Если ты в будущем хочешь связать свою жизнь с ИБ, то у тебя есть множество путей реализации этой затеи. Конечно, ты столкнешься со многими препятствиями, начиная от разного понимания, что такое "ИБ", у тебя и у "босса", заканчивая тем, что в итоге, если ты хочешь генерировать ключи по ГОСТу или разбираешься в бумажках от ФСТЭК по персональным данным, то работы полно, а если ты любишь "техническую" работу, то предложений уже не так много, и скорее всего все закончится вакансией системного администратора или программиста (хорошо, если с уклоном в ИБ). Конечно, все это я говорю о легальной, законной работе, ведь заниматься "грязью" — это для нас как переход на Темную Сторону Силы…

Благодаря стандарту PCI DSS, который приподнял рынок пентестов в стране, шанс найти работу в этом направлении есть, однако я хочу поговорить о другом. Вопрос поиска работы в области ИБ достаточно индивидуален и зависит от интересов и возможностей соискателя. Поэтому я буду говорить о тех, в чьи интересы входит реверсинг, баг-хантинг и эксплойт-девелопмент. То есть, если ты хочешь искать уязвимости, писать эксплойты и при этом получать свою копейку, то эта статья для тебя :).

Даже у ветерана Linux, многие годы живущего на свободном ПО, установка и использование BSD-системы может вызвать множество вопросов. Несмотря на кажущееся сходство, у этих систем много различий, а правильно установленная ОС зачастую требует немалой работы напильником, чтобы стать пригодной к использованию. Это отпугивает новичков, однако те, кто хочет просто взглянуть на BSD, не вникая в подробности ее работы, могут попробовать специальные LiveCD и десктопные варианты этих систем.

В отличие от мира Linux, где ежедневное появление нового дистрибутива уже давно стало нормой, а общее число различных редакций операционной системы перевалило за десятки тысяч, количество BSD-систем можно пересчитать буквально по пальцам. Существует несколько форков когда-то вышедшей из стен Беркли оригинальной BSD, которые по праву считаются совершенно разными и в большинстве случаев несовместимыми между собой операционными системами. Имя им – FreeBSD, NetBSD, OpenBSD и, как бы странно это ни звучало, DragonFly BSD. Каждая из них представляет собой полноценную ОС, занимает определенную нишу и разрабатывается независимой командой энтузиастов. До недавнего времени на этом разнообразие вселенной BSD и заканчивалось, однако времена меняются, и BSD-системы все больше становятся похожи на операционки общего назначения, которые могут применять для повседневного использования и те, кто с ними совершенно незнаком. Время от времени на свет появляются различные редакции BSD, призванные упростить процесс вливания новых пользователей.

В июле 2010 года состоялась знаменательная сделка по приобретению ICQ IM российским холдингом DST у корпорации AOL. Сумма сделки составила 187 миллионов долларов. В связи со столь замечательным событием я просто обязан рассказать тебе о том, что же произошло с нашей любимой Аськой за последний год.

Многим известно, что большое количество программ используют драйверы режима ядра в Windows как "окно" для доступа в более привилегированный режим — Ring 0. В первую очередь это касается защитного ПО, к которому можно отнести антивирусы, межсетевые экраны, HIPS’ы (Host Intrusion Prevention System) и программы класса internet security.

Очевидно, что кроме основных функций подобные драйверы будут оснащены также механизмами взаимодействия, предназначенными для обмена данными между драйвером и другими программными компонентами, работающими в пользовательском режиме. Тот факт, что код, работающий на высоком уровне привилегий, получает данные от кода, работающего на уровне привилегий более низком, заставляет разработчиков уделять повышенное внимание вопросам безопасности при проектировании и разработке упомянутых выше механизмов взаимодействия. Однако как с этим обстоят дела на практике?

Инструменты: отдадчик OllyDebugger v.1.1, дизассемблер IDA Pro v.5.0, утилита PEiD, упаковщик/распаковшик UPX v.3.

Прежде всего, загрузив подопытного в PEiD, убеждаемся, что прога упакована UPX'ом. Для комфортной работы под дизассемблером лучше будет ее распаковать, благо это несложно - можно скачать распаковщик с сайта проекта, а можно немного порыться в папках дистрибутива самого PSY и обнаружить готовый к употреблению распаковщик в фолдере Compile (спасибо разработчикам).

Поскольку мы не собираемся патчить исполняемый файл, его лучше скопировать для дизассемблерного анализа в другое место и распаковать там (upx -d PSY.exe). Повторно запросив PEiD по поводу соображений насчет известного персонажа узнаем, что он написан на Delphi 6/7 (скорее всего 7), что исключает анализ с помощью DeDe, зато открывает оперативный простор для использования дизассемблера, для удобства и ускорения работы добавим к нему отладчик.

Использование именно IDA не принципиально, но предпочтительно, хотя я и не использовал механизм FLIRT для анализа в полном объеме (в смысле ограничился только сигнатурами Borland C++ Compiler, входящими в поставку Иды по дефолту, сигнатуры Delphi 7 было лень искать). Я не слишком большой специалист по Delphi, но интуиция подсказала, что окно регистрации выводится какой-либо ООП-процедурой из разряда CreateWindow(Form/Dialog...).

Инструменты: отдадчик OllyDebugger v.1.1, дизассемблер IDA Pro v.5.0, утилита PEiD, упаковщик/распаковшик UPX v.3.

Прежде всего, загрузив подопытного в PEiD, убеждаемся, что прога упакована UPX'ом. Для комфортной работы под дизассемблером лучше будет ее распаковать, благо это несложно - можно скачать распаковщик с сайта проекта, а можно немного порыться в папках дистрибутива самого PSY и обнаружить готовый к употреблению распаковщик в фолдере Compile (спасибо разработчикам).

Поскольку мы не собираемся патчить исполняемый файл, его лучше скопировать для дизассемблерного анализа в другое место и распаковать там (upx -d PSY.exe). Повторно запросив PEiD по поводу соображений насчет известного персонажа узнаем, что он написан на Delphi 6/7 (скорее всего 7), что исключает анализ с помощью DeDe, зато открывает оперативный простор для использования дизассемблера, для удобства и ускорения работы добавим к нему отладчик.

Использование именно IDA не принципиально, но предпочтительно, хотя я и не использовал механизм FLIRT для анализа в полном объеме (в смысле ограничился только сигнатурами Borland C++ Compiler, входящими в поставку Иды по дефолту, сигнатуры Delphi 7 было лень искать). Я не слишком большой специалист по Delphi, но интуиция подсказала, что окно регистрации выводится какой-либо ООП-процедурой из разряда CreateWindow(Form/Dialog...).

Данная статья является продолжением темы о взломе и заражении роутеров. На сей раз у меня на операционном столе другая модель роутера, но пока той же фирмы, D-Link 2500U. Описанное ниже куда интереснее, чем то, что было в первом материале — здесь представлен код Wake-up bindshell'a на Си для  закрепления на роутере, а также описан принцип распаковки прошивок Broadcom.

Сразу после написания первой статьи мне в лапы попал этот маршрутизатор, и после беглого осмотра я понял, что внутреннее его устройство существенно отличается от модели 500T и, следовательно, требует отдельного описания. Изучение любого подобного устройства следует начать с поиска способов коммуникации, в данном случае воспользуемся старым добрым сканером портов nmap:

$ nmap -A 192.168.1.1
Nmap scan report for 192.168.1.1
Host is up (0.026s latency).
Not shown: 998 closed ports

PORT   STATE SERVICE
23/tcp open  telnet
80/tcp open  http

В наши дни только ленивый не пробовал брутить дедики - благо, тулз для этого дела написано предостаточно. Наиболее известны tss-brute от metal и ActiveX-based брутфорсы, начало эволюции которых положили мы с Dizz’ом в прошлом году. Все остальные брутфорсы базируются на этих двух - являясь фронт-эндами tss-brute (RDP Brute by Dizz) или клонами моего R&D P Brute. В этом году я нашел новый способ угона серверов на Windows. Хочешь узнать, как - читай дальше!

Существующие решения

Казалось бы, все хорошо - уйма брутфорсов, выбирай-не хочу, но все они не лишены недостатков.

• Брутфорс от metal’a - один большой "костыль" (хотя автору громадный респект за проделанную работу). Пароль в нем вводится путем эмуляции нажатий на кнопки, к тому же он зависит от версии mstsc.exe.
• ActiveX-based брутфорсы характеризуются самим словом "ActiveX" - эта технология ну никак не подходит для создания подобного софта. Брутфорс - опять же костыль на костыле, например, чтобы нормально подбирался пароль, приходится создавать n объектов на форме, где n равно количеству потоков. Причем делать объекты невидимыми нельзя - тогда подбор пароля перестает работать (чтобы окошечки не было видно, их приходится прятать за границы формы!). Еще один, самый большой минус - он ни в какую не хочет работать на Windows Server 2003, а ведь большинство дедиков работает именно на этой ОС.

Итак, сегодня я расскажу тебе, как мне удалось написать брутфорс, который работает на любой ОС семейства Windows NT, при этом не используя никаких внешних компонентов - фактически работая прямо с протоколом RDP версии 5!

Каждый год в Канаде на конференции CanSecWest проходит конкурс PWN2OWN по поиску багов с современных ОС и браузерах. За каждый успешный сплойт предлагается серьезное вознаграждение. И каждый год от участников, имеющих готовые решения, нет отбоя. Для поиска критических уязвимостей в столь популярном софте есть много техник и ноу-хау, но большинство из них строятся на такой простой технике как фаззинг.

Термин Fuzzing появился еще в 1988 году в работе "The Fuzz Generator", опубликованной Бартом Миллером. Именно в эту светлую голову впервые пришла идея подсовывать программе заведомо некорректные и зачастую вообще случайные данные, отлавливая ситуации, когда та не сможет их обработать и вылетит. Эффективность такого подхода до сих пор велика. Точки ввода данных в программу могут быть самые разные: текстовая строка, введенная через графический интерфейс, бинарные данные из файла или, например, значение поля в каком-нибудь сетевом запросе. Вместо программы может быть драйвер, ActiveX-компонент или, например, SWF-приложение. В той или иной мере фаззинг сейчас является одним из наиболее эффективных средств выявления проблем безопасности кода.

Задумался я тут над смыслом подписания компоновочных блоков .Net. Наверняка, ты тоже подписывал свои библиотеки, чтобы установить их в GAC. В ходе сегодняшнего расследования мы научимся изменять подписанные сборки, не обладая исходниками и секретными ключами.

Приватные сборки

При подписании библиотеки (назначении строгого имени) открытый ключ записывается в манифест. Таким образом, чтобы внести изменения в чужую подписанную библиотеку, нужно просто заменить публичный ключ на свой. Или — еще проще — сделать новую сборку с таким же именем и подписать на своем ключе.

При использовании библиотеки любой публичный ключ будет принят как доверенный.

Проведем эксперимент, создадим небольшую библиотечку:

Библиотека signedLib.dll

namespace signedLib
{
public class sLib
{
public static int GetNumber() { return 1; }
}
}