Kilka dni temu ekipie z SANS, anonimowa osoba doniosła o rosnącej aktywności na porcie 42, który wykorzystywany jest przez usługę WINS, która to ostatnimi czasy okazała się podatna na zdalny atak. Najpewniej ktoś rozpoczął masowe zarobaczanie serwerów. Jeśli ktoś jeszcze nie zaktualizował wystawionej na świat usługi to już zapewne i tak jest za późno ;] Oczywiście żartowałem i zalecam jak najszybszą aktualizację.
Archiwum (sierpień, 2009)
-
Wzmożona aktywność sieciowa wykorzystująca błąd w serwerze WINS – MS09-039
- Data dodania:
- 30 8.09
- Kategorie:
- newsy
-
Wizualizacja przestępst związanych z kartami kredytowymi
- Data dodania:
- 28 8.09
- Kategorie:
- newsy
Bardzo lubię tego typu obrazki pokazujące w bardzo prosty, szybki i przejrzysty sposób jakąś ciekawość. Tym razem możemy obejrzeć stworzony w 2008 roku obrazek ukazujący jak wiele w przeciągu kilku miesięcy zostało wykrytych przestępstw wykorzystujących kradzione dane z kart kredytowych (na terenie USA). Każde koło to konkretna transakcja, promień koła opisuje kwotę transakcji, a kolor różnice w czasie wystąpienia.
Jeśli posiadacie w głowach, ulubionych lub gdziekolwiek indziej podobne wizualizujące obrazki, podzielcie się nimi, a będziecie zbawieni :]
Źródło: http://datashaping.ning.com/photo/2004291:Photo:1417
http://www.packetninjas.net/index.php/visualizing-credit-card-fraud/
-
Zrzuć brzuch w weekend czyli o spamowaniu z przejętych kont Twittera
Kilka dni temu największy na świecie mikroblogowy portal Twitter.com znalazł się pod obstrzałem nowej kampanii spamerskiej reklamującej produkt rewelacyjnie odchudzający. Smaczku dodaje fakt, że w przeciągu kilku godzin, podczas których z tysięcy kont pojawiały się twitnięcia reklamujące rzekomo prywatny blog opisujący perypetie grubej kiedyś, a chudej aktualnie kobiety. Wszystko ma wyglądać na socjalnie polecany produkt odchudzający co zapewne zadziała odpowiednio uwzględniając fakt, że produkt jest reklamowany właśnie za pomocą serwisu Twitter. Sam produkt można dostać po promocyjnej cenie testowej (czytaj 0 zł) i płacimy wtedy wyłącznie za koszty przesyłki. Firma marshal8e6.com na swoim blogu opisuje, że łącząc dwa główne fakty można dojść do wniosku, że SPAM wysyłany jest z przejętych kont, a nie specjalnie do celów spamowania założonych profili. Po pierwsze wiele z reklamujących odchudzającego bloga użytkowników serwisu ma wiele wcześniejszych wpisów świadczących o normalnym wykorzystywaniu Twittera i po drugie pojawiły się twitnięcia oznajmiające, że konta użytkowników portalu zostały przejęte. Mnie najbardziej ciekawi czy cała kampania nie jest zwykłym oszustwem mającym na celu uzyskanie danych o kartach kredytowych bo tak szczerze pisząc wygląda. Fakt, że całość jest przygotowana bezbłędnie. Czytaj dalej »
-
Moja paczka nie dotarła na miejsce przeznaczenia
- Data dodania:
- 22 8.09
- Kategorie:
- newsy
Co jakiś czas otrzymuję mailem wiadomości o problemach z dostarczeniem określonej paczki za pomocą kuriera. W załączniku oczywiście znajdują się rzekomo dokumenty mające mi pomóc, by tak na prawdę w spakowanym archiwum D76f85b45.zip odkryć wykonywalny plik D76f85b45.exe. Metoda znana lecz mnie zawsze zastanawiało jak dużą skuteczność może mieć ten mechanizm. Bo przecież trafienie w sytuację, gdy wysyłamy paczkę, a następnie otrzymujemy taki mail jest jak sądziłem bliskie zeru. Aż do wczoraj. Czytaj dalej »
-
Botnet wykorzystujący do komunikacji serwis Twitter
- Data dodania:
- 20 8.09
- Kategorie:
- newsy
Na przestrzeni ostatnich kilku lat na swoich prelekcjach dotyczących sieci botnet opowiadaliśmy o sposobie komunikacji botnetu opartej o topologię przyszłości, czyli taką, która wykorzystuje dostępne systemy informacyjne i komunikacyjne. Udaje użytkowników rozmawiających za pomocą komunikatorów, wysyła komentarze do blogów i działa w taki sposób aby jak najbardziej przypominać działanie zwykłego użytkownika. Jak się okazuje, został odkryty botnet wykorzystujący do komunikacji największy na świecie serwis mikroblogerski – Twitter. Czytaj dalej »
-
Oskarżenie w sprawie kradzieży 130 milionów danych z kart kredytowych i debetowych
- Data dodania:
- 18 8.09
- Kategorie:
- newsy
Znowu konkretny rekord. 28 letni Albert Gonzales z Miami został oskarżony o kradzież ponad 130 milionów danych dotyczących kart kredytowych. To największa sprawa kradzieży danych cyfrowych w USA. Przez niecałe 2 lata wraz z dwoma współpracownikami z Rosji przeszukiwali zasoby wielkich firm odpowiedzialnych za rozliczenia transakcji kartami. Do firm-ofiar należą między innymi: Heartland Payment System, N.J., 7-Eleven, Hannaford Brothers i inni. Ofiary wybierali na podstawie listy Fortune 500.Część danych na temat kart została sprzedana, część została wykorzystana do nielegalnych wypłat i przelewów. Co ciekawe Pan Gonzales jest w trakcie spraw sądowych związanych ze tym, że współpracował podczas kradzieży danych kredytowych z firmy TJX. Jak widać można napisać, że wyszkolił się w określonej działalności i skrzętnie swoje umiejętności szlifował :] Podczas ataków wykorzystywali podatności typu SQL Injection oraz podsłuchiwanie ruchu sieciowego w sieciach korporacyjnych jak i zapewne szereg innych związanych z bezpieczeństwem IT przywar.
Źródło: http://dealbook.blogs.nytimes.com/2009/08/18/3-indicted-in-theft-of-130-million-card-numbers/
-
O tym jak porno może pomóc w dobraniu słów kluczowych dla kampanii rozsyłającej złośliwe oprogramowanie
- Data dodania:
- 13 8.09
- Kategorie:
- analizy, newsy, statystyki
Większość sposobów infekcji opartych o socjotechniki opiera się na zainteresowaniu ofiary i nakłonieniu do wykonania jakiejś akcji. Zawsze zastanawiało mnie jak bardzo skuteczność kampanii infekujących systemy operacyjne, zależy od odpowiedniego doboru słów i tematów kluczowych. Jak wiadomo aktualnie wykorzystywane są chwytliwe tematy, najlepiej z pierwszych stron tabloidowych produktów. Ja chciałem spróbować zgoła odmiennego podejścia, a mianowicie wymyśliłem aby zbadać coś bardzo każdemu człowiekowi bliskiego czyli porno i na tej podstawie wybrać słowa kluczowe. Nie będę dywagował na temat tego jaki udział w pornobiznesie mają kobiety (jako oglądający, a nie tworzący), a jaki mężczyźni. Skupiłem się na bardzo oczywiście prostych założeniach dla tego szalonego eksperymentu. A mianowicie… Czytaj dalej »
-
Odłączony dostawca ISP Real Host serwujący szkodliwość wszelaką
- Data dodania:
- 11 8.09
- Kategorie:
- newsy
Kolejny to już przypadek gdy dostawcę powiązanego zbyt mocno ze światkiem cyberprzestępczym odłączają od sieci dostawcy usług. Odłączyła ich firma Junik po tym jak większy dostawca TeliaSonera zasugerował, że jeśli nie odłączą Real Hosta od sieci to poniosą pełną odpowiedzialność za swojego klienta. Podobnie jak wcześniej McColo czy Atrivo Real Host zajmował się hostowaniem serwerów dla trojana Zeus, dystrybucją złośliwego oprogramowania czy hostowania stron wykorzystujących podatności w aplikacjach klienckich. Firmy znajdują się na Łotwie, a całe zajście jest kolejnym przykładem, że powolutku coś w tym temacie zaczyna się zmieniać. Nadal powoli i nadal topornie ale jednak coś się ruszyło. Miejmy nadzieję, że z czasem będzie już tylko lepiej :]
-
Arab na celowniku
- Data dodania:
- 10 8.09
- Kategorie:
- newsy
Tam gdzie kasa tam i znajdą się pomysłowi implementatorzy znanych oszustw. Pisaliśmy kilkukrotnie o trojanach, które podszywają się pod systemy antywirusowe i fałszywie informują o zarażeniu wirusem komputerowym. Oczywiście za odpowiednią opłatą możemy pozbyć się nieistniejącego wirusa :] Okazuje się, że na rynku pojawiły się aplikacje, które dostosowane są do języków arabskich i wyświetlają odpowiednio fałszowane komunikaty z wykorzystaniem fontów adekwatnych do zarażonego systemu. Całkiem ładnie prezentują się krzaczki wkomponowane w system Windows. Niech mi jeszcze ktoś przypomni czy na załączonym zrzucie ekranu czytamy także od prawej do lewej? ;]
Źródło: http://ddanchev.blogspot.com/2009/08/scareware-template-localized-to-arabic.html
-
Oskarżony o kradzież domeny p2p.com osadzony w areszcie.
- Data dodania:
- 07 8.09
- Kategorie:
- newsy
W Stanach Zjednoczonych pojawiła się sprawa, która może okazać się swego rodzaju prawnym precedensem. Ale zacznijmy od początku :] Historia rozpoczyna się kilka lat temu. W 2005 roku, Alberta i Lesli Angel dostali wraz z inwestorem i partnerem Marciem Ostrofskym 7.5 miliona dolarów za sprzedaż domeny business.com. Następnie za 160 000 dolarów zakupili domenę p2p.com. W roku 2006 Daniel Goncalves, 25 letni technik komputerowy jednej z firm prawniczych z Nowego Jorku uzyskuje dostęp do skrzynki pocztowej Państwa Angel. Dzięki temu uzyskuje też dostęp do kont firmy Godaddy zajmującej się rejestracją domen. Transferuje domenę p2p.com na fałszywe dane osobowe, dodatkowo fałszując transakcje online w serwisie PayPal na kwotę 900 dolarów :] Następnie wystawia domenę w serwisie aukcyjnym eBay na sprzedaż i zgarnia za nią okrągłe 110 00 dolarów :} Czytaj dalej »
-
Usługi zaciemniające kod już od 20 dolarów miesięcznie
- Data dodania:
- 05 8.09
- Kategorie:
- newsy
Jak napisał na swoim blogu Dancho Danchev pojawiły się w sieci usługi zaciemniające kod (głównie HTML i JavaScript), które na bieżąco analizują silniki antywirusowe oraz funkcje SafeBrowsing firmy Google. Wykupując usługę za 20 dolarów miesięcznie lub 5 dolarów tygodniowo, otrzymujemy dostęp do panelu, w którym po wklejeniu naszego kodu, na żywo możemy zobaczyć czy zostanie on wykryty przez rozwiązania zwiększające bezpieczeństwo użytkowników. Dodatkowo mamy możliwość automatycznego zmodyfikowania kodu za pomocą kilku algorytmów, tak aby trudniej było złośliwość owego kodu wykryć. Interesujące są wartości na przykład dla silnika PolyLite, który zaciemnia kod 177 razy. Być może w takich przypadkach rozwiązaniem byłoby częściowe odrzucanie kodów JavaScript przez przeglądarki, który musiałby więcej niż kilka razy dekodować informacje. Innymi słowy tylko czysty JavaScript z niezagnieżdzającym się JavaScriptem byłby traktowany poprawnie. Na pewno w drobnym stopniu utrudniłoby to tworzenie tego typu zawiłości. Wykupując usługę dostajemy też wartości dodane w postaci możliwości sprawdzenia czy nasze przejęte adresy IP (a dokładnie systemy operacyjne wykorzystujące adresy IP), są dodane do czarnych list serwisu SpamHaus. Jak widać wszelkiego rodzaju usługi wspomagające atakowanie użytkowników nadal dobrze się mają i nic nie wskazuje na to aby miały się mieć gorzej :]
-
Jaki program antywirusowy jest najlepszy?
- Data dodania:
- 02 8.09
- Kategorie:
- newsy
Odpowiedź jest tak na prawdę bardzo prosta. Skuteczny :] Jak często na łamach bloga udowadniałem, wiele wirusów podczas pierwszych kilku dni infekowania ludzi na całym świecie jest bardzo słabo (czasami wcale) wykrywalnych przez większość silników antywirusowych. Dlatego sama obecność programu antywirusowego na pokładzie systemu operacyjnego nie gwarantuje skuteczności tego rozwiązania. Poza tym nawet jeśli posiadamy aplikację, która statystycznie wykrywa najwięcej szkodników i robi to najszybciej, akurat w przypadku konkretnej infekcji może wypaść blado. Oczywiście polegając wyłącznie na statystyce warto wybierać te silniki antywirusowe, które wykrywają najwięcej złośliwego oprogramowania. Dlatego firma AV-Test.org, która na codzień zajmuje się zbieraniem próbek wirusów i testowaniem ich w silnikach antywirusowych, co jakiś czas publikuje ranking aplikacji antywirusowych z uwzględnieniem przede wszystkim skuteczności wykrywania krążących po świecie wirusów. Już parę dobrych miesięcy temu opublikowali zestawienie dla magazynu komputerowego PC World, w którym oceniają różnorodną skuteczność programów antywirusowych. Na pewno taki raport nie musi być jedyną wyrocznią w kwestii wyboru konkretnego programu chroniącego nasze systemy ale na pewno może być wartościową podpowiedzią. Warto zaznaczyć, że w tym teście nie sprawdzano wyłącznie silnika antywirusowego, gdyż dodatkowo analizowane były takie aspekty jak zachowanie się systemu firewall, wykrywanie niechcianych reklam czy skuteczność usuwania złośliwego oprogramowania. A co Wy sądzicie o antywirusach i ich skuteczności?
Źródło: http://www.pcworld.com/article/158157/top_internet_security_suites_paying_for_protection.html
Końcowe wyniki: http://www.pcworld.com/article/158178/top_internet_security_suites.html
-
Chińskie firmy napisały robaka wykorzystującego wiadomości SMS
- Data dodania:
- 01 8.09
- Kategorie:
- newsy
Trzy firmy XiaMen Jinlonghuatian Technology, ShenZhen ChenGuangWuXian Technology oraz XinZhongLi TianJin stworzyły robaka zwanego Sexy Space lub Yxe Worm (Worm:SymbOS/Yxe.D), który rozprzestrzenia się za pomocą SMSów. Podobne próby pojawiały się już w świecie złośliwego oprogramowania, jednak firmy te zabrnęły kawałek dalej. Wysłały robaka do firmy, która akceptuje oprogramowanie na podstawie testów w silnikach antywirusowych i podpisuje certyfikatami (czterema ;) oprogramowanie dla Symbiana. Dzięki temu Symbian wie, które oprogramowanie może bezpiecznie instalować, które nie. Jak się okazało trojan został pozytywnie opisany jako poprawna aplikacja. Wynika to z faktu, że firma certyfikująca wykorzystuje pół automatyczny proces podpisywania aplikacji i nie zawsze podczas analizy jest wykorzystywany człowiek. Sam robak rozsyła zaproszenia do pobierania złośliwych aplikacji do wszystkich użytkowników na naszej liście kontaktowej w telefonie. Warto zaznaczyć, że rynek smartphonów jest w 49 procentach opanowany przez system Symbian. Fundacja Symbiana została poinformowana o tym zajściu i planuje zmianę procedur akceptacji oprogramowania.
http://www.networkworld.com/news/2009/072709-f-secure-chinese-firms-write-worlds.html