Advisories http://www.safebyte.ro 2010-03-11T03:51:09+02:00 http://www.safebyte.ro http://www.safebyte.ro/images/M_images/elxis_rss.png text/html http://www.safebyte.ro http://www.safebyte.ro/pages/security-tools/samhain.html Samhain este un host-based intrusion detection system (HIDS) open-source si care asigura verificarea integritatii fisierelor si monitoriarea fisierelor de log, precum si detectarea rootkit-urilor, proceselor ascunse, porturilor tcp si udp, a executabilelor cu atribute SUID, si altele. text/html http://www.safebyte.ro http://www.safebyte.ro/newsflashes/noutati/adresa-de-email-te-poate-baga-dupa-gratii.html Politia Romana a arestat un hacker suspectat ca ar fi patruns in sistemul informatic al Pentagonului si ca ar fi instalat programe de tip malware.Eduard Lucian Mandru, de 23 ani student al unei universitati din Iasi, este suspectat ca ar fi patruns in sistemul informatic al Departametului Apararii din SUA in 2006. Un hacker care opera sub pseudonimul "Wolfenstein" a accesat sisteme sensibile la acel moment folosindu-se de servere compromise aflate in Japonia ca metoda de a-si acoperi urmele.Hackerul ar fi infectat un numar nespecificat de sisteme cu un trojan care sustragea informatii dupa care stergea log-urile.  Una din foarte putinele urme pe care le-a lasat hackerul a fost o adresa de email de la Yahoo, wolfenstein_ingrid@yahoo.com care a fost implicata in atac. Eduard Mandru a facut "greseala" de a aplica la un job pe un site de profil in care si-a dat adresa sa de email, fapt care a dus pe anchetatori dupa 3 ani de la atac pe urmele sale. Politia a descins la locuinta sa, i-a confiscat echipamentele si l-a arestat.Daca este gasit vinovat, Mandru poate fi condamnat la inchisoare intre trei si doisprezece ani. text/html http://www.safebyte.ro http://www.safebyte.ro/newsflashes/noutati/ghostnet-descoperirea-unei-retele-de-spionaj.html O vasta operatiune electronica de spionaj a reusit sa acceseze retele de computere guvernamentale si private din 103 tari, inclusiv cele apartinand liderului tibetan in exil, Dalai Lama, relateaza New York Times, citand un raport al unor cercetatori canadieni. Potrivit acestui raport (http://www.safebyte.ro/images/ghostnet.pdf), sistemul informatic de spionaj era controlat de computere amplasate aproape exclusiv in China.Totusi, cercetatorii nu pot proba implicarea directa a guvernului de la Beijing in aceasta operatiune.Ancheta, condusa de specialistii Centrului Munk pentru studii internationale al Universitatii din Toronto, a demarat in momentul in care biroul lui Dalai Lama a cerut verificarea computerelor pe care le detinea, pentru a analiza daca acestea erau infectate cu softuri tip malware. Desi initial analistii de securitate nu stiau decat ca reteaua lui Dalai Lama a fost penetrata si din mai multe calculatoare se furau documente, investigatia a dus la decoperirea unei retele de spionaj care controla calculatoare din peste 103 tari, alegand ca tinta institutii financiare si politice. text/html http://www.safebyte.ro http://www.safebyte.ro/newsflashes/noutati/vulnerabilitate-critica-de-tip-buffer-overflow-in-adobe-acrobat.html O noua vulnerabilitate de tip Buffer Overflow in Adobe Acrobat si Adobe Acrobat Reader poate permite unui atacator sa execute cod malitios prin simpla deschidere a unui fisier PDF. Aceasta vulnerabilitate critica a fost identificata in verisunile 7,8 si 9 ale Adobe Acrobat si Adobe Acrobat Reader si exista rapoarte ce aceasta vulnerabilitate este exploatata in mod curent pe internet.Adobe planuieste sa dezvolte patch-uri pentru Adobe Acrobat 9 si Adobe Acrobat Reader 9 care sa rezolve aceasta vulnerabilitate pe data de 11 martie 2009, iar pentru versiunile mai vechi nu s-a preconizat o data. Intre timp Adobe a dat asigurari ca va contacta producatorii majori de solutii antivirus pentru ca programele lor sa detecteze fisierele PDF care prezinta exploatarea acestei vulnerabilitati.Pana la dezvoltarea patch-urilor si aplicarea lor aveti mare atentie la fisierele PDF pe care le deschideti, mai ales daca acestea vin din surse nesigure! text/html http://www.safebyte.ro http://www.safebyte.ro/articole-securitate-informatica/fundamente-de-securitate/sa-intelegem-atacurile-de-tip-phishing.html In ultima vreme auzim din ce in ce mai des termenul de "phishing", insa nu toata lumea intelege la ce anume se refera si cum ne poate afecta acest tip de atac.În domeniul de securitatea calculatoarelor, phishing reprezinta o forma de activitate criminala care consta in obtinerea datelor confidentiale, cum ar fi date de acces pentru aplicatii de tip bancar, aplicatii de trading (De exemplu: E-bay, PayPal) sau informatii referitoare la carti de credit, folosind tehnici de manipulare a identitatii unei persoane sau a unei institutii.Un atac de tip phishing consta, în mod normal, în trimiterea de catre atacator a unui mesaj electronic, folosind programe de mesagerie instanta sau telefon, în care utilizatorul este sfatuit sa-si dea datele confidentiale pentru a câstiga anumite premii sau este informat ca acestea sunt necesare datorita unor erori tehnice care au dus la pierderea datelor originale.  text/html http://www.safebyte.ro http://www.safebyte.ro/newsflashes/noutati/volum-record-de-phising-bancar.html Ultima serie de mesaje din campania de phishing apeleaza la o macheta deja utilizata inca din toamna anului trecut, insa al carei continut solicita de aceasta data utilizatorilor sa-si acceseze contul pentru a verifica o serie de posibile tranzactii neautorizate. Ca o inovatie formala a lunii ianuarie menita sa certifice autenticitatea e-mailului, merita semnalata prezenta semnaturii din subsol, atribuite unui functionar din managementul superior al institutiei. text/html http://www.safebyte.ro http://www.safebyte.ro/articole-securitate-informatica/administration/metode-de-rula-un-program-la-pornirea-windows-ului.html Cred ca orice utilizator mai mult sau mai putin avansat de Windows cunoaste cateva metode de a rola un program odata cu initializarea sistemului de operare. De multe ori acest lucru este util pentru a opri pornirea unui program odata cu sistemul de operare. Metodele de executare a unui program la boot sunt folosite si de creatorii de virusi si malware pentru a-si initializa programele la pornirea sistemului, iar prin prisma acestui fapt cunoasterea metodelor pe care sistemul de operare Windows ( XP si Vista in special ) le are pentru a permite acest lucru, devin foarte importante pentru utilizatorii care vor sa opreasca manual un virus sau un trojan sa nu se mai execute la fiecare pornire a sistemului. Am selectat pentru voi in cele ce urmeaza metodele conventinale de autostart, in speranta ca va vor fi de folos. Registry Autostart Locations1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\All values in this key are executed.2.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce\All values in this key are executed, and then their autostart reference is deleted.3.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices\All values in this key are executed as services.4.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServicesOnce\All values in this key are executed as services, and then their autostart reference is deleted.5.HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\All values in this key are executed.6.HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce\All values in this key are executed, and then their autostart reference is deleted.7.HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce\Setup\Used only by Setup. Displays a progress dialog box as the keys are run one at a time.8.HKEY_USERS\.Default\Software\Microsoft\Windows\Cur rentVersion\Run\Similar to the Run key from HKEY_CURRENT_USER.9.HKEY_USERS\.Default\Software\Microsoft\Windows\Cur rentVersion\RunOnce\Similar to the RunOnce key from HKEY_CURRENT_USER.10.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinlogonThe "Shell" value is monitored. This value is executed after you log in.11.HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\All subkeys are monitored, with special attention paid to the "StubPath" value in each subkey.12.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\All subkeys are monitored, with special attention paid to the "StaticVXD" value in each subkey.13.HKEY_CURRENT_USER\Control Panel\DesktopThe "SCRNSAVE.EXE" value is monitored. This value is launched when your screen saver activates.14.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session ManagerThe "BootExecute" value is monitored. Files listed here are Native Applications that are executed before Windows starts.15.HKEY_CLASSES_ROOT\vbsfile\shell\open\command\Executed whenever a .VBS file (Visual Basic Script) is run.16.HKEY_CLASSES_ROOT\vbefile\shell\open\command\Executed whenever a .VBE file (Encoded Visual Basic Script) is run.17.HKEY_CLASSES_ROOT\jsfile\shell\open\command\Executed whenever a .JS file (Javascript) is run.18.HKEY_CLASSES_ROOT\jsefile\shell\open\command\Executed whenever a .JSE file (Encoded Javascript) is run.19.HKEY_CLASSES_ROOT\wshfile\shell\open\command\Executed whenever a .WSH file (Windows Scripting Host) is run.20.HKEY_CLASSES_ROOT\wsffile\shell\open\command\Executed whenever a .WSF file (Windows Scripting File) is run.21.HKEY_CLASSES_ROOT\exefile\shell\open\command\Executed whenever a .EXE file (Executable) is run.22.HKEY_CLASSES_ROOT\comfile\shell\open\command\Executed whenever a .COM file (Command) is run.23.HKEY_CLASSES_ROOT\batfile\shell\open\command\Executed whenever a .BAT file (Batch Command) is run.24.HKEY_CLASSES_ROOT\scrfile\shell\open\command\Executed whenever a .SCR file (Screen Saver) is run.25.HKEY_CLASSES_ROOT\piffile\shell\open\command\Executed whenever a .PIF file (Portable Interchange Format) is run.26.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Services marked to startup automatically are executed before user login.27.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\Layered Service Providers, executed before user login.28.HKEY_LOCAL_MACHINE\System\Control\WOW\cmdlineExecuted when a 16-bit Windows executable is executed.29.HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdlineExecuted when a 16-bit DOS application is executed.30.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserinitExecuted when a user logs in.31.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\Executed by explorer.exe as soon as it has loaded.32.HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\runExecuted when the user logs in.33.HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\loadExecuted when the user logs in.34.HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\Subvalues are executed when Explorer initialises.35.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\Subvalues are executed when Explorer initialises.Folder Autostart Locations1. windir\Start Menu\Programs\Startup\2. User\Startup\3. All Users\Startup\4. windir\system\iosubsys\5. windir\system\vmm32\6. windir\Tasks\File Autostart Locations1. c:\explorer.exe2. c:\autoexec.bat3. c:\config.sys4. windir\wininit.ini5. windir\winstart.bat6. windir\win.ini - [windows] "load"7. windir\win.ini - [windows] "run"8. windir\system.ini - [boot] "shell"9. windir\system.ini - [boot] "scrnsave.exe"10. windir\dosstart.bat11. windir\system\autoexec.nt12. windir\system\config.nt text/html http://www.safebyte.ro http://www.safebyte.ro/newsflashes/noutati/unul-din-sapte-site-uri-ssl-au-probleme-de-securitate.html Unul din sapte certificate digitale care asigura autenticitatea unui site web securizat foloseste un algoritm de semnare vulnerabil, potrivit unui nou audit. Toate aceste site-uri ar trebui sa renunte la meganismul de semnare digitala vulnerabil inainte ca acesta sa fie exploatatat prin atacuri de tip phishing care pot fi foarte "convingatoare". Netcraft raporteaza ca 14 % din certificatele SSL pe care le-a analizat in timpul unui audit recent erau semnate folosind un algoritm MD5 recent dovedit nu doar slab dar volnerabil la atacuri practice. In ultima luna specialistii in securitate de la Chaos Communication Congress au aratat cum poate fi creat un certificat fals cu aceeasi semnatura digitala ( hash ) ca si certificatul autentic. Acest lucru se datoreaza faptului ca doua date de intrare diferite aplicate algoritmului MD5 vulnerabil pot produce acelasi rezultat.Aceasta "coincedenta de semnatura" creaza o oportunitate pentru potentialii atacatori sa aplice pentru eliberarea unui certificat la o Autoritate de Certificare ( CA ) inainte de a produce un al doilea certificat cu aceeasi semnatura dar cu detalii de domeniu diferite. Chiar mai rau, poate fi posibil sa se forteze autentificarea la un site care se bazeaza pe certificate semnate cu MD5. Aceasta vulnerabilitate in semnarea MD5 este cunoscuta de luni de zile, dar abia acum s-a putut pune si in practica de catre profesionistii in securitate acest atac asupra certificatelor SSL. Auditul din decembrie 2008 al Netcraft a descoperit 135000 de certificate SSL valide dar afectate de insecuritatea algoritmului MD5, practic 14% din numarul total al certificatelor SSL auditate. Majoritatea ( 128000 ) certificatelor afectate sunt semnate de RapidSSL - companie detinuta de VeriSign din 2006. text/html http://www.safebyte.ro http://www.safebyte.ro/newsflashes/noutati/w32downadup_al-net-worm_win32_kido-w32conficker_worm_gen-win32_kido.html Companiile antivirus raporteaza ca un nou virus se raspandeste pe internet la calculatoarele care nu au ultimele update-uri de securitate, exploatand o vulnerabilitate in sistemele de operare Microsoft. Compania Microsoft a rezolvat aceasta vulnerabilitate ( MS08-067 (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx) ) printr-un patch care poate fi descarcat de aici (http://www.microsoft.com/downloads/details.aspx?FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03 DisplayLang=en), sau direct prin Windows Update. Printre altele, virusul dezactiveaza accesul la site-urile producatorilor de antivirusi facand update-ul semnaturilor imposibil, cat si accesul la site-uri care contin in adresa: malware, virus, spyware, s.a. Virusul este cunoscut sub mai multe nume, in functie de compania producatoare de software antivirus: Worm:Win32/Conficker.A (Microsoft) Crypt.AVL (AVG) Mal/Conficker-A (Sophos) Trojan.Win32.Pakes.lxf (F-Secure) Trojan.Win32.Pakes.lxf (Kaspersky) W32.Downadup (Symantec) Worm:Win32/Conficker.B (Microsoft) WORM_DOWNAD.A (Trend Micro) Exista cateva programe utilitare care permit dezinstalarea virusului fara prea mare efort, concepute de catre marii vendori de solutii antivirus: text/html http://www.safebyte.ro http://www.safebyte.ro/articole-securitate-informatica/linux/introducere-in-iptables-firewall-ul-linux.html La conectarea reţelei la internet, fundaţia sistemului de securitate trebuie să fie asigurata de un firewall. Un firewall este un instrument care face diferenţa dintre reţelele protejate şi cele neprotejate şi, în multe cazuri, dintre regiunea protejata a unei reţele şi o alta zona neprotejata, a aceleiaşi reţele. De asemenea, conexiunea la internet şi partajarea acesteia la staţiile din reţea se face folosind un router, care este un echipament de reţea care interconectează doua reţele diferite şi permite traficul de date intre ele. De multe ori, routerul şi firewall-ul sunt înglobate în acelaşi echipament de reţea, pentru ca la nivelul interconectării a doua sau mai multe reţele este locul potrivit pentru un firewall care va aplica diferite filtrări şi politici de trafic. Pe lângă protecţia reţelei împotriva utilizatorilor Internet neautorizaţi care doresc să obţină acces, este necesara şi protecţia intre diferite departamente din reţea, de exemplu vânzările şi resursele umane. În majoritatea cazurilor însă, accentul va fi pus mai mult pe protejarea reţelei împotriva atacurilor din exterior decât a atacurilor din interior. Totuşi este mai indicat ca reţeaua să fie construita pe principiul necesităţii – daca un utilizator nu are nevoie de o anumita resursa, atunci nu trebuie să aibă acces la acea informaţie.