16-04-07

New fake codecs : now for images

Panda Software labs have just discovered a new malware that is trying to hide between a codec. People are looking for codecs because nobody takes any responsability for the chaos of formats for the users. It should be up for Microsoft, Apple and the linux community to deliver the only authorized codec packages and integrate those with most of the players (with an auto-update).

 

They have named it Adware/ImageAccesActiveXObject and it offers us to "enjoy" some porn images by installing an ActiveX supposedly needed to whatch them.

 

Note - we've always said that pornsurfers should be very well protected and should not be allowed on computers or networks with highly important data.

 

What it really does is to register a class Imageactivexobject.Ñhl that checks the web site we are visiting, so if we are on that particular website it redirects the browser to a different one where we could see the photos.

 

This is part of the script where this is checked:

 

When you click on the photos to watch them a message says that the domain has expired. It also checks if it is running on a virtual machine (so is a virtual machine becoming a necessary defense on important computers ?) 

 

It drops Adware/SpyLocked and  Adware/Securitytoolbar that show fake alerts about your computer or its infections and popups ads of all kinds.

 

What next ? Audio codecs ? Document codecs ? Unzippers ?

16:18 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

Conduit toolbars a spyware to disable ?

http://campaign.conduit.com/cj/  presents a Free toolbar builder for different browsers and says that  130.000 have already been built, of which also firms, schools and organisations (such as greenpeace). One moment I thought I will try it, but during the setup process there were too many blocked choices and that seemed tricky.

 

A Google gave me more information.

* Every search term and every click in your browser is sent to conduit from the moment you log on. And as the AOL dataleak showed, there is no guarantee what happens with your data when it is not under your control.

 

* The  browser toolbar has been removed from Mozilla addons because it uses javascript and that can be (will be) a securityhole. Even if they say nowadays that they have removed the javascript.

 

The question nowadays with spyware is not if it installs something or not, but what it does. The spyware installations that come with some free downloads do the same things the Conduit toolbar does itself (send all clicks and search terms to another server to be pooled). Even if they say that you have clicked on terms and conditions, this won't say that you have completely understood that all your search and browserhistory will somewhere be on a far away server. New download or not.

14:43 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

Too much choice

comic2_002

13:15 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

noodnummers chaos in België

Sinds enkele jaren zijn de noodnummers gewijzigd in België en nog steeds blijft men de 911 bellen bij een agressie of een ongeval. En daar zegt men dan dat men de 101 moet bellen en dan komt men op een regionale noodcentrale van de politie en die moet dan met de lokale politie contact opnemen en die moet dan contact opnemen met de noodcentrale om de informatie te verkrijgen die eerst was opgegeven, maar die politie-agenten ter plaatse niet hebben gekregen en opnieuw moeten krijgen.

 

Als je het live meemaakt met echte mensen in een echte confrontatie met een echte dringende tussenkomst van de politie, dan begrijp je dat het huidige systeem NIET werkt en wel om de volgende redenen.

 

1. Alle hulpdiensten moeten in feite op 1 nummer zitten omdat het zelden is dat er slechts 1 dienst ter plaatse zal moeten komen voor hetzelfde incident. Bij een brand moet waarschijnlijk zowel brandweer, politie, ziekenwagen en in het slechtste geval civiele bescherming komen opdraven.

2. Het is voor alle mensen heel duidelijk je belt 1 nummer en dan doen zij het verdelen van de taken zelf wel. Het zou zelfs eenvoudig is als je daar een heel simpel nummer van maakt (1122 bijvoorbeeld).

3. Deze centrale centrales kunnen ook beter uitgebouwd worden en het zal eenvoudiger zijn om de nodige backup oplossingen achter de hand te houden voor het geval men met honderden oproepen per uur te maken heeft (vb bij overstromingen).

4. Er is 1 plaats waar alle politieke en administratieve coördinatoren naartoe moeten om een globaal overzicht te krijgen van een crisissituatie. Met GPS in de wagens kan men zelfs duidelijk zien waar de wagens zich bevinden en met handheld video MMS kan men livebeelden van de situatie doorsturen naar het centrale kantoor.

5. Alle contacten met de media en naar het internet voor live updates kunnen ook daar worden georganiseerd aangezien men daar over alle directe (live feeds) als indirecte (rapporten en oproepen) gegevens beschikt. Het is in een dergelijke omstandigheid immers aangeraden dat ook de media over alle juiste informatie beschikt en geruchten direct kan checken vooraleer ze in de ether te gooien.

 

Momenteel is dit niet zo en dat zien we steeds opnieuw bij elke crisis of situatie.

Het zou trouwens de taalproblemen in de faciliteiten en grensgemeenten oplossen aangezien er zo steeds voldoende personeel zal moeten zijn van alle taalgroepen met in centrum- en toeristische steden ook anderstalig personeel.

12:45 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

2link.be versus Siteadvisor.com (McAfee)

We hebben het al regelmatig geschreven in Theinquirer, maar zetten hetzelfde verhaal hier verder. Siteadvisor van McAfee is geen slecht product voor zover het sites betreft waarvan het duidelijk is dat deze downloads en spam zenden, maar indien het sites als slecht aanduidt enkel en alleen omdat er ergens een link op zou staan (of gestaan hebben) naar een dergelijke site, dan pas beginnen de problemen.

 

Deze problemen beginnen bij startpagina's, linkdiensten en bloghosters. Ergens zal er wel een link staan op één of andere van hun leden die op één of ander moment rood heeft gestaan bij siteadvisor. 2link.be heeft zo'n 450.000 leden die elk een startpagina hebben met elk van veel tot enorm veel links. De kans dat er tussen deze miljoenen links van al hun leden wel links zouden zitten die rood zouden zijn in de ogen van Siteadvisor is dan ook een grote waarschijnlijkheid.

Maar wat doet Siteadvisor ? Blokkeert ze enkel de betreffende site (subdomain) of het hele domein ? Nee de hele business wordt naar de verdomhoek geduwd en daardoor worden dergelijke diensten op het internet kapot gemaakt omdat mensen er niet meer wensen naartoe te surfen, lid van te worden of naar te linken (want linken naar sites die linken naar rode sites is gevaarlijk voor je eigen site)

 

Het probleem dat 2link.be heeft met siteadvisor is dat ze ondertussen reeds 7 maanden het nodige heeft gedaan om alle gevaarlijke sites en links te vermijden en Siteadvisor (McAfee) heeft aangeschreven maar dat die nog steeds niets hebben gewijzigd aan hun identificatie van 2link.be als rood (en dus te mijden). Ondertussen blijven sinds die rode indicatie het aantal bezoekers en nieuwe leden maar dalen (en dat heeft waarschijnlijk ook te maken met de almacht van Google in België waar siteadvisor zich optimaal mee kan integreren).

 

Dit is dan een tweede probleem met siteadvisor. Indien ze echt geloofwaardig wilt blijven, moet ze zo actueel mogelijk zijn en dat kan ze alleen indien ze haar beoordeling van de sites permanent aanpast. Ik ben ervan overtuigd dat sinds siteadvisor duizenden sites links naar gevaarlijke sites hebben verwijderd of hun gebruikersonvriendelijke praktijken (spam, drive-by downloads,....) hebben herzien of aangepast. Maar siteadvisor dient hen er ook voor te belonen indien dit het geval is. Want hoe ga je anders de andere sites overtuigen om hun gedrag ook aan te passen, indien ze niet worden beloond voor een aanpassing van je gedrag tov de bezoekers ? Spam en cookies en spyware brengen ten minste geld op en als je toch niet wordt beloond omdat je ze verwijdert, waarom zou je ze dan verwijderen ? Heb je ook een dergelijk verhaal, dan mag je het hieronder schrijven.

 

Ondertussen is er voor de betreffende sites maar 1 mogelijkheid om toch een beetje tegenwicht te vormen en dat is door lid te worden van siteadvisor en in de commentaren bij de betreffende rode sites te schrijven dat je de betrokken sites of links hebt verwijderd en dat iedereen die daar vragen over heeft zich kan richten tot de administrators. Dergelijke discussies over het gevaarniveau van sites komen immers regelmatig voor in siteadvisor. De vraag is alleen of ze er rekening mee houden....

 

Voor de surfers is er een duidelijke tip. Indien er in de beschrijving van siteadvisor staat dat er enkel sprake is van een link naar een rode site, dan weet je op welke site je absoluut niet moet klikken, terwijl je bij andere duidelijk beschreven redenen zoals spyware, cookies en spam beter wegblijft van de site tenzij in de commentaren over de site staat dat de administrator de zaak heeft genormaliseerd.

07:45 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

15-04-07

BLOCK RPC PORTS on WINDOWS DNS SERVERS

Following the report of the Internet Storm Center successfull attacks are taken place against DNS servers on Windows servers. They seem to use the port 1024 that you don't need anyway so you can close it down.

 

Source for the attack : 61.63.227.125
that does a TCP port scan to ports 1024-2048

Then a TCP connection to the right TCP port running the vulnerable RPC service. Shellcode binds to TCP port 1100. Attacker uploads a VBscript on this port and then runs it. VBscript downloads an executable DUP.EXE (MD5: a5ae220fec052a1f2cd22b4eb89a442e) from 203.66.151.92/images/. Executable is self-extracting and contains PWDUMP v5 and an associated DLL.

For bigger hosters or ISP's which want to automate this operation, more information is here.

 

This attack method is slowly developing. Automatic exploit attack code is now available on the web.

 

Those who do control the DNS servers, control all the traffic that goes through it. Your DNS servers are the brains of your network. If they are in the hands of gangs, they will use them as they see fit. And as it is a DNS servers (and port 53 traffic is always allowed) they would be able to do anything. With a little bit of DNS tunneling as trusted source......  Do I really have to spell it out loud ?

 

We"ll keep you posted.

01:06 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

14-04-07

Overhyping small web2.0 services

As everybody is on the lookout for the next Youtube to explode on the web, media and blogs are trying to be the first to find the next real thing while venture investors are trying to spread their investments as wide as possible. Every week another web2.0 is going out of beta or adding services or announcing new tresholds being passed. But behind the hype and the thousands of testers that leave after a short time, isn't much to show for.

Look at twitter the nanoblogging service, which means that you can blog every minute about what you are doing. They had a very geek journalist joining them early followed by some 4000 readers. But as his artistic name was TWIT he decided to part for an alternative service Jaiku before too  much confusing was there. So he left. What happened to those 2 big web2.0 names that were the hype of the media, online and offline ? One has problems now finding members and the other crashed....

Some of 4000 people go to a new webbased service and it crashes..... That's good infrastructure and planning.... Amateuristic underfunded and overhyped nontested crap yes.

09:00 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |