Ännu ett spännande sätt att använda Google, att söka efter sårbarheter i källkod som finns på webben!
Tetsa själv de olika exempeln på http://www.cipher.org.uk/index.php?p=projects/bugle.project, kombinerat med Google Alert, http://www.google.com/alerts?t=3&hl=en_GB, kan det bli ganska spännande 🙂
Läste en intressant rapport från Symantec där de utsatte olika Vista builds för lite “tester” och det visar sig att de tidiga versionera har haft en del kalssiska problem som fixats i senare builds.
Det som oroar är att de problemen överhuvudtaget kunnde finnas i ett modernt och nyutvecklat stack, borde inte dessa kända problem, vi pratar om land, blat och tear atacker, varit fixade från början?
Värt att notera är att den nya IP stacken är fortfarande under utveckling och att den sannolikt kommer att utsättas för kontinuerliga tester och att IPv6 och det nya SMB2 kommer att spela allt större roll i fortsättningen.
Rapporten finns att läsa på http://www.symantec.com/avcenter/reference/ATR-VistaAttackSurface.pdf
Om man inte har något vettigt att göra så kan man alltid roa sig med att titta på exemplar av olika trojaner och virus, google kan givetvis användas för att söka rätta på dessa via sin binary search funktion.
Det gäller att hålla koll på filernas storlekar och unika signaturer för att få vettiga resultat, men om man vill prova detta utan att djupdyka i hur en binär ser ut så kan man ju alltid prova Malware Search från Metasploit, http://metasploit.com/research/misc/mwsearch/mwsearch.html, gå dit och skriva namnet eller en del av namnet på en trojan eller ett virus och vips så har du ett par exemplar av det sökta viruset 🙂
Under slutet på 2004 blev det känt att man kunnde generera två binärer med samma MD5 hash, dokumentet “MD5 To Be Considered Harmful Someday” finns att läsa på http://www.doxpara.com/md5_someday.pdf, inte så långt efter det kom det några exempel på att det går att skapa “vettiga” exempel där två X.509 certifikat, http://www.win.tue.nl/~bdeweger/CollidingCertificates/, eller två olika postscriptfiler har samma MD5 hash, http://www.cits.rub.de/MD5Collisions/.
Kan man skapa två olika binärer, en god och en ond, med samma MD5 hash? Svaret är ja men inte efter åt, än så länge så måste det göras redan från början. Man bakar heltenkelt ihop de två binärerna med ett anpassat packningsprogram de kör olika kod men har samma MD5 hash!
Kommer inte antivirus att fixa det? Kanske, det görs inte i någon större omfattning idag i alla fall 🙁
Hur är det med SRP då? Kör du MD5 så är det kört 🙁
Vill du testa detta så finns det gott om exempel, ett av de bättre finns på http://www.coresecurity.com/corelabs/projects/research_topics/Richarte_md5-crc32-cksum16-cksum32.zip och om du vill göra det själv så finns det lite verktyg som kan visa hur det funkar, kolla in ett mycket trevligt och lärorikt C# verktyg på The Code Project, http://www.codeproject.com/dotnet/HackingMd5.asp.
Gör nu inget dumt med dessa verktyg 😉
Hasain @TechNet Forum