Интересно было бы услышать комментарии от сертифицирующих органов. Кстати не только вы обратили внимание на эти сертификаты, полтора года назад еще один человек писал забавные вещи про dr.web: http://sporaw.livejournal.com/135169.html
Why not use OTR?
Even though we love OTR it’s not really feasible to use in a mobile environment. The problem is that OTR needs both parties to be online for a session to start, but a normal phone would not always be online. It would not work at all for offline messages neither.
Экспертам Роскомнадзора необходимо предоставить общественности четкий свод правил по которым они определяют явлется ли изображение/видео детским порно или нет. Сейчас же не совсем ясно как происходит такая проверка: где-то сидят какие-то «эксперты», которые бог весть как выносят решения. Необходимо добавить больше прозрачности в этот механизм.
Я не претендую на правоту, а уж тем более не являюсь судом, поэтому я не буду писать кого стоит посадить и по какой статье.
Но исходя из логов переписки можно сделать вывод что в 2011 году, этого человека нашли на какой-то фриланс-бирже и предложили поддерживать уже готовые исходники. Да и вы верите в то, что буткит и юзермодная чать это дело одного и того же человека?
Забавно наблюдать как люди готовы линчевать, только от того что нашли имя человека в коментариях.
Помнится в одном из троянов была такая строка:
Coded by BRIAN KREBS for personal use only. I love my job & wife
Это же не означает что Брайан Кребс автор этого трояна.
Microsoft thanks the following for working with us to help protect customers:
Qihoo 360 Security Center for reporting the Win32k Buffer Overflow Vulnerability (CVE-2013-1333)
Я не буду ничего изменять. Вы видете желтизну там где её нет. Ключ утек? Утек. То что AMI заявила что он тестовый, еще не говорит о том что он не использовался для подписи. Единственный способ проверить это отыскать ту самую прошивку на сайте Jetway и проверить её подпись.
Я не знаю что он конкретно делал чтобы найти этот бэкдор, но мне кажется разумным следующий вариант событий:
1. Вытаскиваем все файлы из файла прошивки с помощью Binwalk
2. Анализируем в IDA (Его как я понял заинтересовали строка /userRpmNatDebugRpm26525557/start_art.html)
3. ????
4. PROFIT: http://i.imgur.com/tavhm5H.png
Рядом со строкой «start_art.html» еще находится "/userRpmNatDebugRpm26525557/erase_cal.html". Думаю найдется кто-нибудь, кто сможет определить что она делает на свой страх и риск.
Установил Windows XP SP3 RU и Windows XP SP3 EN (обе версии RTM MSDN), потом сравнил все файлы из директории drivers по md5 хэшам. Файлы tcpip.sys полностью одинаковые.
Пруф: http://pastie.org/5500122
3.3 You agree not to access (or attempt to access) Google Play by any means other than through the interface that is provided by Google, unless you have been specifically allowed to do so in a separate agreement with Google. You specifically agree not to access (or attempt to access) Google Play through any automated means (including use of scripts, crawlers, or similar technologies) and shall ensure that you comply with the instructions set out in any robots.txt file present on the Google Play website.
http://sporaw.livejournal.com/135169.html
Тут он выкладывает образ диска с зараженной машины
А позже выясняется что самые интересные места в образе затерты магическим образом:
That interesting, my variant disk section upload has been cleaned up and the different code sections aren't there anymore.
Тут он выкладывает гигабайтый архив со «странными шрифтами», появившимися на свежеустановленной Windows 8:
https://plus.google.com/103470457057356043365/posts/9fyh5R9v2Ga
https://plus.google.com/103470457057356043365/posts/K7WeA1gqH2h
Позже выясняется что каждый шрифт имеет валидную подпись от Microsoft:
fonts_check_result.txt
Прямо полтергейст :)
Но исходя из логов переписки можно сделать вывод что в 2011 году, этого человека нашли на какой-то фриланс-бирже и предложили поддерживать уже готовые исходники. Да и вы верите в то, что буткит и юзермодная чать это дело одного и того же человека?
Забавно наблюдать как люди готовы линчевать, только от того что нашли имя человека в коментариях.
Помнится в одном из троянов была такая строка: Это же не означает что Брайан Кребс автор этого трояна.
twitter.com/taviso/status/334912874914934785
Qihoo 360 Security Center for reporting the Win32k Buffer Overflow Vulnerability (CVE-2013-1333)
1. Вытаскиваем все файлы из файла прошивки с помощью Binwalk
2. Анализируем в IDA (Его как я понял заинтересовали строка /userRpmNatDebugRpm26525557/start_art.html)
3. ????
4. PROFIT: http://i.imgur.com/tavhm5H.png
Рядом со строкой «start_art.html» еще находится "/userRpmNatDebugRpm26525557/erase_cal.html". Думаю найдется кто-нибудь, кто сможет определить что она делает на свой страх и риск.
Пруф: http://pastie.org/5500122
Поосторожнее с такими экспериментами.