iisop.org

Terrorismo e outros tipos de criminalidade podem de certa forma ser financiados por e-mails enviados ás pessoas aleatóriamente, estes e-mails podem conter diversos tipos de informações, dês de pedidos de solidariedade aos mais recentes avisos de prémios milionários.

Os avisos funcionam da seguinte forma.

1º alguem envia-lhe um e-mail dizendo que ganhou um prémio monetário elevadíssimo e pedem-lhe o seu contacto.

2º ao responder, caso se mostre interessado, podem ligar-lhe de outro país para o seu telemóvel indo directos ao assunto, “precisamos que pague as taxas de transferência e nao sei que mais sao + - 700€”. Se a pessoa pagar eles ficam com o dinheiro, recebem em contas onde todas as pessoas acabam por meter dinheiro um pouco por todo o mundo. Isto pode ser disfarçado com algum jeito alegando venda de produtos online ou outro tipo de método dentro do mesmo género, talvez o dinheiro vá para um paraiso fiscal.

3º pode dar cabeçadas numa parede com toda a força, não volta a ver o seu dinheiro.

Um e-mail de exemplo recebido por mim hoje:

———————————————–

FROM DR BEN AHMMED
Private phone number (+226-7636-3068)
Private email address (removido por questões de segurança)

(REMITANCE OF $25.8 MILLION USD)

I am Dr Ben Ahmmed,The bill and exchange manager in Bank Of Africa (BOA).
I seek your assistance in this businees opportunity to present you as the next of kin to this fund/money, to remitte $25.8 million U.S.A dollars.In account that belongs to a foreign customer who died along with his entire family in aplane crash in the year 2000.

Be restasure that i will back you up with every information the bank may need to verifile if you are the real next of kin to fund/money.

My good friend with trust and coppration from your side i accure you that this money will rich your account within 21 banking days no doubt this is real and 100% risk free.

Reply me if interested with those information bellow for more details and to enable me give the official deposit slip which the disease customer (Mr christain Eich) use in depositing the fund before his dealth for you to fill with your banking informations and apply to my bank as the next of kin to fund/money.

Your private email address…..
Your country…………………..
Your cell phone…………….
Your profession…….
Your age…………

Your’s Faithfully
Dr Ben Ahmmed

———————————————–

Depois de receber este e-mail respondi, alegando que ou me enviavam o dinheiro por cheque ou iria fazer uma denuncia ao FBI ou outra entidade competente, nem pesquisei para ver se era a entidade responsável por este tipo de crime mas era mesmo para ver se obtinha uma resposta. Momentos depois recebi uma resposta em que a pessoa me perguntava quem eu era e porque o estava a ameaçar, o que, visto o e-mail ter passado o bloqueio de antispam e eu ter verificado os headers e ip’s de origem e feito um traceroute estar tudo bem, me leva a pensar em dois planos possíveis:

1º - era mesmo o tipo, acobardou-se e fez-se de desentendido, em caso de queixa diria que foi infectado com spyware ou algo do género.

2º - Alguem fez spam com a conta dele.

A brevidade da resposta não chega para adivinhar o método utilizado, pode mesmo ser um tipo sem nada a ver com o assunto, de facto é extremamente arranjar uma base de dados de um forum com passwords dos utilizadores, quer em md5 quer plaintext ou outro tipo de encriptação, em minutos chega-se fácilmente a diversas contas, ha sempre gente com passwords simples fáceis de creckar e sendo um utilizador válido com e-mail activo pode levar à tal resposta rápida da parte dele que não deve saber de nada.

Duvido porém que seja mesmo ele o tal spammer, quem seria burro a tal ponto?

Já tinha ouvido falar que hackers utilizavam estes meios para beneficio de organizações terroristas ou com fins a obeter meios militares poderosos para fazer assaltos e mil e uma possibilidades, e já tinha recebido e-mails como este, mas este foi o primeiro a responder-me.

——————————————

Nota: A iisop.org reencaminhou o e-mail para as autoridades portuguesas, interpol e FBI. Vamos lá ver se se dão ao trabalho de responder.

Tags: crime, crime informático, e-mail, email, spam

Posted under News, Uncategorized

I wrote some days ago about how to exploit MySQL errors to do Blind SQL Injections. Today I had some ideas and was testing them on MySQL command line. I remembered about ORDER BY sql injections and found that it’s possible to use the errors “way” also if the only injection point is in the ORDER BY part of the query. Here an example:

SELECT 1 ORDER BY ASCII((select 'a' union select 'b'));

but it works also with other functions like SUBSTRING:

SELECT 1 ORDER BY SUBSTRING((select 'a' union select 'b'),1,1);

These two examples both throw an error like “Subquery returns more than 1 row”, if error messages are displayed of course.

As you can read on this previous post you can use such an exploit to collect fields data. More on this in the next days.

Tags: blind, mysql, order by, SQL Injections

Posted under SQL Injections

Rightclick image / view image to see full size.

Posted under Defacements

Hi, i’m oniric and this is my first post on RIOT website. I’m not portoguese so I’ll always write in English.

SQL Injection is what I like the most so my first post will be about that. Pentesting a site some days ago I found an Injection point that showed no output at all but MySQL errors. So I thought that it was the right time to start my BENCHMARK style SQL exploiter to blindly dump some info. When playing with the injection an error captured my attention:

Subquery returned more than 1 rows.

This was caused by a SQL query portion like this one:

AND 1=(SELECT 1 FROM table ) --

Eureka! What if I create a subquery that always return a row and “sometime” returns more than one? Yesm you got me, we can add a condition that add a row to the subquery result when it’s TRUE and that does not add anything when it’s FALSE. Like this for example:

AND 1=(SELECT IF(ASCII(SUBSTRING('password',1,1)) > 0,1,2) UNION SELECT 2 ) --

The IF condition will return TRUE so a 1 will be added to the union query but after also a 2 will be added for a total of two rows. In this case:

AND 1=(SELECT IF(ASCII(SUBSTRING('password',1,1)) > 2000,1,2) UNION SELECT 2 ) --

the condition is FALSE so a 2 will be added and the second 2 added by the second select in the UNION query will be ignored for a result of only one row.

Ah, obviusly this technique require a MySQL version that supports subqueries and UNION queries, so MySQL 4.1 or  greater. There are many different ways to exploit this, the easiest is taking the query above and add a subquery inside the substring function.

Googling I found that this wasn’t new but I never found it before so better to write about it here too

Tags: benchmark, blind, injections, mysql, sql

Posted under SQL Injections

Fartamo-nos do joomla!

Definitivamente é preciso ter pachorra, joomla NÃO É SEGURO! nunca foi, e nunca será.

Depois de termos alertado para problemas graves com os releases < 1.5.3 fizemos um patch na nossa versão portuguesa de joomla e aguardamos pacientemente pelo release Português que tardou em chegar e antes que pudessemos dizer “update” o site foi atacado vezes sem conta. Alguns utilizadores alertaram-nos para que o problema se mantinha e protegemos a pasta administrativa com password, acontece que o nosso pequeno “patch” não funciona na versão Portuguesa e descobrimos isso da pior forma. Não é a primeira vez que a iisop é atacada, de facto estamos abituados a isso, sites de segurança tendem a ser cristos, e sinceramente estamo-nos a borrifar para isso, perdemos tanto tempo de volta de sites de outras pessoas e com análises que o mais importante, actualizar o nosso, fica para segundo plano.

Desta vez fartamo-nos, agora é wordpress até encher. Agradecemos a quem cá vem que comece a vir com mais frequência, vão haver novidades. E vamos começar a escrever em Inglês. Temos membros que das duas três, ou escrevem em italiano ou em inglês, so, english it is!

Tags: diferente, iisop, iisop.org, is back

Posted under News