Название: экспертиза, как добиться справедливости Отправлено: f_s_b_37 от 06 Февраля 2008, 04:00:20 На этом форуме были выложены сканы задач экспертам, и заключений этих самых "экспертов"(простите, без ковычек никак).
Обратило на себя внимание то обстоятельство, что в задачу экспертов не входит поиск программ, позволяющих использовать выходить в сеть с именем, простите, IP-адресом субъекта, проще говоря socks и proxy ботов. Да и, такая задача (нетривиальная, если только речь не идет сканирвоанием содержимого антивирусной программой, не забывайте, что далеко не все "зверюшки" находятся антивирусами) очень трудоемка, и требует больших затрат времени и высокого уровня технических знаний. А так как практически у каждого человека, за исключением домохозяек, использующих компьютер для поиска рецептов, установленно ПО, которое "эксперты" с радостью охарактеризуют как вредоносное, от фемиды могут пострадать совершенно невиновные люди... Я где-то ошибся в своих суждениях? Название: Re:экспертиза, как добиться справедливости Отправлено: Igor Michailov от 06 Февраля 2008, 05:32:17 "То, что Вы еще не сидите - это не Ваша заслуга, а наша недоработка. "
Ф. Э. Дзержинский. Абстрагируясь от термина вредоносности и от вопроса о том, имеет ли эксперт право признавать ПО вредоносным (копий на форуме на эту тему было сломано не мало). Могу пояснить, что эксперт, обладая специальными познаниями, всего лишь констатирует факты: этот предмет - белый, этот предмет - черный. То обстоятельство, что обладатели черных предметов должны сидеть в тюрьме - это не вопрос к эксперту. Это вопрос к законодателю. Как говорится "Dura lex, sed lex. " Название: Re:экспертиза, как добиться справедливости Отправлено: Николай Николаевич Федотов от 06 Февраля 2008, 11:46:23 ... проще говоря socks и proxy ботов. Да и, такая задача (нетривиальная, если только речь не идет сканирвоанием содержимого антивирусной программой, не забывайте, что далеко не все "зверюшки" находятся антивирусами) очень трудоемка, и требует больших затрат времени и высокого уровня технических знаний. Отнюдь. Во-первых, антивирусы справляются с этим великолепно. Учитывая особенности распространения троянских программ, надо только выждать месяц и использовать для проверки 3-4 различных антивируса. Во-вторых, троянские программы несложно выявить путём анализа трафика, in vivo, так сказать.Название: Re:экспертиза, как добиться справедливости Отправлено: f_s_b_37 от 06 Февраля 2008, 15:39:54 Николай Николаевич Федотов
есть замечательный сервис http://virustotal.com , и уверяю Вас, что распространители\создатели малварей прекрасно умеют им пользоваться, то есть первые не заплатят вторым, если хотябы один из церберов будет узнавать в программе вредоносную. Смысл эвристики в том, что находятся только те программы, которые попали в руки антивирусников (да и то с оговоркой, поправил два бита, и программа уже легальная, не говоря уже про более хитрые методы сокрытия, использование полиморфных технологий, например). Да и месяц в этом смысле не срок. Насчет анализа трафика вы правы, это может помочь, но что-то сомневаюсь, что его поводят, к тому же работать в этом смысле лучше с netflow со своими теническими заморочками. Igor Michailov отделить черное от белого в grayscale мире дело довольно сложное, и не для дальтоников ;) . А lex, в нашем случае, воистину дура... Название: Re:экспертиза, как добиться справедливости Отправлено: Николай Николаевич Федотов от 06 Февраля 2008, 18:17:03 Да и месяц в этом смысле не срок. Как раз в ЭТОМ смысле месяц - вполне себе срок. Два месяца - совсем хорошо, но и одного достаточно. Мы ж не операцию Моссада расследуем, а ищем заурядный МАССОВЫЙ троян. Такие трояны всегда попадают в базы антивирусов.Название: Re:экспертиза, как добиться справедливости Отправлено: f_s_b_37 от 06 Февраля 2008, 21:42:41 А если мне поевезет, и я словлю не массовый? =\ Сейчас большое количетсво малварей продаются за деньги, причем немалые, что сильно ограничивает "Массовость". Надеяться на антивирусы тут нельзя, ибо 100 или хотябы 90 % гарантии он дать не может. Так что остается только, уже упомянутый анализ трафика, который, как упоминалось, не проводится.
Название: Re:экспертиза, как добиться справедливости Отправлено: Николай Николаевич Федотов от 06 Февраля 2008, 22:15:11 А если мне поевезет, и я словлю не массовый? =\ Сейчас большое количетсво малварей продаются за деньги, причем немалые, что сильно ограничивает "Массовость". Мой многоуважаемый собеседник привёл совершенно верный аргумент, но вывод из него сделал противоположный верному. Действительно, новые (т.н. "0-day") эксплоиты и трояны продаются на чёрном рынке за невырожденные суммы. Именно поэтому их покупают и используют только для строительства массовых зомби-сетей (ботнетов). Иначе они не окупаются. Вероятность заразиться "немассовым" трояном примерно соответствует вероятности отравиться полонием. ;) Название: Re:экспертиза, как добиться справедливости Отправлено: f_s_b_37 от 06 Февраля 2008, 23:42:28 Цитировать Действительно, новые (т.н. "0-day") эксплоиты и трояны продаются на чёрном рынке за невырожденные суммы. Именно поэтому их покупают и используют только для строительства массовых зомби-сетей (ботнетов). Иначе они не окупаются. Вы ошибаетесь, а точнее упускаете одну маленькую деталь. DDoS бот (то есть программа, заразившись которой, компьютер становится частью бот-сети), это вещь многофункциональная. Оно и логично, если создан скелет, позволящий скрывать процесс в системе, и сетевую активность, то помимо модулей для DDoS атак, можно добавить модули для брутофорс атаки на хэши (в основном md5 и sha-1) и собственно поднятие на зараженной машине прокси сервера. Не хочу быть голословным, поэтому предлагаю ознакомиться с описаниями популярных некогда зловредных программ illusion http://sellcvv2.blogspot.com/2007/11/illusion-ddos-bot.html и barracuda http://sellcvv2.blogspot.com/2008/01/barracuda-bot-v3.html в обоих случаях есть возможность поднимать socks-proxy (я понимаю, что две зверюшки не показатель, но, поверьте, socks сервер в списке функциональности бота далеко не редкость) Название: Re:экспертиза, как добиться справедливости Отправлено: Igor Michailov от 07 Февраля 2008, 03:55:06 Вы ошибаетесь, а точнее упускаете одну маленькую деталь... Эта "маленькая деталь" что-то принципиально меняет?Название: Re:экспертиза, как добиться справедливости Отправлено: f_s_b_37 от 07 Февраля 2008, 10:47:30 Цитировать Эта "маленькая деталь" что-то принципиально меняет? Вкорне, ввиду распространенности бот-сетей, собеседник сделал вывод, что, продаваемое на черном рынке вредоносное ПО используется только для DDoS атак, забыв что, не во всех конечно, но во многих ботах фигурирует дополнительный функционал - socks сервер на зараженной машине.Название: Re:экспертиза, как добиться справедливости Отправлено: Igor Michailov от 07 Февраля 2008, 11:51:59 Вкорне... Т.е. если во вредоносном ПО обнаружен только модуль для DDOS атак -то хозяин компьютера попадет на нары. А если в довесок к модулю для DDOS атак во вредоносном ПО будут модули для организации socks сервера или скажем распространения спама, то пользователю ничего за это не будет? Так что-ли??Название: Re:экспертиза, как добиться справедливости Отправлено: Николай Николаевич Федотов от 07 Февраля 2008, 15:01:22 Вкорне, ввиду распространенности бот-сетей, собеседник сделал вывод, что, продаваемое на черном рынке вредоносное ПО используется только для DDoS атак, забыв что, не во всех конечно, но во многих ботах фигурирует дополнительный функционал - socks сервер на зараженной машине. Конечно же, продаваемое на черном рынке вредоносное ПО используется НЕ ТОЛЬКО для DoS-атак. Оно более универсально. Можно подключить самые разные модули, в том числе, прокси-модуль.Но я вёл речь о другом аспекте. Такое вредоносное ПО рано или поздно попадает в антивирусные базы, поскольку является массовым и активно применяется для строительства ботнетов. Следовательно, эксперт может использовать стандартные антивирусы для его обнаружения. Название: Re:экспертиза, как добиться справедливости Отправлено: f_s_b_37 от 07 Февраля 2008, 20:31:27 Цитировать Т.е. если во вредоносном ПО обнаружен только модуль для DDOS атак -то хозяин компьютера попадет на нары. А если в довесок к модулю для DDOS атак во вредоносном ПО будут модули для организации socks сервера или скажем распространения спама, то пользователю ничего за это не будет? Так что-ли?? Я говорил про скрыто установленное ПО, то есть то о котором хозяин не догадывается. Судить за по для DDoS немного глупо, а в случае наличия прокси, обвинять в чем-то становится в разы сложнее (использовать IP адрес зараженой машины, мог фактически кто угодно)Цитировать Но я вёл речь о другом аспекте. Такое вредоносное ПО рано или поздно попадает в антивирусные базы, поскольку является массовым и активно применяется для строительства ботнетов. Следовательно, эксперт может использовать стандартные антивирусы для его обнаружения.[/qutoe] Я не говорил, что сканирование антивирусом бесполезно, я лишь указываю, что не стоит использовать ненадежный метод(согласитесь, экспертиза не ждет месяцами, да и некоторые малвари могут попасть в руки к антивирусникам через месяц и три дня, а кто-то уже будет сидеть :( ), когда есть во много раз более надежный, хотя и более трудоемкий метод (анализ netflow) Название: Re:экспертиза, как добиться справедливости Отправлено: Igor Michailov от 07 Февраля 2008, 20:48:24 Ну что вы зациклились на анализе трафика. Шире надо думать. Шире.
Например, последние года два широкое "хождение" получили дисковые черви. Их никаким анализом интернет-трафика не обнаружить. ;) Название: Re:экспертиза, как добиться справедливости Отправлено: f_s_b_37 от 07 Февраля 2008, 22:17:41 Цитировать Ну что вы зациклились на анализе трафика. Шире надо думать. Шире. Дисковые черви это страшно, хуже только кольчатые ;)Например, последние года два широкое "хождение" получили дисковые черви. Их никаким анализом интернет-трафика не обнаружить. Еще раз поясню, я сейчас говорю, о вредоносных программах, ставящих на машину жертвы proxy сервер, а значит подставляющие хозяина в глазах закона (т.е хозяин этой вредоносной программы, можете совершать противозаконные действия, при этом все следы будут указывать на хозяина зараженой машины) Название: Re:экспертиза, как добиться справедливости Отправлено: Николай Николаевич Федотов от 07 Февраля 2008, 23:31:51 ...согласитесь, экспертиза не ждет месяцами, да и некоторые малвари могут попасть в руки к антивирусникам через месяц и три дня, а кто-то уже будет сидеть Не соглашусь. Экспертиза вполне ждёт и месяц, и даже два в некоторых случаях. А уж между совершением преступления и экспертизой - точно не меньше месяца проходит.... когда есть во много раз более надежный, хотя и более трудоемкий метод (анализ netflow) Надёжный? Эх! Сколько я этого нетфлоу перелопатил! Уверяю вас, его надёжность сильно преувеличена.Название: Re:экспертиза, как добиться справедливости Отправлено: Carolus от 15 Февраля 2008, 22:12:06 Цитировать Ну что вы зациклились на анализе трафика. Шире надо думать. Шире. Дисковые черви это страшно, хуже только кольчатые ;)Например, последние года два широкое "хождение" получили дисковые черви. Их никаким анализом интернет-трафика не обнаружить. Еще раз поясню, я сейчас говорю, о вредоносных программах, ставящих на машину жертвы proxy сервер, а значит подставляющие хозяина в глазах закона (т.е хозяин этой вредоносной программы, можете совершать противозаконные действия, при этом все следы будут указывать на хозяина зараженой машины) Название: Re:экспертиза, как добиться справедливости Отправлено: Igor Michailov от 16 Февраля 2008, 00:17:18 Carolus
А вот здесь я с Вами согласен. ;D Частично. Есть традиционное сравнение копмьютерных преступлений с фальшивомонетничеством, так вот тут в отличие от контрафакта нужно сравнивать даже не с попыткой расплатиться фальшивой купюрой, а с ситуацией, когда у Вас в кармане пальто находят фальшивую купюру. Ну, есть она у Вас - и что с того? Сравнение не совсем верное. Обнаружение фальшивой купюры в кармане можно сравнить с нахождением установочного дистрибутива бота на исследуемом компьютере. Если же бот на исследуемом компьютере установлен и запущен - это сродни попытке расплатиться фальшивой купюрой. ИМХО в этой ситуации доказать правоохранителям что ты "не верблюд" гораздо сложнее.Название: Re:экспертиза, как добиться справедливости Отправлено: Carolus от 18 Февраля 2008, 21:36:41 Carolus Сравнение верное. Так как бот - он "самостоятельный", в отличие от купюры. Наоборот, у тех. специалиста вызвал бы интерес дистрибутив бота ;)А вот здесь я с Вами согласен. ;D Частично. Есть традиционное сравнение копмьютерных преступлений с фальшивомонетничеством, так вот тут в отличие от контрафакта нужно сравнивать даже не с попыткой расплатиться фальшивой купюрой, а с ситуацией, когда у Вас в кармане пальто находят фальшивую купюру. Ну, есть она у Вас - и что с того? Сравнение не совсем верное. Обнаружение фальшивой купюры в кармане можно сравнить с нахождением установочного дистрибутива бота на исследуемом компьютере. Если же бот на исследуемом компьютере установлен и запущен - это сродни попытке расплатиться фальшивой купюрой. ИМХО в этой ситуации доказать правоохранителям что ты "не верблюд" гораздо сложнее.Что касается расплатиться купюрой - то здесь, да, сравнение подобно. Дело в том, что и бот, пока сидит тихо, и купюра, пока лежит в кармане, внимания правоохранителей привлечь не могут. А вот когда бот вышел в Инет, а купюра пошла в кассу - тогда интерес появляется. Разница в том, что купюра сама не умеет вылезать из кармана. Однако в век электроники, боюсь, и денежные билеты смогут подобное делать. Кстати, за подделку платёжной карты что сейчас дают? Мошенничество? Название: Re:экспертиза, как добиться справедливости Отправлено: f_s_b_37 от 20 Февраля 2008, 09:26:43 Народ, а вы случайно не в курсе, что бот может установиться и распаковаться через уязвимость в браузере\другом по, причем совершенно скрытно от хозяина (в принципе, в этом и есть смысл ботов).
Тех кто следит за безопасностью (хотя 100% следящему тоже никто не гарантирует безопасности) можно сажать? Название: Re:экспертиза, как добиться справедливости Отправлено: Николай Николаевич Федотов от 20 Февраля 2008, 14:39:32 ...бот может установиться и распаковаться через уязвимость в браузере\другом по, причем совершенно скрытно от хозяина (в принципе, в этом и есть смысл ботов). Истину изрёк.Тех кто следит за безопасностью ... можно сажать? Головою скорбен еси? Сие есть логика бесовская, на хворуме правознатцев - неуместная. |