Aktualności

Niedawno ogłosiliśmy konkurs HackMe w ramach ECSM. Najszybciej odpowiedziały następujące osoby:

1. Mateusz Rek
2. albercik
3. Michał Celiński-Mysław
4. Piotr Kaźmierczak (opis jego rozwiązania w formacie PDF)
5. Łukasz Odzioba

Gratulujemy, niedługo powinniście otrzymać książki i gadżety! Poniżej znajduje się rozwiązanie tego zadania. O ile mogą istnieć inne, niekiedy nawet łatwiejsze, sposoby na znalezienie odpowiedzi na postawione pytania, o tyle postanowiliśmy zaprezentować rozwiązanie, które korzysta tylko z darmowego i ogólnie dostępnego oprogramowania.

Czytaj więcej

Mamy już zwycięzców konkursu SECURE2014-CTF. Najszybsza osoba podesłała komplet flag w niecałe 3 godziny! Konkurs cieszył się dużym zainteresowaniem. Serwer CTF obsłużył ponad 200 tysięcy zapytań (w tym 1200 prób ataku na biedny index.php :P). Zadania będą dostępne on-line jeszcze przez pewien czas (do końca miesiąca) pod adresem http://ctf.secure.edu.pl/.

Poniżej lista zwycięzców. Gratulujemy!

Czytaj więcej

Zapraszamy do udziału w SECURE-2014/CTF!

Do wygrania wejściówka na konferencję SECURE 2014 i wspaniałe zestawy gadżetów!

O tym “o co chodzi w tymi flagami” można przeczytać na: ctftime.org lub Prezentacji DragonSector na Confidence.

Czytaj więcej

Październik został wybrany przez Komisję Europejską oraz ENISA jako miesiąc poświęcony bezpieczeństwu teleinformatycznemu. Trzeci tydzień jest przeznaczony głównie dla studentów i służy przybliżeniu aspektów związanych z bezpieczeństwem aplikacji. W ramach tej akcji mamy do rozdania dwie książki: „Practical Reverse Engineering” oraz „Reversing: Secrets of Reverse Engineering”. Książkę, wraz z gadżetami, otrzyma 5 pierwszych osób, które prawidłowo odpowiedzą na postanowione poniżej dwa pytania. Pierwsze 3 osoby otrzymają po egzemplarzu książki „Practical Reverse Engineering”, a następne dwie otrzymają po egzemplarzu „Reversing: Secrets of Reverse Engineering”. Zapraszamy do udziału w zabawie!
Czytaj więcej

Wczoraj ogłoszono nową podatność: CVE-2014-6271. Podatność ta dotyczy powłok bash, sh, zsh i podobnych oraz pozwala na zdalne wykonanie kodu przy pewnych założeniach, np. przez moduł CGI do serwera Apache. Pomimo, że istnieje poprawka bezpieczeństwa, która rozwiązuje ten błąd, nie jest ona kompletna. Poniżej tłumaczymy na czym polega luka, jak sprawdzić czy jesteśmy podatni i co zrobić, gdy okaże się, że tak jest.
Czytaj więcej

W ostatnich tygodniach otrzymywaliśmy sygnały od użytkowników o nowym rodzaju złośliwego oprogramowania, podobnym w działaniu do opisywanego przez nas wcześniej VBKlip. Tym razem jednak opisy były co najmniej nieprawdopodobne. Użytkownicy pisali do nas, że próbowali skopiować numer rachunku do strony z przelewem, ale numer im się zmieniał. Wtedy pomyśleli, że padli ofiarą VBKlip, więc jako tymczasowe rozwiązanie postanowili przepisać numer rachunku. Po przepisaniu jednak numer się zmienił, jak napisał jeden z użytkowników, „na ich oczach”. Brzmiało to podobnie do słynnej grafiki z filmu Matrix, gdzie kolejne cyfry, przelatują przed oczami widzów. Dzięki uprzejmości jednego ze zgłaszających udało nam się uzyskać próbkę tego złośliwego oprogramowania, które nazwaliśmy Banatrix, i zobaczyć na własne oczy jak zmieniają się cyfry wpisywanych numerów rachunków.
Czytaj więcej

W ostatnim czasie w Polsce zaczęły pojawiać się ataki na użytkowników systemu Android. Wiele polskich i zagranicznych serwisów donosiło o ataku za pomocą wiadomości e-mail rzekomo pochodzącej od firmy antywirusowej Kaspersky. Poniżej przedstawiamy malware używany w tym ataku. Dzięki szybkiej współpracy wielu firm, jeden z adresów C&C został skutecznie usunięty. Sam malware natomiast zmienił tylko miejsce swojego pobytu oraz sposób infekcji. Poniżej opisujemy również nowy-stary sposób infekcji korzystający z sieci BitTorrent. Jesteśmy przekonani, że za wszystkimi tymi atakami stoi ta sama osoba, bądź grupa osób, najprawdopodobniej pochodzących z Polski i odpowiedzialnych za złośliwe oprogramowanie VBKlip w wersji .NET, o którym już nieraz pisaliśmy.
Czytaj więcej

W okresie od 19 do 21 lipca 2014 sieć honeypotów systemu ARAKIS zarejestrowała wzmożone skanowanie portu 80 w poszukiwaniu podatnych serwerów PHP. Wykorzystywana była podatność CVE-2012-1823 występująca w serwerach, które mają skonfigurowaną obsługę języka PHP jako skrypty CGI.

Zarejestrowaliśmy ok. 17 000 połączeń kierowanych na port 80/TCP z żądaniami wykorzystującymi wspomnianą dziurę w php-cgi.

Czytaj więcej

Niedawno pisaliśmy o kampanii rozprzestrzeniającej złośliwe oprogramowanie za pomocą wiadomości e-mail podszywających się pod Allegro.pl oraz Booking.com. W jednym z etapów tej kampanii wykorzystywany był skrypt AutoIt (zwany RazorCrypt), którego celem było ukrycie ostatecznego złośliwego oprogramowania, które kradło hasła użytkownika. Wykorzystanie skryptów AutoIt w celu zaciemnienia czy zaszyfrowania złośliwego oprogramowania staje się coraz bardziej popularne wśród twórców, szczególnie niezbyt wyszukanego, złośliwego oprogramowania. Poniżej opisujemy kolejną kampanię wykorzystującą wizerunek Allegro.pl i używającą ciekawego skryptu AutoIt. Nie znaleźliśmy żadnych powiązań pomiędzy autorami obu kampanii.
Czytaj więcej

Od momentu opublikowania przez Dana Farmera artykułu o zagrożeniach związanych z protokołem IPMI służącym do zarządzania serwerami, system ARAKIS obserwuje wzmożony ruch UDP skierowany na port 623. Połączenia poszukujące podatnych BMC pochodziły z Chin, USA, Islandii, Rumunii i Holandii.

Ujawniona podatność umożliwia przejęcie zdalne kontroli nad modułami zarządzania serwerów (Base Management Controller) które służą do zdalnego zarządzania sprzętem – włączania i wyłączania zasilania, wydawania polecenia resetu, oraz zbierania danych o stanie sprzętu.

Poniżej wykresy skanowania wygenerowane przez system ARAKIS — regularne skanowania rozpoczęły się 23 czerwca, po opublikowaniu artykułu o podatnościach.

W Polsce podatnych jest 189 serwerów.