November 26th, 2009 от singu
От рано си признавам, че Symantec не ги харесвам като компания и малко злорадо споделям следната новина:
Румънския хакер Unu ( сивошапков, според собствената си дефиниця ) е открил Blind SQL Injection уязвимост на един от сайтовете, собственост на Symantec – pcd.symantec.com, обслужващ продукт на име PC Doctor за Корейския и Японския пазари.
В пост в своя блог Unu публикува серия от скрийншоти, демостриращи достъпът му до потребителски имена, пароли ( съхранявани в чист текст в базата ! ), администратори, лични данни на потребители ( включително кредитни карти ) и продуктови ключове. Компрометираната машина е работила с Windows 2000 Server, MS IIS 6.0 и MS SQL Server 2002. Новината е потвърдена от Symantec, които работят по отстраняване на дупката.
Unu твърди, че не е компрометирал никакви данни от засегнатия сървър и вече е изпратил цялата информация, с която разполага. Същият хакер беше счупил сайта на Kaspersky в началото на годината.
Powered by Zoundry Raven
Technorati : sql injection, новини
November 26th, 2009 от singu
Наскоро се натресох на блога на наш, роден самопровъзгласил се “хакер”. Интересно е паралела с предлаганите “услуги” и цените им в сравнение с информацията, която вече съм публикувал за руските банди.
Например нашите предлагат 24 хил. български мейл адреса за $79, като за плащане се използва paypal ( глупаво, лесно се проследява ) или 200-300 хиляди адреса, като цената е отворена за пазарлък. В друг пост, явно като зарибяване пък се предлагат готови phishing сайтове, за да могат script-kidie-тата да натворят максимално количество простотии и без да се усетят да вземат да понарушат някой и друг закон…
От другата страна пък явно се наблюдава активно търсене – ето този идиот е пуснал обява във форума на data.bg:
Както е казал народа – хвани единия, та удари другия, ама май при тези няма да е само един удар.
November 25th, 2009 от singu
Поредната нова интересна услуга. Shodan е търсачка в база данни от nmap сканирани хостове ( засега само портове 21, 22, 23 и 80 ).
Можете да търсите по ключови думи или да ползвате по-хитри фокуси:
- country:2-letter country code
- hostname:full or partial host name
- net:IP range using CIDR notation (ex: 18.7.7.0/24 )
- port:21, 22, 23 or 80
Тъй като базата тепърва ще се разраства ( в момента в България има едва 12 хиляди сканирани хоста) и ще се добавят още портове, мисля, че това ще се превърне в един приятен инструмент за предварително разузнаване.
November 25th, 2009 от singu
Със snowblind се означава атака, насочена срещу IDS или мониторинг система по принцип, като се претоварва самата наблюдаваща система, в резултат на което действителната атака остава незабелязана. Обикновено се търсят начини подобно “заслепяване” да бъде направено без това да причини задръстване на комуникационния канал на целта. Типичен пример е, ако имаме IDS/IPS настроен да логва пълните пакети на диска ( и разбира се знаем кои точно пакети се логват ), лесно може да генерираме достатъчно трафик, който да претовари дисковата подсистема ( особено ако разполагаме с 1 Gb връзка ), но все пак мрежата ще има достатъчно свободен ресурс да пренесе и реалната атака.
Та експерти от Пенсилванския университет са анализирали американският ANSI Standard J-STD-025, който описва как прехваната информация се препраща от доставчика на услуга към силовото министерство/заинтересувана държавна организация ( да, това е същият този “пасивен интерфейс”, за който говори Делян ). Откритието е, че комуникационните канали са дефинирани доста тесни – 64 кб/с ( което за 90-те, когато е писан стандарта си е било ехееее ) и лесно могат да бъдат претоварени като се генерирарат например множество едновременни VoIP обаждания или SMS, като по този начин се прикрива истинският трафик на наблюдаваният потребител. Разбира се, подобен фокус определено не е незабележим и най-вероятно ще последват други “репресивни действия”, но все пак е начин да прекарате системата. Интересно дали в България ще се опитат да използват нещо подобно на този стандарт, което е също така податливо…
За повече информация – ето публикацията.
Technorati : подслушване
November 24th, 2009 от singu
Интересна безплатна услуга се е появила: https://norbt.com/ ви предлага да запишете кратко тайно съобщение ( наречено norbt, съкращение на no robot ), което се криптира локално на вашия компютър и се съхранява онлайн от сайта на услугата. Съобщението ( което може да съдържа e-mail адрес, парола, но не и файл ) е достъпно само за този, който знае адреса и отговора на тайния въпрос. Ако искате да се пробвате – създайте своя norbt оттук
Powered by Zoundry Raven
Technorati : кратки, новини
November 24th, 2009 от singu
Можете ли да изчистите всички следи от хм.. “специалните” сайтове, които посещавате ? Сигурни ли сте, че “Private Mode” ( aka Porn mode ) ви защитава напълно ? Ако сте отговорили с да – значи не знаете за т.нар. flash cookies или Local Shared Object (LSO). В най-общият случай това са парченца информация, много подобни на класическите HTTP cookies, които Adobe Flash Player записва ( по подразбиране съхраняването е разрешено ).
За да проверите вашият компютър, отворете %appdata%\Macromedia\Flash Player\#SharedObjects ( copy-paste в Run ще ви отвори правилният прозорец ). Очаквайте нещо от сорта:
Тези кукита не са зависими от браузъра, т.е. ако ползвате IE и след това отворите сайта с FF, то сайта ще ви разпознае като същият потребител.
Като добавка – някои от сайтовете ползват въпросните flash cookies като “архив” на стандартните кукита ( или бисквитки ако предпочитате ) за следене на потребителите, т.е. дори и вие да изтриете всички кукита от браузъра си, сайта прочита информацията от flash-а и ви връща същото проследяващо HTTP cookie.
Решения на проблема:
- триене на ръка;
- плъгин BetterPrivacy, ако ползвате Firefox ( а ако не ползвате – засрамете се ! );
- отворете сайта на Flash Player и използвайте инструмента, който ще се зареди;
Powered by Zoundry Raven
Technorati : flash
