Aktualności

Firma Red Hat zamierza wypromować włąsną bazę danych. Będzie ona rozpowszechniana jako open source, a nazywać się będzie po prostu Red Hat Database. Przewiduje się iż fakt zaistnienia takiego produktu na rynku może wywrzeć duży wpływ na kształt oferty innych firm…

oferujących bazy danych, zarówno te open source (NuSphere, Abriasoft, IBPhoenix) jak i tradycyjne (Oracle). Red Hat przygotował swoją bazę danych we współpracy z firmą Great Bridge, która już od dawna specjalizuje się w oprogramowaniu tego typu. Great Bridge sprzedaje usługi i produkty oparte na bazie danych open source PostgreSQL. Domyślać się można że i produkt Red Hat’a nawiązywać będzie do tego programu.

Microsoft był bardzo zaskoczony po tym kiedy rano 22 czerwca hakerzy zdjęli nie jedną, nie dwie lecz trzy strony korporacji w zaledwie pół godziny. Później aby jeszcze bardzie skompromitować firme ten sam hacker zmienil czwartą strone. Po południu tego samego wyczynu dokonała inna grupa.

„Prime Suspectz” przyznali się do czterech włamań z dostępem do: feeds.mobile.msn.com, redsand.rte.microsoft.com, arulk.rte.microsoft.com i webcfeedback.msn.com.

Wszystkie wyczyny były dokonane przy użyciu dziur w Microsoft Internet Information Service (IIS) uruchomionych na Windows NT i 2000.

Hacker zmieniając strony na zajętych serwerach zostawił po sobie tekst: „Prime Suspectz again! One, two, three in only 30 minutes. As we can see, this server IIS is very good!! Micro$oft, where i find secure products made by you? WHERE?”.

Po jakimś czasie jedna z zhaczonych stron – webcfeedback.msn.com – została zmieniona ponownie. Tym razem przez grupe „Silver Lords” którzy wykorzystali okazję do promocji ich protestu przeciwko łamaniu praw człowieka w Kaszmirze.

Wczoraj serwery Sierry umożliwiające grę on-line w Tribes 2 padły ofiarą ataku Denial of Service (DoS). Zostały obciążone taką ilością pakietów, że nikt z zewnątrz nie mógł z nich skorzystać.

W tym samym czasie włamano się do systemu autentyfikacji i automatycznej aktualizacji :-), zarządzanego przez firmę Sierra. Niektóre z plików znajdujących sie na serwerach uległy zniszczeniu. Nie bardzo jednak wiadomo co chcieli osiągnąć przez to hackerzy.

Jak do tej pory administratorzy systemu Linux narzekali na brak oprogramowania umożliwiającego kompleksowe zarządzanie. Dzięki firmie Caldera sytuacja ta chociaż częściowo się zmieniła. Firma ta wydałą pakiet dla administratorów o wdzięcznej nazwie Volution.

Obsługi pakietu dokonuje się przy pomocy przeglądarki. Volution zawiera moduły umożliwiające ewidencjowanie sprzętu i oprogramowania, dystrybuowanie oprogramowania, sprawdzanie stanu systemów, wykonywanie zaplanowanych zadań, zarządzanie drukarkami i kolejkami drukowania. Pakiet obsługuje RPM.

Niestety Volution nie współpracuje poprawnie z wszystkimi dystrybucjami Linuxa. Wśród obsługiwanych są Caldera, Red Hat (6.x), TurboLinux, SuSE 6.4, Mandrake 7.1. Problemy zaś z poprawnym działaniem będą mieli użytkownicy Debiana.

Firma Hypercom, zajmująca się produkcją systemów obsługi kart płatniczych, poinformowała o odkryciu problemów związanych z czytnikami kart magnetycznych. Według jej pracowników zainstalowany w dowolnym czytniku kart układ elektroniczny może pozwolić niepowołanym osobom wejść w posiadanie danych karty płatniczej i przesłac je przy wykorzystaniu linii telefonicznej pod dowolny numer. Nielegalne układy odczytujące zostały wykryte w urządzeniach zainstalowanych w Hong Kongu.

Jak informują przedstawiciele firmy zagrożone mogą być terminale na całym świecie, niezależnie od producenta.

Monitoruje przepływ pakietów danych pomiędzy twoim komputerem a serwerami internetowymi.

W momencie wykrycia potencjalnego zagrożenia aplikacja wyświetla stosowną informację zalecając jednocześnie natychmiastowe zakończenie sesji internetowej.

Od dłuższego czasu słyszy się o nowych dziurach w IIS. Pojawiają się expolity a zaraz potem… lub długo potem patche do IIS. Czy to oznacza, że IIS nie może być bezpieczny?

Nie! Firma eEye Digital Security na swoich stronach udostępniła wersje piętnastodniową programu SecureIIS Web. Jest to firewall na IIS, który umożliwia zablokowanie dostępu nie powołanym osobom. Za pomocą przyjaznego środowiska daje nam możliwość prostego wybory opcji, które chcemy przyblokować. Umożliwia nam on także dodawanie poszczególnych filtrów w zależności od naszych potrzeb. Gorąco polecam!

Postanowiłem, że zamieszczę tutaj krótki opis jego możliwości oraz ciekawe linki do stron o IIS. Opis jest krótki, ale wystarczający aby zapoznać się możliwościami.

Krótki opis działania i zastosowania programy SecureIIS Web
I. OPIS FUNKCJI
II. KRÓTKA ADNOTACJA
III. CRACK
IV. LINKI
I. O P I S F U N K C J I

Atak Buffer Overflows:

Jak podali w readme (i z tego co ja wiem) polega na przesłaniu „dużego” żądania do komputera ofiary (np. zbyt długa nazwa) Server Web stara się skopiować to przesłanie do określonego wcześniej dużo mniejszego buffora i wtedy następuje przepełnienie buffora. Jeżeli już program będziemy używali to podobnie jak oni zalecam zaznaczenie wszystkich opcji- jest to w końcu podstawowy atak hackerów 🙂
Protekcja Shellcode:

Rozszerzenie wcześniejszej protekcji. Nie, które buffory są zbyt małe aby móc je zabezpieczyć więc shellcode chroni je (te buffory) przed złamaniem, przełamaniem. Warto zaznaczyć wszystkie w celu dobrej ochrony.
Filtrowanie Klawiatury:

Chodzi to, że wszystkie żądanie z nazwą, która jest filtrowana będą zatrzymane. W przypadku domyślnym (zaraz po instalacji) następuje automatyczna blokada UNICODE… bez potrzeby ściąganie instalowania patcha do danego sytemu. Zalecane aby te, które są zaznaczone były dalej zaznaczone. Jest możliwość dodawana nowych filtrów 🙂

Linki do patch oraz biuletynów MS na temat UNICODE:
1/2

Blokuje polecenia np.:
http://target/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

http://target/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir

http://site/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+copy+..\..\winnt\
system32\cmd.exe+cmd1.exe

gdzie target to nasz cel np. mp.timsi.pl

Więcej na temat UNICODE i innych kluczowych słów można znaleźć na stronach:
http://www.securityfocus.com/bid/1806
http://www.securityfocus.com/bid/1814
Zezwalanie na „przeglądanie” odpowiednich folderów:

SecuresIIS Web domyślnie wybrał kilka folderów. Jedyną odmianą do wcześniejszych opcji tutaj jest to, że zaznaczenie oznacza umożliwienie zaglądania do folderu. Oznacz to, że jeżeli nasza strona stoi u nas to jest ona w katalogu \Inetpub\wwwroot lub \Inetpub\webpub użytkownicy zewnątrz powinni mieć dostęp aby móc ogląda postawioną stronę u nas 🙂 Ale to wiąże się z pewnym niebezpieczeństwem… odwołuje więc do faq na nt.faq.net.pl:

http://nt.faq.net.pl/articles.asp?id=215

który mówi o tym w jaki sposób hacker, czy jak ktoś woli cracker wie gdzie znajduje (w jakim folderze) się strona WWW i jeżeli (jeżeli!) się do nas dostanie będzie wiedział gdzie iść aby podmienić stronę.
Metody HTTP:

Chodzi to oto, co jest zezwolone przeglądającemu. To znaczy… w opcjach domyślnych jest zezwolone:

GET: umożliwia użytkownikowi przeglądanie strony, przejście za pomocą linka do następnej strony.

POST: Umożliwia wypełnianie ankiet itp.

Inne to:

PUT: umożliwia skopiowanie pliku z dysku użytkownika na twoją stronę

OPTIONS: Umożliwia użytkownikowi na wprowadzanie wszelkiego rodzaju komend, które twój Serwer Web rozumie. Nie jest zalecane zaznaczenie tej opcji.

HEAD: Komenda te zezwala osobie prowadzącej ofensywę na stronę dowiedzieć się co zostało zainstalowane, jaki serwer, jakie dodatki. Nie zalecane zaznaczenie!

DELETE: Umożliwia użytkownikowi przeglądającemu naszą stronę kasowanie plików. Nie zalecane. Niestety produkt FrontPage Server Extensions wymaga zaznaczenia tej opcji 🙁

COPY: Umożliwia kopiowanie plików na twój serwer pocztowy przez użytkownika zewnątrz.

MOVE: Umożliwia przenoszenie plików na twoim serwerze przez użytkownika zewnątrz.

MCOL: Umożliwia tworzenie plików i katalogów na twoim serwerze przez użytkownika zewnątrz.
Różne:

Na razie jest tam zawarta jedynie ochrona przeciw poruszaniu się po katalogach przez odpowiednie komendy i poprzez odpowiedni rodzaj: URL, Headers, Post Data, Query String. Rozszerzenie blokady np.: UNICODE czy problemu z ASP np.: komendy

http://target/file%2easp

gdzie target to tak jak poprzednio nasz cel np.: mp.timsi.pl

Więcej na temat tej dziury:
www.securityfocus.com/bid/1814
Selcet Error File

Jest nie dostępny w wersji Trial. Patrz III. C R A C K

II. K R Ó T K A A D N O T A C J A

Wszystkie opcje oprócz dwóch pierwszych NIE SĄ ZALECANE!!! Nie należy ich ZAZNACZAĆ dla większego bezpieczeństwa serwera.

Tak ogólnie… program służy tylko i wyłącznie zabezpieczeniom! Nie sprawdza on podatności naszego IIS na ataki. Do tego potrzebny będzie inny program.

Wersja trial obejmuje 15 dnie 🙁

Aha… po przygotowaniu wszystkich opcji (zaznaczeniu lub odhaczeniu) wciskamy „Aplly”… z restartuje to polecenie nasz serwer Web (bez potrzeby restartu komputera) i dodana lub odhaczy opcje, które zmieniliśmy.

Jeżeli pojawił nam się wcześniej lub teraz napis „Arm” to wciskamy go aby zabezpieczyć nasz system. Zmieni on wtedy nazwę na „Disarm”. Bez wciśnięcia przycisku „Arm” nasz serwer nie będzie zabezpieczony!

III. C R A C K

Aby móc korzystać z cracka, trzeba go najpierw ściągnąć

http://astalavista.box.sk

Tam wpisujemy w wyszukiwaniu: SecureIIS

Następnie wchodzimy na dwa ostatnie pojawiające się linki (oba prowadzą do tego samego pliku). Ściągamy piczek i go rozpakowujemy.

Po rozpakowaniu wchodzimy do katalogu \winnt\system32 i kasujemy katalog:

5351-8621-2429-7641-5704

Po skasowaniu uruchamiamy program SecureIIS i kopiujemy nasz Referencyjny kod.

Uruchamiamy craka. Wpisujemy użytkownika po nim wklejamy nasz kod, który skopiowaliśmy. Na dole okienka widnieje przycisk „Generate”. Obok niego po lewej pokazuje nam się kod. Kopiujemy go i idziemy do okienka z naszym uruchomionym programem SecureIIS. Tam w drugim text polu wpisujemy użytkownika a do trzeciego wklejamy wygenerowany kod. Program jest już z crakowany więc jest udostępniona opcja „Select Error File”

IV. L I N K I

Więcej informacji na temat bezpieczeństwa IIS:
http://www.securityfocus.com/…

Logi:
http://www.securityfocus.com/…

Zabezpieczanie:
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/focus/…

Spis patchy:
http://www.securityfocus.com/…

Spis dziur z opisami, expolitami i spolitami:
http://www.securityfocus.com/focus/…

Polskie zasoby bezpieczeństwa IIS:
http://nt.faq.net.pl/…
http://nt.faq.net.pl/…

Sprawdzian bezpieczeństwa IIS (nie działa przez firewall i przez serwer PROXY)
http://www.faq.net.pl/…

Prosty w obsłudze firewall do ochorny komputerów połączonych z Internetem przez modem, DSL lub sieć LAN.

Blokuje każdą niepożądaną transmisję i informuje o tym użytkownika. Raport o tym zdarzeniu można przesłać do serwisu www.hackerwatch.org, gdzie zostanie on poddany analizie.

Pobierz program [1.33 MB]

Narzędzie do ochrony przed atakami z Internetu pojedynczych komputerów i małych sieci.

Program chroni przed atakami hakerów komputery z dostępem do Internetu pracujące osobno oraz pracujące w małych lokalnych sieciach złóżonych z kilku komputerów. Defender chroni też przed atakami z lokalnej sieci.

Do ochrony instalacji sieciowych służy NetworkICE Security Suite, oparty na tym samym engine.

Program posiada funkcje inteligentnego firewalla uaktywnianego przez bardzo szybki, inteligentny i autonomiczny system wykrywania ataków (BlackICE), który analizuje transmisje danych na wielu poziomach, z wartstwą aplikacji włącznie.

W czasie rzeczywistym analizowany jest CAŁY ruch wychodzący i przychodząc z Internetu lub lokalnej sieci skierowany do komputera, na którym jest zainstalowany program.

System BlackICE do identyfikaji ataków wykorzystuje dynamiczną analizę ruchu i zdarzeń w sieci.
Dzięki technologii BlackICE Defender potrafi zatrzymać ataki (np: „fragmented attacks” lub skanning NMAP), z którymi nie radzą sobie inne programy typu Personal Firewall, używające do wykrywania ataków tradycyjnych technik porównywania przechwyconych pakietów z sygnaturami.

Ataki blokowane są w sposób, który nie powoduje przerwania normalnej komunikacji z Internetem lub lokalną siecią.

Program podczas pracy nie powoduje odczuwalnych spadkow wydajości komputera lub transmisji danych

Program jest bardzo łatwy w instalacji i użytkowaniu zapewniając wysoki stopie ochrony zaraz po instalacji bez konieczności mozolnej konfiguracji.

Pobierz program [2.89 MB]

Apple wypuściła uaktualnienie do systemu Mac OS X. Mimo iż sądzono że firma opatrzy uaktualnienie numerem 10.0.5, Apple postanowiło oznaczyć je numerem 10.0.4 pozostając przy dotychczasowej kolejności. Jak informuje producent sytemu Mac OS X 10.0.4 wprowadza wiele usprawnień, zwłaszcza w kwestii obsługi urządzeń USB czy zarządzania energią w komputerach PowerBook G3. Wzmocnione zostały zabezpieczenia OpenSSH jak i dodano wsparcie dla najnowszych wyświetlaczy LCD.