hoaxer

Studenckie Koło Naukowe Informatyków KERNEL zaprasza w czwartek 5 stycznia na kolejny wykład z cyklu Linux — U mnie działa! Spotkanie poświęcone fenomenowi wyszukiwarki Google poprowadzi Piotr Konieczny.

Pierwsza cześć prelekcji przedstawi historię firmy i omówi wszystkie jej usługi, ukazując sposoby wyszukiwania informacji w serwisach należących do Google.

Drugą, praktyczną cześć zajmie w całości nauka szukania w internecie konkretnych informacji przy pomocy niestandardowych zapytań używających specjalnych operatorów i usług firmy Google (m.in. Google Groups, Maps, Orkut, Base etc.) — tzw. Google Hacking & Penetration Testing.

Prelegent ukaże także, jak wyszukiwarka Google może służyć pomocą przy atakach na usługi nie tylko *NIX-owych serwerów produkcyjnych ale również zwykłych domowych pecetów podpiętych do internetu, a w szczególności — jak się przed tym zjawiskiem bronić.

Dodatkowo omówiony zostanie również mechanizm „pozycjonowania” stron WWW czyli tzw. SEO.

Podczas wykładu przedstawione zostaną także wyróżniające się projekty stworzone przez osoby trzecie na podstawie narzędzi i APIs udostępnianych przez serwisy Google.

Spotkanie, jak zwykle, odbędzie się na wydziale Fizyki i Informatyki Stosowanej AGH w czwartek, o godzinie 19:00 w sali A pawilonu D10.
Po wykładzie rozlosowane zostaną upominki od organizacji, które w tym roku objęły patronat medialny nad cyklem. Do wygrania m.in. książka The Savvy Manager’s Guide Pawła Płaszczaka ufundowana przez firmę GridwiseTech.

Więcej szczegółów, jak zawsze, na stronie wykładów LUMD.
Serdecznie zapraszamy!

Update: Prezentację do wykładu można już ściągnąć ze strony Piotra Konieczny.

Na kolejnym spotkaniu organizowanym przez organizację SzLUUG zostanie poruszony temat dystrybucji linuksa o nazwie Crux.
Data: 2006-01-06 18:00
Miejsce: Wydział Elektryczny Politechniki Szczecińskiej, ul. Sikorskiego 37, sala 119.

Wawrzyniec Niewodniczański opowie o Cruksie, Linuksie ‚wagi lekkiej’. Wytłumaczy co rozumieją jego twórcy przez trzymanie się zasady „Keep it simple”. Spróbuje uczciwie przedstawić jego wady i zalety na tle bardziej znanych dystrybucji. Opowie także o projektach rozwijających się wokół Cruksa. Na koniec pokaże prostotę Cruksa w praktyce, tworząc pakiet na wykładzie. Więcej informacji na stronach SzLUUG.org.

W sieci pojawił się właśnie trojan, który podszywa się pod reklamy Google. Póki co, trojan nie ma jeszcze nazwy, ale skutecznie podmienia on prawdziwe reklamy serwowane przez Google AdSense na fałszywe.

Trojan, którego odkrywcą jest pewien Indyjski projektant stron www, został zaprojektowany tak, aby po zainfekowaniu komputera preparował reklamy do złudzenia przypominające te z programu Google AdSense.

Nieświadomy użytkownik przeglądający strony www będzie cały czas widział reklamy pochodzące z pseudo Google AdSense, ponieważ w rzeczywistości będą to pornograficzne reklamy serwowane przez trojana.

Obecność wirusa jest zauważalna m. in. poprzez nagminnie pojawiające się reklamy stron pornograficznych, które nijak pasują do treści przeglądanych stron (prawdziwe reklamy Google AdSense zawsze starają się „dopasować” tematycznie do witryn przeglądanych przez użytkownika).

Póki co nie stwierdzono, aby trojan ten zagrażał innemu programowi Google, mianowicie AdLink.

Oficjalna odpowiedź Google: „Potwierdzamy to, iż trojan taki w rzeczywistości istnieje. Podmienia on reklamy z programu AdSense na swoje własne”.
Źródło: The Register, Tech Shout!
Google się łata

Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code Execution Vulnerability. Tak opisany, wykryty dwa dni temu błąd formatu plików WMF w silniku renderingu grafiki Microsoft Windows sklasyfikowany został jako bardzo poważny. Podatność na specjalnie sformatowane pliki WMF przy atakach lokalnych i zdalnych (parsowanie pliku), daje atakującemu pełne prawa dostępu oraz możliwość dalszej penetracji systemu.

Każde uruchomienie instrukcji kodu wykonane jest z prawami użytkownika oglądającego spreparowany obraz. Atakujący uzyska prawa SYSTEM, w przypadku kiedy obraz otworzony zostanie przez użytkownika posiadającego prawa Administratora.

Przykładowy schemat ataku.

Kod strony HTML uruchamia WMF (Windows Meta File), który instaluje bazową wersję trojana. Nie pomoże nawet w pełni zaktualizowany Windows posiadający wszelkie Service Packs. Następnie ściągnięty zostaje Winhound, sfałszowany anty-spamowy/wirusowy program, który pyta się użytkownika o autoryzację i rejestrację oprogramowania, celem pozornego usunięcia znalezionych infekcji.

Internet Explorer automatycznie uruchomi program „Windows Picture and Fax Viewer”. W przeglądarce FireFox pojawi się okno z zapytaniem, czy użytkownik chce uruchomić program „Windows Picture and Fax Viewer”. W przypadku potwierdzenia – uruchomi się exploit. Z tego wniosek, iż używający IE w przeciwieństwie do FF nie mają praktycznie wpływu na obronę przez atakiem. Wystaczy otworzyć stronę internetową, na której znajduje się spreparowany WMF przeglądarką Internet Explorer lub przeglądnąć folder zawierający obrazki, używając Windows Explorer.

W niektórych przypadkach możliwa jest interwencja DEP (Data Execution Prevention). Niestety nie są jeszcze znane szczegóły dotyczące środowiska i schematu działania, w jakim DEP zareaguje. Z analiz przeprowadzonych przez F-Secure wynika, iż w ciągu ostatnich 24 godzin trzy różne rodzaje plików WMF zostały wykryte, celem wykorzystania błędu i próby dalszego rozprzestrzenienia się.

Błąd ten i kod exploita dostępny w sieci sklasyfikowany jest jako zero-day (0-day). Wiele firm oraz różnego rodzaju Instytucji zaniepokojonych jest sytuacją, w której publikacja exploita ma miejsce o wiele wcześniej niż wydanie przez vendors aktualizacji oraz łat. Szczególnie uważne powinny być osoby korzystające z Google Desktop, gdyż gigant indeksuje każde ściągnięte z sieci zdjęcie i automatycznie uruchomi exploit przy jego przeglądaniu.

Serwisy, które nie korzystają z parserów RSS – umieszczające newsy żywcem przepisane z Hacking.pl z innym źródłem informacji proszone są o podanie bazowego adresu jako jej źródła; a nie pośredniego, który i tak wskazuje na Hacking.pl.

Autor ataku typu DDoS na aukcję internetową eBay został skazany przed sądem w USA. Atak spowodował niezbyt duże szkody, wstępny szacunek to ok. 5,000 USD.

Anthony Scott Clark, lat 21, przyznał się do tego, iż współpracował z kilkoma ludźmi a zwieńczeniem tej współpracy było stworzenie sieci zombie liczącej ok. 20,000 komputerów.

Według Departamentu Sprawiedliwości, Scott przejął kontrolę nad tymi komputerami poprzez lukę, którą sam w 2003 roku odkrył w systemie Windows.

Po zainfekowaniu maszyny, komputer automatycznie łączył się z określonym serwerem IRC (chronionym hasłem) a następnie czekał na polecenia od swojego twórcy, Scotta. Jednym z poleceń było wykonać atak typu DDoS na aukcję internetową eBay.

Jeżeli sąd wymierzy najwyższą możliwą karę w takiej sytuacji, to Scott trafi do więzienia na okres 10 lat oraz będzie musiał zapłacić grzywnę w wysokości 250,000 USD !!
Źródło: The Register, Observer
Atak DDoS Japan.gov
Sieci botnet kradną poufne informacje
Zapadł wyrok za włamanie do telefonu Paris Hilton

Czas na podsumowanie, poprzez pryzmat bezpieczeństwa teleinformatycznego, kończącego się roku 2005. Przez ostatnie 12 miesięcy internetową domeną były coraz to wymyślniejsze wirusy oraz coraz to bardziej zaawansowane i zorganizowane grupy cyber-przestępców.
Wojna wirusów

Największą bolączką 2005 roku były wirusy oraz trojany ukierunkowane już na konkretne komercyjne cele (można dostrzec, iż „imprezy masowe” odchodzą na dalszy plan).

Mieliśmy także okazję obserwować istną plejadę wirusów. Najpierw zbierający swe żniwa Sober a następnie Zotob, który skutecznie uprzykrzał życie mediom.

W roku 2005 doszło także do wielu aresztowań, m. in. aresztowania w Turcji i Maroku (Zotob) oraz aresztowanie Svena Jaschan (twórca takich wirusów jak NetSky czy Sasser).

Oprogramowanie typu spyware, którego zadaniem jest śledzenie Naszych poczynań oraz odkrywanie Naszych „sieciowych zachowań”, osiągnęlo w tym roku rekordowe rozmiary (pomijając zyski ich twórców..)
Cyber-przestępczość

Rok 2005 zostanie także zapamiętany jako rok szybkiego rozwoju cyber-terroryzmu oraz grup, które zawodowo zajmują się przestępstwami komputerowymi na szeroką skalę.

W tym roku miał miejsce istnty zalew nowych „cyber-gangów” oraz „karteli”, których głównym źródłem dochodów była cyber-przestępczość.

Przypuszczalnie, w bierzącym roku światowe dochody z tytułu przestępstw komputerowych były wyższe niż dochody uzyskane ze światowej dystrybucji i sprzedaży narkotyków.

Dlatego też, najlepiej zorganizowane cyber-gangi zaczęto nazywać „kartelami”, które posiadają zaawansowaną miedzynarodową strukturę oraz wewnętrzną hierarchię, przy czym bardzo często są silnie powiązane ze „zwykłym” światem przestępczym.

Głośnym echem odbiła się także nieudana próba kradzieży 423mln USD z Japońskiego banku Sumitomo Mitsui (filia w Londynie).
Phishing

Jeżeli chodzi o phishing, stał się on o wiele bardziej skomplikowany, nie polega już tylko na tworzeniu stron złudnie przypominających strony prawdziwych banków czy też nie polega już na zwykłym preparowaniu podsyłanych linków. Phisherzy upatrzyli swoje nowe możliwości m. in. w serwerach DNS.

Najwięcej udanych ataków typu phishing odnotowano w Wielkiej Brytanii, Niemczech oraz Finlandii.
Wirusy mobilne

Rok 2005 przyniósł także niejako nowe zagrożenia: wirusy rozprzestrzeniające się za pomocą telefonów komórkowych. Mowa tu m.in o trojanie Skulls czy też wirusie CommWarrior.
Tak więc rok 2006 zapowaiada się naprawdę ciekawie i imponująco..
Źródło: The Register, Observer

Możliwość wygrania palmtopa została przedłużona do 27 grudnia 2005 roku! Dotychczas zgłosiło się 70 uczestników. Liczymy na wszystkich zainteresowanych tematyką bezpieczeństwa. Zarejestruj się już dzisiaj na konferencję CONFidence 2006.

Do zaszczytnego grona prelegentów dołączyła Joanna Rutkowska – występująca między innymi podczas Black Hat 2006! Czekamy na kolejne zgłoszenia.

Źródło informacji: Fundacja Wspierania Edukacji Informatycznej PROIDEA
CONFidence 2006

Jak co roku, redakcja Hacking.pl życzy radosnych Świąt Bożego Narodzenia, odpoczynku w rodzinnym gronie, spokoju i uśmiechu oraz pasma sukcesów i spełnienia wszelkich planów w nadchodzącym Nowym Roku.

Symantec odmawia dalszej sprzedaży LC5 (windowsowe narzędzie do łamania/nadzoru haseł, pierwotnie produkt należał do @state) dla kogokolwiek spoza USA lub Kanady.

Nowe restrykcje Symanteca źle rzutują na światowy przemysł kryptograficzny. Może się okazać, iż znów tak jak kiedyś, wszystkie silne algorytmy kryptograficzne bądź narzędzia z nich korzystające wynalezione w USA nie będą mogły opuszczać granic swojego kraju.

Dzięki łagodnej polityce Billa Clintona restrykcje te zostały zlikwidowane, aczkolwiek widać, iż Symantec dąży do ich ponownego wdrożenia.

Symantec twierdzi, iż LC5 jest własnością rządu USA, więc nie powinien opuszczać granic ojczystego kraju.
Unfortunately, due to strict US Government export regulations Symantec is only able to fulfill new LC5 orders or offer technical support directly with end-users located in the United States and commercial entities in Canada, provided all screening is successful.

Commodities, technology or software is subject to U.S. Dept. of Commerce, Bureau of Industry and Security control if exported or electronically transferred outside of the USA. Commodities, technology or software are controlled under ECCN 5A002.c.1, cryptanalytic.
Źródło: The Register, SlashDot
Zdalny heap overflow w Symantec Antyvirus Library
Kryptografia zagrożona