Showing posts with label security. Show all posts
Showing posts with label security. Show all posts

Oct 8, 2012

What is w3bb-h4xxor?

It looks like Anonymous has taken antipiratbyran.se offline. But before the site went completely offline a lot of people saw a "500 Internal Server Error", which also listed the servername plus version: w3bb-h4xxor/1.3.3.7.

So does this mean that the same Anons also have hacked the server? ... Actually not!

Sep 19, 2012

RevolutionTT hacked?

It looks like the online bittorrent tracker RevolutionTT ("RevTT") has been hacked, or has it?


All I know for now, is that a user with the username Afghanis has posted this torrent on ThePirateBay: "RevTT accounts and passwords ( www.revolutiontt.me ) - Enjoy".

I downloaded the torrent, and this is what I found:

A "Read Me.nfo" file with the following text:


A "RevTT (www.revolutiontt.me) Database (Username and passwords).rtf" file, with usernames and passwords:


Looking at the metadata of the Rich Text Format (.rtf) file, I found this:
\ansicpg1252 <-- U.S. Windows Code Page
\deflang1033 <-- default language (http://latex2rtf.sourceforge.net/RTF-Spec-1.0.txt)
\*\generator Msftedit 5.41.21.2510 <-- I got the same on my Win7 Pro using MS Wordpad
\sl276 <-- paragraph style (which one is 1276?)
\lang9 <-- language (not english?)


And for the torrent file:
Single Announce: http://fr33dom.h33t.com:3310/announce
Comment: Enjoy
Created by: uTorrent/2210
Creation date: Tue Sep 18 2012 20:39:16 GMT+0200 (Romance Daylight Time)
(Uploaded to TPB: 2012-09-18 22:21:09 GMT)


First I removed all lines not containing a username and password:
Total lines: 18158 (from 19048)
The I made a list of unique usernames: 7698
And one with unique passwords: 7703

Weird stats? Not really, users are more likely to type their password wrong, than their username (based on my own experience).

And just for fun, I made a list of users trying to login with their mail (list contain duplicates):
Trying to login with mail:
Gmails: 69 times
Hotmails: 64 times
Yahoo: 30 times


But does the usernames and passwords come from RevTT?
Well, look at these passwords:
r3v0lut!0n
PS.0MG_RTT_t0rr3ntz_PLZ_080601;
RTTludixrous
laRTTpw440
dig8talrevtt

Lets just say "probably" ;-)


Based on the strength of multiply of the passwords (e.g. 'PS.0MG_RTT_t0rr3ntz_PLZ_080601;' <-- I fucking like that guy!) and based on many duplicates, many different passwords for the same user, and based on the fact that RevTT has many more users than ~7k, then I conclude that these passwords wasn't bruteforces (from a database full of hashes), but instead probably 'sniffed'. Either someone got access to the server (and added a "save passwords remote/cleartext" to login.php), or maybe RevTT was a victim of MitM? (I've seen this before against torrent trackers). Right now RevTT is forcing https (credit to them!), but what I could read from some of the victims, is that this dump is old, so it might be before RevTT started using https only?

Sep 9, 2012

Elcomsoft Phone Password Breaker (Pro) - 25% discount

If you don't know Elcomsoft or any of their software, then take a look at their page: www.elcomsoft.com.

Some time ago, they made this "Get more apples" game:

Sorry! You need (Adobe) Flash player

Well, the game is quite buggy, and getting 100 apples is very boring, so why not just hack it, to get the coupon code?

Thanks to Sothink SWF Decompiler, it couldn't get any easier:



There's the code to go to the buy page, but where's the coupon code?

Sep 4, 2012

Politik, censur og spin (+ lidt 'Anonymous' til sidst)

Danmark er et demokratisk samfund, vi er et videnssamfund som fremmer ytringsfriheden, og i Danmark fanger politiet skurkene.. eller gør de?

Vi er så glade for at tro at vi 'the shit' men facts er, at - i hvert fald noget af - det er en illustration.

En af Muhammed-tegningerne fra Jyllandsposten
Siden Muhammed tegningerne har vi været glade for 'ytringsfriheden', men hvad er denne egentligt?

I 2005 fik vi DNS filteret mod børnepornografi - det var godt, var det ikke? Hvem kan dog sige nej til at "blokkere" børnepornografi? Året efter begyndte vi at blokkere allofmp3.com, det var også godt, ikke? Det var jo en "ulovlig" tjeneste som solgte musik de slet ikke havde rettigheder til! Senere i 2008 begyndte de store ISP'er at blokkere thepiratebay.org, det var jo også en enormt slem side. Sidste år (2011) tog vi skidtet videre og begyndte at blokkere gambling sider som ikke havde en dansk spille licens, og hjemmesider som solgte medicin (fx 24hdiet.com). Kan du se hvor det går hen?
Vi begyndte med noget som ingen kunne råbe vagt i gevær for, derefter blev det lidt strengere og så lidt strengere, til et punkt idag hvor vi blokkere helt lovlige sider, fordi de ikke smider penge i statskassen (via SKAT). Hele tiden bliver der argumenteret med "jamen, det er for jeres egen bedste!", men er det? Og hvad bliver det næste? Lad os da blokkere nynazistiske sider, og derefter partier som "minder" om nynazister.. og hvad med DF? Dem kan vi heller ikke lide, så lad os da også blokkere dem, så vi ender med et samfund der som Kina kun har ét parti. Se dét er demokrati :o)

Det er alt sammen et enormt spændende emne, og jeg kan bestemt anbefale at man læser denne pdf af Thomas Steen Rasmussen fra censurfridns.dk.

Men jeg må videre til næste emne, nemlig politiet og deres arbejde.

Jun 6, 2012

LinkedIn hacked?

The professional social networking website LinkedIn has been hacked, according to various sites.

I managed to get a copy of the dump:


And as it can be seen, the dump consist of lots of SHA1 hashes. However, something is very wrong with many of these hashes! Apparently the hackers has been adding some kind of padding to some of the hashes.

So far, I can't figure out what's up with this file. Who would dump this? And if you're going to dump this, then why not add mail / names to the list?

May 18, 2012

amnesty.org.uk hacked

As it can be seen from a post from websense, then the amnesty.org.uk was hacked again, again...

HTML code showing the exploit embedded in amnesty
(screenshot from websense)

The exploit used is CVE-2012-0507 ("Java AtomicReferenceArray Type Violation Vulnerability") - which is exploitet using MetaSploit Framework (MSF).

May 6, 2012

MS vs ZeuS: The list of defendants


Below is the list of "John Doe's" in the Microsoft Corporation vs "ZeuS gang".

What's my take on it?
I think it's great what Microsoft is doing.
But I also think the list could easy have been corrected some more.
"IOO" isn't "Null" and Slavik/Monstr isn't any of them.
And why can't I see "jam3s" on the list?

John Doe 1
(dba “Slavik,” “Monstr,” “IOO” and/or “Null”)
bashorg@talking.cc

Apr 1, 2012

Who is s3rver.exe?

In the beginning of the year, a guy called "s3rver.exe" claimed that he'd hacked Sony Pictures Facebook profile.



He got a lot of "credit" for this hack, but actually (not announced in the press) it turned out that s3rver.exe didn't hack Sony Pictures Facebook profile!

Now, I don't like people that claim credit for something they didn't do, so I hacked s3rver.exe and doxed him. This however went quite unnoticed, and when s3rver.exe came (almost crying, lol) to me (PM on IRC, but I don't have the logs anymore) I decided to delete the dox.

However it turns out that s3rver.exe continue to hack (lastly "International Police Association of Australia") so I've decided to dig the old info up, and re-dox him!

Mar 30, 2012

UN1M4TR1X0 hacker IT-Branchens hjemmeside (itb.dk)

Som det kan læses af overskriften, så har UN1M4TR1X0 hacket itb.dk:


Og som i de andre posts, vil jeg igen tage et nærmere kig på dette hack.

Mar 24, 2012

CVE-2012-0002 (MS12-020)

As most people probably know by now, Microsoft fixed a very dangerous vulnerable last Patch Tuesday (03/15/12) known as CVE-2012-0002.

Based on a Google search, it looks like the Chinese website xssxss.com was first with an exploit:


But it turns out that this exploit actually just crashes (BSoD) the target.
Hopefully we're going to get an reliable MSF module (exploit), but right now all we can do, is to wait.

Mar 22, 2012

UN1M4TR1X0 hacker evangelist.dk

Som man kan se på evangelist.dk (backup) så er det lykkes UN1M4TR1X0 at deface dem. Sidste gang blev der posted en kommentar som advarede mig mod at "kigge for meget":


Om den kommer fra UN1M4TR1X0 skal jeg ikke kunne sige (anonyme kommentarer <3), men jeg har valgt at tage chancen, og kigget lidt nærmere på dette hack.

Mar 11, 2012

Breaking: UN1M4TR1X0 hacker nykreditleasing.dk og stakemann-as.dk



Som det kan ses af ovenstående twitter tweet, så har UN1M4TR1X0 hacket nykreditleasing.dk og stakemann-as.dk (da siderne sikkert snart bliver rettet kan en "backup" af dem findes her: nykreditleasing.dk & stakemann-as.dk).

Men lad os kigge lidt nærmere på sagen!

Mar 9, 2012

Hvor lang tid tager det dig at hacke en browser?

Ja, hvor lang tid vil det tage dig at "hacke" en browser? Ét sekund? Fem minutter? En dag? Eller måske flere måneder?

Siden første Pwn2Own (CanSecWest) har vi været plaget af inkompetente journalister.. og det er begyndt at gå mig på nerverne.
Lad os se på nogle Do’s and Don’t's:
The first hack was demonstrated by a team representing Vupen Security within the first five minutes of the Pwn2Own contest.
Kilde: The Register.
Man gør tydeligt opmærksom på at exploitet blev demonstreret i løbet af de første fem minutter. Altså opstår der ingen misforståelser.

Chrome var den første browser, som blev hacket, og det skete inden for de første fem minutter
Kilde: Newz.dk.
Hvad - helt præcist - skete inden for de første fem minutter? Blev Chrome exploitet, eller blev et exploit mod Chrome demonstreret? Eller ... ? Aldrig lad det stå til det uvisse! Men hej, hvad kan man forvente, nå Newz's kilde indeholder dette:
the exploit ran and opened up the Chrome calculator extension outside of the browsers sandbox
Kilde: The Verge.
Chrome calculator extension?! Det er tydeligt at mange journalister slet ikke har fattet bare det grundlæggende. Jeg kunne fortsætte i uendeligheder med at komme med eksempler på artikler som indeholder den ene fejl efter den anden, men desværre vil det intet hjælpe. Så denne lille "den gode, den dårlige, og den slemme" liste var alt det blev til.

Expert.dk hacked?

"Teenager hacker Experts hjemmeside" - Ekstra Bladet
"Jysk teenager hacker expert.dk - slipper med straf fra mor" - Version2

Men lad os lige se på hvad der rent faktisk er sket:
  • En 16~17 årig dreng finder en XXS fejl på Experts hjemmeside (under "kunde anmeldelser" af et produkt)
  • Personen informere Expert per mail (8. marts, 2012)
  • Personen udnytter denne XXS fejl til at lede folk fra Experts hjemmeside over på en PasteHTML.com side (9. marts, 2012)
Kan man virkelig kalde dette et "hack" ?
Personen, vores "hacker", har ikke haft adgang til nogle følsomme oplysninger - og har faktisk bare redirektet folk over på en fake "defacement"-side.



At EB kalder det at Experts hjemmeside er blevet hacket, kan ikke undre nogle, men Version2 !?
Bliver Version2 virkelig nød til at bruge EB overskrifter (og EB som kilde)? Er Version2 ikke store nok til at skrive hvad der rent faktisk er foregået, og ikke lokke folk til med misvisende overskrifter?

Hvad angår vores "hacker", så virker han umiddelbart som en pænt stor noob. ALLE kan finde ud af at spotte XXS fejl (og udnytte dem til at redirekte trafik), men først at gøre opmærksom på det (og derved afsløre sig selv), og derefter udnytte fejlen... det virker dumt.

Alle would-be whitehats, skal nok lige tage et kig på responsible disclosure. Der findes også full disclosure, men det er kun hvis intet andet virker - hvilket desværre ofte sker.



Ikke overraskende så kan man finde vores "hacker" på internettets nummer ét noob forum: HackForums.net. Ifølge hans post, så "hackede" han først og rapporterede det derefter.

Personen kalder sig "FoBBeR".
Ud fra en Google søgning kan man finde en gratis-ting.dk bruger som har sat sin fødselsdato til 06. Sep 1995 - hvilket idag gør ham 16 år (hvilket passer godt med de oplysninger som man har fået).
Man kan også finde en Gul og Gratis bruger som har sat sin bopæl til 9400 Nørresundby (hvilket igen passer overens med de oplysninger som EB kommer med).
Han har også en dailyrush bruger, hvor han har skrevet at hans navn er Jens (han har dog også skrevet at hans uddannelse er en videregående - hvilket ikke stemmer overens med alderen).
Ydereligere kan man finde en masse ved at søge på Google.



Jeg faldt over noget kaldet "It's A FoBBeR Production": fj-web.dk.
Det er lavet af en "Kristoffer N Knudsen og hans ven Jimmy".
Kristoffer Knudsen har også en bruger kaldet "FoBBeR" på Arto (link). Denne bruger kommer fra "Vestjylland, Denmark" (hvilket stemmer overens med resten). Fj-web.dk er registreret til en "Jimmy P[SLETTET]" (det må være hans ven, som også bor i Jylland på adressen: [SLETTET]). Og så har de endda en Facebook side!

Efter lidt søgning kan man også finde ud af at FoBBeR (Kristoffer) også går under navnet "Zorkra" på Steam (link)

Og ikke overraskende viser det sig at duoens hjemmeside ikke er særlig sikker! Og man opnår hurtigt adgang til alt på den. Til RoBBeR: Tjek jeres log, og ret det!

Og med lidt adgang, finder man hurtigt to mails;
  • fobber_k_95 |SNABEL-A| hotmail.com
  • fobber1995 |SNABEL-A| gmail.com
Som begge peger til den samme Facebook profil: Kristoffer Nøddebo Knudsen, (Fobber).

Måske Kristoffer skulle droppen sin "hacking karriere" og i stedet fokusere på skolen?



Jeg har valgt at slette alle Jimmy P's oplysninger. Jimmy har intet med dette at gøre, så jeg har ikke tænkt mig at "hænge ham ud på nettet", men jeg vil nok råde ham til at tænke lidt over hvem han er venner med. Og drop nu det "like jacking" (under jeres videoer) - det er røv irriterende, og tager jeg dig (Jimmy) i at gøre det, så kan du regne med at havne på "shit listen" sammen med Kristoffer.. og det er ikke et rart sted at være. Also: lad være med at bruge den samme kode overalt - det gør "spillet" alt for nemt.

Feb 23, 2012

YouPorn hacked? Technically not

Some websites claimed that YouPorn was hacked. Actually it was YouPorn's "Chat" - which was maintained by someone else - that was "hacked". And to be honestly, it wasn't really a hack as such.

Some one found out that a subdomain ("chat.youporn.com") of the popular YouPorn.com-site contained a public readable folder ("/tmp/") which accidentally stored debugging data.

I managed to grab a copy (1.37 GB) and has just started to begin analyzing it, so stay tuned!

Feb 20, 2012

Trojan-Spy.Win32.BankTexeasy

Vi har ikke fået en ordentlig analyse af det malware som ramte 7 bank kunder i sidste uge, men vi har fået et navn (hvis man smugkigger i CSIS' BankTexeasy Detection Tool-program): Trojan-Spy.Win32.BankTexeasy.

Lad os se på Nets/DanID/PBS har at sige til det:
"Brugerne har samlet virussen op fra forskellige hjemmesider, hvor de har klikket på links eller bannere. Her er typisk tale om legitime hjemmesider, der er blevet angrebet af hackerne."
Så hvis man ikke klikker på "links eller bannere", så skulle man altså være sikker? CSIS skriver:
"BankTexeasy er kravlet ind på maskinen ved at udnytte kendte sårbarheder i populære tredjepartsprogrammer herunder Adobe Reader/Acrobat og Flash, Java JRE og Quicktime."
Dette lyder som et "drive-by" angreb via en hacked legitim hjemmeside, og så kan man altså ikke vide sig sikker ved bare at undgå at klikke på "links og bannere".
Men lad os se hvad Nets/NemID mere har at byde på:
"Vær mistænksom, hvis noget er anderledes:
Du bliver kun bedt om at indtaste en nøgle fra nøglekortet umiddelbart efter, at du har indtastet dit bruger-id og adgangskode. Sker det ikke som en del af dette normale forløb, så skal du være på vagt.
Hvis du bliver bedt om en ekstra nøgle fra nøglekortet, så luk straks browseren og kontakt din bank."
Men hvad hvis man trykker forkert? Eller.. hvad hvis NemID appletten siger at man har trykket forkert? Skal man så løbe skrigende væk, eller bevare roen? (Vi læser videre):
"NemID er stadig sikker: 
Det er vigtigt at understrege, at det seneste angreb fra it-kriminelle ikke ændrer ved den generelle sikkerhed bag NemID. Du kan trygt anvende din netbank, som du plejer."
... men fik vi ikke lige at vide, at vi skulle passe på, og være ekstra mistænksomme?
I'll continue:
"Nets DanID vil sammen med bankerne nøje analysere de pågældende hændelser og vurdere, hvilke yderligere tiltag der kan iværksættes for at forebygge denne form for svindel."
Og hvor meget koster det så at lave en sådan "nøje analyse" ?
Utallige "IT sikkerhedseksperter" har siden dag ét kunne udpege fejl i systemet, så hvorfor ikke bare lytte til os når vi har løsningen?

Feb 11, 2012

NemID owned igen, igen

Ja, så lykkedes det igen, igen for hackere at bryde NemID (kilde).
Sidste gang var det 8 utroligt dumme Nordea kunder som blev snydt af phishing (tab ialt: 62.400), denne gang var det "mindst 8" Danske Bank brugere som samlet set fik stjålet 700K kroner (kilde).

Skal vi ikke bare blive enige om at NemID intet har ændret på situationen i Danmark? (udover besvær og spild af penge).

Hvordan kan man sætte inkompetente folk til at lave et system som skal "beskytte" os alle?
Jeg har ingen undervisning modtaget i IT af nogen art (lærte lidt MS Excel kommandoer i ottende klassen, but that's it). Men alligevel kunne jeg (og utallige andre "rigtige" sikkerheds-eksperter) påpege utallige fejl i NemID, da DanID 'udgav' NemID.

Og det værste ved hele situationen, er at et sikkert system kan designes enormt nemt. Hvis vi tager udgangspunkt i NemID, så kan disse rettelsers foreslås:
Væk med Java - Java er fyldt med huller, DanID får fuld adgang på ens computere, og så er det tungt/langsomt og inkompatibelt. Hvad er der galt i at bruge simpel HTML (som ikke indeholder huller, ikke får adgang til ens computer, og som er kompatibelt med alle OS som har en browser)? Ved brug af HTML ville man også løse det problem at brugeren ikke kan se hvor NemID appletten hostes. Er det svært at uddanne brugere til: "Kig i din browser. Står der https://nemid.danid.dk/blabla så kan du trygt skrive din kode ind, ellers luk siden" ?
Væk med papkort - Jeg er ret sikker på at have læst, at en af kravene til en offentlig løsning, var at løsningen skulle regne med at 50% af brugerne havde malware på deres computere. Hvordan løser man dette? Bestemt ikke ved brug af papkort (eller "normal" 2 faktor auth. løsninger), som alle lider af MitB angreb.
En enkel, men meget sikker, løsning ville være at udnytte folks mobiler. I Danmark har vi flere mobiler end indbyggere, så lad os lege at alle med en NemID konto også har som minimum en dumbphone. Imagine this: Du vil sende 123 penge til konto XYZ, du trykker send og skal skrive en verificeringskode. Du modtager en sms som indeholder; antal penge (123), modtager konto (XYZ), verificeringskoden.
Fordele: dette ("Out-of-band transaction verification") vil beskytte mod MitM/MitB (som indtil videre har været fremgangsmåden i begge "angreb" mod NemID). Er mere sikker end NemID's nuværende model
Ulemper: Kræver telefon/whatever, er ikke 100% sikkert ("MitMo" - Man-in-the-Mobile).

Så for at runde det lidt op, lige meget hvad DanID/Nets gør med deres NemID-applet, så vil det aldrig nogenside løse det underliggende problem (nemlig at brugeren ikke kan tro noget af hvad der står på hans/hendes skærm). Og hvordan løser man det? Tjo, hvorfor ikke udnytte mobilens skærm?

Flere fejl ved NemID? Skriv en kommentar så tilføjer jeg dem (hvis jeg ikke allerede er kommet i tanke om dem, og tilføjet dem :P)