NMAP

13 éves program.
Nem fogok róla sokat írni, viszont linkelek párat:)

"Az Nmap (“Network Mapper”) egy hálózatfelderítésre és biztonsági ellenőrzésre használható, nyílt forráskódú eszköz. Nagy hálózatok gyors feltérképezésére tervezték, ennek ellenére jól használható egyetlen számítógép ellenőrzésére is. Az Nmap egy új módon használja a nyers IP csomagokat annak kiderítésére, hogy mely számítógépek érhetők el a hálózaton, ezek a számítógépek milyen szolgáltatásokat (alkalmazás neve és változata) kínálnak fel, milyen operációs rendszert futtatnak (és annak melyik változatát), milyen csomagszűrőt/tűzfalat használnak, valamint számtalan egyéb jellemzőre. Noha az Nmap programot általában biztonsági ellenőrzésekre használják, sok hálózati rendszergazda hasznosnak fogja találni a napi rutinfeladatokban is, mint például a hálózati leltár elkészítésében, a szolgáltatások frissítésének ütemezésében, vagy egy számítógép/szolgáltatás üzemidejének meghatározásában."

Forrás:
http://nmap.org/man/hu/

Nmap letöltése.
A Linux verzió mellett Windows-os is elérhető.

További, igen részletes magyar nyelvű leírások:
Kovács Zsombor: Portscan - Nmap
Leszkoven Csaba: A kismalac és a farkasok – Az nmap használata (PDF)

És egy kis gyakorlat:
HUP.hu

INOCULATION SHOT – Az Aurora malware ellen

Korábban én is írtam néhány gondolatot az Internet Explorer sebezhetőségről, mely minden változatot érintett.
Azóta kijött a javítás, de a támadási mechanizmus jellege olyan általános és szélesebb körben elterjedt, hogy több, biztonsággal foglalkozó oldal is újra elővette a témát.
A legtöbb cikk apropója, hogy a HBGary biztonsági cég a károk megelőzése érdekében kifejlesztett egy olyan kis ingyenes programot, amely alkalmas az Aurora jelenlétének kimutatására, valamint annak eltávolítására, akár távolról is.
Az Aurora-fertőzött gépek hálózati felismerésére és mentesítésére képes, alig 64kB-os önálló segédprogram az Inoculation Shot, rövid leírással együtt letölthető a HBGary cég weblapjáról.

A program képes egyedi gépek ellenőrzésére és mentesítésére megadott IP cím alapján, de akár IP tartományt is meg lehet adni, vagy előre elkészített TXT fájl segítségével is definiálhatók a ellenerőrzésre kijelölt gépek vagy a tartomány.

Forrás:
Vírushiradó.hu
PCWorld.hu

0day Internet Explorer sebezhetőség - Operation Aurora

Mivel nem holmi nehezen bekövetkező dolgok együttes fennállásakor súlyos veszély a nemrégiben felfedezett 0day Internet Explorer sebezhetőség, ezért jobb minden fórumon figyelmeztetni erre a felhasználókat.
Az eddig elérhető adatok alapján most én is szeretném megtenni, hivatkozva természetesen a forrásokra.

0. (Frissítve: 2010. január 21.)

Amint arra számítani lehetett a Microsoft nem várja meg a következő hónapban esedékes patch keddjét, hanem rendkívüli hibajavítást ad ki az elmúlt héten nagy vihart kavart Internet Explorer sérülékenységére. A Microsoft szerint a foltozás már a mai napon - január 21-én - elérhető lesz amerikai idő szerint reggel 10 órakor. Hazai idő szerint pedig körülbelül este 6 óra körül. Megtörtént - érdemes azonnal telepíteni a frissítést!

1.

Bár a sebezhetőség a böngésző összes támogatott változatát érinti, ez a támadás csak IE6 esetében megbízható, (most már IE 7 is érintett), az IE8-ban alapértelmezett DEP pedig szintén megakadályozhatja a sikeres kihasználást.

2.

Az exploit most már szabadon kering az interneten.

Csütörtökön beküldték az exploit kódot elemzésre a Wepawet névre hallgató exploit elemző weboldalra, ennélfogva az bárki számára hozzáférhetővé vált.

Dave Marcus, a McAfee biztonsági kutatásokért és kommunikációért felelős igazgatója szerint péntekre az exploit beépítésre került legalább egy publikusan elérhető "hacking eszközbe", így felbukkanhat az online támadások során. Az igazgató szerint a helyzet valóban megváltozott most, hogy az exploit szabadon elérhetővé vált.

A támadás nagyon megbízhatóan működik Windows XP/IE6 kombóval, esetleg módosítani kell ahhoz, hogy működjön az újabb böngészőkkel is (megtörtént).

Az incidenst közelebbről ismerő emberek szerint a Google mellett 33 másik vállalat, például az Adobe is érintett volt a támadásban.

A Symantec és a Juniper Networks csütörtökön bejelentette, hogy vizsgálják az incidenst, a Yahoo-t, a Northrop Grumman-t és a Dow Chemical-t szintén említik a jelentésekben, mint a támadások áldozatait.

A Microsoft ugyan publikált egy biztonsági figyelmeztetőt, de eddig nem utalt arra, hogy a rendszeres, havi egy alkalommal, a hónap második keddjén (az ún. "patch kedden") megjelenő frissítési csomagján kívül kívánná javítani ezt a sérülékenységet. Ez azt jelenti, hogy ha a Microsoft nem javítja a bugot soron kívül, akkor a javításra legelőbb február 9-én, azaz több mint három hét múlva kerülhet csak sor.

Úgy fest, hogy a nyomásgyakorlás eredménnyel járt. A Microsoft soron kívül javítja az Internet Explorer súlyos biztonsági hibáját.

A biztonsági kutatók szerint ezt a sebezhetőséget csak nagyon nehezen lehetne kihasználni Windows Vista és Windows 7 operációs rendszereken a beléjük épített fejlett memóriavédelmi technológiáknak köszönhetően.

A McAfee-s Marcus szerint - az általuk a vállalati ügyfelektől hallott aggodalmak mennyiségét figyelembe véve - erősen valószínű egy "out-of-cycle", azaz soron kívüli javítás a Microsoft-tól.

A probléma elég súlyosnak bizonyult ahhoz, hogy Németország szövetségi IT biztonsági ügynöksége, a Federal Office for Information Security egy figyelmeztetőt adjon ki, amelyben azt javasolja a felhasználóknak, hogy a hiba kijavításáig használjanak alternatív böngészőt az Internet Explorer helyett.
Ezt a németek komolyan is vették.
Forrás: HUP.hu
3.

• A 0-day IE exploitot Dino Dai Zovi (állítása szerint) megbízhatóan "portolta" IE7-re WinXP és Vista alá
• A legjobb védekezési módszernek a Data Execution Prevention bekapcsolása tekinthető. A következő konfigurációkon (megfelelő hardver és BIOS beállítások esetén) ez alapértelmezett:
  - Internet Explorer 8 + Windows XP Service Pack 3
  - Internet Explorer 8 + Windows Vista Service Pack 1 vagy későbbi
  - Internet Explorer 8 + Windows Server 2008
  - Internet Explorer 8 + Windows 7
• Windows XP SP2 valamint Vista RTM felhasználók használhatják ezt a csomagot a DEP engedélyezésére. További infók a megelőzéssel kapcsolatban erre.
• Az F-Secure arról számol be, hogy múlt héten(!) a hosszú ideig javítatlan Adobe Reader sebezhetőséget használták ki több, az amerikai hadsereggel együttműködő szervezettel szemben. A támadás célzottságát jól mutatja, hogy a kártékony kóddal megspékelt dokumentum egy valódi, Védelmi Minisztérium által szervezett konferenciára szóló meghívó volt. A sikeres kihasználást követően a trójai egy HTTP kapcsolaton keresztül egy taivani IP címhez kapcsolódott.

Forrás: Buhera.Blog.hu

Pénzt vagy életet? – Amikor az életed a tét

Én a biztonságos wifi hálózat megfelelő beállítása végett szoktam pedofil képek terjesztésének lehetőségével riogatni mindenkit, aki kicsit is félvállról veszi a biztonság kérdését.
De nyugodtan ide lehet sorolni a Windows frissítések napra készen tartásának fontosságát és a vírusirtó, valamint tűzfal szoftver meglétét és napi frissítését is.
Mert "jó esetben" mi történhet?
Lenyúlják a wifi-t. Egy kis ingyen net a mi kontónkra. Und? Nem történik semmi.
Ha banki adatainkat nyúlják le, akkor is “családban marad” a dolog. Bosszankodunk, mérgelődünk, nem esik jól, mégsem életet adtunk "csak" pénzt, de nem kell érte börtönbe menni.
Ellenben, ha a feltört wifi-ről, vagy az elégtelen biztonság miatt eltérített gépünkről gyerekpornót terítenek és azt a hatóságok visszakövetik hozzánk, na akkor nagy a baj. Nagyon nagy.
Az egyik hivatkozott cikkben a vállalati rendszergazdák, az IT részleg volt a hanyag. De a saját lakásunkban mi vagyunk a rendszergazda.
Ebben az esetben nagyon igaz, hogy jobb félni, mint megijedni, jobb óvintézkedéseket tenni, mint utólag nagyon-nagyon nehezen a saját igazunkat bizonygatni.
Remélem a cikkek segíteni fognak sokaknak komolyan venni a Windows frissítések napra kész telepítését és a védelmi szoftverek akár ingyenes beszerzését is.
Én nagyon örülök, hogy az IT cafén és a Vírus Híradón megjelentek ezek az írások.
Köszönet érte!

A cikkek címe:
Amikor az életed a tét
Sittre vág a féreg

Részlet a cikkekből:

”A vád: tiltott pornográf felvétellel való visszaélés. A bizonyíték egyértelmű és meggyőző: a vádlott számítógépe többször is tiltott pornográfiát tartalmazó felületeket, konkrétan kiskorúak, gyermekkorúak meztelen képét megjelenítő weboldalakat látogatott, mindezt letöltött képek támasztják alá. A vádlott akkor bukott le, amikor hivatali feljebbvalója átnézette a gépet az egyik technikussal, mivel a vezető nem értette, a céges Dell laptop miért generál más rendszereknél négy és félszer nagyobb online forgalmat. (…)
A vádlott azt állítja, nem bűnös – fogalma sem volt arról, hogy a masina önálló életre kelt, és jóváhagyása nélkül kalandozott a sötét zónában.”

"A felhasználók egy része szinte közömbösen fogadja, hogy számítógépe veszélynek van kitéve a neten. A modern kártevők általában csendben, mellékhatások nélkül működnek a feltört gépen, ezért sokan úgy gondolják, hogy egy fertőzéstől még nyugodtan használhatják tovább a rendszert - például ha nem netbankolnak, akkor nem árthat nekik a vírus, más kárával pedig nem foglalkoznak.

Intő jelként szolgálhat azonban több, csak a közelmúltban nyilvánosságra került eset, amelyben pedofilok fertőzött, feltört számítógépeket használták közvetítőként az illegális letöltéseikhez és ezzel komoly bajba sodorták a gyanútlan netezőket. Az AP hírügynökség több újabb esetnek is utánajárt, amelyeknek az Angliában 2003-ban felmentéssel végződött két ismert ügy óta történtek."

A teljes cikkek tehát a fenti linkeken olvashatók.