[HWSW]

Bekerült a számítógépes bûnözés elleni harc tananyagába annak a biztonsági résnek a leírása, melyet nemrégiben fedezett fel a NetAcademia Oktatóközpont etikus hackere. Az új típusú támadásra való felkészülést márciustól a világ 60 országában oktatják.
https://www.hwsw.hu/hirek/46066/netacademia-ethical-hacking-oktatas-windows-sebezhetoseg-biztonsag.html

[lgb]

Nem teljesen vilagos, mi ebben a nagy szam. A memoriaban tarolt adatokat ha tudja modositani (legyen az kod vagy adat) szabadon, akkor elvileg barmit megtehet, ez teljesen logikus. Amde ahhoz mar eleve megfelelo privilegium kell, hogy legyen, hogy ezt megtehesse, tehat ez voltakeppen nem biztonsagi hiba, hanem termeszetes mukodesi modja a dolognak. Vagy en ertettem rosszul, hogy pontosan mit is csinalnak itt?

[avman]

"Nem teljesen vilagos, mi ebben a nagy szam."
newton elõtt és után is ugyanúgy potyogtak az almák, nem csak az õ fejére, az addig sem volt nagy szám. de meglátni egy összefüggést és kidolgozni rá valamit...

[Meister]

A hírben a lényeg nem a sérülékenység léte, csak az összes média így interpretálta.
A hír lényege, hogy egy magyar biztonsági szakember által készített rootkit bekerült az EC Council tananyagába.
(És mellesleg ez egy gerillakampánya a netacademia-nak, szerintem. ))

[Ytse]

@Meister: mitõl lenne gerillakampány? közleményt küldtek ki róla egyébként úgy gondoltam, érdekes lehet a hiba részletezése is, hamarosan felkerül a netre a Miamiban tartott elõadás, amit elérhetõ lesz itt is, ha valakit érdekelnek a további infók, nézzen vissza kicsit késõbb

[sony88]

Meg szép hogy érdekel
Ugyis HIPS-ekkel foglalkozom kiváncsi vagyok melyik "házörzõm" találja meg elöbb ezt a hires kódot
A NetAkadémia mindigis hiresvolt a szakembereiröl , hát mostmár még hirhedt is lesz :P

Ádám csak a prezentáció lesz fenn vagy akár valami kis video is tudnálmajd linkelni?
Megköszönném szépen elöreis

[Ytse]

itt a videó a cikkben a Miami elõadásról

[lgb]

@avman: Hat sorry, de rossz a hasonlat. Itt arrol van szo, hogy ez nem hir, ez evtizedekkel ezelott is tokeletesen ismert altalanos jellegzetessege a szamitogepeknek: ha modositod a memoria tartalmat, akkor ugye lehet valtoztatni a dolgokon Szoval ez kb NULLA hirertek. Max az erdekes belole, hogy mondjuk egy _konkret_ feladatra hasznaltak ezt. Masreszt masik kommentelo irja hogy a "hiba reszletezese". Ez nem hiba. Igy mukodnek a szamitogepek Vagy tiltsuk meg a memoriaba irast, es RAM helyett ROM legyen?

[Ytse]

@lgb: A RAM-ba lehet írni, ez tök triviális, az operációs rendszer védett memóriaterületére úgy írni, hogy abból az operációs rendszer semmit se érzékel, az nem triviális.

[sony88]

Ádám köszi szépen a videot

Ha a peldakod program formájában lenne megnézném egy HIPS-el ugyan mit tudna kezdeni

Csak nekem tünt fel vagy egy FEDORA-an mutattákbe ezt a micsodát

Ugylátszik Csakba nem bizott anyira a sajaát kodjában hogy Windowson emuláljon egy Windowst

[ro0p]

Lehet, hogy el vagyok tévedve, de ennél nagyobb security hole-t nehezen tudok elképzelni. Anno, amikor az oprendszerek a CPU "valós" módját használták triviális volt, hogy minden process ahhoz az erõforráshoz fért hozzá amihez nem szégyelt. Aztán volt a "védett virtuális" mód, ahol a processek azt hitték h kaptak egy "valós" módu CPU-t. Ez már valamennyire elszeparálta õket, és csak a másik process kódszegmenseibe nem lehett irni, de az adatszegmenseibe viszonylag simán. Van még a "védett" CPU mód privilégiumszintekkel meg miegymással, amiben egy process ha belezöldül sem férhet hozzá egy másik process adataihoz ha a kernel processkezelõje normálisan van megoldva. A régebbi windowsok (a 98 biztos) nem használták az összes priviszintet, csak kettõt (kernel, user), ráadásul átjáróház volt a kernel szinten futó user processek miatt. A késõbbi windowsok is örökölhették ezt?
Visszatérve a hírhez, az OS-nek illik annyi priviszintet kezelni amennyit csak lehet, és legalább logolni ha egy process priviszint emelést kér (pláne ha még kap is). Más kérdés, hogy hogyan tud egy process magasabb szintre jutni mint az Access Token kezelõ...

Világosítson fel valaki; nagyon bevittem magam az erdõbe, vagy ez tényleg ekkora blama?

[Meister]

Csaba kódja kernel szinten fut.
kernel szinten azt csinálsz, amit akarsz. Nem véletlen, hogy a Windows pl. rákérdez, ha telepíteni akarsz valamit, ami nem user módban fut.
Kernel módban csinálhatsz teljes memória dumpot, vagy amit akarsz.

Ugye a trükk az az, hogy már van SYSTEM userként hozzáférésed az adott géphez, azaz valami más hibán keresztül már beléptél a gépre, s akkor tudod telepíteni a kernel módú drivereket.

[sony88]

AT 12:00 /interactive cmd.exe

tessék ezt bepötyögni paracssorba , majd utánna elöugrik egy uj cmd

ez a cmd ha lekrjük whoamival egy local system jogosultságotkap

inentöl kezdve akár a system volume information nevü mappához is hozzáférésünkvan lazán

ami azt jelenti én XP használok de kriprobáltam egy ismerös Win7 és mihelyt megkapom az új cmd és

abból inditok bármit az UAC még a legerösebb modbansem teker rá lévén a legmagasabb bisztonsági szintel

futtathatok bármit...

[Warrior]

Idézet: lgb - Dátum: 2011. 02. 02. 13:44

@avman: Hat sorry, de rossz a hasonlat. Itt arrol van szo, hogy ez nem hir, ez evtizedekkel ezelott is tokeletesen ismert altalanos jellegzetessege a szamitogepeknek: ha modositod a memoria tartalmat, akkor ugye lehet valtoztatni a dolgokon Szoval ez kb NULLA hirertek. Max az erdekes belole, hogy mondjuk egy _konkret_ feladatra hasznaltak ezt. Masreszt masik kommentelo irja hogy a "hiba reszletezese". Ez nem hiba. Igy mukodnek a szamitogepek Vagy tiltsuk meg a memoriaba irast, es RAM helyett ROM legyen?

Akkor te is lemaradtál pár évtizedet. Védett mód, amióta létezik, azóta picit más a helyzet, mint anno DOS alatt, valós módban...

[Warrior]

Idézet: sony88 - Dátum: 2011. 02. 02. 21:05

AT 12:00 /interactive cmd.exe
...

Korlátozott userként is?

[Szabcsi]

Idézet: Warrior - Dátum: 2011. 02. 02. 22:03

Korlátozott userként is?

Há hogyne...

[jthunter]

@Szabcsi:
Microsoft Windows [Version 6.1.7601]
Copyright © 2009 Microsoft Corporation. All rights reserved.

C:\Users\XXXX>AT 12:00 /interactive cmd.exe
Warning: Due to security enhancements, this task will run at the time
expected but not interactively.
Use schtasks.exe utility if interactive task is required ('schtasks /?'
for details).
Access is denied.

Ebből azt szűrtem le, hogy nem megy, habár nekem eleve a felvetés is furcsa volt, hogy egyáltalán mehetne...

[Szabcsi]

Idézet: jthunter - Dátum: 2011. 02. 03. 00:07

@Szabcsi:
Microsoft Windows [Version 6.1.7601]
Copyright © 2009 Microsoft Corporation. All rights reserved.

C:\Users\XXXX>AT 12:00 /interactive cmd.exe
Warning: Due to security enhancements, this task will run at the time
expected but not interactively.
Use schtasks.exe utility if interactive task is required ('schtasks /?'
for details).
Access is denied.

Ebből azt szűrtem le, hogy nem megy, habár nekem eleve a felvetés is furcsa volt, hogy egyáltalán mehetne...

Szerintem félreértettél...

[didyman]

Idézet: jthunter - Dátum: 2011. 02. 03. 00:07

@Szabcsi:
Microsoft Windows [Version 6.1.7601]
Copyright © 2009 Microsoft Corporation. All rights reserved.

C:\Users\XXXX>AT 12:00 /interactive cmd.exe
Warning: Due to security enhancements, this task will run at the time
expected but not interactively.
Use schtasks.exe utility if interactive task is required ('schtasks /?'
for details).
Access is denied.

Ebből azt szűrtem le, hogy nem megy, habár nekem eleve a felvetés is furcsa volt, hogy egyáltalán mehetne...

Szabcsi talán azt akarta megvilágítani, hogy rendszergazdaként tán nem meglepő, hogy hozzá tudsz férni a géphez akár system felhasználóként is, ami egyébként olykor szükséges is lehet, nekem is kellett már. Korlátozott felhasználóként viszont nem.

[jthunter]

Oops, akkor én kértem elnézést, ezt valóban benéztem.