Aktuality - Hacking

Zpět do 'Aktuality'

Google Docs byly zneužity ke skrytí nebezpečného provozu

26.6.2013 | Batou

Výzkumníci firmy FireEye zaregistrovali vlnu malware, používající Google Docs k přesměrování obětí a vyhnutí se mechanismům detekující tzv. callback (snahu malware stáhnout si své další kolegy).

Rubrika: Hacking | Comments: 0 | Viewed: 2772x | Rate: 0/0


Web Toyoty byl hacknut

23.6.2013 | Batou

Informoval o tom web Japan Daily Press ([link]). Stalo se tak na počátku června. Údajně neunikly žádné soukromé údaje klientů a útok se týkal pouze japonsky lokalizované verze webu. Ti, kdo inkriminovaný web navštívili ve dnech mezi 5. a 14. červnem, byli přesměrovány na stránku s malwarem, který se jim uhnízdil v počítačích.

Rubrika: Hacking | Comments: 0 | Viewed: 3556x | Rate: 0/0

Aplikace Twitteru Vine byla hacknuta 16letým webovým vývojářem

8.6.2013 | Batou

Tento program od vývojářů Twitteru slouží ke sdílení krátkých videí. Maximální délka vkládaného videa je od počátku limitována 6 sekundami. Ke každému nahranému můžete připojit komentář, ostatní uživatelé mohou váš příspěvek s videem označovat jako oblíbený a také ho komentovat. Aplikace existuje pro různé platformy, té Androidí se podíval na zoubek mladý student jménem Will Smidlein.

Tomu se podařilo uploadnout 3,5 min dlouhé video jeho oblíbené písně Never Gonna Give You Up. Na svém Twittru to komentoval slovy „Myslím, že jsem zlomil Vine.“ Dále se omlouvá inženýrům z Twitteru/Vinu s tím, že se to pokoušel održet v tichosti, ale „internet nikdy nezapomíná.“

A jak že se mu to povedlo? Dekompiloval kód programu a podařilo se mu zjistit, jak komunikuje se serverem. Následně upravil část starající se o ověřování 6s limitu.

Po skončení školního roku se Smidlein chystá pracovat pro firmu Read it Later sídlící v San Franciscu. Jejich zajímavá aplikace Pocket dovoluje ukládat online obsah pro pozdější přístup, když jste offline. Firma ho za tento počin pochválila.

Rubrika: Hacking | Comments: 0 | Viewed: 2144x | Rate: 0/0

Hacker s přezdívkou Slacker provedl defacement Evropské policejní akademie

5.6.2013 | Batou

Hacker zvaný Slacker ([link]) kontaktoval autory webu cyberwarsnews.info, aby se „pochlubil“ průlomem do webu Evropské policejní akademie (CEPOL - [link]). Ten je v současné době nedostupný. Defacementu se dočkal již na konci května.

CEPOL, fungující od roku 2001, je partnerská síť spojující vnitrostátní vzdělávací zařízení pro vyšší policejní úředníky. Jejím cílem je vytvořit společný přístup k problematice předcházení trestné činnosti a boji proti trestné činnosti prostřednictvím školení, přípravy harmonizovaných programů a šíření osvědčených postupů.

Na jejich stránky byl do administrátorské sekce vložen soubor (konkrétně na adrese [link]). Ještě 3. června byl web stále změněn, dnes již neni k vidění ani na mirroru ([link]).

Dále tento zlobivý hacker (či hackeři) umístil na pastebin soubor se seznamem databází poškozené stránky a také 6 MB velký SQL soubor na MediaFire. V tom je např. databáze mdl_user, obsahující informace o 14 000 uživatelských účtech, včetně administrátorských - jména, emaily a některá šifrovaná hesla.

Rubrika: Hacking | Comments: 0 | Viewed: 2674x | Rate: 0/0

Drupal zresetoval hesla všech uživatelů, věděl proč

2.6.2013 | Batou

Drupal.org, domovská stránka jedné z nejpopulárnějších platforem systémů pro správu obsahu (CMS), vydala varování pro členy komunity a resetovala všechna hesla k účtům. K tomuto kroku bylo přistoupeno poté, co jejich tým objevil na serveru nebezpečný soubor.

Jednalo se o server association.drupal.org, na který byl útočníky umístěn infikovaný soubor. Bylo zneužito aplikace třetí strany, Drupal odmítá jakékoliv bezpečnostní problémy se svým vlastním systémem. Nebezpečný malware mohl získat důvěrná data uživatelů ze serverů drupal.org a groups.drupal.org. E-maily, uživatelská jména, informace o lokaci uživatele a hashe hesel. Na to všechno si útočníci mohli přijít, proto Drupal bez ptaní rovnou zresetoval všechna hesla a tím uživatele donutil změnit si je při dalším přihlášení. Informace o kreditních kartách prý Drupal neukládal.

Více infa v odkazovaném článku či přímo na stránkách společnosti ([link]).

Rubrika: Hacking | Comments: 1 | Viewed: 2397x | Rate: 0/0

17 letý student našel zranitelnost na PayPalu, ten odmítl vyplatit odměnu

31.5.2013 | Batou

Robert Kugler, sedmnáctiletý německý student našel XSS na stránkách PayPalu. Bugem chtěl přispět do jejich tzv. Bug Bounty Program ([link]). Odpověď PayPalu ho však překvapila - chybu již někdo nalezl a navíc se prý díky nízkému věku nemůže do programu zapojit. Vypadá to, že si chtějí znepřátelit bezpečnostní talent. To se jim opravdu nemusí vyplatit a vypadá to, že se jim to opravdu povedlo. Kugler totiž veřejně odhalil onen bug a podle jeho slov to „není nejlepší nápad šetřit na odměnách, když se snažíte o motivaci bezpečnostních expertů.“

Konkrétněji se zranitelnost týkala vyhledávacího políčka a jak je pro XSS typické, zneužití bylo možné pomocí JavaScriptu. Jeden z důvodů, proč nechtějí vyplatit odměnu, se zdá být zvláštní - nikde na jejich webu o žádné věkové hranici neinformují. U ostatních firem je naopak celkem běžné, že takto mladí hackeři dostávájí zaplaceno - Mozilla dokonce vyplatila 3 000 dolarů 12 letému chlapci za nalezení chyby v paměti běžícího Firefoxu. ([link]). Myslím, že to poslední co by měly firmy chtít je odrazovat mladé talenty od slušného jednání a touhy po vědění.

Více případů mladých hackerů a informací v odkazovaném článku. Kompletní informace o této zranitelnosti zde [link] .

Rubrika: Hacking | Comments: 0 | Viewed: 2166x | Rate: 0/0

Facebook obsahuje chybu umožňující publikovat na zeď odkaz tvářící se jako důvěryhodná aplikace

26.5.2013 | Batou

Zneužití se týká metody stream.publish, která byla zneužitelná již minulý rok. Letos FB změnil její parametry a upravil její implementaci:

- link je odkaz, na který je uživatel přesměrován po kliku na obrázek „aplikace“
- picture určuje obrázek z libovolného internetového umístění
- caption určuje web, odkud původně odkaz pochází - lze použít cokoliv důvěryhodně vypadajícího
- name určuje nadpis příspěvku

V době psaní této aktuality je vše plně funkční, pokud do url vyplníte tyto parametry včetně nějakého ID, po kliku na obrázek či nadpis jste přesměrováni přesně tam kam potřebujete. Pro příklad sledujte bílého králíčka.

Rubrika: Hacking | Comments: 0 | Viewed: 2367x | Rate: 0/0

Inženýr z Googlu uveřejnil zero-day zranitelnost ve Windows

24.5.2013 | Batou

Před více než dvěma lety objevil Tavis Ormandy zranitelnost ([link]), která dovolovala obcházet UAC (mechanizmus, poprvé obsažený ve WS Vista, zvyšující bezpečnost tím, že pouze důvěryhodné aplikace dostanou na dotaz systému vyšší oprávnění). Také prohlásil, že Microsoft jedná velmi nepřátelsky s výzkumníky mimo něj.

Před týdnem však zveřejnil kompletní rozuzlení toho, jak chyba funguje, včetně ukázek kritického kódu - [link] . Tato zranitelnost může být využita k pádu systému či ke zvýšení přístupových práv. Nejedná se však o kritickou zranitelnost nejhrubšího zrna, není např. využitelná ke vzdálené exploitaci.

Ke svému plnému odhalení řekl: „Nemám čas pracovat na hloupém Microsoftím kódu, takže hledám nápady jak opravit finální obtíže pro exploitaci.“ Chybu testoval na Windows 7, předpokládá že bude i ve W8. Také upozorňuje, že tento kód pochází z doby před Windows NT (tedy více jak 20 let).

Na tomto problému prý pracoval několik měsíců, poté se mu údajně podařilo vytvořit funkční exploit ([link]) povolující přístup ke kterékoliv verzi Windows. Podle svých slov tento kód zpřístupní studentům z prestižních vysokých škol, kteří o něj požádají.

Microsoft na celou věc reagoval: „Jsme si vědomi těchto tvrzení a potenciálních dopadů na Microsoft Windows, záležitost vyšetřujeme.“ Co dodat? Snad jen - klobouk dolů!

Rubrika: Hacking | Comments: 0 | Viewed: 2342x | Rate: 0/0

Hacker Reckz0r našel zranitelnost na Twitteru

23.5.2013 | Batou

Oznámil to na Pastebin a jak řekl, nemá s tímto odhalením žádné zlé úmysly. Tento hacker není nikdo neznámý, nedávno např. prolomil web CNN ([link]).

Konkrétně se jednalo o zranitelnost SQL injection na stránkách podpory Twitteru. Oznámil to na svém Twitteru ([link]), výsledek ke shlédnutí zde [link] .

Jak píše na Pastebin: „Lokalizoval jsem POST SQL zranitelnost na stránkách support.twitter.com v jejich formuláři api_general, který používá jako parametr referrer, který je zranitelný. Tím můžeme Twitter injektovat a potenciálně z něj vytáhnout důvěrná data.“ Jak dále píše: „Zdá se, že tímto typem útoků jsou zranitelné další velké weby, včetně m.facebook.com, které tímto typem útoků dokonce „exploitovali“ nějací argentinští hackeři.“ Kompletní záznam k nalezení zde - [link] .

Rubrika: Hacking | Comments: 0 | Viewed: 2646x | Rate: 0/0

22 milionů uživatelských ID může být v rukou hackerů po útoku na Yahoo Japan

21.5.2013 | Batou

Jednička v japonském vyhledávání a v návštěvnosti vůbec, Yahoo Japan, varovala 200 milionů japonských uživatelů a doporučila změnu hesla po tom, co hackeři získali přístup k souborům, které neměly spatřit světlo světa. Japonská pobočka Yahoo tvrdí, že zaznamenala útok na systémy v pátek večer. Vlastníky společnosti jsou Yahoo a japonský operátor SoftBank.

Zajímavou skutečností je, že ačkoliv Yahoo tvrdí, že napadené servery neobsahovaly hesla či jiná soukromá data (např. odpovědi na bezpečnostní otázky), přesto by si uživatelé měli hesla zresetovat. Více o tom v jejich prohlášení - [link] :-). Na svých stránkách také umístili tool umožnující zkontrolovat, zda je konkrétní ID v určitém riziku či ne.

Pokud by unikly kromě přihlašovacího jména třeba celé e-maily, jistě si umíte představit následnou smršť spamů a pokusů o phishing. I pokud by se jednalo o IDčka, jistě by se neměla dostat do nepravých rukou.

Více informací naleznete třeba na webu informationweek.com ([link]).

Rubrika: Hacking | Comments: 0 | Viewed: 2106x | Rate: 0/0


Stránky: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32