Discussioni sul sistema operativo Linux
 

[semiOT] *****ing team e linux

Tyrynnanzy 9 Lug 2015 16:08
Alla fine non ho ben capito che vulnerabilità usassero per installare
roba su linux, qualcuno ne sa di più?

Sui device android pare si basasse tutto su questo:
http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-6282.html

Bonus: il listino prezzi è notevole
https://drive.google.com ******* d/0B2q69Ncu9Fp_TF9XeFF3VFUwa2s/view
Sandro kensan 9 Lug 2015 18:49
On 07/09/2015 04:08 PM, Tyrynnanzy wrote:

> Bonus: il listino prezzi è notevole
> https://drive.google.com ******* d/0B2q69Ncu9Fp_TF9XeFF3VFUwa2s/view

Linux Platform - License for Linux platform.

The license allows you to monitor Linux devices by implanting the Agent.
The license includes support for Ubuntu, Fedora, Debian, Mageia and Mint.

The Linux platform includes the following key features:

- Skype chats and contacts
- Firefox and Thunderbird saved accounts
- Thunderbird emails
- Crypto currency transactions (e.g., BitCoin, LiteCoin, etc.)
- Camera snapshots
- Key logging

RCS-LNX 40.000,00 €

***

Io ho proprio mageia, quindi non è vero che è proprio misconosciuta,
qualcuno la conosce!!
--
Sandro kensan www.kensan.it & www.qiqi.it geek site
Saluto gli agenti della NSA - Hello NSA - www.nsa.gov
Piergiorgio Sartor 9 Lug 2015 19:07
On 2015-07-09 16:08, Tyrynnanzy wrote:
> Alla fine non ho ben capito che vulnerabilità usassero per installare
> roba su linux, qualcuno ne sa di più?
>
> Sui device android pare si basasse tutto su questo:
> http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-6282.html

"Tutto" e` una parola... piccola... :-)

Ho un tablet (con Android) da quale volevo
eliminare un po' di apps pre-installate.
Per fare questo, si doveva diventare root.
Ho trovato ben 3 soluzioni, una era un vecchio
trucco di Unix, le altre due diversi buffer
overflow (uno era del frame buffer).
E` stato talmente facile, un eseguibile da
copiare e lanciare, che mi ha fatto concludere
che la sicurezza e` zero, anche con Linux.

bye,

--

piergiorgio
Sandro kensan 10 Lug 2015 01:03
Da wikileaks:

Re: Target Linux (training Egitto)
ciao,abbiamo chiesto a Fabio qualche consiglio: ci ha detto che sono
supportate le prime 5 distro più famose (classifica di distrowatch), ma
i test si consiglia di farli su Ubuntu.

https://www.wikileaks.org/*****ingteam/emails/?q=linux&mfrom=&mto=&title=&notitle=&date=&nofrom=&noto=&count=50&sort=0#searchresult
--
Sandro kensan www.kensan.it & www.qiqi.it geek site
Saluto gli agenti della NSA - Hello NSA - www.nsa.gov
Tyrynnanzy 10 Lug 2015 09:24
Il 10/07/2015 01:03, Sandro kensan ha scritto:
> Da wikileaks:
>
> Re: Target Linux (training Egitto)
> ciao,abbiamo chiesto a Fabio qualche consiglio: ci ha detto che sono
> supportate le prime 5 distro più famose (classifica di distrowatch), ma
> i test si consiglia di farli su Ubuntu.
>
>
https://www.wikileaks.org/*****ingteam/emails/?q=linux&mfrom=&mto=&title=&notitle=&date=&nofrom=&noto=&count=50&sort=0#searchresult
>

uh, grazie!

trovata anche:
https://www.wikileaks.org/*****ingteam/emails/emailid/640277

"""
You can use 4 different ways to infect a Linux target:

- Silent installer
- Melted Application
- Offline instalation
- Network injection

If you have a physical access to Linux system and you know the password,
you can use Silnet Installer infection.
If you have a physical access to Linux system and you not know the
password,you can use Offline instalation infection.

If you have not a physical access to Linux system you can use Melted
Application infection or Network injection.
"""

E se ho ben capito da:
https://www.wikileaks.org/*****ingteam/emails/emailid/120534

la "network injection" è sostanzialmente un altro modo per propinare
pacchetti tarocchi

"""
infezione tramite melting degli installer di flash player. Con questo
attacco viene fatto prima un injection sulla pagina di youtube per
rimpiazzare il video con il ******* del fake flash installer, una volta
che il target apre il link del ******* del flash installer meltato
viene applicata una regola di replace e in questo modo si avvia il ******* del
target del ******* """

Tutto sommato temevo peggio
SB 13 Lug 2015 11:43
Il giorno Fri, 10 Jul 2015 09:24:28 +0200, Tyrynnanzy <tyrynnanzy@nonesiste.org>
ha scritto:

>Il 10/07/2015 01:03, Sandro kensan ha scritto:
>> Da wikileaks:
>>
>> Re: Target Linux (training Egitto)
>> ciao,abbiamo chiesto a Fabio qualche consiglio: ci ha detto che sono
>> supportate le prime 5 distro più famose (classifica di distrowatch), ma
>> i test si consiglia di farli su Ubuntu.
>>
>>
https://www.wikileaks.org/*****ingteam/emails/?q=linux&mfrom=&mto=&title=&notitle=&date=&nofrom=&noto=&count=50&sort=0#searchresult
>>
>
>uh, grazie!
>
>trovata anche:
>https://www.wikileaks.org/*****ingteam/emails/emailid/640277
>
>"""
>You can use 4 different ways to infect a Linux target:
>
>- Silent installer
>- Melted Application
>- Offline instalation
>- Network injection
>
>If you have a physical access to Linux system and you know the password,
>you can use Silnet Installer infection.
>If you have a physical access to Linux system and you not know the
>password,you can use Offline instalation infection.
>
>If you have not a physical access to Linux system you can use Melted
>Application infection or Network injection.
>"""
>
>E se ho ben capito da:
>https://www.wikileaks.org/*****ingteam/emails/emailid/120534
>
>la "network injection" è sostanzialmente un altro modo per propinare
>pacchetti tarocchi
>
>"""
>infezione tramite melting degli installer di flash player. Con questo
>attacco viene fatto prima un injection sulla pagina di youtube per
>rimpiazzare il video con il ******* del fake flash installer, una volta
>che il target apre il link del ******* del flash installer meltato
>viene applicata una regola di replace e in questo modo si avvia il
******* del target del ******* >"""
>
>Tutto sommato temevo peggio

In che senso?
Che avessero sfruttato vulnerabilità del kernel?

E' la conferma che Flash Player.è un ricettacolo di schifezze, e che su Youtube
è meglio andarci usando Html5

--
ciao
Stefano
Tyrynnanzy 13 Lug 2015 13:44
Il 13/07/2015 11:43, SB ha scritto:
> In che senso?
> Che avessero sfruttato vulnerabilità del kernel?

Probabilmente è una chiave di lettura semplicistica ma ci leggevo il
fatto che un'installazione relativamente "pulita" (senza sw o *******
black box) con repo in https fosse meno prona all'installazione di
keylogger e altre amenità (almeno senza accessi ssh o fisici).

> E' la conferma che Flash Player.è un ricettacolo di schifezze, e che su
Youtube
> è meglio andarci usando Html5

Con gente che sborsa 40.000 dollaronzi a bug è anche un ricettacolo di
quattrini loschi. Non so quanto paghino ad adobe ma gli sviluppatori di
flash se non altro potrebbero ritrovarsi in conflitto di interessi :)
EMC 14 Lug 2015 15:44
>
> Con gente che sborsa 40.000 dollaronzi a bug è anche un ricettacolo di
> quattrini loschi. Non so quanto paghino ad adobe ma gli sviluppatori di
> flash se non altro potrebbero ritrovarsi in conflitto di interessi :)

a questo punto la domanda è : c'è un modo per vedere se uno è rimasto
fregato?

enrico
writethem 15 Lug 2015 07:30
Il 14/07/2015 15.44, EMC ha scritto:
>
>>
>> Con gente che sborsa 40.000 dollaronzi a bug è anche un ricettacolo di
>> quattrini loschi. Non so quanto paghino ad adobe ma gli sviluppatori di
>> flash se non altro potrebbero ritrovarsi in conflitto di interessi :)
>
> a questo punto la domanda è : c'è un modo per vedere se uno è rimasto
> fregato?
>
> enrico
>

Pare ci sia questo di amnesty international

http://www.amnesty.it/Arriva-detekt-il-nuovo-strumento-per-impedire-la-sorveglianza-dei-governi

https://resistsurveillance.org/

Ma non per linux. Comunque ad ogni modo a breve gli antivirus dovrebbero
rilevarlo, Karspersky ci stava sopra dal 2013 e sarà un attimo fare la
signature con il sorgente in giro.
EMC 15 Lug 2015 11:25
> Pare ci sia questo di amnesty international
>
>
http://www.amnesty.it/Arriva-detekt-il-nuovo-strumento-per-impedire-la-sorveglianza-dei-governi
>
> https://resistsurveillance.org/
>
> Ma non per linux. Comunque ad ogni modo a breve gli antivirus
dovrebbero
> rilevarlo, Karspersky ci stava sopra dal 2013 e sarà un attimo fare la
> signature con il sorgente in giro.


si ma non si può vedere quale processo è di linux? dove viene installato?
il nome del pacchetto?
SB 15 Lug 2015 11:45
Il giorno Wed, 15 Jul 2015 11:25:33 +0200, EMC <em_TOGLINOSPAM_chella@1aait.com>
ha scritto:


>si ma non si può vedere quale processo è di linux? dove viene installato?
>il nome del pacchetto?
>

Sembra che l'infezione avvenga scaricando video da ******* sfruttando un
exploit di Flash Player, non da un pacchetto.


Conunque si possono guardare i video di YouTube anche senza Flash Player ma con
Html5, anzi Google stessa lo consiglia:

https://www.youtube.com/html5?hl=it&gl=IT
http://www.webnews.it/2015/01/28/youtube-html5-flash/


--
ciao
Stefano
g4b0 15 Lug 2015 17:30
On 15/07/2015 11:45, SB wrote:
> Sembra che l'infezione avvenga scaricando video da ******* sfruttando un
> exploit di Flash Player, non da un pacchetto.

Basta usare l'ottima app fornita da ******* per dormire sonni tranquilli :D

--
g4b0, linux user n. 369000
http://brosulo.net
Sandro kensan 16 Lug 2015 14:03
On 07/15/2015 05:30 PM, g4b0 wrote:
> On 15/07/2015 11:45, SB wrote:
>> Sembra che l'infezione avvenga scaricando video da ******* sfruttando un
>> exploit di Flash Player, non da un pacchetto.
>
> Basta usare l'ottima app fornita da ******* per dormire sonni tranquilli :D

Se non ho capito male quello che ho letto sul bug che HT sfrutta allora
basta un qualsiasi video formato in modo opportuno per bucare il
browser. Quindi basta andare su un sito malevolo che faccia aprire in
automatico un filmato e il gioco è fatto.

--
Sandro kensan www.kensan.it & www.qiqi.it geek site
Saluto gli agenti della NSA - Hello NSA - www.nsa.gov
Sandro kensan 16 Lug 2015 14:05
On 07/16/2015 02:03 PM, Sandro kensan wrote:

> Se non ho capito male quello che ho letto sul bug che HT sfrutta allora
> basta un qualsiasi video formato in modo opportuno per bucare il
> browser. Quindi basta andare su un sito malevolo che faccia aprire in
> automatico un filmato e il gioco è fatto.

ovviamente occorre avere flash player installato e attivo.
--
Sandro kensan www.kensan.it & www.qiqi.it geek site
Saluto gli agenti della NSA - Hello NSA - www.nsa.gov
Giovanni 8 Ago 2015 02:39
Il 09/07/2015 19:07, Piergiorgio Sartor ha scritto:
> Ho un tablet (con Android) da quale volevo
> eliminare un po' di apps pre-installate.
> Per fare questo, si doveva diventare root.
> Ho trovato ben 3 soluzioni, una era un vecchio
> trucco di Unix, le altre due diversi buffer
> overflow (uno era del frame buffer).


Quali erano questi exploit ?
Piergiorgio Sartor 8 Ago 2015 09:27
On 2015-08-08 02:39, Giovanni wrote:
> Il 09/07/2015 19:07, Piergiorgio Sartor ha scritto:
>> Ho un tablet (con Android) da quale volevo
>> eliminare un po' di apps pre-installate.
>> Per fare questo, si doveva diventare root.
>> Ho trovato ben 3 soluzioni, una era un vecchio
>> trucco di Unix, le altre due diversi buffer
>> overflow (uno era del frame buffer).
>
>
> Quali erano questi exploit ?

Erano "contenuti" in un eseguibile.

Il primo era un buffer overflow del driver del
frame buffer.
In pratica si poteva allocare un'immagine grande
quanto tutta la memoria e poi andare a scrivere
nei posti giusti (non vi era un controllo sulla
dimensione dell'immagine).

Il secondo era *****ogo, ma non ho indagato oltre.

Entrambi sono stati sistemati in qualche versione
successiva del kernel. Non erano "bug" di Android.

Immagino che, avendo le risorse, se ne possano
trovare di simili in qualunque versione.

bye,

--

piergiorgio
Giovanni 8 Ago 2015 20:41
Il 08/08/2015 09:27, Piergiorgio Sartor ha scritto:
>> Quali erano questi exploit ?
> Erano "contenuti" in un eseguibile.
>
> Il primo era un buffer overflow del driver del
> frame buffer.
> In pratica si poteva allocare un'immagine grande
> quanto tutta la memoria e poi andare a scrivere
> nei posti giusti (non vi era un controllo sulla
> dimensione dell'immagine).
>

Il frame buffer era quello che consentiva di visualizzare
un'immagine senza X windows sistem , mi pare tramite
il device /dev/fb , ma il device ha i permessi di root
( su il mio android 4.1 non c'è /dev/fb ).


> Il secondo era *****ogo, ma non ho indagato oltre.
>
> Entrambi sono stati sistemati in qualche versione
> successiva del kernel. Non erano "bug" di Android.
>
> Immagino che, avendo le risorse, se ne possano
> trovare di simili in qualunque versione.
>
Si, degli 0-day che durano mesi o anni forse.

Ciao
Giovanni



> bye,
>
> -- piergiorgio
Piergiorgio Sartor 9 Ago 2015 00:27
On 2015-08-08 20:41, Giovanni wrote:
[...]
> Il frame buffer era quello che consentiva di visualizzare
> un'immagine senza X windows sistem , mi pare tramite
> il device /dev/fb , ma il device ha i permessi di root
> ( su il mio android 4.1 non c'è /dev/fb ).

Non e` una questione di permessi del device.

Era possibile richiedere uno "schermo" di
risoluzione talmente elevata da usare tutta
la memoria (che e` condivisa con il resto,
non essendoci una scheda grafica separata).
A quel punto, qualunque applicazione utente
e` in grado di scrivere in quell'area di
memoria, tramite le primitive grafiche.

Abbastanza b*****e, ma efficace.

bye,

--

piergiorgio

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sul sistema operativo Linux | Tutti i gruppi | it.comp.os.linux.sys | Notizie e discussioni linux | Linux Mobile | Servizio di consultazione news.