Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Rootkit a billentyűzetre

2009.08.02. 19:33 | buherator | 3 komment

Tudtátok, hogy az Apple asztali klaviatúrái annyira kúlak, hogy saját memóriával és firmware-rel rendelkeznek? Van is hozzá még gyári frissítő szoftver is, mivel "az Apple-nek megvan az a jó szokása, hogy azelőtt adja ki termékeit, mielőtt azok elkészülnének" :) Bizonyos K. Chen a BlackHat-en megmutatta, hogy ezeket a remek lehetőségeket hogyan lehet arra használni, rootkitet telepítsünk magára a billentyűzetre.

A módszer pofonegyszerű: elindítod a frissítő szoftvert egy debuggerben, beállítasz egy töréspontot a megfelelő helyre, megvárod hogy a processzor ráfussona kijelölt utasításra, majd szépen kicseréled a feltöltendő kódot a sajátodra, majd szabad utat engedsz a program folyásának.

No persze a gyakorlatban a dolog nem volt ilyen fájdalommentes: meg kellett piszkálni a firmware kódjának ellenőrzőösszegét, meg kellett találni a firmwarefrissítéshez alkalmazandó jelszót, és nem utolsó sorban ki kellett deríteni, hogy egyáltalán milyen hardverre írunk szoftvert.

A munka azonban meghozza a gyümölcsét: a billentyűzetre telepített, megberhelt firmware nem tűnik el akkor sem, ha esetleg újraformázzák a Mac-et, a megfelelő karakterszekvenciák elküldésével pedig - mintha egy szellem is ülne a gép előtt - könnyedén kitehetünk egy root shellt valamelyik magasan figyelő portra, és még  a biztonsági szoftvereket is megnyugtathatjuk, hogy ne terheljék a felhasználót mindenféle összetett üzenetekkel. Szép munka Chen!

Slide-ok és a papír erre van.

Címkék: apple billentyűzet rootkit

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

dnet 2009.08.03. 01:05:16

nice

off: már másodszorra látom a "papír" kifejezést, nem lehetne tükörfordítás helyett valami szebbet használni? Ilyen környezetben a "paper" magyar megfelelője leginkább a tanulmány lehetne, sztaki szótár ezen kívül még dolgozatot, értekezést említ.

buherator · http://buhera.blog.hu 2009.08.03. 08:41:15

@dnet: Majd igyekszem, az értekezést jónak érzem, de ez is nyilván környezetfüggő.

sghctoma · http://sghctoma.extra.hu 2009.08.03. 12:12:37

mi mindig csak siman cikknek hivjuk a research paper-einket :)