Information Security

• About this group
• Forums

• Home
• Groups
• Information Security
• Forums
• Application Layer - Bio, Crypto, Pen, VoIP, UCE, WAS
• Ultrasurf = Malware

• 
  Martin Herrholz

  The company name is only visible to registered members.

  Ultrasurf = Malware

  Ultrasurf scheint wohl Malware zu sein, hinter der ein ausgeklügeltes Botnetz steht, hab bisher hier dazu nichts gefunden:
  
  "We gave the talk so here is the answer:
  
  UltraSurf and Gtunnel and likely all products put out by the Global Internet Freedom Consortium / Internet Freedom.org, are infact secret trojans. They give you a 1-hop proxy but use your system to launch attacks against financial institutions, government and energy websites, education, etc. Now here is the scary thing, if you are logged into one of these domains, like your bank, then they can get access to your authenticated session / cookie and potentially break right into your account, THROUGH YOUR OWN COMPUTER.
  
  Imagine if someone with a sensitive US position used ultrasurf. Suddenly their military login has been compromised. Not likely? They've been around twice as long as tor, and this exact thing happened on tor last year (see dan egerstadt).
  
  It gets better, any site you visit using the program, the turn off SSL cert checking so they can perform MITM and watch your entire session and logins. It is also capable of auto-updating, and spiders into your system when you install it, capturing not only IE but now Firefox and DNS and most other traffic. So everything you are doing, they have access to and may be logging and using against you.
  
  GIFC / Internet Freedom org are a huge scam. They are likely run by by a private chinese intelligence firm to monitor dissidents and us citizens while attacking critical infrastructure in the USA and Taiwan. They have fooled everyone for nearly a decade, and are seeking a $40m grant as an internet anti-censorship software.
  
  We have proof, wireshark logs, video, live audit, and a list of their attack patterns. Special thanks to Moxie Marlinspike for assistance."
  
  
  http://www.wilderssecurity.com/showpost.php?p=1514487&po...
  
  • 13 Aug 2009, 12:01 am
  Martin Herrholz wrote: > Ultrasurf scheint wohl Malware zu sein, hinter der ein ausgeklügeltes > Botnetz steht, hab bisher hier dazu nichts gefunden: > > "We gave the talk so here is the answer: > > UltraSurf and Gtunnel and likely all products put out by the Global > Internet Freedom Consortium / Internet Freedom.org, are infact secret > trojans. They give you a 1-hop proxy but use your system to launch > attacks against financial institutions, government and energy > websites, education, etc. Now here is the scary thing, if you are > logged into one of these domains, like your bank, then they can get > access to your authenticated session / cookie and potentially break > right into your account, THROUGH YOUR OWN COMPUTER. > > Imagine if someone with a sensitive US position used ultrasurf. > Suddenly their military login has been compromised. Not likely? > They've been around twice as long as tor, and this exact thing > happened on tor last year (see dan egerstadt). > > It gets better, any site you visit using the program, the turn off > SSL cert checking so they can perform MITM and watch your entire > session and logins. It is also capable of auto-updating, and spiders > into your system when you install it, capturing not only IE but now > Firefox and DNS and most other traffic. So everything you are doing, > they have access to and may be logging and using against you. > > GIFC / Internet Freedom org are a huge scam. They are likely run by > by a private chinese intelligence firm to monitor dissidents and us > citizens while attacking critical infrastructure in the USA and > Taiwan. They have fooled everyone for nearly a decade, and are > seeking a $40m grant as an internet anti-censorship software. > > We have proof, wireshark logs, video, live audit, and a list of their > attack patterns. Special thanks to Moxie Marlinspike for assistance." > > > http://www.wilderssecurity.com/showpost.php?p=1514487&postcount=106
• Post visible to registered members
• 
  Martin Herrholz

  The company name is only visible to registered members.

  Re^2: Ultrasurf = Malware

  mal gesehn - die wireshark logs, die videos, das live audit, attack patterns :- ?
  Ich hatte mir die Wireshark Logs und die Videos angeschaut, auf jeden Fall macht das Programm viel mehr als es soll, die Verbindungen zu *.gov oder Bank Seiten gibt es laut den Wireshark Logs durchaus.
  
  Ein Attack Pattern ist für mich nicht zu erkennen, sieht für mich eher nach massenhafter Überwachung aus und dem Versuch durch MITM Attacken hier Passwörter für diese Seiten zu bekommen.
  
  Für einen ausgiebigen Eigenversuch, ob Ultrasurf z.b. wirklich dafür sorgt das ungültige Zertifikate standardmässig akzeptiert werden fehlte mir bisher die Zeit.
  
  
  Steve Topletz ist für mich nun nicht jemand der für so eine Meldung seinen Ruf aufs Spiel setzen würde.
  
  • 13 Aug 2009, 10:12 am
  Martin Herrholz wrote: > > mal gesehn - die wireshark logs, die videos, das live audit, attack > > patterns :- ? > > Ich hatte mir die Wireshark Logs und die Videos angeschaut, auf jeden > Fall macht das Programm viel mehr als es soll, die Verbindungen zu > *.gov oder Bank Seiten gibt es laut den Wireshark Logs durchaus. > > Ein Attack Pattern ist für mich nicht zu erkennen, sieht für mich > eher nach massenhafter Überwachung aus und dem Versuch durch MITM > Attacken hier Passwörter für diese Seiten zu bekommen. > > Für einen ausgiebigen Eigenversuch, ob Ultrasurf z.b. wirklich dafür > sorgt das ungültige Zertifikate standardmässig akzeptiert werden > fehlte mir bisher die Zeit. > > > Steve Topletz ist für mich nun nicht jemand der für so eine Meldung > seinen Ruf aufs Spiel setzen würde.
• 
  Jan Heisterkamp    Premium Member   Group moderator

  The company name is only visible to registered members.

  Re^3: Ultrasurf = Malware

  Ich bin zu dem gleichen Ergebnis gekommen, genauere Informationen erhaelt man nur durch einen langfristig angelegten Versuch und Recherche. Ich bin z.Zt. nicht davon ueberzeugt, dass dieses Produkt von der chinesischen Intelligenz gepusht wird; dafuer habe ich in der zur Verfuegung gestellten Dokumentation keine Anhaltspunkte gefunden.
  Ganz anders wie z.B. bei Incredimail, wo die Gruendungs- und derzeitigen Mitglieder des Boards of Directors vorher bei z.B. bei hochgeheimen Software-Projekten des israelischen Militaerischen Abschirmdienstes [AMAN] eine leitende Position einnahmen und hochdekorierte Mitglieder sind bzw. waren.
  Wer einmal dieses Produkt zusammen mit HiYo und Magentic genau untersucht hat, weiss dass sich Carnivore in Vergleich dazu wie ein frunziger gerupfter Rabe ausnimmt.
  
  Ich gebe Steve bis auf Weiteres auch erst einmal Vertrauensvorschuss...
  
  Mit besten Gruessen
  
  Jan Heisterkamp
  This post was modified on 13 Aug 2009 at 08:51 pm.
  • 13 Aug 2009, 6:54 pm
  Jan Heisterkamp wrote: > Ich bin zu dem gleichen Ergebnis gekommen, genauere Informationen > erhaelt man nur durch einen langfristig angelegten Versuch und > Recherche. Ich bin z.Zt. nicht davon ueberzeugt, dass dieses Produkt > von der chinesischen Intelligenz gepusht wird; dafuer habe ich in der > zur Verfuegung gestellten Dokumentation keine Anhaltspunkte gefunden. > Ganz anders wie z.B. bei Incredimail, wo die Gruendungs- und > derzeitigen Mitglieder des Boards of Directors vorher bei z.B. bei > hochgeheimen Software-Projekten des israelischen Militaerischen > Abschirmdienstes [AMAN] eine leitende Position einnahmen und > hochdekorierte Mitglieder sind bzw. waren. > Wer einmal dieses Produkt zusammen mit HiYo und Magentic genau > untersucht hat, weiss dass sich Carnivore in Vergleich dazu wie ein > frunziger gerupfter Rabe ausnimmt. > > Ich gebe Steve bis auf Weiteres auch erst einmal > Vertrauensvorschuss... > > Mit besten Gruessen > > Jan Heisterkamp
• Post visible to registered members
• 
  Jan Heisterkamp    Premium Member   Group moderator

  The company name is only visible to registered members.

  Re^5: Ultrasurf = Malware

  Wobei Marc, das ein wenig dramatisch sieht...
  Zitat: Auffällig ist, dass die manuellen Zugriffe über verschiedene IP-Adressen, die auf den ersten Blick nichts miteinander zu tun haben, stattfinden. Da kommen Zugriffe von mac974.nas.nasa.gov (129.99.133.74)
  
  Alles was von dem Host kommt ist dem NAS Parallel Benchmarks (NPB) - Projekt der NASA zuzuordnen
  http://www.nas.nasa.gov/Resources/Software/npb.html
  
  Zitat: Andere Dienste, wie zum Beispiel NASA (redcat-28-245.gsfc.nasa.gov), verschiedene Stützpunkte der United States Navy (g208108.chs.spawar.navy.mil)
  
  Hosts mit Redcat sind dem The Smithsonian/NASA Astrophysics Data System zuzuordnen, praezise der Abteiliung die sich mit der Entwicklung des REsidual Dipolar Coupling Analysis Tools (REDCAT) befassen.
  
  Hosts mit spawar stellen keine Navystuetzpunkte dar - die haben voellig andere Hostnamen - es handelt sich hierbei um The Space and Naval Warfare Systems Center.
  http://enterprise.spawar.navy.mil/
  und gehoehrt zum Defense Research and Engineering Network
  http://www.hpcmo.hpc.mil/Htdocs/DREN/index.html
  
  Ein alter Bekannter ist fuer mich der Host thecouch.ncsc.mil, da steckt nun wirklich aus die NSA dahinter.
  Den koennen wir mit den beruehmten NSA-Bots
  grizzly.nrl.navy.mil, romulus.ncsc.mil, zombie.ncsc.mil
  in Zusammenhang bringen.
  http://jya.com/nsa-bot.htm
  
  Die gehoeren, wenn ich nicht voellig falsch informiert bin von jeher zum MISSI-Programm
  http://jproc.ca/crypto/missi.html
  Literatur: http://www.springerlink.com/content/ceh53jrqq49u7fxr/
  This post was modified on 13 Aug 2009 at 10:32 pm.
  • 13 Aug 2009, 9:16 pm
  Jan Heisterkamp wrote: > Wobei Marc, das ein wenig dramatisch sieht... > Zitat: Auffällig ist, dass die manuellen Zugriffe über verschiedene > IP-Adressen, die auf den ersten Blick nichts miteinander zu tun > haben, stattfinden. Da kommen Zugriffe von mac974.nas.nasa.gov > (129.99.133.74) > > Alles was von dem Host kommt ist dem NAS Parallel Benchmarks (NPB) - > Projekt der NASA zuzuordnen > http://www.nas.nasa.gov/Resources/Software/npb.html > > Zitat: Andere Dienste, wie zum Beispiel NASA > (redcat-28-245.gsfc.nasa.gov), verschiedene Stützpunkte der United > States Navy (g208108.chs.spawar.navy.mil) > > Hosts mit Redcat sind dem The Smithsonian/NASA Astrophysics Data > System zuzuordnen, praezise der Abteiliung die sich mit der > Entwicklung des REsidual Dipolar Coupling Analysis Tools (REDCAT) > befassen. > > Hosts mit spawar stellen keine Navystuetzpunkte dar - die haben > voellig andere Hostnamen - es handelt sich hierbei um The Space and > Naval Warfare Systems Center. > http://enterprise.spawar.navy.mil/ > und gehoehrt zum Defense Research and Engineering Network > http://www.hpcmo.hpc.mil/Htdocs/DREN/index.html > > Ein alter Bekannter ist fuer mich der Host thecouch.ncsc.mil, da > steckt nun wirklich aus die NSA dahinter. > Den koennen wir mit den beruehmten NSA-Bots > grizzly.nrl.navy.mil, romulus.ncsc.mil, zombie.ncsc.mil > in Zusammenhang bringen. > http://jya.com/nsa-bot.htm > > Die gehoeren, wenn ich nicht voellig falsch informiert bin von jeher > zum MISSI-Programm > http://jproc.ca/crypto/missi.html > Literatur: http://www.springerlink.com/content/ceh53jrqq49u7fxr/
• Post visible to registered members
• 
  Karl Schmitz

  The company name is only visible to registered members.

  Re^7: Ultrasurf = Malware

  Ich vertraue nur Tunneln, die ich selbst angezapft habe ;-)
  
  • 04 Nov 2009, 2:12 pm
  Karl Schmitz wrote: > Ich vertraue nur Tunneln, die ich selbst angezapft habe ;-)