Nowy backdoor w routerach D-linka

Wykryto nowe zagrożenie polegające na umożliwieniu dostępu po http do panelu pozwalającego na logowanie bez hasła.  Problem dotyczy

DIR-100
DI-524
DI-524UP
DI-604S
DI-604UP
DI-604+
DIR-615
TM-G5240
Oraz w kilku routerach firmy Planex: BRL-04UR, BRL-04CW.

Po ściągnięciu firmware v.13.1 można zauważyć, że obraz zawiera serwer thttpd. Uwagę powinien zwrócić fragment alpha_auth_check. Okazuje się, że po zbadaniu tej funkcji możliwe jest zalogowanie się do panelu administracyjnego na prawach administratora bez konieczności podania hasła. Do tego celu wystarczy ustawić User-Agent przeglądarki na xmlset_roodkcableoj28840ybtide.

Szacuje się, że urządzeń, które są zagrożone jest naprawdę dużo, dlatego warto zwrócić uwagę na kilka elementów.  Jeśli z naszej sieci korzystają również nieznani użytkownicy warto przemyśleć wyłączenie webinterfece-u i przełączenie się na połączenie SSH, przynajmniej do czasu wydania łatki przez TP-linka.

Alternatywnie można podmienić webinterface na inny np. DD-WRT lub Open WRT.

Okradzione ADOBE – zagrożenie atakami wzrasta

Adobe to firma, które w swojej ofercie posiada oprogramowanie wysoce wyspecjalizowane i to zarówno płatne jak i darmowe. Oczywiście najpopularniejszym narzędziem tego koncernu jest Acrobat Reader powszechnie używany jako program do odczytu plików w formacie PDF (jedną z ciekawszych alternatyw jest Foxit Reader).

Podczas włamania na serwery firmy łupem włamywaczy, padły zarówno hasła zarejestrowanych użytkowników, wraz z numerami ich karet płatniczych ale również, kod źródłowych co najmniej dwóch produktów.  Firma szacuje, że wykradzeniu uległo 3 milionych danych dotyczących użytkowników. Szczegółowo ustalono, że łupem włamywaczy padły loginy, hasche haseł, zaszyfrowane numery kart płatniczych. Adobe pozmieniało już nawet prewencyjnie hasła i rozesłało maile do poszkodowanych userów. Większym problemem jest jednak kradzież kodów źródłowych. Możliwości są dwie. Albo w trakcie ataku kod źródłowy został tak zmodyfikowany by umożliwić włamanie, lub też zostanie w przyszłości zbadany i wykorzysta słabe miejsca do włamań. Bardziej realistyczna wydaje się druga hipoteza, choćby ze względu na fakt, że znacznie trudniej jest w krótkim czasie w jakim przeprowadzany jest atak pracować jeszcze nad modyfikacją świeżo przechwyconego kodu.  Znacznie większe jest prawdopodobieństwo wykrycia w wykradzionym kodzie 0day’ów i wykorzystanie ich. Wiadomo, że przejęto kod dwóch narzędzi Adobe Readera i frameworka ColdFusion.

Warto zwrócić uwagę, że twórcy korzystający z tego drugiego narzędzia powinni lepiej zabezpieczyć swoje twory, gdyż odkrycie 0day’ów w tym oprogramowaniu pozwoli na wykrycie słabych stron aplikacji tworzonych przy użyciu tego frameworka.

Deniel of service w Django

Niedawno wykryto dość poważną lukę, która pozwalała na przeprowadzenie ataku ‚deniel of service’. Wypuszczono już poprawkę, która jest dostępna dla wersji Django 1.4.8, Django 1.5.4, and Django 1.6 beta 4. Atak możliwy był do wykonania przy użyciu biblioteki django.contrib.auth. Okazało się, że famework nie sprawdzał długości haseł, a przy wykorzystywanym przez niego typie szyfrowania PBKDF2 jest zabójcze. Hashowanie przebiega bowiem pod tym większym obciążeniem i dłuższe mamy hasło. Powodem tego jest specyficzne dla tego kodowania wielokrotne hashowanie, co pozwala lepiej zabezpieczyć hasła userów. Powoduje jednak, że przykładowe 1 Mb hasło przetwarzane jest na serwerze ponad minutę. Łatwo się domyśleć co by się stało, gdyby takich zapytań było więcej. Obecnie ograniczono już wielkość pakietu hasła do 4096 bajtów, co wciąż pozwala na stosowanie dostatecznie długich haseł, przy jednoczesnym nie dociążaniu serwera.

Nowy trojan wykorzystujący backdoora w Windows

To że produkty Microsoft bywają dziurawe niczym szwajcarski ser nikogo specjalnie nie dziwi, mimo, iż przed premierą każdej nowej wersji oprogramowania firma zastrzega się, że poprawiła już wszystkie błędy.

Nowe oprogramowanie ściąga się i instaluje pod systemem operacyjnym wykorzystując backdoora. Równie niebezpieczne jest to, że wirus posiada, klasycznego keyloggera. Dzięki takiemu rozwiązaniu jest w stanie wykraść prawie wszystkie hasła jakie prowadzamy z klawiatury.

Już podczas instalacji trojan o nazwie BackDoor.Saker.1 wykorzystuje złośliwy kod o nazwie temp.exe Jego zadaniem jest obejście zabezpieczeń Windowsa (UAC) Przez upośledzenie kontroli bezpośrednia wirus zyskuje możliwość uruchamiania się we wszystkich kluczowych elementach systemu np. exlplorer.exe

Na tym jednak nie koniec z pomocą programu sys.rep następuje uruchomienie ps.exe (Trojan.MulDrop4.61259), który z kolei zapisuje ‚Net Security Service’ czyli nowy klucz w systemie Windows. Oczywiście w trosce o mniej doświadczonych użytkowników zadbano by biblioteka generowała odpowiednie komunikaty np. keep watch on system security and configuration. if this services is stopped, protected content might not be downloaded to the device (Monitoruj ustawienia i zabezpieczenia systemu. Jeśli ta usługa zostanie przerwana, mogą zostać pobrane niezabezpieczone dane).

BackDoor.Saker.1 wykonuje zmianę danych w systemie kontroli wymiany danych z serwere. W ten sposób zbierane są bardzo zróżnicowane dane, które są przekazywane cyberprzestępcom.  Co ciekawe udało się ustalić, że zbierane są takie informacje jak wersja Windows, obciążenie pamięci RAM, szybkość procesora, nazwa komputera czy numer seryjny dysku twardego.

Zależnie od zwrotnego komunikatu serwera może dokonać wyłączenia komputera zmieszczenia zawartości, uruchomienie własnego menadżera plików.

Kradzież haseł łatwiejsza niż zwykle w CHROME

Niedawno jeden z użytkowników przeglądarki CHROME odkrył, że przechowuje ona zapamiętane hasła w sposób wprost skandaliczny, bez szyfrowania. Jakie było jego zaskoczenia gdy odkrył, że odwiedzając katalog

chrome/settings/passwords może bez problemu odczytać wszystkie swoje hasła SIC!

Użytkownik zgłosił ten fakt, ale jakie musiało być jego rozczarowanie, gdy w odpowiedzi przyszło mu usłyszeć, iż zabezpieczanie fizycznego dostępu do komputera leży po stronie użytkownika. Jakoś nikt nie pomyślał, iż włamanie i przejęcie kontroli nad komputerem z zewnątrz również daje nieograniczoną możliwość odczytywania haseł. Wygląda na to, że spychologia i ignorantyzm twórców jednej z popularniejszych przeglądarek, trudno już nazwać tylko brawurą.

Trzeba jednak mieć na uwadze, że jakiekolwiek zapamiętywanie haseł w dowolnej przeglądarce jest operacją wysokiego ryzyka godzącą w bezpieczeństwo informatyczne.

Orbit Downloader zagrożeniem dla komputerów

Podczas badań przeprowadzonych przez Eset okazało się, że jeden z najpopularniejszych programów do ściągania plików Orbit Downloader ma w sobie złośliwy kod. Przypomnijmy, że Orbit jest menadżerem do pobierania plików, który integruje się z przeglądarką internetową, program przyśpiesza pobieranie plików, oraz pozwala na zapisywanie na dysku strumieniowego przekazu multimedialnego (np. filmików z YouTube). Sama aplikacja cieszy się dużą popularnością i jest darmowa, choć jej producent zarabia pośrednio na wyświetlaniu reklam zarówno podczas instalacji jak i użytkowania programu. Eset standardowo kontroluje takie narzędzia by zapobiec samoistnemu (bez zgody użytkownika) wyświetlaniu reklam oraz instalowaniu fragmentów aplikacji (np. pasków narzędzi toolbar).

Dokładniejsza analiza wykryła, że w Orbit pomiędzy wersjami 4.1.1.14 a 4.1.1.15 dodano fragment złośliwego kody zaklasyfikowany jako Win32/DDoS.Orbiter.A.

Wspomniany komponent pozwala niezauważalnie dla użytkownika przeprowadzić z pomocą jego komputera atak DoS. Czyli komputer wysyła zapytanie do wskazanego servera pod fałszywym IP co powoduje zawieszenie połączenia. Jeśli przyjąć, że więcej zarażonych Orbitem komputerów zadaje identyczne zapytania w tym samym czasie to mówimy już o ataku DDoS. Z pomocą takiego ataku można doprowadzić do przeciążenia servera i zawieszenia działalności strony lub serwisu.

Program na własnym komputerze można dość łatwo wykryć oglądając obciążenie ruchu internetowego, ponieważ program generuje mocno obciążającą liczbę zapytań.

Darmowe programy do PDF

PDF staje się powszechnym formatem w obiegu dokumentów, dlatego coraz częściej do tworzenia dokumentów. Przede wszystkim warto wspomnieć, że wcale nie trzeba korzystać z płatnych wersji oprogramowania by PDF tworzyć.

Wystarczy stworzyć dokument w darmowym pakiecie Libra Office a następnie stworzony dokument wyeksportować do formatu PDF. W przypadku konieczności edycji treści, zmieniamy ją w pliku bazowym, a następnie ponownie eksportujemy do PDF.

Do odczytywania plików można wykorzystać szereg darmowych programów:

  • Acroba Reader
  • doPDF
  • Foxit Reader
  • Free eXPert PDF
  • PDF24 Creator
  • Nitro Reader
  • PD Mate PDF MERGE
  • Sumatra PDF

GPS w służbie złodzieja

W dzisiejszych czasach kiedy mobilność wymusiła na producentach smartfonów obowiązkową wręcz nawigację GPS wykorzystanie tej technologii stało się powszechne. Niemniej nawigacja pozwalająca określić pozycję lub wyznaczyć trasę miedzy kilkoma pozycjami to dziś zaledwie ułamkowa wykorzystania technologii GPS. Przede wszystkim  coraz bardziej zaawansowane są prace nad tzw autopilotem, który porusza się bez udziału osób pa trasie wyznaczonej według wskazań danych GPS. Sam sygnał z wykorzystaniem internetu mobilnego jest także doskonały do badania trasy i lokalizacji floty dowolnego przedsiębiorstwa. Według wielu miał to być tani i szybki sposób na ograniczenie procedery wykorzystywania pojazdów służbowych do celów prywatnych, sprzedaży „lewego paliwa”. Szybko jednak sprawdziła się maksyma, że potrzeba jest matką wynalazku i że już za około 300 zł można zakupić remedium w postaci urządzenia zagłuszającego skutecznie sygnał GPS. (Swoją drogą to kuriozalne, że np. w krajach anglosaskich odpowiedzialność za brak sygnału z bliżej niewyjaśnionych przyczyn przez dłuższy okres czasu spoczywa na użytkowniku np. samochodu, który musi udowodnić, że nie korzystał z urządzenia zagłuszającego. W Polsce nie ma przepisów jasno regulujących te kwestie.)

Spoofing GPS (czyli technika podmieniania poprawnych danych na sfałszowane w celu uzyskania konkretnych efektów) nie jest wcale techniką nową – prowadzono już eksperymenty, które pozwalały na zmianę trasy ciężarówki nawigowanej przez wbudowany system GPS. Podobno udało się z pomocą tech techniki przejąć także drona. Ostatnie doniesienia jednak lekko przerażają, gdyż w ramach eksperymentu udało się przejąć wart bagatela 80 mln dolarów jacht. Bez problemu udało się spowodować by jacht reagował na komendy prawo, lewo oraz pozwolił się nastawić na kurs kolizyjny. Pocieszeniem może być w prawdzie fakt pilot nie kieruje się wyłącznie odczytami GPS. Eksperyment pokazał jednak, że powodzeniem mogłoby się zakończyć także podobne przejęcie np. samolotu.

Pocieszający jest fakt, że zawsze jeszcze mamy weryfikujący czynnik ludzki a bezzałogowe samoloty zamiast ze zwykłego GPS korzystają z jego kodowanej formy.

Konkursy nowy sposób wyłudzania danych od internautów

Istnieje wiele sposobów wyłudzania danych w internecie. Przez miniony okres jednym z powszechniejszy był fishing. Jakiś czas temu powszechne było wyłudzanie danych z pomocą stron informujących o danych jakie wyciekły z różnych stron lub np. z Facebooka. Obecnie zapanowała moda na fałszywe konkursy. Okres letni wydaje się być idealny dla zastosowania tego rodzaju wyłudzenia. Według specjalistów z ESET w ostatnich miesiącach ankiety i fałszywe konkursy to najczęstsze narzędzia pozyskiwania danych użytkowników do celów przestępczych.

Jak najczęściej wygląda atak?

W czasie korzystania z zasobów internetu internauci natrafiają na graficzny baner lub pop-up informujący, że w konkursie można wygrać atrakcyjną nagrodę np. Smartfon lub Tablet. By uzyskać możliwość wygrania gadżetu trzeba odpowiedzieć na kilka prostych pytań lub wypełnić ankietę w obu przypadkach pozostawiając swoje dane kontaktowe tj numer telefonu oraz e-mail. W najlepszym wypadku obie dane trafią do spamerów i zostaniemy zasypani niechcianymi reklamami. Częściej jednak zdarza się tak, że zostaje na nasz numer telefonu włączona bardzo kosztowna funkcja sms-ów premium.

Jak można chronić swoją prywatność?

Częściowo pomocne będzie oprogramowanie antywirusowe i anty szpiegowskie, które po wykryciu niedozwolonych elementów kodu powinno w większości przypadków zablokować dostęp do podejrzanych formularzy. Niestety nie możemy akurat w tym względzie liczyć na całkowitą prewencję, dlatego drugim niezawodnym środkiem jest zasada ograniczonego zaufania. Nasze podejrzenia powinny wzbudzić przede wszystkim: brak podanego organizatora konkursu, brak regulaminu, brak jakichkolwiek danych kontaktowych lub treść pisana łamaną polszczyzną.

Zatem miejcie się na baczności.

Poważna dziura w systemie Android

Jedna z firm zajmujących się bezpieczeństwem zgłosiła poważny błąd w oprogramowaniu Android.Najpopularniejszy system używany na urządzeniach mobilnych jest okazuje się być poważnie zagrożony. Problemy wykryto w wersji 1.6 , ale już wiadomo, że dotyczy także wszystkich wyższych wersji.

Sposób ataku jest dość niespodziewany, gdyż odbywa się z użyciem aplikacji, którą sami instalujemy na tablecie lub smartfonie. Hakerzy są bowiem w stanie zmienić kod APK bez konieczności zmiany podpisu cyfrowego, który używany jest często do uwierzytelnienia certyfikatu bezpieczeństwa. Możliwe są takie modyfikacje aplikacji, które sprawią, że urządzenie stanie się zoombie, a włamywacz będzie miał pełny dostęp do wszystkich kontaktów i danych zamieszczonych na zaatakowanym urządzeniu.

Co ciekawe podobno na ataki nie są narażone osoby, które instalują oprogramowanie z poza sklepu Google Play. Producenci urządzeń z Androidem podobno już pracują nad łatką do oprogramowania.