9 lip 2019

Tajemnicze zadanie rekrutacyjne na stronie CBA #3

16


W dniu 09.07.2019 r., na stronie Biuletynu Informacji Publicznej Centralnego Biura Antykorupcyjnego pojawiło się kolejne tajemnicze zadanie (zadania) rekrutacyjne do Biura Teleinformatyki CBA.
 
Prawidłowe rozwiązanie zadania umożliwia wzięcie udziału w procesie rekrutacji na stanowisko teleinformatyka do tej jednej z pięciu polskich służb specjalnych.

Aby spróbować swoich sił w rozwiązaniu tego zadania należy wejść na stronę BIP CBA (LINK) a następnie pobrać pliki MasterDarlingzip.001, MasterDarlingzip.002, MasterDarlingzip.003, screen:
W archiwum umieszczono plik Master_Darling.jpg, który został zabezpieczony hasłem.



Według informacji z CBA, poprzednie zadanie rekrutacyjne zostało rozwiązane przez 3 osoby.

Czytaj więcej...

29 maj 2019

Tajemnicze zadanie rekrutacyjne na stronie CBA #2 - ROZWIĄZANE

97


W dniu 29.05.2019 r., w godzinach popołudniowych na stronie Biuletynu Informacji Publicznej Centralnego Biura Antykorupcyjnego pojawiło się kolejne tajemnicze zadanie (zadania) rekrutacyjne do Biura Teleinformatyki CBA.
 
Prawidłowe rozwiązanie zadania umożliwia wzięcie udziału w procesie rekrutacji na stanowisko teleinformatyka do tej jednej z pięciu polskich służb specjalnych.

Aby spróbować swoich sił w rozwiązaniu tego zadania należy wejść na stronę BIP CBA (LINK) a następnie pobrać plik LadyVain.ZIP (604,84 KB), screen:





Warto wspomnieć, iż CBA pogratulowało uzytkownikom portalu WYKOP.PL za rozwiązanie poprzedniego zadania:
 

W dniu 01.07.2019 r. CBA opublikowało informację, że zagadka została rozwiązana!
Kolejna edycja już wkrótce.

Czytaj więcej...

23 maj 2019

Tajemnicze zadanie rekrutacyjne na stronie CBA - ROZWIĄZANE

4


W dniu 23.05.2019 r., w godzinach popołudniowych na stronie Biuletynu Informacji Publicznej Centralnego Biura Antykorupcyjnego pojawiło się tajemnicze zadanie rekrutacyjne do Biura Teleinformatyki CBA.
 
Prawidłowe rozwiązanie zadania umożliwia wzięcie udziału w procesie rekrutacji na stanowisko teleinformatyka do tej jednej z pięciu polskich służb specjalnych.

Aby spróbować swoich sił w rozwiązaniu tego zadania należy wejść na stronę BIP CBA (LINK) a następnie pobrać plik Zadanie1_1.ZIP (1,59 MB), screen:
 
Ogłoszenie zadania na stronie BIP CBA
 źródło: https://bip.cba.gov.pl
 
Po pobraniu i wypakowaniu, naszym oczom ukazują się dwa pliki, jeden to obrazek graficzny o nazwie zachod.jpg oraz plik slimak.html zawierający ciąg liter bez polskich znaków oraz zakodowaną w Base64 graficzną spiralą, przypominającą złoty podział związany z ciągiem Fibonacciego:
Plik slimak.html po otwarciu
 źródło: https://bip.cba.gov.pl

Udało się Wam już rozwiązać zagadkę? ;)

[AKTUALIZACJA]
Jeśli ktoś bawi się z powyższą zagadką z CBA podpowiadamy: zmieńcie rozszerzenie obrazka .jpg na 7z i otwórzcie archiwum :)

Kolejny etap to wypakowanie plików i ich analiza po wpisaniu hasła, które składa się z dopasowanych liter odpowiadającym kolejnym liczbom ciągu Fibonacciego. Jak pewnie bardziej uważni zauważyli, spirala jest odwrócona, a to oznacza, że liter należy szukać od tyłu ciągu aby zdobyć hasło.

Plik KingSnake.pdf zawiera taką oto tabelkę:



Plik Kod.pdf zawiera kod, który ujawni kolejną wskazówkę:

















Plik tabela.jpg wygląda tak:

 
Jest jeszcze ostatni, czwarty plik zachod_slonca.png który zawiera zdjęcie jak w tytule, ale czy coś jeszcze? ;)

Po wykonaniu kodu, ukazuje się komunikat:

"Zbliżasz się już do końca. Poniżej ostatnia z zagadek zamieść odszyfrowany tekst w treści wiadomości wysłanej na it@cba.gov.pl. Ależ Ekstremalna Spostrzegawczość! Czy Będzie Ciężko?"
[TEKST]

Też to zauważyliście? Wielikie litery w końcowym zdaniu, AES CBC :)

Następnie należy zbudować adres URL który umożliwi ściągnięcie i sparsowanie htmla żeby uzyskać kolejne wskazówki. W kodzie z pdfa widać fragment, iż wykorzystany jest szyfr Cezara z przesunięciem, ale nie wiadomo jakim, więc trzeba użyć metody bruteforce, np. z jakiejś gotowej strony: (LINK). Po przetestowaniu paru opcji przesunięć klucza "gnu3hgf3lt{3uq" uzyskujemy BIP.CBA.GOV.PL i podstawiamy do elementów adresu URL. Należy jeszcze naprawić litrerówkę w kodzie, mianowicie przesunąć średnik za cudzysłów w metodzie Piec(). Całość możemy skompilować w jakimś onlinowym kompilatorze Java.

Obrazek zachod_slonca.png ma zakodowane steganografią informacje, które możemy odkododować na tej stronie (LINK). Po odkodowaniu ukazują się takie informacje:


To jeszcze nie jest rozwiązanie zagadki!

Jej rozwiązaniem jest fragment dzieła Josepha Conrada - Heart of Darkness w wersji angielskiej :)

CBA gratulujemy pomysłowości i oryginalnej metody pierwszego etapu rekrutacji!


Na stronie BIP CBA w dniu 29.05.19 r. pojawiły się gratulacje dla użytkowników portalu wykop.pl za rozwiązanie zagadek oraz informacja o kolejnych!



Biuro Teleinformatyki jest jednostką organizacyjną Centralnego Biura Antykorupcyjnego - służby specjalnej powołanej do zwalczania korupcji w życiu publicznym i gospodarczym, w szczególności w instytucjach państwowych i samorządowych, a także do zwalczania działalności godzącej w interesy ekonomiczne państwa.

Biuro Teleinformatyki tworzy, organizuje, rozwija i utrzymuje systemy teleinformatyczne CBA. W Biurze pełnią służbę: kierownicy projektów, programiści, testerzy, administratorzy: systemów, sieci, baz danych, inżynierowie devops, specjaliści: wsparcia technicznego, zamówień publicznych w IT, cyberbezpieczeństwa, administracji.
  

LINK do zadania:
https://bip.cba.gov.pl/bip/nabor-do-sluzby/profile-kandydatow/teleinformatycy/613,Zadanie-dla-kandydatow-do-Biura-Teleinformatyki-CBA.html

 

Czytaj więcej...

7 mar 2019

NSA udostępniła narzędzie do inżynierii wstecznej GHIDRA

0


Stworzone przez amerykańską NSA opensourcowe narzędzie GHIDRA zostało właśnie udostępnione publicznie.


Pod względem technicznym jest to dissasembler, oprogramowanie, które rozkłada pliki wykonywalne na kod, który może być analizowany przez ludzi. GHIDRA została napisana w Javie, ma graficzny interfejs użytkownika (GUI) i działa na systemach Windows, Mac i Linux. 



GHIDRA może analizować pliki binarne dla wszystkich głównych systemów operacyjnych, takich jak Windows, Mac, Linux, Android i iOS, a modułowa architektura obecnej wersji umożliwia użytkownikom dodawanie pakietów na wypadek, gdyby potrzebowali dodatkowych funkcji, takich jak kryptoanaliza, interakcja z OllyDbg, czy Ghidra Debugger. 

Przykładowa analiza za pomocą narzędzia GHIDRA

Informacja o tym, że NSA udostępnia swoje wewnętrzne narzędzia nie powinna już dziwić. W ciągu ostatnich kilku lat NSA opublikowała narzędzia open-source, z których największym sukcesem jest Apache NiFi, projekt do automatyzacji dużych transferów danych między aplikacjami internetowymi, który z kolei stał się jednym z ulubionych narzędzi z obszaru cloud computingu. Łącznie NSA ma 32 projekty open-source w ramach programu transferu technologii (TTP), a ostatnio otworzyła nawet... oficjalne konto GitHub.

Narzędzie można pobrać tutaj: https://ghidra-sre.org/

Czytaj więcej...

1 mar 2019

Reprezentanci resortu obrony narodowej zwycięzcami międzynarodowego Hackathonu

0

Zespoły ArchiTechs, DataScienceCadets i FRONT reprezentujące Wojskową Akademię Techniczną i Inspektorat Informatyki MON zostały zwycięzcami tegorocznej edycji TIDE Hackathon 2019.

Organizatorem konkursu najlepszych informatyków z NATO i krajów współpracujących było Dowództwo Sił Sojuszniczych NATO ds. Transformacji (ACT) oraz Inspektorat Informatyki.

TIDE Hackaton organizowany jest od 2016 roku. Biorą w nim udział międzynarodowe zespoły projektantów i programistów z instytucji wojskowych, środowisk akademickich oraz firm komercyjnych. Rywalizacja odbywa się w trzech kategoriach: modelowania (ang. modeling challenge), programowania  (ang. coding challange) oraz połączenia tych dwóch obszarów.

Tegoroczna edycja konkursu projektowo-programistycznego odbyła się w Warszawie. Po kilku dniach zmagań wyłoniono zwycięzców. Po raz kolejny czołowe miejsca w konkursie zajęły polskie zespoły składające się z podchorążych, żołnierzy oraz pracowników resortu obrony narodowej.

Tuż przed gala finałową wszystkie uczestniczące zespoły zaprezentowały swoje rozwiązania w trzech kategoriach: modelowania (ang. Modeling Challenge – Modeling the Mine Action Space), programowania  (ang. Coding Challange – Prioritization of enabling activities for de-mining) oraz wizualizacji (ang. Visualisation – Visualization of Effects in the Information Environment).

Ocena poprzedzona została analizą dzienników pracy poszczególnych zespołów przez zespół sędziowski, złożony z przedstawicieli Inspektoratu Informatyki, Dowództwa Sił Sojuszniczych NATO ds. Transformacji (ACT - Allied Command Transformation) oraz Agencji ds. Łączności i Informatyki NATO (NCIA - NATO Communications and Information Agency).

Zwycięzcy TIDE Hackathon 2019:

Kategoria Modeling Challenge:
1. Zespół ArchiTechs z Polski (WAT oraz CPI)
2. Zespół Msg@TNO z Holandii

Kategoria Coding Challenge:
1. Zespół DataScienceCadets z Polski (WAT)
2. Zespół MITI Hedgehogs z Ukrainy


Kategoria Visualisation Challenge:
1. Zespół TNO-JIVC z Holandii
2. Zespół FRONT z Polski (CPI)


Nagrodzone rozwiązania zostaną zaprezentowane i rozwinięte podczas Konferencji TIDE Sprint 2019 Spring i ćwiczeń Coalition Warrior Interoperability eXercise (CWIX) 2019 (realizowanych w Polsce). Wymienione działania tworzą program Interoperability Continuum, który  ukierunkowany jest na badanie nowych technologii, testowanie i weryfikację stosowanych rozwiązań w celu zapewnienia interoperacyjności systemów teleinformatycznych w ramach całego NATO.

Ideą przewodnią tegorocznej edycji konkursu było połączenie dwóch zagadnień: ochrona ludności cywilnej i Data Science. Wyzwania zakładały wsparcie militarne organizacji cywilnych w celu  scalenia wysiłków kilku zaangażowanych stron w proces rozminowywania Iraku (scenariusze i przypadki wykorzystania danych będące tematami tegorocznych zadań zostały uzgodnione podczas Konferencji TIDE Sprint 2018 Fall). Tematykę zadań omówili przedstawiciele Sojuszniczego Dowództwa ds. Transformacji (ACT) oraz Geneva International Centre for Humanitarian Demining (GICHD).
 
Serdecznie gratulujemy!
 
Źródło:
cyber.mil.pl

Czytaj więcej...

11 lut 2019

15. rocznica śmierci Ryszarda Kuklińskiego

3

W dniu dzisiejszym mija piętnasta rocznica śmierci Ryszarda Kuklińskiego - oficera, który pod pseudonimami "Jack Strong" oraz "Mewa" dostarczał Amerykanom informacje o strategicznych planach Związku Sowieckiego i Układu Warszawskiego. Uprzedził ich m.in. o planowanym wprowadzeniu w Polsce stanu wojennego. Był Zastępcą Szefa Zarządu Operacyjnego Sztabu Generalnego WP oraz agentem wywiadu amerykańskiej Centralnej Agencji Wywiadowczej (CIA).

Czytaj więcej...

5 lut 2019

Wojska Obrony Cyberprzestrzeni zwiększeniem zdolności resortu obrony narodowej w zakresie cyberbezpieczeństwa

0



W dniu dzisiejszym o godz. 13.00 w  Wojskowej Akademii Technicznej w Warszawie podczas konferencji pt. „Cyber.mil.pl - Integracja i rozwój systemu cyberbezpieczeństwa resortu obrony narodowej” Mariusz Błaszczak, minister obrony narodowej przedstawił koncepcję budowy Wojsk Obrony Cyberprzestrzeni oraz pakiet działań związanych z rozwojem zdolności resortu obrony narodowej w zakresie cyberbezpieczeństwa.



Zapraszamy do obejrzenia transmisji na kanale YouTube Ministerstwa Obrony Narodowej. Można obejrzeć m. in. debatę ekspertów na temat systemu cyberbezpieczeństwa resortu obrony narodowej oraz na temat cyberprzestrzeni jako V domenie operacyjnej.



Możesz dołączyć do Wojsk Obrony Cyberprzestrzeni na stronie


na której utworzono dział poświęcony rekrutacji, z interesującymi tematami:





Źródło:
www.mon.gov.pl

Czytaj więcej...

20 sty 2019

Jak cyberprzestępcy używają memów do komunikacji z malware

0


Metoda ukrywania złośliwego kodu w obrazkach w celu ominięcia zabezpieczeń i wykonania złośliwego kodu, jest już od dawna wykorzystywana przez cyberprzestępców do rozprzestrzeniania złośliwego oprogramowania i wykonywania złośliwych operacji. O interesujących możliwościach wykorzystywania tego mechanizmu steganografii pisaliśmy m.in. w artykule dotyczącym stegosploitów z maja 2015 roku (LINK).

 

Firma Trend Micro pod koniec roku 2018 opublikowała na swoim blogu artykuł opisujący wykorzystanie unikalnej techniki w... memach na Twitterze. Twórcy malware zamieścili dwa tweety zawierające "złośliwe memy" w dniach 25 i 26 października 2018 roku na koncie Twitter utworzonym w 2017 r. Memy zawierały wbudowane polecenie, które przeanalizowane przez szkodliwe oprogramowanie po pobraniu z zainfekowanego konta Twittera (bomber) na komputer ofiary, działało jak usługa C&C dla zainstalowanego już złośliwego oprogramowania.

Konto Twitter wykorzystane przez cyberprzestępców, z widocznym złośliwym memem zawierającym szkodliwy kod
źródło: https://blog.trendmicro.com

Należy zauważyć, że malware nie zostało pobrane z Twittera, a Trend Micro nie zaobserwowała, jaki konkretny mechanizm został użyty do dostarczenia szkodliwego oprogramowania swoim ofiarom. Szkodliwe oprogramowanie powiązane ze złośliwymi memami zostało zablokowane przez technologię uczenia maszynowego i behawioralną technologię wykrywania Trend Micro w momencie jej wykrycia.

To nowe zagrożenie (wykryte jako TROJAN.MSIL.BERBOMTHUM.AA) jest godne uwagi, ponieważ komendy szkodliwego oprogramowania są odbierane za pośrednictwem platformy społecznościowej, używają niewinnie wyglądających, ale złośliwych memów, i nie można ich usunąć, chyba że złośliwe konto na Twitterze zostanie całkowicie wyłączone. Twitter po otrzymanym zgłoszeniu przejął konto i od 13 grudnia 2018 r. przełączył je w tryb offline.

Badacze bezpieczeństwa z Trend Micro odkryli we wspomnianych memach m.in. ukryte polecenie "/print", które umożliwia złośliwemu oprogramowaniu wykonanie zrzutów ekranu zainfekowanej maszyny. Następnie malware otrzymuje informacje o serwerze kontroli od Pastebin i wysyła zebrane dane do atakującego, przesyłając je pod określony adres URL.

Wydobyty złośliwy kod z adresem URL odsyłającym do pastebin.com
źródło: https://blog.trendmicro.com
Złośliwe oprogramowanie analizuje zawartość konta cyberprzestępców na Twitterze i zaczyna szukać pliku obrazu na tym koncie, używając wzoru:
 



Podczas przeprowadzanej przez Trend Micro analizy, dwa memy (pliki: DqVe1PxWoAIQ44B.jpg oraz DqfU9sZWoAAlnFh.jpg) zawierały polecenie "/print". Gdy złośliwe oprogramowanie pobierze już obrazek, próbuje wydobyć polecenie zaczynające się od znaku "/".


Fragment wydobytego kodu służącego do zlokalizowania poleceń
źródło: https://blog.trendmicro.com

Lista poleceń wydobytych z obrazków, obsługiwanych przez złośliwe oprogramowanie:
  1. /print - wykonanie zrzutu ekranu;
  2. /processos - pobranie listy uruchomionych procesów;
  3. /clip - przechwycenie danych ze schowka;
  4. /username - pobranie nazwy uzytkownika z zainfekowanego komputera;
  5. /docs - pobranie nazwy plików z określonej ścieżki (np.desktop, %appdata%, etc.).


Złosliwy kod służący do wykonania zrzutu ekranu
źródło: https://blog.trendmicro.com
Zagrożenie jest realne a złośliwe konto Twittera to tylko przykład, ponieważ równie dobrze tego typu mechanizmy powiązane ze steganografią mogą zostać użyte w każdym innym serwisie społecznościowym lub stronie internetowej (złośliwej lub przejętej).

Indicators of Compromise (SHA-256):
  • 003673cf045faf0141b0bd00eff13542a3a62125937ac27b80c9ffd27bb5c722
  • 3579d609cf4d0c8b469682eb7ff6c65ec634942fa56d47b666db7aa99a2ee3ef
  • 88b06e005ecfab28cfdbcab98381821d7cc82bb140894b7fdc5445a125ce1a8c
  • 8cdb574ba6fcaea32717c36b47fec0309fcd5c6d7b0f9a58fc546b74fc42cacd

Źródło:
https://blog.trendmicro.com

Czytaj więcej...

12 sty 2019

Pierwszy zdalny atak typu side-channel na pamięć podręczną stron

0

Zespół ośmiu ekspertów z Uniwersytetu Technicznego w Grazu, Uniwersytetu w Bostonie, NetApp, CrowdStrike i Intel opublikował 4 stycznia 2019 roku wyniki dotyczące ataków na pamięć podręczną stron. W przeciwieństwie do podatności Spectre i Meltdown, ten atak jest pierwszym, stabilnym i sprzętowo niezależnym atakiem typu side-channel, który może zdalnie atakować systemy operacyjne i skutecznie pozyskiwać dane, pomijając zabezpieczenia.


Celem pamięci podręcznej jest utrzymywanie jak największej ilości przydatnych danych w taki sposób, żeby błędy braku strony były obsługiwane szybko. Większość pamięci procesu użytkownika znajduje się w pamięci podręcznej stron lub pliku wymiany (ang. swap cache). Pamięć podręczna jest "warstwą" systemu znajdującą się pomiędzy jądrem i kodem obsługującym dyskowe operacje wejścia wyjścia. Strony wymiatane z pamięci procesu nie są natychmiast zapisywane na dysk, ale dodawane właśnie do pamięci podręcznej.

Atak side-channel opisany przez zespół badawczy działa poprzez mechanizmy zawarte w systemach operacyjnych Windows i Linux, które pozwalają programistom lub aplikacjom sprawdzić, czy strona pamięci jest obecna w pamięci podręcznej strony systemu operacyjnego. Te dwa mechanizmy to wywołanie systemowe "mincore" dla systemu Linux i wywołanie systemowe "QueryWorkingSetEx" dla systemu Windows.

Następnie naukowcy wykorzystali złośliwy proces uruchomiony w systemie w celu utworzenia stanów eksmisji pamięci podręcznej stron, które zwalniają stare strony pamięci z pamięci podręcznej strony. Ponieważ system pamięci podręcznej stron systemu operacyjnego zapisuje eksmitowane dane na dysku, uruchamia różne błędy lub ładuje nowe strony do pamięci podręcznej stron, naukowcy twierdzą, że mogą wywnioskować, jakie dane są przetwarzane w pamięci podręcznej stron, nawet przez inne procesy lub aplikacje.
 
W wyjaśnieniu ataku autorzy napisali:
Nasz atak pozwala na nieuprawnione monitorowanie niektórych dostępów do pamięci innych procesów, z przestrzenną rozdzielczością 4KB i czasową rozdzielczością 2 mikrosekundy na Linuksie (ograniczone do 6,7 pomiarów na sekundę) i 466 nanosekund w systemie Windows (ograniczone do 223 pomiarów na sekundę); jest to mniej więcej ten sam rząd wielkości, co obecne ataki pamięci podręcznej typu "state-of-the-art".

Co to dokładnie oznacza? Wartości te pozwalają na przechwytywanie więcej niż 6 naciśnięć klawiszy na sekundę, więc jest to wystarczająca ilość do dokładnego przechwycenia wprowadzanych informacji, np. haseł. 

Wartości zwracane przez atak na pamięć podręczną strony podczas wprowadzania hasła w systemie Linux (u góry) i podczas pisania w edytorze w systemie Windows (na dole). W Windowsie zaobserwowano zdarzenia zarówno przy naciśnięciu jak i puszczeniu klawisza klawiatury i osiągnięto wysoką częstotliwość ataku.
W obu przypadkach nie występują zakłócenia między naciśnięciami klawiszy.

Źródło: Page Cache Attacks (https://arxiv.org/pdf/1901.01161.pdf)

Po wyszczególnieniu informacji podstawowych dotyczących pamięci podręcznych sprzętu, ataków pamięci podręcznej i pamięci podręcznych oprogramowania autorzy dostarczają model zagrożenia atakiem, w którym naukowcy zakładają, że "napastnik i ofiara mają dostęp do tej samej pamięci podręcznej strony systemu operacyjnego. W Linuksie zakładają również, że atakujący ma dostęp do odczytu strony docelowej, która może być dowolną stroną dowolnego pliku dostępnego dla atakujących w systemie".

Przegląd ataku
Źródło: Page Cache Attacks (https://arxiv.org/pdf/1901.01161.pdf)

Technika przedstawiona w dokumentacji ataku pozwala w 2,68 sekund eksmitować strony na Linuxie. W systemie Windows trwa to wolniej, ze średnim czasem wykonania 10,1 sekund.

Wszystkie wymienione powyżej ataki są możliwe do przeprowadzenia lokalnie, gdzie nieuprzywilejowany proces uruchamia złośliwy kod na docelowym komputerze ofiary (np. poprzez malware). Atak można jednak zmodyfikować tak, aby atakujący "bombardował" zdalnie komputer złośliwym kodem w celu pobrania danych z jego pamięci. Jednak zdalne ataki nie są aż tak skuteczne, ponieważ nie mogą ominąć np. piaskownic i wymagają precyzyjnego dostosowania w oparciu o sprzęt ofiary (nie są sprzętowo niezależne, jak lokalne ataki).

Opóźnienie podczas zdalnego ataku side-channel na pamięć podręczną stron
Źródło: Page Cache Attacks (https://arxiv.org/pdf/1901.01161.pdf)

Powyższy rysunek przedstawia histogram opóźnienia podczas przeprowadzanego zdalnego ataku side-channel na 100 kilobajtowy plik pamięci podręcznej stron (ok. 25 stron). Ponadto, opóźnienia zwiększają się wraz z ilością pozyskiwanych atakiem stron.

Mounir Hahad, szef Juniper Threat Labs w Juniper Networks stwierdził, że "ta klasa ataku prezentuje znacznie niższą barierę złożoności niż wcześniejsze ataki side-channel z wykorzystaniem sprzętu i może być łatwo stosowana zarówno przez pojedynczych hackerów jak i cyber-gangi".

Autorzy ataków ujawnili lukę firmie Microsoft a ta już naprawiła sposób, w jaki Windows radzi sobie z odczytami cache strony. Dyskusje o tym, jak radzić sobie z łatkami na Linuksa wciąż trwają.

Ponadto, jeden z naukowców pracujących nad atakiem stwierdził, że nie testowano ataku na MacOS, ale ponieważ system ten również wykorzystuje mechanizmy pamięci podręcznej stron, ataki tego typu są jak najbardziej możliwe do przeprowadzenia.

Więcej informacji w języku angielskim znajdziecie w dokumentacji ataku: 
https://arxiv.org/pdf/1901.01161.pdf


Źródło:
Daniel Gruss, Erik Kraft, Trishita Tiwari, Michael Schwarz, Ari Trachtenberg, Jason Hennessey, Alex Ionescu, Anders Fogh - Page Cache Attacks (https://arxiv.org/pdf/1901.01161.pdf)
zdnet.com

Czytaj więcej...

11 sty 2019

ABW zatrzymało dyrektora polskiego oddziału HUAWEI oraz byłego oficera ABW

0



ABW zatrzymała Polaka i Chińczyka podejrzanych o współpracę z chińskimi służbami specjalnymi. Weijing W. to dyrektor polskiego oddziału Huawei. Piotr D. to z kolei były wysoki rangą oficer ABW, obecnie ekspert ds. cyberbezpieczeństwa i osoba znana w kręgach związanych ze sprawami cyberbiznesu.


We wtorek rano funkcjonariusze ABW wkroczyli równocześnie do domów obu podejrzanych. Oficerowie kontrwywiadu zabezpieczyli również dokumenty i dane elektroniczne w siedzibach Huawei oraz firmy Orange, dla której pracował Piotr D. W Orange Piotr D. odpowiadał m.in. za współpracę ze Związkiem Banków Polskich i system SMS-ów alarmowych.

Jak ustalili dziennikarze tvp.info, zastępca ambasadora Chińskiej Republiki Ludowej w Polsce w związku z tą sprawą pojawił się w gmachu Ministerstwa Spraw Zagranicznych z prośbą o umożliwienie chińskim służbom konsularnym kontaktu z aresztowanym obywatelem chińskim. W związku z tym, że dyrektora sprzedaży firmy Huawei nie chroni immunitet dyplomatyczny, pozostanie on, podobnie jak Polak, w areszcie co najmniej trzy miesiące. 

Kapitan Piotr D. był funkcjonariuszem ABW do roku 2011. W Agencji był wiceszefem Departamentu ds. Bezpieczeństwa Teleinformatycznego oraz doradcą ówczesnego szefa tej służby specjalnej gen. Krzysztofa Bondaryka. Jego odejście wiązano z tzw. infoaferą – dotyczącą korupcji przy rządowych przetargach informatycznych – ale nigdy nie postawiono mu w związku z tym zarzutów.

Piotr D. miał dostęp do kluczowych informacji, w tym funkcjonowania SŁR, czyli Sieci Łączności Rządowej. To wewnętrzny system pozwalający na utajnione przekazywanie informacji najważniejszym osobom w państwie. Po odejściu z ABW zajmował się bezpieczeństwem teleinformatycznym w Wojskowej Akademii Technicznej, Urzędzie Komunikacji Elektronicznej (w latach 2012-2016) oraz Orange.

Weijing W. jest absolwentem Pekińskiego Uniwersytetu Studiów Zagranicznych uchodzącego za kuźnię kadr chińskiej dyplomacji i wywiadu. Studiował tam polonistykę. Podczas studiów na Uniwersytecie Łódzkim odbył roczny kurs języka polskiego. Od 2006 roku pracował w Konsulacie Generalnym ChRL w Gdańsku. W 2011 r. został zatrudniony w Huawei i ponownie wysłany do Polski. Odpowiadał za public relations tej firmy w Polsce oraz kontakty z przedstawicielstwami dyplomatycznymi. W 2017 roku został dyrektorem sprzedaży Huawei.

O sprawie poinformował zastępca ministra koordynatora służb specjalnych Maciej Wąsik. Sąd zdecydował o aresztowaniu mężczyzn na trzy miesiące - podał z kolei rzecznik ministra koordynatora służb specjalnych Stanisław Żaryn.


Zatrzymane przez ABW osoby.

Obaj mężczyźni nie przyznają się do winy i odmawiają składania wyjaśnień.

Z kolei władze Czech w grudniu 2018 r. zapowiedziały, że nie będą korzystać z urządzeń i usług Huawei przy tworzeniu miejscowej infrastruktury teleinformatycznej. Jako powód podano zastrzeżenia Krajowego Biura Cybernetyki i Bezpieczeństwa Informacji. Jednak kilka dni później czeski rząd złagodził swoje stanowisko, zaznaczając, że przy zamówieniach publicznych nie chce dyskryminować żadnej z firm technologicznych.

Ponadto, na początku grudnia 2018 r. Alex Younger, szef MI6 - brytyjskiego wywiadu zagranicznego - ostrzegał w publicznej wypowiedzi przed zagrożeniami związanymi z zaangażowaniem chińskich firm - w tym Huawei - w budowę sieci 5G. Jak podkreślał, "musimy zdecydować, do jakiego stopnia czujemy się z komfortowo z tym, że Chińczycy będą mieli kontrolę nad tymi technologiami i platformami".


[AKTUALIZACJA 13.01.2019 r.]

[ Firma Huawei poinformowała, że w trybie natychmiastowym zwolniła swojego pracownika - jednego z dyrektorów polskiego oddziału firmy Weijinga W., którego w Polsce zatrzymano pod zarzutem szpiegostwa - bowiem zepsuł  on reputację firmy. ]




Żródło:
www.tvp.info
businessinsider.com.pl

Czytaj więcej...

6 sty 2019

NSA udostępni narzędzie do inżynierii wstecznej o nazwie GHIDRA

0

National Security Agency (NSA), jedna ze służb specjalnych USA udostępni bezpłatne narzędzie do inżynierii wstecznej na zbliżającej się konferencji bezpieczeństwa RSA, która odbędzie się w marcu tego roku w San Francisco. Nazwa tego oprogramowania to GHIDRA, a pod względem technicznym jest to dissasembler, oprogramowanie, które rozkłada pliki wykonywalne na kod, który może być analizowany przez ludzi. GHIDRA została napisana w Javie, ma graficzny interfejs użytkownika (GUI) i działa na systemach Windows, Mac i Linux. GHIDRA może analizować pliki binarne dla wszystkich głównych systemów operacyjnych, takich jak Windows, Mac, Linux, Android i iOS, a modułowa architektura obecnej wersji (7.0.2) umożliwia użytkownikom dodawanie pakietów na wypadek, gdyby potrzebowali dodatkowych funkcji, takich jak kryptoanaliza, interakcja z OllyDbg, czy Ghidra Debugger.

Zgodnie z opisem GHIDRA we wstępie do sesji konferencji RSA, narzędzie "zawiera wszystkie funkcje oczekiwane w zaawansowanych narzędziach komercyjnych, z nowymi i rozszerzonymi unikalnymi funkcjami opracowanymi przez NSA". Brzmi ciekawie.

Przykładowa analiza przy pomocy narzędzia GHIDRA
 
NSA opracowało narzędzie GHIDRA na początku 2000 roku, a od dobrych kilku lat dzieli się nim z innymi agencjami rządowymi USA, które mają powołane zespoły odpowiadające za cyberbezpieczeństwo i które m.in. analizują kod złośliwego oprogramowania. O istnieniu narzędzia GHIDRA świat dowiedział się w marcu 2017 roku, kiedy WikiLeaks opublikował tzw. Vault 7, zbiór wewnętrznych plików i dokumentacji, które podobno zostały wykradzione z sieci intranetowej CIA. Dokumenty te ujawniły m.in., że CIA była jedną z agencji, które miały dostęp do tego narzędzia.
Były pracownik NSA i badacz bezpieczeństwa Charlie Miller potwierdził na Twitterze, że narzędzie to było używane przez NSA 13 lat temu kiedy kończył pracę w tej agencji (LINK).
 
Osoby, które znają i używają narzędzia GHIDRA (m.in. byli pracownicy NSA) i podzieliły się opiniami na jego temat w mediach społecznościowych, takich jak Reddit i Twitter, porównały je z IDA, dobrze znanym ale bardzo drogim narzędziem do inżynierii wstecznej. Większość użytkowników twierdzi, że GHIDRA jest wolniejsza i bardziej obciążająca niż IDA, ale dzięki otwartemu kodowi źródłowemu i możliwości wsparcia ze strony społeczności open source, GHIDRA być może szybko nadrobi "zaległości", a w przyszłości przekroczy możliwości IDA. Czyżby zatem szykowały się promocje na licencjonowanie narzędzia IDA? ;) 

Jeden z wpisów na Reddicie dot. narzędzia GHIDRA

Informacja o tym, że NSA udostępnia swoje wewnętrzne narzędzia nie powinna już dziwić. W ciągu ostatnich kilku lat NSA opublikowała narzędzia open-source, z których największym sukcesem jest Apache NiFi, projekt do automatyzacji dużych transferów danych między aplikacjami internetowymi, który z kolei stał się jednym z ulubionych narzędzi z obszaru cloud computingu. Łącznie NSA ma 32 projekty open-source w ramach programu transferu technologii (TTP), a ostatnio otworzyła nawet... oficjalne konto GitHub.

Według zapowiedzi, GHIDRA zostanie pokazana na konferencji RSA 5 marca tego roku i prawdopodobnie niedługo pojawi się na specjalnej stronie NSA (LINK) oraz na jej koncie GitHub (LINK).

Garść informacji na temat narzędzia GHIDRA:
https://wikileaks.org/ciav7p1/cms/page_51183656.html

Źródło:
rsaconference.com
zdnet.com
gbhackers.com
wikileaks.org
reddit.com
nsa.gov 

Czytaj więcej...

5 sty 2019

Ogromny wyciek danych z Town of Salem, na liście także użytkownicy z Polski

0

BlankMediaGames przyznało kilka dni temu na swoim blogu, iż hakerzy wykradli dane osobowe 7,6 milionów użytkowników z ich przeglądarkowej gry "Town of Salem". Naruszenie danych zostało po raz pierwszy wykryte i ujawnione 28 grudnia 2018 roku, kiedy to kopia bazy danych Town of Salem została anonimowo przesłana do serwisu DeHashed, (wyszukiwarka i agregator baz danych zdobytych przez hackerów).

 
Baza danych zawierała dowody przełamania zabezpieczeń z serwerów i dostęp do pełnej bazy danych graczy, która zawierała m.in. 7 633 233 adresów e-mail (najczęściej występujący dostawcy poczty to: Gmail, Hotmail i Yahoo.com). Na liście znalazły się także użytkownicy z Polski, m.in. konta pocztowe zarejestrowane z domen wp.pl (ponad 16 tysięcy) oraz z o2.pl (ponad 9 tysięcy).

Po przeanalizowaniu kompletnej bazy danych, DeHashed ujawniło, że zainfekowane dane zawierały następujące informacje o graczach Town of Salem:
  • Adresy e-mail;
  • Nazwy użytkowników;
  • Zahashowane hasła (w formatach phpass, MD5 (WordPress) i MD5 (phpBB3));
  • Adresy IP;
  • Aktywność w grze i na forum;
  • Niektóre informacje o płatnościach (w tym pełne nazwy, adresy rozliczeniowe i wysyłkowe, informacje o IP i kwoty płatności).

Top 50 adresów mailowych z wycieku BlankMediaGames:

email ilość
gmail.com 4530276
hotmail.com 928706
yahoo.com 662824
outlook.com 158033
icloud.com 93557
aol.com 77929
live.com 75164
hotmail.co.uk 63992
comcast.net 26435
web.de 24999
ymail.com 23881
mail.ru 23851
google.ca 20984
seznam.cz 17693
wp.pl 16875
gmx.de 16500
msn.com 15472
googlemail.com 14818
live.co.uk 14800
me.com 14614
yahoo.co.uk 14601
abv.bg 14538
hotmail.fr 14040
rocketmail.com 13263
mail.com 13036
hotmail.ca 11457
live.nl 11094
yahoo.ca 10702
live.ca 9986
o2.pl 9260
hotmail.de 8992
windowslive.com 8910
att.net 8899
live.se 8551
sbcglobal.net 8436
yopmail.com 7938
hotmail.it 7243
verizon.net 7121
yahoo.de 6994
aim.com 6855
trbvm.com 6831
yandex.ru 6785
hotmail.se 6595
mvrht.net 6200
live.dk 5959
cox.net 5741
btinternet.com 5480
live.com.au 5454
hotmail.es 5322
yandex.com 5259

BlankMediaGames przyznało także, że w naruszeniu tym nie ujawniono numerów kart kredytowych użytkowników.

Źródło:
thehackernews.com

blog.dehashed.com

Czytaj więcej...

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift