Category: компьютеры

Category was added automatically. Read all entries about "компьютеры".

manandmoon

Изгнание вирусов из компьютера

Интервью с ведьмой Джои Талли
http://motherboard.vice.com/read/we-talked-to-a-witch-who-casts-viruses-out-of-computers-with-magic
(англ)

*на сайте ведьмы про вирусы ничего не написано, но зато предлагаются услуги по ритуальному очищению автомобилей и мотоциклов.
manandmoon

0-day in GRUB2

Если кто не видел - в популярном загрузчике Grub2 обнаружена уязвимость, позволяющая обходить защиту паролем, и дающая полный доступ к шеллу.

Эксплоит: вместо введения пароля нажать на Backspace ровно 28 раз, а потом Enter

Нет, это не секретный бекдор и не шутка девелоперов. Тут произошло нечто потрясающее. Постараюсь передать вкратце (если кому интересны все детали, то смотрите линк).

Если вместо ввода пароля нажимать на Backspace, то из-за пропущенной проверки программа заезжает за пределы буфера и начинает затирать нулями память с отрицательным смещением. Бывает.
В результате затирается стек, включая адрес возврата из текущей функции. Ок.
Соответственно, процессор прыгает на адрес 0, при чем в регистре esi остается текущая длина пароля, то есть -28.
По адресу 0, как водится, расположена таблица IVT, где лежат адреса обработчиков системных прерываний, но процессор ее сейчас интерпретирует не как адреса, в как исполняемый код. Оказывается, что в такой интерпретации IVT содержит функцию копирования блока памяти, где адрес, куда копировать, берется из регистра edi (он у нас установлен тоже в 0), а адрес откуда - из того самого регистра esi.
Получается, что функция начинает править собственный код и копировать данные из адреса -28 прямо поверх самой себя. Причем в цикле.
На первый раз портятся несколько инструкций в начале, но не критично.
На второй раз добавляются какие-то инструкции, меняющие содержимое стека,
А дальше... дальше появляется инструкция retw. Она берет со стека число и прыгает по обозначенному им адресу. А на стеке в этот момент лежит адрес встроенного шелла.

Занавес.

manandmoon

mimic

Полезный скрипт: берет текст и заменяет в нем символы из стандартного набора ascii на внешне похожие символы из темных закоулков Юникода. Очень хорошо для обработки исходного кода на чужом компьютере.

см также: echo "#define if(x) if((x)||(__LINE__&1))" >>/usr/include/stdio.h
manandmoon

Чтиво

Команда форума DamageLab.org и к нему примкнувших выпустила альманах Inception посвященный всяческой компьютерной безопасности (с некоторым упором на малвару). Причем даже на двух языках (кто-то из редакции явно живет по нашу сторону Атлантики) Получилось совсем неплохо, вполне в олд-скульном духе. Будем надеятся, что дело хорошо пойдет, и за пилотным номером появятся и второй, и третий.

Очень правильное начинание, мне кажется. Когда хакерство перешло на коммерческую основу, поток полезной свободной информации все таки значительно упал. На одной стороне баррикад боятся темы запалить, на другой - показать слабину. В результате и прогресс тормозится, и дыры не чинятся.

Надел, значит, маечку "2600", насыпал себе соленых орешков, изучаю...

Содержание первого номера

  • DLL Hijacking в антивирусах - pr0mix
  • Еще раз об АВ-чекере - pr0mix
  • Большое чудо в маленьком офисе - _sheva740
  • Вирусописательство и коммерция - d3m & Ar3s
  • Планирование анализа безопасности веб-ресурсов - ALiEN Assault
  • Полиморфный файловый вирус BEETLE - pest
  • Теория построения крупных p2p ботнетов - pest
  • История одного взлома - Ar3s
  • Исполняемый код, переписывающий сам себя на LPC2388 - amdf
  • Сила в простоте - FanOfGun
  • Imported Code - rgb
  • DNS-Amplification на практике - MZh
  • Обзор генетического алгоритма на примере подбора пароля по MD5-хешу - XRipper
  • Рефлексия: решение "нетрадиционных" задач - KostaPC
BONUS-статьи для ру-читателей журнала
  • Интервью с ares - Izg0y
  • Охота на крота - _sheva740
  • Техники выживания vx.exe в реальной среде - ProudPank
  • Заметки по ИБ - Versus71
  • Автоматический подбор сигнатур - valentin_p
PS: Некоторые антивирусы ругаются на содержимое журнала. Оно и не удивительно, ввиду тематики, но все ж хочу предупредить.
posted on dreamwidth [comment count unavailable comments]
manandmoon

Датацентр

Американское Агенство Национальной Безопасности ведет строительство огромного датацентра в штате Юта. Бюджет строительства, по сведениям журнала Wired, составляет 2 миллиарда долларов. Чтоб оценить масштабы , вот спутниковая фотография котлована с гугльмапа:


ссылка

Для сравнения, вот спутниковые фотографии действующих гугловских датацентров в том же масштабе (около 1:10000)

Lenoir, NC


The Dalles, OR
Council Bluffs, IA


А так стройка выглядит сбоку (кликабельно)


Как это ни странно для агенства, само существование которого долгое время отрицалось правительством, в открытом доступе лежит достаточно информации о датацентре, чтобы составить представление о запланированных характеристиках.

Карта из документов US Army Corps of Engineers

  1. контрольно-пропускной пункт
  2. администрация
  3. помещения для серверов (4 штуки)
  4. аварийные генераторы и запасы топлива на 3 дня
  5. водонапорные станции (пропускная способность 6400 кубометров в день)
  6. охадительный цех
  7. электроподстанция
  8. периметр безопасности
Серые прямоугольники по сторонам главного здания - различное генераторное и трансформаторное оборудование, серый прямоугольник слева посредине - склад охранного подразделения и псарня (!), серый прямоугольник слева снизу - въезд на парковку.
 
Еще больше подробностей выложено на сайте publicintelligence.net 


Обращает на себя внимания удельная потребляемая мощность: 650 ватт на кв. фут (7000 ватт/кв.м) Это очень дофига, практически на пределе современных технологий охлаждения.  (Некоторые дц попроще и до 1000 ватт/кв.м не дотягивают). То есть оборудования собираются напихать по максимуму. Еще уплотнить немного, и эта херовина просто сгорит.  Подобный монстр нуждается в непрерывном охлаждении и, надо думать, не менее половины потребляемой мощности уйдет только на отвод тепла.

Зачем нужна такая концентрация компьютерной мощности понятно - в отличие от веб-компаний, которым выгодно размещать дц ближе к портебителю, и соответственно раскидывать центры по большой территории, NSA требуется чистая вычислительная мощность (пароли брутфорсить, числа на множители раскладывать итп) В этих условиях необходима максимально быстрая связь между компонентами. То есть оптимально напихать как можно больше процессоров как можно ближе друг к другу. Что и наблюдаем.

Если предположить на секунду, что в дц будут размещаться более-менее обычная компьютерная техника, как в гугле или фейсбуке, то по расходам мощности можно прикинуть количество процессоров. У меня выходит максимум 200-250тыс серваков. То бишь 3-4 фейсбука или около четверти гугля.

Скорее всего оценка завышена, ибо правительству нафиг не нужно экономить на электричестве  и использовать последние энергосберегающие технологии. (ну что там каких-то 50 миллионов в год по сравнению с мировым господством) С другой стороны, практически наверняка часть вычислительных мощностей составляют специализированные процессоры заточенные на конкретные криптографические задачи. Их производительность может превышать производительность обыкновенных компьютеров в сотни раз. Даже простым брутфорсом на такой технике можно взломать DES за долю секунды. Что конкретно собираются считать в NSA, окутано, разумеется, глубокой тайной. Некоторые предполагают, AES-128, другие - RSA1024...

А вот еще интересно:
список субконтракторов, выполняющих работы на объекте. 
posted on dreamwidth [comment count unavailable comments]
manandmoon

(no subject)

Что-то пропустил я подарок от Анонимуса к 8-му Марта. Ну так вот он:

Исходники Norton Antivirus 2006 (1 гигабайт весом)

В комплекте сорцы нескольких вариантов антивируса (corporate, consumer итп. есть даже версия для Solaris) и всякие внутренние утилиты, тесты итп. 

Ранее группа хакеров The Lords of Dharmaraja  уже заявляла, что получила доступ к коду, взломав некий сервер, принадлежащий индийским военным, в доказательство выложив  на pastebin листинг одной из директорий. На сей раз слив был сделан с аккаунта @AnonymousStun на твиттере. 
posted on dreamwidth [comment count unavailable comments]
manandmoon

Олдфажное

Сегодня наблюдал в живом веб-трафике cookie возрастом 8 лет. Причем, по всем признакам честную: ОС определилась как Windows 2000. Эх... а ведь зтот компьютер, небось, помнит еще старый Напстер... 


posted on dreamwidth [comment count unavailable comments]
manandmoon

... И между ними происходит следующий разговор

Cleverbot - это известный чат-бот который, работает по следующему нехитрому принципу: если в ответ на его реплику ему ввели какую-то фразу, то бот эту фразу запоминает и сам вворачивает при подходящем случае. Постепенно набирается статистика, и фразы машины становятся все более и более осмысленными*

* Пока не набежали посетители с имиджюорд и не стали забивать компьютеру электронные мозги. 

Долго ли, коротко ли, кому-то в голову пришла неизбежная мысль - заставить два бота говорить друг другом:


Для интресующихся принципом работы робота: статья на Singularity Hub
posted on dreamwidth [comment count unavailable comments]
manandmoon

Распознавание Прокси

 Я вот думал на тему обнаружения проксей. Если у нас есть веб сервер, то часто довольно полезно знать - пользователь заходит через проксю или без посредников. Некоторые прокси отмечают факт своего существования в HTTP заголовках. но не все. Хорошие анонимные прокси стараются не выдавать себя ничем.
Обычные подходы - это либо использовать баги в браузере или плагинах, чтобы заставить компьютер пользователя связаться с нами напрямую (decloak.net - один пример) , либо разбирать отдельные IP-пакеты и пытаться найти несоответствия (клиент говорит, что виндовс, а трафик линусом пахнет)

А мне тут пришел в голову еще один подход, насколько я знаю, никем не обнародованный.

Можно судить по некоторым временнЫм характеристикам трафика.  Если какая-то часть информации обрабатывается клиентом (браузером), а какая-то на прокси - то времена ответа будет заметно различаться. И чем дальше прокся от ее клиента, тем разница по времени больше. (и тем выше шанс, что пользователь что-то замышляет)

Конкретный пример:

Получаем коннект с адреса 1.2.3.4 - это прокся? Не знаем, но сначала отсылаем обратно ping 1.2.3.4. тот возвращается за 100 миллисекунд. Если посредине стоит прокся - то на ping ответила как раз она.

Теперь шлем браузеру редирект на другую страницу нашего сайта. Послали, и через минуту нам возвращается HTTP запрос по новому адресу. Редиректы отрабатываются в браузере. а не на прокси, поэтому минута - это меря расстояния до самого пользователя (плюс скорости браузера итп)

Расхождение очень большое, поэтому можно утверждать, что да - пользователь зашел через проксю. Точные параметры, что считать за большое расхождение, что - нет, надо выяснять из опыта, но статистику набрать нетрудно.

Вот такой метод. У кого-нибудь есть соображения  и предложения по поводу?

ЗЫ: Существует еще минимум три-четыре варианта атаки, которые работают куда точнее, но это уже секрет фирмы =) Попробуйте сами прикинуть )

ЗЗЫ: Всесто ping который будет виден в трафике можно использовать среднее время между отсылкой TCPпакета и его приходом его подтверждения. Тогда никаких аномалий не будет вообще.