Jeee, nagyon jó!
We have extracted the directory structure and file names of many projects from Google Code and SourceForge to prepare a good wordlist for discovering hidden files/folders on a targeted web application.
A ccAvenue India legnagyobb online payment gateway-e úgy tűnik egy SQL Injection támadásnak esett áldozatul. Egy d3hydr8 nevű jószág postolta a fulldisclosure-re a ccAvenue egyik adatbázisának a szerkezetét, illetve az alkalmazottak felhasználóneveit és jelszavait. Elég meggyőzőnek tűnik. Vishwas Patel az Avenues India CEO-ja a következő nyilatkozatot tette:
From our side, we’ll have to look into it. It is not possible, because of the kind of application level firewalls that we have put up.
Jaaaa... hogy nektek van web app firewallotok? Akkor biztos hogy kamuzik a d3hydr8. Hát hogyan is lehetne már egy wafon keresztül SQLinjektálni... Az megvéd! Hát nem értitek? "Az nem lehet mert nekünk van alkalmazásszintű tűzfalunk." Eközben a háttérben egy kurvanagy FAIL feliratú zeppelin léghajó lebegett át Mumbai bodros-fodros pihe-puha bárányfelhőkkel tarkított tündérkék égboltján, miközben a napocska pajkos kis fotonokkal bombázta serényen Vishwas Patel dundi izzadtságcseppektől gyöngyöződő homlokát. Már ha van neki... homloka. Nevermind -_-
We don’t store credit card numbers or any other kind of payment details because of the Payment Card Industry Data Security Standards, and there is no credit card or payment related info on our servers. There are new standards that have come in, that is PCI DSS 2.0, which are more stringent than the earlier standards, and we have just completed the assessment under that last week
öööö? egyébként senki nem beszélt cc számokról. te hoztad fel...
Based on our intial investigations by our security officials, we confirm that no hack has happened of our servers at 1515 hours on 04th May 2011 by the following person as claimed in his article
Oké, a securitys arcokat lehet nem ártana bevizsgálni nálatok... meg a rendszergazdákat.. Az a tény hogy képtelenek vagytok észrevenni a breachet egy dolog, valszeg napokon keresztül tartott amire lerántotta a srác. De az hogy képtelenek vagytok megtalálni hogy hol trafáltak be... nincs mese skacok, jó eséllyel indultok a pwnie awardson a Most Epic Fail kategóriában, és én rátok fogok szavazni. :D
The third thing is that the server type (in the hacking report) has put is Apache/2.2.14, and it says that the hack was done on 4th May 2011, at 15:15pm. Now we have the logs and the confirmation that we had changed the server around five months back to 2.2.17, and not this version
Olvasni tudni kéne egy CEO-nak, nem? Idéznék a full disclosures postból:
[ + ] Date: Sat Dec 4 10:47:33 2010
Hopsz... ja hogy 2010 dec. 4-óta be vagytok nyomva? akkoooor... az több mint öt hónap...
Noss... itt volt egy 1.5 oldalnyi nagy szöveg, mindenféle idézetekkel mindenféle illetékesektől, illetve az én reakcióim ezekre, amelyet utólag végigolvasva overtrollingnak minősítettem, ezért pusztulásra ítéltetett. Mindent összevetve double-facepalm, ennyit tudok hozzáfűzni. És itt hagyom abba ezt a postot mielőtt falnak megyek az emberi hülyeségtől és az idióta kommentektől.
src: medianama.com #1, #2 (a kommenteket ne olvassátok el mert felrobban az agyatok)Nem tudom hogy mennyire lehet komolyan venni, (én inkább pletykának minősíteném,) de a média már felkapta a hírt: A Sonyt megpukkantó hackerek IRC-s beszélgetése alapján a hétvégén jön a harmadik kör a Sony számára. Állítólag még mindíg van hozzáférésük egyes szerverekhez. A hackerek azon rágtak be ahogy a Sony kezelte az incidenst, konkrétan hogy tíz napig egy büdös szót nem szóltak arról hogy mi van. Hát ha ez bejön akkor visítani fogok.
A commentek között felbukkan egy őstroll aki még anno a full disclosure-n boldogította a népet. Én jót derültem rajta:
by n3td3v May 5, 2011 5:26 PM PDT
I and my people are tracking them down and will bring them to justice very soon.
Haha.. És akkor megjelent a hős.. :D
forrás: CNETUpdate:
A Sony már leszedte, miután kikerült a The Hacker News-ra de szerencsére a google még emlékszik rá:
Update#2:
Hát... ez elég vérszegény, de a média gusztustalanul lecápázta... Egyszerű a képlet, a Sony kapott két váratlan gyomrost, és azóta a földön fetreng és nem hagyják levegőhöz jutni. Ilyenkor lehet rugdosni, most a legkisebb fricska is kurvára fáj. Btw a PSN még azóta is offline. Mostmár tényleg unalmas a sztori, nem fogok erről többet posztolni hacsak nem történik valami értelmes...
A szolgáltató az első gyanús pillanattól kezdve tájékoztatta a felhasználókat, és biztosra ment a probléma kezelésében, nem törődve hírnevének csorbulásával, még ezekben az időkben sem, mikor mindenki a masszív károkat okozó behatolásoktól pánikol. Emlékeztetőül: A Sony fiaskójának első külső jele az volt, hogy elsötétült a PSN, és még mindig nem kaptunk semmilyen konkrét, érdemi információt az esettel kapcsolatban, az RSA pedig úgy lapít, hogy lassan el is feledkezünk róla. A biztonsági incidenseket hosszú távon senki sem kerülheti el. De nagyon nem mindegy, hogy ki hogyan reagál, ha már megtörtént a baj.
Hát ezt úgy telibe trafáltad, és olyan szépen mondtad, hogy muszáj voltam beidézni.
Megkeresett egy ismerősöm egy olyan problémával hogy az egyik ügyfelük suspicious hogy valaki turkál a hálózatában. Miért? - kérdeztem én. Információk szivárognak ki a szerződésekről. - hangzott a válasz- Megkaptam a teszteléshez szükséges részleteket, 15 perc volt a teljes belső hálót átjárhatóvá tenni. Egy gyenge jelszó. Ennyi kellett. Eszembe jutott az ősi mondás: Minden lánc csak annyira erős, amilyen gyenge a leggyengébb láncszem.
Az olyan nagy cégek mint a Sony vagy sok más sorstársa természetes hogy célpont, de a kis és középvállalkozások (KKV) nem igazán tudják értékelni a fenyegetettséget. Miért támadnák őket? Mi káruk származhat egy ilyen támadásból? Na itt a probléma. A támadó hozzáférhet szerződésekhez, számlákhoz, árajánlatokhoz, a teljes ügyféllistához, az alkalmazottak adataihoz, az ügyfeleik adataihoz, a beszállítók listájához. Ez mind szenzitív információ, és felhasználható vagy eladható. És igen, vannak akik ilyen információkkal kereskednek.
A KKV-k számára is probléma, ilyen kényes információk birtokában a konkurens cégek az ő rovásukra tehetnek szert üzleti előnyre. Most is ez történt. Az üzleti életben igen kemény következményekkel járhat egy ilyen breach. Mindegy hogy elveszítenek ügyfeleket, vagy nem nyernek meg pályázatokat mert a konkurencia rálicitál... A következmény ugyanaz: Piacvesztés. Profit csökkenés. Esetleg presztízsvesztés. Nem etikus a kémkedés, de manapság ezt mindenki ballisztikus ívben leszarja ha üzleti érdekekről (=pénzről) van szó.
Nem egy nagy sztori, inkább csak érdekes és tanulságos. A helyszín USA, Kevin Finisterre pedig hivatásos hacker, megbízást kapott egy önkormányzat rendszereinek a tesztelésére. Ráeresztette az nmapot, talált egy telnetet és FTP-t, megbuzergálta, és kiderült hogy egy rendőrautó DVR-ét trafálta el. Ez az az eszköz ami a műszerfalon van, és rögzíti a képet és a hangot, PatrolRecorder névre hallgat és rendőrségi használatra gyártja a safetyvision. Valami régi linuxot futtat, az FTP default passal engedte be (kapaszkodj: "pass") amit az eszköz manuáljából bogarászott ki, a telnetben pedig volt valami bug amivel jelszó nélkül tudott belépni. Lehetősége nyílt a video stream megtekintésére és a mikrofonok segítségével a rendőrök beszélgetésének hallgatására.
A rendszer egy Rocket mobile communication nevű kütyü segítségével a Verizon Wireless GSM hálózatán keresztül kapcsolódik haza. Lejelenti a jármű pozícióját, a jármű egyes technikai paramétereit, és emellett pedig wifi hotspotként funkcionál az autóban elhelyezett egyes eszközök számára.
Rájár a rúd a sonyra. Miután sikerült (?) megoldani a PSN parát, tovább gyűrűzik a történet, hétfőn kiderült ugyanis hogy a támadóknak sikerült hozzáférniük a Sony Online Entertainment adatbázisaihoz is, ahonnan plusz ~25 millió rekordot pukkantottak meg. Ezzel 77 + 25 = 102 millió rekord a deficit, ezzel - ha minden igaz és a dldb is ennek megfelelően frissít akkor - a Sony feltornázta magát a második helyre a datalossdb toplistáján. Emellett lerántottak egy régebbi adatbázist is ~23 ezer rekorddal.
Az érintett rendszereket az incidens kezelésének idejére izolálták, így továbbra is elérhetetlenek ezek a szolgáltatások. A Sony sűrű elnézések kérése közepette ígéri hogy mihamarabb visszatérnek a megszokott hétköznapokba egy biztonságosabb felállásban. Ámen.
forrás: soe.com, bbc.co.uk, news.yahooAz IBM Korea egy alkalmazottjának a laptopját ownolták be észak koreai (?) hackerek, vagy mailban vagy weboldalaon keresztül, lényegtelen. Az emberünk besétált a Nonghyup (délkorea) bankba, és szépen felcsatlakozott a hálóra. A támadóknak április 12.-én sikerült megborítani a rendszert éppen csak annyira hogy 18 napig nem sikerült teljesen visszaállítani a rendszereket a régi kerékvágásba, illetve az implikált hatások között volt a nem csekély méretű adatvesztés is.
forrás: packetstorm, koreaherald
Érdekes megfigyelni azt hogy az egyes szervezetek milyen erőfeszítéseket (nem)tesznek az informatikai rendszerek integritásának megőrzése, és/vagy az adataik védelme érdekében. Egyes cégek (döntéshozói) tudatában vannak a veszélynek és tényleges megoldást keresnek, míg mások látványosan fogalmatlanok a fenyegetettség megítélését illetően. Nem szándékom megmondani a frankót, és nem akarom megmondani hogy mi a baj. Azt valamiért mindenki meg tudja mondani. :)
Sztorizgassunk. Szeretünk sztorizgatni. Tanuljunk a történelemből, és vonjuk le a tanulságokat..
A Digital Pearl Harbor kifejezés először 1990-ben jelent meg. Aki nem vágja a Pearl Harbor sztorit, röviden: Japán megelőző csapást mért Pearl Harbor-nál egy stratégiaileg kiemelten fontos amerikai tengerészeti bázisra. Hogy történhetett ez meg? Az amcsik nem voltak felkészülve arra hogy a japánok keresztülrepülik az óceánt, és Yamamoto Admirális ezt látta meg, majd 1941 december 7.-én lenullázta a bázist. 3 cruiser, 3 romboló, egy aknázó hajó, 188 repülő, 2400 halott és 1280 sebesült.
A történet tanulsága? Felkészületlenség + egy jól időzített, precíz csapás a megfelelő ponton = rotty.
Erről szól a Digitális Pearl Harbor: A cégek/etc szervezetek nagy része felkészületlen, és amikor már látni lehet a japán repülőket akkor már régen késő. A védekezést akkor kell megszervezni amikor még nincs baj. Amikor már baj van akkor csak tüzet oltani lehet... ha lehet.
Egy olyan cégnek aki a webből él (weblapokat üzemeltet) az a halál ha ellehetetlenítik a szolgáltatást. Nagyon jó példa egy webshop. Ha az ügyfelek számára használhatatlan a szolgáltatás, nincs eladás, nincs bevétel. Konkrét példával szolgál a történelem: etoy.com vs etoys.com. Tömören: az etoy.com-ot egy svájci művészcsapat jegyezte be, két évvel később indult az etoys.com ami egy online játékáruház volt. Az etoys beperelte a Network Solutions-t, és megnyerte a pert illetve az etoy.com domaint. Civilek egy csoportja megszervezett egy DDoS támadást a karácsonyi főszezonra időzítve az etoys.com ellen. Két hónap múlva az etoys (NASDAQ:ETYS) $67-ről $15-re esett, majd egy hónapra rá csődöt jelentett. ($4.5 billion in damage - de ennek még utánanézek) Akit érdekel a történet az keressen a ToyWar kulcsszóval.
Az Etoys.com emléke tovább él a nasdaq hírarchívumában... :)
Nem kell visszamenni az időben Pearl Harborig vagy a toywarig, napjainkban is megtörténik, minden héten. Persze nem mindent ír meg az index, mert ugye kit érdekelnek a kis noname cégek. A cégvezető akinek a döntést meg kéne hoznia nem fogja érteni azt hogy sql injekt, de ha azt mondod hogy: "Hogyan érintené a cégét ha a webáruháza a karácsonyi időszakban elérhetetlen lenne a vásárlók számára?" ... akkor lehet hogy elgondolkozik.
- Mekkora kárt okozott iránnak a stuxnet?
- Mekkora kárt okozott a Visa-nak az anonymous támadása?
- Mekkora presztizs és anyagi veszteséget szenved el most a Sony/PlayStation Network?
- Mi történt a RealityCheckNetwork-el
Azok a szervezetek akik a homokba dugják a fejüket és nem vesznek tudomást a fenyegetettségről előbb-utóbb kénytelenek lesznek megtapasztalni. Murphy.
Rendben, egy cég esetében aki az internetből él relatív egyszerű a történet ha csak techlayer támadásokkal számolunk. De nem kizárólag cégekre gondolok amikor -nem véletlenül- használom azt a kifejezést hogy "szervezet". Állami szinten egész más a fenyegetettség és sokkal összetettebb támadási vektorokat is számításba kell venni. Mennyire fájna ha az ügyfélkapu megborulna? Szenzitiv adatok vannak-e ott vajon? :D A MÁV irányítási rendszerei megfelelően védettek-e? APEH/OEP/KEHI/ORFK? A kormányzati x.400-as levelezőrendszer? Ezek a rendszerek vajon fel vannak készítve? Van Incident Response Plan? Ha van akkor mikori? Van Incident Response Team? Vagy reménykedünk hogy nem repülnek erre a japánok? (vagy kínaiak)
Nyugalom!
Pánikra nincs ok.
Nem kell megijedni...
...félni viszont nem lenne hülyeség.
When George W Bush signed a cyber attack agreement in 2008 against the Iran nuclear program, I do believe the outcome of that signature was Stuxnet.thehackernews, guardian, terminal.hu
Szerda este óta elérhetetlen a Sony videojátékok online szolgáltatása, a PlayStation Network, amely többek közt a tartalomszolgáltató rendszereknek és az internetes játéknak is biztosítja az alapot.70 millio rekord... -_- hwsw, packetstorm, datalossdb
A német Windows alkalmazásokat és biztonsági szoftvereket gyártó cég, az Ashampoo, figyelmeztette a felhasználóit, hogy e-mail címeket és neveket loptak el az adatbázisából. A támadást a cég azonnal észrevette, és leállította, de a támadóknak nem sikerült a nyomára bukkanni. Az adatbázisból számlainformációk, bankszámlára vonatkozó információk nem kerültek ki, de a támadók az e-mailcímeket felhasználhatják vírusos üzenetek küldésére. Rolf Hilchner, az Ashampoo ügyvezető igazgatója felhívja a felhasználók figyelmét, hogy soha ne nyissanak ki nem várt üzeneteket, még ha olyan vállalattól érkezett is, melyet ismernek, és mindig frissítsék a vírusirtó programot. Két héttel ezelőtt több mint tíz amerikai vállalat adatbázisát érte hacker támadás, köztük a Citibank, a Best Buy és a Verizon szervereit is, és több millió e-mail cím került hackerek birtokába.Prim
A senior Iranian commander said his country has been targeted by a second malware attack in addition to the Stuxnet worm that was designed to disrupt nuclear operations.TheRegister, index, packetstorm
Hekkerek törtek be az amerikai energetikai minisztérium kutatóközpontjának, az Oak Ridge-nek a számítógépes rendszerébe. A támadóknak néhány megabájtnyi titkos adatot sikerült letölteni a labor szervereiről, mondta el a Wirednek Thomas Zacharia, a központ igazgatóhelyettese.index