The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Продемонстрирован пример создания ботнета на базе Google And..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от opennews on 22-Июн-10, 20:48 
В рамках прошедшей в конце минувшей недели в Нью-Йорке хакерской конференции SummerCon (http://summercon.org/), специалист по компьютерной безопасности Джон Оберхайд (Jon Oberheide) показал (http://blogs.forbes.com/firewall/2010/06/21/researcher-build.../), как легко распространить программное обеспечение для создания ботнета на множество телефонов, базирующихся на платформе Google Android.


Одна из ключевых идей, которые демонстрирует Оберхайд, состоит в порочности концепции абсолютного доверия к приложениям, полученным через Android App Market. В качестве примера он выложил там безобидное на вид приложение, которое, однако, периодически обращается на специальные сервера, запрашивая обновления своего кода. При наличии таких обновлений, они автоматически скачиваются и запускаются. Таким образом, представленная программа (автор называет ее «RootStrap») является полноценным «троянским конем».


Чтобы эту программу скачал...

URL: http://blogs.forbes.com/firewall/2010/06/21/researcher-build.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=27052

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Продемонстрирован пример создания ботнета на базе Google And..."  +2 +/
Сообщение от Аноним (??) on 22-Июн-10, 20:51 
Троян, бидабида. Но иметь возможность скачивать исполняемый код приложение не должно.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Продемонстрирован пример создания ботнета на базе Google And..."  –4 +/
Сообщение от анонимиус on 22-Июн-10, 20:53 
>Но иметь возможность скачивать исполняемый код приложение не должно.

Забавно звучит. ;) Вроде как "ИТ быть не должно."


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Продемонстрирован пример создания ботнета на базе Google And..."  +3 +/
Сообщение от JL2001 (ok) on 22-Июн-10, 21:03 
ничего забавного в этом нет, программа сама себя обновлять не должна, даже механизм эдонов фаерфокса (если эдоны теоретически могут иметь много доступа к юзерским данным) уже противоречит информационной безопасности
а уж сам фаерфокс просто обязан иметь доступ только к профилю фоксоюзера и возможно через "системный файловый диалог, с прямого разрешения юзера" - к файлу на запись дабы мог записать его скачав с инета
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

80. "Продемонстрирован пример создания ботнета на базе Google And..."  +1 +/
Сообщение от Сергей Митрофанович on 23-Июн-10, 18:03 
>а уж сам фаерфокс просто обязан иметь доступ только к профилю фоксоюзера
>и возможно через "системный файловый диалог, с прямого разрешения юзера" -
>к файлу на запись дабы мог записать его скачав с инета

Как показывает практика, такие меры безопасности часто не оправданны. Чем больше запросов на все подряд пользователь видит, тем меньше он их читает и тем больше кликает "ОК", не задумываясь.

Если же система настраивается специалистом по безопасности, то он предпочтет сам назначить приложению права доступа, куда нужно, а что выходит за рамки этих прав, то вообще не должно происходить.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

77. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от Сергей Митрофанович on 23-Июн-10, 17:57 
>иметь возможность скачивать исполняемый код приложение не должно.

То есть распаковка кода в памяти, самомодификация, just-in-time compilation и даже банального собственного механизма управления плагинами — всего этого быть не должно? Поскольку это все дает возможность приложению скачивать и запускать код.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

89. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от JL2001 (ok) on 24-Июн-10, 00:37 
>>иметь возможность скачивать исполняемый код приложение не должно.
>
>То есть распаковка кода в памяти, самомодификация, just-in-time compilation и даже банального
>собственного механизма управления плагинами — всего этого быть не должно? Поскольку
>это все дает возможность приложению скачивать и запускать код.

распаковка кода в памяти, самомодификация, самоуправление плагинами - 100% нарушение безопасности = вдруг откуда ни возьмись на samba появился ирк-сервер и модуль по перебору хешей
just-in-time compilation тут мне не хватает знаний как оно внутри реализовано
другое дело что поверх всего этого должно быть "держать и нипущать"

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Продемонстрирован пример создания ботнета на базе Google And..."  –7 +/
Сообщение от JL2001 (ok) on 22-Июн-10, 20:57 
"Одна из ключевых идей, которые демонстрирует Оберхайд, состоит в порочности концепции абсолютного доверия к приложениям, полученным через Android App Market. В качестве примера он выложил там безобидное на вид приложение, которое, однако..."
на данный момент все линуксы не защищают пользователя от приложений установленных через "репозиторий разработчика программы" (в том числе в момент установки не защищают..) и запущенных пользователем, это печально :( в вин7 об этом уже задумались (хоть и как обычно - криво)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Продемонстрирован пример создания ботнета на базе Google And..."  +5 +/
Сообщение от anonymous (??) on 22-Июн-10, 21:06 
>на данный момент все линуксы не защищают пользователя от приложений установленных через "репозиторий разработчика программы" (в том числе в момент установки не защищают..) и запущенных пользователем, это печально

очень интересно, а что уже SELinux отовсюду выпилили ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Продемонстрирован пример создания ботнета на базе Google And..."  –3 +/
Сообщение от Alexey (??) on 22-Июн-10, 21:24 
Может в мобильные приложения еще и среду для паравиртуализации впиндюрить, чтобы батарейки точно хватало максимум минут на 10. Я думал у мобильного ядра немного другие задачи.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Продемонстрирован пример создания ботнета на базе Google And..."  +1 +/
Сообщение от Andrew Kolchoogin on 22-Июн-10, 22:14 
Э-э-э-э-э-э-э-э-э-э... А как связан SELinux и батарейка?!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Продемонстрирован пример создания ботнета на базе Google And..."  –1 +/
Сообщение от Alexey (??) on 23-Июн-10, 00:31 
Любой постоянно работающий модуль требует циклов процессора, а значит его наличие приводит к увеличению потребления энергии.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Продемонстрирован пример создания ботнета на базе Google And..."  –2 +/
Сообщение от JL2001 (ok) on 22-Июн-10, 23:48 
>>на данный момент все линуксы не защищают пользователя от приложений установленных через "репозиторий разработчика программы" (в том числе в момент установки не защищают..) и запущенных пользователем, это печально
>
>очень интересно, а что уже SELinux отовсюду выпилили ?

1) SELinux это "исключение" а не правило, не включен SELinux на все подряд программы
2) а как SELinux защищает меня от МегаДуперФулПлеер'а который по чётным месяцам нечётных лет в полнолуние записывает хомяк нулями ?
3) как SELinux защищает меня от установочного скрипта (в deb, аль в rpm, аль тарболе) который по чётным месяцам нечётных лет в полнолуние чистит хомяк вместо темповой директории ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Продемонстрирован пример создания ботнета на базе Google And..."  +3 +/
Сообщение от аноним on 23-Июн-10, 00:22 
>2) а как SELinux защищает меня от МегаДуперФулПлеер'а который по чётным месяцам нечётных лет в полнолуние записывает хомяк нулями ?

а селинух об этом знает? если не знает, то в сад.
он разрешает только "типичные" (а значит разрешённые) для приложения действия. остальные - нет.
даже взломанные проги пресекались таким макаром и вели себя благопристойно.
зы:
селинух конечно к данной ситуации не относится. вендор должен нести ответственность (хотя бы моральную) за то, что в его репах хранится.
кстати, может подтвердите свои слова? запихнете к примеру в репу бубунты (самого дистра. не левого ппа) подобного трояна? не? :D
а ваш тезис про вин 7 - это попытка оправдать убогую систему распространение ПО от мс заботой о защите потребителя? оригинально.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от JL2001 (ok) on 23-Июн-10, 01:28 
>[оверквотинг удален]
>он разрешает только "типичные" (а значит разрешённые) для приложения действия. остальные -
>нет.
>даже взломанные проги пресекались таким макаром и вели себя благопристойно.
>зы:
>селинух конечно к данной ситуации не относится. вендор должен нести ответственность (хотя
>бы моральную) за то, что в его репах хранится.
>кстати, может подтвердите свои слова? запихнете к примеру в репу бубунты (самого
>дистра. не левого ппа) подобного трояна? не? :D

я как раз не про оффрепы убунты, а про "репы разработчика", например в убунте релиза vlc 1.1 нету, а на ppa я могу залить собственные сырцы, назвать их vlc1.1 и на волне гуглозапросов раздать нескольким тысячам юзеров
и что такое "типичные" действия ? вот потрёт мой прокаченный влц хомяки тому десятку тысячь или нет ? ;)

>а ваш тезис про вин 7 - это попытка оправдать убогую систему
>распространение ПО от мс заботой о защите потребителя? оригинально.

нет, речь про то что например в ие они чтот намутили что скачиваются файлы не на десктоп а в некую песочницу (точно не скажу, можно погуглить что нить вроде "фантомные файлы win 7" - была статья на хабре вроде) - но это всё опять сделано через задницу и не для юзера и не прозрачно а "как реестр"

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от аноним on 23-Июн-10, 01:43 
>я как раз не про оффрепы убунты, а про "репы разработчика", например в убунте релиза vlc 1.1 нету, а на ppa я вроде как могу залить собственные сырцы, назвать их vlc1.1 и на волне гуглозапросов раздать нескольким тысячам юзеров

ну зальете раз. второго раза уже не будет. думаете это сильно просто сделать?
как в примере новости, без подмены названия еще некоторое время прокатит, а вот с мимикрией под vlc долго не продержится.
да и потом, попробуйте заставить меня добавить вашу репу к себе в систему.
>и что такое "типичные" действия ? вот потрёт мой прокаченный влц хомяки тому десятку тысячь или нет ? ;)

вы, извиняюсь, селинух настраивали хоть раз?
для правильного vlc типично удалять все файлы в хомяке? сомневаюсь.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

48. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от ьтл on 23-Июн-10, 10:03 
>вот с мимикрией под vlc долго не продержится.
>да и потом, попробуйте заставить меня добавить вашу репу к себе в
>систему.
>>и что такое "типичные" действия ? вот потрёт мой прокаченный влц хомяки тому десятку тысячь или нет ? ;)
>
>вы, извиняюсь, селинух настраивали хоть раз?
>для правильного vlc типично удалять все файлы в хомяке? сомневаюсь.

думаю разумное зерно у него есть. пример может не самый удачный. На самом деле он ведь может просто запаковать vlc1.1 чтоб тот работал как норм плеер, а уже по вреду... ну пусть не хому чистит а перемещает все видео и аудио файлы в тмп, где они после ребута скажут привет. это снова же пример и возможно не совсем удачный...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

55. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от аноним on 23-Июн-10, 12:14 
слишком много "если" в данном вопросе -
если создает новое ппа
если этот ппа не проверяют на вредоносный код
если никто не заметит
если этот ппа подключат
если селинух разрешит
и все эти если только для манипуляций в хоме без бозможности изменять бинарники
..
тут любой пример будет не_удачным.
тем более что скомпрмитировать себя со всеми этими если очень просто.
и много таких безбашенных вирусописателей вы видели? и все уже сидят.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

56. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от JL2001 (ok) on 23-Июн-10, 12:25 
>слишком много "если" в данном вопросе -
>если создает новое ппа

несложно

>если этот ппа не проверяют на вредоносный код

почти наверняка останется незамеченным недельку-другую

>если никто не заметит

а что должны заметить ?

>если этот ппа подключат

я вот уже подумываю гуглить ppa с релизом vlc

>если селинух разрешит

описано коментом ниже как и что он разрешит vlc

>и все эти если только для манипуляций в хоме без бозможности изменять
>бинарники

кстати таки нефакт что без возможности - можно правильно подобрать программу-основу
да и профайл фокса мил многим кулхацкерам

>..
>тут любой пример будет не_удачным.
>тем более что скомпрмитировать себя со всеми этими если очень просто.
>и много таких безбашенных вирусописателей вы видели? и все уже сидят.

кстати при убивании ппа установленные с него пакеты никто не отзывает (нет такого механизма на сколько я понимаю), юзеры даж и не в курсе будут что у них троянец стоит
про "сидят" - оставлю без комментариев :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

57. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от аноним on 23-Июн-10, 12:48 
ниже глупость написана. поэтому и оставил без коммента.
а про "седят" - основная задача вирусописателя чтобы код распространялся самостоятельно, а автор остался анонимным.
иначе сидят, и хорошо сидят. к примеру мс за таких авторов до лимона бакинских дает.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

53. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от JL2001 (ok) on 23-Июн-10, 11:50 
>>я как раз не про оффрепы убунты, а про "репы разработчика", например в убунте релиза vlc 1.1 нету, а на ppa я вроде как могу залить собственные сырцы, назвать их vlc1.1 и на волне гуглозапросов раздать нескольким тысячам юзеров
>
>ну зальете раз. второго раза уже не будет. думаете это сильно просто
>сделать?
>как в примере новости, без подмены названия еще некоторое время прокатит, а
>вот с мимикрией под vlc долго не продержится.
>да и потом, попробуйте заставить меня добавить вашу репу к себе в
>систему.

так мой vlc1.1poWer собранный из исходников настоящего влц может и не тереть ничего (сразу) а просто лазить по хомяку и читать файлы (профайл фокса например) и слать их методом запроса айскаста с моего сайта по определённому адресу (как азбукой морзе например передавать всякую инфу с хомяка) - и читать и запрашивать в сети медиапоток - естественно для влц

>>и что такое "типичные" действия ? вот потрёт мой прокаченный влц хомяки тому десятку тысячь или нет ? ;)
>
>вы, извиняюсь, селинух настраивали хоть раз?
>для правильного vlc типично удалять все файлы в хомяке? сомневаюсь.

для влц мб и не типично а для "оптимизатора и сжимателя файлов (для ускорения интернетов)" - типично ;) да и вместо vlc я могу за основу и mc например взять, или ещё кого на кого разрабы подзабили и не сделали собственного ppa
а видь есть ещё репы на сайтах разработчиков и они уже более доступны для взлома и подмены готовых пакетов

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Продемонстрирован пример создания ботнета на базе Google And..."  +1 +/
Сообщение от mike lee on 23-Июн-10, 00:55 
а как SELinux будет работать в случае с жавамашиной?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от аноним on 23-Июн-10, 01:44 
ему все-равно.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

59. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от twilight (ok) on 23-Июн-10, 14:39 
> в вин7 об этом уже задумались (хоть и как обычно - криво)

задумались, да еще и криво - узнаю стиль ынтырпрайз от мелкомягких.
Oh, LOL...

Вы, наверное шутите, если DEP и ASLR называете защитой от "доверенных" приложений
wait, oh,shi...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

88. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от JL2001 (ok) on 24-Июн-10, 00:26 
>> в вин7 об этом уже задумались (хоть и как обычно - криво)
>
>задумались, да еще и криво - узнаю стиль ынтырпрайз от мелкомягких.
>Oh, LOL...
>
>Вы, наверное шутите, если DEP и ASLR называете защитой от "доверенных" приложений
>
>wait, oh,shi...

речь не о них а о технологии подмены каталогов (увы сейчас неполучается нагуглить как это называется)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от Аноним (??) on 22-Июн-10, 21:28 
Причем здесь ядро linux. В Android, насколько мне известно, программы выполняются в Dalvik virtual machine (http://developer.android.com/guide/basics/what-is-android.html)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от аноним on 22-Июн-10, 21:41 
>Причем здесь ядро linux.

Причем здесь ядро линукс.
Автор доказывает кривость концепции

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от klalafuda on 22-Июн-10, 23:41 
> Ну, ядро Линэкс -- действительно кривая программа. Она позволяет пользователю напрямую писать на диск и в ОЗУ (через mmap("/dev/mem"))...

Я Вам наверное открою большой секрет, но, к примеру, MS Windows всех обозримых  реинкарнаций так же позволяла [и позволяет] пользователю писать на блочное устройство. Минуя файловую систему. Ок, врать не буду и про 95/98 я просто не в курсе. Но NT+ - позволяет. Вопрос лишь в том, что для этого нужны соотв. привилегии. Естественно, как и в случае с Linux/BSD/*. Я кстати почти что уверен, что она и в память при большом желании позволит писать. И в порты. А ведь ничего, живет, зараза. И очень даже хорошо себя чувствует.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Продемонстрирован пример создания ботнета на базе Google And..."  –1 +/
Сообщение от Sw00p aka Jerom email on 23-Июн-10, 00:41 
смотря в каком кольце

пс: незнал что и в узноспейсе дрова бывают

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от klalafuda on 23-Июн-10, 01:07 

В каком кольце? Чистый user space. Обычное приложение. Хоть из MS Office прости господи.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Продемонстрирован пример создания ботнета на базе Google And..."  +1 +/
Сообщение от klalafuda on 23-Июн-10, 01:12 
>
>В каком кольце? Чистый user space. Обычное приложение. Хоть из MS Office
>прости господи.

http://msdn.microsoft.com/en-us/library/aa363858(VS.85).aspx
http://msdn.microsoft.com/en-us/library/aa365247(v=VS.85).aspx

Win32 Device Namespaces

The "\\.\" prefix will access the Win32 device namespace instead of the Win32 file namespace. This is how access to physical disks and volumes is accomplished directly, without going through the file system, if the API supports this type of access. You can access many devices other than disks this way (using the CreateFile and DefineDosDevice functions, for example).

For example, if you want to open the system's serial communications port 1, you can use "COM1" in the call to the CreateFile function. This works because COM1-COM9 are part of the reserved names in the NT namespace, although using the "\\.\" prefix will also work with these device names. By comparison, if you have a 100 port serial expansion board installed and want to open COM56, you cannot open it using "COM56" because there is no predefined NT namespace for COM56. You will need to open it using "\\.\COM56" because "\\.\" goes directly to the device namespace without attempting to locate a predefined alias.

Another example of using the Win32 device namespace is using the CreateFile function with "\\.\PhysicalDiskX" (where X is a valid integer value) or "\\.\CdRomX". This allows you to access those devices directly, bypassing the file system. This works because these device names are created by the system as these devices are enumerated, and some drivers will also create other aliases in the system. For example, the device driver that implements the name "C:\" has its own namespace that also happens to be the file system.

APIs that go through the CreateFile function generally work with the "\\.\" prefix because CreateFile is the function used to open both files and devices, depending on the parameters you use.

If you're working with Windows API functions, you should use the "\\.\" prefix to access devices only and not files.

Most APIs won't support "\\.\"; only those that are designed to work with the device namespace will recognize it. Always check the reference topic for each API to be sure.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

50. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от Sw00p aka Jerom email on 23-Июн-10, 10:55 
а зачем создали виртуальную память ???
а зачем ось работает в протектед моде ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

60. "Продемонстрирован пример создания ботнета на базе Google And..."  –3 +/
Сообщение от klalafuda on 23-Июн-10, 14:41 

Причем тут виртуальная память? Причем тут защищенный режим? Кыш на урок информатики!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

83. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от Sw00p aka Jerom email on 23-Июн-10, 21:19 
а ты думал что работаешь на прямую с физической памятью ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от Sw00p aka Jerom email on 23-Июн-10, 00:51 
>> в новости ядро лайнакс приводится как пример кривой программы
>
>Ну, ядро Линэкс -- действительно кривая программа. Она позволяет пользователю напрямую писать
>на диск и в ОЗУ (через mmap("/dev/mem"))...
>
>Впрочем, ядро BSD не сильно прямее. :) А вообще -- "дай дураку
>в руки стеклянный $#й, так он и его разобьёт, да ещё
>и руки порежет"...

вы думате так и легко напрямую запишите в память ???

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Продемонстрирован пример создания ботнета на базе Google And..."  –4 +/
Сообщение от klalafuda on 23-Июн-10, 01:34 
> вы думате так и легко напрямую запишите в память ???

Не скажу за BSD, но на Linux - скорее да, чем нет. Тут есть забавный обзор:

http://www.linuxjournal.com/article/10505

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

36. "Продемонстрирован пример создания ботнета на базе Google And..."  +4 +/
Сообщение от аноним on 23-Июн-10, 01:51 
... how attackers with root privileges might use a /dev/mem rootkit, hiding their attacks by directly altering kernel memory....

вы издеваетесь?
это в любой системе можно провернуть так или иначе. к примеру загрузить свой модуль ядра и подправить указанные участки памяти ядра.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

38. "Продемонстрирован пример создания ботнета на базе Google And..."  –4 +/
Сообщение от klalafuda on 23-Июн-10, 01:54 
>... how attackers with root privileges might use a /dev/mem rootkit, hiding
>their attacks by directly altering kernel memory....
>
>вы издеваетесь?
>это в любой системе можно провернуть так или иначе. к примеру загрузить
>свой модуль ядра и подправить указанные участки памяти ядра.

Ну начнем с того, что не в любой. Допустим, внутри контейнера OpenVZ с выключенным /dev/[k]mem хрена что получится. Включая LKM.

Однако, вопрос бы 'вы действительно думаете, что так просто запишете в память???'. Ответ: it depends. Но, в принципе, да, легко. Если кто-то не позаботится накрутить соотв. ручки. А накручивают их далеко не все.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

40. "Продемонстрирован пример создания ботнета на базе Google And..."  +3 +/
Сообщение от аноним on 23-Июн-10, 02:02 
давайте не передергивать. всё-таки OpenVZ - это не ось.
и в принципе любая ось позволит модифицировать что угодно, если есть соответствующие права.
иначе это уже и не ось. ;)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

51. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от Sw00p aka Jerom email on 23-Июн-10, 10:58 
>> вы думате так и легко напрямую запишите в память ???
>
>Не скажу за BSD, но на Linux - скорее да, чем нет.
>Тут есть забавный обзор:
>
>http://www.linuxjournal.com/article/10505

юзай инлайн асм для доступа к памяти ))))))

хотя вы работаете с виртуальной памятью

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

54. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от Michael Shigorin email(ok) on 23-Июн-10, 12:04 
>Она позволяет пользователю напрямую писать
>на диск и в ОЗУ (через mmap("/dev/mem"))...

EPERM отменили? :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

61. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от klalafuda on 23-Июн-10, 14:43 
>>Она позволяет пользователю напрямую писать
>>на диск и в ОЗУ (через mmap("/dev/mem"))...
>
>EPERM отменили? :)

Ну ведь все ж начинается с предположения, что у нас есть рут и что церберы типа SELinux нас пустили (в общем случае - соотв. права). Если это не так - опаньки. Це ж очевидно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

65. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от vi on 23-Июн-10, 16:08 
>>>Она позволяет пользователю напрямую писать
>>>на диск и в ОЗУ (через mmap("/dev/mem"))...
>>
>>EPERM отменили? :)
>
>Ну ведь все ж начинается с предположения, что у нас есть рут
>и что церберы типа SELinux нас пустили (в общем случае -
>соотв. права). Если это не так - опаньки. Це ж очевидно.
>

Может глупо скажу, но все же
Дыры находят в ядре, это где - на уровне ядра
Далее, SELinux где в ядре, это где - на уровне ядра
Все хорошо! Да! Далее:
Не используем вызовы которые проверяются SELinux, для отключения SELinux
Все, наслаждаемся простотой не мандатной системы разграничения доступа ;-)
Да еще на уровне ядра!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

68. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от klalafuda on 23-Июн-10, 16:29 
>[оверквотинг удален]
>>соотв. права). Если это не так - опаньки. Це ж очевидно.
>>
>
>Может глупо скажу, но все же
>Дыры находят в ядре, это где - на уровне ядра
>Далее, SELinux где в ядре, это где - на уровне ядра
>Все хорошо! Да! Далее:
>Не используем вызовы которые проверяются SELinux, для отключения SELinux
>Все, наслаждаемся простотой не мандатной системы разграничения доступа ;-)
>Да еще на уровне ядра!

Если Ваш код каким-то образом получил доступ в ядро, то никакой SELinux тут уже не поможет. Собственно с точки зрения ядра SELinux - это всего-навсего тоооненький врапер над пачкой системных вызовов. И обойти его, находясь в ядре, не составит большого труда. Отряд не заметит потери бойца :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

71. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от vi on 23-Июн-10, 17:16 
>[оверквотинг удален]
>>Все хорошо! Да! Далее:
>>Не используем вызовы которые проверяются SELinux, для отключения SELinux
>>Все, наслаждаемся простотой не мандатной системы разграничения доступа ;-)
>>Да еще на уровне ядра!
>
>Если Ваш код каким-то образом получил доступ в ядро, то никакой SELinux
>тут уже не поможет. Собственно с точки зрения ядра SELinux -
>это всего-навсего тоооненький врапер над пачкой системных вызовов. И обойти его,
>находясь в ядре, не составит большого труда. Отряд не заметит потери
>бойца :)

Я конечно не специалист но хотелось бы знать, что такое EPERM.
Отдельно, еще не понятно как защищенный режим работы может помешать доступу ко всей физической памяти или нет?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

52. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от paulus on 23-Июн-10, 11:04 
>Автор доказывает кривость концепции

угу, а еще гугл решил "замедлить разработку" андроида (телефоны продавать не успевают как выходит новый) = улучшения ядра будут попадать в андроидное еще реже...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от Ананимуз on 22-Июн-10, 23:41 
А для чего тогда NDK?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от FPGA (ok) on 23-Июн-10, 00:19 
Я не понял - с какой стати приложению для Android позволено делать что-то вне своего профиля, будь то программа на Java или NDK???
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от линуксоид email on 23-Июн-10, 00:26 
если руки кривые, то тут уже ничего юзеру не поможет, ни selinux ни что то другое
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

46. "Продемонстрирован пример создания ботнета на базе Google And..."  –4 +/
Сообщение от Kramer John on 23-Июн-10, 08:20 
Зря я повёлся на этот дурацкий андроид! Ох как же я желею! Нормального jabber клиента нет, нормально mail (imap) клиента нет. А если и есть что то - платное, и всё равно самый лучший xmpp клиент на андроид хуже самого плохого аналогичного на винду. Отстой, все элементы какие то огромные, неудобно. До этого был HTC Universal-высший аппарат.
Продаётся Motorola Milestone, цена ваша, аппарату всего неделя, ещё в смазке.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

66. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от a (??) on 23-Июн-10, 16:17 
>Продаётся Motorola Milestone, цена ваша, аппарату всего неделя, ещё в смазке.

если это серьезно, стукни плз в асю 167 421 171

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

74. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от twilight (ok) on 23-Июн-10, 17:44 
а смазывать обязательно было? Кому он теперь нужен?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

47. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от i (??) on 23-Июн-10, 08:48 
да все там нормально в андроиде, меня устраивает, собираюсь купить htc legend
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

49. "Продемонстрирован пример создания ботнета на базе Google And..."  +2 +/
Сообщение от sluge (ok) on 23-Июн-10, 10:45 
ну ясно что это за контингент раз повелся назатмение :-D
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

63. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от klalafuda on 23-Июн-10, 14:58 
Нет, абсолютно не ясно. У меня, к примеру, знакомая-бухгалтер в одной достаточно крупной конторе. Человек уже в возрасте, работа у неё ответственная и при желании через неё теоретически можно получить незаметный доступ к конфиденциальной информации в конторе. В том числе и финансовой. Вот через такие вот дырдочки. К чему это я? А, да. Ещё она, не смотря на свой возраст и солидность, оч любит всё это порно с вампирами и пр. хренотень. Была тут фильма давеча нашумевшая - это видимо про неё. И, охотно верю, что она могла бы повестись на эту утку ни чуть не хуже, чем школьница младших классов. С которой действительно что с козла молока. Хотя... Ведь у школьницы младших классов есть папа и мама. И они легко могут использовать одну и ту же локальную сеть скажем дома. А что там интересного может быть уже на папином ноутбуке - это тоже абсолютно не ясно. Хотя с самой школьницы - да, толку ноль.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

64. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от sluge (ok) on 23-Июн-10, 15:51 
с какого же рожна вы доверяете доступ к критической и конфеденциальной информации неподготовленному человеку? вы пойдете на прием ко врачу, у которого только диплом зотехника? то то! тут тоже самое.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

67. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от klalafuda on 23-Июн-10, 16:25 

Таких конкретных и чрезвычайно жизненных юзкейсов не вагон, нет - товарный состав с ворохом тележек. Сплошь и рядом. World Wide. Скорее, нужно ещё поискать организацию, где действительно грамотно настроены права доступа, где пользователи имеют соответствующую подготовку и, что немаловажно, четко следуют соотв. политикам по защите информации, где - да миллион таких где. Все остальные - 99% - welcome to the wild internet. Желанные гости соотв. товаристчей.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

69. "Cмешно"  +/
Сообщение от AndroidUser on 23-Июн-10, 16:43 
Все это настолько вилами по воде писано - что даже обсуждать это забавно.
Все тоже самое можно сказать про любой линуксовый репозитарий...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

94. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от ПринцЧорнойТьмы email(ok) on 24-Июн-10, 14:57 
Кстати, приложения под андроид могут слать смс, даже не спрашивая пользователя.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

95. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от Аноним (??) on 24-Июн-10, 15:49 
>Кстати, приложения под андроид могут слать смс, даже не спрашивая пользователя.

Неправда, при установке такого приложения система честно скажет, что программа требует прав  отправлять СМС и предложит продолжить установку или отказаться, если вы для какой-нибудь левой утилиты, никаким образом не связанной с СМС, согласитесь - это лично ваши проблемы, вас предупреждали, что вы ставите троян.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

96. "Продемонстрирован пример создания ботнета на базе Google And..."  +/
Сообщение от ПринцЧорнойТьмы email(ok) on 24-Июн-10, 15:53 
>Неправда, при установке такого приложения система честно скажет, что программа требует прав
> отправлять СМС

Кто читает весь список? Там обычно столько всего понаписано даже для самых простых приложений.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру