Month: May 2016

USO DE INYECCIÓN DE REFLECTIVE DLL PARA ESTAR INDETECTABLE A ANTI VIRUS

Posted on

Normalmente, cuando se carga un archivo DLL en Windows, se llama a LoadLibrary. LoadLibrary toma la dirección de un archivo DLL y lo carga en la memoria. Además de DLL está en el disco, DLL se mostrará cuando se utilizan herramientas como List DLLs para enumerar DLL cargadas en la memoria según expertos de análisis de vulnerabilidades informáticas.

Reflective DLL se refiere a la carga de una DLL de la memoria, en lugar de hacerlo desde el disco. Windows no tiene una función LoadLibrary que apoya en esto, así que para obtener la funcionalidad tenemos que escribir propia función explica Jorge Ríos el maestro de diplomado de hacking ético. Uno de los beneficios de escribir propia función es que omitimos algunas de las cosas que normalmente Windows hace, tales como el registro de la DLL como un módulo cargado en el proceso, lo que hace que reflective DLL  más indetectable. Meterpreter es un ejemplo de una herramienta que utiliza la carga reflexiva para ocultarse según el maestro de diplomado hacking ético.

Uso de Inyección de Reflective DLL  para estar indetectable a Anti Virus

Inyección de reflective DLL  es una técnica de inyección de la biblioteca que usa el concepto de programación reflexiva para realizar la carga de una biblioteca de memoria en un proceso de host. Como tal la biblioteca es responsable de cargar a sí mismo mediante la implementación de un archivo de portable ejecutable (PE). Con eso podemos gobernar, con mínima interacción con el sistema host y el proceso, cómo se va a cargar e interactuar con el host según expertos de análisis de vulnerabilidades informáticas.

La principal ventaja de la propia biblioteca de carga es que no está registrada en ninguna manera con el sistema host y como resultado es en gran parte indetectable tanto a nivel de sistema y a nivel de proceso.

Acuerdo con el diplomado de hacking ético, el proceso de inyección de forma remota de una biblioteca en un proceso es de dos pasos. En primer paso, debe indicarse la biblioteca que desea inyectar en el espacio de dirección del proceso destino (referido aquí como el proceso de host). En segundo paso la biblioteca debe ser cargada en ese proceso de host de tal manera que se cumplan las expectativas de tiempo de ejecución de la biblioteca, como resolver sus importaciones o reubicación de un lugar adecuado en la memoria.

Inyección de Reflective DLL  funciona de la siguiente forma.

  • La ejecución se hace pasar, a través de un pequeño código shell bootstrap, a la biblioteca de
    función de ReflectiveLoader que es una función exportada en la biblioteca de tabla de exportación.
  • Como actualmente se existe la imagen de la biblioteca en una dirección arbitraria en la memoria, el reflectiveloader primero calculará la dirección actual de su propia imagen en la memoria para poder analizar posteriormente sus propias cabeceras para uso.
  • ReflectiveLoader analizará a continuación la tabla de exportación de kernel de host para calcular las direcciones de tres funciones requeridas por el cargador, es decir LoadLibrary, GetProcAddress y VirtualAlloc.
  • La ReflectiveLoader ahora asignará una región continua de memoria en que se procederá a cargar su propia imagen. La ubicación no es tan importante como el cargador localizará correctamente la imagen más adelante.
  • Encabezados y secciones de la biblioteca se cargan en sus nuevas direcciones en la memoria.
    El ReflectiveLoader luego procesará la copia recién cargada de tabla de importación de su imagen, eso también cargará cualquier biblioteca adicional y resolver sus direcciones respectivas de función importada.
  • El ReflectiveLoader luego procesará la copia recién cargada de la tabla de reubicación de su imagen.
  • El ReflectiveLoader luego llamará función de punto de entrada de su imagen recién cargada, DllMain con con DLL_PROCESS_ATTACH. La biblioteca ahora ha sido correctamente cargada en la memoria.
  • Finalmente el ReflectiveLoader volverá ejecución al inicial de shellcode bootstrap que lo llamó.

Como una biblioteca reflexivamente cargada no se registrará en la lista de procesos de host de los módulos cargados, específicamente la lista de Process Environment Block (PEB), que se modifica durante las llamadas de API como kernel 32 LoadLibrary y LoadLibraryEx, cualquier intento de enumerar los módulos de procesos host no cederá la biblioteca inyectada. Esto es porque la inyección de la biblioteca no registra con su proceso de host en cualquier etapa.

Según expertos de análisis de vulnerabilidades informáticas, a nivel del sistema cuando se utilizaInyección de Reflective DLL  en la explotación remota, la biblioteca debe ser indetectable por los escáneres de archivo, como Anti Virus, ya que nunca entra el disco.

A bug in the Symantec Antivirus Engine allows remote memory exploitation

Posted on Updated on

The white hat hacker Tavis Ormandy has discovered a critical exploitable memory overflow bug in the core Symantec Antivirus Engine.

The popular white hat hacker Tavis Ormandy from the Google Project Zero has discovered a critical exploitable flaw (CVE-2016-2208) in the Symantec antivirus system. The expert discovered an exploitable memory overflow vulnerability in the core Symantec Antivirus Engine which is used in most Symantec and Norton solutions.

 tavis or

When parsing executables packed by an early version of aspack, a buffer overflow can occur in the core Symantec Antivirus Engine used in most Symantec and Norton branded Antivirus products.” wrote Ormandy “The problem occurs when section data is truncated, that is, when SizeOfRawData is greater than SizeOfImage. This is a remote code execution vulnerability. Because Symantec use a filter driver to intercept all system I/O, just emailing a file to a victim or sending them a link is enough to exploit it.”

The bug is remotely exploitable and affects the way the antivirus products handle executables compressed leveraging on an early version of the Aspack compression tool.

Basically, the a buffer overflow is triggered when the Symantec Antivirus Engine parses truncated section data, so when SizeOfRawData is greater than SizeOfImage.

Symantec Antivirus Engine bug

The bug is independent of the specific OS, on Windows systems it results in kernel memory corruption, this is worrisome.

The issue also affects Linux, Mac and UNIX platforms resulting in a remote heap overflow as root in the Symantec or Norton process.

The simplest way to exploit the bug in the Symantec Antivirus Engine is to trick victims into opening malicious email or visiting a specifically crafted website.

Ormandy also shared a PoC exploit code that could be used to trigger the flaw and crash the Symantec Enterprise Endpoint service.

“The obvious way to exploit this flaw is either via email or a web browser. The attached testcase contains the source code to build a PoC, which should BugCheck (i.e. BSOD) a system with Norton Antivirus installed, or crash Symantec Enterprise Endpoint service. The file testcase.txt is a prebuilt binary (note that file extension is irrelevant here). Just clicking download should be enough to trigger a kernel panic on a vulnerable system (!!!).” continues the expert.

The post also includes an update shared by Symantec that explained that Live Update will fix the problem only in specific cases, for some products it will be required a maintenance patch build test, release which will take more time.

“With the exception of test case 5, as I mentioned last night which seems like you may have zipped up the wrong case by mistake, we have confirmed your findings and have resolutions as well as doing additional reviews. We can easily update a version of one of our products, Norton Security for example, with an updated engine by the end of the week and if you would like can provide you with an beta release of that for your review. Unfortunately, not all products will be updated the same which of course has impacts on final release of updates and an associated Security Advisory. Some are quick and fairly simple updates, live update of course, but others require a maintenance patch build, test, release which takes a bit longer.”

Source:http://securityaffairs.co/

Hacker claims to have full access to Pornhub and already sold it

Posted on

A 19-year-old hacker who goes by the name Revolver claims to have breached into Pornhub server and already sold the access for $1,000.

It happened during the weekend, a researcher using the 1×0123 Twitter account announced the availability of a shell access to a subdomain on Pornhub and offered it for $1,000.

The figure is obviously ridiculous when you consider the high traffic that daily reach the server, more than 2.1 million visits per hour.

View image on Twitter

View image on Twitter

Follow

1×0123 ‎@1×0123

#pornhub command injection + shell on subdomain + src for sale
xmpp : revolver@rows.io

  • 161161 Retweets

  • 167167 likes

In order to prove the access to the Pornhub platform, 1×0123 posted on Twitter a couple of pictures. The researchers explained to have compromised the server by exploiting uploading a shell by exploiting a flaw in the mechanism used to upload the picture in the user profile.

Once the shell is uploaded on the server it is possible to have full control over the environment.

pornhub shellpornhub shell 2

Salted Hash reached 1×0123 who confirmed that he had sold access to three people.

“2 guys with shell, 1 guy for a command injection script,” he told Salted Hash.

“Pornhub contacted Revolver for more information. He offered to share those details, and help patch the vulnerability that allowed such access, for total cost of $5,000 USD. It isn’t clear if the adult entertainment giant agreed to those terms.” states Salted Hash.

1×0123 hasn’t provided further information on the hack, he only stated the vulnerability affecting the user profile isn’t the ImageMagick flaw recently disclosed.

A Pornhub spokesperson confirmed the presence of the shell that appears to be on a non-production server and confirmed the company is currently investigating the issue.

1×0123 is a known in the security industry, he offered a similar access to the LA Times website in April after he exploited a vulnerability in the Advanced XML Reader WordPress plugin.

During the same period, he revealed to have found an SQL injection flaw on one of the servers ofMossack Fonseca (a custom online payment system called Orion House).

In March, he designed a website called VNC Roulette that displayed screenshots of random hackable computers.

On April 10, 2016, Edward Snowden publicly thanked 1×0123 for reporting a vulnerability in Piwik to the Freedom of the Press Foundation.

On May 9, Pornhub announced a bounty program through HackerOne with a maximum bounty set at $25K.

“The public launch of Pornhub’s Bug Bounty Program follows a private, invite-only beta program that the adult entertainment site ran last year, which compensated participants for helping to identify and fix about two dozen bugs. ” states the announcement.

Source:http://securityaffairs.co/

EFF’s Let’s Encrypt Client Certbot Debuts in Beta

Posted on

The Electronic Frontier Foundation (EFF) on Thursday announced Certbot, a Let’s Encrypt client designed to help websites encrypt their traffic.

EFF’s Certbot is available in beta for the time being, but it should reach a stable version before the end of this year, the Foundation said. The tool was built to obtain TLS/SSL certificates from open Certificate Authority (CA) Let’s Encrypt and to automatically configure HTTPS encryption on the website owner’s server.

Co-founded by EFF, Mozilla and researchers from the University of Michigan, Let’s Encrypt is an open CA that issued its first certificate in September last year, entered public beta in December, and shed the beta tag in April this year. The main idea behind this CA was to bring encryption to the entire Internet by offering free certificates to website owners.

Between December and March, Let’s Encrypt issued more than one million certificates, and EFF says that the number not tops three million. Although its free certificates have been already abused by cybercriminals, Let’s Encrypt has become one of the largest CAs in the world and has already inspired Amazon to offer free certificates to AWS customers.

Certbot, which has transitioned to becoming an EFF project, uses the Automated Certificate Management Environment (ACME) protocol to communicate with the CA, but is no longer the official ACME client for use with Let’s Encrypt. The software for the client remains open source, but it will no longer be hosted by ISRG, the parent organization of Let’s Encrypt, EFFexplains.

Certbot also got a new website, complete with frequently asked questions, an interactive instruction tool, and info on how to support the project. Website owners can obtain the specific commands to have Certbot up and running in the easiest manner: by selecting their operating system and webserver.

The team behind Certbot has attempted to make the transition to the client’s new name as seamless as possible and ensure that packages installed from PyPI, letsencrypt-auto, and third party plugins would continue to work. EFF says that OS packages will begin using the Certbot name in the next few weeks and that the current client packages will automatically transition to Certbot on many systems, but will continue to support the letsencrypt command.

Certbot should continue to work as before, despite the new name and host: it will get certificates from Let’s Encrypt and automatically configure HTTPS on the owner’s webserver, EFF says. The client also offers the option to install certificates for a wide range of web server platforms, and can help admins get the security settings for their systems right.

Later this year, EFF says that it will attempt to help web developers with challenging tasks that make TLS deployment difficult. These include detection and mitigation of mixed content problems; detection of sites ready for an HSTS header and gradual deployment of the header; realtime mitigation against TLS vulnerabilities such as Heartbleed, BEAST, CRIME, Logjam, DROWN; and support for installing certificates and provide security improvements to popular email server software.

Source:http://www.securityweek.com/

¿CÓMO IMPLEMENTAR EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN?

Posted on

Según perspectiva global de empresa de seguridad de la información; integridad, confidencialidad, disponibilidad, auditabilidad y no repudio forman los cinco pilares fundamentales para seguridad en sistemas informáticos. Para las pequeñas y medianas empresas en los países como México, Brasil, Estados Unidos, Colombia, Argentina, UAE, India, el tema de seguridad en sistemas informáticos es muy importante. Las soluciones de seguridad de la información ayudan al mejoramiento de la seguridad en sistemas informáticos, haciendo que los sistemas permanezcan preparados ante eventualidades que puedan interrumpir el crecimiento de una empresa. Las empresas pueden implementar seguridad en sistemas informáticos con ayuda de soluciones como el sistema de gestión de seguridad de la información.

El sistema de gestión de seguridad de la información abarca diferentes temas, como planeación de seguridad en sistemas informáticos, políticas de seguridad en sistemas informáticos, aseguramiento de los recursos empresarial, entre otros. La implementación completa del sistema de gestión de seguridad de la información se compone de tres procesos:

1. Planificación
2. Implementación
3. Verificación y Actualización

Según Mike Steven, el experto de los servicios de seguridad de la información quien trabaja con una empresa de seguridad de la información; la implementación de una solución de seguridad de la información, brinda muchas funciones. Las funciones incluyen una visibilidad del estado actual de sistemas informáticos, los controles de seguridad en sistemas informáticos y la especialización en seguridad de la información que se pueden aplicar para tomar decisiones acertadas sobre la estrategia aplicada. A continuación, se explican más detalle los procesos del sistema de gestión de seguridad de la información.

CiJykpTUoAAfl5K

PLANIFICACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

En este proceso hacen el diseño de la arquitectura del sistema de gestión de seguridad de la información. Los expertos de las empresas de seguridad de la información afirman que, este proceso ayuda establecer las políticas, las soluciones de seguridad de la información, y lograr objetivos empresariales relacionados a la seguridad en sistemas informáticos. El primer paso en el proceso de planificación es determinar los requerimientos de la seguridad.

Determinar los requerimientos de la seguridad

Los requerimientos de la seguridad, se determinan mediante la realización de los servicios de seguridad de la información y es un parte importante de la arquitectura del sistema de gestión de seguridad de la información. Análisis de riesgos informáticos es parte de los servicios de seguridad de la información y ayuda en calcular los posibles impactos de los riesgos, su probabilidad de ocurrencia e identificación de los recursos a proteger.

Según Jorge Ríos, el profesor de capacitación de seguridad de la información quien trabaja en una escuela en seguridad de la información; los servicios de seguridad de la información deben:

  • Definir los recursos informáticos.
  • Identificar y evaluar las amenazas y vulnerabilidades junto con sus prioridades.

Los servicios de seguridad de la información se pueden diferenciar en dos aspectos:

  • El servicio de seguridad de la información para evaluación de los riesgos y determinar los sistemas que, pueden verse afectados por amenazas y estableciendo sus prioridades e impactos.
  • El servicio de seguridad de la información para la identificación, selección, aprobación, manejo de los riesgos y controles de seguridad en sistemas informáticos para eliminar o reducir los riesgos. Los expertos de empresa de seguridad de la información afirman que este servicio ayuda en la limitación del impacto de una amenaza y recuperación del impacto.

En resumen, los servicios de seguridad de la información deben determinar los requerimientos de la seguridad y deben cubrir los siguientes procesos.

 

1. Definir los sistemas informáticos

Definir los sistemas informáticos incluye la determinación de los recursos informáticos que deben ser protegidos, sus valoraciones y clasificaciones según sus prioridades. Según el profesor de capacitación de seguridad de la información quien trabaja en una escuela en seguridad de la información; una buena definición del sistema informático debe incluir cualquier aspecto que haga más precisa su descripción como su ubicación, tipos de tecnología, personal que operan etc.

El personal con especialización en seguridad de la información debe realizar la valoración de los sistemas informáticos y debe realizar la valoración teniendo en cuenta aspectos tales como: la función que realizan y su costo. Mike Steven, el experto de servicios de seguridad de la información quien trabaja con una empresa de seguridad de la información menciona, que este proceso ayuda a determinar los sistemas informáticos críticos y los riesgos a que están sometidos. Según experiencia de los personales con especialización en seguridad de la información, existe la tendencia de declarar críticos a sistemas informáticos que en realidad no lo son. A la hora de tratar este aspecto la empresa debe tomar ayuda de personal con especialización en seguridad de la información para evitar los problemas en el futuro.

 

2. Identificación y evaluación de los riesgos de seguridad en sistemas informáticos

Las empresas pueden identificar los riesgos de seguridad en sistemas informáticos mediante la realización de los servicios de seguridad de la información y esto es un parte importante de la arquitectura del sistema de gestión de seguridad de la información. La realización de análisis de riesgos implica el examen de cada una de las amenazas. Algunas empresas de seguridad de la información también realizan la estimación de los riesgos. La estimación de los riesgos determina las probabilidades de materialización de las amenazas y ayuda en la selección de los controles de seguridad que deben ser establecidos.

Generalmente las empresas implementan algunas soluciones de seguridad de la información. Según especialistas de empresa de seguridad de la información, es necesario evaluar de manera crítica la efectividad de las soluciones de seguridad de la información existentes, sobre la base de los resultados del análisis de riesgos realizado. Esto ayudará a orientar e implementar las soluciones de seguridad de la información con mucha efectividad o tomar ayuda de una empresa de seguridad de la información para protegerse.

 

3. Selección de los controles de seguridad de la información

Las empresas deben seleccionar los controles de seguridad basados en el análisis de los riesgos, los criterios para la aceptación del riesgo, las opciones para el tratamiento, y para cumplir las normas de seguridad. Las empresas pueden identificar los controles de seguridad mediante la realización de los servicios de seguridad de la información. Los controles de seguridad forman una parte integral de una solución de seguridad de la información y de la arquitectura del sistema de gestión de seguridad de la información. Implementación de un sistema de gestión de seguridad de la información se logra implantando un conjunto adecuado de controles, que incluyen políticas, procedimientos, procesos y diferentes soluciones de seguridad de la información.

Selección de los controles de seguridad debe ser avalada por los expertos con especialización en seguridad de la información y por jefes de las empresas que tiene el poder de hacerlas cumplir. Según expertos de empresa de seguridad de la información, los procedimientos y soluciones de seguridad de la información constituyen los pasos requeridos para proteger los sistemas informáticos. Los controles de seguridad deben ser instrumentados mediante los procedimientos y soluciones de seguridad de la información que garanticen sus cumplimientos. Las soluciones de seguridad de la información se clasifican de acuerdo a su origen: administrativas; de seguridad física o lógica; de seguridad de operaciones; y educativas. A su vez, por forma de actuar, las soluciones de seguridad de la información pueden ser: preventivas, de detección y de recuperación. En caso que la empresa no tenga la especialización en seguridad de la información para implementar las soluciones, podría establecer contactos con empresas de seguridad de la información o grupos externos, incluyendo autoridades pertinentes, para mantenerse al día con tendencias de la industria, seguimiento de normas, y métodos de evaluación.

 

IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

El proceso de implementación del sistema de gestión de seguridad de la información incluye gestión de los riesgos identificados mediante la aplicación de los controles y las soluciones de seguridad de la información. Este proceso asegura que el personal de la empresa tiene el conocimiento y las habilidades, mediante la formación y el curso de seguridad de la información. Según el profesor de la escuela de seguridad de la información, las empresas deben implementar programas de capacitación y los cursos de seguridad de la información que debe cubrir siguientes aspectos:

 

  1. El personal debe tener la conciencia de la importancia que el SGSI tiene para la organización, con la ayuda del curso de seguridad de la información.
  2. El curso de seguridad de la información debe asegurar la divulgación del conocimiento y comprensión de las políticas de seguridad que se implementan.
  3. El curso de seguridad de la información debe capacitar a los usuarios en los procedimientos y soluciones que se van a implantar.
  4. El personal debe estar consciente de los roles a cumplir dentro del sistema de gestión de seguridad de la información después de tomar el curso de seguridad de la información.
  5. Con ayuda de del curso de seguridad de la información, el personal debe entender los procedimientos y controles que se requieran para detectar y dar respuesta oportuna a los incidentes de seguridad.

De modo que el proceso de implementación del sistema de gestión de seguridad de la información sea exitoso las empresas deben asegurar la implantación de todos los controles, que incluyen políticas, procedimientos, procesos, soluciones de seguridad de la información y desarrollo de habilidades del personal con los cursos de seguridad de la información.

 

VERIFICACIÓN Y ACTUALIZACIÓN DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

El proceso de verificación del sistema de gestión de seguridad de la información incluye comprobación del rendimiento y la eficacia del SGSI, verificación periódica de los riesgos residuales. Según empresa de seguridad de la información, los clientes deben realizar auditorías internas/externas periódicamente para lograr el objetivo empresarial.

El proceso de actualización del sistema de gestión de seguridad de la información incluye realización de los cambios basados en los resultados del proceso de verificación para asegurar máximo rendimiento del sistema de gestión de seguridad de la información. Este proceso se suele llevar en paralelo con el proceso de la verificación y también se lleva a cabo las labores de mantenimiento del sistema. Según expertos de servicios de seguridad de la información, durante la implementación de este proceso se requiere modificación de los control de seguridad o implementar nuevas soluciones de seguridad de la información. Entonces las empresas deben evaluar los nuevos riesgos y proporcionar formación al personal sobre los cambios o nuevas soluciones.

La implementación de sistema de gestión de seguridad de la información es un paso importante en el ámbito de seguridad. Las empresas pueden tomar ayuda de una organización con especialización en seguridad de la información, es una fuente de asesoramiento especializado. Los expertos con especialización en seguridad de la información deben tener experiencia con sector privado y público en varios países.

 

Fuente:http://www.iicybersecurity.com/servicios-de-seguridad-de-la-informacion.html

Malvertising On Blogspot: Scams, Adult Content and Exploit Kits

Posted on

We don’t really hear about it that much, but malvertising can and does target free blogging platforms as well. Just this morning, our friends at Virus Bulletin Martijn Grooten and Adrian Luca wrote about some sites hosted on Google’s Blogspot service pushing tech support scams.

We also caught some malicious activity on the Blogger platform this past week via the PLYmedia ad network. Some Blogspot websites clearly abuse the platform and stuff ads everywhere, leaving little to wonder about what could possibly go wrong?

blogger_ads

Adult material

When browsing that Blogspot site, we were automatically redirected to an adult page, which is definitely not good if you have kids around.

match99

Angler Exploit kit

There were also some redirections to the Angler exploit kit via fake advertisers using the fingerprinting technique.

  • Ad network: wafra.adk2x.com/ul_cb/imp?p=70368645&size=300×250&ct=html&ap=1300&u=http%3A%2F%2Fzcdnz.blogspot.com%2F2016%2F04%2Ffut-azteca13.html&r=http%3A%2F%2Fzcdnz.blogspot.com%2F2016%2F04%2Ffut-azteca13.html&iss=0&f=1
  • Rogue ad server: advertising.servometer.com/pagead/re136646/ad.jsp?click=%2F%2Fwafra.adk2x.com%2{redacted}
  • Google Open Referer: bid.g.doubleclick.net/xbbe/creative/click?r1=http%3A%2F%2Fstewelskoensinkeike.loanreview24.com%2FScKOygTMtj_rlf_qIEgRYCq.aspx
  • Angler EK landing: stewelskoensinkeike.loanreview24.com/?k=pREU&o=gQ1U2eo&f=&t=MHl&b=O83rsW&g=&n=9rYB42&h=&j=aCYeE9iDym_Ao_T25Uhszm

rogue_ad

We have alerted Google about this issue and contacted PLYmedia to let them know about that rogue advertiser.

Source:https://blog.malwarebytes.org

Researcher Arrested After Finding and Reporting SQL Injection on Elections Site

Posted on

Security expert might have gone overboard with his research. David Levin, 31, of Estero, Florida, has turned himself in after Florida police issued a warrant for his arrest last week. Police indicted Levin on three hacking-related charges, and Levin spent six hours in jail last Wednesday before being released on a $15,000 bond.

Police say Levin had illegally accessed state websites on three occasions. The first took place on December 19, 2015 when Levin illegally accessed the Lee County Elections website.

This incident was then followed by two other, on January 4 and 31, 2016, when Levin also hacked into the Department the State Elections website as well.

Levin never asked for permission to perform his tests

While it is common for infosec professionals to search for security flaws in state-owned infrastructure, authorities say they charged Levin because he never asked for permission prior to starting his endeavor.

Levin, who’s the owner of his own company called Vanguard Cybersecurity, has also recorded a video together with Dan Sinclair, detailing how he hacked into the vulnerable website using a simple SQL injection bug.

Dan Sinclair is a candidate running for the position of Supervisor of Elections for Florida’s Lee County. In the eyes of current Supervisor of Elections Sharon Harrington, this all seemed like a media stunt, and later filed a complaint against Levin.

The video was posted on YouTube on January 25, and Florida police raided Levin’s house on February 8 and seized his computers.

Levin was not satisfied with finding the SQL flaw

Now authorities are claiming that Levin never asked permission to perform penetration testing on any of the state-owned servers and that he had gone overboard with his demonstration.

They say that Levin “obtained several usernames and passwords of employees in the elections office” and that he “went a step further and used the Lee County supervisor’s username and password to gain access to other password protected areas.”

While judges may show lenience to security researchers that discover security issues and then properly report them (as Levin also did), they might not take it to heart when the researcher uses some of the data he finds on the hacked server to escalate his access.

This incident is an exact copy of the Wesley Wineberg – Facebook incident. Back in December, Wineberg managed to hack Facebook’s servers and gain access to the Instagram admin panel.

Facebook declined to pay him a bug bounty because they discovered that Wineberg had downloaded data from their servers in order to escalate his access for a bigger reward.

Source:http://news.softpedia.com/