wtorek, 31 grudnia 2013

W mniej niz 4 godziny włamanie na nieskonfigurowane serwery w chmurze


Hakerzy potrzebowali mniej niż czetry godziny żeby włamać sie na nieskonfigurowany serwer w chmurze.

Firma CloudPassage w projekcie The Gauntlet zaprezentowała w jak łatwy sposób możliwe jest włamanie sie na źle bądź nieskonfigurowany serwer w chmurze.

Could Computing uznawany jest jako jeden z najbardziej nowoczesnych model usługowych dla biznesu jak i również za najbardziej narażony na zagrożenia cyberprzestepcow.

Jak bardzo infrastruktura w chmurze jest podatna na ataki hakerskie? Na to pytanie nie można jednoznacznie odpowiedzieć, ponieważ rożne mechanizmy bezpieczenstwa mogą zwiększyć bezpieczeństwo w chmurze. Raport firmy CloudPassage uświadomi nam jak szybko niezaktualizowany lub tez minimalnie skonfigurowany serwer w środowisku chmury może zostać zhakowany. CloudPassage zorganizowała zawody na zasadzie capture-the-flag (znana z gier typu FPS - ukradnij flagę) w których wzięło udział 367 etycznych hakerów z 41 krajów, którzy przez 23 dni we Wrześniu 2013 roku atakowali sześć serwerów z rożnymi systemami operacyjnymi Microsoft i Linux, bazami danymi i aplikacjami.

Wszystkie serwery były skonfigurowane na zasadzie default settings czyli praktycznie bez żadnych zaimplementowanych kontroli bezpieczenstwa. Według CloudPassage w środowisku chmury taka konfiguracja występuje najczęściej.

środa, 11 grudnia 2013

Nowy bulletproof hosting data centers na Bliskim Wschodzie

Rosyjscy hakerzy znowu dają znać o sobie, jednak tym razem oferują produkt, który może stać się łakomym kąskiem dla innych cyberprzestępców. Data center w Libanie powstało około dwa lata temu a syryjskie zostało zbudowane podczas ostatniej wojny domowej. Nowy bulletproof hosting zwany "Web Host" stworzony został dla hostowania nielegalnych treści oraz złośliwych kodów. Właściciele Web Host reklamują bulletproof hosting data centers dla zarejestrowanych użytkowników na forum zwanym "Korovka.name". Oferują oni indywidualny support włączając ICQ i Jabber po wykupieniu dedykowanego serwera na ich platformie. Ponadto oferta jest poszerzona o możliwość konfiguracji własnego hardwaru dedykowanego serwera która może zając 2-5 dni roboczych, oraz możliwość wybrania i rejestracji własnych adresów IP.

Experci ostrzegaja że taka działalność może być nowym centrum dla cyberprzestępców, ponieważ relacje geopolityczne pomiędzy Syrią, Libanem a krajami EU oraz US są bardzo napięte i z tego powodu nie ma praktycznie żadnej współpracy na płaszczyźnie telekomunikacji czy bezpieczeństwa co za tym idzie jest to idealne miejsce dla cyberprzestępców. Konwencja o cyberprzestępczości zwana Budapesztanską obliguje wszystkie kraje do działań służących zapobieganiu i ograniczeniu cyberprzestępstw ale jak widać ciągle pozostają regiony które nie podejmują współpracy i to właśnie one stają się głównym miejscem rozwoju działań cyberprzestępczych. Kolejnym aspektem który powoduje że Syria jest rajem dla cyberprzestępców jest to że biznes ISP w kraju jest zupełnie niezależny i ciągle mało rozwinięty przez problemy z jakimi ostatnio boryka się kraj.

Syrian Telecom (Syriatel czy STE) to jedyny operator w kraju którego adresy IP oraz C&C serwery w przeszłości zostały zlokalizowane jako źródło malware Darkcomet w 2012. Kolejnym argumentem za tym że Syria jest znakomitym miejscem dla cyberprzestępczości jest fakt ze Web Host jest bezpośrednio podłączony do Frankfurt Tier-1 bez żadnych dodatkowych węzłów. Właściciele Web Host wspominają również że dla innych projektów są w stanie zaoferować bulletproof hosting w ponad 25 krajach już od 80 dolarów. Prawdopodobnie możemy się spodziewać kolejnych takich data centers w Tajwanie, Rumuni, Indonezji, Litwie Jemenie, Egipcie, Iraku czy Iranie.

Blazej Malczak

wtorek, 10 grudnia 2013

Man in the Middle atak na bezprzewodową sieć publiczną w Europarlamencie

Bezprzewodowa sieć publiczna w Parlamencie Europejskim w Salzburgu została zamknięta z powodu na atak hakerski który miał na celu podsłuchiwanie komunikacji pomiędzy smartfonami i tabletami. Niemieckie media podają ze prawdopodobnie NSA stoi za atakiem man-in-the-middle który przechwycił hasła i loginy osób korzystających z publicznego wifi w parlamencie. Siec publiczna zostanie otworzona ponownie w momencie gdy certyfikaty zostaną zainstalowane na
wszystkich urządzeniach Europarlamentarzystów którzy korzystaja z wewnętrznych systemów IT włącznie w poczta mailowa. Oficjalnie podaje sie ze przynajmniej 14 loginów i haseł pracowników Europarlamentu zostało przechwyconych, natomiast nie podaje sie informacji jakie dane zostały wykradzione.

Jak działa Man In The Middle atak

Blazej Malczak

czwartek, 28 listopada 2013

i2Ninja malware w podziemiu


Inżynierowie bezpieczeństwa firmy Trusteer wykryli ze nowy financial malware i2Ninja został wypuszczony do sprzedażny na Rosyjskich forach cyberprzestepczych, które sa idealnym miejscem do wymiany złośliwych kodów czy tez do wykorzystania modelu sprzedaży znany jako malware-as-a-service. W przeszłości podobne złośliwe kody takie jak Zeus, Spyeye, Carberp czy Citadel zostały sprzedawane w podziemiu, jednak są i takie grupy, które wolą nie sprzedawać swoich kodów, nie zwracać na siebie uwagi i pozostać anonimowym.
i2Ninja jest to peer-to-peer trojan, który może zostać użyty w celu kradzieży numerów kart kredytowych i innych informacji finansowych, oraz posiada takie same właściwości jak pozostałe popularne financial malware. Nazwa i2Ninja pochodzi z akronimu I2P (http://www.i2p2.de/), który działa podobnie jak TOR zapewniając anonimowość w sieci.
Infekcja komputera przebiega jak większość tego typu podobnych działań poprzez phishing. i2Ninja posiada rożne możliwości wstrzykiwania HTML, Poker and Mail Grabber i wkrótce zostanie dołączony moduł VNC, który pozwoli na zdalny dostęp do innych malware.
Wybór I2P, jako platformy jest podyktowany tym ze póki, co jest bezpieczna platforma, która nie pozwala na dokładne poznanie, w jaki sposób działa malware, ale ponoć jest to tylko kwestia czasu, kiedy szyfrowanie I2P zostanie złamane tak samo jak stało się z TOR, gdy za pomocą Firefox 0-day udało się zidentyfikować niektórych użytkowników sieci TOR.
Klienci którzy kupią i2Ninja maja możliwość korzystania z help desku gdzie mogą wysyłać tickety gdy maja problemy z obsługą programu. Interakcja klient z obsługą techniczna jest anonimowa, ponieważ odbywa się poprze siec I2P.
Działalność cyberprzestepcza rośnie w zastraszającym tempie a zapotrzebowanie na złośliwe kody powoduje ze sprzedaż rośnie, co nakręca cały cyberbiznes.

Blazej Malczak

sobota, 23 listopada 2013

Fokirtor - nowy Backdoor na Linuxa



Symantec wykrył backdoora na Linuxie który potrafi samodzielnie zaimplementować ukryty protokół komunikacyjny aby ukryć swoją obecność. Prawdopodobnie ten sam złośliwy kod został użyty do zhakowania serwerowni Hetzner w maju. 

Backdoora ciężko jest wykryć ponieważ wstrzykuje swoją transmisje w istniejący ruch SSH (który jest de facto szyfrowany). Atakujący użyli backoora w celu wykradzenia bazy danych klientów szyfrując połączenie algorytmem Blowfish. Złośliwy kod na zainfekowanym serwerze zbiera informacje takie jak hostname, IP address, port, hasło, klucz SSH i nazwę użytkownika, które następnie szyfruje i wysyła do C&C.

Symantec zdradza że implementacja takiego backdoora była spowodowana tym że atakujący byli świadomi zaawansowanego poziomu bezpieczeństwa sieci i użyli go w celu uniknięcia wykrycia poprzez systemy bezpieczeństwa.

“This backdoor allowed an attacker to perform the usual functionality — such as executing remote commands — however, the backdoor did not open a network socket or attempt to connect to a command-and-control server (C&C). Rather, the backdoor code was injected into the SSH process to monitor network traffic and look for the following sequence of characters: colon, exclamation mark, semi-colon, period (“:!;.”). After seeing this pattern, the back door would parse the rest of the traffic and then extract commands which had been encrypted with Blowfish and Base64 encoded.”

W celu uniknięcia wykrycia Backdoor praktycznie nie używa własnego kanału komunikacji, zamiast tego wykorzystuje poszczególne sekwencje znaków do wstrzykiwania własnego ruchu w ramach legalnych danych wymienianych w trakcie połączenia SSH.

Symantec podkreśla że tego rodzaju Backdoor różni się od wcześniej wykrytych i sugeruje nową taktykę obieraną przez cyber przestępców w budowaniu złośliwych kodów.

Symantec opublikował skrypt który pozwoli na sprawdzenie czy mamy zainfekowany komputer

Blazej Malczak

czwartek, 21 listopada 2013

Jak bronic się przed atakami DDoS

Ataki DDoS są coraz bardziej powszechne a ich liczba rośnie systematycznie w bardzo szybkim tempie a średnia siła ataku w 2013 roku wynosi obecnie 3.37 Gb/s, z czego w ostatnich trzech miesiącach jest to przedział 3-3.5Gb/s. W porównaniu w całym 2012 roku średnia siła wyniosła 1,48Gb/s.

Zlecenie ataku DDoS (Distributed Denial of Service) nie jest dziś żadnym problemem. Coraz więcej pojawia się, bowiem płatnych - a nawet darmowych - serwisów oferujących przeprowadzanie ataków DDoS. Na forach (http://www.safeskyhacks.com/Forums/showthread.php?39-Top-10-DDoser-s-(Booters-Stressers),  cyberprzestepcy tworzą top 10 najlepszych Booterów (cloudowych platform DDoS as a Service) oferujących juz od 10 dolarów całkiem dobry 60 sekundowy atak o wydajności 800MBit/s, który może być wykorzystywany przez miesiąc, a dla chcących więcej za 169 dolarów atak dwu godzinny. Popularność DDoS as a Service wzrasta a dzięki analizie opublikowanej w Internecie wykradzionej bazy operacyjnej jednego w Botterów znanego TwBooter można stwierdzić ze serwis zarabiając w miesiąc 7,500 dolarów został wykorzystany do wykonania ponad 48,000 ataków DDoS przeciwko 11,000 ofiarom wliczając strony rządowe i serwisy informacyjne.
Z raportu Arbor Network z trzech pierwszych kwartałów 2013 roku wynika ze ataki trwają dłużej i maja coraz większy rozmiar liczony w Gbps (giga bits per second).
http://www.arbornetworks.com/corporate/blog/5025-q3-findings-from-atlas?goback=%2Egde_4833846_member_5798801102438678530#%21

W porównaniu z 2012 rokiem widzimy znaczny wzrost ataków DDoS z których największy rozmiar monitorowanego i zweryfikowanego ataku wynosił aż 191Gb/sec.  54% ataków w pierwszych 3 kwartalach 2013 roku miała sile 1Gb/sec. W porównaniu w 2012 roku odnotowano 33% takich ataków. 37% ataków mieściło sie w przedziale 2-10Gb/s, jest to wzrost z 15% w 2012 roku. Ataki powyżej 10Gb/s stanowią 4% wszystkich ataków i jest to wzrost aż o 44% w stosunku do 2012 roku. Wzrost o ponad 350% w ilości monitorowanych ataków o sile powyżej 20 Gb/s zaobserwowano w stosunku do 2012 roku.

Dostawcy Internetu, usług i serwisów w chmurze oraz korporacje borykaja sie ze wspólnym globalnym problemem jakim jest DDoS, który może zablokować dostęp do usług a co za tym idzie narazić organizacje na straty wizerunków, które mogą nadszarpnąć pozycje na rynku budowana latami. Obecne technologie pozwalają jednak optymistycznie patrzeć na sposób, w jaki zwalcza się, czy minimalizuje ataki DDoS. Jedną z firm, która oferuje skuteczne możliwości walki z atakami DoS/DDoS jest Arbor Networks. Wielu providerów korzysta z technologi takich, jak  Arbor Peakflow SP czy Arbor Threat Management System , oferując rożnego rodzaju serwisy, broniące bądź też redukujące skalę ataków, które są często dostosowane i spersonalizowane do wymagań firmy. 



piątek, 15 listopada 2013

Witam na blogu

Witam serdecznie na moim blogu posieconym bezpieczenstwie. Zapraszam do subsrycji i milego czytania. Blazej Malczak