» »

HBGary: tajne operacije

HBGary: tajne operacije

Nabor zmogljivosti HBGaryjevega rootkita

vir: Ars Technica
Ars Technica - Na dan prihajajo nove informacije o delovanju podjetja HBGary, o katerem smo že pisali. Iz epošte je razvidno, kako pester je nabor veščin, ki ga je podjetje HBGary nudilo svojim strankam.

Ukvarjali so se s povratnim inžiniringom zle kode, katere primer je bil Wordov dokument, navidezno interni Al Kajdin dokument, ki naj bi vseboval kodo. Pošiljatelj je naslovniku svetoval, da naj ne odpira šifriranega arhiva drugje kot v virtualnem sistemu in da naj ne dovoli dostopa do medmrežja, če noče obiska "ljudi v črnem".

Med bolj zanimive sodijo psihološke operacije (PSYOPS), npr. propaganda. Na tem področju je imel HBGary zaposlene risarje, ki so risali politične karikature, imeli pa so tudi razdelan načrt kako bi lahko ameriške agencije za propagando uporabile platformo Second Life.

Facebook in druga družabna omrežja so vzpodbudila zanimanje tudi pri državnih agencijah. Air Force je celo izdala javno naročilo za programsko opremo, ki omogoča upravljanje posamezniku z 10 profili naenkrat, storitev pa mora nuditi tudi VPN povezave, da omogoča upravljalcu ustvariti novo identiteto praktično kjerkoli na svetu.

V HBGary so se v želji po prehitevanju konkurence poigravali celo s poseganjem po manj legalnih postopkih, eno takih idej je bil Gregov predlog prisluškovanja GSM aparatom ruskih hekerjev, Aaron Barr pa se je kar vživel in pripravil cel načrt kako bi se z uporabo izmišljene identitete in družabnih omrežij približal cilju.

Zelo vroča tema, ki jo je možno razbrati iz arhiva pošte, so t.i. "0-day exploiti", koda, ki izkorišča še nepopravljene varnostne luknje. V e-pošti so tovrstne teme pogosto omenjane pod besedno zvezo "juicy fruit", na voljo pa so imeli nabor zle kode za kar nekaj različnih programov, med drugim tudi za Adobe Flash, Java, več verzij Windows, Solaris in VMWare. Poleg tega je HBGary nudil še rootkit, ki ga je bilo moč dobiti za 60 tisoč dolarjev. Rootkita večina protivirusnih programov ni zaznala, edini, ki mu je to uspelo, je bil TrendMicro, a je bilo obravnavano kot manjši defekt, saj ob poplavi opozorilnih sporočil protivirusnega programa navaden uporabnik ne dojame resnosti opozorila.


Greg Hoglund, avtor knjige Rootkits: Subverting the Windows Kernel, je imel v načrtu še kar nekaj zanimivih idej. Eno taka ideja ga je preblisnila aprila 2009, in sicer super-rootkit, imenovan 12 opic (12 monkeys), ki ne bi bil vezan na nobenega od objektov v operacijskem sistemu in bi se kot tak izognil zaznavi protivirusnega programa. Ti namreč običajno pregledujejo zgolj te dele operacijskega sistema. Za nameček in težjo zaznavo pa bi se ta rootkit skozi čas kriptirano preslikaval na naključne lokacije v pomnilniku - podobno kot to dela Skype (PDF). Za tak rootkit se je zanimal General Dynamics, sicer eden največjih podizvajalcev za vojsko ZDA, cena tega rootkita pa bi znesla nekje okrog 240 tisoč dolarjev.

Januarja 2011 je Greg že načrtoval nov rootkit pod kodnim imenom Magenta, ki bi bil spisan v zbirniku. Velik vsega skupaj manj kot 4KB bi se naložil v jedro operacijskega sistema, od koder bi se lahko nadalje vstavil v katerikoli program, ki teče na računalniku, tam pa počel kar koli bi želel, npr. kradel gesla.

No, zatem vemo kaj se je zgodilo. V sistem je vdrla skupina Anonymous in z javno objavo poštnega arhiva omogočila vpogled v kulturo in delovanje sodobnega podjetja, ki nudi "varnostne storitve" državnim agencijam. Postavlja pa se vprašanje: če ima HBGary kot razmeroma majhna organizacija na voljo tak pester nabor zle kode, kolikšne količine nenajdenih lukenj in zle kode za zlorabo šele hranijo vojske ZDA, Rusije in Kitajske.

7 komentarjev

ERGY ::

Zanimivo:)

Manu ::

"Paranoja" Assangeja zgleda ni paranoja.

Zdaj samo čakamo orodja, ki bodo zaznala vse te rootkite...
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.

techfreak :) ::

Kaj ti pomaga zaznava teh rootkitov, če je na svet še veliko več drugih, ki jih AVji zaenkrat ne zaznajo?

rnrv ::

Ži kumi čakam naslednjo epizodo :D

nUUb ::

Dober kripter reši skoraj vse :D
i7 2600k@4.8GHz - nV 760 - 850 EVO 250GB - 4TB FreeNAS
ASUS 1920x1080@144Hz

PaX_MaN ::

Eto, to je R&D, ne pa preprodajalski slovenčki.

Iatromantis ::

Še daljši članek v si jeziku za tiste, ki ga imate raje kot en :D

Korporativni malware*


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Odkrit prvi rootkit za UEFI

Oddelek: Novice / Varnost
187137 (4963) atepej
»

Nemški zvezni trojanec na tapeti

Oddelek: Novice / Varnost
337255 (5027) jype
»

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

Oddelek: Novice / Varnost
4019830 (16869) Iatromantis
»

Wikileaks saga: Anonymous vs. HBGary Federal

Oddelek: Novice / NWO
3110319 (6200) hruske
»

Nemška policija in tajne službe pripravljajo svoj lasten spyware

Oddelek: Novice / Zasebnost
296150 (4515) poweroff

Več podobnih tem