Blog do Gian(.com.br)

Só pra situar: Ontem foi descoberta uma vulnerabilidade em uma máquina de café que possui um it para conexão à internet. Segue um e-mail (pós-vulnerabilidade) que explica “bem” a situação.

De: Craig Wright [mailto:Craig.Wright@bdo.com.au]
Enviada em: quarta-feira, 18 de junho de 2008 03:10
Para: security-basics@lists.securityfocus.com; bugtraq@securityfocus.com
Assunto: A more detailed description of the Jura F90 vulnerability.

The issue is a lack of input validation. OWASP would be a great learning exercise for the coders on this product. It seems to be assumed that only trust-worthy users will connect only to trust-worthy sites. I could not find any evidence of input validation.

Through the magic of Web Scarab and Paros proxy, one can capture the Internet communications used by the F90 Internet Connection Kit software. What you soon see is that the software does not account for either bypassing the local application and changing the input or in spoofed and re-directed sites.

The software does not validate the site it gets the information from nor does it sufficiently validate the input to the software.

At the moment as I think there are so few people as crazy as I am who actually have to have a gadget just as it is Internet connected; this is not likely to become a widespread attack vector.

The software is an oversized web proxy with other stuff to connect to the coffee machine thrown in. Jura did not make the assumption that an evil attacker could purposefully modify and publish “evil” coffee “recipes.

I have been taking the updated SANS@Home 610 course. I have a GREM, but Lenny and the other guys have added an additional component to the Reverse Engineering Malware Course. So I had to take it.

The course focuses on analysing and reversing malware, but IDA and Olly work on binaries of all types and the bad combination of a bottle of good resiling and 9 coffees after midnight is not a good combination. Hence I decided to attack my coffee maker and the control software.

There are certain aspects of code (like the ever faithful GETS() function) that should be beaten from existence. Others need to be securely configured such that all the required variable fields are entered correctly (see SPRINTF()). Unfortunately the coders at Jura did not consider that “bad people” would ever attack a coffee maker .

There are 2 main attacks that I have noted,

1 Loading a malicious setting or recipe into the device causing a “coffee overflow” etc.

2 More seriously, not validating the input correctly coupled with a lack of authorisation of the source and nothing to stop invalid data at the host means that malformed strings can be fed to the software that can either crash the system or if crafted correctly run a binary on the host.

So, as most people who check this list I no doubt know, not validating input is bad. Trusting the web as you have a piece of custom software that is closed source and a belief that users are all nice is bad.

Regards,

Craig Wright GSE-Compliance

PS for DMCA compliance reasons I would state that I was not reversing the software, but rather inputting unusual coffee recipes that had a strange binary flavour

Craig Wright

Manager, Risk Advisory Services

Direct : +61 2 9286 5497

Craig.Wright@bdo.com.au

+61 417 683 914

BDO Kendalls (NSW-VIC) Pty. Ltd.

Level 19, 2 Market Street Sydney NSW 2000

GPO BOX 2551 Sydney NSW 2001

Fax +61 2 9993 9497

http://www.bdo.com.au/

Via: http://www.info.abril.com.br/

O Google obedeceu a um pedido do Pentágono para remover algumas imagens online do Google Maps.
O Pentágono considerou algumas fotos uma ameaça à segurança de bases militares dos Estados Unidos, disseram funcionários da empresa e militares.
O general Gene Renuart, chefe do comando militar responsável por defesa nacional, afirmou que o Pentágono tinha conversado com o Google sobre os riscos e espera que a empresa coopere para remover imagens selecionadas do seu serviço Street View.
“Nós fomos contatados pelos militares”, afirmou o porta-voz do Google, Larry Yu. “Nessas instâncias onde eles expressaram preocupações com as imagens, nós atendemos aos pedidos.”
O Departamento de Defesa, que ainda estuda como tantas imagens estão disponíveis, também proibiu equipes do Google de tomar imagens de vídeo das bases.
Pelo fato de tantas imagens serem tomadas de ruas públicas, os militares podem não ter o direito legal de pedir a retirada de vídeos.
O Street View, um dispositivo do Google Maps, oferece visões de 360 graus ao nível do chão em 30 cidades dos Estados Unidos. Os internautas podem dirigir por uma rua, com sentido virtual, usando o mouse para ajustar a visão do cenário ao lado.

Nunca pensei que pudesse acontecer comigo. Sou um profissional que lida com segurança da informação há algum tempo e pensei que já tinha visto todo tipo de coisa mas, há alguns dias, cheguei em casa, fui para a sala como de costume, liguei o ar-condicionado, pois não vivo sem ele no verão e esse é o porquê de eu ficar na sala, e fui checar meus e-mails. Para minha grande supresa, pensei que tinha sido um dos felizes agraciados com um convite de um serviço beta do google de hospedagem, nada mais justo pois o google já tem o serviço de aplicativos e tenho certeza que eles vão seguir por esse caminho. Dei uma olhada no e-mail, o sender parecia ok, o link para cadastro parecia válido e afoitamente cliquei no lik que me levaria para a maravilha de hospedagem de graça. Cliquei o link, fui redirecionado para o site do google, onde coloquei meu usuário e senha e logo após fui redirecionado para um site onde não havia nada sobre o maravilhoso serviço anunciado. Pensei que pudesse ser alguma falha de redirecionamento ou coisa assim e resolvi olhar o código-fonte da página que me garantia o acesso ao serviço. Foi nessa hora que percebi que eu estava agindo como um patinho, a página mandava o meu usuário e senha para um script que retornava a página de login do google. Um usuário comum não perceberia nada, pois colocaria seu usuário e senha e entraria normalmente na página de serviços do google.
O grande problema é que eu fiquei bem chateado, pois não sei o que o script fazia, se conseguia pegar outros usuários e senhas, se varria cookies procurando por informações ou o que….
Antes de qualquer coisa, fechei o navegador do notebook, fui até o desktop que estava “limpo” e alterei todas as minhas senhas das páginas onde havia navegado recentemente (e não eram poucas), isto impediria que qualquer robô que tivesse pego minha senha pudesse fazer alguma coisa. Logo após, fui para o notebook, onde removi todo o profile e configurações do firefox (~/.mozilla/firefox/ no linux), iniciei uma nova sessão e instalei o google browser sync novamente a fim de restaurar meus bookmarks novamente. Instalei os plugins novamente e voilá, tudo estava funcionando e seguro de novo.
Qual foi a lição que eu aprendi com isso: e-mail malicioso é como chifre, você vai ter um pelo menos um vez na vida. Além disso, aprendi a ser menos apressado ao clicar em algum link que me ofereça alguma vantagem. Se eu tivesse reparado no mailer do e-mail, veria que tinha alguma coisa estranha e, quando reparei já tinha feito a mancada. Abaixo segue o screenshot do e-mail (com as partes não interessantes removidas, é óbvia):

PS.: Os links dos ads aqui não são maliciosos, só me ajudam com a hospedagem.