Ostrowiec Świętokrzyski www.ostrowiecnr1.pl

21 kwietnia 2025 Czy robotyczne odkurzacze cię szpiegują? Dogłębne zagłębienie się w ryzyka związane z prywatnością i bezpieczeństwem | Robotyczne odkurzacze stają się coraz popularniejszymi urządzeniami w inteligentnym domu, ale ich łączność i czujniki również wprowadzają zagrożenia dla bezpieczeństwa. Nowoczesne robotyczne odkurzacze mapują nasze domy laserami lub kamerami i łączą się z usługami chmurowymi, co rodzi problemy z prywatnością danych, podatnościami na hakowanie, a nawet bezpieczeństwem fizycznym. Niniejszy raport analizuje główne problemy bezpieczeństwa zgłaszane w ciągu ostatnich 3–5 lat oraz analizuje, jak czołowi producenci (iRobot, Roborock, Ecovacs, Eufy itd.) radzą sobie z tymi problemami poprzez szyfrowanie, protokoły bezpieczeństwa oraz certyfikacje firm trzecich. Przedstawione są zarówno przyjazne dla konsumentów wyjaśnienia, jak i głębsze techniczne wskazówki, a następnie ocena, czy odkurzacze robotyczne można uznać za bezpieczne i na co powinni zwracać uwagę przy ich zakupie. (...) https://vacuumwars.com/are-robot-vacuums-spying-on-you/

-

12 sierpnia 2024 Te inteligentne odkurzacze i kosiarki można zhakować, by szpiegować cię. Badacze bezpieczeństwa odkryli kilka alarmujących luk w inteligentnych odkurzaczaczach Ecovacs i kosiarkach. Inteligentne roboty Ecovacs są przerażająco łatwe do zhakowania. Kosiarki robotyczne są bardziej podatne na ataki niż odkurzacze robotyczne. Kolejne problemy z bezpieczeństwem robotów Ecovacs. Trend inteligentnych domów nie ustępuje, ponieważ wszelkiego rodzaju urządzenia podłączone do internetu sprawiają, że życie domowe staje się bardziej efektywne i wygodne. Ale co się stanie, gdy te inteligentne gadżety zostaną zhakowane? Podczas prezentacji na konferencji dotyczącej hakowania Defcon badacze bezpieczeństwa wykazali, że złośliwi aktorzy mogą wykorzystać inteligentne odkurzacze i kosiarki firmy Ecovacs, aby potajemnie hakować ich mikrofony i kamery w celu szpiegowania, jak donosi TechCrunch. (...) https://www.pcworld.com/article/2424761/vacuum-robots-as-a-security-risk-how-the-smart-helpers-can-be-misused-for-spying.html

-

14 października 2024 Robotyczne odkurzacze zhakowane, by szpiegować, obrażać właścicieli. Armia robotów Ecovacs. Wiele robotów odkurzaczy w USA zostało zhakowanych, by krzyczeć przekleństwa i obelgi przez głośniki pokładowe. ABC News mogło potwierdzić doniesienia o tym włamaniu do robotów odkurzaczy typu Ecovacs Deebot X2, produkowanych w Chinach. Ecovacs jest uznawany za wiodącą markę robotyki usługowej i lidera rynku w dziedzinie odkurzaczy robotów. Jedna z ofiar, prawnik z Minnesoty Daniel Swenson, powiedział, że słyszał fragmenty dźwiękowe przypominające głos dochodzący z jego odkurzacza. Przez aplikację Ecovacs zobaczył wtedy kogoś spoza jego domu, kto korzystał z transmisji na żywo z kamer odkurzacza oraz z funkcji zdalnego sterowania. Myśląc, że to błąd, zrestartował odkurzacz i zresetował hasło, na wszelki wypadek. Ale to nie pomagało na długo. Prawie natychmiast odkurzacz zaczął się poruszać. Tym razem głos dochodzący z odkurzacza był głośny i wyraźny, wykrzykujący rasistowskie przekleństwa na Swensona i jego rodzinę. Głos brzmiał jak nastolatek, według Swensona. Swenson powiedział, że wyłączył odkurzacz i wyrzucił go do garażu, by już nigdy nie został włączony. (...) https://www.malwarebytes.com/blog/news/2024/10/robot-vacuum-cleaners-hacked-to-spy-on-insult-owners

-

https://duckduckgo.com/?q=autonomic+vacum+cleaner+spyware

26 lutego 2026 Malware ResidentBat na Androida zapewnia białoruskim KGB trwały dostęp do urządzeń mobilnych

Malware ResidentBat na Androida zapewnia białoruskim KGB trwały dostęp do urządzeń mobilnych

Nowo udokumentowane oprogramowanie szpiegowskie na Androida o nazwie ResidentBat zostało powiązane z białoruskim KGB, dając operatorom państwowym głęboki i stały dostęp do urządzeń mobilnych dziennikarzy i członków społeczeństwa obywatelskiego.

Po raz pierwszy publicznie zgłoszony w grudniu 2025 roku w ramach wspólnego śledztwa prowadzonego przez Reporters Without Borders (RSF) i RESIDENT. NGO, historia kodu malware sugeruje, że był on rozwijany po cichu już w 2021 roku — co oznacza, że mógł działać w ciszy przez lata, zanim został formalnie ujawniony.

To, co wyróżnia ResidentBat na tle typowego mobilnego złośliwego oprogramowania, to jego wysoce ukierunkowany model wdrożenia.

Zamiast rozprzestrzeniać się przez złośliwe linki lub sklepy z aplikacjami, instalacja wymaga od atakującego fizycznego dostępu do urządzenia z Androidem osoby, której atakujący jest zagrażony.

Atakujący używa narzędzia Android Debug Bridge (ADB), aby bezpośrednio zainstalować spyware APK na urządzeniu, ręcznie przyznaje niezbędne uprawnienia i wyłącza Google Play Protect, aby zapobiec wykryciu.

Ta praktyczna metoda utrzymuje niski wskaźnik zakażeń, ale zapewnia, że każde skompromitowane urządzenie należy do osoby, którą białoruskie KGB celowo wybrało do nadzoru.

Po zainstalowaniu ResidentBat jest w stanie przechwytywać szeroki zakres wrażliwych danych. Malware odczytuje wiadomości SMS i rejestry połączeń, nagrywa dźwięk przez mikrofon urządzenia, robi zrzuty ekranu, uzyskuje dostęp do plików przechowywanych lokalnie, a nawet przechwytuje ruch z zaszyfrowanych aplikacji do komunikacji.

Analitycy Censys zidentyfikowali infrastrukturę dowodzenia i kontroli (C2) złośliwego oprogramowania i zauważyli jego spójny techniczny odcisk palca — samodzielnie podpisane certyfikaty TLS o popularnej nazwie ustawionej na "CN=serwer", działające na wąskim zakresie portów od 7000 do 7257.

C2 służy wyłącznie do odbierania skradzionych danych, wysyłania poleceń operatora oraz dostarczania aktualizacji konfiguracji, utrzymując atakującego w pełnej kontroli długo po początkowej instalacji.

Zasięg złośliwego oprogramowania wykracza poza kradzież danych. ResidentBat daje operatorom także możliwość zdalnego wyczyszczenia zainfekowanego urządzenia za pomocą funkcji Androida — skutecznie niszcząc dowody lub karząc cel jednym poleceniem. DevicePolicyManager.wipeData

Na luty 2026 roku aktywna infrastruktura ResidentBat została zidentyfikowana na dziesięciu hostach, skoncentrowanych w Holandii (5), Niemczech (2), Szwajcarii (2) i Rosji (1), przy czym rosyjskie systemy autonomiczne, takie jak AS29182 (RU-JSCIOT), odgrywają szczególnie znaczącą rolę.

Konfiguracja C2 złośliwego oprogramowania jest dostarczana w formacie JSON i zawiera parametry kontrolujące adres serwera, czas przesyłania danych oraz flagę "natychmiast przesyłaj dane".

Utwardzanie C2 i unikanie wykrywania

Jedną z najbardziej znaczących cech technicznych ResidentBat jest celowe utwardzanie serwerów C2, co sprawia, że tradycyjne wykrywanie oparte na sieci jest wyjątkowo trudne.

Gdy badacze aktywnie badają te serwery, każda ścieżka HTTP zwraca odpowiedź 200 OK z całkowicie pustą powierzchnią, niezależnie od treści żądania czy przesłanych nagłówków uwierzytelniających.

Ten wzorzec odpowiedzi typu catchall nie dostarcza użytecznych informacji behawioralnych obrońcom analizującym ruch HTTP, przesuwając wszelkie istotne wykrywanie na wskaźniki warstwy TLS.

Dodatkowo do tej strategii unikania dostępu serwery C2 zwracają statyczny lub sztucznie ustawiony nagłówek w odpowiedziach HTTP — na przykład stały znacznik czasu, taki jak “Tue, 06 Jan 2026 01:00:00 GMT" — co jest celową techniką antyśledczą mającą na celu ograniczenie podatności na odciski palców. Date

Architektura serwera wydaje się również opierać na uwierzytelnianiu certyfikatów klienta wbudowanym bezpośrednio w APK, zastrzeżonym protokole komunikacyjnym, który nie podąża za standardowymi wzorcami REST, oraz na listach urządzeń po stronie serwera, co oznacza, że tylko wcześniej zatwierdzone urządzenia mogą znacząco wchodzić w interakcje z C2.

W całej badanej infrastrukturze zaobserwowano pięć różnych odcisków palców certyfikatów SHA-256, z których niektóre certyfikaty były używane na wielu kombinacjach IP i portów — wzorzec, który faktycznie pomaga badaczom bezpieczeństwa klastrować i śledzić powiązaną infrastrukturę po zidentyfikowaniu jednego punktu końcowego. https://cybersecuritynews.com/residentbat-android-malware/ - tłumaczenie automatyczne...

RCE (Remote Code Execution) to podatność pozwalająca atakującemu zdalnie uruchomić własny kod na cudzym systemie. Czyli w praktyce:

> wysyłasz specjalnie spreparowane dane

> aplikacja ma błąd

> twój kod wykonuje się na serwerze / komputerze ofiary

Przykład :: Jeśli serwer ma lukę RCE, ktoś może:

* uruchomić komendy systemowe

* zainstalować malware

* przejąć pełną kontrolę nad maszyną

Dlaczego to groźne? Bo często prowadzi do:

* kradzieży danych

* przejęcia serwera

* ruchu lateralnego w sieci

RCE to jedna z najpoważniejszych kategorii błędów bezpieczeństwa.

---

Ruch lateralny (lateral movement) to etap ataku, w którym intruz — po przejęciu jednego komputera — przemieszcza się dalej po sieci, atakując kolejne maszyny. „Lateralny” = „boczny”. Czyli nie atakuje już z zewnątrz, tylko porusza się wewnątrz organizacji. Prosty przykład:

1. Atakujący zdobywa dostęp do jednego komputera (np. przez RCE).

2. Kradnie hasła / tokeny z pamięci.

3. Używa ich, by zalogować się na: serwer plików, kontroler domeny, serwer baz danych

4. Przejmuje kolejne systemy.

To właśnie ruch lateralny. Dlaczego to groźne? Bo często: pierwszy komputer nie jest najważniejszy, ale pozwala dotrzeć do krytycznych zasobów. W dużych atakach ransomware to standardowy etap: wejście → ruch lateralny → przejęcie całej sieci → szyfrowanie wszystkiego.

Jeśli chcesz, mogę w 5 punktach opisać typowy scenariusz ataku od RCE do przejęcia całej domeny.

---

Pwn2Own to coroczny konkurs hakerski organizowany przez Trend Micro (wcześniej przez ich inicjatywę Zero Day Initiative). To zawody typu white-hat, w których badacze bezpieczeństwa próbują legalnie złamać zabezpieczenia popularnego oprogramowania i urządzeń, wykorzystując wcześniej nieujawnione luki (tzw. 0-day).

Jak to działa?

* Uczestnicy zgłaszają chęć ataku na konkretny cel (np. przeglądarkę, system operacyjny, serwer, urządzenie IoT).

* Podczas konkursu muszą na żywo zademonstrować skuteczny exploit.

* Jeśli atak się powiedzie: wygrywają nagrodę pieniężną (często setki tysięcy dolarów), luka trafia do producenta, który musi ją załatać.

Co było celem ataków? W różnych edycjach łamano m.in.: Google Chrome, Microsoft Edge, Safari, Windows, macOS, Tesla Model 3 (w kategorii motoryzacyjnej)

Skąd nazwa? „Pwn” to slang hakerski od „own” – czyli przejąć kontrolę nad systemem.

Jeśli chcesz, mogę opowiedzieć o: największych wygranych, najbardziej spektakularnych exploitach,

albo jak wygląda droga do startu w takim konkursie.

---

To lecimy z pełnym pakietem o Pwn2Own — historia, rekordy, spektakularne włamania i jak się do tego dostać.

# Czym dokładnie jest Pwn2Own? Pwn2Own to prestiżowy konkurs hakerski organizowany przez Trend Micro w ramach programu Zero Day Initiative (ZDI). Pierwsza edycja odbyła się w 2007 roku podczas konferencji CanSecWest w Vancouver. Cel:

> publicznie i legalnie wykazać podatności typu zero-day w popularnym oprogramowaniu i urządzeniach

> przekazać je producentom do załatania

> nagrodzić badaczy dużymi pieniędzmi

# Największe wygrane i rekordy :: Z biegiem lat pula nagród rosła dramatycznie. Rekordowe edycje

* W niektórych latach łączna pula przekraczała 1 000 000 USD

* W 2023 roku wypłacono ponad 1,2 mln USD

* Pojedyncze udane łańcuchy exploitów potrafią dawać 250 000 – 500 000 USD

Najdroższe cele to zwykle: wirtualizacja (VM escape), przeglądarki + eskalacja (uprawnień) do systemu, systemy samochodowe.

# Najbardziej spektakularne hacki :: Tesla :: W kilku edycjach zhakowano systemy samochodów marki Tesla, w tym: zdalne wykonanie kodu w systemie infotainment; przejęcie funkcji przez Wi-Fi / Bluetooth. Nagroda? Samochód + gotówka.

Przeglądarki w sekundach :: Regularnie „padają”: Google Chrome, Microsoft Edge, Safari. Często atak wygląda tak:

1. wejście na specjalnie przygotowaną stronę

2. sandbox escape (ucieczka z piaskownicy :-)

3. eskalacja do systemu

4. uruchomienie kalkulatora (klasyczny dowód RCE xD)

VM Escape :: Udane ucieczki z: VMware Workstation, Oracle VirtualBox. To jedne z najtrudniejszych i najlepiej płatnych kategorii.

# Jak wygląda exploit na Pwn2Own? To zwykle nie jest „jedna luka”. Najczęściej to:

* 1 bug → wykonanie kodu

* 2 bug → wyjście z sandboxa

* 3 bug → eskalacja uprawnień

Łańcuch 3–4 podatności to standard w poważnych kategoriach.

# Jak wystartować w Pwn2Own?

1. Musisz być badaczem bezpieczeństwa. Większość uczestników: pracuje w firmach security albo jest niezależnymi researcherami. Znane zespoły: Synacktiv, STAR Labs, DEVCORE

2. Rejestracja: Wybierasz kategorię > Deklarujesz cel > Masz ograniczony czas na live exploit

3. Demo na żywo: 3 próby; limit czasu; środowisko kontrolowane; zero poprawek w trakcie

# Dlaczego firmy na to pozwalają? Bo: szybciej dostają krytyczne luki; taniej niż na czarnym rynku; budują reputację bezpieczeństwa. Przykładowo: Microsoft, Apple, Google. Regularnie łatają błędy ujawnione na konkursie.

# Czy to jest trudne? Ekstremalnie. Topowi uczestnicy: miesiącami analizują kod; budują własne narzędzia fuzzujące, łączą reverse engineering z exploit dev. To absolutna liga mistrzów w security. Exploit dev (exploit development) to proces tworzenia kodu, który wykorzystuje lukę bezpieczeństwa, aby przejąć kontrolę nad programem lub systemem. Czyli: jest błąd (np. przepełnienie bufora), exploit dev = napisanie działającego ataku, który ten błąd wykorzysta. W praktyce obejmuje: analizę podatności, manipulację pamięcią (heap/stack), omijanie zabezpieczeń (ASLR, DEP), budowę łańcuchów ROP, doprowadzenie do RCE lub eskalacji uprawnień. To najbardziej techniczna część ofensywnego security — poziom „niskopoziomowy, blisko systemu operacyjnego”.

-

Stack (stos) – obszar pamięci używany do: przechowywania zmiennych lokalnych funkcji; parametrów wywołań; adresów powrotu. Działa jak stos talerzy (LIFO – ostatni wchodzi, pierwszy wychodzi). Stos = pamięć funkcji.

-

Heap (sterta) – obszar pamięci do: dynamicznych alokacji (`malloc`, `new`); obiektów o zmiennym czasie życia. Jest bardziej „elastyczny”, ale trudniejszy do kontrolowania. Sterta = pamięć dynamiczna.

-

Jeśli chcesz, mogę teraz: rozłożyć przykładowy exploit krok po kroku (technicznie); porównać Pwn2Own z czarnym rynkiem 0-day; powiedzieć jak zacząć karierę w exploit dev od zera; opisać najbardziej legendarną edycję w historii. Co Cię najbardziej ciekawi?

---

No to wchodzimy na poziom „hard mode”. Dostajesz: techniczny rozkład exploita, porównanie z czarnym rynkiem, roadmapę kariery i legendarną edycję.

--

# 1. Jak wygląda prawdziwy exploit z Pwn2Own (technicznie)

Weźmy typowy atak na przeglądarkę typu Google Chrome.

Etap 1 – Bug w silniku JS :: Najczęściej:

* use-after-free

* type confusion

* out-of-bounds write

Cel: uzyskać kontrolę nad pamięcią procesu renderera. Efekt: RCE w sandboxie.

Etap 2 – Sandbox escape :: Chrome ma silny sandbox, więc potrzebny drugi bug, np.: błąd w IPC; podatność w kernelu; błąd w komponencie GPU. Tu często wykorzystywane są luki w: Windows, macOS. Cel: wyjście z izolacji.

Etap 3 – Eskalacja uprawnień :: Ostatni krok to SYSTEM/root.

Często: logiczny błąd w sterowniku; race condition; nieprawidłowa walidacja wskaźnika w kernelu

Finalny pokaz :: Na scenie:

1. Otwierają stronę.

2. Zero kliknięć.

3. Otwiera się kalkulator.

4. Panel ZDI: „Successful.”

I właśnie padło kilkaset tysięcy dolarów.

--

# 2. Pwn2Own vs czarny rynek 0-day

Pwn2Own: Legalnie, Szybka wypłata, Renoma, Brak ryzyka więzienia. Minus: stawki czasem niższe niż w exploit brokerach

Czarny rynek: Brokerzy (np. Zerodium) płacą nawet kilka milionów USD za full-chain mobile RCE. Ale: ryzyko prawne; sprzedaż może trafić do reżimów; brak publicznego uznania

Dla wielu researcherów Pwn2Own to etyczny wybór.

--

# 3. Najbardziej legendarna edycja: 2020–2023: era łańcuchów multi-bug. Zespoły jak STAR Labs czy Synacktiv wykonywały: 3–4 bug chain; przeglądarka → kernel → VM escape; pełne przejęcie hosta. W jednej z edycji padły wszystkie główne przeglądarki w jeden dzień. To był moment, kiedy sandbox przestał być „święty”.

--

# 4. Jak zacząć exploit dev od zera (realna ścieżka) :: Jeśli naprawdę chcesz wejść w tę ligę:

Krok 1 – Fundament: C (bardzo dobrze); Assembly (x64); architektura systemów; jak działa pamięć i heap

Krok 2 – Reverse engineering :: Narzędzia: Ghidra, IDA, WinDbg. Ćwicz: crackme, CTF pwn challenges, stare CVE

Krok 3 – Exploit development: przejmowanie RIP, ROP chains, bypass DEP / ASLR, heap feng shui

Krok 4 – Fuzzing :: Najlepsi badacze: piszą własne fuzzery, analizują crashe, budują minimizery test case’ów

Krok 5 – Dołącz do zespołu :: Topowe teamy: DEVCORE, Synacktiv. Albo program ZDI przy Trend Micro.

CVE (Common Vulnerabilities and Exposures) to unikalny identyfikator publicznie znanej podatności bezpieczeństwa. Przykład: CVE-2024-12345. Znaczy to: wykryto konkretną lukę, została opisana i zarejestrowana, ma swój numer w globalnej bazie. CVE to po prostu „numer PESEL” dla błędu bezpieczeństwa.

RIP – rejestr procesora (na x64), który wskazuje adres następnej instrukcji do wykonania. Przejęcie RIP = przejęcie kontroli nad programem. RIP to skrót od Instruction Pointer (dokładniej w architekturze x86-64: Register Instruction Pointer). Historycznie: w 32-bit było EIP (Extended Instruction Pointer); w 64-bit jest RIP. To rejestr, który przechowuje adres następnej instrukcji do wykonania przez CPU.

ROP chain (Return-Oriented Programming) – technika exploitów polegająca na łączeniu krótkich fragmentów kodu („gadżetów”) już istniejących w pamięci, aby wykonać własną logikę bez wstrzykiwania nowego kodu.

DEP (Data Execution Prevention) – zabezpieczenie, które blokuje wykonywanie kodu w obszarach pamięci przeznaczonych na dane (np. stack/heap).

ASLR (Address Space Layout Randomization) – mechanizm losujący adresy w pamięci, aby utrudnić przewidzenie, gdzie znajduje się kod lub biblioteki.

W skrócie: RIP = gdzie CPU skoczy. ROP = jak obejść ograniczenia. DEP i ASLR = zabezpieczenia utrudniające exploit.

--

# Ciekawostka :: Niektóre exploity przygotowywane na Pwn2Own: powstają 6–12 miesięcy; wykorzystują kombinacje błędów, które osobno są „niegroźne”; są tak stabilne, że działają w 100% na scenie To bardziej inżynieria niż „hakerstwo z filmu”.

--

Jeśli chcesz, możemy teraz wejść jeszcze głębiej:

* Rozrysować heap exploitation na przykładzie

* Rozłożyć prawdziwe CVE na czynniki pierwsze

* Policzyć ile realnie zarabia top researcher

* Albo przejść w temat ofensywnego security vs bug bounty

W którą stronę skręcamy?

---

Okej. Teraz wchodzimy w poziom „research mode”. Zrobimy to porządnie: heap exploitation → analiza CVE → realne zarobki → ofensywne security vs bug bounty.

# 1. Heap exploitation – jak to działa w praktyce.

Najczęstszy bug w nowoczesnych exploitach: use-after-free (UAF). Co to znaczy?

1. Program alokuje obiekt na heapie; 2. Zwalnia go (`free()`); 3. Nadal używa wskaźnika do tego obiektu.

Jeśli atakujący: przejmie kontrolę nad nową alokacją w tym samym miejscu, nadpisze strukturę, może kontrolować: wskaźniki funkcji, vtable, strukturę obiektu JS.

Heap Feng Shui :: To technika „układania pamięci”, aby: wymusić konkretny layout; przewidzieć adresy, zwiększyć stabilność exploita. W przeglądarkach (np. Google Chrome) robi się to przez: masowe tworzenie obiektów JS, ArrayBuffer spraying, kontrolowane garbage collection.

Jak wygląda końcówka? Po przejęciu kontroli nad RIP: budujesz ROP chain, obchodzisz DEP, omijasz ASLR przez info leak. To już czysta inżynieria niskopoziomowa.

-

# 2. Rozkład prawdziwego CVE (schemat typowego łańcucha) :: Weźmy uproszczony scenariusz przeglądarkowy:

CVE-1: Type confusion w silniku JS → daje read/write w sandboxie.

CVE-2: Błąd w komponencie GPU. → pozwala wyjść z sandboxa.

CVE-3: Kernel privilege escalation w Windows. → SYSTEM. Na Pwn2Own takie łańcuchy są standardem. Cechy dobrego exploita: działa 100% na czystym systemie; zero crashy; zero ręcznej interakcji.

-

# 3. Ile realnie zarabia top researcher?

Scenariusz A – tylko Pwn2Own :: 1–2 wygrane rocznie ≈ 300k–800k USD

Scenariusz B – firma exploit research :: Specjaliści w firmach typu Synacktiv, DEVCORE zarabiają 150k–300k USD rocznie + bonusy

Scenariusz C – brokerzy 0-day :: Platformy jak Zerodium płacą nawet miliony za: mobile RCE, full-chain iOS/Android. Ale to już szara strefa etyczna.

-

# 4. Offensive Security vs Bug Bounty

Offensive research (Pwn2Own-level) :: To: reverse engineering, analiza kernelu, pisanie exploitów, months-long research. Wysokie wejście, ogromna konkurencja.

Bug bounty :: Platformy: HackerOne, Bugcrowd, Typowe bugi: XSS, IDOR, SSRF, auth bypass. Łatwiej zacząć, niższa bariera wejścia. Top bounty hunterzy zarabiają miliony, ale: to głównie web, konkurencja jest ogromna.

--

# Co odróżnia elitę Pwn2Own?

1. Myślenie w modelu pamięci

2. Umiejętność czytania 10M linii kodu

3. Budowanie własnych narzędzi

4. Cierpliwość (miesiące bez efektu)

To bliżej inżynierii jądra systemu niż „hakowania stron”.

--

# Jeśli naprawdę chcesz wejść w ten świat :: Powiedz mi: jaki masz poziom (programowanie? C? asm?); czy interesuje Cię web, systemy, czy low-level?; ile czasu tygodniowo możesz poświęcić? Mogę rozpisać Ci: 6-miesięczny plan wejścia w exploit dev albo brutalnie realistyczną ścieżkę do poziomu Pwn2Own (2–4 lata ciężkiej pracy). W którą stronę idziemy?

10M linii kodu = 10 milionów linii kodu. „M” = million (milion), czyli: 10 × 1 000 000 = 10 000 000 linii. Dla porównania: przeglądarki typu Google Chrome mają dziesiątki milionów linii kodu, systemy jak Windows – jeszcze więcej. W praktyce nie czyta się wszystkiego linijka po linijce — chodzi o umiejętność odnalezienia się w ogromnym kodzie i znalezienia słabego punktu.

Bisqwit :: Z czego składają się pliki EXE? https://www.youtube.com/watch?v=hhgxsrAFyz8 #numbers #assembler #hacking Prawie każdy otworzył plik EXE w edytorze tekstu i był zdezorientowany pozornym nonsensem. Jak komputer to rozumie? Odkryjmy tę iluzję.

-

Nie mogę podać dokładnych linków do konkretnych źródeł użytych w treningu, bo nie korzystałem z pojedynczych stron ani dokumentów w czasie rzeczywistym — moja wiedza powstała w wyniku treningu na dużym zbiorze publicznie dostępnych danych i dokumentacji technicznej, a nie z pojedynczych linków. Mogę jednak wskazać oficjalne i publiczne źródła, w których możesz znaleźć dokładnie te informacje, o których pisałem:

-

Pwn2Own:

Oficjalna strona Trend Micro Zero Day Initiative: https://www.zerodayinitiative.com/Pwn2Own/

Relacje z poszczególnych edycji (archiwa): https://www.zerodayinitiative.com/blog/

-

CVE – Common Vulnerabilities and Exposures:

Oficjalna baza: https://cve.mitre.org/

-

RCE, Stack/Heap, ASLR, DEP, ROP:

Dokumentacja Microsoft: [Windows Security Mitigations] https://learn.microsoft.com/en-us/windows/win32/secbp/security-features

Dokumentacja Apple: [Apple Security] https://support.apple.com/en-us/HT201222

Blogi bezpieczeństwa i tutoriale exploit dev np.: https://www.exploit-db.com/

-

CTF / pwn challenges:

CTFtime.org (repozytorium zawodów CTF): https://ctftime.org/

Tutoriale pwn: https://pwnable.tw/

-

Jeśli chcesz, mogę zrobić komplet listy linków do materiałów edukacyjnych i dokumentacji dla każdego terminu, który omawialiśmy w tej rozmowie – idealnie nadaje się do nauki exploit dev od podstaw do poziomu Pwn2Own.

-

Poniżej masz działające, łatwe do skopiowania linki do oficjalnych i publicznych materiałów, które wyjaśniają pojęcia o których pisałem wcześniej (RCE, DEP, ASLR, exploit dev itd.):

-

CVE – baza podatności: To oficjalna globalna baza opisów znanych podatności (CVE IDs) https://cve.mitre.org/

-

Pwn2Own i Zero Day Initiative:

Strona konkursu Pwn2Own – cele, reguły i kategorie: https://www.zerodayinitiative.com/Pwn2Own/

Blog ZDI z opisami exploitów i raportami z edycji: https://www.zerodayinitiative.com/blog/

-

DEP – Data Execution Prevention: Opis działania DEP w systemach Windows (zapobieganie wykonywaniu kodu z pamięci) [1] https://www.centrumxp.pl/Data-Execution-Prevention

-

ASLR – Address Space Layout Randomization: Wprowadzenie do sposobu losowania adresów pamięci w systemach operacyjnych (ASLR) [2] https://en.wikipedia.org/wiki/Address_space_layout_randomization

-

Zabezpieczenia systemu Windows (DEP/ASLR i inne): Oficjalna dokumentacja Microsoft Defender Exploit Protection (opis mechanizmów bezpieczeństwa w Windows) [3] https://learn.microsoft.com/en-us/defender-endpoint/exploit-protection-reference

-

ASLR/DEP/bezpieczeństwo pamięci – wikipedia (ogólny kontekst): Wyjaśnienie mechanizmów ochrony wykonania kodu (DEP) w różnych OS, w tym Windows [4] https://en.wikipedia.org/wiki/Executable-space_protection

-

Dodatkowe (opcjonalne źródła edukacyjne). CTF / pwn exercises (praktyka exploit dev):

Harmonogram i archiwum zawodów CTF (wiele zadań z pwn) https://ctftime.org/

Strona z praktycznymi zadaniami pwn https://pwnable.tw/

-

[1]: https://www.centrumxp.pl/Data-Execution-Prevention "Data Execution Prevention"

[2]: https://en.wikipedia.org/wiki/Address_space_layout_randomization "Address space layout randomization"

[3]: https://learn.microsoft.com/en-us/defender-endpoint/exploit-protection-reference "Exploit protection reference - Microsoft Defender for Endpoint | Microsoft Learn"

[4]: https://en.wikipedia.org/wiki/Executable-space_protection "Executable-space protection"

Wszystkie powyższe linki są:

✔️ oficjalne lub powszechnie cytowane jako referencje,

✔️ działające i łatwe do skopiowania.

Chcesz, żebym przygotował krótką listę kursów lub tutoriali wideo (YouTube / darmowe materiały) na temat podstaw exploit dev?

https://pl.wikipedia.org/wiki/Exploit

https://pl.wikipedia.org/wiki/Zero-day_exploit

Niekiedy odkrywca podatności tworzy exploit i udostępnia go jako tzw. PoC (Proof of Concept). Publikowane exploity mogą zawierać celowo wprowadzone błędy po to, żeby script kiddies / lamerzy

https://pl.wikipedia.org/wiki/Script_kiddie

https://pl.wikipedia.org/wiki/Lamer

nie mogli ich tak łatwo wykorzystać.

https://pl.wikipedia.org/wiki/Shellcode

https://www.google.com/search?&q=java+python+exploit etc.

-

https://duckduckgo.com/?q=Framaroot

https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-android-technical-analysis.pdf

https://arstechnica.com/information-technology/2019/10/attackers-exploit-0day-vulnerability-that-gives-full-control-of-android-phones/

-

https://www.google.com/search?&q=iOS+14.0.1+safari+exploit+poc

https://securereading.com/poc-exploit-code-remote-jailbreak-iphone-x

https://www.quora.com/Should-I-learn-first-Python-or-Java-to-become-an-exploit-writer

-

Szpiegujący Pegasus do pobrania... Na GitHub trafiła wersja 5.1 na Androida, a raczej to co udało się odzyskać z zainfekowanego smartfona - aktualnie link już nie działa:

https://biznes.wprost.pl/technologie/cyberbezpieczenstwo/10587655/szpiegujacy-pegasus-do-pobrania-na-github-trafila-wersja-51-na-androida.html

https://twitter.com/jonathandata1/status/1477546380893769729

https://github.com/jonathandata1/pegasus_spyware

-

Takim Pegasusem nie za wiele zdziałamy jeśli nie mamy exploitów za pomocą, których można takiego Pegasusa komuś podrzucić na Smartfon i uruchomić. Używane były exploity na aplikacje, które są na takich smartfonach najczęściej używane (WhatsApp, iMessage itd)

https://twitter.com/S0rryMybad

https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html

-

A representative of WhatsApp, which is used by 1.5 billion people, told Ars that company researchers discovered the vulnerability earlier this month while they were making security improvements. CVE-2019-3568, as the vulnerability has been indexed, is a buffer overflow vulnerability in the WhatsApp VOIP stack that allows remote code execution when specially crafted series of SRTCP packets are sent to a target phone number, according to this advisory.

Przedstawiciel WhatsApp, aplikacji z której korzysta 1,5 miliarda osób, powiedział Ars, że badacze firmy odkryli tę lukę na początku tego miesiąca podczas wprowadzania ulepszeń bezpieczeństwa. CVE-2019-3568, jak nazwano tę lukę, jest luką typu przepełnienie bufora w stosie VOIP WhatsApp, która umożliwia zdalne wykonanie kodu po wysłaniu specjalnie spreparowanej serii pakietów SRTCP na docelowy numer telefonu, zgodnie z tym komunikatem.

-

According to the Financial Times, exploits worked by calling either a vulnerable iPhone or Android device using the WhatsApp calling function. Targets need not have answered a call, and the calls often disappeared from logs, the publication said. The WhatsApp representative said the vulnerability was fixed in updates released on Friday.

Według Financial Times, ataki były przeprowadzane poprzez połączenie się z podatnym na atak urządzeniem iPhone lub Android za pomocą funkcji połączeń WhatsApp. Ofiary nie musiały odbierać połączeń, a połączenia często znikały z logów, jak podaje publikacja. Przedstawiciel WhatsApp powiedział, że luka została naprawiona w aktualizacjach wydanych w piątek.

-

https://www.facebook.com/security/advisories/cve-2019-3568 CVE-2019-3568 Description: A buffer overflow vulnerability in WhatsApp VOIP stack allowed remote code execution via specially crafted series of RTCP packets sent to a target phone number. Affected Versions: The issue affects WhatsApp for Android prior to v2.19.134, WhatsApp Business for Android prior to v2.19.44, WhatsApp for iOS prior to v2.19.51, WhatsApp Business for iOS prior to v2.19.51, WhatsApp for Windows Phone prior to v2.18.348, and WhatsApp for Tizen prior to v2.18.15. Last Updated: 2019-08-13

Opis: Luka w zabezpieczeniach bufora w stosie VOIP aplikacji WhatsApp umożliwiała zdalne wykonanie kodu poprzez wysłanie specjalnie spreparowanej serii pakietów RTCP na docelowy numer telefonu. Wersje, których dotyczy problem: Problem dotyczy aplikacji WhatsApp dla systemu Android w wersji starszej niż 2.19.134, WhatsApp Business dla systemu Android w wersji starszej niż 2.19.44, WhatsApp dla systemu iOS w wersji starszej niż 2.19.51, WhatsApp Business dla systemu iOS w wersji starszej niż 2.19.51, WhatsApp dla systemu Windows Phone w wersji starszej niż 2.18.348 oraz WhatsApp dla systemu Tizen w wersji starszej niż 2.18.15. Ostatnia aktualizacja: 13 sierpnia 2019 r.

-

CVE-2019-11932 PoC Demonstration. This video demonstrates a proof-of-concept attack against the CVE-2019-11932 vulnerability. https://www.youtube.com/watch?v=6besyMShlGY

-

WhatsApp - a malicious GIF that could execute code on your smartphone - Bug Bounty Reports Explained https://www.youtube.com/watch?v=lplExF6djQ4

-

4 października 2019 Attackers exploit 0-day vulnerability that gives full control of Android phones Vulnerable phones include 4 Pixel models, devices from Samsung, Motorola, and others. Attackers are exploiting a zero-day vulnerability in Google’s Android mobile operating system that can give them full control of at least 18 different phone models, including four different Pixel models, a member of Google’s Project Zero research group said on Thursday night. (...)

Atakujący wykorzystują lukę typu zero-day, która daje pełną kontrolę nad telefonami z systemem Android. Do podatnych na ataki telefonów należą 4 modele Pixel, urządzenia Samsunga, Motoroli i innych producentów. Atakujący wykorzystują lukę typu zero-day w mobilnym systemie operacyjnym Android firmy Google, która pozwala im uzyskać pełną kontrolę nad co najmniej 18 różnymi modelami telefonów, w tym czterema modelami Pixel, poinformował w czwartek wieczorem członek grupy badawczej Project Zero firmy Google. (...) https://arstechnica.com/information-technology/2019/10/attackers-exploit-0day-vulnerability-that-gives-full-control-of-android-phones/

-

https://cqureacademy.com/cqure-labs/cqlabs-how-uac-bypass-methods-really-work-by-adrian-denkiewicz

https://mashable.com/archive/linus-torvalds-backdoor-linux

https://www.reddit.com/r/worldnews/comments/1qtn3u/nsa_asked_linus_torvalds_to_install_backdoors/

https://www.techdirt.com/2013/09/19/linus-torvalds-admits-he-was-approached-us-government-to-insert-backdoor-into-linux-did-he/