Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Поисковик ZoomEye раскрывает пароли тысяч видеорегистраторов Dahua

Поисковик включает в результаты выдачи кеш учетных данных для десятков тысяч устройств.

Поисковая система ZoomEye (поисковый движок для обнаружения IoT-устройств) включает в результаты выдачи кеш учетных данных для десятков тысяч видерегистраторов производства компании Dahua Technology. По словам эксперта NewSky Security Анкита Анубхава (Ankit Anubhav), обратившего внимание на проблему, все логины и пароли относятся к устройствам Dahua с устаревшей версией прошивки, подверженной уязвимости пятилетней давности.

Речь идет об уязвимости CVE-2013-6117, обнаруженной в 2013 году. Воспользовавшись ею, атакующий может подключиться к TCP-порту 37777 на устройстве и отправить специально сформированный пакет. Получив пакет, устройство возвращает ответ с незашифрованными учетными данными DDNS. Хотя производитель давно исправил уязвимость, многие владельцы до сих пор не обновили свое оборудование.

Однако проблема оказалась намного хуже. Злоумышленнику даже не требуется эксплуатировать уязвимость - поисковый движок ZoomEye предоставляет возможность получить пароли и логины в незашифрованном виде. Эксперт попытался связаться с командой ZoomEye, однако та никак не отреагировала на сообщения.

Журналисты ресурса Bleeping Computer провели собственный эксперимент. При поиске с помощью ZoomEye, они нашли более 15,8 тыс. видеорегистраторов Dahua с установленным паролем «admin», свыше 14 тыс. устройств использовали пароль «123456», еще 600 - «password». В общей сложности журналисты обнаружили порядка 30 тыс. устройств Dahua с устаревшей версией прошивки.

Дата: 2018-07-16 07:40:38

Источник: http://www.securitylab.ru/news/494475.php



[Перевод] Может ли хакер заблокировать Ла-Манш?

w0d82kj6awpkz9uzin-vwevm7pg.jpeg

Оказывается, судоходные маршруты подвержены серьезному риску со стороны хакеров: устаревшие ИТ-системы на борту кораблей в сочетании с современными IoT-устройствами дают кибер-преступникам шансы на успех.

Обновления экосистем безопасности в судоходной отрасли, похоже, потерялись где-то в пучинах мирового океана. В открытом море все еще применяются инструменты и меры безопасности, которые в других отраслях устарели еще несколько лет назад, а это означает, что суда могут быть ограблены, взломаны и даже потоплены. Суда, которые традиционно были изолированы, теперь же, благодаря Интернету вещей и развитию информационных технологий, всегда находятся в онлайне с помощью соединений VSAT, GSM/LTE и WiFi и имеют комплексные электронные системы навигации.
idhqufbjqpeey55bh7rk9odab2u.png

Исследование Pen Test Partners (часть из представленных в нем наработок было продемонстрировано на Infosecurity Europe) показало, как легко можно получить доступ к кораблю. Некоторые из представленных методов доступа вызывают серьезное беспокойство: открытые терминалы спутниковой связи, пользовательские интерфейсы, доступные через незащищенные протоколы, учетные данные, установленные по умолчанию и никогда не изменявшиеся… Этот список можно продолжать еще долго. В этой отрасли успешная кибер-атака будет иметь огромные экономические и коммерческие последствия, поскольку морской транспорт по всему миру перевозит товары на миллиарды евро.

Спутниковая связь: угроза в движении


Благодаря Shodan, поисковику для подключенных IoT-устройств, исследователи Pen Test, проведя различные расследования, обнаружили, что конфигурации некоторых спутниковых антенных систем были легко идентифицируемы через старую прошивку или неавторизованные соединения. Чтобы получить доступ к системам, и в конечном итоге взломать их, в ряде случаев достаточно было использовать учетные данные, установленные по умолчанию, или простые комбинации типа «admin/1234».

czbxynb_0_pc8qfbm9uyc5qam6y.jpeg

В рамках данного исследования специалисты, по сути, создали трекер для отслеживания уязвимых кораблей, связав данные спутникового терминала с GPS-данными о местоположении корабля в реальном времени: ptp-shiptracker.herokuapp.com. Конечно, данные, которые показываются на этом сайте, намеренно не обновляются для того, чтобы они не могли быть использованы хакерами для проведения реальных атак.

Аппаратный взлом спутникового терминала


Исследователи Pen Test Partners применили все свои наработки в области безопасности IoT-устройств, в автомобильной сфере и в вопросах безопасности SCADA-оборудования, к спутниковому терминалу Cobham (Thrane & Thrane) Fleet One. Перед проведением тестирования они проверили результаты аналогичных проверок в открытом доступе, однако не смогли найти какие-либо материалы. Оборудование очень дорогое, возможно, этим объясняется отсутствие подобных тестов раньше.

5ljbywzox16n_v_b_b-wt0w7muy.png

Итак, во-первых, они обнаружили, что интерфейсы администратора использовали telnet и HTTP. Также было установлено, что прошивка не имела подписи, а вся проверка валидации была просто по CRC.

Во-вторых, исследователи установили, что в результате определенных действий можно редактировать все веб-приложение, запущенное на терминале. И тут уже возможны разные варианты для атаки.

Кроме того, не было защиты от отката прошивки. Это означает, что хакер, имея определенный доступ, может повысить свои привилегии, установив более старую уязвимую версию прошивки.

Наконец, исследователи нашли пароли к администраторскому интерфейсу, встроенные в «конфигах», хэшированные с MD5.

Как видите, вряд ли тут имеется тщательная защита! Но простая установка сложного администраторского пароля способна значительно усложнить доступ хакеров, даже несмотря на указанные недостатки безопасности. Исследователи сообщили, что все эти нарушения были отправлены в Cobham для их анализа производителем.

ECDIS прокладывает курс к катастрофе


Электронная картографическая и информационная система ECDIS (Electronic Chart Display and Information System) – это электронная система, используемая кораблями для навигации, и она также предупреждает капитана судна о любых опасностях по курсу корабля. Данный инструмент, который содержит картографическую и навигационную информацию, является альтернативой старым морским картам, которые не предлагают информацию в реальном времени. По результатам тестирования свыше 20 различных систем ECDIS, аналитики обнаружили, что большинство из них использовали очень старые версии операционных систем (некоторые были с Windows NT от 1993 года), а встроенные конфигурационные интерфейсы имели крайне низкий уровень защиты.

Таким образом, исследователи показали, что кибер-злоумышленники могли бы вызвать крушение корабля, получив доступ к ECDIS и перенастроив базу данных для изменения размеров корабля. Если корабль оказывается другого размера (шире или длиннее), чем он есть на самом деле, то электронные системы будут предлагать некорректную информацию для экипажей других, близлежащих кораблей. Они также показали, что хакеры могли бы вызвать столкновение, фальсифицируя положение корабля, которое отображается на GPS-ресивере. Это может показаться неправдоподобным, но в случае особенно загруженных судоходных маршрутов или в местах с плохой видимостью фальсификация подобного рода может реально привести к катастрофе. Плюс необходимо учитывать и человеческий фактор: молодые экипажи слишком часто «зацикливаются» на данных с мониторов, полностью полагаясь на электронные системы, вместо того, чтобы почаще смотреть в окно.

Исследователи рассмотрели один интересный пример с кораблем, на котором был плохо защищенный конфигурационный интерфейс. С его помощью можно было бы «перенести» лодку, подменив положение GPS-ресивера на корабле. Это не GPS-спуфинг: сама система ECDIS говорит, что GPS находится в другом положении. Такой прием похож на то, словно ввели смещение GPS (хотя, исследователи утверждают, что они могли бы сделать и это!). Вот пример того, как корабль «прыгает» с одной стороны гавани Дувра в другую:

1vnpa-r4kzbspgoikdlmt6dre80.png

yrye9ahamh0y_c1upsreq1b0c18.png

Даже если уязвимости, показанные аналитиками, не используются таким экстремальным образом, крайне важно знать, что недостатки безопасности кораблей могут привести к существенному ущербу как для национальных отраслей промышленности, так и для морской инфраструктуры, включая порты, каналы и доки. Аналитики подчеркнули, что используя ECDIS, также можно получить доступ к системам, которые предупреждают капитанов кораблей о возможных сценариях столкновения. Контролируя эти системы предупреждения о столкновениях, злоумышленники могут перекрыть такие важные судоходные артерии как Ла-Манш, поставив под угрозу экспорт и импорт целого ряда стран.

ah6t-5-gv7y1hwsm3zisakqdjn8.png

Исследователи говорят, что они могут перенастроить ECDIS таким образом, чтобы в пределах километра от корабля мог «появиться» другой корабль. Дело в том, что ECDIS передает данные в AIS-трансивер – это специальная система, которая используется на кораблях для избежания столкновения друг с другом. Поэтому внеся изменения в выходные данные ECDIS, используя уязвимый конфигурационный интерфейс, у корабля могут измениться его размеры и местоположение.

Системы AIS на других кораблях будут предупреждать капитанов о возможном столкновении. А теперь представьте: загруженный канал Ла-Манш с ограниченной видимостью. Вряд ли в такой ситуации разумный капитан будет продолжать движение своего огромного судна с тысячами тонн груза, в то время как у него постоянно звучит сигнал тревоги от AIS. Результат: судоходное движение в Ла-Манше будет остановлено на неопределенное время. А это уже влечет ущерб для судоходной компании, грузоотправителей и т.д. по всей цепочке вплоть до конечного покупателя.

Идем дальше: взлом сообщений NMEA 0183


Еще одна техника заключается в эксплуатации последовательных сетей (serial networks) на борту, которые контролируют Operation Technology (OT). Ethernet и последовательные сети зачастую «соединены» в нескольких точках, включая GPS, спутниковый терминал, ECDIS и др.

OT-системы используются для контроля работы шестерни управления рулем, двигателей, балластных насосов и много чего другого. Они «общаются» с помощью сообщений NMEA0183.

gi3b4dgz8om8pwau1uo4r_ifcta.png

Вся проблема в том, что у этих сообщений нет аутентификации, шифрования или проверки: все идет обычным текстом! Поэтому все, что нужно сделать, реализовать “man-in-the-middle” и изменить данные. Опять же, речь не идет о GPS-спуфинге, который хорошо известен и легко обнаруживается. Исследователи говорят о том, что с помощью данной техники можно «встраивать» малозаметные ошибки, чтобы медленно, но верно сбить корабль с курса.

Если на корабле включен автопилот, то можно изменить команду руля, изменив команду автопилота GPS следующим образом:

bjdnwpnxi8upa1ubtpdhvmksgci.png

Измените R на L (т.е. изменить команду с правого руля на левый!), а затем измените 2 байта контрольной суммы XOR в конце.

Простые решения для сложных систем


Помимо обновления систем и обеспечения того, чтобы конфиденциальная информация не раскрывалась в сети, судоходная отрасль должна также поддерживать адекватный уровень защиты, который необходим для Интернет-устройств, как мы рассмотрели в случае с системами спутниковой связи. Для обеспечения конфиденциальности соединения, на таких устройствах должны быть установлены протоколы TLS (Transport Layer Security), т.к. сбой всего лишь на одном устройстве может скомпрометировать безопасность всей сети.

Аналитики сообщили, что первым шагом для смягчения большинства проблем, упоминаемых в их исследовании, должно быть использование сложных паролей для профилей администраторов и обязательное изменение учетных данных, установленных по умолчанию. Чтобы избежать серьезных проблем, таких как диверсия и вредительство, гибель судна и перевозимых им товаров, столкновения и потеря инфраструктуры, крайне важно иметь системы защиты для всего периметра сети, включая транспортировку товаров, чтобы внедрить современный уровень информационной безопасности во всех международных водах.

Появление постоянно действующих спутниковых соединений подвергло судоходство хакерским атакам. Поэтому судовладельцам и операторам необходимо быстро решить эти проблемы, иначе станет все больше и больше инцидентов безопасности в судоходстве. В результате этого то, что мы можем сейчас наблюдать в кино, станет реальностью на океанских линиях.

// По материалам

Дата: 2018-07-16 07:34:00

Источник: https://habr.com/post/417271/



В защитных реле Siemens SIPROTEC обнаружены опасные уязвимости

Проблемы позволяют злоумышленнику добиться отказа в обслуживании путем отправки специально сформированного пакета.

Компания Siemens сообщила об обнаружении в защитных реле SIPROTEC двух опасных уязвимостей, присутствующих в коммуникационном модуле EN100.

Устройства SIPROTEC представляют собой многофункциональные реле для управления, защиты и автоматизации магистральных линий и электрических подстанций. Для соединений по протоколам IEC 61850, PROFINET IO, Modbus, DNP3 и IEC 104 в данных продуктах используется Ethernet-модуль EN100.

Как сообщили исследователи из ScadaX, независимой группы экспертов, специализирующихся на защите автоматизированных систем управления технологическими процессами и IoT-устройств, в модулях EN100 и SIPROTEC 5 существуют две уязвимости, которые могут быть проэксплуатированы злоумышленником путем отправки специально сформированных пакетов на TCP-порт 102 целевого устройства. Успешная эксплуатация проблем позволяет добиться отказа в обслуживании (DoS) сетевого функционала устройства. Восстановление полноценной работы реле необходимо проводить вручную, отметили представители Siemens. Для успешной атаки злоумышленнику необходим доступ к сети целевой организации. Эксплуатация уязвимостей осуществляется по протоколу IEC 61850-MMS.

Уязвимости схожи между собой, однако одна из них (CVE-2018-11451), классифицирована как более опасная, в то время как вторая проблема (CVE-2018-11452), затрагивающая модуль EN100, имеет «среднюю степень опасности». По словам представителей Siemens, в реле SIPROTEC 5 присутствует только более серьезная уязвимость.

Siemens выпустила обновления прошивки для некоторых уязвимых устройств. Пользователям рекомендуется заблокировать доступ к порту 102 с помощью межсетевого экрана для предотвращения атак на модели устройств, которые еще не получили обновления.

Это уже не первый случай обнаружения в реле от компании Siemens проблем, позволяющих добиться отказа в обслуживании. Ранее уязвимость CVE-2015-5374 в реле SIPROTEC была проэксплуатирована хакерской группировкой Sandworm в ходе кибератак на энергетический сектор Украины.

Дата: 2018-07-16 07:30:00

Источник: http://www.securitylab.ru/news/494474.php



Белгородец оштрафован на 40 тыс. рублей за 545 атак на сайт ФСБ

Мужчина пытался найти уязвимости в официальном интернет-ресурсе спецслужбы.

Октябрьский районный суд Белгорода обязал местного жителя выплатить 40 тыс. рублей в качестве штрафа за 545 хакерских атак на официальный сайт ФСБ.

По версии следствия, с помощью вредоносных инструментов, предназначенных для несанкционированного уничтожения, блокирования, модификации или копирования компьютерной информации, подозреваемый с целью выявления уязвимостей осуществил 545 попыток внедрения SQL-кода на сайт ФСБ. Суд расценил его действия как хакерскую атаку.

Дело в отношении подсудимого расследовало областное управление ФСБ по статье 273.1 УК РФ (создание или использование вредоносных компьютерных программ). В связи с отсутствием ущерба от его действий и претензий со стороны ФСБ суд удовлетворил ходатайство следователя о прекращении уголовного дела и назначил мужчине штраф в размере 40 тыс. рублей, которые он должен выплатить до 12 августа 2018 года. В случае отсутствия оплаты в срок, уголовное дело будет возобновлено.

Дата: 2018-07-16 06:48:14

Источник: http://www.securitylab.ru/news/494473.php



Великобритания и Эквадор устали от Ассанжа

Страны тайно договариваются о высылке основателя WikiLeaks из посольства.

Власти Великобритании и Эквадора проводят тайные переговоры о выдворении основателя WikiLeaks Джулиана Ассанжа из посольства в Лондоне, пишет британское издание The Sunday Times.

Как отмечается, переговоры начались за несколько недель до прибытия в Лондон президента Эквадора Ленина Морено, ранее назвавшего основателя WikiLeaks «хакером», «унаследованной проблемой» и «камешком в обуви».

Ассанж с 2012 года находится в посольстве Эквадора в Лондоне из-за опасений экстрадиции в США. Ранее президент Эквадора приказал снять дополнительную охрану с посольства страны в Великобритании, а в конце марта 2018 года правительство страны отключило Ассанжу интернет из-за политических высказываний.

За годы своего существования ресурс WikiLeaks неоднократно публиковал архивы документов, связанных с секретной информацией. К примеру, в 2016 году организация обнародовала украденные письма из переписки Барака Обамы и Джона Подесты в период перед президентскими выборами в США в 2008 году. В минувшем году WikiLeaks опубликовала серию документов, проливающих свет на хакерские инструменты, используемые Центральным разведывательным управлением США.

Дата: 2018-07-16 05:49:11

Источник: http://www.securitylab.ru/news/494467.php



В уведомления безопасности GitHub добавлена поддержка проектов на Python

При обнаружении уязвимой библиотеки, рядом с ней будет отображаться предупреждение «Известная уязвимость системы безопасности».

Администрация портала GitHub заявила о добавлении ряда уведомлений безопасности. Разработчики будут предупреждены о наличии известных уязвимостей в пакетах Python, используемых их приложениями.

В минувшем году GitHub представил новую функцию под названием график зависимостей, в которой отображаются библиотеки, используемые проектом. Позднее администрация портала расширила функционал, добавив предупреждения для разработчиков, если одна из библиотек, используемых в проекте, имеет известную уязвимость.

График зависимости и уведомления безопасности первоначально работали только для проектов на Ruby и JavaScript, однако, как и было обещано ранее, GitHub добавила поддержку Python.

«Мы решили запустить новую платформу, включив в нее несколько недавно обнаруженных уязвимостей. В ближайшие несколько недель мы добавим в нашу базу данных более старые уязвимости в Python», - отметила администрация портала.

Уведомления безопасности по умолчанию включены для общедоступных репозиториев, однако владельцам приватных репозиториев нужно включать данную функцию вручную.

При обнаружении уязвимой библиотеки, на графике зависимостей рядом с ней будет отображаться предупреждение «Известная уязвимость системы безопасности». Пользователи также могут настраивать оповещения по электронной почте, web-уведомления и предупреждения через пользовательский интерфейс.

Дата: 2018-07-16 05:40:00

Источник: http://www.securitylab.ru/news/494466.php



Обзор инцидентов безопасности за период с 9 по 15 июля

Краткий обзор главных событий в мире ИБ за прошлую неделю.

Прошедшая неделя ознаменовалась сразу несколькими значительными инцидентами. В частности, сотрудники Службы безопасности Украины отразили кибератаку на украинскую хлорпереливную станцию, являющуюся объектом критической инфраструктуры страны. В течение нескольких минут системы управления технологическими процессами и системы обнаружения признаков аварийных ситуаций предприятия были поражены вредоносным ПО VPNFilter. Данная кибератака потенциально могла привести к срыву технологических процессов и возможной аварии.

9 июля представители криптовалютной биржи Bancor сообщили о кибератаке, в результате которой неизвестные хакеры украли из кошелька организации $13,5 млн в криптовалюте ETH ($12,5 млн) NPXS ($1 млн). Изначально преступники попытались вывести еще и 3,2 млн монет BNT ($10 млн), однако администрации биржи удалось заморозить украденную криптовалюту BNT.

Ливанская полиция арестовала трех человек по подозрению в совершении самой масштабной кибератаки в истории страны, в ходе которой жертвами взлома стало значительное количество ливанских компаний и организаций, в том числе агентства безопасности, правительственные ведомства, сотовые телекоммуникационные компании и крупный интернет-провайдер Ogero Telecom, контролируемый государством.

На минувшей неделе неизвестный хакер получил доступ к учетной записи разработчика менеджера пакетов npm и внедрил вредоносный код в популярную библиотеку JavaScript. Код был предназначен для хищения учетных данных пользователей.

Установленные по умолчанию пароли продолжают представлять существенный риск утечки данных. Примечательно, что даже на военных объектах не уделяется должного внимания безопасности. К примеру, благодаря дефолтному FTP-паролю, установленному на маршрутизаторе Netgear Nighthawk R7000, который бы расположен на одной из американских авиабаз, хакеру удалось проникнуть в сеть базы, взломать компьютер одного из старших офицеров и похитить техническую документацию по обслуживанию ударного дрона MQ-9 Reaper.

Неизвестные злоумышленники взломали официальный сайт популярного бесплатного аудио и видеоредактора VSDC и подменили ссылки на скачивание программного обеспечения. После перехода по скомпрометированной ссылке на компьютер пользователя загружаются инфостилер, троян для удаленного доступа и кейлогер.

Исследователи безопасности из компании Eset сообщили о компрометации сайта программы для удаленного администрирования Ammyy Admin. Через сайт программы наряду с легитимным ПО распространялся троян Win32/Kasidet.

Прошедшая неделя не обошлась без сообщений о пресловутых «русских хакерах». По данным Федеральной службы защиты конституции Германии (Bundesamt für Verfassungsschutz), хакерская группировка Sandworm, предположительно связанная с правительством РФ, с августа 2017 года по июнь 2018 года совершила серию кибератак на ряд немецких СМИ, а также организацию, занимающуюся исследованиями в области химического оружия.

Дата: 2018-07-16 04:59:29

Источник: http://www.securitylab.ru/news/494465.php



Поисковик раскрывает ключи доступа к видеокамерам

В результатах поисковой выдачи специализированного сервиса ZoomEye обнаружены кэшированные пароли к десяткам тысяч цифровых видеорегистраторов (DVR) производства Dahua Technology.

Комментируя свою находку для Bleeping Computer, ведущий эксперт NewSky Security Анкит Анубхав (Ankit Anubhav) уточнил, что ключи, попавшие в открытом виде в выдачу IoT-поисковика, обеспечивают доступ к DVR с устаревшей прошивкой, содержащей уязвимость пятилетней давности.

Брешь CVE-2013-6117 в продуктах Dahua позволяет удаленно и в обход аутентификации получить конфиденциальные данные, в том числе идентификаторы пользователя. Для этого нужно всего лишь инициировать TCP-соединение с устройством через сырой сокет и подать особый запрос на порт 37777. В ответ уязвимый DVR вернет пароль к службе SMTP, DDNS или FTP в открытом виде. Таким же образом можно получить уйму другой информации, в том числе имя пользователя DVR и легко угадываемый хеш пароля.

Эту уязвимость в устройствах Dahua обнаружил и раскрыл в 2013 году ИБ-исследователь Джейк Рейнолдс (Jake Reynolds) из Depth Security. О том, что брешь до сих пор можно использовать для получения доступа к DVR, Анубхав узнал от автора BrickerBot — ориентированной на Linux программы, выводящей из строя сетевые устройства и IoT. Как со временем выяснилось, этот деструктивный зловред был создан с целью привлечь всеобщее внимание к проблеме безопасности Интернета вещей и угрозе со стороны ботнетов, составленных из подобных объектов.

Dahua давно пропатчила CVE-2013-6117, однако многие владельцы DVR эту заплатку не поставили; более того, они и по сей день развертывают устройства с устаревшей прошивкой онлайн. Столь легкомысленное отношение к интернет-безопасности в наше время непростительно, однако в данном случае проблему усугубляет специфика индексации Dahua-устройств поисковой системой ZoomEye.

“Как оказалось, взломщику даже не нужно применять эксплойт, — пояснил Анубхав, беседуя с журналистом Bleeping Computer. — Когда ZoomEye сканирует порт 37777, она передает эти самые байты и кэширует ответ в открытом виде. В итоге хакер может просто зайти на ZoomEye, создать бесплатный аккаунт и выискивать в результатах учетные данные”.

Исследователь попытался связаться с операторами ZoomEye, чтобы те убрали пароли из поисковой выдачи или как-то их завуалировали, однако искомого отклика не получил. Запрос Bleeping Computer на эту тему тоже остался без ответа.

Журналисты провели быстрый поиск через ZoomEye и обнаружили в Интернете более 15,8 тыс. Dahua-устройств с паролем admin, свыше 14 тыс. — с паролем 123456 и более 600 — с password.

Дата: 2018-07-16 02:45:08

Источник: https://threatpost.ru/iot-search-engine-discloses-passwords-for-dahua-dvrs/27204/



Memoro - A Detailed Heap Profiler

memoro_1_memoro_screen.png

Memoro is a highly detailed heap profiler.

Memoro not only shows you where and when your program makes heap allocations, but will show you how your program actually used that memory.

Memoro collects detailed information on accesses to the heap, including reads and writes to memory and when they happen, to give you an idea of how efficiently your program uses heap memory.
Memoro includes a visualizer application that distills all this information into scores and indicators to help you pinpoint problem areas.

For more detailed information about how Memoro works, see here

Build & Install

Building the Instrumented compiler
First, you will need to build a local version of LLVM/Clang so you can compile your code with Memoro instrumentation. Pre-built releases are not yet available, but if enough people bug me perhaps I will host here.
Follow the LLVM/Clang build instructions here, but use the specific repositories listed below. Memoro is not yet in the LLVM/Clang dev branch.
It's recommended to use the git mirror repositories instead of SVN. For the main LLVM repo, the Clang repo, and the CompilerRT repo, use the Memoro versions:
LLVM
Clang
CompilerRT
These repos should default to branch r40_dev (Memoro is based off of LLVM release_40). Optionally compile with libcxx and libcxxabi.

Building the Visusalizer C++ lib
Clone this repo with git clone [email protected]:epfl-vlsc/memoro.git
Enter the directory.
$ cd memoro
Run npm install to make sure all JS dependencies are present. You will then need to build the C++ data processing addon. To do this, you may first need to install node-gyp (npm install -g node-gyp) Then,

cd cpp
node-gyp build --release --target=1.7.9 --arch=x64 --dist-url=https://atom.io/download/electron
cd ..
The target is the electon version that must match that used to run the main app. Adjust this if you need. Also adjust arch if you need, however I have not yet tested on non-*nix x64 systems. There is a Makefile as well that should work for most users.
Obviously, you will need a C++ compiler installed for node-gyp to use.

Running

Instrument and Run your Software
First, build the software you want to profile using the LLVM/Clang you have built earlier. Add the compiler flag -fsanitize=memoro to add instrumentation and optionally -fno-omit-frame-pointer to get nice stack traces. If you have a separate linking step, this may also need -fsanitize=memoro to ensure the Memoro/Sanitizer runtime is linked. It is recommended to use the LLVM symbolizer for stack traces, set env variable MEMORO_SYMBOLIZER_PATH to point to where llvm-symbolizer resides. Or just have it in your PATH.
Run your program. After completion, the Memoro runtime will generate two files, *.trace and *.chunks. These can be opened and viewed using the visualizer.

Use the Memoro Visualizer
After building the C++ addon, the app can be run directly from the repo directory

electron .
File->Open or Cmd/Ctrl-O to open, navigate to and select either the trace or chunk file.
Happy hunting for heap problems :-)

Installing the Visualizer
Use electron-packager to gather and export all code and assets into an application package.

electron-packager . --overwrite --platform=<platform> --arch=x64 --electron-version=1.7.9 --icon=assets/icons/icon64.icns --prune=true --out=release-builds
Again, adjust the platform, arch, and electron version if necessary.

Дата: 2018-07-15 22:10:15

Источник: https://www.kitploit.com/2018/07/memoro-detailed-heap-profiler.html



Daily Blog #423: Sunday Funday 7/15/18

Hello Reader,
          Windows 10 keeps on changing and with it new features come along that we care about and old features we were excited about disappear. Let's see if you can solve this missing artifacts mystery in this weeks Sunday Funday.

The Prize:
$100 Amazon Giftcard

The Rules:

  1. You must post your answer before Friday 7/20/18 7PM CST (GMT -5)
  2. The most complete answer wins
  3. You are allowed to edit your answer after posting
  4. If two answers are too similar for one to win, the one with the earlier posting time wins
  5. Be specific and be thoughtfu
  6. Anonymous entries are allowed, please email them to dcowen@g-cpartners.com. Please state in your email if you would like to be anonymous or not if you win.
  7. In order for an anonymous winner to receive a prize they must give their name to me, but i will not release it in a blog post

The Challenge:
Cortana used to have a database that kept track of location information and other relevant DFIR data. As of a year ago the database has changed and the location data is nowhere to be found. For this weeks challenge please answer the following questions:
1. Where does Cortana keep it's data now
2. What data does Cortana retain now 
3. Is there any location history left from Cortana

Дата: 2018-07-15 17:26:50

Источник: http://www.hecfblog.com/2018/07/daily-blog-423-sunday-funday-71518.html