wizzard: (Default)
http://seclists.org/oss-sec/2016/q1/645

Вполне стандартный buffer overflow, да. Даже уже в очередной раз писать стандартные вещи не хочется.

Можно ли на этом считать закрытым вопрос "если это популярный опенсорс, то в нем найдут все уязвимости, невзирая на то, что язык, на котором он написан, этому активно сопротивляется"? Я уж не говорю про баги.
wizzard: (Default)
http://sel4.systems/

General Dynamics C4 Systems and NICTA are pleased to announce the open sourcing of seL4, the world's first operating-system kernel with an end-to-end proof of implementation correctness and security enforcement.
It is still the world's most highly-assured OS.

- all of the kernel's source code,
- all the proofs,
- other code and proofs useful for building highly trustworthy systems.

The release will happen at noon of Tuesday, 29 July 2014 AEST (UTC+10), in celebration of International Proof Day (the fifth aniversary of the completion of seL4's functional correctness proof).

Completely unique about seL4 is its unprecedented degree of assurance, achieved through formal verification. Specifically, the ARM version of
seL4 is the first (and still only) general-purpose OS kernel with a full functional correctness proof, meaning a mathematical proof that the implementation (written in C) adheres to its specification. In short, the implementation is proved to be bug-free. This implies a number of other properties, such as freedom from buffer overflows, null pointer exceptions, use-after-free, etc.

There is a further proof that the binary code that executes on the hardware is a correct translation of the C code. This means that the compiler does not have to be trusted, and extends the functional correctness property to the binary.

Furthermore, there are proofs that seL4's specifcation, if used properly, will enforce integrity and confidentiality, core security properties. Combined with the proofs mentioned above, these properties are guaranteed to be enforced not only by a model of the kernel (the
spec) but the actual binary. Therefore, seL4 is the world's first (and still only) OS that is proved secure in a very strong sense.

Finally, seL4 is the first (and still only) protected-mode OS kernel with a sound and complete timeliness analysis. Among others this means that it has provable upper bounds on interrupt latencies (as well as latencies of any other kernel operations). It is therefore the only kernel with memory protection that can give you hard real-time guarantees.
wizzard: (Default)


TLDR: Можно удаленно читать память сервера, включая секретные ключи и всё-всё-всё.
У кого не было PFS - тот попал особенно.

Уязвимы билды от 14 марта 2012 до 7 апреля 2014. Да здравствует массовая замена ключей!

Read more: https://heartbleed.com/
wizzard: (Default)
Похоже, нашли способ с помощью active attacker ломать (перенаправлять) транзакции ДО того как они будут проверены майнерами и попадут в block chain.

https://www.mtgox.com/press_release_20140210.html

Напоминает историю с Android'ом, где code signing проверял одно, а лоадер загружал другое (обычно они проверяли одно и то же, но можно было сконструировать кейс, где алгоритмы в итоге шли к разным данным)

Далее транзакция уводится на левый кошелек, атакующий (или жертва) идет в саппорт Гокса и начинает возмущаться "гдебабло?", саппорт идет на blockchain, и видит, что бабла-то и нет! после чего начинает чесать репу.

В принципе, неудивительно, что можно наебать участника P2P сети, сконструировав для него filter bubble и проэмулировав остальную сеть, но за то, что это довели до практической реализации in the wild - очень большой респект.

UPDATE: другое мнение


Просто у мтгокса кривой софт, позволяющий обманывать биржу и тупые саппорты, не понимающие как работает биткоин. Эта «уязвимость» была опубликована на биткоин вики ещё год назад и про неё все знают.

Скорее всего они хотят стырить всё бабло под соусом «плохой биткоин дырявый мы не виноваты». Вот и всё.

Вкратце суть уязвимости. Я запросил вывод с мтгокса. Они сделали транзакцию. Я каким то образом успех перехватить транзакцию и послать главным майнерам подделку. Она подписана сигнатурой мтгокса, но хеш у неё другой (потому что в сигнатуру не входят некоторые поля). Майнеры её включают в цепочку, мтгокс по хешу проверяет и не находит. Я мтгоксу пишу мол денег не получал. Тупой саппорт делает ещё одну транзакцию.

Во-первых что им мешает взять адрес отправителя, адрес получателя и посмотреть, сколько денег было отправлено? Ничего не мешает, адреса генерятся без проблем сколько надо, тупой саппорт на блокчейне хоть сейчас может проверять транзакции.

Во-вторых как вообще можно влезть между ими и майнерами я не представляю, если учитывать, что все крупные биткоин-игроки держат прямой коннект друг между другом.


UPDATE2: чтиво по теме

https://bitcointalk.org/index.php?topic=458129.msg5052671#msg5052671 блин, это не то, это по вопросу "как это на btce случилась сделка по $102"

http://www.cryptocoinsnews.com/2014/02/10/mt-gox-blames-bitcoin-core-developer-greg-maxwell-responds/
wizzard: (Default)
вот кто додумался для добавления НОВОГО payment method в аккаунт спрашивать CVV ИСТЕКШЕЙ карты, которая была в момент перевыпуска чинно уничтожена?
wizzard: (Default)
тут люди спустя восемь лет услышали, что можно удаленно включить комп, зайти в BIOS и очень-очень боятся.

народ! этому сто лет в обед, в 2005 году Интел делал массированную рекламную кампанию на эту тему, а в 2009 году я уже включал обычный купленный в магазине ноутбук знакомого через SMS посланную из вебморды на сайте Интела и дистанционно по 3G апдейтил ему BIOS.

включить комп по Wake on LAN так и вообще с 1997 можно, а обновить BIOS "из винды" я первый раз увидел в 2004, кажется.

прекрасный новый мир не то чтобы наступает, он уже ДАВНО наступил. что? снова надо переучиваться, перепривыкать и изменять модель угроз? ну извините.
wizzard: (Default)
1. Развернуть PKI
2. Осознать, что Root CA сертификат некоторым людям выдан вместе с приватным ключом
3. ???

aka "сегодня я узнал, почему рекомендуют в продакшене делать offline root ca + signing sub-ca"
wizzard: (Default)
Уважаемые маководы[-параноики]!

А вот может есть у кого гайд по тому, как правильно конфигурить современную OS X с прицелом на security?

Ну то есть ищется что-то в духе банальных советов для винды "апдейты включать, под админом не сидеть, эти порты открывать, эти не открывать, софт оттуда ставить, отсюда не ставить, вот эта хранилка паролей хорошая, эта дырявая, тут хистори утекает, там временные файлы хранятся", то-се.
wizzard: (Default)
а вы когда-нибудь задумывались, что обфускация кода в пределе эквивалентна гомоморфному шифрованию?

то-то мне исторически все время казалось, что в пейперах какие-то очень похожие концепции проскакивают...
wizzard: (Default)
"In reality, Apple's sensor has just a higher resolution compared to the sensors so far. So we only needed to ramp up the resolution of our fake", said the hacker with the nickname Starbug, who performed the critical experiments that led to the successful circumvention of the fingerprint locking. "As we have said now for more than years, fingerprints should not be used to secure anything. You leave them everywhere, and it is far too easy to make fake fingers out of lifted prints."

The iPhone TouchID defeat has been documented in a short video:



The method follows the steps outlined in this how-to with materials that can be found in almost every household: First, the fingerprint of the enroled user is photographed with 2400 dpi resolution. The resulting image is then cleaned up, inverted and laser printed with 1200 dpi onto transparent sheet with a thick toner setting. Finally, pink latex milk or white woodglue is smeared into the pattern created by the toner onto the transparent sheet. After it cures, the thin latex sheet is lifted from the sheet, breathed on to make it a tiny bit moist and then placed onto the sensor to unlock the phone. This process has been used with minor refinements and variations against the vast majority of fingerprint sensors on the market.


"We hope that this finally puts to rest the illusions people have about fingerprint biometrics. It is plain stupid to use something that you can´t change and that you leave everywhere every day as a security token", said Frank Rieger, spokesperson of the CCC. "The public should no longer be fooled by the biometrics industry with false security claims. Biometrics is fundamentally a technology designed for oppression and control, not for securing everyday device access." Fingerprint biometrics in passports has been introduced in many countries despite the fact that by this global roll-out no security gain can be shown.

iPhone users should avoid protecting sensitive data with their precious biometric fingerprint not only because it can be easily faked, as demonstrated by the CCC team. Also, you can easily be forced to unlock your phone against your will when being arrested. Forcing you to give up your (hopefully long) passcode is much harder under most jurisdictions than just casually swiping your phone over your handcuffed hands.

Source: http://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid
wizzard: (Default)
...aka "что удерживает меня от перехода с Microsoft'овского стэка на что-то другое"

Пост родился из продолжительной дискуссии с _sorcerer на тему "а чем NaCl хуже?", которая продолжилась в духе "но лучше ведь сделать нельзя", а чтобы не шерстить свои заметки по второму кругу - решил вынести ссылки из коммента в пост.

итак. http://www.cs.virginia.edu/~nrp3d/papers/computers_and_security-net-java.pdf старый, но актуальный обзор
http://www.onjava.com/pub/a/onjava/2004/01/28/javavsdotnet.html?page=4 а вот тут наглядно показана разница между подходами (в одном случае проверяется формальная модель, в другом - валидация отдана на откуп программисту, что и приводит к последствиям описанным в предыдущем обзоре)

http://research.microsoft.com/en-us/um/people/fournet/pwp/default.htm история поиска проблем в секьюрити-модели дотнета и разработки диагностических тулзов (понятно, что можно руками нарисовать на методе formatDisk, что его могут вызывать все, но это можно статически обнаружить, что в Джаве невозможно)

http://msdn.microsoft.com/en-us/magazine/ee677170.aspx к чему в итоге пришли (не стоит читать раньше других ссылок, т.к. будет непонятна терминология)

http://people.csail.mit.edu/jeanyang/papers/pldi117-yang.pdf расширение идей до целой ОС

читать по порядку, потом читать референсы, тоже по порядку. да, читать здесь МНОГО.

при этом у меня так и остался неотвеченный вопрос - почему кроме MS Research никто этим не занимается? ну или может занимается, так где же хотя бы пейперы?
wizzard: (Default)
Download (888 MB .zip) -> 2.72 GB .sql

Это не очень свежий слив, тот что был у Кребса в 2011:

За линку спасибо Малой Земле ([personal profile] malaya_zemlya, это ты или не ты?)
wizzard: (Default)
As you probably know, a digital signature is a virtual "seal" that proves that some message has originated from a particular person in possession of a private key.

Let's try to look at this "seal" from the information-theoretic perspective.

We want to reach 128-bit security, i.e. a random guess should have a 1 in 2^128 chance getting a signature right.

Then, the public key is an encoding of a trapdoor function which can map X 256-bit messages into some thumbprint, where there are 2^256 ways (or more) to construct this trapdoor.

so? )

Meanwhile, everybody knows SSL certificates arent 22 MB but only about 5-20 KB in length. Something just doesnt seem right.

So... anybody else still surprised why DSA, ECDSA, Winternitz, *MSS and other signature schemes allow Rob to compute the private key so easily if Sam does not rigorously follow restrictions of nonce, padding and so on?

This is also the reason I consider most signature schemes being insecure (as in, fundamentally susceptible to cryptanalysis, especially under the chosen-message attack)

references )
wizzard: (Default)
ultimate facepalm

https://twitter.com/Ivanlef0u/status/349315255312195584 ссылка, пароль, качайте %)

для тех кто не в курсе что это такое: http://habrahabr.ru/company/eset/blog/184576/ тут пояснение
wizzard: (Default)
disclaimer:
1. я читал НЕ ВСЕ эти дискуссии, только часть
2. я пока не знаю, с кем согласен (автором постов, комментаторами, еще кем-то)

Но почитать, безусловно, полезно.

http://arbat.livejournal.com/742397.html №1
http://arbat.livejournal.com/742520.html №2
http://arbat.livejournal.com/742735.html №3
http://arbat.livejournal.com/743058.html №4
http://arbat.livejournal.com/743289.html №5

Совершенно замечательное вскрытие взаимоисключающих параграфов в головах людей и их понимании (точнее, непонимании) правовых аспектов, логики и прочего такого ;)

http://arbat.livejournal.com/743289.html?thread=37215609#t37215609 вопрос ему задал ;)
UPD: получил неожиданно адекватный ответ. круто.
wizzard: (Default)
In many contexts it is quite hard to provide a hard guarantee about not repeating counters, eg can be hard to retain state eg javascript in different browsers on different machines for a roaming user, or in VMs that get rolled back, or disks that get recovered from backup. Also time is unreliable on user machines often. And sources of randomness can also be questionable in some browsers, VMs after rollback, and freshly imaged servers or VMs, or servers with no keyboard/mouse etc.

To have a crypto protocol which does not catastrophically break in event of a one in 100 chance per year of hardware boundary condition happening to your the compute environment is therefore a good idea. Or occasional failure to avoid reuse. There are more protocol fragility levels than "safe" and "broken". A third option is graceful degradation.

ie if you end up falling back to ECB of two different plaintexts for first cipher block of CBC barely hurts. Sending plaintext xors hurts alot.

Bear in mind disks as a rule of thumb fail at a rate of 1%/year and the hardware also similar (motherboard, memory, powersupply etc added together).
And when that happens a VM rollback or a disk replacement and backup recovery are likely to be the method of recovering. If your crypto is not tolerant to that environment you maybe have a problem. And its not outside of the realm of feasible that the attacker can externally influence the hw failure rate.

Similarly reusing k values in DSA/ECDSA is even more catastrophic, leaking the private key. (For DSA a counter-measure can be to generate k from MAC(secret, message) so that if the same message is signed, the same k value is used (which is obviously harmless as its the same serialization).

Adam Back <adam@cypherspace.org>
wizzard: (Default)
(это развернутый коммент о том, почему легко написать детектор любого одного вируса, но крайне сложно написать эффективный коммерческий антивирус)

Вообще, антивирус есть. Время от времени я снимаю с машин образы жестких дисков, выжидаю несколько суток, и сканирую эти образы на других машинах. Но вот реалтаймового сканера нет. Потому что он бесполезен.

Как обстоит ситуация сейчас?

1. Каждому юзеру раздается по уникальному бинарнику. Этот бинарник генерится на сервере, перебирая варианты в песочнице до тех пор пока оные не перестанут обнаруживаться, как вирусы.

Почему? потому что файлов на машине юзера миллионы, анализировать качественно - долго, а если анализ идет больше десятков секунд - вообще бессмысленно, ущерб от тормозов больше риска заражения. Поэтому все бихевьор анализаторы - очень круто, но перед ними становятся fast reject фильтры и вайтлисты, в которые вирусописатели и вписываются.

При полном скане, в общем-то, та же фигня, никто не будет ждать неделю.

Еще хуже с анализом того, что просто летит по проводам и до диска не всегда долетает (джаваскрипт например), если каждый скрипт будет тупить по 5 секунд - юзер обозлится и снесет антивирус.

2. Этот бинарник запускается (обычно через эксплоит какой-нибудь), сносит антивирусы, выключает апдейты, скачивает *другой* бинарник и тщательно вайпает себя. Высший пилотаж - не использовать вообще никаких временных файлов на диске в процессе работы.

Второй бинарник пишется куда-то в пустое место HDD и закапывает свой загрузчик куда-то пониже, вплоть до BIOS. После чего ставит драйвер, прячущий все это от антивируса, когда тот наконец-то смогут установить обратно, и затихает.

3. Цикл обновления антивирусных баз - 8..36 часов. Время разработки детектора поведения - недели.
Цикл апдейта бинарников после засветки сигнатур и обновления антвирусных баз - единицы...десятки минут, цикл существенного апдейта бихевьора - дни.

Я уже не говорю о том, что все приличные вирусы активно детектируют тулзы по анализу софта и начинают работать неверно, чтобы затруднить анализ.

Все, приплыли.

То, что пишут киддисы - обнаруживается, не вопрос. Только атака уже к тому моменту успешно произведена.

А целевые атаки, которые не попадают в сигнатуры и оттестированы руками, а не автоматическими сервисами за копейки - обнаруживаются спустя годы, если вообще обнаруживаются.

Да, от людей-в-теме (с обеих сторон) приветствуются комменты :)
wizzard: (Default)
Смотрите, вообщем, и учитесь - не надо нагибать ВСЕХ юзеров, надо нагибать отдельных.

Антивирусы блокируют все вирусы, имеющиеся в базе, сразу - быстрым перебором вариаций создается такой мутант, который уже не подходит ни под одну сигнатуру

Microsoft посещает все https ссылки, отправленные в Skype - вуаля, любой может спалить данный факт и проверить.

А вот если бы атаки делались прицельно - никто бы ничего не нашел еще лет 5-10, как нам успешно показали Stuxnet, Red October и т.д. и т.п.

Короче, как писал Шнайер, мы живем в интересный период - камеры уже здесь, но их пока еще видно. Пока.
wizzard: (Default)

All Your Skype Are Belong To Us

It's confirmed -- Skype is revealing traffic to Microsoft.

A reader informed heise Security that he had observed some unusual network traffic following a Skype instant messaging conversation. The server indicated a potential replay attack. It turned out that an IP address which traced back to Microsoft had accessed the HTTPS URLs previously transmitted over Skype. Heise Security then reproduced the events by sending two test HTTPS URLs, one containing login information and one pointing to a private cloud-based file-sharing service. A few hours after their Skype messages, they observed the following in the server log:

65.52.100.214 - - [30/Apr/2013:19:28:32 +0200]
"HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"

Utrace map
Zoom The access is coming from systems which clearly belong to Microsoft.
Source: Utrace They too had received visits to each of the HTTPS URLs transmitted over Skype from an IP address registered to Microsoft in Redmond. URLs pointing to encrypted web pages frequently contain unique session data or other confidential information. HTTP URLs, by contrast, were not accessed. In visiting these pages, Microsoft made use of both the login information and the specially created URL for a private cloud-based file-sharing service.

 

 

 

Now, the boys & girls at Heise are switched-on, unlike their counterparts on the eastern side of the pond. Notwithstanding, Adam Back of hashcash fame has confirmed the basics: URLs he sent to me over skype were picked up and probed by Microsoft.

What's going on? Microsoft commented:

In response to an enquiry from heise Security, Skype referred them to a passage from its data protection policy:

"Skype may use automated scanning within Instant Messages and SMS to (a) identify suspected spam and/or (b) identify URLs that have been previously flagged as spam, fraud, or phishing links."

A spokesman for the company confirmed that it scans messages to filter out spam and phishing websites.

 

Which means Microsoft can scan ALL messages to ANYONE. Which means they are likely fed into Echelon, either already, or just as soon as someone in the NSA calls in some favours. 10 minutes later they'll be realtimed to support, and from thence to datamining because they're pissed that google's beating the hell out of Microsoft on the Nasdaq.

Game over?

Or exaggeration? It's just fine and dandy as all the NSA are interested in is matching the URLs to jihadist websites. I don't care so much for the towelheads. But, from the manual of citizen control comes this warning:

First they came for the jihadists,
and I didn't speak out because I wasn't a jihadist.

Then they came for the cypherpunks,
and I didn't speak out because I wasn't a cypherpunks.

Then they came for the bloggers,
and I didn't speak out because I wasn't a blogger.

Then they came for me,
and there was no one left to speak for me.

 

 


Skype, game over.

Posted by iang at May 16, 2013 02:25 PMTrackBack 

Profile

wizzard: (Default)
wizzard

March 2017

S M T W T F S
    1234
567891011
12131415161718
19202122232425
262728293031 

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Mar. 1st, 2017 05:51 pm
Powered by Dreamwidth Studios