Diskuze

Pravidla diskuze    |    Zobrazit lame příspěvky
Tato sekce je moderovaná, viz. pravidla diskuze.
 
 
 BBCode

Vrtule | E-mail | Website | PGP | ICQ 33297004027.12.2014 22:29 | #
Zdravím,

chtěl bych se zeptat, jak to vypadá s videozáznamy přednášek z letošního ročníku Hacking&Security konference. Pokud si dobře vzpomínám, místo pro kameru nebylo zvoleno zrovna dobře, takže asi jsou problémy s obrazovou částí záznamu. Což si myslím, že nemusí být až tak zásadní, pokud jsou k přednáškám dostupné slidy či ukázková videa (přijde mi, že na kameře obvykle stejně není vidět, co se na projektoru přesně děje).

Kdy asi tak máme zveřejnění videozáznamů očekávat?

----------
2 + 2 = 5, for extremely large values of 2
d4rw01 | 81.89.96.*27.12.2014 14:28 | #
kompromitace toru: Nehovorim ze Tor je uplne bezpecny, ale taktiez ten clanok je rok stary..... Updaty vychadzaju stale, ked uz dokonca aj zamestnanci v NSA hlasia chyby tor vyvojarom, tak si myslim ze urcite u konca nieje
71144850f4fb4cc55fc0ee6935badddf | 88.86.111.*23.12.2014 13:01 | #
kompromitace toru: asi zapoměl na další vrstvy ,VPN a sérii anonymních proxy ,než by se FBI prokousala logama na anonym. servrech ,za předpokladu ,že by tam byly,tak by se jim dohledání IP přinejmenšém pěkně stížilo.
kompromitace toru | 176.10.99.*21.12.2014 15:43 | #
FBI odhalilila kluka co nahlsil bombu pouzil Guerila mail a TOR ,nemel sanci ,ikdyby mel vypnuty Java script ,TOR je zrejme u konce ,zde uvadim clanek prelozen pouze google translate ,za chyby zodpovida google,zajimal by me vas nazor:
Použití Tor ukázal FBI Harvard University bomba pro šíření poplašné zprávy podezřelým
Lisa Vaas dne 20. prosince 2013 | 10 Komentáře

Soubor pod: Nejlepší, Law & Order

Harvard University LogoA 20-letý americký muž a Harvard University studenta byl zatčen v úterý a obviněn z údajně odesláním bombové hrozby se dostat ven z závěrečnou zkouškou.

Čestné prohlášení podané FBI v úterý tvrdí, že Eldo Kim, z Cambridge, Massachusetts, v pondělí ráno e-mailem několik bombových hrozeb Harvard University kanceláří, včetně policejní oddělení univerzity, dva Harvard úředníků, a úřad prezidenta Harvard Crimson, což je z Harvardu denní studentské noviny.

Předmět identických zpráv číst "bomby umístěné kolem kampusu."

Tělo e-mailové zprávy:

šrapnelu bomby umístěné v:

science centrum
sever sál
Emerson sál

2/4. Hádej správně.

být rychlý na půjdou brzy pryč

Budovy odkazované v e-mailu, jsou na hlavním kampusu univerzity v Cambridge, Massachusetts.

Harvard policie zavolal FBI, a čtyři budovy byly okamžitě evakuováni.

Bomb technici a úředníci Hazmat pročesána budovy po dobu několika hodin, ale dospěl k závěru, že tyto hrozby musí být podvod.

Když zkoumal e-mailové zprávy, FBI zjistil, že přišel z Guerrilla Mail: zdarma e-mailové služby, které vytváří dočasné, anonymní e-mailové adresy.

Také zjistili, že ten, kdo poslal e-maily, že přístup Guerrilla Mail prostřednictvím anonymity služby Tor, říká místopřísežné prohlášení.

Tor je anonymizační služba, která řídí provoz prostřednictvím celosvětové, dobrovolník sítě, která ztěžuje prosazování práva dohledat uživatele.

Tor má, alespoň v minulosti, pozvracel zátarasů činným v trestním řízení, jak bylo jasně s "Tor smrdí" prezentace z Agentury pro národní bezpečnost (NSA), která Guardian publikoval v říjnu.

TorLaw vymáhání přeskočil zátaras docela snadno v tomto případě se však: vyšetřovatelé zjistili, že v několika hodinách, které vedly k přijetí e-mailu, Eldo Kim měl údajně přístup Tor pomocí bezdrátové sítě univerzity.

Jako bezpečnostní analytik Bruce Schneier poukázal na svém blogu ve středu, v tomto případě podtrhuje, jak používat Tor může zvýšit červené vlajky, když někdo opravdu snaží projít bez povšimnutí:

To je jeden z problémů s použitím vzácných bezpečnostní nástroj. Velmi věc, která vám dává věrohodné popírání také se s největší pravděpodobností podezřelý dělá. FBI neměl zlomit Tor; oni používali konvenční policejní mechanismy, aby se Kim přiznat.

Čestné prohlášení uvádí, že Kim řekl vyšetřovatelům, že on vybral příjemce e-mailu náhodně z univerzitní webové stránky a udělal to dostat ven ze zkoušky plánované na pondělí ráno.

FBI také říká, že Kim uvedl, že si vybral slovo "šrapnelové", protože "znělo to nebezpečné." On také řekl vyšetřovatelům, že napsal "2/4. Asi správně", takže to bude trvat více času na policii jasné oblasti.

Kim byl v Emerson Hall, kde jeho zkouška se bude konat v 9 hodin v pondělí.

Čestné prohlášení říká, že když Kim slyšel alarm jít pryč, "věděl, že jeho plán vyšel."

Mohl čelit maximálně pět let ve vězení, tři roky kontrolovaného vydání, a $ 250,000 pokutu li účtovány v rámci zákona bomba pro šíření poplašné zprávy, podle tiskové zprávy z úřadu Boston americký okresní zastupitelství.
Vrtule | E-mail | Website | PGP | ICQ 33297004010.12.2014 22:42 | #
Zdravím,

ororok:orebuch: tvůj kód jsem téměř nečetl, neb není formátovaný a druhak je v C#, což je jazyk, který nepreferuju. V podstatě mě zajímala jenom technika, kterou používá.

Co jsem ale pochopil z tvého původního příspěvku, tvůj problém netkví v tom, že bys potřeboval pomoci se samotným keyloggerem jako takovým, ale chtěl bys doprogramovat funkce, které s ním přímo nesouvisí. Pak je otázka, zda se spíš nezeptat někde na (možná i jiném místě než tady), jak se třeba pracuje s FTP... to, že děláš keylogger, nikomu říkat nemusíš, protože to s tématem FTP nesouvisí.

Obecně ale lze říci, že jsi zvolil špatný přístup k věci. Lidi jsou často ochotní poradit/nasměrovat správným směrem a případně upozornit, jakým uličkám se vyhnout. Ale sousloví "naprogramujte mi" rádi nemají.

-------------------

Co se týče technik keyloggerů, není tak úplně pravda, že je nutné se dostat do všech procesů. U technik založených na knihovně user32.dll (potažmo ovladači win32k.sys) se stačí dostat na všechny "pracovní" plochy (Desktop), co v systému existují. Jelikož uživatel použítá obvykle jednu, není tento problém ani třeba řešit, nechceš-li odchytávat přihlašovací údaje do Windows. Což cílem demo kódu, kde je hlavním cílem se něco naučit, obvykle nebývá.

---------

Zachytávání stisknutých kláves na úrovni ovladačů kbdclass.sys (či hidclass.sys, prostě zavěšení nad zařízení \Device\KeyboardClassX) zase může být až příliš nízkoúrovňové. V okamžiku zachycení totiž nemáte žádnou informaci o tom, do jakého procesu daná událost poputuje, jaký má tento proces nastavení jazyka a klávesnice. Tudíž nejste schopni rozpoznat znaky národních abeced. Navíc, daná klávesa je identifikována scan kódem, což určuje její polohu na klávesnici s 87 klávesami (AFAIR).

Jelikož dnešní klávesnice mají kláves více (standardně něco jako 103-104), stisk některých kláves je interpretován jako posloupnost stisku kláves "jiných". Rozhodně se ale jedná o zajímavý výhled do historie.

Dalším problémem zavěšení nad zařízení klávesnice je, že klávesnici lze odpojit. A jelikož se obvykle jedná o PnP zařízení, je třeba obsluhovat alespoň některé požadavky druhu IRP_MJ_PNP. Další nesnáz může spočívat v detekci připojení nové klávesnice. Ale při programování základního dema žádnou z těchto obtíží není třeba řešit.

-------------

Použití háků Windows (Windows hooks) patří mezi jednodušší způsoby, jak zaznamenávat nejen stisky kláves. I tady je ale třeba dávat pozor a pečlivě číst dokumentaci, aby nedošlo k ošklivým věcem. Je asi pravda, že tyto kódu antiviry detekují ve větší míře, ale nepovažoval bych to jako argument, proč je nepoužívat.

----------------

Co se týče technik keyloggerů, "ukázkové implementace" lze najít např. na www.matousec.com v projektu Software Security Testing Suite (64). Konkrétně se jedná o testy s názvem keylogX. Jazykem je C++, což ale na pochopení dané techniky nemá vliv, neb se jedná o volání funkcí Windows API.

Co se týče ukázky zavěwení nad zařízení klávesnice, možná se ještě někde na internetu povaluje balíček KLOG, což byl jeden z ukázkových kódů na stránce rootkit.com (je třeba vzdát "dík" hnutí Anonymous za její odstranění). Nutno ale přiznat, že KLOG je určen pro poněkud zkušenější, neb např. nepočítá s multiprocesory.

------------------

To je tak asi všechno. Snad každá technika implementace (nejen) keyloggeru má své stinné stránky, se kterými je třeba bojovat... a jejichž pořešení není vůbec triviální. Záleží, čeho je třeba dosáhnout (což je u keyloggeru tedy dost diskutabilní).

----------
2 + 2 = 5, for extremely large values of 2
infinity :)9.12.2014 18:29 | #
2ororok:orebuch: skoda mluvit s trollem, ja bych se pod jeho prispevek klidne podepsal, nevidim tam nic namysleneho. Neptej se, jak upravit prasackej kod, ale jak napsat dobrej kod, na to jsi dostal jasnou odpoved ;)
Hnz2 | 85.71.231.*9.12.2014 18:28 | #
2ororok:orebuch: Nechtěl jsem rozumovat, pouze ti poradit z pozice staršího a pravděpodobně i zkušenějšího. Pokud se chceš alespoň trochu seriózněji zabývat programováním, tak to bez samostudia nejde. Nečekej, že ti někdo výsledek naservíruje na stříbrném podnosu. Tak to v životě nefunguje.
Asi si neuvědomuješ jakou ohromnou studnici informací máš v Internetu. Ti jež začínali na 8bitech mi potvrdí, taký problém byl dříve sehnat informace. Dnes máš všechny informace na dosah ruky. Stačí se pouze správně zeptat.

Jak již psal Mutagen_noReg nejjednodušší variantou na Windows je použití hooku. Zde se podívej na API funkci SetWindowsHookEx(). Nevýhodou tohoto přístupu je to, že hookování považují antiviry za potencionálně nebezpečné chování. Další i když složitější metodou je zavěsit se přímo nad ovladač HIDCLASS.SYS nebo nad KBDCLASS.SYS.


ororok:orebuch | 46.165.196.*9.12.2014 18:20 | #
to infinity : co je me do toho ? ....at se nevytahuje ,je mi uplne jedno kdo to je ...... kdyby alespon vecne poradil a elegantne me posral do prdele ,ale tak je tu ted za kokota nemysleneho howk.
infinity :)9.12.2014 18:05 | #
2ororok:orebuch: myslim, ze nick "Hnz2" ma ve zdejsi komunite vetsi vahu nez tvuj nemistny komentar ;)
ororok:orebuch | 195.154.8.*9.12.2014 15:19 | #
Hnz2:posluchej ty Čendo ,nerozumuj a dokaž ,že něco umíš ,jinak mlč a kejvej nohama .........bereš to ?