Mnoho z nás už určite na svojej Windows mašine strčilo kamošovo USBčko do PC a nahrala mu tam nejaké mp3ky, videá alebo dokonca nejaký inteligentný obsah.
Nikomu by ani nenapadlo, že kamarát môže byť trošku skúsený a pomocou "skvelého" USB disk U3 rozšírenia si spustí na našej mašine nejakú aplikáciu. V niektorých prípadoch netreba ani U3 key.
Nikoho by asi nenapadlo, že to môže byť aj zbierka utilít, ktoré pekne zmapujú náš stroj, či uložia uložené heslá z prehliadača na spomínaný USB kľúč.
Projekt Switchlade / Hacksaw od skupiny nadšencov, ktorí vedú projekt hak5.org slúži ako pekný príklad naivnosti a prebytočných funkcií v systéme Windows.
Na čo to vlastne slúži ?
Oba projekty sú v podstate zbierkou utilít, ktoré zachytávajú citlivé uložené a nezabezpečené dáta na lokálnom stroji. Projekt Switchblade slúži na "lokálny útok", pri ktorom sa spomínané dáta uložia priamo na USB disk. Naopak, projekt Hacksaw vytvorí tunel a pomocou neho odošle dáta na nami udaný mail.
Môžete si vybrať, ktorý spôsob sa Vám zdá vhodnejší.
Čo všetko sa dá získať ?
Samozrejme, keď môžeme na stroji spustiť ľubovoľný program, môžeme získať ľubovoľné dáta, pretože väčšina užívateľov pracuje pod adminstrátorským účtom. Záleží len od payloadu, ktorý zvolíme. Ako príklad uvediem:
- heslá v prehliadači
- hash login hesla niektorého užívateľa
- WEP key
- konfiguráciu siete
Ako ďalšie bonusy si predstavte jednoducho čokoľvek.
Čo k tomu dodať? Neukladajte si heslá, používajte obmedzené užívateľské konto, nevkladajte cudzie USB disky do PC ;)
no u mna si nespusti:) totiz pri zapojeni do USB mi akykolvek disk najprv prebehne kontrola a az potom sa pripoji. A kedze nejdem pod admin pravami nema sancu mi tam zapisat do registrov nic:) To je zaklad ktori useri na win nedodrzuju... Pracovat ako user nie admin.
totiz:While the USB Switchblade does require a system running Windows 2000, XP, or 2003 logged in with Administrative privledges and physical access the beauty lies in the fact that the payload can run silently and without modifying the system or sending network traffic, making it near invisible.
----------------------------------------
Hlúposť užívateľa je úmerná jeho právam.
v tomto pripade, sa mylsim, velmi hodi tvoja signatura
"Hlúposť užívateľa je úmerná jeho právam."
mozno offtopic, ale pre tych co by zaujimali ine aplikacie na USB, ktory nemusi byt U3, mozno by ich zaujimali PortableApps. Daju sa nainstalovat na hocijaky USB kluc a ten sa potom v podstate vie "chovat" ako U3.... Just in case somebody's interested in this ;)
--
The best way to predict future is to invent it...
Z portableApps mam skoro vsetko :) niektore veci su fakt usefull + tu je podobna stranka http://www.portablefreeware.com/
z portable veci najviac vyuzivam Operu. hodi sa hlavne v nejakom net cafe ked tam nemaju nic ine len ten otravny IE alebo superpomalu Mozillu...
But I still haven't found what I'm looking for...
Dovolim si z blogu uzivatela ehmo pridat link.
http://blog.synopsi.com/2008-01-06/gmer-rootkit-bez-zabran
Pise sa tu o rootkit Gmer, ktory vyuziva chybu pristupu zapisu do MBR pre widle XP aj Vista. Po nabootovani je tento rootkit pevne zakoreneny v systeme a neda sa odstranit zabehu (on fly).
----------------------------------------------------------------------------------------------------
Dobrý vedec dokáže každú vec jednoducho vysvetliť aj blbcovi (nie úplnému :) .
Mam pocit ze nic nove pod slnkom... gmer je okrem toho konkretneho rootkitu aj nastroj na odstranovanie rootkitov :D http://www.gmer.net/
take rootkity ako gmer, sony alebo sysbus32 su uz davno zname, len sa tazsie odstranuju :)
--
But I still haven't found what I'm looking for...
keby si si precital clanok vedel by si ze gmer je rootkit ktory bol napisany ako poc. takisto sa tam pise ze je moznost ho ostranit.
nic nove? mbr je v celku dost nova zalezitost (ak sa pozerame z pohladu tyzdnov a nie dni). kazdopadne gmer ma jednu vyhodu oproti vsetkym ostatnym, inicializuje sa pred bootovanim systemu.
------------------------------
http://blog.synopsi.com
ok. nexem sa s tebou hadat, len diskutovat :) nebol MBR (ked hovoris ze je to zalezitost tyzdnov) napriklad uz v win2000 a XP-cku? tato stranka http://thestarman.pcministry.com/asm/mbr/index.html
je updatovana dakedy v 2002. a ten clanok som cital cely lebo ma zaujal... co znamena "gmer je rootkit ktory bol napisany ako poc." konkretne skratka "poc."?
--
But I still haven't found what I'm looking for...
neviem ci pod MBR myslite nieco ine ako ja, alebo som pozral privela drog, ale Master Boot Record sektor existoval uz od 8086 (tj. 086, pred 186 a 286), viry (rootkity svojej doby) sa tam pchali odjakziva - opytajte sa lekvara
pchali kym neprisiel 2k ci nt? jeden z nich. potom sa pchat prestali a znova to zacali. preto je gmer zaujimavy
------------------------------
http://blog.synopsi.com
hm som myslel ze sa pohybujes viac v tejto problematike, poc je samozrejme proof of concept
MBR existuje predsa od zaciatku, bavime sa o jeho zneuziti. strasne sa mi nechcelo tu stranku citat, mam teraz toho akosi moc a tak som narychlo prebehol cez search a rootkit, trojan, virus nikde nebol. ak si nepochopil o com clanok je, mal by si si ho precitat (ten moj). nehovori o tom ze mbr vnizkol vcera, ale ze sa zneuziva jeho odomknutie pre zapis rootkitu ktory si zabezpeci inicializaciu pred bootovanim systemu
------------------------------
http://blog.synopsi.com
pod vistou gmer nespustis (ochrana load) cize stanu sa 2 varianty:
1.) Vista nenabehne zacykli sa (8 x)
2.) Vista nabehne ale nie je spusteny gmer (3x)
Robila mi to verzia 1.0.13.12540
----------------------------------------
Hlúposť užívateľa je úmerná jeho právam.
davam do pozornosti iny clanok ktory pise o zavaznejsom rootkite ako je gmer. http://secit.sk/content/view/35/2/1/1/
myslim si ze to je najvaznejsia hrozba buducnosti...
---------
But I still haven't found what I'm looking for...