You are currently browsing the category archive for the ‘Security News’ category.

Congresul CCC (Chaos Computer Club) a inceput astazi.  Pentru cei interesati sa urmareasca online talk-urile pot accesa urmatorul link. Sunt talk-uri foarte interesante. Pot recomanda inainte de toate talk-ul referitor la „Datamining for Hackers„. Este o dovada foarte elocventa a rezultatelor ce pot fi obtinute atunci cand gandesti „outside the box”. Tnx Scusi. Exista si un canal pe youtube.

Have fun.

Update:

Prezentare „Black Ops of TCP/IP 2011” este interesanta si se refera in principal la systemul Bitcoin. O alta prezentare interesanta a fost cea referitoare la analiza „programului troian guvernamental”. Poate si datorita faptului ca au fost 2 juristi, un specialist in PR si  un specialist in securitate. Un model viabil pentru procesul de forensic :-D. Din pacate este numai in limba germana. Cine are nevoie de lamuriri, va rog sa ma contactati.

Site-ul http://www.990.ro, unde sunt postate de obicei ultimele seriale care ruleaza in televiziune, livreaza prin intermediul unui ofertant de publicitate malware. O vizita pe acest site a dus prima data  la infectarea calculatorului prin intermediul unui document pdf. Al doilea mi-a instalat pe calculatorul de proba un software care dupa ce a schimbat cheia „Schell” in registri, facandu-mi imposibila accessul la calculator, mi-a oferit posibilitatea de a scapa de soft contra unei sume de bani. Stream-ul de publicitate care contine malware-ul este oferit print intermediul celor de la xtendmedia.com sau trafficrevenue.net. Nu am avut timp sa analizez care dintre ele este, dar singura cale prin care puteti inca vizita site-ul este firefox-ul impreuna cu extensia „NoScript”.

Amanunte vor urma…

 

si presentarile sau marea majoritate a lor se pot gasi aici. Va recomand sa nu sariti peste conferinta de deschidere tinuta de Rop Gonggrijp. Merita….Din ceea ce e postat …ce v-a placut cel mai mult?

Cercetatorii de la Universitatea Cambridge, condusi de Ross Anderson,  au descoperit o noua problema de design a sistemului de autorizare a tranzactiilor cu ajutorul cip-ului si  a pin-urilor. Comunicatia dintre un card cu cip si un terminal se face printr-un protocol neautentificat, care informeaza terminalul ca autorizarea se poate face cu cip si pin, cu ajutorul semnaturii sau niciuna. Dar daca autorizarea s-ar face cu cip si semnatura? Cazul in care cardul ar transmite terminalului ca autorizarea se face pe baza de cip si semnatura, atunci banca crede ca autorizarea se face cu pin, si cip-ul ca se face prin intermediul semnaturii. Este inspaimantator, pentru ca in acest caz hotii de carduri nu au nevoie sa mai cunoasca pin-ul pentru a autoriza tranzactii. El trebuie doar sa pacaleasca terminalu si atunci poate introduce orice pin.

Aici un reportaj BBC despre cit e de usor, si articolul original poate fi citit  aici cit si comentariile despre lui Bruce Schneier.

Aveti grija cu cardurile pierdute.

HTTP-ul ca protocol nu a fost niciodata gandit sa suporte conceptul de sesiuni. De aceea au fost introduse elemente suplimentare care sa contina informatia de stare, cum ar fii cookie-urile sau ID-urile de sesiune.

Acum se profileaza o noua ideea ca in momentul actual informatiile care identifica browser-ul vostru, pot oferi atitea elemente de unicitate incit sa  poata fi folosit in viitor ca element de identificare al sesiunilor. Care este avantajul? Informatiile stau pe server si nu sint direct modificabile de utilizator.

Electronic Frontier Foundation (EFF) a creeat un nou tool online denumit Panopticlick care calculeaza unicitatea browser-ului vostru bazat pe informatii cum ar fi User Agent-ul, header-ele HTTP acceptate, plug-in-urile din browser, time zone, dimensiunea screen-ului si storage settings-uri.

Nu stiu daca aceste informatii vor fi de ajuns pentru a putea inlocui mecanismele actuale de mentinere a sesiunii, dar sint convins ca sint o baza reala pentru procesele de computer forensic.

Firma Vupen Security pune la dispozitie celor care dispun de resurse financiare, un exploit bazat pe vulnerablitatea browser-ului Internet Explorer, facut public si sub numele de „Aurora”, care reuseste sa-l faca functional chiar si pentru browserele IE 8 sau 7 care au mecanismul de DEP (Data Execution Prevention) activat . Deci, folositi temporar sau definitiv Firefox.

Foarte multe persoane, pornind de la manageri pina la arhitecti de sisteme si dezvoltatori IT, cind vine vorba despre probleme de securitate si vectori de atac, ridica din umeri. Multi au auzit de ele, dar nu au o intelegere a fenomenului si a ceea ce inseamna . Articolele disponibile online sint ori prea tehnice, ori prea generale. Microsoft s-a hotarat sa dezvolte in cadrul SDL-ului, asa numitele QSR-uri, Quick Security Reference, care prezinta diferite atacuri din diferite puncte de vedere: al managerilor, al arhitectilor, al dezvoltatorilor de aplicatii si a tester-ilor/oameni de QA. Pentru fiecare este prezentata informatia in asa fel incat sa poata intelege si sa ia decizii avind informatiile sintetizate conform nevoilor personale. Primele doua documente descriu atacul „Cross Site Scripting” si „SQL Code Injection”. Merita citite!

Have Fun.

Ross Cooper de la Verizon Bussines Security a scris citeva predictii pentru 2010, pe care as vrea sa le comentez putin.

1. Services will protect themselves: Facebook, Google, Twitter, TinyURL and the like will gain more control over criminal content… Intr-un an in  care „iesirea din criza” este cuvantul la ordine, nu vad companiile investind semnificativ in domeniul de securitate. Doar sa ne amintim ca Microsoft a ratat o versiune de Windows cu Vista,  facind un produs sigur dar greu acceptat de utilizatori. Isi permit aceste companii investitii in securitate sau se vor concentra pe consolidarea cistigurilor? Raspunsul cred ca il stim cu totii.

2. Malware will not evolve. No significant changes in malware will occur in 2010. Consider ca 2010 va fi anul in care criptografia isi va face prezenta simtita foarte pregnant in domeniul de concepere  si distributie a malware-ulurilor. Anul de raspandire a virusilor criptografici.

3. Consumers are getting smarter: The number of older “newbies” being introduced to the Internet’s crime is going to be significantly less in 2010 than in the past.  Tehnologia este din ce in ce mai prezenta in viata noastra. Aflam despre patch-uri pentru Windows de la buletinele de stiri. Deci folosirea tehnologiei va fi mult mediatizata si atunci ca rezultat, nivelul cunostintelor de securitate IT va creste.

4. Windows 7 (not necessarily IE8) will prove to be more robust than expected, but ISV’s will have the light shone on them by MS as the attacks move more towards the applications (and, possibly, away from browser exploits.) ATL issues in ISV products will have a spotlight in 2010 (those that don’t use IE to do their interactions.). Observatiile de la primul punct cred ca sunt valabile si aici. Windows 7 va fi o solutie robusta, dar ISV (Independet Software Vendor) vor oferi intotdeauna o portita. Long life Adobe.

5. Serious finger-pointing and frustration over basic essential protocols (SMTP, DNS) will occur amongst “governments”, and non-technical organizations as spam and phishing prove even more difficult to thwart. Serious finger-pointing poate, dar nu vad adoptarea unor masuri coerente sau finantarea unor solutii de genul DNSSEC.

6. Breaches will increase, albeit possibly smaller in average number of records compromised. There will be more money transfers made via accounting staff compromised credentials in 2010 than past years. Companiile de procesare de carduri/bancile vor incerca sa evite orice fel de probleme de securitate si de expunere a datelor. Visa si Mastercard vor taxa scump pe cei care nu vor lua masuri de securizare.

7. Nothing of note happens to non-PCs (e.g. phones, PDAs, Macs, etc). Cred ca vom vedea aici primele atacuri in masa. PDA-urile sunt noile tinte, sunt device-urile care sint target-ate de noile platforme de networking.

8. CaaS works, not surprisingly for most of us. CaaS (Communications-as-a-Service) va deveni noua tinta. Aici se va concentra informatia si granitele vor fi din ce in ce mai greu de tras si prin urmare de aparat.

9. Virtualization does not come under real-world attack as a target, but the media will sensationalize at least one story where VM’s were involved (but the VM software had nothing to do with the issue.) Joanna will continue to ride her horse. Aici sunt de acord.

10. China will continue to be blamed for everything. Evident ca asa va fi, dar as reformula China and the Romanian Hacker will continue to be blamed for everything.

Have Fun in 2010.

Se pare ca acest exploit „Aurora”, care nu este cu nimic mai spectaculos decit alte exploit-uri,  este atit de mediatizat incit ajunge sa aiba parte de exagerarile caracteristice presei de cancan.  De exemplu BankNews anunta pompos ca „Germania recomanda utilizatorilor sa nu mai foloseasca browser-ul Internet Explorer al Microsoft” cind de fapt comunicatul oficial spune „BSI recomanda folosirea temporara a unui browser alternativ”.  Isterie legata de tehnologia IT. Interesant.

Don’t panic and have fun.

Codul malware-ului, care a fost folosit luna trecuta, pentru atacul impotriva a 33 de firme, printre care Google si Adobe a fost trimis spre analiza pe site-ul Wepawet. Acest exploit, foarte stabil,  are ca target IE6,7 si 8 rulind pe diferite platforme.  Problema este ca Microsoft ,cu toate ca a emis un Microsoft Security Advisory (979352), nu a facut public un patch in regim de urgenta. Exploit-ul este valabil chiar in platforma Metasploit.  (use windows/browser/it_aurora)

Informatie primita via NetworkWorld.

Deci:

Take care and have fun.

PalmSecure este o tehnologie de recunoastere biometrica a topologiei venelor din mina. Este o tehnologie oferita de Fujitsu si pare a fi metoda de identificare biometrica ce va inlocui metoda de recunoasterea a amprentelor de la deget. Tehnologia consta in implementare unei camere de unde infrarosii intr-un mouse. In momentul in care cineva pune mina pe mouse, este emis un fascicul de unde infrarosii care citesc topologia venelor din mina oferind destule puncte de unicitate pentru a fi luata in considerare in folosirea topologiei ca baza de autentificare. Automat user-ul este autentificat de sistemul de operare sau de aplicatie.

Tehnologia nu presupune atingerea senzorului, ceea ce elimina posibilele amprente lasate pe dispositiv.

De mentionat ca pe parcursul vietii, incepind de la virsta de 12 ani,  topologia venelor de la o mina nu se schimba si ca topologia venelor de la mina stinga este diferita de cea de la mina dreapta.

Pretul unui dispozitiv de citire este de aproximativ 400 USD la aceasta ora,  mult mai ieftin decit dispozitivele de recunoastere a retinei, oferind aceeasi acuratete.

Posibile aplicatii: ATM-uri, oferind in acest fel autentificare bazata pe 2 factori . IBM si Citrix au inclus deja tehnologia in solutiile proprii de SSO (Single Sing On). Pagina de informatii asupra tehnologiei aici.

Ieri a fost facuta publica versiunea 3.3 a platformei de pentesting  Metasploit.Ce e nou? In primul rind:

Metasploit now has 445 exploit modules and 216 auxiliary modules (from 320 and 99 respectively in v3.2)

support pentru Windows 7 ….

Deci..

Happy Hunting..:))

Tot release note-ul este aici.

Saptamina  asta a fost facuta publica, la conferinta OWASP AppSec DC, versiunea release candidate nr.1 a documentui OWASP Top Ten, ce contine cele mai fregvente vulnerabilitati ale aplicatiilor de web. Se pare ca este foarte asteptat, pentru ca de jumatate de ora nu reusesc sa descarc draft-ul. Documentul, care este supus discutiilor publice pina pe data de 31.12.2009, poate fi descarcat de aici. Este interesant ce modificari apar tinind cont de faptul ca de la versiunea initiala, documentul a fost modificat substantial la a doua versiune.

Have fun…

 

WAF sau Web Application Firewall-ul este un sistem care intelege foarte bine HTTP, stie sa analizeze conversatia HTTP, sa o decodifice in cazul in care e codata si sa protejeze aplicatiile de web in cazul in care descopera posibile atacuri.  Toata comunitatea de IT le instaleaza sperind sa rezolve problemele aplicatiilor de web dar se pare ca ele insele au foarte mari probleme. La conferinta de securita de la Cracovia OWASP, 2 cercetatori,Wendel Henrique, membru SpiderLabs (Trustwave’s advanced security team), si Sandro Gauci, fondator si CSO la EnableSecurit, au descoperit o serie de probleme in diferite WAF-uri si totodata vor sa faca public un tool pentru wafw00f care va ajuta la identificare acestor sisteme. Surpriza este completa pentru ca, cu ajutorul unui alt tool creat de ei wafFUN, au reusit sa pacaleasca sistemul si sa exploateze cu success o aplicatie de web (XSS).

Sfatul lor? Scrieti cod mai bun si mai sigur. :-))

Mai multe puteti citi aici sau urmarii prezentarea care a fost facuta publica aici.

Have Fun

Marti 07.04.2009 Bussines Standars organizeaza o conferinta de securitate despre Securitate Informatica in era web 2.0. Datorita faptului ca o sa am o prezentare acolo despre 10 aspecte importante ale securitatii in spatiul web si despre OWASP, pot sa ofer o invitatie primului doritor care imi va posta un comentariu pentru postul acesta.

Pentru cei care nu sint interesati de conferinta poate sinteti interesati sa va petreceti timpul studiind ceva command line kung-fu pe acest blog. Ideea este foarte misto si va cred ca o sa placa sa urmariti posturile de acolo.

Have fun anyway. 🙂

Cum functioneaza? Se stie ca troianul are ca simtom blocarea unor site-uri de unde utilizatorul poate face download la update-urile de semnaturi pentru antivirusii care il recunosc. Pa aceste restrictii la site-urile respective se afla si urmatorul test. Deci fara teama apasati aici si spuneti tare cite imagini vedeti. Nu are nimic de-a face cu 1 aprilie. :-))

Have fun.

In Canada a avut loc saptamina trecuta conferinta de securitate CansecWest. Aici are loc un concurs traditional de descoperire de exploituri pentru browsere. Ce a rezultat? Charlie Miller, cistigatorul de anul trecut, a reusit in citeva minute sa creeze un exploit pentru browserul Safari si sa plece cu cel de-al doile notebook Apple acasa. Marea revelatie pare a fi un doctorant german, sub pseudonimul de Nils care a reusit sa gaseasca bug-uri pentru Safari, IE8 instalat pe Windows 7 cit si Firefox reusind sa plece acasa cu Sony Vaio-ul aferent. Mai multe informatii aici. Acest concurs este pe cit de interesant pe atit de ingrijorator cu cit un bug pe piata neagra a ajuns sa coste in jur de $100.000. Deci …sa incercam Opera?

Have fun.

De obicei sint impotriva recenziilor produselor comerciale insa am sa fac de data asta o exceptie deoarece ca consider ca informatia este interesanta si ideea frumoasa. Ce face Crossbeam? Ofera niste appliance-uri care virtualizeaza diferitele sisteme de securitate cum ar fi Firewall-urile de la Checkpoint, IDS-uri si IPS-uri de la Sourcefire, application firewalls-uri de la Imperva si sisteme de filtrare a continutului de la Websence, sisteme de filtrade mail de la Trendmicro, samd.  Ceea ce face aceasta solutie foarte interesanta sint posibilitatile de recovery revolutionare ale sistemului cit si faptul ca incorporeaza toata infrastructura adica si switch-uri si load-balance-urile necesare. Pentru ce este asa ceva indicat? Pentru ISP-uri care ofera Virtual Security as a Service, sau mari organizatii care doresc sa consolideze infrastructura de securitate si sa scape de teroarea upgrade-urilor si a integrarilor diferitelor componente.  Exista un partener local in Romania , google este prietenul vostru.  Produsul mi s-a parut inovativ si prezzentarea frumoasa bomboanele aferente sint expirate. Oricum ambalajul este cool.

Have fun.

Ce inseamna asta? Sub tutela NIST (Institutul American de Standarde si Tehnologie), a inceput procesul de selectare a unui nou algoritm de hash-ing care sa inlocuiasca MD5 si SHA1. Noul algoritm va purta numele de SHA3. Au intrat in concurs pina acum 64 de propuneri, din care doar 56 erau cunoscute si accesibile publicului. Pina acum s-a desfasurat prima faza din care numai 51 au absolvit. Din acestea 10 au fost dovedita ca fiind „broken”, gresite. Detalii despre concurs aici.

Putina legenda pentru detalii.

Un algortm de hash-ing este considerat „stricat” atunci cind:

  • este suspect de second preimage: adica pornind de la mesajul m1 se determina mesajul m2 pentru care se genereaza acelasi hash: hash(M1)=hash(M2),
  • este suspect de preimage. Asta inseamna ca pornind de la hash-ul h se poate determina mesajul m1: h=hash(m1)
  • este suspect de coliziuni, adica exista 2 valori m1 si m2 ale carui hash este egal.

Diferenta intre preimage si coliziune este ca unul este indreptat mesajului iar cel de-al doilea impotriva hash-ului.

Cistigatorul nu va fii algoritmul cel mai puternic, ci si cel care va fii „avantajos economic” de implementat in diferite tipuri de configuratii hardware.

Deci sa aplaudam cistigatorul care va fi???

La cafea citeam astazi o stire in Hotnews despre o noua „reusita” a hackerilor romani. Victima Kaspersky LAB. Dupa mine devine plictisitor cum chiar firmele de securitate nu reusesc sa inteleaga concepte precum Defence in Depth (citeste aici) . Ma gindesc ca daca aceasta firma care ofera produse de securitate nu intelege conceptul, cum va reusii sa ofere un produs de securitate care sa fie „sigur”?  Se pare ca nu reuseste sa inteleaga conceptul de Input Validation tinind cont ca pe data de 02.02.2009 sint anuntate in Securityfocus  Multiple Kaspersky Products ‘klim5.sys’ Local Privilege Escalation Vulnerability”.  Trist.

Dar altceva doream sa va supun atentiei. Un articol de pe site-ul Darkreadings semnaleaza ca mai multe firme de securitate printre care Immunity, Milw0rm  si Packetstorm au fost supuse unui atat DDOS de mare amploare. Printre target-uri se afla si proiectul Metasploit. H.D. Moore scrie pe blogul proiectului ca aceste tipuri de atacuri cu toate ca sint necomplicate sint enervante, nevazind nici un rost in aceste atacuri deoarece atacurile impotriva unui proiect Open Source nu produc pierderi in domeniul vinzarilor. :-))  . Eu speculez mai departe si ma gindesc ca aceste atacuri nu sint decit un parte a unui proiect mai mare. Site-urile respective ofera exploit-uri. Parerea mea este ca atacatorii au incercat sa opreasca accesul oamenilor la site-urile cu exploit-uri pentru a-si mari acea „Window of opportunity”,  sau intervalul in care un exploit poate fi folosit de cei ce l-au descoperit pina devine public. Articolul poate fi citit aici. Voi ce parere aveti?

Aprilie 2017
L M M M V S D
« Mar    
 12
3456789
10111213141516
17181920212223
24252627282930