- Data dodania:
- 23 2.10
- Kategorie:
- analizy, newsy
- Autor:
- Borys Łącki
Klikuem sobie dziś w sportowe wiadomości, a tam informacja o tym, że w Hokeju już nic nie będzie takie jak kiedyś. Ciekawy byłem co takiego się wydarzyło i doczytałem, że jeden sławny hokeista uderzył drugiego sławnego hokeistę niby nie uderzając, ale zarazem nokautując. Standardowo wrzuciłem wyrazy związane z tą sytuacją w youtube by po chwili dowiedzieć się, że prawa do filmu zderzeniowego posiada jakaś firma i się sportowych wyczynów nienaoglądam więc postanowiłem użyć narzędzia diabła czyli wyszukiwarki Google: jagr 2010 vancouver movie hit
Zadziwiła mnie powtarzalność wyników (patrz obrazek) i jak się okazało miałem rację. Pierwsze dwadzieścia kilka wyników wyszukania, za pomocą systemu przekierowań próbowało przekonać mnie do instalacji fałszywego oprogramowania antywirusowego. Kampania o tyle gruba, że bierze w niej udział masa domen i masa stron kierujących. Czytaj dalej »
- Data dodania:
- 19 2.10
- Kategorie:
- newsy
- Autor:
- Borys Łącki
Max Ray Butler używający pseudonimu Iceman (oraz Max Vision) został skazany na 13 lat więzienia za okradanie instytucji finansowych z danych dotyczących kart płatniczych i kont bankowych. Dodatkowo jako prezent otrzyma 5 letni dozór kuratorski oraz nakaz zapłacenia ponad 27 milionów dolarów kary swoim ofiarom. Max zarządzał forum internetowym, na którym cyberprzestępcy wymieniali się kradzionymi informacjami z kart kredytowych w celu zamiany tychże na kradzione dobra wszelakie.
Co ciekawe Butler rozpoczął swoją karierę jako specjalista od bezpieczeństwa, który jako wolontariusz pracował dla FBI. Jednakże został przyłapany na tworzeniu złośliwego oprogramowania, które potem instalował (także w systemach rządowych sieci). Został skazany na 18 miesięcy więzienia, które wytłumaczyło mu w procesie resocjalizacji, że po opuszczeniu go, nie będzie mógł znaleźć pracy i dlatego zajął się ponownie tym na czym znał się najlepiej.
To chyba najwyższy wyrok dla cyberprzestępcy z jakim się dotychczas spotkaliśmy. Widać, że chciwość w pewnym momencie przebiera miarkę i jeśli nie potrafimy wycofać się w najlepszym momencie – możemy skończyć marnie :]
Źródło: http://www.computerworld.com/s/article/9156658/Criminal_hacker_Iceman_gets_13_years
- Data dodania:
- 18 2.10
- Kategorie:
- analizy, newsy
- Autor:
- Borys Łącki
Proste metody są jak zawsze najskuteczniejsze. Od wczoraj otrzymuję spam, który w treści wiadomości zawiera zwyczajowe parę zdań bez zbędnych HTML i cudów oraz bezpośrednio w treści wpisany link do pliku Flash, który umieszczany jest na jednym z popularniejszych serwisów umożliwiających darmowe przechowywanie plików graficznych, filmowych, flashowych czyli imageshack.us. Spamerzy umieszczają plik Flashowy, który robi wyłącznie tyle, że kieruje automatycznie przeglądarkę na stronę sprzedającą medykamenty najpopularniejszego sklepu aptekarskiego czyli Canadian Pharmacy. Niedługo spamerzy zaczną wykorzystywać takie technologie jak np. Opera Unite do hostowania swoich plików :]
Treść spamu:
Got troubles with receiving medicaments to your house?
Our web-store is ideal for helping you! Submit your order here and get your package to your apartment the same day.
We don’t care about prescription, but we care about confidentiality of shipping and transactions
Zdezasemblowany kod flasha z użyciem narzędzia flasm wygląda mniej więcej tak: Czytaj dalej »
- Data dodania:
- 17 2.10
- Kategorie:
- newsy
- Autor:
- Borys Łącki
Dziś jak gdyby nigdy nic w przeciągu godziny odnotowałem kilkanaście prób zaspamowania bothuntersów. Wszystkie próby zostały wychwycone przez system antyspamowy ale tak dużej akcji już dawno nie widziałem. Zazwyczaj są to dwa lub trzy komentarze, a tutaj w ciągu kilkudziesięciu minut tych prób było 13, a do tego każda z innego adresu IP. Niezła akcja. W treści spamerskiej zawarte były próby umieszczenia odnośników do nieistniejących stron. Zapewne po wysłaniu spamu, następny robot sprawdza czy na stronach lub gdzieś w okolicy pojawiły się odnośniki do spamowanych witryn. Jeśli tak – oznacza to, że blog jest podatny na spamowanie i można rozpocząć masową akcję wysyłania reklam. Różne adresy IP oraz różne wpisy bloga. Poniżej lista adresów IP, ich kraje źródłowe oraz godzina połączenia:
166.122.68.249 – US – 14:55
80.92.66.181 – LU – 14:51
78.152.106.43 – IT – 14:49
167.206.48.108 – 14:48
62.193.13.136 – IR – 14:44
200.105.231.18 – EC – 14:40
121.101.214.81 – CN – 14:27
87.252.2.29 – FR – 14:14
95.35.19.34 – IL – 14:11
85.115.54.180 – GB – 14:10
79.122.220.254 – RU – 14:10
217.6.171.194 – DE – 14:06
194.186.98.236 – RU – 13:53
Jak widać do wyboru, do koloru… A przykładowy spam wygląda tak:
iecVO5 kdquuhpclvzh, [url=http://ahbyhkzvolpx_com/]ahbyhkzvolpx[/url], [link=http://prsiaiwireeu_com/]prsiaiwireeu[/link], http://avwsnlpvneir_com/
- Data dodania:
- 16 2.10
- Kategorie:
- analizy, newsy
- Autor:
- Borys Łącki
Otrzymałem dziś kilka wiadomości mailowych, które z wyglądu wskazują na problemy wysyłających, być może jakiejś nowej ekipy spamerów. Trochę się w treści rozjechały nagłówki, nie do końca się zastąpiły losowe wyrazy, losowymi wyrazami (lub taki też był master plan) i całość średnio wygląda w moim ubogim programie pocztowym. Tak dokładnie wygląda treść:
Date: Tue, 16 Feb 2010 11:23:57 +0100 (CET)
From: minimaedg10@auh-b112364.alshamil.net.ae
To: undisclosed-recipients: ;
{nReceived}
From: „Elba Armstrong” <minimaedg10@auh-b112364.alshamil.net.ae>
To: <adres@email>
Subject: FWD:
Date: Tue, 16 Feb 2010 14:23:57 +0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-={_nSBoundary}”
X-Priority: 3
X-Mailer: {nXMailer}
Message-ID: <0235115491.78GRQQ9C533002@{nHOST}>
——={_nSBoundary}
Content-Type: text/plain;
charset=”windows-1250″
Content-Transfer-Encoding: quoted-printable
some random words here. some random words here. some random words here. some random words here. some random words here. some random words here. some random words here. some random words here. Czytaj dalej »
- Data dodania:
- 11 2.10
- Kategorie:
- newsy
- Autor:
- Borys Łącki
Czasami próbując odnaleźć jakąś darmową aplikację w sieci (np. OpenOffice) możemy trafić na stronę, która będzie oferowała za drobną opłatą (karta kredytowa, SMS) możliwość pobrania aplikacji, które tak na prawdę można pobrać za darmo. Z taką sytuacją spotkał się zajmujący się bezpieczeństwem Russ McRee, który natrafił na domenę messenger-download_info. Po krótkiej chwili i przyjrzeniu się działania aplikacji WWW, znalazł drobny błąd na stronie umożliwiający pobranie pliku znajdującego się na serwerze, do którego serwer WWW posiadał odpowiednie uprawnienia. W dużym skrócie – pobrał plik /etc/passwd, w którym co najciekawsze – znalazł listę pozostałych domen, które wykorzystywane są do naciągania użytkowników! Przydatna lista, zwłaszcza jeśli ktoś korzysta z mechanizmów blokujących złe domeny. W tym wypadku okazało się, że Ciemna strona nie zadbała o swoje bezpieczeństwo i stali się ofiarą strony przeciwnej. Jak widać niezależnie od miejsca w szeregu – o bezpieczeństwo należy dbać tak samo dobrze.
Tak wygląda część pliku /etc/passwd:
conv001:x:683:501::/var/www/html/Sites/www.converter-2010_com:/sbin/nologin
express013:x:684:501::/var/www/html/Sites/www.expressmailsite_com:/sbin/nologin
office006:x:685:501::/var/www/html/Sites/www.office-suite2010_net:/sbin/nologin
vers001:x:686:501::/var/www/html/Sites/www.2010-version_net:/sbin/nologin
down008:x:687:501::/var/www/html/Sites/www.2010-download_net:/sbin/nologin
- Data dodania:
- 06 2.10
- Kategorie:
- newsy
- Autor:
- Borys Łącki
Co jakiś czas pojawia się nowa fala spamu, w którym wykorzystywane są adresy internetowe popularnych serwisów społecznościowych. Dzięki takiemu rozwiązaniu, pierwszym linkiem, który widzi i klika użytkownik jest legalny adres serwisu, więc adres zazwyczaj nie zablokowany przez różnej maści systemy antywirusowe czy antyphishingowe. Kilka dni temu taka fala przelała się przez serwisy takie jak Facebook, Windows Live Spaces czy Friendster. Kampania reklamuje największą fabrykę specyfików aptekopodobnych czyli Canadian pharmacy. Jak komuś nie stoi, a ma stać to po zażyciu tabletek będzie stać godzinami. Jak ktoś ma małe ego to po zażyciu specyfików będzie miał duże ego. W przypadku na przykład serwisu Facebook możliwe jest przekierowanie użytkownika na inną stronę:
http://www.facebook.com/l/losowe_znaki_alfanumeryczne;link_do_spamu
np. http://www.facebook.com/l/12345;http://bothunters.pl
Facebook posiada na szczęście od niedawna funkcjonalność informującą, że zostajesz przekierowany na określoną stronę i czy na pewno chcesz to zrobić.
W przypadku serwisu Space.live.com wykorzystywany jest wyłącznie obrazek umieszczony na serwerach tego portalu społecznościowego. Każdy sposób jak widać jest dobry, byleby był skuteczny :]
Źródło: http://www.m86security.com/trace/traceitem.asp?article=1231
- Data dodania:
- 04 2.10
- Kategorie:
- newsy
- Autor:
- Borys Łącki
Ponad 300 serwisów internetowych zostało zaatakowanych z użyciem dużej sieci botnet. Atak polegał na masowym i zwielokrotnionym łączeniu się do usługi SSL (bezpieczne połączenie) z setek tysięcy adresów IP. Wszystko wskazuje, że botnet odpowiedzialny za ataki to rodzina Pushdo. Ekipa Shadowserver zajmująca się tropieniem sieci botnet zidentyfikowała 315 stron, które zostały zaatakowane. Ewidentnie takie testy wskazują, że ktoś chce sprawdzić ile może zdziałać i jak bardzo negatywnie całym botnetem może wpłynąć na działanie globalnych usług dostępnych z sieci internet. Istnieje jeszcze szansa choć nikła, że zarządzający siecią botnet piszą pracę magisterską na temat wydajności protokołu SSL i zbierają w ten sposób materiał do badań :] Jednakowoż tak rozległej próby ataku na port SSL jeszcze nie było.
Poniżej lista atakowanych witryn: Czytaj dalej »
- Data dodania:
- 03 2.10
- Kategorie:
- newsy
- Autor:
- Borys Łącki
Co prawda cała akcja miała miejsce już jakiś czas temu ale osobiście uważam, że takie delikatnie historyczne chwile należy uwieczniać gdzie tylko się da. Kilka miesięcy temu został odłączony od sieci dostawca ISP – Group Vertical znany z działalności powiązanej z cyberprzestępcami, a zwłaszcza z hostowania serwerów zarządzających trojanami ZeuS, które są znane profesjonalnego okradania swoich ofiar z danych uwierzytelniających do usług bankowych. W końcu nadrzędni dostawcy usług dla firmy Group Vertical mieli dość negatywnego PRu w związku z obsługiwaniem tej firmy i postanowili odciąć ich całkowicie od sieci. Jak możemy zaobserwować na statystykach serwisu monitorującego serwery trojana Zeus, bardzo szybko liczba serwerów zarządzających trojanami spadła o 42! To na prawdę piękne osiągnięcie! Ciekawy jestem co z tymi wszystkimi danymi zawierającymi poufne wykradzione dane, które znajdowały się na wyłączonych serwerach :] Czytaj dalej »
- Data dodania:
- 02 2.10
- Kategorie:
- newsy
- Autor:
- Borys Łącki
Dostawca usług internetowych takich jak serwery wirtualne, dostęp dialup, telefonia VoiP, dostęp szerokopasmowy, hosting, który reklamuje się jako firma z ponad 10 letnim wyśmienitym doświadczeniem w swoich dziedzinach dostał drobną liczbę pakietów weryfikującą ich możliwości. Firma Vispa zarzeka się, że każde połączenie telefoniczne do call center jest odbierane w czasie poniżej 60 sekund. Niestety kilka tygodni temu większość ich usług została zaatakowana poprzez rozproszony atak odmowy usługi (DDoS), który doprowadził do 12 godzinnej przerwy w działaniu usług firmy ISP dotykając zasięgiem 30 000 klientów. Co ciekawe po przywróceniu do normalnego działania większości usług – ostatnią usługą, która nie działała poprawnie – był właśnie system telefoniczny. Można domyślać się, że wykorzystywana technologia VoIP, dzięki zawartości w swojej nazwie literek „IP” oberwała podwójnie. Warto przy wdrażaniu tej technologii pamiętać także o zagrożeniach związanych choćby z łatwym atakiem odmowy usługi poprzez wyczerpanie zasobów sieciowych. Rzekomo źródeł ataku dopatruje się na Łotwie ale jak to zawsze z tego typu atakami bywa, rzeczywistość potrafi być mocno nieadekwatna do założeń.
Źródło: http://cyberinsecure.com/ddos-attack-hits-cheshire-based-isp-vispa-30000-customers-forced-offline