LogicalTrust

Zgłoszony błąd krytyczny w serwisie home.pl

2010-03-28

Nasi eksperci wykryli poważny błąd typu XSS w serwisie home.pl, który jest największym rejestratorem domen i dostawcą hostingu w Polsce. Usterka umożliwiała zaatakowanie użytkowników serwisu na różne sposoby, między innymi kradzież cookies, ataki typu CSRF, możliwość przeprowadzenia ataków phishingowych czy XSS defacement. Odpowiednia komórka w firmie zareagowała profesjonalnie - usuwając zgłoszoną przez nas usterkę w bardzo krótkim czasie.

Prezentacja na konferencji Seconference

2009-04-20

Prezentacja z konferencji Seconference o tytule: Cyberprzestępcy jutra - ile kosztują? - została udostępniona pod adresem: Slideshare.net

Nowa pozycja w ofercie LogicalTrust

2008-10-21

Wychodząc naprzeciw oczekiwaniom uczestników konferencji Forum Handlu Elektronicznego DOBRY KUPIEC przygotowaliśmy specjalną ofertę dla sklepów internetowych. Zapraszamy do skorzystania z naszych usług!

Prezentacja z grillIT

2008-10-10

Jest już dostępna prezentacja z wczorajszego Grillu IT. Autor: Borys Łącki, tytuł: Bezpieczeństwo portali społecznościowych w ujęciu robaków Web 2.0. Do obejrzenia na serwisie Slideshare.net, natomiast film pokazujący atak worma na serwis nasza-klasa.pl można obejrzeć na naszym kanale w serwisie YouTube.com. Serdecznie zapraszamy.

Nowa prezentacja

2008-09-30

Dostępna jest już prezentacja z warsztatów "Ochrona informacji w działalności telekomunikacyjnej" pt. "Dns blackholing - ochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem". Można ją obejrzeć na serwisie Slideshare.net. Zapraszamy.

Materiały pokonferencyjne - Sekit 2008

2008-09-15

Na konferencji SekIT w Opolu, wygłosiliśmy odczyt pt.: "Garnkiem miodu w zombie". Zaprezentowane zostały nowe dane i statystyki pochodzące z naszej sieci honeypotów oraz nowe trendy w w półświatku malware. Prezentacja jest dostępna w serwisie Slideshare.net. Zapraszamy do lektury.

Zgłoszone błędy krytyczne portali hestia.pl i merlin.pl

2008-09-09

Nasi eksperci wykryli dwa błędu typu XSS w popularnych portalach należących do firm Hestia S.A. oraz Merlin.pl S.A. Usterki umożliwiały zaatakowanie portalu na różne sposoby, między innymi kradzież cookies, ataki typu CSRF, możliwość przeprowadzenia atakó;w phishingowych czy XSS defacement.
Odpowiednie komórki w obu firmach zareagowały profesjonalnie - usuwając zgłoszoną przez nas usterkę w bardzo krótkim czasie.

Zakończona konferencja Open Source Security

2008-07-16

W dniach 10-11 lipca br. miała miejsce konferencja Open Source Security (OSS), na której odczyt wygłosili przedstawiciele departamentu Logicaltrust. Prezentacja dotyczyła złośliwego oprogramowania, prezentowała założenia dns-blackholingu oraz wyniki badań nad botnetami. Miło nam poinformować, że nasz wykład uzyskał najwyższe oceny uczestników.

Zgłoszona usterka w serwisie wykop.pl

2008-07-01

Nasi eksperci wykryli interesujący błąd w popularnym portalu wykop.pl. Na skutek niepoprawnej weryfikacji parametrów, możliwe było automatyczne "wykopanie" określonej pozycji.

Przeprowadzenie ataku mogło przebiegać w nastepujący sposób:

• atakujący przygotowuje specjalnie spreparowany odnośnik ("znalezisko"),
• zalogowany użytkownik po odwiedzeniu odnośnika, całkowicie nieświadomie - automatycznie "wykopuje" inny dodany uprzednio odnośnik

Nasi eksperci przygotowali także praktyczny sposób wykorzystania tego błędu. Spreparowany post zawierający błyskawiczną relację z części Juwenaliów wrocławskich (konkretnie było to PIWO2 czyli Potężny Indeksowy Wyświetlacz Okienny na jednym z akademików) został dodany z modyfikacją umożliwiającą wykorzystanie wspomnianego błędu. Efektem ataku miało być pobicie rekordu tygodnia dla artykułu reklamującego serwis pajacyk.pl. Niestety, ze względu na błyskawiczną reakcję użytkowników i moderatorów, a następnie programistów, którzy załatali usterkę - atak powiódł się jedynie częściowo. Przez klika godzin podbijany automatycznie pajacyk.pl osiąnął wynik 263 wykopów - następnie został usunięty.

Błyskawiczna reakcja obsługi technicznej na zaistniałą sytuację świadczy o wysokim profesjonalizmie i poważnym podejściu do incydentów związanych z bezpieczeństwem portalu.

Przy okazji pragniemy przypomnieć, że każde kliknięcie w brzuszek pajacyka pozwala dożywić głodne dziecko. Zapraszamy na stronę http://www.pajacyk.pl.

LogicalTrust z prelekcją na XIX Górskiej Szkole Informatyki

2008-06-24

Z przyjemnością informujemy, że nasi przedstawiciele wygłoszą dwa referaty na XIX Górskiej Szkole Informatyki, która odbędzie się w Szczyrku w dniach 23-26 czerwca br. Pierwszy, dotyczący wykrywania, analizy oraz prewencji przez infekcjami złośliwym oprogramowaniem, drugi dotyczący błędów w portalach www.
Program ramowy konferencji znajduje się pod tym adresem a strona główna konferencji tutaj. Serdecznie zapraszamy.

Zgłoszona krytyczna usterka w portalu Allegro.pl

2008-03-27

Nasi eksperci w ścisłej współpracy z Centrum Bezpieczeństwa Allegro.pl, odkryli poważny błąd typu XSS w zabezpieczeniach portalu.

Wykorzystanie luki wykrytej przez zespół - Logicaltrust mogło skutkować kradzieżą tożsamości innego użytkownika oraz wykonywaniem w jego imieniu szeregu działań (np. licytowaniem przedmiotów). Kolejnym groźnym skutkiem usterki była możliwość podmiany zawartości wyświetlanej strony dla oglądającego (phishing).

Typowy scenariusz ataku wykorzystującego odkrytą lukę przebiegałby w następujący sposób:

• zalogowany do Allegro użytkownik odwiedza odpowiednio spreparowaną stronę napastnika,
• licytowanie wrogiej aukcji następuje automatycznie bez wiedzy i zgody legalnego użytkownika.

Natychmiastowa reakcja działu bezpieczeństwa Allegro.pl na zaistniały problem dowodzi profesjonalnego podejścia do problemów związanych z bezpieczeństwem użytkowników. Po usunięciu usterki korzystanie z portalu Allegro jest wolne od zagrożeń.

Wykrycie i zgłoszenie błędu jest częścią stałej akcji prowadzonej przez zespół Logicaltrust, mającej na celu podniesienie poziomu bezpieczeństwa polskich zasobów sieci Internet.

Screenshoty obrazujące usterkę znajdują się tutaj oraz tutaj.

Po spotkaniu ISSA

2008-01-11

Wspólnie z Michałem Sobiegrajem przygotowaliśmy prezentację na wrocławskie spotkanie ISSA pt: "Drobne błędy w aplikacjach www". Do pobrania stąd.

SecureCON 2007

2007-10-19

We Wrocławiu, na Politechnice Wrocławskiej w dniach 20-21.10.2007 odbywa się ogólnopolska konferencja naukowa SecureCON 2007. Nasi przedstawiciele wpisujący się w zakres podmiotu LogicalTrust wygłoszą odczyt w oparciu o roczne badania nad zautomatyzowanym sposobem detekcji złośliwego oprogramowania.