Бот сеть на базе iPhone

Tuesday, 22 Dec 2009

На сайте Malware Threat Center появился прекрасный аналитический обзор бот клиента iKee.B (duh) Apple iPhone зарегистрированного 25 Ноября 2009 года в нескольких странах Европы, и заражавшего телефоны iPhone через литовский бот сервер. Обзор представляет собой детализацию логистики и функционала программного кода iKee, конфигурационные файлы и различные технические подробности. iKee бот является последним из обнаруженных уязвимостей для смартфонов и его целью становились телефоны iPhone, прошедшие процедуру джейлбрейка.

Сама атака была направлена на клиентов Dutch ING Direct, которые при попытке соединения с веб-порталом банка  переправлялись на японский eCommerce сайт, содержавший фишинговые страницы, выглядевшие совершенно идентично сайт ING Direct. В случае введения логина информация становилась доступной злоумышленникам, которые использовали её для коммерческих махинаций.

В это связи рассматривается потенциальная возможность тесного взаимодействия хакеров, занимающихся процедурами разблокирования устройств и злоумышленниками использующими эти устройства для своих целей.

VN:F [1.9.21_1169]
Rating: 3.5/10 (21 votes cast)
VN:F [1.9.21_1169]
Rating: -1 (from 7 votes)

Check Point SecuRemote/SecureClient

Monday, 21 Dec 2009

В процессе ковырякания с Sofaware из вне сетки, я поимел проблему относительно того, что установить VPN соединение со шлюзом можно с помощью родного клиента от CheckPoint SecuRemote / SecureClient . Данный VPN клиент уже отправлен на заслуженный отдых, поскольку последняя имеющаяся версия это SecuRemote NGX R60, и компания CheckPoint настоятельно просит пользоваться новыми версиями EndPoint клиента, в чей движок входит модуль старого клиента SecuRemote/SecureClient.  Сам клиент конечно доступен из веб-морды управления шлюзом, но к сожалению по проблемам, описанным раннее, я этого доступа не имел- и одна надежда была на VPN соединение.

При этом, если искать его через стандартную форму поиска на офф.сайте, то все выпавшие ссылки на скачивание SecuRemote/SecureClient ограничиваются просьбой заполниться формочку по которой с вами свяжутся чуть позднее. По которым никто не отвечает, т.к я заполнял почти неделю назад и до сих тишина. Но тем не менее на офф.сайте эти клиенты доступны, правда как попасть в этот раздел, последовательно используя системы меню и навигации, я так и не понял, но тем не менее по этой ссылке там доступны клиенты SecuRemote/SecureClient как для Windows так и для MaC OS X, a также SecureMobile Client.

VN:F [1.9.21_1169]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Sofaware 500W

Monday, 21 Dec 2009

Всю прошедшую неделю, вместо положенного отпуска, воевал с клиентской железякой Sofaware 500W. Удобный по управлению и настройке безопасности агрегат, для небольших сетей. Все в одном: фаервол с глубокой проверкой пакетов SPI, средство предотвращения вторжений IPS SmartDefense, антиспам и антивирусные фильтры реального времени, web фильтеринг для блокировки доступа к “плохим” сайтам, несколько видов антиспама (контентный, блок листинг и на основе IP репутации отправителя), регулировка нагрузки, порт DMZ, поддержка NAT, VPN-сервер- как на собственном движке посредством клиента от чекпоинт Secure Client, так и возможность поднять L2TP сервер, а также возможность VPN туннелирования, организация Wi-Fi сети и гостевой сети для VPN клиентов.

Такое вот прекрасное устройство, причем вместе с подпиской на год и безлимитное число пользователей, оно выходит чуть больше штуки грина. Все очень просто настраивается через веб морду по http или https. Но есть одно маленькое НО- коробка идет со стандартной прошивкой 7.х которая после того как подцепляешь подписку, без вопроса грейдится на самую последнюю 8.0.42 после чего начинается свистопляска. Все входящие DNS пакеты на внутренний сервер, который натится из сетки, начинаются дропаться по дефолтному правилу, не смотря на указанную политику о том чтобы их пропускать. Помимо этого, напрочь отрубается внешний доступ к веб морде, а при попытке поднять wi-fi в бридж моде, для того чтобы иметь доступ из wi-fi сети к сетевым ресурсам, вешается внутрисетевой трафик, т.ч. простейшие операции вроде отправки почтового сообщения вешаются наглухо. В общем пришел к тому что нужно откатываться на старую версию прошивки, но как это сделать чтобы устройство не обновилось снова, не могу понять, в этой связи открыл тикет на офф.сайте. Пока суть да дело, с разборкой логов и настроек, мне упало еженедельное письмо от sofaware со статистикой по неделе работы устройства, где также была анонсирована эта самая многострадальная прошивка 8.0.42 откуда я с радостью узнал, что дроп пакетов на 53 порт UDP оказывается “не бага, а фича”, т.к. это трактуется как domain атака, также прикрывается атака на порт 51376 и 54498.

Приятный и удобный сервис, но будем ждать разрешения проблемы, когда все заработает наконец то в полном объеме.

VN:F [1.9.21_1169]
Rating: 2.0/10 (1 vote cast)
VN:F [1.9.21_1169]
Rating: +1 (from 1 vote)

Настройка защищенной системы FreeBSD

Friday, 11 Dec 2009

При использовании того или иного сервиса очень большую роль играет система на которой будет работать наш сервер. И наибольшее значение предварительная настройка этой системы, чтобы минимизировать риски от её использования. Для этого существуют процедуры повышения безопасности системы

В этом разборе полетов я буду осуществлять предварительную настройку системы FreeBSD 7.2. Сама система FreeBSD является одной из наиболее защищенных операционных систем, причем её код, не смотря на открытую идеологию open sourse многократно проверяется и тестируется. Не смотря на то, что с комплекте поставки FreeBSD уже идет с сильной безопасностью, существуют меры по её повышению почти до параноидального режима работы.

(more…)

VN:F [1.9.21_1169]
Rating: 10.0/10 (5 votes cast)
VN:F [1.9.21_1169]
Rating: +3 (from 3 votes)

Установка утилиты su2

Friday, 11 Dec 2009

Утилита su2 является более защищенным аналогом команды su, служащей для перехвата прав другого пользователя, только в отличии от su, эта утилита дает возможность получать права суперпользователя пользователям не входящим в группу wheel, т.е. не имеющим права на возможность перехвата root с помощью su. Поэтому заводим пользователя с униками выше тысячи, так чтобы он выглядел не привилегированный пользователем. После этого устанавливаем утилиту:
(more…)

VN:F [1.9.21_1169]
Rating: 8.5/10 (2 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Уязвимость демона NTP

Thursday, 10 Dec 2009

В NTP найдена уязвимость способная привести к отказу в обслуживания сервера (denial-of-service). Самая уязвимость должна быть знакома любителям собак, которые могли бы наблюдать своего питомца в бесконечной охоте за собственным хвостом. Для реализации уязвимости достаточно специально сконфигурированного пакета который будет порождать цикличную ошибку, пересылаемую демоном NTP самом себе или удаленному серверу NTP, которая и приведет к загрузке CPU и отказу в обслуживании.

Решений проблемы может быть несколько:

Обновить демона до версии NTP 4.2.4p8, которую можно скачать с офф. сайта ntp.org.

С помощью параметров “restrict … noquery” и “restrict … ignore” заданных в конфигурационном файле ntp.conf , задать ntpd демону ограничение на количество адресов источника ответа.

Поднять фильтрацию на пакеты NTP mode 7 по портам 123, поскольку ответ ntpdc mode 7 будет иметь порт источника или назначения 123, но не оба сразу.

Использовать фильтры для анти-спуффинга IP адресов

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Патч-день у Microsoft

Wednesday, 09 Dec 2009

Вчера мелкомягкие выпустили очередной набор заплаток для всего семейства Windows и их приложений, в который вошло 6 патчей: 3 прикрывающих дырки на стороне клиента, и три закрывающие уязвимости позволяющие провести удаленную атаку. Уязвимости MS09-072, MS09-0071 и MS09-073 признаны критическими и должны быть установлены максимально быстро. Естественно, что если процессы критично важны, то первоначально стоит протестировать жизнеспособность патчей на машинах не выполняющих архиважные задачи.

Критические
MS09-071 – Уязвимость в Internet Authentication Service дающая возможность выполнения удаленного кода (974318)
MS09-072 – Кумулятивное обновление для Internet Explorer (976325)
MS09-074 – Уязвимость в Microsoft Office Project позволяющая выполнить удаленный код (967183)

Важные
MS09-069 – Уязвимость в Local Security Authority Subsystem Service приводящая к отказы в обслуживании (Denial of Service) (974392)
MS09-070 – Уязвимость в Active Directory Federation Services позволяющая выполнить удаленный код (971726)
MS09-073 – Уязвимость в WordPad и Office Text Converters позволяющие выполнить удаленный код  (975539)

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)