Convalesco

Τις τελευταίες εβδομάδες κυκλοφορούσαν φήμες για μια τρύπα ασφαλείας στο core του Apache η οποία μπορεί να δώσει πρόσβαση στον επιτιθέμενο στον διακομιστή που τρέχει το προβληματικό λογισμικό.
Ο Ιταλός Ubuntu Developer, Emanuele Gentili έκανε post τα logs μιας τέτοιας επίθεσης στην Ιταλική λίστα ασφαλείας Sikurezza.org.
Από τα σχόλια των χρηστών¹ διαβάζουμε ότι το exploit δεν έχει σχέση με κάποιο script ή κάποιο extension (python, perl, κλπ), αλλά με τον ίδιο τον Apache. Απόδειξη είναι ότι, ένα από τα μηχανήματα της Canonical Ltd. που έχουν πάρει πρόσβαση οι επιτιθέμενοι, υπήρχε μόνο η σελίδα “It works!” του Apache 2.8.8 .
Από τα logs μπορούμε να διακρίνουμε ότι, τα system calls μοιάζουν να έχουν γραφτεί για το FreeBSD. Οπότε οι υποθέσεις για την ώρα, είναι ότι πρόκειται για ένα κακογραμμένο mass-rootkit ή worm όπως το παλιότερο SSL-Too-Open που είχε κυριολεκτικά διαλύσει το μισό διαδίκτυο την εποχή που κυκλοφόρησε το worm.
Για την ώρα, καλύτερα να χρησιμοποιείτε το lighttpd ή κάποιο άλλο HTTPd server.
Αναμένουμε λεπτομέρειες, οι server της Canonical Ltd. τρέχουν σε full debug mode έτσι ώστε το security team να μπορέσει να κάνει debug τα request σε verbose mode. Δεν έχει γίνει επίσημη ανακοίνωση, δεν έχουν τεθεί σε κίνδυνο οι mirrors του Ubuntu από όσο γνωρίζουμε, ούτε καμιάς άλλης διανομής² οπότε δεν υπάρχει λόγος για πανικό, από τους χρήστες Ubuntu GNU/Linux. Απλά κατεβάστε τους servers γιατί δεν κυκλοφορεί patch, ή στην καλύτερη περίπτωση στήστε τον Apache σε chroot jail.
Για την ώρα δεν γνωρίζουμε αν ο Apache που τρέχει Windows2K/NT/XP είναι εκτεθειμένος σε αυτήν την επίθεση. Υπάρχει περίπτωση τα Windows να μην επηρεάζονται από αυτήν την επίθεση.

1. Η Sikurezza ml είναι μια από τις λίστες ασφαλείας με το υψηλότερο επίπεδο χρηστών. Μέλη της λίστας αποτελούν ιδρυτικά μέλη διάσημων security crews όπως: S0ft-project, Phrack Team, autistici, antifork, κλπ [↩]
2. Από όσο γνωρίζω τουλάχιστον. Σε προηγούμενη παρόμοια υπόθεση, οι servers με repositories των Debian & Gentoo είχαν υποστεί επιτυχημένη επίθεση αλλά ποτέ δεν μας έδωσαν λεπτομέρειες, ειδικά το Gentoo team… [↩]

Οι δημιουργοί του διάσημου εργαλείου δοκιμής ασύρματων δικτύων για GNU/Linux, aircrack-ng πριν από λίγες ημέρες σε μια διάλεξη, έκαναν μια επίδειξη επίθεσης στο κρυπτογραφημένο πρωτόκολλο επικοινωνίας WPA. Στην επίδειξη αλλά και στο έγγραφο που την αναλύει την επίθεση αναφέρονται αρχικά στο είδη εκτεθειμένο WEP. Η μέθοδος που χρησιμοποιούν και στις δύο περιπτώσεις είναι η ίδια.

Να σημειώσω ότι στο παράδειγμα τους, το WPA δεν έχει σπάσει στην ουσία, απλώς στην επίθεση αυτή, ο hacker, καταφέρνει να αποκρυπτογραφήσει μεμονωμένα πακέτα, μικρών διαστάσεων ARP, DNS. Θεωρητικά θα μπορούσε να γίνει ένα ARP Poisoning αλλά τίποτε παραπάνω.

Αντιθέτως το WEP σπάει με υπερβολική ευκολία. Οι καινούριοι τρόποι επίθεσης που περιγράφονται στο paper του Erik Tews παίρνουν σάρκα και οστά με το aircrack-ng πριν από λίγες ημέρες σε μια διάλεξη, έκαναν μια επίδειξη επίθεσης στο κρυπτογραφημένο πρωτόκολλο επικοινωνίας WPA. Στην επίδειξη αλλά και στο έγγραφο που την αναλύει την επίθεση αναφέρονται αρχικά στο είδη εκτεθειμένο WEP. Η μέθοδος που χρησιμοποιούν και στις δύο περιπτώσεις είναι η ίδια.

Οι Martin Vuagnoux και Sylvain Pasini απόδειξαν, με μια πρακτική εφαρμογή, πως μπορούμε να κάνουμε μια επίθεση στα ηλεκτρομαγνητικά κύματα που εκπέμπουν τα καινούρια πληκτρολόγια του εμπορίου. Τα περισσότερα USB πληκτρολόγια, που είναι αυτά τελευταίας τεχνολογίας, έχουν αυτό το “πρόβλημα”¹.

Το παραπάνω πείραμα δεν είναι κάτι καινούριο στον κόσμο της τεχνολογίας. Η ιδέα είναι πολύ παλιά, όμως, ακόμη και τώρα, θυμίζει κάτι από Mission Impossible

1. Κάτι παρόμοιο, γίνεται και με την ακτινοβολία από τις κάρτες RFID για κλοπή στοιχείων [↩]

Το Google έκανε release την έκδοση Beta του Chrome, του καινούριου browser που θα προσπαθήσει κι αυτός με την σειρά του να πάρει ένα μερίδιο της αγοράς.
Τι παραπάνω έχει το Chrome από τους IE, Firefox, Safari, Flock, Opera, κτλ; Καλύτερο integration με τα Google services. Για την ώρα τρέχει μόνο σε Windows Vista, νομίζω πως ακόμη δεν υπάρχει έκδοση για MacOSX & GNU/Linux. Οι πρώτες εντυπώσεις είναι θετικές, καθώς σύμφωνα με φήμες, είναι πάρα πολύ γρήγορος, χρησιμοποιώντας την τεχνολογία V8 του Lars Bak, η οποία αυξάνει σημαντικά την ταχύτητα σε εφαρμογές Javascript. Η τεχνολογία (γλώσσα θα έπρεπε να πω κανικά…) Javascript είναι ευρείας χρήσης στο διαδίκτυο. Εκτός αυτού, δείχνει να είναι όμορφος και σε αρμονία με τα Windows Vista, πράγμα σπάνιο…

Οι πρώτες ανησυχίες των πιο tech savvy χρηστών, είναι στο απόλυτο integration, με τις υπηρεσίες του Google και στην αποστολή στοιχείων, στο Google. Το πιο ανησυχητικό είναι το Unique Application Number, ένα μοναδικό νούμερο που θα δηλώνει ο browser που είναι εγκατεστημένος στο μηχάνημα μας, στο Google. Αν αυτό το νούμερο διασταυρωθεί με το gmail και το Google docs του χρήστη, καθώς και με την πιστωτική του κάρτα, τότε καταλαβαίνεται ότι το Google είναι ανά πάσα στιγμή σε θέση να γνωρίζει:

1) Το ονοματεπώνυμο και διεύθυνση σας (Από τα email κι από την πιστωτική σας - Google check out)

2) Οποιαδήποτε πληροφορία βρίσκεται στο email σας

3) Οποιαδήποτε πληροφορία βρίσκεται στο Google doc σας

4) Το ιστορικό των “search” pages. Αυτό να είστε σίγουροι ότι ακόμη κι αν έχετε επιλέξει “off” το κρατάει γερά φυλαγμένο γιατί από εκεί προέρχεται η δύναμη του.

5) Μέσω του Chrome οτιδήποτε βλέπεται στο διαδίκτυο, ανά πάσα στιγμή.

Θα μπορούσα να γράψω κι άλλα. Τα παραπάνω όμως είναι, κατά την γνώμη μου, τα σημαντικότερα. Γιατί γίνεται αυτό; Μήπως το Google συνεργάζεται με την Αμερικανική CIA, μήπως με την MPAA ή άλλες οργανώσεις που προσπαθούν να συλλέξουν στοιχεία για εμάς; Το δυνητικά μεγαλύτερο φακέλωμα του πλανήτη, μακράν μεγαλύτερο κι επικινδυνότερο από το Facebook, μπορεί να επέλθει, αλλά σίγουρα στόχος του Goole δεν είναι αυτός. Όπως και στόχος του Facebook δεν είναι οι χρήστες του να είναι δυσσαρεστημένοι. Μια εκστρατεία των Media θα μπορούσε να ισοπεδώσει αυτά τα δύο μεγαθήρια πιο εύκολα από όσο μπορούμε να φανταστούμε εκ πρώτης όψεως, στην τελική είναι “one click away” από το ηλεκτρονικό κατάστημα τους.

Ο στόχος για το Google, είναι να δημιουργήσει υπηρεσίες οι οποίες είναι όσο το δυνατών ευκολότερες για τον μέσο χρήστη. Για να το κάνει αυτό, αναγκαστικά πρέπει να έχει stored password, να γνωρίζει στοιχεί και προτιμήσεις. Η καλή πλευρά των πραγμάτων, είναι ότι μπορεί να μας δώσει τις πληροφορίες που θέλουμε με ταχύτερο και βελτιστοποιημένο τρόπο χωρίς καν να του το ζητήσουμε. Η κακή πλευρά, είναι ότι αποκτά γνώση η οποία μπορεί να χρησιμοποιηθεί κάποια στιγμή εναντίων μας. Οι πληροφορία είναι το πιο σημαντικό πράγμα. Το Google μπορεί να πιάσει το σφυγμό μεγάλου μέρους του πληθυσμού παγκοσμίως με μια απλή έρευνα. Δεν πιστεύω ότι αυτός είναι ο σκοπός του. Δεν έχει νόημα να παρακολουθεί τους χρήστες του 24 ώρες την ημέρα για να σας κάνει κακό… Γιατί να κάνει κάτι τέτοιο; Άλλωστε, όπως είπα, ο ανταγωνισμός είναι μεγάλος κι ένας χαρούμενος χρήστης δύσκολα να φύγει από το Google για το Yahoo! ή το MSN.

Ένα email μπορεί να γίνεις στόχος, κακόβουλων χρηστών, οπουδήποτε, αν σκεφτεί κάποιος την πορεία που διαγράφει το μήνυμα, για να φτάσει στον τελικό του παραλίπτη. Η κρυπτογράφηση είναι ζωτικής σημασίας και υπάρχει ακριβώς γι αυτόν τον λόγο, για να προστατεύει ευαίσθητα δεδομένα.

Εμείς σαν χρήστες, θέλουμε τον ανταγωνισμό. Είναι καλύτερα να υπάρχουν 7 προγράμματα (browsers) ανάμεσα στους οποίους μπορεί να διαλέξεις πάρα 2. Υπάρχει και το Chronium project, το οποίο είναι η open source, BSD licensed έκδοση του browser, για τους φανατικούς του open source.

Σήμερα, κατά λάθος, έπεσα σε ένα άρθρο του Διονύση το οποίο περιγράφει αναλυτικά, τον τρόπο με τον οποίο μπορούμε να κάνουμε exploit στο joy.gr αλλά και σε άλλους δικτυακούς τόπους, κοινωνικού ενδιαφέροντος, με μια τεχνική που ονομάζετε Cross Site Scripting (XSS).

Η τεχνική XSS γνώρισε μεγάλη διάδοση με την έκρηξη του web 2.0 και την κατασκευή σελίδων με δυναμικό περιεχόμενο τύπου Javascript οι οποίες εκτελούν σειρά εντολών (scripts) στον υπολογιστή μας αλλά και στο website στο οποίο φιλοξενούνται οι ιστοσελίδες, με αποτέλεσμα η τρύπα ασφαλείας να δίνει την δυνατότητα εκτέλεσης κώδικα στο απομακρυσμένο σύστημα, αλλά και στα συστήματα που θα συνδεθούν σε αυτό. Δεν θυμάμαι να έχω ξαναδεί από Έλληνα παρόμοιο άρθρο. Αξίζει συγχαρητήρια ο dionizyz :-).

Τέτοιου είδους τρύπες ασφαλείας, δεν θεωρούνται high level από τους περισσότερους hackers με αποτέλεσμα να προσβάλουν υποτιμητικά αυτούς που τις εκθέτουν, όπως ο Xenion (Michelle Dallachiesa) στην Sikurezza mailing list προ λίγον μηνών. Για να μην παρεξηγηθούμε, αναφέρω το συγκεκριμένο περιστατικό, γιατί είναι ενδεικτικό του πως αντιμετωπίζουν τέτοιες τρύπες ασφαλείας το μεγαλύτερο ποσοστό των ανθρώπων που ασχολούνται με την ασφάλεια υπολογιστικών συστημάτων από χόμπι, σε επίπεδο άνω του μετρίου. Δεν αναφέρομαι σε επαγγελματίες security experts.

Αν και δεν επέρχεται ο ίδιος βαθμός δυσκολίας με ένα kernel level exploit, οι συγκεκριμένες τρύπες ασφαλείας, που συνήθως προέρχονται από κακό σχεδιασμό, προκαλούν προβλήματα εκατομμυρίων σε εταιρίας και χρόνο με απώλεια δεδομένων στους χρήστες. Φανταστείτε τι θα μπορούσε να συμβεί εάν υπήρχε ένα τέτοιο πρόβλημα στους server της Google, όπου κρατάει αρχεία με έγγραφα (docs), πιστωτικές κάρτες (google checkout), email (gmail) κτλ. Πράγμα που σημαίνει ότι κάθε άλλο παρά αμελητέα μπορεί να θεωρηθούν τέτοια προβλήματα ασφαλείας.

There are many reasons, why we would like to have GnuPG installed in our systems, so I wont lose time explaining the “why” of this article!
First install MacPorts. Follow the documentation here. The BSD system is a very powerful tool for our MacOSX system. Then learn how to use ports.
Afterwards, try this:

libertad:~ atma$ port search gnupg
qca-gnupg                      devel/qca-gnupg 2.0.0-beta2  Qt Cryptographic Architecture - openssl plugin
gnupg                          mail/gnupg     1.4.9        GNU pretty-good-privacy package
gnupg12                        mail/gnupg12   1.2.7        GNU Privacy Guard
gnupg2                         mail/gnupg2    2.0.9        GNU pretty-good-privacy package
p5-gnupg-interface             perl/p5-gnupg-interface 0.33         Perl interface to GnuPG
py-gnupg                       python/py-gnupg 0.3.2        GnuPGInterface is a Python module to interface with GnuPG
py25-gnupg                     python/py25-gnupg 0.3.2        GnuPGInterface is a Python module to interface with GnuPG

Now, let’s install the GnuPG 2.0 version which is more secure and recent anyway:

libertad:~ atma$ sudo port install gnupg2
Password:
--->  Fetching bison
--->  Attempting to fetch bison-2.3.tar.bz2 from http://ftp.gnu.org/gnu/bison
--->  Verifying checksum(s) for bison
--->  Extracting bison
--->  Configuring bison
--->  Building bison with target all
[...]
--->  Building gnupg2 with target all
--->  Staging gnupg2 into destroot
--->  Installing gnupg2 2.0.9_0
--->  Activating gnupg2 2.0.9_0
--->  Cleaning gnupg2

Then just issue the command:

libertad:~ atma$ sudo ln -sf /opt/local/bin/gpg2 /opt/local/bin/gpg

done here!

What are we going to do now, is create our private key-pair. Just type:

libertad:~ atma$ which gpg
/opt/local/bin/gpg
gpg (GnuPG) 2.0.9; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Please select what kind of key you want:
        (1) DSA and Elgamal (default)
	(2) DSA (sign only)
        (5) RSA (sign only)
Your selection? 1
DSA keypair will have 1024 bits.
ELG keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
Requested keysize is 2048 bits
Please specify how long the key should be valid.
	0 = key does not expire
	  = key expires in n days
	w = key expires in n weeks
	m = key expires in n months
       y = key expires in n years
Key is valid for? (0) 2y
Key expires at Mon May 31 19:15:25 2010 EEST
Is this correct? (y/N) y

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) "

Real name: Panagiotis Atmatzidis
Email address: p.atmatzidis@panda-gr.com
Comment: atma
You selected this USER-ID:
	"Panagiotis Atmatzidis (atma)

"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key.

can't connect to `/Users/atma/.gnupg/S.gpg-agent': No such file or directory

We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.

gpg: key 6436970B marked as ultimately trusted
public and secret key created and signed.

gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   2  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 2u
gpg: next trustdb check due at 2009-11-20
pub   1024D/6436970B 2008-05-31 [expires: 2010-05-31]
Key fingerprint =
uid                  Panagiotis Atmatzidis (atma)


sub    [expires: 2010-05-31]

Your keys are ready. You can find in the directory $HOME/.gnupg/ . Your keys can be used to sign and most importantly encrypt files. We are going to
use it for messages but it’s not the only use. PGP can be used to files sign also when used from command line. The last version of Nautilus, the famous
GNOME file manager, supports on the fly encryption of files with the mouse right click on the file, using GnuPG keys.

To see your key and create a public.key file just type:

libertad:~ atma$ gpg --list-keys
libertad:~ atma$ gpg --export --armor  ~/Desktop/atma-key.asc

Now you can share your key with anyone! You can submit to the http://pgp.mit.edu server for others to find it easily!

In order to use our GPG with Mail me need to install GPGMail package.Note that there are multiple versions available. Choose the one that applies to your system MacOSX 10.4, 10.3 or 10.5. Just download the package and put the “GPGMail.mailbundle” in the $HOME/Library/Mail/Bundles directory. If the directory does not exist, you can created it manually.

More info on GnuPG command line usage can be found at dewinter’s page, there is of course the official documentation. Note that the GnuPG can handle other algorithms like IDEA, using external plugins. Hope this small & dirty guide was helpful for you too!

Then just open the Mail.app and go to Preferences -> PGP.

Πολλοί χρήστες Gmail ανά τον πλανήτη έχουν αναφέρει τελευταία ένα περίεργο συμβάν: Κάποιοι χρήστες λάβανε email από διευθύνσεις gmail φίλων. Έως εδώ δεν υπάρχει κάτι περίεργο. Είναι ένα κλασικό trojan. Το περίεργο είναι ότι οι χρήστες “θύματα” είναι χρήστες Mac και Linux, κι αναφέρουν ότι δεν έχουν παρατηρήσει “κάτι” περίεργο. Υπάρχουν ελάχιστα trojan για MacOSX και ακόμη λιγότερα για Linux. Είναι σίγουρα είναι πολύ δύσκολο να “ξεφύγει” κάτι από έναν μέσο χρήση Linux.

Δυστυχώς η κατάσταση φαίνεται να είναι πολύ χειρότερη. Το bug πρέπει να είναι στο εσωτερικό του Gmail. Οι χρήστες αναφέρουν ότι έκαναν χρήση του web interface. Υπάρχει μια υποψία, ίσως κάποιο trojan είναι τόσο καλογραμμένο ώστε να κλέβει τους κωδικούς του χρήστη από το Gtalk ή το Google Notifier. Πριν από λίγο καιρό είχε κυκλοφορήσει στο internet μια έρευνα για ένα πρόβλημα ασφαλείας στο Gmail, παρόλα αυτά μια επίθεση βασισμένη στο forwarding όπως αναφέρει το paper μοιάζει μάλλον ξεπερασμένη

Το πρόβλημα πρέπει να είναι σε επίπεδο χρήστη (HTTP), υπάρχουν πολλές αναφορές για το πρόβλημα, για την ώρα το Google δεν φαίνεται να έχει πάρει θέση. Το πρόβλημα για την ώρα παραμένει “καλά κρυμμένο” από ότι φαίνεται αλλά υπάρχει η υποψία κάποιου backdoor στο εσωτερικό των server του Gmail. Αν αυτό είναι αλήθεια, τότε ο spammer που το κατάφερε θα μπει στην ιστορία σίγουρα! Στόχος φαίνεται να είναι μόνο οι διευθύνσεις φίλων των θυμάτων, του Gmail. Αν στόχος δεν ήταν μόνο αυτός αλλά έψαχνε για στοιχεία στα email των χρηστών Gmail θα ήταν λίγο πιο τραγική η κατάσταση… Για την ώρα όλα αυτά παραμένουν υποθέσεις, το σίγουρο είναι ότι υπάρχει κάποιο πρόβλημα ασφαλείας στο Gmail και μοιάζει να είναι server side…

UPDATE: Πληροφορίες μπορείτε να διαβάσετε κι εδώ.