OpenSSL od 2 lat dziurawe.

W kodzie OpenSSL od blisko 2 lat jest błąd, który pozwala przechwycić klucz prywatny używany przez serwery do szyfrowania ruchu.

Oficjalny komunikat :


OpenSSL Security Advisory [07 Apr 2014] ======================================== TLS heartbeat read overrun (CVE-2014-0160) ========================================== A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1. Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for preparing the fix. Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS. 1.0.2 will be fixed in 1.0.2-beta2

Co robić:

Powstał specjalny serwis gdzie możecie sprawdzić potencjalnie zagrożone serwery:

image

No i w przypadku “pozytywnej” weryfikacji zdrowy rozsądek podpowiada:

  • Wymiana certyfikatu SSL na nowy 
  • Zmianę wszystkich haseł 
  • Skasowanie aktywnych tokenów sesyjnych na webserwerze 

Więcej doczytacie na niebezpiecznik.pl


Botnet PowerZeus

Już w lipcu 2013 roku do CERT Polska dotarły informacje kradzieży środków z kont polskich użytkowników przy użyciu nowego rodzaju malware. Pomimo, że używane przez ten malware techniki oraz aplikacja mobilna była znana już od kwietnia, to od lipca cybeprzestępcy zaczęli używać nowego botnetu jako kanał dystrybucji. Udało się ustalić, iż komputery ofiar zainfekowane są oprogramowaniem, które posiada możliwości podobne do znanego wcześniej malware’u ZeuS, m.in. modyfikacja treści strony po stronie klienta. Złośliwe oprogramowanie po tym jak użytkownik zaloguje się do systemu bankowego wykrada dane dostępowe oraz nakłania użytkownika do zainstalowania specjalnej, rzekomo przygotowanej przez bank aplikacji na telefonie z systemem Android. Mając kontrolę nad telefonem przestępcy mogą obejść zabezpieczenie polegające na potwierdzeniu zlecenia przelewu poprzez SMS z kodem autoryzacyjnym. W ten sposób wyprowadzają oni środki z kont zainfekowanych użytkowników. Poniższy raport opisuje każdy z elementów wykorzystanych przy opisanym procederze. Zawarte są zarówno ogólne informacje jak, techniczne szczegóły oraz zalecenia w jaki sposób radzić sobie z zagrożeniem.

O tym malware, zwanym KINS (od Kasper Internet Non-Security) lub PowerZeus informowano już wcześniej. Te dwie nazwy bywają używane zamiennie, chociaż niektórzy badacze rozróżniają oba rodzaje malware’u.



“Oprogramowanie i sprzęt elektroniczny do prowadzenia walki informacyjnej”

Tajemniczy  “ID29″ -  żal jaka amatorszczyzna poczynając od publikacji PDF, a kończąc na sformułowaniu “przetargu na wirusa”…

Za Niebezpiecznikiem:

Projekty [wszystkie objęte konkursem — dop. red.] są różne, głównie wsparcie straży granicznej, identyfikacja twarzy, nowe uzbrojenie dla armii. Wszystko to jest typowe, ale właśnie projekt “walki elektronicznej” jest nietypowy. W skrócie:

1. Zakłada on wytypowanie polskiej firmy która stworzy wirusa, który będzie infekował komputery (zarowno instytucji “wrogich” jak i postronnych ludzi), w celu stworzenia “botnetu” — armii komputerów za pomocą której będzie można paraliżować systemy informatyczne innych państw jak i doprowadzać do ataków typu DoS, czyli paraliżowania zagranicznych systemówinformacyjnych.

Przeczytajcie cały artykuł:

http://niebezpiecznik.pl/post/projekt-29-polski-wirus-wojskowy-na-zamowienie-mon/




Christopher Joye, Paul Smith and John Kerin

Computers manufactured by the world’s biggest personal computer maker, Lenovo, have been banned from the “secret” and ‘‘top secret” ­networks of the intelligence and defence services of Australia, the US, Britain, Canada, and New Zealand, because of concerns they are vulnerable to being hacked.

Multiple intelligence and defence sources in Britain and Australia confirmed there is a written ban on computers made by the Chinese company being used in “classified” networks.

The ban was introduced in the mid-2000s after intensive laboratory testing of its equipment allegedly documented “back-door” hardware and “firmware” vulnerabilities in Lenovo chips. A Department of Defence spokesman confirmed Lenovo ­products have never been accredited for Australia’s secret or top secret ­networks.

The classified ban highlights concerns about security threats posed by “malicious circuits” and insecure firmware in chips produced in China by companies with close government ties. Firmware is the interface be­tween a computer’s hardware and its operating system.

Lenovo, which is headquartered in Beijing, acquired IBM’s PC business in 2005.

IBM continues to sell servers and mainframes that are accredited for secret and top-secret networks. A Defence spokesman said Lenovo had never sought accreditation.

The Chinese Academy of Sciences, a government entity, owns 38 per cent of Legend Holdings, which in turn owns 34 per cent of Lenovo and is its largest shareholder

Spy agencies ban Lenovo PCs on security concerns