 |
Кто на сайте |
 |
|
 |
Человек на сайте: 6 |
|
|
|
|
|
Группы угрозы и их предупреждение |
|
|
|
Группы угрозы и их предупреждение
Мудрецы заявляют: "Знай собственного врага в лицо". Мы также последуем этому совету и, прежде нежели продолжить беседу, разберемся, какие виды угрозы нас станут стеречь при применении WebMoney, и каковы единые советы по их предупреждению.
Генераторы WM
Практически у любого юзера WebMoney когда бы то нибыло встает вопрос: а возможно ли взломать WebMoney Keeper? В поисках ответа он считает в Сети сотни интернет-страничек, предлагающих прикупить программы-взломщики. От услуг звездит в глазах: 1 программа день за днем "генерит" на бумажник 50 WMZ, иная разрешает при отправке WM дурачить систему и оставлять наличные средства на кошельке-отправителе, третья проникает в информационную базу WebMoney и изменяет там необходимую сумму средств на кошельке юзера. Есть и прочие варианты, самые различные. Разработчики этих программ - трогательные альтруисты. Они не сохраняют собственные сенсационные исследования в секрете и готовы сбыть их всем хотящим дословно за некоторое количество WMZ (а какие-либо в том числе и распространяют даром :) А создатели WebMoney, еще бы, ничего не обращают внимание, покуда юзеры на радостях "генерят" WM на собственных кошельках. |
|
| Читать дальше |
|
|
|
Атака на QIP: низкоуровневое исследование популярного интернет-пейджера |
|
|
|
"Топовые" программные продукты, распространяемые на бесплатной основе, зачастую пользуются такой популярностью, что пользователи доверяют их авторам всецело, совершенно забывая о собственной безопасности. Чтобы разрушить весьма распространенный миф о том, что "популярно - значит надежно", мы займемся исследованием раскрученного на территории СНГ интернет-пейджера QIP.
Пробиваем "непробиваемую" броню
В одном из выпусков рубрики "Easyhack" я рассказывал, как модифицировать QIP так, чтобы он выдавал введенный пароль при помощи использования MessageBoxA. Естественно, я не стал раскрывать все карты сразу и описывать обход защитных механизмов – исключительно для того, чтобы разработчики залатали дыры, а хакеры не использовали информацию в корыстных целях, для создания "нового релиза" QIP с функцией воровства аккаунтов.
Прошло достаточно времени, и я решил углубиться в увлекательную исследовательскую работу. Вместе с тобой мы попробуем пропатчить qip.exe таким образом, чтобы он записывал введенные пользователем пароли в файл.
Все действия будем выполнять при помощи, я думаю, хорошо уже известного тебе отладчика OllyDbg. Итак, вооружаемся отладчиком, релизом QIP и погружаемся в работу.
Открываем файл под отладчиком. Если ты помнишь, я уже исследовал QIP и выяснил, что существует некоторая защита от модификации исполняемого файла. Продемонстрировать наличие некоторой функции, проверяющей целостность файла, довольно легко: замени какую - либо инструкцию в середине кода программы на nop и попробуй запустить программу. Вместо привычного окна авторизации появится сообщение о том, что файл поврежден. Попробуем излечить нашего "пациента" от этой "болезни" :).
Прежде всего, чтобы интернет-пейджер "принял" добавляемый нами в PE-файл код (а мы его, безусловно, добавим) в качестве своего собственного, необходимо отключить защитные механизмы. После недолгой трассировки кода измененного файла я выяснил, "где собака зарыта": по адресу 068F4BA располагается процедура проверки целостности PE-файла. Она портит нам настроение, поэтому рекомендую ее исследовать. Пошаговое выполнение программы доводит нас до любопытного места:
0048023F . 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
00480242 . 807D FB 00 CMP BYTE PTR SS:[EBP-5],0
00480246 74 0F JE SHORT qip_modi.00480257
00480248 E8 B740F8FF CALL qip_modi.00404304
Мы не знаем, что именно проверяет доблестный интернет-пейджер внутри вызываемой функции, да это для нас и не столь важно. Ставим точку останова на 00480246 и до умопомрачения жмем на . Программа запустится и выдаст безрадостное окошко: файл поврежден.
Методом "научного тыка" я выяснил, что если четыре раза нажать на во время прерывания на точке останова, а перед пятым нажатием – занопить вызов "CALL 00404304", программа запустится (при условии, что после пятого прохода мы снова восстановим вызов при помощи команды контекстного меню "Undo Selection"). В отладчике все просто – заменяем вызов на nop после четырех нажатий на . Затем снова жмем , щелкаем правой кнопкой по вызову, выбираем "Undo Selection", убираем точку останова и запускаем программу на исполнение.
Но как пропатчить код, чтобы он "знал", когда защитная процедура вызывается в четвертый раз? Писать огромные проверки со счетчиками запуска - сложно и долго. |
|
| Читать дальше |
|
|
|
Cisco пропатчила DoS-уязвимость |
|
|
|
Фирма Cisco выпустила обновление, призванное закрыть уязвимость в ряде роутеров и свитчей компании.
В Cisco сообщили, что закрытая дыра могла позволить атакующему провести атаку, приводящую к отказу в обслуживании. Данной уязвимости были, в частности, подвержены свитчи линейки Catalyst 6500 и роутеры серии 7600.
Источник неприятностей кроется в программном компоненте Cisco Firewall Services Module. Посылая особым образом составленные пакеты ICMP, злоумышленник имеет возможность заставить ПО перестать пропускать данные и вызвать таким образом сбой в работе устройства.
Несмотря на то, что информации об активном использовании уязвимости пока нет, компания Cisco рекомендует пользователям загрузить и установить предоставленное ею бесплатное обновление. Получить его можно как напрямую с сайта компании, так и через сторонние партнерские организации.
Обновление от Cisco добавляет эту фирму в длинный перечень вендоров, уже успевших выпустить в текущем месяце заплатки для своих программных продуктов. Среди самых свежих примеров - патч Adobe для ColdFusion и JRun и выпущенный на прошлой неделе ежемесячный комплект заплаток от Microsoft, предназначенный для устранения девятнадцати дыр.
|
|
| |
|
|
|
Skype: скрытая угроза |
|
|
|
Skype представляет собой одну из самых популярных VoIP-программ, установленную на миллионах компьютеров по всему миру, владельцы которых даже и не подозревают, какая опасность им грозит. А опасность им грозит весьма серьезная: от утечки конфиденциальной информации до проникновения червей и попадания на трафик, не говоря уже о таких мелочах, как нежелание Skype работать при активном SoftICE. Я все это благополучно разгрыз и теперь выставляю продукты своей жизнедеятельности на всеобщее обозрение :).
Skype, созданный отцами-основателями скандально известной Kazaa и унаследовавший от своей прародительницы самые худшие ее черты, работает по принципу самоорганизующейся распределенной пиринговой сети (distributed self-organized peer-to-peer network, P2P). Skype – это черный ящик с многоуровневой системой шифрования, напичканного антиотладочными приемами исполняемого файла, считывающий с компьютера конфиденциальную информацию и передающий ее в сеть по закрытому протоколу. Последний обходит брандмауэры и сурово маскирует свой трафик, препятствуя его блокированию. Все это превращает Skype в идеального переносчика вирусов, червей и дронов, создающих свои собственные распределенные сети внутри Skype-сети. К тому же, Skype довольно бесцеремонно обращается с ресурсами твоего узла, используя его для поддержания связи между остальными узлами Skype-сети, напрягая ЦП и генерируя мощный поток трафика. А трафик, как известно, редко бывает бесплатным (особенно в России), так что кажущаяся бесплатность звонков весьма условна: за узлы с «тонкими» каналами расплачиваются «толстые» владельцы. |
|
| Читать дальше |
|
|
|
Классика проникновения: от инъекции к админскому доступу по RDP |
|
|
|
Любой взлом преследует цель, которая определяет его ценность. Задефейсить сайт для латентных любителей клубнички или поиметь очередной рутовый шелл – решать тебе. Реалии таковы, что любая уязвимость в web-приложении таит угрозу для сервера. И если ты не ограничиваешься банальными и уже слегка поднадоевшими SQL-инъекциями – статья для тебя. На входе адрес жертвы, на выходе админский доступ по RDP – классика проникновения! |
|
| Читать дальше |
|
|
|
Посмеялись и хватит: беспрецедентная атака на цитатник рунета |
|
|
|
Расскажу подробнее о наивнейших ошибках людей, отвечающих за софт на серверах русского башорга. Итак, погнали!
Первым делом я немного пощупал скрипты самого башорга. Единственным интересным открытием был фришный php-скрипт Openads 2.0.11-pr1 (phpadsnew.com), расположенный по адресу http://lol.bash.org.ru/b/admin/index.php. Скрипт отвечает за текстовую рекламу, расположенную между цитатами на всех страницах баша. Посерфив пару-тройки секурити-порталов, я не нашел ни одного паблик сплойта под эту версию. Немного покопав движок на предмет багов, я решил оставить его на потом, и продолжил свои поиски. |
|
| Читать дальше |
|
|
|
Пример: программное управление вентилятором процессора |
|
|
|
В целях монопольного и беспрепятственного взаимодействия программы с оборудованием при работе с предлагаемым примером, автор применил "древнюю" технологию отладки под DOS. Аргументация такого шага и рекомендации по организации рабочего места приведены в ранее опубликованной статье "64-битный режим под DOS: исследовательская работа № 1". Предлагаемый ассемблерный пример демонстрирует программное выключение вентилятора процессора. Перед выключением и последующим повторным включением выдаются сообщения, и ожидается нажатие клавиши пользователем. Процедура сопровождается визуализацией показаний тахометров, измеряющих обороты вентиляторов. |
|
| Читать дальше |
|
|
|
|
|
Новостей: 35 (Страниц: 5, Новостей на странице: 7)
[ 1 ] |
|
|
|
|
Самые доступные цены на создание сайтов
|
