Pisałem kiedyś, że nie lubię zachowań specyficznych dla przeglądarki, między innymi w odniesieniu do document caching. Razem z pojawieniem się wersji 3.6 uległa zmianie obsługa tych nagłówków w Firefox.
Na blogu Security Research & Defense pojawił się ciekawy wpis: Reports of DEP being bypassed. Informacja, że jest możliwe stworzenie exploita, który zadziała pomimo włączenia DEP jest ciekawa, choć nie zaskakująca. Nie jest zaskakująca w tym sensie, że DEP jest kolejną linią obrony, ale nie 100%25 skuteczną. Dlatego jest uzupełniany choćby przez ASLR w Windows Vista i Windows 7.
We wspomnianym wpisie najciekawsza jest tabela, która pokazuje skutki podatności w zależności od wykorzystanej wersji przeglądarki i wykorzystanego systemu operacyjnego. Zwracam uwagę na skuteczność ASLR oraz ograniczenia skutków exploita poprzez protected mode.
Na początek zacytuję jeden z komentarzy, którego autorem jest XANi:
Najlepszym zabezpieczeniem jest nie podążanie za “podejrzanymi” linkami ;]. Ja od jakiegoś czasu mam skrypt który odpala mi przeglądarkę + WebScarab proxy pod innym userem właśnie do “oglądania” takich rzeczy. nie jest to zabezpieczenie idealne ale zawsze coś...
Fragmentem, na który chcę zwrócić uwagę jest ten, o podejrzanych linkach.
if ($bid) {
$query = 'SELECT * FROM news WHERE id=:id';
$params['id'] = $id;
}
else if ($btext && $btype){
$query = 'SELECT * FROM news WHERE title LIKE :text AND public=:type';
$params['text'] = $text;
$params['type'] = $type;
}
else if ($btype) {
$query = 'SELECT * FROM news WHERE public=:type';
$params['type'] = $type;
}
else if ($b_text) {
$query = 'SELECT * FROM news WHERE title LIKE \''.$text.'\'';
}
Tym razem zadanie jest dość “proste”, chodzi(ło) o odzyskanie utraconego pliku (JPEG), w którym zapisany był bardzo istotny numer konta. Namierzenie nagłówka pliku nie nastręczało wielu problemów, dość szybko jednak okazywało się, że plik jest zapisany w kilku fragmentach i... No właśnie, nie miałem cierpliwości “składać” tego pliku do kupy, choć zadanie to jest zdecydowanie łatwiejsze niż ewentualne odzyskiwanie kontenera TrueCrypt w przypadku podobnej awarii.
Mądrości ludowe mają to do siebie, że często rozmijają się z rzeczywistością. Jedna z takich mądrości, która wraca przy każdym błędzie w Internet Explorer jest “zalecenie”, by nie używać tej przeglądarki. Ja do korzystania z Internet Explorer nikogo zachęcać nie zamierzam, sam korzystam z Firefox. Nie podoba mi się natomiast przeświadczenie, że używanie innej niż Internet Explorer przeglądarki zapewnia bezpieczeństwo.
Taka straszna pandemia miała być. Tyle ofiar śmiertelnych. Wielka afera, że rząd nie kupił szczepionek i... Nic. Okazuje się, że teraz większy problem będą miały te kraje, które szczepionki kupiły i teraz im niewykorzystane (ach ci niedobrzy obywatele, szczepić się nie chcieli) zalegają... Zwycięskie będą media, które najpierw nakręcały panikę pod hasłem świńska grypa lub nowa grypa , a teraz będą mogły demaskować spiski złych koncernów farmaceutycznych. Ech...
Nie będę się rozpisywał na temat tego, jak Google zostało skutecznie zaatakowane przy pomocy nowego błędu w Internet Explorer (CVE-2010-0249). Jeśli ktoś ma ochotę poczytać na ten temat, może zrobić to na przykład tu: Techniczne szczegóły ataku na Google. Ja tylko jeszcze raz chciałem podkreślić, że napisanie absolutnie bezpiecznej przeglądarki jest praktycznie niemożliwe. Dlatego należy stosować tak wiele środków zaradczych, jak to jest tylko możliwe. Wówczas jest szansa, że skutki wykorzystania podatności będą ograniczone.
Po wczorajszym spotkaniu OWASP chciałem zwrócić uwagę na fragment wypowiedzi Piotra Łaskawca z prezentacji dotyczącej fuzzingu i fuzzerów. Powiedział on mniej więcej tyle, że w procesie tworzenia oprogramowania (konkretnie podczas jego testowania) firma, w której pracuje wykorzystuje fuzzing. Kluczowy fragment jest jednak inny. Wykorzystywane fuzzery są tworzone specjalnie pod testowane aplikacje , bo tworzone aplikacje są na tyle specyficzne, że “standardowe” fuzzery sobie z nimi nie radzą.