P0: iPhone távoli exploitálás 1, 2, 3. rész

A Google P0 csapatának blogján egy sorozat indult iPhone készülékek távoli exploitálásával kapcsolatban:

Hozzászólások

Félig off: A címben egy s betű szerintem fölösleges.

Csak akkor szólok hozzá egy témához, ha értelmét látom.

Amit érdemes gyártani, azt előbb-utóbb gyártani fogják. Amit érdemes megtörni, azt előbb-utóbb meg is törik. 

Az nem védekezés, hogy hiszek a termék jóságában. A védekezés az, hogy olyan terméket választok, amit nem éri meg feltörni.

Ha az ember elengedi a kényelem luxusát, a coolság faktort, esetleg a csordába tartozás kényszerét, akkor rengeteg lehetőséget talál arra, hogy az aktuális iPhone, Android, Windows, Linux backdoor/ransomware hír olvasás közben kényelmesen hátradőljön, és élvezze a jól megérdemelt nyugalmat.

Optimális esetben, otthon saját eszközről jelenleg Qubes-OS alól, az pont ez ellen véd.

Április után valamikor nyáron már remélhetőleg Librem 5 -ről. Utóbbinál ha jól látom, nem lesz nagy kihívás chroot -ban futtatni a böngészőt, hogy ha átmásznak rajta, akkor se érje maradandó kár az oprendszert.

Jelenleg, melóhelyen nem válogathatok az eszközök terén, cserébe ha benyalok egy ransomware-t akkor az nem az én felelősségem amennyiben ésszel netezek, nem töltök le minden hülyeséget, és nem kattogtatok minden villogó bizbaszra.

QubesOS-ról szívesen olvasnék tapasztalatot, egyszerű konfigot, meg egyéb okosságokat. Itt csak zrubi fórumtársról tudok, mint felhasználó. A honlapján elolvastam mindent, de a kipróbálásig nem jutottam.

A Librem5 is érdekelne majd, még lehet vennék is.

A Qubes-OS -ben szerintem az a legjobb, hogy pöcc-röff megy, és a kezelése pont olyan egyszerű mint a filozófiája, hogy amit elválasztva akarsz tartani, azt tedd külön gépbe.

Felül, ikonon kattintva lehet pár perc alatt új gépet létrehozni, én a következőket használom:

Untrusted, Social, Shopping, Banking, Media, Work, Vault

Meg van egy beépített, a Disposable, az nagyjából olyan mintha az Inkognitó Mód a böngészőben egy komplett lobotómiával párosodna, onnan tényleg semmi nem jut ki, - kivéve ha a XEN hypervisort képes valami korrumpálni.

Szóval, valamelyikből nyitok egy böngészőt, filekezelőt, vagy az adott programot, attól függően, hogy mit akarok. Mindegyik gépnél csak a /home és a /usr/local könyvtár éli túl a következő bootot, szóval letölteni vagy elmenteni valamit csak ide érdemes.

Ha kell hely egy gépben, akkor menet közben növelhető a /home mérete, szóval ebbe sem akadtam még bele.

Adat mozgatás egy fokkal trükkösebb, de azért az sem para, van a gépben egy backup vinyó, azt mindig oda csatolom (jobbklikk, add block device) ahol éppen használni akarom, aztán ha már nem kell oda akkor leválasztom (gépen belül unmount, aztán kint jobbklikk és remove block device).

Pont olyan mintha egy USB kulcsot használnék akármilyen oprendszeren.

Van szöveg copy-paste is a gépek között, ez Ctrl-C, Ctrl-V helyett így néz ki: Ctrl-C Ctrl-Shift-C, Ctrl-Shift-V, Ctrl-V. Ennyi. Illetve a gépek beépített filekezelőjéből van olyan, hogy jobbklikk a fileon, Send to another VM, és megadva hogy hova, ott megjelenik a /home/user/Incoming/vorrásVM/ könyvtárban. Mondom, ez is pöcc-röff, gördülékenyebb megcsinálni mint leírni.

Az Untrustedben lehet veszélyesen élni, a Socialban megy a gmail és a megbízhatóbb fórumok, a Shopping meg olyan ahol előkerülhet a bankkártya, illetve ez az egyetlen gép ahol google képben van azzal, hogy az aliexpresszen a technikai dolgok, a gyerekruhák meg gyerekjátékok érdekelnek. Nálam a Bankingban van csak webbank vagy a paypal, a többi gépen ezzel kapcsolatos információk még cookie vagy history szinten sincsenek meg. Ez azért egy jó érzés, na.

A Media abban különbözik, hogy ez az egyetlen gép aminek engedve van, hogy full screen lehessen, és valami fura véletlen miatt itt kapott helyett a transmission is. Ki érti...

A Work gép nomen est omen, nem kutyuljuk a magánéleti vírusos javascriptes képeslapok nézegetését a munkahelyi esetlegesen nem publikus adatok világával. Pont.

A Vault egy olyan gép, aminek nincs hálózati kártyája. Ez feltételezem, hogy nehézkessé teszi a hálózatról való feltörését, ezért jelszavak, kulcsok, és minden szenzitív cucc itt van tárolva. A backup vinyó általában nincs becsatolva sehova, így egy ransomware támadást remélhetőleg elkerül. Ezt egy crashplan -el kéne még kombinálnom, de ez mindig tolódik, majd egyszer....

Ez leírva hosszú, meg bonyolultnak hangzik, de kipróbálva igazából adja magát a dolog. A különböző gépek programjainak elérése egy kvázi start menüből történik, és pont annyira könnyű, elvégre két szintes a menü: Gép neve / Program neve.

Oké, nincs ingyen ebéd, van ami nem működik, például annó a Windows futtatása az nem mindig volt jó, most nem tudom, hogy ez mennyire stabil, erre a célra van egy natív Windows is a notin, a dual boot teljesen jó amikor éppen van időm Starcraftozni, mert nagyjából csak erre kell.

Lehet, hogy vannak olyan programok vagy kívánalmak amikor a Qubes-OS már nem kényelmes, vagy nem jó, de ez a csúfság más oprendszerekkel is megesik, ezért jó, hogy több van belőlük, nekem szerencsére nem kellenek speciális programok az életemhez, mindent le tudtam fedni sima linuxos (fedora és debian) alkalmazásokkal.

Annyira kevés meló van az oprendszerrel, hogy az hihetetlen. Egyszerűen csak működik. Már én szégyenlem magam, hogy néha lehet, hogy jobban rá kéne néznem, karbantartanom, vagy valami, de jelenleg disk még van alatta, RAM is akad, a CPU is elég, ha szemetel is valahova, hát még nem telt be semmi, gyors még mindig.

Nagyjából ennyit tudok mondani. :-)

van a gépben egy backup vinyó, azt mindig oda csatolom (jobbklikk, add block device) ahol éppen használni akarom, aztán ha már nem kell oda akkor leválasztom (gépen belül unmount, aztán kint jobbklikk és remove block device).

Pont olyan mintha egy USB kulcsot használnék akármilyen oprendszeren.

Pont olyan, es pont emiatt ellenjavallt. Mi van, ha a "virusos" virt gep ugy manipulalja a particios tablat/filerendszert, hogy egy linux kernel hibat kihasznalva a tiszta gepet is megfertozi felcsatolaskor? Vagy van valami program a tiszta gepen, ami vegigszkenneli a felcsatolt filerendszert, pl. thumbnaileket generalni, media fileokat katalogizalni, barmi egyeb, de a programban hiba van es manipulalt filokon kiakad, sajat jogokkal azokbol kodot futtat?

Emiatt az a modszer a jo, amit te is irsz:

filekezelőjéből van olyan, hogy jobbklikk a fileon, Send to another VM, és megadva hogy hova, ott megjelenik a /home/user/Incoming/vorrásVM/ könyvtárban.

 

Meg valami: termeszetesen mindent lehet parancssorbol is.

Igen, ez teljesen jogos.

Bar a csatolt vinyo MBR -elvileg nem kap vezerlest, mert nem bootolok ra, de valoban irhato, ami nem tul jo.

Ami szepiti a dolgot, hogy a backup vinyobol csak egy particiot adok at, illetve egy particiot feloldok a VeraCrypttel, es azt a block devicet adom at, igy ott mar csak a filerendszert tudja szetirni. Cserebe a VeraCrypt bugzik, es ha lecsatolom a gepbol, eltunik, nem tudom ujra felcsatolni mashova, pedig fel van oldva a particio. Ez kicsit kenyelmetlen.

A tiszta gep valamelyik ismert hibas parserenek kihasznalasara nincs biztos vedelem, ha valaki egy .mkv -be belerak egy linux kompatibilis ransomware telepitot amit a vlc hibaja indit el, akkor engem is letolt gatyaval talal, ez nem vitas. Akkor a Media gepemnek annyi, de legalabb nem megy at a fertozes a tobbi gepbe, mert mashol nem nezek filmet.

Az altalad irottakhoz en meg hozzatennem az autorun.inf veszelyet is. Ez utobbi nalam minden USB kulcsomon es minden gyokerben egy alkonyvtar, benne egy olvassel.txt amiben leirom, hogy ne torold le, mert a nevutkozes miatt nem fog tudni felmaszni erre a kulcsra egy esetleges virus automatikusan indulo resze. Kaptam mar ugy USB kulcsomat, hogy volt rajta egy asszem fun.xls.exe amirol kiderult, hogy nem olyan fun ha lefut, de az autorun.inf letrehozasa nem sikerult, mert a virust arra nem keszitettek fel hogy alkonyvtarat kene torolnie es nem csak egy file tartalmat felulirnia.

Ok, most janizok, de hat miert is ne? :-)

A gepem a vilag legjobb gepe, ha tonkremegy, nem tudom potolni, mert talalok hasonlot. Ha valaki tud, ne tartsa magaban!

Asus K93 SV desktop class notebook. 2012 -ben vettem ujonnan. 18.4 collos FullHD, Core i7, 16 GB RAM. De ami a legjobb: egy 2.5 es egy 3.5 collos vinyo hely. Az optikai egyseg helyere is caddy kerult. Igy most az optikai helyen egy 2.5 collos 240 GB-os SSD van a Windows szamara. A 2.5 rendes helyen egy raid keret, amiben 2 darab 1 teras MSATA SSD van, ez van a Qubes alatt raid0 -ban A 3.5 collos helyen is raid keret van, ott ket darab egy teras sima 2.5 collos notebook vinyo porog raid1 -ben, ez a backup vinyo. A videokartya egy GT540M, de mivel nem vagyok gamer, es viszi a Starcraftot, en elvagyok vele. Mindenkinek kell valamennyi idiotizmus, az enyém az, hogy a következő terv az,hogy gazdag leszek,és veszek még 6 darab egy terás MSATA SSD-t, és a következő lesz a konfig: A 2.5 helyre, az optikai helyén lévő caddy-be, és a 3.5 helyen lévő raid keret egyik 2.5 keretébe berakok egy-egy-egy 2.5 raid keretet, ezek mindegyikébe pedig kettő darab MSATA SSD-t, RAID0 -ba. A három darab 2.5 -ös egységet pedig RAID5 -be. Így a 6 tera SSD-ből lesz 4 tera, de az védve van az eszköz és a csatoló hibáktól is. A 3.5 helyen lévő szabad 2.5 -ös slotba pedig szintén mehet még 2 tera SSD, amiről még fogalmam sincs, hogy mire használnám. Szóval, ez egy szép álom, már csak egy szakajtónyi pénz kéne hozzá. :-)
Addig beérem azzal, hogy a "régi"egy terás vinyókat is munkára tudtam fogni,az sem hátrány...

Szoval a kerdesedre a valasz: 16 GB RAM. :-)

De nem fut azonnal mindegyik, csak ha elindítok belőle valamit. A Vault, Banking, Work csak ritkán fut, de az Untrusted, Social, az szinte mindig. XEN van alatta egyébként, az dinamikusan adja-veszi a memóriát, a 16 GB -ba szerintem mindig belefértem eddig.

tudsz linket atkuldeni egy masik vm-be? pl facebookot a socialvm-ben hasznalod, de a hirfolyamban van egy link amit az untrusted-ben akarsz megnezni, akkor link copy+paste, vagy van "open in untrusterdvm" menu?

en is nezegettem amugy a cuccot, de egy uj ryzenes notim van, es a halokartyat/wifit nem tamogatja :(

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!