Tag Archive for 'hack'

10 niezmiennych praw dot. bezpieczeństwa IT

Published by
Michał Osmenda
2008-01-24 in Bezpieczeństwo. Comments Tagi:

Aktualizacja: Po sugestiach ptashka co do niedociągnięć mojego tłumaczenia, pozwolę sobie zamieścić tutaj jego wersję z komentarza (punkty 1-7, 8-10 to już moje tłumaczenie):

  1. Jeśli przestępca jest w stanie przekonać Cię do uruchomienia jego programu na Twoim komputerze, nie jest to już Twój komputer.
  2. Jeśli przestępca jest w stanie wprowadzić zmiany w systemie operacyjnym na Twoim komputerze, nie jest to już Twój komputer.
  3. Jeśli przestępca ma nieograniczony, fizyczny dostęp do Twojego komputera, nie jest to już Twój komputer.
  4. Jeśli pozwolisz przestępcy skopiować program na Twoją stronę www, nie jest to już Twoja strona.
  5. Słabe hasła przeczą silnym zabezpieczeniom.
  6. Twój komputer jest tak bezpieczny, jak administrator jest godny zaufania.
  7. Zaszyfrowane dane są tak bezpieczne, jak bezpieczny jest klucz deszyfrujący.
  8. Nieaktualizowany program antywirusowy jest niewiele lepszy niż jego brak.
  9. Anonimowość nie działa ani w świecie rzeczywistym ani w Internecie.
  10. Technologia nie jest lekarstwem na wszystko.

Źródło: 10 Immutable Laws of Security, Microsoft.com

Dawid kontra Goliat

Published by
Michał Osmenda
2007-09-22 in Root. Comment Tagi: , , , , ,

Zapowiada się ciekawa wojna między światem tzw. piratów a koncernami fonograficznymi. Wojna ideologiczna i wojna prawnicza - między korporacjami USA i prawem szwedzkim.

Jak powszechnie wiadomo do sieci przedostała się cała korespondencja firmy MediaDefender - firmy, która profesjonalnie zajmuje się walką z piractwem. Jej klientami są tacy giganci jak Twientieth Century Fox, EMI, Universal, by wymienić tylko kilka.

The Pirate Bay, strona która udostępnia tzw. trackery do ściągania danych poprzez protokół bittorent, zaskarżyła działalność firmy MediaDefender i potentatów muzycznych i filmowych przed szwedzkim sądem przedstawiając metody działania walki z piratami jako sprzeczne z prawem albowiem wykorzystującego metody sabotażu, DDoS, spamu i innych metod wpływających na infrastrukturę The Pirate Bay. Koncerny medialne zostały oskarżone o finansowanie sprzecznych z zasadami prawa działań.

Źródło: The Pirate Bay - TPB files charges against media companies

Powyższa notka powstała w 100% w nowej wersji Windows Live Writer - nie ma już problemów z polskimi znakami!

Malware z cyfrowym podpisem

Published by
Michał Osmenda
2007-09-12 in Bezpieczeństwo, Windows Server 2003, Windows Vista and Windows XP. 11 Comments Tagi: , , ,

==Aktualizacja (16/09/2007)==

Certyfikat tutaj opisany nie zaświadcza, że program, który został nim podpisany jest bezpieczny, jakąkolwiek definicję bezpieczeństwa przyjmiemy. Zdanie to jest zawarte w poniższym tekście, jednak nie wszyscy są w stanie wyłowić taki niuans.

==Oryginał poniżej==

Upadkiem dobrych obyczajów i utratą zaufania można nazwać ostatnie znalezisko firmy Sunbelt Software z USA: spyware podpisany cyfrowo przez Thawte.

Tutaj można znaleźć wynik skanowania podpisanego przez Thawte pliku. Jak widać, całkiem nieciekawy widok.

Problem jest całkiem złożony. Zaczyna się od tego, że każdy komputer z zainstalowanym systemem Windows (praktycznie w dowolnej wersji) ufa firmie Thawte i jej certyfikatom jako zaufanym i wszystko co jest przez ich certyfikaty podpisywane, traktowane jest jako “bezpieczne”. Jednak firma Thawte jest także zwykłą firmą, której głównym celem jest zarabianie pieniędzy. Nic zatem dziwnego, że sprzeda swoją technologię także firmom czy osobom prywatnym, których celem jest dostarczanie użytkownikom komputerów niezgodnego z prawem oprogramowania: wirusów, adware, spyware, trojanów i temu podobnych. Taki certyfikat kosztuje niemało, ale też nie jest na tyle drogi, by średnio przedsiębiorczy autor szkodnika mógł osiągnąć zyski z takiego zakupu.

Sam certyfikat dostarczany przez Thawte oczywiście nie zaświadcza, że oprogramowanie nim podpisane nie wyrządzi szkód naszemu systemowi i danych na nim zawartych. Jak można zresztą wyczytać z powyższego obrazka, certyfikat oznacza “jedynie”, że kod pochodzi od firmy, dla której certyfikat wystawiono i że oprogramowanie nie zostało zmodyfikowane po jego podpisaniu. Nie ma wzmianki o tym, że program jest “bezpieczny”. Problemem jest interpretacja, jaką zwykło się przyjmować dla kodu podpisanego przez zaufane firmy. W Windows XP, 2000, 2003 i Vista wywołując polecenie certmgr.msc można zobaczyć listę instytucji certyfikujących zakwalifikowanych do grona zaufanych. Jest tam Thawte, VeriSign czy Globalsign. Programy podpisane przez certyfikaty tych firm nie spowodują wyświetlenia ostrzeżenia o uruchamianiu programu pochodzącego z nieznanego źródła.

Czy to może oznaczać, ze Microsoft zadecyduje o wyłączeniu opcji “ufaj Thawte” w jakiejś kolejnej poprawce, SP czy kolejnej wersji systemu operacyjnego? Raczej mało prawdopodobne. Ale może to oznaczać, że Thawte będzie musiało nieco zmienić swoją politykę dostarczania technologii podpisu cyfrowego każdemu kto o to poprosi i zapłaci wystarczająco dużo. W innym przypadku będziemy świadkami dośc poważnego kryzysu zaufania do instytucji certyfikujących (którą na marginesie jest także Microsoft).

Źródło: Sunbelt Software blog

SQL injection na Microsoft UK Events

Published by
Michał Osmenda
2007-08-01 in Bezpieczeństwo, Dev and Microsoft. 10 Comments Tagi: , , ,

O tym jak bardzo należy uważać i dlaczego przed ostatecznym wypuszczeniem produktu do klienta trzeba wszystko sprawdzić 10 razy, przekonał się niecały miesiąc temu brytyjski oddział Microsoft.

Ich strona nie dość, że wyświetlała bardzo szczegółowe błędy serwera, łącznie z błędną składnią SQL, to w dodatku nie miała żadnej filtracji na parametrach przekazywanych w URL.

Na efekt nie trzeba było długo czekać. Haker o pseudonimie “rEmOtEr” zamienił stronę eventów brytyjskiego Microsoftu na taką, jaką uważał za stosowną. Prawdopodobnie nowa strona nie przypadła do gustu właścicielom serwisu, bo nie wisiała długo.

Szczegółowa lektura dostępna jest pod tym adresem.

Błędy, błędy i jeszcze raz błędy zaniechania, niedoszacowania i niedocenienia użytkowników Internetu powodują takie a nie inne efekty. SQL injection jest jedną z najpopularniejszych metod podmian stron (tzw. deface) i kradzieży danych. Jeśli w swoim procesie analizy zagrożeń serwisu www, który właśnie produkujesz, nie masz badania podatności na SQL injection, odwlecz premierę o tydzień albo dwa i przejrzyj dokładnie kod. Jeśli nie masz w ogóle podobnej analizy, zastanów się jeszcze raz nad sensem istnienia czegoś, co zostanie szybko zniszczone.

W procesie testowania serwisu ITCore.pl przypadło mi napisać scenariusz testowania dla wyszukiwarki jaka będzie zainstalowana na serwisie. Dość duży nacisk położyłem na wykorzystanie różnych potencjalnie niebezpiecznych z punktu widzenia serwisu akcji użytkownika, które mogłyby spowodować ciąg zdarzeń podobnych do tych, jakich doświadczył Microsoft UK.

Przykładowy scenariusz zakłada sprawdzenie wyników wyświetlania takiego zapytania:

‘ UNION SELECT name, type, id FROM sysobjects;–

Testy mam nadzieję zaczną się niedługo, będę miał okazję przekonać się samemu.

Mała niespodzianka: osoba, która jako pierwsza napisze w komentarzu do tego posta, jakiego wyniku nie chcielibyśmy zobaczyć po wykonaniu powyższego wyszukiwania na serwisie ITCore.pl oraz poda prosty kawałek kodu (VB, C#, SQL) pozwalający ustrzec się przed podobnymi sztuczkami użytkowników otrzyma ode mnie w prezencie nieużywaną, nieodpakowaną, świeżą i pachnącą grę na XBOX 360 pt. Forza Motorsport 2. Chętni?
Oczywiście liczą się tylko poprawne odpowiedzi.

Disclaimer: Konkurs organizowany jest przeze mnie, prywatną osobę i nie ma związku z Microsoft Polska sp. z o.o., Microsoft Ireland, Microsoft UK, XBOX czy serwisem ITCore.pl.

Update: Miałem włam na FTP’a

Published by
Michał Osmenda
2007-07-26 in Bezpieczeństwo and Blog. 17 Comments Tagi: ,

A jednak! Mieli włam na FTP’a i trochę haseł im wyciekło. Jeśli jesteś klientem Servage, spodziewaj się korespondencji o przymusowej zmianie hasła. Jak to mówią: na wszelki wypadek.

Oto fragment ich korespondencji (proszę, nie zwymyślajcie ich za ich angielski):

There was an hacking attempt on FTP and we have changed the passwords just to be sure they are not known by others. We have changed all the clients FTP account passwords to secure our network. There has not been a root hack at all on our servers. The attack was only from the FTP side and not from the control panel.  We are aware of the exact issue that is going on and are looking ahead to implement some security scripts.

OK, no to teraz już mamy oficjalną informację: Dreamhost leaks password, Servage does it too!

« Previous Entries

Kalendarz

maj 2008
P W Ś C P S N
« kwietnia    
 1234
567891011
12131415161718
19202122232425
262728293031  

Disclaimer

All postings are provided "AS IS" with no warranties, and confer no rights. This weblog does not represent the thoughts, intentions, plans or strategies of Microsoft or any other company or organization. Because a weblog is intended to provide a semi-permanent point-in-time snapshot, you should not consider out of date posts to reflect current thoughts and opinions.
All software used by author of this blog come from legal sources.

Add to Technorati Favorites

RSS RSS Feed