Recent News Entries
11 Mar
Das dachten sich zwei ISPs aus der Ukraine und Russland und isolierten Dienstag Mittag mal eben all Ihre Kunden vom Internet. Der Grund: Unter Ihnen befand sich Troyak, ein ISP, der regelmäßig mit Botnetzen in Verbindung gebracht wird.
Und tatsächlich brachte das einen sichtbaren Erfolg: Von 249 beobachteten C&C-Servern des Zeus-Botnetzes verschwand über ein Viertel schlagartig. Von einem durschlagendem Erfolg kann man jedoch nicht sprechen: Bereits am Mittwoch war Troyak durch einen Providerwechsel wieder online.
Zeus botnets suffer mighty blow after ISP taken offline
After takedown, botnet-linked ISP Troyak resurfaces
Cryptome-Quicklinks:
Cryptome: PayPal a 'liar, cheat and a thug'
PayPal restores Cryptome for real
Aurora-Quicklinks:
Google boss says something will happen in China 'soon'
Posted at 13:03 by Christopher Schramm
10 Mar
Die ITK-Branche ist sich einig: iPhone, Anroid und Co. sind ihre Zukunft. Natürlich bleiben Angriffe auf die Plattformen nicht aus und offensichtlich sind Anwender wie Anbieter auf dem Gebiet noch deutlich zu unsensibel.
Beispiel die spanische Vodafone Group: Hier liefert der Anbieter den Schadcode gleich im Paket mit. In einigen ausgelieferten Exemplaren des Android-Smartphones HTC Magic sitzen ein Ableger des Mariposa-Bots, Confiker und Lineage. Vodafone hat sich natürlich vielmals entschuldigt und kann sich das bisher überhaupt nicht erklären.
Auf der RSA-Konferenz wurde unterdessen ein Experiment vorgestellt, welches verdeutlicht, wie einfach auch das Nachladen von Schadcode auf entsprechende Geräte ist. Die Forscher entwickelten eine Anwendung, die vordergründig das Wetter anzeigt, hintergründig jede Menge Unfug anstellen könnte. Ohne Probleme konnten sie die Software in verschiedenen App-Sammlungen für Android und iPhone online stellen und hatten binnen eines Tages 1900 Downloads und ganze 8000 innerhalb eines Monats.
Das Kritische: Die Plattformen hätten die Anwendung ablehnen müssen, da sie zum einen unnötig die GPS-Daten an den Server übermittelt und zum anderen über eine automatische Update-Funktion beliebigen Code nachladen kann. Damit wäre das Gerät vollkommen offen und man könnte z. B. Daten auslesen, einen Mailserver oder eine Remote Shell anbieten.
Einzig Apples AppStore bewerten die Forscher positiv, da Anwendungen dort ausreichend kritische geprüft werden würden. Alle anderen Quellen halten sie für zu unsicher.
Vodafone ships Mariposa-infected HTC Magic
Der Smartphone-Bot, der mit dem App-Update kam
Smartphone app botnet experiment blows up a storm
Quicklinks:
New Internet Explorer code-execution attacks go wild
'Crazy' man cuffed for plotting cyber extortion scheme
Thailand approves extradition of credit card hack suspect
Posted at 09:03 by Christopher Schramm
10 Mar
Als Christopher vorgestern ueber die Ubisoftgeschichte (Der Groll der Netzwelt) schrieb, war da noch nicht viel IT Security dran, aber er scheint wie immer den richtigen Riecher gehabt zu haben. Denn ausser ihn, scheint es noch den ein oder anderen geaergert zu haben.
Mittels einer DDoS Attacke wurden die Rechteverwaltungsserver mal eben ganztaegig lahmgelegt.
Das gaben die Ubisoft Offiziellen dann auch ungeschoren zu .. Ueber ihren Twitter Account ... *oh boy*
Aber was stoerts schon? 95% der User waren nicht betroffen. Und der Rest?
Der Spielt auch so offline, denn der angeblich unknackbare Schutz hat gerademal 24h gehalten!
Eine Gruppe namens "Skid-Row" hat es geschafft die DRM verbindungen von "Silent Hunter 5" schlicht zu umgehen. Nun spielen die ohnehin nicht zahlenden User weiterhin ohne ein Spiel zu kaufen und diejenigen, die eines kaufen wollten, lassen das nun. Congratulations Ubisoft.
Wie man in den Wald hinein ... ach lassen wir das.
Gruesse
Falk
Posted at 01:03 by Falk Hammer
09 Mar
Websecurify 0.5 ist ein scanner fuer Webanwendungen, welche einige gute und bewaehrte Test techniken fuer automatisierte und manuelle Webumgebungen anbietet.
Ueber eine GUI kann man sich diverse Funde direkt anzeigen lassen und detailierte reporte koennen in CSV, HTM, XML oder JSON exportiert werden.
Das tool findet viele CRLFI, LFI, Directory Listings, System Path disclosure vulnerabilities und noch allerhand mehr Informationen ueber die Webumgebung auf euren Servern.
Sehr hilfreich kann auch das Feature sein, das es dem Benutzer erlaubt den Report in der Sprache seiner Wahl auszugeben.
Durchaus mal einen Blick wert.
Gruesse
Falk
Link fixed, thanks rami
Posted at 11:03 by Falk Hammer
08 Mar
.. no, not too drunk to fuck. Too lazy to patch!
Heute ist Dienstag und Windows hat wiedermal Patchday. Ein gefundenes Fressen fuer alle, die schon laenger drauf warten, dass der Nachbar einmal wieder richtig viel Traffic laedt.
Wie dem auch sei ... wiedermal schafft es Windows nicht, alle offenen Luecken zu stopfen. Obs Desinteresse ist oder schlicht Unwissen .. ich weiss es nicht. Oder schlicht das wissen, dass sie keine Folgen zu befuerchten haben, wenn diese Faulheit jemandem schadet..
Die [F1] Luecke zum Beispiel.. Eine Luecke bei der ein Angreifer das Opfer auf eine Malicious Website locken, dort eine Fake Error Box anzeigen koennte und den User auffordern die [F1] Taste zu druecken.
MS hatte selbst vor dieser Luecke gewarnt..
Auffallend ist, dass vor allem XP-Luecken immer oefter ignoriert werden. Kann es sein, dass MS die User damit dazu zwingen will, sich hoehere OS Versionen zu kaufen?
Jerry bryant von MS schrieb zum Thema: "We are not aware of any attacks seeking to exploit this issue at this time and in the current state of our investigation"
Naja .... das haben wir letzten Oktober schonmal gehoert, als Aurora angeblich harmlos war.
Just too lazy to patch.
Gruesse
Falk
Posted at 23:03 by Falk Hammer
