Co prawda “podzieliłem się” tym wpisem w Google Reader (to jest jedna z usług Google, która mnie nie irytuje), ale tu też o tym napiszę: The Trojan solved it! Catching a fraudster with another criminal, ‘myspacce.exe’. W skrócie – pracownik robił przekręty, został przyłapany ale między “przyłapaniem” a rozpoczęciem “sekcji zwłok” pracownik dość skutecznie zatarł większość śladów. Okazało się jednak, że na komputerze zainstalowany był malware, który między innymi był keyloggerem, i który przypadkiem zebrał wystarczająco dużo informacji, by pracownikowi przekręty udowodnić. Sytuacja dość paradoksalna, zwłaszcza mając na uwadze tak zwaną obronę Trojan-did it-defense.
System Windows udostępnia mechanizm śledzenia zdarzeń – mechanizm EventLog. Ponieważ są sytuacje, w których informacje gromadzone w dziennikach mogą być przydatne, napiszę kilka słów o konfiguracji tego mechanizmu. Tekst ten dotyczy systemów Windows XP/Windows 2003. W Windows Vista i nowszych mechanizm ten uległ zmianom (na lepsze). W sumie nie jest to nic odkrywczego i porywającego, ale może komuś się przyda.
Będzie krótko: postanowiłem sobie zrobić upgrade Google Earth do najnowszej wersji. Oczywiście wiązało się to znów z ręczną walką z Google Updater. Ta firma zaczyna irytować mnie coraz bardziej...
Dawno, dawno temu, jeszcze w czasach, gdy dominującym systemem był Windows 2000, prowadziłem szkolenie Hardening Windows 2000. W jego ramach pokazywałem kilka “sztuczek”, między innymi wykorzystanie Alternate Data Streams w NTFS.
The AccessReferenceMap interface is used to map from a set of internal direct object references to a set of indirect references that are safe to disclose publicly. This can be used to help protect database keys, filenames, and other types of direct object references. As a rule, developers should not expose their direct object references as it enables attackers to attempt to manipulate them.
Teoretycznie mój PoC związany z kodowaniem identyfikatorów globalnych można zrealizować jako implementację tego interfejsu. Do pewnego stopnia działanie tej hipotetycznej implementacji zbliżone byłoby do RandomAccessReferenceMap.
Najchętniej taki z większych. Chcę sprawdzić doświadczalnie jak zachowają się dyski (i dane na nich) po bliższym kontakcie z takim magnesem. Dyski już mam :)
Zmieniałem w jednym miejscu adres korespondencyjny. Zrobiłem w to sposób wskazany w instrukcji, znaczy się wydrukowałem formularz, wypełniłem, podpisałem i przesłałem faksem. Okazuje się, że z jakiegoś powodu zmiana danych nie mogła być wykonana, bo “nie można potwierdzić autentyczności (...)”, o czym zostałem poinformowany listem (wraz z papierową wersją tego samego formularza). Problem w tym, że został on wysłany na adres podany w formularzu, “którego autentyczności nie można potwierdzić”.
Zgodnie z przypuszczeniami temat “global-id encoding” nie zrobił kariery takiej, jak wpisy o łamaniu haseł. Jednak ponieważ istnieje co najmniej jedna osoba zainteresowana tematem – kilka wyjaśnień. Mam nadzieję, że Kravietz nie obrazi się za poruszenie tu dość elementarnych kwesti :)