Category: компьютеры

manandmoon

Изгнание вирусов из компьютера

Интервью с ведьмой Джои Талли
http://motherboard.vice.com/read/we-talked-to-a-witch-who-casts-viruses-out-of-computers-with-magic
(англ)

*на сайте ведьмы про вирусы ничего не написано, но зато предлагаются услуги по ритуальному очищению автомобилей и мотоциклов.
manandmoon

0-day in GRUB2

Если кто не видел - в популярном загрузчике Grub2 обнаружена уязвимость, позволяющая обходить защиту паролем, и дающая полный доступ к шеллу.

Эксплоит: вместо введения пароля нажать на Backspace ровно 28 раз, а потом Enter

Нет, это не секретный бекдор и не шутка девелоперов. Тут произошло нечто потрясающее. Постараюсь передать вкратце (если кому интересны все детали, то смотрите линк).

Если вместо ввода пароля нажимать на Backspace, то из-за пропущенной проверки программа заезжает за пределы буфера и начинает затирать нулями память с отрицательным смещением. Бывает.
В результате затирается стек, включая адрес возврата из текущей функции. Ок.
Соответственно, процессор прыгает на адрес 0, при чем в регистре esi остается текущая длина пароля, то есть -28.
По адресу 0, как водится, расположена таблица IVT, где лежат адреса обработчиков системных прерываний, но процессор ее сейчас интерпретирует не как адреса, в как исполняемый код. Оказывается, что в такой интерпретации IVT содержит функцию копирования блока памяти, где адрес, куда копировать, берется из регистра edi (он у нас установлен тоже в 0), а адрес откуда - из того самого регистра esi.
Получается, что функция начинает править собственный код и копировать данные из адреса -28 прямо поверх самой себя. Причем в цикле.
На первый раз портятся несколько инструкций в начале, но не критично.
На второй раз добавляются какие-то инструкции, меняющие содержимое стека,
А дальше... дальше появляется инструкция retw. Она берет со стека число и прыгает по обозначенному им адресу. А на стеке в этот момент лежит адрес встроенного шелла.

Занавес.

manandmoon

mimic

Полезный скрипт: берет текст и заменяет в нем символы из стандартного набора ascii на внешне похожие символы из темных закоулков Юникода. Очень хорошо для обработки исходного кода на чужом компьютере.

см также: echo "#define if(x) if((x)||(__LINE__&1))" >>/usr/include/stdio.h
manandmoon

Чтиво

Команда форума DamageLab.org и к нему примкнувших выпустила альманах Inception посвященный всяческой компьютерной безопасности (с некоторым упором на малвару). Причем даже на двух языках (кто-то из редакции явно живет по нашу сторону Атлантики) Получилось совсем неплохо, вполне в олд-скульном духе. Будем надеятся, что дело хорошо пойдет, и за пилотным номером появятся и второй, и третий.

Очень правильное начинание, мне кажется. Когда хакерство перешло на коммерческую основу, поток полезной свободной информации все таки значительно упал. На одной стороне баррикад боятся темы запалить, на другой - показать слабину. В результате и прогресс тормозится, и дыры не чинятся.

Надел, значит, маечку "2600", насыпал себе соленых орешков, изучаю...

Содержание первого номера

  • DLL Hijacking в антивирусах - pr0mix
  • Еще раз об АВ-чекере - pr0mix
  • Большое чудо в маленьком офисе - _sheva740
  • Вирусописательство и коммерция - d3m & Ar3s
  • Планирование анализа безопасности веб-ресурсов - ALiEN Assault
  • Полиморфный файловый вирус BEETLE - pest
  • Теория построения крупных p2p ботнетов - pest
  • История одного взлома - Ar3s
  • Исполняемый код, переписывающий сам себя на LPC2388 - amdf
  • Сила в простоте - FanOfGun
  • Imported Code - rgb
  • DNS-Amplification на практике - MZh
  • Обзор генетического алгоритма на примере подбора пароля по MD5-хешу - XRipper
  • Рефлексия: решение "нетрадиционных" задач - KostaPC
BONUS-статьи для ру-читателей журнала
  • Интервью с ares - Izg0y
  • Охота на крота - _sheva740
  • Техники выживания vx.exe в реальной среде - ProudPank
  • Заметки по ИБ - Versus71
  • Автоматический подбор сигнатур - valentin_p
PS: Некоторые антивирусы ругаются на содержимое журнала. Оно и не удивительно, ввиду тематики, но все ж хочу предупредить.
posted on dreamwidth [comment count unavailable comments]
manandmoon

(no subject)

Что-то пропустил я подарок от Анонимуса к 8-му Марта. Ну так вот он:

Исходники Norton Antivirus 2006 (1 гигабайт весом)

В комплекте сорцы нескольких вариантов антивируса (corporate, consumer итп. есть даже версия для Solaris) и всякие внутренние утилиты, тесты итп. 

Ранее группа хакеров The Lords of Dharmaraja  уже заявляла, что получила доступ к коду, взломав некий сервер, принадлежащий индийским военным, в доказательство выложив  на pastebin листинг одной из директорий. На сей раз слив был сделан с аккаунта @AnonymousStun на твиттере. 
posted on dreamwidth [comment count unavailable comments]
manandmoon

Олдфажное

Сегодня наблюдал в живом веб-трафике cookie возрастом 8 лет. Причем, по всем признакам честную: ОС определилась как Windows 2000. Эх... а ведь зтот компьютер, небось, помнит еще старый Напстер... 


posted on dreamwidth [comment count unavailable comments]
manandmoon

... И между ними происходит следующий разговор

Cleverbot - это известный чат-бот который, работает по следующему нехитрому принципу: если в ответ на его реплику ему ввели какую-то фразу, то бот эту фразу запоминает и сам вворачивает при подходящем случае. Постепенно набирается статистика, и фразы машины становятся все более и более осмысленными*

* Пока не набежали посетители с имиджюорд и не стали забивать компьютеру электронные мозги. 

Долго ли, коротко ли, кому-то в голову пришла неизбежная мысль - заставить два бота говорить друг другом:


Для интресующихся принципом работы робота: статья на Singularity Hub
posted on dreamwidth [comment count unavailable comments]
manandmoon

Распознавание Прокси

 Я вот думал на тему обнаружения проксей. Если у нас есть веб сервер, то часто довольно полезно знать - пользователь заходит через проксю или без посредников. Некоторые прокси отмечают факт своего существования в HTTP заголовках. но не все. Хорошие анонимные прокси стараются не выдавать себя ничем.
Обычные подходы - это либо использовать баги в браузере или плагинах, чтобы заставить компьютер пользователя связаться с нами напрямую (decloak.net - один пример) , либо разбирать отдельные IP-пакеты и пытаться найти несоответствия (клиент говорит, что виндовс, а трафик линусом пахнет)

А мне тут пришел в голову еще один подход, насколько я знаю, никем не обнародованный.

Можно судить по некоторым временнЫм характеристикам трафика.  Если какая-то часть информации обрабатывается клиентом (браузером), а какая-то на прокси - то времена ответа будет заметно различаться. И чем дальше прокся от ее клиента, тем разница по времени больше. (и тем выше шанс, что пользователь что-то замышляет)

Конкретный пример:

Получаем коннект с адреса 1.2.3.4 - это прокся? Не знаем, но сначала отсылаем обратно ping 1.2.3.4. тот возвращается за 100 миллисекунд. Если посредине стоит прокся - то на ping ответила как раз она.

Теперь шлем браузеру редирект на другую страницу нашего сайта. Послали, и через минуту нам возвращается HTTP запрос по новому адресу. Редиректы отрабатываются в браузере. а не на прокси, поэтому минута - это меря расстояния до самого пользователя (плюс скорости браузера итп)

Расхождение очень большое, поэтому можно утверждать, что да - пользователь зашел через проксю. Точные параметры, что считать за большое расхождение, что - нет, надо выяснять из опыта, но статистику набрать нетрудно.

Вот такой метод. У кого-нибудь есть соображения  и предложения по поводу?

ЗЫ: Существует еще минимум три-четыре варианта атаки, которые работают куда точнее, но это уже секрет фирмы =) Попробуйте сами прикинуть )

ЗЗЫ: Всесто ping который будет виден в трафике можно использовать среднее время между отсылкой TCPпакета и его приходом его подтверждения. Тогда никаких аномалий не будет вообще.
manandmoon

Тепло твоих рук

Группа исследователей из университета Калифорнии в Сан-Диего (UCSD) пишет о новом интересном виде атак на банкоматы.

Немного контекста: одной из задач жуликов, ворующих банковские карточки является - как узнать PIN-код владельца? Код - это одна из степеней защиты и без него провести успешную транзакцию гораздо сложнее - даже если удалось скопировать всю магнитной полосу на карте.  Одно из популярных решений - это миниатюрная камера, снимающая процесс ввода. К счастью (или увы, если вы - кардер),  как это следует из ролика, многие пользователи уже выучили, что клавиатуру надо прикрывать. И что тогда?

Хитрые ученые придумали обходной маневр - использовать инфракрасную камеру. Как известно из видео-игр и голливудских боевиков, такие камеры способны фиксировать тепловые отпечатки, оставленные пальцами на кнопках даже после того как пользователь убрал руку. В отличие от других голливудских штампов, прием реально работает:



Даже ребенку понятно, что в PIN коде сначала идет 1 или 4 , а потом 5 или 8
(на самом деле 1485) 


Как и подобает настоящим иследователям, они тщательно проанализировли ситуацию и пришли к выводу, что термо-отпечатки остаются во вполне распознаваемом состоянии еще в течении целой минуты после нажатия. Причем, при наличии хороших алгоритмов, процесс снятия PINa и превращения его обратно в цифры можно полностью автоматизировать. Исходники кода, естественно, не приводится. Но факт остается фактом. 

Как защититься? Во-первых, лучше пользоваться банкоматами с металлическими, а не пластиковыми, кнопками. Там теплопроводность гораздо выше, и, соответственно, отпечатки остывают гораздо быстрее. Во-вторых, не просто прикрывайте клавиатуру рукой, а после ввода накрывайте ее всей ладонью. Этим вы равномерно нагреете все кнопки и полностью собъете с толку распознаватель.
Говорят еще, что сущесвуют виды красок, которые так отражают инфракрасный свет, что полностью слепят камеру, но на данный момент банкоматы ими не красят. Вполне возможно, что скоро будут.

M. Zalewski - Cracking Safes with Thermal Imaging
UPDATE: Только что вышли об этом статьи в Wired и в блоге Sophos
posted on dreamwidth [ comments]