Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Hackelős Csapat

2014.02.17. 23:39 | buherator | Szólj hozzá!

A Citizen Lab egy elég érdekes tanulmányt közölt az olasz székhelyű, kormányzati felhasználásra szánt spyware-eikről elhíresült Hacking Team lenyomozhatatlan szervereinek lenyomozásáról. A felderített célpontok között pedig egy magyar cím is szerepel.

Miután a Citizen Lab közölte a kiszolgáló IP-jének első három oktettjét, a szervert pedig még aktívként tüntették fel, gondoltam játszom egy kicsit. Úgy tűnik nagyjából 5 perc alatt sikerült megtalálni az ominózus RCS (Remote Control System) szervert a Telekom egyik fix IP-knek fenntartott tartományában - a kiszolgáló lenyomozása remek házifeladat tanulni vágyóknak :)

7973ED02A4A9A2387A99C4410FC0B1DC9012FBE5C605C845AD6A17F31802E12B

A Citizen Lab a kiszolgálók azonosításakor egyrészt a magukat egyszerű HTTP szervereknek álcázó RCS válaszok mintáira, másrészt a kiszolgálók SSL tanúsítványaira hagyatkoztak, a proxy láncokat pedig az csomagok fragmenteket azonosító IPID mezőjének figyelésével azonosították. Ez a mező régebbi operációs rendszereken globálisan használt és kiküldött csomagonként inkrementálódik, az értékéből tehát következtetni lehet arra, hogy egy kiszolgáló hány csomagot küldött ki a megelőző időszakban. A szakérők beküldtek egy csomagot egy RCS szerverként azonosított hosztra, és figyelték, hogy mely más szerverek IPID értékei növekednek ezzel szinkronban. Ilyen módon egy kis statisztikát bevetve a bizonytalanságok enyhítésére elég biztos eredményeket lehet kapni, azonban a Citizen Lab eredményei még így sem 100%-ig meggyőzőek. Maga a tanulmány is számos alkalommal hangsúlyozza, hogy feltevéseket, nem bizonyított, vagy egyenesen bizonyíthatatlan állításokat fogalmaz meg.

Egyebek mellett például a műfaj sajátosságaiból adódóan soha nem állíthatjuk teljes bizonyossággal, hogy egy szolgáltatást nyújtó hoszt és az azt használó személy(ek) fizikai elhelyezkedése között kapcsolat lenne, tehát simán elképzelhető, hogy a Dataplexben zümmögő gépet valójában az etióp elhárítás használja, vagy éppen fordítva, ezért messze menő következtetéseket ezen adatok alapján nem érdemes levonni. Szerk.: Az viszont annál érdekesebb, hogy Magyarországhoz köthető spyware mintákat is találtak...

Címkék: magyarország spyware hacking team citizen lab

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.

Tetszett a bejegyzés? Kövesd a blogot!

blog.hu