markasblog

Miesiące w tym roku upływają w zastraszającym tempie. Niedawno mieliśmy styczniowe biuletyny bezpieczeństwa, teraz przyszedł czas na lutową edycję łat bezpieczeństwa do Microsoftu. Dwa dni temu ujrzało światło dzienne 9 łat dla produktów Microsoftu, które łatają 21 błędów. 4 z tych biuletynów otrzymały najwyższy – krytyczny – stopień ważności, a pozostałe 5, oznaczono jako ważne.

MS12-008 (krytyczny) – dotyczy luki w zabezpieczeniach sterowników jądra systemu Windows umożliwiającej zdalne wykonanie kodu

MS12-010 (krytyczny) – zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer, która między innymi eliminuje możliwość zdalnego wykonania kodu

MS12-013 (krytyczny) – dotyczy luki w zabezpieczeniach biblioteki wykonawczej dla języka C umożliwiającej zdalne wykonanie kodu

MS12-016 (krytyczny) – dotyczy luki w zabezpieczeniach systemu .NET Framework i programu Microsoft Silverlight umożliwiającej zdalne wykonanie kodu

MS12-011 (ważny) – dotyczy luki w zabezpieczeniach programu Microsoft SharePoint umożliwiającej podniesienie poziomu uprawnień

MS12-012 (ważny) – dotyczy luki w zabezpieczeniach apletu Panel sterowania kolorami umożliwiającej zdalne wykonanie kodu

MS12-014 (ważny) – dotyczy luki w zabezpieczeniach kodera-dekodera Indeo umożliwiającej zdalne wykonanie kodu

MS12-015 (ważny) – dotyczy luki w zabezpieczeniach programu Microsoft Visio Viewer 2010 umożliwiającej zdalne wykonanie kodu

Aktualizacja jest wysoce zalecana.

Adobe udostępnił w kanale beta wersję platformy Flash z zaimplementowanym mechanizmem sandbox dla przeglądarki Firefox. To kolejny krok w drodze do pełnej izolacji procesów oprogramowania Adobe od produktów, które korzystają z tej technologii oraz spełnienie obietnicy danej użytkownikom przy okazji wydania stabilnego Flasha z sanboxem dla przeglądarki Google Chrome, które miało miejsce rok temu. Dla przypomnienia, mechanizm sandbox działa w oparciu o bardzo niską integralność z głównym programem, a sam proces ma bardzo mocno ograniczone uprawnienia do reszty systemu. Izolacja procesu od systemu operacyjnego skutkuje zminimalizowaniem szansy na skuteczny atak za pomocą exploita. Dowodem na skuteczność mechanizmu „piaskownicy” jest fakt, iż przeglądarka Google Chrome nigdy nie stała się ofiarą udanego ataku z wykorzystaniem oprogramowania Flash.

Do tej pory Adobe zaimplementowało mechanizm sandbox w oprogramowaniu Adobe Reader X, oraz platformie Flash dla przeglądarki Google Chrome. Wersja beta przeznaczona dla Firefoksa działa na systemach operacyjnych Windows Vista oraz Windows 7.

Przedstawiciele firmy Adobe zdają sobie sprawę, że droga jaką mają przed sobą nie kończy się na dwóch przeglądarkach. Docelowo w planach jest wydanie Flasha z sandboxem na wszystkie popularne przeglądarki. Dzięki temu producenci Adoba liczą na zmniejszenie zainteresowania hakerów swoimi produktami. W tym momencie już trwają pracę nad sandboxem dla Internet Explorera, ale ze względu na zupełnie inną architekturę oprogramowania związana z wykorzystaniem ActiveX, proces wydłuża się w czasie.

Wersja finalna Flasha z sandboxem dla przeglądarki Firefox powinna pojawić się jeszcze w tym roku.

Pwn2Own 2012 zapasem. Tradycyjnie turniej hakerów odbędzie się w ramach konferencji poświęconej bezpieczeństwu sieci komputerowych w Vancouver o nazwie CanSecWest. Tym razem zawody będą rozgrywane na przestrzeni trzech dni, między 7 i 9 marca. Ten rok będzie przełomowy, jeżeli chodzi o zasady przeprowadzania konkursu. O ile w latach poprzednich Pwn2Own był zorganizowany tak, aby wzbudzał sensację wśród obserwujących (konkurs był nastawiony na szybkość łamania zabezpieczeń i zdolność wykorzystywania znanych luk bezpieczeństwa), tak teraz zawodnicy będą oceniani za pomocą skali punktowej, co spowoduje, że faktycznie zawodnicy będą zmuszeni do rywalizacji. Wycofano zasadę ograniczająca ilość luk 0-day wykorzystanych do skutecznego ataku do jednej. Według nowych zasad ilość luk znalezionych i wykorzystanych będzie dowolna i za każdą lukę znalezioną w przeglądarce, zawodnik otrzyma punkty. Celem organizatorów jest przede wszystkim wykazanie maksymalne dużej liczby uchybień w temacie zabezpieczeń, a także zwrócenie uwagi producentów na konieczność starannego przygotowania łat dla swoich produktów, ponieważ w tym momencie często jest tak, że pomimo wydania łaty bezpieczeństwa, podatność na ataki danego produktu wcale się nie zmniejsza. Nowe zasady mają za zadanie dać równe szanse wszystkim startującym w konkursie. Nie będzie losowania kolejności podejścia do konkretnego zadania. Zawodnicy będą zmuszeni opracować exploity wykorzystujące luki w zabezpieczeniach w czasie trwania rywalizacji. Dzięki temu konkurs będzie trzymał w napięciu od początku do końca.

Dodatkowo atmosferę podgrzewa Google, które oferuje 20 000 dolarów za każdą lukę wskazaną i wykorzystaną do skutecznego ataku w przeglądarce Google Chrome. Stawka więc wyraźnie rośnie, ponieważ przy założeniu, że limit luk znalezionych w przeglądarkach został zdjęty, można dorobić się pokaźnego bonusu od samego wydawcy Chrome. Oczywiście gigant z Mountain View jest pewny swego i zakłada, że ich mechanizm sandbox jest na tyle skuteczny, że raczej przeglądarka obroni się przed atakami. Pytanie tylko, co się stanie jeżeli haker skorzysta z dwóch exploitów, z których pierwszy złamie zabezpieczenia sandboxa, a drugi uderzy już bezpośrednio w jądro przeglądarki?

Należy pamiętać oczywiście, że podczas dotychczasowych konkursów PWN2OWN, Google Chrome ani razu nie poddał się atakom hakerów. Może jednak było to spowodowane ograniczeniami wynikającymi z regulaminu. Teraz hakerzy mają więcej wolności i mogą puścić wodze fantazji.

Oczywiście oprócz nagrody ufundowanej przez Google, również organizator, którym jest TippingPoint ze swojej strony ufundował nagrody pieniężne dla trzech pierwszych miejsc.

Podstawowe zasady:

Przeglądarki będące celem ataków:

• Microsoft Internet Explorer
• Apple Safari
• Google Chrome
• Mozilla Firefox

Systemy operacyjne:

• Windows 7
• Mac OS X Lion

Oba systemy wyposażone będą w najnowsze łaty bezpieczeństwa.

Punktowanie:

• Każdy zawodnik (lub zespół) który opublikuje działający exploit wykorzystujący lukę 0-day w przeglądarce otrzymuje 32 punkty
• podczas rozpoczęcia konkursu zostaną ogłoszone 2 luki załatane w ostatnich latach , które należy wykorzystać do ataku; pierwszy zawodnik, który stworzy exploit wykorzystujący te luki otrzyma 10, 9 lub 8 punktów w zależności od dnia demostracji
• żaden zespół ani indywidualny zawodnik nie wygra jeżeli nie wykaże chociaż jednej luki 0-day w zabezpieczeniach
• o zaliczeniu punktów za zadanie będzie decydować grupa sędziów, którzy sprawdzą, czy dana luka nie jest wykorzystywana jednocześnie przez kilka zespołów

Nagrody:

• I miejsce: 60 000$
• II miejsce: 30 000$
• III miejsce 15 000$

Zdecydowanie nowa konwencja konkursu PWN2OWN jest ciekawsza nie tylko ze względu na postawienie na większą konkurencję biorących w nim udział hakerów, ale również ze względu na możliwość wykrycia nowych podatności na ataki produktów czołowych firm. Internet Explorer, Safari oraz Firefox co roku poddawały się naporom atakujących . Jedynie Google Chrome opierał się atakom, głownie dzięki mechanizmowi sandbox. Uważam, że teraz może się to zmienić. Nie tylko podbicie stawki przez Google za złamanie ich zabezpieczeń, ale przede wszystkim większa dowolność w podejściu do tematu, może obalić mit bezpiecznego Chrome.

Czekam z niecierpliwością na tegoroczny konkurs. Może będzie mniej spektakularny patrząc od strony mediów, ale według mnie, wniesie więcej w poprawę bezpieczeństwa przeglądarek internetowych, a co za tym idzie, naszych komputerów i danych na nich zgromadzonych.

18 stycznia OpenSSL Project wydał poprawkę, która wyeliminowała podatność na ataki DoS, która z kolei została zaimplementowana przy okazji wydania krytycznych łat bezpieczeństwa 6 stycznia tego roku. Luka oznaczona kodem CVE-2011-4108 dotyczy implementacji protokołu DTLS, pozwala na odszyfrowanie zabezpieczonej transmisji bez znajomości klucza szyfrowania. Wydawcy zalecają aktualizację OpenSSL do wersji 1.0.0g lub 0.9.8t, z pominięciem wersji 1.0.0f i 0.9.8s.

Wczoraj mieliśmy drugi wtorek miesiąca, więc posiadacze systemów operacyjnych ze stajni Microsoftu ujrzeli nowe biuletyny bezpieczeństwa. Tym razem wydano 7 biuletynów z czego jeden został oznaczony jako krytyczny, a pozostałe jako ważne. Dla przypomnienia, w zeszłym miesiącu Microsoft wydał 14 biuletynów bezpieczeństwa. Poniżej zamieszczam skrócony opis każdego ze styczniowych biuletynów.

MS12-004 (krytyczny) – dotyczy dwóch luk w zabezpieczeniach formatu Windows Media, które umożliwiają wykonanie zdalnego kodu

MS12-001 (ważny) – dotyczy luki w zabezpieczeniach jądra systemu Windows, która umożliwia obejście funkcji zabezpieczeń

MS12-002 (ważny) – dotyczy luki w zabezpieczeniach programu Pakowarka obiektów systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-003 (ważny) – dotyczy luki w zabezpieczeniach Podsystemu wykonawczego serwera/klienta w systemie Windows, która umożliwia podniesienie uprawnień

MS12-005 (ważny) – dotyczy luki w zabezpieczeniach systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-006 (ważny) – dotyczy luki w zabezpieczeniach protokołu SSL/TLS, która umożliwia ujawnienie informacji

MS12-007 (ważny) – dotyczy luki w zabezpieczeniach biblioteki AntiXSS, która umożliwia ujawnienie informacji

Zachęcam do aktualizacji systemów.

Kilka dni temu firma SplashData opublikowała raport o najczęściej używanych i zarazem najgorszych hasłach w roku 2011. Okazuje się, że wciąż najpopularniejsze hasła to takie, które wprost wynikają z układu klawiatury, lub są nazwami własnymi, którymi są na przykład imiona użytkowników.

Specjaliści zauważają jednocześnie, że skomplikowanie haseł wciąż rośnie, ale do miana bezpiecznych wciąż im sporo brakuje. Coraz więcej dostawców narzuca na użytkowników określone minimalne kryteria złożoności haseł (np.: minimum jedna cyfra w haśle, lub minimum jedna wielka litera), ale te bardziej „złożone” hasła i tak przybierają formę „abc123″. Innym problemem jest powtarzalność haseł w wielu miejscach. Najczęściej stosowane są te sama hasła do wielu serwisów. Hakerzy pomimo, że mają już narzędzia do łamania bardziej wyrafinowanych haseł i tak w pierwszej kolejności uderzają w łatwe cele, a takimi bez wątpienia są użytkownicy używający jednego hasła do zabezpieczenia różnych miejsc w sieci.

Poniżej zamieszczam 25 haseł, które uchodzą za najczęściej używane i zarazem za najłatwiejsze do złamania w roku 2011 według firmy SplashData:

• password
• 123456
• 12345678
• qwerty
• abc123
• monkey
• 1234567
• letmein
• trustno1
• dragon
• baseball
• 111111
• iloveyou
• master
• sunshine
• ashley
• bailey
• passw0rd
• shadow
• 123123
• 654321
• superman
• qazwsx
• michael
• football

Oczywiście jest to angielskojęzyczna lista. Z doświadczenia jednak wiem, że wielu użytkowników (również moich znajomych) używa haseł, które ja bez problemu mógłbym odgadnąć, chociaż z hakerem mam niewiele wspólnego.

Kluczem do dobrego hasła jest jego złożoność. Nie bójmy się haseł długich, składających się z liter dużych i małych, cyfr oraz znaków specjalnych (%, ^, * itp.). Unikajcie stosowania tych samych haseł w miejscach ważnych ze względu na bezpieczeństwo informacji tam przechowywanych. Jeżeli nie jesteście przekonani do programów zarządzających hasłami, stwórzcie listę papierową i przechowujcie ją w miejscu bezpiecznym. Są to naprawdę proste środki i tanie we wdrożeniu, a mogą wam zaoszczędzić wiele stresu w przypadku włamania na komputer i przechwycenia ewentualnie zapisanych na dysku haseł.

26 maja (środa) pojawiła się kolejna aktualizacja platformy WordPress. Wersja 3.1.3 wprowadza kilka poprawek bezpieczeństwa. Między innymi poprawiono bezpieczeństwo przesyłania plików z komputerów o niskim poziomie zabezpieczeń oraz poprawiono bezpieczeństwo obsługi mediów. Dodatkowo pojawiła się funkcjonalność, która usuwa stare pliki importu WordPress, jeżeli taki import nie został zakończony pomyślnie. Wprowadzono także mechanizm ochrony przed atakiem typu clickjacking na stronie administratora oraz na stronie logowania. Niestety (dla niektórych) mechanizm ten działa tylko i wyłącznie w nowoczesnych przeglądarkach.

Pełną listę zmian można znaleźć tutaj.

Jednocześnie trwają pracę nad gałęzią 3.2 platformy WordPress. Jednocześnie z wersją 3.1.3 pojawiła się druga beta odłamu 3.2. Wydanie wersji RC planowane jest na początek czerwca, a wersja finalna planowana jest na koniec miesiąca. Najważniejszą ze zmian w wersji WordPress 3.2 Beta 2 w stosunku do pierwszej wersji beta jest zaimplementowanie obsługi biblioteki jQuery 1.6.1.

W zeszłym tygodniu na blogu skupiającym się na systemie Android opublikowano informację, że oprogramowanie Skype wyprodukowane dla platformy Android nie blokuje dostępu do wielu poufnych informacji znajdujących się na telefonach.

W niepowołane ręce mogą wpaść takie dane jak nazwa użytkownika, adres e-mail, lista kontaktów oraz logi rozmów z klienta Skype. Sam producent oprogramowania Skype potwierdził zarzuty w piątek.

Problem polega na tym, że Skype nadaje błędne uprawnienia do plików, pozwalając na dostęp do nich każdemu.

Producent oprogramowania Skype obiecał zająć się problemem prywatności, ale działania mające na celu wyeliminowanie problemu nie zostały ujęte w żadnym harmonogramie.

Chet Wiśniewski, specjalista ds. bezpieczeństwa z Sophos powiedział, że problemy z prywatnością oprogramowania Skype dla Androida mogły

powstać z niechlujstwa w kodowaniu w najlepszym razie, lub braku szacunku dla prywatności w najgorszym.

Na chwilę obecną problem z prywatnością oprogramowania Skype dla Androida nie została wyeliminowana.

W dniu wczorajszym pojawiła się aktualizacja platformy blogowej WordPress. Wersja 3.1.1 niesie ze sobą zwiększone bezpieczeństwo w module odpowiedzialnym za upload mediów, zwiększoną odporność na awarie związane z przesyłaniem złożonych linków. Dodatkowo jest wyeliminowana podatność na ataki XSS w procesie aktualizacji bazy danych. Ponadto poprawiono 26 innych błędów, których listę można zobaczyć tutaj.

Zaleca się zaktualizowanie swoich platform najszybciej jak to będzie możliwe.

Po tym jak Adobe w poniedziałek opublikował informację o istnieniu luki zero-day  w odtwarzaczu Flash Player, która umożliwia przeprowadzenie ataku przy użyciu odpowiednio spreparowanego pliku Excel, Google we wtorek wydał aktualizacje przeglądarki Chrome, w której ten problem został wyeliminowany. Tak szybka reakcja jest efektem ścisłej współpracy Adobe z Google, która trwa od kwietnia 2010. Na mocy umowy spisanej pomiędzy dwoma gigantami, Adobe udostępnia nowe wersje oprogramowania Flash programistą Google w celu testów i późniejszej integracji.

Często w tej sytuacji zdarza się, że przeglądarka od Google pracuje z najnowszą wersją Flasha, zanim jeszcze jest ona dostępna do pobrania przez użytkowników innych przeglądarek internetowych. I tak jest i w tym przypadku. Firefox, Safari, IE oraz Opera muszą czekać na oficjalne udostępnienie najnowszej wersji Flasha, a tymczasem Chrome już teraz pracuje z wersją 10.2.154.25 programu Flash Player.

Najnowszą wersję Chrome oznaczoną numerem 10.0.648.134 można pobrać ze stron producenta odpowiednio dla systemu: Windows, Linux, Mac OS X.

Użytkownicy, którzy już korzystają z przeglądarki Chrome mogą, a nawet powinni skorzystać z opcji automatycznych aktualizacji.