Beveiligingsonderzoeker Craig Heffner ontdekte na een zaterdagavondje hacken een backdoor in de firmware van een aantal D-Link routers. Hij was uit nieuwsgierigheid de webserver thttpd van de firmware aan het reverse engineeren en ontdekte dat er twee functies gebruikt werden om te controleren of de gebruiker ingelogd is: check_login en alpha_auth_check. Die laatste controleerde bijvoorbeeld of de bezoeker een publieke directory opvraagt en sloeg dan de normale loginfunctie over. Heffner ontdekte echter nog iets anders: als de user agent string van de webbrowser van de bezoeker gelijk was aan “xmlset_roodkcableoj28840ybtide”, werd de normale authenticatie ook overgeslagen. Lees je die tekst na ‘xmlset’ achterstevoren, dan geeft dat al een hint van de bedoeling: “editedby04882joelbackdoor”.

Eén van de werknemers van D-Link heeft dus een backdoor in de firmware gestopt. Blijkbaar zat die er wel om een technische reden in, want Heffners collega Travis Goodspeed vond ook een binary /bin/xmlsetc die http-aanvragen stuurde met die specifieke string als user agent string, om de configuratie van het apparaat te wijzigen. Blijkbaar was dat de gemakkelijkste manier om die tool te schrijven, omdat de webinterface toch al de code bevatte om die configuratie te wijzigen. Ondertussen kon echter iedereen die die user agent string kende, eveneens van de backdoor gebruikmaken. Je user agent string aanpassen is immers triviaal. Alle D-Link routers waarvan de webinterface publiek bereikbaar is (maar dat is sowieso een slecht idee) zijn dus kwetsbaar omdat je zonder authenticatie de beheerinterface in kunt. Niet lang na Heffners ontdekking circuleerde er al een exploit.

Overigens ontdekte Heffner ook een backdoor in de webserver van de W302R, een draadloze router van de Chinese producent Tenda. De server luistert blijkbaar naar poort 7329 op het LAN en laat toe om eender welk commando als root uit te voeren. En aangezien het onveilige WPS standaard ingeschakeld is zonder brute force rate limiting, kan iedereen in de buurt de WPS pincode kraken en op die manier via de backdoor een root shell op de router verkrijgen…

http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/

Google sponsort opensourcebeveiliging

Google had al zijn Vulnerability Reward Program waarmee het betaalde voor ontdekte bugs in zijn diensten en software. Daar komt nu iets nieuws bij: de zoekmachinegigant beloont nu ook wie de veiligheid verbetert van belangrijke third-party opensourcesoftware die kritiek is voor de gezondheid van internet. Google wilde echter verder gaan dan het belonen van bugrapporten, want daarvoor bestaan er al heel wat initiatieven. Daarom geven ze vanaf nu een beloning voor belangrijke verbeteringen in de veiligheid van software, zoals het inschakelen van ASLR (address space layout randomization), een veiliger geheugenallocator of het opkuisen van dubieuze code.

Initieel beperkt het programma zich tot verbeteringen aan kritieke netwerkdiensten (OpenSSH, Bind, ISC DHCP), kritieke parsers voor beeldformaten (linjpeg, libjpeg-turbo, libpng, giflib), de opensource funderingen van Chrome (Chromium en de renderengine Blink), bibliotheken met een hoge impact (OpenSSL en zlib) en kritieke componenten van de Linux-kernel. Binnenkort wordt het programma ook opengesteld voor populaire webservers, SMTP-servers enzovoort. Deelnemen is eenvoudig: eens je patch aanvaard is door de maintainers van het project waaraan je bijdraagt, stuur je de details naar Google, waarna bepaald wordt of je in aanmerking komt voor een beloning van 500 tot 3113,7 dollar.

https://www.google.com/about/appsecurity/patch-rewards/

Het internet gescand in drie minuten

Beveiligingsonderzoeker Robert Graham ontwikkelde Masscan, ‘s werelds snelste poortscanner. Zijn software verstuurt op een quadcore desktopcomputer met een dual-port 10 Gbps Ethernetkaart maar liefst 25 miljoen netwerkpakketjes per seconde, wat hem toelaat om het IPv4-adresbereik van het hele internet in nog geen drie minuten te scannen. Om die snelheid te bereiken, heeft Graham heel wat trucjes moeten uithalen. Aangezien de Linux-kernel niet geoptimaliseerd is voor dit scenario, heeft hij een driver geschreven die de pakketjes rechtstreeks naar de netwerkhardware stuurt zonder de kernel erbij te betrekken. Masscan maakt ook gebruik van een usermode tcp-stack en werkt op een asynchrone manier.

Ook Windows en OS X zijn ondersteund, maar op die platforms gaat de snelheid dramatisch omlaag naar zo’n 300.000 pakketjes per seconde. De reden? Enkel Linux laat blijkbaar toe om de kernel te omzeilen en rechtstreeks de netwerkhardware aan te spreken. Masscan ondersteunt veel van de commandline-opties van Nmap, dus wie die laatste scanner vaak gebruikt, kan onmiddellijk met Grahams software aan de slag. Aangezien Nmap synchroon werkt, ziet de uitvoer er echter wel wat anders uit: bij Nmap krijg je de resultaten per gescande computer, terwijl Masscan al bij elke gevonden open poort een resultaat toont. Uiteraard zullen de alarmbelletjes bij je internetprovider wel aan gaan als je plots zoveel netwerkverkeer genereert…

http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.html

En verder

Wil je een Android-smartphone waar veiligheid de prioriteit is, dan heb je volgend jaar misschien geluk. Het bedrijf QSAlpha belooft om in juni 2014 de Quasar IV Cipherphone uit te brengen, die versleutelde opslag gebruikt. De geheime sleutel voor de asymmetrische encryptie is versleuteld in de hardware. Onderzoekers van veiligheidsbedrijf RSA ontdekten het Trojaans paard ‘Hand of Thief’, dat als doelwit internetbankieren op Linux heeft. Uit een test door RSA bleek de malware echter niet goed te werken. En Kees Cook, een van de ontwikkelaars van Google Chrome OS, heeft twaalf kwetsbaarheden gevonden in hoe Linux omgaat met usb-apparaten. Sommige daarvan lieten aanvallers zelfs toe om willekeurige kwaadaardige code uit te voeren.