Parlavo qualche in qualche post qui sotto del fantastico mondo degli attacchi fisici alla macchine e dei dump della memoria ram
Mi lamento sempre di quanto la mia testa faccia cilecca ma dalla serie “il cervello non smette mai di lavorare” con un tempo computazionale di 17 giorni ecco il risultato
Firewire port == owned.
I read about Max Dornseif’s work on doing memory forensics (and bad things) using the physical-memory-DMA feature of Firewire earlier this year. Being curious, I implemented my own stack of tools to try it out against my Linux laptop (before I knew that Max’s OSX python-firewire bindings had been ported to Linux!). It worked just like Max said, and of course, because physical-memory-DMA-busmastering is the Fire in Firewire.
However, despite working fine against Linux, Macs and BSD boxen, it didn’t work against Windows. My colleague Tmasky set to it, and soon enough had found the miracle ingredient.
Skip forward a few months, and it’s now a big deal for reasons I’m not wholly sure about. I presented “Hit By A Bus: Physical Access Attacks With Firewire” at Ruxcon 2006, and hopefully if you came along, you were entertained.
At Ruxcon I released my firewire libraries (high level python bindings for libraw1394), the tool for fooling windows into giving you DMA (romtool), and a forensic memory imager (1394memimage). I demoed some of the malicious uses (like unlocking a locked Win XPSP2 workstation, and spawning an admin shell), but I’m not going to release that code (uh, unless you’ve got a compelling reason, I suppose). The talk and the tools are available just below.
* Yes, you can read and write main memory over firewire on windows.
* Yes, this means you can completely own any box who’s firewire port you can plug into in seconds.
* Yes, it requires physical access. People with physical access win in lots of ways. Sure, this is fast and easy, but it’s just one of many.
* Yes, it’s a FEATURE, not a bug. It’s the Fire in Firewire. Yes, I know this, Microsoft know this. The OHCI-1394 spec knows this. People with firewire ports generally dont.
To understand Goolag Scanner, it is important to understand how “dorks”
work (see 1.4) and with that, to establish the use of dorks as an
acceptable tool for information security experts, penetration testers,
and practical paranoids.
Ne parlavo con i “colleghi” del corso di computer forensic, non mi sono occupato nella didattica della questione dell’analisi, ma ho messo un pò di pulci nei padiglioni auricolari di qualcuno.
Leggo un articolo di Matteo Flora che tratta giust’appunto l’argomento
Sono riusciti a leggere il contenuto delle DRAM dopo lo spegnimento del computer. Cosa significa? Significa che in potenza è possibile, e lo hanno fatto , recuperare dalla memoria la Master Key di uno dei sistemi di cifratura brutalmente disconnettendo la corrente e recuperando il contenuto della memoria, che in quel momento contiene la chiave.
In questo modo si ottiene la Master Key e sono riusciti a decifrare BitLocker… Kudos…
E’ sempre difficile trovare in edicola una rivista che parli di security che non sia troppo bambinesca tipo che ne so “script Kid alla riscorra” HJ di cui tuttavia apprezzo l’assidua presenza quindicinale.
Certo direte voi, con tutto il materiale che si trova online hai anche bisogno di una rivista?
La domanda è più che lecita ma che volete sono un sentimentalista retrò
Per fortuna il Focus della security esiste e per fortuna non ha lo stesso taglio di Focus, sto parlando di Hakin9
hakin9- come difendersi e` un mensile sulla sicurezza informatica, destinato ad esperti ed appassionati. La nostra rivista tratta le questioni relative alla sicurezza dei sistemi informatici, considerate dal punto di vista chi la viola e chi la garantisce. Consigliamo come proteggere con efficicia un sistema dalle intrusioni ed altrocyberpericoli, dimostriamo ai nostri lettori i segreti dei programmi antyvirus piu conosciuti, dei sistemi di scoperta delle intrusioni, strumenti indispoensabili per ogni amministratore.
Ogni uscita divide gli articoli in 5 categorie
Attacco
Difesa
Strumenti
Per Principianti
Legge (questa molto più importante di altre in un panorama nebbioso come quello italiano)
Per quello che vale la mia opinione penso che sia una rivista assolutamente unica nel suo genere, dall’indubbia indole professionale e con contenuti editoriali di tutto rispetto
Fatemi sapere che ne pensate, io nel mentre ho fatto l’abbonamento
Una azienda canadese, Security Compass sta rilasciando una suite di addons per Firefox dal nome Exploit-me. Al momento sono disponibili due moduli: XSS-me e SQL inject-me.
La prima delle due, quando viene lanciata, esamina la pagina scelta e i form presenti, consentendo di scegliere contro quale campo lanciare gli attacchi presenti nel suo archivio, derivati dalla lista mantenuta da RSnake, (l’autorità assoluta in materia).
Gli attacchi provati sono di tipo1, ovvero “reflected XSS”, presenti in web application vulnerabili perché non effettuano un controllo sulla presenza di contenuti attivi nei parametri di input al browser permettendo all’attaccante di inettare del codice nell’url.
Continua la scoperta di tool ed ammennicoli vari per l’analisi e il tracking di TCP e UDP. Chaosreader sembra essere la manna dal cielo ed il nome è alquanto evocativo.
Ma cosa fa Chaosreader?
Semplice è un analizzatore di sessioni (Tcp e UDP abbiamo detto) che permette di ricostruire i dati dagli stream che si sono catturati con tcpdump (unico e magnifico), insomma una pompa idrovora che analizza sessioni telnet, file FTP, trasferimenti HTTP (HTML, GIF, JPEG), SMTP, POP e molto altro, simile a tcpflow per chi lo conosce.
Alla fine di ogni analisi viene creato un file html (index) che punta direttamente alle singole sessioni dettagliate per protocollo, visualizzando requeste e response di una sessione telnet e/o rlogin e/o IRC, dati passati in X!! e tramite VNC (se visibili), i datti in GET/POST di una comunicazione HTTP, immagini eventualmente scaricate e flussi mime di altro genere, inoltre dettaglio squisitamente custom, è possibile runnarlo in modalità stand alone in modo da creare dei report on demand (e qui vado in delirio).
Differenti volte abbiamo parlato su Exploit dell’algoritmo MD5 usato in molte web application per cifrare la password degli utenti; è anche risaputa la debolezza dell’algoritmo che permette di collidere due hash md5 con un numero ridotto di tentativi.
Negli ultimi giorni un gruppo di esperti di sicurezza si è visto defacciare il proprio sito, non riuscendo ad identificare la fonte di questo attacco.
Quando si dice il potere dell’informazione.
Google indicizza praticamente tutto, contenuti, immagini, filmati e … tutto ciò che non è espressamente vietato nel robot.txt?
Come? Cos’è il Robot.txt? E’ quella cosa che gli amici della Light Blue Touchpaper si sono scordati di configurare.
Sicurezza è, prima di tutto, conoscenza dei mezzi
PS: per tutti coloro che volessero fare delle prove vi lascio con un link ad un simpatico DataBase? Motore di ricerca? Giudicate voi
Entries (RSS)