Security

Kaspersky تعلن عن استعمالها لتقنيات Nvidia لتطوير الحماية على منتجاتها

الكاتب djug | في Security | بتاريخ: 16 ديسمبر 2009 لا يوجد تعليقات

Kaspersky تعلن عن استعمالها لتقنيات Nvidia لتطوير الحماية على منتجاتها

أعلنت شركة  Kaspersky المنتجة لمضادات الفيروسات التي تحمل اسمها ، أنها ستبدأ في استعمال  CUDA لتطوير أداء حلولها.

kaspersky-logo

حاليا ستقوم Kaspersky باستعمال CUDA  في حلول الحماية الموجهة لبعض الشركات فقط، لكنها لا تستبعد تعميم ذلك و استعمال قوة الـ GPGPU على كافة برامجها الموجهة للمستخدمين العاديين.

النتائج الأولية الخاصة بالتجارب على البطاقة الرسومية  NVidia Tesla S1070  أتت جد إيجابية حيث أن أداء هذه البطاقة الرسومية تجاوز 360 مرة أداة معالج  Core 2 Duo  ذو تردد 2,6 GHz.

قوة المعالجة هذه ستسمح بالقيام بالعديد من العمليات في آن واحد مما يجعل من تحليل الملفات و اكتشاف البرامج الخبيثة فيها أسرع مما كان عليه.

من قال أن البطاقات الرسومية لا تصلح إلى للألعاب فقط :) ؟

المصدر

اقرأ أيضا

NVIDIA Tesla S1070 1U Computing System – Scalable Many Core Supercomputing for Data Centers

وسوم: , , , ,

جهاز Droid ينضم هو أيضا إلى قائمة الأجهزة المعنية بالـ Jailbreaking

الكاتب djug | في Security | بتاريخ: 14 ديسمبر 2009 لا يوجد تعليقات

جهاز Droid ينضم هو أيضا إلى قائمة الأجهزة المعنية بالـ Jailbreaking

بعد الـ iPhone  و كسر الحماية التي يعاني منها  (Jailbreaking) ها هو Droid أيضا ينضم إليه، إذ استطاع Hacker يدعى Zinx Verituse  أن يقوم بكسر الحماية الموجودة على الجهاز مما يسمع له بتنصيب أي برامج يريد عليه.

غرض الـ Jailbreaking هذه المرة مختلف قليلا عن  ما هو الحال على الـ iPhone حيث أن هدف الـ Hacker كان فقط الحصول على صلاحيات إضافية بغية تنصيب برامج إضافية و استعمال بعض الخواص التي كانت معطلة كالـ Multitouch .

قام Zinx Verituse بنشر طريقة كسر الحماية للتمكن من تنصيب برامج إضافية على جهاز Droid ، لكن الطريقة المعروضة جد خطرة إذ أنها من الممكن أن تعرض الجهاز للتوقف التام ، و هو الأمر الذي لا يدخل ضمن صلاحيات الضمان المقدمة من طرف Motorola إذ أن كل تغيير في الـ firmware يحرم صاحبه من هذا الضمان.

المصدر

مضادات الفيروسات Antivirus المزيفة تحصد ما لا يقل عن 150 مليون دولار من ضحاياها على الانترنت

الكاتب djug | في Security | بتاريخ: 14 ديسمبر 2009 لا يوجد تعليقات

مضادات الفيروسات Antivirus المزيفة تحصد ما لا يقل عن 150 مليون دولار من ضحاياها على الانترنت

قام الـ Internet Crime Complaint Center  IC3 التابع للـ FBI بنشر تحذير على موقعه عن مضادات الفيروسات المزيفة التي زاد انتشارها مؤخرا.

SymFantivirus

تقوم مضادات الفيروسات المزيفة هذه بإظهار إعلانات مزعجة على شاشة المستخدم تخبره  بأن جهازه مصاب و تطلب منه مبلغا ماليا مقابل تحميل برنامج الـ Antivirus الذي يخلصه منه و الذي هو  أصلا عبارة عن برنامج ضار قد يسهل لصاحب البرنامج مهمة جمع المعلومات الحساسة الخاصة بالضحية على غرار أرقام بطاقات الائتمان و الكلمات السرية.

حسب الـ IC3  فإنه لهذه البرامج العديد من الضحايا الذين دفعوا مبالغ مالية مقابل برامج تقوم بسرقة بياناتهم الحساسة ، و تقدر هذه المبالغ المالية التي تم جمعها بهذه الطريقة بأكثر من 150 مليون دولار.

للحد من هذه الظاهر تطلب الـ IC3  من ضحايا هذه البرنامج بتبليغها عنها.

في نفس السياق تشير شركة Symentec  إلى أنها أحصت أكثر من 43 مليون محاولة تنصيب لهذه الـ Antivirus المزيفة خلال سنة 2009 فقط.

تجدر الإشارة إلى أن أصحاب هذه الـ Antivirus المزيفية يسعون لنشر برامجهم بكل الطرق ، إذ ظهر خلال شهر  سبتمبر الماضي على موقع جريدة The New York Times إعلان لـ Antivirus مزيف يوهم زائري الموقع بأن أجهزتهم مصابة و يدعوهم لشراء البرنامج،  و هو الإعلان الذي تم سحبه مباشرة بعد أن تم التأكد من حقيقته.

المصدر

وسوم: , ,

استغلال Facebook مجدداً من قبل دودة Koobface

الكاتب Xacker | في Security | بتاريخ: 11 ديسمبر 2009 لا يوجد تعليقات

يتم استهداف مستخدمي Facebook مجدداً من قبل إصدار جديد من دودة Koobface المسمى Koobface.GK والتي تحاول جعل المستخدمين يقومون بالتسجيل بـ Facebook بشكل يدوي لمساعدة الدودة على الانتشار.

يقوم المهاجمون بنشر روابط خبيثة على صفحات Facebook wall محرّضين المستخدمين لمشاهدة مقطع فيديو خاص بعيد الميلاد.

بتشغيل مقطع الفيديو ينتقل التحكم بالجهاز إلى المهاجمين، يقول Sean-Paul Correll أحد الباحثين في PandaLabs. بعدها يظهر للمستخدم نافذة تحذيرية خاصة بويندوز تطلب منه أن يقوم بكتابة الكلمات الظاهرة في أحجية CAPTCHA، خلال مدة 3 دقائق.

الفشل في إدخال الكلمات الخاصة بـ CAPTCHA خلال هذه المدة يؤدي إلى توقف الجهاز عن الاستجابة. إعادة التشغيل غير مفيدة في هذه الحالة حيث تعود هذه النافذة للظهور مرة أخرى والطريقة الوحيدة لإغلاقها هي من خلال حل أحجية CAPTCHA، في هذه الحالة يعود التحكم للمستخدم صاحب الجهاز بشكل طبيعي، لكنه يبقى تحت سيطرة المهاجمين.

ظهور هذه النافذة وإدخال الكلمات الخاصة بـ CAPTCHA ما هو في الواقع إلا الخطوة الأخيرة من عملية إنشاء حساب Facebook حيث تقوم الدودة بهذه الطريقة بتجنيد المستخدمين لإنشاء حسابات وهمية تحت سيطرتها وبدون معرفة من قبل المستخدم بما يحدث في الخفاء.

المصدر:

Facebook users unwittingly spread Koobface worm

وسوم: ,

Invision Power multiple vulnerabilities

الكاتب Xacker | في Security | بتاريخ: 11 ديسمبر 2009 تعليق واحد

قامت شركة Invision Power المنتجة لمنتديات IP.Board الشهيرة بطرح الإصدار 3.0.5 من نسخة IP.Board الذي يحمل في طيّاته ترقيعات أمنية لثغرتين، الأولى ثغرة SQL injection و Local File Include، الثانية ثغرة XSS قمت بإبلاغهم بها بعد (استمرار) وجودها في الإصدار الأخير 3.0 لمنتديات IP.Board (فهي موجودة في الإصدارات القديمة لكني لم أبلّغ عنها :P ).

ثغرة XSS تصيب العديد من منتجات الشركة، IP.Board / IP.Gallery / IP.Community Blog بإصداراتها المختلفة.

يمكن استغلال ثغرة XSS من خلال الملفات text-based والتي يمكن إرفاقها في المنتديات ضمن المواضيع والمشاركات.

الأمر الجيد، الاستغلال يعمل على إصدارات متصفح +5 Internet Explorer فقط، ولكي ينجح المخترق باستغلال الثغرة عليه أن يقنع مستخدماً ما بتصفح ملف txt مرفق.

سبب المشكلة، الـ MIME type المحدد لملفات txt هو application/x-dirview – بناء عليه يقوم متصفح IE بمعالجة محتويات الملفات إن كانت HTML/JavaScript بينما تقوم باقي المتصفحات بإظهار نافذة لتحميل الملف ولا تقوم بمعالجته ضمن المتصفح.

لتصحيح الخطأ يكفي استبدال الـ MIME type بـ text/plain، وحينها سيتم إظهار محتويات الملف كاملة بدون parsing.

فيما يتعلق بالإصدارات 3.0.0 حتى 3.0.4 فقد تم إدخال آلية جديدة تقوم بتفحص محتويات الملفات المرفقة، النصّية فقط غالباً، وتمنع إرفاق هذه الملفات في حال احتوت على HTML tags يبدو أنها محددة سابقاً، مثل: <body>, <script>, …
يمكن تجاوز هذه الآلية بأبسط صيغة ممكنة، فيما يلي PoC:

<span onmouseover="javascript:alert('XSS is active');
function fakeLoginPage(){...}">مرر المؤشر هنا</span>

يمكن كتابة توابع كاملة أو حتى استيرادها من ملفات خارجية وتنفيذ هجوم معقّد شكراً لـ XMLHttpRequest.

تم إرجاء الإعلان عن تفاصيل المشكلة حتى صدور ترقيع رسمي من الشركة وهو متوفر الآن للتحميل لعملائهم.

المصادر:

Invision Power Board ‘.txt’ File MIME-Type Cross Site Scripting Vulnerability

Invision Power Board Local File Include and SQL Injection Vulnerabilities

وسوم: , , , ,

Microsoft تصدر نشرة أمنية تحتوي على 3 ترقيعات خطيرة و 3 ترقيعات هامة

الكاتب djug | في Microsoft | بتاريخ: 10 ديسمبر 2009 لا يوجد تعليقات

Microsoft تصدر نشرة أمنية تحتوي على 3 ترقيعات خطيرة و 3  ترقيعات هامة

قامت Microsoft كعادتها بإصدار نشرة أمنية  تحتوي على3 ترقيعات خطيرة و 3  ترقيعات هامة.

الترقيعات الثلاثة الخطيرة هي MS09-071,MS09-074,MS09-072 تخص ثغرات في كل من أنظمة Windows برنامج Microsoft Office Project و المتصفح Internet Explorer  و التي من الممكن استعمالها لتنفيذ كود  عن بعد.

أما الترقيعات الأمنية الهامة فهي MS09-06،MS09-070 و MS09-073 و التي تخص ثغرات في خدمتي LSASS (Local Security Authority Subsystem Service)  و ADFS (Active Directory Federation Services)  و حزمة Office  و التي من الممكن استعمالها لتنفيذ كود عن بعد أو شن هجمة من نوع DoS .

تجدر الإشارة إلى أن الأجهزة التي تفعل خاصية التحديث الأوتوماتيكي  ستثبت هذه الترقيعات آليا من دون أدنى تدخل من المستخدم

المصدر

وسوم: , , ,

اكتشاف ثغرة أمنية خطيرة في كل أجهزة الـ iphone بدون استثناء

الكاتب djug | في Apple | بتاريخ: 08 ديسمبر 2009 تعليق واحد

اكتشاف ثغرة أمنية خطيرة في كل أجهزة الـ iphone بدون استثناء

أعلن الباحث في الأمن Nicolas Seriot خلال مؤتمر عقد في العاصمة السويسرية جنيف عن اكتشافه لثغرة أمنية خطيرة تخص كل أجهزة الـ iPhones بما في ذلك الأجهزة التي لا تزال حمايتها غير مكسورة.

iphone-broken

ظهرت في الأسابيع الأخيرة عدة فيروسات تخص أجهزة الـ iPhone لكن كانت كلها تعتمد على ثغرة موجودة فقط على الأجهزة مكسورة الحماية.

لكن الباحث Nicolas Seriot أكد أن الثغرة التي اكتشفها تخص جميع أجهزة الـ iPhone  حتى تلك الأجهزة التي لا تزال متمتعة بحمايتها، إذ أن مصدر الثغرة  على حسبه يكمن في خطأ تصميمي (يخص نقص الحماية) لبعض أقسام نظام تشغيل iPhone . مما يسمح لأي برنامج ضار يستغل هذه الثغرة بالوصول إلى كل المعلومات المهمة على الجهاز بداية بحسابات البريد الالكتروني   مرورا بتاريخ البحث على Safari و Youtube وصولا إلى ملفات Log الخاصة باتصالات Wi-fi دون أن ننسى إمكانية الوصول إلى كل ما تم طبعه بلوحة المفاتيح، باختصار يمكن الوصول إلى كل شيء.

من ناحيتها رفضت Apple الرد حاليا على خبر اكتشاف هذه الثغرة

المصدر

وسوم: ,

ثغرة zero-day في نظام FreeBSD

الكاتب Xacker | في Security | بتاريخ: 04 ديسمبر 2009 لا يوجد تعليقات

قام فريق الأمن المسؤول عن نظام FreeBSD بتعجيل إصدار ترقيع مؤقت للثغرة المكتشفة في نظام FreeBSD والتي تسمح لمستخدم محلّي local user بالحصول على صلاحيات مدير root وتعرض الأنظمة لهجمات Code Execution.

قام مكتشف الثغرة والذي قام بطرحها للعلن، المخترق المعروف باسم Kingcope بطرح بعض التوضيح عنها أقتبس منه:

The bug resides in the Run-Time Link-Editor (rtld). Normally rtld does not allow dangerous environment variables like LD_PRELOAD to be set when executing setugid binaries like “ping” or “su”. With a rather simple technique rtld can be tricked into accepting LD variables even on setugid binaries.

Colin Percival، مسؤول أمني لدى FreeBSD أكد وجود هذه الثغرة التي تسمح لمستخدم محلي بتنفيذ أوامر بصلاحيات مدير. تصيب هذه الثغرة نظام FreeBSD بإصداراته 7.1 و 8.0.

يقول Percival بأن هذا الترقيع الذي تم طرحه قد لا يكون النهائي لحل المشكلة، وربما يتسبب بنتائج غير معروفة باعتبار أنه تم التعجيل في طرحه لمحاولة الحد من انتشارها بشكل سريع في البداية تحضيراً لطرح الترقيع النهائي لها بعد إجراء الاختبارات اللازمة، وعليه ينبه بأن استخدام هذا الترقيع سيكون على مسؤولية مدراء الأنظمة هذه.

يتوفر الترقيع الأولي لهذه الثغرة، هنـــا

المصدر:

http://docs.freebsd.org/cgi/getmsg.cgi?fetch=0+0+current/freebsd-announce

وسوم: , , ,

برمجية خبيثة جديدة من نوع ransomware

الكاتب Xacker | في Security | بتاريخ: 04 ديسمبر 2009 2 تعليق

عثر خبراء الأمن على برمجية خبيثة جديدة من نوع ransomware تقوم بمنع وصول الأجهزة المصابة إلى الانترنت حتى يتم دفع “فدية” من خلال الرسائل النصية SMS.

تأتي البرمجية الخبيثة مدمجة مع برنامج اسمه uFast Download Manager، وبمجرد أن تتم إصابة الجهاز تظهر رسالة باللغة الروسية (انظر الصورة) تطالب بفدية بحجة أن المبلغ مخصص لتفعيل نسخة برنامج uFast Download Manager.

فيما يلي ترجمة للرسالة باللغة الانكليزية:

Internet access is blocked due to violation of the
license agreement schedules of uFast Download Manager
You must activate your copy

Get a registration code by sending an SMS with the following
code fw0004199 to number 7122

In response you will receive an activation message.

Enter the activation message received from the SMS response ________

أطلق خبراء CA الاسم Win32/RansomSMS.AH على هذه البرمجية.

إقرأ المزيد

وسوم: , ,

مدونات WordPress تتعرض لهجمات BF موزّعة

الكاتب Xacker | في Security | بتاريخ: 03 ديسمبر 2009 تعليق واحد

تم الاستحواذ على سكربت PHP لدى مستخدم في سيرفر VPS يستخدمه للقيام بمحاولات كسر كلمات سر مدراء مدونات WordPress من خلال هجمات Brute-Force موزّعة مخالفاً بهذا TOS السيرفر، كما يظهر في الصورة التالية:

يستخدم التابع wp_brute_attempt() ثلاث بارامترات، $ch الذي يأخذ كتلة cURL، والبارامترين الآخرين يحددان الموقع المراد مهاجمته وكلمة السر التي سيتم تجريبها. إن نجح السكربت في محاولته لكسر كلمة السر، فالصفحة التي ستظهر ستحوي على كلمة “Log Out” وهي الطريقة التي يستخدمها السكربت لتحديد النجاح من الفشل، وعندها يتم إعادة القيمة true.

المثير للاهتمام في هذا السكربت أنه يسمح بهجوم موزّع distributed attack. المعلومات يتم حفظها في قاعدة بيانات mySQL والتي يتصل بها السكربت بشكل مباشر، مما يسمح للمهاجم بتشغيل نسخ متعددة من السكربت ليشكل هجمات موزعة. كل سكربت يأخذ 200 عنوان مدونة ويتم تحديدهم باسم السكربت المسؤول عن معالجتهم، يتم هذا من خلال الوسيط $colo

بعدها يقوم السكربت بأخذ كل كلمة سر موجودة ضمن ملف لكلمات السر ويقوم بتجريبها على كل موقع. حتى أنه بالإمكان إيقافه ومن ثم إعادة تشغيله في وقت لاحق وسيقوم بمتابعة عمله من حيث انتهى :)

ننصح انطلاقاً من هذه التدوينة جميع من يملك مدونة WP أن يضمن أن يكون الوصول إلى صفحة المدير محدود قدر الإمكان، ابتداء من استخدام كلمة سر قوية وانتهاء بإنشاء مستخدمين بسماحيات معينة للكتابة فيها (حتى لصاحب المدونة نفسه) وترك حساب المدير فقط للإدارة بحيث يبقى اسم المستخدم مجهولاً لمن يحاول مهاجمة المدونة.

هناك بعض النصائح الأخرى التي مررت بها خلال البحث أكثر في الموضوع، أقتبس منها ما أشعر بأنه ضروري وملح:

  • استخدام إضافة Login LockDown والتي تقوم بتسجيل IP من قام بتجربة محاولة فاشلة، و تاريخ ووقت محاولة الدخول، ومن ثم بعد بضع محاولات فاشلة (3 محاولات فاشلة خلال 5 دقائق) تقوم بشكل تلقائي بمنع مجال هذا الـ IP من تسجيل الدخول (الزمن الافتراضي 1 ساعة ويمكن التعديل عليه من خيارات لوحة التحكم الخاصة بها)، ويمكن لمدير المدونة أن يقوم بتحرير القفل على هذا المجال بشكل يدوي متى أرادو من لوحة التحكم. يمكن الحصول عليها من الرابط، هنــــــا
  • مجلد wp-content يحوي على مجلد plug-ins والذي بمحاولة الوصول إليه يعرض قائمة بالـ plug-ins المستخدمة في الموقع، هذا الأمر قد يعطي المهاجم فرصة الحصول على معلومات أكبر عن ما يتم استخدامه في موقعك، ينصح بوضع صفحة HTML فارغة في هذا المجلد لعرضها بدلاً من السماح بعرض صفحة WP الافتراضية. يمكنك أيضاً استخدام ملف .htaccess
  • بعض النصائح الأخرى.

هذا الأمر لا يتوقف فقط على WP، فهجمات BF على مثل هذه الخدمات كانت في الساحة منذ بعض الوقت (على سبيل المثال الهجمات على خدمات SSH والتي تتلقى جهة SANS يومياً بلاغات عنها).

المصدر:

http://isc.sans.org/diary.html?storyid=7663

وسوم: , , , ,
« First...1020«2627282930»