Pull to refresh

Comments 9

Оффтоп: самое, на мой взгляд, забавное описание из «древностей» — у HLLC.Runme :)
Спасибо за предупреждение, ссылка про все загрузчики, действительно вырвиглазная.
<offtop>Завис на страничке из 1994-го, рука не поднимается вкладку закрыть. Ностальгия.</offtop>
UFO just landed and posted this here
TCP-баг в Linux вообще зверство… man-in-the-middle по сравнение этого бага просто мишка. Автор добавьте пожалуйста линк на фикс чтоб читатели ставили фикс
… имплементация алгоритмов шифрования RC5 и RC6 в утечке совпадает с таковой у The Equation.
А вот в этом материале (Kaspersky’s Analysis of Equation Group’s RC6 is Wrong) говорится, что специалисты Касперского ошибаются и «нестандартная» имплементация — это всего лишь «происки» компилятора GCC по оптимизации кода.
Не берусь рассуждать, кто прав, хотя, цитирую: «I don’t mean that their conclusion is wrong.»
Хороший пример сложности исследования угроз на априори ограниченном объеме материала (кода, сэмплов и прочего). У коллег была интересная статья по этому поводу https://securelist.ru/blog/issledovaniya/24700/iskusstvo-poiska-skeletov-kiberdinozavrov/
Из отчета Касперского:
… что до сих пор данная реализация шифра RC6 встречалась только во вредоносном ПО группировки Equation.

Берем один из первых попавшихся примеров по запросу «rc6 implementation cpp» проектов (от 2002 года) и грузим его в отладчик. И что мы видим?
mov     dword ptr [esi+58h], 0B7E15163h
lea     eax, [esi+5Ch]
mov     ecx, 23h
_loop:
mov     edx, [eax-4]
add     eax, 4
sub     edx, 61C88647h
dec     ecx
mov     [eax-4], edx
jnz     short _loop

Отнимается константа 61C88647h, хотя в cpp коде мы имеем:
void CHexDoc::KeyGen(DWORD dwKey)
{
	DWORD P32 = 0xB7E15163;
	DWORD Q32 = 0x9E3779B9;
...
	for(i = 1; i < 2 * R + 4; i++)
		m_dwS[i] = m_dwS[i - 1] + Q32;
...
}

Что тут можно еще сказать? Наверное, под Windows разработчики из Equation Group используют Visual Studio =).

Резюме: доказательство «притянуто за уши», кроме как заявлений от Shadow Brokers о том, что взломана Equation Group, больше ничего нет. Что не умаляет того факта, что в архиве таки есть инструменты из каталога NSA, работоспособность которых подтвердили производители сетевого оборудования.
Sign up to leave a comment.