Навигация > Главная страница /

Firesheep — лёгкий взлом Twitter, Facebook и др. соц сервисов

Опубликовано в рубрике: Безопасность

Firesheep
Несколько дней назад Эрик Батлер (фрилансер из Сиэтла), с помощью простого плагина для Firefox ещё раз показал — насколько могут быть уязвимы конфиденциальные данные в Интернете. Написанный им плагин позволяет перехватывать в открытых сетях WiFi (например, на вокзалах, в кафе и др.) куки других интернет пользователей, и соответственно — получать доступ к чужим учётным записям.

Немного вводной теории.
На многих сервисах шифрование соединения происходит только в момент сверки логина и пароля, а последующий сеанс сайта с пользователем — проходит уже в открытом виде. Для этого применяется идентификатор сеанса (session ID), т.е. — пользователю передаётся в cookies случайно сгенерированный код, по которому происходит определение «свой-чужой». Вот эти самые кукисы и являются мишенью для плагина «Firesheep». Перехватив http сессию (SideJacking) и завладев идентификатором сеанса, злоумышленник может заходить в чужие аккаунты, маскируясь под другого пользователя.

Плагин Firesheep может перехватывать кукисы с сайтов: Twitter, Facebook, Google, Flickr, Windows Live, bit.ly, Amazon.com, Enom, Slicehost, tumblr, WordPress, Evernote, CNET, Pivotal Tracker, Basecamp, HackerNews, Yahoo, Cisco, Yelp, Github, NY Times, Cisco, Dropbox и мн. др. [Далее →]

Нужен ликбез? Подпишись на RSS!

Взлом сайтов

Опубликовано в рубрике: Безопасность

вирус

Интересно прочесть: Функциональные комментарии WordPress — эта статья (с подробными примерами и заметками) о том, как сделать дискусию в блогах более удобной.


Предыстория.
Буквально на днях была следующая ситуация: на одном из моих компов, Windows вот-вот должна была «склеить лапки». Поэтому, я её с удовольствием «снёс» и с помощью бэкапа установил новую, а заодно решил опробовать Outpost Security Suite PRO 2009.
Установил (заранее скаченную 30-ти дневную версию) PRO 2009, прошёлся по настройкам, полез в интернет. …Первый вылет из Windows я получил буквально через несколько секунд пребывания в сети. Произошло это, когда Outpost создавал правило для Оперы.
В общем, за двое суток нашей «дружбы» с PRO 2009, я получил таких вылетов около 15-ти. Как правило, они происходили в тот момент, когда программа создавала правило для какого либо приложения, которое просилось в Интернет. Самое интересное, что фаервол выдал такой «подарок» после всех браузеров, пейджера, качальщика файлов, но зато переключатель раскладки клавиатуры беспрепятственно, без моего ведома, вышел в сеть, и радостно сообщил мне о выходе новой версии. Эта же ситуация повторилась и с видео проигрывателем. Можно только догадываться, какие ещё приложения, и куда, лазили без моего ведома.)

Не выдержав издевательств, Windows стала хромать на всё, что только можно.) Поэтому было принято решение умертвить несчастную, путем форматирования, с последующим воскрешением через бэкап.
…Здесь начинается самое интересное: после того, как был дан старт, и Windows пошла на свою последнюю перезагрузку, от фаервола выскочило сообщение — winlogon.exe запрашивает доступ на адрес prevedvsem123.cn…!

Я записал этот адрес, и со второго компьютера начал поиски по Интернету — что это за таке? Оказалось, что это троян (Trojan-Spy.Win32.Goldun.bdu), ворующий пароли, регистрационные данные и другую конфиденциальную информацию. При этом если среди украденных данных были пароли от ваших сайтов или от их FTP, то после этого, злоумышленники внедряют к Вам на сайт фреймы.

С помощью этой заразы, в период с16 по 18 октября было взломано очень много сайтов.

Вот этот скрипт подгружал фрейм с сайта prevedvsem123.сn,  в результате чего, посетители заражённых сайтов получали в подарок троянца (под видом PDF). Как можно увидеть из названия домена, то потрудились наши медведы.)

Признаки заражения компьютера:

  • различными антивирусами может, определятся как: Trojan-Spy.Goldun! Sd6, Trojan-Spy.Win32.Goldun.bdp, Backdoor:Win32/Haxdoor, Generic PWS.y, Infostealer, Trojan Horse, Mal/TinyDL-T.
  • вирус помещается в C:\Windows\System32 (Windows XP),
  • в реестре создаются новые ключи, поэтому нужно искать:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acpiz

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]
    Persistent = 0x00000000
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acpiz]
    DllName = 61 63 70 69 7A 2E 64 6C 6C 00 00 00
    Startup = «acpiz»
    Impersonate = 0x00000001
    Asynchronous = 0x00000001
    MaxWait = 0x00000001
    adr97 = «[CA24A356577DF03D1]»

  • в систему устанавливается библиотека acpiz.dll.
  • [Далее →]

    От сети не жди чудес - Подпишись на RSS!
    Страница 1 из 11