12
-
willcox #12 Nem igazán vagyok biztos abban, hogy amiket leírsz, az _valóban_ úgy is van.
Egyébként meg, akinek vaj van a fején, az sok egyéb trükköt használhat. Pl.: soha nem a saját gépét használja, hanem pl. internet kávézóból, bevásárló központokban a kiállított gépekről, stb. internetezik. Másik lehetőség: minden bekapcsolás után visszatölti a szűz rendszerét. És persze megfelelő tűzfalat kell használni.
Nagyobb ennek az egésznek a füstje, mint a lángja. Ha valaki nagyon nem akarja, hogy megfigyeljék, akkor megtalálja a módját arra, hogy semmiféle trójaival vagy egyébbel ne tudják megfigyelni.
PS: a 90-es években azzal hülyítették a népet, hogy akár messziről is láthatóvá tudják tenni a képernyőtartalmat, a billentyűk hangjából tudják, hogy mit gépelnek, stb. Csomó álmodozó félművelt ijesztgette már akkor is a népet. Csak amikor bizonyítani kellett volna, akkor kiderült, hogy korántsem úgy van, ahogy azt állítják. -
kvp #11 "Nem lenne egyszerűbb inkább azt mondani"
Nem, az osszes hibat probaljak kikuszobolni. Hatso kapu pedig nincs rajtuk, csak a rendszerfrissitesek alairo kulcsai ismertek az usa es a nato vezetese elott. De ez soha nem volt titok, mar a 90-es evekben is igy volt.
"mi van ha naponta frissítem a böngészőmet, vagy tkp. alapba be van kapcsolva a mostanában elég divatos automata böngészőfrissítés, amelyek rendre hash ,
aláírási verifikációt alkalmaznak és ált. ssl-en keresztül töltődnek le?"
Az elso letoltott oldal utan kiderul az uj verzio. Az automata frissites pedig garantalja, hogy mindig a legfrissebb, 0 day-es exploit-ok legyenek fent.
"- mi van ha egyáltalán nincs semmilyen ekszploit a rendszeremen, mert frissen- tartott nincsenek nyitott portok, esetleg egy routert használok, és/vagy tűzfalat is?"
Akkor jo esellyel nincs a gepen bongeszo sem, mert az exploit a kihasznalhato bug-okat jelenti a normal szoftverekben. (nezz utanna mint is jelent pontosan)
"mi van ha TOR-t vagy egyéb anonim hálózatot (i2p) használok és a szolgáltatómnak semmi beleszólása a RONCCSÁ titkosított adatfolyamba, nemhogy beletenni nem tud semmit de nem is láthatja azt?"
Tipikusan a tor exit point-ok jo resze tartalmaz ilyen proxy-kat, mivel a tor halozat jo resze kormanyzati megfigyeles alatt van, a masik felet pedig egy 'nevtelen' hacker csoport hasznalja arra, hogy a rosszindulatu, de amugy bena hacker-ektol lopjanak adatokat. (pl. a kinai ipari es katonai kemektol egesz erdekes dolgokat lehet beszerezni, mivel ok is tor-t hasznalnak :-) )
"elég egyetlen szűrést , egy nyamvadt if-et berakni a böngésző kódjába , máris nem fut le, az ami nem PNG"
Ugye tudod (valoszinuleg nem), hogy az exploit nem egy exe file, hanem egy serultnek tuno adat, ami hibas mukodesre keszteti az azt feldolgozo programot. Pl. gyakran egy hibasan letoltodott kepnek vagy java script hibanak tunik, pedig valojaban ott volt a kep vagy az oldal kozepen a tamado adat. (nem kod, mivel az exploit-ok joreszt adatok, amik kodkent viselkednek, de valojaban tobbnyire nem kell oket kozvetlenul vegrehajtani) A legjobb exploit-ok olyanok, hogy nem szall el toluk a program, tehat pl. hibatlanul betolt a kep, csak egy picivel tobbet kerreg a merevlemez mint szokott. Kozben a kep kozepen/vegen ott volt a tamadasra szolgalo adat es a hatterben mar jon is le a tenyleges kartekony kod. Mindezt ugy, hogy a rendszer mukodeset nem rontja jelentos mertekben. (lopakodo programok eseten ez alap elvaras) -
nextman #9 Exploit mindig van. Max nem szeles korben ismert. -
kvp #7 "Hozzám hogyan juttatnál be ilyesmit?"
Megneznem a bongeszod tipusat es az altalad latogatott oldalakat (passziv adatgyujtes). Keresnek egy exploit-ot az adott bongeszohoz (ez lehet linux-os is) es a szolgaltatonal egy transzparens proxy-t berakva (pl. zorp) az egyik gyakran latogatott url-t elteritenem, azaz a keres helyett a proxy valaszolna az injektalando koddot tartalamazo payload-dal. (ez mozilla eseten lehet akar egy sima, de trukkos html oldal is) A bongeszo azt hiszi weboldalt kapott, elkezdi feldolgozni, lefut az exploit, megy be virus, az meg huzza be a trojait... Az a jo, hogy ez linux-on is mukodik, sot sok orosz csapat szakosodott ilyen exploit kezelo programok keszitesere. (a bunozok tobbnyire nem teritik el az oldalakat, hanem hamis keresesi talalatokkal csaljak oda az embereket) A biztos megoldas tenyleg a kabel kihuzasa, vagy a kritptografiai vedelem minden tcp kapcsolat eseten. Persze akkor meg a kripto library tamadhato hasonlo modszerrel...
Egyebkent pl. az sg.hu-n a kep alapu exploit-ot erre a kepre erdemes rarakni:
http://www.sg.hu/images/minusz.png, mivel senkinek nem tunik fel ha veletlenul nincs ott, de az alap domain resze es a png dekodolo szinte mindenutt eleg lyukas. De ez csak egy pelda... -
#6 Húzd ki a netkábelt. -
willcox #5 Ez igaz lehet msie esetén. De ha valaki nem azt használ? Meg mi van akkor, ha pl. a hirdetések blokkolva vannak, vagy ha az ember nem megy soha arra az oldalra, ahonnan az ilyen kártevőket össze lehet szedni? Tudsz olyan megoldást, ami minden esetben igaz?
Nálam pl. a hirdetések blokkolva vannak, a statisztikai oldalak és társaik hosts szinten vannak kilőve, használok noscript-et, és nem msie-t használok. Nem vagyok rajta egyetlen közösségi oldalon sem, ismeretlentől nem fogadok levelet, csatolt állományt is tartalmazó, ismerőstől kapott levelet is csak akkor nyitok meg, ha az előző levelében jelezte az ismerős, hogy a következő levele csatolmányt fog tartalmazni. Hozzám hogyan juttatnál be ilyesmit? -
vision5 #3 Ne használjunk windowst. Ennyi a megolás. -
kvp #2 Kezdetben elkuldtek sima spam email-kent, de volt ra pelda, hogy http injection-nel, tehat mondjuk az illeto lekeri az www.sg.hu-t es az egyik hirdetesi jpeg helyett egy elteritett dns-bejegyzes miatt kap egy virusos jpeg-et, ami a passziv megfigyelesbol ismert tipusu bongeszoben okoz egy buffer tulcsordulast, ezaltal kirakva a letolto programot, ami lehuzza es felrakja a teljes trojait. Innentol zombi a gep es szabadon iranyithato. Sok orosz mukodtetesu oldal is ezt a trukkot hasznalja. -
willcox #1 Nevetséges. Ahhoz, hogy egy ilyen trójai az elvárásoknak megfelelően működjön, ahhoz a delikvens gépére/gépeire kell juttatni azt. Ha nincs a gépén/gépein, akkor az annyi, mint halottnak a beöntés. Egyáltalán hogyan juttatják a megfigyelendő gépére?
Nem más ez, mint sima ijesztgetés.