Comments 26
Наконец то я дождался одобрения от модераторов
Обидно что наживаются на актуальной проблеме. Бесплатно и так способов пробится в свободный интернет становится всё меньше.
А где тут вообще анализ, что это вредоносное ПО? Вы меня, конечно, извините, но с такими анализами явно не на хабр.
Хайпожоры, реально никто не ковырял этот zapret 2 gui. А я ковырял и пользуюсь уже давно. Вы не на вирустотал грузите, деятели, а динамический анализ на живой системе своими руками проводите.
@Onthar, я уважаю ваш опыт, но давайте по фактам. Пакет loop-uh.Zapret2 был удален из Winget модераторами Microsoft (Stephen Gillie) после предоставления логов и сетевого анализа.
Основные претензии были не к самому коду "Запрета", а к тому, что конкретно этот бинарник тянул за собой установку левого Root CA и имел странную сетевую активность (запросы к Telegram API каждые 30 секунд). Если у вас чистая версия — отлично, но в репозитории лежал билд с "сюрпризом".
Все пруфы я приложил в Issue на GitHub (ссылка в основной статье). Модераторы Winget их подтвердили, это во первых. Во вторых если вы хотите прочитать реальный анализ то вот ссылка:https://habr.com/ru/articles/1015380/ я оставлял ее в статье просто скорее всего вы либо ее не заметили, либо по какой то причине даже не захотели туда зайти
Да и данный Zapret 2 GUI скриншотил экран каждые 30 секунд и отправлял скриншоты данных в приватный чат авторов этого самого Zapret 2 GUI
Вот доказательство:
Или вот, он пытается отключить стандартный защтник Windows. Доказательство:
Да разработчик вооот такой талмуд с разжевываниями к каждой придирке уже постил в марте. Для чего там и сертификаты, и отключение дефендера и запросы. Ничего вредоносного там нет, иначе уже бы нашли не вот в таких разборах, а в последствиях на живых системах.
@Onthar, "разжевывания" от разработчика не отменяют того факта, что установка стороннего Root CA позволяет проводить MitM-атаку и читать любой трафик пользователя. В ИБ это оценивается по результату, а не по обещаниям автора.
Про "отсутствие последствий" — пакет был удален из Winget именно из-за подтвержденных рисков. Если для вас отправка скриншотов экрана в Telegram-бот каждые 30 минут — это нормальная функция, то нам просто не о чем спорить. У нас разные понятия о безопасности.
И напоследок: то, что вы на Хабре с 2009 года, не дает вам права хейтить посты с реальными пруфами. Уважайте чужой труд и безопасность пользователей, а не оправдывайте сомнительный софт.
И корневой сертификат для полного управления системой. никто просто ставить не будет. Ни для каких "обходов блокировок" это не нужно от слова совсем, одной фразой:хотите верьте хотите нет. И если вы такой "ИБ- аналитик" то покажите где нибудь как вы его лично проверяли на реальной системе, или доказательства отсутствия вирусов, просто я все свои пруфы приложил, а вы пока только пересказываете мнение разработчика которому вы почему то верите) Вот доказательства того что я действительно проводил анализ в Issue на гитхабе, а так же то что модераторы подтвердили вредоносность
И кстати, интересно что вы на меня напали просто без причины, просто начали резко хейтить мои статьи, это вы решили "поучить жизни новичка на хабре"? Я скажу так, я давно уже не просто новичок. Да мои статьи вышли недавно, вы просто начали придираться, суть придирки? Объясните. Да даже если и объясните (но шанс мал) то нам в любом случае спорить дальше не стоит. Я привел все пруфы
Мультиаккинг, сомнительные статьи. Забавно, что все они строго после регистрации и строго про одну вещь)))
Какой мультиаккинг? Проект сейчас на хайпе из-за замедлений сервисов, естественно, что несколько человек одновременно заглянули под капот и ужаснулись. Это не мультиаккинг, это коллективный иммунитет сообщества . А кстати, если мои статьи для вас "сомнительные" то какие же для вас нормальные?
Возможно вы и разные люди, не буду спорить. Только вот это не отменяет того, что статья – попытка хайпа и ничего не несёт в себе. Оригинал вообще муть мутная. А ещё это не "иммунитет сообщества", а хрень. Репо примерно год, но спохватились все сейчас. Верим.
Кстати, глупо изменять комментарий и минусовать. Оригинал всегда есть в мыле))
Какой мульти аккинг? И во первых, я один раз пытался опубликовать статью но ее отклонили потому что она была мало информативна, и про что мне еще по вашему публиковать?
Ну во первых, с чего вы решили что статья попытка хайпа, обоснуйте. Выслушаю. Во вторых Обосновать "хайп" очень просто: тема безопасности Winget и популярных инструментов сейчас критически важна. Если бы я хотел просто «хайпануть», я бы написал пост в соцсетях. Я же потратил время на анализ, оформление Issue в Microsoft и добился удаления вредоноса.
По поводу того, что "спохватились сейчас": софт стал массовым именно из-за замедлений YouTube/Discord. Больше пользователей — больше внимания исследователей. Это и есть нормальный процесс работы ИБ-сообщества.
Предлагаю закончить обсуждение моей личности и вернуться к техническим деталям: у вас есть что сказать по поводу найденных в коде Root CA и функций отправки скриншотов?
Странно слышать от пользователя Хабра, что время жизни репозитория — это гарантия безопасности. Малварь в Winget (loop-uh.Zapret2) появилась недавно на волне массового спроса. ИБ-сообщество реагирует на угрозы, а не на возраст аккаунта на GitHub. Если вы считаете, что год — это срок для доверия, то у меня плохие новости для вашей системы безопасности.
Статья несет в себе отчет об удалении вредоноса из официального репозитория MS Winget. Если для вас очистка глобальных инструментов от стиллеров — это "ничего", то что тогда для вас "что-то"? А кстати вы так и не ответили на мой вопрос, какие статьи для вас тогда нормальные?
Смотрите на отчеты MITRE ATT&CK. Если простой утилите внезапно требуется Impair Defenses или Input Capture — это огромный красный флаг.
А можно подробнее? Спасибо.
Человек вроде старался, беспокоился за безопасность пользователей, а его как-то прохладно встретили. Вот так и пропадает вера в человечество и желание кому-либо помогать.
По предварительным оценкам, это спасло от компрометации сотни тысяч, а возможно, и миллионы систем
По предварительным оценкам, я, просыпаясь каждый день, спасаю всё человечество от неминуемой гибели как минимум три раза за сутки. Наверное надо про это статью на хабре написать…
Ну во первых если вам что то не нравится не пишите, это первое. Второе, мои действия реально спасли многие системы. Вы наверняка не пользовались тем же Winget)
если вам что то не нравится не пишите
Простите меня, с сегодняшнего дня буду только писать хвалу вам! По глупости своей забыл, что комментарии в хабре нужны исключительно для ублажения автора и что не место тут для критического анализа статьи.
мои действия реально спасли многие системы
И многие - это явно миллионы? Процент от всего населения РФ или всё IT сообщество в России по данным минцифр, если что. То есть в среднем это примерно каждый 50-ый случайный встречный должен был ставить именно этот обход блокировок и именно через winget.
Внимание, вопрос: Сколько людей из вашего окружения вообще знают про winget и как им пользоваться?
Вы наверняка не пользовались тем же Winget
Пользовался. Возможно слишком мало пользовался, чтобы заметить, что он автоматически устанавливает “запрет 2 гуй обход блокировок ютуб разблокировать.msi”, автоматически запускает его и прожимает абсолютно все галочки в установке.
Я до этой статьи всегда думал, что winget - это пакетный менеджер такой и там ты выбираешь пакеты, которые хочешь установить.
Как я спас компьютеры миллионов юзеров Winget. История одного форка «Запрета»