wtorek, 31 grudnia 2013
W mniej niz 4 godziny włamanie na nieskonfigurowane serwery w chmurze
Hakerzy potrzebowali mniej niż czetry godziny żeby włamać sie na nieskonfigurowany serwer w chmurze.
Firma CloudPassage w projekcie The Gauntlet zaprezentowała w jak łatwy sposób możliwe jest włamanie sie na źle bądź nieskonfigurowany serwer w chmurze.
Could Computing uznawany jest jako jeden z najbardziej nowoczesnych model usługowych dla biznesu jak i również za najbardziej narażony na zagrożenia cyberprzestepcow.
Jak bardzo infrastruktura w chmurze jest podatna na ataki hakerskie? Na to pytanie nie można jednoznacznie odpowiedzieć, ponieważ rożne mechanizmy bezpieczenstwa mogą zwiększyć bezpieczeństwo w chmurze. Raport firmy CloudPassage uświadomi nam jak szybko niezaktualizowany lub tez minimalnie skonfigurowany serwer w środowisku chmury może zostać zhakowany. CloudPassage zorganizowała zawody na zasadzie capture-the-flag (znana z gier typu FPS - ukradnij flagę) w których wzięło udział 367 etycznych hakerów z 41 krajów, którzy przez 23 dni we Wrześniu 2013 roku atakowali sześć serwerów z rożnymi systemami operacyjnymi Microsoft i Linux, bazami danymi i aplikacjami.
Wszystkie serwery były skonfigurowane na zasadzie default settings czyli praktycznie bez żadnych zaimplementowanych kontroli bezpieczenstwa. Według CloudPassage w środowisku chmury taka konfiguracja występuje najczęściej.
środa, 11 grudnia 2013
Nowy bulletproof hosting data centers na Bliskim Wschodzie
Rosyjscy hakerzy znowu dają znać o sobie, jednak tym razem oferują produkt, który może stać się łakomym kąskiem dla innych cyberprzestępców. Data center w Libanie powstało około dwa lata temu a syryjskie zostało zbudowane podczas ostatniej wojny domowej. Nowy bulletproof hosting zwany "Web Host" stworzony został dla hostowania nielegalnych treści oraz złośliwych kodów. Właściciele Web Host reklamują bulletproof hosting data centers dla zarejestrowanych użytkowników na forum zwanym "Korovka.name". Oferują oni indywidualny support włączając ICQ i Jabber po wykupieniu dedykowanego serwera na ich platformie. Ponadto oferta jest poszerzona o możliwość konfiguracji własnego hardwaru dedykowanego serwera która może zając 2-5 dni roboczych, oraz możliwość wybrania i rejestracji własnych adresów IP.
Experci ostrzegaja że taka działalność może być nowym centrum dla cyberprzestępców, ponieważ relacje geopolityczne pomiędzy Syrią, Libanem a krajami EU oraz US są bardzo napięte i z tego powodu nie ma praktycznie żadnej współpracy na płaszczyźnie telekomunikacji czy bezpieczeństwa co za tym idzie jest to idealne miejsce dla cyberprzestępców. Konwencja o cyberprzestępczości zwana Budapesztanską obliguje wszystkie kraje do działań służących zapobieganiu i ograniczeniu cyberprzestępstw ale jak widać ciągle pozostają regiony które nie podejmują współpracy i to właśnie one stają się głównym miejscem rozwoju działań cyberprzestępczych. Kolejnym aspektem który powoduje że Syria jest rajem dla cyberprzestępców jest to że biznes ISP w kraju jest zupełnie niezależny i ciągle mało rozwinięty przez problemy z jakimi ostatnio boryka się kraj.
Syrian Telecom (Syriatel czy STE) to jedyny operator w kraju którego adresy IP oraz C&C serwery w przeszłości zostały zlokalizowane jako źródło malware Darkcomet w 2012. Kolejnym argumentem za tym że Syria jest znakomitym miejscem dla cyberprzestępczości jest fakt ze Web Host jest bezpośrednio podłączony do Frankfurt Tier-1 bez żadnych dodatkowych węzłów. Właściciele Web Host wspominają również że dla innych projektów są w stanie zaoferować bulletproof hosting w ponad 25 krajach już od 80 dolarów. Prawdopodobnie możemy się spodziewać kolejnych takich data centers w Tajwanie, Rumuni, Indonezji, Litwie Jemenie, Egipcie, Iraku czy Iranie.
Blazej Malczak
Experci ostrzegaja że taka działalność może być nowym centrum dla cyberprzestępców, ponieważ relacje geopolityczne pomiędzy Syrią, Libanem a krajami EU oraz US są bardzo napięte i z tego powodu nie ma praktycznie żadnej współpracy na płaszczyźnie telekomunikacji czy bezpieczeństwa co za tym idzie jest to idealne miejsce dla cyberprzestępców. Konwencja o cyberprzestępczości zwana Budapesztanską obliguje wszystkie kraje do działań służących zapobieganiu i ograniczeniu cyberprzestępstw ale jak widać ciągle pozostają regiony które nie podejmują współpracy i to właśnie one stają się głównym miejscem rozwoju działań cyberprzestępczych. Kolejnym aspektem który powoduje że Syria jest rajem dla cyberprzestępców jest to że biznes ISP w kraju jest zupełnie niezależny i ciągle mało rozwinięty przez problemy z jakimi ostatnio boryka się kraj.
Syrian Telecom (Syriatel czy STE) to jedyny operator w kraju którego adresy IP oraz C&C serwery w przeszłości zostały zlokalizowane jako źródło malware Darkcomet w 2012. Kolejnym argumentem za tym że Syria jest znakomitym miejscem dla cyberprzestępczości jest fakt ze Web Host jest bezpośrednio podłączony do Frankfurt Tier-1 bez żadnych dodatkowych węzłów. Właściciele Web Host wspominają również że dla innych projektów są w stanie zaoferować bulletproof hosting w ponad 25 krajach już od 80 dolarów. Prawdopodobnie możemy się spodziewać kolejnych takich data centers w Tajwanie, Rumuni, Indonezji, Litwie Jemenie, Egipcie, Iraku czy Iranie.
Blazej Malczak
wtorek, 10 grudnia 2013
Man in the Middle atak na bezprzewodową sieć publiczną w Europarlamencie
Bezprzewodowa sieć publiczna w Parlamencie Europejskim w Salzburgu została zamknięta z powodu na atak hakerski który miał na celu podsłuchiwanie komunikacji pomiędzy smartfonami i tabletami. Niemieckie media podają ze prawdopodobnie NSA stoi za atakiem man-in-the-middle który przechwycił hasła i loginy osób korzystających z publicznego wifi w parlamencie. Siec publiczna zostanie otworzona ponownie w momencie gdy certyfikaty zostaną zainstalowane na
wszystkich urządzeniach Europarlamentarzystów którzy korzystaja z wewnętrznych systemów IT włącznie w poczta mailowa. Oficjalnie podaje sie ze przynajmniej 14 loginów i haseł pracowników Europarlamentu zostało przechwyconych, natomiast nie podaje sie informacji jakie dane zostały wykradzione.
Jak działa Man In The Middle atak
Blazej Malczak
wszystkich urządzeniach Europarlamentarzystów którzy korzystaja z wewnętrznych systemów IT włącznie w poczta mailowa. Oficjalnie podaje sie ze przynajmniej 14 loginów i haseł pracowników Europarlamentu zostało przechwyconych, natomiast nie podaje sie informacji jakie dane zostały wykradzione.
Jak działa Man In The Middle atak
Blazej Malczak
czwartek, 28 listopada 2013
i2Ninja malware w podziemiu
Inżynierowie bezpieczeństwa firmy Trusteer wykryli ze nowy financial
malware i2Ninja został wypuszczony do sprzedażny na Rosyjskich forach
cyberprzestepczych, które sa idealnym miejscem do wymiany złośliwych kodów czy
tez do wykorzystania modelu sprzedaży znany jako malware-as-a-service. W
przeszłości podobne złośliwe kody takie jak Zeus, Spyeye, Carberp czy Citadel
zostały sprzedawane w podziemiu, jednak są i takie grupy, które wolą nie
sprzedawać swoich kodów, nie zwracać na siebie uwagi i pozostać anonimowym.
i2Ninja jest to peer-to-peer trojan, który może zostać użyty w celu
kradzieży numerów kart kredytowych i innych informacji finansowych, oraz
posiada takie same właściwości jak pozostałe popularne financial malware. Nazwa
i2Ninja pochodzi z akronimu I2P (http://www.i2p2.de/), który działa podobnie
jak TOR zapewniając anonimowość w sieci.
Infekcja komputera przebiega jak większość tego typu podobnych działań
poprzez phishing. i2Ninja posiada rożne możliwości wstrzykiwania HTML, Poker
and Mail Grabber i wkrótce zostanie dołączony moduł VNC, który pozwoli na
zdalny dostęp do innych malware.
Klienci którzy kupią i2Ninja maja możliwość korzystania z help desku gdzie
mogą wysyłać tickety gdy maja problemy z obsługą programu. Interakcja klient z
obsługą techniczna jest anonimowa, ponieważ odbywa się poprze siec I2P.
Działalność cyberprzestepcza rośnie w zastraszającym tempie a
zapotrzebowanie na złośliwe kody powoduje ze sprzedaż rośnie, co nakręca cały
cyberbiznes.
Blazej Malczak
Blazej Malczak
sobota, 23 listopada 2013
Fokirtor - nowy Backdoor na Linuxa
Symantec wykrył backdoora na Linuxie który potrafi
samodzielnie zaimplementować ukryty protokół komunikacyjny aby ukryć swoją
obecność. Prawdopodobnie ten sam złośliwy kod został użyty do zhakowania serwerowni
Hetzner w maju.
Backdoora ciężko jest wykryć ponieważ wstrzykuje swoją
transmisje w istniejący ruch SSH (który jest de facto szyfrowany). Atakujący
użyli backoora w celu wykradzenia bazy danych klientów szyfrując połączenie
algorytmem Blowfish. Złośliwy kod na zainfekowanym serwerze zbiera informacje
takie jak hostname, IP address, port, hasło, klucz SSH i nazwę użytkownika,
które następnie szyfruje i wysyła do C&C.
Symantec zdradza że implementacja takiego backdoora była
spowodowana tym że atakujący byli świadomi zaawansowanego poziomu
bezpieczeństwa sieci i użyli go w celu uniknięcia wykrycia poprzez systemy
bezpieczeństwa.
“This backdoor allowed an
attacker to perform the usual functionality — such as executing remote commands
— however, the backdoor did not open a network socket or attempt to connect to
a command-and-control server (C&C). Rather, the backdoor code was injected
into the SSH process to monitor network traffic and look for the following
sequence of characters: colon, exclamation mark, semi-colon, period (“:!;.”).
After seeing this pattern, the back door would parse the rest of the traffic
and then extract commands which had been encrypted with Blowfish and Base64
encoded.”
W celu uniknięcia wykrycia Backdoor praktycznie nie używa
własnego kanału komunikacji, zamiast tego wykorzystuje poszczególne sekwencje
znaków do wstrzykiwania własnego ruchu w ramach legalnych danych wymienianych w
trakcie połączenia SSH.
Symantec podkreśla że tego rodzaju Backdoor różni się od
wcześniej wykrytych i sugeruje nową taktykę obieraną przez cyber przestępców w
budowaniu złośliwych kodów.
Symantec opublikował skrypt który pozwoli na sprawdzenie czy mamy zainfekowany komputer
Blazej Malczak
Symantec opublikował skrypt który pozwoli na sprawdzenie czy mamy zainfekowany komputer
Blazej Malczak
czwartek, 21 listopada 2013
Jak bronic się przed atakami DDoS
Ataki DDoS są
coraz bardziej powszechne a ich liczba rośnie systematycznie w bardzo szybkim
tempie a średnia siła ataku w 2013 roku wynosi obecnie
3.37 Gb/s, z czego w ostatnich trzech miesiącach jest to przedział 3-3.5Gb/s.
W porównaniu w całym 2012 roku średnia siła wyniosła 1,48Gb/s.
Z raportu Arbor Network z trzech pierwszych kwartałów 2013 roku wynika ze ataki trwają dłużej i maja coraz większy rozmiar liczony w Gbps (giga bits per second).
http://www.arbornetworks.com/corporate/blog/5025-q3-findings-from-atlas?goback=%2Egde_4833846_member_5798801102438678530#%21
W porównaniu z 2012 rokiem widzimy znaczny wzrost ataków DDoS z których największy rozmiar monitorowanego i zweryfikowanego ataku wynosił aż 191Gb/sec. 54% ataków w pierwszych 3 kwartalach 2013 roku miała sile 1Gb/sec. W porównaniu w 2012 roku odnotowano 33% takich ataków. 37% ataków mieściło sie w przedziale 2-10Gb/s, jest to wzrost z 15% w 2012 roku. Ataki powyżej 10Gb/s stanowią 4% wszystkich ataków i jest to wzrost aż o 44% w stosunku do 2012 roku. Wzrost o ponad 350% w ilości monitorowanych ataków o sile powyżej 20 Gb/s zaobserwowano w stosunku do 2012 roku.
Dostawcy Internetu, usług i serwisów w chmurze oraz korporacje borykaja sie ze wspólnym globalnym problemem jakim jest DDoS, który może zablokować dostęp do usług a co za tym idzie narazić organizacje na straty wizerunków, które mogą nadszarpnąć pozycje na rynku budowana latami. Obecne technologie pozwalają jednak optymistycznie patrzeć na sposób, w jaki zwalcza się, czy minimalizuje ataki DDoS. Jedną z firm, która oferuje skuteczne możliwości walki z atakami DoS/DDoS jest Arbor Networks. Wielu providerów korzysta z technologi takich, jak Arbor Peakflow SP czy Arbor Threat Management System , oferując rożnego rodzaju serwisy, broniące bądź też redukujące skalę ataków, które są często dostosowane i spersonalizowane do wymagań firmy.
piątek, 15 listopada 2013
Witam na blogu
Witam serdecznie na moim blogu posieconym bezpieczenstwie. Zapraszam do subsrycji i milego czytania. Blazej Malczak
Subskrybuj:
Posty (Atom)