#1
|
|||
|
|||
"ну тупыыыые..."
Alexey Vissarionov написал(а) к All в Jul 17 15:10:00 по местному времени:
Доброго времени суток, All! Сначала новость. Результаты моих раскопок - ниже. * Обнаружено в RSS.SECURITYLAB.RU WikiLeaks опубликовала очередную порцию секретных документов ЦРУ http://www.securitylab.ru/news/487184.php ==== хрум ==== Инструменты BothanSpy и Gyrfalcon предназначены для перехвата учетных данных SSН. В рамках проекта Vault 7 организация WikiLeaks обнародовала документы, описывающие два хакерских инструмента из арсенала Центрального разведывательного управления США - BothanSpy и Gyrfalcon. Оба проекта представляют собой импланты, предназначенные для хищения учетных данных SSН на системах под управлением Windows и Linux. BothanSpy нацелен на клиентскую программу Xshell для Microsoft Windows и позволяет перехватывать пользовательские учетные данные для активных SSН сессий. Похищенные данные могут быть отправлены на удаленный сервер или сохранены на диске в зашифрованном виде. Gyrfalcon - имплант для клиентов OpenSSН на системах на базе Linux (RНEL, Ubuntu, Suse, Debian и CentOS). Инструмент может не только похищать учетные данные активных сессий, но также полностью или частично перехватывать трафик OpenSSН. Полученные данные сохраняются на диске в зашифрованном виде и позже извлекаются. Gyrfalcon устанавливается и настраивается на целевой системе с помощью специально разработанного руткита JQC/KitV. ==== тьфу ==== Посмотрел я этот Gyrfalcon... Общее впечатление такое же, как и от всех остальных "инструментов": они рассчитаны на тупого^W типового американца. Серьезно. Даже мои любимые мишени для говнежа - "школота с ебунтой" и приравненные к ним по уровню интеллекта особи - так обосраться... ну ладно, могут. Но только они. А американцы - судя по всему, поголовно. Итак, принцип действия этого "импланта для клиентов OpenSSН": ptrace. Все. Остальное, если кто-то не знает это слово, можно прочитать в `man 2 ptrace`. Помимо ptrace, который в приличных системах еще явно разрешить надо, данный "инструмент" требует: * права root для установки (гы) * python (гы-гы) * swig (встроенный perl в hpt видели? а эта хрень - для питона, жабы итд) * metoocrypto (какое-то питоновское угробище для работы с openssl) Причем swig и metoocrypto предлагается при необходимости собирать локально из исходников (гы-гы-гы). Методика обнаружения этого говна традиционна: rpm --verify --all Если в вашей системе используется другое средство управления пакетами, посмотрите в инструкции на него, как проверить контрольные суммы файлов, принадлежащих установленным пакетам. Если средство управления пакетами в используемой вами системе не предоставляет такую возможность или вообще отсутствует - ну, ой... лично я такую систему использовать не стал бы. * Originally in RU.SECURITY * Crossposted in RU.LINUX * Crossposted in RU.LINUX.CНAINIK * Crossposted in RU.LINUX.REDНAT -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Любой инструмент, используемый не по назначению, превращается в грабли --- /bin/vi |