Posts by K.Rens

Opgelet: de test werkte bij mij niet op alle servers. Mogelijk is het geen perfecte test.

Desondanks raad ik toch aan om je bash te updaten!

Er werd een zeer zwaar beveiligingslek ontdekt in bash, die standaard in zowat alle Linux distributies zit.

Deze hack wordt geclassiffiseerd alszijnde 10 op het vlak van gevaar en 10 op het vlak van eenvoudig te gebruiken.
Hierdoor heeft hij een hogere classificatie dan de Heartbleed bug die eerder werd ontdekt.

Draai je een server, update bash dan meteen!

Hoe test je of je kwetsbaar bent?
Draai in terminal volgend commando:

env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test”

Er is een grote kans dat de code dan gewoon het commando uitvoert in plaats van een fout geeft.

Hoe update je je centOS server?

yum update bash

Hoe update je je debian, Ubuntu, redhat server?

apt-get upgrade bash

Hoe update je je Mac computer server?

Wacht op apple om dit te repareren... Installeer de update meteen zodra hij beschikbaar is.

Bash wordt voor verschillende applicaties gebruikt en veel programma's draaien het in de achtergrond. Het lek ontstaat doordat een aanvaller een kwaadaardig bestand aan een omgevingsvariabele kan toevoegen dat wordt uitgevoerd zodra de shell wordt aangeroepen.

Bij eerste testen was op dit moment maar 1 op 50 servers niet kwetsbaar!

Update: zelfs de laatste versie is niet veilig!

Voorbeeld code van de exploit:

[root@server home]# ls -l datetest
ls: cannot access datetest: No such file or directory
=> dit bestand bestaat niet


[root@server home]# env -i  X='() { (a)=>\' bash -c 'datetest'
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
=> Je krijgt netjes een foutmelding, maar...


[root@server home]# ls -l datetest
-rw-r--r-- 1 root root 0 Sep 25 13:51 datetest
=> Nu bestaat dit bestand opeens wel.

Je kan dus zelfs met de laatste versie nog steeds gehackt worden.
Het laat ook toe om dit bestand uit te voeren nadien.
Alle deuren staan open...

Ondanks dit, raden we je aan toch de laatste update te installeren en elke dag te kijken of er geen nieuwe versie van bash beschikbaar is. Indien beschikbaar: meteen updaten.
Update alles, van je servers, tot je nas, tot je routers, tot ...
Alles op linux!

Update 2:

Er is nu een nieuwe update beschikbaar voor bash.
Update je servers nogmaals!

Update 3:
En de serie gaat verder.
Ook de 2de beveiligingsupdate is niet volledig veilig.

Een extra kwetsbaarheid werd ontdekt door de Japanse beveiligingsonderzoeker Norihiro Tanaka.

Een aanvaller kan van een normaal Linux-commando, zoals 'cat' voor het
uitlezen van bestanden, een environment-variabele maken en daar code in
verstoppen.
Nadien kan deze dan in elke gevallen worden uitgevoerd.

Met dank aan @Superior voor het melden van dit nieuws.

Aangezien je niet kan booten vanaf USB zonder het bios aan te passen,
dien je eerst het BIOS te resetten.
Dit kun je doen door de jumper op het moederbord er uit te trekken en de batterij die erin zit eruit te trekken.

Na enkele minuten steek je de batterij er terug in en start je de computer op zonder jumper.
Zet hem na het laden van bios weer af en steek de jumper terug op zijn originele plaats.

Zo kun je je bios wachtwoord resetten mits het inderdaad een oude computer is.

Vanaf 5,99$/maand heb je onbeperkte ruimte en trafiek in Amerika.
Het enige nadeel is dat het gehost staat in Amerika, waardoor je een 4-tal seconden extra laadtijd mag rekenen bij het downloaden.

Bij het aanmelden geef je best als referral "gamecoll" op, dan krijg je van mij nog een deel van het geld terug dat ik krijg als referral.
Pro Web Hosting by StartLogic

Verder hebben ze ook een nog beter plan waarbij je onbeperkt backups hebt, kan handig zijn.
Vroeger gebruikte ik hun webhosting als backup voor mijn sites en dat werkte goed. Tegenwoordig zit ik op een echte backup provider.

Even een kleine herinnering: tot vanavond krijg je extra korting bij de aankoop van tickets.

Idd, lijkt me niet evident.
Maar mss meten ze gewoon of je hartslag niet stopt.
Als hij stopt, weet je dat iemand anders hem heeft gestolen of dat je hem bewust uit hebt gedaan.

Hun site:
Nymi

Geen idee hoe ze juist tellen.
Moeten we hun kleine lettertjes eens lezen.

Ik heb een partner site die ik gebruik om domeinnamen te registreren meteen als ze beschikbaar terug komen.
Kost me wel 80$ per domein, maar dat is het me waard.

Heb zo bv yourcrime.com kunnen kopen vroeger.

Om je extra te motiveren: als je er een grondige, goede blog over schrijft, geef ik je het dubbele aantal ITcoins ervoor.

Vanuit Antwerpen ben je er op 1,5 uur. Ik weet niet van waar je komt, maar is niet erg om iets later toe te komen hoor.

Ondertussen heb ik een bedrijf dat gevraagd heeft om een extra SEO presentatie te kunnen geven.
Ziet er goed uit, komt waarschijnlijk bij op het programma.

Ja, er zijn er een aantal die dacht ik al nadien nog een stapje willen gaan zetten.
Maar is niet verplicht.

Als het lukt, overweeg ik zelfs er een weekendje van te maken, maar hangt af van werkuren vriendin en of er iemand mee rijdt met mij of niet.

Ondertussen werden al meerdere tickets verkocht. Super!

Wow, veel sites.
Ik had gegokt dat het er al meer waren.

Ik vind het schande.
Hardware erin steken en dan het niet eens kunnen gebruiken...

Lang leve android.

Persoonlijk geloof ik meer in inloggen met je identiteitskaart.
Je hebt een private key en zonder je kaart kun je niet inloggen.

Zelfs al een database van een site wordt gehackt, kan men er nog steeds niets mee op andere diensten. Je hebt echt de identiteitskaart nodig.
Ik heb zo iets al eerder ontwikkeld en overwogen in te voeren:
Identiteitskaart uitlezen PHP + Java

Ondertussen zijn de eerste tickets de deur uit.

Rickvb was ons eerste VIP lid. Bedankt!
Hij heeft een gouden kleurtje gekregen, toegang tot enkele kortingscodes en een premium support forum.
Verder staan zijn bedrijfsgegevens nu ook in zijn profiel.

Omdat het toch steeds dichter komt, zouden we graag al een beeld willen hebben van wie er komt en hoeveel we moeten voorzien.
Daarom kun je nog tot zondag avond 21u tickets kopen aan de lage prijs van 2,9 euro (15% korting).
Daarna komt er een euro bij en stijgt de prijs naar 3,9 euro.
Naarmate het event dichter komt, zal de prijs nog stijgen.

Bedankt voor jullie begrip.

Gezien de vraag hierboven, lijkt het me zeker nuttig hier een grondig blog bericht over te schrijven.

Is nog eenvoudiger dan met een NFC ring in te loggen

Wacht ook niet te lang.
Op is op
We kunnen maar tot 3 lokalen vullen.

Verder werden de eerste kortingen toegevoegd voor ICTs VIP leden en werd ook het premium support forum aangemaakt.
We proberen een heel aantrekkelijk aanbod te maken voor de VIP leden.

Dus ook al kom je misschien niet naar het event zelf, dan nog is een VIP account en status zeker een aanrader.

Bovendien komen er ook een aantal niet IT'ers al zeker.
Gewoon mensen die NFC tags willen in actie zien,
die willen weten wat je kan doen met 3D printers of die een of meerdere van de technieken in de sessies willen weten.
Zo ken ik iemand die zeer waarschijnlijk komt om de SEO trucjes te leren.

Ik zal binnenkort eens kijken of ik het liken van eigen berichten niet gewoon kan uitschakelen.
Meer nieuws volgt.

Eventueel kun je kijken of je met iemand mee kan rijden?
Met de auto is het nog geen uurtje rijden, valt dus goed mee.