumps(params)
File “/usr/lib/python2.6/xmlrpclib.py”, line 677, in dumps
dump(v, write)
File “/usr/lib/python2.6/xmlrpclib.py”, line 699, in __dump
f(self, value, write)
File “/usr/lib/python2.6/xmlrpclib.py”, line 725, in dump_long
raise OverflowError, “long int exceeds XML-RPC limits”
OverflowError: long int exceeds XML-RPC limits

Detta går att åtgärda genom att göra följande