книги хакеры / журнал хакер / 169_Optimized

КОГДАПРОСТОПОКУПАТЬ НЕИНТЕРЕСНО

ПРОГРАММИСТСОЗДАЛРАНДОМАЙЗЕРДЛЯПОКУПОКНАAMAZON

Первымидвумяпокупкамискриптасталикнига НоамаХомского«Картезианскаялингвистика» (CartesianLinguistics)

иCDскомпозициями шведскогомузыканта AkosRozmann.Все остальныеприобретения ботазадокументированы здесь:randomshopper. tumblr.com.

икидажеразвлекаютсянетак,как«обычныелюди»,— Г этолишнийраздоказаламериканскийпрограммистДариус

Каземи.Таккаконоченьлюбитполучатьподарки,апоку- патьихсамомусебе—значитлишитьсяэлементасюрприза,Каземи решилавтоматизироватьэтотпроцесс(насамомделе,изначально онпыталсясоздатьпрограмму,котораявыбиралабыпотенциально нужныетовары,ноэтопоказалосьКаземискучным).Онсоздалсамописныйскрипт,назвалегоAmazonRandomShopperиприступил ксамомуприятному—тестированию.

Подприцелкреативногопрограммистапопал,какужеможно былодогадатьсяизназвания,Amazon.Ботработаеточеньпросто: беретслучайноесловоизWordnikAPIиищетнаAmazonтовары поэтомуключевомуслову.Основываясьназаложенномвнегобюджете(скажем,30долларов),программаслучайновыбираеттовар, будьтокнига,CDилиDVD,вназваниикоторогоприсутствуетслово, составляетсписокподходящихпоценетоваровипокупаетпервый лотвэтомсписке.Еслипослепервойпокупкиосталисьсредства, программапродолжаетдотехпор,покабюджетнебудетисчерпан.

Вкаком-тосмыслеэтотскрипт—настоящаянаходка,потому чтовнашиднисложнополучитьвСетипо-настоящемуслучайные рекомендации,безучетаисториипокупок,посещенныхсайтов, интересовдрузейитакдалее.

ПРОГНОЗОТ«ЛАБОРАТОРИИ КАСПЕРСКОГО»

КИБЕРУГРОЗЫТЕКУЩЕГОГОДА

одназад«ЛабораторияКасперского»предсказалапрак-

ГтическивсеважныеинцидентывобластиIT-безопасности, случившиесявминувшем2012году.Специальнодляэтих

целейкомпанияежегодновыпускаетотчетKasperskySecurity Bulletin.НеожиданностьювпрошлыйраздляэкспертовЛКстали развечтомассовыеутечкипаролейвеб-сервисов,атакжеатаки наDSL-модемыивзломыаппаратныхсредств.

Аналогичныйотчет«ЛабораторияКасперского»обнародовала итеперь.Компаниявыделилаодиннадцатьглавныхтенденций,которыепроявилисебявушедшемгодуитеперьмогутстатьглавными проблемамивтекущем2013-м.Списокполучилсятакой:

•Целевыеатакиикибершпионаж.

•Хактивисты.

•Кибератаки,финансируемыегосударствами.

•Средстваслежениянаслужбеправоохранительныхорганов.

•Атакичерезоблачныесервисы.

•Утечкиличныхданных.

•Подделкицифровыхсертификатов.

•Кибервымогательство.

•МалварьдляMacOS.

•Мобильныезловреды.

•Уязвимостииэксплойты.

Пожалуй,самаяжуткаячастьотчетасвязанаскибероружием иатаками,финансируемымигосударством.Экспертылаборатории пишут:«Вероятно,чтодовольноскорокподобнымкибератакам будутприбегатьстраны,неимеющиестатусанациональныхгосударств.Приэтомкосвенныйущербможетбытьнанесенобъектам, накоторыеатаканебыланаправленаизначально.Жертвамитаких атакмогутстатьцентрыуправленияэнергетическимиитранспортнымисистемами,финансовыеителекоммуникационныесистемы, атакжедругиекритическиважныеобъектыинфраструктуры».

НАКОНЕЦ-ТОВЫШЕЛENLIGHTENMENT0.17,

TEGRA4

ИНЕОБЫЧНЫЕ КОНСОЛИ

НОВАЯПЛАТФОРМАОТNVIDIAИНЕТОЛЬКО

ерединазимы—время«железных»

Сновостей,крупныхвыставоки,какпра-

вило,громкиханонсов.Текущийгод несталисключением.

ВпреддверииоткрытияежегоднойвыставкиCES2013компанияNVIDIAофициально представиласвоюновуюоднокристальную платформуTegra4.ВосновеновойплатформылежитчетырехъядерныйпроцессорARM Cortex-A15,адополнительноепятоеядропо- прежнемуиспользуетсядляэнергосбережения привыполнениинетребовательныхзадач.Числоядерграфическойсоставляющейсистемы возрослодо72(напомню,чтоуTegra3ихбыло 12).Доофициальногоанонсаходиломножество слуховидомысловотносительноподдержки LTE, итеперьсталоизвестно,чтоподдержка обеспечиватьсявсежебудет,ноопционально. НоеслипредставлениеTegra4нидлякого

сюрпризомнестало,тоанонспортативной консолиотNVIDIAудивилмногих.Замечу, чтокомпанияпредставиланепрототип, аготовоеустройствонасвоемновомчипе;

новинкаполучилаимяProjectSHIELD.Консоль выполненавдовольнонеобычномформ- факторе—посути,этовесьмакрупныйгеймпад с5-дюймовымсенсорнымэкраном. Работает новинкаподуправлениемОСAndroid4.2спред-

КОЛОНКА СТЁПЫИЛЬИНА

ПРОБЕСПЛАТНЫЙ SSL-СЕРТИФИКАТ

В конце прошлого года многие пользователи Gmail неожиданно столкнулись с проблемой: при сборе почты со сторонних сервисов (по протоколам IMAP или POP3) обязательным требованием стало использование «Strict» SSL. Если у почтового сервера был самоподписанный SSLсертификат, то соединение с ним не могло быть установлено. Напомню, что SSL-сертификаты выдаются центрами сертификации, чьи корневые сертификаты, в свою очередь, хранятся в специальном хранилище браузера и другого ПО. Таким образом, браузер может проверить, что сертификат, с помощью которого подтверждается подлинность сайта, действительно выдан одним из центров сертификации. Вопреки бытующему мнению о запредельной стоимости сертификата, приобрести его можно всего за 2–3 тысячи рублей. Но что интереснее, получить валидный SSL-сертификат для своего сервера можно совершенно бесплатно. Хочу поделиться с тобой таким опытом.

Списокопцийсертификата,которыеможнополучить бесплатноиза59,90$

ЗНАКОМЬТЕСЬ, STARTSSL!

Один из сервисов, предоставляющих бесплатный SSL-сертификат на один год, — StartSSL (startssl.com). Его бизнес-модель построена интересным образом: каждому желающему предоставляется бесплатный сертификат для домена, нужно лишь подтвердить владение доменом (с помощью e-mail-сообщения). Но если тебе нужно больше опций, например wildcard-сертификат, с помощью которого

можно подписать поддомены домена (*.domain. com), требуется подтвердить свою личность — и вот за это StartSSL берет деньги. Получается, что если тебе нужен самый простой сертификат, то платить не нужно вообще. Единственный момент — через год его придется сгенерировать заново.

КАК ПОЛУЧИТЬ СЕРТИФИКАТ

Процесс генерации сертификата прост и незатейлив.

1.Первымделомвсервисенужнозарегистрироваться,заполнивнебольшую форму.Важноуказатьимя,телефон,атакже e-mail-адрес,накоторыйвскорепридет кодподтверждения.Запросымодерируются,поэтомулевыеданные,скореевсего, непройдут.

2.Подтвердивe-mail,переходимкследующе- мушагу—выборуразмераключа(2048или 1024).

3.Сервисгенерируетприватныйключисертификат,которыйнужноустановитьвбраузер. Дляэтогокликаемна«Install»—ибраузер всесделаетсам,выдавсообщениеотом, чтосертификатбылуспешносохранен(кстати,егорекомендуетсясохранитьнаотдельномносителе).

4.Далеенеобходимоподтвердитьфакт владениядоменом,длякотороготыхочешь получитьсертификат.Дляэтогопереходим в«ValidationWizard»ивыбираемпункт DomainNameValidation.Длязавершения

процедурынеобходимоиметьвозможность получитьписьмонаодинизтрехемейлов (postmaster@,hostmaster@,webmaster@) илипочтыизwhoisнужногодомена.После этогодоменподтвержден.

5.Теперь,когдасервисзнает,чтомыдействительновладеемдоменом,можнонепосредственносгенерироватьсертификат.Вся процедураосуществляетсячерезмастер CertificatesWizard.Приэтомдоступнавозможностьсгенерироватьразныетипысертификатов,нонампреждевсегоинтересны дваварианта:

•сертификатдлявеб-сервера;

•XMPP-(Jabber)сертификат.

6.Вводимпарольдляключа,атакжеего размерключа—послечегополучаем исохраняемключ.ПослеэтогоStartSSL отобразитдомены,владениекоторыми

тыранееподтвердил,—нужновыбратьодин изних.Приэтомсервиспредлагаетуказать поддомен,длякоторогонужновыписать сертификат(например,www.илиmail). Послезавершенияработымастеранужно немногоподождать.Черезнекотороевремя отStartSSLпридетписьмосподтверждениемгенерациисертификата.

7.Остаетсясамаямалость.Загрузитьсертификат(ToolBox→RetrieveCertificate)

иподключитьегоксерверу,воспользовавшисьинструкциями,которыезаботливо выложенынасайтеStartSSL.

ПЛАТНЫЕ ВОЗМОЖНОСТИ

Сайт, подтвержденный SSL-сертификатом, априори вызывает больше доверия у пользователей. Особенно если юзеру необходимо указывать какие-то данные о себе или проводить онлайн-платежи. К слову, StartSSL интересен не только бесплатными сертификатами, но и очень гуманными ценами. За 59 долларов 90 центов можно получить wildcardсертификат на два года! z

Proof-of-Concept

ОТСЛЕЖИВАЕМ КУРСОР

С ПОМОЩЬЮ INTERNET EXPLORER

ЧТО ЭТО ТАКОЕ?

В Internet Explorer обнаружена то ли уязвимость, то ли функция, которая позволяет отслеживать движения мыши на экране и нажатия клавиш <Shift>, <Ctrl> и <Alt>, даже если окно браузера свернуто. Баг присутствует во всех версиях IE c 6-й по 10-ю. Достаточно запустить эксплоит в одном фрейме, и после этого мы можем отслеживать действия мыши в Windows, в том числе в других окнах IE, в окнах других браузеров, на рабочем столе или сторонних приложениях.

Через эту уязвимость злоумышленники могут получить информацию о паролях пользователя, которые тот вводит с виртуальной клавиатуры. Сама компания Microsoft рекомендует использование виртуальных клавиатур. Они применяются для повышения безопасности, чтобы скрыть от кейлоггеров вводимые пароли, номера пластиковых карт или другую платежную информацию. Виртуальные клавиатуры часто используются на сайтах онлайн-банкинга для защиты.

По иронии, многие такие банковские приложения работают только в браузере Internet

Демонстрацияэксплойта,отслеживаниекурсора ввиртуальномокнеIEизаегопределами

Explorer. Даже когда жертва заходит на страницу онлайн-банкинга с помощью другого браузера (например, Chrome), злоумышленник может получить информацию о нажатиях на виртуальную клавиатуру, если эксплоит запущен в минимизированном окне IE.

Получается, что браузер IE полностью дискредитирует защиту с помощью виртуальных клавиатур. Учитывая новую уязвимость, использование виртуальной клавиатуры

вInternet Explorer можно считать более опасным, чем ввод пароля с обычной клавиатуры.

Специалисты по безопасности из Microsoft Security Research Center уведомлены об этой уязвимости еще в октябре. По мнению Microsoft, опасность ее преувеличена. Она является «теоретической», и подобная атака «трудно реализуема на практике». Якобы у злоумышленника нет возможности узнать, что изображено на кнопках клавиатуры, которые нажимает жертва. См. официальный ответ вице-прези- дента Microsoft, руководителя по разработке Internet Explorer: bit.ly/UoV02s. Можно предположить, что Microsoft не намерена исправлять эту уязвимость в ближайшее время.

При этом уже известны как минимум два случая, когда эта «особенность» браузера IE использовалась для слежки за пользователями через рекламные баннеры в сетях с несколькими миллиардами баннеропоказов

вмесяц.

КАК ЭТО РАБОТАЕТ?

Уязвимость связана с моделью обработки объектов событий в браузере Internet Explorer. Этот браузер предоставляет подробную информацию о каждом произошедшем событии в виде свойств объекта Event, при этом браузер всегда делает объект Event доступным в функции-обработчике как глобальный объект, даже если этого и не требуется.

Таким образом, можно написать скрипт, который с помощью объекта fireEvent() будет опрашивать браузер о событиях через определенные интервалы времени. Мы можем получить следующие свойства Event:

•altKey—состояниеклавиши<Alt>(true,если клавишанажата,false,еслиненажата);

•altLeft—состояниелевойклавиши<Alt>;

•clientX,clientY—горизонтальная(x)иверти- кальная(y)координатымышиотносительно просматриваемойобластидокумента;

•ctrlKey—состояниеклавиши<Ctrl>;

•ctrlLeft—состояниелевойклавиши<Ctrl>;

•offsetX,offsetY—леваяиверхняякоорди- натыуказателяотносительносодержащего контейнера;

•screenX,screenY—горизонтальнаяиверти- кальнаякоординатыточки,гдерасположен курсорнаэкране,безсвязисокномбраузера, леваяверхняяточкаэкранаимееткоординаты(0,0);

•shiftKey—состояниеклавиши<Shift>;

•shiftLeft—состояниелевойклавиши<Shift>;

•xиy—горизонтальнаяивертикальнаякоор- динатыуказателяотносительнородительскогоэлемента.

КОД PROOF-OF-CONCEPT

<html>

<head>

<script type="text/javascript">

window.attachEvent("onload",

function() {

var detector = document.

getElementById("detector");

detector.attachEvent

("onmousemove",

function (e) {

detector.innerHTML = e.screenX +

", " + e.screenY;

});

setInterval(function () {

detector.fireEvent("onmousemove");

}, 100);

});

</script>

</head>

<body>

<div id="detector">

</div>

</body>

</html>

Демонстрацию эксплойта можно посмотреть здесь: iedataleak.spider.io/demo. z

КАКАНАЛИЗПАТЧА ИСПОЛЬЗУЕТСЯДЛЯ БЫСТРОГОНАПИСАНИЯ СПЛОИТОВ

1-day

разбирают их, находят в них функции и пытаются сопоставить функции из первого файла функциям во втором. В итоге на выходе получаются три группы функций: функции, присутствующие

вобоих файлах; функции, присутствующие только в первом файле; функции, присутствующие только во втором файле. Но как же эти программы определяют, что две функции в разных файлах являются одним и тем же, даже с учетом того, что одна из функций в процессе обновления могла измениться? Для этого существует достаточно большая группа признаков: сходство хешей от кода функций, сходство хешей от имен функций, на основе графа передачи управления, на основе графа вызовов, последовательности адресов, на основе ссылок к строкам, на основе сигнатур. Все эти признаки используются

всамых ярких представителях данного класса программ, с которыми мы сейчас познакомимся поближе.

BINDIFF

Первым в нашем списке идет BinDiff (www. zynamics.com/bindiff.html) — инструмент, выпущенный небезызвестной компанией Zynamics, которую в марте этого года купила Google. Это единственный платный (но доставаемый ;)) представитель в сегодняшнем обзоре. После покупки компании Google цена на BinDiff уменьшилась с 900 до 200 долларов, правда, софт теперь стал доступен только для клиентов из Америки.

Данный инструмент написан на Java и представляет собой plugin для IDA Pro, который можно запускать как из Иды, так и отдельно от нее. В случае отдельного запуска необходимо указать два idb-файла для сравнения. В результате работы BinDiff проанализирует функции

и разделит их на три категории (упомянутые выше), подсветит базовые блоки функций разными цветами. Зеленые блоки означают, что в обеих версиях файла существуют базовые блоки с идентичными мнемониками инструкций, но при этом операнды в инструкциях могут отличаться. Красный цвет означает, что соответствующий ББ отсутствует в другом файле. И наконец, желтый цвет говорит о том, что найден эквивалентный ББ, но в нем изменены какие-то инструкции. Из данной градации соответствия можно сделать вывод, что BinDiff основы-

вает свой анализ эквивалентности функций только на ББ, ветвях и мнемониках инструкций. Для определения эквивалентности функций используется около 13 подходов, а для определения эквивалентности ББ 14 подходов. Хочется отметить, что это единственный инструмент, который осилил сравнить файлы размером 9 Мб с 10 031 функцией на борту, на что у него ушло 15 минут (если кому интересно, то это были файлы ядра SAP-системы).

TURBODIFF

Turbodiff (bit.ly/1ADSlm) так же, как и BinDiff, представляет собой плагин для замечательного дизассемблера IDA Pro. Как можно заметить, все программы данного класса имеют очень схожий интерфейс: экран, разделенный пополам, где слева представление одного бинарного файла,

ПОДРОБНЕЕ

ОMS-PATCH-TOOLS

Ms-patch-tools—этонабориздвух инструментов,предназначенныхдля анализабюллетенейотMSиизвлечения изнихполезнойинформации.Первый инструмент—msux—помогаетдостать бинарныйфайл/патчизфайловmsuформата,которыйиспользуетсявVista/ Windows7.Второй—msPatchInfo— предназначендлясозданияиподдержки БД,содержащейсведенияобизмененияхфайловотбюллетенякбюллетеню. Другимисловами,помогаетотвечать натакиевопросы,как«Скольковерсий mshtml.dllдляIE9существуетнаXP?», или«Явотхочуперезаписатьуказатель функциивdata-сегментебиблиотеки ole32.dll,какчастоонаизменялась?», или«Будетлиxchgesp,ecxвntdll.dllработатьдлявсехпатчейнаXPSP3?».Плюс ковсему,товарищсникомbinjoнаписал длявсегоэтогооберткуподнезамысловатымназваниемmspatch.py,которая добавляетвозможностьавтоматически скачиватьзаплатки,нетратявремя

наихпоискнасайтеMicrosoft.

ПАМЯТКА ПОРАСПАКОВКЕ MSU/MSP/MSI/ EXE-ФАЙЛОВ

1. MicrosoftHotfixInstaller(exe)

setup.exe /t:

C:\extracted_files\ /c

2.MicrosoftUpdateStandalone Package(msu)

expand -F:* update.msu C:\extracted_files

3.MicrosoftPatchFile(msp)

msix patch.msp /out

C:\extracted_files

Скачатьmsix.zipможнопоссылке: bit.ly/TmQTqQ

4.WindowsInstallerPackage(msi)

msiexec /a setup.msi /qb TARGETDIR=C:\extracted_files