Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Podezření na nebezpečnost WCE a výsledky mých testů
leden 16
Podezření na nebezpečnost WCE a výsledky mých testů

Nedávno mi Petr Košec říkal, že se mu WCE (jak jsem tuhle o něm psal) zdá nějaký podezřelý a že mu to vygenerovalo nějaký CAB. Tak jestli prý jsem si jistý, že to je bezpečný program, nebo jestli se jedná o něco zlého, co vykrádá počítače. Má pravdu. Dobrá otázka.

Obecně ke spouštění cizích programů

Cokoliv najdete někde na webu, nikdy tomu nevěřte. Nevíte, kdo to ve skutečnosti vyrábí a co si do toho programu ve skutečnosti vložil. A tím myslím i legitimní programy. Já třeba používám MagicISO na výrobu ISO DVDček. Je to dokonce placené a i já jsem si to koupil.

Podívejte se ale k nim na web. Ne že bych věřil textům někde na webu, ale oni tam dokonce ani žádné kontaktní údaje, kromě mailu nemají. Můžet se zkusti podívat, kdo vlastní tu jejich doménu, ale to není opět nijak vůbec ověřená informace. Pokud si kupujete doménu, prostě uvedete cokoliv a je to. Nemají ani HTTPS, takže certifikát, který by mooožná mohl být alespoň zelený (enhanced validation, EV), tam taky neuvidíte.

Takže kdo to je? NSA, Mosad, MOIS, FSB, SVR, nebo MSS vyrobí vcelku užitečný program, který budou dokonce prodávat, aby to vypadalo legitimně. Program nebude nic zavirovávat. Buď jenom potichounku opatrně sbírá informace, a pomalinku je odesílá, nebo jen čeká, až dostane ty správné příkazy. A nebo odesílá jen to, co vypadá, že to stojí za to. Nebo to do vytvořených ISO souborů vkládá něco, co tam není na první pohled vidět.

Takže tak. Nidky nevíte.

Mám svůj notebook, na který mi nic nesmí. Dobře, věřím Microsoftu. Takže mám Windows, Office a Visual Studio, možná Skype. Už tak mě štve, že tu musím mít iTunes a Adobe Reader, protože bych nemohl nejspíš pracovat. Počítač nemám v doméně, je zašifrování BitLockerem. Mám tu EMET a Defender. Pracuju pod UAC. Aktualizuju se docela často. Ralativně často (tak dvakrát ročně) si z bezpečnostních důvodů mašinu přeinstaluju. To považuju za jednu z nejlepších možností čistění - přenášíte jenom data, která budou zavirována relativně těžko. Nedělám to jenom kvůli sobě, ale i kvůli zákazníkům. Napadený bezpečák, to není moc dobrá reference :-)

Výsledek výzkumu ohledně WCE nástroje

Je to značně nedůvěryhodný nástroj, samozřejmě. Stejně jako všechno. Podle mých výzkumů ve virtuálním počítači to ale nedělá nic, co by to dělat nemělo. ALE to je samozřejmě jenom jednorázové zkoumání. Stejně tomu nevěřte a v produkci to nespouštějte. Proč jsem o tom psal, abyste si to mohli vyzkoušet někde ve virtuálce a prostě chápali, co vám mohou ti zlí hackeři udělat, když budou oni chtít.

Co jsem zjišťoval:

  • když se podíváte na jejich web, tak se to tváří jako firemní prezentace. Jenže opět žádné kontakty, kromě anonymního mailu.
  • na jejich webu opět žádný HTTPS enhanced validation certificate v zeleném, takže nulová informace.
  • ve virtuálním počítači jsem sledoval spuštění WCE s několika různými parametry. Síťovou komunikaci jsem měřil pomocí Network Monitoru. Neudělalo to vůbec žádné pakety. Ale co když WCE pozná, že máte zrovna spuštěný nějaký sniffer?
  • lokální akce jsem sledoval pomocí Process Monitoru (procmon) od SysInternals. Čtení mě nezajímalo, to jsem si odfiltroval. Zápisy do souborů ani registrů to nedělalo. To je ovšem dost nejisté. Program si přirozeně mapoval do paměti množství DLL knihoven. Zápisy do namapovaného souboru nejsou v procmonu vidět. Takže kdybych já osobně chtěl ukrývat svůj výstupní soubor, asi bych si vytvořil nové DLL, namapoval ho a sypal ty informace do něho. Druhak stejně jako v případě Network Monitoru, co když WCE ví, na co by někdo mohl ten procmon použít?

Závěr. Nezdá se mi na první pohled, že by to dělalo něco jiného, než to co, co to reklamuje, ale nikdy nevěřte. Na svém vlastním produkčním stroji bych to raději nespouštěl. Je dobré vědět, co hackeři mohou, ale dělat to nemusím.

Comments

Re: Podezření na nebezpečnost WCE a výsledky mých testů

"Dobře, věřím Microsoftu."

Však on se tam nějakej ten NSA backdoor taky časem najde... :)
Borek on 16.1.2014 22:10

vypalovaci SW

na vypalovani pouzivam cdburnerxp.se, je to zdarma, neustale vyvyjene, user friendly a i v CZ pro usery...
VasekB on 17.1.2014 23:39

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments