|
|
Password login HVA của mình là: xnohatIsAG@y.
Tiêu rồi, phải đổi pass mới gấp.
|
|
|
Theo ý của tác giả là nếu virus có nhiều biến thể (variants) thì sử dụng phương pháp trên vẫn có thể phát hiện ra được mà không cần cập nhật lại signature.
|
|
|
Thanks mrro.
|
|
|
Hi all,
Không thấy bác nào thảo luận về nội dung các bài thuyết trình ở TetCon 2013 cả. Mình xin đặt câu hỏi đầu tiên với bài Phát hiện virus đa hình với chữ ký ngữ nghĩa.
Nội dung trình bày liên quan đến LLVM và SMT solver để giải quyết bài toán nhận dạng signature của polymorphic viruses, ý tưởng có sáng tạo nhưng mình thắc mắc 2 vấn đề sau:
1. Data input. Trong trường hợp chỉ có 1 tập lệnh vài chục lines hay vài trăm KB compare với nhau thì speed chấp nhận được. Nếu theo như phương pháp trên, scanner có phải quét toàn bộ file's content để compare với tập chỉ thị mẫu hay không?
2. Dựa trên ý tưởng 1, 1 anti virus hoạt động còn phải cân bằng với tốc độ quét. Vì vậy thường AV chỉ seek đến 1 số specific location để quét nhằm mục đích giảm thời gian quét 1 file. Vậy tác giả làm cách nào để giải quyết vấn đề không phải scan hết file và tốc độ như thế nào để implement vào 1 AV như ClamAV?
Thank you.
|
|
|
hi anh conmale,
Một số chủ đề khi xem "Bài mới từ lần truy cập trước" bị hiển thị -1
|
|
|
Nếu xét về lỗi bảo mật, khi Mac user gõ Username + password cho phép cài software (tốt hay xấu) thì chủ quyền cài sẽ là "root" và nó sẽ được cài. Đây là quyết định của người dùng cho phép cài nhưng về phía Mac, OS phải có một cơ chế kiểm soát xem software được cài là cái gì để warning và cản trở.
Vì vậy nên theo khuyến cáo thì người dùng chỉ nên tải App từ App Store thôi mà anh?
Về loại trojan này, như trên blog có đề là dịch lại từ 1 bản tiếng Nga của đám Dr. Web nên cũng không mô tả chi tiết vấn đề generating dynamic managing server thế nào.
Theo ý kiến riêng của em, nếu OSX đi theo mô hình của iOS, sandboxing/chroot các ứng dụng thì khả năng nhiễm malware còn thấp hơn nữa và cũng dễ uninstall ra khỏi system hơn là Windows malware.
|
|
|
However, cross-platform binary threats have never become a major threat and many researchers in the security field believed there was too much interest in this virus, innovative though it may have been.
Mặc dù vậy nhưng có 1 ý tưởng sau có thể thực thi nè:
Người dùng sử dụng VMWare vì vậy vẫn có thể ghi vào linux partition được. Chiro8x check lại xem.
|
|
|
Linux dùng ELF format còn Windows là PE format thì làm sao lây nhiễm được :-o?
|
|
|
Em đoán ý của mrro là IP chỉ là 1 mảnh của forensic, nhiều thứ còn có thể dựa vào behaviour.
Ví dụ như trong trường hợp BKAV sẽ là:
1. Khoanh vùng đối tượng, chắc chắn hay ít nhất sẽ có mối quan hệ giữa anh chàng bị bắt và BKAVOp.
2. Ngày trước mấy con bot của STL viết bằng VC++, nếu không may viết bằng Delphi chắc em cũng có trong danh sách bị tình nghi =]]
Nói chung, các biện pháp kỹ thuật là 1 phần trong cuộc điều tra, để xem vài ngày nữa có tình tiết nào mới không.
Ngoài ra, theo ý riêng của em, vì BKAV không lường trước được sự việc là sẽ bị hack nên có thể đã bị cài backdoor từ lâu rồi mà không để ý --> các log quan trọng không giữ được hay khó để lần ra lại từ đầu mà ngay cả hiện nay không biết nội bộ BKAV đã biết được hổng chỗ nào chưa để fix.
|
|
|
Bác này quên là có cái Tor Bundled
|
|
|
conmale wrote:
xnohat wrote:
mình có trưng dữ liệu cá nhân gì của weareanon lên đâu anh, ý em là mình dùng cái này nè anh
http://www.mediafire.com/?h84wmv6zq7oh7ly
À, anh lại nghĩ là ý em khai triển theo góc độ điều tra dấu vết ở những biên độ khác. Trong trường hợp này, dấu vết weareanon có thể tiết lộ là dấu vết anh ta đã post bài trên diễn đàn HVA. Thông thường kẻ tấn công luôn luôn tìm hiểu kết quả những việc mình đã làm, thậm chí công bố việc mình đã làm vì một lý do nào đó. Anh thấy đây cũng là một góc độ khai triển, bởi vậy anh đã xin phép weareanon qua PM như sau:
conmale wrote:
Tôi đường đột gởi PM này để xin phép bạn sử dụng một số thông tin đăng nhập của bạn được lưu trên log của diễn đàn đó là IP address và User-Agent để làm case study cho thành viên diễn đàn. Tôi xét thấy những thông tin ấy hoàn toàn anonymous và là những thông tin khá lý thú nên mới gởi bạn đề nghị này.
Rất mong bạn xem xét và hồi âm.
Cảm ơn.
và weareanon đã trả lời hôm nay như sau:
Thưa ngài,
Đầu tiên, chúng tôi thành thực cám ơn sự giúp đỡ của ngài và các quản trị viên đối với sự vụ của chúng tôi.
Lời đề nghị của ngài, chúng tôi thấy đây là một yêu cầu xác đáng, vì chúng tôi tin tưởng ngài với sự am tường kỹ nghệ máy tính rất chuyên sâu, sẽ có thể dùng các thông tin ấy một cách hiệu quả và tránh được cho chúng tôi các sự cố đáng tiếc. Do đó chúng tôi rất hoan hỉ nếu có thể giúp ngài được chút gì đó hữu ích.
Thân chào ngài và chúc ngài nhiều sức khoẻ,
Kính thư
weareanon
He he, cách viết và cách trả lời của weareanon hơi lạ (gần giống như người ngoại quốc dịch tiếng ngoại quốc sang tiếng Việt ) nhưng quan trọng là anh ấy đã đồng ý. Bởi thế, anh sẽ tán 1 bài khai triển theo góc độ này.
Anh conmale, em nghĩ đây là sự cố tình của các bạn ấy. Trong Món quà số 2, cách hành văn không hề giống như vầy. Giả thuyết đưa ra có thể là để tránh tìm hiểu về văn phong, các bạn ấy có thể đưa qua 1 translator machine rồi chỉnh sửa lại?
|
|
|
Vấn đề này giải quyết cũng dễ lắm rickb. Quan trọng là phải có sự kết hợp giữa kernel và boot loader.
Có 2 options:
1. Sử dụng 512 bytes của MBR
2. Sử dụng temp file trên filesystem (image, vzlinux)
Khi kernel panic, có thể tạo ra 1 temp file tại /tmp/boot.tmp chứa ID # và recoveryState hoặc set 2 bytes vào MBR chứa 2 giá trị này.
Sau đó mỗi lần GRUB khởi động thì check 2 giá trị này thôi. Nếu MBR thì càng không liên quan tới quyền nữa.
|
|
|
@rickb: Theo mình nghĩ định nghĩa stable kernel dựa trên cái kernel chạy gần nhất mà trên Windows định nghĩa là: Last good known configuration.
Nói nôm na thì có thể mô tả như vầy:
Đầu tiên, khi server boot, hoàn tất tới shell, kernel #1. ID = #1, recoveryState = 0.
Reboot server, nếu người dùng không tự chọn kernel thì dùng lại kernel #1 (ID = #1). Nếu boot với kernel khác (#2), tới shell, ID = #2. recoveryState = 0.
Recompile kernel, reboot với kernel #3, kernel panic, set recoveryState = 1. server tự reboot.
Khi server đang reboot, check thấy giá trị recoveryState = 1 thì dùng last kernel version, ở đây là #2. Như vậy hầu như tự khắc vào được version gần nhất khởi động được. Trong trường hợp không giải quyết được triệt để thì cũng giảm thiểu 1 phần đáng kể của việc gọi điện lên DC kêu NOC fix.
|
|
|
Tui đang suy nghĩ, tại sao tụi GRUB team không modify cho grub boot loader, nếu kernel panic thì khi reboot lại nó sẽ tự động chọn stable kernel trước đó mà boot nhỉ. Chứ mỗi lần server từ xa reboot lại sợ gần chết.
|
|
|
Thank anh conmale và xnohat đã ủng hộ
|
|
|
Tóm tắt:
Hướng dẫn cách tích hợp Google Authenticator vào sshd trên môi trường OSX. Mục đích ngoài password thường dùng ra thì phải có one-time-password trên điện thoại mới có thể đăng nhập được vào hệ thống.
I was interested in Google Authenticator one month ago, if you don't know what Google Authenticator is, check this description (1):
The Google Authenticator project includes implementations of one-time passcode generators for several mobile platforms, as well as a pluggable authentication module (PAM). One-time passcodes are generated using open standards developed by the Initiative for Open Authentication (OATH) (which is unrelated to OAuth).
Google Authenticate can turn your mobile phone to an one-time-password (OTP) token. That means, beside your own password, you must provide a number from your phone to login to your system.
Some applications have integrated Google Authenticator like Google Apps, LastPass, WordPress... So, I asked myself if i could use it for my Macbook ssh daemon?
After some searches, I understood that Google Authenticator has not supported OSX officially. That's why it can not work with OSX although you can build it successfully. To have some funs, I decided to modify it. You can follow my steps to apply your Linux systems also because it's similar. Let's go:
1. Download source code (2):
You can use hg to grab the source code (3). Type the following command in console:
Code:
hg clone --insecure https://code.google.com/p/google-authenticator/
If you get a certificate problem, try press R to ignore it (to fix this error, please contact Google Security Team :-P). The local source folder will be similar Google lastest repository (4).
2. Edit and compile:
Because of unofficially OSX supported, you can build the source code but you can't use it to login. You will always have this error:
Code:
in _openpam_check_error_code(): pam_sm_authenticate(): unexpected return value 19
A little modification for OSX required (Linux maybe not), edit pam_google_authenticator.c, insert those lines:
Code:
static int drop_privileges(pam_handle_t *pamh, const char *username, int uid,
int *old_uid, int *old_gid) {
// Try to become the new user. This might be necessary for NFS mounted home
// directories.
int old_uid1 = setuser(uid);
if (old_uid1 < 0) {
log_message(LOG_ERR, pamh, "Failed to change user id to \"%s\"", username);
return -1;
}
return old_uid1;
Exit and execute "make && make install" in console. *Please keep in mind that this is my dirty hack to make it works, it is unsupported and I take no responsibles for this modification*.
As a result, pam_google_authenticator_testing.so is complied.
3. Install:
Copy pam_google_authenticator.so module to PAM folder:
Code:
sudo cp pam_google_authenticator.so /usr/lib/pam/
Add this line to /etc/pam.d/sshd:
Code:
auth required pam_google_authenticator.so
Add this line to /etc/sshd_config:
Code:
ChallengeResponseAuthentication yes
Finally, restart sshd (5) by:
Code:
sudo launchctl unload /System/Library/LaunchDaemons/ssh.plist
sudo launchctl load -w /System/Library/LaunchDaemons/ssh.plist
To here, you finished the installation process, we can move to next step: Setup.
4. Setup:
You must install Google Authenticator for your mobile phone, in my case, i used App Store to download and install.
Run the following command in your server console:
Code:
Answer "y" for its questions.
That's all for server settings, now, you should look at information Google Authenticator provided, there is a link likes:
Code:
https://www.google.com/chart?chs=200x200&chld=
Copy this link and paste it to your browser, a barcode image will appear.
Open Google Authenticator on your phone, press Plus (+) button and move your mobile's camera to capture the barcode image, it will automatically display your own OTP.
It's ok for mobile settings also.
5. Testing:
Try to login to your system via ssh, you will be required for password and verification code.
This is the result:
Two-factors authentication is now enabled.
References:
(1) http://code.google.com/p/google-authenticator/
(2) http://code.google.com/p/google-authenticator/source/checkout
(3) hg client: http://mercurial.selenic.com/downloads/
(4) http://code.google.com/p/google-authenticator/source/browse/
(5) Enable sshd for OSX: go to Apple > System Preferences > Sharing, check Remote Login
|
|
|
|
|
|
|