Форум ''Интернет и Право''
28 Ноября 2024, 23:53:44 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1] 2 3   Вниз
  Печать  
Автор Тема: экспертиза, как добиться справедливости  (Прочитано 12970 раз)
f_s_b_37
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 46


голодный студет

1522235
« : 06 Февраля 2008, 04:00:20 »

На этом форуме были выложены сканы задач экспертам, и заключений этих самых "экспертов"(простите, без ковычек никак).
Обратило на себя внимание то обстоятельство, что в задачу экспертов не входит поиск программ, позволяющих использовать выходить в сеть с именем, простите, IP-адресом субъекта, проще говоря socks и proxy ботов. Да и, такая задача (нетривиальная, если только речь не идет сканирвоанием содержимого антивирусной программой, не забывайте, что далеко не все "зверюшки" находятся антивирусами)  очень трудоемка, и требует больших затрат времени и высокого уровня технических знаний. А так как практически у каждого человека, за исключением домохозяек, использующих компьютер для поиска рецептов, установленно ПО, которое "эксперты" с радостью  охарактеризуют как вредоносное, от фемиды могут пострадать совершенно невиновные люди...
Я где-то ошибся в своих суждениях?
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #1 : 06 Февраля 2008, 05:32:17 »

"То, что Вы еще не сидите - это не Ваша заслуга, а наша недоработка. "
Ф. Э. Дзержинский.

Абстрагируясь от термина вредоносности и от вопроса о том, имеет ли эксперт право признавать ПО вредоносным (копий на форуме на эту тему было сломано не мало). Могу пояснить, что эксперт, обладая специальными познаниями, всего лишь констатирует факты: этот предмет - белый, этот предмет - черный. То обстоятельство, что обладатели черных предметов должны сидеть в тюрьме - это не вопрос к эксперту. Это вопрос к законодателю.

Как говорится "Dura lex, sed lex. "
« Последнее редактирование: 06 Февраля 2008, 06:12:21 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #2 : 06 Февраля 2008, 11:46:23 »

... проще говоря socks и proxy ботов. Да и, такая задача (нетривиальная, если только речь не идет сканирвоанием содержимого антивирусной программой, не забывайте, что далеко не все "зверюшки" находятся антивирусами)  очень трудоемка, и требует больших затрат времени и высокого уровня технических знаний.
Отнюдь. Во-первых, антивирусы справляются с этим великолепно. Учитывая особенности распространения троянских программ, надо только выждать месяц и использовать для проверки 3-4 различных антивируса. Во-вторых, троянские программы несложно выявить путём анализа трафика, in vivo, так сказать.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
f_s_b_37
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 46


голодный студет

1522235
« Ответ #3 : 06 Февраля 2008, 15:39:54 »

Николай Николаевич Федотов    
есть замечательный сервис http://virustotal.com , и уверяю Вас, что распространители\создатели  малварей прекрасно умеют им пользоваться, то есть первые не заплатят вторым, если хотябы один из церберов будет узнавать в программе вредоносную.  Смысл эвристики в том, что находятся только те программы, которые попали в руки антивирусников (да и то с оговоркой, поправил два бита, и программа уже легальная, не говоря уже про более хитрые методы сокрытия, использование полиморфных технологий, например). Да и месяц в этом смысле не срок.
Насчет анализа трафика вы правы, это может помочь, но что-то сомневаюсь, что его поводят, к тому же работать в этом смысле лучше с netflow со своими теническими заморочками.
Igor Michailov    
отделить черное от белого в grayscale мире дело довольно сложное, и не для дальтоников Подмигивающий .
А lex, в нашем случае, воистину дура...
Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #4 : 06 Февраля 2008, 18:17:03 »

Да и месяц в этом смысле не срок.
Как раз в ЭТОМ смысле месяц - вполне себе срок. Два месяца - совсем хорошо, но и одного достаточно. Мы ж не операцию Моссада расследуем, а ищем заурядный МАССОВЫЙ троян. Такие трояны всегда попадают в базы антивирусов.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
f_s_b_37
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 46


голодный студет

1522235
« Ответ #5 : 06 Февраля 2008, 21:42:41 »

А если мне поевезет, и я словлю не массовый? =\ Сейчас большое количетсво малварей продаются за деньги, причем немалые, что сильно ограничивает "Массовость". Надеяться на антивирусы тут нельзя, ибо 100 или хотябы 90 % гарантии он дать не может. Так что остается только, уже упомянутый анализ трафика, который, как упоминалось, не проводится.
Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #6 : 06 Февраля 2008, 22:15:11 »

А если мне поевезет, и я словлю не массовый? =\ Сейчас большое количетсво малварей продаются за деньги, причем немалые, что сильно ограничивает "Массовость".
Мой многоуважаемый собеседник привёл совершенно верный аргумент, но вывод из него сделал противоположный верному. Действительно, новые (т.н. "0-day") эксплоиты и трояны продаются на чёрном рынке за невырожденные суммы. Именно поэтому их покупают и используют только для строительства массовых зомби-сетей (ботнетов). Иначе они не окупаются.

Вероятность заразиться "немассовым" трояном примерно соответствует вероятности отравиться полонием.  Подмигивающий
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
f_s_b_37
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 46


голодный студет

1522235
« Ответ #7 : 06 Февраля 2008, 23:42:28 »

Цитировать
Действительно, новые (т.н. "0-day") эксплоиты и трояны продаются на чёрном рынке за невырожденные суммы. Именно поэтому их покупают и используют только для строительства массовых зомби-сетей (ботнетов). Иначе они не окупаются.
Вы ошибаетесь, а точнее упускаете одну маленькую деталь. DDoS бот (то есть программа, заразившись которой, компьютер становится частью бот-сети), это вещь многофункциональная. Оно и логично, если создан скелет, позволящий скрывать процесс в системе, и сетевую активность, то помимо модулей для DDoS атак, можно добавить модули для брутофорс атаки на хэши (в основном md5 и sha-1) и собственно поднятие на зараженной машине прокси сервера.
Не хочу быть голословным, поэтому предлагаю ознакомиться с описаниями популярных некогда зловредных программ illusion http://sellcvv2.blogspot.com/2007/11/illusion-ddos-bot.html и barracuda http://sellcvv2.blogspot.com/2008/01/barracuda-bot-v3.html в обоих случаях есть возможность поднимать socks-proxy (я понимаю, что две зверюшки не показатель, но, поверьте, socks сервер в списке функциональности бота далеко не редкость)
« Последнее редактирование: 06 Февраля 2008, 23:43:26 от f_s_b_37 » Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #8 : 07 Февраля 2008, 03:55:06 »

Вы ошибаетесь, а точнее упускаете одну маленькую деталь...
Эта "маленькая деталь" что-то принципиально меняет?
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
f_s_b_37
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 46


голодный студет

1522235
« Ответ #9 : 07 Февраля 2008, 10:47:30 »

Цитировать
Эта "маленькая деталь" что-то принципиально меняет?
Вкорне, ввиду распространенности бот-сетей, собеседник сделал вывод, что, продаваемое на черном рынке вредоносное ПО используется только для DDoS атак, забыв что, не во всех конечно, но во многих ботах фигурирует дополнительный функционал - socks сервер на зараженной машине.
Записан
Страниц: [1] 2 3   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines