Archiwum dla kategorii Windows

Z wielu różnych powodów dawno nic tu nie pisałem. Ale ostatnie informacje w sprawie firmy Creative zmusiły mnie do tego.
Otóż na oficjalnym forum tegoż (dział Support :) jeden z moderatorów publicznie ogłosił stanowisko firmy w sprawie nieoficjalnych sterowników tworzonych przez użytkownika o pseudonimie Daniel_K. Streszczając: sterowniki te były zbyt dobre, a przede wszystkim lepsze niż oryginalne! Co w tym złego? Creative nie miał argumentów by przekonać użytkowników do zakupu nowych kart, gdyż starsze (ze sterownikiem Daniel_K) bez problemu obsługiwały zaawansowane technologie. A tym czasem wprowadzenie Visty miało być świetnym argumentem dla wyjaśnienia ludziom, że stare karty są do niczego. Plan nie wypalił. Pozostało wystosowanie żądania o zaprzestanie nieautoryzowanego “poprawiania” sterowników. Być może 5 lat temu to by przeszło bez większego echa. Jednak w czasach Digga jest inaczej - ledwie tydzień po opublikowaniu oświadczenia, doczekało się ono blisko 2500 krytycznych odpowiedzi, a moderator zdecydował się… zmienić oświadczenie tak aby wyglądało mniej negatywnie.

Jak Daniel_K pisał sterownik? Nie miał kodów źródłowych, edytował wykonywalne pliki binarne!
W takim trybie pracy nie mógł napisać własnej obsługi zaawansowanych technologii i skleić z resztą sterownika. Owa funkcjonalność musi być już zaimplementowana w oryginalnym sterowniku ale zablokowana. Zadanie Daniel_K ograniczało się do zdjęcia blokady. Nagle tania karta zyskiwała ceny charakteryzujące droższe modele.

Sprawa jawnie przypomina skandal z obsługą Skype na procesorach AMD, gdzie również edycja kodu wykonywalnego pozwoliła ominąć ograniczenia.

Nie raz spotkałem się opiniami użytkowników, który uważali, że na nowszych sterownikach do karty graficznej uzyskują mniejszą wydajność. Nie ma w tym nic dziwnego - firmy mogą przecież przy okazji wydania nowej wersji obniżyć programowo wydajność starszych modeli, tak, aby użytkownicy szybciej zdecydowali się na zakup nowego modelu.

A oprogramowanie?
Prawdę piszą przeraziłem się, gdy usłyszałem, że Microsoft zamierza wydać DARMOWY Service Pack 3 do Windows XP po wydaniu ODP?ATNEJ Visty. Czyżby głównym celem tego SP będzie przekonanie użytkowników do przejścia na nowy system?

WampServer 2 to następca WAMP5 - zestawu: Apache, MySQL, PHP przygotowanego dla systemu Windows. Na pierwszy rzut oka nowa wersja nie różni się znacząco od poprzedniej. Mamy do dyspozycji to samo wygodne menu konfiguracyjne w systemowym trayu, stronę główną (choć ta została zmodyfikowana), phpMyAdmin i SQLiteManager.
Najważniejszą nowością jest umożliwienie szybkiej zmiany wersji Apache, MySQL i PHP, które można zainstalować niezależnie z paczek przygotowanych przez autorów WampServer. I tak: jednym kliknięciem myszy można zmienić np. Apache 1.3 na 2.2, MySQL 5.0.45 na 4.1.20 lub PHP 5.2.5 na 4.1.2. Nie muszę chyba szczególnie wyjaśniać dlaczego jest to takie przydatne.

Wprawdzie moja absencja online nie była spowodowana żadnym atakiem wirusa (no, chyba że grypy na pracowników tpsy), ale właśnie temu tematowi pragnę poświęcić kilka następnych zdań.

Ilość komputerów zarażonych koniem trojańskim Storm powiększa się w każdej chwili w zastraszającym tempie. Nazwanie tego epidemią nie oddaje faktycznej stali problemu. Mamy do czynienia z Pierwszą Pandemią Internetową.

Szacunkowe dane ustalają liczbę zainfekowanych komputerów na kilkanaście milionów, a pesymistyczne dane nawet o 50 milionach. Teoretyczna szczepionka już istnieje - jest nią aktualizacją dla przeglądarek IE i FF, bowiem jest to podstawowa droga rozpowszechniania się tego zagrożenia. Niestety jak wykazują badanie nie ograniczyła ona stopnia rozwoju pandemii a obecna moc botnetu powstałego z połączenia wszystkich zarażonych komputerów w klaster obliczeniowy prawdopodobnie przewyższa (i to znacznie) dowolną inną instalację tego typu (legną lub nie) i pozwala między innymi na skuteczne deszyfrowanie danych (haseł, transmisji, itp.; nawet tych bardzo zaawansowanych).

Sam trojan jest bardzo ciekawy. Jego głównym zadaniem jest przejęcie kontroli nad komputerem i połączenia do jako węzła globalnego botnetu. Następnie umożliwia on przeprowadzenie złożonych rozproszonych obliczeń lub ataków typu DDoS. Infekcja przebiega najczęściej poprzez stronę internetową ze spreparowanych odpowiednio kodem JavaScript, który doprowadza do przepełniania bufora przeglądarki i w efekcie ściągnięcia i wykonania pliku wykonywalnego. Ze względu na polimorficzny charakter wirus jest ciężko wykrywalny przez oprogramowanie antywirusowa, co więcej, w pierwszej kolejności instaluje rootkita, który skutecznie dezaktywuje programowanie ochronne (a dokładniej je sandboxuje, co powoduje, iż nie potrafi on wykryć żadnego zagrożenia w systemie, pomimo iż działa normalnie). Storm posiada także wielopoziomowy system wykrywania próby usunięcia trojana. Jeżeli użytkownikowi (lub programowi) powiedzie się usunięcie jednego z zabezpieczeń natychmiast wykrywa to wyższa warstwa i ponawia infekcje. W efekcie usunięcie zagrożenia jest niezwykle kłopotliwe.

Sam miałem raz “przyjemność” walczyć ze Stormem u znajomego i z przykrością muszę stwierdzić, iż po kilku godzinach się poddałem, co ostatecznie skończyło się koniecznością reinstalowania Windowsa.

Artykuł na PC World Komputer:
http://www.pcworld.pl/news/128739.html

Ciekawa prezentacja autorstwa F-Secure:

 

 

Niedawno głośno było o błędzie w przeglądarce Firefox polegającym na braku filtrowania danych pochodzących z wywołania przy pomocy firefoxurl:// (http://secunia.com/advisories/25984/). W rzeczywistości problem ten w równym stopniu obciążał zarówno Firefoxa jak i autorów przeglądarki IE, dzięki której atak był możliwy. Mozilla Foundation poprawiła błąd wraz z wersją 2.0.0.5, problem po stronie IE został po raz kolejny zignorowany (wprawdzie w tym przypadku jest to częściowo zrozumiałe, gdyż przecież istnieje możliwość, że inne programy nie akceptują przefiltrowanych danych a także powstaje pytanie o stopień filtracji; ale jednocześnie działanie Microsoftu można porównać to producenta samochodów, który nie montuje pasów bezpieczeństwa, gdyż nie każdy je zakłady, zmniejszają komfort jazdy i - co najważniejsze - o bezpieczeństwo jazdy powinni troszczyć się inni, w szczególności kierowca).

Atak przy pomocy IE polegał na utworzeniu odpowiednio spreparowanego odnośnika, którego naciśnięcie powodowało uruchomienie Firefoxa wraz dodatkowymi atrybutami (wstrzyknięcie kodu).

Niedługo po pojawieniu się “załatanego” Firefoxa analogiczny problem jak w IE został wykryty w samym FF! Błąd polega na niewłaściwym filtrowania znaku cudzysłów w adresach url zewnętrznych protokołów. Więcej informacji można znaleźć na stronie http://xs-sniper.com/blog/remote-command-exec-firefox-2005/

Problem jest o tyle poważny, iż pozwala na zdalne uruchomienie dowolnego programu zainstalowanego na systemie użytkownika! Prosta prezentacja:

EXPLOIT

(ps. jeżeli powyższy przykład u Ciebie nie działa, nie oznacza to, iż jesteś bezpieczny; po prostu atakujący musi użyć innego protokołu niż mailto)

Tak więc wszystkich użytkowników FF (IE także) namawiam do dokładnego sprawdzania linków, które się klika…

Co można ściągnąć ze strony Windows Marketplace? Tak! Ubuntu Desktop 7.04!

A przynajmniej “można było” ściągnąć, gdyż Wielki Bill się zorientował i szybko usunął linki.

Ten jednak zachował się w nieskończonych zasobach Google Cache:  Get Ubuntu

Niedawno miałem wątpliwą przyjemność spotkania z tym niebezpiecznych trojanem. Na szczęście “spotkanie” było w pełni kontrolowane. Ale do rzeczy. Wprawdzie nie śledzę historii tego programu, ale sporo wskazuje, że właśnie ukazała się kolejna jest wersja. Przypuszczenie opieram na fakcie, iż otrzymałem plik zarażony tym trojanem, który… był szczątkowo wykrywany przez programy antywirusowe!

Test przeprowadzany przy pomocy scannera online VirusTotal wykazał, iż tylko ClamAV i VirusBuster potrafiły prawidłowo rozpoznać Ardamex, kilka innych wykryło nieznane potencjalne zagrożenie, a większość - w tym wszystkie najpopularniejsze(!) - uznały zarażony plik za czysty! Testowy system to Windows XP SP2 z zainstalowanymi aktualizacjami z maja 2007.

Dopiero odpalenie zarażonego pliku w systemie (zaznaczam, iż było to specjalnie przygotowane środowisko testowe) wykazało obecność trojana. Zainstalowany w tym systemie darmowy (i raczej kiepski, choć popularny) antywirus avast! nie zauważył niebezpieczeństwa.

Infekcja systemu przebiegała w ciekawy sposób - w jej czasie został wygenerowany plik graficzny JPG. Możliwe jest, że korzystając z nieznanej powszechnie luki w Windows w obsłudze plików graficznych, zaraził on cały OS. Jeżeli atak przy pomocy spreparowanego pliku graficznego się potwierdzi, będzie to oznaczać kolejne ogromne zagrożenie dla użytkowników systemu Windows. Są to jedynie moje przypuszczenie, nie jestem obecnie w stanie ich potwierdzić z całą pewnością.

Apple jest znana z raczej porządnie napisanych programów, a tymczasem przytrafił się jej bubel w postaci nowej wersji przeglądarki Safari oznaczonej numerem 3.0. Jasno trzeba zaznaczyć, iż dotyczy to wersji beta, co więcej tylko na platformie Windows, co jest niewątpliwie względnie nowym doświadczeniem dla Apple.

Już w kilka godzin po pojawieniu się “publicznej beta” pojawiły się pierwsze exploity o charakterze krytycznym. Jeden z nich został opisany tutaj: http://larholm.com/2007/06/12/safari-for-windows-0day-exploit-in-2-hours/

Wiele innych błędów uniemożliwia normalna pracę. Przykładem jest problem pojawiający się w momencie napisania dowolnego znaku w polu tekstowym na stronie. Prezentacja w postaci filmiku tutaj.

Większość luk i błędów została już załatana, choć należy się spodziewać, że ich miejsce zajmą następne.

Apple chwali się, że w czasie kilku dni od pojawienia się przeglądarki w wersji dla Windows, została ona ściągnięta ponad milion razy! Aczkolwiek obawiam się, że takie “niestabilne milion razy” nie wpłynie pozytywnie na wizerunek firmy i pozycję przeglądarki na rynku. Kiedyś MS wydawał kiczowatą przeglądarkę w wersja dla MacOS, teraz sytuacja się odwróciła. Czas pokaże czy jest warto. Życzę Apple jak najlepiej.

Przeglądarka internetowa Safari począwszy od wersja 3.0 będzie wspierać system Windows.

Jest dostępna już wersja beta na stronie Apple: http://www.apple.com/safari/

Przypomnę, iż safari oparta jest na tym samym silniku jak Konqueror (domyśla przeglądarka w KDE). Pod wieloma względami jest podobna do Mozilla.

Jak na razie muszę z przykrością stwierdzić, iż moja strona nie działa poprawnie pod Safari 3.0 beta, choć z wieloma innymi stronami występują podobne problemy. Niemniej jednak czeka mnie trochę pracy…

Prezentuję bibliotekę umożliwiającą załadowanie dowolnego kodu (w szczególności całego pliku dll) w ramy dowolnego procesu posiadającego okno.

W archiwum jest również przykładowy program ładujący przygotowaną bibliotekę do procesu systemowego Notatnika.

Przykład działa w polskiej odmianie systemu Windows XP (również SP2). Niestety nie działa w Vista.

Użycie biblioteki:

  1. Podczepiamy funkcję InjectDll to naszego kodu
    #include "injectdll.h"
    HINSTANCE dll = LoadLibraryA("hook.dll");
    InjectDll f = (InjectDll) GetProcAddress(dll, "InjectDll");
  2. Uzyskujemy HWND okna
    HWND hWnd = FindWindow(NULL, "Bez tytułu - Notatnik");
  3. Dll Inject!
    HMODULE hModule = f(hWnd, "insert.dll");


Przykład działania

Plik: Dll Injection