Hej hakkers.

Jag ska skriva ett fördjupningsarbete inom datavetenskap (D-nivå) och söker lite tips på vad jag ska göra.
Helst inom IT-säkerhetsområdet då det passar utbildningen och intresset bra.
Jag har funderat på att antingen skriva ett rootkit eller testa att skriva ett virus till Vista (vad jag kan se finns det inte direkt några såna ute nu).
Kan även tänka mig att titta närmare på nya tekniker för RATs, det viktiga är att det är state-of-the-art och att det går att formulera ett problem/en frågeställning.
Jag har ungefär tre veckor på mig, varav en stor del går åt till artikelförfattande.


Vad tror ni?

Vista och x64 är ju framtiden även om >70% av dagens burkar är XP-x86. Så kör på något säkerhetsrelaterat där.
T.ex finns ju bluepill [1] att skriva om, mycket intressant det där med hårdvaru assisterad emulering! Det ska ju även fungera på Vista så länge du kommer åt lite Ring-0 minne, men det ska tydligen finnas rätt många vägar för att komma åt det.
Hade ju varit intressant med motsvarande fast för Intel-processorer?

[1] http://bluepillproject.org/

Bluepill är/var ett ganska intressant projekt, men jag är lite osäker om det verkligen är hållbart. Microsoft har ju vidtagit en del åtgärder. Ordet står väl mellan Joanna och Ptacek, får se vem som har rätt i slutändan
Hursom, helst vill jag nog göra något själv, inte bara skriva om vad andra har gjort.

Edit: referens kan vara bra https://www.blackhat.com/presentations/bh-u..._and_lawson.pdf

Du har ett mycket allvarligt problem i det hela:
D-uppsatsen måste ha ett vetenskapligt undersökande värde för vilket du kan skriva en problembeskrivning, avgränsning, metod och slutligen en slutsats efter massa arbete.
Har själv suttit med dylika planer tidigare, men det är svårt att driva igenom ett. Speciellt som du inte bör ta något som redan är gjort av annan student, helst inte över huvud taget, och absolut inte om det är från samma univ (kolla upp gamla dokument).

Har agerat handledare för ett par studenter som testade att skriva en pryl i .NET som funkade fint på både Vista och XP, dock med varningar på XP.

Om du vill kringgå en hel del av varningarna i systemet finns det på sysinternals sidor en del information om att slippa undan vistas tjaffsande om osäkra program. Fasinerande nog är sysinternals en del av MS.

Om jag var som dig skulle jag nog valt att lägga på en mer socionom inriktning på det, och t.ex. dokumentera hur malware utvecklats, det vanliga tjaffset med från virus till maskar till trojaner till virus med droppers, samt givetvis rootkits, men framförallt fokus på hackervärldens utveckling från att vara en statusdriven teknikintresserad krets till att idag även utvecklats till ett vapen i politiska ideologiers händer.

Det finns ju en del info att hämta t.ex. från konflikten mellan turkar och svenskar, mellan araber och amerikaner, mellan kineser och amerikaner (kolla upp Code Red-maskens bakgrund) och liknande.
Så samtidigt som IT-användaren och därmed även hackern blivit allt mer global, liksom de politiska konflikterna, har det gett en del resultat.

Bor du i stockholm kan du troligen fixa en intervju med FRA-killarna eller ngn från säk eller dylikt, de brukar vara vettiga att ha att göra med bara man får tag på en som faktiskt har svar

Men vet inte om din prefekt godkänner, då det är en gränsdragning mellan datavetenskap och humaniora...

//Mja

Jo precis. Det var det jag skrev i min första post, att det måste vara "state-of-the-art" och därmed inte något som redan är gjort, vare sig av tidigare studenter på uni, eller inom forskningen, och att jag behöver en tydlig problem-/frågeställning.
Jag vet inte riktigt om du med "tjaffsande med varningar" för osäkra program i vista menar osignerade drivrutiner, men det är förstås något intressant att titta närmare på. Men det är klart, ett problem är att jag, som inte tagit en magisterexamen, ska hålla samma nivå som de som arbetar dagligen med tekniken och de som forskar på området. Det är inte en D-uppsats (ett magisterarbete på 15 hsp) utan ett arbete på D-nivå motsvarande 7.5 hsp, vilket avgränsar en del, jag behöver inte fokusera lika mycket på metod och artikelns formalia.

Det underlättar förmodligen att titta närmare på sociofenomen inom datavetenskapen, men eftersom det inte direkt är mitt intresse tror jag att kvaliteten blir lidande. Naturligtvis får jag ju se min begränsning, jag klarar inte av att skriva ett rootkit till vista på tre veckor när ingen annan har gjort det på så lång tid det funnits ute, men det känns inte heller så kul att skriva något som redan har gjorts i en mängd olika former och sedan bara skriva om problemformuleringen för att få en "unik" artikel.

Jag ser nog också att jag fått ut mest av uppgiften om jag får något konkret jag kan visa när jag söker anställning inom något säkerhetsrelaterat.

Kul med synpunkter, keep 'em coming

När det gäller rootkits bygger ju de flesta på att man patchar System Service Descriptor Table (SSDT), men det ska ju inte ens vara möjligt på Vista.

Angående spridning av virus är förmodligen den mänskliga faktorn den vanligaste orsaken även när det gäller Vista och då hamnar du ju ändå på området mja föreslår.

Gäller att hitta en state-of-the-art-RAT isåfall.
Men tre veckor är inte mycket, oavsett vad du vill fokusera på.

Det har du rätt i, jag var lite otydlig, jag funderade på rootkit till XP eller virus till Vista. Det är ju ett litet problem att man inte får ladda in osignerad kod i Ring 0 i Vista, känns inte som att jag klarar av att knäcka det på några veckor Men som jag förstått ska det inte finnas några direkta försvar mot virus i Vista.

Det var lite svårt att hitta nåt lagom svårt och spännande att göra... Vill inte heller göra något bara för att man måste; poäng har jag så det räcker.

Vista skickar upp larm vid exekvering av osignerad kod, alltså egenutvecklade program, vilket man vill undvika.
Sysinternals hade någon nyhet om ett bra gränssnitt för att slippa säkerhetsvarningarna i vista, exakt vad de innebär vet jag tyvärr inte.

Problemet med Vista är i första hand att varje user har sin egen registerversion, vilket gör autoexekvering för flera användare svårt. Hemanvändare och sånt är fortfarande rätt lätt, alla kör ändå samma konto... Men som sagt, lite svårare.

Hm, jag har skrivit ett antal applikationer i Vista (C/C++), men har inte sett såna larm. Är det drivrutiner du tänker på, eller processer som ex. försöker skriva till program files?



Så är det nog, men det gäller ju för RATs/rootkits och inte just virus. Är det förresten något som förhindrar att man skriver till en annan binärfil?
Läste för ett tag sen att det skulle gå att gå runt UAC-dialogen med ett enkelt SendMessage, någon som har testat?

Inte ens signerade drivruter får patcha SSDT.
Mer om det här: http://www.codeproject.com/vista/vista_x64.asp#Patch_Guard

Eftersom inte ens brandväggar och HIPS får sätta kernel level hooks, är det ju enklare en någonsin att injicera i t.ex. webläsaren.

Jag har kört Vista 64 bit i drygt ett halvår nu och det har inte varit enklare att ta sig igenom mjuvarubrandväggar sedan windows 98!
Så mycket för den ökade säkerheten i Vista, alltså...

Jag saknar ord, försökt beskriva hur dumt det är nu i 10min.
Skrivit om detta så många gånger att jag tappat räkningen, så jag skrev detta och började skriva på mitt "userland rootkit" igen

Mycket intressant måste jag säga.
ksv: känner du till några artiklar om ämnet, eller följer det samma princip som XP/etc?

Vilka principer tänker du på?

Jag tänkte om det är ungefär samma kod för att injicera IE7 i Vista som IE6 i XP, eller om man använder helt andra tekniker.

Ja, det gör ingen skillnad vilken browser det är. Och Vista är ju huvudsakligen bakåtkompatibel med XP, så man använder samma API:er för att injicera.