Temat jest w pewnym stopniu związany z wyzwaniem, o którym pisałem wczoraj. Dostępny jest zrzut pamięci, a zadanie polega na odzyskaniu określonego pliku. Czy jest to możliwe? Tak, o ile plik ten znajduje się w pamięci. Pewna szansa na to istnieje, a to z uwagi na coś, co nazywa się file system cache. Poniżej prosty przykład jak można w pamięci znaleźć zawartość pliku.
Ciąg dalszy "Odczytywanie plików z filecache" »Monday, March 29. 2010
Sunday, March 28. 2010
Challenge 3 of the Forensic Challenge 2010 - Banking Troubles
Pojawił się kolejny odcinek w ramach Forensic Challenge 2010, tym razem nosi tytuł Banking Troubles. Dostępny jest zrzut pamięci operacyjnej systemu w chwili prawdopodobnej infekcji. Jak ONI dostali się do środka? Cóż, poniższy fragment daje sporo do myślenia:
(...) One of their employees had received an email from a fellow co-worker that pointed to a PDF file. (...)
Friday, March 26. 2010
Dlaczego Chrome ma lepszą piaskownicę
Mechanizm sandbox stosowany w Internet Explorer (pod nazwą protected mode) i Chrome różni się sposobem realizacji, ale prawdopodobnie również samymi założeniami odnośnie tego, przed czym ma on chronić. W moim odczuciu pomysł wykorzystany w Chrome jest nieco lepszy. Paradoksalnie lepiej wykorzystuje mechanizmy dostępne w systemie Windows, niż Internet Explorer tworzony przez producenta tego systemu.
Ciąg dalszy "Dlaczego Chrome ma lepszą piaskownicę" »Thursday, March 25. 2010
Pwn2Own 2010 - jak bardzo padł IE8?
Dostępny jest opis sposobu, w jaki został pokonany IE8 na Windows7: Pwn2Own 2010 Windows 7 Internet Explorer 8 exploit. Muszę przyznać, że koncepcja jest ciekawa, szczególnie podoba mi się użycie VirtualProtect do obejścia DEP.
Mam jednak pewną wątpliwość, w dostępnych materiałach nie znalazłem wprost informacji który proces został skutecznie zaatakowany i z jakimi prawami udało uruchomić się kod. Chodzi mi o to, że zabezpieczenie jest warstwowe, w szczególności:
- DEP, ASLR,
- Protected Mode,
Zadaniem pierwszej warstwy jest utrudnienie wykorzystania ewentualnej podatności, druga warstwa natomiast ma ograniczyć skutki sytuacji, w której istnieje podatność i jest ona możliwa do wykorzystania pomimo istnienia funkcji DEP i ASLR. Zastanawiam się, czy udało się również wyjść w piaskownicy, czy też uruchomiony kod był objęty ograniczeniami wynikającymi z protected mode.
Wednesday, March 24. 2010
Właśnie wymyśliłem nowy atak :)
Wymyśliłem właśnie nowy atak z użyciem serwisów społecznościowych. Jest genialny w swojej prostocie, a skutki mogą być dla ofiary wyjątkowo uciążliwe. Na czym polega? Na początek drobne wprowadzenie, za wpisem A jak to jest w Polsce?:
(...) Wiadomo, że sprawdza się czasem, czy obywatele płacą podatki, a wytypować takich można w internecie. W internecie można sprawdzić, czy komuś przysługuje jakieś świadczenie społeczne... (...)
Zasada działania ataku jest prosta. Należy wykreować "wirtualną rzeczywistość" dotyczącą wybranej ofiary. Wirtualną, czyli taką, w której prezentowany w serwisach społecznościowych (ogólnie: w Internecie) stan posiadania wyraźnie odbiega od danych (prawdopodobnie) deklarowanych przez ofiarę w zeznaniach podatkowych. Pozostaje tylko czekać na efekty. Skuteczność ataku może być zwiększona przez mały donosik.
Technika ta może być wykorzystana również do dobrych celów, tak jak w kawale o prezencie bacy dla bacy czyli rąbaniu drewna przez CBŚ.