Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187
Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187
Последни туитове
RT @dave_rel1k: SET v1.5 interactive shell running on OSX. No sir your machine isn't infected, mac's don't have viruses. http://yfrog.co ... - на 16/06/2011 в 09:17:09
RT @PrivacyCamp: PayPal vulnerability allows access to any account within 30 seconds http://ow.ly/5iZcK - на 16/06/2011 в 09:07:16
Хроника на сагата около Сони - кога и какво е хакнато - http://t.co/sxejfv4 - на 11/06/2011 в 11:56:21
RT @mikkohypponen: Malware gang's $14.8 million bank account frozen: http://bit.ly/jrcTuf from F-Secure Weblog - на 11/06/2011 в 01:54:21
RT @mikkohypponen: Citibank says they too were hacked. They lost card information of one percent of their customers: http://t.co/5sFxWOz ... - на 09/06/2011 в 08:33:22
RT @dave_rel1k: Another Social-Engineer Toolkit (SET) update, added multi-threading to spear phishing mass mails. #sweet - на 09/06/2011 в 07:38:55
RT @taviso: Should you trust a root CA that couldn't keep track of it's own keys? Trick question, you already do. http://i.imgur.com/oTS ... - на 09/06/2011 в 07:37:36
RT @rapid7: New Metasploit modules designed specifically for testing firewalls, IDS, IPS, and DLP solutions - http://r-7.co/jZlksz - на 07/06/2011 в 03:49:34
RT @dave_rel1k: SET v1.4.1 has been updated in the Back|Track repositories. Lot's of bug fixes and updates around relative paths and fea ... - на 07/06/2011 в 03:32:12
RT @mikkohypponen: Fun trick of the day: Try 'ping 2130706433' from the command line and figure out why it works. - на 23/05/2011 в 23:09:33
RT @dave_rel1k: The Social-Engineer Toolkit (SET) v1.4.1 has been released. Adds statistics for harvester, bug fixes, and more. - на 20/05/2011 в 22:54:02
Security Onion е нова Live Linux дистрибуция, базирана на Xubuntu 10.04. Можете да свалите DVD-то и да го използвате като мрежови IDS сензор в случай, че се съмнявате или просто искате да тествате различни IDS-и с отворен код. В проекта са включени:
Snort
Suricata
Sguil
Xplico
nmap
scapy
hping
netcat
tcpreplay
Има два IDS-а ( Snort & Suricata ), интерфейси ( Squil ), както и няколко инструмента за генериране на пакети ( hping3,inundator, scapy ), които да използвате за тестове. Поддържат се стандартните опции за включване към мрежата – SPAN порт, network TAP ( ако имате парите ) и inline, ако машината разполага с две мрежови платки и достатъчно процесорна мощност ( не подценявайте – 100 мегабитова мрежа се слуша относително лесно, но за гигабитова изискванията са сериозни ). За в бъдеще се планира интегрирането на host IDS и уеб интерфейс.
Основен разработчик е Doug Burks, а дистрибуцията можете да свалите от тук
Много добър наръчник за Meterpreter ( Meta Interpreter ) – payload-а на Metasploit. Подробно и последователно описание на командите. В момента е малко остарял, но все пак е добро начало, ако тепърва започвате с Meterpreter. http://www.exploit-db.com/download_pdf/15948 [PDF, на английски].
Интересна концепция е вграждането на задна вратичка за достъп до системата в хардуерен компонент. Това би направило задната вратичка невидима за софтуера и практически невъзможна за отстраняване. ( разбира се отдавна вървят слуховете, че китайците точно това правят с голяма част от продукцията си, особено тази, която е предназначена за военни цели, но да не задълбаваме в теориите на конспирацията ). За момента съм се натъкнал на няколко примера за подобни атаки:
- Ksplice концепцията, представляваща PCI карта, която може да контролира Linux инсталация отдалечено през интернет. Статията е малко теоретична, но описва интересни стъпки – преминаване през нов TCP протоколен номер, модификация на кърнъла в паметта и последваща модификация и на кърнъла на диска, с което задната вратичка става постоянна.
- Демонстрационна задна врата, реализирана в Broadcom Ethernet NetExtreme PCI Ethernet карта от Guillaume Delugré. Ето презентацията и линк към поста по темата.
Начините на въвеждане на подобен компрометиран хардуер в една система са много и повечето от тях са изключително лесни ( “подарък”, “изгубено устройство”, “тестово устройство” и т.н. ), като причината да са толкова ефективни е, че ние по подразбиране вярваме на производителя на нашият компютър, нашата кола и т.н. Само изключително параноични организации биха се усъмнили и биха изследвали подробно всяко парче хардуер, което влиза през входната врата. Но дори и тогава винаги ще се намери някой служител, който с радост би заобиколил забраната, за да ползва новата си супер лъскава, святкаща и мигаща мишка…
В тази лекция, изнесена на Hack3rcon David Kennedy ( ReL1k ) демонстрира работата на Social Engineer Toolkit – набор от инструменти за улесняване на провеждането на пентестове. Поддържат се множество вектори:
Spear-Phishing Attack Vector
Java Applet Attack Vector
Metasploit Browser Exploit Method
Credential Harvester Attack Method
Tabnabbing Attack Method
Man Left in the Middle Attack Method
Web Jacking Attack Method
Multi-Attack Web Vector
Infectious Media Generator
Teensy USB HID Attack Vector
като няколко от тях са демонстрирани, Според ReL1K този тип атаки при правилно извършена предварителна подготовка има успеваемост от 94% !
След демото на SET ще видите и кратка демонстрация, която описва ( опростено ) откриването на уязвимост и превръщането и в 0-day експлойт.
В новите версии на Windows ( Vista и особено 7 ) имя няколко нови метода за повишаване на сигурността, проектирани така, че да спират изпълнението на зловреден код. Един от тези методи е кодът, изпълняван от ядрото на Windows задължително да бъде подписан. Новият рууткит под име TDL4 обаче успява да заобиколи това ограничение, като инфектира буут сектора на системата и след това успешно променя един от параметрите, описващ нивото на защита и да се активира като модифициран драйверен код.
Анализ на по-старите версии TDL1, TDL2, TDL3 можете да намерите на сайта на Касперски, a самият TDL4 е анализиран от Sunbelt. За момента това е един от най-добре разработените и поддържани рууткитове.
Преди два месеца споменах за Firesheep – добавката за Firefox, кoято позволява “отвличането” на чужди HTTP сесии, особено такива, минаващи през некриптирана Wireless точка. Новината породи доста интерес ( особено когато се оказа, че може да се крадат Facebook сесии ) и предполагам доста хора са се заиграли. Разбира се, подобна атака не представлява особена новост, но за първи път HTTP session hijack-а е облечен в толкова лесен за ползване пакет.
И така – да видим как може да се защитим от script kiddies, които ползват подобни играчки:
на първо място – ползвайте криптирана връзка, включително криптирайте и Wireless-а си. Ако държите да го раздавате на познати и приятели – сложете някаква смешна парола и им я дайте, или я напишете на видно място ( този метод се ползва от няколко кафета в София ). Ако ползвате и VPN до някакъв ваш/фирмен сървър и този VPN е настроен така, че целият трафик се рутира през него – още по-добре.
ползвайте добавката за Firefox HTTPS Anywhere, дело на Electronic Frontier Foundation. Тази добавка превключва към изцяло SSL криптиран трафик към сайтовете, които го поддържат ( Google Search, Wikipedia, Twitter, Facebook, bit.ly, GMX, WordPress.com, The New York Times, The Washington Post, Paypal, EFF, Tor и др.)
Използвайте добавката за Firefox Blacksheep, която е разработена от Zscaler и е предназначена да ви предупреди, ако някой в мрежата използва Firesheep. Също така тази добавка генерира фалшиви HTTP сесии, които подава на Firesheep, като по този начин засипва атакуващият с грешни данни ( също известно като snowblind атака ). За отбелязване е, че не можете да инсталирате в един и същ профил Firesheep и Blacksheep – използват обща кодова база. Ето как изглежда предупреждението:
А все пак, ако сте пропуснали да си инсталирате Firesheep, можете да го намерите тук.
January 12th, 2011 от singu
