Historicky prvý trojan, ktorý kradne heslá z Linuxu aj Mac OS X

29.08.2012 | 11:57 | bedňa | Novinky

Antivírusový program Doctor Web zachytil historicky prvý multiplatformný trojan, ktorý kradne heslá z Linuxu a Mac OS X. Posiela čo píšeme na klávesnici "keylogger" a kradne heslá z prehliadačov Opera, Firefox, Chrome, a Chromium. Taktiež kradne heslá uložené v aplikáciach ako Thunderbird, SeaMonkey, a Pidgin. Antivírus Doctor Web ho spoľahlivo detekuje a odstráni.

    • ale akou formou 29.08.2012 | 12:36
      Avatar Milan Dvorský debian,mint kde,android  Administrátor
      sa ten trojan siri?
      • Re: ale akou formou 29.08.2012 | 13:08
        Avatar bedňa LegacyIce-antiX  Administrátor
        Kurňa sorry, ja som zabudol tam pridať odkaz k oznámeniu na ich webe. Počítam, príde ti pošta, nainštalujte si tento úžasný softvér, bla, bla, prípadne sa pribalí k nejakému softu a hodí sa to na uloz.to, možností je dosť :) Neprelamuje priamo browser, teda aspoň tak som to pochopil.
        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
    • Fake 29.08.2012 | 19:48
      WlaSaTy   Návštevník
      Doteraz som si myslel že tu fabuluje iba Edo a tým pádom sa neoplatí čítať jeho správičky. Ale zmenil som názor, odôvodnene.
      Netwire.

      Takže, neznámy antivírus zachytil program schopný spravovať počítač na diaľku. Niečo ako sú VNC, NoMachine NX, join.me a podobné produkty. Tento spôsob bulvárnej reklamy je dosť účinný, a používal ho MyEGO aj s jeho agentúrou F-ART.
      • Re: Fake 29.08.2012 | 20:42
        aaaaaaaaaaa   Návštevník
        Rozdiel je v tom, ze VNC a podobne produkty AFAIK nemaju vstavany keylogger, moznost na dialku spustat binarky, automaticke screenshoty, ziskavanie hesiel z browserov a pod. Okrem toho sa nesnazia bezat nenapadne - SSHD v defaulte loguje prihlasenia; pouzivania ostatnych programov si moze vsimnut desktop user (hybe sa mu mys atd).

        Preto je tato informacia dobra aspon na to, ze upovedomi ludi o existencii takych programov a pre neschopnych aj info o tom, ze ani Linux neodola, ak je uzivatel debil. Ciastocne to bude na zamyslenie aj pre tvorcov antivirov - ci blokovat takyto SW alebo nie.
        • Re: Fake 29.08.2012 | 20:56
          WlaSaTy   Návštevník
          Práca s klávesnicou pod X Windows nerozlišuje medzi čítaním a zápisom kláves, takže to pokrýva aj získavanie hesiel. Vzdialené zobrazenie plochy zasieľa screenshoty. Zobrazovanie hýbania myši pri vzdialenej správe obrazovky si bežný človek nevšimne, keďže vtedy sa kurzor zneviditeľní. A porovnávanie vzdialeného prístupu do systému s vzdialenou správou sedenia je nemiestne. Napríklad VNC tiež neloguje prístup.

          Takže, as far as You don't know.

          Je pravda, že osveta sa má vykonávať. Ale, už nie je vhodné, keď si niekto robí reklamu vyhlásením že legitímny software je záškodnícky.

          PS: Čo si myslíš, že sa stane keď napíšeš tento príkaz?
          xhost +
          • Re: Fake 30.08.2012 | 00:39
            aaaaaaaaaaaaa   Návštevník
            Ide mi tu o zaskodnicku cinnost - preto pisem, ze hybanie mysi pri napriklad join.me (alebo nejakej akcie vzdialeneho uzivatela) si clovek vsimne. Cez VNC nespustis nepozorovane binarku, ked je druhy clovek pri PC. Rovnako neprecitas hesla, ktore zadava tam sediaci uzivatel - tu ani tak nie je dolezite, ako k tomu pristupuje X server, ale je dolezity pristup VNC. Ak ti VNC zadane znaky nepreposle, tak ako zistis, co ten druhy pise? Alebo preposiela VNC zadane znaky?

            VNC pomenovane vnc4server loguje (u mna do $HOME/.vnc/`hostname`:1.log), takze asi pouzivas len nieco VNC-compatible alebo mas menej schopneho packagera, co ma mozno staru verziu alebo odtial odstranuje logovanie.
            Nemyslim si, ze porovnavanie spravy sedenia so vzdialenou spravou je mimo, kedze si myslim, ze aj SSHd by mohlo byt niekym vnimane ako backdoor (staci pridanie jedneho riadku do /etc/passwd, ale zase to vyzaduje roota).

            Ad PS:
            xhost + akurat povoli pristup kazdeho k mojim X-kam. Tym umozni logovat napisane pismena, ale stale to bude o nieco lepsie ako Netwire.
            Netwire nielenze zobrazi prave pisany text, ale ho uklada aj ked nie je pripojeny ziadny "spion" pre neskorsiu analyzu.

            Vzhladom k tomuto sa mi tento software nezda byt legitimny pri kazdom pouziti, tj. bol by som minimalne rad, keby mi antivirus oznamil existenciu niecoho takeho na mojom PC, lebo podla mna moze byt zaskodnicky (a nemusi sa sam ani skryvat medzi procesmi - take maskovanie pred vacsinou programov zvladne pomocou vlastnej LD_PRELOAD binarky aj script kiddie po 1 mesiaci C-cka).
            • Re: Fake 30.08.2012 | 01:09
              WlaSaTy   Návštevník
              Ty si zatiaľ vyskúšal iba zo spomenutej rodiny programov na vzdialenú správu počítača a na základe neho odsudzuješ program z rovnakej kategórie keďže robí to isté ako iný program z tej istej kategórie ktorý neodsudzuješ. Máš v tom trošku chaos. Ale, nie si sám. Tu v správičkách sa vyskytujú s vysokou frekvenciou boti ktorí si tiež dokážu odporovať v jednej jedinej vete.

              A k tej domácej úlohe. Áno, ten príkaz naozaj povolí prístup každého k Tvojmu X Windows. Tým si ale zabezpečíš, že záškodníci nebudú potrebovať špeciálne programové vybavenie aby Ti mohli kompletne spravovať Tvoju grafickú stanicu. Postačia im nástroje ktoré sú bežnou súčasťou distribúcie.

              Takže, suma sumárum. Tvoje ponímanie škodlivého a užitočného je v tomto prípade mimo misu.
              • Re: Fake 30.08.2012 | 01:28
                Avatar bedňa LegacyIce-antiX  Administrátor
                Prosím ťa, kto ti ublížil že si plný nenávisti, ja som priznal že som omylom spojil dve vety do jednej, hoci ani v odkaze to nieje uvedené ako na prišli.

                Take it easy.
                Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                • Re: Fake 30.08.2012 | 01:50
                  WlaSaTy   Návštevník
                  Ten samé áčko tu otvorene klame o tom čomu nerozumie a Ty si vedome pridal správičku ktorú si si neoveril.

                  A podľa Tvojich slov som zas na vine ja.

                  Niekedy mám ten dojem, že sa v stĺpci správičiek úmyselne klame a hádže špina, len aby sa tu vykázala nejaká činnosť.

                  Nie, mne tu nikto neublížil a niesom plný nenávisti. Teda, možno len nemám rád klamstvo, provokácie a ohováranie pri plnom vedomí.
                  • Re: Fake 30.08.2012 | 03:34
                    aaaaaaaaaaaaaaa   Návštevník
                    V com otvorene klamem?

                    Nech tomu rozumiem lepsie, tak mi pls vysvetli, ako sa daju cez vzdialenu spravu session (VNC) odchytavat stlacene klavesy a ako sa da prijimat stlacene klavesy z X-iek cez program, ktory to nepodporuje, ale zhodou okolnosti posiela na Xka stlacenia klaves (keby som ja navrhoval VNC, tak by som to urcite nepodporoval a snazil by som sa branit odchytavaniu klaves).
                    Chcel by som vediet aj aktualnu verziu programu kde to funguje; idealne by mala byt v repo BFU distribucie ako je napr. Ubuntu, lebo ani s logovanim si napriklad ty nepocital a u mna to nejak funguje.
                    • Re: Fake 30.08.2012 | 09:54
                      WlaSaTy   Návštevník
                      Už som vysvetloval v čom otvorene klameš.

                      A to logovanie VNC, tak VNC loguje na stdout. Presmerovanie na disk má na starosti iný program ktorý je však nepovinný.

                      Inak, ohľadne odchytávania kláves, obrazovky a inej záškodníckej činnosti, tak nástroj a program sú dve rozdielne veci.
                      • Re: Fake 30.08.2012 | 13:21
                        aaaaaaaaaaaaaaa   Návštevník
                        K tomu vysvetleniu, ze otvorene klamem: skus teda este presnejsie vysvetlit v com, kludne ako pre 5 rocneho, lebo nikde to nebolo opisane tak, aby som si toho vsimol.

                        VNC u mna ako BFU usera loguje do suboru, bez nejakeho nastavovania. Mozno je to nepovinne, ale po nainstalovani vnc4server a zavolani pomocou vncserver mi to loguje a o viac sa nestaram. Ci to maju interne vyriesene inak, to je skor vec tvorcov VNC.
                        Kazdopadne je log v tvare $HOME/.vnc/host:display#.log spominany aj v manualovej stranke vncserver, takze sa pravdepodobne nepocita s tym, ze by niekto logovanie obchadzal.
                        Okrem toho sme sa bavili o tom, ci VNC loguje vystup alebo nie - a aj logovanie na stdout u nejakej exotickej implementacie by stacilo na to, aby neplatila veta o nelogovani.
                        nastroj - vec, ktora pomaha vykonaniu nejakej cinnosti
                        program - zapis algoritmu zrozumitelny pre pocitac, teda binarka (native alebo instrukcie pre VM) alebo skript; napriklad prakticky vsetko v /bin a /usr/bin okrem symlinkov (kedze mas radsej taxativne vymenovania, tak pripominam, ze programy sa mozu nachadzat aj inde ako v /bin a /usr/bin)

                        V PC svete si myslim, ze tieto 2 terminy splyvaju (aj ked na nieco sa viac pouziva 1 termin ako druhy):
                        nastroje su podmnozina programov, lebo vsetko co pocitac realizuje (aj ked to len niecomu pomaha) musi byt zapisane jemu zrozumitelnou recou (ci uz priamo alebo cez interpreter) a algoritmus je len postupnost krokov k vyrieseniu nejakej ulohy, co riesi kazdy nastroj
                        programy su podmnozina nastrojov, lebo kazdy program pomaha vykonaniu nejakej cinnosti (ostatne, prave na to tu mame pocitace)

                        Ak su 2 mnoziny sebe navzajom podmnozinami, tak musia byt ekvivalentne.
                        Ak to tak nie je a niekde som spravil chybu, tak napis kde.
                        • Re: Fake 30.08.2012 | 21:11
                          WlaSaTy   Návštevník
                          Je mi jedno, koľko máš rokov. Ale, keď si si už vypítal vysvetlenie ako pre dieťa predškolského veku, tak Ti ho podám.

                          Zdroj, na ktorý sa odkazuje táto správička hovorí že sa vyskytol trójsky kôň v multiplatformnom programe. Bolo to podchytené vyznačením kódu z dissasamblera aj s opravou ako to zablokovať.

                          Prvý problém je v tom, že zdroj vzorky na ktorej sa ten trojan vyskytol nebol uvedený. Takže ak zoberieme opis vlastností toho trojana, tak sa nápadne podobá na komerčný program netwire torý to má v produktovej špecifikácii. Podobné programy sa bežne používajú vo firmách na kontrolu zamestnancov, riešenie problémov s ich pracovnými stanicami a aj predchádzanie úniku údajov. Jedná sa o podobné programy ako som spomínal, i keď Ty z nich poznáš iba jeden. Ja som sa takými programami začal zaoberať pred cca 15 rokmi. Čiže, buď je to falošná správa ktorá má za úlohu urobiť reklamu neznámemu antivirusu ktorý sa chce presadiť aspoň na spomenutých OS Linux a MAC OS X keď už vo svete Windows mallware nemá šancu a robí to pomocou búrky v pohári vody, alebo sa jedná o informáciu o pozmenenom komerčnom programe ktorý nejaký cracker dal do sekcie warez download ako sa to bežne deje s kradnutým software. Nakoľko však tlačová správa nehovorí o pôvode, tak je málo pravdepodobné že by sa jednalo o warez s pribaleným prekvápkom. Takže z môjho pohľadu len antivírus Dr.Web ohovára komerčný produkt Netwire ktorý má všetky spomenuté vlastnosti v legálnom popise páce. Podobne, ako majú podobné vlastnosti mnou spomenutých programov podobného zaradenia.

                          Druhý problém je v tom, že Linux a MAC OS X majú odlišný formát spustiteľných súborov. Linux neumožňuje spustiť programy pre Apple MAC OS X. I keď na druhú stranu MAC OS X je založený na BSD systéme ktorý má možnosť spustiť Linuxové programy podobne ako sa v Linuxe dajú spustiť programy pre Windows cez Wine. Spojný bod (skript, java, alebo niečo multiplatformné, čo by stiahlo hlavný kód) nebol zverejnený. Takže keby sme zobrali do úvahy kľúčové slovo multiplatformný, tak by sme museli okamžite prehlásiť že na Linuxe je o 5 kusov zášodných programov viac ako na Windows. Predsa len, windows mallware sa dá spúšťať cez wine a 5 vírusov pre Linux už bolo preukázaných.

                          Ešte stále si myslíš, že je tá správa o bezpečnostnej diere a nie o snahe zviditeľniť produkt neschopnej antivírusovej firmy pomocou neúplných a zavádzajúcich informácií?
                          • Re: Fake 30.08.2012 | 23:35
                            aaaaaaaaaaaaaaaaaaaaa   Návštevník
                            To o Netwire je len moja domnienka, nikde inde to nebolo potvrdene, aj ked je to pravdepodobne. Preto som u konkurencie pisal, ze by zislo informovat u Netwire, ako zaistuju multiplatformnost (konkretne Linux a MacOS X).

                            Myslim si, ze o pocet zaskodnickych programov to ani nejde. Ked niekto chce, tak si taky vytvori sam a statistiky takuto individualnu tvorbu aj tak nepocitaju, lebo sa to ani nedostane k analytikom.

                            Nikdy som si nemyslel a ani som nepisal, ze ide o spravu k bezpecnostnej diere a ani o tom, ze by dalsie informacie neboli zavadzajuce. Jednoducho je to featura programu, ale pisal som o tom, ze ak by som mal nejaky antivirus, tak by som chcel, aby ma (BFU) o tomto informoval, lebo to nemusi mat len legitimne pouzitie. Ostatne, tiez by som chcel aj informovat o niecom ako while :; nc -l -p 12345 | sh; done, lebo je to podla mna zaskodnicke. K takymto veciam, o ktorych by som chcel vediet, sa pocita aj vypnuta ochrana Xiek pomocou xhost +, novo vytvoreny user s uid 0 alebo uzivatelia s jednoduchym heslom, suid bit na binarkach mimo whitelistu a vysnivany antimalware by mal vediet najst aj vsetky zranitelnosti jednotlivych aplikacii (tj. vsetky exploitovatelne diery), aj ked to je stale este len sen. Este by bolo napriklad dobre, keby ma informoval napriklad o prihlaseniach z krajiny mimo CZ/SK atd atd.

                            To, ze by som to ja a urcite aj mnozstvo dalsich BFU ocenilo nehovori nic o tom, ci to moze byt niekedy legitimne. Pri tomto nazore mi je aj v podstate jedno, ze by ma urcite obvinili Ludia proti rasizmu z rasizmu, lebo by sa to chovalo inak pre CZ/SK a inak pre zbytok sveta. Jednoducho je informacia podla mna prinosna, aj ked za nejakych okolnosti moze byt uplne legitimne, ze sa ku mne cez SSH prihlasuje Cinan alebo Rus. Ja by som chcel byt o vsetkom informovany a urcite by som vedla info o Cinanoch a Rusoch neodmietol ani info o moznom keyloggeri.

                            Nie, nemyslim si ani som si nemyslel, ze ide o bezpecnostnu dieru v zmysle diery systemu - ked si blby uzivatel nieco nainstaluje sam, tak proti tomu nepomoze ziadny system (to som pisal niekde vedla).
                            Nemyslim si ani, ze to je regulerna nezavadzajuca reklama, vsak to som tiez nikde nepisal - ale myslim si, ze aj napriek forme reklamy a tomu, co to vlastne robi, moze tuto "featuru" niekto ocenit.
                            • Re: Fake 30.08.2012 | 23:43
                              WlaSaTy   Návštevník
                              Ty si si fakt neprečítal ani správičku, ani článok na ktorý odkazuje a ani nič z tejto diskusie. Ale, prečo potom vôbec reaguješ a meníš postoj k veci? Takým chovaním si sám sebe odporuješ, ale to je vonkoncom jedno. A mne na tom tvojom názore dnuzačiatkom nezáleží.

                              Reagoval som na Teba, len preto že si ignoroval jasné veci a odsudzoval komerčný produkt ktorý nepoznáš. To si už rovno mohol schváliť chovanie PR tej antivírusovej firmy ktorá širi FUD.
                              • Re: Fake 31.08.2012 | 00:20
                                aaaaaaaaaaaa   Návštevník
                                A citas si ty moje reakcie? Jednoducho nesuhlasim s takou reklamou prave kvoli sirenemu FUDu, ale myslim si, ze je dobre, ze o tom napisu userovi hlasku, ktory sa sam rozhodne (bol by som proti automatickemu odstranovaniu), prave kvoli moznosti, tj. nie automaticky nutnosti zaskodnickej cinnosti. V tomto postoj vobec nemenim, akurat som bol mozno zle pochopeny.
                                • Re: Fake 31.08.2012 | 00:41
                                  WlaSaTy   Návštevník
                                  Áno, čítal som Tvoje reakcie. Ty schvaluješ aby užívateľ dostal informáciu o tom že program vykonávajúci akcie ktoré má v dodacom liste je záškodnícky. Tým pádom schvaľuješ FUD šíriaci sa z pôvodnej správy.

                                  A to je dôvod, prečo si odporuješ. A tým pádom aj logicky klameš.

                                  Neboj sa, pochopil som Ťa správne.
                                  • Re: Fake 31.08.2012 | 01:11
                                    aaaaaaaaaaaa   Návštevník
                                    Urcite by som nepisal, ze je program zaskodnicky, preto neschvalujem FUD z povodnej spravy. Skor by islo o hlasku (len 1 nazov programu by bol napisany pri 1 hlaske):
                                    "Program Netwire / a.out je podla signatury program, ktory zaznamenava stlacene klavesy. [Povolit / Ignorovat] [Zabit program] [Zabit a zmazat program]"
                                    alebo
                                    "Program Netwire / sshd / X akceptuje pripojenia vzdialenych uzivatelov. [Povolit] [Zabit / kill] [Zabit nasilne / kill -9] [Zakazat spojenia]"
                                    alebo
                                    "Program Netwire / PasswordRecoveryXY sa snazi citat ulozene hesla weboveho prehliadaca. [Povolit] [Zakazat]"
                                    alebo
                                    "Program Netwire / CertifiedBackdoorXY / UnknownDriver sa snazi zmenit system-wide preload, co moze mat za nasledok nekorektne fungovanie systemu alebo jeho sucasti. [Povolit] [Zakazat] [Zmazat program]"
                                    alebo na pri explicitnom zvoleni podla blacklistu mozno aj nieco ako
                                    "Program killall / crack_and_netwire tu nemusi fungovat ako by sa mohlo cakat. [Pokracovat] [Zrusit]"

                                    Vysvetli mi, comu by toto branilo a ako by to podporovalo FUD. Ja by som to ocenil.
                  • Re: Fake 30.08.2012 | 10:16
                    Avatar bedňa LegacyIce-antiX  Administrátor
                    Každý deň niečo googlim a keď aj náhodou narazím na niečo čo ma zaujme, tak to sem hodím, to že na Ábičku uverejnili to isté je zhoda okolností, správičky odtiaľ nepreberám, pretože viem že tam chodí 99% ľudí odtialto a je to zbytočné.

                    Keď nemáš pocit že ti niekto ublížil, sršíš oheň a síru len tak, potom to bude stihoman, že po tebe niekto ide. Ja viem keď ti napíšem že nejde, tak som s nimi *)

                    Lepšie je tu rozkrikovať sa ako klamem a sám nespraviť nič, si buď tak blbý, alebo len nejaký zakomplexovaný provokatér? Nevieš sa zaregistrovať? Nedokáže to nikto z tvojho okolia. Alebo sa bojíš že aj ty by sa náhodou uklepol a už by si nebol ten neohrozený čo má stále pravdu?

                    Zamysli sa nad sebou a svojim správaním.
                    Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                    • Re: Fake 30.08.2012 | 20:45
                      WlaSaTy   Návštevník
                      Môžeš mi objasniť, kde som sršal oheň a síru? Upozornil som na nepravdivosť správičky ktorá bola založená nielen na neúplných údajoch, ale aj na zdroji ktorý zavádzal. Ak Ti to pripadá ako sršanie ohňa, tak je to tvoj problém.
                      • Re: Fake 30.08.2012 | 21:06
                        Avatar bedňa LegacyIce-antiX  Administrátor
                        Napr.:
                        Ten samé áčko tu otvorene klame o tom čomu nerozumie a Ty si vedome pridal správičku ktorú si si neoveril.
                        Už som vysvetloval v čom otvorene klameš.
                        Samé Ačko neklame, ale vysvetluje svoj názor.

                        Ja som len pridal správičku, keď som narazil na niečo čo mi prišlo zaujímavé.

                        Namiesto zbytočného obviňovania zo záškodnickej činnosti, stačí objektívne vysvetliť, že to nieje pravda a aká je skutočnosť.
                        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                        • Re: Fake 30.08.2012 | 21:23
                          WlaSaTy   Návštevník
                          Máš to vyššie.
                          • Re: Fake 30.08.2012 | 21:30
                            Avatar bedňa LegacyIce-antiX  Administrátor
                            Jasne, celkom rozumné osvetlenie, toto stačilo napísať pod moju správičku, alebo ačkov komentár. Teda pochopil som to už keď si začal ačka obviňovať že klame, nejak mu to nedopalo že ide vlastne o to isté. Namiesto obviňovania si to môhol takto elegantne osvetliť.
                            Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                            • Re: Fake 30.08.2012 | 21:39
                              WlaSaTy   Návštevník
                              To vysvetlenie bolo jasné z diskusie pod správičkou na sesterskom portáli.

                              A osvetliť mu to nebolo treba. On jednoducho nebral do úvahy fakty na ktoré som sa odkazoval len preto, že mu bolo jednoduchšie prijať cudzí názor ktorý odsudzuje komerčný produkt. Kde som ja len také chovanie zaznamenal? Odborne sa tomu hovorí argumentum ad hominem.
                              • Re: Fake 30.08.2012 | 21:45
                                Avatar bedňa LegacyIce-antiX  Administrátor
                                Ono sa ťažko príjmajú argumenty, keď ich podáš útokom, mňa si s tou fabuláciou tiež pokne naštval, to sa potom zatieni aj pravdivé tvrdenie.
                                Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                                • Re: Fake 30.08.2012 | 23:10
                                  WlaSaTy   Návštevník
                                  Neviem ako Ty, ale ja nezvyknem zverejňovať informácie ktoré sa nedajú overiť. To však robia fabulátori. Čiže Ťa buď naštvalo Tvoje vlastné chovanie, alebo len jeho opis.

                                  Ono, preberanie informácií od agentúry JPP sa dá len v určitých typoch komunít. A aj to len pokiaľ od toho nezávisí hmotný majetok. Keď sa dostaeš do obchodu kde Ti budú kolegovci podhadzovať nesprávne informácie aby si sa sekol pri rozhodovaní, tak zbadáš prečo je dobré si niečo overiť. Zlé rozhodnutie má obvykle za následok finančnú újmu a to je čierny bod na hodnotení. Aj keby bola tá újma len nakladoch na človeka pri zrolovaní svojho rozhodnutia. Predsa len, počas toho zrolovania Ti stojí iná práca a meškajú termíny.
                                  • Re: Fake 31.08.2012 | 01:07
                                    Avatar bedňa LegacyIce-antiX  Administrátor
                                    Toto nieje biznis. V linuxovej komunite som dosť dlho. Niekto nájde informáciu a tá sa v komentároch rozoberie. Je o úplne bežný postup. To že som ti dal za pravdu a ty stále tlačíš na pílu, fakt nechápem.
                                    Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                                    • Re: Fake 31.08.2012 | 01:35
                                      WlaSaTy   Návštevník
                                      Furt hovoríš o nejakom útoku. Staviaš sa snáď do pozície ukrivdeného?
                                      • Re: Fake 31.08.2012 | 02:11
                                        Avatar bedňa LegacyIce-antiX  Administrátor
                                        Ja hovorím o tom, že treba byť chlap a počúvať, keď niekto iný má pravdu netrvať si tvrdohlavo na svojom. Niekedy sa skúsiť na vec pozrieť aj z druhej strany. Komunikácia, dať si po hube, sadnúť si potom na pivo, alebo kofolu to už podľa chuti a pokecať si. Nekopať do niekoho kto sa snaží diskutovať hoci s inými názormi na svet. Mne osobne to vždy otvorí obzory, len mám pocit, že v dnešnom svete nejaká úcta k súperovi neexistuje, treba ho dookopať, som víťaž, som boh.

                                        Áno čiastočne sa cítim ukrivdený, dal so ti za pravdu a mám pocit, že stále máš ešte potrebu ma doraziť. Keď som ti aj niekedy niečo ostrejšie napísal, to som ti len nastavil zrkadlo a čakal že to pochopíš.
                                        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                                        • Re: Fake 31.08.2012 | 02:26
                                          WlaSaTy   Návštevník
                                          Ako si priznal, tak Ťa naštvali už moje prvé slová ktoré nazvali tento typ správičky pravým menom. Čo sa na tom dá alebo nedá pochopiť?
                                          • Re: Fake 31.08.2012 | 02:36
                                            Avatar bedňa LegacyIce-antiX  Administrátor
                                            Si stále presvedčený že si ju nazval pravým menom?
                                            Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                                            • Re: Fake 31.08.2012 | 02:44
                                              WlaSaTy   Návštevník
                                              Áno. Totižto typy bulváru je ľahké identifikovať. Je mi úprimne ľúto, že si im na to naletel. Ale neboj, to sa môže stať každému. A skôr alebo neskôr aj stane.
                                              • Re: Fake 31.08.2012 | 03:06
                                                Avatar bedňa LegacyIce-antiX  Administrátor
                                                To máš pravdu, podľa textu na ich stránkach to bolo fantastické :) Inak keby sa to tak nezvrhlo chcel som hneď do komentára, keď sa niekto ozve napísať, ako mi to pripomenulo istú kauzu keď jedna nemenovaná firma vedela ako jediná rozkódovať vírusom zakódovaný disk. Vtedy boli podozrenia, že vírus sami naprogramovali zo zištných záujmov a vybudovanie mena.

                                                Čiastočné podozrenie mi vnuklo aj to čo si ty spomínal, vôbec nieje uvedený konkrétny spôsob šírenia a ani ako to vlastne multiplatformne funguje. Tak pravda ale bola nakoniec niekde úplne inde ako som si myslel.

                                                Zas na druhej strane, keď sa o tom nebude písať, tak ľudia na Linuxe budú žiť v nejak mylnej predstave že na Linuxe sa mi nemôže nič stať.
                                                Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                                                • Re: Fake 31.08.2012 | 03:47
                                                  WlaSaTy   Návštevník
                                                  Pokiaľ mysíš Eset kontra One Half a SVL, tak je možné všeličo. Vtedy zbieral Miro tie vzorky osobne.

                                                  Ono, mylná predstava že je Linux nezraniteľný padne s prvou radou ako zrušiť autorizáciu. Krátko na to sa začnú diať zvláštne veci. A takých rád TU bolo habafúra. Potom tu boli otázky, prečo mi nejde google ktoré už odmietalo obsluhovať súčasť botnetu.
                                                  • Re: Fake 31.08.2012 | 05:38
                                                    Avatar bedňa LegacyIce-antiX  Administrátor
                                                    Vidím že máš prehľad, presne na toto som myslel, hoci je to pekných pár rokov dozadu, tuším okolo roku 1996 :)

                                                    Vždy tu bude hranica medzi bezpečnosťou a user frendly.
                                                    Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                                                    • Re: Fake 31.08.2012 | 10:51
                                                      WlaSaTy   Návštevník
                                                      Chodil v konfekčnom saku typu Otex. Teraz chodí v podobnom, len mu ho šijú na mieru.
                                          • Re: Fake 31.08.2012 | 02:40
                                            aaaaaaaaaaaaaa   Návštevník
                                            Predpokladam, ze mu aspon ciastocne vadi, ze druhym vkladas do ust, co nikdy nepovedali a ani nemysleli.

                                            Ja pokladam spravicku + komentare za lepsie riesenie (napriklad mi mozes vysvetlit, ako by si cez vzdialenu spravu sedenia (VNC) na zaklade architektury X servera logoval keystroky) ako ziadnu spravicku - preto ocenujem, ze sem nieco pise nielen bedna, ale aj dodoedo (a nevadi mi ani, ked sem pise Stano Hoferek, ak v zaujme objektivity nepise o Greenie).
                                            • Re: Fake 31.08.2012 | 02:56
                                              WlaSaTy   Návštevník
                                              Písal som o podobných programoch, nie o identických. Toľko k tvojmu tvrdeniu "ze druhym vkladas do ust, co nikdy nepovedali a ani nemysleli".

                                              Môžeš mi prosím Ťa povedať kde alebo kedy som písal, že VNC loguje stláčanie kláves?

                                              Pokiaľ si spomínam, tak som tvrdil že Linux štandardne obsahuje nástroje umožňujúce vzdialenú správu grafickej stanice.

                                              Ešte furt máš ten pocit že neklameš? Pretože si ho pred chvíľou znova vyvrátil.
                                              • Re: Fake 31.08.2012 | 03:57
                                                aaaaaaaaaaaa   Návštevník
                                                To o logovani VNC keystrokes:
                                                Rozdiel je v tom, ze VNC a podobne produkty AFAIK nemaju vstavany keylogger, ... [pokec o rozdieloch Netwire a programov na vzdialeny pristup]
                                                a reakcia na to
                                                Práca s klávesnicou pod X Windows nerozlišuje medzi čítaním a zápisom kláves, takže to pokrýva aj získavanie hesiel. ...

                                                Takze tam mi nejak unikla suvislost a preto som chcel vysvetlenie, ako to odpocuvanie chces realizovat, ked uz tak reagujes.


                                                Stale mam pocit, ze "klamanie" je akurat snaha odviest pozornost od toho, aby si reagoval na mna. Ty si pisal
                                                Napríklad VNC tiež neloguje prístup.

                                                Takže, as far as You don't know.
                                                Tu sa ukazalo, ze aspon v 1 pripade v defaulte loguje, tak si zacal zase kopu kecov o tom, koho odsudzujem (a neskor, ako klamem).
                                                Preto by bolo mozno dobre citat aj moje komentare a nehovorit o klamani, ked ide o moj nazor na spravnu reakciu antiviru v pripade, ze by fungoval u mna.
                                                • Re: Fake 31.08.2012 | 10:48
                                                  WlaSaTy   Návštevník
                                                  Už vidím, čo sa Ti poplietlo, a už chápem prečo porovnávaš Netwire len s VNC.

                                                  Mimochodom, VNC je v dnešnej dobe protokol. Programy ktoré ho využívajú majú dlhší názov.
                                                  • Re: Fake 31.08.2012 | 13:07
                                                    aaaaaaaaaaaaa   Návštevník
                                                    Ok, to som rad.

                                                    Ano, VNC je v dnesnej dobe hlavne protokol (asi ako ICQ), ale nie len. Existuje aj VNC® bez nejakeho privlastku - vydavatel tohoto programu je RealVNC. Taky nazov v repo beznych distribucii asi nenajdes, ale napr. spominane Ubuntu/Debian maju balicek vnc4server, inde je to napr. vnc-server

                                                    Prave z dovodu ® a uz existencie VNC serveru sa konkurencia casto oznacuje len ako VNC-compatible server, nie priamo ako VNC server a pod.
                                                    • Re: Fake 31.08.2012 | 13:54
                                                      WlaSaTy   Návštevník
                                                      Výborne,
                                                      Takže sa už dostávame k jadru veci. Ty si písal o jednej z implementácii VNC ako o jedinej možnej. Asi si ešte inú nevidel. Takže sa môžeš zamyslieť aj nad ostatnými programami o ktorých som písal už v mojom prvom príspevku.

                                                      Možnosť existencie zneužitia ešte neznamená že sa tak stane. S Tvojím argumentum ad hominem už môžeš rovno tvrdiť že so znásilnil Kráľovnú Alžberu a Mikimauza. Vyrástol mi ten orgán. (prirovnanie z filmu Bony a klid).
                                                      • Re: Fake 31.08.2012 | 14:56
                                                        aaaaaaaaaaaa   Návštevník
                                                        Nechcel si povedat, ze ty si pisal o VNC ako o jedinej moznej implementacii? V odkazovanom prispevku som explicitne napisal, ked som zacal hovorit o produkte VNC alebo o niecom, co sa v Ubuntu vola vnc4server, teda o konkretnej implementacii.
                                                        Ta pomylenost mozno plynie z toho, ze si neviem predstavit, ako by sa nasledne veci mohli tykat protokolu, takze som reagoval primerane k tomu, ze ide o konkretny program:
                                                        Napríklad VNC tiež neloguje prístup.
                                                        Niečo ako sú VNC, NoMachine NX, join.me a podobné produkty.

                                                        Preposielanie znakov u VNC sa u mna vztahovalo k celemu povodnemu protokolu VNC (lebo prave to je volne dostupne) a prave tam som cakal nejake vysvetlenie (na strane custom implementacie mimo "protokolu VNC" ide urcite spravit aj toto).
                                                        Možnosť existencie zneužitia ešte neznamená že sa tak stane.
                                                        To nikto nehovori, no ja a aj ostatni pouzivatelia antivirov by o moznosti asi radi vedeli. Ludia, co poznaju kernel a libc a ich fungovanie do takej urovne, ze by odhalili backdoor aj rucne, pricom nemaju radi BFU tooly nebudu pouzivat antivirus.
                                                        • Re: Fake 31.08.2012 | 15:17
                                                          WlaSaTy   Návštevník
                                                          >Nechcel si povedat, ze ty si pisal o VNC ako o jedinej moznej implementacii?

                                                          Nie nechcel, a nevkladaj mi Tvoje slová do úst.

                                                          >Preposielanie znakov u VNC sa u mna vztahovalo k celemu povodnemu protokolu VNC...

                                                          Zas sme pri tom, že berieš do úvahy iba jednu časť zo spomenutých produktov a úmyslene prehliadaš rozoverané veci.

                                                          >>Možnosť existencie zneužitia ešte neznamená že sa tak stane.
                                                          >To nikto nehovori

                                                          To hovorí pôvodná správa ktorú Ty schvaľuješ.

                                                          Takže jediný čo tu vkladá druhým cudzie slová do úst si Ty. A zrovna z toho obviňuješ druhých. Je mi jedno, či sa bojíš, Že Ti na to niekto príjde.
                                                          • Re: Fake 31.08.2012 | 16:05
                                                            aaaaaaaaaaaaaaaa   Návštevník
                                                            Nie nechcel, a nevkladaj mi Tvoje slová do úst.
                                                            Mas tam konkretne citaty, preco som si to myslel, ty si konkretne citaty nedal; skus to znova vysvetlit ako 5 rocnemu, vtedy to aspon k niecomu viedlo.
                                                            Zas sme pri tom, že berieš do úvahy iba jednu časť zo spomenutých produktov a úmyslene prehliadaš rozoverané veci.
                                                            Aku 1 cast? Ked som pisal, ze VNC nepodporuje preposielanie stlacenych znakov, tak som tym myslel VNC (vtedy ako protokol), nie ine produkty a nie ine preberane veci. Preto aj spominam VNC a nie "vsetky programy na vzdialeny pristup". Alebo je to nakoniec s preposielanim inak?
                                                            To hovorí pôvodná správa ktorú Ty schvaľuješ.
                                                            Toto som uz vysvetloval a potom znovu.
                                                            • Re: Fake 31.08.2012 | 16:16
                                                              WlaSaTy   Návštevník
                                                              >Mas tam konkretne citaty

                                                              Všimol som si. Ja som písal o niekoľkých podobných programoch, Ty o jednom. Od začiatku. A prisudzuješ mi Tvoje chovanie.

                                                              >Aku 1 cast?

                                                              Jednu časť zo spomenutých produktov z ktorých vidíš len jeden. Ostatné sú pre Teba neviditeľné. Asi máš nejakú poruchu vnímania.

                                                              >Alebo je to nakoniec s preposielanim inak?

                                                              Nie, nie je. Ako som už spomínal, tak keyboard sniffing sa dá urobiť v X Windows s bežne dostupnými nástrojmi ktoré sú v takmer každej distribúcii. Ale, to je fakt ktorý úmyselne prehliadaš.

                                                              >Toto som uz vysvetloval a potom znovu.

                                                              Na jednej strane vravíš, že je dobré upozorňovať na chovanie programov tak ako na to upozorňuje zdrojová správa a tým pádou s ňou súhlasíš, a na druhej strane tvrdíš že s ňou nesúhlasíš. Takže si odporuješ. Vceľku pochopiteľné chovanie.
                                                              • Re: Fake 31.08.2012 | 20:39
                                                                aaaaaaaaaaaaaa   Návštevník
                                                                Všimol som si. Ja som písal o niekoľkých podobných programoch, Ty o jednom. Od začiatku.
                                                                Aj bez citania diskusie viem, ze som pisal prinajmensom o dvoch, lebo som bol "sprdnuty" za to, ze som spomenul SSHd pri VNC. Okrem toho ked som pisal o protokole VNC, tak sa to urcite tykalo aj vsetkych programov vyuzivajucich tento protokol bez uprav.
                                                                Nie, nie je. Ako som už spomínal, tak keyboard sniffing sa dá urobiť v X Windows s bežne dostupnými nástrojmi ktoré sú v takmer každej distribúcii. Ale, to je fakt ktorý úmyselne prehliadaš.
                                                                Sniffovanie v X nepopieram a ako som pisal inde, bol by som rad informovany o tom, keby take nieco u mna bezalo - to aj keby islo o nastroje obsiahnute v distribucii. O samotnom behu X nepotrebujem byt informovany, lebo som o nom informovany dost tym, ze sa nieco graficke kresli u mna na obrazovke.

                                                                Ak umyselne prehliadam ine programy, tak je to teda u tebou menovanych VNC, Nomachine NX a join.me ine a umoznuju odposluchavat klavesnicu? Ak ano, tak by som o tom rad vedel - ked uz mi to neoznami antivirus, tak mi to mozes oznamit aspon ty.
                                                                Na jednej strane vravíš, že je dobré upozorňovať na chovanie programov tak ako na to upozorňuje zdrojová správa a tým pádou s ňou súhlasíš, a na druhej strane tvrdíš že s ňou nesúhlasíš.
                                                                Nesuhlasim s tym, ako je ta sprava napisana a s tym, ze ide vzdy o malware "dizajnovany na to, aby kradol hesla". Suhlasim s tym, aby antivirus informoval o takomto SW pomocou hlasky opisanej skor.
                                                                • Re: Fake 01.09.2012 | 16:56
                                                                  WlaSaTy   Návštevník
                                                                  Táto správička je o štandardnej funkcionalite programu ktorý ju má priamo v produktovej špecifikácii. Ak by si ten produkt inštaloval, tak si ho asi kúpiš. A ak by si ho chcel kúpiť, tak sa nad jeho kúpou rozhoduješ podľa ceny a hlavne vlastností v produktovej špecifikácii. Takže, jeho vlastnosti by si určite poznal pred jeho inštaláciou. Iné by to bolo ovšem v prípade, že by si ho kupoval bez platenia. Ale, v prípade pirátskych kópií máš istotu že si záškodnícky kód sám a dobrovoľne nainštaluješ.

                                                                  Ak Ťa veľmi zaujíma informácia že nejaký program robí podozrivé operácie, tak si zapni selinux. Tvoja paranoja bude milo prekvapená keďže ju začneš kŕmiť novými údajmi.

                                                                  Jeden Ti prihodím:
                                                                  Program ls lezie do súboru /etc/passwd. Už tam síce nie sú heslá (tie sa odsťahovali do /etc/shadow), ale sú tam iné zneužiteľné informácie ako telefónne číslo alebo dokonca reálne meno užívateľa.
                                                                  strace /bin/ls -l 2>&1 |grep pas
                                                                  • Re: Fake 01.09.2012 | 18:18
                                                                    aaaaaaaaaaaaaaaaa   Návštevník
                                                                    Ale nemam istotu, ze mi ho nenainstaluje niekto iny, ked bude mat napriklad roota - napriklad vdaka chybe v sshd, ako som pisal inde. Ked Americania hovoria, ze kazdy si pamata, co robil, ked sa dozvedel o atentate na Kennedyho, tak si podla mna kazdy admin pamata, co robil, ked sa dozvedel o diere v sshd, ktora umoznila lubovolnemu vzdialenemu uzivatelovi / PC ziskat roota. A kazdy urcite vie, co to bol za pocit. Nemusi ist o paranoju a veci, ktore sa v zivote nedeju.

                                                                    Mna velmi zaujima, co robi aky program za operacie, preto mi bezi kernel s grsec patchom a trufam si povedat, ze jeho RBAC "nejaky" SElinux a ani AppArmor nesiaha ani po kotniky. A grsec patch poskytuje aj ovela viac veci mimo RBAC - napriklad upravy kernelu tak, aby bol chroot naozaj ochrana a nie len hracka pre falosny pocit bezpecnosti.
                                                                    SElinux mi skor pripada ako "hybatko od mimozemstanov", u ktorych sa "ludia" vyjadruju uplne inak ako na Zemi. Napriek zlozitosti nastavenia nevidim realne prinosy pri porovnani s grsec patchom, ktory ma pomerne jednoduchu konfiguraciu - preto neviem, naco odporucas nieco taketo. Apparmor ma zase len minimum nastaveni a opisane nastavenia na ich wiki su vacsinou len navrh - aj tak si myslim, ze pre zaciatocnikov je to lepsia moznost ako SElinux. Vyhodu oproti grsec ma tu, ze je v distribucnych kerneloch.
                                                                    Program ls lezie do súboru /etc/passwd. Už tam síce nie sú heslá (tie sa odsťahovali do /etc/shadow), ale sú tam iné zneužiteľné informácie ako telefónne číslo alebo dokonca reálne meno užívateľa.
                                                                    Kto si dava do passwd zneuzitelne informacie, ten by mal pre ich ochranu radsej skusit pod rootom rm -rf /*. Ak mas napad, ako spravit uid->username lookup bez niecoho ako getpwuid(), tak ho navrhni a budem to pouzivat vo svojich aplikaciach.


                                                                    A jeden ti prihodim ja (presmeroval som vystup do /dev/null, nech to neotravuje):
                                                                    $ strace /bin/ls -l 2>&1 >/dev/null |grep pas
                                                                    send(4, "\2\0\0\0\v\0\0\0\7\0\0\0passwd\0", 19, MSG_NOSIGNAL) = 19

                                                                    DU: preco to asi nefunguje? (viem, ze toto nie je ochrana veci v passwd)
                                                                    • Re: Fake 02.09.2012 | 20:48
                                                                      WlaSaTy   Návštevník
                                                                      >Ale nemam istotu, ze mi ho nenainstaluje niekto iny, ked bude mat napriklad roota

                                                                      Tak to máš blbé. Ale, to má asi každý z nás.

                                                                      >Mna velmi zaujima, co robi aky program za operacie

                                                                      Tak sa pozri do logov z nejakého bezpečnostného systému.

                                                                      >SElinux mi skor pripada ako "hybatko od mimozemstanov"

                                                                      Nikto Ti ten pocit neberie.

                                                                      >Kto si dava do passwd zneuzitelne informacie

                                                                      Každá informácia sa dá využiť na dobré a aj na zlé účely. V tom druhom prípade sa jedná pochopiteľne o zneužitie.

                                                                      >A jeden ti prihodim ja

                                                                      Jednalo sa o príklad falošného poplachu. Keby si chcel byť informovaný o každom potencionálnom útoku, tak to na verejnom servri ani nestíhaš čítať. Ale, smelo do toho!

                                                                      Mimochodom, keby si sledoval tento typ informácií, tak si spomenieš že podobne obvinili skype z kradnutia údajov. Jednoducho si pri inštalácii pozrelo reálne meno a nejaké doplnkové info o užívateľovi a predvyplnilo s tým formulár. A niekto to chovanie porovnal zrovna s chovaním ls.

                                                                      K tým falošným poplachom. Ku mňe sa snažia liezť kadejaký script kiddies a boti. Ázia, Amerika, a vôbec sa kôli tomu neznepokojujem. Rozmýšľam či sa mi oplatí nahodiť honeypot a kuknúť či aspoň vedia o čo sa snažia.
                                                                      • Re: Fake 03.09.2012 | 00:40
                                                                        aaaaaaaaaaaaaaaa   Návštevník
                                                                        Tak sa pozri do logov z nejakého bezpečnostného systému.
                                                                        Vsak som pisal, ze prave na to mam grsec.
                                                                        Každá informácia sa dá využiť na dobré a aj na zlé účely. V tom druhom prípade sa jedná pochopiteľne o zneužitie.
                                                                        Prakticky v passwd nemusia byt ziadne citlive informacie (ak za take nepovazujes uid to username mapping). Ak je pre niekoho citlive jeho meno (napriklad adminuje server a majitelia o tom nevedia), potom si ho tam nemusi davat a nic sa nestane - akurat niektore programy nemusia meno spravne uhadnut, co je vlastne ziaduce.
                                                                        >A jeden ti prihodim ja

                                                                        Jednalo sa o príklad...
                                                                        Tak som asi zle polozil otazku - mne skor islo o to, ze si pisal nieco o citani z /etc/passwd, ale mam PC, kde pri ls -la necita /etc/passwd. Tym som chcel povedat akurat to, ze passwd nemusi byt v /etc/passwd.
                                                                        Keby si chcel byť informovaný o každom potencionálnom útoku, tak to na verejnom servri ani nestíhaš čítať
                                                                        Ide o mieru, nakolko je utok "potencialny". Ak je to aj nacitanie stranky z webserveru, tak potom by som asi naozaj nestihal cital.

                                                                        Ked zoberiem len tie nacitania, kde boli nejake "divne" hlavicky alebo tam boli poziadavky pokusajuce sa zneuzit bezne webove zranitelnosti, tak pocet "utokov" po odfiltrovani hned blokovanych botov za den spocitam na jednej ruke - samozrejme po zoskupeni podla IP. To sa da dalej filtrovat tak, ze ide o jednotky utokov na web za rok, ktore je treba preverit. Toto by ani nebolo treba skumat, ale obycajne sa to hodi + ako dalsia vrstva to podla mna zvysuje bezpecnost serveru, aj ked su weby inak uplne izolovane od ostatneho.

                                                                        Potom su este utoky na aplikacie - napriklad pokusy o slowloris, ktore u mna nefunguju a pod. To si len zvlast logujem, ale citanie tychto logov podla mna nema vyznam. Logujem aj dalsie veci, ktore nefunguju; naviac emailom oznamujem (a blokujem) aj mozne veci, ktore by mohli fungovat, ale ide len o heurestiku. Slowloris bol napriklad nedavno popularny a islo o jednotky utokov za den, teraz uz to neskusa skoro nikto.

                                                                        Potom su tu este DDoS a utoky na system, kde si velmi nevyberiem. O tom sa informujem, ale tych nastastie vela nie je a zatial mam stastie, ze ma postihli len mensie DDoS, ktore si boli dost podobne (myslim si, ze islo skor o omyl alebo test). To islo len cca o 200-400Mbps UDP trafficu (nie DNS) pocas ~5 hodin, preto nastastie nikto okrem mna nic nepostrehol.

                                                                        V praxi som sa teda nestretol s nicim, na co by sa zisiel honeypot (web je honeypot vlastne sam osebe). Je ale pravda, ze SSH mam povolene len pre moje IP a pochopitelne v logoch nemam ziadne utoky, vela ineho mi nebezi.
                                                                        • Re: Fake 03.09.2012 | 00:56
                                                                          WlaSaTy   Návštevník
                                                                          >prave na to mam grsec.

                                                                          Výborne, dúfam že ho užiješ v zdraví.

                                                                          > Tym som chcel povedat akurat to, ze passwd nemusi byt v /etc/passwd

                                                                          Je úplne jedno, kde sú tie informácie. Ak ich máš v LDAP alebo hoci aj v MySQL DB, je to en na Tebe. Ale, bežné typy notebookov to majú lokálne aj po starom, pochopiteľne..

                                                                          > To sa da dalej filtrovat tak, ze ide o jednotky utokov na web za rok, ktore je treba preverit.

                                                                          V prípade že chceš byť informovaný, ako si hovoril, o všetkom, tak nepripadá do úvahy automatická filttrácia.

                                                                          >V praxi som sa teda nestretol s nicim, na co by sa zisiel honeypot

                                                                          Na jednu stranu máš nutkavú obsesiu pedantne konrolovať bezpečnosť systému, a na druhú stranu Ťa nezaujíma úroveň znalostí ľudí čo riešia útoky. To z môjho pohľadu nepripadá moc optimálny prístup, ale je to Tvoj voľný čas a Tvoja paranoja. A mimochodom, honeypot má aj iné využitie ako otestovanie úrovni znalodtí útočníka.
                                                                          • Re: Fake 03.09.2012 | 14:20
                                                                            aaaaaaaaaaaaaaaa   Návštevník
                                                                            V prípade že chceš byť informovaný, ako si hovoril, o všetkom, tak nepripadá do úvahy automatická filttrácia.

                                                                            Je rozdiel "o vsetkom" (kazdy pristup) a "o vsetkom dolezitom". Automaticka filtracia a rozdelovanie ma vyznam napriklad pri SMS notifikaciach, aby SMS nechodili stale, ale aby som bol zaroven hned informovany o probleme. Ak requesty nemaju ziadny znak utoku a v podstate vsetky vyzeraju velmi podobne (az na par hlaviciek), tak podla mna nema zmysel ich podrobne logovat okrem klasickeho access logu.

                                                                            Za znaky utoku povazujem napriklad velmi dlhe hlavicky (moznost buffer overflow), binarny "balast" a pod. Raz za cas rucne overujem aj stranky, ktore vratia status iny ako 200 - tam sa da tiez najst nieco ako utok, ale skor tak najdem chybny odkaz v niektorej z poskytovanych stranok. Zaujimave, ze ty ako zdroj utokov spominas hlavne miesta mimo Europu, ale na mna sa z takych miest utoci len "hlupo" na styl DDoS alebo mechanickeho vkladania ich URL do URL stranok na test neosetreneho php include(). Okrem toho este ide o masivne testovanie verejnych exploitov, coho sa az tak nebojim.
                                                                            Naproti tomu boli u mna prakticky vsetky aspon trochu viac sofistikovane utoky vedene z CZ/SK alebo cez verejne proxy servery. Nemam sice velku vzorku, ale myslim si, ze o to ide hlavne pre lokalny vyznam prevadzkovanych webov, ktore su prakticky len v cestine a slovencine.

                                                                            Dalsie info poskytuje system, co uz hovori o uspesnom utoku na web a prekonani jednej ochrany, co je dobre v pripade prekonania 1 vrstvy ochrany.

                                                                            Mam sice snahu vsetko kontrolovat, ale nieco ine je "online" notifikacia - SMS, email - kam posielam prakticky len vazne podozrive veci okamzite, ked sa deju, nieco ine je log prakticky len ukladany a nieco ine je nejaky log po offline kontrole, ktoru sam pustim a dal by mi tam upozornenie na to, ze sa u mna nachadza keylogger / packet sniffer / existuje nejaky globalny preload / nieco ine. Ak som packet sniffer alebo keylogger pustil sam, tak to budem urcite ignorovat; ak nie, tak to bude pre mna signal, nech zistim zneuzitu dieru, docasne ju zaplatam a preinstalujem cim skor system.
                                                                            Na jednu stranu máš nutkavú obsesiu pedantne konrolovať bezpečnosť systému, a na druhú stranu Ťa nezaujíma úroveň znalostí ľudí čo riešia útoky.
                                                                            Myslim si, ze nie ze ma nezaujima, ale to vidim z logovanych informacii aj bez honeypotu.

                                                                            Ak niekto utoci na web beznymi technikami, tak sa vsetko najde v logu. Okrem toho vyhodnoteny utok blokujem (docasne aj vratane dalsich pristupov), logujem vsetky hlavicky a ukladam si cely uploadnuty subor. Viem, ze pri "klasickych zakaznikoch" by si toto nikto nemohol dovolit, ale u mna je to nieco ine. Moj filter sa nepodarilo zatial nikomu nijak obist (podla ostatnych logov, nemozem ale vylucit "featury" napadanej stranky) a false positive bolo par, pricom vsetky boli chyba autora webu v podstate priamo umoznujuce XSS tak, ze sa parameter pridaval priamo do stranky a autor si sam chcel vlozit zvyrazneny text pomocou tagu <b> (bohuzial to nemozem ukazat, lebo mi to sem nedovoli vlozit ani pri escapovani < pomocou &lt;).
                                                                            A mimochodom, honeypot má aj iné využitie ako otestovanie úrovni znalodtí útočníka.
                                                                            Ake napriklad okrem mozneho ziskania funkcnych exploitov, ktore ziskam aj tak vdaka sirsim logom?

                                                                            Ja honeypot nechcem hlavne preto, lebo je to vela prace s otaznym ziskom. Logy mam aj tak a znalosti utocnika nebudu dobre otestovane, ked honeypot nebude doveryhodny. A doveryhodny honeypot by mal minimalne obsahovat Perl, mal by dovolit zakladny shell scripting, napriklad aj stahovanie suborov a mozno aj posielanie mailov a moznost pocuvat na niektorom porte. O vsetko toto sa pokusali utocnici na moj server, aj ked sa az k tomu samotnemu vlastne ani nedostali.

                                                                            Ale rozmyslal som, ze ak by som niekomu poskytol vsetko toto, aj ked vnutri nejakeho sandboxu izolovane od dolezitych dat, tak by som stratil vlastne vela z toho, pred cim sa snazim server chranit. Dovolim utocnikovi mail - bude spamovat, dostanem sa na blacklisty. Dovolim mu pocuvanie na niektorom porte - spravi zo mna server botnetu alebo ma zapoji do botnetu. Dovolim mu shell scripting a jednoduchy wget - pusti niekolkokrat v cykle stahovanie nejakej stranky, cim DoS-ne nejaky server (staci mu takychto serverov par a ciel bude nedostupny, az pokedy si to admin cielu neuvedomi a nezozenie bloknutie tych par IP niekde po ceste). Perl je len kombinacia predchadzajucich moznosti s tym, ze este ma moze pouzivat pri bruteforci a vlastne pri lubovolnych dalsich utokoch.
                                                                            • Re: Fake 03.09.2012 | 18:14
                                                                              WlaSaTy   Návštevník
                                                                              >Je rozdiel "o vsetkom" (kazdy pristup) a "o vsetkom dolezitom".

                                                                              A práve tu sa dostávame k môjmu prvému príspevku v tejto téme. Ja nepovažujem za dôležitú informáciu PR zápis antivírusovej firmy ktorej chýba zdroj pôvodu.

                                                                              Ani by som sa nedivil, keby to PR vzniklo tak, že si biely kôň zakúpil licenciu na daný produkt a v tichosti anonymity to pribalil do torrentu. To by sa potom ozaj ľahko dokumentovali testy. Ale, ako to bolo mi je úplne jedno. Môj stroj čo mám pichnutý do von nemá x86/64 architektúru, takže by si mohli útočník aj s predajcom antivírusu trhnúť nohou aj keby sa náhodou jednalo o reálnu hrozbu. Ale, tomu neverím. PR bez detailov spadá vždy do kategórie "leštený prd".
                                                                              • Re: Fake 04.09.2012 | 11:41
                                                                                aaaaaaaaaaaaaaaaa   Návštevník
                                                                                Mohlo to vzniknut aj tak, ale skor si myslim, ze to k torrentu pribalil niekto s nimi nespojeny. Tomu nahrava aj moznost platby bitcoinom, kedze neanonymne by si to asi ziadny zaskodnik nechcel kupovat. Pochybujem aj o tom, ze je nejaka moznost to odlisit od bezneho "malwaru", kedze podla ich cenniku ponukali napriklad aj "undetected" verziu pre Windows, ktora podla poznamky priamo hovori o nezisteni antivirusami.

                                                                                Tvoj stroj s inou akou x86/64 architekturou ti IMHO nepomoze, len to oddiali teba o 1 krok (rovnako, ako keby ti tam bezala x86). Ak tam zvonku pocuva SSH s plnohodnotnym shellom, tak niekomu staci ziskat aj ucet obycajneho uzivatela a uz ma pristup aj dovnutra siete. Ak nie, tak tam moze bezat nieco ako Mikrotik RouterOS, na ktorom si moze ten utocnik po uspesnom utoku presmerovat porty a pristup ma v podstate tak isto. Uspesny utok sa statisticky podari skor ako na tvoj PC, lebo malokto aktualizuje svoj router, ale zato update pracovneho PC si robi pomerne vela ludi.

                                                                                Ak tam zvonku nepocuva nic, tak to podla mna nie je vyrazne bezpecnejsie, ako keby tam sedel priamo tvoj PC a neposluchal by nikde.
                                                                                • Re: Fake 05.09.2012 | 10:32
                                                                                  WlaSaTy   Návštevník
                                                                                  Programy príbuzné mallware sa oficiálne používajú vo firmách aby manageri mohli kontrolovať či ich zamestnanci sa venujú práci a nie či sa hrajú nejaké hry. A s tým bitcoinom, to sa dá brať len ako vtip. Ak poznáš skákanie hodnoty majoritných mien typu Euro (PIGS, hlavne Gréci ho ťahajú do kanála) alebo Dolár (plánovane klesol a umelo sa jeho cena znižuje, a navyše sú už dávno schválené plány na Amero), tak bitcoin je dosť dobrá alternatívna mena.

                                                                                  A s tým ssh, tak to je dobrý vtip. Ako by asi tak ten prístup získal, hádaním hesla ktoré mám monitorované alebo tým že ma opije a poviem mu to? Zas nemusíš argumentovať blbosťami. Ten stroj mi beží v kuse skoro 10 rokov.
              • Re: Fake 30.08.2012 | 03:23
                aaaaaaaaaaaaaaaaaaa   Návštevník
                Kde tu nieco odsudzujem? Ze pisem, ze Linux neodola, ked je uzivatel debil? Prepac, ale to neodolaju ani tie najlepsie systemy, ked debil dostane plne prava. Akurat niekde staci zelene jablcko a niekde treba napisat nejaky prikaz.

                Akurat pisem, ze je o tom treba ludi upovedomit (mimochodom uplne rovnako ako o zruseni kontroly cez xhost, ale o tom tu teraz nie je rec) a to preto, lebo to umoznuje zaznamenavat klavesy, pricom to nie je vidiet. Xka su na tomto akurat relativne lepsie, lebo logovanie vyzaduje utocnika online. Bolo to porovnanie konkretnej cinnosti - offline keyloggingu, ktoru povazujem za nebezpecnejsiu ako online utok - preto je podla mna tato cinnost v niektorych pripadoch zaskodnicka; cim nehovorim nic o mojom nazore na online utoky..

                Takze, suma sumarum. Tvoje porozumenie pisanemu textu je v tomto pripade dost slabe.
                • Re: Fake 30.08.2012 | 10:05
                  WlaSaTy   Návštevník
                  odsudzuješ program z rovnakej kategórie keďže robí to isté ako iný program z tej istej kategórie ktorý neodsudzuješ. Počkaj, to si už asi čítal ale nepochopil.


                  Hmmm, s takýmito programami som sa rekreačne zaoberal už pred cca 15 rokmi a stále sledujem ich vývoj. Na základe čoho mám podľa Teba problém porozumieť písanému textu, na základe toho že som používal viac programov ako Ty keďže máš skúsenosti len s jedným? To by potom vysvetlovalo kvalitu argumentácie.
                  • Re: Fake 30.08.2012 | 12:46
                    aaaaaaaaaaaaaaa   Návštevník
                    Ako ho odsudzujem?

                    Je jedno, kedy si sa nimi zaoberal - ja som sa pytal na konkretne odsudzovanie. To, ze existuju nelegitimne (zaskodnicke) pouzitia toho programu je podla mna konstatovanie, ktore je uplne regulerne a nic to neodsudzuje.
                    To, ze som sa o niecom inom tak nevyjadril neznamena, ze konkretne moznost nelegitimneho pouzitia neplati aj o nich. Povedane pravnickou recou, nejde o taxativne vymenovanie, lebo to by som musel poznat asi vsetky programy sveta a u kazdeho aj moznosti jeho pouzitia.
                    • Re: Fake 30.08.2012 | 21:21
                      WlaSaTy   Návštevník
                      Ako odsudzuješ produkt Netwite o ktorom hovorí zdroj tejto správičky? Tak, že doznávaš že jeho legálny popis práce kôli ktorému si ho klienti kupujú je záškodnícky.

                      Je to podobné, ako keby si o vlastnej matke povedal že je vrahyňa keďže má v kuchyni nože ktorými dokáže zabiť človeka. A občas si to trénuje na kaprovi, sliepre, králikovi alebo aspoň na zelenine. Alebo keby si povedal o vyšetrovateľovi z protidrogového, že je dealer keďže cez jeho ruky tečú drogy. Alebo, ako keby si povedal o novinárovi, že je špión, keďže sa zaujíma o dianie v rôznych regiónoch a informácie zasiela na ústredie. Obvykle aj s fotodokumentáciou.

                      Jedna vec je náplň práce, a druhá vec sú skutky. Ty odsudzuješ zverejnenú náplň práce len preto, že je ľahšie prijať cudzí názor ako sa nad tým zamyslieť.
                      • Re: Fake 31.08.2012 | 00:15
                        aaaaaaaaaaaaaaaaa   Návštevník
                        Pre mna je zaskodnicke aj spominane while :; nc -l -p 12345 | sh; done a napriek tomu si nemyslim, ze je zaskodnicky moj shell alebo nc. Akurat sa mi nepaci konkretna featura pri konkretnom nastaveni, ak o tom uzivatel nevie a preto preferujem oznamenie tejto veci uzivatelovi, ktory je snad dost schopny na to, aby posudil ci ide o zamer a ci vobec ma ten program kupeny na to, aby ho sledoval.

                        Nedavno, ked bola v sshd diera umoznujuca ziskat remote roota, by som jednoducho tiez viac ocenil, keby som sa dozvedel hned o vsetkych backdooroch, ktore do systemu mohol niekto stihnut nainstalovat. Jednoducho aj pri snahe o najlepsiu spravu niekedy moze byt admin zrovna na predlzenom vikende a tak mu to moze vsetko okolo nejak uniknut (ako v pripade tej diery v sshd, ktora sa objavila ako naschval prave v taky cas). Napriek tomu, ze sa neobjavi ziadny novy zapis v logu by som aj prave v takom pripade ocenil, keby mi antivirus oznamil aj podobne kupene programy pri vykonavani ich "regulernej" cinnosti.

                        Ja teda neodsudzujem samotnu napln prace, ale cisto egoisticky by som rad videl informaciu, ze nieco take u mna bezi a to radsej aj v pripade, ze to da niekedy falosny poplach (uzivatel to odignoruje) ako keby to nemalo informovat o moznom logovani klavesnice. Viac som opisal skor.
                        • Re: Fake 31.08.2012 | 00:36
                          WlaSaTy   Návštevník
                          Ten program sa predáva a je tým pádom jasné že človek čo ho používa ho zakúpil a pochopiteľne vie d čoho investoval peniaze. A tak isto je jasné, že si vlastník počítača chráni svoj stroj pred inštaláciou nevyžiadaného software.

                          Takže k tomu upozorneniu nemá prečo dôjsť. Tvoje argumenty tým pádm padli.
                          • Re: Fake 31.08.2012 | 01:19
                            aaaaaaaaaaaaaaaa   Návštevník
                            Ano, ale pisal som, ze nie vzdy je mozne svoj PC uchranit. Ako som pisal, niekedy sa zbehnu udalosti, na zaklade ktorych PC mozno neuchranis (predlzeny vikend, vazna diera v sshd) a hned tam moze niekto nainstalovat nieco take.

                            Aj ked do toho niekto investuje peniaze, tak by som bol na to rad upozorneny. Pred vaznou dierou v sshd som sa vtedy ani ciastocne nechranil portknockingom a ani teraz sa vela ludi nechrani proti podobnemu utoku - napriklad fbi.gov aspon nedavno tiez nasluchal nejaky SSHd, takze to nie je len domena uplnych amaterov. Preto ma zmysel upozornovat aj na taketo programy - nie kazdy si ich tam musel nainstalovat sam.
      • Re: Fake 29.08.2012 | 21:40
        Avatar bedňa LegacyIce-antiX  Administrátor
        Som si to prečítal ešte raz a fakt som omylom spojil prvé tvrdenie:

        ... Russian anti-virus company Doctor Web is reporting ...

        a dole v texte

        ... Doctor Web successfully detects and removes the backdoor ...

        eMDi to môže kľudne napraviť, zato nemusíš používať slová ako fabulácia.
        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
        • Re: Fake 29.08.2012 | 22:00
          WlaSaTy   Návštevník
          Áno, a presne o tom je fabulácia. Senzačný titulok, nepodložené tvrdenie a nakoniec správa ktorá sa odkazuje na niečo iné.

          Mimochodom, z ktorého portálu si čerpal námet na tú správičku? Lebo dosť z nich použilo takmer identickú formuláciu ako Ty.

          PS.: ai by bolo naozaj vhodné umožniť vypnúť zobrazovanie správičiek cez sušienky.
          • Re: Fake 29.08.2012 | 22:03
            Avatar bedňa LegacyIce-antiX  Administrátor
            Portál Google.
            Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
            • Re: Fake 29.08.2012 | 22:09
              WlaSaTy   Návštevník
              aj s MLP.
              • Re: Fake 29.08.2012 | 22:11
                Avatar bedňa LegacyIce-antiX  Administrátor
                S čím?
                Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                • Re: Fake 31.08.2012 | 02:29
                  aaaaaaaaaaa   Návštevník
                  Zeby s My Little Pony? Alebo s
                  More Light Presbyterians - Seeking full participation of LGBT people?

                  Inak by som povedal, ze toto nie je "Mindless Link Propagation" - bez linku by sprava neopisovala skoro nic. Akurat nemusela obsahovat ten dodatok, co s tym spravi antivirus DrWeb.
                  • Re: Fake 31.08.2012 | 02:52
                    Avatar bedňa LegacyIce-antiX  Administrátor
                    Konec koncov, práve tá posledná veta je pravdivou :-)

                    Ten program sa chová ako vírus aj keď to v má v špecifikácií, takže pokiaľ mám v počítači Dr.WEB a zamestnáveteľ mi ho tam nainštaluje na sledovanie má smolu.
                    Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org