............ а и повечето антивирусни сканират тези устройства автоматично...за останалите има MCShield3. 

 Здравей. Може би тогава не са го описали коректно, а аз не съм срещал документация  коя AV и какво сканира - и ми направи впечатление това:

 

..Malware scanners cannot access the firmware running on USB devices. .......

  А  мислиш ли че HIPS-а би реагирал в някакъв момент ? Но във всеки случай благодаря.

Редактирано 6 октомври 201411 г. от amat (преглед на промените)

Би трябвало...за достъпа до който и да е firmware, се изисква достъп до ниско ниво най-вероятно с помощта на кернел драйвер...и тогава по-модерните behavior blocker-и или HIPS трябва да се обадят. Така мисля поне. Самите firmware гадини не мисля, че са толкова разпространени "in the wild" в момента...нивото им изисква познание до "машинните езици", а това не е по-силите на всички. Да не говорим за maintenance на гадината после...не случайно, дори BlackEnergy Lite бе доста опростен и вече дори не използва рууткит драйвер...

 

http://www.eset.com/bg/about/blog/article/blackenergy/

HIPS-а би засякъл само евентуалния резултат при изпълнението на malicious фърмуера върху флашката (основно симулиране на натискане на клавиши, което е метода, използван при концепцията зад BadUSB за придобиване на контрол над машината и изпълняване на arbitrary commands, тъй като с descriptor флашката се представя като USB клавиатура), но в никакъв случай не би бил способен да разбере, че дадената plug-ната флашка е с различен от фабричният, зловреден фърмуеър на такова изолирано ниво. Просто последният работи върху флашката като отделен unit, и не се интересува от комуникация с kernel драйвери на OS и прочие. USB контролерът на host машината се грижи за това, не е работа на флашката. Нейната работа се изчерпва до това да подава организирано данни по USB шината (и да си изпрати там в началото descriptor-а, за да заяви на OS какви функционалности съчетава в себе си, за да знае как да я третира - примерно една уебкамера ще каже, че има Video и Audio входни данни, и OS ще я третира като мултимедийно USB устройство, осигуряващо някакъв input), за което разбира се е нужен някакъв софтуер (фърмуера и) и елементарен процесор с подбран за елементарните нужди минимален set от поддържани инструкции (в повечето флашки, печалният вече Intel 8051).

Аз си поиграх малко с кода на Adam Caudill, и успях безпроблемно да препрограмирам няколко евтини флашки (random контролери) за които намерих burner image из мрежата с dump на оригиналния фърмуеър + ембеднат зловреден код от примерните в Git repo-то, и работи точно по начина по който се очаква. Крайно плашещо.

Иначе с release-натия от Adam и там другия рисърчър софтуер (който е за Window$ дори), нещата вече са далеч от машинен код, и може да си направиш BadUSB флашка с copy-paste на команди в cmd...

Редактирано 8 октомври 201411 г. от programings (преглед на промените)

HIPS-а би засякъл само евентуалния резултат при изпълнението на malicious фърмуера върху флашката (основно симулиране на натискане на клавиши, което е метода, използван при концепцията зад BadUSB за придобиване на контрол над машината и изпълняване на arbitrary commands, тъй като с descriptor флашката се представя като USB клавиатура), но в никакъв случай не би бил способен да разбере, че дадената plug-ната флашка е с различен от фабричният, зловреден фърмуеър на такова изолирано ниво. Просто последният работи върху флашката като отделен unit, и не се интересува от комуникация с kernel драйвери на OS и прочие. USB контролерът на host машината се грижи за това, не е работа на флашката. Нейната работа се изчерпва до това да подава организирано данни по USB шината (и да си изпрати там в началото descriptor-а, за да заяви на OS какви функционалности съчетава в себе си, за да знае как да я третира - примерно една уебкамера ще каже, че има Video и Audio входни данни, и OS ще я третира като мултимедийно USB устройство, осигуряващо някакъв input), за което разбира се е нужен някакъв софтуер (фърмуера и) и елементарен процесор с подбран за елементарните нужди минимален set от поддържани инструкции (в повечето флашки, печалният вече Intel 8051).

Аз си поиграх малко с кода на Adam Caudill, и успях безпроблемно да препрограмирам няколко евтини флашки (random контролери) за които намерих burner image из мрежата с dump на оригиналния фърмуеър + ембеднат зловреден код от примерните в Git repo-то, и работи точно по начина по който се очаква. Крайно плашещо.

Иначе с release-натия от Adam и там другия рисърчър софтуер (който е за Window$ дори), нещата вече са далеч от машинен код, и може да си направиш BadUSB флашка с copy-paste на команди в cmd...

 

И какво като флашката е със зловреден фърмуер и на такова изолирано ниво , отделно unit , комуникация с kernel драйвери. Единствено разбрах че искаш да покажеш колко разбираш от машинен език и владееш къде къде по-висши методи за контрол над операционната система от ХИПС програмите , защото си хакер.

Голяма работа като тази невероятна флашка с този невероятно зловреден фърмуер и която не се интересува от kernel драйвери , тази флашка ще заобиколи ХИПС защитата само ако и ти си седнал зад компютъра който искаш да бъде компрометиран. Дори тази флашка да бъде програмирана да стартира зловредно приложение , то това приложение ще трябва да комуникира с ОС демек поне с kernel драйвери и тогава увисва защото идва ред на ХИПС защитата. Та искам да ти кажа че тази невероятно зловредна флашка сама по себе си няма шанс срещу ХИПС защитните програми и не става за отдалечен контрол на операционна система.

Редактирано 9 октомври 201411 г. от rewq (преглед на промените)

И какво като флашката е със зловреден фърмуер и на такова изолирано ниво , отделно unit , комуникация с kernel драйвери. Единствено разбрах че искаш да покажеш колко разбираш от машинен език и владееш къде къде по-висши методи за контрол над операционната система от ХИПС програмите , защото си хакер.

Голяма работа като тази невероятна флашка с този невероятно зловреден фърмуер и която не се интересува от kernel драйвери , тази флашка ще заобиколи ХИПС защитата само ако и ти си седнал зад компютъра който искаш да бъде компрометиран. Дори тази флашка да бъде програмирана да стартира зловредно приложение , то това приложение ще трябва да комуникира с ОС демек поне с kernel драйвери и тогава увисва защото идва ред на ХИПС защитата. Та искам да ти кажа че тази невероятно зловредна флашка сама по себе си няма шанс срещу ХИПС защитните програми и не става за отдалечен контрол на операционна система.

Зависи от HIPS-а. Когато фърмуера е модифициран и със сменен дескриптор, за компютъра ти не включваш флашка, а клавиатура, която изпраща някаква поредица от клавиши.

Ако HIPS-а е програмиран да "познава" поведението на BadUSB, като например да съобрази скоростта с която се изпращат клавишите, чак тогава може да вдигне тревога. Иначе поведението изглежда напълно легитимно - все едно да се задейства, докато си писал по-горното.

Не е нужно този, създал флашката да е зад машината. Защо да е нужно?

Нали се досещаш, че флашката може да стартира и експлойт (експлоатирайки примерно EoP уязвимост, с цел да се добере до kernel land-а) който да работи на по-долно ниво от HIPS, и тогава въпросният е безсилен.

http://en.wikipedia.org/wiki/Protection_ring

Goal-а тук е не дали стартираното ще навреди (защото ако можем да си стартираме случайни неща, рано или късно ще счупим каквото и да е било security), а че въобще по заобиколен, бекграунд начин, можем да стартираме нещо.

Редактирано 9 октомври 201411 г. от programings (преглед на промените)

Аз не говоря, че HIPS-a ще направи разлика между хакнат и оригинален firmware, но не би трябвало да допусне изобщо той да бъде хакнат, защото за целта обикновено се презаписва firmware-a на съответното устройство, а там няма как HIPS-a да мълчи, защото за целта поне при БИОС-а се използва драйвърче...четох доста за mebroni и подобните:

 

it just needs to load its own kernel mode driver which will handle the BIOS infection. To do so, it uses two methods: it could either extract and load the flash.dll library which will load the bios.sys driver, or it stops the beep.sys service key, overwriting the beep.sys driver with its own bios.sys code, restart the service key and restore the original beep.sys code.

 

Като говорим за HIPS, Comodo има едно предимство...добавянето на много интересни правила като \Device\KsecDD, \Global??\FltMgrMsg, ?:\*, цели групи от изпълними файлове, защитени регистри, com интерфейси и т.н. Сега ако се използва някоя нова и непачната уязвимост, както бе при Stuxnet може и да не се обади (макар версия 3 на Comodo с подходящите настройки да се справяше и с това, но на цената на тонове съобщения при които използването на ОС за нормална работа граничише с невъзможното).

 

Друг използвам от гадините метод е да презапишат MBR-то, но и тогава HIPS-а ще се обади заради Direct Disk Access...

Зависи от HIPS-а. Когато фърмуера е модифициран и със сменен дескриптор, за компютъра ти не включваш флашка, а клавиатура, която изпраща някаква поредица от клавиши.

Ако HIPS-а е програмиран да "познава" поведението на BadUSB, като например да съобрази скоростта с която се изпращат клавишите, чак тогава може да вдигне тревога. Иначе поведението изглежда напълно легитимно - все едно да се задейства, докато си писал по-горното.

Не е нужно този, създал флашката да е зад машината. Защо да е нужно?

Нали се досещаш, че флашката може да стартира и експлойт (експлоатирайки примерно EoP уязвимост, с цел да се добере до kernel land-а) който да работи на по-долно ниво от HIPS, и тогава въпросният е безсилен.

 

 

Ами както съм ти и отговорил от цялата схема тази флашка единствено може да стартира експлойт , демек зловреден код / вирус който разбира се ХИПС-а ще го разпознае като недоверено приложение и играта приключва. Та целия напън на въпросния гений създал тази невероятна флашка е равно на нула  

Аз не говоря, че HIPS-a ще направи разлика между хакнат и оригинален firmware, но не би трябвало да допусне изобщо той да бъде хакнат, защото за целта обикновено се презаписва firmware-a на съответното устройство, а там няма как HIPS-a да мълчи, защото за целта поне при БИОС-а се използва драйвърче...четох доста за mebroni и подобните:

Като говорим за HIPS, Comodo има едно предимство...добавянето на много интересни правила като \Device\KsecDD, \Global??\FltMgrMsg, ?:\*, цели групи от изпълними файлове, защитени регистри, com интерфейси и т.н. Сега ако се използва някоя нова и непачната уязвимост, както бе при Stuxnet може и да не се обади (макар версия 3 на Comodo с подходящите настройки да се справяше и с това, но на цената на тонове съобщения при които използването на ОС за нормална работа граничише с невъзможното).

Друг използвам от гадините метод е да презапишат MBR-то, но и тогава HIPS-а ще се обади заради Direct Disk Access...

Разбира се, че се използва драйвер, но хакера ще си я направи цялата процедура по подготовка на флашката на своя машина без HIPS-ове и какъвто и да е било антивирусен софтуер, и след това действа.

Вече ако на машината-жертва има up-to-date свестен HIPS... трябва да тествам, не мога да говоря така.

Редактирано 9 октомври 201411 г. от programings (преглед на промените)

Разбира се, че се използва драйвер, но хакера ще си я направи цялата процедура по подготовка на флашката на своя машина без HIPS-ове и какъвто и да е било антивирусен софтуер, и след това действа.

Вече ако на машината-жертва има up-to-date свестен HIPS... трябва да тествам, не мога да говоря така.

 

Никой не е писал , че подготовката на флашката трябва да е на атакувания компютър , естествено че хакера ( би трябвало , щото може и да е тъп ) ще е подготвил всичко предварително на друг компютър.

Разбира се, че се използва драйвер, но хакера ще си я направи цялата процедура по подготовка на флашката на своя машина без HIPS-ове и какъвто и да е било антивирусен софтуер, и след това действа.

Вече ако на машината-жертва има up-to-date свестен HIPS... трябва да тествам, не мога да говоря така.

 

Е то тогава остават два варианта:

 

1. Някой да има физически достъп за да постави "хакнатата" флашка.

2. Да има вътрешен човек в някои производствен цех и да почнат да ги продават така без производителя да знае...вече се е случвало с редица твърди дискове в миналото...но и това като придобие масовост се открива по-лесно...подобно е и при рууткитите. Ако е написан за конретната система тя ще бъде лесна мишена. Щом придобие популярност и особено щом изпадне дропър от някъде и след това след reverse лесно се прави и тулче за премахването му.

Е то тогава остават два варианта:

1. Някой да има физически достъп за да постави "хакнатата" флашка.

2. Да има вътрешен човек в някои производствен цех и да почнат да ги продават така без производителя да знае...вече се е случвало с редица твърди дискове в миналото...но и това като придобие масовост се открива по-лесно...подобно е и при рууткитите. Ако е написан за конретната система тя ще бъде лесна мишена. Щом придобие популярност и особено щом изпадне дропър от някъде и след това след reverse лесно се прави и тулче за премахването му.

Класически пример за територията на България (и други страни от третия свят): отиваш в кварталната "книжарница" (където книги отдавна няма, но може да си купиш анцунг и CD на Азис) / копирен център, и си носиш на флашка това, което желаеш да ти разпечатат... ама флашката не е обикновена, а машината е античен калкулатор с XP, дори без активен антивирусен щит заради ограничената RAM, какво остава за HIPS... Pwned.

Редактирано 11 октомври 201411 г. от programings (преглед на промените)

Добър пример, но граничи с границата на малко вероятното. Прекалено много "АКО" има в примера. Толкова напреднала твар да попадне на случайна машина, тя да действа като активно ядро за инфекцията (да приемем, че си свърши работата и презапише firmware-a на флашката, която не ръгам къде да е), след като се прибера и я поставя в машината, тук вече ако не HIPS-а, то поне стената ще се обади за изходящи заявки от поне DeviceDisplayObjectProvider.exe (които дори да са могат да се извършат и при легитимни операции, поне аз съм забранил). Всеки може да бъде Pwned, но тук вече говорим и за култура на потребителя и ниво на бдителност (без това да граничи с параноята непременно).

2. Да има вътрешен човек в някои производствен цех...

Вече не е явление точно прозводители на хардуер да продават заразени устройства

Класически пример за територията на България (и други страни от третия свят): отиваш в кварталната "книжарница" (където книги отдавна няма, но може да си купиш анцунг и CD на Азис) / копирен център, и си носиш на флашка това, което желаеш да ти разпечатат... ама флашката не е обикновена, а машината е античен калкулатор с XP, дори без активен антивирусен щит заради ограничената RAM, какво остава за HIPS... Pwned.

 

Малиии , да знаеш че в подобен вид компютри има  много ценна информация   Да не говорим че подобен вид компютри са ги компрометирали други флашки много преди тебе и едва ли е останало много от нищото И не на последно място ще докарат скъпоценната ти флашка до форматиране от живущите в компютъра Virut и Sality

Windows 10 шпионира всяко ваше действие?

 

От Microsoft не отричат, че системата е снабдена с инструменти, следящи активността на ползващите я.

Както вече сте разбрали - Microsoft пуснаха достъпна демо версия на бъдещата им операционна система, носеща името Windows 10. Така всеки желаещ да тества системата може да се сдобие с нея безплатно и да се запознае със способностите й. Оказва се обаче, че и Майкрософт се запознават с всеки тестващ Windows 10. В договора за конфиденциалност софтуерният гигант е упоменал, че си оставя правото да събира всякаква информация за потребителя, неговото устройство, приложенията, които използва, историята на търсенето, интересите му, телефонните обаждания и SMS, конфигурацията и различните сензори. Но това не е всичко. В демо версията на Windows 10 е включен и шпионски софтуер тип "кейлогър", който отчита и записва всяко натискане на бутон от клавиатурата. Това определено трябва да се вземе под внимание от потребителите особено ако възнамеряват да използват някои техни пароли за "значими" сайтове или приложения. Разбира се, едва ли са много потребителите, които дочитат докарай договора за конфиденциалност, и така да са наясно с тези неща още преди инсталиране на системата. От чисто законова гледна точка обаче от Microsoft не извършват нарушение, защото са поставили нужното предупреждение. От компанията обясняват нуждата от подобен шпионаж с факта, че въпросната демонстрационна версия на бъдещата операционна система е предназначена най-вече за масово тестване. Така за усъвършенстването на 10 всяка информация за потребителите, които я използват и техните действия би била полезна. Момчетата от Редмънд се опитват да успокоят потребителите като гарантират, че предаването на всички събрани данни става чрез кодиран канал. Също така, достъпът на сътрудниците на Microsoft до него е строго ограничен, каквото и да означава по-конкретно това.
Може ли да се има доверие и да повярваме на Microsoft, че цялата информация за изпробващите Windows 10 е защитена и недостъпна за злонамерени действия?

 

 

Инженере , продължавай да си вярваш че като не ползваш УСА защитна програма не знаят какво правиш

Вече не е явление точно прозводители на хардуер да продават заразени устройства

Някъде из руските сайтове, гледах едно предаване. Говореха, за това че самите производители на компютри, поставят 'бръмбари'. Някакви чипове, дето записват всичко за определно време. И може ли, да се активират, при желание на американските служби. В рутери също. Но, май само на техника проиведена в САЩ. Като се замисли човек, не е толкова невероятно това. И практически, е възможно за изпълнение.

Някъде из руските сайтове, гледах едно предаване. Говореха, за това че самите производители на компютри, поставят 'бръмбари'. Някакви чипове, дето записват всичко за определно време. И може ли, да се активират, при желание на американските служби. В рутери също. Но, май само на техника проиведена в САЩ. Като се замисли човек, не е толкова невероятно това. И практически, е възможно за изпълнение.

https://www.gdatasoftware.com/newsroom/news/article/android-smartphone-shipped-with-spyware.html

Редактирано 13 октомври 201411 г. от belivakov (преглед на промените)

https://www.blackhat.com/docs/eu-14/materials/eu-14-Selvi-Bypassing-HTTP-Strict-Transport-Security-wp.pdf

Изключително проста и интересна атака върху HSTS протокола, гарантиращ сигурната over-SSL/TLS комуникация чрез хедър, който се връща от сървъра към клиента при положение, че последният поддържа HTTPS, и държи да информира клиента, че от този момент нататък, всички заявки към него трябва да стават само и единствено през HTTPS. При пристигане на отговора към клиента, браузърът вижда този хедър, и записва entry в една таблица, че за този хост, за времето, което е зададено с max-age параметър на HSTS хедъра, комуникацията трябва да става само през HTTPS, а не през plain HTTP. Тоест, дори и клиента да напише http://site, оттук нататък, браузърът ще прави заявки до site само с HTTPS.

Атаката по-горе използва Network Time Protocol, и чрез спууфнати отговори се разчита компютъра на жертвата да бъде пратен в бъдещето, като съответно стойността в max-age параметъра отдавна е изтекла. Това ще накара жертвата евентуално отново да направи заявка през HTTP, като вече в този момент тази заявка е в plain вид, и не е енкапсулирана в TLS/SSL сесия, което позволява на атакуващият, ако е man-in-the-middle например, при връщане на отговор от сървъра да strip-не HSTS хедъра, и жертвата никога да не разбере, че трябва да комуникира с даденият сайт само през HTTPS.

При това положение, защо атакуващият не strip-не HSTS хедъра още в началото, при първата заявка през HTTP на жертвата?

Ами защото в този момент може да не е бил MiTM, и трафикът на жертвата да не е минавал през него. Може да е станал MiTM в по-късен етап, когато вече браузърът е получил HSTS хедъра, и праща данните само криптирано, в TLS/SSL лейър, съответно няма абсолютно никакъв начин атакуващият да види с неща като SSLStrip какво има вътре в тази сесия.

Когато се използва по-горната атака, просто се форсира стойността на max-age-а да изтече, и евентуално вече mitm-ващият атакуващ да хване HTTP заявката на жертвата.

Защо въобще е нужна тази атака, не може ли да изчакаме да изтече ей така?

Не. Сървъра периодично праща нов HSTS хедър с нарастващ max-age, който презаписва старият, вси още неизтекъл.

Много ли е опасно?

Браузърите отдавна имат hardcode-нати едни списъци наречени HSTS Preloaded lists - листи със статично зададени сайтове (популярни, като Фейсбоклук и Гугъл) за които е сигурно, че поддържат HTTPS, и още на клиентско ниво, ако потребителят не напише име на протокол пред сайта или напише http://, браузърът си знае, че ще прави заявката само през https://.

Ей ги в кода на Chrome (лисицата, както се очаква, откакто си продадоха задкулисно г*за на Google, ползват същите листи):

http://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json

Лошото е, че с тези листи се имитира поведението на получен хедър, но всички entry-та се задават още при стартирането на браузъра в дадената таблица, съответно пак си имат max-age, и се разчита, че като браузъра почне да комуникира със сайта, той ще си го подновява този max-age.

По този причина - да, опасно е.

Дискусията по темата в oss-security мейл листата: http://www.openwall.com/lists/oss-security/2014/10/16/6

Редактирано 17 октомври 201411 г. от programings (преглед на промените)

Новият Аваст открива и уязвими рутери:

http://blog.avast.com/2014/10/22/avast-2015-protection-expands-to-include-your-home-router/

Новият Аваст открива и уязвими рутери:

http://blog.avast.com/2014/10/22/avast-2015-protection-expands-to-include-your-home-router/

 

Аваст-а сериозно закъса, след като изкара това недоразумение 8-а версия. Явно сега се чудят как да върнат рейтинга и детекцията. Ако погледнеш тестовете на AVC, ще забележиш, че сериозният спад на Аваст, започва малко след излизането на 8-а версия....и вече програмата е във втората половина на класациите!

Новият Аваст открива и уязвими рутери:

http://blog.avast.com/2014/10/22/avast-2015-protection-expands-to-include-your-home-router/

 

Ама и шпионира   

http://www.howtogeek.com/199829/avast-antivirus-was-spying-on-you-with-adware-until-this-week/

Ама и шпионира   

http://www.howtogeek.com/199829/avast-antivirus-was-spying-on-you-with-adware-until-this-week/

То да са само те... 

То да са само те... 

 

Хората са загрижени нищо повече 

 

SafePrice is a part of the avast! Online Security browser extension. The purpose of this feature is to help you find the best offers among participating trusted shops and to notify you about cheaper offers by displaying a small bar on the top of your browser. This ensures that you do business with trusted vendor sites, and save time by having better offers on products presented to you, rather than searching for them manually.

 

81% от потребителите на Tor може да бъдат де-анонимизирани!

 

http://thestack.com/chakravarty-tor-traffic-analysis-141114

Описание на APT (advanced persistent threat) заплахата, с която са атакувани Сони Пикчърс: https://www.us-cert.gov/ncas/alerts/TA14-353A(и разбира се в секцията с новини - на бг). Макар и интересно, то ще е още по-интересно да разкрият откъде е тръгнала атаката. Аз залагам на кражба на паролата на някой админ. Тея обаче верно не са случили с кой да се занасят. Е, вече ще знаят... вероятно.

 

 

И доста странно... казват им: "Всеки може да е." Не, Северна Корея е... Може и те да са, но спокойно може да имитират, че атаката е оттам.

Редактирано 21 декември 201411 г. от Методи Дамянов (преглед на промените)