OT: co vieme a co nevieme

Thomas Shaddack hwnews@shaddack.mauriceward.com
Neděle Leden 29 05:55:59 CET 2006


On Wed, 25 Jan 2006, Jaroslav Lukesh wrote:

> před několika lety se používalo ke skryté komunikaci ICMP paketů (klidně se
> tak dala převzít i plocha woken), dnes je to už přežitek, jsou rafinovanější
> způsoby.

Jakykoliv protokol se da pouzit pro tunelovani informaci. Existuji 
implementace pro tuneling IP skrz DNS requesty. 
http://slashdot.org/articles/00/09/10/2230242.shtml
http://seclists.org/lists/pen-test/2004/Feb/0053.html
http://www.boingboing.net/2004/06/21/tunneling_ssh_over_d.html

Nektere veci tohoto typu se hodi pro prorazeni blokad restriktivnich 
operatoru mobilnich sluzeb. 

Vice o prorazeni firewallu treba zde:
http://sebsauvage.net/punching/

Cervi bezne pouzivaji pripojeni zevnitr na IRC kanal, odkud berou prikazy 
pro svou cinnost v botnetu.
http://en.wikipedia.org/wiki/Botnet

Bezne techniky malware popsany treba zde:
http://www.symantec.com/avcenter/reference/techniques.of.adware.and.spyware.pdf


Co se toho co delaji Windows behem updatu tyce, to je obtiznejsi 
problematika, nebot komunikace je skryta v SSL zajistenym certifikatem. 
Jde to, ale musi se clovek chytnout mezi volani SSL knihovny natazenim k 
tomu ucelu napsaneho DLL. Ale nepovedlo se mi tu implementaci najit nikde 
na Netu, pred casem jsem to zkousel, nekdo to pouzil pro analyzu 
komunikace Windows Update. Coz neznamena, ze to nejde, nebo ze se 
dostupnost knihoven od tehdy nezlepsila. Pry to dela i alespon jeden cerv:
http://www.f-secure.com/v-descs/montp.shtml


Co se hackingu, at uz ze strany tripismennych organizaci, spamometnych ci 
DDoSujicich ruskych mafii, nebo neorganizovanych samotaru tyce, klicove 
je dostat nejaky kod na pocitac obeti a spustit jej s opravnenimi 
potrebnymi alespon na to co potrebujete. Takovou vec ma FBI a delaji to i 
nekteri cervi. Der ve Windows je k tomu vic nez dost. A pokud nejsou diry 
pristupne vzdalene, pouzijeme stary dobry blackbag job a zkompromitujeme 
stroj lokalne; velmi velmi malo stroju je proti tomuhle osetreno. Nebo 
do cile nasadime insidera, nebo zrekrutujeme jednoho z uz existujicich.
http://en.wikipedia.org/wiki/Magic_Lantern_software
http://en.wikipedia.org/wiki/Badtrans
http://en.wikipedia.org/wiki/Black_bag_job


A kdyby melo selhat i to, vzdy muzeme pouzit stary dobry i kdyz drahy a 
technicky narocny TEMPEST - parazitni elektromagneticke emise.
http://en.wikipedia.org/wiki/TEMPEST


Další informace o konferenci Hw-list