Экспромт хорош тогда, когда хорошо подготовлен

Новостной бэкграунд для тех, кто не в теме:
https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://gynvael.coldwind.pl/?lang=en&id=782
https://www.opennet.ru/opennews/art.shtml?num=60877

Мои соображения: типичный код, связанный с m4/autotools выглядит в целом так же, как этот обфусцированный троянец, предоставляя этому и другим подобным троянцам обширный ландшафт для камуфлирования. В том-то вся и проблема. Ребята, юзайте Meson, или CMake, а не это древнее говно мамонта. Эту стюардессу давно пора закопать! Любой код или конфигурация, как-то связанный с утилитами autohell, выглядел как говно мамонта даже в начале двухтысячных годов, на фоне тогдашних SCons и Perforce Jam (не говоря уже о современных инструментах сборки), и я — ни тогда, ни сейчас — просто не мог(у) понять, как вменяемые (на первый взгляд) люди находят в себе силы копошиться в этом навозе. В итоге так и вышло, что мейнтейнеры многих дистрибутивов проморгали троянца при review.

Пару десятилетий назад, с нечитаемостью языка M4 и несопровождаемостью обширных правил, на нём написанных, была та же проблема в Sendmail (разумеется, повлёкшая многочисленные уязвимости), пока ту стюардессу успешно не закопал Postfix.

UPD. Также этот кейз демонстрирует полезность подхода defense-in-depth, в частности оборачивания ssh-трафика в spiped-туннели.

UPD2. Autodafe — утилита для избавления вашего проекта от autotools, авторства Eric S. Raymond.

Немецкая спецслужба BSI (Федеральное управление по информационной безопасности) продолжает свой проект Sisyphus по изучению телеметрии Windows 10.

За время, прошедшее после публикации последнего отчёта, немцы разработали собственную утилиту с открытым исходным кодом — System Activity Monitor — которая позволяет подключаться к ETW-провайдерам (компонентам первичного сбора телеметрической информации, работающим как в ядре, так и в юзерспейсе) и осуществлять запись потока событий в формате, удобном для последующего анализа.

В самой Windows 10 сбор телеметрии настраивается (на низком уровне) через конфигурационный файл-профиль (%ProgramData%\Microsoft\Diagnosis\DownloadedSetttings\utc.app.json). Этот профиль перечисляет все источники событий (ЕTW-провайдеры), которые должны быть включены, и отличается в зависимости от сборки и редакции Windows, заданного в настройках уровня собираемой телеметрии, языка и региона (Microsoft может создавать конфигурации для конкретных регионов, например, в зависимости от применимых законов о защите данных). Может, бывают индивидуальные профили для "особо интересных" пользователей, не знаю. Например, на моей тестовой виртуальной машине, куда установлена чистая Windows 10 Pro на основе ISO-файла из MSDN, в этом файле 422 провайдера на уровне телеметрии "Full" и 410 провайдеров на уровне телеметрии "Basic". Как видите, Microsoft уважает ваши настройки конфиденциальности в Windows 10.

Утитита SAM от BSI позволяет выбирать "индивидуальные пункты меню" при построении профиля слежки за пользователем, с целью изучения того, как оно работает по отдельности; плюс содержит удобные средства для десериализации собранных событий, их преобразования в открытый формат, с целью последующего анализа, например в Logstash, ElasticSearch и Kibana. Короче, это консольная утилита для работы с профилями и первичного преобразования потока собираемых ЕTW-событий.

Ссылки:
1. Общее описание на немецком
2. PDF-файл с примерами на английском
3. System Activity Monitor (исходные коды на C++, а также установщик)

В продолжение темы грамотного собаководства (1, 2, 3, 4, 5, 6, 7, 8, 9).

Сам факт наличия особых, свободных от телеметрии и бэкдоров, редакций десятой винды для правительств (Windows 10 China Government Edition, Windows 10 Enterprise G/GN) и для специальных применений (Azure Stack HCI), реконструированные сборки которых можно скачать, например, в непубличных разделах форума MyDigitalLife, наводит на соображения о том, что ленивым мелкомягким индусским жопам было бы влом поддерживать две совершенно разных винды (одну для лохов, другую для нормальных пацанов), и что отличается нормальная винда от лоховской, в общем-то не сильно, лишь набором компонент, да настройками в реестре.

Изучение разницы между утёкшей в паблик редакцией Windows 10 China Government Edition и обычной китайской редакцией Windows 10 позволило умельцам с форума mydigitallife.info создать скрипты для построения китайской правительственной редакции Windows 10 на основе файлов Windows 10 для обычных китайцев, а применение этих скриптов к обычной редакции Windows 10 Pro порождает редакцию для западных правительств, называемую Windows 10 Enterprise G (или нечто, на неё максимально похожее — достоверно подтвердить нельзя, т.к. утечек официального установочного ISO-файла Windows 10 Enterprise G/GN ещё не было).

Опираясь на эти результаты и продолжая наблюдать за сетевой активностью полученного уродца, другие кулибины (ameliorated.info) предлагают своё решение — изрядно обкусанную десятку, в которой часть компонент вырезана, часть заменена заглушками, а также вся шпионская дрянь, насколько это возможно, отключена настройками в реестре и в Group Policy. Предлагается два варианта на выбор: скачать готовый ISO-шник (для смелых) или набор скриптов для его создания на основе официального установочного ISO-шника Windows 10 Pro из MSDN. Готовые ISO-шники эта команда распространяет торрентами через Телегу, чтобы не подставлять свой домен под удар закона DMCA и юристов из Microsoft.

Мелкомягкие тролли в пабликах разных форумов наподобие HN на говно исходят, ругая Ameliorated-редакцию за отключённость автоматических обновлений, а значит, "сапоги хорошие, надо брать" — подумал я и ради интереса установил Ameliorated-редакцию Windows 10 (версию от 2020-10-31) в виртуальную машину с записью трафика, как описано здесь.

По итогам наблюдения за её сетевой активностью в течении нескольких месяцев, хочу отметить, что она не идеально герметична, но близко к тому (гораздо лучше, чем то, чего можно достичь самостоятельно путём выкусывания "всего ненужного" и путём настройки Group Policy в обычной Windows 10 Pro с помощью NTLite). В сочетании с Henry++ Simplewall, сетевую активность Ameliorated-редакции Windows 10 вполне можно, так сказать, загнать в рамки приличия, сделать эквивалентной сетевой активности Windows 7 — остаются только запросы к time.windows.com, msftncsi.com и CRL/OCSP-запросы наподобие ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab (которые, при желании, можно отключить настройками Group Policy для Crypto API).

Наблюдая за сетевой активностью этой винды с этим файерволлом, я добавил только несколько записей 0.0.0.0 в файл C:\Windows\System32\drivers\etc\hosts: для settings-win.data.microsoft.com, для displaycatalog.mp.microsoft.com и fs.microsoft.com. По сравнению с тысячами доменов обычной десятки — это, как говорится, небо и земля. Посмотрим, что будет дальше.

E2E-шифрованный мессенджер Signal часто подвергается критике от сторонников конфиденциальности, которые не понимают, зачем нужна привязка аккаунтов к номерам телефонов (ведь во многих странах мира невозможно купить SIM-карту анонимно). Также, номер телефона не является открытым ключом, не является математической функцией от открытого ключа, и таким образом, теоретически возможен такой вид подлости со стороны платформы, как подмена открытых ключей в хранящейся на сервере "адресной книге" (то есть, по сути, MitM-атака). Зачем может понадобиться такая подмена хозяевам платформы? Ну, не по доброй воле конечно, просто они могут исполнять NSL или gag order в рамках закона FISA, например.

Объяснения/оправдания насчёт борьбы со спамом и т.п. понятны, но всё же они не снимают спрос на такой E2E-шифрованный мессенджер, где в качестве идентификаторов пользователей выступают их открытые ключи (или хэши открытых ключей). Заодно и никаких проблем при установке такого мессенджера на десктопы/планшеты/другие устройства без SIM-карты. В том числе и на одноразовые виртуальные машины, когда в этом есть смысл.

Вы скажете "если в качестве идентификаторов пользователей будут выступать их открытые ключи, то получится слишком сложная процедура начального обмена ключами / установления контактов"? Ведь треугольник Зуко никто не отменял. Да, именно так, открытые ключи в качестве идентификаторов пользователей — это не очень гуманно, зато полностью исключается риск MitM-атак. Бывают ситуации, когда это оправдано (это отдельный сегмент рынка). Исторически в качестве такого супер-защищённого мессенджера выступал RetroShare, однако его существование только для десктопных ОС и необходимость заморачиваться с пробросом портов через NAT не добавляет ему популярности в наши дни. То же самое относится и к многочисленным клиентам протокола Tox, которые полагаются на DHT/P2P-маршрутизацию сообщений и открытые UDP-порты с определёнными номерами.

Бывает ли мессенджер, подобный RetroShare/qTox/uTox (со сложной MitM-устойчивой церемонией обмена ключами / установления контактов), но такой, чтобы нормально работал под мобильными ОС (в том числе автоматически преодолевал NAT, например, с помощью централизованных серверов, которые, помимо роутинга, хранили бы зашифрованные сообщения для находящихся в оффлайне пользователей), и по возможности, упрощал начальный обмен ключами посредством QR-кодов?

Есть такой мессенджер, называется Session: https://getsession.org/

Эволюция вируса под названием Microsoft Windows продолжается. В новых версиях анонсирована функциональность вируса-шифровальщика (см. ниже).

Как мы знаем, Windows 10 представляет собой пример классического spyware, замаскированного под операционную систему: она пылесосит всевозможные данные с компьютера пользователя (логи запущенных программ, посещённых сайтов, логи клавиатуры, буфера обмена, скриншоты и т.п.). Также в ней содержатся элементы вируса-dropper'а: она умеет скачивать из интернета и запускать на выполнение новый программный код с заранее неизвестной и потенциально нежелательной функциональностью. Про встроенное adware, показывающее неотключаемую рекламу в меню Пуск (в редакциях Windows 10 Home), тоже все давно наслышаны.

Как дальше будет развиваться это вредоносное ПО, какие новые модули и функции в нём появятся со временем? Чем нас будут удивлять? Ответ на этот вопрос дают системные требования к новой версии Windows: Windows 11, а именно обязательная поддержка чипа TPM.

Что такое чип TPM и для чего он используется сейчас, в Windows 10 и более ранних версиях Windows? Он реализует технологию под названием Measured Boot и используется во встроенном в Windows Microsoft'овском ПО для полнодискового шифрования под названием BitLocker, для решения одной частной задачи. А точнее, TPM решает проблему "курицы и яйца".

Эта проблема заключается в том, что для обеспечения возможности ввода пароля пользователем необходимо сначала загрузить полную операционную систему (в том числе драйверы клавиатуры и дисплея, например), но эти драйверы хранятся на системном диске в зашифрованном виде, и для их расшифровки понадобится пароль (точнее, некоторый ключевой материал, вычисленный на основе пароля), который в контексте загрузчика ОС неизвестен. А если бы был известен, тогда этот пароль/ключ можно было бы оттуда извлечь и расшифровать файлы на диске C: вообще без знания пароля, заданного пользователем.

Для решения этой проблемы применяется аппаратная поддержка в виде TPM-чипа: копия ключевого материала для расшифровки системного диска хранится в TPM и предоставляется программному обеспечению только в том случае, если Measured Boot идет как обычно (т.е. если это загрузчик ОС Windows, а не загруженная с USB-накопителя ОС Linux). Далее Windows загружается почти до рабочего стола, спрашивает пароль у пользователя и вычисляет из него ключ шифрования, но не для расшифровки, а просто для сверки с эталоном. Планшеты Microsoft Surface уже сейчас поставляются с по умолчанию зашифрованным системным диском (на неизвестном ключе, копия которого хранится в TPM, и неизвестно где ещё, хехе). Пароль к битлокеру по умолчанию пуст, но его можно изменить.

(На очевидный вопрос о том, почему бы мелкомягким не встроить копию драйвера клавиатуры или, там, тачскрина от сёрфейсов, прямо в загрузчик, как в своё время делал TrueCrypt, и обойтись вообще без TPM, отвечу так: this is a national security matter, не умничайте, товарищу майору виднее, что куда встраивать, а запасной ключ от диска C: в TPM "никому не повредит", особенно если его забэкапить "куда следует" прямо при производстве устройства.)

Гипотеза о том, что TPM в обязательном порядке нужен одиннадцатой винде только лишь для того, чтобы осчастливить всех страждущих забэкдоренным битлокером, как по мне, излишне оптимистична. Вообще говоря, при наличии TPM, диск C: можно зашифровать юзеру и не тем паролем/ключом, который у него в битлокере. Кто сказал, что пароль должен совпадать? (Это пока, до сих пор пароль совпадал в TPM и битлокере. Это же ничего не значит, как известно, правила меняются, до Windows 8.1 включительно и обновления Windows можно было отключать.) Так вот, при наличии TPM, диск C: можно зашифровать юзеру просто всегда, даже когда у того несчастного нет никакого битлокера и в помине. Зачем? Ну, например, для DRM: для того, чтобы чересчур любопытные юзеры не ковырялись в файлах операционной системы (подключив загрузочный носитель к другому компьютеру например, или из-под Linux'а, загруженного с флешки). Если совместить это "шифрование-через-не-хочу" с обязательной установкой ОС из облака (это когда у вас на установочной флешке есть только \sources\boot.wim, но не \sources\install.esd, и все файлы для будущего диска C: по ходу установки винды скачиваются из облака), можно вообще скрыть содержимое диска C: от любопытных глаз исследователей по всему миру. На диске C: может быть любое количество любых файлов с любым содержимым; при этом в интерфейсе ОС можно показывать не все файлы, или не всегда, или с подменой содержимого "на лету"; а извне такой диск C: будет всегда выглядеть как равномерно распределённая случайная последовательность нулей и единиц.

Конечно, в контексте этой технологии речь идёт не только о шифровании файлов ОС. Файлы пользователя тоже можно шифровать: не продлил подписку на Office 365 — годовой отчёт не открывается. Как видите, новые возможности (по зарабатыванию денег Microsoft'ом) поистине безграничны!

Короче, эволюция вируса под названием Microsoft Windows продолжается в предсказуемом направлении: вирус-шифровальщик. Если хорошенько подумать, то очевидно, что других вариантов-то и не было.

В обзоре китайского x86-совместимого процессора Zhaoxin KaiXian издание Tom's Hardware упоминает специальную редакцию Windows 10 для китайского правительства:

Драйвер HP предназначен для Windows 10 China Government Edition, которая соответствует стандартам безопасности и конфиденциальности страны (по сути, Microsoft удалила всё своё шпионское ПО для этой специальной версии Windows для китайского правительства, и у нас нет доступа к копии).

UPD: https://waqur.dreamwidth.org/155982.html?thread=551502#cmt551502

В феврале этого года я сделал эксперименальную триммированную сборочку Windows 10 (для себя), на основе MSDN-овских ISO-файлов Windows 10 1909 — вырезал всё ненужное с помощью NTLite (телеметрия, Cortana, SmartScreen, синхронизация буфера обмена с "облаком", вход в систему через Microsoft Online Account, Windows Update, Defender, Store, OneDrive, Windows Push Notifications Service, Metro-приложения, Search, Windows Firewall).

Затем я установил эту сборочку в постоянно включённую виртуальную машину с записью трафика и оставил так на полгода. Для дополнительной надёжности, с помощью hosts-файла были отображены в 0.0.0.0 следующие домены (которые периодически мелькали в pcap-дампах):
slscr.update.microsoft.com
ctldl.windowsupdate.com
settings-win.data.microsoft.com
www.bing.com
onecs-live.azureedge.net
login.live.com
validation-v2.sls.microsoft.com

Также я установил Henry++ Simplewall и тоже там заблокировал всякое неподобство, наподобие той же телеметрии и обновлений.

Где-то с полгодика десятая винда вела себя более-менее прилично, но во время последней перезагрузки таки залипла минут на 40, гоняла шары и устанавливала обновления. Из чего следуют, в общем-то, и так понятные истины наподобие "невозможно научить волка кушать манную кашу". Как не триммируй, а десятая винда, созданная для сбора/передачи пользовательских данных, а также для постоянного самообновления, всё-таки найдёт способ самообновиться и собрать/передать пользовательские данные "куда следует".

Из свеженького в System32 привлекает внимание папка SleepStudy, защищённая от чтения локальным администратором, с файлами UserNotPresentSession.etl и user-not-present-trace-*.etl, а также ScreenOn\ScreenOnPowerStudyTraceSession-*.etl

( Скриншот )

Насколько я понимаю, товарищ майор интересуется, почему нет какой-либо активности на компьютере, ё-моё, куда же все подевались, "а-ууу, лю-ю-юуд-и-и-и"; а также путём доставки персонализированных обновлений предлагает поучаствовать в тематическом исследовании "а что это у вас там на экране такое интересненькое?"

Обращаю особое внимание читателей на такой пикантный аспект, что это не простая, а предельно триммированная десятая винда, в которой всё лишнее физически вырезано и отключено через GPO.

Какой-то хобот завернул свою малварь в самораспаковывающийся архив, созданный с помощью WinRAR, далее информация о детекции этой малвари распространилась между 60+ вендорами антималвари через VirusTotal (из которых добрая половина — китайский ноунейм), а в кульминационный момент этой драмы какой-то овощ из CA (certificate authority: контора, которая выдаёт вендорам софта сертификаты для цифровой подписи кода) отозвал сертификат, которым подписывается WinRAR. То есть включил этот сертификат в CRL (certificate revocation list, список отозванных сертификатов).

В итоге, программа WinRAR последней версии не запускается и не устанавливается нигде, она перестала работать на всех компьютерах в мире. А далее драма переходит в фарс: овощи из CA полностью выпадают на мороз ("пока не решите проблему с VirusTotal, нового сертификата не будет"), в результате чего авторы WinRAR почему-то паникуют, поддаются на вымогательство и быстренько бегут покупать аналогичный сертификат для подписи кода у других подобных скаммерсантов.

https://web.archive.org/web/20200827101709/https://www.rarlab.com/revoked591.html

Хотя наиболее логичным на месте авторов WinRAR было бы послать всех этих CA-шантажистов к хуям собачьим и просто-напросто перестать подписывать свою программу вообще, даже если все сертификаты для подписи кода будут полностью на шару а-ля LetsEncrypt. Пущай юзвери-хомячки дрессируются на прокликивание ворнингов, нефик вендорам софта поощрять это CA-вымогательство.

WinRAR находится на таком уровне, что он сам вправе требовать от этой CA-шпаны оплату на уровне не менее $1000 в месяц за привилегию предоставить ему сертификат для подписи кода, и при этом ещё и ломать комедию и придираться к ерундовым мелочам.

У фирмы Intel произошла масштабная утечка внутренних конфиденциальных материалов (whole Git repositories, dev tools, backdoor mentions):

https://t.me/exconfidential/590
https://twitter.com/deletescape/status/1291405688204402689
https://news.ycombinator.com/item?id=24074588
https://www.theregister.com/2020/08/06/intel_nda_source_code_leak/

В целом, это хорошо. Предпожительно, эта утечка прольёт больше света на недокументированные возможности и истинное предназначение Intel ME.

Подробнее об Intel ME:
https://waqur.dreamwidth.org/127484.html
https://waqur.dreamwidth.org/130735.html

Когда-то была такая программа для прототипирования интерфейсов: Balsamiq Mockups. Она была реализована на базе платформы Adobe AIR (для тех кто в танке, кратко суть: Adobe Flash для обычных приложений, вне браузера), по всей видимости разработчики хотели таким способом избежать сложности поддержки своей софтины для трёх платформ (Windows, Mac и Linux).

В те времена у Balsamiq Mockups был совершенно примитивный механизм защиты от пиратства: валидатор регистрационных ключей на базе асимметричной криптографии. Онлайн-активации не было. Традиционный для таких случаев подход (кряк, который заменяет открытый ключ + кейген на базе нового закрытого ключа) был не нужен. Всё было гораздо проще: прямо в программу был встроен блэклист утёкших в паблик регистрационных ключей (в кодировке base64). А далее просто берём готовый ключ из блэклиста, у которого в конце есть хотя-бы один символ паддинга ("="), и меняем последний символ перед "=" на такой, который сохраняет результат base64-декодирования; ну и разумеется, спокойно проходим активацию. It was like taking candy from a baby. В каком-то смысле, это была самовзламывающаяся программа.

Затем Adobe внезапно прекратила поддержку своей платформы AIR и ребятам из Balsamiq таки пришлось переписать свой продукт с нуля на native API для двух платформ: Windows и Mac. (Поддержка Linux по ходу где-то потерялась.) Теперь он называется Balsamiq Wireframes for Desktop. Не понимаю, почему, но почему-то в случае с Windows они решили, что нативной платформой является .NET. На сей раз с активацией всё по-взрослому: никаких вшитых в программу блэклистов, вместо этого есть обязательная онлайн-активация с привязкой к железу (хотя обещают, что лицензия привязана к юзеру, а не к железу — в общем, врут, гады; может, так пасут утечки, не знаю). С другой стороны, это же дотнет, а значит, в нашем распоряжении есть такой замечательный инструмент как dnSpy.

Прогресс в декомпиляторостроении для дотнетовской платформы, достигнутый в последние годы, меня просто поражает. Если вдруг вы не знали, dnSpy берёт дотнетовские сборки заданного процесса (туеву хучу DLLек, сотню или около того, размером в четвертьгига например) и просто, чёрт возьми, показывает их исходные коды! Можно открывать каждый namespace, каждый класс, каждое поле и каждый метод, читать код, ставить точки останова, step in и step over, изучать состояние локальных переменных, короче говоря, хозяйничать как будто это ваш исходный код! Разумеется, при таких раскладах, отучение нового Бальзамика от жадности заняло два дня, один из которых я потратил на изучение с нуля дотнетовского ассемблера и безрезультатные ковыряния в IDA.

Ну, я-то, бывалый C++ник, всегда подозревал, что Microsoft разработала платформу .NET с настолько богатыми метаданными, чтобы иметь возможность подглядывать в чужие исходники. Но чтобы так нагло? Просто полностью декомпилировать чужой код до последнего байта? (Единственное, что не учли в Microsoft'е, так это возможность разработки другими людьми таких же мощных инструментов для декомпиляции на дотнетовской платформе, хе-хе. И кстати, свою любимую винду они на дотнете переписывать не спешат. Ах, как жаль. Какая досада...)