Ads 468x60px

sunnuntai 17. kesäkuuta 2012

Osa 3 - Mobiilimaailman mielenkiintoiset linkit ja tapahtumat

Jatketaan vielä mielenkiintoisilla linkeillä ja tapahtumilla. Tällä kertaa mobiilimaailmasta


Apple releases iOS Security guide
Or - 71 page iOS5 hardening guide

IBM bans Siri

Inspired to make your own phone apps? - take the Canadian Mint Challenge

TigetBot - Android Malware

Facebook credentials on iOS

Android keylogger using the accelerometer!

Reverse engineering mobile apps

The Android reverse engineering VM. Mostly the same tools as Hacknet (KPMG:n sisäinen tapahtuma) mobile training - but the VM is updated from a git-repo

Secure server for UNROOTED Android phones

lauantai 16. kesäkuuta 2012

Osa 2 - kuukauden parhaat tietoturvatyökalut

Jatkoa aikaisemmalle postitukselle, jossa listattiin kuukauden parhaita tietoturvalinkkejä. Nyt vuorossa parhaat työkalulinkit:


First - for everyone at hacknet (KPMG:n sisäinen tapahtuma) - especially the Red Team - this would have been useful - Joomla security scanner

For anyone who has got their hands on a RaspberryPi, Pwnieexpress have released a set of tools to turn it into a pwnie

PHP encoder to obfuscate PHP files (eg c99, r57 – shells on http://sh3ll.org/)

Has anyone tried OpenVAS (Open Vulnerability Assessment System)?

Truecrypt brute force cracker

Powershell post-exploit scripts

Opensource GSM stack

Automating SQLmap with data from wapiti

Cell network security holes

Incase you missed it – NMAP6 is out

Quarkspwdump – windows password dumping. Not sure what is new compared to other tools – maybe just the bitlocker stuff

Anti-virus evade tool

HTTP tool for testing client software

Linux local-user account brute-force cracking tool

Ethernet packet generator (from pcap files)

Firewire hacking tool – vulnerability is old – but the tool is new

perjantai 15. kesäkuuta 2012

KPMG Tekee Pohjoismaista tietoturvatutkimusta “Maturity of Information Security”


Olemme tekemässä pohjoismaista tietoturvallisuuteen liittyvää tutkimusta. Tutkimusta koordinoi Ruotsin yhtiömme.  Osa blogin lukijoista saattaa saada kutsun kyseiseen tutkimukseen. Toivomme, että teillä olisi aikaa vastata kyselyyn. Tulemme luonnollisesti jakamaan tulokset kaikille vastaajille ja monelta osaltaan varmasti muillekin.
Mikäli et saa kutsua, mutta haluaisit osallistua, niin laita tästä tietoa allekirjoittaneelle.
”Kutsun teksti:
KPMG are conducting a joint research project with one of Sweden’s most prestigious Universities, the Royal Institute of Technology (KTH ) regarding maturity of information security. We hope that you have the possibility to complete the survey as your answers are of great value to our research. We are trying to balance the responders between both business sectors and company size.

The collected data will be kept strictly confidential and no specific company or organization will be presented in the results. The goal of the research is to compare business sectors from a maturity perspective and to identify key areas within information security that drives maturity. The survey takes approximately 15 minutes to complete and we hope to receive your response before the 21st of June.”

torstai 14. kesäkuuta 2012

Tietovuodot kuriin kepillä ja porkkanalla

EU:n tuleva tietosuoja-asetus tuo monia uudistuksia rekisterinpitäjän tiedon hallinnointiin ja velvollisuuksiin. Muutokset astuvat voimaan vasta muutaman vuoden kuluttua, mutta jotkut niistä vaativat perusrekisterinpitäjältäkin isomman jumpan, toimiin on siis syytä ryhtyä melko pian.
Yksi konkreettisimmista uusista säännöksistä koskee rekisterinpitäjän velvoitetta tiedottaa tietoturvaloukkauksista viranomaisille sekä tilanteen vaatiessa myös rekisteröidyille. Asetusluonnoksen mukaan rekisterinpitäjän ”on ilmoitettava tietovuodoista valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 24 tunnin kuluessa sen ilmitulosta”. Jos on perustelu syy olettaa, että tietovuoto vaarantaa myös rekisteröityjen yksityisyyden suojan, on vuodosta ilmoitettava myös kaikille rekisteröidyille ja ohjeistettava, miten rekisteröity voi itse toimia haittojen minimoimiseksi.
Ilmoitusvelvollisuutta rekisteröidyille ei synny siinä tapauksessa, että pystytään osoittamaan, etteivät henkilötiedot ole vaarassa, vaikka ne ovat joutuneet väärille teille.  Mikäli vuotaneet henkilötiedot on esim. suojattu vahvalla salauksella ja tämä pystytään näyttämään toten, ei ilmoitusvelvollisuutta rekisteröidyille ole.
Suuria tietovuotoja sattuu yhä useammin, viimeisimpänä LinkedIn-palvelun salasanahashien (mahtoikohan muitakin tietoja vuotaa?) vuoto. Lainsäätäjä reagoi tilanteeseen mm. koventamalla seuraamuksia, vakavimmissa tapauksissa rekisterinpitäjä voi saada jatkossa sakon, joka vastaa 2 %:ta yrityksen globaalista liikevaihdosta, keppiä siis tarjotaan.  Taloudelliset riskit kasvavat tämän johdosta, aiemminkin on yrityksiä mennyt konkurssiin tietovuotojen välittömistä tai välillisistä seurauksista.
Fiksu rekisterinpitäjä huolehtii tietoturvastaan, suunnittelee tietosuojatoimintonsa ja – kontrollinsa siten, että tietovuodon riski kyetään minimoimaan, sekä tiedottaa avoimesti politiikastaan. Porkkanana toimii taloudellisten, oikeudellisten ja maineriskien välttäminen, kuluttajien luottamuksen lisääntyminen sekä arvonnousu, jolla edellä kuvatulla tavalla toimivat palkitaan (ks. Laaksosen Mikan bloggaus Talouselämässä). Jos jotain silti tapahtuu, voidaan etukäteen suunnitellulla prosessilla ja avoimuudella minimoida tietovuodon toteuttamat riskit.

keskiviikko 13. kesäkuuta 2012

Kuukauden tekniset/pentest linkit


Tehdään välillä tällainen artikkeli, jossa listataan joitakin mielenkiintoisia linkkejä kuukauden ajalta. LIstan on käytännössä kerrännyt KPMG:n kansainvälinen Pentest-yhteisö, joten kiitos siitä.

Attacking traffic cameras

Using SSH proxies with MSF reverse payloads

List of all upcoming CTFs!

Nice trick – get users to download files from rogue site

Fun with sticky keys (Boot into the machine using a Linux CD/USB key)

FreePBX exploit – an exploit that calls you!

RSA SecureID soft token reversed

Windows executable walkthrough

The most important security solution in one word – guess the answer...

Ultimate vulnerability datasource

SCADA - forever day bugs

Anti-debugger reference

Anti-unpacker tricks

Anti dumping trick

Pwning a spammers keylogger - quite a cool write up

Delete things from the Internet

And Finally - the guy who google hackd himself

maanantai 11. kesäkuuta 2012

Vakava sisäänkirjautumisen ohitusmahdollisuus MySQL-tietokannassa

Kaikki MariaDB sekä MySQL-versiot 5.1.61, 5.2.11, 5.3.5, 5.5.22 sekä aikaisemmat, ovat haavoittuvaisia. Ohjelmointivirheen takia käyttäjän salasana hyväksytään 1/256 todennäköisyydellä ilman että se olisi oikein. Hyökkääjän tarvitsee tietää ainoastaan käytössä oleva käyttäjätunnus, esimerkiksi root.

MySQL on yleisesti käytetty avoimen lähdekoodin tietokantaohjelmisto, joka useimmiten toimii samassa lähiverkossa tai samalla palvelimella kuin web-sivut. Hyvien käytäntöjen mukaan suojatut MySQL-palvelimet eivät salli sisäänkirjautumisia internetistä päin, joka vähentää hyökkäysmahdollisuuksia merkittävästi. Toisinaan arkkitehtuureissa kuitenkin päädytään ratkaisuun, joissa MySQL-palvelin vastaanottaa kutsuja internetistä päin. Tällöin on syytä käyttää palvelinvarmenteita sekä rajoittaa kaikin keinoin IP-osoiteavaruutta, joista palvelimeen voidaan ottaa yhteyden.

Ongelma ei näytä koskevan kaikkia asennuksia, sillä itse en onnistunut toistamaan hyökkäystä testiympäristössä. Vaikuttaa siltä että käyttöjärjestelmän versiolla ja sen käyttämillä kirjastoilla on merkitystä. Tästä huolimatta haavoittuvuuden olemassaolo tarjoaa hyvän syyn käydä läpi tietokantapalvelimien asetukset siltä varalta, etteivät ne ole oletettua löysemmät.

Suosittelemme, että palvelimien asetuksista tarkastetaan ainakin seuraavat:
  1. Onko pääkäyttäjän salasana on vahva (ja se vaihdetaanko sitä säännöllisesti)?
  2. Onko pääkäyttäjän käyttäjätunnus henkilökohtainen vai yleiskäyttöinen?
  3. Onko sisäänkirjautuminen tietokantapalvelimelle estetty internetistä käsin (ellei se ole täysin välttämätöntä)?
  4. Koska tietokantapalvelimeen on viimeksi asennettu tietoturvapäivityksiä?
  5. Mistä tietokantapalvelimen lokitiedot löytyvät ja keräävätkö ne asianmukaisia lokitietoja?

Lähteet:
http://thehackernews.com/2012/06/cve-2012-2122-serious-mysql.html
http://tools.thehackernews.com/2012/06/cve-2012-2122-mysql-authentication.html
https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql

torstai 7. kesäkuuta 2012

Salasanojen turvallisempi hallinta

Jälleen kerran on suuri määrä salasanoja vuotanut verkkoon - tällä kertaa LinkedIn-palvelusta. Vuoto on poikkeuksellisen suuri, vuodetussa tiedostossa on yhteensä yli 6,4 miljoonaa tiivistettä. Vuotaja ei ole kuitenkaan julkaissut käyttäjätunnuksia eli käytännössä uhrien sähköpostiosoitteita. Ei liene kuitenkaan kovin villi arvaus, että myös tunnukset ovat alkuperäisen hyökkääjän käsissä.

KPMG:n kansainvälisten kontaktien mukaan erilaisia kalastelusähköposteja on myös lähetetty. Käytännössä niissä yritetään ohjata käyttäjä väärälle salasananvaihtosivulle. LinkedIn on kertonut lähettävänsä sähköpostia uhreille. Näissä aidoissa posteissa ei kuitenkaan ole linkkejä; ainoastaan ohjeet kuinka salasana vaihdetaan turvallisesti.

Näistä vuodoista olisi syytä oppia muutama tärkeä seikka. Ensimmäisenä peruskäyttäjille muutama vinkki:

  1. Käytä eri palveluihin eri salasanaa. Erityisesti kriittisiin paikkoihin ei saa käyttää samaa salasanaa. Näitä ovat esimerkiksi työsalasanasi ja oman sähköpostin salasana.
  2. Käytä laadukkaita salasanoja. Laadukas salasana voi olla joko riittävän pitkä merkkijono, jossa on pieniä ja isoja kirjaimia sekä numeroita tai erikoismerkkejä. Toinen vaihtoehto on tunnuslauseen käyttö.
  3. Mikäli käytät jotakin keskitettyä salasanojen hallintaratkaisua, huolehdi pääsalasanan turvallisuudesta erityisellä tarkkuudella.

Palvelun ylläpitäjän on luonnollisesti pidettävä huolta siitä, että palvelu on turvallinen eikä salasanatiivisteet vuoda. Vuodon varalta
  1. Käytä hyvää, tarkoitukseen sopivaa, tiivistealgoritmia. Tällaisia ovat esimerkiksi bcrypt ja PBKDF2. Älä käytä md5:sta tai SHA-1:stä, sillä niitä vastaan voi hyökätä helposti esilasketuilla tiivisteillä.
  2. Käytä aina suolausta salasanojen yhteydessä.
  3. Huolehdi palvelun tietoturvasta, jotteivat tiivisteet joudu vääriin käsiin :)

Vaihtoehtoja salasanojen tallentamiseen

Jos sinulla on vaikeuksia muistaa salasanoja niihin lukemattomiin palveluihin mihin olet kirjautunut. Ulkoista ongelmasi ja käytä ohjelmistoa salasanojen hallinnointiin.

Yksinkertaisin esimerkki tästä on salattua tekstitiedosto jossa on listattuna kaikki palvelusi, niiden tunnukset ja salasanat. Sinun tarvitsee muistaa vain tekstitiedoston salausavain. Tämä ei kuitenkaan ole kovin käytännöllistä ja usein ongelmaksi muodostuu, että salattu tekstitiedosto on jatkuvasti avoinna koneella. Tällöin esimerkiksi haittaohjelmat pääsevät siihen käsiksi.

Jos olet helppokäyttöisyyden ja turvallisuuden kannattaja, on suositeltavaa käyttää monipuolisempia työkaluja.
Esimerkkinä Lastpass-ohjelmisto joka integroituu selaimeesi ja kirjautuessasi palveluun sisään sinulle lähetetään salasanasi salattuna. Sinun salasanallasi puretaan salaus ja tämän jälkeen vieraillessasi esimerkiksi LinkedIn-sivustolla Lastpass täyttää tunnistautumiskentät puolestasi.

Viimeisenä bonuksena Lastpassiin on sisään rakennettu salasana-generaattori jolla voit tehdä helposti laadukkaita salasanoja.

Useimmat ohjelmistot ovat myös synkronoitavissa monelle koneelle ja alustalle. Näin voit käyttää samaa ratkaisua usealla työasemalla ja esimerkiksi älypuhelimessasi. Lastpass toteuttaa tämän pilvipalveluna. Mikäli Internet-yhteyttä ei ole saatavilla, on siinä myös paikallinen välimuisti.

Vastaavia vaihtoehtoja on monia, tässä muutama esimerkki:
1password
KeePass

Salasanojen tallentamisesta:
http://throwingfire.com/storing-passwords-securely/

-AnttiA & Tommi




LinkedIn salasanat vaihtoon – mutta ajatuksella!

LinkedIn-verkkoyhteisöpalvelusta on vuotanut eilen 6.6.2012 verkkoon noin 6,5 miljoonaa salasanatiivistettä. Kaiken kaikkiaan LinkedInissä on noin 161 miljoonaa käyttäjää, joten tässä vaiheessa vuoto koskettaa noin 4% LinkedInin käyttäjistä. Oma salasanani tiiviste ei ollut julkaistujen tiivisteiden listalla, mutta muutaman tutun tiiviste kuulemma löytyi. Näinpä vuodetttu lista vaikuttaa olevan oikeasti LinkedInistä peräisin.

Onneksemme tässä vaiheessa ei ole (ainakaan vielä) julkaistu varsinaisia salasana / käyttäjätunnuslistoja, vaan vain ja ainoastaan tiivisteet. Näin ollen vuodon aiheuttama riski on maltillisempi, kuin muutamassa aikaisemmassa tietovuodossa. Ja vaikka oman salasanan tiiviste olisikin julkaistulla tiivistelistalla, niin tämä ei automaattisesti tarkoita, että omalle tilille voitaisiin murtautua saman tien. Tiivisteestä täytyy ensin pystyä purkamaan jotenkin ulos varsinainen salasana.

Paniikkiin ei ole siis syytä, mutta oma salasana on syytä vaihtaa LinkedInissä.

Salasanaa vaihtaessa tulee varmistua, että se vaihdetaan varmasti aidolla LinkedIn-sivustolla. Netissä liikkuu jo huijausviestejä, joilla yritetään saada käyttäjiä vaihtamaan salasanansa huijaussivustolla.

Mitä siis muistaa itse ja (tarvittaessa) ohjeistaa omassa organisaatiossa:

  1. Älä panikoi.
  2. Älä vaihda salasanaa seuraamalla sähköpostiin tullutta linkkiä. Aito LinkedIn ei lähetä tällaista linkkiä.
  3. Vaihda salasana kirjautumalla LinkedIniin ja asettamalla uusi salasana Settings-sivulla.
  4. Jos et pysty kirjautumaan LinkedIniin sisään, niin salasanasi on voitu jäädyttää LinkedInin puolesta ja saat kaksi sähköpostiviestiä LinkedInin käyttäjätuesta. Nämä viestit sisältävät ohjeet, kuinka salasana tulee vaihtaa.
  5. Älä käytä samaa salasanaa useissa eri palveluissa.

Ja +1 kohtana: salasanat kannattaa vaihtaa säännöllisesti.

terveisin Antti