следующая тема »

[Igor Michailov]

Вкорне...

Т.е. если во вредоносном ПО обнаружен только модуль для DDOS  атак -то хозяин компьютера попадет на нары. А если в довесок к модулю для DDOS  атак во вредоносном ПО будут модули для организации socks сервера или скажем распространения спама, то пользователю ничего за это не будет? Так что-ли??

[Николай Николаевич Федотов]

Вкорне, ввиду распространенности бот-сетей, собеседник сделал вывод, что, продаваемое на черном рынке вредоносное ПО используется только для DDoS атак, забыв что, не во всех конечно, но во многих ботах фигурирует дополнительный функционал - socks сервер на зараженной машине.

Конечно же, продаваемое на черном рынке вредоносное ПО используется НЕ ТОЛЬКО для DoS-атак. Оно более универсально. Можно подключить самые разные модули, в том числе, прокси-модуль.

Но я вёл речь о другом аспекте. Такое вредоносное ПО рано или поздно попадает в антивирусные базы, поскольку является массовым и активно применяется для строительства ботнетов. Следовательно, эксперт может использовать стандартные антивирусы для его обнаружения.

[f_s_b_37]

Т.е. если во вредоносном ПО обнаружен только модуль для DDOS  атак -то хозяин компьютера попадет на нары. А если в довесок к модулю для DDOS  атак во вредоносном ПО будут модули для организации socks сервера или скажем распространения спама, то пользователю ничего за это не будет? Так что-ли??

Я говорил про скрыто установленное ПО, то есть то о котором хозяин не догадывается. Судить за по для  DDoS немного глупо, а в случае наличия прокси, обвинять в чем-то становится в разы сложнее (использовать IP адрес зараженой машины, мог фактически кто угодно)

Но я вёл речь о другом аспекте. Такое вредоносное ПО рано или поздно попадает в антивирусные базы, поскольку является массовым и активно применяется для строительства ботнетов. Следовательно, эксперт может использовать стандартные антивирусы для его обнаружения.[/qutoe]
Я не  говорил, что сканирование антивирусом бесполезно, я лишь указываю, что не стоит использовать ненадежный метод(согласитесь, экспертиза не ждет месяцами, да и некоторые малвари могут попасть в руки к антивирусникам через месяц и три дня, а кто-то уже будет сидеть ), когда есть во много раз более надежный, хотя и более трудоемкий метод (анализ netflow)

[Igor Michailov]

Ну что вы зациклились на анализе трафика. Шире надо думать. Шире.
Например, последние года два широкое "хождение" получили дисковые черви. Их никаким анализом интернет-трафика не обнаружить.

[f_s_b_37]

Ну что вы зациклились на анализе трафика. Шире надо думать. Шире.
Например, последние года два широкое "хождение" получили дисковые черви. Их никаким анализом интернет-трафика не обнаружить.

Дисковые черви это страшно, хуже только кольчатые
Еще раз поясню, я сейчас говорю, о вредоносных программах, ставящих на машину жертвы proxy сервер, а значит подставляющие хозяина в глазах закона (т.е хозяин этой вредоносной программы, можете совершать противозаконные действия, при этом все следы будут указывать на хозяина зараженой машины)

[Николай Николаевич Федотов]

...согласитесь, экспертиза не ждет месяцами, да и некоторые малвари могут попасть в руки к антивирусникам через месяц и три дня, а кто-то уже будет сидеть

Не соглашусь. Экспертиза вполне ждёт и месяц, и даже два в некоторых случаях. А уж между совершением преступления и экспертизой - точно не меньше месяца проходит.

... когда есть во много раз более надежный, хотя и более трудоемкий метод (анализ netflow)

Надёжный? Эх! Сколько я этого нетфлоу перелопатил! Уверяю вас, его надёжность сильно преувеличена.

[Carolus]

Ну что вы зациклились на анализе трафика. Шире надо думать. Шире.
Например, последние года два широкое "хождение" получили дисковые черви. Их никаким анализом интернет-трафика не обнаружить.

Дисковые черви это страшно, хуже только кольчатые
Еще раз поясню, я сейчас говорю, о вредоносных программах, ставящих на машину жертвы proxy сервер, а значит подставляющие хозяина в глазах закона (т.е хозяин этой вредоносной программы, можете совершать противозаконные действия, при этом все следы будут указывать на хозяина зараженой машины)

Наличие на компьютере proxy сервера ещё не делает гражданина преступником. Надо доказать, что он его использовал, распространял, хранил умышленно. Есть традиционное сравнение копмьютерных преступлений с фальшивомонетничеством, так вот тут в отличие от контрафакта нужно сравнивать даже не с попыткой расплатиться фальшивой купюрой, а с ситуацией, когда у Вас в кармане пальто находят фальшивую купюру. Ну, есть она у Вас - и что с того? И бот у Вас есть - дальше что? Спросите эксперта - может ли этот бот сам установиться на Ваш комп при кривой защите? Если ответ будет нет - значит, это не бот Если ответ будет да - значит, умысел не доказан. Сравните: если в квартире, которая не закрывается на ключ, обнаружат наркоту - сумеют доказать умысел на хранение наркоты? Нет, разумеется.

[Igor Michailov]

Carolus
А вот здесь я с Вами согласен.
Частично.

Есть традиционное сравнение копмьютерных преступлений с фальшивомонетничеством, так вот тут в отличие от контрафакта нужно сравнивать даже не с попыткой расплатиться фальшивой купюрой, а с ситуацией, когда у Вас в кармане пальто находят фальшивую купюру. Ну, есть она у Вас - и что с того?

Сравнение не совсем верное. Обнаружение фальшивой купюры в кармане можно сравнить с нахождением установочного дистрибутива бота на исследуемом компьютере. Если же бот на исследуемом компьютере установлен и запущен - это сродни попытке расплатиться фальшивой купюрой. ИМХО в этой ситуации доказать правоохранителям что ты "не верблюд" гораздо сложнее.

[Carolus]

Carolus
А вот здесь я с Вами согласен.
Частично.

Есть традиционное сравнение копмьютерных преступлений с фальшивомонетничеством, так вот тут в отличие от контрафакта нужно сравнивать даже не с попыткой расплатиться фальшивой купюрой, а с ситуацией, когда у Вас в кармане пальто находят фальшивую купюру. Ну, есть она у Вас - и что с того?

Сравнение не совсем верное. Обнаружение фальшивой купюры в кармане можно сравнить с нахождением установочного дистрибутива бота на исследуемом компьютере. Если же бот на исследуемом компьютере установлен и запущен - это сродни попытке расплатиться фальшивой купюрой. ИМХО в этой ситуации доказать правоохранителям что ты "не верблюд" гораздо сложнее.

Сравнение верное. Так как бот - он "самостоятельный", в отличие от купюры. Наоборот, у тех. специалиста вызвал бы интерес дистрибутив бота

Что касается расплатиться купюрой - то здесь, да, сравнение подобно. Дело в том, что и бот, пока сидит тихо, и купюра, пока лежит в кармане, внимания правоохранителей привлечь не могут. А вот когда бот вышел в Инет, а купюра пошла в кассу - тогда интерес появляется. Разница в том, что купюра сама не умеет вылезать из кармана. Однако в век электроники, боюсь, и денежные билеты смогут подобное делать. Кстати, за подделку платёжной карты что сейчас дают? Мошенничество?

[f_s_b_37]

Народ, а вы случайно не в курсе, что бот может установиться и распаковаться через уязвимость в браузере\другом по, причем совершенно скрытно от хозяина (в принципе, в этом и есть смысл ботов).
Тех кто следит за безопасностью (хотя 100% следящему тоже никто не гарантирует безопасности) можно сажать?