Дяволският блог!

Наглеци се развиват в обществото ни и владеят обществото ни, защото ние им позволяваме да се развиват. ние ги храним, ние ги отглеждаме, ние им мълчим, ние им прощаваме, защото не им търсим сметка вина и отговорност. Докато това не се промени, наглеци винаги ще виреят в обществото и ще влаеят обществото!

Wednesday, December 18, 2013

Цигански пазарлък за 2 стотинки

Тази карикатура е добро начало на този пост, имайки предвид контекста на карикатурата и на поста.

Цигански пазарлък за 2 стотинки

Днес стана една доста грозна сцена. До токова останах отвратен от сцената, че реших да я сподея в блога си.

Днес след работа, ми се доядоха пържени картофки. Реших да отида до близката бутка на пазара за бургери и хотдог, и да си поръчам пържени каротфки. Видях на табелата цена от 99 стотинки за 100 грама. Реших да купя повечко картофки да има за всички вкъщи. Купих 500 грама които според табелата са 4.95 лв. Питах продавача, колко стува една порция той каза 1 лев. Ок. Платих 5 лв, купих 5 порции – 500 грама да има за всички. Дали ми пука за тия 5 стотинки разлика? Не. Изобщо. Аз даже често си поръчвам от него храна на вкъщи и като има примерно някакво малко ресто примерно 40 – 50 стотинки, му ги оставям. Защо ли? Защото:

1. По цял ден работи в тоя бутка, за да си изработи някаква надница да си нахрани семейството

2. защото работи честно и почтено

3. защото винаги се старае клиента да е доволен, когато си получи поръчката

4. защото при него всичко е винаги прясно, топло и вкусно.

Докато чаках да се изпържат моите картофки, дойде една жена на средна възраст, да си поръча и тя картофки. Чудесно. Картофките на нашия готвач са хубави, и добре изпържени. Тя си поръча 200 грама. Попита човека в буткатаколко струват, и той и казва една порция е 100 грама и струва 1 лев. При което жената веднага си заби погледа в табелата, и вика ама на табелата пише 99 стотинки. След което започна да прави цигански пазарлък, буквално за 2 стотинки. Защото човека и казал 2 лв а не 1,98 лв.

Сцената ми привлече вниманието, обърнах се и се заслушах, как тая малка злобна жена се пазареше за 2 стотинки, точко както се пазари някой циганин. Останах погнусен и отвратен от тая сцена и си тръгнах с неприятното усещане, за човешката злоба и човешкото падение. Стана ми тъжно, за човека от бутката, защото той виси там цял ден, прави се на маймуна, за да угажда на претенциите на всички, точно за това му оставям бакшиш, точноз а това ако имам примерно 40 – 50 стоники ресто при него не си ги вземам, нека пие едно кафе с тях. Нека и той се почувства човек, той нито е циркова маймуна нито е машина. За това останах и отвратен и погнусен от тая малка злобна жена, дето така грозно му се пазареше, все едно той и е някакъв роб дето и е длъжен и и е на подчинение.

Дали съм някой богаташ – не съм. Дали съм някой гъзар дето има толкова пари че не ги цени - не съм. Аз съм същия като него. Същия като човека от бутката. Работя в малка квартална бакалия. Колко изкарвам ли? Не изкарвам много, достатъчно за да се издържам. Защо симпатизирам на човека от бутката ли? Защото аз знам какво му коства, защото на мен ми коства същото. Защо изпитвам погнуса и отвращение от такива малки злобни хора като тази малка злобна жена ли! Защото всеки ден, имам вземане даване точно с такива малки злобни хора, изтъкани от ежедневната злоба, с комплекси за малоценност, които си мислят че са мачкани от живота. Не. Те не са мачкани от живота. Живота просто ги е избутал ей там в канавката където им е мястото и повече не се занимава с такива. Те са мачкани не от другите към които се отнасят със същата злоба, те са мачкани от собствената си злоба, завист, с които тровят останките от душата си, и останалите хора около тях мислейки си че като направят сцена и пазарлък на някой, вече са видиш ли силните на деня. Не. Не са силните на деня. Те са жалката гротеска на деня.

Силните на деня са тези като човека от бутката, и като мен, които ежедневно трябва да се справяме с помията от злоба, завист и комплекси, които такива дребни злобни хора ни изсипват на главите, и въпреки всичката тази простащина, злоба, комплексарщина, оставаме на работното ни място и си завършваме работния ден.

Да, да си силен не значи да вдигаш шум и пушилка, да си силен значи да знаеш кога да отстъпиш на такива малки и злобни хора, и да знаеш как да се справиш с такива малки и злобни хора.

За хората и вирусите

За хората и вирусите

Напоследък се наслушах на разни твърдения за БИОС вирус, с името BadBIOS и реших да видя каква е тая нова щуротия, дето така е подпалила всички. Оказва се пълна щуротия, не просто щуротия, а абсолютна щуротия.

Източника на тая щуротия, е Драгос Рую, ужким бил секюрити рисърчър и основател, на конкурса за пробиви и сигурност Pwn to own и конференцията за сигурност и пробиви BlackHat. Общо взето, твърдението гласи, че това е BIOS базиран вирус който се разпространява чрез звук, и живее в BIOS и се стартира и почва да работи със стартирането на компютъра и инициализирането на BIOS още ПРЕДИ да има заредена операционна система. След това, твърдението гласи, че тоя вирус никога не пипва и не помирисва операционната система на компютъра, и че си седи само в БИОС и работи само от там, без да се опитва да се докопа до операционната система.

Странно, защото разпространението чрез звук, макар да не е невъзможно, е доста ненадеждна и бавна и капризна технология, която е зависима от твърде много условия, които всичките трябва да са едновременно изпълнени перфектно и коректно, и ако кое да е едно не се изпълни перфектно нещата пропадат.

Освен това BIOS е пряко обвързан с платфорамата на която работи, няма такова нещо като универсален BIOS. Всеки BIOS е правен изцяло според платформата на която ще работи. Няма начин, това да е, добра среда за разпространение. Всеки BIOS за всяка дънна платка е различен. Единственият шанс за разпространение, е в много тясна група от BIOS и това са всички дънни платки от една серия, модел, производител. Извън тази тясна група вируса умира защото отива на различна платформа.

Горкия клетник, чак да го оплачеш

Горкия клетник, чак да го оплачеш. Те сигурно заради такива изстрадали клетници като него са написали мюзикъла „Клетниците“.

На това му викам да нямаш късмет. Да се настроиш за хубава измама, да си избереш мишена, да си поставиш цел и да откриеш че си попаднал на грешната мишена, която да те изпържи, вместо ти нея. Те на това викам да нямаш късмет. Ами какво да ви кажа. Има ги и такива баламурници. Както един приятел вика баламургени. Баламурген значи баламурник, Баламургени, значи баламурници, както същия приятел се майтапи с немска нотка в думата.

Мишената бях аз, целта беше да ми измъкне данните за кредитната карта – хайде стига всички знаят че нямам такава, и че не вярвам на тая система с картите, и че я смятам за прекалено незряла и недоразвита, за да си доверя парите на нея, и за това всички знаят че скоро няма да си извадя кредитна карта.

Та днес получавам странно телефонно обаждане. Да, новата вълна предпразнични телефонн мошеници. Та реших че няма да го отсвиря, бързо и категорично а ще се погавря с него, докато му скъсам нервите.

Зевс, новият банков троянски кон

Говорейки за вируси, червеи, троянски коне, рууткити, определено бих се притеснил, ако създателите на тези изроди ми кажат:

Works as advertised, and delivers as promised.

Бих се притеснил двойно, ако това изречение ми го каже някой голям и сериозен секюрити рисърчър, например като Брус Шнайер, Стив Гибсън, Марк Русинович, Райндол Шварц, Брайън Кребс, или ако анализирам гадината и сам видя че наистина Works as advertised, and delivers as promised.

Така днес си грах с един троянски кон, исках да го анализирам, да го видя какво прави, как го прави и къде. Ето и резултатите от анализа ми. Това е гадина която ОПРЕДЕЛЕНО НЕ ЖЕЛАЕТЕ да ви се лепне на компютъра.

Когато получих мострата от Стив Гибсън от GRC.COM, Microsoft Secrity Essentials не го познаваше, докладваше го за чист. Пратих им копие на мострата, заедно с кратичко описанииче що е то в зип архива, признаха го, потвърдиха че е най-новия зевс, и ми отдадоха заслугата. 24 часа след като го пратих, ми казаха че са признали мострата и са направили дефиниция да го познава по мойта мостра.

поиграх си малко с него, и с инструментите на Марк Русинович Sysinternals tools и направих този кратък анализ.

Зевс е троянски кон, който се разпространява, с фишинг емайл, и поради тази причина създава и използва ботмрежа с името Zbot.

Троянският кон, използва рууткит, за да прикрие присъствието си – файлове, процеси, тредове, записи в регистри.

Рууткита, реагира късно да пази троянския кон, чак когато сте притеснително бизо до троянския кон – тоест ако не търсите троянския кон, рууткита няма да реагира за да не се издаде. Чак когато степритеснително близо до него, рууткита режава че не сте там случайно а с цел и реагира на ставащото.

Рууткита се прикрива като гугълска услуга, за да може, дори при неговото разкриване, да се опита да изглежда като нещо невинно. Камуфлаж.

Рууткита и троянският кон, са създадени, да работят на неадминистраторски акаунт, без права и привилегии, и притеснителното е че го правят, безупречно.

Троянският кон, се опитва да се отпише от системните защити на паметта – DEP – Data Execution Prevention, ASLR – Address Space Layout Randomization и SEHOP – Structured Exception Handler Overwrite Protection. Ако не успее, става още по-притеснително, използва нов пробив в системата за шрифтове, за да получи права на администратор и на системен процес на ядрото – kernel ring 0 с които тотално изключва споменатите защити.

Троянският кон, работи с папките на потребителя в потребителския профил, и в частите на регистри отнасящи се до текущият потребител. Тъй като се правят промени за текущият потребител, троянският кон няма нужда от администраторски права, за да зарази системата и да се запише за автоматично стартиране.

Троянският кон записва 2 файлана хард диска, единият от които е рууткита, който крие всичко, а другият е троянският кон, който бива скрит от рууткита.

Папката в която се записва рууткита е:

При 64 битова версия на уиндоус:

C:\program files x86\google\desktop\install\random named folder 1\random named folder 2\random named folder 3\googleupdate.exe

При 32 битова версия на уиндоус:

C:\program files\google\desktop\install\random named folder 1\random named folder 2\random named folder 3\googleupdate.exe

Където папките с имена random named folder всъщност са папки с произволни имена.

Папката в която се записва самият троянски кон е:

C:\users\current user folder\appdata\local\google\desktop\install\random named folder 1\random named folder 2\random named folder 3\randomfilename.exe

Където randomfilename значи произволно име на файла, и Където папките с имена random named folder всъщност са папки с произволни имена.

Имената на файла и на папките нарочно са произволни, и се създават за всеки заразен компютър произволни, за да може, да няма видими общи белези, между заразените компютри. Още една техника за прикриване на присъствието си.

При стартиране на заразеният компютър, операционната система зарежда рууткита, след като рууткита се стартира, заработи и се скрие, рууткита стартира троянския кон и го прикрива.

Рууткита се записва в регистри за автоматично стартиране в частта на регистри за текущият потребител:

HKEY_Current_User\Microsoft\Windows\Current_Version\Run

Интересното е че като система за пририване, това не успява да го направи. Опита му ма прикриване е белега който го издава. Записа на файла за автоматично стартиране бива прикрит с разместване на буквите в името на файла, и файла се вижда като:

exe.etadpuelgoog

но като наместите буквите правилно, се появява истинското име на файла:

googleupdate.exe

Това че всичко е разместено, привлича погледа. Обикновенов регистри всички имена са коректно споменати и няма опити за прикриван и завоалиране на имена, и за това така завоалирано името привлича внимание. единственото завоалирано има на фона на всички останали незавоалирани, за това по-горе казах че не успява и че опита за прикриване е това окето го издава.

Рууткита и троянският кон са маркирани като Safe Boot което означава, че уиндоус ги стартира при зареждане на компютъра в обичайния safe mode. Проблемът се утежнява, защото също бива зареден и в Safe mode with VGA и Safe Mode with Networking, защото в последният режим, троянският кон директно си се връзва в неговата бот мрежа и всичко работи на 100%

Хубавото, е че не се зарежда в най-минималистичния и най-орязаният режим – Safe mode with command prompt. Ех добрият стар дос, хората от старата школа, знаят за какво говоря. В този режим, не е проблем да навигирате с командите на дос, и да изтриете файловете на зевс и рууткита, и да използвате Autoruns sysinternals инструмента, за да премахнете записа за автоматично стартиране от регистри.

Веднъж троянският кон, стартиран от рууткита, и скрит от рууткита, веднага се закача за клавиатурата, и търпеливо анализира всичко което набирате от клавиатурата, за да види може ли да извади акаунти за електронно банкиране, данни за кредитни или дебитни карти, данни за банкови сметки.

Троянският кон, и рууткита, съществуват не като самостоятелни процеси, а като DLL тредове, под юриздикцията на services.exe което позволява, на троянският кон да следи клавиатурата, и на рууткита да го прикрива успeшно.

За да се свърже с неговата ботмрежа, троянският кон, стартира множество UDP връзки от локален порт 54946 на зарdзеният компютър, до отдалечен порт 16470 на произволно генерирани имена, физически пръснати по целия свят, откъдето вземат командите си от command & control или предава вече събраната информация от клавиатурата.