Det var efter att nyligen ha kikat lite på hur man gör landningssidor på Facebook. Ett av alternativen var att skapa en ”app” som innehåller en iFrame (hittade en bra guide hos SocialMouths). Facebook öppnade nyligen upp för denna möjligheten nämligen.
Att länka in en iframe är ju i sig inget avancerat och kan ju göras från vilket webbhotell som helst. Däremot bör man idag även kunna erbjuda säkert innehåll via ssl (https://) eftersom många Facebookanvändare har det påslaget.
Gör man inte det får besökaren följande meddelande och måste slå av sin säkra anslutning vilket leder till irritation:

För att kunna servera innehåll över ssl krävs ett ssl-certifikat och att webbhotellet man använder har stöd för detta. Vanligtvis är detta inga problem  – men det brukar kosta extra då det krävs ett eget ip-nummer per domän.
För att så billigt som möjligt sätta upp en server med eget certifikat är jag dock tvungen att ha en vps. Jag letade bland de svenska leverantörerna och hamnade till slut hos Oderland som har en snorbillig mini-vps för ringa ~300;- för ett år inklusive moms och upprättande.

Man får således inget monster, kapaciteten ligger på:

• 128MB ram (256MB burstable)
• 5GB utrymme
• 100GB trafik per månad

Detta räcker mer än väl så länge man inte kör en allt för högtrafikerad sajt med till exempel PHP+MySQL.

Det finns liknande varianter hos utländska leverantörer (Burstnet t.ex.) men eftersom Oderland har sina servrar i Sverige ger det aningens bättre svarstider inrikes.

Jag har tidigare kollat på certifikat och det har känts lite onödigt dyrt för att labba med ssl. Efter att ha googlat runt en del hittade jag till slut NameCheap. De har ssl certifikat från Comodo för så lite som $9 per år. Jag valde det näst billigaste alternativet, från GeoTrust för ~$10. Helt sanslöst billigt, fast o andra sidan kanske inte alternativet man använder om man sköter betalningar eller andra seriösare affärer.

Eftersom jag inte visste om certet skulle funka i kombination med Facebook-sidan lät jag provköra en vps hos Oderland (de erbjuder tre dagars gratis test). När jag testat och såg att det fungerade ändrade jag kontot.

Det är som sagt inget för en större trafikerad site men vill man prova, eller som i mitt fall har ett par mindre Facebook sidor duger det alldeles utmärkt. (Jag kör Lighttpd som webbserver med PHP och ingen MySQL.)

Den senaste tiden har det tvittrats en hel del om det hela. Är det något nytt socialt projekt eller kanske rent av ett skämt för att se hur långt man kan gå för att hajpa något?

Hursomhelst, bara genom att skriva denna posten kommer jag väl bidra till mystiken… och kanske få lite besökare på kuppen?

Update: Och givetvis var det ett prank. Arrangerat av bl.a. Nikke. Han skriver om det här om flickjox

Det blir ett kort inlägg som med ett par bilder illustrerar hur man öppnar en Dell Latitude E5410.

1. Skruva loss skruven på undersidan.
2. Stick in något platt i nersänkningen av bottenplattan och vrid lite försiktigt.
3. Bänd längs kanten för att lossa resten av undersidan.
4. Klart!

Jag stötte på ett problem med vår Konica Minolta Bizhub c451 då jag ville ändra standardfilnamnet för skannade filer. Efter att ha letat runt i menyer och även ringt deras support stod det klart det inte var möjligt att ändra filnamnet. Ja, inte hela sanningen, man kunde ändra filnamnet men det behövde göras per skannat dokument – inte hållbart om man ska skanna många dokument och dessutom vill ha dom i separata filer.

Anledning till att jag ville ändra filnamnet var att alla filer får ett mellanslag ex;

Sbizhub c4511022315550.pdf

Något som applikationen i nästa led inte kan hantera. Nu kan man ju säga vad man vill om situationen. År 2011 och program kan inte hantera mellanslag, WTF!? Å andra sidan tycker jag att det är lite god ton att inte använda mellanslag (eller andra konstiga tecken) vid när man skapar filer… Understreck duger utmärkt.

Nog klagat.

Jag fann en lösning av en slump.
Efter att ha varit inne i webbgränssnittet för skrivaren och letat runt för att regga en smb-utdelning med tillhörande användarnamn och lösen för filerna hittade jag ”program” funktionen. Med ett ”program” kan man göra en drös inställningar och spara dom i en form av preset för att slippa göra ändringarna varje gång man ska printa/skanna på något speciellt sätt.

Eftersom skanningsfunktionen per default skannar till PDF och folket här gillar det formatet i allmänhet ville jag inte sabba standardinställningen.
Sagt och gjort, jag skapar ett nytt program. I inställningarna för mitt smb-program såg jag att man kunde sätta ett default filnamn – hm? Äsch tänkte jag det är väl samma skit som med standardinställningen, dvs filnamn[mellanslag]löpnummer.ext Men icke!

Genom att skapa ett ”skanningsprogram” med tillhörande filnamn skapas filerna med filnamn_löpnummer.ext

Lite kasst att Konicas support inte kände till detta….

Trevlig helg!

Jag hanterar en del servrar via ssh och eftersom jag ibland snabbt vill öppna en anslutning till en specifik maskin tänkte jag att det kunde va smidigt med en tangentbordskombo.

Skapa först en genväg med (i mitt fall) följande värde:

”C:\Program Files (x86)\PuTTY\putty.exe” user@example.com

Denna genvägen öppnar putty och ansluter till önskad server och tillhörande användare.
Att bara ha en genväg på skrivbordet är ju smidigt men att kunna med en tangentbordskombination öppna den direkt är om än lite latare

Högerklicka på genvägen och välj ‘egenskaper’. Under ‘Kortkommando’ trycker du ner önskad kombination.

Egenskaper för genväg

Happy hacking!

Eftersom jag tyvärr inte har tid att visa i bloggen hur det går till tänkte jag länka till en youtube video där John Strand(från pauldotcom) visar hur man gömmer en bakdörr(reverse tcp shell) med hjälp av msfpayload & msfencode.

Nytt i senare versioner av Metasploit-sviten är möjligheten att kopiera ”egenskaperna” från en annan binär till den exe-filen man skapar och på så sätt lura antivirusprogrammen. Exemplet i videon kodar även om binären i fem omgångar för att obfuskera binären.

Äntligen fredag! Trevlig helg!

Vad göra?

Problemet med dagens antivirusbekämpning är att virusskaparna i princip alltid kommer ligga steget före. Det är ganska trivialt att dölja skadlig kod med metoderna tidigare beskrivna, vilket bidrar till att det väller ut virus, trojaner och liknande på nätet.

En tanke att ha i bakhuvudet är att även om man har de senaste patcharna, de senaste virussignaturerna så är man fortfarande inte helt säker.

Ett exempel;
En sårbarhet i Windows hittas av illasinnade hackers som i sin tur skriver ett program som tar över/saboterar datorn.
För att en användare  ska ska vara skyddad behövs i värsta fall följande:
* Microsoft får reda på sårbarheten och fixar fram en patch som i sin tur måste distribueras via Windows Update till användaren.
* Antivirus-företaget får tag på det skadliga programmet/programmen, analyserar det och uppdaterar sin virusdatabas. Användarens antivirusprogram får uppdateringen.

Det är inte helt ovanligt att dessa två scenarion kombineras, dvs en sårbarhet i operativsystemet öppnar för attack, vilket banar väg för hackern att få in den skadliga koden i datorn.

Problemet här är att det kan ta allt från timmar, dagar eller t.o.m veckor innan en lösning har hittats och användarnas datorer är i säkerhet.

Trender bland virusmakare

När man pratar om virus idag tror nog de flesta att det fortfarande till störst del rör sig om illasinnade program som raderar filer, saboterar och gör datorn obrukbar. Då detta till viss del existerar idag har virusmakarna (som i alla andra branscher) fått upp ögonen för Internet och de monetära möjligheterna det innebär.

Den tydliga trenden idag bland skadliga program är  att rekrytera datorer till s.k. botnets .
Detta innebär att dåligt säkrade datorer tas över utan användarens vetskap och används i kriminella syften utan att användaren märker av aktiviteten.

Infekterade datorer kan sedan användas för att skicka ut skräppost eller hjälpa till att infektera fler datorer på Internet. De illasinnade hackarna kan styra datorerna och använda dom i massiva överbelastningsattacker. Detta kan t.ex. användas i utpressningssyften mot hemsidor eller annan verksamhet på Internet.

Jag tror det viktigaste är att göra gemene man mer uppmärksam på hoten som existerar på nätet.  Vetskap, om än bara en gnutta om vilka knep och tekniker som används  kan  räcka långt. Det är på tok för många som klickar i blindo och inte bryr sig om varningsmeddelanden och liknande.

Slutligen,

Det är den gamla vanliga visan;

* Öppna inte bilagor i e-posten från skumma avsändare.
..även mail från vänner som av någon anledning är skrivna på engelska, deras adressbok kan ha använts av en mask/malware.

* Din bank kommer  aldrig kontakta dig angående lösenord och kontouppgifter per e-post.

* Facebook,Twitter eller andra sociala medier skickar inte heller ut varningar/lösenordsförfrågningar i word-dokument, pdf-filer  som dom vill du ska öppna(detta kostar helt för mycket i bandbredd på Internet). Är du osäker kommer dom garanterat ha informationen på hemsidan, kolla där istället!

Detta var den avslutande delen i min serie om antivirus, trojaner och malware, hoppas du lärt dig något!  Skriv gärna en kommentar.

Tidigare inlägg: Del 1 och Del 2

I denna delen kommer jag berätta lite om hur virusmakare går tillväga för att dölja sina spår och gömma elak kod i program.

Som jag nämnde i förra delen använder sig antivirusprogram av signaturfiler som innehåller bitar av skadlig kod.

När antivirusprogrammet scannar datorn använder den just dessa signaturer för att se om mönstret matchas i någon av filerna på datorn.
Vad händer då om man skulle ändra i koden för viruset eller trojanen? Filen får en annan storlek och kommer få en annan checksumma, kommer då antivirusprogrammet missa den? Troligtvis inte.

De skadliga bitarna i filen kommer se likadana eller snarlika ut när programmet kompilerats. Även om man skulle ändra vissa specifika värden i koden så kommer vissa systemanrop och liknande fortfarande behöva göras vilket kommer avslöja programmets elaka egenskaper. Eftersom jag inte är en programmerare kan jag inte djupare redogöra för hur exakt antivirusprogrammen jobbar men jag kan tänka mig att det är här heuristiken kommer in i bilden. Genom att snappa upp specifika kodsnuttar och mönster  som används vid attacker och annat hyss!

Hur bär sig då en illasinnad hacker åt för att dölja sina elaka program? Jo, det finns ett par sätt att obfuskera, eller dölja kod i filer.

Komprimering

Komprimering är just vad det låter som, man mer eller mindre ”zippar” den körbara filen. Denna metod har givetvis legitima syften och är inte något som uppfunnits av elaka virusmakare. Att komprimera en körbar fil kan t.ex. användas för att försvåra för personer som vill knäcka ett program för att se hur det fungerar. Även den faktiska storleksminskningen är ibland av nytta när man ska distribuera en applikation över t.ex. internet.
Komprimerade filer kan även kallas packade filer (packed executables).

Kryptering

Såväl som man kan komprimera en fil kan man även kryptera den. Detta för att försvåra identifieringen av skadlig kod.

Programmen packas upp och dekrypteras ”on the fly” när de körs i datorn vilket innebär att även antivirusprogram kan packa upp filer för att analys.

De flesta antivirusprogrammen idag kan läsa komprimerade och krypterade exe-filer.
Packade filer kan ibland få antivirusprogrammen att överreagera då metoderna är vanligt förekommande bland just elakartade program.

Omkodning

För att förvilla antivirusprogrammen ytterligare kan man dölja koden i program genom att kasta om processer och fylla ut filerna med oväsentlig data. Detta gör att programmet fortfarande kan exekveras av datorn men blir svårtydd av antivirusprogrammet.  Det blir helt enkelt för krävande för antivirusprogrammet att gå igenom den elaka datan.

För att råda bot på detta får man analysera och försöka  identifiera vilken algoritm  som använts och söka efter den i programmet.

Samtliga metoder kan användas och upprepas multipla gånger för att förändra signaturen för filen.

Exempel på program som kan dölja kod är till exempel PE-Scrambler skrivet av Nick Harbour (rnicrosoft.net) och msfpayload som är ett program i Metasploit sviten (metasploit.com). Det senare har även stöd för en mängd olika omkodningsalgoritmer.

Här är ett exempel där jag testar att koda om en fil som uppfattas som skadlig. Det roliga här var att filen fick fler träffar efter den blivit omkodad

Jag använde PE-Scrambler på följande sätt:

pescambler.exe -i suspektfil.exe -o suspektfil_crypt.exe

Här är resultaten från Virus Total:

Först, den okrypterade filen:

Den omkodade filen:

Detta resultat kan bero på att antivirus-företagen har analyserat PE-Scrambler och att i detta fall gav utslag av bara förekomsten av den specifika  kodningen.

Slut på del2!

I Del3 tänkte jag avsluta genom att dela med mig av lite tankar, funderingar och tips. Stay tuned!

(Om jag nu orkar/finner tid att slutföra det   )

Jag kommer inte gå djupare in i den uppsjö av antivirusprogram som finns ute på marknaden, vilket som presterar bäst i olika tester eller liknande, utan mer spåna om hur jag ser på antivirus och skadlig programvara i stort.

Antivirusbranschen befinner sig i en ständig katt-och-råtta-lek med virusmakarna. Dagligen överöses internet med nya skadliga program och det är ett tufft jobb för antivirusföretagen att hinna ikapp.

Antivirusprogram arbetar vanligen med sk. signaturfiler. Dessa innehåller delar av virus/trojaner som redan är identifierade. När filer skannas jämförs de med programmets signaturer. Nackdelen med denna metod är att viruset redan måste vara upptäckt, analyserat och distribuerat till folks datorer. För att lösa detta problemet finns det metoder som arbetar med heuristik för att identifiera skadliga filer. Nackdelen med heuristik är att det kan  generera falska alarm som också ställer till problem.

Antivirusprogram fungerar olika och har inte alltid samma  sätt att identifiera skadlig kod. Det kan därför vara bra att kunna kolla med andra program om man misstänker att man fått något skumt via e-mail, p2p eller liknande. Att installera flera antivirusprogram är inte att rekommendera då detta med all säkerhet kommer dra onödigt mycket prestanda på datorn.

Jag tänkte börja med att länka ett par sidor där man gratis kan ladda upp filer för analys.
Dessa sidor är inte tänkta som alternativ till antivirusprogram utan mer som ett komplement eftersom det inte aktivt scannar din dator.

Först ut är Virustotal som drivs av Hispasec Sistemas.

http://www.virustotal.com/sv/

Virustotal scannar filer med ett 40-tal  mer eller mindre kända antivirusprogram, bl.a. AVG, Panda, Symantec, Microsoft Security Essentials, Comodo & ClamAV.

Resultatet visas löpande allt eftersom de olika antivirusmotorerna analyserat filen. Även information om filstorlek, MD5/SHA hash/metainfo redovisas på sidan.

Man kan även ladda ner ett program som installerar sig i ”Skicka till” vid högerklick i Utforskaren. Programmet skickar automatiskt upp filen till Virustotal och öppnar resultatsidan i webbläsaren.

Virustotal är enligt mig den bästa sidan. Ett plus för den svenska översättningen också

Nästa sida är Jotti´s malware scan.

http://virusscan.jotti.org/en

Jotti’s sida fungera i stort sett som Virustotal. Man ladda upp sin fil och får en resultatsida med information om filen.

Jotti’s scanner har inte fullt så många program som Virustotal men innehåller nått enstaka program som Virustotal inte har. Jotti har även en hash-sök på sin sida med vilken man kan söka på MD5/SHA-hashar.

Efter lite googlande hittade jag ett par tjänster till som kan användas för att scanna filer:

http://www.virscan.org/

http://www.viruschief.com/

http://www.filterbit.com/index.cgi

Slut på del1!

I  del2 tänkte jag visa vilka metoder virusskapare använder för att lura antivirusprogrammen!

Google’s search engine is as you all know quite powerful and customizable when it comes to limiting and narrowing search queries.

I got the idea of writing this script when I  browsed the  scripts on the Backtrack 4 Live-CD. On the CD there are various scripts for enumerating information from among others Google. I tried the goorecon script by Carloz ”Dark Operator” Perez (wich inspired me to write this script). I didn’t get his ruby script to work so I figured I could try roll my own version in bash.

This script could be handy if you just want to do a quick search to check if a clients domain is leaking e-mail addresses in clear text,  or simply want to demonstrate for you boss how easy it is for evil spambots to harvest addresses using google.

My goonumerator script is quite crude and dirty and could probably be more efficient in other languages but since I like quick and dirty solutions and mostly write shell scripts I figured bash would suffice

The script simply browse google’s search with w3m command line style and pipes the text to a file. When the query finishes sed&grep is used to extract the e-mail addresses.

The query is based on the site: option combined with @TheDomainYouWannaScan.tld

Google only displays ten results at a time if you’re not logged in to an account so I added an option to specify how many pages of results you want.

The full query looks like this:

http://www.google.com/search?q=site:Domain.TLD+%40Domain.TLD&start=40

This example queries the Domain.TLD and gets the results starting from the 40th search result (equal to the 4:th page)

Download the script HERE and feel free to comment and leave suggestions!

I’ve only tried out the script in Cygwin, Ubuntu and OpenBSD. The ‘sed’ utility works differently in OpenBSD so the results gets garbled in the end…I may try to fix that and expand the script with more features later, and maybe check and use more cli browsers..

Over and out!