Informacja, że coś zostało usunięte jest informacją przydatną. Jeśli to coś zostało usunięte przy pomocy narzędzi typu sdelete (i innych mających na celu uniemożliwienie odzyskania usuniętych danych), to jest to kolejna interesująca informacja. Sam fakt, że narzędzie sdelete istnieje w systemie wcale nie świadczy o tym, że było wykorzystane. Przykład: Forensic Practical #2.
WPA Wi-fi Cracked (but it's not as bad as you think... yet). Przypominam, że WPA jest takim dziwnym tworem przejściowym między WEP i WPA2, więc korzystać należy, jeśli to tylko możliwe, z WPA2 właśnie.
Kilka dni temu natrafiłem na artykuł PIN pamiętany pozycyjnie, a w nim na pojęcie personal identification pattern (swoją drogą ten wpis jest przykładem słabości Wikipedii, przecież to właściwie reklama firmy). Zaciekawiło mnie zdanie
(...)Consequently there is nothing for a ‘keylogger’ to reverse-engineer and since the numbers are repeated several times in the grid-square, it is extremely difficult for a ‘shoulder-surfer’ to ascertain the pattern by observing the keystrokes and the gridsquare.(...).
No dobrze, to zobaczmy jak się to sprawdza w praktyce.
Pojawiła się nowa wersja win32dd. Jedną z nowych cech jest kompatybilność z WinDbg, czyli (przynajmniej w teorii) za pomocą tego narzędzia można utworzyć zrzut pamięci taki, jak tworzy system podczas BSOD. Niestety, u mnie jakoś nie działa. To znaczy zrzut jest tworzony, ale WinDbg jednak nie do końca go rozumie. Nie za bardzo działa również konwersja zrzutu za pomocą Volatility. Konwersja jest co prawda wykonywana, ale przy próbie jej załadowania, następuje błąd WinDbg.
Przykład na to, dlaczego narzędzia wykorzystywane do badania systemu nie powinny (zbytnio) modyfikować jego stanu.
Ostatnio w ramach zabijania długich wieczorów postanowiłem przyjrzeć się jakiemuś malware. Tym razem wybór padł na coś z rodziny Trojan:Win32/Alureon. Jest to (przynajmniej częściowo) rootkit , który dla przedłużenia swojej bytności w systemie, ukrywa się. Jeśli zrobi to dobrze, nie będzie widać podejrzanych procesów, plików, kluczy w rejestrze, tak więc ofiara może nie zauważyć gościa w systemie.
Co prawda już nieco po czasie, ale jeśli ktoś chce się zmierzyć z analizą malware, to ma okazję: Malware Challenge. Dużo próbek można znaleźć też na Offensive Computing.
Na temat tego, czym jest Cross-Site Request Forgery napisano już wiele. CSRF załapał się również do OWASP TOP10 2007. Na temat CSRF mówiłem (przez chwilę) na mojej prezentacji dotyczącej zarządzania sesjami w aplikacjach internetowych (patrz też na wiki).
31 października pojawiła się nowa wersja TrueCrypt (lista zmian). Teraz czekam na nową wersję TCGINA.
Zgodnie z tradycją w dniu 1 listopada pojawiła się kolejna wersja OpenBSD 4.4. Właśnie jestem w trakcie upgrade. Kolejnym krokiem będzie przejście z WEP na WPA/WPA2.