Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Elak kod » Kryptoblog

Archive for the ‘Elak kod’ category

Knäpp CAPTCHA

August 23rd, 2007

CAPTCHA - Completely Automated Public Turing test to tell Computers and Humans Apart, är samlingsnamnet på olika tekniker för att skydda webbplatser från program som agerar användare och exempelvis dränker nätforum med SPAM-postningar. Oftast utformas CAPTCHA:n som en bild som innehåller tecken som man som människa skall identifiera och skriva in i ett responsfält:

CAPTCHA-exempel

Naturligtvis pågår det ett upprustningskrig mellan de som utvecklar CAPTCHA-system och de som utvecklar program som tar sig förbi CAPTCHA-systemen. Resultatet är att SPAM-nissarna nu är med och driver utvecklingen inom bildseende, och att datorer i vissa fall ser ut att ha lättare än människor att använda webbplatser. I går sprang jag på ett skräckkabinett med CAPTCHAs som visar hur illa det blivit. Några exempel:

Braille-CAPTCHA
Braille-CAPTCHA

Antingen kan du inte läsa vad som står på skärmen, eller så kan du inte läsa vad som står på skärmen…

Matte-CAPTCHA
Matte-CAPTCHA
Det är jättelätt att logga in, lös bara ekvationen först.

Många möjligheters CAPTCHA
Många möjligheters CAPTCHA
Text gömd bakom text – får man välja vilken text skall man skriva in?

Och så här håller det på – den ena varianten hemskare än den andra. Och det tragikomiska är att det ändå inte hjälper. Speciellt inte som i det här fallet:
Säker CAPTCHA

Hoppsan, snyggt kodat! Krävs inte så mycket bildigenkänning för att hacka sig runt det systemet.

Microsofts bidrag till CAPTCHA-utvecklingen är Asirra – en husdjusbaserad lösning. I det här sammanhanget känns den både vettig och smart. Risken är väl att det slutar med LOL-Kitten-CAPTCHA… YES I CAN HAS LOGON, eller nåt.

RFID-baserad utslagningsattack mot pass-system

August 23rd, 2007

Wired har publicerat en (kort) artikel om den tyska säkerhetsforskaren Lukas Grunwald
Lukas Grunwald
Artikeln berättar att Lukas, som tidigare visat att han kan klona RFID-chip i pass nu utvecklat en RFID-baserad attack mot pass-systemen.

Enligt artikeln lagras bildinformation på RFID-chippet i passet i JPEG200-format. Datat i en JPEG200-bild är komprimerat med en aritmetisk kompressor. Lukas attack går ut på att konstruera en speciell, patalogisk JPEG2000-bild, som när den expanderas, sväller över alla bredder och spränger det minne som används för dekompressionen. En klassisk buffertöverskrivningsattack som resulterar i att RFID-läsaren (eller det bakomliggande pass-systemet) slås ut.

Lukas Grunewald hävdar att det faktum att RFID-läsaren slås ut innebär att RFID-läsaren går att injektera med elak kod, exempelvis för att få den att istället använda en gammal bild och därmed sätta säkerheten i ett pass-system med RFID-utrustade pass ur spel.

Jag håller inte med om att en buffertöverskrivning som leder till en utslagning automatiskt implicerar en möjlighet att injektera kod eller på annat sätt manipulera det attackerade systemet, och Wireds artikel är för kort och luddig för att dra några egentliga slutsatser om vad Lukas åstadkommer i det attackerade systemet.

Men, bara det faktum att det går att gravt påverka/slå ut de nya pass-systemen på detta sätt tycker jag är mycket intressant i sig. Jag tycker att detta visar, och här delar jag Lukas åsikt, är att inbyggda system i allt för liten grad implementeras utifrån en kravställning som tittar på IT-säkerhet och hantering av felfall. Precis som Lukas säger har man antagligen tagit ett standardbibliotek för JPEG200-hantering och sedan helt struntat i att övervaka bildexpansionen. Indata från externa källor, speciellt i ett publikt säkerhetssystem som ett pass-system är, skall betraktas som potentiellt fientlig och behandlas därefter.

Och, det viktigaste, så länge som beställarna/kravställarna av inbyggda system inte tar med krav på säkerhet i sina beställningar kommer de allra flesta konstruktörer (de som inte är IT-säkerhetsparanoida redan innan) att implementera för att uppfylla de funktionella kraven och minimera implementationen i den normala kostnadsjakten. Det är så inbyggda system konstruerats i årtionden, men det börjar bli hög tid att vakna upp. Buffertöverskrivningsattacker är ingen nyhet precis, och bara för att man bygger inbyggda system får man inte vara omedveten om dessa problem.

Tyvärr, inga nakna kändisar nu heller

August 6th, 2007

En artikel på EE Times varnar för att mail som utlovar nakenbilder på kändisar som Angelin Jolie tyvärr bara innehåller elak kod. Mer exakt innehåller mailet trojanen Dloadr-BCP.

Det mest intressanta med den här nyheten är troligen att Sophos har fått EE Times att nappa på sin varning, vilket snarast tyder på nyhetstorka. Att skicka ut elak kod med löften om fina bilder på kändisar är ju knappast en nyhet. Att den här typen av attacker fortfarande används visar mest hur enkelt och billigt det är att skicka massor med mail – marginalkostnaden är väsentligen noll.

Frågan man kan ställa sig är om någon fortfarande går på den här typen av försök… Tyvärr ger ju Didier Stevens försök med Is your PC virus free? – Get it infected here! en skrämmande bild av hur en del användare föhåller sig till IT-säkerhet…

Första attacken mot iPhone presenterad

July 23rd, 2007

(Tillbaka från en resa till ett Internetlöst Europa…)

Enligt en artikel i NY Times ser det ut som att den första fungerande attacken mot iPhone har presenterats. De som utvecklat attacken har även lagt upp en egen webbplats med mer information.
Hackad iPhone
Att döma av informationen på den webbplatsen är problemet att applikationer i telefonen, inklusive webbläsaren körs med administratörsrättigheter. Detta gör det möjligt att skriva elak kod som körs på telefonen då en användare surfar till en given webbplats. På webbplatsen ovan finns även ett dokument med information om säkerhetsmodellen i iPhone, ett dokument väl värt att läsa. Författarna skriver:


The security architecture of the iPhone can best be described as one of reducing the attack surface. This is accomplished by limiting the number of applications on the device and limiting the functionality of the existing applications. The device does not even contain common binaries such as bash, ssh, or even ls.

Unfortunately, once an iPhone application is breached by an attacker, very little prevents an attacker from obtaining complete control of the system. All the processes which handle network data run with the effective user id of 0, i.e. the superuser. This means that a compromise of any application gives the ability to run code in the context of that application which has the highest possible privilege level.

Hoppsan, undrar varför Apple såg det nödvändigt att göra på detta sätt…

Ännu en phisingattack mot en bank

April 26th, 2007

Den här phisingattacken dök up på Flickr:

Ok, antagligen ett skämt – jag tyckte iaf att det var väldigt roligt. Dock visar en postningBruce Schneiers blog att det inte behövs speciellt mycket mer än ett papper för att luras. Ett tips i postningen beskriver hur man tar sig in på Oscarsgalan:
Show up at the theater, dressed as a chef carrying a live lobster, looking really concerned.
Det värsta är dock inte att det med social ingenjörskonst (mao: att lura folk) går att få tag på inloggning till banker eller se på en massa filmstjärnor som festar. Nej det värsta är att dom som borde veta bättre gör det svårt för användarna att veta vad som är ett försök att luras och vad som är seriöst och riktigt. Följande lilla text är från ett mail på banken Chase Manhattan till sina kunder:
From: "Chase Business Banking"
Reply-to: <a class="moz-txt-link-abbreviated" href="mailto:ChaseBusinessBanking.XXXXXXXXXXX@reply.chase.com">ChaseBusinessBanking.XXXXXXXXXXX@reply.chase.com</a>
To: <a class="moz-txt-link-abbreviated" href="mailto:XXXXX@XXXXXXXX.XXX">XXXXX@XXXXXXXX.XXX</a>

Subject: Chase Business Customers, we need your help!
Date: Tue, 24 Apr 2007 XX:XX:XX -XXXX
We're working to better serve your business needs!
================================================
Dear Business Customer,  We're updating our records and need your help to
ensure we have thecmost up-to-date information about your business.
This is an important step in ensuring that we can continue to provide you
with timely and accurate information about your accounts.
Go here to answer a couple of questions about your business profile:
<a class="moz-txt-link-freetext" href="http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXX.XXXXXXXXX">http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXX.XXXXXXXXX</a>

It will take you less than 60 seconds, and then you're done!
And remember, the more we know your business, the better we
can serve your ever-changing needs.
Thanks for choosing Chase.
Sincerely,  Janet M. Hawkins
Chief Marketing Officer Business Banking
-----------------------------------------------------------------
E-mail Security Information
If you would like to learn more about e-mail security or want to
report a suspicious e-mail, click here:
<a class="moz-txt-link-freetext" href="http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXX">http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXX</a>
Note: If you are concerned about clicking links in this e-mail,
the Chase Online services mentioned above can be accessed
by typing <a class="moz-txt-link-abbreviated" href="http://www.chase.com/">www.chase.com</a> directly into your browser.
-----------------------------------------------------------------
(Gillar speciellt slutet om E-mail-säkerhet) Och sedan uppmanar bankerna sina kunder att se upp för phisingförsök via epost? Det är inte lätt att vara kund.

Intels nya instruktioner kan ge förbättrad säkerhet

February 25th, 2007

Intel har presenterat kommande utökningar av instruktionsuppsättningen för x86-processorer. De flesta nya instruktioner är kopplade till utökat stöd för vektorberäkningar. Streaming SIMD-extensions 4 (SSE4) innehåller i flera nya instruktioner avsedda att stödja 3D-acceleration och grafikspråk som CG. Så långt egentligen inget nytt, utan mer en evolution på tidigare instruktsutökningar.

Det intressanta är istället ett antal instruktioner avsedda att accelerera applikationer och då mer specifikt olika typer av mönstermatchning och integritetskontroll:

  • Fyra instruktioner för strängmatchning. Är en del av SSE4, dvs implementerade som SIMD-instruktioner. Ger stöd för acceleration av signaturmatchning, zlib-kompression m.m.

  • En instruktion för CRC-beräkning för acceleration av integritetskontroll på data.

  • En instruktion för att räkna antalet ettor i en datamäng. Ger stöd för att accelerera databasuppslagningar etc.

Som alltid måste applikationerna, och därmed kompilatorerna uppgraderas för att utnyttja dessa instruktioner. Men i en tid när scanning av virus, paketinspektion, signaturmatchning kräver allt mer resurser för att städa undan elak kod kan detta vara en steg framåt. För den som vill läsa mer finns ett PDF-dokument från Intel som beskriver utökningen.

Dator: Ladda elak kod!

February 12th, 2007

SANS har en artikel om en intressant, ljudbaserad attack mot Windows Vista. Attacken använder Vistas stöd för röstkommandon och går ut på att att från en webbplats tanka ner en ljudfil som spelas upp av datorn. Ljudet tolkas av Vista som röstkommandon från användaren, kommandon som då utförs. Låter det omöjligt? Enligt artikeln testades konceptet av George Ou med följande resultat:

I recorded a sound file that would engage speech command on Vista, then engaged the start button, and then I asked for the command prompt.  When I played back the sound file with the speakers turned up loud, it actually engaged the speech command system and fired up the start menu.  I had to try a few more times to get the audio recording quality high enough to get the exact commands I wanted but the shocking thing is that it worked!

Nu kanske detta inte är en så trovärdig attack – skall du exempelvis få datorn att ladda ner en trojan från en webbplats skall du bokstavera URL:en. Vidare borde användaren märka att datorn spelar upp en ljudfil med kommandon. Slutligen måste högtalarna vara på (och med rätt volym), det skall finnas en mikrofon inkopplad och slutligen skall stödet för röstkommandon vara påslaget i Vista. Microsoft ser iaf inte detta som en stor svaghet i Vista. Jag tror inte heller att detta kommer att vara ett stort problem – snarare visar detta att i ett komplext, modernt operativsystem finns många vägar att skicka in kommandon och göra oväntade saker.

Joanna Rutkowskas blog invisiblethings

February 11th, 2007

Jag har precis lagt till en länk till Joanna Rutkowskas blog invisiblethings. Joanna är en säkerhetsforskare som fokuserar på olika former av elak kod (malware).

Joanna blev känd förra året med sitt arbete med Blue Pill, en trojan som när den kommer in i ett system flyttar in hela systemet i en virtuell maskin. Därmed blir det oerhört svårt att från systemet detektera den elaka koden. Joanna har massor med andra intressanta idéer och tittar mycket på säkerheten i Windows, vilket gör hennes blog till en av de jag besöker regelbundet.

Honeynet för infrastruktur

February 11th, 2007

Digital Bond har utvecklat ett i mitt tycke mycket intressant verktyg för att övervaka industriell/teknisk IT-infrastruktur. SCADA Honeynet, där SCADA står för Supervisory Control And Data Acquisition är ett system med honungsfällor som gör det möjligt att övervaka och analysera attacker mot system för allt i från el- och vattenförsörjning till teknisk processindustri etc.

Noderna i SCADA Honeynet emulerar en PLC och kopplas in i ett befintligt PLC nätverk. Exempelvis ett sådant här nätverk:

Att attacker mot SCADA-system har blivit vanligare det vet man. Men vilken typ av attacker som sker, hur ofta de sker och på vilket sätt de sker är fortfarande i stort sett helt okänt. SCADA Honeynet är därför ett bra steg framåt. Vill du själv testa SCADA Honeynet finns det färdig installation att ladda ner för den som registrerar sig – och då får du även tillgång till resultat som samlats in så här långt. (Notera att det kostar 100 USD för att registrera sig.)

En bra RFC om DoS-attacker

January 11th, 2007
Jag skrev precis om RFC 4772. En annan intressant RFC som nyligen publicerats är RFC 4732 - Internet Denial-of-Service Considerations. RFC:ns sammanfattning lyder så här:
<tt>This document provides an overview of possible avenues for denial-
of-service (<a href="http://www.ddos-mitigation.org/"><tt class="sitelink">DoS</tt></a>) attack on Internet systems.  The aim is to encourage
protocol designers and network engineers towards designs that are
more robust.  We discuss partial solutions that reduce the
effectiveness of attacks, and how some solutions might inadvertently
open up alternative vulnerabilities.
</tt>
RFC:n beskriver hur överbelastningsattacker fungerar, vad i protokoll, applikationer och system som gör dom möjliga eller förvärrar problemet, hur mer avancerade distribuerade attacker och förstärkningseffekter kan uppkomma på Internet. Utifrån dessa beskrivningar övergår sedan RFC:n till att beskriva vad man skall tänka på vid design, implementation och konfiguration av protokoll, funktioner och applikationer. Jag tycker att detta är en RFC väl värd at ge några minuter, oavsett om man arbetar aktivt, eller bara är nyfiken.