Федеральная Служба Опасности


Изгнание вирусов из компьютера
manandmoon
malaya_zemlya
Интервью с ведьмой Джои Талли
http://motherboard.vice.com/read/we-talked-to-a-witch-who-casts-viruses-out-of-computers-with-magic
(англ)

*на сайте ведьмы про вирусы ничего не написано, но зато предлагаются услуги по ритуальному очищению автомобилей и мотоциклов.

Про дизайн протоколов
manandmoon
malaya_zemlya
По сценарию http://www.sandiegouniontribune.com/news/2015/dec/24/petco-park-mcquaig-title-transfer-bogus/ (автор заранее извиняется за неточный перевод юридических терминов)

Сан Диего, 2015год. Кабинет безликого офисного здания где-то в центре города.

-Здравствуйте!
-Здравствуйте!
-Мы из городской управы. Дайте нам ссуду.
-А что под залог дадите?
-Стадион
-Какой стадион?
-Наш. городской
-А кому он принадлежит?
-Так говорю же, наш городской
-А чем докажете?
-Вот вся документация, смотрите.
-А у нас тут в реестре написано, что мистер МакКвейг им владеет
-Что за МакКвейг?!
-Деррис Девон МакКвейг, 1969 года рождения
-С каких это пор?
-Сейчас посмотрим в архиве... так.. ага... уже два года. Вот смотрите: требование о передаче собственности, вот печать, дата, подпись, номер лота, все как полагается
-Чья подпись?
-Мистера МакКвейга
-Он не имеет права!
-Почему не имеет? Любой человек имеет право оформить требование. Может прадедушка оставил в завещании, а мистер МакКвейг только недавно конверт распечатал.
-Что вы мелете! Не было никаких прадедушек, стадион построен на деньги штата. Это обман и мошенничество!
-Не бросайтесь словами. Обман или не обман, только суд может решить
-Так мы его и засудим! Повестку ему пришлем!
-Это, конечно, не по нашей линии, но мне кажется, что вызвать в суд мистера МакКвейга у вас не получится.
-Почему?
-Видите ли, он в психиатрической больнице на лечении. Врачи говорят, совсем невменяемый.
-Откуда вы знаете?
-Да он в здании у нас ошивался все время. Его из городской библиотеки прогнали, так он к нам повадился. К сотрудникам приставал.
-То есть выходит, документ составлен не в здравом уме и трезвой памяти?
-Нет, не очень здравом.
-И стало быть, не действителен?
-Выходит так.
-Тогда выкиньте его на помойку
-Не положено документов выкидывать
-Так его же душевнобольной написал
-Ну и что. Подпись есть? есть. Заполнено по правилам? По правилам. Значит, требуется положить в архив. Не мы закон придумывали.
-Да бог с ней, с бумажкой. Вы ссуду-то дадите?
-Подо что?
-Да под стадион!
-А вы им владеете?
-Владеем. Вот еще раз все бумаги
-И, говорите, больше никаких владельцев нет?
-Никаких владельцев!
-А у нас в реестре написано, мистер МакКвейг владеет
...

0-day in GRUB2
manandmoon
malaya_zemlya
Если кто не видел - в популярном загрузчике Grub2 обнаружена уязвимость, позволяющая обходить защиту паролем, и дающая полный доступ к шеллу.

Эксплоит: вместо введения пароля нажать на Backspace ровно 28 раз, а потом Enter

Нет, это не секретный бекдор и не шутка девелоперов. Тут произошло нечто потрясающее. Постараюсь передать вкратце (если кому интересны все детали, то смотрите линк).

Если вместо ввода пароля нажимать на Backspace, то из-за пропущенной проверки программа заезжает за пределы буфера и начинает затирать нулями память с отрицательным смещением. Бывает.
В результате затирается стек, включая адрес возврата из текущей функции. Ок.
Соответственно, процессор прыгает на адрес 0, при чем в регистре esi остается текущая длина пароля, то есть -28.
По адресу 0, как водится, расположена таблица IVT, где лежат адреса обработчиков системных прерываний, но процессор ее сейчас интерпретирует не как адреса, в как исполняемый код. Оказывается, что в такой интерпретации IVT содержит функцию копирования блока памяти, где адрес, куда копировать, берется из регистра edi (он у нас установлен тоже в 0), а адрес откуда - из того самого регистра esi.
Получается, что функция начинает править собственный код и копировать данные из адреса -28 прямо поверх самой себя. Причем в цикле.
На первый раз портятся несколько инструкций в начале, но не критично.
На второй раз добавляются какие-то инструкции, меняющие содержимое стека,
А дальше... дальше появляется инструкция retw. Она берет со стека число и прыгает по обозначенному им адресу. А на стеке в этот момент лежит адрес встроенного шелла.

Занавес.


Про сапожников и сапоги
manandmoon
malaya_zemlya
XSS на сайте OWASP.org Найдена хакером BruteLogic. Cсылка ведет на пока живой xss. Если уже починили, то осталось видео

Статья про киберпреступность на сайте Guardian раздавала эксплоиты Ссылка ведет на статью про вирус, сам вирус уже все таки убрали.

О подрастающем поколении
manandmoon
malaya_zemlya
Британское Национальное Агенство по борьбе с Преступностью объясняет родителям, как узнать, что ребенок встал на скользкую дорожку хакерства:

  • Ребенок проводит все время в онлайне?

  • Он интересуется программированием? У него появились внеклассные материалы по компьютерам?

  • Он спит во внеурочные часы?

  • Он получает доход в интернете? А вы знаете откуда и почему?

  • Он избегает говорить о том, чем именно он занимается в онлайне?

  • В доме стали заканчиваться лимиты на трафик?

  • Ребенок стал более социально изолированным?



К памятке прилагаются видео о киберпреступности и поломанных судьбах




* Ryan Ackroyd - это перековавшийся хакер Kayla из Lulzsec

Граф-процессоры убивают
manandmoon
malaya_zemlya

(no subject)
manandmoon
malaya_zemlya
Вдогонку к предыдущему: пару лет назад был случай, когда выяснилось, что некоторые модели копировальных устройств фирмы Xerox иногда путают цифры. Ошибка скрывалась в алгоритме сжатия JBIG2, который для экономии памяти откручивал с рельс гайки на место символов в одной части страницы подставлял символы из других частей, достаточно, по мнению алгоритма, похожие. Ошибку обнаружили германские хакеры, был небольшой скандал, в результате JBIG2 был забанен немецким правительством.


mimic
manandmoon
malaya_zemlya
Полезный скрипт: берет текст и заменяет в нем символы из стандартного набора ascii на внешне похожие символы из темных закоулков Юникода. Очень хорошо для обработки исходного кода на чужом компьютере.

см также: echo "#define if(x) if((x)||(__LINE__&1))" >>/usr/include/stdio.h

Из документов эдички сноудена
manandmoon
malaya_zemlya
Согласно номенклатуре спецслужб США, информация бывает разного происхождения: из первых рук, из вторых, из третьих итп. Из первых (first party) - значит, секреты самой спецслужбы, из вторых (second-party) - переданная союзниками, из третьих - выкраденная у противника, из четвертых - выкраденная противником у его противника и переукраденная. На закрытом форуме АНБ (Агентство Национальной Безопасности, где Сноуден работал) задали вопрос: а из пятых рук информация попадается?

В ответ рассказали такую историю: Дело было давным давно, когда Северная Корея была еще совсем закрытым государством и американцам никак не удавалось закинуть туда удочки. Однако, рядом находится Южная Корея. Она сама по себе объект для Америки не очень интересный, но ведет крупные разведоперации против Севера. Решили пошуровать там. После некоторых усилий АНБ смогло залезть на компьютеры к южанам и изучить положение дел. Выяснилось, что Югу таки удалось посадить жучков на несколько северокорейских компьютеров. Американцы вычислили каналы передачи, это их конек, и сами начали втихую высасывать данные. Какова же была их радость, когда оказалось что часть затрояненных компов принадлежало разведке КНДР, как раз той части, которая занимается кибершпионажем...

(no subject)
manandmoon
malaya_zemlya
Писали мы тут про фишинг при помощи джаваскриптовского window.opener, а вот и нашелся практический пример .

?

Log in