Kriptologi di mana-mana hari ini. Sebagian besar pengguna membuat baik penggunaan bahkan jika mereka tidak tahu mereka menggunakan kriptografi primitif dari hari ke hari. Dua bagian ini seri artikel melihat bagaimana kriptografi adalah pedang bermata dua: ini digunakan untuk membuat kita lebih aman, tetapi juga digunakan untuk tujuan yang berbahaya dalam virus canggih.
Bagian pertama memperkenalkan konsep di balik cryptovirology dan menawarkan contoh potensial berbahaya dengan SuckIt rookit dan kemungkinan cacing SSH. Kemudian lapis baja memperkenalkan virus yang menggunakan pergeseran bentuk (polimorfisme dan metamorphism) untuk menghindari deteksi.
Bagian kedua akan melihat beberapa virus terbaru mencoba untuk sembunyi dan menghindari deteksi dan analisis. Sebuah melanjutkan diskusi tentang virus lapis baja yang menggunakan metamorphism polimorfisme dan akan diikuti oleh konsep Bradley cacing, yang dianalisis un-virus yang menggunakan kriptografi. Skype akan digunakan sebagai contoh aplikasi kriptografi dengan protokol tertutup yang dapat dimanipulasi oleh seorang penyerang.
Pengantar kriptologi dan virologi
Kriptologi adalah sebuah domain terbagi dalam dua bagian:
* Kriptografi didedikasikan untuk desain algoritma menjamin kerahasiaan, otentikasi, integritas, dan sebagainya. Hal ini biasanya didasarkan pada semacam rahasia, sering disebut sebagai kunci dan / atau fungsi-fungsi matematika tertentu (seperti satu arah fungsi matematika).
* Kriptoanalisis adalah usaha untuk merancang algoritma untuk memotong kerahasiaan, otentikasi, integritas, dan seterusnya. Hal ini biasanya didasarkan pada teori-teori matematika yang kompleks, tapi trik tertentu juga dapat digunakan untuk mencapai tujuan yang sama (dikenal sebagai kriptoanalisis operasional).
Karena perpecahan di atas kriptologi, kriptografi dianggap sebagai ilmu pertahanan, sedangkan kriptoanalisis dianggap sebagai sebuah serangan satu. Namun, ketika seseorang menulis atau berbicara tentang "kripto," biasanya pikiran kita untuk fokus pada pertahanan.
Sebaliknya, ketika kita berbicara tentang virologi, kita langsung berpikir tentang serangan berbahaya. Namun demikian, virologi juga dibagi menjadi dua sub-disiplin, salah satunya menyinggung tapi yang lain menjadi defensif:
* Virus adalah sebuah program replikasi diri yang menyebar dengan menyisipkan (mungkin diubah) salinan dirinya ke dalam kode executable lain atau dokumen. Hal ini dianggap sebagai ofensif karena biasanya payload jahat tertanam dalam virus, dan karena penggunaan anti-anti-virus teknik (teknik yang menghindari anti-virus).
* An anti-virus adalah program yang berupaya untuk mengidentifikasi, menghalangi dan menghilangkan virus komputer dan perangkat lunak berbahaya lainnya. Hal ini terutama dibangun di atas pencocokan pola (signature) dan setelah mengidentifikasi perilaku yang mencurigakan (heuristik).
Kriptografi yang digunakan oleh vendor anti virus untuk memastikan (sebanyak mungkin) kerahasiaan dari database tanda tangan, atau untuk pembaruan otomatis software mereka. Tetapi juga digunakan oleh penulis virus, misalnya, untuk menjamin kerahasiaan virus 'payload atau untuk menghindari deteksi dan analisis kode berbahaya (kode melalui penggantian, seperti polimorfisme dan metamorphism, yang dikenal sebagai virus lapis baja teknik ).
Cryptovirology
Menulis virus sama seperti menulis setiap bagian dari perangkat lunak lain, sayangnya. Perancang mencoba untuk menaruh beberapa kepandaian dalam aplikasi untuk meningkatkan fungsi (atau diam-diam), kekuatannya, dengan strategi replikasi, atau bahkan muatannya. Namun, ketika anti-virus analis Kuasai mendapat seperti sepotong kode, ia belajar cara kerjanya, apa yang dilakukannya, dan seterusnya. Pada akhirnya, baik penulis dan analis berbagi pandangan yang sama virus, berapa jumlahnya untuk mesin Turing (kami memiliki transisi negara-meja dan sebuah negara dimulai).
Seperti yang sangat jelas terpapar di Malicious Kriptografi [ref 1], ide di balik cryptovirology adalah memecah pandangan simetris ini virus. Setelah satu telah melakukan beberapa crytpo dan matematika dalam hidupnya, ketika ia berpikir tentang simetris, ia juga berpikir asimetris. Dengan demikian, definisi pertama dari sebuah cryptovirus adalah: virus embedding dan menggunakan kunci publik.
Sebuah model dasar lihat hari ini
Model dasar ini dapat dilihat sesuai dengan sasarannya:
* Para penulis virus menciptakan sebuah kunci RSA:
o kunci publik muncul dalam tubuh virus.
o kunci pribadi yang disimpan oleh penulis.
* Virus menyebar dan payload menggunakan kunci publik. Misalnya, cipher data (hard drive, file, e-mail, apa pun) dari target dengan kunci publik.
* Para penulis virus memerlukan tebusan sebelum mengirim kunci pribadi.
Ada sejumlah contoh baru-baru ini pendekatan ini, seperti GpCode dan Krotten. Untungnya, protokol ini memiliki beberapa kelemahan. Pertama, ada aspek anonimitas: bagaimana penulis virus mendapatkan uang tanpa tertangkap? Selalu ada manusia berusaha untuk mengumpulkan uang. Kemudian ada juga masalah usabilitas: bagaimana jika korban menerbitkan satu kunci pribadi? Salah satu pendekatan penulis virus bisa mungkin korban hanya mengirim data dienkripsi penulis, yang kemudian mengirimkan kembali diuraikan, tetapi ini berarti para penyerang mempunyai data dalam bentuk teks ... dan target mungkin tidak membiarkan hal itu terjadi, lebih memilih kehilangan data.
Sebuah model cryptovirus hibrida
Selanjutnya, sebuah model hibrida diusulkan yang menggunakan kedua asimetris dan kriptografi simetris:
* Para penulis virus menciptakan sebuah kunci RSA:
o kunci publik muncul dalam tubuh virus.
o kunci pribadi yang disimpan oleh penulis.
* Virus menyebar:
o payload menciptakan sebuah kunci rahasia.
o kunci rahasia digunakan untuk penyandian data pada disk.
o kunci rahasia adalah sandi dengan kunci publik.
* Penulis meminta tebusan sebelum mengartikan kunci rahasia.
Target panen, menunda analisis, dan diam-diam
Sebagai salah satu akan pemberitahuan dari Malicious membaca Kriptografi [ref 1], pertanyaan yang biasa untuk seorang penulis dari cryptovirus adalah: bagaimana saya bisa menggunakan teknologi kripto tertentu di virologi? Kami akan mencoba di sini untuk membalikkan atau memperpanjang keadaan pikiran dengan dua pertanyaan menunjukkan bahwa penulis cryptovirus mempertimbangkan:
* Bagaimana kita dapat meningkatkan faktor taktis yang diberikan dengan kriptologi?
* Bagaimana kita bisa menggunakan kriptologi jahat?
Dalam rangka memerangi ancaman yang muncul ini, kita harus terlebih dahulu memahami pendekatan yang digunakan. Kami akan fokus pada tiga sifat penting penulis jahat menggunakan. Yang pertama adalah target panen, yang merupakan mekanisme yang digunakan untuk menemukan target yang valid untuk menginfeksi dan mengontrol penyebaran virus. Gol kedua dari penulis adalah cryptovirus menunda analisis, yaitu, mencari cara untuk menunda atau bahkan mencegah pemahaman orang dapat mendapatkan pada kode berbahaya. Dan yang terakhir adalah sifat penting sembunyi-sembunyi, tidak terdeteksi adalah cara yang baik untuk tidak tertangkap.
Masalah presisi
Seperti yang dinyatakan sebelumnya, kripto di mana-mana. Misalnya, pada beberapa lapisan 2 jaringan didasarkan pada protokol kripto (WEP, WPA / TKIP, dan lain-lain), seperti juga beberapa protokol lapisan atas (IPSec, SSH, SSL, Kerberos, PGP, dan lain-lain). Oleh karena itu digunakan untuk berbagai tujuan, dari otentikasi (dengan password menggunakan pra-berbagi kunci, pertukaran kunci, tanda) untuk ciphering (dengan AES, DES, 3DES, IDEA, RC4, dan banyak lainnya akronim misterius).
Namun, terlepas dari jenis kripto yang digunakan, kita dapat memastikan bahwa ketika kripto digunakan pada salah satu ujung saluran komunikasi, juga digunakan di ujung lain. Selain itu, ada sering baik (lemah?) Sandi atau hubungan kepercayaan antara badan-badan tersebut. Dan ingat bahwa protokol kriptografi biasanya kompleks, dan memerlukan banyak kondisi yang tidak sering diperiksa dalam pelaksanaannya. Jadi marilah kita memanfaatkan semua "fitur" di cryptovirology kita melihat, masuk ke dalam pikiran orang-orang dengan maksud jahat.
Di bagian artikel, kita akan melihat bagaimana penulis cryptovirus mencoba menggunakan kripto untuk menemukan sasaran dengan akurasi yang baik, menggunakan jauh lebih baik daripada pendekatan beberapa cacing yang lebih tua telah dilakukan di masa lalu (seperti ketika mereka dihasilkan secara acak 32 bit nomor IP).
Singkat mengingat SuckIt
Di SuckIt rootkit tidak akan sangat rinci di sini seperti telah dibahas dalam artikel sebelumnya. [ref 2] Jadi, marilah kita hanya berfokus pada bagian kriptografi rootkit ini. Apapun versi yang digunakan, dengan otentikasi secara inheren cacat. Oleh karena itu, ketika seseorang menemukan SuckIt biner, dapat digunakan untuk memasuki jaringan yang terinfeksi SuckIT tuan dimiliki oleh penyerang dan memahami apa yang dilakukan penyerang.
Di atas adalah mungkin karena SuckIt otentikasi didasarkan pada perbandingan dua hash. Kita tidak perlu mengambil pra-gambar untuk hash - memiliki hash sudah cukup. Jadi, kita hanya perlu sedikit mengubah klien sehingga hash mengirimkan langsung ke server, tanpa meminta kami apa-apa: pengulangan hal ini mungkin sebanyak yang kita inginkan.
Masalahnya kemudian untuk menemukan tempat untuk replay. Tempat pertama untuk melihat adalah di mana penyusup masuk dari. Biasanya adalah host dikompromikan, di mana ia mungkin telah menginstal dan menggunakan klien dengan password yang sama. Penyerang adalah manusia dan seperti semua pengguna, mereka tidak dapat mengingat terlalu banyak password yang kompleks. Oleh karena itu, tuan rumah sering penyerang password yang sama digunakan pada jaringan SuckIt. Kedua tempat yang menarik untuk menemukan si penyusup adalah dengan penangkapan yang dilakukan oleh rootkit SuckIt itu sendiri. Sebuah file. Sniffer tersembunyi di sarang rahasia dari rootkit. Dan jika penyusup menggunakan klien di SuckIt dikompromikan tuan rumah, juga berisi target lalu lintas lain ... dan hash, tentu saja.
Prinsip-prinsip desain di balik SSH cacing
SSH sekarang baik tahu protokol, didasarkan pada banyak protokol kriptografi, dan digunakan oleh banyak (jika tidak semua) administrator sistem di Internet. Hal ini dirancang untuk memungkinkan seseorang untuk login ke mesin remote dan mengeksekusi berbagai perintah di atasnya aman. Banyak skema otentikasi yang tersedia untuk para klien: password, tantangan / tanggapan, kerberos, kriptografi publik, dan seterusnya. Server diidentifikasi oleh kunci asimetris. SSH juga menawarkan banyak fitur lebih keren: TCP proxy, aman ftp, forwarding agen, dan seterusnya.
Mari kita membayangkan apa yang seorang penyerang mungkin gunakan untuk membuat cacing SSH berdasarkan semua fitur ini. Tentu saja, sama seperti setiap cacing tidak, yang satu ini bisa menggunakan penargetan memanfaatkan sebuah server SSH. Namun, sementara ini adalah cara yang paling jelas mengganggu ke SSH remote server, itu bukan satu-satunya. Oleh karena itu jika cacing bisa menggunakan seperti eksploitasi, baik, tapi itu bukan keharusan.
Mari kita andaikan pasien 0 adalah host berkompromi dengan banyak pengguna, dan cacing kami memiliki hak tertinggi pada host ini, yaitu, dapat mengubah identitas untuk menyamar sebagai setiap pengguna lokal jika diperlukan. Sebagai catatan, seperti cacing juga bisa melakukan eksploitasi lokal untuk memperoleh hak yang sama pada host berkompromi segar, dan meningkatkan kemampuan penyebarannya. Namun, untuk contoh kita, kita akan mencoba untuk membatasi penyebaran terutama untuk fitur SSH dan kelemahan manusia.
Pertanyaan pertama kita perlu menjawab, ketika seorang penyerang mencoba untuk merancang seperti cacing, bagaimana hal itu akan berkembang biak pada jaringan SSH dari sebuah host? Jawabannya mengandung dua bagian: pertama, kita perlu menemukan sasaran yang menarik, dan kedua, kita perlu menemukan cara untuk masuk ke target ini sebagai penyerang akan.
Bahkan, sebuah jaringan SSH dapat dilihat secara visual dalam grafik yang didasarkan pada kriptografi asimetris dan implisit hubungan kepercayaan. Node host SSH. Mengungkapkan sisi outgoing SSH remote server dimana user sedang atau telah terhubung, sehingga karena itu menunjukkan target cacing kami. Masuk tepi menunjukkan tempat pengguna terhubung dari, pada saat ini server SSH. Ini mungkin menjadi sasaran, tapi cacing tidak bisa memastikan sebuah server SSH berjalan. Jadi dalam hal ini, eksploitasi terhadap klien SSH akan sangat berguna bagi penyerang.
OpenSSH implementasi yang sangat baik menyediakan segala macam informasi yang baik untuk menemukan server remote (pinggiran keluar). Ingat, dalam contoh ini kita memiliki hak istimewa dari setiap pengguna lokal, sehingga untuk salah satu dari mereka, kita bisa misalnya:
* Lihat diketahui pengguna host. Semua host yang dibuka oleh pengguna memiliki kunci publik tersimpan dalam ~ / .ssh / known_hosts. Namun, untuk menjaga kebocoran informasi ini, versi terbaru dari OpenSSH menggunakan hash dari alamat IP / nama bukan yang jelas-format teks.
* Gali ke file konfigurasi ~ / .ssh / config (jika ada) untuk Host dan pergi ke direktori ControlPath.
* Lihat pada saat ini dan masa depan sambungan jaringan.
* Jelajahi sejarah: grep ssh ~ /. Bash_history
Sekarang, mari kita cari untuk masuk pinggiran sebagaimana didefinisikan di atas. Pertama kita bisa lihat di file yang berisi kunci disahkan oleh pengguna, ditemukan di ~ / .ssh / berwenang kunci. Koneksi jaringan juga tempat yang berguna untuk melihat. Dengan hak akses root, satu dapat juga mengendus jaringan dan melihat file-file log untuk masuk Connexions.
Sekarang setelah kita tahu bagaimana tempat sasaran menarik sangat akurat, cacing sebagai SSH kita juga perlu untuk menyebarkan ke sasaran ini. Seperti yang dinyatakan sebelumnya, cacing bisa menggunakan mengeksploitasi terhadap SSH, baik untuk server atau klien, tetapi seperti yang akan kita lihat, ada juga lain cara.
Mungkin cara termudah adalah untuk meminjam ssh-agent dari pengguna:
>> Export SSH_AUTH_SOCK = / tmp/ssh-DEADBEEF/agent.1337
>> Export SSH_AGENT_PID = 1007
Akhir-akhir ini, fitur lain telah muncul dalam SSH yang sangat menarik dan akan memerlukan usaha yang sangat kecil bagi seorang penyerang untuk penyalahgunaan. Sekarang mungkin untuk multipleks beberapa sesi SSH ke dalam satu TCP gandengan. Jadi, Anda login sekali pada remote host, dan semua Connexions berikutnya untuk host yang sama dilakukan dengan menggunakan koneksi yang sudah ada. Fitur ini dapat dikonfigurasi oleh setiap pengguna:
~ / .ssh / config
Host GetinMeForFree
ControlMaster auto
ControlPath ~ / .ssh / arus /% r @% h:% p
Jadi, jika sambungan ke GetinMeForFree tuan rumah sudah ada, cacing tidak ada lagi yang harus dilakukan untuk menghubungkan ke sistem ini.
Cacing juga dapat penyalahgunaan kepercayaan bahwa pengguna dimasukkan ke dalam kriptografi dan mencuri mereka "unbreakable" password atau passphrase. Menggunakan keylogger orang miskin, strace, sudah cukup untuk itu. Sebagai contoh, kita mengganti perintah ssh oleh sebuah alias di ~ /. Bashrc:
# Perintah ssh baru dimasukkan ke dalam ~ /. Bashrc
alias ssh = 'strace-o / tmp/sshpwd- `date' +% d% h% m% s '`. log-e
membaca, menulis, sambungkan-s2048 ssh '
Cacing yang adil harus menunggu kunci ke kerajaan Anda, ditampilkan sebagai berikut:
menghubungkan (3, sa_family = AF_INET, sin_port = htons (22),
sin_addr = inet_addr ( "192.168.0.103"), 16)
menulis (5, "Password:", 9) = 9
read (5, "b", 1) = 1
read (5, "e", 1) = 1
read (5, "e", 1) = 1
read (5, "r", 1) = 1
read (5, "\ n", 1) = 1
Ini bekerja sama ketika mendapatkan sebuah passphrase mengenakan kunci pribadi, biasanya ditemukan di ~ / .ssh / id_ [dsa | rsa].
Trik lain telah digunakan oleh malware sebelumnya: menanamkan kekerasan aplikasi sandi. Dan saat ini, ini adalah sangat umum menyerang SSH. Jika Anda melihat file log anda pasti akan melihat:
Februari 9 23:25:14 localhost sshd [14.236]: Failed password untuk root dari
80.95.161.86 port 58645 ssh2
Februari 9 23:25:17 localhost sshd [14.238]: Failed password untuk pengguna yang tidak valid
80.95.161.86 port admin dari 58.806 ssh2
Februari 9 23:25:23 localhost sshd [14.313]: Failed password untuk pengguna yang tidak valid
80.95.161.86 port tamu dari 59.243 ssh2
Februari 9 23:25:26 localhost sshd [14.351]: Failed password untuk pengguna yang tidak valid
80.95.161.86 port webmaster dari 59.445 ssh2
Februari 9 23:25:29 localhost sshd [14.364]: Failed password untuk pengguna yang tidak valid
80.95.161.86 port oracle dari 59.445 ssh2
Cacing juga dapat menggunakan kelemahan-kelemahan dalam aplikasi lain, terutama jika berhasil suntik atau Timpa file pada remote target. Jika worm dapat mengirimkan sendiri kunci publik pada target's ~ / .ssh / berwenang kunci, dan dengan asumsi bahwa ini adalah jenis otentikasi yang berwenang, itu hanya harus terhubung ke host remote.
Aplikasi web sasaran pertama yang baik untuk pendekatan ini, karena banyak dari mereka memungkinkan kita untuk menulis pada remote target. Namun, untuk contoh ini kita akan melihat tua, cacat terkenal di Oracle, yang tampaknya persis apa yang kita butuhkan untuk cacing kami.
Dalam versi sebelumnya dari Oracle, ada komponen bernama TNS Listener yang menerima koneksi dan perintah langsung tanpa otentikasi. [ref 3] Jadi, idenya adalah untuk connect ke pendengar, mengubah logfile ke ~ / .ssh / berwenang kunci, kereta mengirim perintah (seperti cacing kunci) yang akan login logfile baru ... dan permainan berakhir.
>> tnscmd-h 192.168.0.103-p 1521 - rawcmd "(DESCRIPTION = (CONNECT_DATA = (CID =
(PROGRAM =) (HOST =) (USER =)) (COMMAND = log_file) (PERTENGKARAN = 4) (SERVICE = Listener)
(VERSION = 1) (NILAI = / home/ora92/.ssh/authorized_keys))) "
>> tnscmd-h 192.168.0.103-p 1521 - rawcmd "(CONNECT_DATA =
((ssh-DSS Ckuu4 = AAAAB3NzaC1kc3D ... raynal@poisonivy.gotham "
Oleh karena itu, berkat kriptografi dan pedang bermata dua, sangat mudah bagi penyerang untuk tempat sasaran dengan sangat akurat. Selain itu, terima kasih kepada pengguna sendiri, tidak terlalu sulit untuk menyusup ke sasaran ini. Dan menggabungkan ini dengan kekurangan lokal, penyebaran worm yang SSH sepenuhnya mungkin. Lebih banyak orang perlu menyadari pendekatan ini, sehingga mereka dapat mempertahankan diri itu.
Efisiensi seperti cacing terbatas, karena ada tidak benar-benar bahwa banyak server SSH di sekitar, dan karena itu tidak begitu banyak potensi sasaran. Tapi bayangkan apa rasanya jika ada sistem dengan fitur serupa dan banyak, banyak pengguna ...
Sebuah soal waktu: lapis baja virus
Sebelum mengakhiri bagian salah satu seri artikel ini, kami akan memperkenalkan lapis baja virus dan kemudian kembali lagi konsep-konsep ini pada awal dari bagian kedua.
Ketika seseorang berurusan dengan serangan dan pertahanan, waktu adalah faktor yang sangat penting. Biasanya kode atau data ciphering digunakan untuk melindungi kekayaan intelektual dalam perangkat lunak. Kode atau data akan sandi untuk mencegah orang dari membacanya, dan kunci diberikan sebelum pelaksanaan untuk mendapatkan teks yang jelas. Beberapa lapisan enkripsi dapat ditumpuk, dan kode atau sebagian data dapat diuraikan pada waktu tertentu di memori. Teknik-teknik ini digunakan baik untuk sidik jari atau perangkat lunak untuk perlindungan lisensi.
Sayangnya, teknik serupa juga digunakan dalam malware, dan untuk tujuan yang hampir sama. Mari kita meringkas kehidupan malware ketika menyebar.
Suatu hari ketika malware terdeteksi, itu dianggap sebagai kode baru yang akan dianalisis. Ketika analisis selesai, tanda tangan dan heuristik diciptakan untuk mengaktifkan software anti-virus untuk memblokir malware ini. Kemudian, tanda tangan dan heuristik yang diberikan kepada pengguna akhir melalui auto-update dari software. Baru salinan malware segera terdeteksi dan dibersihkan ketika mereka mencapai target. Jadi, kesimpulan Oleh karena itu ketika malware menyebar, itu mati ..
Untuk menghindari ini "masalah," seorang penulis malware harus menunda, atau bahkan melarang, analisis dari makhluk ganas. Sebuah virus menggunakan teknik untuk menghindari atau menunda analisis menjadi apa yang disebut virus lapis baja.
Lapis baja publik pertama virus memenuhi tujuan ini disebut Paus dan kadang-kadang menyebar pertama pada September 1990. Ini gabungan beberapa teknik:
* Polimorfisme: baik biner dan proses ini adalah sandi (ada 30 hardcoded versi).
* Stealth: beberapa interupsi, termasuk yang debugging, yang terpancing oleh Paus, dan juga bersembunyi di memori tinggi sebelum mengurangi batas maksimum memori yang dikenal oleh DOS, yang menonjol pada waktu itu.
* Armoring: perubahan kode tergantung pada arsitektur (8.088 atau 8.086), telah intens penggunaan kebingungan (kode tidak berguna, kondisi identik, kode berlebihan, dan sebagainya) dan memiliki apa yang dikenal sebagai anti-debug (jika debugger terdeteksi , keyboard akan diblokir dan Paus membunuh itu sendiri).
Jika teknik ini adalah umum sekarang ini, hampir enam belas tahun kemudian, orang dapat membayangkan apa yang terjadi kemudian ketika seperti sepotong kode mencapai laboratorium anti-virus perusahaan.
Lain kali, di bagian dua, kita akan menyelam lebih dalam lapis baja virus dengan melihat pergeseran bentuk, atau polimorfisme dan metamorphism. Kemudian kita akan melangkah lebih jauh dan mendiskusikan sebuah Bradley virus, sejenis virus yang tidak dapat dianalisis. Dan selain itu kita akan melihat pada aplikasi Skype yang populer dan bagaimana penyerang sudah mencoba untuk menggunakan protokol tertutup, built-in kripto sebagai vektor untuk serangan virus diam-diam.
Penutup bagian satu
Dalam artikel ini, konsep di balik cryptovirology didefinisikan sebagai kita mencoba untuk memahami metode-metode yang digunakan oleh penulis crytovirus. Dua contoh yang dibahas, kelemahan dalam yang SuckIt rookit dan potensi untuk masa depan cacing SSH.
Lain kali di bagian dua kita akan melihat beberapa virus terbaru mencoba untuk sembunyi dan menghindari deteksi dan analisis. Sebuah melanjutkan diskusi tentang virus lapis baja akan diikuti oleh konsep Bradley cacing, sebuah dianalisis un-virus yang menggunakan kriptografi. Skype akan digunakan sebagai contoh aplikasi dengan tertanam kriptografi dan protokol tertutup yang dapat dimanipulasi oleh seorang penyerang. Sampai saat itu.
Referensi
[ref 1] Malicious Cryptography: Exposing Cryptovirology
A. Young, M. Yung,, Wiley, 2004 ISBN 0764549758
[ref 2] Malicious Malware: menyerang para penyerang, bagian 2
Thorsten Holz dan Frederic Raynal, Security Focus, 2 Februari 2006.
[ref 3] Keamanan dengan Oracle (PDF), P. Lagadec, SSTIC 2005
SecurityFocus Disclaimer
Sifat kriptografi telah menjadi salah satu tempat yang dapat digunakan untuk tujuan jahat seperti itu digunakan untuk membuat sistem dan jaringan yang lebih aman. SecurityFocus, dan perusahaan induknya Symantec, tidak harus mendukung pendekatan-pendekatan yang dibahas dalam artikel ini. Tim redaksi mematuhi etika mantra Do No Evil, dan kami percaya bahwa pendekatan kriptografi harus didiskusikan dari semua sudut jika mereka benar-benar membuat kita tetap aman.
Tidak ada komentar:
Posting Komentar