Wpis Łeb prawie 2.0 czyli coś trzeba zmienić powstał prawie dwa miesiące temu. Udało mi się nieco zmniejszyć ilość źródeł informacji, które śledzę. To znaczy źródeł informacji nadal jest wiele, ale są one agregowane w jednym miejscu. Kolejną pozytywną zmianą jest fakt, że z zebranymi informacjami zapoznaję się wtedy, gdy mam na to ochotę. Oczywiście, nadal nie jest idealnie, wiele pozostaje do poprawy, ale jakiś krok został zrobiony... Tylko, że w miejsce wyeliminowanych upierdliwości pojawiają się nowe. Może nie całkiem nowe, one istniały wcześniej, ale były “zasłaniane” przez rzeczy bardziej uciążliwe.
Do prezentowanej przed świętami listy wyzwań dodaję kolejne zadanie. Pod adresem http://bootcamp.threats.pl/lesson20/main.php znajduje się strona, która coś robi. Zadanie polega na ustaleniu czym jest to coś. Przykład powinien działać w IE, Firefox i Chrome, samo zadanie nie jest jakoś specjalnie skomplikowane, choć powinno zająć chwilę czasu.
Przy okazji – tak, po drodze powinien być Bootcamp XIX i nawet częściowo jest gotowy, ale brakuje mu oprawy. Jakiej – to się jeszcze okaże :)
Ja wiem, że to tylko komiks. Mimo wszystko osoby takie jak Wally istnieją w Prawdziwym Świecie i doskonale radzą sobie w Korporacjach. Wykorzystują specyfikę Korporacji do własnych celów. Choćby dzisiejszy (polski) przykład...
Jeśli komuś znudzi się “świąteczna atmosfera” albo świąteczne obżarstwo, może zająć się kilkoma wyzwaniami. O większości z nich już wspominałem, ale postanowiłem wspomnieć jeszcze raz.
Temat jest w pewnym stopniu związany z wyzwaniem, o którym pisałem wczoraj. Dostępny jest zrzut pamięci, a zadanie polega na odzyskaniu określonego pliku. Czy jest to możliwe? Tak, o ile plik ten znajduje się w pamięci. Pewna szansa na to istnieje, a to z uwagi na coś, co nazywa się file system cache. Poniżej prosty przykład jak można w pamięci znaleźć zawartość pliku.
Pojawił się kolejny odcinek w ramach Forensic Challenge 2010, tym razem nosi tytuł Banking Troubles. Dostępny jest zrzut pamięci operacyjnej systemu w chwili prawdopodobnej infekcji. Jak ONI dostali się do środka? Cóż, poniższy fragment daje sporo do myślenia:
(...) One of their employees had received an email from a fellow co-worker that pointed to a PDF file. (...)
Mechanizm sandbox stosowany w Internet Explorer (pod nazwą protected mode) i Chrome różni się sposobem realizacji, ale prawdopodobnie również samymi założeniami odnośnie tego, przed czym ma on chronić. W moim odczuciu pomysł wykorzystany w Chrome jest nieco lepszy. Paradoksalnie lepiej wykorzystuje mechanizmy dostępne w systemie Windows, niż Internet Explorer tworzony przez producenta tego systemu.
Mam jednak pewną wątpliwość, w dostępnych materiałach nie znalazłem wprost informacji który proces został skutecznie zaatakowany i z jakimi prawami udało uruchomić się kod. Chodzi mi o to, że zabezpieczenie jest warstwowe, w szczególności:
DEP, ASLR,
Protected Mode,
Zadaniem pierwszej warstwy jest utrudnienie wykorzystania ewentualnej podatności, druga warstwa natomiast ma ograniczyć skutki sytuacji, w której istnieje podatność i jest ona możliwa do wykorzystania pomimo istnienia funkcji DEP i ASLR. Zastanawiam się, czy udało się również wyjść w piaskownicy, czy też uruchomiony kod był objęty ograniczeniami wynikającymi z protected mode.
Wymyśliłem właśnie nowy atak z użyciem serwisów społecznościowych. Jest genialny w swojej prostocie, a skutki mogą być dla ofiary wyjątkowo uciążliwe. Na czym polega? Na początek drobne wprowadzenie, za wpisem A jak to jest w Polsce?:
(...) Wiadomo, że sprawdza się czasem, czy obywatele płacą podatki, a wytypować takich można w internecie. W internecie można sprawdzić, czy komuś przysługuje jakieś świadczenie społeczne... (...)
Zasada działania ataku jest prosta. Należy wykreować “wirtualną rzeczywistość” dotyczącą wybranej ofiary. Wirtualną, czyli taką, w której prezentowany w serwisach społecznościowych (ogólnie: w Internecie) stan posiadania wyraźnie odbiega od danych (prawdopodobnie) deklarowanych przez ofiarę w zeznaniach podatkowych. Pozostaje tylko czekać na efekty. Skuteczność ataku może być zwiększona przez mały donosik.
Technika ta może być wykorzystana również do dobrych celów, tak jak w kawale o prezencie bacy dla bacy czyli rąbaniu drewna przez CBŚ.