* Исходники Вселенной / Реальная философия несуществующего мира

Ну чтож, после облома при просмотре Day2-Track1-Kris Kaspersky - Remote Code Execution Through Intel CPU Bugs (апрезентации Криса Касперского на HITB, кому интересно, может скачать тут: http://thepiratebay.org/torrent/4654974/HITBSecConf2008_-_Malaysia_Videos___Day_2) я так и не смог увидеть POC данных багов. После посылки мейла самому К.К. который был послан 16 Апреля данного года, я так и не получил по нему ответа. Также были люди кто говорил что код выкладывали, но при поиске я тут ничего найти и не смог кроме флейма на данную тему(3 топика).
Вот теперь прошу Касперского или у кого остался сорс или у автора малварей откуда сама идея была снята показать небольшой POC, думаю он будет интересен не только мне.
Всем заранее спасибо за внимание.

 

Человек который сказал что есть небольшой сорец показал его, он находится тут: http://wasm.ru/forum/viewtopic.php?pid=373904#p373904.
Но сам сорс хоть и не полный (кто знает что там за dw(double word?) и size_t(int?)) но и не является POCом именно "Remote Code Execution Through Intel CPU Bugs" так как он делает локальный DOS, а про сеть никто и не вспоминает...

 

hxxp://www.socionics.ibc.com.ua/physics/01-1/as-f101.html

по сабжу "исходники вселенной"

 

jen140
> Но сам сорс хоть и не полный
он очень сильно не полный. там только vm. от которой требуется две вещи: а) реализовать заданную последовательность обращений к памяти, при которой проявляется баг; б) сделать это портабельным и хреново анализируемым; к vm должен быть приложен микрокод (назовем его так), который в данном случае отсустует. а без него vm бесполезна. ей все равно что выполнять

> (кто знает что там за dw(double word?) и size_t(int?))
size_t - курим учебник по си, dw - да, dw, хотя необязательно... сойдет и word. и даже char. но тогда ес-но перед тем как исполнять микрокод, его придется привести к данному типу.

> но и не является POCом именно "Remote Code Execution Through Intel CPU Bugs"
> так как он делает локальный DOS, а про сеть никто и не вспоминает...
он делает не DOS. он дает возможность перезаписи физических ячеек памяти. по поводу локальности - тут у меня зуб на журналистов и неадекватных хакеров. последних, кстати, больше. тупите господа. слабо, переписать эту vm на Java Script, Java, Action Script?

этот PoC демонстрирует _один_ баг. в презентации их описано больше, чем один. и данный баг из локального легко превращается в удаленный.

jen140
> я так и не смог увидеть POC данных багов.
и не только вы один. их как бы многие не смогли увидеть. а вот людей, которые смогли, намного меньше. причины "кидалова" с моей стороны уже объяснялись неоднкоратно и добавить мне к этому нечего.

> После посылки мейла самому К.К. который был послан 16 Апреля данного года,
звиняюсь, не ответил. как всегда сначала не было времени, а потом закрутился и ваш мейл был похоронен под кучей других неотвеченных писем.

> Вот теперь прошу Касперского или у кого остался сорс или у автора малварей
> откуда сама идея была снята показать небольшой POC, думаю он будет
> интересен не только мне. Всем заранее спасибо за внимание.
на момент презентации -- багов в ЦП было много. сейчас это уже неактуально. могу лишь сказать, что все заинтересованные лица (юридические) получили и сорцы, и бинари. и после HITB было много приватных презентаций, где все это демонстрировалось и, кстати, деньги не взымались. а на последних презентациях даже не оплачивался мой перелет и проживание. правда сорцы отдавались под NDA. но вы ж знаете, что NDA это не коран (его и нарушить можно). так что я думаю, что они уже уплыли.

ЗЫ. много шума из ничего. вот баги в pdf это действительно очень плодотворная тема.

 

Поднимаю тему.
Прошу К.К. посмотреть ПМ )

 

jen140
я ж вам ответил сразу же... вот копия ответа:

Добрый вечер и вам!

> Спасибо за ответ. Но я с вами не могу согласится что баги ЦП уже не актуальны,
они исправлены в обновлениях биосов (хотя и не всех). и главное - ну наконец-то пофиксены мобильные процы. раньше они были бажные и никому до них не было дела как бы.

> так как например тут, в Португалии,
о! португалия! надо бы к вам! а то я пока из всей скандинавии был только в швейцарии да новегии.

> небольшие фирмы стараются экономить на всем,
> и под это попадает и компьютерная техника, я видел
понимаете, португалия она как бы не очень сильно интересна хакерам. не потому что она маленькая, а потому что так исторически сложилась. южная корея тоже как бы не сильно большая, но хакеров там очень много и они атакуют все подряд. изнутри. извне опять-таки она никому не интересна. а вот про португальских хакеров я не слышал... а остальным... зачем юзать дыры в цп? ну чтобы ботнет поднять или для целевой атаки. но португальский ботнет это как бы... ну вы поняли. а целевая атака... при тотальной экономии на безопасности там имхо можно намного проще все...

> как у одной небольшой фирмы компьютер который был сервером дхцп и поп3 стоял на втором пентиуме,
а дыры в core duo

> и никто его не собирался ни апдейтить ни покупать новый.
логично ж.

> Также хотел у вас узнать, не хотели бы вы посетить Португалию
> и сделать небольшую приватную презентацию ? (но за ваш щет)
португалия это интересно. там по английски народ понимает на улицах? она находится в списке стран, где я бы хотел потуссоваться. сейчас мне для этого нужно только американскую визу сделать. потому как без американской визы в портуалию я вырваться никак не могу. а она (виза) у меня 12 мая закончилась.

> И набираясь наглости прошу у вас сорс, также под лицензию НДА,
> так как он очень интересный объект для изучения.
ладно, отдаю без NDA. все равно уже утекло. просто с просьбой не распростанять. http://zen-way.org/cpu_bugs.7z
(зы. только не спрашивайте каким архиватором оно пожато. пусть будет кракме. ЗЫЗЫ. архиваторов там больше одного, но все очень популярные, но не все опознаются по расширению и не все опознаются плагином FAR'а и Total Commander'а).

> ПС: прошу прощения за size_t, не думал что есть такой тип.
драстье. а вы си знаете? там же _все_ строковые функции и функции работы с памятью его принимают/возвращают. и не только они.

> Еще раз спасибо, и приятного вам дня.
да уже вечер у нас... побегу до дому... тут в офисе уже один....

 

Извиняйте, думал что выставил опцию для посылки оповещения на мейл при принятии ПМ.
Спасибо за файлег.
Хакеры в Португалии были, одна групка, пару лет назад, названия не помню.
Был и один форум ptsec.net, но после нашествия бразилов, и взлома самого форума, он и закрылся.
А Си немного знаю, но практики маловато )

 

jen140
Как успехи с лодером ?

 

kaspersky

нуконуко зирокод оО.. чем это распаковать %.

 

Clerk пока перешел на распаковку архива, думаю что уже знаю чем запакован после 7з.
А где линк нашел ? Оо

 

jen140
#6, стр. 28.

 

Clerk
> нуконуко зирокод оО.. чем это распаковать %.
ну вам с вашей эрудицией труда не составит это опознать. все архиваторы популярные и широко распростаненные.

jen140
> Clerk пока перешел на распаковку архива, думаю что уже знаю чем запакован после 7з.
это как раз легко. там есть заголовок. причем вполне документированный. это так сказать level 1, на level 2 заголовка уже не будет. а всего уровней 3. архиваторы типа zip, rar, 7zip мы в расчет не берем

внутри полные сорцы + файл виртуальной машины с микрокодом. короче полный комплект.

 

Чет я потерялся...
Первый .7z , хеадер: ОК
Второй .rar, хеадер: ОК
Третий .zip, хеахер: ОК
Четвертый .7z , хеадер: ОК
Пятый без расширения, хеадер: Не ОК, читал доки и думал что это .bz , но как оказалось я ошибся ((

 

jen140
> Пятый без расширения, хеадер: Не ОК, читал доки и думал что это .bz , но как оказалось я ошибся ((
да, это и есть level 1, заголовок узнаваем в не то, что в hex-дампе, но даже так. очень характерен. очень популярный архиватор.
bz это очень близко, но bz это уже ответвление. а расширения у него и нету, кстати. вообще.

 

.tar .tar.gz .tar.bz2 .Z .gz .bz , и все не то (
а без расширения только помнится ельфовые бинарники...
file-roller, xectractor, winrar, 7z его не узнают.
file говорит что это "дата"...

 

jen140, man zlib
надо дописывать не расширения к файлу, а спереди к данным внутри него сигнатуру gzip-а

на втором уровне base64?

 

jen140
есть в спике (один из перечисленных архиваторов представляет собой надстойку на). формат палится по двум контрольным суммам, которые есть в нем. но вообще формат популярный.

ovod
> надо дописывать не расширения к файлу, а спереди к данным внутри него сигнатуру gzip-а
не обязательно. на zlib.net есть сурсы декомпрессора для zlib потоков. он их расжимает.

> на втором уровне base64?
не все так тривиально но вы близко. почти у цели. поздравляю!

 

ascii85->ascii85->base64->zip->cpu_bugs.c + micro.dat
^____^

 

izl3sa
ага, ascii85 узнается по <~ ... ~>

 

пазлы от Криса ))