Miesiąc: lipiec 2022

W sztuce „Osy” Arystofanes,wyśmiewa ateński system prawny i skłonność niektórych osób do nadmiernego procesu spornego w błahych sprawach, jeśli istnieje jakakolwiek szansa na uzyskanie odszkodowania. Organizuje fałszywy proces, w którym pies o imieniu Labes zostaje oskarżony o kradzież i zjedzenie kawałka włoskiego sera! Oskarżycielski obywatel Bdelykleon podsumowuje zarzut i proponuje ukaranie:

Teraz wysłuchaj aktu oskarżenia. Oskarżenie przez Psa Kydathenaion przeciwko Labes of Aixone, że skrzywdził jeden sycylijski ser, jedząc go sam. Ukarać jedną obrożę z figowca!

Flame: harmonogram działań . Pierwsza aktywność Flame’a miała miejsce w 2007 roku, chociaż przeszła niezauważona. Następnie pojawił się wielokrotnie w 2010 roku. Ze względu na brak doniesień z narodów będących ofiarami, wpływ Flame’a nie jest wyraźnie znany w chwili pisania tego

Flame: architektura i organizacja Głównym modułem Flame jest plik DLL o nazwie MSSECMGR.OCX. Zazwyczaj znajdują się dwie wersje, większa i mniejsza, tego pliku. Większa wersja zawiera dodatkowe moduły i ma rozmiar około 6 MB. Mniejsze, bez dodatkowego modułu mają tylko 900 KB. Moduł mniejszej wersji pobiera i instaluje inne komponenty w katalogu% windir% \ system32 \ z serwerów CCS po swojej instalacji.

Funkcjonalność modułów w Flame jest podzielona na różne „jednostki” w zależności od ich funkcji. Jednostki te są szeroko stosowane w kodzie. Tabela 18.4 przedstawia w skrócie niektóre z różnych jednostek w Flame i ich funkcje.

Jednostka; Funkcjonować

Sok z żuka: wylicza urządzenia Bluetooth wokół zainfekowanej maszyny i sprawia, że ​​zainfekowana maszyna jest wykrywalna dla wszystkich innych urządzeń.

Mikrob: wybiera odpowiednie urządzenie nagrywające z istniejących źródeł dźwięku i nagrywa dźwięk.

InfectMedia: wybiera jedną z następujących dwóch metod infekowania dysków USB: (1) Autorun_infector i (2)

Autorun_infector: tworzy plik autorun.inf

Euphoria: tworzy katalog punktu połączenia z „desktop.ini” i „target.lnk”. Katalog działa jako skrót do uruchomienia Flame’a.

Gator: Pobiera nowe moduły i przesyła zebrane dane, łącząc się z CCS.

Munch: Jest to moduł serwera HTTP Flame, który odpowiada na żądania „/view.php” i „/wpad.dat”.

Limbo: Kiedy uprawnienia administratora są dostępne, tworzy konta backdoora z loginem „HelpAssistant” na komputerach w domenie sieciowej.

Przekąska: Tworzy surowe gniazdo sieciowe i zaczyna odbierać wszystkie pakiety sieciowe i zapisuje NBNS (NetBios Naming Service) w pliku dziennika. Ma opcję uruchomienia tylko wtedy, gdy uruchomiony jest „Munch”.

Boot_dll_loader: zawiera listę dodatkowych modułów, które należy załadować i uruchomić.

Gadżet: ten moduł służy do rozprzestrzeniania się w sieci z komputera, który jest już zainfekowany złośliwym oprogramowaniem.

Transport: replikuje moduły.

Spotter: skanuje moduły.

Biorąc pod uwagę krótki czas trwania wszystkich ateńskich spraw sądowych, dobrzy świadkowie byli niezbędni. W sądzie ateńskim świadkowie składali jedynie zeznania; żadne badanie krzyżowe nie było dozwolone. Dobór i wykorzystanie świadków w sądzie było główną strategią prawną stosowaną przez oskarżających obywateli. Tylko obywatele mogli składać zeznania. Ta regulacja oznaczała, że ​​kobiety i metoikoi (obcokrajowcy mieszkający na stałe) nie mogli być świadkami. Mogli jednak złożyć przedstawicielowi eliaia oświadczenie, które następnie przeczyta na głos obywatel płci męskiej. Dowody procesowe dostarczone przez niewolników były szczególnie kontrowersyjne w sądach ateńskich i były dopuszczalne tylko wtedy, gdy niewolnik był najpierw torturowany. To grizzly zadanie zostało wykonane przez scytyjskich łuczników, którzy służyli jako ateńska policja i byli nadzorowani przez urzędnika eliaia. (Rzeczywiście, życie tych nieszczęsnych ludzi wyraźnie kontrastowało z doświadczeniami obywateli w wysoce demokratycznych Atenach.)

Flame to kolejny szkodliwy program, który został niedawno wykryty przez Kaspersky Lab. Flame jest powszechnie uważany za narzędzie szpiegowskie, które ma wpływ tylko na komputery z systemem operacyjnym Microsoft Windows. Został nazwany przez Kaspersky Lab jako „Płomień”, ponieważ główny moduł odpowiedzialny za atak i infekowanie dodatkowych maszyn nosi nazwę Flame [8]. Flame jest również znany pod nazwami Flamer i SkyWiper, zgodnie z nazwami różnych innych organizacji, które twierdzą, że go wykryły. W porównaniu z innymi złośliwymi programami Flame ma dość duże rozmiary; jednakże jest zaprojektowany w taki sposób, że wykrycie jest prawie niemożliwe. Ogromne rozmiary Flame’a przypisuje się temu, że zawiera kilka modułów, takich jak zdekompresowane biblioteki, baza danych SQLite i maszyna wirtualna LUA, których nie widać w żadnym innym złośliwym oprogramowaniu [9]. Najbardziej uderzającym aspektem Flame jest jego nieuchwytna natura przez lata. Fakt, że to niebezpieczne złośliwe oprogramowanie szpiegowskie wymykało się kontroli bezpieczeństwa przez tak długi czas, pokazuje, jak jego podobna struktura do komercyjnego oprogramowania i wykorzystanie gotowych technik, takich jak SSL, SSH i baza danych SQL, pomogły mu wtopić się w z innym ruchem aplikacji. Płomień jest przeznaczony głównie do kradzieży informacji; w związku z tym jest uważana za ukierunkowaną broń szpiegowską. Został napisany w języku skryptowym Lua, aby uniknąć inżynierii wstecznej. Flame może nagrywać dźwięk otoczenia przez mikrofon, przechwytywać zrzuty ekranu, rejestrować aktywność klawiatury, monitorować ruch w sieci i nagrywać rozmowy przez Skype, dzięki czemu jest jednym z najpotężniejszych narzędzi szpiegowskich, jakie kiedykolwiek wykryto. Co więcej, to również sprawia,że zainfekowaną maszynę można wykryć przez Bluetooth, co dodatkowo zwiększa podatność urządzenia. Flame może również zainfekować w pełni załatany komputer z systemem Windows 7, co wskazuje na możliwą obecność nieznanego ataku typu zero-day. Istotną różnicą w stosunku do innych złośliwych programów jest obsługa przez Flame polecenia zabicia. Polecenie „zabić” Flame’a usuwa wszelkie ślady złośliwego oprogramowania z zainfekowanego komputera. Flame używa około pięciu metod szyfrowania, stając się tym samym jednym z dużych złośliwych programów. Duży rozmiar płomienia utrudniał rozprzestrzenianie się. Jednak nawet przy dużych rozmiarach skomplikowany proces szyfrowania zastosowany przez Flame pomógł uniknąć wykrycia. Flame komunikuje się ze zdalnymi serwerami zarówno w celu przesyłania danych zebranych z zaatakowanej maszyny, jak i otrzymywania instrukcji. Szkodliwe oprogramowanie wykorzystywało około 50 różnych domen do kontaktu z serwerem dowodzenia i kontroli (CCS) oraz ponad 15 różnych adresów IP. CCS są często zmieniane poprzez zmianę adresu IP konkretnego hosta przy użyciu dobrze znanej techniki fluxingu, która umożliwia posiadanie wielu adresów IP dla jednej w pełni kwalifikowanej nazwy domeny i jest używana przez botnety. Z powodu tych wyrafinowań bardzo trudno jest śledzić wykorzystanie wdrożenia

System prawny Aten różnił się od nowoczesnych systemów zachodnich tym, że wszystkie oskarżenia zostały wniesione przez osoby prywatne. Państwo nikogo nie ścigało. Na przykład, jeśli ktoś włamał się do twojego domu i ukradł twoją własność, nawet jeśli zostałby złapany na gorącym uczynku, byłbyś odpowiedzialny za pozwanie go do sądu. Nawet przestępstwa przeciwko państwu, takie jak zdrada stanu, były ścigane przez osoby prywatne. Kiedy Sokrates został postawiony przed sądem w 399 r. p.n.e. za „skorumpowanie młodzieży ateńskiej”, oskarżenie zostało postawione przez kilku prywatnych obywateli, a nie przez państwo. Podobnie system ateński nie miał prawników, jakich znasz w dzisiejszych czasach. Obywatele reprezentowali się w sądzie, choć czasem zdobyli bardziej elokwentnych mówców do pisania dla nich przemówień – oczywiście za opłatą! Wszystko odbywało się przed ławą przysięgłych obywateli (żadnych prywatnych rozmów z sędzią czy spotkań prawników). Poza tym próby musiały się zakończyć w ciągu jednego dnia. W pewnym sensie ten limit czasowy był znacznie mniej skomplikowany – chociaż można argumentować, że jury było po prostu zachwycone mądrym wypowiadaniem się.

Dwie główne metody, za pomocą których Stuxnet sam aktualizuje się, to (1) przez Internet i (2) połączenia peer-to-peer.

1. Aktualizacja przez Internet. Stuxnet aktualizuje się sam przez Internet poprzez ustanowienie połączenia HTTP przez port 80 z zestawem CCS. Niektóre znane witryny internetowe, z którymi komunikuje się Stuxnet, obejmują następujące: ​​(a) www.mypremierfutbol.com i (b) www.todaysfutbol.com. Stuxnet zbiera również i wysyła pewne podstawowe informacje, takie jak adres IP i nazwa karty sieciowej komputera ofiary, do witryn sieci Web CC. Wspomniane powyżej strony internetowe należały do ​​podejrzanych CCS.

2. Aktualizacja za pośrednictwem połączenia peer-to-peer. Stuxnet tworzy serwer RPC na komputerze ofiary i nasłuchuje połączeń przychodzących z dowolnego komputera w sieci. Po znalezieniu żądań połączenia przychodzących z dowolnego komputera, wysyła kod Stuxneta do komputera, wstrzykuje do procesu i rozpoczyna proces instalacji wspomniany powyżej. W ten sposób za pośrednictwem usługi RPC Stuxnet rozprzestrzenia się na inne komputery w sieci

Thesmothetai – sześciu arkhonów, którzy należeli do Jedenastu – byli odpowiedzialni za wymierzanie sprawiedliwości, co oznaczało obsadzanie i kierowanie sądami przysięgłych oraz zapewnianie sprawiedliwości. Sądy przysięgłych były znane jako eliaia i liczyły od 201 do 2501 przysięgłych, o których decydowali w zależności od wagi sprawy. Przy wyborze jury dołożono ogromnej staranności, aby upewnić się, że nie zostaną wybrane osoby mające bliskie relacje z osobami zaangażowanymi, ale w tak małej społeczności było to zawsze trudne. Ateńczycy prowadzili rejestr 6000 obywateli, którzy kwalifikowali się do służby przysięgłych. Perykles w końcu wprowadził system płatności dla jurorów, argumentując, że obowiązek ławy jest tak samo ważny jak uczestnictwo w ekklesie i dlatego uczestnicy powinni być opłacani. Obowiązująca stawka wynosiła dwa obole dziennie (dwukrotna stawka dnia na ekklesii). Liczba toczących się spraw oznaczała, że ​​sędzia był prawdopodobnie zajęty przez wiele dni w roku.

Stuxnet rozprzestrzenia się za pomocą następujących mechanizmów infekcji: (1) infekcja przez USB, (2) infekcja przez sieć i (3) infekcja przez bloki wiadomości serwera (SMB).

1. Infekcja wywołana przez USB. Stuxnet rozprzestrzenia się za pośrednictwem dysków USB, wykorzystując lukę w skrótach systemu Windows. Powszechnie znaną luką w systemie Windows jest ładowanie ikon plików .lnk, co skutkuje luką. Ta luka umożliwia automatyczne uruchamianie oprogramowania bez interwencji użytkowników. Tej luce można zapobiec za pomocą poprawek systemu operacyjnego Windows.
2. Infekcja przez sieć. Stuxnet rozprzestrzenia się za pośrednictwem sieci, wykorzystując jedną z następujących luk w zabezpieczeniach: (a) luka w zabezpieczeniach usługi Windows Server NetPathCanonicalize (.), Która umożliwia zdalne wykonanie kodu, jeśli system, którego dotyczy luka, otrzyma specjalnie spreparowane żądanie RPC lub (b) luka w zabezpieczeniach usługi buforu wydruku systemu Windows. Wpływ tej luki można zminimalizować, dzieląc sieć na strefy bezpieczeństwa, ograniczając tym samym zasięg usługi buforowania drukarki.

3. Infekcja przez SMB. SMB to używany protokół warstwy aplikacji przez serwer Windows Remote Procedure Call (RPC) w celu zapewnienia współużytkowanego dostępu do plików i różnorodnej komunikacji między węzłami sieci. Stuxnet rozprzestrzenia się również za pośrednictwem SMB, wykorzystując lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu w Microsoft Windows Service Server.

System prawny w starożytnych Atenach był bardzo skomplikowany. Mógłbym napisać całe rozdziały – a nawet książki – o ateńskiej sprawiedliwości. W tej części podam tylko krótki przewodnik i przegląd tego, co wydarzyło się w sądzie. Główną zasadą ateńskiego systemu prawnego był proces przed ławą przysięgłych. Ateńczycy wierzyli, że podobnie jak polityka, każdy obywatel powinien przyczyniać się do wymiaru sprawiedliwości – a procesy przed ławą przysięgłych były najłatwiejszym sposobem na zrobienie tego. Inne greckie miasta albo decydowały w sprawach z mocy monarchy lub rady rządzącej, albo dawały jednostkom możliwość samodzielnej zemsty. Ateny robiły coś zupełnie innego.

Po załadowaniu plik Stuxnet .dll sprawdza, czy ma uprawnienia administratora. W razie potrzeby Stuxnet wykorzystuje jedną z następujących luk typu „zero-day” w celu eskalacji uprawnień użytkownika do poziomu administratora: (1) luka w układzie klawiatury Win32k.sys i (2) luka w harmonogramie zadań systemu Windows [4]. Po uzyskaniu uprawnień administratora wstrzykuje do nowego procesu w celu zainstalowania się. To wstrzyknięcie jest wykonywane w procesie aplikacji antywirusowej działającym na komputerze. Schematyczne przedstawienie procesu wtrysku przedstawiono na Rysunku.

Po utworzeniu procesu wstrzykuje poprzez wyładowanie programu (wybranego programu antywirusowego) z pamięci i ładuje inny plik ze Stuxnet.dll w to samo miejsce. Przed wyładowaniem Stuxnet modyfikuje, dodając nową sekcję o nazwie „.verif”. To sprawia, że ​​rozmiar załadowanego pliku jest równy rozmiarowi rozładowanego. Po tym Stuxnet zainstaluje się, zapisując następujące sześć plików w katalogu C: \ Windows \:

• C: \ WINDOWS \ inf \ oem7A.PNF
• C: \ WINDOWS \ inf \ oem6C.PNF
• C: \ WINDOWS \ inf \ mdmcpq3.PNF
• C: \ WINDOWS \ inf \ mdmeric3.PNF
• C: \ WINDOWS \ system32 \ Drivers \ mrxnet.sys
• C: \ WINDOWS \ system32 \ Drivers \ mrxcls.sys