RSS
 

Säkerhetshål i WordPressplugins

23 Feb

Igår rapporterade Sucuri ett säkerhetshål i WordPresspluginet BulletProof Security. Pluginet innehöll filen wp-content/plugins/bulletproof-security/admin/uploadify/uploadify.php som är ett filuppladdningsscript. Scriptet har inte någon säkerhetskontroll och vem som helst kunde ladda upp egna filer, till exempel shellscript för att få full tillgång till alla filer på kontot. Utvecklarna har nu åtgärdat säkerhetshålet.

Även WordPresspluginet WP Symposium innehåller denna fil, placerad i wp-content/plugins/wp-symposium/uploadify/uploadify.php. Inte heller denna gång finns någon säkerhetskontroll. WP Symposium har laddats hem nästan 13 000 gånger och behöver inte vara aktiverat vara att vara sårbart. Utvecklaren är kontaktad.

/wp-content/plugins/wp-symposium/uploadify/uploadify.ph
 

Spamtsunami i ett vattenglas

23 Feb

Stefan Thelberg, vd på e-postsäkerhetsföretaget Stej, rapporterar idag häpnadsväckande uppgifter till IDG. Han rapporterar att i Sverige ökade spammandet under tisdagen med 400%, alltså en femdubbling, och att det rör sig om uppskattningsvis 750 miljoner spam bara mot Sverige. Detta kan jämföras med till exempel Spamcops 2,3 miljoner rapporterade spam senaste dygnet för hela världen.

Inget annat säkerhetsföretag verkar ha noterat denna ökning och i de mailloggarna jag sett för svenska servrar märks inte någon ökad aktivitet. Det verkar alltså som att de 750 miljonerna spam främst drabbar kunder hos Stej.

 
 

Hbgary – Rootkits en lönsam affär

22 Feb

När säkerhetsföretaget Hbgary hackades användes flera olika metoder för att nå målet. På hemsidan fanns ett script som Hbgary själv inte skapat och som var sårbart för SQL-injections. Detta säkerhetshål användes för att lägga in kod som kom åt lösenordshashar för de konto som användes för att uppdatera hemsidan. Men en bruteforceattack kunde man genom hasharna få tag på flera anställdas lösenord. Det visade sig att dessa lösenord även användes för Linkedin, Twitter och mailkonton.

Med tillgången till mailkonton kunde man gå vidare till nästa metod, social engineering.

Ett mail från rätt adress och till rätt person räckte för att få brandväggen deaktiverad och dessutom få lösenordet till servern för rootkit.com som administreras av Hbgarys ägare Greg Hoglund.

Bakgrunden till attacken är att Hbgary sagt att de samlat information om Anonymous  och skulle offentligöra information om personer högt upp i organisationen. Efter hackerattacken och vandalisering gav Hbgary upp och ställde in.

Hbgary grundades av Greg Hoglund 2003 och säljer säkerhetstjänster till amerikanska företag och myndigheter. En tidigare nyckelperson i företaget är Jamie Bulger som inte bara arbetat på Hbgary utan också hjälpt till med rootkit.com och skrivit en bok tillsammans med Greg Hoglund. Boken handlade om rootkits. Jamie Bulger har dessutom själv skapat och spridit rootkits som FU rootkit. Ett av Hbgarys huvudområden är program för att stoppa just rootkits. Samma gäller för Komoku, där Jamie Bulger nu arbetar.

Att utveckla, aktivt sprida för att sedan stoppa rootkits kan vara en riktigt lönsam affärsidé. Man behöver inte heller vara orolig för att andra företag vägrar samarbeta med personer som utvecklat och spridit rootkits, Hbgary samarbetar med McAfee och Komoku har blivit uppköpta av Microsoft.

 

Lymmel dömd för dataintrång

16 Feb

20-åringen som åtalats för dataintrång mot City Network har nu fått sin dom, 40 timmars samhällstjänst. I domen förklaras kortfattat vad som hänt.

”Åklagaren har sakframställningsvis anfört i huvudsak följande. Under natten den 1 september 2009 skedde ett dataintrång på City Network Hosting ABs och Seria As server i Karlskrona. Seria As säljer videowebbsajter och anlitar City Network. Dataintrånget bestod i att någon olovligen beredde sig tillgång till servern och lade in en fil. Därefter kunde datorn användas till en datorattack mot en tredje part. Sju av City Networks kunder kunde under 24 timmar inte använda sina tjänster. Tre brott har begåtts, vilka var för sig är databrott; dels olovligen bereda sig tillgång till dator, dels föra in uppgifter dvs. en fil, dels ock hindra kunderna från att använda datorn.”

Polisen hade tre spår, vilka förklaras i domen. Första spåret är att IP-nummer som kan kopplas till 20-åringen användes för att kontakta en server i Östersund, som användes för att söka efter sårbara servrar på internet. Servern i Östersund hittade då City Networks server i Karlskrona. I domen noteras att det är lagligt att söka efter sårbara servrar. Andra spåret handlar om den olagliga delen, då programvara överfördes från servern i Östersund till servern i Karlskrona och intrånget blev ett faktum. Överföringen av program kan kopplas till 20-åringens adress.

Spår 3 inleds med en beskrivning av programmet som överfördes, det är en IRC-bot som anslöt till kanalen crapballs. 20-åringen, som kallar sig Lymmel gick in på kanalen för att skicka kommando, både till City Networks server och andra servrar. Bevisningen blir här väldigt förvirrande.

”Kontot har använts av en IP-adress innehållande ordet ”Lymmel”. IP-adressen är sparad hos [PERSONNAMN]. Användaren har använt sig av email adressen [DOMÄNNAMN].net…Domänägaren är [DOMÄNNAMN].”

[PERSONNAMN] är 20-åringens namn och [DOMÄNNAMN] är på båda ställen det domännamn som använts. 20-åringen har erkänt och beskrivningen stämmer med polisens tekniska undersökning. Han menar dock att han bara ville testa och inte visste att det han gjorde var olagligt. När han fick veta detta slutade han. 20-åringen menar att den chattkonversation som åklagare hänvisar till ”var ett påhitt från hans sida för att försöka verka tuff”. Domstolen är dock av annan mening.

”Av den av åklagaren åberopade chatt konversationen framgår att [PERSONNAMN] haft tillgång till servern i Östersund och att han använt den för att leta efter sårbara datorer på Internet. I en annan chatt konversation har ”Lymmel” berättat för en kamrat att han bl.a. hackar servrar, lägger upp IRC-bots och DDOSAR från dem samt från en kanal. Vidare har [PERSONNAMN] velat sälja tillgång till sina IRC-botar. Även genom [PERSONNAMN]s egna uppgifter framgår att han haft uppsåt att hacka servern i Karlskrona.”

Förklaringen att 20-åringen inte kände till att det han gjorde var olagligt accepteras inte.

”Med hänsyn till [PERSONNAMN]s stora intresse för datorer och han använts sig av dessa under såväl lång tid som intensivt framstår hans okunskap om att hans förfarande inte skulle vara olagligt som en efterhandskonstruktion och kan därför lämnas utan avseende.
Sammantaget finner tingsrätten att [PERSONNAMN] ska dömas för dataintrång.”

Efter en diskussion om påföljdsfrågan beslutas följande.

”För den händelse fängelse i stället valts som påföljd skulle fängelse en månad ha utdömts. Med hänsyn härtill ska tiden för det oavlönade arbetet bestämmas till fyrtio timmar.
[PERSONNAMN] döms för brott som har fängelse i straffskalan. Han ska därför åläggas att utge 500 kr enligt lagen om brottsofferfond.”

 

Dilbert & Webbläsarhistorik

16 Feb

Att webbläsarhistorik enkelt kan stjälas har nu nått fram till Dilberts chef.

I mitt tidigare inlägg ”Nu avlyssnas historiken på allvar” berättar jag hur du skyddar dig.

 

Botnätet Waledac nertaget

03 Feb

Botnätet Waledac som används för att skicka spam har stött på nya motgångar. Microsoft, Symantec, Shadowserver och flera universitet har gått samman för att ta ner C&C-servrarna som botnätet använder. Förutom tekniska åtgärder har Microsoft lämnat in stämningsansökan för att få 273 domännamn avstängda. Statistik från Sudosecure visar att åtgärderna haft effekt.

Detta är inte första gången Microsoft använder juridik för att få bort Waledec, i september 2010 fick de genom domstolsbeslut 276 domännamn avstängda. Säkerhetsforskare har också kommit över en del av Waledacs data och hittade då inloggningsuppgifter till 123 920 hackade FTP-konto och 489 528 hackade mailkonton. Ytterligare läsning om Waledac finns i en 67-sidig rapport från TrendMicro.

 

Daily motion leder till adware

26 Jan

Dailymotion är efter Youtube världens populäraste videosajt med nära hundra miljoner besökare per månad enligt Softpedia. Söker man efter senaste Simpsonsavsnittet på Dailymotion får man två träffar.

Klickar man på någon av filmerna får man följande budskap, som egentligen är själva filmen.

Den svårlästa texten lyder ”The video was rejected due to copyright infingement so I uploaded it on another website. Click the link into description to watch this video or go to tvgalaxy.org” och bit.ly-länkarna som anges i beskrivningen går båda till tvgalaxy.org.

Inte heller när man kommit dit får man se Simpsonsavsnittet, istället ombeds man svara i en ”undersökning” för att komma vidare.

Alla alternativ går till webfetti.com och där ombeds man installera en toolbar som de utlovar är helt fri från virus och reklam.

Men antivirusprogrammen håller inte med, 17 av 42 program varnar för filen. Har man väl installerat toolbaren är den svår att få bort. Avinstallationsguider rekommenderar både Hijack This och SpyBot Search and Destroy för att få bort programmet helt.

 

Mark Zuckerberg hackad

26 Jan

Mark Zuckerberg, en av grundarna av Facebook, fick igår sitt Facebook-konto hackat. På hans fansida dök det upp ett meddelande, från honom själv: ”Let the hacking begin: If facebook needs money, instead of going to the banks, why doesn’t Facebook let its users invest in Facebook in a social way? Why not transform Facebook into a ‘social business’ the way Nobel Prize winner Muhammad Yunus described it? http://bit.ly/fs6rT3 What do you think? #hackercup2011”.

#hackercup2011 refererar till Facebooks programmeringstävling. Än så länge finns inte någon information om hur intrånget skedde.

Uppdatering 27 januari: Nu har även Aftonbladet och IDG snappat upp nyheten. IDG rapporterar också att Facebook meddeladet att intrånget berodde på en bugg som gjorde att man kunde posta inlägg på vissa sidor och nu har åtgärdats. Buggen kunde inte används för att komma åt någon privat data.

Igår meddelade Facebook att de nu erbjuder SSL-kryptering för hela Facebook, inte bara själva inloggningen.

 

Tunisien stal befolkningens inloggningsuppgifter

25 Jan

I Tunisien tillhandahålls bandbredd av Agence tunisienne d’Internet, ATI, som ägs av tunisiska kommunikationsministeriet. Enligt egen uppgift censureras endast pornografi och terrorism men även sajter som Reportrar utan gränser blockeras.

Det har nu upptäckts att ATI lagt in javascript kod på inloggningssidor för bland annat Facebook, Gmail och Yahoo.

När man postar inloggningsformuläret, i det här fallet Facebooks, anropas funktionen hAAAQ3d(). Denna anropar en adress av formen http://www.facebook.com/wo0dh3ad?q=SLUMPAT&u=ANVÄNDARNAMN&p=LÖSENORD. Denna sida existerar inte men det blir väldigt lätt för ATI att ta fram användarnamn och lösenord ur sina loggfiler. Attacken upptäcktes av Facebook på juldagen och man inledde med att skicka tunisiska besökare till en HTTPS-server med krypterad kommunikation. Då data skickas krypterat till besökarens dator kan ATI inte längre lägga in egen javascriptkod. Nästa steg var att ändra lösenord för alla användare som loggat in under den tid intrånget skett.

 

Ny mask på Twitter

20 Jan

En ny mask sprider sig just nu på Twitter. Tidigare använde den goo.gl-adresser för att skicka vidare till filnamnet m28sx.html på olika domäner.

Klickar man på en länk får man upp en varningsruta och när man klickar på OK ser datorn ut att göra en sökning efter virus. Det är dock det falska antivirusprogrammet Security Shield som försöker installeras.