August 28th, 2009 от singu
От TrendMicro са публикували интересен анализ на нещо, което външно много прилича на естонска хостинг компания, но всъщност е само фасада на огромна машина за измами. В анализа има доста информация за комплексната измама – чрез помоща на бот, който пренасочва DNS заявките на жертвите към контролирани от фирмата сървъри, които пренасочват заявките към Google, Bing и Yahoo. Чрез сложна многослойна структура от сървъри заявките се пренасочват към истинските сървъри, след което се манипулират – подменят се реклами, манипулират се позиции и т.н. Операциите на компанията включват дори и фалшив антивирусен софтуер, както и собствен payment gateway ( а официалния собственик на компанията е осъждан за измами с кредитни карти ).
Интересно е как дадена криминална група се разраства като гъба, капитализирайки един успех и обхващайки все повече и повече дейности.
Powered by Zoundry Raven
August 27th, 2009 от singu
От Arbor са разпознали ботнет, чийто пастир използва twitter за да изпраща команди и линкове към подопечните. Това, което виждате на картинката са всъщност PKZIP архивирани URL адреси. На адресите се намира новата версия на поредния бот, който краде пароли и е-майли.
Поне лично според мен това е доста по-тъп начин за управление от да речем double-domain-flux, най-малкото защото лесно се разпознава ( не е смислен текст ), а и адреса трябва да е кодиран в самия бот – а това означава, че първият анализатор, захванал се по-сериозно с него, ще го види. Оттам нататък картинката е ясна – оплакване до twitter и последващо изтриване на акаунта – много по-бързо отколкото може да бъде изтрит домейн например.
Powered by Zoundry Raven
Technorati : twitter, ботнет
August 7th, 2009 от singu
AES или Advanced Encryption Standard е спецификацията, която измести DES и 3DES като стандартен метод за криптиране на информацията. Повечето банки и държавни организации по цял свят в момента го използват за всичко, което не е класифицирана информация, като по този начин AES става доста апетитна цел.
Bruce Schneier пише за нова криптоаналитична атака срещу алгоритъма, която успява да е по-ефективна от стандартния brute-force – конкретно AES-192 and AES-256 могат да бъдат разкриптирани само с 2176 and 2119 стъпки съответно, за разлика от AES-128, който е неподатлив към атаката и изисква 2128 стъпки за brute-force. Разбира се, въпреки драматичното подобрение, тази така продължава да е само теоретична, тъй като на практика би отнела изключително много време. В публикацията се обсъжка и “почти практична” атака срещу 10-циклов AES-256, която отнема само 270 стъпки. Такова количество итерации е постижимо ( макар и само за организации с трибуквени съкращения и неограничен бюджет ), макар че е атаката е срещу доста екзотична конфигурация на крипто алгоритъма. Изследването е дело на Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich и Adi Shamir и ни доближава с една стъпка, когато AES няма да бъде достатъчно надежден и ще бъде заменен със следващият “стандартен” алгоритъм. Това няма да се случи тази или следващите няколко години, но ще се случи неминуемо.
_________
August 6th, 2009 от singu
На BlackHat 2009 Andrea Barisani и Daniele Bianco обясниха защо имате нужда от TEMPEST компютри – в презентацията им ( достъпна от тук ) описва 2 атаки:
Първата успява да подслуша PS/2 клавиатура от десетки метра през захранващата мрежа, чрез анализ на характерната тактова честота на PS/2 ( доста скромните 10 до 16.7 kHz за съвременните стандарти ) и като се има в предвид, че в повечето клавиатури линията за данни не е изолирана от общата маса на системата, се получава т.нар crosstalk, при което сигналите от клавиатурата се пренасят като шум в общата маса, а оттам – и в захранващата мрежа. Като се използват референтна точка за да елиминират останалия шум, успешно може да се прехване натиснатият клавиш от над 60 метра. За отбелязване е, че USB клавиатурите използват напълно различен протокол за комуникация и са неподатливи на тази атака.
Втората описана атака е поредното подслушване на клавиатурата на лаптоп ( всъщност тези двамата стоят зад проекта на InversePath ) с помощта на отразен лазерен лъч. Новаторското в случая е статистическият анализ на отразеният сигнал – на базата на разпознаване на натискането на “интервал”, който е много характерен, поради големината на клавиша, изследователите успяват да различат големината да думите и оттам прилагат Dynamic Time Warping и статистически анализ и успяват да възстановят с голяма вероятност набрания на клавиатурата текст.
За повече информация препоръчвам да прегледате презентацията и публикацията.
August 5th, 2009 от singu
Помните ли нашият стар приятел Conficker ? Онзи същият червей, дето беше пощурил света с мистериозната дата 1 април 2009 г. и как на тази дата нищо не се случи ?
Conficker беше един от най-комплексните и хитри червеи, като успя да зарази около 3 милиона компютъра по цял свят ( оценките варират ). В момента, според работната група, опитваща се да спре червея, той е оставен на самотек – без командни и контролни сървъри, без нови версии и т.н. Дори и така, Conficker продължава да се разпространява и да заразява нови компютри, добавяйки ги към ботнета.
August 4th, 2009 от singu
milw0rm докладва за нова CSFR уязвимост в популярният фърмуер за рутери DD-WRT. Уязвимостта позволява отдалечен root достъп до устройството, което от своя страна означава, че атакуващия ще има пълен контрол над комуникацията на мрежата ви с останалия свят. Атаката работи, ако е разрешен web-интерфейсът за управление отвън и е от тип Cross-Site Request Forgery, т.е. външен сайт може да инжектира код в браузъра.
Решения на проблема:
1. Обновете си версията на DD-WRT – новият билд 12533 е защитен от тази атака.
2. можете да добавите ново правило на защитната стена на рутера от Administration->Commands въвеждате:
insmod ipt_webstr
ln -s /dev/null /tmp/exec.tmp
iptables -D INPUT -p tcp -m tcp -m webstr –url cgi-bin -j REJECT –reject-with tcp-reset
iptables -I INPUT -p tcp -m tcp -m webstr –url cgi-bin -j REJECT –reject-with tcp-reset
След което щракате на Save Firewall и рестартирате. NB: това работи, само ако ползвате HTTP за управление на рутера, ако сте пуснали HTTPS защитната стена няма да може да филтирира трафика и или трябва да спрете HTTPS или да се върнете на решение 1 и да обновите фърмуера.
Technorati : , dd-wrt
