Вы, видимо, пытаетесь вывести дискуссию в русло, которое приведет к получению ответов на самые вкусные вопросы
Разумеется.
Хостера?!
*бьюсь головой о клавиатуру*: провайдера, конечно.
(2) Пусть мы раскрыли всю (!) архитектуру ботнетной сети (не иначе как с помощью Силы...), и даже достали несколько заражённых терминалов.
Зачем раскрывать "всю (!)" архитектуру ботнет-сети? О чем это вы?
Всё, что я хотел сказать, так это то, что данная информация не эффективна для идентефикации терминала ГлавВреда.
В условиях шифрованного трафика и правильного проектирования это никоим образом не поможет вывести на терминал ГлавВреда.
Поможет. Достаточно организовать "потерю пакетов" на каком-либо участке вашей ботнет-сети и будет получено много интересной информации. Еще больше - если организовать дополнительную нагрузку на узлы передачи данных. При чем для этого даже не надо использовать системы легального перехвата (типа Солеры, которая заточена на ботнеты).
Ваша атака построена на предположении, что контроль перманентно осуществляется единственным (искомым) терминалом. Но ничто не мешает ГлавВреду оформить сценарий автономного управления ботнета в виде модуля. Разумеется, это будет не его терминал. И, если использовать секретные вычисления, это не будет вообще какой-то терминал -- это будет распределённая вычислительная система (расположенная хоть на десятке тысяч терминалов одновременно), обладающая нулевым разглашением на командную структуру данного модуля, стойкая к фальсификации запросов до тех пор, пока осталась хотя бы половина исходных терминалов. В сам модуль можно внедрить обработчики событий, таких как подозрительная "потеря" пакетов или их фальсификация, с последующей динамической переброской тела кластера без потери его работоспособности.
Если шифрпакеты будут передаваться недревовидно и избыточно, его терминал будет неотличим от всех прочих заражённых терминалов.
Покрывающий трафик и неравномерное распределение зашифрованных потоков данных по различным узлам является неэффективным противодействием анализу трафика. Проект Tor уже об этом давно узнал.
Вы не могли бы дать ссылку на подобное исследование? Мне оно кажется весьма странным, если не сказать больше. Хотя, возможно, мы говорим о разном?
(3) Присовокупим то, что ему достаточно загрузить на несколько (в целях надёжности) зомби сценарий с функцией контроля исполнения, и задача нахождения его вообще сведётся к конспектированию истории трафика всего мира.
Это вы о чем?
Это я о том, что ГлавВред может вообще забыть о существовании своего ботнета к тому моменту, как тот совершит запланированную гадость. Удалить и забыть (помня разве что пароль для дальнейшего перехвата управления). А ботнет тем временем будет автономно расти и развиваться. И понадобится хрономашина, чтобы доказать причастность ГлавВреда в суде (в нормальном суде).
Кто "мы"? Почему именно "из воздуха"? Эксперт, конечно, может вам на сервер и пиратский Windows XP поставить, но, по-хорошему, данные из воздуха не появятся - в системе останутся следы загрузки и запуска исполняемых файлов руткита, следы его работы и это лишь в конфигурациях обычного виндовс без упора на безопасность.
Неслабое утверждение про возможность произвола экспертов. Мне совершенно не нравящееся.
Следы загрузки и т.п. руткита?? Вы где такие плохие руткиты берёте? Нормальный руткит невидим, и логи от своих деяний чистит. _Все_ логи (для известного ему ПО). Так что, в самоуничтоженном состоянии, единственный локальной след его деятельности -- редкие миллисекундные задержки работы остальных процессов в их логах (как правило, вообще не отображающих ничего точнее 1/18.2 секунды) -- которые можно списать на что угодно (перегрев процессора, допустим).
Думаю, все ваши рассуждения и домыслы можно оформить в виде списка следующих вопросов:
1) Как правоохранительные органы расследуют компьютерные преступления и инциденты безопасности, в которых использовались ботнет-сети и стойкая криптография?
2) Как целиком и полностью подчистить за собой в чужой системе?
Ответы на эти вопросы вы вряд ли получите по 2 причинам: никто не хочет давать преступникам методы совершения идеальных преступлений, лучше пусть они продолжают думать, что существующие средства обеспечивают 100% безопасность; грамотный и развернутый ответ потребует написания книги.
В общем-то, ответ на второй вопрос мне не нужен. А вот первый меня очень интересует.
Примечание. Считается, что идентифицировать внедрителя ботнетного кода в сеть невозможно. Ботнет способен функционировать автономно, выполнять перераспределение своей управляющей части (напомню, кластер секретных вычислений) при распознавании потенциальной атаки на себя. Однако, неограниченный контроль имеет только обладатель первоначальной для данного ботнета ЭЦП.
Как его выкурить?
Как доказать, что он -- это он?
И, самое главное, как установить, что данный конкретный пользователь не являлся участником ботнета в заданный временной интервал (только не надо про локальные логи, пожалуйста. Этим можно доказать, но никак не опровергнуть деятельность руткита) и, таким образом, несёт ответственность за все деяния, совершённые с его терминала?