شماره: IRCNE2011091238
تاريخ: 13/6/90

هكرها ممكن است بيش از 200 گواهينامه ديجيتال را از يك شركت هلندي به دست آورده باشند. تعداد اين گواهينامه‌ها از تعدادي كه مركز DigiNotar اعلام كرده است به طور قابل ملاحظه‌اي بالاتر است. در هفته گذشته DigiNotar اعلام كرد كه هكرها "چند دوجين" گواهينامه را به سرقت برده‌اند. هانس وان دي لوي مشاور امنيتي و موسس مديسون گوركا كه يك شركت امنيتي هلندي است، گفت: حدود 200 گواهينامه توسط هكرها توليد شده است.
از جمله گواهينامه‌هايي كه در هك اواسط جولاي از DigiNotar توسط مهاجمان به سرقت رفته است، گواهينامه‌هايي است كه براي mozilla.com، yahoo.com و torproject.org معتبر مي‌باشند. Tor يك سيستم است كه به كاربران اجازه مي‌دهد تا به طور ناشناس به يك وب متصل شوند.
در اواخر روز سه شنبه، موزيلا به روزرساني‌هايي براي فايرفاكس 6 و فايرفاكس 3.6 عرضه كرد كه گواهينامه root،DigiNotar را به ليست سياه اين مرورگرها اضافه كرده است. گوگل نيز كروم 13 و كروم 14 را به روز رساني كرد.
در همين‌حال مايكروسافت تمام گواهينامه‌هاي DigiNotar را بوسيله افزودن root اين شركت هلندي به ليست گواهينامه‌هاي ممنوع خود در ويندوز ويستا، ويندوز 7، سرور 2008 و سرور R2 2008از رده خارج كرد.
با اين حال كاربران سيستم عامل ويندوز XP يا سرور 2003، در معرض خطر باقي مي‌مانند. مايكروسافت اعلام كرد كه به روزرساني اين نسخه‌ها را با يك "به روز رساني آينده" منتشر مي‌كند اما جدول زماني معيني ندارد.
ون دي لوي اعلام كرد كه در حال حاضر، محققان از شركت معروف Fox-IT در حال بررسي سرورهاي DigiNotar هستند و اميدواريم گزارش آنها اطلاعات كامل‌تري در مورد اين وقايع مهم آشكار كند.

مطالب مرتبط:
گواهي ديجيتالي گوگل در دست هكرها

ID: IRCNE2011091239
Date: 2011-09-04

According to "computerworld", Hackers have broken into the Kernel.org website that is home to the Linux project. They gained root access to a server known as Hera and ultimately compromised "a number of servers in the kernel.org infrastructure," according to a note on the kernel.org website.
Administrators of the website learned of the problem Sunday and soon discovered a number of bad things were happening on their servers. Files were modified, a malicious program was added to the server's startup scripts and some user data was logged.
They think that the hackers may have stolen a user's login credentials to break into the system.
The hack is worrying because Kernel.org is the place where Linux distributors download the source code for the widely used operating system's kernel. But Kernel.org's note says that, even with root access, it would be difficult for a hacker to slip malicious source code into the Linux kernel without it being noticed. That's because Linux's change-tracking system takes a cryptographic hash of each file at the time it is published.
This kind of compromise has become disturbingly common. In January, servers used by the Fedora project -- the community version of Red Hat Enterprise Linux -- were hacked. And around the same time another open-source software development site called SourceForge was also broken into.

ID: IRCNE2011091238
Date: 2011-09-04

According to "computerworld", Hackers may have stolen more than 200 digital certificates from a Dutch company. The count is considerably higher than DigiNotar has acknowledged. Earlier this week they announced that "several dozen" certificates had been acquired by the attackers. "About 200 certificates were generated by the attackers," said Hans Van de Looy, principal security consultant and founder of Madison Gurka, a Dutch security company.
Among the certificates acquired by the attackers in a mid-July hack of DigiNotar, Van de Looy's source revealed, were ones valid for mozilla.com, yahoo.com and torproject.org. Tor is a system that lets people connect to the web anonymously.
Late on Tuesday, Mozilla shipped updates for Firefox 6 and Firefox 3.6 that added DigiNotar's root certificate to those browsers' blacklists. Google has updated Chrome 13 and Chrome 14 - the latter currently in beta testing - to do the same.
Meanwhile, Microsoft has nuked all DigiNotar certificates by adding the Dutch company's root to its list of banned certificates in Windows Vista, Windows 7, Server 2008 and Server 2008 R2.
Users running Windows XP or Server 2003, however, remain at risk; Microsoft said it would address those editions with a "future update" but did not set a timetable.
"Currently, investigators of the renowned company Fox-IT are investigating the servers of DigiNotar and their report will hopefully reveal additional information on the how, when and what of this significant event," said Van de Looy.

Related link:
Hackers acquired Google digital certificate

شماره: IRCNE2011091237
تاريخ: 12/6/90

گروه متن باز Apache، نرم افزار وب سرور خود را براي ترميم يك حفره كه توسط يك ابزار انكار سرويس مورد سوء استفاده قرار گرفته بود، اصلاح كرد.
Apache 2.2.20 كه روز سه شنبه عرضه شد، حفره مورد استفاده توسط Apache Killer را مسدود مي­كند. Apache Killer ابزار حمله اي است كه هكرها بيش از يك هفته براي از كار انداختن وب سرورها از آن استفاده كرده اند.
در روز 24 آگوست، گروه توسعه دهندگان Apache قول دادند كه اين مشكل را ظرف 48 ساعت اصلاح نمايند و دو روز بعد، زمان خود را 24 ساعت تمديد كردند. اين گروه در راهنمايي امنيتي خود در مورد اين تاخير هيچ توضيحي نداده است. اين گروه پيش از اين راه­هايي را براي محافظت از سيستم­ها تا پيش از ارائه اصلاحيه به مديران وب سرورها توصيه كرده بود.
راهنمايي روز سه شنبه Apache تاكيد مي­كند كه اين، بهترين نسخه Apache است و به تمامي كاربران نسخه هاي پيشين توصيه مي­كند كه نرم افزار خود را به روز نمايند.
اگرچه اين آسيب پذيري انكار سرويس در Apache 1.3 نيز وجود دارد، اما پروژه Apache متن باز ديگر اين نسخه را پشتيباني نمي­كند.
بنا بر يك به روز رساني براي راهنمايي امنيتي اصلي كه هفته گذشته توسط Apache منتشر شد، اين ترميم حجم حافظه مورد استفاده توسط درخواست­هاي HTTP را كاهش داده و درخواست­هايي را كه به نظر مشكل دار هستند ساده كرده يا حذف مي­كند.
علي رغم اينكه اين به روز رساني، آسيب پذيري مورد سوء استفاده Apache Killer را اصلاح كرده است، اما Apache اظهار داشت كه بخشي از مشكل در خود پروتكل HTTP نهفته است. به گفته Apache، اين مشكلي براي تمامي وب سرورها بوده و در حال حاضر، موضوع يك بحث IETF براي تغيير پروتكل است.
به گزارش آمارهاي Netcraft، حدود 65.2 درصد از تمامي وب سرورهاي مورد استفاده در دنيا از Apache استفاده مي­كنند.

مطالب مرتبط:
انتشار يك ابزار حمله به سرورهاي Apache

شماره: IRCNE2011091236
تاريخ: 12/6/90

شاخه سريلانكاي گروه هكرهاي آنونيموس ادعا كرده است كه در روزهاي گذشته به سرورهاي DNS سايمانتك، Apple، فيس بوك، مايكروسافت و چندين سازمان بزرگ ديگر نفوذ كرده است.
اين گروه كه اخبار و ركوردهاي مربوط به سوء استفاده هاي خود را بر روي سايت Pastebin قرار داده است، در حال كسب اعتبار براي حملات آلوده سازي جستجوي DNS Cache است.
جستجوي DNS Cache پروسه اي است كه در آن هكرها مي­توانند يك پرس و جو براي يك سرور DNS ارسال كرده و كشف كنند كه كدام نام­هاي دامنه به آدرس­هاي IP تبديل شده اند.
آلوده سازي DNS Cache روشي است كه از طريق آن هكرها قادر خواهند بود ركوردهاي خرابكار و جعلي را به Cache سرورهاي DNS اضافه نمايند. در نتيجه هكرها مي­توانند يك پاسخ به يك پرس و جوي DNS را جعل كرده و كاربران را مجبور كنند كه به جاي وب سايت واقعي مد نظر، به يك وب سايت ساختگي بروند.
از آنجاييكه سرورهاي DNS ركوردهايي را كه نام­هاي دامنه را به آدرس­هاي IP تخصيص مي­دهند نگهداري مي­كنند، حملات عليه آنها مي­تواند به يك بخش بسيار اساسي از اينترنت آسيب بزند.
به گزارش Cyber War News، اطلاعات ارسال شده بر روي Pastebin توسط شاخه سريلانكايي آنونيموس نشان مي­دهد كه اين گروه توانسته است اطلاعات DNS شركت­هاي هدف خود را اسكن كرده و در برخي موارد افشا نمايد. ولي هيچ نشانه اي دال بر اينكه هكرها قادر بوده اند هيچ يك از ركوردهاي DNS را تغيير دهند وجود ندارد.
آنونيموس سريلانكايي در ركورد DNS حمله خود عليه سايمانتك ادعا كرده است كه دومين غول نرم افزاري آنتي ويروس دنيا را هك كرده است و اظهار داشته است كه تقريبا تمامي مخزن DNS شامل مشتريان شركتي اين شركت بزرگ، سرورهاي توليد، و testbed ها را به دست آورده است. اين گروه همچنين مدعي حملات آلوده سازي جستجوي DNS Cache بر عليه فيس بوك، اسكايپ، Apple، سيسكو، مايكروسافت و Novell شده است.
اين گروه هكري علاوه بر حمله عليه چندين شركت مهم فناوري، ادعا كرده است كه چند هك DNS عليه چندين گروه و آژانس در سريلانكا شامل پارلمان ملي، ارتش و بزرگترين ارائه دهنده سرويس­هاي مخابراتي را نيز انجام داده است.
به نظر مي­رسد كه اين حملات از 22 آگوست بر عليه كمپاني مخابراتي سريلانكايي آغاز شده و روز 30 آگوست نيز به اسكايپ رسيده است.

ID: IRCNE2011091237
Date: 2011-09-03

According to “TechWorld”, the Apache open source project patched its web server software this week to quash a bug that a denial-of-service tool has been exploiting.
Apache 2.2.20, released Tuesday, plugs the hole used by "Apache Killer," an attack tool that hackers have been using for more than a week to cripple web servers.
On Aug. 24, project developers had promised a fix within 48 hours, then revised the timetable two days later to 24 hours. The security advisory did not explain the delay. Earlier, the project had offered web server administrators ways to protect their systems until a patch was available.
"We consider this release to be the best version of Apache available, and encourage users of all prior versions to upgrade," Tuesday's advisory stated.
Although the DoS vulnerability also exists in the older Apache 1.3, the project no longer supports that edition.
According to an update to the original advisory that Apache published last week, the fix reduces the amount of memory used by HTTP requests, and "weeds out or simplifies requests deemed too unwieldy."
Although the update patched the bug that Apache Killer exploited, Apache acknowledged that part of the problem lies in the HTTP protocol itself. As it noted the problem's history, Apache said it was "an issue for (probably all) web servers and currently subject of an IETF discussion to change the protocol.”
According to statistics kept by Netcraft, Apache powers 65.2% of all web servers currently in use.

Related Links:
Attack tool published for Apache servers

ID: IRCNE2011091236
Date: 2011-09-03

According to “CNET”, the Sri Lankan branch of Anonymous claims to have hacked into the DNS servers of Symantec, Apple, Facebook, Microsoft, and several other large organizations over the past few days.
Posting the news and records of its exploits on Pastebin, the group is taking credit for launching "DNS Cache Snoop Poisoning" attacks against its victims.
DNS cache snooping is the process whereby hackers can query a DNS server to find out which domain names are being resolved into IP addresses.
DNS cache poisoning is a method through which hackers are able to insert malicious and fake records into the cache of DNS servers. As a result, the hackers can then spoof a response to a DNS query, forcing users to go to a phony Web site instead of the real one.
Since DNS, or domain name system, servers maintain the records that assign domain names to IP addresses, attacks against them are especially alarming since they can compromise part of the very foundation of the Internet.
The information posted on Pastebin by Anonymous Sri Lanka shows that the group was able to scan and in some cases expose the DNS information of the companies it targeted, according to Cyber War News. But there's no indication that the hackers were able to modify any of the DNS records that they touched.
In the record of its DNS attack against Symantec, Anonymous Sri Lanka boasts that it breached the "world's second-largest software (antivirus) leader/giant" and says that it captured almost the entire DNS pool, including the company's corporate customers, production servers, and testbeds. The group touted the same DNS Cache Snoop Poisoning attacks against Facebook, Skype, Apple, Cisco, Microsoft, and Novell.
Beyond its attacks against several major tech companies, Anonymous Sri Lanka has also claimed DNS hacks against several groups and agencies in Sri Lanka, including the nation's Parliament, military, and largest telecom provider.

شماره: IRCNE2011081233
تاريخ: 8/6/90

هكرها يك گواهي ديجيتال را از يك مركز صدور گواهي ديجيتال هلندي براي تمامي وب سايت­هاي متعلق به گوگل به دست آورده اند. مجرمان مي­توانند با استفاده از اين گواهي، حملات man-in-the-middle را بر عليه كاربران جي­ميل، كاربران موتور جستجوي گوگل يا هر سرويس ديگر متعلق به اين شركت هدايت كرده و ترافيك كاربران را تغيير مسير دهند.
بنا بر گفته مدير عملكرد امنيتي در nCircle Security، مهاجمان توانسته اند DNS را آلوده كرده، سايت خود را با گواهي جعلي عرضه كرده و اطلاعات كاربران را به دست آورند.
حملات man-in-the-middle همچنين مي­توانند از طريق هرزنامه هايي حاوي لينك­هايي به يك سايت كه خود را به جاي جي­ميل جا مي­زند، اجرا گردند. اگر گيرنده اين پيغام روي اين لينك كليك كند، نام كاربري و كلمه عبور ورودي حساب كاربري وي مي­تواند به سرقت رود.
جزئيات اين گواهي شنبه گذشته بر روي Pastebin.com قرار گرفت. Pastebin.com يك سايت عمومي است كه برنامه نويسان و نيز هكرها، نمونه هاي كد منبع را بر روي آن ارسال مي­كنند.
به گفته يك محقق امنيتي در كسپرسكي، گواهي SSL معتبر بوده و توسط DigiNotar كه يك مركز صدور گواهي ديجيتالي هلندي است ارائه شده است. مبدع Tor كه يك محقق امنيتي نيز هست و نيز يك محقق SSL تاييد كرده اند كه اين گواهي معتبر بوده و واقعي است. از آنجايي كه اين گواهي معتبر است، يك مرورگر در صورتي كه كاربر به يك وب سايت كه با اين گواهي امضا شده است وارد شود، هيچ پيغام هشداري صادر نمي­كند.
هنوز مشخص نيست كه اين گواهي در اثر اشتباه سهوي DigiNotar صادر شده است و يا اينكه يك نشت در وب سايت صدور گواهي اين شركت رخ داده است. محقق كسپرسكي به DigiNotar اصرار كرده است كه هر چه سريعتر اطلاعات بيشتري در اين مورد ارائه دهد. به گفته وي، بسيار مهم است كه هرچه سريعتر ابعاد اين نشت مشخص گردد.
اين وضعيت يادآور يك نشت در مارس گذشته است كه در آن، يك هكر گواهي­هايي را از برخي از بزرگترين سايت­هاي وب از جمله گوگل، جي­ميل، مايكروسافت، اسكايپ و ياهو به دست آورده بود. در آن زمان سازندگان مرورگرهاي گوگل، مايكروسافت و موزيلا، به سرعت به روز رساني­هايي را كه گواهي سرقت شده را به ليست سياه برنامه هاي آنها اضافه كرده بود، عرضه كردند.
اين گواهي google.com در روز 10 جولاي صادر شده است، ولي تا روز گذشته ابطال نشده بود.

شماره: IRCNE2011081234
تاريخ: 8/6/90

آخر هفته گذشته محققان امنيتي اظهار داشتند يك كرم جديد ويندوز با سوء استفاده از رمزهاي عبور ضعيف از طريق شبكه شركت در حال گسترش است.
اين كرم كه توسط مايكروسافت و هلسينكي مستقر در F-Secure لقب "Morto" گرفته است از اواخر هفته گذشته در حال گسترش است. كرم Morto بوسيله لاگين كردن در سرورهاي Remote Desktop كه از رمزهاي عبور ضعيف مانند abc123 استفاده مي كنند، گسترش مي يابد.
F-Secure اعلام كرد كه كامپيوترهاي شخصي آلوده شده به Morto، شبكه محلي را براي ماشين هاي ديگري كه از RDC استفاده مي كنند، اسكن مي كنند سپس تلاش مي كنند تا با استفاده از يك ليست از رمز عبورهاي رايج كه از قبل تنظيم شده اند، وارد يك سرور Remote Desktop شوند. اگر يكي از رمزهاي عبور عمل كرد سپس اين كرم اجزاي بدافزاري ديگري به منظور قرباني كردن سرور و از بين بردن نرم افزارهاي امنيتي براي اينكه پنهان باقي بماند را دانلود مي كند.
مايكروسافت در نوشته اي كه روز يكشنبه به چاپ رسيد گفت: هدف Morto ممكن است اجراي حملات انكار سرويس عليه اهداف تعيين شده هكرها باشد.
اگرچه مايكروسافت اصلاحيه RDP را تنها سه هفته پيش به عنوان بخشي از به روزرساني امنيتي ماهانه اوت منتشر كرد، Morto آن آسيب پذيري ها را مورد سوء استفاده قرار نداده است.

شماره: IRCNE2011081233
تاريخ: 8/6/90

وب سايت توسعه دهندگان نوكيا توسط يك حمله تزريق SQL هك شد. نوكيا به تعداد قابل توجهي از اعضاي فروم جامعه توسعه دهندگان اين شركت موبايل هشدار داد كه اطلاعات آنها هك شده است.
در حال حاضر اين سايت به جهت رعايت احتياط غير فعال شده است. نوكيا تاكيد كرده است كه آسيب پذيري مورد استفاده در اين حمله مشخص شده است.
يك مطلب در فروم بحث جامعه توسعه دهندگان نوكيا بيان مي­كند كه در طول تحقيقات اين شركت درباره اين رخداد، كشف شده است كه يك جدول پايگاه داده شامل آدرس­هاي ايميل اعضاي فروم توسعه دهندگان، با سوء استفاده از يك آسيب پذيري منجر به تزريق SQL، مورد دسترسي قرار گرفته است.
به گفته نوكيا، اين شركت ابتدا معتقد بود كه صرفا تعداد كمي از ركوردهاي اعضا مورد دسترسي قرار گرفته است، اما تحقيقات بيشتر مشخص كرد كه اين تعداد بسيار بيشتر از حدس­هاي اوليه است.
در مورد بخش كمي از كاربران كه خواسته بودند اطلاعات آنها در پروفايل عمومي آنها قرار بگيرد، علاوه بر آدرس ايميل، تاريخ­هاي تولد و نام­هاي كاربري سايت­هاي Web 2.0 شامل MSN، اسكايپ و ياهو نيز مورد دسترسي قرار گرفته است.
به گزارش نوكيا، هكرها به اطلاعات حساس مانند كلمات عبور و جزئيات كارت­هاي اعتباري دست نيافته اند، به همين دليل اين شركت تصور نمي­كند كه امنيت حساب­هاي اعضاي فروم در معرض خطر قرار داشته باشد. ساير حساب­هاي كاربري نوكيا تحت تاثير اين حمله قرار نگرفته اند.
به گفته اين شركت، هيچ سوء استفاده اي از داده هاي به دست آمده توسط هكرها صورت نگرفته، ولي اين شركت با آن دسته از اعضاي فروم كه هدف اين حمله قرار گرفته اند ارتباط بر قرار كرده است. نوكيا بابت اين رخداد عذرخواهي كرده است.