Форум ''Интернет и Право''
18 Ноябрь 2018, 20:50:30 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1] 2 3   Вниз
  Печать  
Автор Тема: Аутентичность правонарушителя в контексте ботнета  (Прочитано 5865 раз)
Zloe Aloe
Посетитель
*
Офлайн Офлайн

Сообщений: 11



« : 06 Август 2009, 23:36:29 »

Условия задачи.

Имеются:
0) Правонарушитель
1) Ботнет
2) Конечный пользователь (поинт) какого-либо терминала ботнета

Сценарий: используя ssl-туннели, через множественно замыкающуюся динамическую цепочку терминалов ботнета, правонарушитель отправляет выбранному поинту код на исполнение. Это может быть прозрачный для поинта перехват управления его сайтом, с последующей публикацией экстремистских материалов и "режущий" сниффинг входящих пользователю сообщений по ключевым ссылкам/словам (чтобы пользователь даже не знал о данной публикации). Или скрытая установка дорогостоящего проприетарного ПО. Далее, в зависимости от целей правонарушителя, может быть как шантаж, так и подлог (с целью мести, например). После свершения злодеяния зомби-вирус самоуничтожается.

Вопросы: пользователь должен доказывать, что он не верблюд, или же то, что верблюд (правонарушитель) -- именно данный пользователь, должно доказывать следствие? Как, хотя бы теоретически, экспертиза смогла бы установить правдоподобность доводов о такого рода атаке (и стала бы)? Возможно ли законное изъятие заражённых терминалов у других поинтов на основании восстановленных логов провайдера, например? В случае, если да: а если это был рядовой пользователь Tor-а или FreeNet-а, перенаправляющий запросы, ему грозит компенсация?
« Последнее редактирование: 06 Август 2009, 23:37:52 от Zloe Aloe » Записан
roland740
Участник
**
Офлайн Офлайн

Сообщений: 203


С любовью к ближнему


« Ответ #1 : 06 Август 2009, 23:45:04 »

Внутренний голос мне указывает на неосязаемую связь данного сообщения с вот этой темой  http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=3715 Непонимающий
Записан
Zloe Aloe
Посетитель
*
Офлайн Офлайн

Сообщений: 11



« Ответ #2 : 06 Август 2009, 23:59:27 »

Внутренний голос мне указывает на неосязаемую связь данного сообщения с вот этой темой  http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=3715 Непонимающий

Интересное замечание. Именно указанная ветка подвигла меня на написание данной.
Записан
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #3 : 07 Август 2009, 00:11:57 »

Цитировать
пользователь должен доказывать, что он не верблюд, или же то, что верблюд (правонарушитель) -- именно данный пользователь, должно доказывать следствие?

Выбор за вами: обоснуйте, почему вы не верблюд, либо просто ждите Улыбающийся

Цитировать
Как, хотя бы теоретически, экспертиза смогла бы установить правдоподобность доводов о такого рода атаке (и стала бы)?

Смогла, в 90% случаях "самоуничтожения" клиентской части ботнета. К счастью, как говорил один автор одной статьи в журнале Phrack: "hacking sucks потому что находится на уровне 90ых годов" (вольный перевод, часть фразы сохранена в оригинале для передачи смысла).

Цитировать
Возможно ли законное изъятие заражённых терминалов у других поинтов на основании восстановленных логов провайдера, например?

Если я из идеологических соображений держу большой ханинет в сети Tor, а на дорогие игрушки зарабатываю якобы не ведущим логи сервисом OpenVPN, то почему бы и нет? Улыбающийся По поводу возможности использования данных с ханипотов в суде слушайте интервью одной шишки проекта HoneyNet.

Цитировать
В случае, если да: а если это был рядовой пользователь Tor-а или FreeNet-а, перенаправляющий запросы, ему грозит компенсация?

Нет. И тут надо вносить ясность: факт использования машины в качестве узла какой-либо анонимной сети вовсе не значит, что оператор данного узла не имеет отношения к действиям, совершенным с использованием данного узла. Последнее время проект Tor слишком много времени уделяет пропаганде ложной информации об обратном.
Записан
Zloe Aloe
Посетитель
*
Офлайн Офлайн

Сообщений: 11



« Ответ #4 : 07 Август 2009, 00:31:57 »

Цитировать
пользователь должен доказывать, что он не верблюд, или же то, что верблюд (правонарушитель) -- именно данный пользователь, должно доказывать следствие?

Выбор за вами: обоснуйте, почему вы не верблюд, либо просто ждите Улыбающийся

Меня интересует, как следствие могло бы обосновать причастность поинта, заявляющего о дырявости своей винды (с трудом представляю nix-оида, поступающего подобно ему Подмигивающий ) и подверженности руткитам в суровых условиях интернета, к вменяемому ему правонарушению.

Цитировать
Как, хотя бы теоретически, экспертиза смогла бы установить правдоподобность доводов о такого рода атаке (и стала бы)?

Смогла, в 90% случаях "самоуничтожения" клиентской части ботнета. К счастью, как говорил один автор одной статьи в журнале Phrack: "hacking sucks потому что находится на уровне 90ых годов" (вольный перевод, часть фразы сохранена в оригинале для передачи смысла).

Я не понял Вас. Так как же?

Цитировать
В случае, если да: а если это был рядовой пользователь Tor-а или FreeNet-а, перенаправляющий запросы, ему грозит компенсация?

Нет. И тут надо вносить ясность: факт использования машины в качестве узла какой-либо анонимной сети вовсе не значит, что оператор данного узла не имеет отношения к действиям, совершенным с использованием данного узла. Последнее время проект Tor слишком много времени уделяет пропаганде ложной информации об обратном.

Очень любопытно... И что же российское законодательство вменяет в подобных случаях "операторам"? Пособничество?
Записан
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #5 : 07 Август 2009, 00:58:31 »

Цитировать
Очень любопытно... И что же российское законодательство вменяет в подобных случаях "операторам"? Пособничество?

Мнение Ильи Сачкова из Group-IB:
Цитировать
это нарушение закона "о Связи", а так же недавнего постановления ФСБ.
Вообще на такую деятельность нужна лицензия (предоставление телематических услуг)
за деятельность без лицензии большие штрафы. Если эта деятельность принесла ущерб, то возможно заключение (например при помощи ващего сервиса совершались компьютерные преступления). За деятельность с лицензией, но нарушении закона о связи и инструкции фсб - будет вообще не очень приятно.
(Источник - секлаб; речь идет об анонимных сервисах VPN)

А вообще, я имел в виду, что без определенных действий относительно узлов анонимных сетей довольно трудно сказать, что определенное действие было совершено анонимным пользователем, но не оператором узла. Поэтому истерия по поводу изъятия серверов какой-либо сети (например, Tor) является не более чем методом агитации со стороны, кхм, темной стороны улицы.

Цитировать
Я не понял Вас. Так как же?

Может ли фокусник распилить девушку пополам? Да. Как? А вот это уже думайте сами.
Разработчики современных ботнетов редко обращаются к специалистам за помощью в организации "правильного подхода к уничтожению данных" (речь не идет о том, что лучше - 10 проходов перезаписи или 60). А те, кто обращается, легко вычисляется на этом форуме Улыбающийся

Цитировать
Меня интересует, как следствие могло бы обосновать причастность поинта, заявляющего о дырявости своей винды (с трудом представляю nix-оида, поступающего подобно ему  ) и подверженности руткитам в суровых условиях интернета, к вменяемому ему правонарушению.

Так обосновать или доказать? И что такое "поинт" (сходка?)? То, что вы тут пытаетесь рассказать является тактикой "Trojan defence" (не я дефейсил, а кулхацкер использовал мой комп установив на него прокси) и против этой тактики уже были разработаны эффективные методы.
« Последнее редактирование: 07 Август 2009, 01:04:45 от eleron » Записан
Zloe Aloe
Посетитель
*
Офлайн Офлайн

Сообщений: 11



« Ответ #6 : 07 Август 2009, 01:58:02 »

Мнение Ильи Сачкова из Group-IB:
Цитировать
это нарушение закона "о Связи", а так же недавнего постановления ФСБ.
Вообще на такую деятельность нужна лицензия (предоставление телематических услуг)
за деятельность без лицензии большие штрафы. Если эта деятельность принесла ущерб, то возможно заключение (например при помощи ващего сервиса совершались компьютерные преступления). За деятельность с лицензией, но нарушении закона о связи и инструкции фсб - будет вообще не очень приятно.
(Источник - секлаб; речь идет об анонимных сервисах VPN)

Це жесть. Я, конечно, погуглю на тему этих законов/постановлений, но если сразу к делу: насколько велика юридическая аудитория, разделяющая изложенную т.з.?

А вообще, я имел в виду, что без определенных действий относительно узлов анонимных сетей довольно трудно сказать, что определенное действие было совершено анонимным пользователем, но не оператором узла.

При правильном проектировании, суть, невозможно. Если, конечно,
  • ((а)) все известные, не абсолютно стойкие, шифры не ломаемы секретными исследованиями математики (и, даже если так, на правах Неуловимого Джо...);
  • ((б)) все данные, а также MAC и время перессылки, от коммутаторов включительно (хотя, вру, есть же и физические протоколы... расширим на концентраторы), не направляются в единую информационную базу данных (здесь даже Неуловимым Джо быть не нужно, достаточно подключиться и посниффить);
  • ((в)) нам, в тёмные недра системы (SMM вполне подойдёт), уже не внедрён Шпионский Модуль, отслеживающий "подозрительные" действия пользователя (или действия "подозрительных" пользователей. Мы ещё не определились окончательно с терминологией), под которые подпадает просмотр wasm.ru, запуск SoftICE, написание шарад на Путина... хмм... жирный, должно быть, Модуль... ;
  • ((г)) а экстрасенсы на службе у государства не мрут со скуки.
Если хоть один тезис нарушается, то да, появляется теоретический шанс поиметь злоумышленника. Для перестраховки от "ручного" перехвата ботнета могут использоваться кластеры секретных вычислений -- покуда, по-меньшей мере, половина группы не будет перехвачена, он будет работоспособен, и никто (ежели не подвид ((а))) не в силах будет исказить его работу.

Цитировать
Меня интересует, как следствие могло бы обосновать причастность поинта, заявляющего о дырявости своей винды (с трудом представляю nix-оида, поступающего подобно ему  ) и подверженности руткитам в суровых условиях интернета, к вменяемому ему правонарушению.

Так обосновать или доказать? И что такое "поинт" (сходка?)? То, что вы тут пытаетесь рассказать является тактикой "Trojan defence" (не я дефейсил, а кулхацкер использовал мой комп установив на него прокси) и против этой тактики уже были разработаны эффективные методы.

  • Правильней -- доказать.
  • Использовал привычную мне терминологию, заимствованную из фидонета, возможно -- неудачно; здесь: поинт -- конечный узел, "пожиратель" вредоносного кода (остальные -- ретрансляторы-решифраторы).
  • Я хочу знать об этих методах, ибо откровения для меня то великое, что можно доказать подобное. Оговорюсь: случаи скриптокиддинга или, тем паче, манипуляции с closesource-конструкторами сомнительного происхождения и воздействия, не рассматриваются в виду их клиничности.
« Последнее редактирование: 07 Август 2009, 02:31:16 от Zloe Aloe » Записан
JAW
Участник
**
Офлайн Офлайн

Сообщений: 661


С любовью к ближнему


« Ответ #7 : 07 Август 2009, 05:39:51 »

Цитировать
Цитата: eleron link=board=9;threadid=3729;start=0#54675
Так обосновать или доказать? И что такое "поинт" (сходка?)?
Очевидно, что поинт - точка. Или пользователь.
Термин времём FidoNet (фактически безправный участник сети, нижний уровень иерархии адрес типа 2:5020/300.3).

Но насколько понимаю, в данном случае по российской практике крайним будет тот ламер, который подловил бот, ибо разыскивать владельца ботнета, это как минимум нужно оторвать задницу от стула...
Записан
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #8 : 07 Август 2009, 14:01:39 »

Цитировать
При правильном проектировании, суть, невозможно. Если, конечно,

Чушь. Возможно в случае с Tor и различными сетями OpenVPN.

Цитировать
((а)) все известные, не абсолютно стойкие, шифры не ломаемы секретными исследованиями математики (и, даже если так, на правах Неуловимого Джо...);

Как это относится к процитированной вами фразе?

Цитировать
((б)) все данные, а также MAC и время перессылки, от коммутаторов включительно (хотя, вру, есть же и физические протоколы... расширим на концентраторы), не направляются в единую информационную базу данных (здесь даже Неуловимым Джо быть не нужно, достаточно подключиться и посниффить);

Ну раз уж вы поперли в эту оперу (хотя к моей процитированной фразе это не относится), то скажу, что ранние исследования OR показали, что для раскрытия всей цепочки узлов, участвующих в передаче данных, достаточно одного "скомпрометированного" узла. Единственное условие - малая задержка передачи данных.

Цитировать
((в)) нам, в тёмные недра системы (SMM вполне подойдёт), уже не внедрён Шпионский Модуль, отслеживающий "подозрительные" действия пользователя (или действия "подозрительных" пользователей. Мы ещё не определились окончательно с терминологией), под которые подпадает просмотр wasm.ru, запуск SoftICE, написание шарад на Путина... хмм... жирный, должно быть, Модуль... ;
((г)) а экстрасенсы на службе у государства не мрут со скуки.

Если хоть один тезис нарушается, то да, появляется теоретический шанс поиметь злоумышленника. Для перестраховки от "ручного" перехвата ботнета могут использоваться кластеры секретных вычислений -- покуда, по-меньшей мере, половина группы не будет перехвачена, он будет работоспособен, и никто (ежели не подвид ((а))) не в силах будет исказить его работу.

Вы, случаем, pgpru не почитываете? Улыбающийся Т.к. по смыслу в этот список можно добавить квантовый компьютер в подвалах Кремля, криптоанализ инопланетными технологиями из Зоны 51 и другие актуальные угрозы для пользователей Подмигивающий

Цитировать
Я хочу знать об этих методах, ибо откровения для меня то великое, что можно доказать подобное. Оговорюсь: случаи скриптокиддинга или, тем паче, манипуляции с closesource-конструкторами сомнительного происхождения и воздействия, не рассматриваются в виду их клиничности.

По роду своих занятий я общаюсь со многими кодерами, которые пишут руткиты и другое вредоносное ПО. И могу смело сказать: есть среди них люди опытные, но и для них данные слова тоже станут "откровением" Улыбающийся Просто даже программист не знает всех особенностей системы, под которую пишет. А вот эксперт знает Улыбающийся
Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #9 : 07 Август 2009, 16:24:23 »

...0) Правонарушитель
...терминала ботнета
...поинту
...прозрачный для поинта перехват
...подлог
...зомби-вирус
...пользователь
...правдоподобность доводов
...логов провайдера
...грозит компенсация
Уважаемый участник форума использует термины, которые, возможно, понятны участникам его узкой тусовки. Но общепринятыми в среде ИТ-специалистов эти термины не являются. Тем более, на юридическом форуме.

Неудивительно, что никто не высказался по проблеме.

Рекомендую топикстартеру переформулировать вопросы с использованием более официальных терминов. Тогда он может рассчитывать на консультацию.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Страниц: [1] 2 3   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2018. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).
Rambler's Top100

Произвольная ссылка:

Powered by SMF 1.1.21 | SMF © 2011, Simple Machines