RSSمحتويات التصنيف: "الحوادث الأمنية"

اختراق موقع نواة لينكس وزرع بوابات خلفية

كُشف اختراق في خوادم موقع نواة لينكس على مستوى الجذر. الخوادم التي اخترقت اصيبت ببرمجيّة خبيثة (rootkit) استطاعت الحصول على صلاحيّات جذر، تعديل في بعض الملفات، هذا بالاضافة الى تسجيل كلمات المرور الخاصة بالأشخاص الذين يستخدمونهم.

الاختراق حسب الموقع تم في 12 من اغسطس (الحالي) ، ولكن تمّ اكتشافه في 28 اغسطس. الكشف تمّ بعد تسريب ايميل لأحد القائمين على النواة يصف فيه تفاصيل الاختراق. حسب ما توصل له الفريق لغاية الان فإنّه قد تمّ اختراق حساب لمستخدم ومن ثمّ رفع الصلاحيّات الى جذر. غير معروف حتى الّلحظة الآلية التي تمّ استخدامها للوصول الى صلاحيات الجذر.

حسب ما ورد في اعلان موقع النواة فإن آثار الاختراق محدودة نظراً لنظم الحماية الموجودة في نظام ادارة الملفات git. حيث ذكر انه لكل ملف من الملفات 40 الف في نواة لينكس هناك هاش SHA1 مستخدم لمعرفة محتوى الملفات بالضبط (المقصود اي تعديل سيغير قيمة الهاش). ولا يمكن تغيير الاصدارات القديمة بدون ان يلاحظ احد ذلك. هذه القيم ليست موجودة على الخوادم فقط ولكن موجودة أيضاً لدى الاف المطوّرين والمحافظين على التوزيعات واعضاء آخرين في kernel.org.

الموقع يعمل مع 448 مستخدم على تغيير كلمات مرورهم و مفاتيح SSH الخاصّة بهم.

هذا ملخص لما حدث وفق الموقع:

– المتسلل حصل على صلاحيات جذر على الخادم Hera.
– الملفات الخاصّة باس اس اتش (OpenSSH, openssh-server and openssh-client)
-حصان طروادة تمّت إضافته الى ملفات بداية النظام (Start up)
-تفاعل المستخدمين مع النّظام (الدخول الى النظام، الاوامر) تمّ تسجيلها
-تمّ اكتشاف حصان طروادة نتيجة رسالة خطأ في Xnest /dev/mem
-يبدو ان 3.1rc قد منعت حاقن كود الاستغلال

ملخص ما تمّ عمله حتى الان
-تمّ اخذ خوادم من خط الانتاج من أجل عمل نسخ احتياطي وهم الان في طور إعادة تهيئة لهذه الخوادم.
-تمّ اعلام السلطات بالامر (في الولايات المتحدة واروربا)
-سيتمّ عمل اعادة تثبيت لكافة الخوادم في Kernel.org
-يتم عمل تحليل للكود في git من أجل التّأكد من أنّه لم يتم تعديل أي شيء

اختراق حساب شبكة فوكس الاخباريّة ونشر اخبار كاذبة عن اوباما

تعرّض حساب شبكة فوكس الاخباريّة الأمريكيّة لاختراق حيث قام المخترقون بشر اخبار كاذبة عن اغتيال الرئيس الأمريكي بارك اوباما. اختراق الحسابات ليس بالأمر الجديد ولكن أن تقع فيه شركات كبيرة وأن لا تقوم هذه الشركات بالتّصحيح بعد علمها بالاختراق هذا هو الغريب في الأمر.

الصورة في الأسفل هي لحساب شبكة فوكس على توتير ولا زالت حتى نشر هذا الخبر تحتوي على الأخبار الكاذبة

تم اختراق Sony مرة أخرى !!!

 

نعم , هذا الخبر صحيح و المخترق هو نفسه Lulzsec الذي اخترق سوني من قبل. كان هدفه هذه المره هو “SonyPictures.com” و الذي كان يحتوي 1,000,000 مستخدم بمعلوماتهم الخاصة بما فيها كلمات المرور و عناوينهم البريدية و عناوين السكن. كما تم الاختراق على مستوى حسابات المدراء بما فيها كلمات المرور.

استطاع المخترق أن يستخدم طريقة حقن البيانات في ثغرة حقن بدائية موجودة في الموقع فمن أول الحقن استطاع عرض جميع ما يريد. أسواء ما في الحدث أن شركة سوني تخزن كلمات مرور 1,000,000 بدون أي نوع من أنواع التشفير؟؟!!!

قام المخترق برفع الملفات على مواقع التحميل لكن سرعان ما تم حذفها , و تستطيع أن تجد الملفات في موقع التورينت الشهير ThePirateBay.org فهي ما زالت موجوده.

 

شخصيا لا أدري ما أقول .. لكن في المرة الأولى قلت لكل جواد كبوة ,, لكن يبودا أن سوني وصلت لمرحلة الإهمال و اللا مبالاة بمعلومات زبائنها.

تحياتي و احترامي

 

خوادم ورد برس تتعرض لاختراق على مستوى الجذر

اعلنت شركة اتوماتيك الرّعاية لبرنامج التّدوين الشّهير ورد برس على لسان مؤسسها، عن اختراق على مستوى الجذر للعديد من خوادمها ونسخ الكود المصدري. مع أنّ الكود الخاص بورد برس مفتوح إلّا  أنّ هناك بعض الكود المشترك مع بعض شركاء الشّركة والذي من المفترض أن يكون سريّاً.

ليس معلوماً بعد كيف تمكن المهاجمون من اختراق الخوادم والحصول على صلاحيّات جذر، حيث لا زال عمليّة التحقيق في هذا الاختراق الامنيّ مستمرة.

حسب الشّركة معلومات مستخدمي ورد برس كأرقام بطاقات الإئتمان ومعلومات شخصيّة أخرى لم يتمّ اختراقها. ولكن الشّركة تنصح جميع مستخدميها بتغيير معلومات الدّخول الى حساباتهم (كلمة المرور).

اختراق موقع MySQL بـ… ثغرة حقن SQL

أعلن في عدّة مواقع عن اختراق موقع قاعدة البيانات الشهيرة MySQL، “الطريف” إن أمكن وصفه بذلك هو كون الاختراق تمّ عن طريق هجوم حقن Blind SQL Injection. والقراصنة والذي تبيّن لاحقاً أنّهم فريق روماني قاموا بنشر البيانات التي حصلوا عليها من الموقع وتشمل كلمات مرور مشفّرة. لقد بدأ عملية لكسر هذه الكلمات وتمّ نشر النتائج في بعض المواقع.

هجمات حقن قواعد البيانات لا زالت ضمن أكثر ١٠ هجمات تستهدف مواقع الانترنت منذ فترة طويلة ولا يوجد هناك دلائل على أنّها ستنتهي قريباً.

اختراق موقع الكود المصدري الشّهير Source Forge

أعلن موقع Source Forge عن حدوث هجوم على البنية التّحتية للمطوّرين. هذا الهجوم أدى إلى اختراق لبعض الخوادم. قام الموقع بإغلاق بعض الخدمات الموجّهة للمطوّرين من اجل حماية الخدمة ككل.

تمّ اكتشاف الأمر على الخوادم التي تستضيف CVS ولكن تحليل فريق Source Forge أظهر أنّ هناك خوادم أخرى قد تعرضت للاختراق. يعكف الموقع حاليّاً على تحديد مدى الهجوم والتّأكد من الخدمات والبيانات.

حاليّاً الخدمات التالية في موقع Source Forge معطّلة:

* CVS Hosting
* ViewVC (web based code browsing)
* New Release upload capability
* Interactive Shell services

عملية التحقيق لا زالت في بدايتها وسيقوم الموقع بتزويد تفاصيل الهجوم حال انتهائه من التّحقيق.

قام الموقع بتغيير كلمات المرور لحوالي مليوني مستخدم كإجراء احتياطي.

موقع فيدورا يتعرض لحادث أمني

تعرض موقع التّوزيعة الشّهيرة فيدورا لاختراق أمني في 22 من الشهر الجاري. الاختراق تمّ على ما يبدو عن طريق استهداف أحد المساهمين في المشروع. حيث استلم هذا الشخص بريد يعلمه بتعديلات قدّ تمّت على حسابه.

قام الشخص بالاتصال بفريق البنية التّحتيّة وأعلمه باستلامه للبريد وأنّ التغيرات قدّ تمّت ولكن بدون أن يكون هو قام بها. قام الفريق بعملية تحقيق فورية واستنتج أنّ معلومات الحساب قد تعرّضت لاختراق خارجي.

الشخص الذي تمّ اختراق حسابه لديه القدرة على القيام بعمل تعديلات ملفات وحزم فيدورا وهو أمر خطير لو نجح.

الطريقة التي تمّت بها معالجة الحادث هي احترافيّة وتستحق الاحترام. (لا عجب في ذلك من أشخاص كالقائمين على مشروع فيدورا)

وفقاً لفريق البنية التحتية وبعد عمليّة التّدقيق:

1-  فإنّ المهاجم قدّ تمكن من تغيير مفاتيح SSH

2- وتسجيل دخول في موقع fedorapeople.org

المهاجم لم يقم بـ:

1- دفع اي تغيرات الى فيدورا SCM (إدارة التّحكم بالمصدر Source Control Management)

2- اصدار أي شهادات أو القيام بأي عملية بناء

3- دفع تحديثات للحزم

عندما نقارن هذا الحادث بالحادث الذي تعرض له موقع الشائعات Gawker فنرى أن الفرق بين الاثنان شاسع. ففي حالة فيدورا بمجرد معرفة الشخص المستهدف أن حسابه قد تعرض إلى تغيير، قام بإبلاغ فريق البنية التحتية والذي تحرك فوراً لتدارك الحادث. في حين في حالة Gawker فإنّه على الرّغم من كون هناك إشارات على عملية اختراق أو محاولة اختراق على أقل تقدير فقدّ تمّ تجاهل الموضوع والاستهتار به.

كذلك نلاحظ كيف أن فريق فيدورا قد قام بعملية تحليل شاملة لمعرفة ما الذي تمّ بالضبط. في حين كان هناك تخبّط كبير في حالة Gawker ولم يكونوا متأكدين من كون موقعهم مخترق.

أي موقع مهما كانت مهارة القائمين عليه معرض لمثل هذه الحوادث، ولكن الفارق هو في طريقة الرّد وتدارك هكذا حوادث.

حصان طروادة يصيب أجهزة اندرويد في الصين

أصاب حصان طروادة (Trojan) أطلق عليه Geinimi العديد من أجهزة اندرويد في الصّين. يقوم هذا البرنامج بسرقة معلومات مستخدم الجهاز الشّخصيّة ويقوم بإرسالها إلى خادم بعيد. بعد تحميل البرنامج على جوّال بإمكانه استقبال أوامر تسمح لصاحب الخادم بالتّحكم في الجوّال. حتى الآن الغاية من هذا البرنامج غير واضحة، ولكن الاحتمالات تتراوح ما بين شبكة إعلانات خبيثة إلى محاولة إنشاء شبكة (botnet) على أجهزة أندرويد.

كيف يعمل؟

عندما يتمّ تشغيل تطبيق يحتوي على الحصان، يقوم الحصان بالعمل في الخلفية ويبدأ بجمع معلومات قد تؤدي الى كشف خصوصيّة المستخدم. المعلومات التي يقوم بجمعها تشمل: احداثيّات الموقع، الرقم الخاص بالجوّال IMEI و الشّريحة IMSI.

يقوم Geinimi كل 5 دقائق بمحاولة الاتصال بخادم ما من خلال قائمة متضمَّنة تحتوي على عشرة نطاقات. هذه قائمة ببعض هذه النّطاقات www.widifu.com, www.udaore.com, www.frijd.com, www.islpast.com and www.piajesj.com. اذا تمّ الاتصال (بنجاح) بأحد هذه النّطاقات،فإن Geinimi يقوم بإرسال معلومات الجوّال إلى الخادم.

خلال تحليل شركة Lookout لكود Geinimi (والذي لا زال مستمراً)، اظهر البرنامج القدرات التّالية:
1- ارسال احداثيّات الموقع
2- رسال معرّفات الجوّال
3- تحميل وإظهار رسالة للمستخدم تطلب تحميل تطبيق
4- اظهار رسالة تطلب من المستخدم إزالة تطبيق
5- ارسال قامة بالتّطبيقات المثبّتة على الجوّال إلى الخادم

مطوّروا Geinimi رفعوا درجة تعقيده باستخدامه تقنيات اخفاء لنشاطاته، بالإضافة لكل كميّة كبيرة من معلومات الإدارة والتحكم قد تمّ تشفيرها. كل هذه التقنيات قد تمّ كشفها ولم تفشل عملية تحليل البرنامج ولكنّها رفعت بشكل كبير من مقدار الوقت الذي تحتاجه العملية.

من المصابون؟

حاليّاً هناك ادلّة على كون Geinimi قدّ تمّ توزيعه من خلال مستودع تطبيقات طرف ثالث في الصين. لتحميل تطبيقات الطّرف الثالث، على مستخدم اندرويد تفعيل امكانيّة تحميل التطبيقات من طرف ثالث. يمكن تحميل Geinimi في تطبيقات في مستودعات أخرى في دول متعدّدة ولكن من غير الظّاهر ان الحال كذلك حتى اللحظة.

كيف تقي نفسك؟

1- لا تقم بتحميل أي تطبيق إلّا من المستودعات التي تثق بها.
2- دائماً افحص الصّلاحيّات التي يطلبها التّطبيق.
3- راقب جوّالك وكن متيقظاً لأي تصرف غريب قد يظهر عليه. مثلاً مشاهدات تطبيقات لا تعرفها مثبّتة عليه، مكالمات صادرة دون ان تكون انت من قام بذلك.
4- حمّل تطبيقات حماية على جوّالك.

لمزيد من المعلومات

http://blog.mylookout.com/

اختراقات مواقع بالجملة

خلال عطلة الأعياد، عدّة مواقع تعرّضت لاختراق كامل ونشر تفاصيل الاختراق بما في ذلك محتويات الخوادم على الانترنت. بعض هذه المواقع تستخدم في نشر توزيعة Backtrack الشّهيرة (exploit-db.com). وأداة ettercap من غير الواضح حتى الآن متى تمّ الاختراق وإذا ما تمّ التلاعب بالأدوات بتوزيعة backtrack. ولكن يبدو أنّه قد تمّ وضع بوابة خلفية في أداة ettercap كما ذكر المخترقون.

الاعلان عن الحادثة في موقع exploit-db.com

عيّنة من البيانات التي تم نشرها

المصدر
http://isc.sans.edu/diary.html?storyid=10156
لمزيد من المعلومات
http://www.exploit-db.com/owned-and-exposed/

القراصنة ينشرون كلمات مرور مستخدمي وكاتبي Gawker

موقع شركة Gawker الإعلاميّة المشهورة، والناشرة لمواقع مثل Gizmodo و Lifehacker والذي يتابع خصوصيات النّاس ونشر أسرار الشركات (مثل قصة ايفون 4) تعرض لاختراق أدى إلى سرقة معلومات ملايين المستخدمين، من ضمنهم صاحب الشركة، والعديد من كتابها. بالإضافة إلى حسابات مواقع رفع الملفات التابعة للشركة. هذا بالإضافة إلى معلومات أخرى حسّاسة مثل المحادثات بين موظفين الشركة، وكلمات المرور المستخدمة داخل الشّركة، بالإضافة إلى التصميم الجديد لموقع الشركة، وأكواد المواقع المتفرّعة منها.

فريق Gnosis تبنى عملية الإختراق، وقام بنشر كافة هذه المعلومات على الإنترنت، فيما يبدو عملية تصفية حسابات بين الفريق وإدارة شركة Gawker. اللافت في بعض المعلومات المنشورة هو قيام مدير الشركة بتخزين كلمات مروره للعديد من المواقع مثل twitter، تطبيقات غوغل، وغيرها على خوادم الشركة وبدون تشفير.

أمثلة على بعض ما تمّ نشره:

حساب مدير الشّركة

ملف الظّل على أحد الخوادم

حسب تدوينة لأحد كتاب الموقع، لديهم قصّة كيف تمّ اختراقهم ولكن لا يستطيعون نشرها. المواقع حاليّاً جميعها معطّلة وإن كانت تظهر محتوى للزّوار.

رسالة أحد كتّاب Gawker

إذا كنت عضواً في أحد المواقع التّابعة للشركة فلا تقم بتغيير كلمة مرورك لديهم بعد (حسب HD Moore)، حتي حتى يقوم بإصلاح أمن خوادمهم. HD Moore قام بنشر قائمة تحتوي على نطاقات بريد الأعضاء وتشفير كلمات مرورهم، تتيح للأعضاء البحث فيها لمعرفة إن تمّ اختراق حسابهم أم لا.