UberGeek

Dacă tot vorbeam de SIVECO, uite încă un articol interesant. Despre un portal (edu.ro) aparținând Ministerului Educației, creat de firma menționată mai sus:

http://hackersblog.org/2009/02/03/compromiterea-serverului-portaleduro-prin-lfi/

In aceasta dimineata o sa vorbim despre portalul edu.ro creat de SIVECO Romania S.A.

Acesta sufera de o vulnerabilitate de tip Local File Inclusion, adica, putem include orice fisier de pe server pentru a fi executat ca si php, limitati fiind numai de userul sub care ruleaza serverul de HTTP.

[...]

Astfel codul nostru php este executat si rezultatul dupa cum vedeti mai jos, full access asupra serverului(baze de date, fisiere cu informatii sensibile, etc.)

Dacă vă plictisiți, aveți acolo instrucțiuni pas cu pas despre cum se poate executa atacul (din fericire nu sunt atât de detaliate încât să le poată urma oricine – trebuie să știi un pic de PHP ). Informațiile sunt furnizate în scop educativ, și „nu ne asumăm nici o responsabilitate pentru eventuale pagube cauzate de folosirea acesteia de catre cititorii noștri”.

Credits go to LifeTester for this one

În ultima vreme, twitter pare să fie o țintă preferată a diverselor atacuri. După o serie de atacuri de tip phishing, un cont de administrator a fost spart printr-un (cât de poate de banal) dictionary attack.

De ce a reușit atacul? Simplu: număr de login-uri eșuate nelimitat, CAPTCHA lipsă la login, etc. Ce mi se pare absolut fascinant este că un site de torrenti sau warez cu câteva mii de utilizatori are întotdeauna elementele respective – în schimb un site cu milioane de useri nu.

Nu mai devreme de ieri scriam un lucru pe care îl spun de mult timp:

Și eu (ca și mulți alții) consider că soluția cea mai bună ar fi organizarea unei competiții de tipul celei organizate pentru algoritmii de criptare în 1997 (competiție în urma căreia a apărut AES-ul).

Ei bine, iată că se întâmplă! Se pare că eram în urmă cu știrile – deja există așa ceva!

Concursul este deja deschis, și s-au primit 64 de propuneri. Cel mai probabil vom avea un standard undeva prin 2012. Not a moment too soon, aș putea spune

Detalii aici (wired.com), aici (schneier.com), sau aici (cio.com).

Urmăresc de ceva vreme progresul făcut în direcția „spargerii” algoritmului MD5. Și nu o dată m-am contrazis cu oamenii care susțineau că a fost deja spart. De ce? Pentru că „posibilitatea găsirii unor coliziuni random” nu echivalează cu „posibilitatea găsirii unor coliziuni pentru un text dat”, sau (și mai important) cu „posibilitatea realizării unui atac pe baza acestor coliziuni”.

Ei bine, iată că a fost făcut și acest ultim pas. Astăzi a fost anunțat ceea ce este (din câte știu eu) primul atac „real-world” bazat pe vulnerabilitățile MD5. Un grup de cercetători au reușit să obțină un certificat „fals”, care apare în browsere ca fiind emis de un CA comercial. Ca urmare, certificatul este recunoscut și acceptat ca valid de către browser-ele web.

Mai mult – certificatul emis este un certificat de CA intermediar. Ca urmare, toate certificatele semnate ulterior folosind acest certificat vor fi recunoscute și acceptate ca valide de către browsere!

Da, cercetarea nu s-a bazat numai pe vulnerabilitățile MD5-ului. S-a bazat și pe anumite vulnerabilități din implementarea CA-ului (numere de secvență liniare, moment predictibil al emiterii certificatului, path length lipsă în CA-ul root, etc). Totuși, faptul că atacul a reușit (timpul necesar pentru calcul fiind de numai câteva zile!!) înseamnă că într-adevăr perioada de utilitate a MD5-ului s-a terminat.

Aș spune că este momentul să ne căutăm alți algoritmi de hashing, dar…. nu prea avem alternative. SHA-1 este mai secure, dar și el are o serie de vulnerabilități (nu de aceeași anvergură, dar vulnerabilități nevertheless). Ca urmare, și el va trebui înlocuit până în 2010 (recomandare NIST).

Cu ce? Încă nu știm. Și eu (ca și mulți alții) consider că soluția cea mai bună ar fi organizarea unei competiții de tipul celei organizate pentru algoritmii de criptare în 1997 (competiție în urma căreia a apărut AES-ul).

Detaliile despre atac le găsiți aici. Credits go to LifeTester, care se pare că în loc să se gândească la anul nou stă și citește despre MD5 pe ‘Net.

Se pare că memoriile DRAM pe care le folosim (aproape) cu toții nu își pierd conținutul imediat ce nu mai sunt alimentate. Și niște băieți deștepți și-au dat seama că astfel se pot ocoli multe scheme de criptare

După cum spun și cei de pe slashdot – în momentul în care atacatorul are acces fizic la o mașină, datele de pe mașină sunt practic întotdeauna compromise. Indiferent ce super sisteme de securitate software sunt instalate pe ea.