?

Log in

No account? Create an account

Федеральная Служба Опасности


Entries by category: it

(no subject)
manandmoon
malaya_zemlya
Писали мы тут про фишинг при помощи джаваскриптовского window.opener, а вот и нашелся практический пример .

Ловкость рук и никакого мошенства
manandmoon
malaya_zemlya
Пустая веб-страница
(Смотреть в Файрфоксе или старой Опере.)

Кто не верит, может посмотреть сорсы и убедиться.

Объяснение трюкаCollapse )

Джаваскрипт антидебаг
manandmoon
malaya_zemlya
Очередная фенька для браузеров. Работает в Chrome, Safari и Firebug-e (но не в новом встроенном файрфоксовском дебаггере).
var x = {};
x.__defineGetter__('__proto__', function() {
  console.log('Inside debugger');
  return {};
});
При попытке просмотра переменной x в дебаггере или консоли, срабатывает console.log При нормальном же использовании x в скрипте все остается тихо (конечно, если не лезть в x.__proto__ специально). Понятно, что в настоящем антидебаге вместо вывода на консоль надо подменять значение x или вовсе его стирать. Если кому интересна тема скрытия от браузерных отладчиков, то самый урожайный код в Вебките находится в файле InjectedScriptSource.js. В частности, кусок, отвечающий за описанную фичу, выглядит так:
for (var o = object; injectedScript._isDefined(o); o = o.__proto__)
    this._generateProtoPreview(/** @type {!Object} */ (o), preview, propertiesThreshold, firstLevelKeys, secondLevelKeys, isTable);
posted on dreamwidth [comment count unavailable comments]

Carberp
manandmoon
malaya_zemlya
Как известно, недавно утекли в публичный доступ исходники троянов Carberp - почти два гигабайта архивов. Вероятно, было украдено содержимое чьей-то рабочей машины - кроме основного трояна в набор попали выдержки из отчетов антивирусных компании, записи чатов, земпляры конкурирующих продуктов и прочий справочный материал.

Желающие ознакомиться могут скачать архив по адресу ниже. Пароль Kj1#w2*LadiOQpw3oi029)K Oa(28)uspeh
mega.co.nz.
Yandex.Disk

Если не хочется качать столько байтов, то для удобства кто-то залил часть проекта на github:
https://github.com/hzeroo/Carberp/tree/master/source%20-%20absource/pro/all%20source

Другие энтузиасты заботливо перевели найденые текстовые файлы на английский язык:
https://docs.google.com/file/d/0B9FW2svQegfPdWJnZ2Z4eDB0djg/edit?pli=1


Охочие до жареных фактов безопасники набросились на код и делятся первыми впечатлениями:

Разбор модуля anti-rapport, обходящего защиту от фирмы Trusteer (от Adlice)

Обзоры от месье Хylitolа с разоблачением уязвимостей в веб-админке и рабочим эксплоитом (Часть 2, Часть 3)
Статья в Коммерсанте об аресте преступных программистов, участвовавшей в разработке софта

Обсуждение слива исходников на kernelmode.info

Пригодятся, возможно, также старые статьи от ESET:

Carberp Gang Evolution: CARO 2012 presentation
Rovnix bootkit framework updated
Win32/Carberp: When You’re in a Black Hole, Stop Digging
Carberp Evolution and BlackHole

Update:
 eas7 обнаружил в свалке личную инфу одного из авторов.

Update2:
обнаружилА


Нахуй руки оторву за такую писанину! -
коментарий в коде Carperp
 

posted on dreamwidth [comment count unavailable comments]

Хозяйке на заметку
manandmoon
malaya_zemlya
Только что узнал что в гугльхроме есть полноценный удаленный отладчик

Шаг первый

Запускаем Хром с параметром remote-debugging-port

Windows:
chrome.exe --remote-debugging-port=9222

MacOS:
/Applications/Google\ Chrome.app/Contents/Mac/Google\ Chrome --remote-debugging-port=9222

Шаг второй

Либо запускаем браузер на другом компе, либо если нужно на том же, то запускаем Хром из другой пользовательской директории

Windows:
chrome.exe --user-data-dir=/my/dir

MacOS:
/Applications/Google\ Chrome.app/Contents/Mac/Google\ Chrome --user-data-dir=/my/dir

Шаг третий

Подсоединяемся к заданному порту на удаленной машине
http://remote.machine.address:9222/

Видим список всех табов в удаленном браузере, каждый можно кликнуть и попасть в отладчик.

Более того, отладчиком можно полностью управлять через websockets и javascript, что дает возможность автоматически тестировать веб-приложения, создавать простых веб-ботов и прочие ништяки

Подробности на гугловском сайте
posted on dreamwidth [comment count unavailable comments]

Хакинг Домофонов
manandmoon
malaya_zemlya
Руководства по программированию популярных моделей домофонов Linear

A100 (многоквартирный дом, один вход)
А500 (многоквартирный дом, два входа)
A1000Plus/A2000Plus (многоквартирный дом, многодверный)
RE-1 (отдельный дом)
RE-2 (отдельный дом)


Чтоб войти в режим настройки, надо нажать одновременно либо 0 и 2, либо 0 и #, и ввести админский пароль. Дефолтный админский пароль везде 123456. Даже если его вдруг сменили, то все модели предусматривают возможность подключения по телефонной линии. У кого остался на антресолях пыльный модем на 11500 может позвонить на домофон и попробовать забрутфорсить.  

Дальше уже на что воображения хватит: можно открывать-закрывать двери, добавлять-убирать-переименовывать жильцов, составлять смешные системные сообщения.

Самое вредное примение (кроме банального домушничества), которое приходит в голову: злохакер заказывает по ворованной кредитке товар на адрес какого-нить жильца, и меняет в домофоне телефон квартиры адресата на свой собственный. Приходит почтальон, он звонит снизу,чтоб впустили,а злохакер притворяется жильцом и отвечает: извините я не дома, можно я вас впущу и вы мне оставите коробку под дверью? (В этих ваших Америках сплошь и рядом практикуется). Потом забирает посылку и восстанавливает телефон.  


posted on dreamwidth [comment count unavailable comments]

Вести с фронта
manandmoon
malaya_zemlya
А вот теперь уже по вопросом компьютерной безопасности. Свеженькое.

ФБР предъявило обвинения 6 эстонским гражданам и одному россиянину в создании 4-миллионого ботнета. Ботнет занимался накруткой рекламы, подменой выдачи и подменой DNS информации. Согласно заключениям ФБР, на подобных махинациях кибер преступники в течении 4 лет заработали около 14 млн долларов. В рамках операции, сотрудники правоохранительных органов также конфисковали DNS cервера преступников, распространявшие ложную информацию, и - вот она галантность - заменили их на честные, дабы не доставлять проблем пострадавшим, у которых DNS до сих пор подменен.

Для тех, кто знаком с темной стороной интернета, это никто иные, как легендарные Rove Digital/EstDomains/EstHosts/nameforname.com. Парни с колоритной историей. Занимались ну просто всем, что плохо лежало. Берешь любую книжку про киберпреступников, и обязательно встретишь упоминание.

Материалы:
Operation GhostClick (пресс-релиз от ФБР)
Обвинительный акт  
DnsChanger - описание зловреда от F-secure


posted on dreamwidth [comment count unavailable comments]

Новости pastebin.com
manandmoon
malaya_zemlya
Занимательный SSL сертификат
http://pastebin.com/ff7Yg663

смотрим, на какой домен он выписан... 

UPDATE: Согласно статье на ComputerWorld, сертификат является последствием взлома голландской компании DigiNotar неизвестными хакерами. Четыре часа назад он был отменен, но таки провисел в общем доступе все выходные.

Статья в TheRegister. Оказывается, сертификат был обнаружен иранским пользователем alibo, когда тот пытался войти в Gmail. Он-то из запостил содержимое в pastebin. При заходе через VPN, говорит, было все нормально, значит поддельный сертификат вставлялся либо на уровне провайдера (ParsOnline), либо у кого-то вверх по течению. 
posted on dreamwidth [comment count unavailable comments]

Взлом Хронопей - взгляд изнутри (продолжение)
manandmoon
malaya_zemlya
Недавно я запостил внутренний отчет компании Хронопей о взломе. Тогда многие коментаторы заинтересовались, а что было во зловредном скрипте, который некий злоумышленник (пользуясь рабочим компьютером, логином и паролем ведущего программиста Евгения Батанова) залил на сервер с конфиденциальными данными?

Ви хочете песен? Их есть у меня.

Update: Человек, фамилия которого прописана в скрипте, попросил меня убрать упоминание. Что я и сделал, ибо он тут и в самом деле совершенно ни при чем. В последующем изложении я его буду называть его v.хххххх

Несколько наблюдений:
Как видим, скрипт считывает данные по транзакциям за последний день и отправляет их на адрес v.хххххх at gmail.com  В хронопее действительно работал человек с соответсвующим именем и акком <v.хххххх at chronopay.com>, но, разумеется, не факт, что ящик его. У меня есть веские основания считать, что вовсе не его.

Злоумышленнику был известен ключ для шифрования карт $key='0969...' 

Утечка произошла 22 марта, а на следующий день ведущий программист уволился. 

Update2: поскольку речь идет о честном имени невиновного человека, то приоткрою карты: немного хакинга и поиска по whois-ам привело меня на домен, который в момент утечки был зареган на имя Батанова, а вовсе не v.xxxxxх. Причем это домен, созданный задолго до описываемых событий.

Хмммм... 

Доказательство не 100%, ибо ящики можно взломать и увести, пароль украсть, домены зарегать на чужое имя итп. Но неаккуратная попытка подставы лично мне кажется гораздо более вероятной. Руководство Хроно, кстати, пришло к аналогичным выводам.

И еще - номера кредиток хранились как хэши. Учитывая, что банк известен, то мы почти сразу угадываем первые 6 цифр. Еще 1 цифра контрольная. Остальные 9 можно выяснить тупым перебором. Одна маленькая коробочка может перебрать миллиард комбинаций менее, чем за секунду. То есть защита исключительно от честного человека.

Отпечатки пальцев
manandmoon
malaya_zemlya
Wall Street Journal публикует статью об идентификации браузеров и телефонов. Тема не новая, но почему-то мало известная, даже в хакерской среде. Между тем, собрав достаточно информации о пользовательском компьютере и его браузере, можно практически безошибочно выделить его из толпы посетителей, невзирая на стертые куки, прокси и прочие стандартные хитрости. В основном эти технологии используются для ловли кардеров и жуликов, но последнее время подтянулись и рекламщики (и попортили малину ловцам кардеров, да)

Несолько известных проектов на эту тему:

41st Parameter(http://www.the41.com/)
Наверное, самй мейнстримный поставщик услуг по идентификации. Их коды я видел на overstock.com, 2checkout.com, на сайтах авиакомпаний итп. Используют только javascript, поэтому их код бежит на любых компьютерах. Собирают: разрешение экрана (из window.screen), установку системных часов (часовой пояс, переход на летнее время), данные о браузере (из window.navigator), языковые установки (document.defaultCharset итп), названия и версии установленных плагинов. Поскольку в IE невозможно сказать "дай мне список всех плагинов", то там они берут список самых популярных плагинов (flash, acrobat итп) и запрашивают версии по отдельности.
Дальше у них, видимо, есть какой-то детектор совпадений, по типу нечеткой логики или locality sensitive hashing, который говорит, насколько данная пользователя похожа на уже известные экземпляры. Нечеткость требуется потому, что пользователь в принципе может поменять любой из собранных параметров: скачать новую версию браузера, переключить разрешение экрана итп. Вообще довольно интересная задача: узнавание объектов в условиях шума. Не знаю, к сожалению, что как у них это реализовано.

Cкрипт:
https://www.2checkout.com/static/checkout/javascript/user-prefs.js
Распакованая версия:
http://pastebin.com/JW8bY2J3

Iovation (http://www.iovation.com/)
Специализируется на игровых сайтах и казино. Стоит, например на Eve Online. Берет данные не только из джаваскрипта, но и из флэша и собственной спайвары под названием ReputationShield. Ценой раздражения пользователей собирает о компьютере вообще все, что можно: от джаваскриптовских переменных, как у 41го параметра, до MAC-адреса, наличия дебаггера, виртуализации итп.
Поскольку у них есть доступ ко всей подноготной, то они не слишком заморачиваются нечеткой логикой. Более того любое несовпадение с базой данных или попытка ухода от слежки (стирание куков, например) ими считается за признак злоуго умысла. Честному человеку, мол, нечего скрывать. Статистически, наверное, так оно и есть, но все равно противно.
Обсуждение на форуме по покерному ИИ

Скрипты:
https://mpsnare.iesnare.com/snare.js
https://mpsnare.iesnare.com/script/logo.js
https://mpsnare.iesnare.com/stmgw.swf
https://ci-mpsnare.iovation.com/StmOCX.cab
Распакованая версия:
http://pastebin.com/EQwAFG3d

Panopticlick (https://panopticlick.eff.org/)
Демонстнационная версия, от Electornic Frontier Foundation. Использует Javascript, Java и Flash. Собирает список плагинов, заголовки HTTP запроса, посланного на сервер, разрешение экрана, наличие куков и список проинсталлированых шрифтов (через флэш или джаву). Последнее, кстати, оказывается очень мощным сигналом. Поскольку, это всего лишь демка, то никаких сложных сравнений она не производит - все данные сваливаются в кучу, берется хэш и сравнивается с базой. Поэтому любое изменение конфигурации ее полностью запутывает. Меня, например, только что не узнала, не смотря на то, что на сайте был неоднократно.
Скрипты лежат открыто на сайте.

BrowserSpy (http://browserspy.dk/)
Другая демострация. В отличие от Panopticlick, никакой базы данных там нет, зато можно поиграть с каждым сигналом по отдельности. Кроме обычных сигналов есть и довольно экзотические - например, максимально количество параллельных соединений или использование OpenDNS. Все исходники тоже лежат на сайте