Tag Archives: Java

Huge leak of Apple device unique IDs and ASPNs

Recently, I saw a post on pastebin regarding leaked Apple device IDs. The hackers said they got the file from a laptop belonging to an FBI employee:

During the second week of March 2012, a Dell Vostro notebook, used by Supervisor Special Agent Christopher K. Stangl from FBI Regional Cyber Action Team and New York FBI Office Evidence Response Team was breached using the AtomicReferenceArray vulnerability on Java, during the shell session some files were downloaded from his Desktop folder one of them with the name of ”NCFTA_iOS_devices_intel.csv” turned to be a list of 12,367,232 Apple iOS devices including Unique Device Identifiers (UUID), user names, name of device,
type of device, Apple Push Notification Service tokens, zipcodes, cellphone numbers, addresses, etc. the personal details fields referring to people appears many times empty leaving the whole list incompleted on many parts. no other file on the same folder makes mention about this list or its purpose.

The file ”NCFTA_iOS_devices_intel.csv” is said to contain over 12 million unique device identifiers (UUID) and user data for iOS devices. The actual leaked file contains 1 million records. The UUID is a unique number assigned to each device. It’s used for identifying the device, and many app developers use it to identify the device/user.

The list looks something like this:

That in itself doesn’t contain much ”dangerous” information, however, the interesting thing is where the hackers, or the FBI/NCFTA (National Cyber-Forensics & Training Alliance) got it. I’d generally say that this information could be fetched from some hacked app developer, since they usually store that kind of info on their servers. Perhaps they got this from some hacker they arrested? Or some developer handed it over?

Security expert Peter Kruse reported on Twitter that the actual data is correct, he found three of his devices in the list.

The list also contains APNS (Apple Push Notification Service) IDs. This is used for push notifications on the iOS devices. I am uncertain if it’s enough to have the device ID and the APNS ID in order to read the push notifications for any device. If any reader knows, please let me know!

Looking at the data, there seem to be some interesting device names, however, keep in mind that anyone can choose to name their device whatever they like:

[email protected]
[email protected]
[email protected]
Government Official’s iPod
Governor’s iPad
Governor’s iPad
Forensic3GiPad
Forensic iPad
Forensic iPhone
Forensics
TACTICAL FORENSIC SOLUTIONS
A. Castillo Law Office
Chief Excecutive Officer’s iPad
Law Offices of Jannette Mooney’s iPad
Port Moresby Duty Officer iPad
Riot Officer’s iPad
The Law Office of Yariv Katz, P.C.’s iPad

Without more info, it’s very hard to tell where the list originally came from, or what it’s purpose is. Time will tell, and hopefully we’ll get some more info soon. Also, keep in mind that the persons who leaked this also said the original list contained much more info (addresses, phone numbers, etc).

Some report that the data might have been acquired in a raid on Instapaper servers.

There seem to be quite many devices from Asia in the list. The top 10 device names are:

   1140 – PdaTX.Net
1196 – Administrator’s iPhone
1309 – Administrator’s iPad
1414 – 이지윤의 iPhone
1453  – iPhone
1534 – Owner’s iPad
2202 – “Administrator”的 iPhone
3136 – “Administrator”的 iPad
5141 – iPod touch
42790 – iPhone

Since the list also contains the device type, here is how it’s distributed:

iPod touch: 6%
iPhone: 35%
iPad: 59%

So, if this list comes from an app developer, it sure seems like the app is most popular on the iPad.

Update: They say they got the list from using a Java exploit in March, and as ErrataRob points out, this coincides with that exploit being used, and a possible targeted attack on a leaked list of agents and agencies trying to track hackers.

Hotrapport maj: Skadlig kod sprids via webbsidor

Efter en paus är det dags att börja ta upp de månatliga hotrapporterna från ESET. Diagrammet nedan visar de fem hot, virus och infektioner som var vanligast i Sverige under maj månad. Statistiken kommer från ThreatSense, det system som ESET använder för att kontinuerligt samla in information om angrepp och infektioner världen över.


Tre av topp 5-hoten i maj handlar om skadlig kod som sprids via infekterade legitima sidor eller försök att göra detta. Det är ett problem som varit ganska omfattande under en period och med stor sannolikhet kommer det att förvärras. Tråkigt nog är det alltså så att det går att få pålitliga sidor att sprida skadlig kod. Det sker antingen genom att de hackas eller med hjälp av infekterade annonser. En sådan dyker ofta upp på sajter genom annonsnätverk och kan vara programmerad att skicka webbläsaren vidare till sidor som innehåller skadlig kod till exempel var hundrade gång den visas.

  1. JS/Redirector.NID är en trojan som skickar webbläsaren till en URL som innehåller skadlig kod. Koden är oftast inbakad i manipulerad HTML på legitima webbsidor som hackats. Som namnet antyder använder JS/Redirector JavaScript, oftast obfuskerad, för att för att skapa hänvisningen till den infekterade sidan. Det här gör den för att ladda upp och köra skadlig programvara på klientdatorn, ett mycket vanligt sätt att sprida skadlig kod.
  2. HTML/Iframe.B.Gen är det allmänna namnet för Iframe-taggar med skadlig kod som bäddas in i HTML-sidor. Koden som bäddats in kan exempelvis utnyttja säkerhetshål för att köra skadlig kod automatiskt när användaren besöker sidan.
  3. Win32/Patched består av en rad olika infektioner som ändrar i systemfiler. Vissa standardprogram i Windows kan också påverkas, till exempel Anteckningar och Kalkylatorn. En tidigare frisk fil får ett tillskott av skadlig kod och filer som har patchats på det här sättet ändrar sitt beteende, antingen för att kunna underlätta spridningen av skadlig kod, eller också för att det ska vara ännu svårare att upptäcka den skadliga koden.En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.
  4. Win32/RegistryBooster är egentligen inte skadlig kod, utan det vi brukar kalla ett potentiellt oönskat program.
  5. HTML/ScrInject.B.Gen är samlingsnamn för detektioner av infekterade HTML-sidor som innehåller dolda skript eller Iframe-taggar som skickar webbläsaren till skadlig kod.

 

Ny attack: Nätfiskare utnyttjar Kissie, Kenza och pedofilhat för drive-by downloads

För ett par dagar sedan publicerade PC För Alla en nyhet om en riktigt fräck nätfiskeattack. Attacken var väldigt riktad och för ovanlighetens skull på svenska, vilket gjorde den ganska exceptionell.

Förövarna försökte nå ut både via forum och genom e-post. I mejl fick personer veta att de hade blivit tillagda på sidan barnförbrytare .se – alltså i egenskap av person som begått brott mot barn (även om jag tycker att namnet kanske främst antyder att det handlar om barn som är förbrytare). Få människor vill bli uthängda som pedofiler eller barnmisshandlare.

Jag har även sett infekterade länkar på ett forum om styrketräning då till sidan starkastisverige .se och en snabb sökning på ordet barnförbrytare leder oss till sajten hatadjur . nu – nätfiskarna har verkligen kartlagt vilka ämnen som väcker känslor på nätet.

Drive-by-download-attack utnyttjar Kissie och Kenza

Andra försöker man få att klicka genom att kalla sidan för internetkampanj – det skedde exempelvis i forumen på Allt om barn och Amelia. Brott mot barn är ett laddat ämne och många klickar vidare i ren affekt.

Det är svårt att veta hur stor spridning den här attacken har fått, men antagligen har ganska många klickat och infekterats. Rent tekniskt handlar det om en klassisk drive-by download: den infekterade sidan försöker ladda en Java-applet som i sin tur laddar hem en EXE-fil från nätet. Från början var det bara vi på ESET och ett par andra aktörer som upptäckte infektionen i Java-appleten, men nu bör förhoppningsvis de flesta antivirusprogram hitta den Java-appleten och EXE-filen.

EXE-filen verkar vara en variant av Poison Ivy, ett program som gör att man kan fjärrstyra den infekterade datorn. Bland annat kan hackaren kopiera filer, titta genom webbkameran och har möjlighet att helt styra datorn.

De som utförde attacken registrerade flera sajter samma dag, samtliga har nu stängts av webbhotellet Loopia där de låg. Man har bland annat försökt utnyttja de största svenska bloggerskorna för att nå ut, både Kenza och Kissie fick egna infekterade sajter kenzas-boyfriend .com och kissiestalkers .com. Här är ett urval av de nu stängda domänerna:

smygpedofiler .se
barnforbrytare .se
hatadjur .nu
kenzas-boyfriend .com
snuska-bilder .com
kissiestalkers .com
traderaskojare .se
gratis-st500 .se
sextrakasserier .se
gratisconverse .se
traderas-bedragare .se
pokerbluffen .nu
landskronaproblemet .se
svindelinfo .se

Uppdaterat 2010-05-14:
sdanhangare .se
sd-anhangare .se

Uppdaterat 2010-06-03:
offentligarasister .com

Just vinkeln och de riktade attackerna på svenska har gjort ett stort avtryck här i Sverige, vilket syns på hur mycket som skrivs om det. Några exempel:

Sydsvenskan
Aftonbladet
Svenska Dagbladet
Allehanda.se
Webbtips.se

Nio tips för livet i de sociala nätverken

Ämnet sociala medier och säkerhet diskuteras på många håll nu – jag har till exempel själv gjort det här, här och här. Här kommer några enkla tips som hjälper alla nätverkare att skydda sig lite bättre.

  • Måste man bli vän med alla? Många nätverkssajter tycks vara uppbyggda efter en popularitetsmodell och håller noggrann uppsikt över till exempel hur många vänner och länkar du har. Det är smart ur deras synvinkel, eftersom det dels får dig att hänga mer på sidan, och dels minskar det deras kostnader för marknadsföring – du gör ju hela jobbet själv. Det är kul att vara supersocial i verkliga livet, men på nätet kan det vara smart att dra öronen åt sig ibland.
  • Tänk efter innan du klickar. Du kan inte vara helt säker på att kortade länkar från bit.ly och TinyURL leder till sidor du kan lita på, eftersom du inte kan se en hel URL. Vi skrev lite mer om det här för en dryg månad sedan i det här inlägget.
  • Vem i hela världen kan man lita på? Många nätverkssajter har API:er (Application Programming Interfaces) som utvecklare kan använda för att skapa tillägg, insticksprogram och andra program som ansluter till tjänsten. Även om nätverkssajten du använder har en säkerhets- och sekretesspolicy, så är det inte säkert att eventuella tredjepartsprogram har det, eller att de tar policyn de har på allvar.
  • Byt webbläsare. Fundera på att använda en annan webbläsare när du besöker nätverkssajter. Om du brukar använda webbläsaren som kom med operativsystemet, kan det vara en bra idé att börja använda en oberoende. En mindre vanlig webbläsare innebär att det finns färre cyberbrottslingar som angriper den, eftersom de vill ha en bra vinstmarginal och riktar in sig på program som används av så många som möjligt.
  • Koppla ur det icke nödvändiga. När du besöker nätverkssidor kan det vara vettigt att stänga av scripts, insticksprogram, Java och Flash och bara köra dem när de behövs.
  • Allt är relativt. Sociala nätverk samlar ofta personlig information av många olika slag, både genom lösenordsfrågor som används för att kunna återställa lösenord och för att personer ska kunna hitta varandra. Sådan information kan faktiskt användas för att stjäla din identitet – på nätet åtminstone – så fundera på om det kan vara läge att ljuga lite ibland. Ljuger du i dina lösenordsfrågor är det smart att skriva ner rätt svar på en lapp någonstans. En annan sak: att twittra ”Åker till Mauritius på semester i fyra veckor” kan också vara ett dåligt drag, eftersom du inte vet säkert att de som följer ditt Twitterflöde är vilka de säger sig vara.
  • Använd säkra lösenord. Använd olika lösenord på olika sajter och se till att de är säkra. Du kan lyssna på vår podcast om lösenordssäkerhet här. ESET har också skrivit ett white paper om säkra lösenord, det finns här.
  • Låt inte alla se vem du är. På många sociala nätverk finns olika sekretessinställningar. Grundinställningen är ofta att alla ser allt. Att hindra folk från att se din information och lägga till dig som vän kanske känns som att motverka syftet med sociala nätverk, men ofta är det mindre jobbigt att göra det än att använda din nu virusfyllda dator för att be om ursäkt till alla vänner som fått phishingbrev med nakna kändisar från ditt konto.
  • Läs på om ditt nätverk. Många nätverk har officiella säkerhetssidor, -grupper eller -listor som du kan följa. Håll dig ajour om nätverksspecifika problem. Kvaliteten på informationen och hur aktuell den är kan dock variera.