churchbook.gr defaced

Μόλις λίγες μέρες μετά την ανακοίνωσή της λειτουργίας του το “εκκλησιαστικό facebook“  υπέστη. Μάλιστα παρόλο που η είδηση της επίθεση έχει ήδη διαδοθεί αρκετά η παραποιημένη σελίδα παραμένει ενεργή, και απεικονίζει το γνωστό μοτίβο Τούρκικης σημαίας και αντίστοιχης προπαγάνδας. H Μητρόπολη πάντως έχει ενημερωθεί και “προσπαθεί να το αντιμετωπίσει ενώ εξετάζει το ενδεχόμενο να ζητήσει την συνδρομή της Δίωξης Ηλεκτρονικού Εγκλήματος”.

Η ειρωνία είναι όχι μόνο ότι η επίθεση πραγματοποιήθηκε λίγες μόνο μέρες μετά την έναρξη λειτουργίας του site αλλά και ότι έγινε σε ένα ιστότοπο ο οποίος σύμφωνα με το δελτίο τύπου είναι “απόλυτα ασφαλής και ελεγχόμενος μιας και ένας σεβαστός αριθμός ακαδημαϊκών και εθελοντών θα επαγρυπνεί πίσω από αυτόν και θα διαφυλάττει την ηλεκτρονική ακεραιότητα των παιδιών μας.”

Φαίνεται ότι οι ακαδημαϊκοί (;) και οι εθελοντές δεν πιάσαν δουλειά από την πρωτη μέρα λειτουργίας του site. Τίθενται βέβαια και άλλα ερωτήματα, ως προς το πόσο κατάλληλοι είναι για τη “διαφύλαξη της ηλεκτρονικής ακεραιότητας των παιδιών μας” αφού ακόμα δεν έχουν καταφέρει να θέσουν τουλάχιστον εκτός λειτουργίας το site. Τέλος, το γεγονός ότι “εξετάζουν το ενδεχόμενο” να ενημερώσουν το ΣΔΗΕ σημαίνει άραγε ότι έχουν νιώθουν πολύ σίγουροι ότι μπορούν να αντιμετωπίσουν το θέμα μόνοι τους ή ότι έχουν αμφιβολίες για την αποτελεσματικότητα του ΣΔΗΕ σε αυτές τις περιπτώσεις;

Η Αστυνομία θα προσλάβει “χάκερς”…

Πρόσφατα ξεκίνησε μια ενδιαφέρουσα συζήτηση στο blog για το τι εννοούμε όταν λέμε “χάκερ”. Σήμερα, ο Υπουργός Προστασίας του Πολίτη μάλλον δίνει μια νέα διάσταση στον όρο αφού προανήγγειλε ότι:

«Καταργείται το απολίθωμα που λέγεται Ασφάλεια Αττικής και φτιάχνουμε πανελλήνια υπηρεσία αντιμετώπισης του οργανωμένου εγκλήματος, με πρόσληψη 100 αστυνομικών ειδικών καθηκόντων, οικονομολόγων, χάκερς κ.ά.»

Σίγουρα το Τμήμα χρειάζεται αναμόρφωση, όπως άλλωστε και το ΣΔΗΕ. Περιμένουμε να δούμε τι ακριβώς έχουν στο μυαλό τους οι αρμόδιοι, ποιοί και πώς θα στελεχώσουν τις θέσεις αυτές (εδώ υπάρχει και ένα ερώτημα σχετικά με το αν γνωρίζουν οι αρμόδιοι τι κόσμο θέλουν και τι είναι τέλος πάντων ένας χάκερ), ποιες θα είναι οι αρμοδιότητές τους, και κυρίως, αποτελέσματα πέραν των αποτροπών αυτοκτονιών.

To OWASP.gr στο Athens Digital Week 2009

Η Ελληνική Ομάδα Εργασίας του Open Web Application Security Project (http://www.owasp.gr) συνδιοργανώνει στα πλαίσια του Athens Digital Week 2009 συζήτηση με θέμα “Ανοιχτό λογισμικό και ασφάλεια”,

την Παρασκευή, 16 Οκτωβρίου 2009 και ώρα 20:00 στην Τεχνόπολη στο Γκάζι.

Στη συζήτηση θα συμεμτάσχουν:

Επικ. Καθ. Άγγελος Κιαγιάς (Τμ. Πληροφορικής και Τηλεπικοινωνιών, ΕΚΠΑ)
Αθανάσιος Βαβάτσικος (Symantec)
Μάρκος Γώγουλος (Hellug)
Κώστας Γκρίτσης (Microsoft)
Κωνσταντίνος Παπαπαναγιώτου (OWASP.gr)

Τη συζήτηση συντονίζει ο Βασίλης Βλάχος, μέλος της ομάδας συντονισμού του OWASP.gr

Σας περιμένουμε στην Τεχνόπολη.

Επίθεση phishing με στόχο χρήστες του Gmail

Τις τελευταίες ημέρες κυκλοφορεί μήνυμα e-mail, γραμμένο στα Ελληνκά, που δείχνει να προέρχεται από την ομάδα διαχείρισης του Gmail και συγκεκριμένα από κάποια κυρία “Christina Terzaki”. Το e-mail αυτό καλεί τους χρήστες του Gmail να επιβεβαιώσουν τα στοιχεία του λογαριασμού τους (username και password) επισκεπτόμενοι την ιστοσελίδα validationhellas.t35.com/validate.html.

Εκεί εμφανίζεται κανονικά η πρώτη σελίδα του Gmail και αν ο χρήστης βάλει κανονικά τα στοιχεία του τότε αυτόματα προωθείται στο Gmail, σα να είχε μπει κανονικά στο λογαριασμό του. Η phishing σελίδα όμως έχει υποκλέψει το συνθηματικό του το οποίο μάλιστα το αποθηκεύει σε αρχείο που είναι δημόσια διαθέσιμο!

Ήδη πολλοί έχουν πέσει θύματα της επίθεσης αυτής, η οποία κρίνεται ιδιαίτερα σοβαρή δεδομένου ότι τα στοιχεία των θυμάτων είναι διαθέσιμα προς όλους. Χαρακτηριστικό είναι ότι ενώ αντίστοιχες επιθέσεις σε τράπεζες αντιμετωπίζονται σχεδόν άμεσα, στην προκειμένη περίπτωση η επίθεση παραμένει ενεργή εδώ και μέρες. Φαίνεται ότι το ΣΔΗΕ είναι περισσότερο απασχολημένο αυτή την εποχή με την επιβεβαίωση διαφόρων επιθέσεων παρά με την αντιμετώπισή τους.

Το OWASP.gr θα ήθελε να εφιστήσει την προσοχή όλων σε τέτοιου είδους επιθέσεις και να υπενθυμίσει ότι ποτέ κανένας οργανισμός δεν θα σας ζητήσει να στείλετε προσωπικά στοιχεία μέσω e-mail ή μέσω ιστοσελίδων που θα σας υποδεινύει σε e-mail.

Hack 4 Fame: Όταν το hacking γίνεται της μόδας

Τις τελευταίες εβδομάδες έχει κάνει την εμφάνισή της μια νέα ομάδα από hackers, με την ονομασία Hack 4 Fame. Η ομάδα αυτή έχει δημοσιοποιήσει προσωπικά δεδομένα δημόσιων προσώπων, όπως ποδοσφαιριστών, δημοσιογράφων, κλπ. Αρχικά η δημοσιοποίηση αυτή έγινε με αποστολή e-mail σε ορισμένα site και blogs τα οποία με τη σειρά τους δημοσίευσαν το υλικό. Καθώς δε γινόταν καμία τεχνική αναφορά για τον τρόπο που αποκτήθηκε το υλικό αυτό, εύκολα μπορούσε να υποθέσει κανείς ότι πρόκειται περί φάρσας ή στην “καλύτερη” περίπτωση για επίθεση “εκ των έσω”. Άλλωστε η δικαιολογία περί “hacking” θα μπορούσε πολύ εύκολα να αποτελέσει άλλοθι για κάποιον που είχε στα χέρια του το υλικό και θέλησε να το δημοσιοποιήσει.

Την περασμένη Δευτέρα όμως, η ίδια ομάδα προέβη σε αντικατάσταση της ιστοσελίδας της εφημερίδας “Το Πρώτο Θέμα“, όπου και ανάρτησε ένα δεύτερο πακέτο τέτοιων δεδομένων. Το δεύτερο αυτό χτύπημα προκάλεσε μεγαλύτερη αίσθηση καθώς τα αρχεία περιλάμβαναν και υλικό της Νέας Δημοκρατίας. Για την ώρα δεν υπάρχει κανένα στοιχείο για την ακριβή προέλευση ή την εγκυρότητα του υλικού που δόθηκε, ούτε για τις τεχνικές λεπτομέρειες απόκτησής του. Επίσης δεν γνωρίζουμε αν έχει γίνει κάποια καταγγελία στο Σώμα Δίωξης Ηλεκτρονικού Εγκλήματος και συνεπώς αν διεξάγεται κάποια σχετική έρευνα.

[πηγή: in.gr]

Επίθεση στην ιστοσελίδα της Λούκας Κατσέλη

Στις 27/9/2009 εμφανίστηκε στην ιστοσελίδα της κας Λούκας Κατσέλη υποτιθέμενη ανακοίνωση της σχετικά με τη σύλληψη των φερόμενων ως μελών της οργάνωσης “Συνομωσία των Πυρήνων της Φωτιάς”.

Τη επόμενη ημέρα η κα Κατσέλη με νεώτερη ανακοίνωσή της στην ιστοσελίδα της διευκρίνησε ότι η δήλωση δεν προήλθε από την ίδια αλλά ήταν “προϊόν κακόβουλης επίθεσης”. Ταυτόχρονα υπέβαλε καταγγελία στο Σώμα Δίωξης Ηλεκτρονικού Εγκλήματος, το οποίο επιβεβαίωσε ότι το site υπέστη επίθεση και διεξάγει έρευνες για τον εντοπισμό των δραστών.

Continue reading ‘Επίθεση στην ιστοσελίδα της Λούκας Κατσέλη’

OWASP.gr @ MCIS 2009

The Greek Chapter of OWASP invites you to attend the 4th Mediterranean Conference on Information Systems which will take place at the Athens Uniersity of Economics and Business between Sptember 25th and 27th.

OWASP.gr co-organizes a track on Web Application Security which according to the conference program will be presented on Saturday, September 26th at 15:30. The papers that will be presented during this track are the following:

• Fortifying Applications against XPath Injection Attacks, by Dimitris  Mitropoulos, Vassilios Karakoidas and Diomidis Spinellis
• A Framework for Adaptation in Secure Web Services, by Costas Vassilakis and Christos Kareliotis
• Towards an Automated, Black-Box Method for Reversing Web Applications, by Georgios Argyros and Konstantinos Papapanagiotou

The OWASP.gr committee member Vassileios Vlachos will be the session chair.

For more information on the venue and MCIS 2009 please visit the conference website.

Phishing με στόχο την Αγροτική τράπεζα

Τις τελευταίες ώρες κυκλοφορεί e-mail που απευθύνεται σε πελάτες της Αγροτικής Τράπεζας και τους καλεί να επισκεφθούν ένα site για να “επιλύσουν” ένα πρόβλημα ασφάλειας. Σαν αποστολέας εμφανίζεται η ATECards S.A. με διαφορετικό e-mail κάθε φορά ενώ το site που μεταφέρεται κανείς αν ειλέξει το σύνδεσμο που περιλαμβάνεται στο e-mail είναι όμοιο με το περιβάλλον e-banking της Αγροτικής Τράπεζας.

Αν και το συγκεκριμένο site παραμένει ενεργό και παρόλο που στο site της Αγροτικής Τράπεζας δεν αναφέρεται τίποτα, οι πιο γνωστοί browsers προειδοποιούν τους χρήστες ότι πρόκειται για απάτη.

Μήνυμα phishing με “αποστολέα” το Υπ. Οικονομικών

Τις τελευταίες ώρες κυκλοφορεί ένα e-mail με φερόμενο σαν αποστολέα τον webmaster της Γενικής Γραμματείας Πληροφοριακών Συστημάτων του Υπουργείου Oικονομίας και Οικονομικών, το οποίο αναφέρει ότι ο παραλήπτης του είναι “επιλέξιμος” για επιστροφή φορου. Στη συνέχεια τον καλεί να “μεταφορτώσει” για συμπληρώσει ένα έντυπο και να λάβει την επιστροφή.

Μέχρι στιγμής δεν έχουμε λάβει το e-mail για να γνωρίζουμε περισσότερες λεπτομέρειες, όπως το αν ο σύνδεσμος που περιέχει είναι ακόμα ενεργός.

[πηγή: metablogging]

Noise vs. Subversive Computing

Επειδή το OWASP.gr έχει και καλλιτεχνικές ανησυχίες, λάβαμε και σας προωθούμε το παρακάτω δελτίο τύπου:

COMPUTATIONALLY INFEASIBLE RECORDS #001

“Noise vs. Subversive Computing”

This is the “Noise vs. Subversive Computing” Project: A Collaborative
release split between Noise/Experimental Artists and Subversive
Technologists/Computer Hackers. Ten representatives from each camp
were asked to contribute a piece of work which could be anything at
all: an audio track, a drawing, a written passage, software, video,
combination of all that, or anything else that can be converted to
binary. The Noisicians had “Subversive Computing” as their central
theme, and the Technologists worked with “Noise”.

Continue reading ‘Noise vs. Subversive Computing’