fredag den 27. februar 2009

LorteMail - medaljen har to sider

LorteMail giver en muligheden for at benytte en anonym mailkonto, hvis indhold automatisk slettes efter 24 timer. Men valget af brugernavn er vigtigt at tænke på, da alle kan tilgå indbakken. Det har givet anledning til spændende informationer.

Du kender det godt. En onlineservice har lige det du søger - men der kræves login for at tilgå ressourcen. Her skal de 'naturligvis' have ens e-mail adresse. Har man prøvet det én gang før, så ved man, hvor mange lortemails der efterfølgende dukker op.

Her er LorteMail.dk et friskt og aldeles brugbart tiltag, hvor man uden oprettelse kan tilgå en midlertidig mailadresse sluttende på "@lortemail.dk". Man vælger selv, hvilket brugernavn man ønsker og angiver efterfølgende det til den fremsendte e-post.

Problemet er i den forbindelse, at mange personer ikke tænker sig om. Deres brugernavne er indlysende - og man kan dermed kigge med i den mail der er modtaget de sidste 24-timer. I nogle tilfælde er det til sociale tjenester og sågar logininformation til uddannelsesinstitutioner.

Udnyttet uden at vide det
I et konkret eksempel har en mand på 23 år oprettet en profil på et datingsite ved brug af en lortemail adresse. Datingsitet sender gladeligt nyhedsbreve med mulige match til denne profils e-mailadresse. Nyhedsbrevene indeholder billeder af kvinder der også søger en partner.

I den seneste "match mail" lortemail har modtaget, er der billeder af 10 kvinder i alderen 19 til 28 år. Profilen "FrkWinter", på lidt over 20 år, er fremhævet. Men "louise26", "Stinnababe", "miss27" og "SweetCherry" med flere er også vist med profilbillede i mailen.

Klikker man på et af de fremsendte profiler, så åbnes datingsitet direkte. Her sendes man ind på den falske mandlige profil, hvor det oplyses, at profilens abonnement udløb den 2. februar 2009. Dog er den stadig aktiv nok til at modtage e-mails fra datingservicen.

Hvis man ikke lige kender den 23-åriges password til datingservicen - så har den naturligvis funktionen "Glemt dit kodeord". Her angiver man profilnavnet fra lortemail og klikker OK. Få minutter senere ligger der en e-mail med det eksisterende kodeord eller et nyt. naturligvis fremsendt til den angivne lortemail-adresse *suk*

Jeg har ingen idé om, hvor ofte datingservicen sender sådanne mails ud - men gætter på det nok er ugenligt. Dermed er mindst 40 kvinders profiler sendt ud til en åben mailservice, uden deres vidende, siden den 23 årige mands profil udløb.

De fleste betragter en profil på et datingsite som noget yderst personligt. Den er rettet mod ligestillede (andre brugere af servicen) - og vil med garanti finde det krænkende, at andre uden tilknytning kan se deres profilbilleder og brugernavne.

Adgangsinformation til et uddannelsessted
I samme bolgade har en yngre person oprettet en lortemail-adresse til midlertidig adgang til sin skoles website. Skolens website kræver en bekræftelse - som returneres til den angivne adresse. Af ukendte årsager tjekker skolens websystem ikke, hvormange gange der bekræftes.

Ved at klikke på den angive webadresse, sendes man direkte til deres valideringsside - som efterfølgende forwarder til det egentlige system. Oven i købet med beskeden: "Tak for din bekræftelse - du har nu adgang til....".

På denne side ligger der forskellige oplysninger om klasseårgange - som igen indeholder information om elever, undervisningsplaner, kontaktinformationer, adresser og lignende. Informationer der kan tilgås direkte fra den åbne mailservice. Småkritisk.

LorteMail er helt uden skyld
Det nemmeste vil være at anklage lortemail for at have oprettet en service der udfylder et behov. Men det vil være det samme som anklage bilproducenterne for påkørsler af fodgængere og cyklister. Det er nærmere et spørgsmål om, at har man brug for denne service - så skal man tænke sig om og overveje konsekvenserne.

De pågældende sites, og der er lang flere end de nævnte, er ofre for en semilegal bagdør kombineret med manglende beskyttelse for en anvendelse, der er atypisk. Men det kan lade sig gøre og oven i købet uden at hacke med specielle værktøjer eller fordækte scripts. Lidt kreativ tænkning er nok.

Hvis man har et behov for at bruge en midlertidig e-mail adresse på lortemail.dk, så brug for pokker en så kryptisk adresse, at chancen for at gætte den er 1:1000000. Angiver man "hansen", "peter", "lotte", "kurt", "qwerty", "1234", "abcd" eller lignende - så er der en stor chance for at andre kigger med.

Klik her for at komme til http://LorteMail.dk

torsdag den 26. februar 2009

Englands nationale lotteri website hacked

Hvis du spiller Lotto online, så glæd dig over, at du ikke spiller på den engelske pendant til Danske Spil - The National Lottery. Den berygtede rumænske hackergruppe har udført et dokumenteret SQL Injection angreb mod deres website. Danske Spils Sikkerhedschef siger, at de også har set lignende forsøg.

Man kan vist roligt sige, at det er held i uheld at det er den rumænske hackergruppe, med talsmanden "unu", som har dokumenteret SQL Injection sårbarheden hos The National Lottery. De har det nemlig med, at informere de ramte før de publicerer et hack.

I det givne tilfælde har gruppen igen dokumenteret deres SQL Injection angreb med grafik på HackersBlog - der viser en listning over databasens tabeller samt information om den administrative konto (brugernavn og MD5 kodet password). Se billederne her:



Et spillesite er spændende set med it-krimminelles øjne, da der uden tvivl er en stor omsætning fra et utal af håbefulde spillere. Websitens eneste formål er jo netop gambling, hvilket helt naturligt afleder brugen af penge.

Hackergruppen har da også specifikt markeret tabellen "tbl_users" som en indikator på, at der kunne trækkes personinformationer ud. De angiver ikke, om de rent faktisk har kunnet se tabellens indhold. Uanset om det har været muligt eller ej, så er det en katastrofe for The National Lottery.

I et worst-case scenarie, er det flere tusinde brugers informationer der vil kunne udnyttes. Personer, som garanteret også vil blive narret, hvis der dukkerede en e-mail op på vegne af spilleservicen med lovning om guld og grønne skove. Det er set før i andre sammenhænge.

Danske Spil har stor fokus på sikkerhed
Vores egen udbyder af Lotto, Quick, Oddset, Tips med mere - arbejder i samme kategori som The National Lottery. Her er der også en stor omsætning, hvilket man ved afleder stor opmærksomhed fra personer, der gerne vil tjene hurtige penge uden skelen til måden det gøres på.

"Penge har altid været det største motiv for kriminalitet og det vil nok ikke ændre sig. Så ja, selvfølgelig har der været nogen som har forsøgt at komme tæt på - og sådan vil det også være i fremtiden", siger Mickie Friebel, Sikkerheds- & Kvalitetschef hos Danske Spil A/S.

For Mickie Friebel er it-sikkerhed derfor en naturlig del af dagligdagen - som har sit udgangspunkt allerede på ledelsesniveau. Der foretages løbende risikoanalyser på alle projekter uanset om det er nye systemer, samarbejdsrelationer eller anden forretningsudvikling.

"Overordnet er vores tilgang Fortrolighed, Integritet og Tilgængelighed (FIT) og et væsentligt ledelsesmæssigt værktøjer hertil er risikostyring. Der foretages løbende overordnede risikovurderinger, herunder konsekvensvurdering og sårbarhedsvurdering, samt tilhørende justering til det tidssvarende risikobillede. Ud over dette arbejder vi efter WLA Security Control Standard, herunder også ISO27001, som er gode værktøjer til at at sikre den ledelsesmæssige del af sikkerheden", forklarer Mickie Friebel.

Uden Mickie Friebel vil gå i detaljer, så sikrer Danske Spil A/S at have et opdateret billede af omgivelserne ved at der abonneres på diverse nyhedsgrupper og benyttes flere forskellige adviseringsværktøjer, som mange leverandører tilbyder i dag.

Han bekræfter samtidig, at Danske Spil A/S jævnligt bliver testet for mulige sårbarheder, netop da trusselsbilledet kan ændre sig med meget kort varsel.


"Ja, Danske Spil A/S bliver jævnligt testet og med faste intervaller. Desuden bliver al software testet løbende under udvikling - og al ny software bliver funktionstestet, sårbarhedstestet og integrationstestet på et produktionslignende miljø, inden det ligges i drift. Når det ligges i drift, testes det igen for at sikre højst mulig kvalitet, sikring og oppetid for vores brugere", forklarer Sikkerheds- & Kvalitetschefen.

onsdag den 25. februar 2009

Mere sårbart Adobe software - denne gang i Flash

Så er Adobe på skafottet igen. Nu er det Adobe Flash, nærmere bestemt version 9.0.124.0, som kan udnyttes når den behandler Shockwave filer. Et fuldendt angreb tillader afvikling af ondsindet kode på niveau med brugeren af computeren.

Der var engang en joke om Microsoft som bilproducent. Den var meget sjov. Med Adobes historik kunne jeg godt tænke mig at se, hvordan deres historie ville blive vinklet. Måske ville temaet være køkkenudstyr - for deres software minder efterhånden om et dørslag, sigte eller si.

I det aktuelle tilfælde er et besøg på en webside med en specielt udformet Shockwave Flash fil nok til at udnytte sårbarheden. I praksis sker det ved, at et bestemt objekt oprettes og efterfølgende destrueres sammen med alle tilknyttede referencer. Men en reference kan bibeholdes til at pege på objektet, som nu eksisterer i et ikke initialiseret hukommelsesområde. Det kan herefter udnyttes til afvikling af ondsindet kode.

Det kritiske er, at Flash er en standard som benyttes overalt i dag, hvor man ønsker at vise beriget multimedie indhold. Flere websites er opbygget udelukkende i Flash - og flere bannerreklamer er gået i samme retning. Yderligt er der Flash plugins til bredt udvalg af browsere og platforme - herunder Windows, Linux og MacOS.

iDefense Labs hjemmeside er der en udbydende forklaring på, hvorfor de karakteriserer denne sårbarhed som HIGH. En lige så skræmmende information er, at den første dialog startede den 25. august 2008. Herunder ses den timeline som iDefense Labs angiver:

08/25/2008 - Initial Contact
09/22/2008 - PoC Requested
11/05/2008 - PoC Sent
11/06/2008 - Clarification requested
12/05/2008 - Clarification Sent
12/07/2008 - Additional Clarification Sent
02/19/2009 - Draft bulletin received
02/24/2009 - Coordinated Public Disclosure

Det tog med andre ord seks måneder fra første kontakt til koordineret information kom ud. Det kan derfor undre, at Adobe skal bruge yderligere tid til at få et fix smidt på nettet. Man kan kun håbe på, at der ikke har siddet dygtige kinesiske hackere og fundet den samme sårbarhed. De vil givet vis reagere noget hurtige på at få et exploit ud på nettet.

tirsdag den 24. februar 2009

Wikileaks: Skype VoIP i Asterisk open source PBX system

Ifølge Wikileaks information, så er Skype, og virksomheden bag open source PBX softwaren Asterisk, i fuld gang med udvikle et properitært modul, hvor Skypes VoIP løsning skal kunne kommunikere med Asterisk løsningen.

Som en spændende vinkel på mit indlæg i går (EU vil undersøge VoIP aflytningsteknikker), så er der lækket information på Wikileaks om, at Skype og Digium, virksomheden bag Asterisk, arbejder på et modul til integration af Skypes VoIP løsninger i open source softwaren.

Der skulle efter sigende været givet en offentlig demo ved en konference - men ellers har alt været hemmeligholdt. Det er blot for kort tid siden, at beta-testen blev udviddet til at inkludere nogle få tusinde virksomheder - som alle skulle underskrive en hemmeligholdelsesaftale (Non-Disclosure Agreement, NDA).

Der ligger dog nogle begrænsninger i beta-projektet. Eksempelvis kan eksisterende Skype brugere ikke direkte benytte løsningen. Det vil kræve, at der oprettes nye dedikerede konti til formålet. Uanset betabegrænsninger - så er dette er bestemt noget der skal holdes øje med.

Se Wikileaks side her (23. februar): Skype for Asterisk Digium Non-Disclosure Agreement, 2009

Se ordlyden for den omtalte Non-Disclosure Agreement

mandag den 23. februar 2009

EU vil undersøge VoIP aflytningsteknikker

EU's Judicial Cooperation Unit, kendt som Eurojust, vil nu til at undersøge, hvordan man bedst mulig kan aflytte samtaler foretaget ved hjælp af VoIP. Det er kampen mod international kriminalitet der har sat skub i undersøgelsen.

Kriminelle er ikke sene til at udnytte mulighederne for at arbejde under radaren - og her er samtaler foretaget fra eksempelvis Skype inkluderet. Det gør det yderst svært for myndighederne at lytte med, når detaljerne for smugling af stoffer, våben og mennesker aftales.

Det er den italienske regering som har udtrykt bekymring om stigningen i brug af VoIP til kriminelle formål: "Muligheden for at opsnappe Internettelefoni vil blive et essentielt værktøj i kampen mod internationalt organiseret kriminalitet inden- og udenfor Europa", siger Carmen Manfredda, Eurojust medlem fra Italien.

Den lyder som endnu en BigBrother-funktion, hvor lovlydige borgere og virksomheder kan risikere at blive aflyttet. Men det afviser Carmen Manfredda: "Vores mål er ikke at stoppe brugere i at udnytte mulighederne i Internettelefoni, men at forhindre kriminelle i at bruge Skype til at planlægge og organisere ulovlige aktiviteter".

Det skulle angivelig være på opfordring af Italiens Anti-Mafia direktorat, at muligheden for VoIP-aflyning er fremsat. Ifølge Eurojusts udtalelse, vil man forsøge at overkomme de tekniske og juridiske forhindringer der er i forbindelse med aflytning af Internet telefonsystemer - men stadig håndhæve reglerne for databeskyttelse og borgerrettigheder.

Skype har i den forbindelse fortalt ZDNet UK, at de har givet Eurojust en omfattende forklaring på deres retshåndhævende program og muligheder. De afviste samtidig pressehistorier om, at de har nægtet at samarbejde med forskellige myndigheder - men gerne vil samarbejde, hvor det er lovligt og teknisk muligt.

"Skype er stadig interesseret i at samarbejde med Eurojust til trods for, at de valgte ikke at kontakte os før de udsendte denne ukorrekte rapport", siger en talsmand for Skype som kommentar.

Yderligere information

Eurojust coordinates internet telephony investigations

Opdatering 28-02-2009: http://www.theregister.co.uk/2009/02/27/eurojust_abandons_skype

fredag den 20. februar 2009

Humor: New Stupid Piece Of Shit

Kender vi det ikke. Ny 'dims' der lover guld og grønne skove. Den kan mindst 12 gange mere end de forrige version. Det har The Onion News Network lavet satire over - og det går hårdt ud over Sony. Men morsomt er det :o)

Under overskriften Sony Releases New Stupid Piece Of Shit That Doesn't Fucking Work sætter The Onion News Network ord og billeder på det vi alle tænker engang i mellem, når endnu en ny version af en dims ser dagens lys.

Det er Sony det går ud over, men kunne være hvem som helst. Der må være en hos TheOnoin som har fået en mandagsudgave af et Sony produkt - og som er blevet lettere knotten.
Man vil nok kigge en gang mere, hvis de officielle System Specifications virkelig er som TheOnion angiver:
  • Makes the most irritating beeping noise you've ever heard in your goddamn life
  • Fucks up everythings else you hook up to it
  • 'Scans for recievers' whatever the fuck that means
  • Flashes rando fucking words and numbers on the display screen
Få et godt grin, se her (på engelsk) :



Se også indslaget her sammen med mange andre humoristiske og rammende indlæg: Sony Releases New Stupid Piece Of Shit That Doesn't Fucking Work

Ny kritisk Adobe Reader/Acrobat sårbarhed

Adobe er i ilden igen. En ny kritisk sårbarhed i Adobe Reader og Adobe Acrobat v/9 og herunder, kan udnyttes til at crashe programmet og kan give en hacker fuld adgang til computeren. Der er allerede 0day exploit PDF-filer at finde ude på nettet.

Sårbarheden er bekræftet på en fuldt opdateret Windows XP med Servicepack 3, hvor Reader versionerne 8.1.0, 8.1.1, 8.1.2, 8.1.3 (seneste v/8.x) samt 9.0.0 (seneste v/9.x) kan udnyttes. Exploitkoden udnytter et non-JavaScript funktionskald til at udfylde et hukommelsesområde (heap) med kode der kan starte programmer og kommandoer (shell code).

Det formodes, at andre Windows versioner også er i farezonen - og det samme gælder for Linux og Apple OS X. Alt der kræves er, at man indlæser en angrebs-PDF-fil i Adobe Reader. Det kan være et PDF dokument hentet fra nettet - eller som ankommer vedhæftet en e-mail.

Flere antivirusprogrammer kan allerede finde disse angrebs-PDF-filer, eksempelvis Trend Micro og Symantec, men det er baseret på signaturer fra den 12. februar 2009. Man må antage, at personerne bag disse filer har videreudviklet deres angrebskode siden da.

For at imødekomme denne sårbarhed, anbefales det at deaktivere JavaScript muligheden i Adobe Reader og Adobe Acrobat. Det gøres ved at fjerne fluebenet følgende sted:
Rediger / Indstillinger / JavaScript / Aktiver Acrobat JavaScript.


Den mistede funktionalitet er intet mod, hvad der ellers kan ske. Se også Adobes egen Security Bulletin om problemet fra 19. februar 2009: Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat.

torsdag den 19. februar 2009

Krisen truer også it-sikkerheden

Den økonomiske krise har også indflydelse på it-sikkerheden - enten direkte eller indirekte. Når nøglepersoner forsvinder, eller kritiske samarbejdspartnere går konkurs, så efterlades virksomheden sårbar på mere end en måde.

Det er ikke kun hacking og malware der udgør en trussel i denne krisetid. Der er utallige eksempler på, at opsagte medarbejdere forsøger at skade virksomheden. Det kan være alt fra egentlig sabotage til tyveri af intellektuel- eller kundeinformation.

Den stjålne information bruges til at komme foran i køen/kampen om et ledigt job – eller er rettet mod opstart af egen virksomhed. Det er ulovligt, men sker nok oftere end de fleste vil erkende.

You know / don’t know
Noget andet er den intellektuelle sårbarhed virksomheden udsættes for, når medarbejdere med central viden stopper. Specielt, hvis der ikke findes klare retningslinjer for dokumentering af ansvarsområder, arbejdsgange og procedurer. Noget specielt de små virksomheder glemmer.

De tilbageværende medarbejdere belastes med flere opgaver - og i nogle tilfælde ud over deres primære kompetenceområder. Det nye ansvarsområde forsøges udfyldt på bedste måde, men brandslukning bliver som oftest en hverdagsting.

I nogle tilfælde kan man stadig trække lidt på den medarbejder som bestred området tidligere, men i de fleste tilfælde er det et afsluttet kapitel.

Mange bække små
Det er oftest bagateller der eskalerer til omfattende problemer. Enten fordi de nedprioriteres til fordel for akutte sager – eller slet og ret er gået i glemmebogen. I nogle tilfælde ville fejlen være sket uanset krise eller ej – men chancerne er langt større i dag.

Som eksempel har jeg netop hørt om en mailserver, der gennem længere tid havde brokket sig. Opsagte medarbejderes mailkonti var stadig aktive - og serveren modtog løbende mails til dem. Den ansvarlige var også opsagt, men det var til ham at alarmerne kom. De tilbageværende havde i øvrigt slukket hans afleverede mobiltelefon, da de var trætte af dens konstante bibben. Det skal nævnes, at serveren stod for at skulle opgraderes – men det var holdt tilbage grundet krisen.

I andre tilfælde kan det være manglende opdatering af central software, manglende eller dårligt udført backup - og manglende gennemgang af logs på kritiske systemer. Det kan også være nedprioritering af opgradering af forretningskritisk software - eksempelvis overgangen fra en ældre antivirusversion til en nyere. Manglende fokus på sårbare tredjeparts produkter er også en faktor.

Konkurs-/kriseramte outsourcingspartnerne og konsulentvirksomheder, kan pludselig trække tæppet væk under virksomheden. Et skift til en anden samarbejdspartner er ikke budgetteret - og vil dermed resultere i en ekstra økonomisk byrde. Indtil en løsning findes, er virksomhedens sårbarhed øget. Det kan trække ud, da nogle virksomheder vælger at "se tiden an".

’Leftovers’ på nettet
Som det seneste figurerer der et stigende antal aktive websites, som ejerne tilsyneladende ikke gør noget ved længere. I flere tilfælde ejes de af mindre virksomheder der er afviklede eller godt på vej. Hostingen er betalt, så udbyderen gør ikke noget før de får besked på at lukke det ned - eller informeres om, at det bruges som angrebssite.

Det kritiske ligger i, at webapplikationen ikke længere vedligeholdes med opdateringer og rettelser. Med mængden af web-exploits der publiceres, på både åbne og lukkede fora, så er det oftest kun et spørgsmål om tid før, at en søgning finder det henlagte - men kørende - website.

Et sårbart website, for et ikke aktivt firma, lyder måske ikke så farligt. Deres kunder vil nok ikke kigge forbi længere. Men det udgør en reel trussel, hvis hackere udnytter websitet som en mellemstation til andre angreb. Det er fakta, at politiskmotiveret defacing foregår i udbredt stil - men skridtet fra statement til attacksite afhænger udelukkende af, hvem som finder det sårbare website først.

Følgende Google-søgning giver måske en ide om problematikken: http://www.google.com/search?q=intext%3Ahacked+by+site%3A.dk

20-02-09: Comons nyhed baseret på mit blogindlæg It-kriminelle overtager forladte websteder

mandag den 16. februar 2009

Kaspersky rydder op

Den 7. februar lykkedes det en rumænsk hackergruppe at kompromittere den amerikanske del af Kasperskys website. Jeg dokumenterede hændelsen med data taget fra den blog, hvor det blev publiceret. Det har Kaspersky set og rydder nu op.

Fredag den 13 (uha) hørte jeg af omveje, at et PR-bureau forsøgte at at få fat i mig. Første tanke var, at der muligvis var lidt mønt at tjene - så jeg kontaktede bureauet sent om eftermiddagen og efterlod mine kontaktdata. Jeg hørte dog ikke noget - weekenden ventede forude.

Nysgerrighed drev mig til at følge op på sagen i dag. Her talte jeg med en meget behagelig person der forklarede, at bureauet repræsenterede Kaspersky i Danmark. Man havde læst mit blogindlæg og ville gerne bidrage med information der dækkende begge sider af sagen. Man fandt, at mit indlæg "Sikkerhedsfirmaer med sløset web-sikkerhed" tog hackernes side.

Nuvel, det gjorde den på sin måde også. Kaspersky havde ikke frigivet nogen information om dette webhack da jeg skrev indlægget. Damange-control-apparatet var sat i gang (Comon den 10. februar og Version2 den 11. februar), så tænkte jeg, at den sag nok er begravet. Det var den så ikke.

Personen fra PR-bureauet forklarede, at jeg ville blive kontaktet af Kaspersky. Selvom det ikke blev sagt direkte, så var det tydeligt at Kaspersky var i gang med at rydde op. Han sendte mig kort efter den officielle udmelding som Comon og Version2 også citerer.

Det mest spændende kom klokken 21.46, hvor Kasperskys tekniske chef for norden fremsendte den samme officielle information fra 13. februar som er online. Så kan der ikke herske tvivl om, at sagen nu er belyst fra alle sider.

Og nej, jeg er ikke blevet truet med bål, brand og dyre advokater. DET ville i sig selv have været en endnu bedre historie :o)
Informationen nuancerer hændelsen - men ændrer ikke det faktum, at der blev handlet reaktivt. Hvordan er det nu det ordsprog lyder? Oh jo... Practice What You Preach.


fredag den 13. februar 2009

Tre på stribe

Hvad har B, F og K til fælles? Det er forbogstaverne på de sikkerhedsfirmaer der har fået deres websites kompromitteret i løbet af få dage. Senest er det F-Secure der var mål for den aktive rumænske hackergruppe. F-Secure nedtoner angrebet.

Først var det Kaspersky og Bitdefender der blev knækket. Senest er turen så kommet til F-Secure, hvor angrebet igen er dokumenteret på HackersBlog. Gældende i alle de tre tilfæde er, at der var sårbarheder i webapplikationen som kunne udnyttes grundet manglende validering.


På samme måde som Kaspersky og Bitdefender, har F-Secure taget til genmæle og nedtoner hændelsen. De angiver på deres
blog, at det var deres malware statistik server som fik besøg - men det kun var muligt for hackerne at læse information fra databasen - ikke skrive til den.

Angrebet var derfor kun delvist en succes siger F-Secure. Nedtoningen kommer i form af denne sætning: "So while the attack is something we must learn from and points at things we need to improve, it's not the end of the world". *Hehehe* minder det ikke lidt om denne here :o)




Sikkerhedsværktøj som hackertool

Fremgangsmåden er tilsyneladende den samme i hvert af tilfældende - og ikke ulig den måde it-sikkerhedskonsulenter arbejder på. En kombination af viden, værktøjer og manuel test. Det skulle efter sigende være udført således:

1) Gruppen scannede websitet med et automatiseret værktøj
2) Værktøjet fandt SQL Injection sårbarheder på bestemte sider
3) Sårbarhederne blev efterfølgende manuelt verificeret
4) Information blev trukket ud fra databasen og dokumenteret

Mistanken er faldet på, at det er sikkerhedsvirksomheden Acunetix's gratis web-application scanner værktøj som har været brugt. Det afviser
Acunetix ikke. De mener dog, at det er mere sandsynligt, at det er en piratkopi af deres der fulde version som har været benyttet. Good PR.

mandag den 9. februar 2009

Sikkerhedsfirmaer med sløset web-sikkerhed

Man må forvente, at et sikkerhedsfirma har en kontant holdning til it-sikkerhed. Men både Kaspersky og Bitdefender har tilsyneladende glemt at sikkerheden også skal gælde deres websites. Resultatet blev blottede databaser og eksponering af kritiske informationer.

Et website er en virksomheds ansigt udad til. Hvis det hackes siger det generelt noget om virksomhedens holdning og fokus på it-sikkerhed. Går det ud over den lille vinduespudser - så er det både ærgeligt og irreterende. Men sker det for et it-sikkerhedsfirma - så er listen af negative superlativer meget lang!

Det er netop, hvad der er sket for it-sikkerhedsvirksomhederne Kaspersky og Bitdefender på deres websites i henholdsvis USA og Portugal.
Lad mig sige det som ligger lige på tungen: Hvor sikker kan man være på disse producenters produkter, når de ikke formår at kunne sikre deres websites?

For
Kasperskys vedkommende har det udførte SQL Injection angreb blottet hele deres database. Vi taler om komplet adgang til tabeller med brugere, aktiveringskoder, interne lister over bugs, administratorområde, webshop med flere. Alt sammen dokumenteret. *Oh-My-God*




Den komplette liste fra usa.kaspersky.com er dokumenteret fuldt ud på HackersBlog.

Hos Bitdefender er det også SQL Injection som har gjort det muligt at trække information ud af databasen. Her er det også muligt at trække information ud om databasenavn, administratorer, deres passwords (MD5 kodet), SessionID med mere.

Samtidig er det muligt at liste registrerede kunders personlige informationer fra Salgs tabellen - samt flere tusinde e-mail adresser fra Nyhedsbrev tabellen. Igen siger et billede mere end tusinde ord - så her er den grafiske dokumentation fra HackersBlog om sikkerheden hos Bitdefender:






Mon ikke der sidder nogle personer i de respektive virksomheder med meget, meget røde øren i øjeblikket. Og mon ikke der også kan komme en udskiftning i medarbejderstaben på tale?

onsdag den 4. februar 2009

Begrænsede brugerrettigheder afhjælper sårbarheder

Begrænses brugerens rettigheder, kan hele 92 procent af de kritiske Microsoft sårbarheder afværges. Det er ikke nogen nyhed at sådanne begrænsninger kan være positive - men tallene fra BeyondTrust er alligevel overraskende.

Når en Windows XP installeres, er det de færreste der opretter en decideret administratorkonto med det eneste formål, at kunne servicere Windows systemet når der kræves administrative rettigheder. På størstedelen af de private maskiner er der én aktiv konto - og den er som standard medlem af Administrator gruppen.

Ifølge
BeyondTrust, kunne 92 procent af de kritiske Microsoft sårbarheder (i 2008) være reduceret ved, at brugeren ikke have administrative rettigheder. Faktisk så har Microsoft selv anbefalet eller berørt dette emne i omkring 70 procent af deres security bulletins de har udsendt i 2008.

Alene
fjernelse af de administrative rettigheder ville have højnet sikkerheden og resistensen i 94 procent af de Microsoft Office sårbarheder der blev rapporteret i 2008. Det samme var gældende for 89 procent af Internet Explorer sårbarhederne og for 53 procent af sårbarhederne i Windows operativsystemet.

Nu er tal taknemmelige og det er lidt svært at påvise (med mindre man har oseaner af tid) at tallenes pålydende holder vand. Men det er fakta, at begrænsede konti kan og vil reducere mulighederne for eksempelvis malware. Det skyldes blandt andet, at det er i brugerens sikkerhedskontekst at den indledende inficering starter.

Når der kræves admin rettigheder

En af begrundelserne for ikke at logge ind som en begrænset bruger er, at det gør installering og hverdagsbrug ulideligt eller helt umuligt. Det er ikke korrekt. Hvis det forholdt sig sådan, ville flertallet af de erhversmæssige Windows installeringer ikke kunne fungere.

Så lad os sige det som det er: Årsagen til begrænsede konti sjældent bruges på private Windows computere skyldes enten manglende viden eller direkte dovenskab :o)

I de tilfælde, hvor man ikke kan komme udenom at skulle udføre en handling under en administrativ kontos frie muligheder, mangler Windows de integrerede funktioner som Unix/Linux tilbyder. Her har man muligheden for at afvikle et program med administrative rettigheder ved at bruge su (Super User) eller sudo (Super User Do) kommandoen.

Men der findes dog nogle muligheder i og til Windows, som tillader begrænsede brugere at bryde ud et kort øjeblik. Men kontoens overordnede grænser er stadig bibeholdt.

Spræg rammerne midlertidigt

Den kommando i Windows, som kommer nærmest sudo kommandoen fra Linux, hedder "RunAs". Her kan man afvikle et program under en anden brugers kontekst, oftest administrator, og dermed midlertidigt bryde ud af de sikkerhedsmæssige rammer kontoen ellers er begrænset af.

Jeg sværger til at bruge RunAs fra kommandolinjen, da det give nogle muligheder som den grafiske udgave (i højreklikmenu) ikke har. Den vigtige mulighed er /env parameteren, der sørger for, at det er den begrænsede brugers miljø der benyttes når RunAs afvikler et program under en anden brugers kontekst.

Der er rapporter flere tilfælde på nettet, hvor brugere ikke har kunnet bruge RunAs til afvikling af programmer placeret på netværksdrev eller ved direkte UNC sti. Jeg har udelukkende benyttet RunAs til afvikling af lokale filer. Her følger et par eksempler på brugen ad RunAs:

Kør Windows brugergrænsefladen med administrative rettigheder:
C:\> runas /user:administrator "explorer.exe /separate"

Start Internet Explorer med
administrative rettigheder:
C:\> runas /user:administrator /env "c:\Program Files\Internet Explorer\Iexplore.exe"

Tilføj/fjern bruger fra lokal administrator gruppe

En anden mulighed udnyttes i et smart lille batch-script fundet på nettet. Her tilføjes brugeren til den lokale administrator gruppe og fjernes igen efter endt brug (MakeMeAdmin.cmd):

REM CUSTOMIZATION:
REM The following values may be changed in order to customize this script:
REM
REM * _Prog_ : the program to run
REM
REM * _Admin_ : the name of the administrative account that can make changes
REM to local groups (usu. "Administrator" unless you renamed the
REM local administrator account). The first password prompt
REM will be for this account.
REM
REM * _Group_ : the local group to temporarily add the user to (e.g.,
REM "Administrators").
REM
REM * _User_ : the account under which to run the new program. The second
REM password prompt will be for this account. Leave it as
REM %USERDOMAIN%\%USERNAME% in order to elevate the current user.
REM ********************************************************************

setlocal
set _Admin_=%COMPUTERNAME%\Administrator
set _Group_=Administrators
set _Prog_="cmd.exe /k Title *** %* as Admin *** && cd c:\ && color 4F"
set _User_=%USERDOMAIN%\%USERNAME%

if "%1"=="" (
runas /u:%_Admin_% "%~s0 %_User_%"
if ERRORLEVEL 1 echo. && pause
) else (
echo Adding user %* to group %_Group_%...
net localgroup %_Group_% "%*" /ADD
if ERRORLEVEL 1 echo. && pause
echo.
echo Starting program in new logon session...
runas /u:"%*" %_Prog_%
if ERRORLEVEL 1 echo. && pause
echo.
echo Removing user %* from group %_Group_%...
net localgroup %_Group_% "%*" /DELETE
if ERRORLEVEL 1 echo. && pause
)
endlocal

Batch-scripted er måske ikke raketvidenskab, men kan bruges til inspiration.

Tools til formålet

Andre har taget en helt anden vinkel på problemet. De har udarbejdet applikationer der forsøger at efterligne Linux's sudo kommando. Den jeg har i tankerne kaldes for "Sudo for Windows". Målt op mod RunAs har dette værktøj to primære forskelle.

For det første behøver den begrænsede bruger ikke at kende den administrative brugers navn og password. Når rettighederne midlertidigt skal løftes op - skal brugeren blot bekræfte med sit eget kendte password. Sekundært er det kun brugere tilføjet en specielt oprettet lokalgruppe, der kan afvikle sudo-kommandoen.

Som dette program, virker de fleste af samme type ved, at der installeres en server-service der kommunikerer med et klientprogram. I dette tilfælde hedder klientprogrammet "sudo.exe". Det er server-servicen der håndterer den rettigheds-by-pass der ønskes. Hvorvidt sudo-servicen kan udnyttes - er endnu ikke afprøvet. Det er altid tricky når en en service er involveret.

"Sudo for Windows" er blot et af mange programmer der prøver at udvidde mulighederne i forhold til RunAs. Men pointen er stadig den samme: Brugerkontoen er begrænset for at mindske mulighederne for misbrug - men det er muligt at få forholdsvis let adgang til de kræfter og muligheder der ligger gemt i en administrativ konto.

mandag den 2. februar 2009

Zombies i området - LØB!

For et par dage siden fik bilisterne i Austin Texas en noget anden melding fra trafikskiltet nær et vejarbejde. De blev advaret mod zombier i området og blev opfordret til at komme væk. Nogle ynglinge havde taget kontrol over styringen af skiltet.

Selvom historien er lidt morsom, så er der også en alvorlig bagside. Meldingerne på skiltet kunne meget vel være udnyttet til at skabe panik med mulig fatal udgang. Hvis nu ordlyden havde været "Bombetrussel - STOP NU!". Så er der overvejende chance for at nogle ville panikbremse.


Nu blev det holdt som drengestreger, men det berører også et andet punkt. Sikkerheden på kontroldelen af disse skilte er efter sigende en ren joke. Styringspanelet er aflåst med en lille hængelås, der kan åbnes med papirklips. Her har man så adgang til det panel, hvor der er tilknyttet et keyboard.

Hvis adgangen er beskyttet med kodeord, så er det som standard "DOTS". Hvis det er ændret, så reset'er man blot adgangen ved at holde Ctrl + Shift nede samtidig med man taster "DIPY". Herefter vil teksten på skiltet blive reset og password vil igen være "DOTS". Tja...

Læs hele historien her: Austin,TX Overrun By Zombie Jokes, Hacked Electronic Road Signs

søndag den 1. februar 2009

Malware og angrebssites klar til Valentinsdag

Den 14. februar 2009 er det igen Valentinsdag. Traditionen tro betyder det, at it-kriminelle vil udnytte denne specielle dag til at få spredt malware. De er allerede i gang 14 dage før dagen - og benytter malware som kun få scannere kan finde i skrivende stund.

Kun 3 ud af 39 af de antivirusscannere, som VirusTotal benytter, kan finde den malware som spredes på falske Valentinsdag websites. Ved direkte søgning på domænet i Google, kommer det fint frem som indekseret - men Google indikerer endnu ikke at siten er farlig.


Fremgangsmåden er hverken ny eller overraskende. Hvert år dukker der falske websites op i forbindelse med højtider og store mærkedage. Til trods for, at denne viden er kendt af både it-kriminelle og mange computerbrugerne - så rammes ufattelig mange af malware hvert år i disse perioder.

Det er grunden til vi hvert år ser disse angrebssites dukke op under et nyt navn og med den seneste malware klar til angreb.
På blot 5-7 minutter blev der fundet to ydrepunkter på skalaen over angrebssites. Det ene var yderst simpelt, nærmest amatøragtigt, og det andet havde alt hvad man kan forvente af et professionelt udviklet website.

Den "forkromede udgave" var langt mere raffineret. Ud over et flot og gennemarbejdet layout - så forsøger man direkte af inficere den besøgende gennem sårbarheder i henholdsvis de Quicktime og Flash plugins som mange browsere har installeret.

Eksempel på et "simpelt" attacksite

Det følgende minitrace er blot data over et af de simple af slagsen. Lidt grafik og et link til en exe-fil indeholdende malwaren. Netop den simple opbygning er nærmest et skoleeksempel i, hvor enkelt det kan gøres. Man behøver ikke det store setup - selvom det naturligvis vil øge chancen for at få de lidt mere garvede brugere i nettet.

Domænet er allerede kendt på listen fra Malware Domain Blocklist og hos Norton Safe Web men Google indikerer endnu ikke dette domæne som værenede farligt:


GET / HTTP/1.1
Host: waleprojekt.com (88.174.191.30)


HTTP/1.1 200 OK
Server: nginx/0.6.34

Date: Sun, 01 Feb 2009 11:28:45 GMT
Content-Type: text/html

Connection: keep-alive

Content-Length: 245
Last-Modified: Sun, 01 Feb 2009 11:28:06 GMT
Accept-Ranges: bytes


[!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"]
[html]
[head]
[title]Love...[/title]
[/head]
[body]
[center]
[h4]Guess, which one is for you?[/h4]
[a href="meandyou.exe"][img border="0" src="img.jpg"][/a][/center]
[/body]
[/html]

Et nærmere kig på IP-adressen afslører den tilhører følgende:


Free SAS / ProXad

8, rue de la Ville L'Eveque

75008 Paris

+33 1 73 50 20 00

+33 1 73 92 25 69

Information: http://www.proxad.net/
Spam/Abuse requests: mailto:abuse@proxad.net

Websitet er helt ukompliceret. Der benyttes ikke avanceret scripts til at angribe den besøgende på andre sårbarheder. Det interessante var herefter at få en idé om, hvilken type malware dette website spredte. Derfor blev den angivne exe-fil hentet ned til videre analyse:

GET /meandyou.exe HTTP/1.1
Host: waleprojekt.com (221.124.70.181)

HTTP/1.1 200 OK
Server: nginx/0.6.34

Date: Sun, 01 Feb 2009 11:30:01 GMT
Content-Type: application/octet-stream

Connection: keep-alive
Content-Length: 392704
Last-Modified: Sun, 01 Feb 2009 11:29:06 GMT
Accept-Ranges: bytes

Download Complete (meandyou.exe, 392704 bytes recieved)

Cirka et minut efter at siden første gang blev kontaktet, har IP-adressen ændret sig. Malware filen hentes nu fra en helt anden adresse - men domænet er stadig det samme. Dette er bestemt ikke normal opførsel for et website 'med rent mel i posen'.

Filen blev kort efter oploadet til VirusTotal.com for at få en indikator på, hvad det er vi har med at gøre. Resultatet var ikke overraskende, at kun 3 ud af 39 antivirusscannere fandt noget mistænkeligt. Af de tre produkter der råber vagt i gevær, er Sophos den eneste som indikerer et navn - nemlig W32/Waled-W.

Se VirusTotal analysen her:

http://www.virustotal.com/analisis/fd128c0d200607a9b1f1ae86d140b501

Den nye IP-adresse blev også tjekket. Fra først at have været en tur i Frankrig - blev selve malware filen nu hentet i Hong Kong. Men stadig med reference til samme domæne:

ITMM HGC

Hutchison Telecom Tower,

9/F Low Block,
99 Cheung Fai Rd, Tsing Yi,
HONG KONG
phone: +852-21229555

fax-no: +852-21239523
e-mail: hgcnetwork@hgc.com.hk

Blot for at få en idé om hvad dette angrebssite egentlig viste sine besøgende, blev den benyttede JPG grafikfil også hentet:

GET /img.jpg HTTP/1.1
Host: waleprojekt.com (80.98.203.215)


HTTP/1.1 200 OK

Server: nginx/0.6.34

Date: Sun, 01 Feb 2009 11:38:37 GMT

Content-Type: image/jpeg

Connection: keep-alive

Content-Length: 60457
Last-Modified: Fri, 23 Jan 2009 04:22:14 GMT
Accept-Ranges: bytes

Download Complete (img.jpg, 60457 bytes recieved)


Endnu engang ændrede IP-adressen sig for domænet. Denne gang blev vejen lagt forbi Ungarn - nærmere bestemt Budapest:

Tamas Mogyorosi
UPC Magyarorszag Kft.
Kinizsi 30-36.
H-1092 Budapest
address: Hungary

phone: +3614562600

fax-no: +3612160058
e-mail: mogyoros@broadband.hu


På blot 3 forespørgsler, henholdsvis på siden, malwaren og et grafikbillede - ændrede IP-adressen sig for hver gang. Blot for sjov blev siden hentet flere gange med cirka et minuts interval. Hver gang var det en ny IP-adresse der svarede fra en ny lokalitet i verden.


Dette, og flere andre faktorer (det er en nginx/0.6.34 webserver der svarer hver gang) indikerer, at Sophos har ret i, at dette er malware tilhørende Waledac botnettet: http://www.sophos.com/security/analyses/viruses-and-spyware/w32waledw.html


Anden information:


Amerikanerne er det land i verden der sender flest lykønskningskort. Hele 7 milliarder kort om året ifølge The Greeting Card Association. Hver amerikansk husholdning køber cirka 30 lykønskningskort om året - og hver borger i USA modtager i gennemsnit 20 kort om året.

Der er i praksis et kort til enhver given lejlighed, men julekort kommer ind på en sikker førsteplads (60 procent). På en lige så sikker andenplads kommer Valentinsdag (25 procent). Efterfølgende kommer Mors Dag (4 procent), Påske (3 procent) og Fars Dag (3 procent). De sidste 5 procent dækker over brylluper, fødselsdag, udnævnelser og lignende.


Der bliver med andre ord blive sendt omkring 1.75 milliarder Valentinsdagskort, hvoraf cirka 200 millioner sendes elektronisk. Dette tal er i stigning, men amerikanerne foretrækker stadig et fysisk lykønskningskort. Men 200 millioner er da en slat :o/