How to analyze timeline of 9/11 attacks - read pager traffic from N.Y. and Washington

Wikileaks has released hundreds of thousands pager messages from 11th September, 2001 sent in New York and Washington.

Link here.

Like mentioned in my SecuriTeam Blogs entry those messages are reportedly sent in Arch Wireless's, Metrocall's, and SkyTel's networks. The source or sources of the leak is not known, however.

Metasploit acquired by vulnerability management firm Rapid7

Metasploit Project has a new owner now - Rapid7.

It appears that HD Moore will start as CSO of Rapid7 and as Chief Architect of Metasploit.    

Acrobat-troijalaisella taas moninaisia nimiä

Acrobat-haavoittuvuutta hyödyntävät haittaohjelmat ovat jälleen saaneen melkoisen nimikirjon.

Trend Micron mukaan vihamieliset PDF-tiedostot ovat hieman yli 117 kilotavun mittaisia. Yhtiö tunnistaa tiedostot nimellä TROJ_PIDIEF.UO eli troijalainen-kategoriassa (ns. Troijan hevonen). Aktivoituessaan Windows-tietokoneelle dropataan toinen tiedosto, jonka Trend tunnistaa BKDR_PROTUX.BD:na.

McAfee tunnistaa hyökkäyksissä käytetyt tiedostot Exploit-PDF.w-nimellä. On kuitenkin hyvin epätodennäköistä, että uusiin kohteisiin hyökätään täsmälleen samalla tavalla. PDF-tiedostoon upotettu ajaettava .exe on luultavasti seuraavilla kerroilla "heapsprayatty" eri tavoin.

Myös PDF/Exploit.Pidief.NN-tyylisiä nimiä on käytössä.

12.10.: Sophosin käyttämä nimi on Troj/PDFJs-DS.

FinnSec 09 -messut taas ohi

Joka toinen vuosi Helsingissä järjestettävät FinnSec-messut päättyivät jälleen perjantaina. Kirjoittaja osallistui messuille tällä kertaa Tietoturva ry:n teemaseminaariin "Tietoturva taloudellisessa laskusuhdanteessa" messujen keskimmäisenä päivänä torstaina.       

Bloginpito alkoi neljä vuotta sitten

Blogi pääsi vaivihkaa täyttämään neljä vuotta 6.10. eli viime tiistaina.

Mainittakoon tässä samassa kirjoitusten lukumäärä - se on 2795 kirjoitusta. Kommentteja on kertynyt 72 kpl.

Critical Acrobat 0-day vulnerability used in targeted attacks

Adobe has confirmed a new zero-day vulnerability affecting to Windows, Mac and Unix versions of Adobe Acrobat and Adobe Reader. The exploit seen in targeted attacks was made for Adobe Acrobat 9.1.3 for Windows.

However, the vendor is developing a patch for older 8.x and 7.x versions as well.

The issue has been widely covered in this Finnish language article.

According to Trend Micro the length of malicious PDF files is 117,049 bytes.      

PakBugs.com forum online again

PakBugs.com is online after the offline period of several days.

Some of the forum's articles generate 500 Internal Server Errors or typical 404 errors at time of writing.

The underground forum is known about hacking tools, selling CVV codes etc. The forum has more than 12 000 registered members.

I wrote about the forum's userlist disclosure on unmoderated security mailing list in Tietoviikko magazine's article yesterday (link here in Finnish).

Update: The forum is gone - again.

TCP/IP-aukkojulkistusten viikko lopuillaan

Tällä viikolla saapuivat sitten korjaukset yli vuosi sitten julkisuuteen tulleisiin TCP/IP-haavoittuvuuksiin. Olikin hyvin odotettua, että Windows-korjausten (MS09-048:een sisältyvät kolme CVE:tä) kanssa samanaikaisesti julkaistiin myös Ciscon korjauksia.

Kuten jo toisessa blogissa eilen pohdiskelin, saattaa tarkempaa dokumentaatiota, white paper jne. olla aiheesta olemassa, mutta Jack C. Louisin menehdyttyä alkukeväästä voivat nuo mahdolliset dokumentit jäädä ikuisesti julkaisematta.

Tutkijoista toinen - Robert E. Lee - tyytyy blogissaan viittaamaan CERT-FI:n englanninkieliseen tiedotteeseen.

WTC-iskujen 8-vuotispäivä herätti hakukonehuijarit

Syyskuun yhdennentoista terrori-iskuista on nyt kulunut tasan kahdeksan vuotta.

Ikävä tosiasia on, että esim. hakusanoja '9 11 Victims" hakukoneissa käyttävät voivat joutua sivuille, joilla heitä odottaa valevirustorjuntaohjelman mainos, joka tietenkin sisältää haittaohjelman.

Historiaan jäävistä iskuista on julkaistu nyt myös kaksi uutta silminnäkijävideota.

Nordean konekäännösphishing päivitetty vuoden 2005 kooste-entryyn

Alkuviikosta suomalaissähköposteihin levinnyt tökerö Nordea-phishingviesti on lisätty koostetyyppiseen kirjoitukseen, jonka olen laatinut kolme ja puoli vuotta sitten.

Tässä ote harvinaisen tökeröstä konekäännöstekstistä:

Hyvä Nordea Asiakkaat

Koska huolta, että turvallisuus ja koskemattomuus Nordea huomioon olemme laati tämän varoituksen

Se on tullut, että teidän Nordea-tilin tiedot on saatettava ajan tasalle on osa jatkuvaa sitoutumista suojella tilillesi tänä vuonna 2009 ja vähentää esimerkiksi petosten sivuillamme.

Huijausviestien kohdeosoite oli tällä kertaa www . verkkopankki-nordea.hostzi.com.

Firefoxin miljardin latauksen raja ylittyi

Firefox-selainta on nyt ladattu yli miljardi kertaa. Totta - siis 1 000 000 000:n virstanpylväs on tänä iltana ylittynyt.

Onnittelut ja voitokasta jatkoa myös tulevaisuudessa Firefoxille ja koko Mozilla-yhteisölle!

Patch for iPhone SMS vulnerability released

Apple has recently released a fix for iPhone SMS vulnerability. More details can be found via The Register story.

The security update is known as iPhone OS 3.0.1 update. Apple's technical document is located here.

iPhonen SMS-kaappausaukosta on nyt lisätietoja

Eilisessä BlackHat-luennossa käsitellystä iPhone-haavoittuvuudesta kertoo lisää esimerkiksi tämä The Registerin artikkeli.

Teknisesti ongelma on puhelimen käyttöjärjestelmän CommCenter-osiossa, kertoo Charlie Miller.

Tänään on jälleen SysAdminDay

Kaikkien järjestelmäylläpitäjien nimikkopäivä - virallisesti System Administrator Appreciation Day - on jälleen tänään, heinäkuun viimeisenä perjantaina.

Viimeksi päivän olemassaolo tuli huomioitua kolme vuotta sitten.

Adminit tekevät tärkeää, pyyteetöntä työtä, joka näkyy yleensä vain silloin kun postit eivät kulje, tulostin takkuilee ja järjestelmiin ei pysty kirjautumaan...

SANS ISC:n IncoCon-mittari palasi vihreälle

Oltuaan noin vuorokauden Yellow-tasolla on SANS-instituutin alaisen Internet Storm Centerin sivustoon kuuluva InfoCon-uhkatasomittari palannut normaalille Green-tasolle.

Keskuksen päivystäjä Adrien de Beaupre (ei tällä kertaa vuorossa oleva "Handler on Duty") toivoo kohotetun keltaisen tason olleen riittävä signaali Microsoft Office Web Components ActiveX -haavoittuvuuden vakavuudesta ja muistuttaneen sen aktiivisesta hyödyntämisestä ja haittaohjelmista.

Kaarti Massacre -video on edelleen YouTubessa

Video, otsikoltaan Kaarti Massacre, pituudeltaan 1:45min on edelleen YouTubessa katselijaluvun ollessa n. 53 000.

Jokelan jälkeen toissa vuonna mm. Maaninka Massacre -video saatiin poistettua vajaassa vuorokaudessa.

Kaartin Jääkärirykmentin yksikönpäälliköiden kuvat ja täydelliset nimet esitelevän videon on lähettänyt nimimerkki KaartiMassacre. Käyttäjätunnus on luotu eilen, todennäköisesti ainoastaan videon lähetätmistä varten. Profiilin mukaan käyttäjä on Suomesta ja 108-vuotias...

19:00: Video on klo 16 jälkeen poistettu. Verkon aktiivien mukaan se on katsottavissa kuitenkin ainakin täällä.

Lista ydinlaitoksista joutui vahingossa nettiin USA:ssa

260-sivuinen atomienergiajärjestö IAEA:lle laadittu dokumentti on poistettu Yhdysvaltain hallinnon sivuilta, mutta sen kopio jatkaa elämäänsä verkossa.

Verkkoon epähuomiossa joutunut salainen dokumentti sisälsi tiedot kymmenistä ydinlaitoksista pohjapiirustuksia myöten.

Pdf-muotoinen dokumentti sisälsi tiedot siviilikäyttöön tarkoitetuista ydinlaitoksista sekä rakennuksista, joissa radioaktiivista materiaalia säilytetään.

Luettelo oli ladattavissa valtionhallinnon julkaisuista vastaavan Government Printing Office –viraston kotisivuilla noin vuorokauden ajan. 1860-luvulla perustettu GPO painaa myös Yhdysvaltain biometriset passit.

The Washington Postin haastatteleman, kansainvälisen tiede- ja turvallisuusinstituutin presidentin David Albrightin mukaan on mahdollista, että verkossa saatavilla olleet tiedot ovat apuna terroristien mahdollisten iskujen suunnittelussa.

Myös pohjapiirustuksia mukana

Dokumentti on laadittu Kansainvälistä atomienergiajärjestöä IAEA:ta varten ja etusivun mukaan Yhdysvaltain kongressin on tarkoitus käsitellä dokumentin sisältö ennen sen luovuttamista IAEA:lle.

Dokumentti poistettiin verkkosivuilta median otettua yhteyttä virastoon. Lista on kuitenkin ehditty jo julkaista useilla verkkosivuilla.

267-sivuinen dokumentti on päivätty 6. toukokuuta. Enimmäkseen skannatuista kohdekorteista koostuva dokumentti on luokiteltu erittäin luottamukselliseksi. Dokumentissa on myös kymmeniä yksityiskohtaisia pohjapiirustuksia ja karttoja. Ydinaseiden sijoituspaikkoja ei raportissa sen sijaan ole mainittu.

And the winners of oldest incident contest are…

Open Security Foundation’s DataLossDB has announced the winners of oldest incident contest.
Read more via SecuriTeam Blogs entry.

DirectShow-haavaan hyökkäillään jo

QuickTimeen hyökkäysvektorina perustuvaan DirectShow-haavoittuvuuteen on havaittu jo hyökkäyksiä. MS:n advisoryn listaama ensijainen suojautumiskeino on rekisterieditorin tai Regsvr32-komennon avulla tehtävä Quartz.dll-kirjaston poiskytkeminen.

Jordanian valtion sivut valjastettiin kalasteluun

Valtionhallinnon palvelimella sijainnut kalastelusivu uteli myös luottokorttimaksamisessa tarvittavaa kortin takapuolelle painettua CVV2-turvakoodia.

Verkkorikolliset ovat onnistuneet pystyttämään henkilötietojen kalasteluun tarkoitetun sivuston Jordanian valtionhallinnon palvelimelle.

Organisaatio jonka sivuilla kalastelusivusto sijaitsi on Jordanian eli Jordanian hasemiittisen kuningaskunnan ammatilliseen koulutukseen ja työturvallisuusasioihin keskittynyt virasto.

Kalastelu- eli phishing-sivu oli suunnattu PayPal-verkkomaksupalvelun käyttäjiä vastaan.

Tapauksesta kertoneen verkkosivustojen krakkerointien tilastointiin keskittyneen Zone-H-sivuston Boris Mutinan mukaan Gov.jo-osoitteessa toimivan huijaussivuston osoite oli http://www.vtc.gov.jo/accounts.paypal.us/www.paypal.com/cgi-bin/webscr/cmd=_login-run/. Niinpä niin, paypal.us- ja  paypal.com-osilla viestin saajaa pyrittiin uskottelemaan viestin olevan aito ja saapuneen PayPalin ylläpidolta.

Palvelimen IP-osoite on rekisteröity Batelco Jordanille, joka on Ammanissa toimiva internet-operaattori.

Englanninkielinen huijausviesti väitti vastaanottajan PayPal-tilin joutuvan kuoletetuksi, ellei vastaanottaja tarkista käyttäjätietojensa oikeellisuutta.

Teknisesti sivusto uteli PayPal-käyttäjän sähköpostiosoitetta, salasanaa, luottokorttinumeroa ja kortin voimassaoloaikaa, tunnuslukua sekä korttiin painettua ns. CVV2-koodia. Card Verification Value on kortin takapuolella allekirjoituksen vieressä oleva kolminumeroinen luku, jota kysytään usein maksettaessa kortilla verkossa.

Tietomurron kohteiksi joutuneita verkkosivuja voidaan käyttää myös haittaohjelmien levittämiseen ja muihin rikollisiin tarkoituksiin, muistuttaa Mutina.

The oldest vulnerability is known - let’s find the oldest data loss incident

Open Security Foundation - an organization behind OSVDB and DataLossDB has launched a competition to find the oldest documented data loss incident.

The last day to make a submission is next Friday - 15th May.

This reminder was posted to my SecuriTeam Blogs section too.

SNORT-suoja Acorobat-nollapäiväaukoille

SNORT-säännöt vielä paikkausta odottaville Acrobat-haavoittuvuuksille on vastikään julkaistu. Lisätietoja täällä.

Haavoittuvuudet (kyseessä siis getAnnots()-aukko CVE-2009-1492 ja customDictionaryOpen()-aukko CVE-2009-1493) korjaava päivitys on Adoben lupaan jakelussa 12. toukokuuta mennessä.

Bloginpitäjällä ei ollut tilaisuutta blogata itse haavoittuvuudesta sen julki tullessa. Blogasin tapauksesta kyllä kahteenkin otteeseen työnantajani julkisessa blogissa.

Tulostanpa turvamiesten nimilistan tuolta yleisökoneelta - ei näin

Viikonloppuna ja alkuviikosta on uutisoitu tapauksesta, jossa prahalaishotellin julkisella tietokoneella oli käsitelty tiedostoa, joka sisälsi tietoja EU-huippuvirkamiesten lentoreiteistä ja veriryhmistä.

Huhtikuun alkupuolella järjestettiin Tšekissä ns. EU-USA-huippukokous - sama jossa Obamakin vieraili. Noin 200 osanottajien passinnumeroita ja matkustus- eli lentoreittitietoja löytyi kokouksen jälkeen prahalaishotellin julkiselta koneelta. Ja noihin tietoihin kuuluu mm. tasavallan presidentin sekä pää- ja ulkoministerin tietoja. Suomen osalta yhdeksän henkilöä sisältäneessä tiedostossa oli myös suomalaisten turvamiesten nimet.

Tiedosto on uutislähteiden mukaan tällä hetkellä STT:n hallussa.

Osasta kokouksen osallistujista on mainittu jopa ruokarajoitukset ja -allergiat sekä veriryhmä. Arkaluontoisinta tietoa listassa lienevät julkisuudelta salassa pidetyt suomalaisten turvamiesten nimet.

Miten tietoja voitaisiin sitten käyttää väärin? Teoriassa mm. suunniteltaessa esimerkiksi sabotaasia jotain osallistujaa vastaan esim. lennon tai aterioinnin aikana. Käytännössä tämä edellyttäisi kuitenkin melko hyvää soluttautumista organisaatioon.

Suojelupoliisi eli turvallisuusyksikön päällikkö Kari Harju kommentoi asiaa näin:

"Enemmän tämä on kiusallinen kuin konkreettisesti Suomen valtiojohdon turvallisuutta vaarantava asia", Harju sanoo.

Paljolti olen eri mieltä. Turvamiehillä on toivottavasti turvakielto suojanaan, mutta kyllä tässä on kyse paljon muustakin kuin kiusallisuudesta. Järjestelmä on kokousjärjestelyissä pettänyt pahasti, kun valtionjohtoa käsittelevää tietoa on noin surutta käsitelty. Asiaa ei yhtään lievennä lausunto, jonka mukaan tuollaiset listat ovat järjestelyissä yleisiä. Oleellista on se kuinka niitä koko ketjun läpi käsitellään.

Tsekeissä reagoitiin - ehkä kuulemme vastauksenkin joskus

Tšekkien hallituksen edustajan Michaela Jelinkovan STT:lle antaman lausunnon mukaan tietovuodossa on ollut kyse yhden työntekijän inhimillisestä virheestä, joka on jo johtanut välittömiin henkilöstötoimenpiteisiin. Tehtävien uudelleenjärjestelyjä lienee siis tehdyn.

Osa Suomessa tietovuodon kohteeksi joutuneista virkamiehistä on julkisuudessa ilmoittanut varotoimenpiteenä uusivansa passinsa, jolloin myös passin järjestysnumero vaihtuu. Supo on kertonut myös pyytäneensä tsekkiviranomaisilta tietovuodosta selvitystä.

Olisi jo tavallisen veronmaksajankin kannalta kaikkien etu, että selvityksen saapumisesta kerrottaisiin julkisuuteen.

Terrorismintorjuntajohtajan salaisen muistion salat julki

Poliisioperaation uskotaan käynnistyneen tietovuodon seurauksena. Nyt julkaistu video paljastaa ratsioiden kohdistuneen salaisen muistion käsittelemille paikkakunnille.

Brittiläisen poliisipäällikön suojaamattomana kuljettaman muistion teksti on videokuvan suurennoksesta täysin luettavissa.

Scotland Yardissa palvellut, terrorisminvastaista työtä johtanut Bob Quick kuvattiin saapumassa pääministerin virka-asunnolle arkaluontoisia asiakirjoja käsissään pidellen. Operation Pathway -otsikoidun salaisen muistion teksti on täysin luettavissa brittiläisen Channel 4 News -uutissivuston julkaisemassa videossa.

Poliisin siis etuajassa toteuttamien pidätysten suunnittelua kuvaava teksti kuuluu suomeksi käännettynä näin:

''Tämä on Salaisen palvelun toimintasuunnitelma liittyen Al-Qaidan kaavailemaan iskuun Isossa-Britanniassa. Suunnitelma liittyy 11 epäiltyyn, jotka asuvat seitsemässä eri osoitteessa.
Suur-Manchesterin poliisi: Rynnäkkö tuliasein
Mersyside: Rynnäkkö tuliasein
Lancashire: Aseeton rynnäkkö aamiaismajoitusta tarjoavaan kohteeseen.
Kohteina kymmenen opiskelijaviisumilla maassa oleskelevaa NNN alueelta (Quickin peukalo peittää sanan).'

Teksti jatkuu kertoen suunnitelluista pidätyksistä Manchesterissa, Leedsissä ja Birminghamissa.

Liverpoolin alueella tehtiin pääsiäisviikonloppuna useita ratsioita ja kotietsintöjä juuri mainituilla alueilla. Quick ilmoitti eroavansa tehtävästään pääsiäisen alla.

Briteissä mokattu myös aikaisemmin

The Guardian kertoi viime toukokuussa asuntoministeri Caroline Flintin viime vuonna pääministerin istuntoon kävellessään paljastamasta muistiosta. Muovitaskussa olleen muistion kuvasuurennos paljasti (ja paljastaa) lauseen Emme voi kertoa kuinka pahassa kriisissä asuntomarkkinat ovat. Muistio myös totesi brittihallituksen tavoitteet asuntotuotannon kasvutoiveista epärealistisiksi.

Molemmissa tapauksissa tietovuodoilta olisi vältytty, mikäli luottamuksellisia dokumentteja olisi kuljetettu esimerkiksi kirjekuoressa tai salkussa.

Microsoftin palkintoilmoitukseksi naamioitu viesti on tuttua tökerösuomea

Konekäännetyillä huijausviesteillä kalastellaan käyttäjän nimeä, osoitetta, puhelin- ja faksinumeroa, maata ja sukupuolta nyt Microsoftin nimissä.

Palkintosumma on mojovat 150 000 puntaa - tai kuten viesti kertoo

Sata ja viisikymmentä tuhatta Great British Paunaa Sterling.

Otsikko on perinteinen, enemmän englantia kuin suomea sisältävä MICROSOFT EMAIL PROMO: OFFICIAL PALKINTO NOTIFICATION.

Näin pitkänäperjantaina yksityissähköpostiin tulleen viestin headerit paljastavat lähettäjän IP-osoitteeksi osoitteen 41.220.75.3, joka kuuluu MTN Nigerialle.

Teksti vain huipentuu loppua kohden:

Your salaisuus nastainen koodi on ML0757985.Be varoitti, että tapaukset kaksinkertaisen saamiset ja aiheettomiin väärinkäyttävät tätä ohjelmasta tulee oikeudellisesti nähden.

Voisiko tuon vakuuttavammin sanoa!