Re: Hakowanie infrastruktury za pomocą wyrafinowanych narzędzi

eGospodarka.pl › Grupy › pl.misc.elektronika › Hakowanie infrastruktury za pomocą wyrafinowanych narzędzi › Re: Hakowanie infrastruktury za pomocą wyrafinowanych narzędzi

Path: news-archive.icm.edu.pl!news.icm.edu.pl!.POSTED.159-205-37-165.dynamic.inetia.p
l!not-for-mail
From: io <i...@o...pl.invalid>
Newsgroups: pl.misc.elektronika
Subject: Re: Hakowanie infrastruktury za pomocą wyrafinowanych narzędzi
Date: Fri, 8 Dec 2023 16:46:28 +0100
Organization: ICM, Uniwersytet Warszawski
Message-ID: <ukvdon$3fkf$7@news.icm.edu.pl>
References: <ucgepp$1b6fh$1@dont-email.me>
<7...@g...com>
<ukpphd$ord8$1@dont-email.me>
<c...@g...com>
<ukqgic$31qh9$1@news.icm.edu.pl>
<7xpevz12iibp.1syvkbmecsgnf$.dlg@40tude.net>
<2...@a...localdomain>
<uksv32$1behr$1@dont-email.me> <ukt9a5$1d3b6$1@dont-email.me>
<ukunh7$1mj9f$1@dont-email.me> <ukunli$2kt$1$grzegorz@news.chmurka.net>
<ukusob$291v$1@news.icm.edu.pl> <ukutst$rb8$1$grzegorz@news.chmurka.net>
<ukv8ae$3fkf$1@news.icm.edu.pl>
<11ytxk14gzn6x$.1hzaj6ur9oqcw$.dlg@40tude.net>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Fri, 8 Dec 2023 15:46:31 -0000 (UTC)
Injection-Info: news.icm.edu.pl;
posting-host="159-205-37-165.dynamic.inetia.pl:159.205.37.165";
logging-data="114319"; mail-complaints-to="u...@n...icm.edu.pl"
User-Agent: Mozilla Thunderbird
Content-Language: pl
In-Reply-To: <11ytxk14gzn6x$.1hzaj6ur9oqcw$.dlg@40tude.net>
Xref: news-archive.icm.edu.pl pl.misc.elektronika:785899
[ ukryj nagłówki ]
W dniu 08.12.2023 o 15:50, J.F pisze:
> On Fri, 8 Dec 2023 15:13:31 +0100, io wrote:
>> W dniu 08.12.2023 o 12:22, Grzegorz Niemirowski pisze:
>>> io <i...@o...pl.invalid> napisał(a):
>>>> Gościu w ogóle widział ten kod binarny, że się na jego temat wypowiada?
>>>
>>> Nie musiał.
>>>
>>>> Jeśli np kod czerpał dane z innych zasobów niż z siebie to całe jego
>>>> rozważanie nie ma sensu bo po prostu można źródło podmienić.
>>>
>>> Pociąg pobierał sobie aktualizacje z jakiegoś repo i ktoś to repo
>>> przejął lub zmienił konfigurację pociągu przestawiając na inne repo?
>>>
>> Przeczytaj artykuł z analizą gościa. Twierdzi, że można stwierdzić czy
>> kod wykonywalny powstał ze źródłowego czy ktoś wykonywalny poprawił,
>> sugerując że musiał być ze źródłowego, czyli że Newag go napisał.
>
> A to był ten gościu-hacker, co znalazł te podejrzane miejsca?

No właśnie nie, on tylko rozważa nie widząc tego kodu. A to co jest w
mediach to przecież nie są dokładnie te wstawki jakie zostały znalezione
tylko ich demonstracja.

>
> IMO - w kodzie binarnym mozna conieco podmienic.
> Moze być problem z miejscem, moze trzeba sie będzie bardzo postarać,
> żeby to sensownie wyglądało, ale wykluczyc zmiany nie można.
> Oryginalny programista moze by wychwycił celowość tych zmian,
> ale przed sądem ... bo to wiadomo, który kłamie?

Nie jest pewne, że to w ogóle nadaje się na sąd skoro padło coś o
złamaniu bezpieczeństwa.

>
> No chyba, że kod jakąś sumą kontrolną objęty (co ma sens, ale bardzo
> ambitna musiałaby być),

Sumy kontrolne są liczone standardowo, jak wiesz jak to je policzysz i
podmienisz.

> albo sa pliki z oryginalnym kodem czy
> aktualizacjami, podpisane cyfrowo. ...

No właśnie, i tutaj już da się stwierdzić, że nie jest oryginalne. Ale
jeszcze system musi taki kod odrzucić. Nie jest oczywiste, że to robi. I
co, że ktoś sobie podmienił jeden moduł.