Форум ''Интернет и Право''
29 Марта 2024, 03:04:02 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 [2] 3   Вниз
  Печать  
Автор Тема: Аутентичность правонарушителя в контексте ботнета  (Прочитано 9214 раз)
Zloe Aloe
Посетитель
*
Офлайн Офлайн

Сообщений: 11



« Ответ #10 : 07 Августа 2009, 17:41:30 »

Цитировать
При правильном проектировании, суть, невозможно. Если, конечно,

Чушь. Возможно в случае с Tor и различными сетями OpenVPN.

По-всей видимости, Вы подразумеваете обратную трассировку пакета. Мне действительно интересно, как Вам представляется возможным отследить оную в условиях цепочки ботнетных терминалов, находящихся в разных уголках мира и выходящих через различных провайдеров.

Цитировать
((а)) все известные, не абсолютно стойкие, шифры не ломаемы секретными исследованиями математики (и, даже если так, на правах Неуловимого Джо...);

Как это относится к процитированной вами фразе?

Следующим образом: если предположить зелёных человечков и Атлантиду, то возможно всё. Впрочем, пункт ((а)), хоть и кра-а-айне маловероятен, но, допускаю, возможен.


Цитировать
((б)) все данные, а также MAC и время перессылки, от коммутаторов включительно (хотя, вру, есть же и физические протоколы... расширим на концентраторы), не направляются в единую информационную базу данных (здесь даже Неуловимым Джо быть не нужно, достаточно подключиться и посниффить);

Ну раз уж вы поперли в эту оперу (хотя к моей процитированной фразе это не относится), то скажу, что ранние исследования OR показали, что для раскрытия всей цепочки узлов, участвующих в передаче данных, достаточно одного "скомпрометированного" узла. Единственное условие - малая задержка передачи данных.

Насколько я понимаю, мы возвращаемся к сценарию трассировки пакета. Несколько замечаний (подправьте, если посчитаете нужным):

  • (1) При правильно построенном протоколе дочерний узел будет знать разве что о родительском, и о дочернем для него. Значит, для дальнейшей обработки будет необходим доступ к оным, или же лог хостера (опущу один малый нюанс по поводу последнего).
  • (2) Пусть мы раскрыли всю (!) архитектуру ботнетной сети (не иначе как с помощью Силы...), и даже достали несколько заражённых терминалов. В условиях шифрованного трафика и правильного проектирования это никоим образом не поможет вывести на терминал ГлавВреда. Если шифрпакеты будут передаваться недревовидно и избыточно, его терминал будет неотличим от всех прочих заражённых терминалов.
  • (3) Присовокупим то, что ему достаточно загрузить на несколько (в целях надёжности) зомби сценарий с функцией контроля исполнения, и задача нахождения его вообще сведётся к конспектированию истории трафика всего мира.

Вы, случаем, pgpru не почитываете? Улыбающийся Т.к. по смыслу в этот список можно добавить квантовый компьютер в подвалах Кремля, криптоанализ инопланетными технологиями из Зоны 51 и другие актуальные угрозы для пользователей Подмигивающий

Нет. Я его пописываю (шутка).

Цитировать
Я хочу знать об этих методах, ибо откровения для меня то великое, что можно доказать подобное. Оговорюсь: случаи скриптокиддинга или, тем паче, манипуляции с closesource-конструкторами сомнительного происхождения и воздействия, не рассматриваются в виду их клиничности.

По роду своих занятий я общаюсь со многими кодерами, которые пишут руткиты и другое вредоносное ПО. И могу смело сказать: есть среди них люди опытные, но и для них данные слова тоже станут "откровением" Улыбающийся Просто даже программист не знает всех особенностей системы, под которую пишет. А вот эксперт знает Улыбающийся

Извольте заметить. Сейчас мы рассматриваем возможность поимки управляющего ботнетом. Но темы восстановления из воздуха самоуничтожившейся после грязных злодеяний копии руткита мы даже не коснулись. Как эксперт может доказать отсутствие подобного заражения в заданном временном интервале (подразумевается, что терминал пользователя активно использовал шифрканалы для связи с "малонадёжными" ресурсами)?
Если эксперт всё-таки сможет это сделать... мы готовы снять перед ним свою Волшебную Шляпу.
Записан
Zloe Aloe
Посетитель
*
Офлайн Офлайн

Сообщений: 11



« Ответ #11 : 07 Августа 2009, 17:58:26 »

Николай Николаевич Федотов, ясно, спасибо. Постараюсь в ближайшее время изучить означенный документ и привести свою терминологию здесь в надлежащий вид.
Записан
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #12 : 07 Августа 2009, 18:44:48 »

Цитировать
По-всей видимости, Вы подразумеваете обратную трассировку пакета. Мне действительно интересно, как Вам представляется возможным отследить оную в условиях цепочки ботнетных терминалов, находящихся в разных уголках мира и выходящих через различных провайдеров.

Нет, речь шла о том, что без исследования сервера, который использовался, скажем, в сети Tor, трудно сказать, что данный сервер был всего лишь "перевалочным пунктом" (пример: некоторые узлы пишут сетевой трафик, а он может дать много информации о реальном злодее).

Вы, видимо, пытаетесь вывести дискуссию в русло, которое приведет к получению ответов на самые вкусные вопросы Улыбающийся

Цитировать
(1) При правильно построенном протоколе дочерний узел будет знать разве что о родительском, и о дочернем для него. Значит, для дальнейшей обработки будет необходим доступ к оным, или же лог хостера (опущу один малый нюанс по поводу последнего).

Хостера?!

Цитировать
(2) Пусть мы раскрыли всю (!) архитектуру ботнетной сети (не иначе как с помощью Силы...), и даже достали несколько заражённых терминалов.

Зачем раскрывать "всю (!)" архитектуру ботнет-сети? О чем это вы?

Цитировать
В условиях шифрованного трафика и правильного проектирования это никоим образом не поможет вывести на терминал ГлавВреда.

Поможет. Достаточно организовать "потерю пакетов" на каком-либо участке вашей ботнет-сети и будет получено много интересной информации. Еще больше - если организовать дополнительную нагрузку на узлы передачи данных. При чем для этого даже не надо использовать системы легального перехвата (типа Солеры, которая заточена на ботнеты).

Цитировать
Если шифрпакеты будут передаваться недревовидно и избыточно, его терминал будет неотличим от всех прочих заражённых терминалов.

Покрывающий трафик и неравномерное распределение зашифрованных потоков данных по различным узлам является неэффективным противодействием анализу трафика. Проект Tor уже об этом давно узнал.

Цитировать
(3) Присовокупим то, что ему достаточно загрузить на несколько (в целях надёжности) зомби сценарий с функцией контроля исполнения, и задача нахождения его вообще сведётся к конспектированию истории трафика всего мира.

Это вы о чем?

Цитировать
Но темы восстановления из воздуха самоуничтожившейся после грязных злодеяний копии руткита мы даже не коснулись. Как эксперт может доказать отсутствие подобного заражения в заданном временном интервале (подразумевается, что терминал пользователя активно использовал шифрканалы для связи с "малонадёжными" ресурсами)?
Если эксперт всё-таки сможет это сделать... мы готовы снять перед ним свою Волшебную Шляпу.

Кто "мы"? Почему именно "из воздуха"? Эксперт, конечно, может вам на сервер и пиратский Windows XP поставить, но, по-хорошему, данные из воздуха не появятся - в системе останутся следы загрузки и запуска исполняемых файлов руткита, следы его работы и это лишь в конфигурациях обычного виндовс без упора на безопасность.

Думаю, все ваши рассуждения и домыслы можно оформить в виде списка следующих вопросов:

1) Как правоохранительные органы расследуют компьютерные преступления и инциденты безопасности, в которых использовались ботнет-сети и стойкая криптография?
2) Как целиком и полностью подчистить за собой в чужой системе?

Ответы на эти вопросы вы вряд ли получите по 2 причинам: никто не хочет давать преступникам методы совершения идеальных преступлений, лучше пусть они продолжают думать, что существующие средства обеспечивают 100% безопасность; грамотный и развернутый ответ потребует написания книги.
Записан
Zloe Aloe
Посетитель
*
Офлайн Офлайн

Сообщений: 11



« Ответ #13 : 07 Августа 2009, 22:35:52 »


Вы, видимо, пытаетесь вывести дискуссию в русло, которое приведет к получению ответов на самые вкусные вопросы Улыбающийся

Разумеется.

Хостера?!

*бьюсь головой о клавиатуру*: провайдера, конечно.

Цитировать
(2) Пусть мы раскрыли всю (!) архитектуру ботнетной сети (не иначе как с помощью Силы...), и даже достали несколько заражённых терминалов.

Зачем раскрывать "всю (!)" архитектуру ботнет-сети? О чем это вы?

Всё, что я хотел сказать, так это то, что данная информация не эффективна для идентефикации терминала ГлавВреда.

Цитировать
В условиях шифрованного трафика и правильного проектирования это никоим образом не поможет вывести на терминал ГлавВреда.

Поможет. Достаточно организовать "потерю пакетов" на каком-либо участке вашей ботнет-сети и будет получено много интересной информации. Еще больше - если организовать дополнительную нагрузку на узлы передачи данных. При чем для этого даже не надо использовать системы легального перехвата (типа Солеры, которая заточена на ботнеты).

Ваша атака построена на предположении, что контроль перманентно осуществляется единственным (искомым) терминалом. Но ничто не мешает ГлавВреду оформить сценарий автономного управления ботнета в виде модуля. Разумеется, это будет не его терминал. И, если использовать секретные вычисления, это не будет вообще какой-то терминал -- это будет распределённая вычислительная система (расположенная хоть на десятке тысяч терминалов одновременно), обладающая нулевым разглашением на командную структуру данного модуля, стойкая к фальсификации запросов до тех пор, пока осталась хотя бы половина исходных терминалов. В сам модуль можно внедрить обработчики событий, таких как подозрительная "потеря" пакетов или их фальсификация, с последующей динамической переброской тела кластера без потери его работоспособности.

Цитировать
Если шифрпакеты будут передаваться недревовидно и избыточно, его терминал будет неотличим от всех прочих заражённых терминалов.

Покрывающий трафик и неравномерное распределение зашифрованных потоков данных по различным узлам является неэффективным противодействием анализу трафика. Проект Tor уже об этом давно узнал.

Вы не могли бы дать ссылку на подобное исследование? Мне оно кажется весьма странным, если не сказать больше. Хотя, возможно, мы говорим о разном?

Цитировать
(3) Присовокупим то, что ему достаточно загрузить на несколько (в целях надёжности) зомби сценарий с функцией контроля исполнения, и задача нахождения его вообще сведётся к конспектированию истории трафика всего мира.

Это вы о чем?

Это я о том, что ГлавВред может вообще забыть о существовании своего ботнета к тому моменту, как тот совершит запланированную гадость. Удалить и забыть (помня разве что пароль для дальнейшего перехвата управления). А ботнет тем временем будет автономно расти и развиваться. И понадобится хрономашина, чтобы доказать причастность ГлавВреда в суде (в нормальном суде).

Кто "мы"? Почему именно "из воздуха"? Эксперт, конечно, может вам на сервер и пиратский Windows XP поставить, но, по-хорошему, данные из воздуха не появятся - в системе останутся следы загрузки и запуска исполняемых файлов руткита, следы его работы и это лишь в конфигурациях обычного виндовс без упора на безопасность.

Неслабое утверждение про возможность произвола экспертов. Мне совершенно не нравящееся.
Следы загрузки и т.п. руткита?? Вы где такие плохие руткиты берёте? Нормальный руткит невидим, и логи от своих деяний чистит. _Все_ логи (для известного ему ПО). Так что, в самоуничтоженном состоянии, единственный локальной след его деятельности -- редкие миллисекундные задержки работы остальных процессов в их логах (как правило, вообще не отображающих ничего точнее 1/18.2 секунды) -- которые можно списать на что угодно (перегрев процессора, допустим).

Думаю, все ваши рассуждения и домыслы можно оформить в виде списка следующих вопросов:

1) Как правоохранительные органы расследуют компьютерные преступления и инциденты безопасности, в которых использовались ботнет-сети и стойкая криптография?
2) Как целиком и полностью подчистить за собой в чужой системе?

Ответы на эти вопросы вы вряд ли получите по 2 причинам: никто не хочет давать преступникам методы совершения идеальных преступлений, лучше пусть они продолжают думать, что существующие средства обеспечивают 100% безопасность; грамотный и развернутый ответ потребует написания книги.

В общем-то, ответ на второй вопрос мне не нужен. А вот первый меня очень интересует.

Примечание. Считается, что идентифицировать внедрителя ботнетного кода в сеть невозможно. Ботнет способен функционировать автономно, выполнять перераспределение своей управляющей части (напомню, кластер секретных вычислений) при распознавании потенциальной атаки на себя. Однако, неограниченный контроль имеет только обладатель первоначальной для данного ботнета ЭЦП.

Как его выкурить?

Как доказать, что он -- это он?

И, самое главное, как установить, что данный конкретный пользователь не являлся участником ботнета в заданный временной интервал (только не надо про локальные логи, пожалуйста. Этим можно доказать, но никак не опровергнуть деятельность руткита) и, таким образом, несёт ответственность за все деяния, совершённые с его терминала?
Записан
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #14 : 07 Августа 2009, 23:28:20 »

Zloe Aloe, вы, похоже, теоретик. Либо задавайте конкретные вопросы, основанные на конкретных примерах ботнет-сетей, используя правильную терминологию, либо получайте общие ответы.
Если я вам скажу, где и как можно найти следы 90% качественных руткитов после их самоуничтожения, то вы всего лишь добавите новое замечание в ваше условие и будете пытаться получить полный список этих "где и как".

То же самое и со способами обнаружения владельца ботнета: на каждую угрозу вы будете пытаться добавить в условие противодействие, при том совершенно не думая (пример: подозрительная "потеря" пакетов), пока не получите полный список. Такие демагогии бесконечны, поэтому лучший выход для меня: не давать им ходу. Поэтому скажу вам сразу: книгу по борьбе с ботнетами на этом форуме прочитать не получится, а конкретных ответов вы можете не получить, т.к., скорее всего, будете использовать эту информацию не в благих целях Подмигивающий

Записан
Zloe Aloe
Посетитель
*
Офлайн Офлайн

Сообщений: 11



« Ответ #15 : 08 Августа 2009, 01:15:07 »

Zloe Aloe, вы, похоже, теоретик.

Вы правы, я -- теоретик. Ещё ни разу разрозненные элементы системы я не соединял в работоспособный, использующий эксплойты, ботнет. Причина сему -- глубокая паранойя в совокупности со ст.273 УК РФ в контексте списания на действия ботнета созданных пользовтелем всевозможных нехорошестей с требованием большой компенсации. Хотя весьма хотелось бы завести себе глобального сетевого друга.

Если я вам скажу, где и как можно найти следы 90% качественных руткитов после их самоуничтожения, то вы всего лишь добавите новое замечание в ваше условие и будете пытаться получить полный список этих "где и как".

Опять же, Вы правы насчёт использования мной подобной методики. Однако, в случае локальной системы, этот вопрос неактуален (руткит считается "идеальным" с т.з. самоустранения, покластерное сравнение запущенных с идентичными параметрами (в т.ч. таймера) терминалов с руткитом и без него в условиях активного использования последнего, будем считать, никаких отличий, кроме трассировочных для сетевых пакетов и сессионных идентификаторов, не выявило).

То же самое и со способами обнаружения владельца ботнета: на каждую угрозу вы будете пытаться добавить в условие противодействие, при том совершенно не думая (пример: подозрительная "потеря" пакетов), пока не получите полный список.

В общем-то, не была представлена ни одна метода его обнаружения в случае автономной работы. И, насколько я понимаю, не может быть представленной. Но не уверен до конца.

Такие демагогии бесконечны, поэтому лучший выход для меня: не давать им ходу. Поэтому скажу вам сразу: книгу по борьбе с ботнетами на этом форуме прочитать не получится, а конкретных ответов вы можете не получить, т.к., скорее всего, будете использовать эту информацию не в благих целях Подмигивающий

Уж даже не знаю, что и сказать. Я бы мог предоставить свою фотографию с табличкой "Я люблю internet-law.ru!" и датой, но я не стану это делать до той поры, пока не уверюсь в необходимости оного, в данном случае -- в действительной компетентности потенциального учителя по данной теме (не сочтите за грубость, пожалуйста). Без отсылок его на собственные нефлудильные (где не надо выискивать крупицу полезной информации в потоке самоочевидностей) публикации, похоже, получается порочный круг. С другой стороны, любая нефлудильная публикация по данной тематике, суть, пособие потенциальному злоумышленнику, и вряд ли будет выдана "чужому" по доброте душевной, т.к. это затруднит анализ в будущем.

Я собираюсь писать диплом (студент КЗОИ), но ещё не подобрал тему. Технология построения и использования "неуловимых" ботнетов кажется мне очень и очень заманчивой. Проблема лишь в том, что данная тема, по-видимому, в корне отличается от интенций большинства здесь присутствующих специалистов по данному вопросу. Однако, замалчивание его может привести невиновного, подхватившего самоуничтожившийся бот, пользователя под множество статей, интересных и разных. Рано или поздно данная тактика, с последующим шантажом, всё равно будет использована организованной преступностью (в практически легальном сговоре с сотрудниками правопорядка) в корыстных целях. Потому что любой эксперт по локальным данным (и, насколько я вижу, м.б. неверно(?), данным провайдера) не сможет установить факт отсутствия заражения "идеальным зомби" конкретного терминала в данный временной период. И, чтобы не разрушить систему своего дохода, игнорировать подобные заявления. А, значит, если Ваш компьютер внезапно конфискован по подозрению в хранении и распространении детской порнографии, не удивляйтесь, если улыбчивые люди предложат Вам разрешить конфликт всего-навсего за приватизированную Вами квартиру. И, в случае Вашего отказа, не удивляйтесь, если искомое порно таки обнаружат (без подделки экспертиз и прочего).
« Последнее редактирование: 08 Августа 2009, 01:28:19 от Zloe Aloe » Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #16 : 08 Августа 2009, 04:41:36 »

Я собираюсь писать диплом (студент КЗОИ), но ещё не подобрал тему. Технология построения и использования "неуловимых" ботнетов кажется мне очень и очень заманчивой.

Если бы я писал диплом по аналогичной тематике, я бы не стал ограничиваться, в поиске источников, только российским сегментом сети Интернет. Попробуйте поискать англоязычные работы по ключевым словам: "botnet forensics", "botnet detection" и т.п.

« Последнее редактирование: 08 Августа 2009, 17:17:08 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #17 : 08 Августа 2009, 09:29:37 »

1) Как правоохранительные органы расследуют компьютерные преступления и инциденты безопасности, в которых использовались ботнет-сети и стойкая криптография?
В большинстве стран они их не расследуют вообще. Ввиду отсутствия средств, методов, кадров, а главное - интереса. В отдельных, наиболее развитых странах делаются первые попытки.


2) Как целиком и полностью подчистить за собой в чужой системе?
Предвосхитить все методы поиска следов, которые применит противоборствующая сторона. И каждому из них противопоставить контрметод. Кстати, следы вмешательства остаются не только в атакуемой системе, но и на куче промежуточных и вовлечённых в процесс узлов.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #18 : 08 Августа 2009, 10:04:38 »

Предвосхитить все методы поиска следов, которые применит противоборствующая сторона. И каждому из них противопоставить контрметод. Кстати, следы вмешательства остаются не только в атакуемой системе, но и на куче промежуточных и вовлечённых в процесс узлов.
Включая коммутаторы, концентраторы. Ну и про аппаратные кейлоггеры типа СОРМ не стоит забывать.
« Последнее редактирование: 08 Августа 2009, 10:06:43 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
roland740
Участник
**
Офлайн Офлайн

Сообщений: 203


С любовью к ближнему


« Ответ #19 : 09 Августа 2009, 03:44:44 »

Интересно найдут ли следы организаторов сегодняшней DDoS
атаки на популярные блоги ?

Особенно учитывая то что ситуация двойственная - запад грешит на Россию , что это она запустила атаку , но Россия от этой атаки плюсов никаких не получит это факт . Из этого следует только 2 варианта либо атаку организовал не совсем адекватный патриот России либо , что более вероятно атаку организовали западные спецслужбы с целью раскрутить конфликт по новой . Соответсвенно сотрудничество по данной теме вряд ли возможно .
« Последнее редактирование: 09 Августа 2009, 04:06:20 от roland740 » Записан
Страниц: 1 [2] 3   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines