Archiwum kategorii haking

Dziesięciolatek postawił serwer Minecrafta na Edisonie

Dostałem do testów dość niecodzienne urządzenie – układ Intel Edison razem z płytką Arduino, umożliwiającą zaprogramowanie tego miniaturowego komputera.
Intel Edison na płytce Arduino

Edison zawiera normalny dwurdzeniowy procesor x86, a zatem można na nim uruchomić nieco okrojoną dystrybucję Linuksa dla x86. Po przygotowaniu obrazu i wgraniu go na urządzenie uruchomiłem na Edisonie dystrybucję Ubilinux bazującą na Debianie.

instalacja

Zainstalowałem JRE: openjdk-7-jre (ze względu na brak miejsca na głównym systemie plików pakiet openjdk-7-jre trzeba instalować bez zależności za pomocą apt-get download a potem dpkg --force-all -i ).

Dlaczego akurat Java?

Dałem ten moduł do testów dziesięciolatkowi, który (jak wiele dzieci w podobnym wieku) jest od kilku lat zafascynowany Minecraftem (za tę grę Microsoft zapłacił 2,5 mld dolarów).

Po kilku podejściach, młody pasjonat komputerów zalogował się do Edisona przez SSH (!), wrzucił pliki serwera na odpowiedni zasób, użył edytora vi (!!) do edycji plików konfiguracyjnych, a następnie uruchomił serwer.

Tak, serwer Minecrafta działa na Edisonie, obsługuje około 19 ticków na sekundę, zajmuje jedną trzecią RAM. Całkiem nieźle jak na procesor, który pobiera nieco ponad wat energii elektrycznej (pomiary pokazały około 990mW).

top

Kto by przypuszczał, że dziesięciolatek potrafi uruchomić serwer Minecrafta na tak małym urządzeniu?

Wirusy dla Linuksa?

Przez długi czas wydawało się to niemożliwe – mnogość różnych dystrybucji oraz konfiguracji poważnie utrudniała masowe infekcje komputerów pracujących pod kontrolą Linuksa. System ten, jak każdy inny, posiada podatności i napisanie eksploita wcale nie jest szczególnie trudne. Do tej pory jednak było to nieopłacalne, gdyż liczba stacji roboczych z Linuksem była nieco powyżej błędu statystycznego.
Oczywiście pod kontrolą Linuksa pracuje większość serwerów, a także urządzeń osadzonych. O ile serwery są w większości przypadków sprawnie aktualizowane, z Linuksem w urządzeniach osadzonych bywa zupełnie inaczej. Aktualizacji nikt nie wprowadza, czasami nawet nie powstają w ogóle nowe wersje firmware’u. poza tym kto myśli o ustawieniu dobrych haseł do takich urządzeń?

Włamywacze zatem znaleźli model biznesowy, w którym masowo włamują się do urządzeń takich jak kamerki, a następnie automatycznie instalują złośliwe oprogramowanie, które potem posłuży do ataków DDoS za pieniądze. Aby obejść problem różnorodności oprogramowania, zbudowali cały system kross-kompilacji i konsolidacji pod kątem docelowej platformy, oskryptowali wszystko, co potrzeba do infekcji. Wykorzystali także dość szczególną własność zdalnego połączenia przez SSH.
Miałem okazję analizować system w jednej z kamerek internetowych i przyznaję, że oprogramowanie zostało bardzo sprytnie napisane. Bezpośrednią przyczyną infekcji była jednak nie luka w jakims oprogramowaniu ale domyślne hasło („admin”). Kto nie zmienił hasła – niech się wstydzi. A potem niech niezwłocznie zmieni!
Zapraszam do lektury na łamach Computerworlda.

E-mail jest niebezpieczny…

…jeśli się nie umie z niego korzystać. Co pewien czas w mojej skrzynce oprócz pospolitego spamu znajdują się również maile podobne do tego, który otrzymał dziś nasz naczelny:
zrzut
Przyczyną zdenerwowania tego pana był problem zwany popularnie gąsienicą adresów (nie, nie łańcuszkiem maili, to inne zjawisko).
Oto geneza gąsienicy:
– Osoba taka jak pani Anna D. z firmy Inmedia wysyła mailingi i nie ma pojęcia o tym, jak należy to poprawnie robić.
– Każdy z odbiorców mailingu otrzymuje kompletną listę maili.
– Jeśli na choć jednym z komputerów, który taki mailing otrzymały, znajdzie się złośliwe oprogramowanie posiadające harvester adresów (narzędzie do pozyskiwania wszystkich adresów e-mail), to cała lista odbiorców oryginalnego mailingu trafia do bazy spamerskiej.
– Na skrzynkę docelowo przyjdzie więcej spamu.

Kiedyś interesowałem się tym tematem, do analizy posłużyłem się tymczasowymi adresami udostępnianymi przez portal o2 (domeny jadamspam oraz łykamspam – 🙂 ). Od odpowiedzi na podobny mailing do pierwszego spamu mijają średnio dwa tygodnie.
Swoją drogą od firmy Inmedia nie dostałem w ciągu ostatniego roku żadnego spamu PR, najwyraźniej target nie ten.

Ataki i obrona – krajobraz zagrożeń

Przedstawiam fragment wywiadu z Rajem Samanim, CTO EMEA firmy Intel Security.
Pracuję w tej chwili nad nieco szerszym tekstem, który obejmie zagadnienia obrony przed różnymi atakami. Wywiad, którego udzielił mi Raj Samani będzie bardzo przydatny.

Poważna luka w Androidzie umożliwia zdalne włamanie

W niemal wszystkich wersjach systemu Android istnieje podatność, która umożliwia zdalne przejęcie kontroli nad systemem operacyjnym telefonu za pomocą odpowiednio przygotowanej wiadomości MMS zawierającej wideo.

Android jest obecnie najpopularniejszym mobilnym systemem operacyjnym na świecie, pod jego kontrolą pracuje około 80% wszystkich smartfonów. W większości z tych telefonów działa podatna biblioteka odpowiedzialna za przetwarzanie wideo. Aby zdalnie przejąć kontrolę nad systemem lub załamać jego pracę wystarczy odpowiednio spreparowana wiadomość MMS.

Istota problemu

Jeśli użytkownik korzysta z aplikacji Hangouts albo Messenger, to problem jest bardzo poważny, gdyż w obu przypadkach aplikacja pobiera wideo, zapisuje i przetwarza je automatycznie, by film był od razu dostępny w galerii. Działanie eksploita jest niewidoczne i w ten sposób można przejąć kontrolę nad całym systemem telefonu, włączając w to przechwycenie dźwięku i obrazu za pomocą mikrofonu i kamery w aparacie.

O aktualizacje będzie bardzo trudno, gdyż nawet jeśli Google szybko przygotuje łatę usuwającą tę podatność (co już się stało – załatana biblioteka jest w repozytoriach github), to za dostarczenie aktualizacji dla telefonów odpowiada producent. Nie sądzę, by producenci postanowili wprowadzić aktualizacje dla tych urządzeń, które dawno utraciły wsparcie techniczne.

Obejście problemu

Problem można jednak obejść, ale wymaga to wyłączenia obsługi MMS przez aplikację Hangouts oraz Messenger (tak naprawdę najlepszym wyjściem jest odinstalowanie Hangouts) a następnie wyłączenia w natywnym kliencie MMS automatycznego pobierania wiadomości MMS. Filmy w wiadomościach MMS należy wtedy pobierać i otwierać tylko od zaufanych osób, podobnie jak to czynimy dziś z wiadomościami e-mail zawierającymi załączniki.

MMS autoretrieve

Wyłączenie automatycznego odbierania wiadomości MMS w kliencie. Tutaj na przykładzie telefonu obsługującego dwie karty SIM.

Do czego złodzieje mogą ten błąd wykorzystać

Podatność tej klasy w najpopularniejszym systemie mobilnym na świecie umożliwia powszechne infekcje telefonów za pomocą złośliwego oprogramowania. W pierwszej kolejności będą to pewnie różne odmiany ZeuSa lub innych tak zwanych „trojanów bankowych” przeznaczone do kradzieży jednorazowych haseł SMS służących do autoryzacji transakcji w systemach bankowości elektronicznej. Zdalne zainfekowanie telefonu otwiera nowe możliwości działań złodziejom. Przykładowy scenariusz kradzieży mógłby wyglądać tak:

  1. Złodziej za pomocą stacjonarnego konia trojańskiego przechwytuje informacje niezbędne do zalogowania do systemu transakcyjnego ofiary, a następnie:
  2. Infekuje telefon ofiary za pomocą odpowiednio spreparowanej wiadomości MMS,
  3. Dysponując kompletem uwierzytelnienia stacjonarnego i mobilnego loguje się z komputera ofiary do systemu bankowości elektronicznej,
  4. Wykonuje przelew lub modyfikuje numer konta zaufanego odbiorcy,
  5. Jeśli jeszcze nie zrobił przelewu, po upływie pewnego czasu loguje się do systemu bankowości elektronicznej za pomocą trojana na komputerze ofiary, autoryzując przelew SMSem jeśli potrzeba. Ma kontrolę nad telefonem ofiary

Wujek dobra rada

Możliwość zdalnej, nienadzorowanej infekcji najpopularniejszej platformy mobilnej na świecie oznacza, że trzeba inaczej spojrzeć na bezpieczeństwo transakcji w systemach bankowości elektronicznej. Oznacza to także, że rada, której od dawna udzielałem użytkownikom internetowych systemów transakcyjnych jest nadal aktualna.

Brzmi ona:

Do autoryzacji w systemie bankowości elektronicznej korzystaj wyłącznie z bardzo prostego telefonu, który nie służy do niczego innego, a jego numer nie jest znany nikomu poza tobą i bankiem.

Jeśli w szufladzie leży zapomniana Nokia 6310i, to pora ją odkurzyć i wymienić baterię, a do zatwierdzania transakcji zakupić nową kartę SIM z nowym numerem, który do niczego innego nie będzie służył. To może być nawet zarejestrowany prepaid z roczną ważnością konta. Nie będzie problemu z kosztami, gdyż nawet w roamingu odbieranie SMS nie wiąże się z żadnymi opłatami.

Został tylko BlackBerry OS
Poważne luki obserwowaliśmy kilka razy w telefonach Apple’a, w których wystarczyło wysłać SMS (najnowsze zgłoszenie podobnego błędu miało miejsce pod koniec maja 2015r.), a także w starszych smartfonach Nokii z systemem Symbian S60 (był nawet wirus roznoszący się tą drogą, ale nie zyskał dużej popularności, gdyż usługi MMS w Polsce były wtedy mało rozpowszechnione, głównie z racji na koszt tej usługi i kłopotliwą konfigurację punktu dostępu APN). Komercyjny klient SMS/MMS dla Windows Mobile 2003 również miał zbliżoną podatność. Jedynym systemem, który nie miał w swojej historii błędu tego kalibru był BlackBerry OS.

Źródło – npr.org

Bloatware

Zasobożerność aplikacji bywa często porównywana do nadwagi. Coś w tym jest!
Oto moja osobista lista zawodników klasy ciężkiej – aplikacji i systemów, które powinny działać o wiele lepiej, bo obecne zużywają zbyt dużo zasobów, były lub są przeładowane funkcjami. Ogólnie lepiej by było, gdyby były napisane według starszego podejścia, które wymuszało optymalizację wydajnościową kodu.

Więcej »

Dreamliner i obejście problemu

Niejednokrotnie w trakcie eksploatacji jakiegoś rozwiązania ujawniony zostaje bardzo poważny problem, którego wystąpienie można jednak wcześniej przewidzieć i przygotować odpowiednie programy zaradcze. W takim przypadku obejście problemu może być równie skuteczne, co jego ostateczne usunięcie.
Przykładem właśnie takiego działania jest zaproponowana przez Boeinga dyrektywa RIN 2120 – AA64 dotycząca samolotów Boeing 787 Dreamliner. Samolot ten ma skomplikowany system elektryczny (nie korzysta już z energii sprężonego powietrza bleed air pochodzącego ze sprężarek silników), a zatem posiada generatory energii elektrycznej o odpowiednio dużej mocy. Właśnie w oprogramowaniu komputerów sterujących tymi generatorami znajduje się błąd, który przypomina przepełnienie 32 bitowej zmiennej przez wartość licznika taktowanego sto razy na sekundę (przepełnienie nastąpi po 248 dniach). Skutkiem przepełnienia we wszystkich generatorach (zazwyczaj uruchamianych w krótkich odstępach czasu po sobie) jest przejście w tryb awaryjny i utrata zasilania. Taka awaria w locie prawdopodobnie skutkowałoby utratą kontroli nad maszyną. Boeing podjął zatem działanie zaradcze – proponuje wydanie dyrektywy AD (airworthiness directive), która nakazuje okresowe wyłączanie generatorów do czasu wydania nowej wersji oprogramowania. Wyłączenie można z powodzeniem wykonać na ziemi i według informacji Boeinga, we wszystkich Dreamlinerach generatory były wyłączane po 120 dniach w ramach regularnych czynności serwisowych. Czasami najprostsze sposoby są skuteczne.

Wirusik w skrzynce

Często spotykaną drogą infekcji komputera jest spam, dlatego co pewien czas przeglądam zawartość cyfrowych śmieci w poszukiwaniu ciekawych wiadomości, których zadaniem jest zainfekowanie komputera.
Oto jedna z nich – informuje rzekomo o zamrożeniu konta w związku z naruszeniem zasad korzystania z usługi (TOS):

Your account #730591542735 was frozen for violation of our TOS.
Please see attached.

=====
Sheena Forberg
Bui Khac Vinh
425, rue Sherbrooke Est, Montréal, QC H2L 1J9

CANADA
514-892-3833

W załączniku jest plik ZIP zawierający plik wykonywalny Windows o rozszerzeniu .scr. Oczywiście jest to dropper wirusa – badanie za pomocą virustotal.com nie pozostawia wątpliwości.
virustotal
Dropper ten był odpowiednio optymalizowany pod względem wykrywania – z najpopularniejszych antywirusów znają go jedynie AVG, ESET-NOD32 i Kaspersky – a zatem prawdopodobnie przeszedłby przez filtry wielu firm.

Po dokładniejszym badaniu w maszynie wirtualnej okazało się, że instalowany wirus jest jedną z odmian CTB-Lockera, programu, który szyfruje dokumenty użytkownika, a następnie żąda za nie okupu.

CTB Locker

Warto rozważyć wprowadzenie reguł, które usuną z kolejki te wiadomości e-mail, które zawierają pliki wykonywalne Windows zarówno przesyłane bezpośrednio w załączniku (od 2006r. są na to gotowe wyrażenia i sposoby konfiguracji serwera pocztowego qmail), jak i wewnątrz archiwum ZIP. Polecam wprowadzenie takiego filtru w firmie, gdyż plików wykonywalnych od dawna nie wysyła się w załączniku poczty elektronicznej.

Microsoft kopiuje open source

Brzmi to jak zapowiedź strasznego działania, ale tym razem gigant z Redmond wykorzysta coś, co się sprawdziło przez kilka lat i nie jest to kod. Microsoft postanowił w praktyce skopiować model rozwoju znany z jednej z najważniejszych dystrybucji Linuksa – Ubuntu bazującego na Debianie. Ubuntu posiada dwa „wcielenia” – jedno z nich stawia na przetestowany kod, w którym rzadko dodaje się nowe funkcjonalności (jest to wydanie LTS – Long Term Support), a drugie zakłada wprowadzanie nowości technologicznych i szybki rozwój. Tę samą formę zaproponował ostatnio Microsoft w swoim firmowym wydaniu Windows 10: “Long Term Servicing Branch” (odpowiednik funkcjonalny wydań LTS znanych od wersji Ubuntu 6.06) oraz “Current Branch for Business” (odpowiednik funkcjonalny zwykłych wydań o szybkim rozwoju).
Podobnie, jak w Debianie, wersja stabilna (w Debianie stable, w Microsofcie czytaj: komercyjna dla firm) powstanie po testowaniu funkcjonalności przez użytkowników domowych. Z kolei w Ubuntu LTS pozostają starsze wersje aplikacji, dobrze przetestowane, w których usuwa się znalezione błędy – to samo będzie w Windows 10 LTSB.
Ten pomysł mi się podoba – różnicę między wydaniami „szybkimi” a „długoterminowymi” znam dobrze, w praktyce używam do pracy wyłącznie wydań LTS i jeśli będę kupował licencję dla Windows 10, to zakupię wydanie LTSB.

Moje doświadczenia z OS X Yosemite

Co pewien czas testuję różne rozwiązania, w tym najnowsze systemy różnych dostawców. Test Windows 10 preview trwa cały czas i ogólne wrażenia są pozytywne. Nie mogę tego jednak powiedzieć o systemie Apple’a. Zarówno Ubuntu 14.04 z interfejsem MATE (początkowo mnóstwo drobnych błędów, ale ogólnie: działa), jak i Windows 10 Preview (jak wyżej) w porównaniu do OS X są stabilne jak skała i działają o wiele lepiej. Pomijam tutaj moje przyzwyczajenie z interfejsem użytkownika (dock to jest coś tylko dla macochistów) oraz problemy ze sprzętem (przegrzewanie się MBP, zażółcenie ekranu tego egzemplarza). Oto moje główne zarzuty wobec OS X Yosemite.
Więcej »