Adware z BIOS'u?

14 Styczeń 2009

Wpadła mi w ręce informacja dotycząca nieczystego zagrania pewnego dużego producenta komputerów przenośnych. Ze względu na toczącą się analizę problemu, nie ujawnię jego nazwy.
Na świeżo zainstalowanym systemie Windows Vista na komputerze od tego producenta, pokazało się okno Internet Explorera z reklamą pewnej usługi. Warto podkreślić, że nie był to obraz systemu, jaki zazwyczaj jest dostarczany z komputerem, ale świeża instalacja (nie tzw. OEM, ale FPP) wprost “z pudełka”. W grę nie wchodziły żadne programy, które mogły zainstalować się z Internetu. Poza systemem operacyjnym na komputerze nie było zainstalowane żadne inne oprogramowanie.

Dalsza analiza problemu pokazała, że niechciany software pochodził … z BIOS’u!

Amerykańska firma Absolute Software dostarcza rozwiązanie do ukrywania pewnego rodzaju oprogramowania wprost w BIOS’ie systemu. Oprogramowanie to, zwane Computrace, ma za zadanie namierzenie skradzionego komputera w momencie gdy jego nowy użytkownik połączy się z siecią Internet. System ten działa z powodzeniem w Stanach Zjednoczonych od 1997 roku. Stosuje go wielu znanych producentów systemów komputerowych (lista) – sugeruję sprawdzenie w swoim BIOS’ie.

Jednak firma Absolute Software dla jednego z tych producentów wykazała więcej inicjatywy i dostarczyła opcję wyświetlania reklam.

W 2006 roku program antywirusowy AVG znajdował w plikach rpcnetp.exe i rpcnetp.dll trojana. Nie pomagało usuwanie plików, używanie innych skanerów, ani nawet re-instalacja systemu. Pliki te zawsze “magicznie” pojawiały się w systemie po restarcie. Autorem tych dwóch plików jest firma Absolute Software (Computrace LoJack for Laptops) i pliki te były kopiowane z BIOS’u. Od tego czasu AVG już nie znajduje w tych dwóch plikach trojanów, ale jakby nie było, niesmak pozostał.

Problemów z tego rodzaju oprogramowaniem jest co najmniej kilka. Ale najbardziej niepokąjaca nie jest idea, że na naszych komputerach możemy mieć zainstalowane oprogramowanie, którego nie pozbędziemy się nawet stosując format dysku. Nawet jeśli Computrace stworzony został w zacnym celu, może okazać się przykry w skutkach, jeśli zostanie rozpracowany przez autorów malware.

Oryginalne okno z reklamą usługi Computrace. Wyciąłem nazwy i loga producenta oprogramowania.

Ups, Microsoft Ireland zhackowany

9 Grudzień 2008

Tak wyglądała dzisiaj rano strona www.microsoft.ie:

No cóż, zdarza się nawet najlepszym

10 niezmiennych praw dot. bezpieczeństwa IT

24 Styczeń 2008

Aktualizacja: Po sugestiach ptashka co do niedociągnięć mojego tłumaczenia, pozwolę sobie zamieścić tutaj jego wersję z komentarza (punkty 1-7, 8-10 to już moje tłumaczenie):

1. Jeśli przestępca jest w stanie przekonać Cię do uruchomienia jego programu na Twoim komputerze, nie jest to już Twój komputer.
2. Jeśli przestępca jest w stanie wprowadzić zmiany w systemie operacyjnym na Twoim komputerze, nie jest to już Twój komputer.
3. Jeśli przestępca ma nieograniczony, fizyczny dostęp do Twojego komputera, nie jest to już Twój komputer.
4. Jeśli pozwolisz przestępcy skopiować program na Twoją stronę www, nie jest to już Twoja strona.
5. Słabe hasła przeczą silnym zabezpieczeniom.
6. Twój komputer jest tak bezpieczny, jak administrator jest godny zaufania.
7. Zaszyfrowane dane są tak bezpieczne, jak bezpieczny jest klucz deszyfrujący.
8. Nieaktualizowany program antywirusowy jest niewiele lepszy niż jego brak.
9. Anonimowość nie działa ani w świecie rzeczywistym ani w Internecie.
10. Technologia nie jest lekarstwem na wszystko.

Źródło: 10 Immutable Laws of Security, Microsoft.com

Dawid kontra Goliat

22 Wrzesień 2007

Zapowiada się ciekawa wojna między światem tzw. piratów a koncernami fonograficznymi. Wojna ideologiczna i wojna prawnicza – między korporacjami USA i prawem szwedzkim.

Jak powszechnie wiadomo do sieci przedostała się cała korespondencja firmy MediaDefender – firmy, która profesjonalnie zajmuje się walką z piractwem. Jej klientami są tacy giganci jak Twientieth Century Fox, EMI, Universal, by wymienić tylko kilka.

The Pirate Bay, strona która udostępnia tzw. trackery do ściągania danych poprzez protokół bittorent, zaskarżyła działalność firmy MediaDefender i potentatów muzycznych i filmowych przed szwedzkim sądem przedstawiając metody działania walki z piratami jako sprzeczne z prawem albowiem wykorzystującego metody sabotażu, DDoS, spamu i innych metod wpływających na infrastrukturę The Pirate Bay. Koncerny medialne zostały oskarżone o finansowanie sprzecznych z zasadami prawa działań.

Źródło: The Pirate Bay – TPB files charges against media companies

Powyższa notka powstała w 100% w nowej wersji Windows Live Writer – nie ma już problemów z polskimi znakami!

Malware z cyfrowym podpisem

12 Wrzesień 2007

==Aktualizacja (16/09/2007)==

Certyfikat tutaj opisany nie zaświadcza, że program, który został nim podpisany jest bezpieczny, jakąkolwiek definicję bezpieczeństwa przyjmiemy. Zdanie to jest zawarte w poniższym tekście, jednak nie wszyscy są w stanie wyłowić taki niuans.

==Oryginał poniżej==

Upadkiem dobrych obyczajów i utratą zaufania można nazwać ostatnie znalezisko firmy Sunbelt Software z USA: spyware podpisany cyfrowo przez Thawte.

Tutaj można znaleźć wynik skanowania podpisanego przez Thawte pliku. Jak widać, całkiem nieciekawy widok.

Problem jest całkiem złożony. Zaczyna się od tego, że każdy komputer z zainstalowanym systemem Windows (praktycznie w dowolnej wersji) ufa firmie Thawte i jej certyfikatom jako zaufanym i wszystko co jest przez ich certyfikaty podpisywane, traktowane jest jako “bezpieczne”. Jednak firma Thawte jest także zwykłą firmą, której głównym celem jest zarabianie pieniędzy. Nic zatem dziwnego, że sprzeda swoją technologię także firmom czy osobom prywatnym, których celem jest dostarczanie użytkownikom komputerów niezgodnego z prawem oprogramowania: wirusów, adware, spyware, trojanów i temu podobnych. Taki certyfikat kosztuje niemało, ale też nie jest na tyle drogi, by średnio przedsiębiorczy autor szkodnika mógł osiągnąć zyski z takiego zakupu.

Sam certyfikat dostarczany przez Thawte oczywiście nie zaświadcza, że oprogramowanie nim podpisane nie wyrządzi szkód naszemu systemowi i danych na nim zawartych. Jak można zresztą wyczytać z powyższego obrazka, certyfikat oznacza “jedynie”, że kod pochodzi od firmy, dla której certyfikat wystawiono i że oprogramowanie nie zostało zmodyfikowane po jego podpisaniu. Nie ma wzmianki o tym, że program jest “bezpieczny”. Problemem jest interpretacja, jaką zwykło się przyjmować dla kodu podpisanego przez zaufane firmy. W Windows XP, 2000, 2003 i Vista wywołując polecenie certmgr.msc można zobaczyć listę instytucji certyfikujących zakwalifikowanych do grona zaufanych. Jest tam Thawte, VeriSign czy Globalsign. Programy podpisane przez certyfikaty tych firm nie spowodują wyświetlenia ostrzeżenia o uruchamianiu programu pochodzącego z nieznanego źródła.

Czy to może oznaczać, ze Microsoft zadecyduje o wyłączeniu opcji “ufaj Thawte” w jakiejś kolejnej poprawce, SP czy kolejnej wersji systemu operacyjnego? Raczej mało prawdopodobne. Ale może to oznaczać, że Thawte będzie musiało nieco zmienić swoją politykę dostarczania technologii podpisu cyfrowego każdemu kto o to poprosi i zapłaci wystarczająco dużo. W innym przypadku będziemy świadkami dośc poważnego kryzysu zaufania do instytucji certyfikujących (którą na marginesie jest także Microsoft).

Źródło: Sunbelt Software blog

SQL injection na Microsoft UK Events

1 Sierpień 2007

O tym jak bardzo należy uważać i dlaczego przed ostatecznym wypuszczeniem produktu do klienta trzeba wszystko sprawdzić 10 razy, przekonał się niecały miesiąc temu brytyjski oddział Microsoft.

Ich strona nie dość, że wyświetlała bardzo szczegółowe błędy serwera, łącznie z błędną składnią SQL, to w dodatku nie miała żadnej filtracji na parametrach przekazywanych w URL.

Na efekt nie trzeba było długo czekać. Haker o pseudonimie “rEmOtEr” zamienił stronę eventów brytyjskiego Microsoftu na taką, jaką uważał za stosowną. Prawdopodobnie nowa strona nie przypadła do gustu właścicielom serwisu, bo nie wisiała długo.

Szczegółowa lektura dostępna jest pod tym adresem.

Błędy, błędy i jeszcze raz błędy zaniechania, niedoszacowania i niedocenienia użytkowników Internetu powodują takie a nie inne efekty. SQL injection jest jedną z najpopularniejszych metod podmian stron (tzw. deface) i kradzieży danych. Jeśli w swoim procesie analizy zagrożeń serwisu www, który właśnie produkujesz, nie masz badania podatności na SQL injection, odwlecz premierę o tydzień albo dwa i przejrzyj dokładnie kod. Jeśli nie masz w ogóle podobnej analizy, zastanów się jeszcze raz nad sensem istnienia czegoś, co zostanie szybko zniszczone.

W procesie testowania serwisu ITCore.pl przypadło mi napisać scenariusz testowania dla wyszukiwarki jaka będzie zainstalowana na serwisie. Dość duży nacisk położyłem na wykorzystanie różnych potencjalnie niebezpiecznych z punktu widzenia serwisu akcji użytkownika, które mogłyby spowodować ciąg zdarzeń podobnych do tych, jakich doświadczył Microsoft UK.

Przykładowy scenariusz zakłada sprawdzenie wyników wyświetlania takiego zapytania:

‘ UNION SELECT name, type, id FROM sysobjects;–

Testy mam nadzieję zaczną się niedługo, będę miał okazję przekonać się samemu.

Mała niespodzianka: osoba, która jako pierwsza napisze w komentarzu do tego posta, jakiego wyniku nie chcielibyśmy zobaczyć po wykonaniu powyższego wyszukiwania na serwisie ITCore.pl oraz poda prosty kawałek kodu (VB, C#, SQL) pozwalający ustrzec się przed podobnymi sztuczkami użytkowników otrzyma ode mnie w prezencie nieużywaną, nieodpakowaną, świeżą i pachnącą grę na XBOX 360 pt. Forza Motorsport 2. Chętni?
Oczywiście liczą się tylko poprawne odpowiedzi.

Disclaimer: Konkurs organizowany jest przeze mnie, prywatną osobę i nie ma związku z Microsoft Polska sp. z o.o., Microsoft Ireland, Microsoft UK, XBOX czy serwisem ITCore.pl.

Update: Miałem włam na FTP’a

26 Lipiec 2007

A jednak! Mieli włam na FTP’a i trochę haseł im wyciekło. Jeśli jesteś klientem Servage, spodziewaj się korespondencji o przymusowej zmianie hasła. Jak to mówią: na wszelki wypadek.

Oto fragment ich korespondencji (proszę, nie zwymyślajcie ich za ich angielski):

There was an hacking attempt on FTP and we have changed the passwords just to be sure they are not known by others. We have changed all the clients FTP account passwords to secure our network. There has not been a root hack at all on our servers. The attack was only from the FTP side and not from the control panel.  We are aware of the exact issue that is going on and are looking ahead to implement some security scripts.

OK, no to teraz już mamy oficjalną informację: Dreamhost leaks password, Servage does it too!

Miałem włam na FTP'a

26 Lipiec 2007

Dziś dostałem emaila od firmy, której przedstawiać Wam nie muszę – Servage, z informacją, która potwierdziła moje kilkudniowe obawy.

Unfortunatly we had to change your FTP Password to increase the security of your account. Please dont change it back to the old one as we have got some information that your credentials maybe has been stolen by someone.

Pisownia oryginalna, jak na firmę hostingową posiadającą klientów na całym świecie, mogliby trochę poprawić swój angielski. Ale ja nie o tym chciałem.

Po kilku poprzednich postach dostawałem informację od czytelników, że jeśli widzą post na stronie głównej, to już nic się nie pokazuje na stronie posta. Na początku sądziłem, że jest to kod PayPal’a (zresztą był z nim problem, bo był ucięty i niektóre skanery antywirusowe ucięty kod wskazywały jako wirus), PayPal został zatem już tylko na stronie Autor. Jednak dwa dni temu przy okazji zmian w header.php w szablonie przez przypadek podejrzałem swój plik index.php z katalogu głównego WordPress’a. Znalazłem tam dodatkowy kod, który ani nie pochodził od WP ani nie pochodził ode mnie. Dodatkowo, wszystkie pliki w katalogu głównym były zamienione na poprzednią wersję WP.

Pobladłem, zrobiło mi się gorąco i musiałem się napić. Wstępna analiza, po otrzeźwieniu, nie wykazała dodatkowych zniszczeń, baza nie jest dostępna z zewnątrz, więc nawet nie musiałem zmieniać hasła do MySQL’a. W grę wchodziły dwa wektory ataku: POST/GET poprzez jakiś moduł WP (których mam kilka) albo poprzez samo WP, i ftp. Po przywróceniu oryginalnych plików i upewnieniu się, że wszystko inne jest na miejscu, postanowiłem zaczekać na rozwój wydarzeń. Wykonałem (kolejny) backup, tak na wszelki wypadek.

Dziś, kiedy dostałem tego emaila, upewniłem się w przekonaniu, że to jednak znów mój ukochany provider. Już wysłałem do nich emaila z zapytaniem jak doszło do włamu. Pamiętacie mój post Servage sucks, Dreamhost leaks password? Być może jesteśmy świadkami nowego wydarzenia: Dreamhost leaks password, Servage does it too?

Servage sucks, Dreamhost leaks password

8 Czerwiec 2007

W komentarzu do mojej notki pt. Plummet Cezary zasugerował mi, bym przesiadł się na Dreamhost. Przez dłuższą chwilę się nad tym zastanawiałem, ostatecznie wybrałem easyspeedy.com z Danii.

Dziś jednak się okazało, że Dreamhost ma poważny problem z trzymaniem w ryzach swojego bezpieczeństwa. Z tego co krąży po sieci [1][2][3] i co można przeczytać na ich stronie jakimś “cudem” wyciekło im 3500 hasłem FTP. Rozesłali po wszystkich klientach prośbę o zmianę hasła konta FTP.

Jeśli przypadkiem jesteś klientem Dreamhost i znalazłeś jakieś dziwne pliki na swoim koncie, to już wiesz czemu. Podobna rzecz przytrafiła się Caydel’owi (post: Dreamhost leaks 3,500 FTP passwords).

"Przedwczoraj policja zamknęła napisy.org, wczoraj hakerzy zamknęli policja.pl"

19 Maj 2007

Cytat w tytule postu pochodzi ze strony bash.org.pl.

Nie będę się wypowiadał na temat tej sprawy, nie korzystam i nie korzystałem z serwisu napisy.org i nie znam na tyle polskiego prawa by w jakikolwiek sposób orzekać o winie. W sieci wrze, jak widać poniżej.

Źródła i komentarze, najpierw angielskie:

• Police raid Polish subtitle site – Tech.Blorge.com
• Polish Fans Held By Police For Movie Translations – Slashdot
• Nine Poles Held by Police over “Fansubs” – Anime News Network
• Polish, German police bust subtitle archive – ArsTechnica
• Poland: Nine people held by police for translating movies – PolishLinux.org
• napisy.org – betonblog
• Poland: 9 People Arrested for… Translating Movies – Digg.com

polskie:

• Napisy.org zamknięte – 7thGuard
• Napisy.org zamknięte, twórcy serwisu zatrzymani! – IDG
• KGP: Napisy znikły z sieci – Policja.pl
• Twórcy strony napisy.org – najpopularniejszej polskiej strony z tłumaczeniami filmów – zatrzymani – Gazeta Wyborcza
• Nielegalne tłumaczenie – Room 303
• Zatrzymano tłumaczy napisów… – Vagla
• Gdzie mi przyszło żyć… – WZS
• no to po napisach – Netto
• Policja likwiduje Napisy.org – Yashke
• List otwarty tłumaczy-hobbystów w sprawie zatrzymań – Dziennik Internautów
• Policja zamyka serwis z tłumaczeniami filmów – Dziennik Internautów
• Policja o Napisy.org: Opieramy się na faktach! – Dziennik Internautów
• Napisy.org: e-maile za kulisami – blog Dziennika Internautów
• Napisy.org zamknięte! – Interia

Efekt:

• Policja.pl nie działa – odwet za napisy.org! – Dziennik Internautów
• Policja.pl nie działa – Money
• Hakerzy zaatakowali serwis policja.pl – Hacking.pl
• Hakerzy zaatakowali serwer warszawskiej policji – Gazeta Wyborcza
• Hakerzy zaatakowali stronę polskiej policji – Interia
• Polskie serwery ofiarą bezkarnych hakerów – Rzeczpospolita