Archive for the ‘Turvalisus’ Category

Pildi steganograafia

juuli 5, 2010

Oeh….jälle müstifitseeritakse seda infoedastamise meetodit, R2 saatest inspireerituna soovitan mõningaid linke. Kogu see teema muutus aktuaalseks spiooniskandaaliga USA’s, kus spioonid vahetasid infot nö piltide kaudu. Mis on viga, paned pildi orkutisse, facebooki, kuhuiganes ja saad info nö sõpradele edastatud.

Samas ei saa eriti palju infot sinna pilti panna, ilma et rämedad moonutused tekiks. BMP parim formaat, aga see on parajalt pirakas.

Ma oleks laisk 🙂 Kasutaksin pigem JPG EXIF välju krüpteeritud info hoidmiseks ja võtme saaks mingitelt teistelt piltidelt kindla algoritmi järgi.

Nüüd asjad vingemaks läinud, peidetakse sõnumeid heli/video failidesse. Sealsed algoritmid keerukamad, ei oska isegi seletada. Ntx helis saab kindlat müra kasutada info edastamiseks jne.

Kuidas peita infot ehk mis on steganograafia?

Lähtekoode ka:

Steganography with Delphi – Hide Data Inside Images

Steganography – Hiding messages in the Noise of a Picture

Mõned programmid:

MP3 sisse info peitmine
mp3stego

Pildi sisse info peitmine
S-tools4.zip

Nii, et vaadake nüüd sõprade pilte hoolikamalt ehk tahab ta midagi enamat öelda 🙂

Advertisements

Programmeerimine: on mul ikka aega olnud :)

mai 25, 2010

Antud postitus mõeldud rohkem süsteemsete asjadega tegelevatele programmeerijatele 😉

Üldiselt enam Windowsi turvalisusega ei tegele ega tema erinevate API’de testimisega, eriti undocumented, mis olid kunagi ikka väga huvitavad, siis avalikustan osa enda “labview” koode. Koodipuhtust ärge otsige sealt, need “lab” tüüpi koodid on testid, et proovida kuidas erinevad asjad töötavad.

Sealt saab osa C struktuure, mille Delphi‘sse üle viisin:
– _IO_STATUS_BLOCK
– _FILE_INFORMATION_CLASS
– SYSTEM_INFORMATION_CLASS
– UNICODE_STRING
– KWAIT_REASON
– TCLIENT_ID
– THREAD_STATE
– SYSTEM_THREADS
– VM_COUNTERS
– IO_COUNTERS
– SYSTEM_PROCESSES
– SYSTEM_HANDLE_TABLE_ENTRY_INFO
– TUnicodeString
– TObjectNameInformation

Seal testprogrammis on kasutatud: NtQuerySystemInformation API’t, mis oli veel mõni aasta tagasi täiesti dokumenteerimata MS poolt.

Selle api abil (_sysProcesses) kuvab kõik töötavad protessid (CreateToolhelp32Snapshot alternatiiv, kuna viimast troojakad häkkisid).

Teine antud test (_sysHandles) kuvab kõik avatud failid / kataloogid, kus nö pide avatud (handle open) ja pole DenyRead lipuga. Vähemalt WinAmp poolt mängitavat lugu kuvas 🙂 Kuna tegemist testidega ammustest aegadest, siis võib seal olla kalakesi, mis ei näita kõiki faile.
Tegelikkuses on mul seal öeldud, et kuva vaid tüübiga 28 objektid, failid / kataloog. Reaalsuses saaks kõik mutex objektid kätte jne. Kuid PIPE puhul dublicatehandlet tehes programm hangub, see on kerneli tasemel bugi.

Programmis olemas ka APIde kasutus:
NtQueryObject API, sisuliselt selle abil saab pideme(handle) järgi teada, mis on failinimi või mutexi nimi jne, väga hea api
NtQueryInformationFile antud API vaid faili pideme spetsiifiline

adjustPrivileges protseduuris tehtud endale SE_DEBUG_NAME õiguste küsimine.

Siit saate programmi ja lähtekoodid download

Panen ka nö konsool programmi parameetrid:

-p kuvab protsessid
või
-f kuvab avatud failid
-d lisaparameeter, mis kirjutab väljundi programmiga samasse kataloogi dump.log

Tänaseks kõik … järgmises postituses näitan koodi, mille abil saab tuvastada muudatusi programmi IAT tabelis 😉

Turvalisus: kodukootud keyloggeri demo

november 23, 2009

Meeldetuletus: peale ID kaardiga tehingute tegemist, EEMALDAGE TA LUGEJAST (kui teil pole pinpad tüüpi lugeja)

Nii, seoses tuttavate võhiklikkusega arvuti turvalisuses, panin kokku keyloggeri, mis kuvab erinevates programmides tehtud klahvivajutusi.

Programm ise on siin

Lähtekoodi ei saanud panna, kuna seda võiksid kasutada kuritahtlikud isikud ja see pole õige !

—————————

Antud programmi kirjutamine võttis aega umbes 40-45 min max. nö unicode tüüpi keylogger ehk venekeelsete klaviatuuridega peaks ka sõber olema. Tõusutundlikust ja juhtmärke hetkel ei järgi, selle lisamine on ülimalt lihtne, aga pole vajadust 🙂


Tuttaval tõmbus nägu siis krimpsu, kui sisestas ID kaardi PIN1 ja ka hiljem makset tehes PIN2…väga krimpsu…

Tahaksingi lühidalt rääkida suunatud ründest…

Üldiselt suunatud rünne: teatakse mingit miljonäri või üldse jõukat pereisa, lastakse mingil igavleval programmeerijal kirjutada tarkvara, millele antud ülesanded. Teha mingi kuupäev automaatselt pangaülekanded nagu teate, et PIN2 avab paljud taevaväravad ja natuke sõltub pangalimiitidest. Aga tarkvara võib ka ekraani teateid lugeda ning proovida siis väiksemaid summasid.

Kus antud tarkvara sinna satub; A) võhiklik arvutikasutaja, kes avab kõike B) perepojad, kes leidsid juhuslikult postkastist uue DOOM mängu või saabud mingi ajakirjaga kaasas LAHE CD.

Kuna tegemist on suunatud ründega, et tarkvara kirjutud eritellimusena, siis ei löö ükski viirusetõrje ka häirekella. Nüüd istub tarkvara arvutis ning ootab PIN1 ja PIN2; saab kätte jääb õiget kuupäeva ootama, ntx võib ta käia ka kontoseisu vaatamas läbi pangalehe. Arvuti IDLE ja programm tegutseb; Internet Exploreris saab vägagi edukalt ehitada automatiseerimist, ka sertide valimist. Sellise programmi kirjutamine võtab maksimaalselt 3-4 päeva aega !

Tõesti sellise tarkvara kirjutamine Windowsil ülilihtne; Linuxil pakub peavalu !

Demo programmist endast:
– logitud andmed kustutatakse memost iga 30 sekundi tagant
– andmeid ei ole võimalik memost kopeerida

Loodame, et mõistate, üritan sellega välistada igasugust programmi väärkasutust.

Paljude programmide turvalisust saaks lihtsalt parandada, eriti seal, kus paroole küsitakse. Meetod lihtsamast lihtsam; enne parooli sisestamist küsitakse kes on pildil, kas eesel või elevant või ahv ning need pildid vahelduks. Ka küsimus ei oleks mitte label objektiga loodud vaid pildina.

Isegi kui parool on teada, ei saa seda kasutada automaatsüsteemid, sest nemad ei tee vahet on seal siga või kana või eesel. Igal kasutajal ka erinevad pildid. Siis oleks vaja juba füüsilist juurdepääse kasutaja ID kaardile, et pangaülekannet teha !

6 API’t, mis nullivad Windowsi turvalisuse

oktoober 13, 2009

Üldiselt, kui alustada, siis ma ikka nö Windowsi sisemise eluga kursis alates win 95 ja mis kõige hullem, tee nii hea programm, kui vähegi suudad, on antud op.süsteemi jäetud API’d, mis programmi turvalisuse sisuliselt ära nullivad. Vista küll küsis kõike ja küsis veelkord kõike, aga kui mingi programm oli käivitatud, siis toimus kõik vanamoodi. Windowsis lihtne ntx tavauser ei saa programme modifitseerida , mis töötavad system kasutajanime all: ntx serviced. Samas saab ta modifitseerida programme mälus, mis töötavad tema õigusruumis. Troojakate lemmik explorer.exe sinna ikka lisatakse igasugust jura.

Vistas on tõesti ka mõiste Protected Processes. Minu arvates peaks enamus protsesse seda tüüpi olema, ükski teine protsess ei tohiks tulla teist “sodima”. Inside the Windows Vista Kernel: Part 3

Further, to prevent compromise from within, all executable code loaded into a protected process, including its executable image and DLLs, must be either signed by Microsoft (WHQL) with a Protected Environment (PE) flag, or if it’s an audio codec, signed by the developer with a DRM-signing certificate obtained from Microsoft. Because kernel-mode code can gain full access to any process, including protected processes, and 32-bit Windows allows unsigned kernel-mode code to load, the kernel provides an API for protected processes to query the “cleanliness” of the kernel-mode environment and use the result to unlock premium content only if no unsigned code is loaded.

API’d, mis on täiesti “saatanast”. Nende APIde kasutamine peaks nõudma kasvõi seda, et exe sertifitseeritud või midagi taolist.
SetWindowsHookEx Rõõmus API, ei tea kas meelega disainitud, et keyloggerid saaks tegutseda (WH_KEYBOARD/WH_KEYBOARD_LL/WH_JOURNALRECORD) ja firmad oma turvatarkvara tooteid müüa. Miks ma nii ütlen ?
On üks tore hook WH_DEBUG, seda kasutasin oma Pcturva programmi juures (2000 aastal), kui polnud veel korralikke keyloggerite avastajaid.

typedef struct {
DWORD idThread;
DWORD idThreadInstaller;
LPARAM lParam;
WPARAM wParam;
int code;
} DEBUGHOOKINFO, *PDEBUGHOOKINFO;

Nummi struktuuri, kas pole. Aga oih… idThreadInstaller Ühest hetkest NT’s maailmas hakkas see 0 näitama, et poleks kuidagi moodi võimalik teada saada, kes “haagi” paigaldas.

Tore ka sündmus, et see “haak” ning temaga seotud DLL laetakse kõikide protsesside külge. Osa tarkvarasid väidavad, et välistavad nö haake “user levelis”, tegelikkuses nende programmide efektiivsus sõltub, kas nad on esimesena käivitatud. Nad lihtsalt panevad ise ka “haagi” püsti, aga CallNextWindowsHooki ei edasta mingitel juhtudel. Siis ongi teised logijad pimeduses.

CreateRemoteThread

Creates a thread that runs in the virtual address space of another process.

Sisuliselt saad suvalise protsessi külge panna tööle oma lõime(d); kuna lõim protsessi küljes, ei keela lõimel mitte mingi asi olemasolevat protsessi muuta. Sõltub Windowsi SP, üldiselt mõnikord pead omale SE_DEBUG_PRIVILEGE õigused küsima.
Kuna antud kiu protseduur peab asuma samas protsessi mälupiirkonnas, siis tuleb appi järgmine protseduur.
WriteProcessMemory
Writes data to an area of memory in a specified process
Rõõmsalt saab kirjutada andmeid teise protsessi mälupiirkonda. Okei…kui väike mälukaitse peal, siis võtame sõbra VirtualProtectEx appi, muudame mälulehekülgede kaitseatribuute ja roheline tuli paistab.

VirtualProtectEx
Changes the protection on a region of committed pages in the virtual address space of a specified process.

Aga pole ilus kirjutada programmi koodi jooksvalt, eriti kui täpselt ei tea, mis seal toimub, siis tuleb appi järgmine API sõber
VirtualAllocEx
Reserves or commits a region of memory within the virtual address space of a specified process.

Temaga küsime teise protsessi piirkonda ühe lehekülje mälu või kui julged küsid kohe kaks 🙂

Nii ja nüüd teeme API piruka, mida troojakad tihti küpsetavad :

– esmalt otsime Psapi abil omale sobiva [ohvrist] protsessi, kelle koodipiirkonda lõim luua.
Küsime ka SE_DEBUG_PRIVILEGE õigused. Lahe, miskit anti… Kiul võiks olla ka mingi ülesanne, mida ta teise protsessi piirkonnas teeb. No loome pseudokoodi, mis laeb DLL faili, miks ma seda ei demostreeri, sest ma ei taha, keegi rumal teeks veel mõne troojaka. Küsime VirtualAllocEx sinna piirkonda mälu…Siis võtame ja kopeerime WriteProcessMemory abil selle DLL laadimise koodi mälupiirkonda, milles saime VirtualAllocEx apiga. Olemas…lahe.
CreateRemoteThread anname ette meie protsessi ning VirtualAllocEx abil saadud mälupiirkonna aadressi ja vuala, võime ntx explorer.exe või firefox.exe jne jne sundida laadima igasuguseid suvalisi DLL’e.

DebugActiveProcess
Ka paras katastroof “API”. Sisuliselt muutume debuggeriks, teine programm hakkab meile alluma. Ntx. mingi programm küsib seerianumbrit, EIP pointeri muutmisega hüpatakse sellest lihtsalt üle.

ReadProcessMemory
Reads data from an area of memory in a specified process

Järgmises kirjutises toon näite, kuidas programm saab kindlaks teha, kas tema IAT tabelit on muudetud.

Kuidas foorumi spämmerid (phpBB) captcha’st läbi tungivad !?

veebruar 2, 2009

Seekord pigem küsimus teile arvuti spetsialistidele ehk oskate aidata.
Haldan ühte foorumit ja spämmerid kuidagi urlidega mängides suudavad mingi nädalas korra ennast regada.

Varem oli nö lihtne “captha” peal, seal polnud mingit vaeva ocr tekstituvastusega tehti 1:0.
Nüüd gd tüüpi captha phpBB3 peale keeratud, piisavalt müra ja jooni lisatud. Tähed varieeruvad jne

Aga mingi imeline url on, mida nad proovivad ja mingi hetk õnnestub ka (blind sql injection ?). Kas mul mõni phpBB uuendus jäänud panemata? Peaks olema viimased koodid.

POST: posting.php?mode=reply&f=3&sid=ed1622df26a043c08bfb2f28b3160f17&t=4%2B%255B0,109157,6248%255D%2B-%253E%2B%255BN%255D%2B

POST: posting.php?mode=reply&f=3&sid=ed1622df26a043c08bfb2f28b3160f17&t=4%2B%255B0,109157,5287%255D%2B-%253E%2B%255BN%255D%2B

POST: posting.php?mode=reply&f=3&sid=ed1622df26a043c08bfb2f28b3160f17&t=4%2B%255B0,109157,6214%255D%2B-%253E%2B%255BN%255D%2B

Kõikides logides on sama sid ja t parameeter !

Google Analytics + SSL =potensiaalne turvarisk ?

jaanuar 15, 2009

Vaatasin, et paljud e-riigi rakendused kasutavad rõõmsalt Google Analytics teenust. Tuttav koodirida:

var gaJsHost = ((“https:” == document.location.protocol) ? “https://ssl.” : “http://www.”);
document.write(unescape(“%3Cscript src='” + gaJsHost +
“google-analytics.com/ga.js’ type=’text/javascript’%3E%3C/script%3E”));

Tavaliselt ma seletan asju, nüüd küsiks ! Miks lingivad riigi rakendused, kus isikuandmed ja muud teenused, välismaise teenusepakkuja JS faile ? Arvan, et vastus oleks, Google ei kuritarvitaks veebilehe andmeid.

– Aga miks pangad ei lingi “suvalisi” faile enda rakendusse…

Google Analytics teenuse kasutamine pildi kujul ei tekitaks probleemi, samuti kui Google failid paikneks samal serveril.

Mis selles teoreetilises turvariskis nii erilist ?

Inimene ei märkagi, et midagi viltu on, sest veebileht mis seda kasutab töötab väga ilusasti. Isegi, kui inimene näeb taskbaril hüüumärki ei suvatse ta sellele tähelepanu pöörata, sest vigaseid JS lehti terve maailm täis.

Mis kõige toredam, (hack) asi töötab HTTPS’iga. Pole vaja mingi keerulist man-in-the-middle rünnakut teha.

Teades palju meil toredaid avatud Wifi ruutereid, mida saab konfida isegi naabrimees, on asja teostamine veelgi lihtsam. Siis olemas palju toredaid veebiteenuse pakkujaid, kuhu saab korraliku https serveri püsti panna ja ka sertifikaate millel 21 päevane kasutusaeg.

Teisel juhul tuleks kasutaja https veebilehel hoiatus “self-signed certificate”, isegi kui väline fail https kaudu.

Mina tegin demo lokaalseks testimiseks:
– selleks pange hosts faili read

127.0.0.1 google-analytics.com
127.0.0.1 http://www.google-analytics.com
127.0.0.1 ssl.google-analytics.com

Need võivadki sinna jääda, siis pole teil muret statistika kohta, mis teie kohta kogutakse.

Tegin ühe testrakenduse, et “probleemi oleks võimalik näha”. Trackers tegemist kodukootud http/https serveriga. Programmi käivitamisel võib Windowsi tulemüür küsida, kas lubame serveril töötada. Kui oled julge mees vastad jah (unblock) 😉 Lihtsalt, kui test-tarkvara teen, siis ma hoidun kasutaja arvuti seadete muutmisest ja üldse ei taha midagi kuhugi kirjutada !

Targemad, kes viitsivad https testida, peavad self-signed SSL serdi tegema. Programm kasutab: ca.key, server.crt,ca.crt. See self-signed tuleb ka Firefoxis exception listi panna ! IE’s Install Certificate ja certificate store “Trusted Root Certification Authorities”. Kõik testprogrammi failid,peavad ise asuma openssl/bin kataloogis. Kogu mäng Openssl abil.

Jah, kõlab ikka kõik teoreetiliselt, aga lokaalselt saaks troojakas täpselt samamoodi sekkuda SSL ühendusse…kus GA esindatud ja ei paikne leheküljega samas domeenis !

self signed certificate

Kes ei viitsi niipalju mässata ja on hosts faili ära muutnud, võtku näiteks leht veebisirvijas
http://www.ria.ee/

Mina muudan vaid html lehe päist, aga kujutage ette seda javascript hooki koos AJAX toetusega…pole eriti meeldiv.

Muideks otsige Adblock postitus minu lehelt üles. Adblock toimib hästi ka Google Analyticsi puhul.
Kui minu demo ei tööta, siis ongi enamasti Adblock peal 😉

Allpool siis pildid katsetustest, mis töötasid, nii http/https (kahjuks WordPress muutis pildid imelikuks) !

www.osale.ee

X-tee

www.eesti.ee

RIA

Järjekordselt huvitav sait: virscan.org

detsember 30, 2008

Kolasin oma arvutis ringi ja leidsin enda jaoks imeliku faili, küsimus kuidas kontrollida, kas ühest viirusetõrjest piisab. Otseselt vastus oleks ideaalis JAH, reaalne elu näitab, et vastus EI.

Tasuta viirusetõrje:
AVAST’iga probleeme olnud – valed alerdid.
AVG jällegit pole kõiki troojakaid avastanud.
Trend Micro jäi jänni troojakate eemaldamisega.

Kuid parim test viirusetõrje tarkvarale http://www.virscan.org/
Uploadid sinu meelest kahtlase faili ning saad kohe tõe teada, et kas probleem sinu peas või viirusetõrjes :)))

Kui soovid teada, kas su viirusetõrje üldse enam “elus” on. Ntx troojakas jätnud vaid ikooni sulle taskbarile, siis EICAR testfail abiks

Samas paljud inimesed unustavad ära, et viirusetõrje ilma uuendusteta on sama, mis auto ilma ratasteta.

Mõned tööriistad exe’de üldiseks “uurimiseks”

detsember 23, 2008

Process Explorer v11.31

FileMon for Windows v7.04

RegMon for Windows v7.04

http://www.dependencywalker.com/

http://www.exetools.com/

http://peid.has.it/

PE detective

Windows debugger

IDA Pro

OllyDbg

Üldiselt meeldivaid Jõule kõigile !

Miks tasub Internet Exploreris urli ette alati panna http://

detsember 16, 2008

See, et IE peaksa saab turvalisusega pole vist mingi üllatus. Täna just proovisin IE explode, mis töötab Vista ja IE 7 ilusasti. Linki ei tahaks lisada, kuna mõned tarkurid võivad seda halval eesmärgil kasutada…

Aga mina tõstatakse teise teema, olen sellest MSile raporteerinud mõned aastad tagasi juba. Soovitasin neid trikke ühele oma tuttavale, kes arvutis pole tugev, kuid mureks oli laste rate sõltuvus.

Seda, et hosts faili muuta 127.0.0.1 www…. teavad kõik vist

IE’s võimaldab ka naljakaid asju:

case 1:

* liigu mingi urli peale ntx http://www.google.com , tore nüüd pane add favorites ning nimeks pane http://www.neti.ee

Pange IE kinni ning avage uuesti, tippige http://www.google.com ning enter

case 2:

* Võta notepad: kirjuta näiteks tekst  “Tere, täna võiks õppida ka natuke vääää !” ja salvesta fail desktopile nimega http://www.rate.ee vaata, et txt laiendit ei tuleks, võta nö all files. Mine desktopile pane failile Hidden atribuut ka. Pane uuesti IE kinni ja ava ning kirjuta http://www.rate.ee ja enter.

Need pole suured vead, aga siiski vead. MS oleks vaja kiiresti 0-day turvavead ära parandada, aga reaktsioonikiirus päris nulli lähedane.  Kui teile meeldib oma arvuti, kasutage Firefox 3 või Operat.

Äriliik – müüme turvaauke

detsember 12, 2008

Update: Chinese team mistakenly released unpatched IE7 exploit

Antud tekstist tuleb välja teine teema, et turvaspetsialistid avastasid ohtliku turvaaugu, kuid tuleb välja see viga juba “pikemat aega”  nö mustal turvavigade turul. Mustal turul ikka täitsa märkimisväärsed hinnad.

Varem olen juba sahinaid kuulnud, kui Venemaal ja Hiinas kohe häkkerite rühmitused, kes sellega raha teenivad ning klientideks tiht valitsus? Te võite vaid ettekujutada, palju on turvavigu, mis mustalt turult ostetud ja ära kasutatakse, kuni tarkvaratootja või ametlikud turvalisusega tegelevad firmad selle avastavad.

Internet Explorer vist pikka aega olnud häkkeritele heaks leivaks. Kõige ebameeldivam on see, et MS just ei hiilga turvaaukude parandamise kiirusega  😦

Siiani kasutan vaid mõned kliendi tarkvaras  kus on vaja integreeritud sirvijat (Feedreader ntx), siiani imestan, miks Firefoxi arendajad pole ActiveX objekti teinud, mida saaks teistes programmides kasutada.

Windows ja paroolid ? Mõttetu ajaraiskamine…

november 24, 2008

Nagu subjekt ütleb, nii ka asjad on. Kuna põhitöö kõrval on olnud turvalisus minu hobiks, siis sai 3 aastat tagasi juba tehtud programmid…

W2K parool mälust

Tuleta meelde (Outlook Expressi paroolid)

Msn paroolid (vanem messangeri formaat)

Need programmid töötavad isegi (kus protected storage veel kasutusel).

Üldiselt point selles, et lumine nädalavahetus andis aega uuesti uurida asju. Ja ikka asjad logisevad.

W2K ning XP ilma SP oli hea lihtne
HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider

õiget dll välja kutsudes, lobises süsteem rõõmsalt kõik paroolid välja. Msn, Outlook, IE autocomplete.

Nüüd pole enam see storage eriti aktuaalne, MS programmid hakkasid ise paroole hoidma enda formaatides. Nagu alati, mitte just efektiivselt.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

Väidetavalt on seal URL xor võtmeks , miks ma ei imesta:(

Win9x oli täitsa komöödia, kohe winapi EnumCachedPasswords, mis kõikide ressurside paroolid ütles…oh aegu.

Juhul, kui tarkvaral on natukenegi tugevam parool, siis kasutatakse IAT hookingut

Üldiselt põhjused, miks mõtetu windowsis üldse parooli panna, op. süsteem justkui pahalaste jaoks tehtud (et viirusetõrjet ning troojakate vastast tarkvara saaks ikka müüa).

* Üks windowsi programm saab teisele saata suvalisi messageid.
– lahendus panna vähemalt juurde akna/kiu ID, kes sõnumi saatis, et app saaks teada, kas võtame vastu teate või mitte. Trooja programmid rõõmsalt sulgevad WM_CLOSE abil aknaid, mida klient peaks nägema.

* Teise programmi konteksti kiu loomine. CreateRemoteThread
Läbi selle API saab kõiksugu jama teha, ntx pahalase DLL laadida.
– minimaalne, et programmis oleks api, mis teavitaks täiendava kiu saabumisest. Samuti protsess, kes seda tahab teha. Programmil accept flag, kas on sellise kiuga nõus.

DllMain – DLL_THREAD_ATTACH, kahjuks see ei toimi nii nagu võiks.

* VirtualProtectEx / VirtualAllocEx

lubab kaunilt teise protsessi külge mappida puuduvat mälufragmenti.
Ehk pahalane paneb täiendava jmp käsu programmi koodi või muudab mõnda call aadressi ning pidu võib alati piirkonnas, mis küsiti virtualprotectex abil.
– see api ära keelata.

* tegin tarkvara pcturva juba 2003 aastal, et lihtsamalt tuttavate arvutitest leida pahalasi.
Samuti suutis tarkvara heuristiliselt leida windows hooke
Siis Windowsi lisati uued “hook” tüübid, mida pole võimalik leida ja mida saab suvaline tarkvara rakendada !
Setwindowshookex – globaalset “hooki” lubada ainult ja veelkord ainult hiire sündmuste püüdmiseks.

Ja nimekiri on pikk pikk…mis windowsis turvalisuse ära rikub
__________________________________________

Palju toredaid paroole süsteemist..

NirSoft

ja kui unustasite windowsi paroolid, pole probleemi, muudke ära. Kui vaja ka adminni omad…

http://home.eunet.no/pnordahl/ntpasswd/

Ps. seda parooli muutmist ei soovita teha, kui teil kettal krüpteeritud failid.

Ehk, milleks vaevata pead paroolide välja mõtlemisega…eriti windowsis…

Andmete kaitseks soovitan kasutada TrueCrypti , selle tarkvaraga mul kõige vähem probleeme esinenud. Töötab ka Linuxi peal.

Seniks lund meetrite kaupa :))))


Kui viirusetõrje muutub ohtlikuks…

november 12, 2008

Oops… AVG accidentally kills Windows

user32.dll kustutamine viirusetõrje poolt ikka suurim bläkk, mida üle pika aja kogenud. Huvitav oli lugeda, kus ühel firmal oli 200 tööjaama, mis peale seda lõpetasid töö – ei tahaks olla antud adminni nahas.

Kas viirusetõrje firma signatuuri algoritmid logisevad või lihtsalt lohakaks muutunud.

Tunne, et tulevikus peaks viirusetõrje panema oma failikonteinerisse failid, mida ta tahab kustutada. Kui arvuti edukalt käivitunud, siis kasutaja saaks otsustada, mis edasi…nagu Norton AntiVirus Quarantine. Huvitav pole AVGd ammu kasutanud, aga kas see programm seda ei tee. Ehk kui midagi viltu läheks, saaks kasutaja kasvõi recovery modes garantiinist failid taastada. Võimalik, et tahan viirusetõrjujatel liialt palju.

Üldiselt kustutamine on viimane võimalus probleemi ravida.

DOSi viiruste algusest jäi meelde seik, kus üks viirus suutis viiruste definitsioonide andmebaasi panna vajalike DOS failide nimed ja viirusetõrje tegi ära räpase töö… Õnneks tänapäeval on signatuuride failid krüpteeritud + algoritmid salastatud.

Aga ikkagit…kuidas kaitsta end viirusetõrje programmide apsakate eest…?

Vista turvaämber, mis mindki üllatas

august 11, 2008

See, et Microsoft ja maailm .NET hulluses sain ennemgi aru, aga et selliseid vigu tehakse masendav.

Windows Vista turvalisus murti maha?


.NET laeb näiteks .DLL faile internetilehitsejasse ja sellepeale eeldab Microsoft, et tegemist on turvaliste objektidega, kuna need on .NET objektid. Microsoft ei tulnud selle peale, et neid võiks kasutada astmetena teiste rünnakute ülesehitamiseks, sõnas Dai Zovi.

Ka mõtlemisainet (nõuab natuke süsteemsete asjade tundmist):

Bypassing PatchGuard 3

Väike test uudistelugejatele….

veebruar 4, 2008

Nojah…juhtunud nii, et olen Feedreader backendi põhiarendaja, siis tekkis vajadus teha üks basic test feed…mis kontrollib turvalisust…
Jah neid teste netis jagub, kuid natuke mudisin, et oleks lihtne ning efektiivne.

Ütleme nii, kui konna ja hiirt näed, siis see pole hea:)))))

Feedi test

Samuti tooksin ühe uue mõiste feed output trashing…mis ka turvarisk.

Näide: artikkel, kus sees <TABLE WIDTH=”9000″ HEIGHT=”9000″ BGCOLOR=”red”>
siis tulemuseks üks väga rõveda disaniga veebileht, ärme unusta ära, eriti just seda näha online readerites. Samuti, kus palju FRAME ja IFRAME

Ehk üks “pahatahtlik” artikkel võib ära rikkuda terve online readeri kujunduse…need olid vaid lihtsad näited…reaaluses annab marginitega mängida nii, et nutt silmis.

Maailmas kahjuks on ka “pahatahtlikke” disainereid….

Hea link, kus loetletud rootkittide avastamise tarkvara…

jaanuar 15, 2008

Viimasel ajal väga popp küberturvalisuse teema, siis seal mängivad oma osa ka kavalad rootkitid. Seetõttu otsisingi, milliseid vahendeid võib leida ning leidsin lehekülje.

Antirootkit

Sealt tundsin ära; F-secure blacklight, Rootkit Revealer… Liikudes veebis kiideti ka Gmeri, pole veel jõudnud proovida. Aga, kui tutvustust lugesin, siis oli paljutõotav….

Omapärane rootkit: MBR rootkit, tuleb välja, et Windows (ka Vista) lubavat tavalises user modes kirjutada MBR peale rõõmsalt…”tule taevas appi”