Lulz continues.
---------- Treść przekazywanej wiadomości ----------
Temat: get_key_info.sh on FinFisher for public key server Data: piątek, 8 sierpnia 2014, 12:47:50 Od: Nathan Andrew Fain Do: cypherpunks@cpunks.org
I have not checked all files, just a sample. as keys have not been revoked or removed from the public server it would help if someone could execute the following on every gpg'ed file. as individuals revoke their keys, if im not mistaken, we will not be able to document the names of those keys.
[get_key_info.sh] #!/bin/bash FILE="$1" for ID in $(gpg -d "$FILE" |& awk '{print $7}' | grep -v 'available'); do #gpg --dry-run --keyserver pgp.mit.edu --recv-keys 0x${ID} echo "ID: 0x$ID" w3m -dump "https://pgp.mit.edu/pks/lookup?search=0x$%7BID%7D&op=index" \ | grep pub done
LOG:
$ ./get_key_info.sh FinIPCatcher.zip.gpg ID: 0x977E9F54 ID: 0x0FC82479 ID: 0x0FEB4CFF ID: 0x6225EAA0 ID: 0x58143658 ID: 0x8E037629 ID: 0x8269976E pub 1024D/66878388 2013-04-17 Alfons Rauscher alfons.rauscher@vervis.de ID: 0xB03A5EA9 ID: 0xD81082F4 pub 2048R/D81082F4 2012-03-08 Melvin Teoh (Gamma Group) mt@gammmagroup.com ID: 0xF5946EA8 ID: 0x695D98C9 ID: 0x280AD26F ID: 0xF158ADF2 ID: 0xF166F2CA pub 2048R/3F895273 2013-03-05 Alexander Hagenah ah@primepage.de ID: 0x7774F144 ID: 0xA7A4AC21 pub 2048R/A7A4AC21 2013-03-05 Hari Purnama (pgp) hp@gammagroup.com
$ ./get_key_info.sh FinIP-Catcher-User-Manual.docx.gpg ID: 0x977E9F54 ID: 0x0FC82479 ID: 0x0FEB4CFF ID: 0x6225EAA0 ID: 0x58143658 ID: 0x8E037629 ID: 0x8269976E pub 1024D/66878388 2013-04-17 Alfons Rauscher alfons.rauscher@vervis.de ID: 0xB03A5EA9 ID: 0xD81082F4 pub 2048R/D81082F4 2012-03-08 Melvin Teoh (Gamma Group) mt@gammmagroup.com ID: 0xF5946EA8 ID: 0x695D98C9 ID: 0x280AD26F ID: 0xF158ADF2 ID: 0xF166F2CA pub 2048R/3F895273 2013-03-05 Alexander Hagenah ah@primepage.de ID: 0x7774F144 ID: 0xA7A4AC21 pub 2048R/A7A4AC21 2013-03-05 Hari Purnama (pgp) hp@gammagroup.com
$ ./get_key_info.sh FinFly-Web-Syllabus.pdf.gpg ID: 0x977E9F54 ID: 0x0FC82479 ID: 0x0FEB4CFF ID: 0x6225EAA0 ID: 0x58143658 ID: 0x8E037629 ID: 0x8269976E pub 1024D/66878388 2013-04-17 Alfons Rauscher alfons.rauscher@vervis.de ID: 0xB03A5EA9 ID: 0xD81082F4 pub 2048R/D81082F4 2012-03-08 Melvin Teoh (Gamma Group) mt@gammmagroup.com ID: 0xF5946EA8 ID: 0x695D98C9 ID: 0x280AD26F ID: 0xF158ADF2 ID: 0xF166F2CA pub 2048R/3F895273 2013-03-05 Alexander Hagenah ah@primepage.de ID: 0x7774F144 ID: 0xA7A4AC21 pub 2048R/A7A4AC21 2013-03-05 Hari Purnama (pgp) hp@gammagroup.com
-----------------------------------------
Dnia piątek, 8 sierpnia 2014 14:09:35 antoszka pisze:
Tako rzecze rysiek (2014-08-08, 13:50):
Lulz continues.
Kompletnie nie wiem, o co kaman.
Wyciekł kod FinFishera: http://en.wikipedia.org/wiki/FinFisher
Część jest zaszyfrowana. Część jest podpisana GPG. Więc gościu napisał skrypta do szybkiej identyfikacji *czyimi* kluczami jest podpisane. Dox the basterds.
Tako rzecze rysiek (2014-08-08, 14:37):
Dnia piątek, 8 sierpnia 2014 14:09:35 antoszka pisze:
Tako rzecze rysiek (2014-08-08, 13:50):
Lulz continues.
Kompletnie nie wiem, o co kaman.
Wyciekł kod FinFishera: http://en.wikipedia.org/wiki/FinFisher
Część jest zaszyfrowana. Część jest podpisana GPG. Więc gościu napisał skrypta do szybkiej identyfikacji *czyimi* kluczami jest podpisane. Dox the basterds.
OK, kumam, thx.
On 2014-08-08 14:37, rysiek wrote:
Dnia piątek, 8 sierpnia 2014 14:09:35 antoszka pisze:
Tako rzecze rysiek (2014-08-08, 13:50):
Lulz continues.
Kompletnie nie wiem, o co kaman.
Wyciekł kod FinFishera: http://en.wikipedia.org/wiki/FinFisher
Część jest zaszyfrowana. Część jest podpisana GPG. Więc gościu napisał skrypta do szybkiej identyfikacji *czyimi* kluczami jest podpisane. Dox the basterds.
Ja to nie rozumię, czy takie malware'y nie wyskoczyłyby na wiresharku gdzieś po drodze, gdyby dobrze filtry ogarnąć?
Nie mówię że nie jestem gupi, tylko kurde, na kompie usera jak coś nie kaman to zaraz powinno wyjść w logach.
Tako rzecze spin@hackerspace.pl (2014-08-08, 21:31):
Ja to nie rozumię, czy takie malware'y nie wyskoczyłyby na wiresharku gdzieś po drodze, gdyby dobrze filtry ogarnąć?
Pewnie by wyszło, gdybyś wiedział, że masz czegoś konkretnego szukać, ale wtedy to już nie potrzebujesz. Inaczej to może wyglądać jak zwykły ruch od zwykłego firefox.exe (dajmy na to).
On 2014-08-08 21:35, antoszka wrote:
Tako rzecze spin@hackerspace.pl (2014-08-08, 21:31):
Ja to nie rozumię, czy takie malware'y nie wyskoczyłyby na wiresharku gdzieś po drodze, gdyby dobrze filtry ogarnąć?
Pewnie by wyszło, gdybyś wiedział, że masz czegoś konkretnego szukać, ale wtedy to już nie potrzebujesz. Inaczej to może wyglądać jak zwykły ruch od zwykłego firefox.exe (dajmy na to).
Imvho jak obetniesz daemony i nie masz requestów na połączenia na procesy niepochodzące od użytkownika, i manualnie dozorujesz po czym przeglądarka biega (vide:noscript) to se mogą próbować monitorować swoją starą webcamem w peniusie.
Te dane co to im potrzebne są też muszą jakoś przepchnąć po rurce, jak sniffują tekst to jest sucho, bo to małe wsio, ale jak voice/vid to już się słusznie robi, i w logach by piknie świeciło imvho.
Też indexy plików, query na search itp czyli data processing lokalnie powinno lampy wyjebywać, przecież oni muszą dane czesać lokalnie, bo inaczej trzeba je całe rurką przepchać.
Malware ewidentnie się chowa w chaosie panującym w systemie operacyjnym i aplikacjach.
Tako rzecze spin@hackerspace.pl (2014-08-08, 22:33):
On 2014-08-08 21:35, antoszka wrote:
Tako rzecze spin@hackerspace.pl (2014-08-08, 21:31):
Ja to nie rozumię, czy takie malware'y nie wyskoczyłyby na wiresharku gdzieś po drodze, gdyby dobrze filtry ogarnąć?
Pewnie by wyszło, gdybyś wiedział, że masz czegoś konkretnego szukać, ale wtedy to już nie potrzebujesz. Inaczej to może wyglądać jak zwykły ruch od zwykłego firefox.exe (dajmy na to).
Imvho jak obetniesz daemony i nie masz requestów na połączenia na procesy niepochodzące od użytkownika, i manualnie dozorujesz po czym przeglądarka biega (vide:noscript) to se mogą próbować monitorować swoją starą webcamem w peniusie.
No jasne, ale zauważ, że targetem jest raczej Windows, gdzie jest pierdyliard gówien, które nawiązuje pierdyliard połączeń, things call home and all that shit. To jest nie opanowania.
Oczywiście w moim Gentoo piszę sobie netstat i mam garstkę połączeń i wszystko widać jak na dłoni.
Te dane co to im potrzebne są też muszą jakoś przepchnąć po rurce, jak sniffują tekst to jest sucho, bo to małe wsio, ale jak voice/vid to już się słusznie robi, i w logach by piknie świeciło imvho.
Też indexy plików, query na search itp czyli data processing lokalnie powinno lampy wyjebywać, przecież oni muszą dane czesać lokalnie, bo inaczej trzeba je całe rurką przepchać.
Malware ewidentnie się chowa w chaosie panującym w systemie operacyjnym i aplikacjach.
O to własnie chodzi…
-
antoszka -
rysiek -
spin@hackerspace.pl