hacking.pl

Codzienna dawka nowych wiadomości ze świata bezpieczeństwa. Tutoriale, narzędzia, linux oraz testy penetracyjne.

Szantażyści zaatakowali Hotmail

Użytkownicy hiszpańskojęzycznej wersji serwisu pocztowego Hotmail, padli ofiarą szantażu.

Cyberprzestępcy włamują się na ich skrzynki pocztowe, kopiują wszystkie wiadomości oraz książkę adresową, a następne kasują zawartość konta.

Na koncie pozostaje jedynie list od przestępców, którzy żądają pieniędzy za oddanie listów. W przeciwnym razie grożą ich skasowaniem.

Firma Websense informuje, że nazwy użytkownika oraz hasła do kont zostały zdobyte przez cyberprzestępców w kafejkach internetowych, dzięki zainstalowanemu tam oprogramowaniu szpiegującemu.

Szantaż to nic nowego w cyfrowym świecie. Istnieją konie trojańskie, które szyfrują ważne pliki na zainfekowanym komputerze i domagają się okupu za hasło dostępu.

Zdarza się również, że cyberprzestępcy grożą firmom atakiem DDoS jeśli te nie zapłacą im pieniędzy.

Źródło: Arcabit

Microsoft udostępnił niegotową poprawkę

Microsoft poinformował o przypadkowym udostępnieniu poprawki dla nieujawnionych jeszcze luk w pakiecie Office 2004 dla systemu Mac.

W blogu prowadzonym przez Security Response Center można przeczytać, że poprawka nie została jeszcze skończona, a specjaliści Microsoftu ciągle nad nią pracują.

Wiadomo, że luka w pakiecie biurowym pozwala atakującemu na „nadpisanie zawartości pamięci szkodliwym kodem”.

Mike Reavey, jeden ze specjalistów firmy z Redmond uważa, że użytkownicy nie powinni pomylić poprawki dla systemu Mac z ostatnio opublikowanym zestawem dla Windows.

Podkreślił też, że łata nie ma nic wspólnego z odkrytymi niedawno nowymi błędami w Wordzie.

„Opublikowana przez pomyłkę aktualizacja to wersja, która służy nam do wewnętrznych testów. Z powodu błędu człowieka doszło do jej przypadkowego upublicznienia przed zakończeniem przez nas testów” – mówi Reavey.

Nie był jednak w stanie poinformować, kiedy ukaże się gotowa poprawka dla pakietu Office 2004 pracującego pod kontrolą systemu Mac.

Źródło: Arcabit

Hasło do banku w komórce

Około 1,3 mln użytkowników bankowości internetowej w Polsce korzysta już z haseł jednorazowych wysyłanych sms’em.

Stały login i stałe hasło to za mało, by zapewnić bezpieczeństwo klientowi obsługującemu rachunek przez Internet.

Dlatego w bankach, które nie stosują podpisu cyfrowego, potencjalnie niebezpieczne operacje autoryzuje się dodatkowym hasłem, wykorzystywanym tylko raz.

Na rynku długo dominowały dwa rozwiązania – listy haseł jednorazowych, np. w postaci kart zdrapek, oraz znacznie droższe tokeny, czyli miniaturowe urządzenia elektroniczne generujące ciągi znaków.

Obecnie coraz większą popularność zdobywa trzecia możliwość – przesyłanie tych haseł esemesem na wskazany przez klienta numer telefonu.

Banki decydujące się na takie zabezpieczenie argumentują to na dwa sposoby.

Po pierwsze, ich zdaniem zwiększa to wygodę użytkownika. Komórkę klient ma zawsze przy sobie, przesłanie kodu trwa najwyżej kilka sekund.

Odpada też problem pilnowania listy z hasłami czy oczekiwania na dostarczenie nowej, gdy poprzednia zostanie wykorzystana. Drugim plusem jest większe bezpieczeństwo klientów.

– Lista haseł jednorazowych jest predefiniowana, natomiast kod wysyłany w wiadomości esemesowej jest generowany dla konkretnej transakcji – na konkretny rachunek do określonego odbiorcy.

Gdyby nawet został przechwycony, próba wykorzystania go do potwierdzenia innej operacji nie powiedzie się – wyjaśnia Damian Zozula, dyrektor biura marketingu internetowego w Citibanku Handlowym.

W popularyzacji usługi pomógł też rachunek kosztów. Zdaniem bankowców wysyłanie haseł może być tańsze niż przygotowywanie papierowych list.

– Stworzenie centrum SMS to jednorazowy wydatek, do tego dochodzą opłaty na rzecz operatorów GSM.

Jednak przygotowanie papierowych list z hasłami, ich druk i wysyłka również oznacza koszty ponoszone przez bank.

Centrum SMS, które rozsyła nie tylko hasła do bankowości internetowej, ale także powiadomienia o operacjach na koncie czy transakcjach kartami płatniczymi, wbrew pozorom jest dla banku tańsze – przekonuje Bartłomiej Nocoń, dyrektor ds. platformy internetowej Banku BPH.

Zakres stosowania kodów esemesowych różni się w zależności od rozwiązań przyjętych przez poszczególne banki.

BPH wymaga potwierdzania wybranych transakcji kodami tylko wtedy, gdy klient przechowuje swój klucz prywatny na serwerze banku (robi tak 80 proc. użytkowników bankowości internetowej).

W mBanku i MultiBanku kody są alternatywą dla listy haseł jednorazowych, w BZ WBK zaś – dla tokena.

Citibank przy definiowaniu nowego odbiorcy wymaga potwierdzenia operacji hasłem otrzymanym w wiadomości esemesowej lub telefonicznie.

Natomiast w ING kody są wymagane tylko przy transakcjach, których wartość przekracza określony przez bank dzienny limit.

Wkrótce lista banków stosujących hasła esemesowe wydłuży się o kilka pozycji. Ich wprowadzenie w przyszłym roku zapowiadają m.in. Fortis Bank, Invest Bank i Raiffeisen Bank.

Autor: Piotr Ceregra
Źródło: Rzeczpospolita

Zastępstwo dla krzemu

Naukowcy z Instytutu MIT w Massachusetts poinformowali o rozpoczęciu prac nad opracowaniem nowej technologii produkcji układów elektronicznych, która zapewni postęp w dziedzinie miniaturyzacji.

Przedstawiciel zespołu naukowców odpowiedzialnych za projekt badawczy, prof. Jesus del Alamo, w swojej wypowiedzi wysunął twierdzenie o konieczności szybkiego wynalezienia nowej technologii, która zapewniłaby postęp miniaturyzacji.

Zdaniem naukowca, rozwój technologii opartej na układach krzemowych ulegnie gwałtownemu zahamowaniu w przeciągu kilku lat.

W celu dalszego prowadzenia procesu miniaturyzacji, niezbędne jest opracowanie technologii, która zdoła pokonać bariery układów krzemowych.

Materiałami, które według naukowców mogłyby w przyszłości zastąpić związki krzemu wykorzystywane do produkcji układów elektronicznych, są półprzewodniki oparte na związkach pierwiastków grupy III (B, Al, Ga, In) i V (N, P, As, Sb, Bi).

Jednym z nich jest zaprezentowany przez Instytut MIT związek InGaAs. Prototypy układów, w których zastosowano ten związek, pracowały znacznie szybciej niż te, oparte na technologii krzemowej.

Według prof. del Alamo, istnieje możliwość opracowania jeszcze wydajniejszych rozwiązań.

Źródło: Vnunet

Włamanie do sieci Uniwersytetu Kalifornijskiego

Uniwersytet Kalifornijski z Los Angeles poinformował 800 000 swoich byłych i obecnych studentów oraz pracowników, że cyberprzestępcy mogli zdobyć ich dane po włamaniu do uniwersyteckiego systemu komputerowego.

Na szczęście, jak zapewnił Jim Davis, rzecznik prasowy uniwersytetu, tylko niewielka część danych, mniej niż 5%, została ukradziona.

Mimo to jest to jedno największych włamań do komputerów instytucji edukacyjnej w historii USA.

Ataki rozpoczęły się w październiku 2005 roku, a zakończyły 21 listopada 2006 po tym, jak administratorzy sieci zauważyli podejrzane zapytania zadawane bazie danych.

Cyberprzestępcy wykorzystali specjalne oprogramowanie, które odnalazło w uniwersyteckim systemie komputerowym nieznane wcześniej luki.

Obecnie wiadomo, że cyberprzestępcy szukali nazwisk oraz numerów ubezpieczenia społecznego osób znajdujących się w bazie danych.

Davis zapewnia, że baza skonstruowana została tak, iż informacje te nie są ze sobą automatycznie kojarzone, więc nikt nie został narażony na poważne niebezpieczeństwo.

W bieżącym roku doszło do wyjątkowo dużej liczby przestępstw, których celem było zdobycie danych osobowych.

Cyberprzestępcy ukradli laptop z danymi 26,5 miliona weteranów wojskowych, w Nebrasce włamali się do systemu urzędu zajmującego się pomocą dzieciom i weszli w posiadanie danych ponad 300 000 osób. Zaatakowali też około 100 szkół średnich i kilka uniwersytetów.

Źródło: Arcabit

Nowoczesne środowiska graficzne

Koło Naukowe Informatyków KERNEL zaprasza wszystkich zainteresowanych na kolejny wykład z cyklu „Linux — U mnie działa!”.

Podczas prelekcji, Przemek Kulczycki omówi i zademonstruje nowe rodzaje serwerów graficznych wykorzystujących sprzętową akcelerację: XGL, AIGLX oraz menadżery okien: Compiz, Beryl i Looking Glass.

Spotkanie odbędzie się 14-tego grudnia na krakowskiej AGH (paw. D10, sala A) o godzinie 19:10. Wstęp wolny!

Uwaga, jeśli nie dasz rady dołączyć do nas w świecie rzeczywistym – spróbuj w świecie wirtualnym! Prelekcja będzie streamowana na żywo; adres strumienia to mms://mms.ftj.agh.edu.pl/kernel

Więcej szczegółów, jak zwykle na stronach LUMD-u.

Haker czeka na decyzję

Gary McKinnon, Brytyjczyk, który wielokrotnie włamywał się do sieci Pentagonu i NASA, 13 lutego przyszłego roku usłyszy ostateczny wyrok w swojej sprawie.

Amerykanie chcą sądzić go u siebie, a zgodę na to wydał już sąd. McKinnon przegrał pierwszą apelację, w lutym rozpatrzona zostanie druga. Jeśli przegra i tę, jedyną jego nadzieją będzie Izba Lordów, która jest sądem ostatniej instancji.

McKinnon przyznał się do włamań do amerykańskich sieci. Stwierdził, że szukał tam dowodów na istnienie życia pozaziemskiego. Stwierdził również, że włamań dokonał, bo było to dziecinnie proste, a sieci NASA i Pentagonu są źle zabezpieczone. Teraz przyjdzie mu za to zapłacić.

Haker wolałby zostać osądzony w Wielkiej Brytanii. W USA może bowiem być sądzony na podstawie przepisów antyterrorystycznych. W najgorszym wypadku grozi mu tam kilkadziesiąt lat więzienia i osadzenie w bazie Guantanamo.

Źródło: Arcabit

Cyberprzestępcy rekrutują najmłodsze pokolenie

Ogłoszono raport „McAfee Virtual Criminology Report”, który pokazuje, w jaki sposób zorganizowana przestępczość rekrutuje nowe pokolenie cyberprzestępców używając tych samych technik, z których korzystała KGB do wyszukiwania agentów w szczytowej fazie zimnej wojny.

Drugi doroczny raport McAfee na temat zorganizowanej przestępczości, zawierający informacje pochodzące zarówno z czołowych europejskich jednostek do walki z przestępczością komputerową, jak i z FBI, sugeruje że zorganizowane gangi cyberprzestępców pozyskują uczniów z najlepszych szkół i ośrodków akademickich, dostarczając im wiedzy i umiejętności potrzebnych do popełniania cyberprzestępstw na masową skalę.

Studium pokazuje też, że już czternastolatkowie bywają wabieni przez cyberprzestępców obietnicami sławy i obietnicami szybkiego wzbogacenia, jednak bez ponoszenia ryzyka związanego z tradycyjnymi przestępstwami.

Autorzy raportu wskazują także na fakt wyjścia cyberprzestępców ze swoich domów do miejsc publicznych – takich, jak kafejki internetowe, hot-spoty i inne miejsca oferujące dostęp do Internetu.

Kluczowe wnioski przedstawione w McAfee Virtual Criminology Report 2006 to:

Kult Cyberprzestępczości

Cyberprzestępczość wykreowała sprawców przestępstw niemal na gwiazdy środowisk hakerskich. Specjalistyczne fora internetowe mające służyć do rozwiązywania problemów bezpieczeństwa informatycznego służyły m.in. także do promowania sztuczek hakerskich.

Wczesna rekrutacja twórców złośliwego oprogramowania

Zorganizowana przestępczość chwyta już w swoje sidła kolejną generację hakerów i twórców malware. Cyberprzestępcy rekrutują do swoich szeregów studentów i absolwentów kierunków informatycznych.

Krecia robota

Wykorzystując błędne procedury bezpieczeństwa w firmach obecni i byli pracownicy, partnerzy oraz dostawcy sami prowokują większość ataków hakerskich. Cyberprzestępcy sponsorują absolwentów, aby pozyskać wartościowe spojrzenie na firmy od wewnątrz.

Greg Day, analityk ds. bezpieczeństwa w firmie McAfee komentuje:

„Cyberprzestępczość już dojrzała i przekształciła się w ogromny biznes. Przestępcy mogą szybko zarobić ponosząc minimalne ryzyko, przez co ich szeregi cały czas rosną. Wraz z rozwojem technologii wzrasta też liczba okazji dla przestępców – okazji mających globalny charakter, nieograniczony geograficznie zasięg i nie znających barier językowych”.

Najnowszy raport McAfee na temat cyberprzestępczości podkreśla, że wirtualna anonimowość i możliwość atakowania z ukrycia stają się coraz większym wyzwaniem dla stróżów prawa.

McAfee wymieniło następujące zagrożenia, narzędzia i okazje wykorzystywane przez cyberprzestępców:

Gry umysłowe

Cyberprzestępcy w coraz większym stopniu uciekają się do wojny psychologicznej.

Liczba e-maili phishingowych wzrosła o blisko 25% w ciągu ostatniego roku, ale są coraz cięższe do wykrycia.

Coraz częściej stosowane są „codzienne” scenariusze w miejsce wcześniejszych nieprawdopodobnych ofert nagłego otrzymania dużej ilości gotówki. Np. coraz częściej stosowany jest „spear phishing”, udający korespondencję pochodzącą od przyjaciół i znajomych, w którym nakłania się użytkowników do podawania nazw kont i haseł.

Tego typu spersonalizowane sztuczki, kierowane do małych organizacji i konsumentów, okazują się bardzo skuteczne i trudne do wykrycia.

Socjotechnika

Cyberprzestępcy atakują duże grupy ofiar związane z sieciami społecznymi i serwisami społecznościowymi. Twórcy szkodliwego oprogramowania zarabiają na ich popularności tworząc fałszywe profile i strony zawierające adware, spyware i trojany.

Cyberprzestępcy zbierają także informacje na temat członków internetowych społeczności i wykorzystują kopie ich profili w celach przestępczych.

Wycieki danych

Dane są wciąż narażone na kradzież nawet bez konieczności stosowania wyrafinowanych metod i cyberprzestępcy bardzo często z tego korzystają.

Np. stosowanie licznych haseł zarówno w związku z aktywnością zawodową, jak i hobbystyczną, powoduje, że bardzo często hasła są łatwe do odgadnięcia.

Niezabezpieczone pamięci wymienne ułatwiają przenoszenie informacji, a konwergencja technologii wprowadza dodatkowe ryzyko.

Sieci botów

Zgodnie z przewidywaniami zawartymi w ubiegłorocznym raporcie, sieci zdalnie sterowanych komputerów „zombie” są obecnie najbardziej rozpowszechnionym narzędziem stosowanym przez komputerowych złodziei.

Na całym świecie przynajmniej 12 milionów komputerów jest wykorzystywanych do phishingu, nielegalnego spamowania, rozprzestrzeniania pornografii, a także kradzieży haseł i tożsamości.

Przyszłość

Raport wskazuje także na zagrożenia, które będą nabierać znaczenia podczas następnych 12 miesięcy.

Smartphony i wielofunkcyjne telefony komórkowe będące w istocie przenośnymi komputerami stają się wyznacznikiem określonego stylu życia.

Zgodnie z przewidywaniami, to tam właśnie cyberprzestępcy będą szukać informacji w nadchodzących miesiącach. Rosnąca popularność Bluetooth i VoIP spowodują powstanie nowej generacji hakowania telefonów.

Źródło: informacja prasowa

Chcę zgłębić tajemnice hackingu

Precedensowy pozew za aukcję na Allegro

Koniec żartów na internetowych aukcjach. Sąd rozpatrzy precedensowy pozew mężczyzny, który wylicytował na atrakcyjnych warunkach luksusowego dżipa, ale go nie kupił, bo właściciel się rozmyślił.

Sprawę wytoczył Adam S. z Warszawy. W lipcu tego roku zalogował się na znanym internetowym serwisie aukcyjnym Allegro.

Wypatrzył ofertę sprzedaży luksusowego Jeepa Grand Cherokee.
Cena wywoławcza była niezwykle kusząca. Za sześcioletni samochód z 240-konnym silnikiem żądano ledwie tysiąc złotych!

I co ciekawe nie ustalono ceny minimalnej.

Licytacja nie była oszałamiająca. Zgłoszono sześć ofert. Adam S. zaproponował najwyższą cenę 23,1 tys. zł.

Wygraną potwierdził portal Allegro, oznajmiając jednocześnie, że formalności musi dokonać z właścicielem dżipa Robertem P., również warszawiakiem. Problem w tym, że P. nie chciał już sprzedać auta.

S. poprosił Allegro o wyjaśnienia. Firma tłumaczyła, że w momencie zakończenia licytacji dochodzi do zawarcia umowy sprzedaży. I jeśli wystawiający rzecz na aukcji unika transakcji można skierować przeciwko niemu sprawę do sądu.

– Allegro.pl nie jest stroną transakcji. My dostarczamy możliwość przeprowadzania transakcji w internecie. Obrazowo można to ująć tak: Allegro to wielki bazar, na którym sprzedający wystawiają swoje towary. My dbamy, by na tym bazarze było czysto, bezpiecznie i nikt nie oszukiwał – mówi Patryk Tryzubik z Allegro.pl

Adam S. złożył więc pozew. Domaga się, żeby sąd stwierdził w wyroku, że doszło do sprzedaży dżipa, dzięki czemu może żądać wydania samochodu.

Rozprawa odbędzie się po świętach. – Nie wiemy, dlaczego sprzedawca się wycofał. Nie przyszedł na wyznaczony przez nas termin zawarcia umowy – mówi mec. Dorota Gulińska-Aleksiejuk, prawnik Adama S. Dodaje, że sprawa jest precedensowa.

Potwierdza to specjalizujący się w prawie własności intelektualnej i handlu elektronicznym mecenas Oskar Tułodziecki, z kancelarii Hogan & Hartson: – Nie słyszałem o podobnej i nie jest ona prosta.

Co na to Robert P.? – Podczas wystawiania samochodu na licytację zrobiłem błąd. Nie wpisałem ceny minimalnej. Potem popsuł mi się modem i nie miałem dostępu do serwisu aukcyjnego – tłumaczy P.

Mówi, że był zaskoczony wynikami aukcji, bo liczył, że dostanie za samochód ok. 45 tys. zł. Dodaje, że nie sprzeda Adamowi S. samochodu. Czeka na rozprawę.

Patryk Tryzubik z Allegro uważa, że taki błąd nie podważa legalności transakcji. Przypomina, że zanim ktoś zacznie handlować, powinien dokładnie przeczytać regulamin serwisu.

W zeszłym roku na Allegro przeprowadzono 13,4 mln aukcji. W tym roku już prawie 20 mln. Serwis ma ponad 5 mln użytkowników. Najczęściej handluje się tu sprzętem RTV i AGD, komputerami i aparatami fotograficznymi. Coraz bardziej popularne są ubrania. W tym roku wartość przedmiotów, które przewinęły się przez serwis, sięga 2 mld zł.

Zdaniem prawników coraz więcej spraw o wirtualny handel będzie trafiać do sądu, bo nie wszyscy sprzedawcy traktują poważnie swoje oferty. A precedensowy spór o dżipa może pomóc ukrócić bezkarność w internecie.

Źródło: gazeta.pl

Cyberatak na Szkołę Marynarki Wojennej USA

Amerykańska Szkoła Marynarki Wojennej w Newport wciąż nie ma dostępu nawet do poczty elektronicznej po tym, jak została zaatakowana przez chińskich cyberprzestępców.

Atak został odkryty przed miesiącem przez Dowództwo Operacji Obrony Cybernetycznej Marynarki Wojennej. Był tak dobrze przeprowadzony, że szkoła na wiele tygodni została odłączona od Sieci, by zbadać szczegóły ataku.

Wojskowi specjaliści szybko doszli do wniosku, że atak przeprowadzono z terytorium Chin i powiązali go z całą serią ataków o nazwie „Titan Rain”, które Chińczycy przeprowadzili na elektroniczne systemy obronne Stanów Zjednocznych.

Atak na Szkołę był o tyle niebezpieczny, że zadaniem tej szkoły jest rozwijanie technologii umożliwiających prowadzenie cyfrowej wojny.

Jeden z amerykańskich urzędników powiedział: „Szkoła Marynarki Wojennej jest tym miejscem, w którym Grupa Studiów Strategicznych Marynarki Wojennej planuje i sprawdza techniki prowadzenia wojny cybernetycznej. Teraz nie mają nawet dostępu do e-maila”.

Źródło: Arcabit