Wszystkie posty

hoaxer

Włamanie do banku

Australian National Bank potwierdził, że hackerzy włamali się do ich serwera i zmienili jedną ze stron firmowych. Jeden z administratorów powiedział dzisiaj rano, że próby włamania zostały wykryte w niedziele.

Zdaję się, że włamania dokonano dzięki robakowi, który rozprzestrzenia się na systemach Solaris i poszukuje serwerów uruchomionych na Microsoft Information Service (IIS).

Robak do zmiany głównej strony używa wykrytej około 8 miesięcy temu dziury w IIS.

Rzecznik banku poinformował, że złamany host appwebcalc.national.com.au, na którym znajdował się kalkulator dla klientów do obliczania pożyczek był postawiony na IIS 4.0.
Według rzecznika zmieniona strona została usunięta zanim ktokolwiek mógł ją zobaczyć.

Zapewnił on, że incydent dotyczył tylko jednego, odizolowanego serwera. Pozostałe hosty (w tym odpowiedzialne za e-bankowość) były bezpieczne i hackerzy nie uzyskali do nich dostępu. Jak było naprawdę czas pokaże…

 

Office XP za 9 zł

Brytyjski biznesmen poinformował, że kupił piracką kopie Office XP na bazarze w Islamabadzie za 2.36$. CD zawiarał pełne wersje (nie beta) Word 2001, Excel 2001, PowerPoint 2001, Outlook 2001, Access 2001, FrontPage 2001 i MS Publisher 2001.

Baza danych jako open source

Firma Red Hat zamierza wypromować włąsną bazę danych. Będzie ona rozpowszechniana jako open source, a nazywać się będzie po prostu Red Hat Database. Przewiduje się iż fakt zaistnienia takiego produktu na rynku może wywrzeć duży wpływ na kształt oferty innych firm…

oferujących bazy danych, zarówno te open source (NuSphere, Abriasoft, IBPhoenix) jak i tradycyjne (Oracle). Red Hat przygotował swoją bazę danych we współpracy z firmą Great Bridge, która już od dawna specjalizuje się w oprogramowaniu tego typu. Great Bridge sprzedaje usługi i produkty oparte na bazie danych open source PostgreSQL. Domyślać się można że i produkt Red Hat’a nawiązywać będzie do tego programu.

Cztery włamania do Microsoftu

Microsoft był bardzo zaskoczony po tym kiedy rano 22 czerwca hakerzy zdjęli nie jedną, nie dwie lecz trzy strony korporacji w zaledwie pół godziny. Później aby jeszcze bardzie skompromitować firme ten sam hacker zmienil czwartą strone. Po południu tego samego wyczynu dokonała inna grupa.

„Prime Suspectz” przyznali się do czterech włamań z dostępem do: feeds.mobile.msn.com, redsand.rte.microsoft.com, arulk.rte.microsoft.com i webcfeedback.msn.com.

Wszystkie wyczyny były dokonane przy użyciu dziur w Microsoft Internet Information Service (IIS) uruchomionych na Windows NT i 2000.

Hacker zmieniając strony na zajętych serwerach zostawił po sobie tekst: „Prime Suspectz again! One, two, three in only 30 minutes. As we can see, this server IIS is very good!! Micro$oft, where i find secure products made by you? WHERE?”.

Po jakimś czasie jedna z zhaczonych stron – webcfeedback.msn.com – została zmieniona ponownie. Tym razem przez grupe „Silver Lords” którzy wykorzystali okazję do promocji ich protestu przeciwko łamaniu praw człowieka w Kaszmirze.

Serwery Sierry zaatakowane

Wczoraj serwery Sierry umożliwiające grę on-line w Tribes 2 padły ofiarą ataku Denial of Service (DoS). Zostały obciążone taką ilością pakietów, że nikt z zewnątrz nie mógł z nich skorzystać.

W tym samym czasie włamano się do systemu autentyfikacji i automatycznej aktualizacji :-), zarządzanego przez firmę Sierra. Niektóre z plików znajdujących sie na serwerach uległy zniszczeniu. Nie bardzo jednak wiadomo co chcieli osiągnąć przez to hackerzy.

Coś dla administratorów

Jak do tej pory administratorzy systemu Linux narzekali na brak oprogramowania umożliwiającego kompleksowe zarządzanie. Dzięki firmie Caldera sytuacja ta chociaż częściowo się zmieniła. Firma ta wydałą pakiet dla administratorów o wdzięcznej nazwie Volution.

Obsługi pakietu dokonuje się przy pomocy przeglądarki. Volution zawiera moduły umożliwiające ewidencjowanie sprzętu i oprogramowania, dystrybuowanie oprogramowania, sprawdzanie stanu systemów, wykonywanie zaplanowanych zadań, zarządzanie drukarkami i kolejkami drukowania. Pakiet obsługuje RPM.

Niestety Volution nie współpracuje poprawnie z wszystkimi dystrybucjami Linuxa. Wśród obsługiwanych są Caldera, Red Hat (6.x), TurboLinux, SuSE 6.4, Mandrake 7.1. Problemy zaś z poprawnym działaniem będą mieli użytkownicy Debiana.

Terminale płatnicze zagrożeniem

Firma Hypercom, zajmująca się produkcją systemów obsługi kart płatniczych, poinformowała o odkryciu problemów związanych z czytnikami kart magnetycznych. Według jej pracowników zainstalowany w dowolnym czytniku kart układ elektroniczny może pozwolić niepowołanym osobom wejść w posiadanie danych karty płatniczej i przesłac je przy wykorzystaniu linii telefonicznej pod dowolny numer. Nielegalne układy odczytujące zostały wykryte w urządzeniach zainstalowanych w Hong Kongu.

Jak informują przedstawiciele firmy zagrożone mogą być terminale na całym świecie, niezależnie od producenta.

NetWatcher 2000

Monitoruje przepływ pakietów danych pomiędzy twoim komputerem a serwerami internetowymi.

W momencie wykrycia potencjalnego zagrożenia aplikacja wyświetla stosowną informację zalecając jednocześnie natychmiastowe zakończenie sesji internetowej.

SecureIIS Web – firewall na IIS :)

Od dłuższego czasu słyszy się o nowych dziurach w IIS. Pojawiają się expolity a zaraz potem… lub długo potem patche do IIS. Czy to oznacza, że IIS nie może być bezpieczny?

Nie! Firma eEye Digital Security na swoich stronach udostępniła wersje piętnastodniową programu SecureIIS Web. Jest to firewall na IIS, który umożliwia zablokowanie dostępu nie powołanym osobom. Za pomocą przyjaznego środowiska daje nam możliwość prostego wybory opcji, które chcemy przyblokować. Umożliwia nam on także dodawanie poszczególnych filtrów w zależności od naszych potrzeb. Gorąco polecam!

Postanowiłem, że zamieszczę tutaj krótki opis jego możliwości oraz ciekawe linki do stron o IIS. Opis jest krótki, ale wystarczający aby zapoznać się możliwościami.

Krótki opis działania i zastosowania programy SecureIIS Web
I. OPIS FUNKCJI
II. KRÓTKA ADNOTACJA
III. CRACK
IV. LINKI
I. O P I S F U N K C J I

Atak Buffer Overflows:

Jak podali w readme (i z tego co ja wiem) polega na przesłaniu „dużego” żądania do komputera ofiary (np. zbyt długa nazwa) Server Web stara się skopiować to przesłanie do określonego wcześniej dużo mniejszego buffora i wtedy następuje przepełnienie buffora. Jeżeli już program będziemy używali to podobnie jak oni zalecam zaznaczenie wszystkich opcji- jest to w końcu podstawowy atak hackerów 🙂
Protekcja Shellcode:

Rozszerzenie wcześniejszej protekcji. Nie, które buffory są zbyt małe aby móc je zabezpieczyć więc shellcode chroni je (te buffory) przed złamaniem, przełamaniem. Warto zaznaczyć wszystkie w celu dobrej ochrony.
Filtrowanie Klawiatury:

Chodzi to, że wszystkie żądanie z nazwą, która jest filtrowana będą zatrzymane. W przypadku domyślnym (zaraz po instalacji) następuje automatyczna blokada UNICODE… bez potrzeby ściąganie instalowania patcha do danego sytemu. Zalecane aby te, które są zaznaczone były dalej zaznaczone. Jest możliwość dodawana nowych filtrów 🙂

Linki do patch oraz biuletynów MS na temat UNICODE:
1/2

Blokuje polecenia np.:
http://target/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

http://target/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir

http://site/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+copy+..\..\winnt\
system32\cmd.exe+cmd1.exe

gdzie target to nasz cel np. mp.timsi.pl

Więcej na temat UNICODE i innych kluczowych słów można znaleźć na stronach:
http://www.securityfocus.com/bid/1806
http://www.securityfocus.com/bid/1814
Zezwalanie na „przeglądanie” odpowiednich folderów:

SecuresIIS Web domyślnie wybrał kilka folderów. Jedyną odmianą do wcześniejszych opcji tutaj jest to, że zaznaczenie oznacza umożliwienie zaglądania do folderu. Oznacz to, że jeżeli nasza strona stoi u nas to jest ona w katalogu \Inetpub\wwwroot lub \Inetpub\webpub użytkownicy zewnątrz powinni mieć dostęp aby móc ogląda postawioną stronę u nas 🙂 Ale to wiąże się z pewnym niebezpieczeństwem… odwołuje więc do faq na nt.faq.net.pl:

http://nt.faq.net.pl/articles.asp?id=215

który mówi o tym w jaki sposób hacker, czy jak ktoś woli cracker wie gdzie znajduje (w jakim folderze) się strona WWW i jeżeli (jeżeli!) się do nas dostanie będzie wiedział gdzie iść aby podmienić stronę.
Metody HTTP:

Chodzi to oto, co jest zezwolone przeglądającemu. To znaczy… w opcjach domyślnych jest zezwolone:

GET: umożliwia użytkownikowi przeglądanie strony, przejście za pomocą linka do następnej strony.

POST: Umożliwia wypełnianie ankiet itp.

Inne to:

PUT: umożliwia skopiowanie pliku z dysku użytkownika na twoją stronę

OPTIONS: Umożliwia użytkownikowi na wprowadzanie wszelkiego rodzaju komend, które twój Serwer Web rozumie. Nie jest zalecane zaznaczenie tej opcji.

HEAD: Komenda te zezwala osobie prowadzącej ofensywę na stronę dowiedzieć się co zostało zainstalowane, jaki serwer, jakie dodatki. Nie zalecane zaznaczenie!

DELETE: Umożliwia użytkownikowi przeglądającemu naszą stronę kasowanie plików. Nie zalecane. Niestety produkt FrontPage Server Extensions wymaga zaznaczenia tej opcji 🙁

COPY: Umożliwia kopiowanie plików na twój serwer pocztowy przez użytkownika zewnątrz.

MOVE: Umożliwia przenoszenie plików na twoim serwerze przez użytkownika zewnątrz.

MCOL: Umożliwia tworzenie plików i katalogów na twoim serwerze przez użytkownika zewnątrz.
Różne:

Na razie jest tam zawarta jedynie ochrona przeciw poruszaniu się po katalogach przez odpowiednie komendy i poprzez odpowiedni rodzaj: URL, Headers, Post Data, Query String. Rozszerzenie blokady np.: UNICODE czy problemu z ASP np.: komendy

http://target/file%2easp

gdzie target to tak jak poprzednio nasz cel np.: mp.timsi.pl

Więcej na temat tej dziury:
www.securityfocus.com/bid/1814
Selcet Error File

Jest nie dostępny w wersji Trial. Patrz III. C R A C K

II. K R Ó T K A A D N O T A C J A

Wszystkie opcje oprócz dwóch pierwszych NIE SĄ ZALECANE!!! Nie należy ich ZAZNACZAĆ dla większego bezpieczeństwa serwera.

Tak ogólnie… program służy tylko i wyłącznie zabezpieczeniom! Nie sprawdza on podatności naszego IIS na ataki. Do tego potrzebny będzie inny program.

Wersja trial obejmuje 15 dnie 🙁

Aha… po przygotowaniu wszystkich opcji (zaznaczeniu lub odhaczeniu) wciskamy „Aplly”… z restartuje to polecenie nasz serwer Web (bez potrzeby restartu komputera) i dodana lub odhaczy opcje, które zmieniliśmy.

Jeżeli pojawił nam się wcześniej lub teraz napis „Arm” to wciskamy go aby zabezpieczyć nasz system. Zmieni on wtedy nazwę na „Disarm”. Bez wciśnięcia przycisku „Arm” nasz serwer nie będzie zabezpieczony!

III. C R A C K

Aby móc korzystać z cracka, trzeba go najpierw ściągnąć

http://astalavista.box.sk

Tam wpisujemy w wyszukiwaniu: SecureIIS

Następnie wchodzimy na dwa ostatnie pojawiające się linki (oba prowadzą do tego samego pliku). Ściągamy piczek i go rozpakowujemy.

Po rozpakowaniu wchodzimy do katalogu \winnt\system32 i kasujemy katalog:

5351-8621-2429-7641-5704

Po skasowaniu uruchamiamy program SecureIIS i kopiujemy nasz Referencyjny kod.

Uruchamiamy craka. Wpisujemy użytkownika po nim wklejamy nasz kod, który skopiowaliśmy. Na dole okienka widnieje przycisk „Generate”. Obok niego po lewej pokazuje nam się kod. Kopiujemy go i idziemy do okienka z naszym uruchomionym programem SecureIIS. Tam w drugim text polu wpisujemy użytkownika a do trzeciego wklejamy wygenerowany kod. Program jest już z crakowany więc jest udostępniona opcja „Select Error File”

IV. L I N K I

Więcej informacji na temat bezpieczeństwa IIS:
http://www.securityfocus.com/…

Logi:
http://www.securityfocus.com/…

Zabezpieczanie:
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/focus/…

Spis patchy:
http://www.securityfocus.com/…

Spis dziur z opisami, expolitami i spolitami:
http://www.securityfocus.com/focus/…

Polskie zasoby bezpieczeństwa IIS:
http://nt.faq.net.pl/…
http://nt.faq.net.pl/…

Sprawdzian bezpieczeństwa IIS (nie działa przez firewall i przez serwer PROXY)
http://www.faq.net.pl/…