?

Log in

No account? Create an account
Про HBGary - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Про HBGary [Mar. 5th, 2011|02:50 am]
ArkanoiD
[Tags|, ]

ленивый не писал только про сочно озалупленного и низведенного анонимусом правительственного контрактора HBGary, вот только в русскоязычных обсуждениях почему-то много чешут языком о том, как ломали, но почему-то очень мало информации о том, чем эти терпилы занимались. Выждав некоторую паузу, я вам перескажу шершавым языком специально для тех, кто ленится читать по-английски, а таких, увы и увы, очень немало, а кто не ленится, те сразу идите сюда: http://arstechnica.com/tech-policy/news/2011/02/black-ops-how-hbgary-wrote-backdoors-and-rootkits-for-the-government.ars/

Итак,

"Task B", для General Dynamics. Штука для внедрения руткита в компьютер через USB, PCMCIA, ExpressCard, FireWire и если повезет, то и через WiFi. Через PCMCIA, ExpressCard и FireWire тупо через DMA, для остального -- через дырявые драйвера. Воткнул на минутку и готово,

"Task C", внедрение руткита через дырку в функции preview в Outlook,

12Monkeys, руткит-шпион, сливающий информацию через невинный на вид веб-трафик с продвинутыми стелс-функциями

Кучка 0-day эксплоитов,

ну а дальше идет вообще какой-то трэш, угар и содомия, политические карикатуры на заказ для распространения в Second Life и прочая чертовщина. Ах да, еще развитие идеи 12Monkeys, Magenta, руткит в четыре килобайта полностью на ассемблере, который очень трудно обнаружить. Все это выглядит как "дайте денег хоть на что-нибудь", и иногда даже давали.


Вот такая занятная сборная солянка, причем совершенно непонятно, что реализовано, что нет. С моей точки зрения, штука, которая позволяет быстро захватить управление компьютером, оставленным без присмотра на пару минут, это круто, да (на кой только чорт насовали нам всякие firewire!). Zero-day это тоже неплохо, там есть список, но кагбе опять-таки ничего такого, что было бы большой неожиданностью, не openssh и не openssl, чай. А вот супер-пупер-стелс руткиты это, простите, детский сад. Ну уйдет у хорошего аналитика не один вечер на потрошение, а надо же, целая неделя. Что, большая разница? Ну и комиксы все эти, виртуальные персоны и прочая..

Занятно другое, что уже не все "хакерские штучки для спецслужб", получается, могут вызвать только здоровый смех и ориентированы на овцеебов и безмозглых драг-дилеров. Хотя и Stuxnet был не ахти каким хайтеком, он сработал, да и тенденция прогресса есть..

А, и еще: судя по всему "не использовать Windows" до сих пор означает обезопасить себя от government script kiddies.
linkReply

Comments:
From: pustota1
2011-03-05 12:42 am (UTC)
Ну мне непонятно например че это за хрень с пересказами в весьма неконкретных выражениях про некий незаметный hardware ePCI прокси в рамках Task B -- это довольно нетривиальная задача и простым почесом языком за свои деньги никто не удовлетворится. Ну, суммы, потом какие то очень странно маленькие за такую работу, какие то странные рассказы про про документы для Аль-Кайды с рекомендациями по поеданию говна как носитель malware -- в общем, мутная какая то хуйня.
(Reply) (Thread)
[User Picture]From: arkanoid
2011-03-05 12:55 am (UTC)
Все очень мутно, это факт. С другой стороны, названные суммы "за такую" работу.. Если у меня начнут покупать руткиты по $60..250K за _лицензию_ на одного заказчика, не требуя даже уникальности -- да я завтра открою лавку, которая будет их на конвейере строгать!
(Reply) (Parent) (Thread)
From: pustota1
2011-03-05 01:09 am (UTC)
По поводу -- сумм, в случае прокси -- 50 к$ непредставимо мало, это меньше зарплаты одного инжинера (а инжинер там должен быть с допуском) в год, надо же на такое дело человека 2-3 минимум.
Что касается кода, ну движок Дума продавали же за 250 k$ -- находились желающие, чего уж там.

(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2011-03-05 01:21 am (UTC)
За железку очень мало, согласен, но про нее, вроде, и не говорили, что там бюджет $50K, а за руткиты -- да совершенно нормально, они на чорном рынке столько не стоят.

Зачем "сквозная" шина -- не знаю, 99% людей expresscard слот вообще не трогают, туда можно всунуть что угодно незаметно, а через неделю вынуть так же спокойно.
(Reply) (Parent) (Thread)
From: pustota1
2011-03-05 01:37 am (UTC)
Про ePCI шину -- свист, UMTS модемы на ней очень популярны и всякие DVB-T телевизионные приемники в Германии, по крайней мере.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2011-03-05 02:32 am (UTC)
Да? Мне казалось, USB-свистки на порядок популярнее, а DVB-T вообще никому не вперлось.
(Reply) (Parent) (Thread)
[User Picture]From: wizzard0
2011-03-05 04:31 am (UTC)
У нас - да. Хз почему так.
(Reply) (Parent) (Thread)
[User Picture]From: dimas
2011-03-05 07:25 am (UTC)
предположу что потому как дороже (а свистки порой чуть ли не “за так” разрают), выбор меньше, и они дороже и не универсальнее …

да еще и торчит эта зараза наружу — надо каждый раз вынимать-ставить всё равно …
(Reply) (Parent) (Thread)
[User Picture]From: wizzard0
2011-03-05 07:41 am (UTC)
Не, expresscard/pcmcia как раз часто целиком в слот помещаются, очень удобно. А об свистки я уже не один USB порт сломал...
(Reply) (Parent) (Thread)
[User Picture]From: dimas
2011-03-05 08:02 am (UTC)
3г? тв-тюнеры? я, наверное, неудачник, вижу только с бульбами, которые торчат из ноута …
(Reply) (Parent) (Thread)
[User Picture]From: wizzard0
2011-03-05 08:05 am (UTC)
тв-тюнеров не видел, 3г видел две штуки, сата несколько видел. у них часто антенны соплями наружу торчат (гибкие), а сама карточка унутре.
(Reply) (Parent) (Thread)
From: pustota1
2011-03-05 04:31 pm (UTC)
Да не сцы, такое же железо как и все остальное:
http://www.avermedia.com/avertv/Product/ProductDetail.aspx?Id=449
(Reply) (Parent) (Thread)
[User Picture]From: dimas
2011-03-05 08:03 am (UTC)
а свистки я просто цепляю на шнурок, хотя бы небольшой, и сломать сложнее, и у близкостоящих портов не мешаются …
(Reply) (Parent) (Thread)
[User Picture]From: wizzard0
2011-03-05 08:06 am (UTC)
мне не везет как-то с этими шнурками, свистки глючить начинают. возможно говенные попадаются, но блин, как же их отличить-то.
(Reply) (Parent) (Thread)
[User Picture]From: dimas
2011-03-05 08:12 am (UTC)
ну, я обычно считаю шнурки в комплекте заведомо гавном. но у меня скопилось немного шнурков от картридеров и фотокамер (которые еще и с "бочонками"), с ними вроде никто не глючит … а ваймаксовский свисток-переросток всё равно приходится к окну вешать, так что там и длинный шнурок на пользу …
(Reply) (Parent) (Thread)
From: pustota1
2011-03-05 04:16 pm (UTC)
DVB-T вообще крайне интересная технология --- фичастое software-based radio
практически даром.
(Reply) (Parent) (Thread)
[User Picture]From: wizzard0
2011-03-05 04:33 am (UTC)
Зачем "сквозная" шина -- не знаю

риск запала большой? спецтехника втыкающаяся в сабж в ходу у ЦА?

кстати вот сата контроллеров дофига е-пси.
(Reply) (Parent) (Thread)
[User Picture]From: wizzard0
2011-03-05 04:32 am (UTC)
Нормально 50к за лицензию. За железку мало, да.
(Reply) (Parent) (Thread)
[User Picture]From: rdia
2011-03-05 01:00 am (UTC)
Правильно ли я понимаю, что какой-нибудь Ubuntu на Beagleboard (одноплатный ARM) ими как цель даже в перспективе не рассматривался?
(Reply) (Thread)
[User Picture]From: wizzard0
2011-03-05 04:31 am (UTC)
Подо что?

Убунту лесом, софта под нее хоть и много, но и дырок тоже. Кастомные железки рулят. Девелопить примерно столько же.

Да, Арк прав про 99% "не пользоваться виндой", но все-таки.
(Reply) (Parent) (Thread)
[User Picture]From: rdia
2011-03-05 05:21 am (UTC)
Как цель для засовывания трояна, разумеется.
(Reply) (Parent) (Thread)
[User Picture]From: wizzard0
2011-03-05 06:03 am (UTC)
ah, I see. Yes, I think it is secure against non-targeted attacks. Against targeted... Well, i'm not to sure then //translit from mobile
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: wizzard0
2011-03-05 04:34 am (UTC)
С почтой сходится, во всяк сл.
(Reply) (Parent) (Thread)
[User Picture]From: thesonofliberty
2011-03-05 05:34 am (UTC)
ну а дальше идет вообще какой-то трэш, угар и содомия, политические карикатуры на заказ для распространения в Second Life и прочая чертовщина.

нормально, диверсификация (такого вот) бизнеса!
(Reply) (Thread)
[User Picture]From: wizzard0
2011-03-05 06:04 am (UTC)
seems reasonable, yes. Social media is on the rise, then why not slice a portion of the hype pie?)
(Reply) (Parent) (Thread)
[User Picture]From: dimas
2011-03-05 07:27 am (UTC)
я, кстати, знаю пренебрежение многих к компьютерре, но Киви там как раз про них вполне ничего отписал, было интересно прочитать, как раз для ленивцев читать оригинал, как я :)
(Reply) (Thread)
[User Picture]From: tsw
2011-03-05 08:13 am (UTC)
другими словами, US Govt игнорирует mac так же как и все остальные писатели троянов =)
хотя доля mac'ов в штатах около 30% =)
(Reply) (Thread)
From: luarvique
2011-03-05 09:04 am (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: otmenych
2011-03-05 09:21 am (UTC)
Киви Берд вполне вменяемую статью написал про эту конторку http://www.computerra.ru/own/kiwi/594983/
(Reply) (Thread)