KUKUs laup kell 17-18, kordus esmasp 20-21

internetis alati kui podcast.kolhoos.ee pikali ei ole

ärev mõttelaad paanika osakonnas

Viimastel päevadel on hakanud meediasse sattuma arvamusi küberrünnete kordumise tõenäosusest aprilli lõpus - näiteks eilses EPLonline nupus jõuab Dmitri Kuznetsov riskihinnanguni 50:50, aga seda tuleks vist lugeda kui “arvamused lähevad lahku”. Kogu ülejäänud info keerleb selle ümber, et olevat mingi kuulujutt justnagu pandaks kokku botnetti jne. Vaatame siis kus see kuulujutt levib:

Kõik need keerlevad Dmitri Kuznetsovi ümber - cybersecurity.ee juures pole autorit mainitud, aga see tundub olema tema projekt, samuti sealt edasi viidatud saidid nagu hermitage.ee (ja mõistagu PIT Consulting kah). Infosecurity.ee peal kajastab teemat Dmitri, Arvutikaitse.ee viitab Dmitrile jne.

Ehk meil on üks tubli infoturbe müügitegelane, kes aktiivselt levitab “kuulujuttu” mis on tõusnud juba 50:50 riskianalüüsiks. Rääkisin Dimaga kes oli ka nii lahke ja viis mind kokku oma hinnangu allikaga - ja ma ei saanud isegi ühtegi vihjet mis viitaks sellele, et kellelgi on kusagil kunagi olnud mingisugunegi seos Mayday ja potentsiaalse rünnaku vahel.

Mul hakkas kohe kergem. Kartsin nimelt, et vahest tegin Dimale liiga kui EPLile tsitaati andes “ärevat mõttelaadi” mainisin - aga ilmneb, et mul oli õigus. Ja peavoolumeediale soovitus, et kui kolmest küsitletust kaks annavad mõistu-vastuseid jõulukuuskedest ja küünaldest, siis võiks teha loo pigem sellest miks see kolmas ekspert oma uudisega nii järsku välja ujus. Uudis saab vingem ja sellest on lugejatele ka reaalset kasu.

aprill 10, 2008 | Filed Under cybercrime, turvalisus | 8 Comments 

kuulu jutud ja küberkrimi

Schneier’i Hacking Power Networks sobib muideks kenasti meie laupse “viirus tühjendas hansapanga kontod” saatega. Nagu ülteb Bruce:

There’s nothing like an vague unsubstantiated rumor to forestall reasoned discussion.

Kas keegi palun aitaks mul leida Postimehe loo Viiruse riisutud pangaklientide arv võib ulatuda sadadesse pealkirjaväite päritolu? Ajakirjanikult küsimise nipp proovitud, ei andnud tulemust (allikakaitse jne). Hansapanga väitel on “detsembri keskpaigast” alates “nende poole pöördunud” kümme klienti. Kuhu ja mis aja jooksul pöördusid ülejäänud 490?

jaanuar 22, 2008 | Filed Under cybercrime | 3 Comments 

uutest viirustest ja muust kah

Neljapäevane pressiteade uut tüüpi viirustest (”troojalased nimedega Limbo ning Sinowal sisenevad kaitsmata arvutitesse kasutaja teadmata ja lisavad sinna koodi, mis annab kontrolli pangakonto üle”) ning sellele järgnenud meediakajastus nagu näiteks Postimehe Uus viirus tühjendas Hansapanga kontod ja Viiruse riisutud pangaklientide arv võib ulatuda sadadesse (oops: Hansapank: arvutiviiruse tõttu kaotas raha kümme klienti) andsid põhjust jällekordselt võtta kokku tundmatuks jääda soovivad andmeturbespetsialistid - sedapuhku Hillar Aarelaid, Renee Trisberg ja Anto Veldre - ning veidi toimuva taustast rääkida. Tänud ka tuntuks saada soovivatele Linnamäele ja Karnaule, me saime tänu nende utoopiate debunkeerimisele huvitava saate.

Sest juhul, kui täiesti uut tüüpi viirused ründavad spetsiaalselt Hansapanka ning suudavad kontodelt kasutajatele märkamatult raha kõrvaldada (kodanikel soovitatakse lausa netipanga-seansi lõpus kontojääki kontrollida) muutes maksekorralduse andmeid… siis on uudisekünnis tõega ületatud ja me võime muuhulgas IDkaarti murtuks lugeda.

AGA. Saate lühidaks kokkuvõtteks võib öelda, et tegu on üsna tavaliste troojalastega (õigem oleks vist öelda ‘nende loomise töövahenditega’) mis juba mõni aasta arenduses olnud ja evolutsiooni käigus mõistagi ka vingemaks muutunud. Teadaolevad ründed on kah üsna harilikud, tõsi paroolide kogumisele on lisandunud interaktiivsus ehk midagi sellelaadset mida ma Pealtnägijale demosin (kasutaja sisestab koodi ning samal ajal logib keegi kusagil mujal sellega sisse). PINkalkulaator on rünnatav (Hansa on aga kohe-kohe muutmas selle kasutusloogikat, st küsides PINi ka makse tegemisel), IDkaart täna veel mitte.

Ja lisaks… Komistame me otsa ka avatud/suletud WiFi teemale: Neeme Korv: miks te ukse lahti jätate? ja Bruce Schneier: My Open Wireless Network, räägime bluetooth-kõrvakomplektide ebaturvalisusest… ja iga külaline räägib oma versiooni sellest, mis võiks tegelikult olla nn pangaviiruste (ja küberrünnete) taga.

Netiversioon on 58 minutit ehk pikem kui eetris olnud saade.

Lae alla ja kuula: [ MP3 26.5MB ] [ OGG 55.0MB ]

jaanuar 21, 2008 | Filed Under cybercrime, saade, turvalisus | 6 Comments 

pealtnägija ja küberkriminaalia

Nagu Pealtnägija eelinfost lugeda toimub sedapuhku mitu eksperimenti - tabatakse ühed võõra krediitkaardinumbriga kaupa tellinud noored ning yours truly esineb mõningate kommentaaridega ja proovib toimuvat illustreerida ühe rünnakuga iseenda kui netipanga kasutaja vastu.

Täpsemad detailid pärast saadet, seni võib leida taustalugemist laupse Tehnokrati postitusest (ning saadet võib muidugi kah kuulata, sisu paljuski samasuunaline): arvutikaitse ja kuritarkvara (osa saate juurde puutuvaid kommentaare on varasema kolimis-postituse juures).

EDIT2: Postimehes pikem lugu kah: Netis pakutav varastatud info ahvatleb noori kuritegudele

EDIT: nüüd on vist kohane lisada paar sõna tehtud eksprimendi kohta. Nimelt lubasin Rasmusele teemat kommenteerida ja mõtlesin, et peaks nagu tegema midagi peale loba… ehk oleks vaja mingit phishingut, keyloggerit, kuhugi sissemurdmist… Probleemile on kaks lahendust: otsida Google’ist või küsida Tõnu Samuelilt. Paadunud Google’i-fännina küsisin mõistagi kõigepealt Samuelilt mida tema demoks pruugib:

Tõnu Samuel @ Räpina 1/2/08 12:13 PM
ma rohkem rahvale brauseri auke näidanud
brauserist saab clipboardi varastada jms
see ehmatab neid tavaliselt rohkem
Peeter Marvet 1/2/08 12:14 PM
millega sa seda demod, miski veebisait?
Tõnu Samuel @ Räpina 1/2/08 12:14 PM
beef
mul tegelt mitu asja tehtud aga otsi beef xss

Tõesti, bindshell.net/tools/beef sobib demoks kenasti: veebirakendus mis lubab sobilikule lehele javascripti istutada ning siis seda lehte külastavate kodanike ehk zombide tegevust jälgida ja võimalust mööda ka juhtida. Pikema jutu asemel vaadatagu autorite ekraaniviisorit.

Aga kuna ma ei viitsinud clipboardi varastamiseks vajalikku IEd installima hakata, siis jäi silma võimalus näha mida kasutaja tipib. Seega phish, vabalt netis saada olev demo-sploit ja miski sihtmärk… Milleks olgu tähestiku järjekorras esimene pank (mille PIN-kalkulaator mul juhtumisi olemas on).

Firefox’is hanzaneti esilehele Save-as, veidi mudimist Notepad’is (kuna kõik ei salvestunud hästi ning tundus hea mõte lisada teavitus eksperimendist… ning mõistagi väike skript sploidi tarbeks) ja tulemus kuhugi välja. Jah, teles vilksanud pencillin.net on minu domeen, asub makstud hostingus ning neil on isegi mu IDkaarti skänn olemas (kuna nad muidu ei lubanud SSH ligipääsu). Ei, sealt pole enam mõtet BeEF’i otsida :-)

kergelt muudetud netipank

Iseenesest pole see teab mis hull häkk või turvaauk, st otseloomulikult suudab lehel X olev javascript andmeid kuhugi serverisse saata (mh AJAX põhineb sellel), aga sellegipoolest huvitav näha kuidas ühes arvutis tipitud numbrid teises nähtavale ilmuvad. Tegin proovi PIN-kalkulaatoriga ja asi toimis nigu naksti (ainsa probleemina ei edastanud BeEF kasutajatunnuse alguses olevat nulli, aga see on tõenäoliselt kergelt paigatav). Arenduse käigus võiks muidugi kasutajatunnuse ja parooli kenasti märgendatuna edastada ning teisel pool võiks olla skript, mis nendega kohe ka sisse logida üritab…

Ainult et päev pärast eksperimenti - ja enne kui ma neid inffida jõudsin - helistas JP Hansapangast ja teatas, et ta kolleegid olevat avastanud mingi ajakirjandusliku eksperimendi ning ta tahaks (a) teada mis see (b) et see saaks ruttu maha võetud. Ma ei hakka igaks juhuks uurima mis minu tegevuses täpselt neile silma hakkas (vahest mõni lehe salvestamise käigus kaasa tulnud javascript helistas koju?), aga väidetavasti olevat selliste asjade ennetähtaegne avastamine pigem reegel kui erand. Rspct!

Moraal? Kuigi Swen (kelle seisukohtadega ma üldjoontes nõustun) on laupset saadet / postitust kommenteerides pidanud vajalikuks rõhutada IDkaardi rünnatavust… siis ma väidan, et kui kaardi-ja-PINide-loovutamine kõrvale jätta ei piisa selle saavutamiseks minusuguse keskmise kasutaja küsimusest Tõnule (või Swenile) ja 15-minutilisest häkist.

jaanuar 9, 2008 | Filed Under cybercrime, meistjameile | 5 Comments 

  • Viimne veerg

    Mina olen Peeter Marvet (pets@tehnokratt.net) ja see on minu üldotstarbeline ajaveeb. Muud minuga seotud veebilehed:
    Marveti prepressikoolitused
    Prepressi-ajaveeb
    altex marketingi ajaveeb
    eesti.ee/TOM arendus



    Olen ma sidusreziimis või ei?
  • Creative Commons License
    www.flickr.com
    This is a Flickr badge showing public photos and videos from petskratt. Make your own badge here.
    ISSN 1406-8761
    Tehnokratt ISSN barcode

    thanksdave1: My thanks to Dave Winer for his visionary role in the development of weblogs, RSS, podcasting, SOAP, XML-RPC, OPML, and outliners.

    Verified Member of the AttentionTrust

    XML & arhiivindus

    Mis see on? 
    Uus audioarhiiv (vana)
    podcast.kolhoos.ee
    tv.tehnokratt.net

    Muud tarvilikku

    oldversion.com
    whatismyip.com
    tomshardware.com
    dnsstuff.com
    bootdisk.com

    Locations of visitors to this page