Virtual Machines VS Viruses-Worms: Part II

O Νίκος (we know who u r :p) είπε στο comment που έκανε είπε ότι εδώ μπορεί κανείς να βρεί
code που ελέγχει αν το περιβάλλον που τρέχει ένα Prog είναι real operating system 'η ένα virtual machine. Η αλήθεια είναι ότι πολλά τελευταία virus και ειδικότερα rootkits έχουν αυτήν την τεχνολογία και όταν καταλάβουν ότι τρέχουν σε VM τότε απλά κάνουν τον ψόφιο κοριό. Αυτό το κάνουν επίσης όταν καταλάβουν ότι υπάρχει ανοιχτός ένας debugger. Σε τι κόσμο θα φέρουμε τα παιδιά μας Νίκο Ευαγγελάτο ??

ps: Sorry για τα mail ρε Νίκο.....έλα εδώ να κεράσω καφεδάκι :p

:-))

Καταρχήν.....thanks for your comments. Είχα αρχίσει να πιστεύω ότι
μιλάω μόνος μου :P

Red Hat Certified Security Specialist (RHCSS)

H Redhat ανακοίνωσε ένα certification που θα έχει σχέση τόσο με server-side όσο και με client-side security. Tο certification αυτό θα αφορά Linux IT Administrators και System Engineers που θα είναι υπεύθυνοι για linux-based συστήματα. Το certification αυτό θα καλύπτει τομείς όπως:

• Red Hat Enterprise Linux
• SELinux (μια secure version του Linux included in Redhat software)
• Red Hat Directory Server

Τα certifications αυτά θα κοστίζουν περίπου 150 euro-πουλα.
Παλιότερα πιστοποιημένο εξεταστικό κέντρο ήταν το City Collage στην Θεσ/νίκη.
Έψαξα ναι βρω πληροφορίες στο site τους αλλά τίποτα.
Ίσως σας βοηθήσουν κάποιες παλιότερες πληροφορίες απο το Linux.gr εδώ και εδώ
Επίσης δείτε το επίσημο site για το Red Hat Certified Security Specialist εδώ

Nessus και GPL .... δύο διαφορετικές λέξεις

Η Tenable ανακοίνωσε ότι από την έκδοση 3.0 και μετά το Nessus θα σταματήσει να βγαίνει κάτω από την GPL license.Η βασική διαφορά της έκδοσης 3.0 από την 2.0 θα είναι ότι θα τρέχει μέχρι και 5 φορές πιο γρήγορα. Στην ανακοίνωση αυτή απάντησε με τον δικό του τρόπο ένα group από την Αγγλία το οποίο ανακοίνωσε ότι θα συνεχίσει την ανάπτυξη του Nessus 2 με GPL license και θα συνεχίσει τα κάνει update plug-ins και signatures για τον vulnerability scanner.
To νέο scanner έχει τίτλο gnessus και το site του είναι εδώ

Ανάλυση και μελέτη για Virus και Worms με Virtual Machines

Πρόσφατα σε μια συζήτηση σε ένα channel του grnet είπαμε περί των virtual machines (πχ VMWare ή Microsoft Virtual Pc) και ότι μπορούν να χρησιμοποιηθούν για την μελέτη viruses και worms. Εκεί είπαμε ότι έχει κάνει η IBM ένα research paper σχετικό με το θέμα (αν και παλιό το paper,έχει μεγάλο ενδιαφέρον). Έχει τίτλο "An Environment for Controlled Worm Replication and Analysis - or Internet-inna-Box" και μπορείτε να το διαβάσετε εδώ (pdf) 'η εδώ (html)

Free online books ....μα απο την OReilly φυσικά

Στο γνωστό section "Safari" της OReilly μπορείτε να διαβάσετε online μερικά books. Εμείς επιλέξαμε για σας μερικά ....

• Penetration Testing and Network Defense εδώ
• Firefox and Thunderbird: Beyond Browsing and Email εδώ
• CISSP Exam Cram™ 2 εδώ (αυτό για DiRCoM και Diktyas)
• Inside Network Security Assessment: Guarding your IT Infrastructure εδώ
• Cisco ASA: All-in-One Firewall, IPS, and VPN Adaptive Security Appliance εδώ (για DiRCoM και Diktyas)
  
• Linux Firewalls, Third Edition εδώ
  
  
  

Web App Security με τον Mozilla

Τα σχόλια περιττά... όσοι κατάλαβαν κατάλαβαν.
Διαβάστε εδώ ....και δείτε και αυτό.

(Αυτό για σένα ]-[orror ... )

OReilly book: Internet Forensics (Oct 2005)

Ένα άλλο πολύ ενδιαφέρον βιβλίο είναι το Internet Forensics (Oct 2005). Στο βιβλίο αυτό μπορείτε να βρείτε θέματα όπως:

• Email (message headers,forged headers,forging your own headers,tracking the spammer)
  
• Obfuscation (anatomy of a URL,usernames in URL,encoding the entire message,bait and switch-URL redirection)
• Web Sites (Non-Interactive Downloads Using wget,Mapping Out the Entire Web Site,In-Depth Example-Directory Listings,In-Depth Example-Server-Side Database)
  
• Web Servers (Viewing HTTP Headers,What Can Headers Tell Us? ,Redirection,Controlling HTTP Headers)
  
• File Contents (Document Forgery,Redaction of Sensitive Information)
  
• People and Places (Geographic Location,Time Zone,Language) ....και άλλα πολλά :-)

Sample chapter .... εδώ

XAKEP: Νέο ένθετο από το περιοδικό RAM !!!

Το περιοδικό RAM στο τελευταίο τεύχος του έχει μέσα ένα μικρό βιβλιαράκι με όνομα ΧΑΚΕΡ!!!!.
Στο εξώφυλλο λέει "Επίσημο Όργανο της Ανορθόδοξης Σκέψης.Αμφισβητήστε τα πάντα.Μην εμπιστεύεστε κανέναν!". Βλέποντας τα περιεχόμενα και όλη την ύλη με μια γρήγορη ματιά μπορώ να πώ ότι θυμίζει υπερβολικά το όλο layout του περιοδικού 2600 'η του 411 Blacklisted (τι σύμπτωση). Το ένθετο ξεκινάει με το άρθρο "Τι θα πει ΧΑΚΕΡ". Το 1o άρθρο συνεχίζει με τους 11 νόμους που αφορούν τους hackers (???). Συνεχίζοντας ,το ένθετο έχει νέα από τον κόσμο (θα μας φάει την δουλειά?). Tα άρθρα είναι τα εξής:

• Βάλτε χέρι στο firmware του PSP
• Βάλτε video στο PSP
• Μπείτε με τσαμπουκά (για το πως να μπείτε σε ένα WinXP account όταν δεν ξέρετε-θυμάστε το password)
• Python scripts για Symbian OS 60 series
• Αλλάξτε τα φώτα στο iPod
• 4 pipes ΔΩΡΟ (μη πάει ο νους σας στο πονηρό...για κάρτες γραφικών μιλάει ο ποιητής)
• BackUp με το Word
• macro-εντολές
• PDF χωρίς Acrobat
• Ξεφορτωθείτε τα hyperlinks
• Όλα τα φύλλα σε ένα μέρος
  
• Προχωρημένες αναζητήσεις στο Word
• Ασκήσεις ετοιμότητας (όπου μιλάει για το Νessus ....)
• Φόρμες αναζήτησης για τον Γούγκλη
• Θέμα σειράς (διάφορα queries στο Google με μετάθεση λέξεων)
• Παίζουμε κρυφτό?
• Ανθεκτικά με το ζόρι (για παράκαμψη του Windows Genuine Authentication)
• Πλαστοπροσωπίες (μιλάει για Layer 2 attacks και συγκεκριμένα για ARP spoofing)
• Με αίσθηση retro (για παλιά games)
• Βιογραφίες: Jeffrey Lee Parson (ο χοντρούλης που έγραψε τον W32.Blaster.B 'h Loveson.B)
• Ταινίες (AntiTrust)
• Βιβλία (Hacking: The art of exploitation)
• Web Sites

Γενικά η όλη κίνηση του RAM με ξάφνιασε και με εντυπωσίασε. Ελπίζω να συνεχίσει και τους άλλους μήνες με ποιο advanced θέματα.... Γράψτε comments με τις απόψεις σας :-)

Μερικά νέα από την αγαπημένη μας O'Reilly

Βγήκε καινούγια έκδοση του γνωστού βιβλίου Unix in a Nutshell (4ed,Oct. 2005).Στο βιβλίο (όπως και στις παλίες εκδόσεις), μπορείτε να βρείτε πλήρη ανάλυση των εντολών με παραδείγματα. Το βιβλίο έχει συμπεριλάβει νέα κεφάλαια όπως:

• για το Solaris 10
• για το Bash Shell (μαζί με τις προηγούμενες εκδόσεις 1988 και 1993 του ksh)
• για το tsch
• για Package management programs
• introduction to source code managenent systems
• CVS
• GDB debugger .....και άλλα πολλά
  

Ένα sample chapter για το GNU make utility μπορείτε να βρείτε εδώ

Παρακαλώ ...αναμείνατε στο ακουστικό σας.

Και εκεί που όλη η ομάδα του Skype είχε ένα χαμόγελο μέχρι τα αυτιά….τους βγήκε ξυνό. Αρχικά όλοι ήταν χαρούμενοι για την αγορά του αιώνα του Skype από το Ebay.
Μετά (πριν 6 μέρες) ήρθε και ένα report που έλεγε για το πόσο secure είναι το Skype. Και το Skype κρυπτογραφεί τα δεδομένα σας…και κάνει αυτό και εκείνο και το άλλο και είναι και πολύ πολύ secure. To full report μπορείτε να το βρείτε εδώ. Προχτές όμως τους κοπήκαν τα γελάκια. Η EADS Corporate Research Center security lab και ο Mark Rowe της Pentest Limited βγήκαν 2 τρύπες στο δημοφιλές αυτό πρόγραμμα. Το πρώτο vulnerability (Bugtraq ID: 15192 ) είναι ένα heap overflow ενώ το δεύτερο (Bugtraq ID: 15190) είναι όχι ένα ….αλλά πολλά buffer overflow προβλήματα. Το πρώτο φαίνεται να είναι ένα απλό DoS ενώ στο δεύτερο εκτός από DoS έχουμε και remote code execution. Δεν έχουν κυκλοφορήσει ακόμα (on the wild που λέμε) working PoC….. Αναμένουμε στο ακουστικό μας…

Οι Πειρατές της Καραϊβικής...και οι μαύροι της γειτονίας σας.

Πληροφορίες λένε ότι η γνωστή σε όλους μας MPAA (Motion Picture Association of America) έχει αρχίσει να βάζει διαφημηστικά spot στα DVD ταινιών. Ένα από αυτά δείχνει δυο παιδάκια να αγοράζουν ένα DVD από ένα τύπο στο δρόμο. Και αμέσως μετά λέει ο ποιητής: "buying pirated DVDs is illegal" με χαρακτηριστική φωνή. Στα καπάκια πέφτει το σήμα : "illegal downloading: inappropriate for all ages" με το γνωστό Logo. Τώρα μπορείτε να μου πείτε εσείς ΤΙ σχέση έχει το να αγοράζεις ταινίες από το δρόμο με το illegal downloading ?? Όχι πέστε μου και μένα. Άσε που πήγα στο http://www.respectcopyrights.org/ και έπαθα και εκεί ένα ταράκουλο. Αφού φορτώσει το flash,δείχνει ένα χέρι που πιάνει τον πόντιξ (όχι εσένα lab_mice) και από πίσω δείχνει και καλά Logs που έχουν από άτομα που κατεβάζουν ταινίες από διάφορα p2p προγράμματα. Έλεος. Εγώ πάντος έχω την κεφάλα μου ήσυχη. Πάω για καφέ στα Εξάρχεια,έρχετε ο αδέρφι (brother) με το τσαντικό και βγάζει τα ντιβιντια. Αν δω κάτι καλό και μου αρέσει το τσεπόνω. Εσείς βέβαια ξέρω ότι είστε σωστά άτομα και δεν κάνετε τέτοια πράγματα ...... F@ck ΜPAA ....y() my br0 :)

Φοβού τους Έλληνες

Τελικά η ξενομανία μας έχει χτυπήσει με πολλούς και διαφορετικούς τρόπους. Η τελευταία ξενόφερτη συνήθεια (ή μέγιστη βλακεία κατ' εμέ) είναι τα διάφορα phishing attacks. Συγκεκριμένα αναφέρομαι σε mails που εστάλησαν σε διάφορους με το πρόσχημα ότι είναι από την Alpha Bank (και καλά...). Τα mails γράφουν ότι η κυβέρνηση κάνει έλεγχο στις τράπεζες για να πιάσει εγκληματίες που έχουν λογαριασμούς "μιας μέρας" και άλλες μαλ@#ιες, και ζητάνε από τους παραλήπτες να συμπληρώσουν και τα υπογράψουν ένα ερωτηματολόγιο όπου πρέπει να βάλουν πολλά προσωρικά στοιχεία τους.Φυσικά η Alpha Bank έβγαλε δελτίο τύπου (εδώ και εδώ) για να προλάβει το κακό. Μπορείτε να δείτε στην πιο πάνω εικόνα 'η εδώ ένα screenshot από ένα τέτοιο mail. Φοβού τους Έλληνες...
(Άσχετο.....Θάνο πότε θα πάμε για κανα κάφε?)
(2ο άσχετο: λες αυτό να εννοούσε ένας τύπος σε γνωστό κανάλι του grnet όταν έλεγε ότι "μπήκαν" στην AlphaBank και πήραν λεφτά από το Internet ? ... έλεος. Τα comments δικά σας)

Ιοί (και κόρες) κινητών...και άλλες "οικογενειακές" ιστορίες

Δεν μας έφτανε ο Cabir.A και ο Cabir.B. Οι κυνηγοί ιών της F-Secure έχουν στα χέρια τους (στα εργαστήρια τους για την ακρίβεια) ένα variant της γνωστής αυτής οικογενείας. Το όνομα του νέου μέλους (όχι δεν είναι Cabir.C ούτε Cabir Junior) είναι Cabir.AA. Σε αντίθεση με τα άλλα variants, αυτός ο ιός ΔΕΝ είναι μια απλή παραλλαγή με hex editing, αλλά έχει γίνει recompile από τον source (που μπορείτε να βρείτε στο underground-νάδικο της γειτονιάς σας). Δεν έχει και πολλές διαφορές με την άλλη οικεγένεια, εκτός του ότι εμφανίζει ένα "spooky" bitmap όταν προσβάλει το κινητό. Η F-Secure έχει τραβήξει video με τον ιό αυτό ώστε η οικογένεια να έχει να θυμάται τα πρώτα βήματα του μικρού Cabir.AA, όταν αυτός μεγαλώσει. Τα video μπορείτε να τα βρείτε εδώ (μεγάλο) και εδώ (μικρό). Στράτα....στρατούλα.....γούτσου,γούτσου,γούτσου

Snort Back Orifice Pre-processor Remote Buffer Overflow Exploit

Δεν θα μπορούσε να μείνει και για πολύ καιρό underground. Το ερώτημα ήταν ποιος θα το έκανε πρώτος release. Αυτή τη φορά δεν πρόλαβε ο ρώσσος "houseofdabus" , ούτε οι γνωστοί κινέζοι φίλοι μας.Την πρωτιά πήραν οι γνωστοί γερμανοί THC και συγκεκριμένα ο rd με ένα mail που έστειλε στην Full-disclosure λίστα. Αν και πρέπει να πούμε ότι ο πρώτος που έβγαλε ένα semi-working PoC ήταν ο HD Moore (metasploit) .Τί να σου κάνω Moore μου ? Δεν ήταν full working PoC ....την άλλη φορά εσύ. Τώρα η κοινότητα περιμένει να σκάσει και το αναμενόμενο worm.... Το κόβω να το γράφουν οι γνωστοί άγνωστοι πάλι (κινέζοι rul3z).Get the sploit here

Προβλήματα με τους DNS Servers (Τα ίδια Παντελάκι μου.....τα ίδια Παντελή μου)

Σε ένα security survey test-άρισαν (από το ρήμα test-άρω....) περίπου 1,3 εκατ. DNS servers (ναι,ναι...καλά ακούσατε).Τα αποτελέσματα έδειξαν ότι το 84% είναι vulnerable και ότι μπορούν να χρησιμοποιηθούν (οι DNS servers) για pharming attacks με τα γνωστά αποτελέσματα. Η ίδια έρευνα ερεύνησε το 17% περίπου τών 7.5 εκατ. authoritative DNS servers και βρήκε ότι το 40% "τρέχουν" daemons που δεν είναι οι τελευταίοι (up-to-date). Το 40% αφήνουν τα zone transfers !!!! (δείτε εδώ και εδώ). Δείτε τα αναλυτικά αποτελέσματα της έρευνας και διάφορα recommendations για την ασφάλεια των DNS servers. Θυμάτε κανείς τις απίστευτα έξυπνες "επιθέσεις" του Fluffy Bunny το 2001 ??? Αν εξαιρέσουμε το DDoS που έκανε στους 13 "θεούς" του Internet (στους 13 root dns servers) , πολλές από τις "επιθέσεις" του έγιναν με dns-cache-poisoning (πχ το hack στην securityfocus και πολλές άλλες). Για να θυμούνται οι παλιοί και να μαθένουν οι νέοι follow the dots :-) . . . .