Hacker Trung Quốc đánh cắp dữ liệu về MH370

Các hacker Trung Quốc đã tấn công vào máy tính của các quan chức Malaysia tham gia vào điều tra vụ máy bay MH370 mất tích để tiếp cận với các tài liệu mật chỉ một ngày sau khi sự việc xảy ra.

Cuộc tấn công đã được tiến hành nhắm vào khoảng 30 máy tính của các quan chức của Hãng hàng không Malaysia Airlines, Cục Hàng không Dân dụng và Cơ quan An ninh Quốc gia của Malaysia, tờ the Star của Malaysia đưa tin hôm thứ 4, 20/8.

Mã độc được gửi tới các quan chức của các cơ quan nói trên dưới dạng một bài báo mới trong file PDF đính kèm qua email. Bức thư chứa mã độc được gửi vào ngày 9/3, đúng 1 ngày sau khi chiếc Boeing 777 của hãng Malysia Airlines mất tích trên đường bay từ Kuala Lumpur tới Bắc Kinh.

Trước khi các chuyên gia an ninh mạng phát hiện và ngăn chặn thì một lượng lớn tài liệu, trong đó có những tài liệu bí mật đã được gửi về các địa chỉ IP ở Trung Quốc.

Các mã độc này đã gửi các dữ liệu ăn cắp được qua email về các máy chủ, Amirudin Abdul Wahab, Giám đốc Cơ quan An ninh mạng Malaysia, một cơ quan thuộc Bộ Khoa học Công nghệ và Sáng chế Malaysia nói.

“Các email chứa dữ liệu được thu thập từ máy tính của các quan chức Malysia bao gồm cả biên bản các cuộc họp và các tài liệu bí mật”, ông nói. “Một số trong đó có liên quan tới cuộc điều tra vụ máy bay MH370 mất tích”.

Cơ quan này cho rằng, vụ tấn công này có liên quan tới sự mất tích của máy bay MH370. Đã có 153 công dân Trung Quốc trên chiếc máy bay mất tích hồi tháng 3.

“Vào thời điểm đó, một số người đã cáo buộc chính phủ Malaysia không công bố tất cả thông tin”, Amirudin nói và bổ sung rằng, Chính phủ Malaysia sau đó đã cung cấp tất cả những thông tin họ có về vụ mất tích.

Chuyến bay MH370 chở theo 239 hành khách đã biến mất trên Ấn Độ Dương vào ngày 8/3. Và sau nhiều tháng với những đợt tìm kiếm quy mô chưa từng có, người ta vẫn chưa có bất cứ manh mối nào của chiếc máy bay này.

Sự thất vọng về việc thiếu thông tin về chuyến bay đã gây ra những cuộc biểu tình liên tục ở Trung Quốc, khi một số người dân của quốc gia này cho rằng, Chính phủ Malaysia đã không làm hết sức để tìm kiếm người thân của họ.

Lê Văn (Theo RT)

Publisher: Unknown - 00:00

Mã độc Lite Zeus – biến thể cập nhật thủ thuật mã hóa

Các nhà nghiên cứu đã phát hiện ra một biến thể mã độc mới thuộc họ Zeus giản thiểu các chức năng, nhưng sử dụng cơ chế mã hóa phức tạp. Biến thể này có tên là Lite Zeus được viết chi tiết trên blog của Fortinet vào ngày 27/6/2014.

Theo Kan Chen, một nhà nghiên cứu an ninh mạng của FortiGuard Labs thuộc Fortinet, Lite Zeus có một số khác biệt  so với P2P Zeus (gameover Zeus), chẳng hạn như giao thức điều khiển truyền dẫn (TCP), phương pháp mã hóa/giải mã và cơ chế kiểm soát và điều khiển. Lite Zeus có khả năng thực hiện điều khiển hệ điều hành để tắt máy hoặc khởi động lại máy tính của nạn nhân. Kẻ tấn công cũng có thể cập nhật các botnet theo ý muốn để thực hiện các hoạt động độc hại khác theo các phương án lựa chọn. Chen cho rằng, dựa trên hardcoded và các dữ liệu được mã hóa trong bản thân bot, có thể  phát hiện ra rằng, biến thể Zeus này có khả năng thực hiện nhiều lệnh, chẳng hạn như os_shutdown, os_reboot, user_execute, mod_exec, bot_update… Đáng ngạc nhiên, biến thể Zeus này không sử dụng RC4, AES-128 đã được sử dụng thay thế.

Hình 1. Máy chủ C & C ban đầu và mã AES trọng yếu 

Một khi mã nhị phân Zeus được “tiêm” vào explorer.exe quá trình, nó sẽ bắt đầu truy vấn danh sách máy chủ từ máy chủ C & C hardcoded ban đầu.
Các phần mềm độc hại Zeus, hay còn gọi là Zbot, là một bot có khả năng ăn cắp thông tin cá nhân và nhạy cảm bao gồm cả mật khẩu cá nhân và thông tin ngân hàng từ máy chủ bị nhiễm bệnh. Máy chủ   kiểm soát và điều khiển (C & C) của nó có thể điều khiển thực thi chương trình từ xa bằng cách gửi chuỗi lệnh khác nhau, chẳng hạn như cập nhật phần mềm độc hại, thực hiện các tập tin phần mềm độc hại khác…. Theo các chuyên gia, các mã cơ bản của mã độc Zeus 2.0 vẫn là một nguồn thu hút các tác giả phần mềm độc hại tiếp tục phát triển các thế hệ tiếp theo của họ phần mềm độc hại này. Trong các biến thể trước chủng loại ZeuS.Maple, hệ tiêu chuẩn mã dòng RC4 đã được sử dụng rộng rãi trong mã hóa/ giải mã dữ liệu với lý do tốc độ xử lý nhanh và dễ thực hiện. Mã hóa AES-128 đã thay thế RC4 trong biến thể ZeuS.Maple, cung cấp phương pháp mới và cải tiến được sử dụng bởi các nhà phát triển phần mềm độc hại để bỏ qua kiểm soát an ninh tự động cũng như các chuyên gia nghiên cứu phần mềm độc hại. ZeuS.Maple  tấn công nhắm vào các mục tiêu chính là 14 tổ chức tài chính-ngân hàng hàng đầu ở Canada hồi đầu năm 2014. 
Các chuyên gia kết luận, cũng tương tự như biến thể Maple,  Lite Zeus là một trong số các loại biến thể mã độc Zeus xuất hiện trong thị trường gameover Zeus. Tương tự như trường hợp mã hóa AES-128, các biến thể mã độc Zeus luôn luôn cập nhật các thủ thuật mới để né tránh kiểm duyệt an ninh, an toàn mạng. Trong tương lai, các tác giả của Zeus có thể sử dụng phương pháp mã hóa từ các thư viện được phát hành rộng rãi và công khai của chính mã độc Zeus.

Nguyễn Ngoan (Theo Fortinet và IBM Trusteer)

Publisher: Unknown - 23:59

TOR ra mắt phiên bản Tor Browser 3.6.4 và 4.0-alpha-1

Tor, viết tắt của “The Onion Router”, là phần mềm giúp bạn dụng ẩn danh khi truy cập đến các trang web. Ngăn không cho các trang web biết được địa chỉ IP thực sự của bạn, cho phép bạn truy cập vào những trang web bị khóa.

Khi bạn dùng Tor để truy cập vào mạng, dữ kiện thông tin được chuyển tải một cách ngẫu nhiên (randomly) qua mạng lưới proxy. Các máy proxy này đều là độc lập và tự nguyện phục vụ. Mọi dữ liệu thông tin giữa các trạm Tor đều được mã hóa, và mỗi trạm chuyển tiếp chỉ biết địa chỉ IP duy nhất của 2 trạm khác, một trạm trước đó và trạm kế tiếp. 

Như vậy sẽ rất khó để:

• Nhà cung cấp dịch vụ Internet biết được bạn đang truy câp trang mạng nào và bạn đang gửi thông tin gì.
• Trang mạng được truy cập biết bạn là ai (hay ít ra, biết địa chỉ IP gốc của bạn)
• Các trạm chuyển tiếp biết bạn là ai và đang truy cập cái gì dựa vào địa chỉ IP của bạn hoặc dựa vào việc quan sát dữ kiện của bạn để suy ra thói quen lướt mạng.

Trình duyệt web Tor Browser sử dụng được trên nền tảng Windows, Mac OS X và Linux mà không cần cài đặt. Nó có thể chạy thẳng trên USB.

Thay đổi trong bản cập nhật 3.6.4 và bản Alpha 4.0

Dưới đây là những thay đổi trong bản  3.6.4:

• Tor Browser 3.6.4 – trên tất cả các nền tảng
  • Cập nhật Tor lên phiên bản 0.2.4.23 và Tor launcher lên 0.2.5.6.
  • Cập nhật thư viện OpenSSL lên phiên bản 1.0.1i.
  • Backported Tor Patches:
    • Bug 11654: Properly apply the fix for malformed bug11156 log message
    • Bug 11200: Fix a hang during bootstrap introduced in the initial
      bug11200 patch.
  • Cập nhật NoScript lên phiên bản 2.6.8.36
    • Bug 9516: Send Tor Launcher log messages to Browser Console
  • Cập nhật Torbutton lên phiên bản 1.6.11.1
    • Bug 11472: Adjust about:tor font and logo positioning to avoid overlap
    • Bug 12680: Fix Torbutton about url

Thêm vào đó, phiên bản đầu tiên alpha 4.0 cũng được tung ra. Phiên bản này bắt đầu thực hiện chức năng tự động cập nhật bằng cách tổ chức lại cấu trúc của trình duyệt. Điều đó có nghĩa là bạn sẽ không thể cập nhật  Tor Browser từ phiên bản 3.6.

Tải về Tor Browser 3.6.4

Tải về Tor Browser 4.0-alpha-1

Nguồn: http://securitydaily.net/tor-ra-mat-phien-ban-tor-browser-3-6-4-va-4-0-alpha-1/ Publisher: Unknown - 23:59

Đèn giao thông cũng có thể dễ dàng bị tấn công

Những cảnh truy cập tấn công vào hệ thống đèn giao thông đường bộ trong các bộ phim hollywood như Die Hard và The Italian Job luôn truyền cảm hứng cho tin tặc thực hiện các cuộc tấn công tương tự trong cuộc sống hiện thực hàng ngày.

Các nhà nghiên cứu an ninh tại Đại học Michigan đã thử nghiệm tấn công các tín hiệu đèn giao thông và tuyên bố rằng nó thực sự rất dễ dàng thực hiện với bất cứ ai có một máy tính xách tay và các loại thiết bị đài phát thanh. Nếu so sánh tấn công đèn giao thông trong các bộ phim với thực tế cuộc sống thì thực tế là dễ dàng hơn nhiều.

Trong một bài báo nghiên cứu được công bố trong tháng này, các nhà nghiên cứu bảo mật mô tả một loạt các lỗ hổng bảo mật quan trọng trong hệ thống đèn giao thông cho phép họ dễ dàng và nhanh chóng nắm quyền kiểm soát toàn bộ hệ thống của ít nhất 100 tín hiệu giao thông ở một thành phố Michigan từ một điểm truy cập duy nhất.

Lỗ hổng bảo mật trên hệ thống đèn giao thông

Nhóm nghiên cứu dẫn đầu bởi nhà khoa học máy tính J. Alex Halderman trường Đại học Michigan cho biết, hệ thống giao thông kết nối mạng để lại lỗ hổng tại ba điểm yếu lớn:

• Tín hiệu vô tuyến không được mã hóa
• Việc sử dụng các tên người dùng mặc định và mật khẩu
• Và một cổng debug đang mở và dễ dàng để tấn công

Điều này cho thấy tất cả mọi người từ tội phạm mạng đến các hacker trẻ đều có thể dễ dàng truy cập hệ thống đèn tín hiệu giao thông và điều khiển chúng.

Các nhà nghiên cứu báo cáo rằng: “Các lỗ hổng chúng ta khám phá ra trong cơ sở hạ tầng không phải là lỗi của bất kỳ một thiết bị hoặc thiết kế nào mà là chỉ ra sự thiếu ý thức của hệ thống an ninh”.

Để tiết kiệm chi phí lắp đặt và tăng tính linh hoạt, hệ thống đèn giao thông sử dụng các tín hiệu vô tuyến không dây chứ không phải là liên kết mạng vật lý dành riêng cho cơ sở hạ tầng thông tin liên lạc. Đáng ngạc nhiên là hơn 40 quốc gia hiện đang sử dụng hệ thống như vậy để giữ cho luồng lưu lượng được hiệu quả nhất có thể. Nhóm nghiên cứu cho biết: “Sự an toàn của cơ sở hạ tầng giao thông đòi hỏi phải luôn được đảm bảo, nhưng sự thật không phải là luôn như vậy. Chúng tôi điều tra một hệ thống tín hiệu giao thông mạng hiện đang triển khai tại Hoa Kỳ và phát hiện ra một số lỗ hổng bảo mật tồn tại do các lỗi thiết kế. Chúng tôi tiếp nhận những sai sót này để tạo ra các cuộc tấn công chiếm quyền kiểm soát hệ thống và chúng tôi đã chứng minh thành công chúng trong việc triển khai”.

Các hệ thống đèn giao thông sử dụng sự kết hợp của tần số 5.8GHz và 900MHz của tín hiệu đài phát thanh, tùy thuộc vào các điều kiện ở mỗi ngã tư mà sử dụng đường truyền không dây hoặc đa cấu hình. Các nhà nghiên cứu nói rằng bất cứ ai có một máy tính xách tay và một card không dây hoạt động trên cùng một tần số như kết nối không dây đèn giao thông – trong trường hợp này là: 5.8 GHz – đều có thể truy cập vào toàn bộ mạng không được mã hóa này.

Cổng DEBUG

Sau khi tiếp cận, việc tiếp theo là giao tiếp với một trong các bộ điều khiển trong mạng mục tiêu. Điều này đã được thực hiện rất dễ dàng do thực tế rằng hệ thống này chạy các hộp điều khiển VxWorks 5.5, một phiên bản mà theo mặc định sẽ tồn tại một cổng debug đẻ có thể truy cập để thử nghiệm. Cổng gỡ lỗi này giúp các nhà nghiên cứu gỡ lỗi thành công trên tất cả các đèn đỏ hoặc thay đổi thời gian của nút giao thông lân cận, ví dụ như để đảm bảo rằng một người nào đó có thể nhận tất cả các đèn màu xanh lá cây trên một tuyến đường nhất định.

Đáng lo ngại hơn là khả năng một tên tội phạm mạng có thể thực hiện tấn công từ chối dịch vụ (DoS) vào các nút giao thông điều khiển bằng cách kích hoạt đơn vị quản lý sự cố của mỗi ngã tư với cấu hình không hợp lệ.

Giải pháp cho vấn đề

Cuối cùng, nhóm nghiên cứu kêu gọi các nhà sản xuất và vận hành cần cải thiện an ninh cơ sở hạ tầng giao thông. Họ khuyến cáo rằng các quản trị viên hệ thống giao thông không nên sử dụng tên người dùng và mật khẩu mặc định. Cũng như giải quyết các vấn đề liên quan đến việc mã hóa các kênh truyền bằng sóng tín hiệu đài phát thanh như hiện nay.

Theo THN

Publisher: Unknown - 23:57

Nhiều ứng dụng bổ trợ cho Chrome làm chuyện mờ ám

Một nghiên cứu về 48.000 chương trình bổ trợ cho Chrome mà ta thường gọi là Chrome extention đã phát hiện ra quảng cáo độc hại, lấy cắp dữ liệu và nhiều hành vi sai trái khác.

 

Một phân tích bảo mật của các nhà nghiên cứu về khoảng 48.000 extention cho trình duyệt Google Chrome phát hiện ra nhiều extention có mục đích không tốt và trộm dữ liệu mà người dùng bình thường không thể phát hiện được. Nghiên cứu này được công bố hồi thứ 5 tuần rồi ở diễn đàn bảo mạt Usenix Security Symposium ở San Diego, Mỹ, dự đoán các vấn đề bảo mật xoay quanh các ứng dụng extention ngày một nhiều hơn, với mục đích xấu khi tội phạm mạng đang tận dụng chúng để lấy cắp nhiều dữ liệu người dùng chứa trong trình duyệt web này, với mục đích lợi nhuận.

Nghiên cứu phát hiện đến 130 extention nguy hiểm và 4.712 extention có hành vi khả nghi, từ trộm cắp dữ liệu, cho đến quảng cáo bất hợp pháp và lạm dụng mạng xã hội.  Các nhà nghiên cứu phát triển một hệ thống tên là Hulk, xem xét cách mà extention hoạt động khi tương tác với các trang web, trong đó có một kỹ thuật tạo ra “HoneyPages”, là trang web phác thảo được thiết kế để loại bỏ các hành vi nghi ngờ.

Bởi vì mục đích của extention là thêm chức năng cho trang web nên chúng cần nhiều quyền hạn. Các extention này thường yêu cầu nhiều quyền để có thể truy cập đến API (application programing interfaces) của Chrome. Ví dụ extention có thể can thiệp vào request của web từ trình duyệt và chỉnh sửa luồng dữ liệu vào tiêm JavaScript vào trang web.

Trong suốt quá trình dò tìm, các nhà nghiên cứu đã kết hợp chặt chẽ với Google. Công ty này cũng đánh giá extention trước khi cho phép nhà phát triển đẩy nó lên Web Store của Google, nhưng quy trình đó vẫn còn để lọt những extention độc hại.

Qua báo cáo này, Google đã thắt chặt quyền quản lý extention hơn. Bây giờ người dùng rất khó để cài extention nếu ứng dụng đó không có trên Web Store.

Theo một chuyên gia bảo mật, có rất ít extention can thiệp được vào các trang web ngân hàng trực tuyến hoặc ghi bàn phím (keylogger). Nhưng có thể nghiên cứu này chưa phát hiện được hết extention độc hại. Có vài extention ở tình trạng khả nghi, có được cả triệu lượt tải về.

Một extention nhắm đến người dùng Trung Quốc có đến 5,5 triệu lượt tải về, sử dụng một beacon theo dõi để báo cáo mọi trang web mà người dùng ghé thăm, sau đó gửi đến một máy chủ từ xa mà không hề có mã hoá dữ liệu.

Một ví dụ khác là có vài extention thay đổi hoặc thêm tham số vào trong URL để thực hiện các hành vi lừa đảo. Vài công ty như Amazon sẽ trả ít chi phí cho các webmaster khi có ai đó nhấn vào đường link tren trang web của họ. Và đường link đó bị theo dõi bằng cách thêm vào một đoạn mã bên trong URL.

Nghiên cứu này cũng phát hiện vài extention chuyển đổi quảng cáo trên một website thành quảng cáo của extention đó để thu phí. Đôi khi, extention chuyển đổi cả quảng cáo banner, thay đổi đường link của quảng cáo đó đến các trang quảng cáo miễn phí như Wikipedia hoặc đặt quảng cáo đè lên trên cả nội dung trang web.

Theo PCWorld

Publisher: Unknown - 23:57

The Mole – Công cụ tự động khai thác lỗ hổng SQL Injection

The Mole là một công cụ tự động khai thác SQL Injection. Chỉ cần cung cấp một URL và một chuỗi giá trị có hiệu lực trên  trang web, The Mole có thể phát hiện lỗ hổng và khai thác các lỗ hổng đó hoặc sử dụng kết hợp với các kỹ thuật khác hay kĩ thuật truy vấn theo kiểu boolean.

TÍNH NĂNG NỔI BẬT

• Hỗ trợ hệ quản trị cơ sở dữ liệu MySQL, SQL Server, Postgres và Oracle.
• Giao diện command line. Các dòng lệnh khác nhau thực hiện chức năng khác nhau.
• Tự động hoàn thành lệnh, đối số và cơ sở dữ liệu, tên bảng và tên cột.
• Hỗ trợ bộ lọc để vượt qua quy tắc thông thường của IPS/IDS và tạo ra quy tắc mới dễ dàng kết hợp hơn.
• Khai thác SQL Injections thông qua các tham số GET/POST/Cookie.
• Được phát triển trên python 3.x.
• Sử dụng đơn giản.

Bạn có thể xem thêm hướng dẫn sử dụng và cài đặt trên trang chủ của The Mole tại đây.

Nguồn: http://securitydaily.net/the-mole-cong-cu-tu-dong-khai-thac-lo-hong-sql-injection/

Publisher: Unknown - 23:56

Tự viết plugin tìm kiếm cho Firefox

Bạn nào dùng Firefox hẳn sẽ biết tới khung tìm kiếm nhỏ nằm cạnh thanh địa chỉ. Lúc mới càiFirefox sẽ cung cấp cho chúng ta một số plugin tìm kiếm từ Google (tìm kiếm mặc định),Wikipedia, Ebay,...

Bài viết này sẽ hướng dẫn bạn tự viết thêm một plugin tìm kiếm cho Firefox mà bạn thích. Ví dụ trong bài viết chính là Juno_okyo's Blog luôn nhé ^^

Các bước thực hiện

Chuẩn bị một mẫu URL tìm kiếm (tìm thử trong trang web mà bạn muốn lấy làm plugin), ví dụ để tìm các bài viết về Facebook thì mình có cấu trúc URL như sau:

http://junookyo.blogspot.com/search?q=Facebook

Ta thấy từ khóa nằm sau tham số "q". Ta có cấu trúc URL sử dụng cho plugin như sau:

http://junookyo.blogspot.com/search?q={searchTerms}

Firefox sẽ tự động thay thế chuỗi {searchTerms} thành từ khóa do người dùng nhập vào từ khung tìm kiếm.

Plugin tìm kiếm của Firefox sẽ được viết trong 1 tệp XML, do vậy bạn có thể dùng Notepad hoặcNotepad++ hay bất kì trình soạn thảo nào bạn thích. Sau đó chép đoạn XML mẫu dưới đây:

Data hosted with ♥ by Pastebin.com - Download Raw - See Original

1. <SearchPlugin xmlns="http://www.mozilla.org/2006/browser/search/"xmlns:os="http://a9.com/-/spec/opensearch/1.1/">
2. <os:ShortName>Juno_okyo's Blog</os:ShortName>
3. <os:Description>Tìm kiếm bài viết trên Juno_okyo's Blog</os:Description>
4. <os:InputEncoding>UTF-8</os:InputEncoding>
5. <os:Image width="16" height="16" type="image/x-icon">http://junookyo.blogspot.com/favicon.ico</os:Image>
6. <os:Url type="text/html" method="GET"template="http://junookyo.blogspot.com/search?q={searchTerms}"resultDomain="junookyo.blogspot.com">
7. </os:Url>
8. </SearchPlugin>

Trong đó:

• ShortName: tên plugin.
• Description: mô tả.
• Image: biểu tượng của plugin (nên lấy Favicon của trang mà bạn viết plugin).
• Url: mục này bạn chỉ cần thay thuộc tính Template thành URL mẫu mà ta đã chuẩn bị phía trên.

Bạn lưu lại với tên tùy thích và chú ý định dạng XML (*.xml). Sao chép tệp này vào thư mục tại đường dẫn sau:

C:\Users\Notebok\AppData\Roaming\Mozilla\Firefox\Profiles\[XXXXXXXX]\searchplugins

Chú ý là phần màu đỏ là tên thư mục Profile, nó thay đổi với từng máy do đó bạn cần tự tìm theo đường dẫn để biết tên thư mục Profile của bạn.

Cuối cùng chỉ việc khởi động lại Firefox và xem kết quả (như hình ở đầu bài viết) ^^.
Bạn muốn tìm bài viết trong trang web đó chỉ việc nhập từ khóa vào khung tìm kiếm và Enter chứ không cần truy cập trực tiếp nữa.

Tài liệu tham khảo: https://developer.mozilla.org/en-US/Add-ons/Creating_OpenSearch_plugins_for_Firefox
Nguồn: http://junookyo.blogspot.com/2014/07/tu-viet-plugin-tim-kiem-cho-firefox.html Publisher: Unknown - 23:54