hoaxer

Dzis został rozpoczęty turniej na żywo dla hakerów na jednej z imprez towarzyszących konferencji Infosec, poświęconej zagadnieniom bezpieczeństwa komputerowego. Zadaniem jego uczestników będzie pokonanie zabezpieczeń serwera WWW, na którym zainstalowano oprogramowanie PitBull, automatycznie łatające znane dziury systemów operacyjnych oraz ograniczające podejrzane działania.

Firma Argus Systems Group – sponsorzy tego konkursu-reklamy – zapłaci zwycięzcy 35 tysięcy funtów (ok. 50 000 USD). Warunkiem otrzymania nagrody jest potwierdzenie udanego włamania przez zmianę przechowywanej na nim witryny internetowej, należącej do fikcyjnych firm xType Moto-Rockets i xCursion Adventure Travel.

Jak łatwo się domyślić, niezależnie od wyników konkursu, najbardziej zyskają na nim autorzy PitBulla: w przypadku porażki otrzymają oni cenne informacje umożliwiające udoskonalenie produktu, a zwycięstwo łatwo będzie wykorzystać do celów promocyjnych. Argus zorganizował już podobne turnieje w Stanach Zjednoczonych i Niemczech. Podczas jednego z nich zanotowano 5,4 miliona prób ataku, z których żadna nie zakończyła się sukcesem.

Badania dotyczące wpływu poczty elektronicznej na wydajność przeciętnego pracownika przeprowadzone przez Amerykański instytut badawczy Gartner wskazują, że wpływ ten zdecydowanie nie jest pozytywny – e-mail zabiera przeciętnie blisko godzinę, która w innym przypadku przeznaczona byłaby na pracę.

Ponad 24% amerykańskich pracowników spędza przy tym jeszcze więcej czasu. Co gorsza ponad 1/3 otrzymywanej poczty jest całkowicie niepotrzebna. Dalsze 1/3 e-maili dotyczy co prawda pracy, ale nie wymaga natychmiastowej reakcji. Instytut zaleca więc kontrolę poczty elektronicznej, jaką dobrą metodę ograniczenia kosztów przedsiębiorstwa.

Trojan.PSW.Hooker.F to nowy koń trojański z rodziny PSW, działa on podobnie do słynnych wirusów/robali Happy99, PrettyPark, MTX, rozsyłając się automatycznie pocztą elektroniczną.

Trojan ten instaluje się rezydentnie w systemie, dla utrudnienia zlikwidowania w kilku miejscach:

– pliku win.ini wpisuje w sekcji [windows] swoje wywołanie:

run=C:\WINDOWS\INETD.EXE

lub

run=C:\WINDOWS\HKK32.EXE

– w rejestrach systemu w kluczu:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce

wpisuje: „kernel32″=”kern32.exe”

A to wszystko po to, by móc uruchamiać się przy każdym starcie systemu.

Trojan do powielania się używa klasycznego już mechanizmu wysyłania samego siebie jako e-mail z załącznikiem, którym jest właśnie nosiciel trojana. Nazwy tych załączników są losowo wybierane z poniższej listy:

fun.pif
Humor.TXT.pif
docs.scr
s3msong.MP3.pif
Sorry_about_yesterday.DOC.pif
Me_nude.AVI.pif
Card.pif
SETUP.pif
searchURL.scr
YOU_are_FAT!.TXT.pif
hamster.ZIP.scr
news_doc.scr
New_Napster_Site.DOC.scr
README.TXT.pif
images.pif
Pics.ZIP.scr

Po uruchomieniu załącznika trojan rozpakowuje następujące pliki: inetd.exe lub hkk32.exe do katalogu Windows (domyślnie c:\windows) oraz pliki: kern32.exe i hksdll.dll do katalogu systemowego Windows (domyślnie c:\windows\system).

Usunięcie trojana jest proste:

1. należy w trybie DOS (czyli przy nieaktywnych Windows) wyszukać i skasować pliki: inetd.exe, hkk32.exe, kern32.exe, hksdll.dll

2. w pliku win.ini usunąć wpis uruchamiający trojana, czyli linijkę run=C:\WINDOWS\INETD.EXE lub run=C:\WINDOWS\HKK32.EXE zamienić na run=

3. Zaimportować plik rejestru znajdujący się na stronach mks_vir, wydając komendę REGEDIT C:\HOOKER.REG (po uprzednim ściągnięciu pliku hooker.reg z naszego serwera i zapisaniu go w katalogu głównym dysku C)

4. uruchomić ponownie komputer

Do betatesterów trafiła już kolejna wersja Service Pack oznaczona numerkiem 2.145.1 dla Windows 2000. Jak na razie nie pojawiły się informacje na temat daty, kiedy kolejny Service Pack 2 udostępniony zostanie zwykłym użytkownikom systemu Windows 2000.

No i prosze… parę godzin temu publikowałem atak na strony Hollywoodzkich gwiazd dokonany przez Prime Suspectz, a teraz mamy Polski hacked site w wykonaniu cyphers TEAM. Szczegóły na www.melgibson.com.
Oczywiście włam standardowo udokumentowany w dziale hacked.

Dostępna jest już kolejna wersja mysql z numerkiem 3.23.37. Nowy mysql praktycznie niewiele różni się od swojej starszej poprzedniczki ale zawiera parę drobniejszych poprawek związanych z błędami.

Najważniejszą zmianą jest zmiana nazwy tabel Innobase na InnoDB, spowodowana konfliktem z nazwą niemieckiej firmy INNOBASE. 3.23.37 wydano narazie tylko na platformy *nixowe. Poprawki wersji dla Windows pojawią się w innym terminie.

Dla zainteresowanych nową wersją mysql odsyłam do listy zmian która i tak faktycznie nie zawiera żadnych poważnych różnic w stosunku do mysql 3.23.36.

W OpenSource znaleziono kolejny bląd związany z bezpieczeństwem. Najpierw ujawniono poważny błąd w Sambie 2.0.X który pozwala dowolnemu lokalnemu użytkownikowi porządnie mamieszać w systemie plików, a teraz okazało się, że w kernelu 2.4 w kodzie NetFiltra jest równie poważna dziura.

Jeżeli intruz jest w stanie ustanowić połączenie FTP przechodzące przez Linuksa z jądrem 2.4 i firewallem opartym na iptables, który pozwala na połączenia zależne (iptables … –state RELATED…), to może on wstawić pozycję do tablicy RELATED firewalla pozwalającą na połączenie z serwera FTP na dowolny port dowolnego hosta chronionego regułami firewalla.