Jump to content
Shidary

Не безопасность ПО для IVAO

Recommended Posts

Товарищи, подскажите кто знает, может уже обсуждали. Хотел было присоединиться к сети IVAO, но столкнулся с тем, что программное обеспечение является "не пойми чем": оно не подписано, не распознается АВ Касперского как доверенное, элементарно отсутствует информация о хеше и т.п., а разработчик X-CSL Updater (или поддержка) alm**@x-air.ru в переписке мягко говоря отказался подтвердить безопасность и отсутствие недекларированных функций (недекларированных возможностей) собственного детища.

Проблема в том, что за примером далеко ходить не надо, когда пару лет назад FSLabs собирали пароли браузера своих пользователей, оправдывая это благими намерениями. Плагины для симулятора это полноценные программы, которые могут выполнять любые функции включая сбор и передачу конфиденциальной информации, предоставление "сервисных" каналов связи для разработчиков и т.д. При этом они запускаются с правами симулятора, которому пользователь доверяет, т.к. получил его из доверенного источника. Разработчик плагина, может даже и не быть злоумышленником, но по своей простоте душевной, может дать другим (кто нашел) возможности, которые пользователь совсем не желает. А чего уж ждать от разработчика который объясняет отсутствие цифровой подписи у ПО так: "Для вас, как не специалиста и обывателя, это всего лишь избыточная информация", не буду вдаваться во все подробности, там перлов много.

   Так вот, внимание вопрос, кто-нибудь смотрел WireShark'ом и другими способами, может запускал в какой песочнице, что это вообще такое? (софт от IVAO, а особенно X-CSL-Updater) Может была какая-то не обычная активность после установки? Непонятные соединения, трафик, алерты? 

Заранее спасибо! Предупрежден значит вооружен. ;)

Я скачал два архива для X-Plane 11, один с сайта IVAO "X-IvAp_Installer" второй с сайта проекта csl.x-air.ru "X-CSL-Updater-1.2.0-Win-x86-64". Дополнительно внутри X-IvAp installer лежит установщик ts2_client_rc2_2032 (ну к нему меньше всего вопросов, привожу для полноты картины)

Хеши такие:

X-IvAp_Installer = MD5 - B8C47F0040D3DF24EF87492ABA65A736, SHA-256 - D49EE5143F875F09C0A72C559814110AD18928B5BEFCEEEDB6206B7B82AACBA3

X-CSL-Updater-1.2.0-Win-x86-64  = MD5 - 705BAC1BB1DC7BD6ED0B8E063C1233A8, SHA-256 - 0F9C77C809C217737538D5E4AE8978BD001035218C7124C763229F3B6F5EB500

ts2_client_rc2_2032 = MD5 - 3C9D1BF8DFD3E257E536F0B87FBEC00A, SHA-256 - 033DB3BF5602914D750EC9D952D680C7845872C204850C82A1642F92BB81E7AF

PS  Организация IVAO видимо известная. А софт пишут конкретные люди и как показывает практика не очень озадаченные вопросами информационной безопасности. (либо же напротив, умышленно прикидываются таковыми)

 

 

Share this post


Link to post
Share on other sites
2 минуты назад, испанский_летчик пишет:

100% гарантия только у всевышнего. Предохраняйтесь.

Ну коли хотите такую аллегорию, то предохранятся с проверенной спокойнее, чем с мусором из подворотни. Хотелось бы рекомендации на тело от пользовавшихся =))

Share this post


Link to post
Share on other sites
Posted (edited)
1 час назад, Shidary пишет:

оно не подписано, не распознается АВ Касперского как доверенное, элементарно отсутствует информация о хеше и т.п., а разработчик X-CSL Updater (или поддержка) alm**@x-air.ru в переписке мягко говоря отказался подтвердить безопасность и отсутствие недекларированных функций (недекларированных возможностей) собственного детища.

На самом деле тут достаточно информации для выводов. Дыры-бэкдоры-трояны вполне могут присутствовать.

Ели бы кто-то что-то проведал, то давно бы растрезвонил, но как мне показалось спецов-безопасников в симерской среде не так и много,- могли и не заметить.

UPD

Так понимаю, первое можно проревьювить и собрать из этого: https://github.com/frungy2/xivap-xfs

Edited by испанский_летчик

Share this post


Link to post
Share on other sites

Да, спасибо, за ссылку. Ну как можно увидеть из сообщения, больше всего меня насторожил X-CSL, а ответ разработчика еще больше. В чем секрет, такой простой утилиты? Разработчики X-Plane не смогли мне ответить на вопрос зачем Update-ру X-CSL путь к x-plane.exe. А разработчик самого приложения культурно "послал" меня. Ай как этично. =))

Share this post


Link to post
Share on other sites
18 часов назад, испанский_летчик пишет:

На самом деле тут достаточно информации для выводов. Дыры-бэкдоры-трояны вполне могут присутствовать.

Ели бы кто-то что-то проведал, то давно бы растрезвонил, но как мне показалось спецов-безопасников в симерской среде не так и много,- могли и не заметить.

UPD

Так понимаю, первое можно проревьювить и собрать из этого: https://github.com/frungy2/xivap-xfs

По поводу ссылки на Гита. Нет скомпилированных файлов, нет активности за 2019 и 2020 год. Не знаю какое отношение этот сырец имеет к тому что распространяет IVAO, но явно по этому коду сделать какой-либо вывод невозможно.

Share this post


Link to post
Share on other sites
1 час назад, Shidary пишет:

По поводу ссылки на Гита. Нет скомпилированных файлов, нет активности за 2019 и 2020 год. Не знаю какое отношение этот сырец

Мои детекторы говорят что Вы тролль.

Share this post


Link to post
Share on other sites
Posted (edited)
1 час назад, испанский_летчик пишет:

Мои детекторы говорят что Вы тролль.

Тролль от слова троллить? Если так, то отчего же? В первом посте была причина описана. Хочу поиграть, но хочу спокойно. А предлагается мутный код, который будет у меня на компе крутиться от имени доверенного сима. Сима сажать на урезанного пользователя, все ключи менять ради IVAO? Ну я сделаю, а другие? Мне это не нравится.

Потихонечку вникаю в суть вопроса, раз пока многоуважаемый олл молчит.
 
В паке IVAO для XPlane три программы: сам плагин IVAO, программа обновления OBJ8 - X-CSL Updater и старый не поддерживаемый тим спик 2. 
Ts2 вроде норм, если верить касперу. X-CSL я хочу выкинуть. Но пока не пробовал ставить сам плагин IVAO и не знаю, можно ли без X-CSL.
Даже на это вопрос разработчик не ответил (что и есть одна из причин всего топика).
 
Изучаю сам плагин IVAO. В нем 5 исполняемых фалов. Два из них имеют цифровую подпись, вопросов нет: fmod.dll и fmod64.dll. По цифровой подписи можно проверить репутацию, историю, если что найти виноватого (разработчик) и т.д. Цифровая подпись файлов это маст хев.
Остальные к сожалению более мутные. Следующие два файла это сама програмулина IVAO X-Ivap-XX.xpl (где XX это либо 32 либо 64) она вызывает для работы с Team Speak библиотеку TSRemote.dll. И вроде как бы все ничего так выглядит снаружи. А что там внутри этой TSRemote.dll?
Или так. Вот зачем, к примеру, используется системная функция ShellExecuteA (которая запускает внешнюю программу) ?
Хорошо, найду я ее на Гите по ссылке. Увижу зачем она ТАМ вызывается. Где гарантия что в моем бинарнике она делает тоже самое? Вот... тут собака и порылась. Код должен лежать с бинарником и с хешем(контрольная сумма) для этого бинарника. Вот тогда можно о чем-то говорить... (хотя конечно это тоже не гарантия, но первый шаг к определенным рамкам прослеживаемости)
 
Вот пока так... еще изучаю. Надеялся на помощь. Но пока только троль.
 
PS
Список функций из X-Ivap-64.xpl импортируемых из TSRemote.dll:
tsrQuit
tsrConnect
tsrDisconnect
tsrSendTextMessage
tsrSendTextMessageToChannel
tsrSwitchChannelID
tsrSwitchChannelName
tsrGetLastError
tsrSetWantVoiceReason
tsrSetVoice
tsrSetOperator
tsrSetPlayerFlags
tsrKickPlayerFromServer
tsrKickPlayerFromChannel
tsrGetVersion
tsrGetUserInfo
tsrGetChannelInfoByID
tsrGetChannelInfoByName
tsrGetPlayerInfoByID
tsrGetPlayerInfoByName
tsrGetServerInfo
tsrGetPlayers
tsrGetChannels
 

 

Edited by Shidary

Share this post


Link to post
Share on other sites
40 минут назад, испанский_летчик пишет:

Оттого что Вы сами всё знаете и умеете.

Знаю и умею может и много (смотря с кем сравнивать). Но у меня клиент IVAO не самое главное в жизни =)) В самом первом сообщении, я спросил, кто что делал, видел, знает. Песочницы нет, дебагера нет, даже студию ставить не хочу и не буду, что бы код попробовать компильнуть. Но может кто уже делал? В этом и суть вопроса. Один в поле не воин. Я обратился к сообществу. Вот еще как время будет, гляну эту ShellExec и все. Потом напишу что я думаю в IVAO и ставить не буду. Скорее всего так все это и закончится. А жаль если честно. (Если не получится добиться хоть мало мальски адекватного вывода, кроме того что в IVAO полный хаос с ИБ)

Интересно в VATSIM такое же игнорирование прав пользователей?

 

Share this post


Link to post
Share on other sites
Posted (edited)
5 часов назад, Shidary пишет:

По цифровой подписи можно проверить репутацию, историю, если что найти виноватого (разработчик) и т.д. Цифровая подпись файлов это маст хев.

Как подписать драйвер Windows 10, 8.1 и Windows 7 x64 и x86 | remontka.pro

Если так просто можно сделать самому цифровую подпись для дров от Майкров?..

Причем заметьте, это простая инструкция для дилетантов.

Коль Вы столь щепетильны и предусмотрительны, один раз потратьте малость времени установив Виртуальную машину и проверяйте в ней все, в чем сомневаетесь. Это просто даже для дилетанта.

Edited by Jla6yx

Share this post


Link to post
Share on other sites
6 часов назад, Jla6yx пишет:

Как подписать драйвер Windows 10, 8.1 и Windows 7 x64 и x86 | remontka.pro

Если так просто можно сделать самому цифровую подпись для дров от Майкров?..

Причем заметьте, это простая инструкция для дилетантов.

Коль Вы столь щепетильны и предусмотрительны, один раз потратьте малость времени установив Виртуальную машину и проверяйте в ней все, в чем сомневаетесь. Это просто даже для дилетанта.

=) А вы когда сказку про кашу из топора читали, на чьей стороне остались? (солдата или бабки) Это шутка, по доброму! 

Конечно вся затея кроется в сертификатах, подтвержденных доверенным удостоверяющим центром. Если Вы создадите сертификат и пропишите его у себя в системе, то подписывайте сколько влезет, но делу не поможет. 

НИКОГДА не прописывайте в своей системе сертификаты если вы не знаете его источник! Одну такую операцию можно приравнять к установке у себя на компьютере трояна или создание бэкдора.

В нашем же случае задача в том, что бы сертификат был не "самоподписанный", а выпущенный одним из доверенных удостоверяющих центров для NPO (некоммерческая организация) 0888.628.579 International Virtual Aviation Organisation зарегистрированной 10 апреля 2007 года в Бельгии. (При этом создана в 1998 году. 9 лет нелегально? Заявление подано как я понимаю в декабре 2006 ;) )

По поводу виртуальной машины. Это более строгий вариант, в сравнении с тем, о котором я писал, о создании отдельного пользователя с ограниченными правами. Это потребует перерегистрации всех ключей активации для XPlane, FF, Касперского. В общем не вариант ради IVAO. Более того я очень сомневаюсь, что X-Plane запустится и будет нормально работать под виртуалкой. А самое главное, я не думаю, что в этом плагине, даже если и есть косяк, то он сразу при подключении начнет лить в сеть все содержимое моего жесткого диска как неудержимый. =) Я допускаю, что там есть какая-то дырка, оставленная разработчиком специально или по разгильдяйству. Я не хочу, тут расписывать вариант атаки, но пара тройка векторов у меня есть на уме. Так что даже установка всего что есть в песочницу не сможет одномоментно дать какого-либо статистически полезного результата.

Именно тут и заключается причина моего обращения, может быть когда-то, один раз в жизни, у кого-нибудь антивирус ругнулся на X-Plane (когда в ней был плагин IVAO), на программу обновления X-CSL-Updater, на TS2 или просто, в момент, когда они были запущены были какие либо предупреждения от антивируса или сетевого оборудования (файрвол, идс\ипс) я понимаю, что дома такого нет, но может кто додумался на работе поиграть. =)

 

В любом случае, Спасибо за попытку помочь!

 

PS По Вашей ссылке п.17 "Следующий шаг — добавить самоподписанный сертификат в список доверенных в системе"

PPS Сведения об NPO ICAO

0888.628.579 International Virtual Aviation Organisation 10 april 2007
Werfstraat 89 Stratenplan 1570 Galmaarden

HERRERO ,  ELIAS     Sinds 25 januari 2014
LACIN ALP ,  YENI     Sinds 19 mei 2019
Mariens ,  Jacques     Sinds 9 december 2014

Share this post


Link to post
Share on other sites
9 часов назад, Shidary пишет:

По поводу виртуальной машины. Это более строгий вариант, в сравнении с тем, о котором я писал, о создании отдельного пользователя с ограниченными правами. Это потребует перерегистрации всех ключей активации для XPlane, FF, Касперского. В общем не вариант ради IVAO.

Как насчет https://github.com/sandboxie-plus/Sandboxie/releases ?

Share this post


Link to post
Share on other sites
5 минут назад, Shidary пишет:

habr: if (GetModuleHandle(«SbieDll.dll»)) ExitProcess(0);

Ну и Ок? Можно пользоваться повседневно, а кто не хочет - ну и не надо.

https://xakep.ru/2013/11/08/61563/

Edited by испанский_летчик

Share this post


Link to post
Share on other sites
В 11.01.2021 в 09:30, испанский_летчик пишет:

Ну и Ок? Можно пользоваться повседневно, а кто не хочет - ну и не надо.

https://xakep.ru/2013/11/08/61563/

По ссылке - то про виртуалку. Будет сама игра-то под виртуальной машиной работать? 

В моем сообщении детектирование песочницы. Для программы песочница более реальное окружение, чем VM, как мне кажется.

Можно еще винду запустить в режиме киоска UWF...

Но все это не стоит усилий =) Я считаю это обязанность IVAO обеспечить безопасное ПО, а не мне тратить свое время в поисках доказательств, что оно безопасное. Нет возможности подключиться к IVAO значит нет. Времена крякнутых сборников с Царицино, Митино и Горбушки давно прошли, а они все там.

Share this post


Link to post
Share on other sites
30 минут назад, Shidary пишет:

а не мне тратить свое время в поисках доказательств, что оно безопасное.

Тогда зачем Вы этим занимаетесь? Либо используйте, либо забейте.

Очень похоже на паранойю.

  • Upvote 1

Share this post


Link to post
Share on other sites
26 минут назад, Shidary пишет:

По ссылке - то про виртуалку. Будет сама игра-то под виртуальной машиной работать? 

В моем сообщении детектирование песочницы. Для программы песочница более реальное окружение, чем VM, как мне кажется.

Я имел в виду, что виртуалки, о которых начинали говорить Вы, точно так же детектируются.

47 минут назад, Shidary пишет:

Я считаю это обязанность IVAO обеспечить безопасное ПО

К безопасности они могут только стремиться, или только декларировать подобные стремления. Никакие подписи не гарантируют качества.

Share this post


Link to post
Share on other sites
8 минут назад, Jla6yx пишет:

Тогда зачем Вы этим занимаетесь? Либо используйте, либо забейте.

Очень похоже на паранойю.

Если у вас паранойя, это еще не значит, что за вами не следят! (С)

Вопрос скорее принципиальный. Принципиальный как в плане использования нормального ПО так и принципиальный в плане того что за код распространяет та или иная организация. 

Обратился к X-Air, там ИБ - это ненужная информация. Хотел найти ответ тут, но тишина. К сожалению. Да пока не буду ставить. Ответил Ден, может он поможет. =)

 

PS Если разработчик поможет, соберу сам из кода. Сравню. Расскажу. =) (хотя конечно понимаю, что вряд ли бинарник совпадет) Исходники вроде уже нашел, с помощью Испанского Летчика и разработчика.

Share this post


Link to post
Share on other sites
1 минуту назад, испанский_летчик пишет:

Я имел в виду, что виртуалки, о которых начинали говорить Вы, точно так же детектируются.

К безопасности они могут только стремиться, или только декларировать подобные стремления. Никакие подписи не гарантируют качества.

1. Не могу сейчас перечитать все сообщения, но я вроде про виртуалку наоборот говорил, что это не выход и что игра под ней и не пойдет наверно.

2. Подпись не 100% гарантия. Пример, как я уже писал FSLabs даже если бы было подписано, все равно вставили доп.функционал, эдакий "подарочек" пользователям. но подпись должна быть. Я уже выше писал зачем. Это хоть и не достаточное, но необходимое.

Share this post


Link to post
Share on other sites

Сейчас все, включая IT, доят "новую нефть", и с этим, пока не введут персональную стоимость индивидуальных личных данных и ответственности за их кражу и перепродажу, ничего кроме оооочень затратных продуктов ПО самостоятельного изготовления предложить никто не сможет.

Ваши результаты тоже будут интересны к ознакомлению многим, кучка розовых очков слегка сползёт с переносицы

Edited by Rafael69

Share this post


Link to post
Share on other sites

Прикольненько)

Я как разработчик X-CSL-Updater вел с топикстартером короткую переписку. Дал ссылку на исходники https://bitbucket.org/steptosky/x-csl-updater
Они открыты, проверять на бэкдоры можно как угодно, а не ответил прямо на вопрос (да его, прямого вопроса ко мне, вроде и не было в переписке, хотя я конечно мог читать и по диагонали), так как не вижу в этом смысла если такой вопрос задан и я могу предоставить исходники.

Цитата

"Для вас, как не специалиста и обывателя, это всего лишь избыточная информация"
Обратился к X-Air, там ИБ - это ненужная информация. 

Вот эти все штуки мне не ясно откуда... Я ничего такого не отвечал, не говорил и не писал.

По мере времени, я готов ответить на вопросы по X-CSL-Updater в личной переписке или здесь (в те моменты когда буду заходить на этот форум).

P.S. А, ну и да, если этот прямой ответ так важен и что то поменяет, бэкдоров и другого вредоносного кода в коде X-CSL-Updater нет. По поводу фреймворка Qt используемого в программе, я ответить не могу, обращайтесь к разработчикам Qt (Если нужны исходники Qt, линк я предоставлю).

Edited by den_rain

Share this post


Link to post
Share on other sites

Быдлу дай в руки конспирологию так оно подумает что за ними следят из космоса марсиане или НЛО. Лишь бы какую херь выдумать, раздуть и давай выкабениваться, умом "блестать".

  • Well said! 2

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...