Antywirusy napadają na ZeuSa!

Od kilku tygodni media biją na alarm, oprogramowanie antywirusowe rozpowszechnia się w zastraszającym tempie. Wszystko wskazuje na to, że dotarło również do Polski. Pierwsi roztrzęsieni czytelnicy powiadomili nas wczoraj potwierdzając te doniesienia. Otrzymaliśmy informacje, że na komputerach wykryli oni podejrzane działanie antywirusa, który całkowicie zablokował działanie trojana ZeuS!

Sytuacja od początku wyglądała groźnie dlatego o wyjaśnienie zwróciliśmy się do przedstawicieli jednej z najbardziej znanych firm w branży. Oto co powiedział nam Matti Hautamäki z firmy P-Insecure:

- Przede wszystkim nie popadajmy w panikę. Takie sytuacje się zdarzają i musimy być na nie przygotowani. Antywirusy ewoluują każdego dnia i poświęcamy wiele energii na to aby minimalizować zagrożenie wynikające z ich działania.  Zapewniam, że już wkrótce na rynku pojawi się odpowiednia szczepionka.

Nasuwają się jednak pytania: co do tego czasu? Czy użytkownicy banków internetowych mogą czuć się bezpiecznie? Z takimi pytaniami zwróciliśmy się do przedstawicieli PING Banku, w odpowiedzi otrzymaliśmy poniższe oświadczenie:

- PING Bank traktuje problemy elektronicznych zagróżeń z największą powagą.  Dane naszych klientów stanowią największą wartość i ich niezakłócony wyciek  jest przedmiotem naszej szczególnej troski. Zgłoszenia mówiące o zablokowaniu działania trojana ZeuS zostały zbadane przez specjalistów z naszego działu bezpieczeństwa i według naszej najlepszej wiedzy miały charakter jedynie  incydentalny. Niemniej w trosce o najwyższą jakość świadczonych przez nas usług  wprowadziliśmy w naszym systemie zmiany, które pomogą zapobiec podobnym wydarzeniom w przyszłości. W tej chwili ZeuS działa już jak należy.

Mimo uspokajających słów przedstawicieli jednego z największych banków radzimy w najbliższych dniach zwiększyć czujność i zwracać szczególną uwagę czy Wasze komputery nie zdradzają typowych objawów zakażenia antywirusem (wysoka zajętość CPU, ogólna ociężałość systemu itp). Uważajcie!

Brutal Sekjurity. Adziiiiaa!

Jako, że nasz najnowszy fan jest tak czuły na krytykę krytyki krytyki, że nie przepuszcza komentarzy na swoim blogusiu, publikujemy niedoszły komentarz tutaj:

Zaczac od siebie to dobra uwaga, zwlaszcza jesli probuje sie wypozycjonowac na polskiego HBGary :) Tak wiec nastepnym razem proponujemy odrobic zadanie domowe.

1. Jesli ktos posiada imie i nazwisko w profilu, z ktorego edytuje bloga to znaczy, ze sie specjalnie nie ukrywa i nie ma potrzeby odkrywania Ameryki.

2. Najbardziej zainteresowany (pierwszy samozwanczy haker Rzeczpospolitej z Krakowa) byl swiadkiem podstawania niekoniecznika na zywo - przebywal na tym samym kanale irc, widzial wszelkie dyskusje temu towarzyszace. Wystarczy go spytac i koniec enumeracji. Znowu fail.

3. Ty rowniez nie musisz starac sie byc anonimowy, przeciez i tak wiadomo kto ujada najglosniej gdy tylko padnie krytyczne slowo w strone jego ulubionego portalu :)

4. Niekoniecznik nigdy nie usunal zadnego komentarza (i tym samym nie musial go przywracac). Tym wlasnie rozni sie od najznamienitszego portalu dot. bezpieczenstwa, ktory z moderacji krytycznych komentarzy uczynil jedno ze swoich glownych narzedzi marketingowych.

Rozumiemy, ze niekoniecznik moze Ci przeszkadzac, jesli jednak chcesz radzic temu za pomoca klamstwa (ad 4.) pozycjonujesz sie duzo blizej wiatraka o ktorym piszesz.

Porwał mnie ręcznik, a w parku grasują szczuromałpy!

Tym razem krótki wpis, jednak wciąż NIEZWYKLE gorący!

W dobie rosnącej popularności naszego serwisu daje się odczuć wszechstronną nienawiść i zazdrość płynące w krnąbrnych żyłach pewnych niekoniecznie profesjonalnych redaktorów innych serwisów. Dzisiejsza informacja o rozpoczęciu przez nas rejestrowania osób niebezpiecznych dla bezpieczeństwa spotkała się z brakiem przychylności ze strony autora jednego z niekoniecznie najrzetelniejszych źródeł przecieków ze świata security! Poniżej znajdują się dwa zrzuty ekranu obrazujące podjęte przez niego kroki:

Chwilę po umieszczeniu odpowiedzi na posta jeden z naszych czytelników został usunięty z poczytnego forum dyskusyjnego niekoniecznie ds. bezpieczeństwa:

Pozostawiamy to bez komentarza.

Rejestr niebezpiecznych dla bezpieczeństwa

Drodzy słuchacze

Czas w Niekoniecznkiku płynie nam błogo. Rejestrujemy setki tysięcy wejść na nasz portal a liczba naszych fanklubów w miastach i wsiach rośnie hyżo jak rododendrony po deszczu. Opanowaliśmy już do perfekcji rżnięcie co ciekawszych newsów ze świata przy pomocy niezawodnej techniki "Copy & Paste + zredaguj lekko albo wcale ™". Prowadzimy ciekawe i  w najwyższym stopniu autorskie szkolenia, wmawiając Wam, że znamy się na czymkolwiek jak nikt inny.

Wieczorami siędząc w fotelu i podliczając googledolary płynące z reklam niemieckich serwisów randkowych, które prezentujemy w naszym opiniotwórczym portalu, drapiemy się po głowie i zastanawiamy co jeszcze moglibyśmy Wam zaproponować.

Ostatnio układając się do snu i marząc  jak jeszcze bardziej poszerzyć zasięg naszej oferty pod jedwabnym woalem niesienia społecznej misji i poprawy ogólnoświatowego bezpieczeństwa niespodziwanie przeżyliśmy olśnienie!

Niniejszym, od dnia dzisiejszego rozpoczynamy tworzenie Rejestru osób Niebezpiecznych dla Bezpieczeństwa! O co tu chodzi chyba nikomu nie trzeba tłumaczyć, jak również i tego dlaczego natychmiast wciągamy się na pierwsze miejsce tej listy.

Pozdrawiamy niekoniecznie, Redakcja.

[MOCB] Luka w Silverlight

W świecie pełnym cyberzagrożeń czyhających na nas na każdym cyberkroku, niestrudzony Niekoniecznik niesie kaganek cyberoświaty. Niesie cybernadzieję na cyberlepsze jutro i bezpieczny świat, wolny od cyberprzestępców.

Każdego dnia portale społecznościowo-bezpiecznikowe ostrzegają użytkowników o groźnych lukach zidentyfikowanych przych cyberłowców dziur. Rzadko zdarza się jednak aby to same redakcje cyber-plotków i cyber-kozaczków publikowały swoje znaleziska. Kiepskie tłumaczenia cudzych odkryć bez zrozumienia istoty błędu to nie nasza domena!

Wasza ulubiona redakcja wychodząc naprzeciw zatrwożonemu o bezpieczeństwo społeczeństwu postanowiła upublicznić KRYTYCZNĄ cyberlukę w oprogramowaniu Micro$oft Silverlight. Żli cyberprzestępcy nie atakują wyłącznie oprogramowania firmy Adobe jak mogłoby się wydawać z ostatnich doniesień. Ilu z Was korzysta z alternatywnego dla Flash'a oprogramowania Silverlight? Sprawdźcie swoje laptopy!

Zespół światowej sławy ekspertów Niekoniecznika po przeanlizowaniu tysięcy linii disassemblowanego kodu wtyczki Silverlight, wielokrotnym zasypianiu podczas tej wyczerpującej HACKERSKIEJ pracy, po wypiciu hektolitrów kawy zidentyfikował krytyczny błąd odczytu danych spod wskaźnika pod adresem 0x00000000 (32bit) - czyli znany ze swojej największej KRYTYCZNOŚCI, perfidności i przebiegłości błąd typu Null-pointer dereference!

Po odwiedzeniu zamieszczonego niżej linku Wasz plugin ulegnie ZNISZCZENIU, a dzieje się to właśnie tak:

(1aec.1b84): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=0039e864 ebx=05800010 ecx=00000000 edx=0039e2c8 esi=00000000
edi=00000014 eip=6586b646 esp=0039e39c ebp=0039ea8c iopl=0    
nv up ei pl zr na pe nccs=0023  ss=002b
ds=002b  es=002b  fs=0053  gs=002b
efl=00010246coreclr!typeInfo::IsObjRef:6586b646 8b01
mov eax,dword ptr [ecx] ds:002b:00000000=????????0:000

Rozszerzenie debuggera windbg "!exploitable" potwierdzi w jak dużym

jesteśmy niebezpieczeństwie!

0:000> !load winext\msec.dll
0:000> !exploitable

Exploitability Classification: UNKNOWN

Jak widzicie atak jest tym bardziej niebezpieczny, że jest nieznany!

--------------------

--> HACKUJ! <--

--------------------

Posiadasz telefon komórkowy? Lepiej uważaj!

Wewnętrzny Dział Bezpieczeństwa Niekoniecznika przesyła informację o krytycznym błędzie w telefonach komórkowych. Smaczku dodaje fakt, że temat ów jest pomijany przez większość tzw. portali poświęconych bezpieczeństwu teleinformatycznemu. Jako pierwsi publikujemy oficjalne advisory. Advisory jest w języku angielskim ponieważ zamierzamy wysłać je także na listę gdzie tacy specjaliści jak my takie rzeczy jak ta wysyłają - czyli na listę marchewq.

NSA-1D-10T-001(Niekoniecznik Security Advisory)

I.   Background

Each of us uses a mobile phone. Some even two. Sometimes three.
We use them at work and at home. When we go on vacation we turn
off the phone. But they then call us anyway for they don't give
a shit about our vacation.

II.  Problem Description

At the time of acquisition of a mobile phone attackers can
execute an attack on owner's privacy. For this purpose,
the attacker changes in the phone book entry of owner's number
eg +46600000000 to eg "Mom" and then text him "buy sugar. "
At the moment when owner reads this message, he imediatelly goes
to buy a sugar. It is easy to imagine how in the era of the sugar
crisis, this attack could affect our country.
Sugar would be even more expensive!

III. Impact

This privacy corruption can be exploited by an local attacker
that has a physical access to the owner's mobile phone.

NOTE: While mobile phones without untrusted local users
(attackers) are not affected by the security aspects of this issue,
the potential for privacy corruption if - for instance you meet
someone in the bar, or on a pool.
-
implies that this should still be treated as critical!

IV.  Workaround

No workaround is available.

V.   Solution

Perform one of the following:

1) Sell out your mobile phone.

2) Delete all your files (including your favourite ring tones) and
wait to see what happens.

3) Add several phone book entries for your number.
Change their names every 4 hours.

4) Have your mobile phone always turned off and never turn it on,
even if you want to use it.

VII. References

It's not a CV goddamnit, why to put references here?

Użytkownicy Mac OS X zagrożeni

Krytyczny błąd odkryty przez światowej sławy ekspertów ds. bezpieczeństwa (czyli redakcję niekoniecznika) w aplikacji RDP firmy Microsoft dla systemu Mac OS X pozwala na przejęcie kontroli nad dowolnym komputerem z systemem firmy Apple.

0   com.microsoft.rdpkit 0x000f227f
CTSGraphicsSurfaceBase::FastBlt(int, int, unsigned int,
unsigned int, int, int, TS_GFX_BITMAP_ENCODING, void*,
unsigned long, unsigned int, unsigned int, unsigned long,
unsigned short*, unsigned int) + 651
Thread 4 crashed with:
eax: 0x00000000  ebx: 0x0000001c  ecx: 0x00000000  edx: 0x00920000
edi: 0x00000001  esi: 0x00000000  ebp: 0xb020f808  esp: 0xb020f670
ss: 0x0000001f  efl: 0x00010246  eip: 0x000f227f   cs: 0x00000017
ds: 0x0000001f   es: 0x0000001f   fs: 0x0000001f   gs: 0x00000037
cr2: 0x0000001c

Prawdopodobny wektor ataku wykorzystuje kilka metod do osiągnięcia celu. Najważniejsze jest opanowanie techniki opracowanej przez polskiego hakera `pawel-mitera-poo-mail‘, ie. pod adres security at microsoft.com wysyłamy e-mail używając:

MAIL FROM: bill.gates at microsoft.com
w sekcji DATA: Hey, I have found a way to improve performance of our RDP for Mac, please add following options for compiler: -D_FORTIFY_SOURCE=0 and –fno-stack-protector. Release new version today.

Po tak poczynionych przygotowaniach następuje atak właściwy gdzie użyte są techniki ‚sendalotofmail‘ + `pawel-mitera-poo-mail‘ wabiące niczego niepodejrzewających użytkowników:

Witam, sciagnij najnowszy darmowy program do odtwarzania filmów online: RDP... etc.

Skuszony darmowymi filmami łączy się z serwerem wskazanym przez hakera, który zamiast filmów wysyła pakiet za pomocą `INJECT-AND-OWN-PACKET‘ przejmując tym samym kontrolę.*

Zespół naszych ekspertów opracował patch uniemożliwiający przeprowadzenie ww ataku:

dd if=/dev/urandom
of=/Applications/Remote Desktop Connection.app/Contents/MacOS/\
Remote Desktop Connection bs=448 count=1

*Atak na komputery o architekturze 64bitowej jest utrudniony i wymaga autorskiej techniki niekoniecznika o nazwie: `cut-an-apple-in-half‘. Niestety na razie technika ta jest private.