»

HBGary: tajne operacije

Nabor zmogljivosti HBGaryjevega rootkita

vir: Ars Technica
Ars Technica - Na dan prihajajo nove informacije o delovanju podjetja HBGary, o katerem smo že pisali. Iz epošte je razvidno, kako pester je nabor veščin, ki ga je podjetje HBGary nudilo svojim strankam.

Ukvarjali so se s povratnim inžiniringom zle kode, katere primer je bil Wordov dokument, navidezno interni Al Kajdin dokument, ki naj bi vseboval kodo. Pošiljatelj je naslovniku svetoval, da naj ne odpira šifriranega arhiva...

7 komentarjev

Sony mora izplačati odškodnino zaradi prodaje "okuženih" CD-jev

Heise - Leta 2005 je glasbena založba Sony na okrog 50 svojih CD-jev namestila tim. Extended Copy Protection system (XCP), s pomočjokaterega naj bi programsko onemogočali (nelegalno) kopiranje njihovih CD-jev. A omenjeni programček je bil v bistvu klasičen korenski komplet (ang. rootkit), skratka skupek zlonamerne kode, ki jo pri svojih nečednih aktivnostih zvečine uporabljajo kiberkriminalci. Razlika je bila le v tem, da kiberkriminalci s tovrstnimi orodji prikrivajo nezakonite vdore v računalnike žrtev, Sony pa je skušal preprečevati kopiranje njihovih glasbenih CDjev.

Sledilo je odkritje in škandal, a kot poročajo na Heise.de in pri TorrenFreak, je bil Sony za svoje početje pred kratkim tudi sodno kaznovan.

Eden izmed kupcev njihovega glasbenega CD-ja je namreč CD vstavil v svoj računalnik, da bi ga poslušal, vendar je njegov protivirusni program predvajanje ustavil in izpisal opozorilo, da je CD okužen z zlonamerno kodo. Kupec je potem CD preveril še na treh drugih računalnikih ter...

17 komentarjev

Microsoft kupil Sysinternals

Slo-Tech - Verjetno ga ni naprednejšega uporabnika ali (resnega) administratorja operacijskega sistema Windows, ki v svoji "orodjarni" ne bi imel vsaj ene izmed aplikacij, ki so jih razvili Mark Russinovich Bryce Cogswell - Wikipedia, the free encyclopedia in ostali. Autoruns, Administrator's Pak, ERD Commander, Process Explorer, RootkitRevealer, PsTools, Regmon,.. so le nekateri izmed odličnih in nepogrešljivih programov izpod okrilja Sysinternals ter njegove sestrske (komercialne) družbe Winternals.

Od sedaj naprej so ti programi najverjetneje v lasti Microsofta. Čerav podrobnosti še niso znane je gigant iz Redmonda po novem lastnik obeh podjetij. Uporabniki lahko le upamo, da bodo sedaj vsaj nekatere omenjene aplikacije postale standarden del operacijskega sistema ter da Microsoft ne bo ukinil njihovega razvoja.

Več informacij:
- sporočilo za javnost podjetja Winternals
- Sysinternals blog

19 komentarjev

0-day varnostna napaka v MS Word

Slashdot - Strokovnjaki za računalniško varnost so odkrili napad, ki izkorišča prej nepoznano varnostno napako v programu Microsoft Word. Napad poteka tako, da se izbranemu cilju pošlje elektronska pošta z "predelano" MS Word priponko. Le-ta ob zagonu na sistem namesti rootkit, ki nato okužen dokument zamenja z neokuženim, Word pa javi napako in ponudi ponoven zagon programa, ob katerem Word odpre neokužen dokument.

Zlobna koda™ pošlje še neznanim napadalcem podatke o računalniku, nato pa čaka na oddaljene ukaze. Zmožna je iskanja ter spreminjanja datotek na okuženem računalniku, spreminjanja registra, upravljanja s procesi, računalnik lahko tudi zaklene ali ponovno zažene. Sledi napadalcev vodijo v Kitajsko oziroma na Tajvan. Kot kaže, napad deluje na MS Word 2003, zaradi usmerjenega izbiranja tarč pa je možno, da je v ozadju industrijsko vohunjenje. Več podrobnosti o napaki in napadu najdete tukaj.

123 komentarjev

Skupni imenovalec podjetij Sony ter Symantec: rootkit

Google News - Mark Russinovich nam je znan po odkritju rootkita na Sony-jevih zgoščenkah. Vendar Mark ne počiva. Tokrat je Mark s pomočjo F-Secure ekipe pod drobnogled vzel Symantecov produkt Norton Systemworks. Na žalost, oziroma presenečenje (glede na to, da SystemWorks "skrbi" za gladko delovanje sistema), se tudi v tej zbirki programov skriva rootkit.

V direktoriju, ki se skriva s pomočjo rootkita, so ključne datoteke NProtect sistema in so zelo neprimerne za brisanje ali spreminjanje s strani uporabnika. Namen Symanteca, da je ta direktorij skril pred uporabnikom, je sicer dober, ampak je problem drugje. Poleg uporabnika tudi antivirusni programi tega skritega dela datotečnega sistema ne vidijo. Pisci virusov in ostale internetne nesnage ne spijo in lahko to lastnost zlahka izkoristijo za svoje zle namene. Trenutno je to samo teoretično, vendar pisci virusov niso dolgo čakali po odkritju Sony-jevega rootkita. Sicer pa je Symantec že pripravil nadgraditev, ki odstrani oznako "Top...

15 komentarjev

Bo Sony zaradi rootkita tožen zaradi piratstva?

Wired News - Sony je med drugim tudi lastnik filmskih studijev, zato bodo direktorji nemara veseli, da so si za eno večjih mor zadnjega časa kar sami spisali scenarij. Začelo se je z Russinovichevo najdbo, od takrat naprej pa se kup obtožb kotali kot kepa snega po hribu. Vse skupaj je preraslo v snežni plaz besnih kupcev, v prejšnjih novicah omenjenih tožb in kar je najhuje - pritegnilo je pozornost veliko ljudi, tudi takšnih, ki raziskujejo naprej. Nekateri brskajo po njihovih patentih (glejte novico PS3 ne bo dopuščal izposojanja iger?), drugi pa kar po DRM programu. Nizozemskemu programerju, ki ostaja na svojo željo anonimen, je tako uspelo odkriti, da rootkit vsebuje delčke kode, ki so identični najbolj znanemu odprtokodnemu mp3 kodeku LAME. Ker je ta licenciran pod LGPL, Sony očitno krši avtorske pravice.

Wired v meni ljubem stilu poziva na bojkot Sonyjevih proizvodov, dokler se slednji javno ne opraviči in obljubi, da tega ne bo nikoli več počel. Hkrati ugotavlja, da progrem sploh...

40 komentarjev

Rootkit na Sony DRM zgoščenkah

Slo-Tech - Mark Russinovich je med rutinskim pregledom svojega računalnika naletel na presenetljive rezultate pri uporabi orodja RootkitRevealer; kljub temu, da vzorno skrbi za varnost sistema, je program na njegovem trdem disku odkril sledi rootkita. Odločil se je zadevo raziskati in na koncu ugotovil, da skupek ZlobneKode™ izvira z varnega avdio CDja, ki ga je nedavno kupil na Amazonu. Zgoščenke, ki imajo vgrajeno Sonyjevo DRM zaščito, tako s sabo prinašajo poleg namenskega predvajalnika, s katerim lahko na široki paleti različnih platform uživate v glasbi, še programje, ki na vašem sistemu deluje podobno kot software za oddaljen nadzor in prikrito zbiranje podatkov. Podrobna tehnična disertacija je na voljo na Markovem žnevniku.

O novici nas je obvestil delfi, za kar se mu iskreno zahvaljujemo.

Vsekakor vzpodbudna poteza megalomanskih založb, ki z dviganjem zaupanja pri uporabnikih iz dneva v dan višajo prodajo legalnega avtorskega materiala.

51 komentarjev

Orodja za odkrivanje rootkitov v Oknih

Microsoft - Microsoft je napovedal, da bodo javnosti kmalu ponudili program Strider GhostBuster, namenjen odkrivanju skritih datotek in programov v operacijskem sistemu Microsoft Windows. Tako imenovani rootkiti so bili doslej znani predvsem v okoljih Linux (kjer jih odkriva chkrootkit). Delujejo tako, da skrijejo datoteke ali procese, tako da jih uporabnik z običajnimi orodji in obstoječimi protivirusni programi ne vidi oziroma zazna. To tehniko so v zadnjih mesecih že pričeli uporabljati programi za beleženje tipk, prikazovanje oglasov in nadzor računalnikov na daljavo.

Če ne želite čakati na Microsoftove razvijalce, lahko že sedaj uporabite orodji SysInternals RootkitRevealer, ki izpiše vse skrite datoteke (tudi sistemske dodelitve), ter F-Secure BlackLight (pozor: beta), ki izpiše samo datoteke, ki so dejansko sumljive in omogoča tudi njihovo preimenovanje.

Še zanimivost s sejma CEBIT: v živo lahko spremljate, kako pri podjetju Kaspersky odkrivajo nove škodljive programe.

6 komentarjev