Blog do Gian(.com.br)

Fico imaginando se isso acontece lá em casa….

Andei fazendo uma limpeza lá em casa e acabei ficando com apenas um desktop mais os notebooks para acesso. A fim de economizar energia, somente o desktop fica ligado sempre.

Só que isso me trouxe dois problemas básicos:

• Como deixar minhas aplicações em modo gráfico rodando deixando livre uma sessão X para outra pessoa?
• Como ter acesso a esta seção gráfica via rede?

Pensei em várias alternativas, como um servidor vnc, ou duas sessões X rodando ao mesmo tempo. Mas utilizando um pouco da massa encefálica que me resta acabei matando esse “coelho” com apenas um tiro: Resolvi utilizar o No Machine NX Free Edition. Essa solução foi perfeita para o meu caso, pois agora eu consigo deixar uma sessão gráfica sempre rodando em background e ainda assim o meu monitor terminal gráfico local fica liberado para quem quiser utilizar. Além disso, quando eu logo localmente, é aberta uma nova sessão do X, e eu posso ter acesso à minha sessão gráfica do nomachine pelo próprio cliente, o que me libera de ter que ficar com um monte de programas abertos no mesmo desktop.

Tudo, bem, é tudo muito bonito, tudo muito interessante, mas como eu faço para instalar o NX na minha máquina?

É bem simples:

1. Vá até o site de download do NX e escolha a sua distro
2. Baixe os 3 pacotes (server, node, client)
3. Instale eles (dpkg -i <pacotes>, rpm -ivh <pacotes, …)
4. Baixe e instale os clientes para linux ou windows nas máquinas que você vai utilizar para axessar a sua máquina
5. Seja feliz

Agora vai a dica de bonus: Digamos que você abiu uma sessão remota no serviço, deixou baixando aquele episódio bacana e chegou em casa e quer ver a sessão remota. Você já instalou o cliente do NX na sua máquina, lembra? Agora é só criar uma conexão para o localhost e conectar na sessão que você deixou aberta. Deste modo você pode deixar sempre uma sessão “em background” pra fazer coisas que ficam rodando muito tempo, sem precisar deixar uma sessão local do X aberta.

Só pra situar: Ontem foi descoberta uma vulnerabilidade em uma máquina de café que possui um it para conexão à internet. Segue um e-mail (pós-vulnerabilidade) que explica “bem” a situação.

De: Craig Wright [mailto:Craig.Wright@bdo.com.au]
Enviada em: quarta-feira, 18 de junho de 2008 03:10
Para: security-basics@lists.securityfocus.com; bugtraq@securityfocus.com
Assunto: A more detailed description of the Jura F90 vulnerability.

The issue is a lack of input validation. OWASP would be a great learning exercise for the coders on this product. It seems to be assumed that only trust-worthy users will connect only to trust-worthy sites. I could not find any evidence of input validation.

Through the magic of Web Scarab and Paros proxy, one can capture the Internet communications used by the F90 Internet Connection Kit software. What you soon see is that the software does not account for either bypassing the local application and changing the input or in spoofed and re-directed sites.

The software does not validate the site it gets the information from nor does it sufficiently validate the input to the software.

At the moment as I think there are so few people as crazy as I am who actually have to have a gadget just as it is Internet connected; this is not likely to become a widespread attack vector.

The software is an oversized web proxy with other stuff to connect to the coffee machine thrown in. Jura did not make the assumption that an evil attacker could purposefully modify and publish “evil” coffee “recipes.

I have been taking the updated SANS@Home 610 course. I have a GREM, but Lenny and the other guys have added an additional component to the Reverse Engineering Malware Course. So I had to take it.

The course focuses on analysing and reversing malware, but IDA and Olly work on binaries of all types and the bad combination of a bottle of good resiling and 9 coffees after midnight is not a good combination. Hence I decided to attack my coffee maker and the control software.

There are certain aspects of code (like the ever faithful GETS() function) that should be beaten from existence. Others need to be securely configured such that all the required variable fields are entered correctly (see SPRINTF()). Unfortunately the coders at Jura did not consider that “bad people” would ever attack a coffee maker .

There are 2 main attacks that I have noted,

1 Loading a malicious setting or recipe into the device causing a “coffee overflow” etc.

2 More seriously, not validating the input correctly coupled with a lack of authorisation of the source and nothing to stop invalid data at the host means that malformed strings can be fed to the software that can either crash the system or if crafted correctly run a binary on the host.

So, as most people who check this list I no doubt know, not validating input is bad. Trusting the web as you have a piece of custom software that is closed source and a belief that users are all nice is bad.

Regards,

Craig Wright GSE-Compliance

PS for DMCA compliance reasons I would state that I was not reversing the software, but rather inputting unusual coffee recipes that had a strange binary flavour

Craig Wright

Manager, Risk Advisory Services

Direct : +61 2 9286 5497

Craig.Wright@bdo.com.au

+61 417 683 914

BDO Kendalls (NSW-VIC) Pty. Ltd.

Level 19, 2 Market Street Sydney NSW 2000

GPO BOX 2551 Sydney NSW 2001

Fax +61 2 9993 9497

http://www.bdo.com.au/