Index A-Z
Nyhetsbrev
RSSTjo!
Då var man hemma från ett par dagar i götet, denna gången var det ICT expo som gick av stapeln. En liten, men mycket trevligt tillställning. För er som inte vet vad ICT Expo är så är det en utställar mässa som kombinerar massa montrar med föreläsningsscener. I år hade dom totalt tre olika scener där det nästan konstant var antingen en föreläsningen eller paneldebatt.
I år (kanske även tidigare år) fokuserade mässan på BUSINESS IT, TELECOM & MOBILITY, IT INFRASTRUCTURE, IT-SECURITY och INTERNET EXPO & DIGITAL MARKETING.
Jag deltog i två stycket paneldebatter om IT-säkerhet där vi hade Magnus Aschan som moderator. Den första handlade om hur man skulle planera sin säkerhetsbudget, andra säkerhetstomtar som deltog i debatten var även, Linus Degrell, Dennis Bergström, Conny Jäverdal och Anne-Marie Eklund Löwinder.
Så säkrar du upp dina användare i molnet, autentisering och molnteknik var titel för den andra paneldebatten, och i denna debatten fick vi höra röster från Per Furberg, Fredrik Ljunggren, Björn Kjellen och Anne-Marie Eklund Löwinder.
Men utöver paneldebatterna så hade jag även en liten uppgift, nämligen att hitta give-aways som faktiskt var användbara på olika sätt. Jag satte upp ett par olika kategorier som lyder:
- Mest användbara pryl
- Den coolaste prylen
- Den onödigaste prylen
- Den mest annorlunda prylen
Som ni kanske vet så är det ofta pennor, USB-minnen och kapsylöppnare som man får på mässor, men ibland så stöter man på en monter som har grymt coola saker. Dilemman är att dessa saker har en tendens att försvinna ganska snabbt.
När jag kom hem och packade upp min påse så såg jag att det fanns faktistk ett par ganska coola saker med. Det var otroligt svårt att ta fram en vinnare, men det var en pryl som stod ut, och en pryl som jag faktiskt kommer att använda.
De nominerade är:
- Bärbar högtalare från Secunia
- Power-Outlet-Converter från Veeam
- Glowing-studsboll också från Veeam
- Skoputs från ITM
- Kundvagns-femma till nyckelknippan från informator
- USB-armband (2GB) från Surfia
- Travelkit från Symantec
Så var beredda nu! vinnaren av min personliga ICT Expo give-away extravaganza 2012 är en pryl som är inte bara cool, men också användbar. Den är lätt att ta med sig; den kan antingen vara älskad, eller hatad, det beror helt på vem som använder den. För er som inte räknat ut det ännu så är vinnaren en Bärbar högtalare från Secunia! Grattis!
Vinnarna i de andra kategorierna är:
- Mest användbara pryl: Power-Outlet-Converter från Veeam
- Den coolaste prylen: Glowing-studsboll också från Veeam
- Den onödigaste prylen: USB-armband (2GB) från Surfia
- Den mest annorlunda prylen: Skoputs från ITM
Hakuna Matata!
Här sitter jag och smeker mina öron med grym dubstep från Skrillex och pular på min presentation för SEC-T. Detta är en liten konferens som körs i Stockholm, de som grundat den är själva grabbar från säkerhetsbranchen. Konferensen riktar sig till folk som är intresserade av lite mer teknisk IT-säkerhet, lite som den kända konferensen DEFCON. I år kommer vi se ganska mycket kul, vill dy veta mer så kolla in deras speaker-lista här: http://www.sec-t.org/2011/Speakers.html
Själv kommer jag prata om ”Exploiting logical flaws under Linux” och demonstrera sårbarheter som kan användas för allt möjligt, exempelvis hur man kringår SELinux, hur man skapar en backdörr utan att modifera binärer eller ladda kernel moduler och självklart mycket mer!.
BE THERE!
The SEC-T conference
The next conference will be held on the 8th and 9th of September 2011. The conference will have presentations with one hour time slots and sufficient time for questions and discussions after each talk. All presentations and official communications will be in English to allow our non-swedish-speaking presenters and attendees to participate without restrictions.
Who should come?
The SEC-T conference is designed to appeal to anyone with a interest in the technical side of information security or just a thirst for knowledge about what makes tech stuff work. So if you are a software developer, IT-security professional, tech student or DIY hacker, this will be a great experience for you.
Hej alla IT-stekare! Ursäkta för den dåliga uppdateringsfrekvensen, men jag och Sigourney Weaver har varit på ett hemligt uppdrag åt SETI@HOME.
Efter har varit iväg och jagat rymdvarelser upptäkte jag en konstig sak som jag måste berätta om. Allting började efter ha vaknat upp från bara några få timmars idle-mode. Jag känner då att något inte stämmer. Snabbt kollar jag min uptime och ser att något är fel.
För att komma i hacker-mood så smeker jag mina trummhinnor med lite DubFX!
Jag behöver snabbt ta kontroll över situationen och för att enumerera min omgivning kör jag snabbt en finger på localhost och ser att alla utom jag är idle.
Login Name Tty Idle Login Time Office Office Phone
it-stekare pts/21 6d Aug 1 09:18 (:pts/1:S.0)
myself pts/3 1d Aug 15 06:04 (:pts/5:S.2)
myself *pts/5 Aug 15 06:04 (:pts/5:S.3)
heidi pts/12 24d Aug 15 06:04 (:pts/5:S.4)
heidi pts/6 43 Aug 3 02:09 (:pts/2:S.1)… det tar en stund att smälta informationen, vad är det egentligen som hänt? Jag har altså tillgång till ALLT utan att någon ser det, detta är precis som när en fork vaknar före sina parents på julafton. Det finns ingen som kan monitorera mina actions. Inte en enda bogomips får till gå till spillo! Jag måste ta vara på situationen NU!
Snabbt söker jag genom filsystemet efter förändringar… jag monterar /dev/kyl och ser snabbt att ett flertal nya filer finns.
myself@localhost:/mnt/kyl$ ls -al
total 8286
drwx------ 11 myself users 1168 2011-07-27 10:37 .
drwxr-xr-x 12 root root 264 2008-05-06 13:16 ..
drwx------ 2 myself users 112 2008-12-06 19:12 .shelf1
drwxr-xr-x 5 myself users 184 2011-04-27 10:45 .shelf2
-rw-r--r-- 1 root users 1337 2011-08-14 19:58 .shelf3
-rw-r--r-- 1 myself users 1777 2010-08-09 17:54 mjölk
-rw-r--r-- 1 myself users 3163 2010-08-09 17:54 juice
drwxr-xr-x 2 myself users 288 2011-07-13 16:59 ost
-rw-r--r-- 1 myself users 2220721 2011-07-13 17:08 ketchup-bigpack
drwxr-xr-x 2 myself users 48 2011-07-27 10:37 skinka
-rw-r--r-- 1 myself users 1467 2011-04-20 20:39 vin
drwxr-xr-x 2 myself users 488 2011-06-16 15:33 smör
-rw-r--r-- 1 myself users 4066 2010-10-07 09:11 kryddor
-rw-r--r-- 1 myself users 36 2011-06-08 18:00 majonäsJag ser att något har tillkommit i den dolda katalogen shelf3… undrar vad det kan vara? Kan det vara så att någon annan har tillgång till /dev/kyl?
Paniken sitter djupt i halsen nu… snabbt börjar jag kolla efter laddade kernel moduler, rootkits, backdörrar och anslutningar till andra system. OMG WTF HAX 0DAY? Det finns en etablerad anslutning som jag absolut inte skapat….
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN /usr/sbin/httpd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN /usr/sbin/sshd
tcp 0 0 192.168.0.10:40793 198.116.65.57:1337 ESTABLISHED /var/log/.tmp/itstek
Genom att analysera itstek-binären så ser jag att den både läser och skriver till /dev/kyl, och inte minst så har den skapat en fil i shelf3-katalogen. Filen som den skapar ser ut att vara ett recept… men den innehåller ingredienser som oftast inte brukar finnas på filsystemet. Jag utför snabbt en 0day forensicsteknik som rendrerar filststemsförändringar och erbjuder att man exporterar det till JPG, och till min förvåning så på shelf3 hittar jag något suspekt!
Jag måste analysera detta djupare, jag samlar in allt material jag kan hitta, både recept och /mnt/kyl/.shelf3/.jordnötssmör och kör igång detta på mitt virtuella system. Flera CPU-cykler senare sitter jag där och stirrar på min output. Vad är detta? Vad används det till? Vem ligger bakom denna skapelse? Är det en fork av Stuxnet? Är det en ny typ av biologisk krigsföring?
För er som vill veta mer så tänkte jag lägga ut receptet som lagrats på mitt system. Ni får göra egna analyser med hjälp av detta, och kommer ni fram till något är det inte bara ert anser att rapportera detta, utan det handlar också om landets säkerhet.
myself@localhost:/mnt/kyl$ cat .shelf3/.peanut-backdoor.txt
PRIV8 P34NU7-B4CKD00R - KEEP IT PRIV8!!
Dependencies
1) 2st SMÖRGÅSAR
2) 1st OST
3) 1 PAKET SMÖR
4) SIRAP
Howto:
Kategorisera alla dependencies!
Appenda valfri mängd smör på smörgåsarna!
Montera den filtrerade jordnötsmören på smårgåsarna!
Ladda ned lite sirap på smörgåsen!
Fragmentera ett par ostskivor på smörgåsen!
Servera med ett kryddigt chai-te!
Har vi totalt glömt bort vikten av DNS-säkerhet? I dagsläget lever vi i en tid där hacktivister och riktade attacker ökar hela tiden, och vi har inte riktigt råd att äventyra vår säkerhet.
En enkel sak som en DNS zonetransfer kan ställa till problem, speciellt i en riktad attack. DNZ zonetransfers, eller AXFR som jag kommer kalla dom i resten av inlägget är ingen sårbarhet i sig, men enligt mig finns det ingen anledning till att exponera den informationen för alla.
En angripare kan tillskansa sig saftig information genom AXFR, som exempelvis information om operativsystem, interna IP addresser, mjukvaror, nätverksstruktur. Oftast används det för att replikera DNS-zoner mellan olika DNS servrar, men kan vi använda AXFR till något annat?
För några dagar sedan tänkte jag spendera lite tid på detta och försöka se om vi inte kan göra något användbart av det. Min tes var helt enkelt; om vi är så kassa på att säkra upp våra egna DNS-servrar, så kanske även de som sprider skadlig kod också är det? Exempelvis; kan vi använda DNS-information att identifiera sidor med skadlig kod?
Det var inte så länge sedan Google svartlistade kompletta serier av subdomäner från sin sökmotor. Om du inte läst om detta, så kan du hitta mer information här: :
http://www.seroundtable.com/co-cc-google-removal-13644.html
Vad som hände var att Google svartlistade b.la domämen co.co; vilket är en subdomän som varit känd ett tag nu för att ha hemsidor som sprider skadlig kod, allt från phishing attacker till drive-by-downlads. Dessa subdomäner existerar eftersom de vill undvika att behöva betala för nya domäner hela tiden, då är det enklare att registrera en gratisdomän hos en ”leverantör” som hanterar subdomäner.
Vi har redan en del statistik på vilka domäner och topdomäner som används bland skadlig kod. Till början använde jag den informationen och helt enkelt skannade av kända subdomäner som var kända för att sprida skadlig kod. Många av dessa domäner hade namnservrar som tillät mig att få ut all information via AXFR, vad man kunde hitta i informationen jag fick kommer jag till lite senare.
Under analysen så beslöt jag mig snabbt för att titta lite hur det står till med valida namnservrar också. Jag började med att skanna av alla våra toppdomäner, och använde mig av IANA TLD (Top Level Domain) list som går att hitta här:
http://data.iana.org/TLD/tlds-alpha-by-domain.txt
Av alla TLD (Top Level Domains) jag tittade på, så var det nästan 30% av alla som tillät AXFR.
Jag skapade sedan en enkel algoritm som lade till olika strängar som exempelvis ”gov”, ”mil” för toppdomänen, för att se hur många myndigheter, regeringar och andra högt profilerade institutioner låg till. Av alla myndigheter som testades var det 12% som tillåt AXFR.
Nu har jag fått svart på vitt, det är både de ”goda” och ”onda” som är sårbara mot detta, men vilka kan drabbas hårdast av det?
Eftersom projektet hade ett helt annat syfte så fortsatte jag titta på sidor och subdomäner som var förknippade med skadlig kod.
Vi ser ofta att sidor som sprider skadlig kod är förknippade med väldigt konstiga domännamn, det kan vara helt slumpgenererade namn, eller att de inkluderar sidan som de försöker attackera, exempelvis: login.facebook.com.phisihingsite.com. Detta är självklart inte en generell regel, många domäner är väldigt smarta och ser helt valida ut, men när det kommer till den långt hängande frukten, så är detta sant.
Så genom att använda DNS information kunde jag snabbt extrahera sidor som potentiellt innehöll skadlig kod, eller var en phishing site. Ett exempel på sidor jag hittade är en phishing site för att stjäla battle.net-konton.
Så vad gör vi nu då?
Till min förvåning som fanns det väldigt många DNS servrar hos väldigt profilerade företag, myndigheter och regeringar som tillät zonetransfers. Men som jag skrev tidigare så är detta inte en sårbarhet i sig själv, men informationen kan vändas i exempelvis riktade attacker.
Till min fördel så kunde jag även få ut information om sidor som kan förknippas med skadlig kod, vilket för att vi utökat vår svartlistningsdatabas enormt, men jag tycker inte det skall vara på bekostnaden av vår egen säkerhet.
Jag vill uppmuntra alla att granska sig själva, och vad för information som faktiskt exponeras ut på Internet. I mina ögon är det helt onödigt att exponera detta till alla.
*kablam!* då var det dags igen! Nu blir det Köttfärssource och pastaroonies!
Jag är ute med min pimpade iphone och lyssnar på lite dubstep och mindar min egen business, från ingen stans dök det upp en IT-stekare och drog mig åt sidan.
Oh Snap! först trodde jag att han skulle resetta min connection, precis som peer gör hela tiden, men jag insåg snabbt att det var han som behövde hjälp.Han berättade att han var rädd att LulzSec skulle hitta en farlig SQL injection och ta alla hans database och förvandla dom till tidlösa torrentfiler. Jag stod stilla och idlade i flera bogomips och visste inte hur jag skulle processa informationen.
Jag kom då ihåg att när jag bara var en beta-version, en tonåring som hängde på fidonet hade jag läst ett recept på hur man unviker sånna pinsamheter som att bli pwn3d av LulzSec. Utöver att man borde validera inmatad data, kryptera känslig information i databasen och använda stored procedures så fanns det även en hemlig lösning. Det är inte många som känner till den, men den heter ”8bitars köttfärssource och pastaroonies!
När jag försökte ladda ned detta hemliga COBOL skript fick jag endast ned en liten del, min carrier blev tokig och körde ++ATH0 på min session. Exakt hur den fungerar är det ingen som vet, men jag tänkte att han kanske kunde få lite hjälp av det så jag tog fram min fulhackade iphone och anslöt till min AS/400 terminal och dumpade ut COBOL skriptet:
$ SET SOURCEFORMAT"FREE"
ULTRA SECURE PROTECTION MODULE
V.1337. OH_SNAP!.
AUTHOR. Speed_Phreak
* Detta är ett superhemligt program som förhindrar alla attacker!
* Det validerar all input och ser till att du är 100% säker.
DATA DIVISION.
WORKING-STORAGE SECTION.
01 personer PIC 9 VALUE ZEROS.
01 itstekare PIC 9 VALUE ZEROS.
01 Result PIC 99 VALUE ZEROS.
PROCEDURE DIVISION.
DISPLAY "Hur många personer försöker du skydda? (max 9 pers) : " WITH NO ADVANCING.
ACCEPT Personer.
DISPLAY "Hur många av dom är IT-stekare? (max 9 pers) : " WITH NO ADVANCING.
ACCEPT itstekare.
MULTIPLY personer BY itstekare GIVING Result.
DISPLAY "Genererar säkerhetsmodul för antal personer = ", Result.
DISPLAY "" WITH NO ADVANCING.
DISPLAY "1. hacka löken!" WITH NO ADVANCING.
DISPLAY "2. bryn löken i en stekpanna!" WITH NO ADVANCING.
DISPLAY "3. bryn köttfärsen och hacka den i bitar" WITH NO ADVANCING.
DISPLAY "4. hacka vitlöken!" WITH NO ADVANCING.
DISPLAY "5. fragmentera köttfärsen och i med vitlöken!" WITH NO ADVANCING.
DISPLAY "6. Appenda de krossade tomaterna!" WITH NO ADVANCING.
DISPLAY "7. Joina köttfärsen med lite Mango Chutney!" WITH NO ADVANCING.
DISPLAY "8. GÅ ALL IN med lite ketchup!" WITH NO ADVANCING.
DISPLAY "9. Koka upp vatten, med en buljongtärning i!" WITH NO ADVANCING.
DISPLAY "10. Koka postan i det magiska vattnet!" WITH NO ADVANCING.
DISPLAY "11. Lägg sedan i den hemliga ingrediensen som är
NO DATA! NO DATA! NO DATA!
_EOF_
Som ni kan se har jag inte fått hela filen, jag har under flera år försökt att återskapa filen eller hitta den hemliga ingrediensen utan att lyckats, om ni vet vilken det är så kontakta gärna mig.
Detta är samma recept som jag delade med mig av till IT-stekaren! Den har en mer användarvänlig manual med GUI för er som inte kan köra COBOL kod eller inte har en AS/400!
[8BITARS KÖTTFÄRSSOURCE MED PASTAROONIES!]
Steg #1
Fragmentera 2st små gula lökar!
Steg #2
Undvik att bli pwn3d av de gula lökarna!
Steg #3
Koka upp vatten till pastan, och lägg i en buljontärning av valfri smak!
Steg #4
Defaca löken tills den blir gyllenbrun!
Steg #5
Montera lagom mycket köttfärs i stekpannan!
Steg #6
Pressa 2st stora vitlöksklyftor i pressarverktyget!
Steg #7
Låt lite Mungo Chutney göra en snygg JOIN i köttfärsen!
Steg #8
Applicera de krossade tomaterna!
Steg #9
Compilera hela röran!
Steg #10
Inkludera valfri pasta i den magiska pasta-vätskan!
Steg #11
Hacka lite 0day chili och stoppa i sourcen!
_EOF_
Nu är det bara att servera till närmsta bästa IT-stekare med lite bitter lemon och riven ost!
Hakuna Matata!
Det känns som att jag inte gör något annat än Facebook-maskar och annat otrevligt som finns där. Nu var det dags igen för ännu ett inlägg om just en applikation som sprids som en löpeld på Facebook. De flesta av er har säkert läst eller stött på någon variant på ”Stalker” applikationerna. Detta är applikationer som påstår kunna visa hur många (och vilka) som varit inne och tittat på din profil. Man skall antingen klicka på en länk, eller klistra in ett JavaScript i webbläsaren.
JavaScriptet som man skall köra i webbläsaren laddar sedan ännu fler script från andra servrar. Att de använder sig av flera domäner är b.la för att förhindra att exempelvis AntiVirus-program ska blockera domänerna. Tidigare har både sidorna och även meddelandet som skrivs på Facebook varit på Engelska, men nu har vi sett att de ändrar sin taktik lite och lokaliserar skripten. Nedanför är en skärmdump från en aktiv ”mask” som sprids på Svenska:
”Applikationen” sprider sig på Facebook, genom att skriva ett meddelande som ser ut att vara skrivit av den användaren. Du har de vanliga ”Like” och ”Comment”-knapparna, men sedan har du en ny som heter ”Scan Profile”. När man klickar på ”Scan Profile” så hamnar man på sidan som vill att du skall köra skriptet. Ett exempel av meddelandet finns nedan:
Under vår analys så upptäkte vi att alla domäner pekade till samma IP, och vi kunde via en dålig konfiguration ta fram ALLA domäner som denna masken anavänder, vilket var totalt: 44st. I dagsläget vet vi inte vad dessa apparna gör, oftase handlar det bara om reklam och spam, men det händer ofta att dom ändrar form och faktiskt blir skadliga och försöker infektera era datorer. Vi på Kaspersky jobbar nu med att blockera dessa domäner och JavaScript så se till att uppdatera ert antivirus och var uppmärksamma så ni inte luras på Facebook, man vet aldrig vad dessa applikationer gör för något förren det är för sent!
IT-Recept #1 – Att kompilera IT-stekarnas 0day off-by-one-pannkakor i 8 enkla steg!
IT-Recept #1 – Att kompilera IT-stekarnas 0day off-by-one-pannkakor i 8 enkla steg!
Då var det premiär för mina IT-Recept, en gång i månaden skall jag försöka att publicera ett recept som kommer att få allt från IT-stekare, BOFH, hackare, gamers eller alla andra som på något vis helt enkelt är ”IT” att gå i taket! För denna extravaganta premiär kommer jag att läcka IT-stekarnas hemlighet, de magiska off-by-one-pannkakorna!
Innan vi går vidare så måste vi såklat sätta stämmingen, men även få tillgång till våra dependensies, för att göra det så behöver vi först ha källkoden. Innan vi börjar så behöver vi som sagt sätta stämmingen, jag har lyckats att komma över ett unikt exemplar över den msuik IT-stekarna lyssnar på när de kompilerar pannkakorna!
Genom års av reverse engineering och debugging har vi nu hittat en sårbarhet i IT-stekarnas recept-databas och via den kan vi dumpa receptet för pannkakorna!
david@burk:~$ ./itstekare.py -t 1 -h 0dayrecept.int.itstekare [IT-stekare 0day recept dumping tool] [+] Setting up lisntener... [+] Connected, sending shellcode... [+] Ret: 0x0819f03e [+] Got: 0x0811a590 [+] Retreiving file... [0day-pancakes.c] ----------------------------------------------------------- 0day-pancakes.c /* * 0day off-by-one-pannkakor priv8! GE INTE UT! * */ #include <vetmjöl.h> #include <bakpulver.h> #include <salt.h> #include <socker.h> #include <mjölk.h> #include <ägg.h> #include <vaniljsocker.h> #include <smör.h> Läs resten av inlägget »
Igår precis innan jag skulle med flyget så läste jag genom lite mailinglistor. I en av trådarna kunde jag läsa om hur det lettiska kraftnätet blivit hackat och där fanns även länkar till ett par screenshots. Mitt under allting fick jag upp varningar om olika exploits och att en trojan försöktes laddas ned på min dator. Jag förstod inte riktigt vart meddelanden kom ifrån eftersom jag var ”bara” inne på Imageshack och ett par mailinglistor’s arkiv. Detta gjorde såklart att det kliade lite i fingrarna och var tvungen att forska lite på detta.
Jag upptänkte att det var ett annonssystem på Imageshack som spred skadlig kod via en drive-by-download. Det som hände var att när man gick upp Imageshack och den skadliga annonsen initierade så gransades versionen på din webbläsare och vilka plugins du hade. Om Acrobat Reader var installerat så fick du en skadlig PDF, om inte så utnyttjades följande sårnarhet Exploit.HTML.CVE.2010-4452.m. Den försökte då automatisk ladda ned och exekvera en trojan på datorn, som tur detekterade vi både exploitsen och trojanen (Trojan.win32.TDSS.cgir). Ni kanske känner till TDSS sedan tidigare, en elak rootkit som är mycket svår att ta bort.
Jag sitter faktiskt fortfarande och analyserar detta, då jag försöker få lite statistik på spridning. Nu ser det ut som att över 350 000 maskiner har sett den skadliga annonsen, men hur många som blivit infekterade är svårt att säga, men vi ser att ett flertal myndigheter, forskningscenter och större bolag kan potentiellt blivit infekterade.
Detta är ännu ett tecken på hur viktigt det är att man installerar säkerhetsuppdateringar och har ett uppdaterat antivirus. Utan antiviruset hade jag inte upptänkt den skadliga koden, och riskerat att bli en av de 350 000 datorerna som laddat ned den skadliga koden.
Vi kommer att uppdatera med ytterligare information när de blir tillgängliga.
Nu har det varit ett tag sedan jag uppdaterade bloggen, lite beror på alla de Facebookmaskar jag analyserat och inte känt att vi behöver ännu ett bloginlägg om just detta. Men nu tänkte jag återuppliva bloggen lite med ett inlägg om Rogueware som angriper Mac-användare. Det är min kollega Fabio Assolini som hittat en riktigt intressant sak. Läs mer om Fabios fynd här:
http://www.securelist.com/en/blog/6202/Blackhat_SEO_and_Osama_Bin_Laden_s_death
Många hävdar att man är helt säker bara för att man kör Mac/OSX eller Linux, men bara den senaste tiden har vi sett ganska mycket sårbarheter i b.la Webkit, iTunes och lite annat som innebär att en angripare kan exekvera kod på Macdatorn. Detta kan vara ett tecken på att fler försöker skriva elak kod mot just Mac, då vi se en ökning bland dessa platformar (IPAD, Iphone osv)
I samband med Osama Bin Ladens död så hittade Fabio att skadlig kod spreds via sökorsoptimerade bilder. Den skadliga koden var Rogueware/Falskt antivirus vid namnen ”Best Mac Antivirus” och ”MACDefender”.
Användaren blev länkad till följande domän: ***-antivirus.cz.cc/fast-scan2/. Falska antivirus brukar visa upp en animerad bild som ser ut precis som ett antivirusprogram som hittat virus på din dator. Samma sak i detta fallet… men det var något annat som hände i bakgrunden. Det intressanta är att sidan kollar vilken webbläsare du använder och använder du Mac’s inbyggda webbläsare Safari så erbjuder den dig då att ladda ned dessa falska antivirus för Mac.
Den animerade bilden visar en ”Windows Security Alert”, men efter den kollat vilken webbläsare du använder så erbjuder den dig att ladda ned en skadlig .mpkg-fil som är det falska antiviruset. När du startat filen så kommer en väldesignad installer upp som även frågar efter ditt rootlösenord.
En funktion av det falska antiviruset är att utföra en full skanning av din dator, och självklart så hittar den massa skadlig kod på din dator. Här ser vi att det falska antiviruset har hittat tre virus:
För att bli av med de virus som programmet hittat så måste du köpa den fulla versionen. Men utöver att du luras till att köpa ett falskt program så visas även bögporr.
Jag och Johan på jobbet tog oss friheten att spela in ett Youtube-klipp där vi pratar om just detta:
