Dziś wybraliśmy się na Trzy Korony. Wycieczka byłaby zdecydowanie bardziej udana, gdyby nie te tłumy ludzi... Z ich powodu nie weszliśmy na platformę widokową, zamiast tego zrobiliśmy małe kółko zahaczając między innymi o Zamek Pieniński, niestety też w tłumie ludzi... A Sromowce Niżne się rozrosły od mojej ostatniej tam bytności (chyba w okolicach 1998 roku). Niby to zrozumiałe, postęp i te sprawy, ale tak jakoś pejzaż Trzech Koron stracił na uroku przez cały rząd domów i jakieś druty...
Wiem już, że kilka plików, które były wykorzystywane podczas infekcji, nie jest widocznych w systemie plików. Oznacza to (najprawdopodobniej), że zostały one usunięte...
Firma PayPal poinformowała o załataniu krytycznego błędu typu XSS (Cross-site scripting), który został znaleziony na jej stronie w ubiegłym tygodniu przez Harry'ego “piru” Sintonena, fińskiego specjalistę ds. bezpieczeństwa. Sprawa jest o tyle nietypowa, że luka znajdowała się na stronie opatrzonej certyfikatem EV (Extended Validation) SSL. I dalej: Pewnym zaskoczeniem jest, że w przypadku PayPala luka znajdowała się na stronie opatrzonej certyfikatem EV SSL – stworzonym m.in. po to, by zagwarantować internautom, że odwiedzana przez nich strona jest bezpieczna. EV jest rozwinięciem zwykłego SSL – PayPal był jednym z pierwszych przedsiębiorstw, które zdecydowało się na wdrożenie tego standardu w swoim serwisie. (źródło)
A co ma wspólnego SSL Extended Validation z XSS? SSL wymaga (pomijam egzotyczne przypadki) certyfikatu serwera. Certyfikat ten potwierdza autentyczność/tożsamość serwera. Certyfikaty EV mają ją potwierdzać “jeszcze lepiej” z uwagi na przestrzeganie bardziej rygorystycznych procedur ALE procedury te nie są w żaden sposób związane z bezpieczeństwem aplikacji. Taka sama sensacja, jak przy podpisanym cyfrowo malware.
Badania śladów zostawionych przez moje tamagotchi odcinek kolejny. Tym razem zobaczę co powiedzą o jego działaniu ślady zgromadzone w systemie plików. A konkretnie czego się można dowiedzieć porównując jego snapshot wykonany przed i po infekcji, jak również sprawdzę, czy uda się stworzyć jakiś timeline działań malware w systemie.
Mając ten komfort, że nikt nie będzie mi zarzucał naruszenie stanu obiektu badań, uruchomiłem na zainfekowanym systemie kilka narzędzi, które za zadanie miały zebrać pewne informacje o tym, co się w nim dzieje.