Comments 9
Оффтоп: самое, на мой взгляд, забавное описание из «древностей» — у HLLC.Runme :)
Спасибо за предупреждение, ссылка про все загрузчики, действительно вырвиглазная.
<offtop>Завис на страничке из 1994-го, рука не поднимается вкладку закрыть. Ностальгия.</offtop>
TCP-баг в Linux вообще зверство… man-in-the-middle по сравнение этого бага просто мишка. Автор добавьте пожалуйста линк на фикс чтоб читатели ставили фикс
… имплементация алгоритмов шифрования RC5 и RC6 в утечке совпадает с таковой у The Equation.А вот в этом материале (Kaspersky’s Analysis of Equation Group’s RC6 is Wrong) говорится, что специалисты Касперского ошибаются и «нестандартная» имплементация — это всего лишь «происки» компилятора GCC по оптимизации кода.
Не берусь рассуждать, кто прав, хотя, цитирую: «I don’t mean that their conclusion is wrong.»
Хороший пример сложности исследования угроз на априори ограниченном объеме материала (кода, сэмплов и прочего). У коллег была интересная статья по этому поводу https://securelist.ru/blog/issledovaniya/24700/iskusstvo-poiska-skeletov-kiberdinozavrov/
Хороший пример сложности исследования угроз на априори ограниченном объеме материала (кода, сэмплов и прочего). У коллег была интересная статья по этому поводу https://securelist.ru/blog/issledovaniya/24700/iskusstvo-poiska-skeletov-kiberdinozavrov/
Из отчета Касперского:
Берем один из первых попавшихся примеров по запросу «rc6 implementation cpp» проектов (от 2002 года) и грузим его в отладчик. И что мы видим?
Отнимается константа 61C88647h, хотя в cpp коде мы имеем:
Что тут можно еще сказать? Наверное, под Windows разработчики из Equation Group используют Visual Studio =).
Резюме: доказательство «притянуто за уши», кроме как заявлений от Shadow Brokers о том, что взломана Equation Group, больше ничего нет. Что не умаляет того факта, что в архиве таки есть инструменты из каталога NSA, работоспособность которых подтвердили производители сетевого оборудования.
… что до сих пор данная реализация шифра RC6 встречалась только во вредоносном ПО группировки Equation.
Берем один из первых попавшихся примеров по запросу «rc6 implementation cpp» проектов (от 2002 года) и грузим его в отладчик. И что мы видим?
mov dword ptr [esi+58h], 0B7E15163h
lea eax, [esi+5Ch]
mov ecx, 23h
_loop:
mov edx, [eax-4]
add eax, 4
sub edx, 61C88647h
dec ecx
mov [eax-4], edx
jnz short _loop
Отнимается константа 61C88647h, хотя в cpp коде мы имеем:
void CHexDoc::KeyGen(DWORD dwKey)
{
DWORD P32 = 0xB7E15163;
DWORD Q32 = 0x9E3779B9;
...
for(i = 1; i < 2 * R + 4; i++)
m_dwS[i] = m_dwS[i - 1] + Q32;
...
}
Что тут можно еще сказать? Наверное, под Windows разработчики из Equation Group используют Visual Studio =).
Резюме: доказательство «притянуто за уши», кроме как заявлений от Shadow Brokers о том, что взломана Equation Group, больше ничего нет. Что не умаляет того факта, что в архиве таки есть инструменты из каталога NSA, работоспособность которых подтвердили производители сетевого оборудования.
Sign up to leave a comment.
Security Week 33: отключение Secure Boot, сортировка адресатов в GMail, последствия TCP-бага в Linux