joi, 30 iunie 2011

Rebeli cibernetici care au trecut de partea legii

0 comentarii
 
Hacker-ul George Hotz, cunoscut drept Geohot, a trecut de curand de partea “binelului”, angajandu-se la Facebook, dupa ce cativa a tulburat gigantii din industrie. Hacker-ul in varsta de 21 de ani, a devenit cunoscut dupa ce a dezvoltat o serie de coduri si instrumente, care i-au permis sa ruleze copii ilegale de jocuri pe consola PlayStation 3.
Insa inainte de aceasta realizare, GeoHot a fost printre primii care a reusit sa ii enerveze la culme pe cei de la Apple prin jailbreak-ul iPhone-ului.
Dar Hotz nu este primul hacker care a devenit legitim si si-a pus abilitatile digitale in slujba unei companii mari.
Iata alti cinci rebeli digitali care au trecut de partea legii:
Chris Putnam, programator Facebook
In 2005, Chris Putnam si alti doi prieteni au creat un vierme care iti facea pagina de Facebook sa arate asemeni unui profil de My Space. Farsa ar fi putut sa fie considerata amuzanta ,intr-o oarecare masura, daca viermele nu ar fi sters si detaliile de contact ale unor useri.
Putnam a fost insa depistat destul de repede de catre co-fondatorul Facebook, Dustin Moskovitz, care a preferat o abordare neconventionala a problemei, trimitandu-i tanarului hacker un mail.
“Hei, ceea ce ai facut a fost amuzant, dar se pare ca stergi si informatiile de contact din profilurile utilizatorilor. Iar asta nu e atat de cool.”
In curand cei doi au inceput sa comunice prin mail-uri, pentru ca in cele din urma Moskovitz sa il invite pe Putman la un interviu.
“Am fost angajat pe loc si am inceput sa lucrez chiar la cateva zile dupa interviu,” a declarat Putman intr-un interviu.
Michael ‘Mikeyy' Mooney, dezvoltator aplicatii web
In 2009, un pusti in varsta de 17 ani pe nume Michael Mooney a creat un vierme care s-a raspandit rapid pe Twitter, postand mesaje spam pe conturile utilizatorilor. Adolescentul a declarat ulterior ca a creat viermele….din plictiseala.
Actiunea sa a atras atentia celor de la ExqSoft care i-au propus sa semneze un contract pentru pozitia de analist pe probleme de securitate. Travis Rowland, fondator al companiei mentionate mai sus, a sustinut ca tanarul are abilitatile necesare pentru o cariera in domeniu.
In plus, atata timp cat atacul nu s-a soldat cu extragerea unor informati care sa ii afecteze financiar pe utilizatorii Twitter, Rowland a considerat ca exista sanse ca adolescentul sa transforme pasiunea sa in activitate legala si platita.
Owen Thor Walker, consultant securitate
La varsta de numai 18 ani, Owen Thor Walker din Noua Zeelanda a devenit principalul suspect intr-o ancheta a FBI-ului, care investiga un botnet de 1.3 milioane de computere, “afacere” care a condus la pierderea a milioane de dolari in industrie pe plan global.
Dupa ce a fost arestat si supus unui proces, compania australiana de telecom Telstra l-a angajat pe Walker pe o perioada de 12 luni, pentru a vorbi despre securitate la sedintele de consiliu si seminarii.
Jon Lech Johansen, co-fondatorul double Twiste
Programatorul norvegian Jon Lech Johansen a ajutat la crearea DeCSS, unul dintre primele programe care au putut inlatura protectia digitala a DVD-urilor. Avea 15 ani la acea vreme.
Politia l-a arestat pe tanarul hacker dupa ce Motion Picture Association of America a depus o plangere impotriva lui pentru crearea acestei aplicatii. In cele din urma acuzatiile au fost retrase, iar Johansen a ramas cu porecla “DVD Jon”.
In 2007, hacker-ul a renuntat la “faradelegi” , devenind co-fondatorul companiei dezvoltatoare de aplicatii mobile, double Twist.
Kevin Mitnick, consultant securitate
Kevin Mitnick a petrecut peste doi ani fugind de oamenii legii, timp in care a fost unul dintre cei cautati infractori din Statele Unite.
Faimosul hacker a fost responsabil pentru numeroase infractiuni cibernetice, printre care furtul de software apartinand Motorola, Novell, Fujitsu si Sun Microsystems.
In 1999, Mitnick a pledat vinovat la acuzatiile procurorilor si a petrecut aproape cinci ani in inchisoare. In ciuda faptului ca a fost eliberat in 2000, autoritatile i-au permis hacker-ului accesul la Internet abia in 2003.
In prezent, Mitnick isi conduce propria compania de consultanta in securitate.
Readmore...

Mark Zuckerberg mai bogat decat Steve Jobs

0 comentarii
 
Desi nu a implinit nici macar 30 de ani, Mack Zuckerberg, fondatorul Facebook, ocupa locul trei in topul celor mai bogati baieti din industrie, informeaza publicatia Time.
Datorita unor noi investitori, valoarea de piata a Facebook a ajuns la 70 de miliarde de dolari, ceea ce a contribuit si la sporirea averii lui Zuckerberg, care valoreaza acum 18 miliarde de dolari.
La o asemenea cifra, CEO-ul Facebook i-a depasit pana si pe cei mai cunoscuti lideri din industrie, printre care Steve Ballmer, Steve Jobs, Larry Page si Sergey Brin. Primul loc in topul celor mai bogati oameni din industria tech este Bill Gates, urmat de Larry Ellison, de la Oracle, pe locul 3.
Readmore...
miercuri, 29 iunie 2011

Social Engineering / Inginerie Sociala – Part 3 -

0 comentarii
 
Deoarce ingineria sociala exploateza factorul uman, ca veriga cea mai slaba dintr-o organizatie,cea mai eficienta metoda de aparare este educarea oamenilor.
Totusi nu trebuie uitat si partea tehnologica(pshingul poate fi evitat, daca ar exista un browser care le-ar detecta).

Apararea pe mai multe niveluri
Multi-level Defense against Social Engineering:
1.Foundation Level: Politici de securitate impotriva igineriei sociale
2.Parameter Level: Security-awarness pentru useri
3.Fortress Level: Training de calitate pentru personalul cheie
4.Persisence Level: Remindere la intervale mici in legatura cu Ingineria Sociala
5.Gotcha Level: “Social engineering land mines”(SELM)
6.Offensive Level: Incident Response(Gragg 2003)
Politici de Securitate
Acestea sunt fundatia unei strategii de aparare impotriva IS(Inginerie Sociale).
Pentru a generate o politica de securitate stabila, trebuie urmati niste pasi, cativa ar fi:
1.Indentificarea bunurilor
2.Identificarea riscului/amenintarilor
3.Analiza riscului
4.Prioritizarea riscului
5.Planificare si desfasurarea unui control de raspundere a riscului
6.Monitorizare
Security Awarness vs Technologies Measures
Deoarece IS are ca tinta cea mai slaba verica dintr-un sistem(omul), “security awarness-ul” este foarte important.Chiar si in politicile prezentate mai sus, Gragg punea accentul pe training.
“The truth is that here is no technology in the world hat can prevent a social engineering attack”(Mitnick and Simon 2003)
“In short: Do not rely on security devices.To neutralize such hacker’s techniques, one must use their own weapons against them: good ol grey matter”(Lafrance 2004).
Training
Polica de securitate este la fel de scumpa ca foaie pe care este scrisa, daca aceasta nu este implementata cu forta.Un angajat ce participa des la programe de “security-awarness” are sanse mult mai mici sa pice unui atac de tipul Iginierie Sociala.
Incident Response
Atunci cand cineva detecteaza acest atac, trebuie sa anunte imediat o persoana autorizata in organizatie, astfel incat ‘hacker-ul’ sa nu poata cauta alta victima.
Technologies Measuress
Cum am spus si mai sus, acestea joaca un rol in lupta impotriva ingineriei sociale.
Astea ar fi:
1.Network Security – retea trebuie protejata impotriva sniffing-ului,garp etc.
2.Virus Scanners – protectie impotriva troienilor,viermilor etc
3.IDS/IPS – Intrusion-Detection Systems/Intrusion Prevention Systems – NIDS – HIPS
4.Hard-ul – ce contie informatii confidentiale trebuie criptat etc
Testarea Politicii
Politicile de securitatea trebuie testate la un interval regulat de timp.
Guidelines
1.Foloseste politicile de securitate
2.Cunoasteti angajatii
3.Sa nu ai incredere in nimeni
4.Nu raspunde imediat ce ti s-a facut un favor, gandeste de 2 ori inainte sa le returnezi favorul
5.Pune intrebari ‘rele’
6.Nu te grabi sa raspunzi la intrebari, Iginerii sociali pun presiune pe tine
7.Sa te supui autoritatii e bine, sa verifici autoritatea e si mai bine
8.Raporteaza incercari de inginerie sociala IMEDIAT
Concluzii
Ingineria sociala este un tip de atac, ce nu poate fi remediat prin folosirea de tehnologii.Paradaxol, cazi in aceasta plasa, deoarece crezi in buna natura a omului.
Cel mai important lucru de facut este marirea awarness-ului in legatura cu acest subiect, si sa il pastrezi la acel nivel prin repetare continua.
Part I – Part 2 – Part 3
Asta a fost ultimul dintr-o serie de 3 articole despre acest subiect. 
P.S.:Aceste informatii trebuie folosite in scop pur educativ.
Readmore...

Social Engineering / Inginerie Sociala – Part 2 -

0 comentarii
 
Unul din scopurile principale al un inginer social este acela de a aflaparole.Acest lucru nu este suprinzator avand in vedere ca parolele sunt cele mai comune metode de autentificare.
FACTS
O organizatie(Infosecurity Europe), a facut un test in 2004 pentru a aflat cat de informati sunt oamenii dintr-o companie in legatura cu confidentialitatea parolelor, care ar furniza informatii ce se gasesc pe PC-ul personal de la firma.
In general ei primeau intrebari de genul “Care este parola dumneavoastra?”

Rezultatele nu s-au lasat asteptate, acestea fiind chiar alarmante :
- 37% din oameni au spus parola, imediat ce au fost intrebati
- 36% au refuzat sa spuna parola, dar cand s-a aplicat o regula simpla de inginerie sociala de genul “Pariez ca are legatura cu copilul tau, sau cu o persoana draga”, aceasta a fost dezvaluita
Doar 53% dintre oameni ce au fost supus interviului au spus ca nu si-ar da parola daca ar fi ceruta de un om de la IT.Asta ne arata ca aproape jumate ar pica pentru “Salut, sunt de la Departamentul IT, imi poti comunica parola ca sa rezolv o probleam cu contul tau?”.
- 4 din 10 stiau parolele altor colegi
- 55% au spus ca si-ar comunica parola sefului lor direct(cum am discutat in articolul precedent!!!,aici e strans legatura cu autoritate)
- 2/3 din oameni folosesc aceiasi parola la email, cu cea din firma
In functie de intervalul in care parola este schimbata, s-au gasit urmatoarele:
-51% din parole sunt schimbate lunar
-3% din parole sunt schimbate saptamanal
-2% din parole sunt schimbate zilnic
-10% din parole sunt schimbate la 3 luni
-13% din parole sunt schimbate foarte rar
-20% din parole nu sunt schimbate niciodata
+ cei ce isi schimbau parolele des, le scriau pe un bilet, sau intr-un document word de pe PC.
S-a mai descoperit ca:
-80% din muncitori se saturasera de parole
-92% au spus ca ar prefera ceva bioemtric(dupa amprenta, scannere) pentru autentificare.
Acum sa redau un citat:
There is no doubt that over time, people are going to rely less and less on passwords.People use the same password on different systems, they write them down and they just don’t meet the challenge for anything you reall want to secure.“(Kotaida 2004)
Faptele prezentate mai sus, ne arata ca, cu cat am incerca sa prevenim atacurile de tip inginerie sociala folosind tehnologii, cu atat vom crea probleme mai mari(gen folosirea de bilete/word pentru stocarea parolelor).
True Stories:
Un inginer social foarte bine antrenat are posibilitatea sa ajunga acolo unde vrea, nu ma credeti ? Sa va dau un exemplu celebru:
THE POSTMAN AS SENIOR PHYSICIAN”
Pe Scurt : Un postas ce a reusit sa lucreze ca “senior physician” timp de 18 luni!A prescris pastile,a tinut seminarii in fata a sute de oameni, a invetat noi terminologii.Nu va vine sa credeti nu?! Uitati-va aici la Link “THE POSTMAN AS SENIOR PHYSICIAN“, iar daca doriti si un interviu cu el, puteti gasi aici.
Cateva chei din reusita lui Gert Postel:
1.Talent actoricesc
2.A invatat jargonul folosit de catre doctori
3.A reusit sa folosesc autoritatea, inventand “boli” noi. Niciun membru nu l-a intrebat nimic,astfel evitand sa arate incompetent.
4.O personalitate foarte atractiva.
O alta anecdota are legatura cu politia.Atunci cand Postel a fost demascat a decis sa fuga de arest, dar politia a reusit sa ii gasesca pozitia exacta.Postel i-a “mirosit” si a lipit pe usa un biletel in care zicea ” Dear Simone, I’m with Steffi in Bremen. Will be back in a week. See you ,your .. ”
Postel se uita pe vizor, iar intre el si politie erau doar 10cm, dar politia a decis sa plece, deoarece au hotarat ca el era in Bremen :) ))( DA! NICI MIE NU MI-A VENIT SA CRED!! ). Acesta fapta poate fi considera ca inginerie sociala prin surpirza, nimeni nu s-ar fi asteptat ca un criminal cautat sa fie asa de impertinent.
Asa cum zicea si Mitnick:
“Manipulative people usually have very attractive personalities. They are typically fas on their feet and quite articulate”.(Mitnick and Simon 2003)
Cam asta a fost partea IIa despre ingineria sociala.Aici gasiti Partea I.Partea III se va discuta despre moduri de prevenire a atacului de gen “Iginerie Sociala”
Part I – Part 2 – Part 3
Asta a fost una dintr-o serie de 3 articole despre acest subiect. 
P.S.:Aceste informatii trebuie folosite in scop pur educativ. 
Readmore...

Social Engineering / Inginerie Sociala -Part I –

0 comentarii
 
Securitatea ar trebui sa fie de o mare importanta in fiecare business, din moment ce o bresa in securitate ar afecta atat valoare companiei cat si imaginea acesteia.
Acestea fiind spuse, companiile se bazeaza orbeste pe tehnologii ce le-ar putea oferi acest tip de securitate, ignorand cea mai slaba veriga din sistem ” omul”.
In cele ce urmeaza va voi prezenta succint ce inseamna “social engineering” si cum se aplica aceasta.
Social engineering = un procedeu prin care un om este pacalit in a livra informatii private/confidentiale despre o firma, sau mai peotic spus ” arta si stiinta de a face oamenii sa se supuna dorintelor tale”(Harl 1997).
Atunci cand un atacator nu poate invinge tehnologia, aceasta apeleaza la acest timp de atac, inseland angajatii sa le dea acces.
De ce Social Engineering are o rata de succes mare? 
Acest tip de atac exploateaza vulnerabilitatile umane, ca ignorata sau naivitatea si foloseste concepte ca autoritatea, emotiile puternice, reciprocitatea, suprasolicitarea.
Cele mai multe atacuri se pot gasi in “6 weapons of influence” ( reciprocity, commitment and consistency, social proof, linking, authority , scarcity ) –Cialdini 1993.
O alta “vulnerabilitate” a oamenilor este aceea ca omul doreste sa ajute, astfel cautand satisfactie in ajutorarea unor persoane “la nevoie”.
Va voi prezenta cateva din vulnerabilitatile umane :

I.Emotiile puternice: 
Acestea sunt folosite pentru a aduce “tinta” la o stare emotionala asa mare, incat aceasta sa nu mai dea atentie argumentelor.
Ex :
1. Anticiparea (primeste bani sau un premiu, astfel facand omul mai putin suspicios)
2. Stres : angajatii sunt facuti sa creada ca vor fi concediati sau ca vor fi consecinte grave in urma deciziilor luate de acestia.
Altele ar mai fi : suprize, frica, suparare, panica, emotionare.
II. Supra solicitarea:
Un om poate procesa o informatie intr-un anumit timp limitat.
Modul de a folosi aceasta vulnerabilitate este felul in care niste informatii corecte pot fi puse alaturi de informatii eronate, iar cele din urma fiind mai greu de observat.
Alt mod ar fi abordarea unei probleme din o alta perspectiva, dar “victimei” nu ii este lasata timp sa se gandeasca la aceasta perspectiva astfel lasand victima devenind mult mai maleabila(ar accepta opinini fara sa mai puna intrebari).
III. Reciprocitatea:
Este descrisa ca un sentiment ce te face sa raspunzi automat la o favoare/cadou ce primesti. Omul este multi mai deschis sa raspunda la o cerere, daca a primit un cadou in prealabil.
Tot conceptul se refera la modalitatea de oferta-cerere. Cu cat dai mai mult, cu atat vei primi mai mult in schimb.
IV. Relatii:
Cu cat o relatie este mai lunga, cu atat vei vedea mai mult incredere intre 2 persoane. O modalitatea de a stabili o relatie este modul prin care 2 oameni pot deveni prieteni avand acelasi inamic.
Un exemplu interesant ar fi cel prezentat de Mitnick ” two-year hack” ( Midnick and Simon 2005)
V.Autoritatea:
Aceasta este una din cele mai folosite modalitati de a sustrage informatii.
O persoana va desfasura o actiune cu o probabilitate mai mare, daca o persoana cu autoritate le-o va cere.
Ex: Experimentul Milgram. Il puteti gasi aici.
VI.Integritate:
Acest idee se refera la inclinatia oamenilor de a rezolva niste task-uri, daca acestea sunt scrise si semnate de catre cineva. Adica vor reactiona la niste task-uri mai repede in scris, decat daca ar fi fost informati prin telefon.
Ex: un angajat este plecat in vacanta, iar atacatorul stie asta. El ar putea trimite mail-uri in numele lui, iar acestea sa fie citite si executate de catre alti oameni in subordinea lui, fara prea multe intrebari.
Tehnici de social-engineering:
1.Culegerea de informatii de pe Google.
2.Internet
3.Newsgroups
4.Listari telefonice( Pagini aurii/albe)
5.Google Maps
6. Social/Business Networking Sites ( hi5,facebook,linkdb)
7.Blogs
8.IRC/IM( yahoo,msn)
9.Spionaj
10.Telefon
11. Fata-in-fata
12.Dumpster Diving
13.Phishing
14.Reverse Social Engineering
15.Alte metode( nici eu nu le stiu pe toate ;) )
Asta a fost una dintr-o serie de 3 articole despre acest subiect.
- Part I – Part II – Part III
P.S.:Aceste informatii trebuie folosite in scop pur educativ.
Readmore...
marți, 28 iunie 2011

MasterCard.com website down in apparent Wikileaks-motivated internet attack

0 comentarii
 

http://www.flickr.com/photos/jkelber/400188349/
MasterCard's website is currently inaccessible following what appears to be a WikiLeaks-inspired internet attack against it.
In what appears to be the latest salvo by hactivists, the mastercard.com website is thought to be suffering from a denial-of-service attack - where an internet site is bombarded with a large amount of traffic making it impossible for genuine visitors to access it.
A Twitter user called ibomhacktivist seems to be taking responsibility for the attack, and links the action to the WikiLeaks-inspired attack on MasterCard by the Anonymous group last year.
sursa : http://news.hitb.org/

Readmore...

Why the Internet Is Fundamentally Less Secure Than It Used To Be

0 comentarii
 

http://www.flickr.com/photos/claus83/4181531476/
Your company's data is only as secure as the weakest security of the most fly-by-night website to which anyone in your organization has ever given their password.
Think about that for a moment: One of your summer interns used the same password on your company intranet as they use on the hacked-together open source message board on which they swap stories with their friends about how awesome it was to do whippets around the campfire at last year's Bonnaroo.
That's why leaks of user data and passwords like the kind that are happening with increasing frequency are so devastating -- no security system can protect a web application from a user who has the keys required to get in. (Aside: That's not entirely true; two-factor authentication systems can, but they're not common.)

sursa : http://news.hitb.org/
Readmore...