Ekrānšāviņš no twitter:

http://twitter.com/#!/laacz/status/187426840640626688/photo/1

Šādus uzbrukumus ir diezgan grūti atklāt (tāds ir viņu mērķis) un tie galvenokārt kalpo, lai palielinātu citu lapu reitingu.

Kādu laiku atpakaļ bija iespēja apskatīt arī citu lapu, kurai līdzīgi tikai pievienots liels raksts un padarīts neredzams (iespējams, ka tā lapa jau tāda bija kādu gadu). Atklāju to nejauši, kad apskatīju lapas html.

Laikam ir atklāts jauns uzlaušanas virziens un šos meistarus laikam var nosaukt par pus melniem urķiem, jo viņu uzdevums nav nograut resursu, bet tikai palīdzēt citai lapai.

Tomēr konstatējot šādu gadījumu vajadzētu noteikti atklāt ievainojamības cēloni, jo nākamais urķis var nebūt tik „nevainīgs”.

Related posts:

1. Drošības caurums CSDD un Parex mājaslapā
2. Uzlauzta “Mežavairogu” mājaslapa.
3. Pods izsmiets vai vēsture atkārtojas

Syrian President Bashar al-Assad has been under fire from world leaders to step down this week. He’s also under fire from hacktivist group Anonymous, who leaked hundreds of his office’s emails on Monday.

While Anonymous is infamous for its hacking know-how, it doesn’t take a genius computer programmer to guess one of the passwords commonly used by Assad’s office accounts: 12345. The string of consecutive numbers is the second-weakest password according to a 2011 study.

Anonymous broke into the mail server of the Syrian Ministry of Presidential Affairs, accessing some 78 inboxes of Assad’s staffers, according a report from Israeli daily Haaretz. The password 12345 was associated with several of the accounts.

Mansour Fadlallah Azzam, the minister of presidential affairs and Bouthaina Shaaban, Assad’s media adviser, were among the victims of the inbox hacks.

Haaretz obtained and published one email that included documents intended to prepare the Syrian leader for his December 2011 interview with Barbara Walters. In the interview, Assad claimed the Syrian government was not killing its people.

“We don’t kill our people,” Assad told ABC “No government in the world kills its people, unless it’s led by a crazy person.”

In the leaked email, Syrian spokesperson at the U.N. Sheherazad Jaafari advised Shabaan and Luna Chebel, a former Al Jazeera reporter and current Assad staffer, on what the Syrian president should say to manipulate Americans:

“It is hugely important and worth mentioning that ‘mistakes’ have been done in the beginning of the crises because we did not have a well-organized ‘police force.’ American psyche can be easily manipulated when they hear that there are ‘mistakes’ done and now we are ‘fixing it.’ It’s worth mentioning also what is happening now in Wall Street and the way the demonstrations are been suppressed by policemen, police dogs and beatings.

“The major points and dimensions that have been mentioned a lot in the American media are: The idea of violence has been one of the major subjects brought up in every article. They use the phrases ‘The Syrian government is killing its own people,’ ‘Tanks have been used in many cities,’ ‘Airplanes have been used to suppress the peaceful demonstrations,’ and ‘Security forces are criminals and bloody.’”

Jaafari’s email also advised that Assad should emphasize the openness of Facebook and YouTube to show the true situation in Syria. Press entry restrictions should be spun as a proactive measure not to have foreign journalists misrepresent the country.

What do you think of Anonymous’s vigilante role in international affairs? Is diplomacy the place for hacktivists? Let us know what you think in the comments.

Related posts:

1. Kas notiek ievadot lietotājvārdu un paroli?
2. Anonymous izķēmojuši CIP mājaslapu
3. Google (i) nozagts Gaia izejas kods :)

Google Wallet users might be wise to start getting a little nervous.
Yesterday, researchers outlined a complicated way to crack the Google Wallet PIN used to make purchases with the smartphone-based payment system. Now there’s a new hack that could let a stranger gain access to the funds of Wallet users.
Described yesterday by blogging site The Smartphone Champ, the hack doesn’t require extra software, root access, or any particular skills in general.
Instead, all someone apparently has to do it clear the data for the Google Wallet app in the smartphone’s application settings menu. The app is then reset and will prompt the person to enter a new pin number the next time it launches. Since the Google Wallet information is linked to the device and not to the actual account, a person can then use the Google prepaid card already tied to the device to gain full access to the owner’s funds, explained The Smartphone Champ.
This latest Google Wallet hack follows an earlier hack reported by security blogging site Zvelo.
That one, however, required root access to the device, something that requires a certain amount of time, effort, and skill (or luck) to acquire. But the new hack can be performed by anyone within a matter of minutes.
Android blogging site Android and Me tested the hack and found that it worked on a Galaxy Nexus phone with the latest official version of Google Wallet.
In response to the hack, a Google spokesman sent CNET the following statement:
“We strongly encourage anyone who loses or wants to sell their phone to call Google Wallet support toll-free at 855-492-5538 to disable the prepaid card. We are currently working on an automated fix as well that will be available soon. We also advise all Wallet users to set up a screen lock as an additional layer of protection for their phone.”

Related posts:

1. Google (i) nozagts Gaia izejas kods :)
2. Mazs google ihack
3. Gantt chart un google doc

Хакеры Anonymous в ночь на субботу (по московскому времени) взломали сайт Центрального разведывательного управления США (ЦРУ). На странице хакерской группировки @YourAnonNews в сервисе микроблогов Twitter они оставили сообщение «CIA Tango down», которое можно перевести на русский язык следующим образом: «ЦРУ ликвидировано» (выражение «Tango down» обычно используется спецслужбами для подтверждения факта устранения вражеского объекта). Ответственность за атаку на веб-ресурс ведомства взяла на себя хакерская группировка Anonymous. Какую именно цель преследовали хакеры Anonymous для атаки на сайт ЦРУ, они не уточнили.

Представитель ЦРУ подтвердила информацию о возникших после атаки хакерской группы Anonymous проблемах с веб-ресурсом разведуправления и сообщила, что к 09.00 мск сайт возобновил свою работу.

Как сообщает РИА «Новости», это уже не первая атака Anonymous на сайты американских государственных ведомств. В январе хакеры вывели из строя веб-ресурсы Минюста США и Федерального бюро расследований (ФБР), протестуя таким образом против закрытия «файлообменника» Megaupload и ареста его руководителей.

Хакерская группа Anonymous стала по-настоящему известной в конце 2010 года, когда ее представители предприняли серию DDoS-атак на сайты компаний и организаций, противодействовавших деятельности разоблачительного ресурса WikiLeaks. В числе атакованных – сайты PayPal, Visa и MasterСard. Позже целями группировки, объединившейся с хакерами из LulzSec, также становились сайты компаний Sony, Nintendo, PBS, сайт Сената США, правительственные сайты Бразилии, Мексики, Италии и ряд других ресурсов.

No related posts.

http://www.apollo.lv/portal/news/articles/262237

Kā pārliecinājās aģentūra LETA, izmantojot minētās mājaslapas tehniskās nepilnības, ikvienam interneta lietotājam bija iespējams iegūt informāciju par dienestā strādājošo ierēdņu algām, kā arī viņu personīgos datus.

Izmantojot būtiskus pārkāpumus mājaslapas drošībā, «ir iespējams iegūt un manipulēt ar pilnīgi visu informāciju, kura atrodas uz servera, ieskaitot pašu serveri», norādīja «Influent».

Drošības testētāji esot informējuši par atrasto «caurumu» arī pašu VPD, bet atbildi no tā neesot sagaidījuši.

Adrese uz visiem publiski pieejamajiem VPD failiem, kas augšupielādēti uz servera, bija gluži vienkārša – «www.probacija.lv/upload».

Tomēr īsi pēc aģentūras LETA ziņas publicēšanas minētais «caurums» tika «aizlāpīts», līdz ar to dati publiskajā vidē vairs nav pieejami.

Vienā no neaizsargātajiem failiem drošības pārkāpumu testētāji esot atraduši dokumentu, kurā redzams, ka par mājaslapas izstrādi no valsts budžeta paprasīti vairāk nekā 1000 lati, lai gan izstrādātājiem samaksāts vien ap 300 latiem.

VPD pārstāvis Imants Mozers aģentūrai LETA sacīja, ka, uzzinot par šo situāciju, dienests sācis to vērtēt. «Tiklīdz būs zināmi notikušā apstākļi un plašāks skaidrojums, arī mēs sniegsim informāciju,» norādīja Mozers, piebilstot, ka pagaidām nav saprotams, kā šāda veida dati varējuši būt pieejami publiskā vidē.

VPD mājaslapa esot izstrādāta 2004.gadā. Arī intranets dienestam izstrādāts sen, bet Mozers nemācēja pateikt konkrētu gadu.

VPD mājaslapa ir izvietota uz SIA «Lattelecom» serveriem.

Mozers piebilda, – viņa rīcībā nav informācijas, ka drošības testētāji iepriekš būtu ziņojuši VPD par atrasto «caurumu» dienesta mājaslapā.

Related posts:

1. Uzlauzta Vienotības mājaslapa
2. Uzlauzta “Mežavairogu” mājaslapa.
3. Drošības caurums CSDD un Parex mājaslapā

Related posts:

1. Aizstājam vai izmainām izvadāmo kodu izmantojot javascript
2. Atbrīvojamies no komentāru spama
3. Risks- iespēja zaudēt vai iespēja iegūt?

Labdien,

www.vadipats.lv 2011.gada 07.aprīlī plkst.13:00 pilnvērtīgi atsāk darbību.

vadipats.lv komanda atvainojas par problēmām, kas radušās sistēmas nepieejamības dēļ.

Diemžēl pat visdrošākajām iekārtām mēdz būt problēmas, un šoreiz platforma Latvijas Valsts Radio un Televīzijas centra datu centrā, uz kuras darbojās vadipats.lv sistēma, nebija izņēmums, proti, 2011.gada 6.aprīlī plkst. 00:35 pārstāja funkcionēt datu centra serveris.

Mūsu prioritāte vienmēr ir bijusi sistēmas pieejamība un mūsu lietotāju datu drošība. Tāpēc vienmēr visiem datiem ir tikušas veidotas rezerves kopijas. Līdz ar to platformas bojājumi neietekmēja sistēmā esošos datus.

Diemžēl datu rezerves kopijas tiek veidotas periodiski. Tāpēc sistēma atjaunota ar datiem tādā stāvoklī, kādā tie bija uz 2011. gada 5. aprīļa plkst. 00:00.

Līdz ar to mums jāatvainojas tiem, kas reģistrējušies vai šī atgadījuma dēļ zaudējuši ievadītos datus periodā no 05.04.2011 plkst. 00.00 līdz 06.04.2011 plkst.00.00. Šādi dati un lietotāji sistēmā jāreģistrē atkārtoti.

Turpmāk vēl lielāku uzmanību pievērsīsim datu saglabāšanā un turpināsim īstenot aktīvu datu drošības nodrošināšanas politiku.

Paldies par sapratni.

Ar cieņu,
vadipats.lv klientu serviss,
www.vadipats.lv

Related posts:

1. Kapitals.lv
2. Kapitals.lv
3. www.zz.lv un XSS

1. gadījumā interesants ir viedoklis, ka privātie dokumenti ir jāsargā pašiem (lai nenoplūst pases kopijas, personas kodi, utml) un to salīdzināšana ar bankas kodu karti.

Diez vai viņi meklējot sev attaisnojumu padomāja no šāda skata punkta- personas apliecinošie dokumenti ir jāuzrāda, jākopē un jādod trešajām pusēm (slēdzot visādus līgumus vai iesniedzot dokumentus valsts iestādēm), turp pretim bankas kodu karti nevienam neviens neprasa.

Apšaubu arī otru argumentu- banku kodu kartes ir tik pat pieejamas internetā, kā personas kodi. Ja tā būtu, tad daļai cilvēku jau sen būtu iztukšoti konti. Principā smieklīgi.

Vispār nesaprotu cik šauri cilvēkam ir jādomā, lai izdarītu secinājumu, ka pasē pieejamie dati tiek uzskatīti par drošu autentifikācijas rīku.. .
Kaut kā neticas, ka neviens auditors nepievērsa tam uzmanību (vairākās iestādēs ir savi IT auditori, drošības speciālisti, gan veiktas ārējās novērtēšanas).
Šādas lietas gribot negribot liek apšaubīt šo cilvēku atbilstību ieņemamam amatam.

2. variantā bija vēl labāk- vienīgais, kas VID darbiniekiem ienāca prāta ir atslēgt EDS sasaisti ar pārējām sistēmām un pompozi paziņot- Tagad Jums visiem būs divreiz vairāk darba, būs jāvada gan personas kodi, gan vārdi, uzvārdi, adreses ar roku.

Tas viss atgādina drīzāk nedomāšanu vai klasisko domāšanu balts/melns.

Es piedāvātu labāk izvērtēt kāda informācija tad īsti ir jāatspoguļo tajās EDS anketās par trešajām pusēm. Manuprāt pietiktu ar personas kodu (kuru ievada pats aizpildītājs) un tad, lai no saistošām sistēmām izvada tikai vārdu un uzvārdu (lai salīdzinātu vai ievadīts pareizi). Pārējo informāciju paturot pieejamu tikai VID darbiniekiem. Tādā veidā būtu atvieglota datu ievade un nevajadzīgi nebūtu jāatspoguļo informācija.

Internetā pieejamie cepieni par šo tēmu- Tautas skaitīšana, CSDD, EDS.

Related posts:

1. Kā tika nolādēti dati no VID EDS sistēmas?
2. Drošības caurums CSDD un Parex mājaslapā
3. No VID EDS tiek nopludināta informācija

http://hakipedia.com/index.php/Cross_Site_Scripting
http://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
http://ha.ckers.org/xss.html
http://www.martani.net/2009/08/xss-steal-passwords-using-javascript.html

Related posts:

1. www.atlaizuklubs.lv SQL kļūda
2. Uzlauzts Chrysler.lv
3. Hackeri uzbrūk vai gadās arī tā

Related posts:

1. Pods izsmiets vai vēsture atkārtojas
2. Kapitals.lv
3. Hackeri uzbrūk vai gadās arī tā