Posts

Showing posts from November, 2006

Không có đường tắt nào đâu

Khi được một sinh viên hỏi có cách nào đạt được trình độ cao về bảo mật trong một thời gian ngắn, Richard Bejtlich , một trong những chuyên gia bảo mật hàng đầu thế giới, đã trả lời thế này: In my opinion, it seems like this question seeks to learn some sort of "hidden truth" that I might possess, and acquire it in record time. The reality is that there are really no shortcuts to learning as complex a topic as digital security . I have been professionally involved with this topic for almost ten years, yet I consider myself halfway to the level of skill and proficiency I would prefer to possess. In another ten years I'll probably still be halfway there, since the threats and vulnerabilities and assets will have continued to evolve! Quá chính xác, không có con đường tắt nào đâu! Muốn thành công thì bắt buộc phải luôn luôn làm việc siêng năng và chăm chỉ. Tài năng là do sự khổ luyện mà thành, tôi vẫn luôn nghĩ như vậy. Dẫu bạn có thông minh hơn người, điều đó cũng sẽ trở nê...

Oracle lên dĩa

Đầu tiên là H D Moore mở hàng với Month of Browser Bugs , rồi LMH với Months of Kernel Bugs và bây giờ là Weeks of Oracle Database Bugs : What is the WoODB about? An Oracle Database 0day will be released every day for a week on December. Why are you doing this? We want to show the current state of Oracle software ("in")security also we want to demostrate Oracle isn't getting any better at securing its products (you already know the history: two years or more to fix a bug, not fixing bugs, failing to fix bugs, lying about security efforts, etc, etc, etc.). Tuy nhiên có vẻ như mục tiêu của dự án này khác với hai dự án về browser và kernel: Why not the Month of Oracle Database Bugs? We could do the Year of Oracle Database Bugs but we think a week is enough to show how flawed Oracle software is, also we don't want to give away all our 0days:), anyways if you want to contribute send your Oracle 0days so this can be extended for another week or more. Tội nghiệp các bác D...

VXers cạn ý...

Theo công ty Kaspersky Lab của Nga, dân viết virus đã cạn kiệt sáng kiến mới cho việc tạo malware. Kaspersky cho rằng cho dẫu cộng đồng hacking đang phát triển mã nguồn thử nghiệm cho các hệ ứng dụng mới, dạng mã này có lẽ sẽ không có khả năng tạo dung hại lớn lao. "Thống kê nặng ấn tượng suốt năm 2006 cho thấy rằng những sáng kiến mới quả thật đã cạn kiệt. Dân viết virus đang sốt vó cố gắng chống chọi với những công nghệ bảo vệ mới bằng cách tạo ra mã thử nghiệm cho các hệ ứng dụng mới. Tuy nhiên, những sáng tạo này chưa hiển dụng trên thực tế: chúng tôi chưa thấy những đe doạ có thể tạo hàng triệu triệu hư hoại như Klez, Mydoom, Lovesan [the Love Bug] và Sasser tàn phá trước đây," Alex Gostev, nhà phân tích trưởng của Kaspersly Lab cho biết. Bản tường trình malware: http://www.viruslist.com/en/analysis?pubid=204791907 Gostev cho rằng đám viết virus đang lâm vào tình trạng cạn kiệt sáng tạo, điều này có nghĩa những sáng tác gia malware - cũng giống như các phòng làm phim H...

Dịch ngược AutoIt

Một người bạn ở REAOnline vừa chỉ cho tôi cách dịch ngược tất cả các loại virus viết bằng AutoIt. Tôi đã thử và thành công với tất cả mẫu virus viết bằng AutoIt mà tôi có. Qui trình như sau: 1. Sử dụng file , objdump và strings trên Linux (hoặc PeID nếu bạn sử dụng Windows) để xác định xem virus được pack bằng packer nào. Tất cả AutoIt virus mà tôi gặp phải đều sử dụng UPX . 2. Unpack con virus, nhớ sao lưu lại nguyên bản. 3. Load con virus đã unpack vào OllyDBG . 4. Right click --> Search for --> All referenced text strings. 5. Right click --> Search for text --> gõ vào >autoit script , bỏ chọn Case sensitive , chọn Entire scope rồi Enter và double click vào dòng có hàng chữ ASCII ">AUTOIT SCRIPT . 6. Nhìn vào cửa sổ CPU của OllyDBG, bạn sẽ thấy những dòng sau đây: PUSH game-enc.0045222C ; |Arg1 = 0045222C ASCII ">AUTOIT SCRIPT 7. Chọn dòng CALL game-enc.0043F025 trước dòng TEST EAX, EAX rồi nhấn F2 hoặc double click để đặt breakp...

Dùng MP3 Player để exploit ATM

Một người đàn ông ở Manchester, Anh Quốc đã bị kết án vì tội sử dụng một thiết bị nghe nhạc MP3 để thâm nhập máy rút tiền. Maxwell Parsons, 41 tuổi đã tiêu xài hơn hai trăm ngàn bảng Anh tiền của thiên hạ bằng cách dùng máy rút tiền để đọc thông tin từ thẻ tín dụng. Parson gắn thiết bị nghe nhạc MP3 của mình vào sau máy rút tiền (loại máy đứng độc lập) và có thể dùng cách này để đọc dữ liệu các thẻ tín dụng của khách hàng rút tiền. Dữ liệu thu thập được dùng để tạo thẻ tín dụng giả mạo cho các cuộc mua bán bất hợp lệ. Loại máy rút tiền đứng độc lập rất phổ biến ở các siêu thị và quán bar, Parsons có thể gắn thiết bị của hắn vào sau máy rút tiền dễ dàng với dạng máy này trong khi dạng máy đính vào tường thì hoàn toàn bất khả thi để thâm nhập. Thiết bị nghe nhạc MP3 thu nhận tất cả các chi tiết khi dữ liệu được truyền tải qua đường dây điện thoại đến nhà băng. Ở đây, tầng độ âm thanh được đọc và ghi nhận trong lúc chúng được chuyển tải và từ đó, dùng để giả mạo thẻ tín dụng. Vụ án này đã...

Rootkit ẩn mình trong card PCI

Bạn tưởng rằng chỉ cần format lại ổ cứng là có thể diệt trừ được mọi loại rootkit? Hãy nghĩ lại: Security researcher John Heasman released a paper this week describing a way to hide malicious code on graphics and network cards in such a way as to avoid detection and survive a full re-installation of the operating system. The paper ( PDF ), published on Wednesday, builds on the work presented by Heasman earlier this year , describing ways to use the Advanced Configuration and Power Interface (ACPI) functions available on almost all motherboards to store and run a rootkit that could survive a reboot. The current paper outlines ways to use the expansion memory available on Peripheral Component Interconnect (PCI) cards, such as graphics cards and network cards. Phòng bệnh bao giờ cũng hơn chữa bệnh.

Hãy nhanh chân nâng cấp Windows!

eWeek vừa xác nhận dự đoán Patch Tuesday Often Becomes Exploit Thursday : Proof-of-concept exploit code offering step-by-step instructions to attack worm holes in Microsoft Windows have started appearing on the Internet, prompting a new round of "patch-now-or-else" warnings from computer security experts. The exploits, publicly released on the Milw0rmWeb site and privately available to partners of penetrating testing firm Immunity, target a pair of critical vulnerabilities patched by Microsoft on Nov. 14. The Milw0rm exploit, released by a hacker called "cocoruder," takes aim at the high-severity bug covered in the MS06-070 bulletin and can be used to launch a network worm against unpatched Windows 2000 systems. "It [an attack] can be launched remotely over the Internet, without any user action whatsoever," Sarwate said in an interview with eWEEK. The "cocoruder" exploit code has been tested against Chinese-language versions of Windows but...

Security từ A đến Z

Đối với các chuyên gia bảo mật thì những thông tin này không có gì mới nhưng tất cả chúng ta có thể học được một chút gì trong đó: A is for Antivirus B is for Botnets C is for CMA D is for DDoS

Microsoft sửa 9 lổ hổng

Đánh giá của SANS về những miếng vá này: # Affected Contra Indications Known Exploits Microsoft rating ISC rating (*) clients servers MS06-066 Netware client services - remote code execution & DoS CVE-2006-4688 CVE-2006-4689 ...

BKIS đảm bảo an ninh mạng cho APEC 2006

Hiệp sĩ Quảng nhà mình lại có dịp bắt virus rồi: Theo một chuyên gia của BKIS, sự cố nếu có sẽ được phát hiện rất nhanh sau khi xảy ra và lập tức được khoanh vùng để xử lý, không để lây lan ra toàn mạng. BKIS phải chịu trách nhiệm đảm bảo “sức khỏe” cho gần 500 máy tính để bàn và khoảng 70 máy tính xách tay do ban tổ chức cung cấp. Hiện nay, vấn đề phức tạp nhất với BKIS là hàng trăm máy tính xách tay của các phóng viên trong nước và quốc tế mang vào trung tâm báo chí quốc tế tại hội nghị. Mà an ninh mạng chỉ là bắt virus thôi sao?

Ngày Thứ Ba Đen Tối sắp đến

Đến hẹn lại lên, ngày thứ ba của tuần thứ hai trong tháng Microsoft lại phát hành các bảng vá cho những lổ hổng bảo mật được phát hiện trước đó. Thứ ba ngày 14/11/2006 tuần sau, Microsoft sẽ phát hành: One Microsoft Security Bulletin affecting Microsoft XML Core Services. The highest Maximum Severity rating for this is Critical. These updates will be detectable using the Microsoft Baseline Security Analyzer. These updates will require a restart. Five Microsoft Security Bulletins affecting Microsoft Windows. The highest Maximum Severity rating for these is Critical. These updates will be detectable using the Microsoft Baseline Security Analyzer and the Enterprise Scan Tool. Some of these updates will require a restart. New "Malicious Software Removal Tool" 2 additional "non-security high-priority updates" will be released, but only on Microsoft Update and WSUS Trong danh sách các lổ hổng này, chỉ có "XML Core Services" là đã được biết trước (và đã có mã kha...

Nếu tôi là Huyremy

Ấy chết, bạn đừng nghi oan cho tôi, tôi nào dám tranh giành chức vị "hacker số 1 VN" với Huyremy . Chẳng qua tôi chỉ tự hỏi, nếu ở vị trí của Huyremy, tôi sẽ làm gì để tự bảo vệ mình? Trước khi bắt đầu, tôi nghĩ cần phải đặt ra một số giả thuyết như thế này: a) C15 rất lành nghề trong lĩnh vực computer forensic và data recovery; b) Toàn bộ hoạt động đi lại của tôi ở ngoài đời đều bị theo dõi; c) Điện thoại của tôi bị nghe lén, thư tay + SMS bị đọc trộm; d) Kênh liên lạc duy nhất của tôi với thế giới bên ngoài là Internet, tuy nhiên toàn bộ Internet traffic của tôi cũng bị C15 log lại và phân tích kĩ lưỡng. Tôi phải làm gì để đảm bảo privacy cho mình? Tôi phải làm gì để an tâm thực hiện công việc của mình? Câu trả lời là mã hóa, mã hóa và mã hóa. Mã hóa cái gì? Tất cả. Tôi nghĩ rằng không cần phải nhắc đến firewall, IDS, VPN hay anti-virus, bởi lẽ đây là điều đương nhiên cần phải thực hiện ngay cả khi bạn không phải là "hacker số 1 VN". Trước tiên tôi sẽ torify ...

Vụ án Huyremy

Chắc hẳn sự kiện rùm beng nhất trong giới IT "loi choi" của VN vài ngày qua là việc Cục Phòng Chống tội phạm công nghệ cao C15 kết luận Huyremy , người được mệnh danh là "hacker số 1 VN", chính là thủ phạm đã tấn công vào Chợ Điện Tử . Tuy nhiên, Huyremy phủ nhận việc này: Tuy nhiên, Huy remy vẫn không chịu thừa nhận các bằng chứng của cơ quan điều tra về vụ tấn công vào tên miền chodientu.com ngày 23/9 và việc truyền bá văn hoá phẩm đồi truỵ thông qua website gmetal.net. Trong biên bản làm việc, Huy cho rằng "chứng cứ mà cơ quan điều tra đưa ra là không khách quan, không rõ nét." .... Tuy nhiên, trong buổi làm việc với các cơ quan chức năng sáng 8/11, Huyremy đã không thừa nhận mình là thủ phạm thực hiện vụ tấn công vào tên miền chodientu.com. Huy đưa ra giả thiết phủ định rằng máy tính của mình đã bị hacker xâm nhập vào thông qua đường mạng Wi-fi chia sẻ kết nối ADSL trong nhà và điều khiển máy tính của Huy làm phương tiện tấn công chodientu.com....

Lỗi nghiêm trọng trong device driver của hãng Broadcom

Dự án Month of Kernel Bug vừa mới thông báo một lổ hổng nghiêm trọng trong driver cho card wireless của hãng Broadcom: The Broadcom BCMWL5.SYS wireless device driver is vulnerable to a stack-based buffer overflow that can lead to arbitrary kernel-mode code execution. This particular vulnerability is caused by improper handling of 802.11 probe responses containing a long SSID field. The BCMWL5.SYS driver is bundled with new PCs from HP, Dell, Gateway, eMachines, and other computer manufacturers. Broadcom has released a fixed driver to their partners, which are in turn providing updates for the affected products. Linksys, Zonenet, and other wireless card manufactures also provide devices that ship with this driver. All tests were performed with version 3.50.21.10 of the BCMWL5.SYS driver. Although this driver is for the Windows operating system, Linux and FreeBSD users of the ndiswrapper tool should determine if they are using BCMWL5.S...

Bản quyền của blog

This blog uses this version of the Creative Commons License. This license has four main points: You're free to copy, distribute, and edit all entries on this blog. If you use my entries, please cite and link to the original entries on this blog. You may not use my entries for commercial purposes. Please contact me if you want to use my entries for commercial purposes. If you alter, transform, or build upon my entries you may distribute the resulting work only under the same or similar license to this one. Blog Bảo Mật Thông Tin dùng phiên bản này của Creative Commons Lisence. Bản quyền này có bốn điểm chính: Bạn được toàn quyền sao chép, phán tán và chỉnh sửa các bài viết trên blog. Nếu bạn sử dụng các bài viết thì xin ghi rõ nguồn (và liên kết) đến Blog Bảo Mật Thông Tin. Bạn không được sử dụng các bài viết vì lợi nhuận. Nếu muốn sử dụng vì lợi nhuận thì xin liên hệ với tác giả. Các bạn có thể sửa đổi bổ sung thêm vào các bài viết (ví dụ dùng t...