»

Outsourcanje lastne službe

TheNextWeb - Varnostna ekipa pri ameriškem internetnem ponudniku Verizon je objavila zanimivo študijo varnostne analize (case study), ki so jo opravili za eno od svojih strank. Ta stranka - razvijalska hiša - je v svojem omrežju zaznala občasno prisotno VPN povezavo iz Kitajske. Za to ni bilo nobenega pojasnila, vsaj ne, dokler niso ugotovili, da je eden od njihovih ključnih zaposlenih preprosto najel kitajsko freelancersko firmo, da opravlja njegovo delo za 1/5 plače, ter potem cel dan visel na redditu in facebooku, oz. šušmaril še za druge firme.

Vse skupaj so odkrili bolj ko ne po naključju. Sistemski administrator pri razvijalski hiši je v VPN dnevnikih našel zapise o prijavah s Kitajske, kar se mu je zdelo izjemno neverjetno, saj so za VPN uporabljali dvofaktorsko prijavo (up. ime in geslo, ter potem še RSA ključek). Misleč, da gre verjetno za katero od tistih 0-day okužb na računalniku od enega od zaposlenih, je kontaktiral Verizon, s katerim so imeli sklenjeno svetovalno pogodbo, ter...

96 komentarjev

HBGary: tajne operacije

Nabor zmogljivosti HBGaryjevega rootkita

vir: Ars Technica
Ars Technica - Na dan prihajajo nove informacije o delovanju podjetja HBGary, o katerem smo že pisali. Iz epošte je razvidno, kako pester je nabor veščin, ki ga je podjetje HBGary nudilo svojim strankam.

Ukvarjali so se s povratnim inžiniringom zle kode, katere primer je bil Wordov dokument, navidezno interni Al Kajdin dokument, ki naj bi vseboval kodo. Pošiljatelj je naslovniku svetoval, da naj ne odpira šifriranega arhiva...

7 komentarjev

Wikileaks saga: Anonymous vs. HBGary Federal

Aaronov načrt za pritisk na novinarja

Slo-Tech - Največja banka v ZDA, Bank of America, se trese pred Wikileaks. Ta je decembra napovedala, da bo v kratkem na plano izdala informacije o resnih nepravilnostih v eni izmed večjih ameriških bank. V trudu čim bolje obvladati morebitno krizno situacijo, ki bi lahko nastala, je Bank of America proaktivno najela odvetniško pisarno Hunton & Williams za pravno svetovanje. Pri Hunton & Williams so se za potencialne rešitve problemov obrnili na tri IT podjetja, ki so že sodelovala z državnimi organi ZDA: HBGary Federal, Palantir Technologies in Berico Technologies.

O HBGary Federal je že bilo govora na Slo-Techu, izvršni direktor tega podjetja, varnostni strokovnjak Aaron Barr je zatrdil, da se je s...

31 komentarjev

Predstavitev Ring -3 rootkitov na BlackHat konferenci

Slo-Tech - Rafal Wojtczuk in Alexander Tereshkin iz Invisible Things Lab sta na včerajšnji predstavitvi na konferenci Black Hat predstavila Ring -3 rootkite.

Kot je znano, so rootkiti posebna (zlonamerna) programska oprema, ki se skuša prikriti na računalniku. Bolj znani so tim. Ring 3 in Ring 0 rootkiti (prvi tečejo s privilegiji uporabnika, drugi s privilegiji jedra operacijskega sistema). Med manj znanimi pa so Ring -1 oziroma (strojni) hipervizorski rootkiti in Ring -2 rootkiti (ki izkoriščajo ranljivosti v SMM pomnilniku). Kot sta februarja letos pokazala Wojtczuk in Rutkowska je namreč s pomočjo ranljivosti v SMM mogoče izvesti uspešen napad na Intel TXT (Trusted Execution Technology) ter tako računalnik okužiti z "nevidno" zlonamerno programsko kodo.

Največ odkritij na področju Ring -1 in Ring -2 rootkitov si lastijo v Invisible Things Labu, ki ga vodi Joanna Rutkowska. Včeraj pa je ista ekipa predstavila še Ring -3 rootkite.

Pokazali so, kako je mogoče zaobiti zaščito, ki...

8 komentarjev

Prve ranljivosti v Visti

ZDNet - Pri Sophosu pravijo, da je Windows Vista ranljiva na vsaj tri primerke ZleKode™. Zanimivost je, da so to vsi precej poznani internetni črvi, ki slišijo na imena Stratio-Zip, Netsky-D ter MyDoom-O.

Po Sophosovih podatkih ta trojica trenutno sestavlja 39.8 odstotkov vse ZleKode™ na internetu. Ni pa vse tako črno kot se sliši, saj novi vgrajeni odjemalec za e-pošto uspešno blokira te črve, ranljivi so pa drugi odjemalci. Tako so pri Sophusu zaključili, da čeprav priporočajo vsem, da zaradi večje varnosti čim prej menjajo na Visto, naj vseeno bodo pazljivi in uporabljajo protivirusne programe.

Podrobneje na ZDNet India.

66 komentarjev

Skupni imenovalec podjetij Sony ter Symantec: rootkit

Google News - Mark Russinovich nam je znan po odkritju rootkita na Sony-jevih zgoščenkah. Vendar Mark ne počiva. Tokrat je Mark s pomočjo F-Secure ekipe pod drobnogled vzel Symantecov produkt Norton Systemworks. Na žalost, oziroma presenečenje (glede na to, da SystemWorks "skrbi" za gladko delovanje sistema), se tudi v tej zbirki programov skriva rootkit.

V direktoriju, ki se skriva s pomočjo rootkita, so ključne datoteke NProtect sistema in so zelo neprimerne za brisanje ali spreminjanje s strani uporabnika. Namen Symanteca, da je ta direktorij skril pred uporabnikom, je sicer dober, ampak je problem drugje. Poleg uporabnika tudi antivirusni programi tega skritega dela datotečnega sistema ne vidijo. Pisci virusov in ostale internetne nesnage ne spijo in lahko to lastnost zlahka izkoristijo za svoje zle namene. Trenutno je to samo teoretično, vendar pisci virusov niso dolgo čakali po odkritju Sony-jevega rootkita. Sicer pa je Symantec že pripravil nadgraditev, ki odstrani oznako "Top...

15 komentarjev

Trojanec s podporo Sonyja

The Register - Po poročanju spletne strani The Register se je v divjini pojavil prvi trojanski konj, ki si pri prikrivanju svojega obstoja na računalniku pomaga z nedavno odkritim rootkitom, ki ga Sony prilaga nekaterim svojim zgoščenkam.

Zlonamerna koda tako izkorišča lastnost rootkita, ki skrije pred uporabnikom vse datoteke ali procese, katerih ime se začne z $sys$. Trojanski konj je nova različica Breplibot Trojan skupka kode, ki se tako z uporabo imena datoteke $sys$drv.exe uspešno skrije pred uporabnikom. Posledično je možno datoteko odkriti samo z namenskim orodjem za odkrivanje rootkitov, kot je naprimer RootkitRevealer. Trojanec se širi kot priponka elektronskemu sporočilu, zlonamernežem pa omogoči oddaljen nadzor nad okuženim sistemom.

3 komentarji