Názory k článku Rozbor malware od Hacking Teamu: jak se používá?
-
abbore (neregistrovaný)
Nejaku domenu tusim mali kupenu. Da sa najst v exploitoch a URL ma stale rovnaku strukturu.
Ten "pry priznak" funguje ako Alternate data stream v NTFS. Pri stiahnuti suboru sa do nich pridava stream Zone.Identifier, kde je pisana v ini formate bezpecnostna zona, z ktorej to bolo stiahnute - toto robi uz davno prinajmensom Firefox a IE. Na zaklade toho Windows zobrazi varovanie.
-
Radek Miček (neregistrovaný)
> Pomohlo by spouštět různé věci v různých virtuálech.
Na serverech lze využít Unijádra napsaná ve vysokoúrovňových jazycích. Například MirageOS (OCaml), LING (Erlang) nebo HaLVM (Haskell).
-
Clock (neregistrovaný)
Svycarska policie tento malware take pouzivala a priznala se, ze se nabouravala do pocitacu. Momentalne s dalsimi 2 lidmi pracuju na pokute pro svycarsky stat, uz mame natocino 1003.86 Fr. to je 26'071.41 cista pokuta pro stat. Ted to sepisuju a poslu to policii a mediim a vystavim na stranky Twibright Fine jako priklad pouziti.
Komu se chce v Cesku muzete takovou pokutu statu take realizovat cim vic lidi se na tom bude podilet, tim vyssi bude pokuta.
-
Petr (neregistrovaný)
Tak to pokutování státu mě zaujalo a obětoval jsem trochu svého času abych zjistil co se tím myslí...
Bohužel nejde o nový převratný způsob jak bojovat s byrokracií ale o dlouho známý princip, že co si sám vypěstuju nebo vyrobím, nebo koupím od souseda tak z toho samozřejmě daně neplatím.. :-) Nebo nejdu do hotelu ale najdu si na internetu člověka co pronajíma byt načerno turistům, atd.
A tá stránka je jen o tom, že se eviduje, kolik jsem nezaplatil na daních když jsem si to nekoupil v krámě...
Ale jo, jako fór je to dobré.
-
Trident (neregistrovaný)
Kdyz si sam postavim nemovitost tak z toho odvedu dane. Pokud by se prislo na to ze jsem neco nekomu dal, tak taky zaplatim dane. Sousedska vypomoc ma taky sve limity kdy uz by mohl prijit ourada a nove postaveny plot (jez snadno prekroci praci i 20000kc ) nacenit z toho vypocist dan,uroky a pokuty. Staci zavistivy soused.
Ja treba z principu neodebiram drahe sluzby ceskych operatoru - ty odebira zamestnavatel. Tez nevlastnim televizi ani rozhlasovy prijimac - ten vlastni zamestnavatel.
-
Jenda (neregistrovaný)
České tikety jsou na odkazované projektové stránce (https://brmlab.cz/event/hackedteam), konkrétně http://nat.brmlab.cz/ht-cherrypick/supcz.tar.gz a http://nat.brmlab.cz/ht-cherrypick/supczold.tar.gz.
Kompletní maily jsou v tom torrentu (hledej *.pst). Teoreticky by mělo jít v tom torrentu i vybrat že chceš jenom nějaké soubory.
I pro ostatní platí nabídka že mi můžete dát externí disk nebo ho přinést do brmlabu, připojit k libovolnému počítači a kopnout do mě na IRC a já to nakopíruju.
-
abbore (neregistrovaný)
Snad vis, komu veris. Neni to 100%, ale bez aktivniho podvrhnuti obsahu by byla infekce problem.
U me funguje trivialni algoritmus
url=longurl(url)
if (url.domain not in known_domains) or (url.domain in private_domains) or (url similar to attack vector) or (url not matching surrounding context) or (context not defined) {
fail();
} else {
go_there();
}Me testovaci domeny:
hxxp://46.38.63.194/docs/nx0STJ/adtbp.html
hxxp://shortener/abcs
hxxps://google.com/?q=dotaz
hxxp://idnes.cz/clanek12345
hxxp://idnes.cz/login/?user=<script src=http://aaa.com/fun>
hxxp://root.cz/clanky/rozbor-malware-od-hacking-teamu-jak-se-pouziva
hxxp://root.cz/admin/?clanek='; DROP DATABASE users;#
hxxp://komercnibanka-ebanking.wz.cz/
hxxp://domena-kterou-jsi-jeste-nevidel.com/docs/asvsa.html -
Jenda (neregistrovaný)
> Snad vis, komu veris.
Nevím. Většina jich totiž nepoužívá elektronické podpisy. Kdybys mě chtěl hacknout, tak nejjednodušší cesta bude zjistit s kým si často píšu a pak mi poslat mail s From: on a v těle odkaz. Nebo třeba pod můj článek napsat komentář jako tento - samozřejmě jsem si kliknul. A to opravdu nevím, jestli autoři Xenu používají xenproject.org nebo to byl xen.org a xenproject.org sis zaregistroval včera ty.
Úplně pak pomíjím možnost že mi takový odkaz opravdu pošle někdo z těch kterým „věřím“ protože z nějakého důvodu spolupracuje s policií, policie mu vyhackovala počítač a teď rozesílá viry lidem z jeho kontaktlistu nebo je prostě tajný policajt.
-
robert (neregistrovaný)
jde z toho na mne uzkost, clovek aby byl extremne podezrivavy az paranoidni, tyhle skupiny hrajou na vsechny strany a chovaj se jako dvojiti agenti jednak bezpecaci jednak hackeri, ktery navic prodavaj jak vladam tak dalsim privatnim subjektum, jako obrana asi jen proste na pc nic citliveho nemit a komunikovat s okolnim svetem s vedomim ze to muze byt odposlechnuto
aspon ze moje internetove bankovnictvi pouziva 2 kanaly (pc, mobil), docela jsem nervozni kdyz mam u googlu, applu a paypalu propojeny ucet s bankovni kartou aspon tyhle platby na netu bych rad mel bezpecne
-
Přezdívka (neregistrovaný)
Vyzadovat otevrenost/transparentnost po vsech moznych pravnickych i fyzickych osobach! Viz. https://www.openalt.org/o-spolku , https://diasp.eu/u/openalt atd.
-
Přezdívka (neregistrovaný) (neregistrovaný)
Tazatel si stezoval, ze je mu z toho uzko, ze musi byt podezrivavy az paranoidni atd. Jakmile by byly informace napr. o zakazkach (vcetne jejich predmetu/cilu) otevrene/transparentni (v tomto pripade verejne), uz by mu urcite tak uzko nebylo a vedel by na cem je.
-
Jenda (neregistrovaný)
> ktery navic prodavaj jak vladam tak dalsim privatnim subjektum
IMHO není problém v tom že to někdo prodal. Až na ty zerodaye se to dá poskládat z věcí co jsou volně dostupné a opensource (metasploit, ettercap, aircrack, scapy…)
> jako obrana asi jen proste na pc nic citliveho nemit
V současné době asi ano. Ale někdy je to opruz (když děláš něco co z podstaty musí být síťové). Rád bych se dožil doby kdy budou existovat opravdu bezpečné počítače.
-
Ondra Satai NekolaZlatý podporovatelA jde ti o to, aby pocitac byl bezpecny pro tebe nebo aby obsah na pocitaci byl v bezpeci pred tebou? ;)
-
abbore (neregistrovaný)
Na urovni HW se velmi neorientujem, povedz ked budem kecat.
1. Kazdy si ho vyrobi vlastnorucne alebo sa bude verit (uplatitelnej) firme?
2. Odolnost proti dopant-level backdoors - da sa to? Co to spravi s tym, ked ti HW RNG bude generovat predpovedatelnu nahodnu postupnost?
3. Formalne verifikovany hypervizor bohuzial nemoze generovat odolnost proti side-channel utokom medzi programami. S trochou fantazie tak Javascript zisti, co pise uzivatel v inom okne.
-
Jenda (neregistrovaný)
1) Ne, ta podmínka na 1995 byla proto, že takový čip má ještě dostatečně velké features aby šel mikroskopovat optickým mikroskopem.
Bug: co když vyrobím Intel Backdoor Core i7 a pak ho zvrchu přeplácnu cílovým čipem. Chtělo by to současně generovat ten hardware na tom aby ani pak útočník neměl šanci (nezapomeň že ve fabrice kde ti ten čip vyrábí nemají nejmenší tušení jak bude zkonfigurován - a to se může měnit klidně každý boot).
2) Nesmíš používat HWRNG. Zbytek by měl jít u dostatečně generického hardware otestovat prostě tím že vyzkoušíš různá zapojení která vyzkouší všechny stavy všech hradel.
3) Musíš mít takový typ multitaskingu který při přepnutí kontextu zahodí cache (proč to už sakra někdo nedělá? vždyť ve většině případů mají ty procesy stejně jiný address range a tak se většina cache nepoužije a tak by to neznamenalo degradaci výkonu).
-
Jenda (neregistrovaný)
Backdoor může poslouchat na různých linkách na magickou sekvenci. A potom může zbytek této magické sekvence použít jako konfigurační bitstream a FPGA jí překonfigurovat. Magická sekvence se na nějaký drát dostane třeba tak že ti pošlu zagzipovaný soubor nebo PNG obrázek; jejich dekomprese má dobře předvídatelný pattern.
-
Mrkva. (neregistrovaný)
2) Nesmíš používat HWRNG. Zbytek by měl jít u dostatečně generického hardware otestovat prostě tím že vyzkoušíš různá zapojení která vyzkouší všechny stavy všech hradel.
A jelikoz neni mozne vyvest in/out kazdeho jednotliveho hradla musis to testovat jako kombinacni obvody a to proste casove nedas.
3) predpoklada ze timing utoky jdou delat jen pres cache - ono by se uricte objevilo i neco jineho....
-
Prezdivka (neregistrovaný)
ad internetove bankovnictvi:
Klidne muzes byt nervozni i u bankovnictvi "pojisteneho" mobilem.
Vsiml jsem si, ze rada lidi (a to i PC gramotnych!) stahuje SW z ruznych Slunecnic ;-), Uloz.to a podobne - misto toho, aby stahovali primo od autora/vyrobce SW.
(Nehlede na to, ze obcas neni jistota ani u toho udajneho autora, ze SW bude cisty - zvlast u Windows).Znam pripad cloveka, co si takhle odnekud stahnul SW - nejakou "Suite" na komunikaci s mobilem. Byl to "cinknuty" originalni SW, ktery sice fungoval, ale zaroven obsahoval exploit na PC i (kdo by to cekal :-) na mobil.
Z uctu mu zmizely vsechny penize, potvrzovaci SMS si utocnici odchytli a pouzili, na telefonu se ani nezobrazila...
-
V článku mi chybí popis toho, co vlastně ten agent na počítači oběti prováděl. Víme, jak se do počítače dostal (chybou uživatele), ale nevíme, co tam vlastně dělal a hledal.
Z uniklého KB jsem zjistil pouze tolik, že na linuxu mohli zjistit historii callů skype + historie URLs z prohlížečů. Nevím, jak to ukládá skype, ale prohlížeče mají data v sqlite, takže na seznam urls stačí jeden select.
To má být jako ono? Ne, že by se mi líbilo, že si někdo prohlíží seznam url, na druhou stranu, když už se takto relativně složitě dostali do počítače oběti, tak proč potom spouští jen pitomý select?
Pochopitelně tato informace v KB může být neúplná, zastaralá, nebo jen pro zmatení analýzy uniklých dat, na druhou stranu, když vidím, za kolik peněz se prodávají obyčejné číselníkové programy, tak bych i věřil tomu, že ten agent prostě nic dalšího neumí.
-
Jenda (neregistrovaný)
> V článku mi chybí popis toho, co vlastně ten agent na počítači oběti prováděl. Víme, jak se do počítače dostal (chybou uživatele), ale nevíme, co tam vlastně dělal a hledal.
Nevíme. Podle marketingových materiálů to umí prohledávat a posílat soubory, nahrávat audio, screenshotovat a keylogovat. Ale máš tam admina, takže můžeš dělat _úplně cokoli_.
> Z uniklého KB jsem zjistil pouze tolik, že na linuxu mohli zjistit historii callů skype + historie URLs z prohlížečů.
To si pleteš s Androidem, ne? Tam je to jako appka a bez lokálního exploitu to nemůže nic. Ten linuxový dělal třeba keylogger v Xkách. Ty soubory podle mě uměl taky (proč by taky ne?)
-
"To si pleteš s Androidem, ne?"
KB / Features / Desktop / Linux:
No, tak jsem v KB dohledal všechny RSC 9.x a tam se píše:
* Support for Ubuntu 14.10.
* Password module supports latest Firefox.
* New Offline installation method.
* Improved key logger module (ok, tak tady je to info)
* New module: Money.
* New module: Mic recordings.
* Support for the top5 distributions from DistroWatch.com.
* Support for INJECT-HTML-FLASH infection vector.Ovšem v té KB stránce píší 9.6 toto:
* (Skype) Adressbook
* (Skype) Call List only
* (Skype) Chat
* (Money) Bitcoin, Litecoin, Feathercoin, Namecoin.
* (Messages) Thunderbird Mails
* (Password) Thunderbird, Firefox, Chrome
* (URL) Firefox, Chrome, Opera, WebU sekce MIC a KEYLOG není nic.
Samozřejmě otázkou je, jak jsou ty informace spolehlivé a obnovované. Tu moduly tam mohly být, ale nemusely být funkční (zrovna schovat nahrávání z mic z aplikace běžící jako obyč. uživatel moc nejde) (buď je tam alsa, a to by blokovalo přístup k mic ostatním aplikacím, nebo je tam PA a to by bylo vidět v pavucontrolu).
-
Neviditelný (neregistrovaný)
Pokud by tahle kontrola neběžela na úrovni jádra, byla by tam race condition, navíc seznam klientů PA se dá získat spoustou dalších způsobů, klidně i dotazem přes D-Bus. Zrovna ten modul pro zachytávání mikrofonu pomocí PA mi vůbec přišel dost úsměvný. Co když mi poběží PA pod jiným userem, než ten exploit? Co když na tom systému PA vůbec nebude? I když je fakt, že celý kód toho linuxího sledovače nevypadal jako kdovíjaká raketová věda, spousta z toho se dala poskládat z tutoriálů.
-
rootless rooter (neregistrovaný)
hm. a jak sa vlastne tento 'feature-pack' lisi od meterpreter session [metasploit framework] ?
uplne primitivny payload [veil, alebo binarka, generovana cez msfvenom + shikata-ga-nai encoderom] uspesne 'prepasovana' do ciela [java,flash,html...]
dokaze [okrem ineho] live stream z webcamu,webcam snapshot, keylogging,
ziskat prava na urovni nt authority/system, download/upload dat,
cistit event logy,dump SAM databaze/hashe.... -
roberto (neregistrovaný)
to sem prekvapen ze nikdo nezna Qube OS - oddeleny virtualy pro ruzne ucely, napr: 1) virtual - developement env 2) bezne browsovani, mozna i flash... 3) Internetbanking... 4)stealth prostredi, bitcoin klient..
Qube je zalozeno na fedore (pouziva i jeji repositare), kt ma nejmene vaznych zranitelnosti -kouknete si cvedatils.com
Jako browser bych doporucoval firefox-esr verzi kt je najbezpecnejsi. -
Ondra Satai NekolaZlatý podporovatel
Qubes mi padly do oka uz pred drahnou dobou. Ale odrazuje mne UI (KDE 4+ je prima, ale proste to neni muj salek i3. ) a mam, mozna neoduvodnene, strach, co vsechno se rozdpadne nejakym naprosto neocekavanym zpusobem.
-
Taky jsem se bál. Nainstaloval jsem to (3.0 RC1) vedle Ubuntu jako dualboot. Teď už dualboot nemám – Ubuntu jsem vyhodil.
Asi největším problémem byla instalace Bumblebee, našel a nahlásil jsem u toho dva nepříjemné bugy, kvůli kterým mi to odmítalo ten balíček nainstalovat. (Qubes má instalaci balíčků v privilegovaném VM řešenou částečně po svém, protože ten nemá přímý přístup do sítě – hádejte proč…) Ale ty už jsou dnes opraveny.
KDE není nutnost, je možno použít i XFCE. Šlo by i jiné prostředí, ale jen s patchnutym okenními managerem (a k dispozici jsou Kwin a Xfwm) Zkusil jsem obojí a nejspíš budu používat Xfce s Kwin. Už jsem si s Xfce integroval i aktivity :-)
Podpora Linuxových VM je celkem dobrá, umí většinou i dynamicky přidělovat RAM jednotlivým VMs. I když prostor pro zlepšení tu určitě je a s malou RAM bych Qubes nedoporučuje. Swapování například není poreseno úplně ideálně…
Nedoporučil bych Qubes lidem, kteří potřebují nutně grafickou akceleraci něčeho jiného než desktopu.
Pro Windows VM bych zatím nedoporučil 3.0 RC1, i když se to snad brzy změní.
Jinak tu jsou nějaké glitche (na 3.0 RC1), ale dá se s nimi žít.
A na mailinglistu Qubesu jsou ochotní.
-
Jenda (neregistrovaný)
Můžu opakovat otázku? (nějaký jiný uživatel mi posledně neodpověděl)
- Jak je to s provozem „nedůvěryhodných USB zařízení“? V mém případě softwarové rádio, osciloskop a JTAG programátor FPGA. Do virtuálu můžu přehodit USB řadič, ale to mi asi přestane fungovat USB klávesnice, ne?
- Je tam nějaká alespoň elementární akcelerace videa (XVideo, OpenGL…) nebo to posílá škálované pixmapy (a je to použitelné?)
-
"Do virtuálu můžu přehodit USB řadič, ale to mi asi přestane fungovat USB klávesnice, ne?"
Tady situace není úplně ideální, ale dá se s tím v některých případech pracovat. Tady je pár mých poznámek, trošku nesetříděných:
* K VM se dá přiřadit jen celý řadič (PCI zařízení), ne samotný port. Já mám ale na notebooku více řadičů.
* Technické omezení: jakmile virtuálnímu stroji přiřadím PCI zařízení, musím mu paměť přiřadit fixně. Pokud mu RAM přestane stačit nebo pokud bych naopak chtěl část RAM předat jinému stroji, neobejde se to bez restartu. U ostatních Linuxových PVM se RAM standardně přiděluje a odebírá automaticky – bez zásahu uživatele.
* Na druhou stranu, většina notebooků má klávesnici i touchpad připojené přes PS/2. Horší je to na MacBoocích a stolních počítačích, ale více různých řadičů ten problém může vyřešit.
* BTW, mít více řadičů je bezpečnostní výhoda tak jako tak. Řadič funguje jako hub, takže nedůvěryhodná zařízení mohou odposlouchávat část komunikace (nebo celou komunikaci) s jiným zařízením na stejném hubu.
* Flashky apod. lze řešit přes virtuální stroj, který má připojený řadič. Z tohoto stroje lze snadno přeřadit blokové zařízení (dokonce i jen jednu partition) jinému stroji.
* Ostatní USB zařízení by asi šlo řešit přes nějaké síťové USB řešení. (Ne však klávesnice a myš` tu člověk potřebuje v dom0 (privilegovaná VM), která nemá přístup k síti – a i kdyby se to vyřešilo jinak (např. přes Qubes RPC), fakticky bychom tím povýšili naši USBVM na důvěryhodný stroj). Zatím jsem to moc neřešil a mám spuštěnou jen jednu VM s přiřazeným USB řadičem. Když potřebuju připojit jiné USB zařízení, tak ji vypnu a spustím jinou VM.„Je tam nějaká alespoň elementární akcelerace videa (XVideo, OpenGL…) nebo to posílá škálované pixmapy (a je to použitelné?)“
AFAIK to posílá škálované pixmapy, ale je to použitelné i na 1600×900 fullscreen. Resp. pokud tu je nějaká akcelerace videa, tak leda nějaké specializované instrukce v procesoru. AppVM do dom0 ale už posílá obsah okna jen jako RGB data.
(Mimochodem, fullscreen je v Qubesu potřeba vyžádat od správce oken. To není problém (defaultně v KWinu: Win+Space, More actions, Fullscreen; s mým nastavením: Win+F), jen to může být trošku překvapení. Virtuální stroj si totiž nemůže jen tak přivlastnit celou obrazovku, aby nemohl podvrhnout třeba dialog pro zadávání hesla.)
-
„AppVM do dom0 ale už posílá obsah okna jen jako RGB data.“
Ještě dodám, že toto je úmysl. Protokol je záměrně navržen tak, aby tu byl co nejmenší prostor pro chyby.
Podobně inter-VM copy&paste je plaintext-only (zatím mi to celkem stačilo) a je navrženo s ohledem na bezpečnost: https://www.qubes-os.org/doc/CopyPaste/
-
Jenda (neregistrovaný)
OK. Já mám náhodou ještě notebook co má USB2 i 3, takže má dva řadiče, ale v Linuxu to prostě nefunguje. A teď se dají očekávat notebooky co mají pouze USB3. Do desktopu bych USB kartu do PCIe klidně vrazil. Klávesnici mám USB, protože ta na notebooku je neergonomická. KVM třeba umí do virtuálu dávat jednotlivá USB zařízení, ale jak je to bezpečné u Xenu netuším.
O fullscreen mi nejde (a bezpečnostní implikace chápu). Většinou prostě okno mplayeru jenom roztáhnu.
-
„Linuxu to prostě nefunguje“ – co nefunguje? Vím, že jsem měl nějaké problémy s USB 3, zejména nemohlo být snad žádné zařízení v portu při bootu systému (aspoň na Ubuntu 12.04), ale jinak to fungovalo. Ale to s tím asi nesouvisí.
Ad USB3 only: To ještě neznamená, že musejí mít jen jeden řadič. I když samozřejmě mohou. Na noteboocích s hodně porty je ale šance, že nebudou.
Obávám se, že USB klávesnice zapojená do stejného řadiče jako nějaké nedůvěryhodné USB zařízení, je stejně game over, ať už bychom se snažili na úrovni SW jakkoli. (Předpokládám, že ten, kdo ovládá klávesnici, ovládá i samotný stroj.) Pokud jsem to dobře pochopil, tak libovolné USB zařízení může podvrhávat pakety s jiného USB zařízení, které je připojeno ke stejnému USB controlleru. Software pak nemá šanci poznat, jestli ten stisk klávesy šel ze skutečné klávesnice, nebo z nedůvěryhodného USB zařízení. To bez změny v HW nevyřešíme.
Napadají mě dvě varianty, jak to řešit na úrovni HW:
* Před nedůvěryhodné USB zařízení připojit něco, co takovéto útoky znemožní. Mohl by posloužit i další USB hub, ale nevím, co zde říká specifikace a jak se to v praxi implementuje.
* Použít pro klávesnici jiný protokol, který by stisky kláves posílal autentizovaně. Nutno přizpůsobit SW a zakázat legacy klávesnice.Tím neřeším odposlouchávání, ale moc nevím, jestli se to nějak prakticky týká klávesnice. Pokud ano, tak to asi bude dost challenge – když uvážím i různé timming attacks. Už tak je můj příspěvek dlouhý, tak to tu nerozepisuju.
Jinak na Qubesu je i možné všechna USB zařízení připojit do dom0 (což je i výchozí volba – právě kvůli USB klávesnicím). Budou fungovat flashky (byť s možností badusb), budou fungovat klávesnice a myši. S hardwarem, který má být připojen přímo k nějaké VM, ale už asi bude problém.
Na druhou stranu, nějaké bezpečnostně suboptimální řešení na Qubesu může být stále přínosem – ve srovnání s klasickými systémy to může být přinejhorším stejně bezpečné a nikde není psáno, že útok musí probíhat skrze USB. Pokud útok přijde z Internetu, tak tuto možnost nemusí mít útočník k dispozici.
BTW: Teď mám USB2 přiřazené k dom0 (tj. privilegovaná VM) – právě kvůli klávesnici, kterou bych si chtěl pořídit. USB3 je pro AppVMs.
-
Jenda (neregistrovaný)
> co nefunguje?
Moje konkrétní kombinace řadičů na Asus U36GS po uspání nevidí USB zařízení nebo použití způsobí kernel panic.
> Obávám se, že USB klávesnice zapojená do stejného řadiče jako nějaké nedůvěryhodné USB zařízení, je stejně game over, ať už bychom se snažili na úrovni SW jakkoli.
Já myslím spíš nedůvěryhodný ovladač/userspace aplikaci. Ale je pravda, že teoreticky může virtuál vyhackovat klávesnici a potom z ní zbytek systému.
-
„po uspání nevidí USB zařízení nebo použití způsobí kernel panic.“ – jaj, to zní hůř. Je fakt, že na Qubesu jsem měl s USB po probuzení taky problém, ale vyřešil to hook na suspend/resume toho zařízení: https://groups.google.com/d/topic/qubes-users/XtdtD20BiSA/discussion
„Já myslím spíš nedůvěryhodný ovladač/userspace aplikaci.“ – Pokud budeme důvěřovat všem připojeným USB zařízením, pak by teoreticky šlo (všechno připojím do dom0 a odtud předávám USB porty do jiných VM), ale na Qubesu to není moc implementováno. Pokusy pro podobné věci byly, ale asi to není priorita: https://www.qubes-os.org/doc/USBVM/
(Spíše je tedy snaha nemít USB zařízení v dom0 a mít pro to nějakou jinou VM, ale pokud by se to vyřešilo, pak asi nebude až takový problém mít to v dom0.)
„Ale je pravda, že teoreticky může virtuál vyhackovat klávesnici a potom z ní zbytek systému.“
To asi hodně teoreticky, zvlášť když se k ní ani přímo nedostane – jen GUID mu přeposílá stisknuté klávesy (pokud je zrovna nějaké jeho okno aktivní) a VM nastavuje tak možná LED diody na klávesnici. Ale mohl by třeba flashnout nějakému zařízení (Arduino?) firmware a to zařízení by se pak snažilo podvrhnout USB pakety, aby vypadaly jako z klávesnice. -
roberto (neregistrovaný)
no kamarad fici na qube asi pul roku a zatim pohodka, ani zatez neni nejak extra velka. jenom kdyz clovek startuje na tom virtuali neco tak to muze chvilku trvat (hlavne kdyz dela neco na 1 a pak prepne na 2), ale celkove pohodka. Musim to i ja skousti zatim bezim na opensuse tumbleweed
-
* (neregistrovaný)
Policie CR nedodrzuje platne zakony, jelikoz neinformovala o pouzivani automatickych informacnich systemech verejnost ...
ZÁKON 273, HLAVA X, § 62, bod (2) Jsou-li k pořizování záznamů podle odstavce 1 zřízeny stálé automatické technické systémy, policie informace o zřízení takových systémů vhodným způsobem uveřejní.
-
el duderino (neregistrovaný)
a co takováto obrana - na gateway routeru nastavit transparentní proxy, která bude blokovat veškeré http requesty na flash, javu a activex soubory podle přípony anebo mime typu?
anebo jít ještě dál a blokovat vše krom text/* a image/* atd?
akorát nevím zda by to fungovalo i přes https tunel.
-
blergh (neregistrovaný)
Pokud se k tobe nedostane flash, java, active x a podobne, proc toto mit nainstalovano doma(!) (chapu, ze ve firme muzes mit vlastni interni weby, ktere zminene technologie pouzivaji - tam je to, o cem pisu, o nicem) jako plugin do browseru nebo samostatny sw? Nepotrebujes potom nic blokovat. Navic - (nastesti ne vsichni) se hodne lidi zaobira vzdy pri podobne kauze pouze tim, co bylo prave nalezeno. Ale uvazujte obecneji. zitra to muze byt zranitelnost softwaru pro jine formaty, atd...
-
Ondra Satai NekolaZlatý podporovatel
...dalsi uroven obrany. Browser se slusnym sandboxingem, spostet pod jinym uzivatelem nebo MAC (GRSecurity, SE Linux).
-
el duderino (neregistrovaný)
no je to do firmy, která má ~150 firemních pc + BYOD. a třeba javu v browserech chceme, ale ne zvenku...
a přesně jak píšeš - "zitra to muze byt zranitelnost softwaru pro jine formaty". je rozhodně snažší a efektivnější pak jen přidat další blokování na gateway proxy než obíhat kompy (což je u soukromých navíc nemožné)
-
Lol Phirae (neregistrovaný)
Vulnerability in Microsoft Font Driver Could Allow Remote Code Execution (3079904)
P.S. Zdravíme Laela. :-P
-
Jenda (neregistrovaný)
No vidíš, to bych mohl udělat. Hiren's Boot CD, CentOS (několik verzí, instalátor a live) a ISO a WinXP v pořádku, memtest86+ má md5 b8bbe72b944f7f2874f40f801f02c1c9 a sha1 0d989ff48ffd676870925f5ce716f79dceeef659 což jsem nenašel, ale byl v /usr/lib produkčního stroje, tak bych tam nečekal bordel…
-
pc2005 (neregistrovaný)
Jaká to je verze? Na webu jsou i další (co nejdou stáhnout z download page) http://www.memtest.org/download/ .
BTW zrovna memtest je na nějakej hypervizor jako dělanej :-D. -
gtu (neregistrovaný)
no já si třeba nedělám o své bezpečnosti iluze, a to to mám následovně:
- starý telefon jen na volání a smsky
- hlavní pracovní pc bez internetu
- druhý počítač na surfování, každé cca 3 měsíce formát disku a přeinstalace systému, firewall na opravdu přísné nastavení, antivirus, systémové záplaty, žádný flash, žádná java, žádný IE, s chromem asi skončím
- snažím se používat proxy, u kterých doufám, že samy o sobě nejsou pastí (tenhle post jde z katedrály)trochu to kazí to, že člověk musí surfovat na internetu a občas něco stahovat :))) doufám, že snad aspoň to bankovnictví zabezpečené starým telefonem je v klidu a útočník si nedokáže ty kontrolní sms SNAD nějakým způsobem bez nějaké mojí chyby přesměrovat.
nicméně člověka i tak napadá milion cest, jak se k jeho datům může někdo dostat.
Třeba když si takhle člověk uvědomí, na kolik cizích wifin se kdy a kde napojuje...imunní nebude nikdo nikdy a bude to jako se sociotechnikou - žádná lidská bytost ani organizace prostě nedokáže být neustále v pozoru a všemu se ubránit.
-
Jenda (neregistrovaný)
> - hlavní pracovní pc bez internetu
Co aktualizace? A neděláš nic k čemu je Internet potřeba? Já pracuju jako admin, bez SSH se prostě neobejdu - a to je také to nejdůležitější co potřebuju chránit. Na svém počítači moc zajímavých dat nemám, ale útočník se přes něj může dostat na servery co spravuju.
> doufám, že snad aspoň to bankovnictví zabezpečené starým telefonem je v klidu a útočník si nedokáže ty kontrolní sms SNAD nějakým způsobem bez nějaké mojí chyby přesměrovat
Může (hledej baseband hacking a sim card hacking). Ale zrovna ty státní fakt nebude zajímat tvoje bankovnictví (k tomu se dostanou snáz přes banku).
-
nobody (neregistrovaný)
CVUT vydalo tiskovou zpravu kde se k tomu vyjadruje jiz pred tejdnem:
http://fit.cvut.cz/sites/default/files/PR/TZ_FIT_2015_WikiLeaks.pdfBTW: novinky i pres to ze je to jiz ujasneno, stale tvrdi ze slo o "viry pro pouziti na banky"... takze priste nalinkuj neco z Blesku ;)
-
nobody (neregistrovaný)
tak ja sice nectu ani blesk ani novinky, ale ze ses to ty :)
zminuji se o HT v rozhovoru s Prase Paroubkem...
"Mezi institucemi, které takto českou policii zajímaly, byly české banky, některé zpravodajské servery a také strana LEV 21, které byl Jiří Paroubek dříve předsedou. Vyplynulo to z mailové komunikace mezi Hacking Teamem a českou policií, již zveřejnil portál WikiLeaks."
a Prase Paroubek uz ted ma dle jeho slov "černé na bílém, že stát sledoval moji stranu" :-D
ČLÁNKY DO MAILU