To OWASP.gr στο Athens Digital Week 2009

Η Ελληνική Ομάδα Εργασίας του Open Web Application Security Project (http://www.owasp.gr) συνδιοργανώνει στα πλαίσια του Athens Digital Week 2009 συζήτηση με θέμα “Ανοιχτό λογισμικό και ασφάλεια”,

την Παρασκευή, 16 Οκτωβρίου 2009 και ώρα 20:00 στην Τεχνόπολη στο Γκάζι.

Στη συζήτηση θα συμεμτάσχουν:

Επικ. Καθ. Άγγελος Κιαγιάς (Τμ. Πληροφορικής και Τηλεπικοινωνιών, ΕΚΠΑ)
Αθανάσιος Βαβάτσικος (Symantec)
Μάρκος Γώγουλος (Hellug)
Κώστας Γκρίτσης (Microsoft)
Κωνσταντίνος Παπαπαναγιώτου (OWASP.gr)

Τη συζήτηση συντονίζει ο Βασίλης Βλάχος, μέλος της ομάδας συντονισμού του OWASP.gr

Σας περιμένουμε στην Τεχνόπολη.

Επίθεση phishing με στόχο χρήστες του Gmail

Τις τελευταίες ημέρες κυκλοφορεί μήνυμα e-mail, γραμμένο στα Ελληνκά, που δείχνει να προέρχεται από την ομάδα διαχείρισης του Gmail και συγκεκριμένα από κάποια κυρία “Christina Terzaki”. Το e-mail αυτό καλεί τους χρήστες του Gmail να επιβεβαιώσουν τα στοιχεία του λογαριασμού τους (username και password) επισκεπτόμενοι την ιστοσελίδα validationhellas.t35.com/validate.html.

Εκεί εμφανίζεται κανονικά η πρώτη σελίδα του Gmail και αν ο χρήστης βάλει κανονικά τα στοιχεία του τότε αυτόματα προωθείται στο Gmail, σα να είχε μπει κανονικά στο λογαριασμό του. Η phishing σελίδα όμως έχει υποκλέψει το συνθηματικό του το οποίο μάλιστα το αποθηκεύει σε αρχείο που είναι δημόσια διαθέσιμο!

Ήδη πολλοί έχουν πέσει θύματα της επίθεσης αυτής, η οποία κρίνεται ιδιαίτερα σοβαρή δεδομένου ότι τα στοιχεία των θυμάτων είναι διαθέσιμα προς όλους. Χαρακτηριστικό είναι ότι ενώ αντίστοιχες επιθέσεις σε τράπεζες αντιμετωπίζονται σχεδόν άμεσα, στην προκειμένη περίπτωση η επίθεση παραμένει ενεργή εδώ και μέρες. Φαίνεται ότι το ΣΔΗΕ είναι περισσότερο απασχολημένο αυτή την εποχή με την επιβεβαίωση διαφόρων επιθέσεων παρά με την αντιμετώπισή τους.

Το OWASP.gr θα ήθελε να εφιστήσει την προσοχή όλων σε τέτοιου είδους επιθέσεις και να υπενθυμίσει ότι ποτέ κανένας οργανισμός δεν θα σας ζητήσει να στείλετε προσωπικά στοιχεία μέσω e-mail ή μέσω ιστοσελίδων που θα σας υποδεινύει σε e-mail.

Hack 4 Fame: Όταν το hacking γίνεται της μόδας

Τις τελευταίες εβδομάδες έχει κάνει την εμφάνισή της μια νέα ομάδα από hackers, με την ονομασία Hack 4 Fame. Η ομάδα αυτή έχει δημοσιοποιήσει προσωπικά δεδομένα δημόσιων προσώπων, όπως ποδοσφαιριστών, δημοσιογράφων, κλπ. Αρχικά η δημοσιοποίηση αυτή έγινε με αποστολή e-mail σε ορισμένα site και blogs τα οποία με τη σειρά τους δημοσίευσαν το υλικό. Καθώς δε γινόταν καμία τεχνική αναφορά για τον τρόπο που αποκτήθηκε το υλικό αυτό, εύκολα μπορούσε να υποθέσει κανείς ότι πρόκειται περί φάρσας ή στην “καλύτερη” περίπτωση για επίθεση “εκ των έσω”. Άλλωστε η δικαιολογία περί “hacking” θα μπορούσε πολύ εύκολα να αποτελέσει άλλοθι για κάποιον που είχε στα χέρια του το υλικό και θέλησε να το δημοσιοποιήσει.

Την περασμένη Δευτέρα όμως, η ίδια ομάδα προέβη σε αντικατάσταση της ιστοσελίδας της εφημερίδας “Το Πρώτο Θέμα“, όπου και ανάρτησε ένα δεύτερο πακέτο τέτοιων δεδομένων. Το δεύτερο αυτό χτύπημα προκάλεσε μεγαλύτερη αίσθηση καθώς τα αρχεία περιλάμβαναν και υλικό της Νέας Δημοκρατίας. Για την ώρα δεν υπάρχει κανένα στοιχείο για την ακριβή προέλευση ή την εγκυρότητα του υλικού που δόθηκε, ούτε για τις τεχνικές λεπτομέρειες απόκτησής του. Επίσης δεν γνωρίζουμε αν έχει γίνει κάποια καταγγελία στο Σώμα Δίωξης Ηλεκτρονικού Εγκλήματος και συνεπώς αν διεξάγεται κάποια σχετική έρευνα.

[πηγή: in.gr]

Επίθεση στην ιστοσελίδα της Λούκας Κατσέλη

Στις 27/9/2009 εμφανίστηκε στην ιστοσελίδα της κας Λούκας Κατσέλη υποτιθέμενη ανακοίνωση της σχετικά με τη σύλληψη των φερόμενων ως μελών της οργάνωσης “Συνομωσία των Πυρήνων της Φωτιάς”.

Τη επόμενη ημέρα η κα Κατσέλη με νεώτερη ανακοίνωσή της στην ιστοσελίδα της διευκρίνησε ότι η δήλωση δεν προήλθε από την ίδια αλλά ήταν “προϊόν κακόβουλης επίθεσης”. Ταυτόχρονα υπέβαλε καταγγελία στο Σώμα Δίωξης Ηλεκτρονικού Εγκλήματος, το οποίο επιβεβαίωσε ότι το site υπέστη επίθεση και διεξάγει έρευνες για τον εντοπισμό των δραστών.

Continue reading ‘Επίθεση στην ιστοσελίδα της Λούκας Κατσέλη’

OWASP.gr @ MCIS 2009

The Greek Chapter of OWASP invites you to attend the 4th Mediterranean Conference on Information Systems which will take place at the Athens Uniersity of Economics and Business between Sptember 25th and 27th.

OWASP.gr co-organizes a track on Web Application Security which according to the conference program will be presented on Saturday, September 26th at 15:30. The papers that will be presented during this track are the following:

• Fortifying Applications against XPath Injection Attacks, by Dimitris  Mitropoulos, Vassilios Karakoidas and Diomidis Spinellis
• A Framework for Adaptation in Secure Web Services, by Costas Vassilakis and Christos Kareliotis
• Towards an Automated, Black-Box Method for Reversing Web Applications, by Georgios Argyros and Konstantinos Papapanagiotou

The OWASP.gr committee member Vassileios Vlachos will be the session chair.

For more information on the venue and MCIS 2009 please visit the conference website.

Phishing με στόχο την Αγροτική τράπεζα

Τις τελευταίες ώρες κυκλοφορεί e-mail που απευθύνεται σε πελάτες της Αγροτικής Τράπεζας και τους καλεί να επισκεφθούν ένα site για να “επιλύσουν” ένα πρόβλημα ασφάλειας. Σαν αποστολέας εμφανίζεται η ATECards S.A. με διαφορετικό e-mail κάθε φορά ενώ το site που μεταφέρεται κανείς αν ειλέξει το σύνδεσμο που περιλαμβάνεται στο e-mail είναι όμοιο με το περιβάλλον e-banking της Αγροτικής Τράπεζας.

Αν και το συγκεκριμένο site παραμένει ενεργό και παρόλο που στο site της Αγροτικής Τράπεζας δεν αναφέρεται τίποτα, οι πιο γνωστοί browsers προειδοποιούν τους χρήστες ότι πρόκειται για απάτη.

Μήνυμα phishing με “αποστολέα” το Υπ. Οικονομικών

Τις τελευταίες ώρες κυκλοφορεί ένα e-mail με φερόμενο σαν αποστολέα τον webmaster της Γενικής Γραμματείας Πληροφοριακών Συστημάτων του Υπουργείου Oικονομίας και Οικονομικών, το οποίο αναφέρει ότι ο παραλήπτης του είναι “επιλέξιμος” για επιστροφή φορου. Στη συνέχεια τον καλεί να “μεταφορτώσει” για συμπληρώσει ένα έντυπο και να λάβει την επιστροφή.

Μέχρι στιγμής δεν έχουμε λάβει το e-mail για να γνωρίζουμε περισσότερες λεπτομέρειες, όπως το αν ο σύνδεσμος που περιέχει είναι ακόμα ενεργός.

[πηγή: metablogging]

Noise vs. Subversive Computing

Επειδή το OWASP.gr έχει και καλλιτεχνικές ανησυχίες, λάβαμε και σας προωθούμε το παρακάτω δελτίο τύπου:

COMPUTATIONALLY INFEASIBLE RECORDS #001

“Noise vs. Subversive Computing”

This is the “Noise vs. Subversive Computing” Project: A Collaborative
release split between Noise/Experimental Artists and Subversive
Technologists/Computer Hackers. Ten representatives from each camp
were asked to contribute a piece of work which could be anything at
all: an audio track, a drawing, a written passage, software, video,
combination of all that, or anything else that can be converted to
binary. The Noisicians had “Subversive Computing” as their central
theme, and the Technologists worked with “Noise”.

Continue reading ‘Noise vs. Subversive Computing’

Απόφαση της ΑΠΔΠΧ για τις θύρες ασφαλείας στις τράπεζες

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έδωσε στη δημοσιότητα πριν από μερικές μέρες την απόφαση  αρ. 45/2009 σχετικά με τις αλλεπάλληλες καταγγελίες πολιτών για το νέο σύστημα θυρών ασφαλείας που έχει εγκαταστήσει η Εθνική τράπεζα. Η απόφαση αυτή, την οποία μπορείτε να βρείτε εδώ, παρουσιάζει αρκετά ενδιαφέροντα σημεία μερικά από τα οποία σχολιάζουμε παρακάτω:

Continue reading ‘Απόφαση της ΑΠΔΠΧ για τις θύρες ασφαλείας στις τράπεζες’

Η επιστροφή του L0phtCrack

Η ιστορία του L0phtCrack, του πασίγνωστου εργαλείου ασφάλειας, μας πηγαίνει πίσω 12 χρόνια. Πολύ γνωστό στους κύκλος των ειδικών, είτε αυτοί λέγονται blackhats είτε λέγονται penetration testers, χάθηκε από το τοπίο όταν η L0pht αποφάσισε να το πουλήσει στην @stake και στη συνέχεια αυτή εξαγοράστηκε απ’ τη Symantec η οποία αποφάσισε να το κυκλοφορήσει με το λιγότερο ευφάνταστο όνομα LC 5 και τελικά να το εγκαταλήψει.

Πλέον όμως επέστρεψε στους αρχικούς του ιδιοκτήτες οι οποίοι μόλις κυκλοφόρησαν την έκτη του έκδοση,  οποία υποστηρίζει μεταξύ άλλων τα νεώτερα λειτουργικά συστήματα, 64bit επεξεργαστές κ.α. Περισσότερες πληροφορίες μπορείτε να βρείτε εδώ.

[πηγή: slashdot]