styczeń 2007

8 milionów koron, czyli blisko 4 miliony złotych zniknęło z internetowych kont klientów banku Nordea w Szwecji. Co dzień policja dostaje co najmniej jedno nowe zgłoszenie w sprawie.

Konta są odsłaniane włamywaczom za pomocą linków, przysyłanych jako element wiadomości e-mail od banku. Procedura kradzieży jest bardzo zaawansowana. Wykorzystuje specjalnie stworzonego wirusa, który potrafi dostosować się do sieci banku Nordea. Trojan uaktywnia się, gdy klient wpisuje kod osobisty, niezbędny, by cokolwiek załatwić. Wówczas dostaje fałszywą wiadomość e-mail, a w międzyczasie dane klienta są przesyłane do złodziei. Ci dokonują przelewu pieniędzy na swoje własne konta.

Oszuści są tylko pośrednikami w całym procederze. Część transakcji zatrzymują dla siebie, jako zapłatę. Reszta pieniędzy jest przesyłana do zorganizowanego gangu. Policja podejrzewa, że to on jest mózgiem całej operacji.

Funkcjonariusze sądzą, że procedura kradzieży zaczyna się w Rosji i jest dokonywana za pomocą amerykańskich serwerów. Dotychczas jednak nie udało się wytropić źródła. Jak dotychczas w Szwecji jest 125 osób podejrzanych o związki ze sprawą. Policja ma nadzieję, że będą oni stanowili trop, dzięki któremu uda się dojść do gangu.

Źródło: IAR, gazeta.pl

Firma Orange – jeden z trzech największych operatorów GSM, w ramach świadczonych usług zapewnia swoim klientom dostęp do konta email w domenie orange.pl. Wraz z kontem klient uzyskuje dostęp do organizatora on-line jak i systemu „Orange On-Line”. System ten umożliwia zarządzanie kontem abonenckim: zmianę parametrów świadczonych usług, podgląd faktur itp.
Serwis internetowy Orange podany jest na atak XSS, w wyniku którego po odebraniu przez stronę www odpowiednio spreparowanego maila, można przechwycić dane dotyczące nawiązanego połączenia co w finale umożliwia osobie atakującej nieautoryzowany dostęp do konta klienta. Bez dalszej autoryzacji uzyskujemy dostęp do sekcji:
konto email (wysyłanie, edycja, kasowanie wiadomości)
edycja profilu konta – sekcja umożliwia edycję parametrów poczty głosowej (powitań, opcji powiadamiania, pobudki itp.)
historia wysłanych przez bramkę sms’ów i mms’ów
historia odebranych przez bramkę sms’ów i mms’ów
zmiany hasła do konta i pytania przypominającego hasło
foldery – usługa pozwalające trzymać własne pliki na wirtualnym dysku
kalendarz
książka adresowej
notatki
Dodatkowo, wchodząc na stronę „Orange On-Line” możemy uzyskać informacje o numerze telefonu osoby atakowanej i usługach, które posiada zaktywowane na numerze telefonu.

Firma Orange została poinformowana o istniejących błędach.

Luki w systemie Orange znalazł Mariusz Dalewski – specjalista ds. security współpracujący z redakcją hacking.pl

Otrzymaliśmy już oficjalne stanowisko firmy Orange w sprawie wykrytych przez członków zespołu hacking.pl podatności systemu. Dzięki natychmiastowemu kontaktowi zespołu technicznego Orange z naszą redakcją, luki systemu zostały naprawione już po 2 godzinach od publikacji informacji w mediach.
Spółka PTK Centertel podjęła natychmiastowe działania mające na celu precyzyjne zidentyfikowanie i wyeliminowanie ewentualnego ryzyka naruszenia interesu klientów korzystających z usługi Multi Box.

W wyniku przeprowadzonej analizy okazało się, że szansa zaistnienia sytuacji naruszenia prywatności klientów jest znikoma. Trwają obecnie prace nad usunięciem wykrytych nieprawidłowości. Błąd zostanie usunięty jeszcze w dniu dzisiejszym.

Szybka i skuteczna reakcja miała miejsce dzięki współpracy z portalem hacking.pl za co serdecznie dziękujemy. W tym miejscu szczególnie chcieliśmy podziękować Redaktorowi Naczelnemu portalu hacking.pl Panu Rafałowi Pawlakowi oraz Panu Mariuszowi Dalewskiemu.
Marcin Gruszka
Biuro Prasowe Orange

W związku z informacją dot. włamania na serwer MON, na którym znajduje się m.in. strona internetowa Ministerstwa Obrony Narodowej www.mon.gov.pl uprzejmie informujemy, że w związku z niezadowalającym stanem informatyzacji Sił Zbrojnych RP, na polecenie ministra ON Radosława Sikorskiego został wykonany audyt systemów teleinformatycznych, a wnioski i potrzeby resortu zostały przedstawione kierownictwu MON i są w trakcie realizacji.
Jednocześnie informujemy, że nie jesteśmy jedynym serwisem, w którego systemie wykryto luki w zabezpieczeniu serwera. Świadczą o tym, ostatnie wydarzenia pokazane na przykładzie innych serwisów opisane także przez hacking.pl.

Pragniemy jednocześnie zaznaczyć i podkreślić, że na naszym serwerze publikowane są jedynie informacje jawne. Ponadto informujemy, że w chwili obecnej trwają prace nad podniesieniem bezpieczeństwa serwera MON mające na celu zabezpieczenie go przed podobnymi incydentami w przyszłości.

Wychodząc naprzeciw potrzebom w zakresie teleinformatyki w resorcie ON minister R. Sikorski z dniem 1 stycznia 2007 roku powołał do życia Departament Informatyki i Telekomunikacji MON.

Źródło: Ministerstwo Obrony Narodowej Rzeczypospolitej Polskiej

Internetowy serwis MON jest podatny na nieautoryzowaną publikację – to wynik analizy naszych specjalistów ds. security. Niezabezpieczone skrypty rządowego serwera dają dostęp do części wewnętrznych katalogów, możliwość tworzenia folderów wewnątrz systemu oraz zapisu plików w katalogach publicznych.

Odkrywcą luk w systemie Ministerstwa Obrony Narodowej jest Michał Słowik – członek zespołu hacking.pl. Umiejętne wykorzystanie tak poważnych podatności systemu – ograniczone jedynie wyobraźnią intruza – może być nieprzewidywalne w skutkach.

Fakt, iż istnieje możliwość wgrania pliku na serwer czyli w praktyce publikacji dowolnego tekstu hostowanego pod domeną mon.gov.pl (oraz niektórymi subdomenami) świadczy o wątpliwej polityce bezpieczeństwa serwera Ministerstwa Obrony Narodowej Rzeczypospolitej Polskiej.

Poniżej prezentujemy screen z plikiem informacyjnym pozostawionym przez naszą redakcje na ministerialnym serwerze.

MON

Z uwagi na wagę wykrytych podatności, do czasu naprawienia błędów przez osoby zarządzające serwerem obsługującym serwis mon.gov.pl, szczegółowe informacje związane z tą sprawą pozostają do wiadomości redakcji hacking.pl.

Zarząd grono.net informuje, iż w efekcie błędnej konfiguracji robota indeksującego w wyszukiwarce internetowej Google pojawiły się informacje z serwisu grono.net nie przeznaczone do indeksowania. Co istotne, poprzez Google dostępne były wyłącznie informacje, które są jawne dla wszystkich użytkowników grono.net. Dokładnie rodzaj wyświetlanych w Google informacji oraz przyczyny wyjaśniamy w załączonej informacji.

Zarząd firmy pragnie przeprosić użytkowników za zaistniałą sytuację. Pomimo, iż nie doszło do ujawnienia żadnych tajnych danych i bezpieczeństwo prywatności użytkowników nie było zagrożone, przyznajemy, że sytuacja ta nie powinna mieć miejsca.

Traktując kwestie bezpieczeństwa bardzo poważnie nie zlekceważyliśmy tej usterki. Zablokowaliśmy działanie wadliwego skryptu Google i na wszelki wypadek zwróciliśmy się o usunięcie w trybie ekspresowym z wyszukiwarki wszelkich informacji pochodzących z grono.net. Konsekwencją tej decyzji będzie czasowe całkowite zniknięcie serwisu grono.net z Google. W zaistniałej sytuacji zarząd grono.net uznał jednak, iż najważniejsze jest dobro i zaufanie użytkowników.

Raz jeszcze przepraszamy za ewentualne niedogodności.

Z poważaniem,
Zarząd grono.net
# # #

Co się stało?
W wyszukiwarce Google w wyniku błędu skryptu indeksującego znalazły się informacje o użytkownikach grono.net, które normalnie dostępne są dla innych użytkowników grono.net a nie dla wszystkich internautów. Są to informacje, które użytkownicy sami zdecydowali się uczynić publicznymi dla innych członków grono.net. Ani ich charakter, ani zakres nie powodował żadnego zagrożenia – np. uzyskania dostępu do poczty czy przejęcia konta użytkownika. Przyczyna usterki została przez grono.net usunięta. Zwróciliśmy się także do Google o usunięcie w trybie ekspresowym z wyszukiwarki wszystkich informacji pochodzących z grono.net.

Jakie dane znalazły się w Google?
Skrypt indeksujący Google Bot był zarejestrowany w serwisie grono.net jako zwykły użytkownik i miał dostęp wyłącznie do widocznych publicznie danych – tych samych do jaki dostęp mają wszyscy użytkownicy grono.net. Dostępne były więc dane, które sam użytkownik zdecydował się ujawnić innym uczestnikom grono.net. Nie znalazły się w Google zastrzeżone dane konta użytkownika, hasła itd. Nie zostały także ujawnione dane, które użytkownik uczynił dostępnymi np. wyłącznie znajomym. Google Bot nie indeksował także ukrytych gron, ani żadnych innych informacji, których członkowie społeczności grono.net nie chcieli ujawnić. Zindeksowane zostały więc wyłącznie informacje widoczne dla każdego z miliona użytkowników serwisu. W okresie współpracy reklamowej z systemem Google, skrypt zindeksował jedynie ok. 15% profili użytkowników grono.net.

Dlaczego tak się stało?
Pod koniec 2006 roku serwis grono.net nawiązał współpracę reklamową z wyszukiwarką Google. Na podstawie instrukcji dostarczonych przez Google uruchomiono specjalny skrypt indeksujący, mający na celu jak najlepsze dopasowanie wyświetlanych na stronach grono.net reklam do poszczególnych profili użytkowników i gron tematycznych. Celem działania systemu AdSense jest dostarczanie użytkownikowi wyłącznie reklam potencjalnie go interesujących. Skrypt indeksujący zadziałał wadliwie i umieścił w wyszukiwarce także strony nie przeznaczone dla wszystkich internautów a jedynie dla innych użytkowników grono.net.

Jakie działania podjęliśmy?
Po stwierdzeniu tej sytuacji zarząd grono.net podjął decyzję o zakończeniu opartej na systemie AdSense współpracy reklamowej z Google. Zwróciliśmy się także do Google o usunięcie wszystkich rekordów dotyczących grono.net z tej wyszukiwarki.

Jak ma się ta sytuacja do niedawnego ostrzeżenia przed atakiem XSS?
Są to dwie, niezależne od siebie sprawy. Kilka dni temu pojawiła się informacja o potencjalnej możliwości ataku XSS na serwis grono.net. Dzięki szybkiemu wykryciu i natychmiastowej likwidacji luki nie odnotowaliśmy żadnej próby ataku dokonanego przy użyciu tej metody. Nie pojawiły się także publicznie informacje, w jaki sposób tego typu atak można było przeprowadzić. Obecnie serwis grono.net jest więc całkowicie bezpieczny.

źrodlo: informacja prasowa

Prezentujemy nową odsłonę serwisu. Mamy nadzieję, ze nowy design okaże się czytelniejszy a przeglądanie informacji bardziej przyjazne. Kolejne moduły będą sukcesywnie dodawane.

Przerwa w działaniu hacking.pl była spowodowana atakiem na serwer obsługujący nasz serwis internetowy.

10 stycznia w godzinach wieczornych uzyskano nieautoryzowany dostęp do serwera hacking.pl. Zazwyczaj tego typu ataki skutkują jedynie podmianą strony głównej – to ogólnie przyjęta zasada.

W tym przypadku wandale wykasowali również wszystkie pliki oraz bazy danych robiąc z serwera swoistą tabula rase. Trudno zrozumieć tego typu zachowanie. Świadczy ono wyłącznie o niedojrzałości i frustracji osób próbujących w żenujący sposób zaprotestować przeciwko sprawom, o których nie mają najmniejszego pojęcia.

W dniach 20 i 21 lutego w Warszawie odbędzie się III Kongres Bezpieczeństwa Sieci, podczas którego odbędą się 3 równoległe konferencje: Firewall & VPN GigaCon, Network Security GigaCon, Secure Mail GigaCon. Wstęp bezpłatny!

Kongres odbędzie się w w hotelu Marriott w Warszawie pod hasłem:

BEZPIECZEŃSTWO = OSZCZĘDNOŚĆ.

Czy wiesz ile w sumie kosztuje Cię spam, przerwy w funkcjonowaniu sieci spowodowane wirusami czy też źle dobrane lub nieszczelne rozwiązania zabezpieczające? A ile warte są dane przechowywane w firmowych komputerach?

Inwestuj mądrze w bezpieczeństwo swojej sieci!

III Kongres Bezpieczeństwa Sieci ma na celu przedstawienie rozwiązań, które zapewnią ochronę przed zagrożeniami, jakie niesie ze sobą internet.

To bez wątpienia największe spotkanie branży bezpieczeństwa w Polsce.

Wykładom będzie towarzyszyć wystawa najnowszych rozwiązań i produktów z zakresu bezpieczeństwa sieci.

Podczas Kongresu swoje rozwiązania w zakresie bezpieczeństwa zaprezentuje między innymi Allegro.pl – największa w Polsce aukcja interenetowa.

Patronat honorowy objęła Konfederacja Pracodawców Polskich.

Hacking.pl objął patronat medialny nad tym wydarzeniem.
www.kongresbezpieczenstwa.org

Okazuje się, że rozszerzenie Adobe PDF dla przegladarek internetowych (instalowane zresztą razem z aplikacją Adobe) zawiera lukę pozwalającą na wykonanie dowolnego kodu JavaScript

O 16:40 na Cyber Cafe mBank Forum w odpowiedzi na liczne pytania klientów pojawiła się informacja od przedstawicieli banku.