Одминский блог

Приложение BotHunter

Разработка, появившегося с год назад, приложения BotHunter было спонсировано исследовательским центром армии США и стало результатом исследований, в области информационной безопасности, организации SRI International. Как становится понятно уже из названия приложение предназначено для поиска ботов и вредоносных программ ставящих под угрозу компьютерную безопасность. Приложение BotHunter разработано для прослушивания сетевого диалога между внутренними и внешними сегментами сетей. BotHunter состоит из коррелирующего движка написанного на базе Snort 2, который отслеживает подозрительную сетевую активность: сканирование портов, использование эксплоитов, подготовки атак, p2p трафик. Коррелятор BotHunter сопоставляет информацию о входящих алертах и исходящей активности, на основе чего делает заключение о зараженности хоста. Если уровень вероятности заражения хоста, с точки зрения сетевого диалога BotHunter, приближается к критической точке, то программа начинает прослушивать и регистрировать все подобные события вычисляя их значение в процессе заражения.

Приложение доступно для FreeBSD (тестировано для 7.2 версии), Linux (тестировано для RHEL, SuSe, Debian и Fedore), Windows XP/Vista/2003,а также для Mac OS X (10.4 и 10.5).

Теги: bothunter, IT безопасность, бот-сеть, ботнет, вирусня

Баг прошивки 8.0.42 для Sofaware 500W

Прекрасную новость я получил буквально пару минут назад от компании Sofaware, куда я обратился со своей “болью”: после того как устройство Sofaware 500W само, без разрешения, грейдилось на последнюю версию прошивки 8.0.42- сразу же начинались траблы с работоспособностью- по дефолтной политике дропались входящие UDP пакеты на 53 порт, даже в случае наличия правила разрешающего это действие; пропадал доступ к веб морде из вне сетки по https; и самое пакостное- после перевода wi-fi и Lan VLAN’ов в режим bridge, для того чтобы пользователи этих двух сетей могли работать друг с другом и внутренними ресурсами (хотя по причине этого косяка, выяснилось что все это реализуется и при обычном режиме firewall просто описанием взаимодействия подсетей)- начинались проблемы с доступам к внутренним ресурсам, транслируемым в интернет, по их внешним IP адресам, причем настолько сильные, что все соединения smtp/pop3/http/https/ssh дропались по таймауту.

Вообщем ответ тех.поддержки был, что shit happend- сие есть баг (баг заключается в том, что дропаются те пакеты у которых исходящий порт такой же как и входящий- 53; если же порт стандартно выше 1024 порта, то они проходят нормально), посему надо откатить устройство на более раннюю версию прошивки, но как оказывается сам я это сделать не могу, а это указывается ручками на стороне сервис центра производителя SMP, где оператор ручками указывает какому MAC адресу на какую прошивку перегрузиться. Но самое веселое, что это уже сделали, попросив меня ручками передернуть устройство. И мало кого волнует, что я в 50 километрах от устройства и самое близкое когда собирался туда заехать – это конец недели.

Все это очень мило, но тогда не понятно зачем там вообще в устройстве кнопка перепрошить устройство на специфическую прошивку. Надеюсь, что 7 прошивка, которую мне сегодня перезальют будет лучше чем 8.0.42, поскольку баг, со слов поддержки, будет исправлен не столь оперативно, как решаются проблемы для тех же Checkpoint Edge, которые являются клонами sofaware с той лишь разницей, что управляться могут централизованно и поддерживаются старшим братом.

*** 23.12.09 *** Баг после отката не исчез, по прежнему дропаются входящие и исходящего 53 порта, но зато разрешилась проблема с доступом по https к консоли. Оказалось, что сервер https, для внешних подключений, переехал со своего стандартного порта на 981, т.к. обращение https://server:981 позволяет достучаться к серверу из вне.

Теги: 8.0.42, Checkpoint, checkpont, dns, IT безопасность, sofaware, udp, прошивка, Сетевые протоколы, Сети

Взлом сайта Twitter иранской кибер армией

Ночью 17 декабря сайт популярной социальной сети Twitter подвергся кибер атаке, результатом которой стал дефейс портала,- на заглавной странице некоторое время висело сообщение о том, что сайт взломан иранской кибер армией (Iranian Cyber Army). Несколько часов спустя, после длительного оффлайна, на странице статуса появилось сообщение о том, что DNS записи домена Twitter.com были скомпрометированы, но данная проблема находится в стадии устранения, которая и была устранена к середине 18го числа. Надо отметить, что атаку провела группировка Iranian Cyber Army, судя по своему названию и тону послания имевшая ввиду, что пока штаты пытаются контролировать Иран, сам Иран контролирует кибер пространство США.

Читать полностью »

Теги: cyber, dns, IT безопасность, twitter, дефейс, кибер, киберпреступность, сайты, социальные сети, хакеры

Бот сеть на базе iPhone

На сайте Malware Threat Center появился прекрасный аналитический обзор бот клиента iKee.B (duh) Apple iPhone зарегистрированного 25 Ноября 2009 года в нескольких странах Европы, и заражавшего телефоны iPhone через литовский бот сервер. Обзор представляет собой детализацию логистики и функционала программного кода iKee, конфигурационные файлы и различные технические подробности. iKee бот является последним из обнаруженных уязвимостей для смартфонов и его целью становились телефоны iPhone, прошедшие процедуру джейлбрейка.

Сама атака была направлена на клиентов Dutch ING Direct, которые при попытке соединения с веб-порталом банка  переправлялись на японский eCommerce сайт, содержавший фишинговые страницы, выглядевшие совершенно идентично сайт ING Direct. В случае введения логина информация становилась доступной злоумышленникам, которые использовали её для коммерческих махинаций.

В это связи рассматривается потенциальная возможность тесного взаимодействия хакеров, занимающихся процедурами разблокирования устройств и злоумышленниками использующими эти устройства для своих целей.

Теги: iKee, iPhone, IT безопасность, jailbreak iphone, бот-сеть, ботнет, кибермошенничество, разлочка IPhone, уязвимость, фишинг, хакеры

Check Point SecuRemote/SecureClient

В процессе ковырякания с Sofaware из вне сетки, я поимел проблему относительно того, что установить VPN соединение со шлюзом можно с помощью родного клиента от CheckPoint SecuRemote / SecureClient . Данный VPN клиент уже отправлен на заслуженный отдых, поскольку последняя имеющаяся версия это SecuRemote NGX R60, и компания CheckPoint настоятельно просит пользоваться новыми версиями EndPoint клиента, в чей движок входит модуль старого клиента SecuRemote/SecureClient.  Сам клиент конечно доступен из веб-морды управления шлюзом, но к сожалению по проблемам, описанным раннее, я этого доступа не имел- и одна надежда была на VPN соединение.

При этом, если искать его через стандартную форму поиска на офф.сайте, то все выпавшие ссылки на скачивание SecuRemote/SecureClient ограничиваются просьбой заполниться формочку по которой с вами свяжутся чуть позднее. По которым никто не отвечает, т.к я заполнял почти неделю назад и до сих тишина. Но тем не менее на офф.сайте эти клиенты доступны, правда как попасть в этот раздел, последовательно используя системы меню и навигации, я так и не понял, но тем не менее по этой ссылке там доступны клиенты SecuRemote/SecureClient как для Windows так и для MaC OS X, a также SecureMobile Client.

Теги: Checkpoint, IT безопасность, SecureClient, SecuRemote, sofaware, vpn

Sofaware 500W

Всю прошедшую неделю, вместо положенного отпуска, воевал с клиентской железякой Sofaware 500W. Удобный по управлению и настройке безопасности агрегат, для небольших сетей. Все в одном: фаервол с глубокой проверкой пакетов SPI, средство предотвращения вторжений IPS SmartDefense, антиспам и антивирусные фильтры реального времени, web фильтеринг для блокировки доступа к “плохим” сайтам, несколько видов антиспама (контентный, блок листинг и на основе IP репутации отправителя), регулировка нагрузки, порт DMZ, поддержка NAT, VPN-сервер- как на собственном движке посредством клиента от чекпоинт Secure Client, так и возможность поднять L2TP сервер, а также возможность VPN туннелирования, организация Wi-Fi сети и гостевой сети для VPN клиентов.

Такое вот прекрасное устройство, причем вместе с подпиской на год и безлимитное число пользователей, оно выходит чуть больше штуки грина. Все очень просто настраивается через веб морду по http или https. Но есть одно маленькое НО- коробка идет со стандартной прошивкой 7.х которая после того как подцепляешь подписку, без вопроса грейдится на самую последнюю 8.0.42 после чего начинается свистопляска. Все входящие DNS пакеты на внутренний сервер, который натится из сетки, начинаются дропаться по дефолтному правилу, не смотря на указанную политику о том чтобы их пропускать. Помимо этого, напрочь отрубается внешний доступ к веб морде, а при попытке поднять wi-fi в бридж моде, для того чтобы иметь доступ из wi-fi сети к сетевым ресурсам, вешается внутрисетевой трафик, т.ч. простейшие операции вроде отправки почтового сообщения вешаются наглухо. В общем пришел к тому что нужно откатываться на старую версию прошивки, но как это сделать чтобы устройство не обновилось снова, не могу понять, в этой связи открыл тикет на офф.сайте. Пока суть да дело, с разборкой логов и настроек, мне упало еженедельное письмо от sofaware со статистикой по неделе работы устройства, где также была анонсирована эта самая многострадальная прошивка 8.0.42 откуда я с радостью узнал, что дроп пакетов на 53 порт UDP оказывается “не бага, а фича”, т.к. это трактуется как domain атака, также прикрывается атака на порт 51376 и 54498.

Приятный и удобный сервис, но будем ждать разрешения проблемы, когда все заработает наконец то в полном объеме.

Теги: 8.0.42, Checkpoint, IT безопасность, sofaware, вирусня, Сети

Sims 3 для iPhone 3.0

Цена: $6.99
Размер: 61.9 MB
Последняя версия: 1.2.4

Пока валялся в больнице, со скуки, перепробовал множество различных приложений и игр для iPhone.Но      стрелялки, как оказалось, для меня не очень удобные, т.к. управление персонажем довольно сложное, а вот пошаговые и игры не требующие реакции- самое то. памятуя о своей любви 4хлетней давности, я поставил себе на iPhone портированную игрушку SIMS 3. Авторы смогли перенести саму атмосферу этого отличного 3D симмулятора человеческой жизни. Конечно несколько пришлось упростить игровой процесс, но при этом добавились элементы специфичные для процессинга iPhone- например рыбалка, все ействия которой человек производит двигая телефоном iPhone как удочкой. На выбор предлагается некий набор психотипов будущего Sim, также как и отличия внешности персонажа. Игра занимает 61.9 Мб и её загрузка стоит $6.99. В интернете возможно найти сломанную версию Sims 3, но может встать вопрос поддержки актуальной версии.

Чтобы избежать проблем с работоспособностью Sims 3, рекомендуется перегрузить свой iPhone после установки программы. Для больше информации посетите support.eamobile.com.

Поддерживается в iPhone и iPod touch, минимальное требование к прошивке- iPhone OS 3.0.

Теги: iPhone, mmc в iphone 3.0