Форум ''Интернет и Право''

Условия задачи.

Имеются:
0) Правонарушитель
1) Ботнет
2) Конечный пользователь (поинт) какого-либо терминала ботнета

Сценарий: используя ssl-туннели, через множественно замыкающуюся динамическую цепочку терминалов ботнета, правонарушитель отправляет выбранному поинту код на исполнение. Это может быть прозрачный для поинта перехват управления его сайтом, с последующей публикацией экстремистских материалов и "режущий" сниффинг входящих пользователю сообщений по ключевым ссылкам/словам (чтобы пользователь даже не знал о данной публикации). Или скрытая установка дорогостоящего проприетарного ПО. Далее, в зависимости от целей правонарушителя, может быть как шантаж, так и подлог (с целью мести, например). После свершения злодеяния зомби-вирус самоуничтожается.

Вопросы: пользователь должен доказывать, что он не верблюд, или же то, что верблюд (правонарушитель) -- именно данный пользователь, должно доказывать следствие? Как, хотя бы теоретически, экспертиза смогла бы установить правдоподобность доводов о такого рода атаке (и стала бы)? Возможно ли законное изъятие заражённых терминалов у других поинтов на основании восстановленных логов провайдера, например? В случае, если да: а если это был рядовой пользователь Tor-а или FreeNet-а, перенаправляющий запросы, ему грозит компенсация?

Внутренний голос мне указывает на неосязаемую связь данного сообщения с вот этой темой  http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=3715 ???

Интересное замечание. Именно указанная ветка подвигла меня на написание данной.

Выбор за вами: обоснуйте, почему вы не верблюд, либо просто ждите :)


Смогла, в 90% случаях "самоуничтожения" клиентской части ботнета. К счастью, как говорил один автор одной статьи в журнале Phrack: "hacking sucks потому что находится на уровне 90ых годов" (вольный перевод, часть фразы сохранена в оригинале для передачи смысла).


Если я из идеологических соображений держу большой ханинет в сети Tor, а на дорогие игрушки зарабатываю якобы не ведущим логи сервисом OpenVPN, то почему бы и нет? :) По поводу возможности использования данных с ханипотов в суде слушайте интервью одной шишки проекта HoneyNet.


Нет. И тут надо вносить ясность: факт использования машины в качестве узла какой-либо анонимной сети вовсе не значит, что оператор данного узла не имеет отношения к действиям, совершенным с использованием данного узла. Последнее время проект Tor слишком много времени уделяет пропаганде ложной информации об обратном.

Меня интересует, как следствие могло бы обосновать причастность поинта, заявляющего о дырявости своей винды (с трудом представляю nix-оида, поступающего подобно ему ;) ) и подверженности руткитам в суровых условиях интернета, к вменяемому ему правонарушению.


Я не понял Вас. Так как же?


Очень любопытно... И что же российское законодательство вменяет в подобных случаях "операторам"? Пособничество?

Мнение Ильи Сачкова из Group-IB:
(Источник - секлаб; речь идет об анонимных сервисах VPN)

А вообще, я имел в виду, что без определенных действий относительно узлов анонимных сетей довольно трудно сказать, что определенное действие было совершено анонимным пользователем, но не оператором узла. Поэтому истерия по поводу изъятия серверов какой-либо сети (например, Tor) является не более чем методом агитации со стороны, кхм, темной стороны улицы.


Может ли фокусник распилить девушку пополам? Да. Как? А вот это уже думайте сами.
Разработчики современных ботнетов редко обращаются к специалистам за помощью в организации "правильного подхода к уничтожению данных" (речь не идет о том, что лучше - 10 проходов перезаписи или 60). А те, кто обращается, легко вычисляется на этом форуме :)


Так обосновать или доказать? И что такое "поинт" (сходка?)? То, что вы тут пытаетесь рассказать является тактикой "Trojan defence" (не я дефейсил, а кулхацкер использовал мой комп установив на него прокси) и против этой тактики уже были разработаны эффективные методы.

Це жесть. Я, конечно, погуглю на тему этих законов/постановлений, но если сразу к делу: насколько велика юридическая аудитория, разделяющая изложенную т.з.?


При правильном проектировании, суть, невозможно. Если, конечно,

• ((а)) все известные, не абсолютно стойкие, шифры не ломаемы секретными исследованиями математики (и, даже если так, на правах Неуловимого Джо...);
• ((б)) все данные, а также MAC и время перессылки, от коммутаторов включительно (хотя, вру, есть же и физические протоколы... расширим на концентраторы), не направляются в единую информационную базу данных (здесь даже Неуловимым Джо быть не нужно, достаточно подключиться и посниффить);
• ((в)) нам, в тёмные недра системы (SMM вполне подойдёт), уже не внедрён Шпионский Модуль, отслеживающий "подозрительные" действия пользователя (или действия "подозрительных" пользователей. Мы ещё не определились окончательно с терминологией), под которые подпадает просмотр wasm.ru, запуск SoftICE, написание шарад на Путина... хмм... жирный, должно быть, Модуль... ;
• ((г)) а экстрасенсы на службе у государства не мрут со скуки.

Если хоть один тезис нарушается, то да, появляется теоретический шанс поиметь злоумышленника. Для перестраховки от "ручного" перехвата ботнета могут использоваться кластеры секретных вычислений -- покуда, по-меньшей мере, половина группы не будет перехвачена, он будет работоспособен, и никто (ежели не подвид ((а))) не в силах будет исказить его работу.

• Правильней -- доказать.
• Использовал привычную мне терминологию, заимствованную из фидонета, возможно -- неудачно; здесь: поинт -- конечный узел, "пожиратель" вредоносного кода (остальные -- ретрансляторы-решифраторы).
• Я хочу знать об этих методах, ибо откровения для меня то великое, что можно доказать подобное. Оговорюсь: случаи скриптокиддинга или, тем паче, манипуляции с closesource-конструкторами сомнительного происхождения и воздействия, не рассматриваются в виду их клиничности.

Чушь. Возможно в случае с Tor и различными сетями OpenVPN.


Как это относится к процитированной вами фразе?


Ну раз уж вы поперли в эту оперу (хотя к моей процитированной фразе это не относится), то скажу, что ранние исследования OR показали, что для раскрытия всей цепочки узлов, участвующих в передаче данных, достаточно одного "скомпрометированного" узла. Единственное условие - малая задержка передачи данных.


Вы, случаем, pgpru не почитываете? :) Т.к. по смыслу в этот список можно добавить квантовый компьютер в подвалах Кремля, криптоанализ инопланетными технологиями из Зоны 51 и другие актуальные угрозы для пользователей ;)


По роду своих занятий я общаюсь со многими кодерами, которые пишут руткиты и другое вредоносное ПО. И могу смело сказать: есть среди них люди опытные, но и для них данные слова тоже станут "откровением" :) Просто даже программист не знает всех особенностей системы, под которую пишет. А вот эксперт знает :)

Уважаемый участник форума использует термины, которые, возможно, понятны участникам его узкой тусовки. Но общепринятыми в среде ИТ-специалистов эти термины не являются. Тем более, на юридическом форуме.

Неудивительно, что никто не высказался по проблеме.

Рекомендую топикстартеру переформулировать вопросы с использованием более официальных терминов (http://forensics.ru/teza.html). Тогда он может рассчитывать на консультацию.

По-всей видимости, Вы подразумеваете обратную трассировку пакета. Мне действительно интересно, как Вам представляется возможным отследить оную в условиях цепочки ботнетных терминалов, находящихся в разных уголках мира и выходящих через различных провайдеров.


Следующим образом: если предположить зелёных человечков и Атлантиду, то возможно всё. Впрочем, пункт ((а)), хоть и кра-а-айне маловероятен, но, допускаю, возможен.



Насколько я понимаю, мы возвращаемся к сценарию трассировки пакета. Несколько замечаний (подправьте, если посчитаете нужным):

• (1) При правильно построенном протоколе дочерний узел будет знать разве что о родительском, и о дочернем для него. Значит, для дальнейшей обработки будет необходим доступ к оным, или же лог хостера (опущу один малый нюанс по поводу последнего).
• (2) Пусть мы раскрыли всю (!) архитектуру ботнетной сети (не иначе как с помощью Силы...), и даже достали несколько заражённых терминалов. В условиях шифрованного трафика и правильного проектирования это никоим образом не поможет вывести на терминал ГлавВреда. Если шифрпакеты будут передаваться недревовидно и избыточно, его терминал будет неотличим от всех прочих заражённых терминалов.
• (3) Присовокупим то, что ему достаточно загрузить на несколько (в целях надёжности) зомби сценарий с функцией контроля исполнения, и задача нахождения его вообще сведётся к конспектированию истории трафика всего мира.

Нет. Я его пописываю (шутка).


Извольте заметить. Сейчас мы рассматриваем возможность поимки управляющего ботнетом. Но темы восстановления из воздуха самоуничтожившейся после грязных злодеяний копии руткита мы даже не коснулись. Как эксперт может доказать отсутствие подобного заражения в заданном временном интервале (подразумевается, что терминал пользователя активно использовал шифрканалы для связи с "малонадёжными" ресурсами)?
Если эксперт всё-таки сможет это сделать... мы готовы снять перед ним свою Волшебную Шляпу.

Николай Николаевич Федотов, ясно, спасибо. Постараюсь в ближайшее время изучить означенный документ и привести свою терминологию здесь в надлежащий вид.

Нет, речь шла о том, что без исследования сервера, который использовался, скажем, в сети Tor, трудно сказать, что данный сервер был всего лишь "перевалочным пунктом" (пример: некоторые узлы пишут сетевой трафик, а он может дать много информации о реальном злодее).

Вы, видимо, пытаетесь вывести дискуссию в русло, которое приведет к получению ответов на самые вкусные вопросы :)


Хостера?!


Зачем раскрывать "всю (!)" архитектуру ботнет-сети? О чем это вы?


Поможет. Достаточно организовать "потерю пакетов" на каком-либо участке вашей ботнет-сети и будет получено много интересной информации. Еще больше - если организовать дополнительную нагрузку на узлы передачи данных. При чем для этого даже не надо использовать системы легального перехвата (типа Солеры, которая заточена на ботнеты).


Покрывающий трафик и неравномерное распределение зашифрованных потоков данных по различным узлам является неэффективным противодействием анализу трафика. Проект Tor уже об этом давно узнал.


Это вы о чем?


Кто "мы"? Почему именно "из воздуха"? Эксперт, конечно, может вам на сервер и пиратский Windows XP поставить, но, по-хорошему, данные из воздуха не появятся - в системе останутся следы загрузки и запуска исполняемых файлов руткита, следы его работы и это лишь в конфигурациях обычного виндовс без упора на безопасность.

Думаю, все ваши рассуждения и домыслы можно оформить в виде списка следующих вопросов:

1) Как правоохранительные органы расследуют компьютерные преступления и инциденты безопасности, в которых использовались ботнет-сети и стойкая криптография?
2) Как целиком и полностью подчистить за собой в чужой системе?

Ответы на эти вопросы вы вряд ли получите по 2 причинам: никто не хочет давать преступникам методы совершения идеальных преступлений, лучше пусть они продолжают думать, что существующие средства обеспечивают 100% безопасность; грамотный и развернутый ответ потребует написания книги.

Разумеется.


*бьюсь головой о клавиатуру*: провайдера, конечно.


Всё, что я хотел сказать, так это то, что данная информация не эффективна для идентефикации терминала ГлавВреда.


Ваша атака построена на предположении, что контроль перманентно осуществляется единственным (искомым) терминалом. Но ничто не мешает ГлавВреду оформить сценарий автономного управления ботнета в виде модуля. Разумеется, это будет не его терминал. И, если использовать секретные вычисления, это не будет вообще какой-то терминал -- это будет распределённая вычислительная система (расположенная хоть на десятке тысяч терминалов одновременно), обладающая нулевым разглашением на командную структуру данного модуля, стойкая к фальсификации запросов до тех пор, пока осталась хотя бы половина исходных терминалов. В сам модуль можно внедрить обработчики событий, таких как подозрительная "потеря" пакетов или их фальсификация, с последующей динамической переброской тела кластера без потери его работоспособности.


Вы не могли бы дать ссылку на подобное исследование? Мне оно кажется весьма странным, если не сказать больше. Хотя, возможно, мы говорим о разном?


Это я о том, что ГлавВред может вообще забыть о существовании своего ботнета к тому моменту, как тот совершит запланированную гадость. Удалить и забыть (помня разве что пароль для дальнейшего перехвата управления). А ботнет тем временем будет автономно расти и развиваться. И понадобится хрономашина, чтобы доказать причастность ГлавВреда в суде (в нормальном суде).


Неслабое утверждение про возможность произвола экспертов. Мне совершенно не нравящееся.
Следы загрузки и т.п. руткита?? Вы где такие плохие руткиты берёте? Нормальный руткит невидим, и логи от своих деяний чистит. _Все_ логи (для известного ему ПО). Так что, в самоуничтоженном состоянии, единственный локальной след его деятельности -- редкие миллисекундные задержки работы остальных процессов в их логах (как правило, вообще не отображающих ничего точнее 1/18.2 секунды) -- которые можно списать на что угодно (перегрев процессора, допустим).


В общем-то, ответ на второй вопрос мне не нужен. А вот первый меня очень интересует.

Примечание. Считается, что идентифицировать внедрителя ботнетного кода в сеть невозможно. Ботнет способен функционировать автономно, выполнять перераспределение своей управляющей части (напомню, кластер секретных вычислений) при распознавании потенциальной атаки на себя. Однако, неограниченный контроль имеет только обладатель первоначальной для данного ботнета ЭЦП.

Как его выкурить?

Как доказать, что он -- это он?

И, самое главное, как установить, что данный конкретный пользователь не являлся участником ботнета в заданный временной интервал (только не надо про локальные логи, пожалуйста. Этим можно доказать, но никак не опровергнуть деятельность руткита) и, таким образом, несёт ответственность за все деяния, совершённые с его терминала?

Zloe Aloe, вы, похоже, теоретик. Либо задавайте конкретные вопросы, основанные на конкретных примерах ботнет-сетей, используя правильную терминологию, либо получайте общие ответы.
Если я вам скажу, где и как можно найти следы 90% качественных руткитов после их самоуничтожения, то вы всего лишь добавите новое замечание в ваше условие и будете пытаться получить полный список этих "где и как".

То же самое и со способами обнаружения владельца ботнета: на каждую угрозу вы будете пытаться добавить в условие противодействие, при том совершенно не думая (пример: подозрительная "потеря" пакетов), пока не получите полный список. Такие демагогии бесконечны, поэтому лучший выход для меня: не давать им ходу. Поэтому скажу вам сразу: книгу по борьбе с ботнетами на этом форуме прочитать не получится, а конкретных ответов вы можете не получить, т.к., скорее всего, будете использовать эту информацию не в благих целях ;)

Вы правы, я -- теоретик. Ещё ни разу разрозненные элементы системы я не соединял в работоспособный, использующий эксплойты, ботнет. Причина сему -- глубокая паранойя в совокупности со ст.273 УК РФ в контексте списания на действия ботнета созданных пользовтелем всевозможных нехорошестей с требованием большой компенсации. Хотя весьма хотелось бы завести себе глобального сетевого друга.


Опять же, Вы правы насчёт использования мной подобной методики. Однако, в случае локальной системы, этот вопрос неактуален (руткит считается "идеальным" с т.з. самоустранения, покластерное сравнение запущенных с идентичными параметрами (в т.ч. таймера) терминалов с руткитом и без него в условиях активного использования последнего, будем считать, никаких отличий, кроме трассировочных для сетевых пакетов и сессионных идентификаторов, не выявило).


В общем-то, не была представлена ни одна метода его обнаружения в случае автономной работы. И, насколько я понимаю, не может быть представленной. Но не уверен до конца.


Уж даже не знаю, что и сказать. Я бы мог предоставить свою фотографию с табличкой "Я люблю internet-law.ru!" и датой, но я не стану это делать до той поры, пока не уверюсь в необходимости оного, в данном случае -- в действительной компетентности потенциального учителя по данной теме (не сочтите за грубость, пожалуйста). Без отсылок его на собственные нефлудильные (где не надо выискивать крупицу полезной информации в потоке самоочевидностей) публикации, похоже, получается порочный круг. С другой стороны, любая нефлудильная публикация по данной тематике, суть, пособие потенциальному злоумышленнику, и вряд ли будет выдана "чужому" по доброте душевной, т.к. это затруднит анализ в будущем.

Я собираюсь писать диплом (студент КЗОИ), но ещё не подобрал тему. Технология построения и использования "неуловимых" ботнетов кажется мне очень и очень заманчивой. Проблема лишь в том, что данная тема, по-видимому, в корне отличается от интенций большинства здесь присутствующих специалистов по данному вопросу. Однако, замалчивание его может привести невиновного, подхватившего самоуничтожившийся бот, пользователя под множество статей, интересных и разных. Рано или поздно данная тактика, с последующим шантажом, всё равно будет использована организованной преступностью (в практически легальном сговоре с сотрудниками правопорядка) в корыстных целях. Потому что любой эксперт по локальным данным (и, насколько я вижу, м.б. неверно(?), данным провайдера) не сможет установить факт отсутствия заражения "идеальным зомби" конкретного терминала в данный временной период. И, чтобы не разрушить систему своего дохода, игнорировать подобные заявления. А, значит, если Ваш компьютер внезапно конфискован по подозрению в хранении и распространении детской порнографии, не удивляйтесь, если улыбчивые люди предложат Вам разрешить конфликт всего-навсего за приватизированную Вами квартиру. И, в случае Вашего отказа, не удивляйтесь, если искомое порно таки обнаружат (без подделки экспертиз и прочего).

Если бы я писал диплом по аналогичной тематике, я бы не стал ограничиваться, в поиске источников, только российским сегментом сети Интернет. Попробуйте поискать англоязычные работы по ключевым словам: "botnet forensics", "botnet detection" и т.п.

В большинстве стран они их не расследуют вообще. Ввиду отсутствия средств, методов, кадров, а главное - интереса. В отдельных, наиболее развитых странах делаются первые попытки.


Предвосхитить все методы поиска следов, которые применит противоборствующая сторона. И каждому из них противопоставить контрметод. Кстати, следы вмешательства остаются не только в атакуемой системе, но и на куче промежуточных и вовлечённых в процесс узлов.

Включая коммутаторы, концентраторы. Ну и про аппаратные кейлоггеры типа СОРМ не стоит забывать.

Интересно найдут ли следы организаторов сегодняшней DDoS
атаки на популярные блоги ?

Особенно учитывая то что ситуация двойственная - запад грешит на Россию , что это она запустила атаку , но Россия от этой атаки плюсов никаких не получит это факт . Из этого следует только 2 варианта либо атаку организовал не совсем адекватный патриот России либо , что более вероятно атаку организовали западные спецслужбы с целью раскрутить конфликт по новой . Соответсвенно сотрудничество по данной теме вряд ли возможно .

Их уже нашли (http://www.delfi.ua/news/daily/foreign/gruzinskij-bloger-obvinil-rossiyu-v-atakah-na-blog.d?id=489846).

 ;D Представляю содержание рекламного баннера этих спецслужб . *Загоним в топ любой антироссийски направленный блог в течении двух суток . Спецслужбы России.*

У меня есть своё мнение насчет этого блоггера. Но оно настолько не этичное, что я лучше промолчу.  ;D

Ну да человек сам говорит , что не знает зачем нужно гасить его блог , но тем не менее категорично утверждает , что это российские спецслужбы  ;D

А вообще смысла гасить его со стороны России нету вообще никакого (да ещё и с периодичностью раз в год ). И делать его медиаповодом номер 1 интересно именно Грузии ну и тем журналистам западным , которые у него интервью берут .

А Россия \ нерезиновая  в этом большинстве, али нет?

Zloe Aloe , Учитель заходил на этот форум и читал ваши посты. Видимо их содержание не вдохновило Учителя взять вас в ученики (раз он даже ничего не отписал, а может и отписал в приват).