?

Log in

entries friends calendar profile "Факты и мифы Беслана" Previous Previous Next Next
Про кетамин и страшных хакеров - leon_spb67
leon_spb67
leon_spb67
Про кетамин и страшных хакеров
Долбоеб Носик набросил дерьма на вентилятор раздул мощный медийный скандал, обвинив Суркова в DDOSe ЖЖ и взломе почты Навального.
Начало:
http://dolboeb.livejournal.com/2275327.html
Продолжение:
http://dolboeb.livejournal.com/2275662.html

Сейчас об этом пишут практически все сетевые СМИ.

В двух словах логика Носика такова:
Носик посетил презентацию финна, который позиционирует себя как эксперта по компьютерной безопасности. Этот финн рассказал ужасную историю про то, как в борьбе с неким ботнетом он нашел в коде эксплойта (не трояна!!! а эксплойта) непонятное сочетание букв и цифр (o600ko78rus). Русские друзья ему пояснили, что 78 - это код региона (Санкт Петербург). Далее финн с помощью магии гугла вычислил ЖЖ некоего sporaw, в котором он обнаружил фотографии автомобиля Mercedes с данным регистрационным номером.



Финн уверяет, что данный ЖЖ-юзер и является хозяином ботнета.
Носик пошел в этот ЖЖ и увидел там внятный разбор, касающийся цифровых подписей в почте Навального. Разбор этот доказывал, что Навальный - жулик и лжец.

Носик сделал мощные логические умозаключения и пришел к выводу, что именно sporaw является исполнителем DDOS-атаки на ЖЖ. Логика такова: sporaw против Навального. Значит за Путина. sporaw - хакер, вроде бы связанный с ботнетом. Значит это именно он ДДОСил ЖЖ. Значит ДДОС заказал Сурков.
Ведь это же очевидно, правда? :)

Сразу скажу: я не являюсь мегаспециалистом в компьютерной безопасности, но некоторое время имел к этому отношение и имею некоторое понимание, что и как там происходит.


В двух словах это выглядит так.
Есть масса талантливых граждан, которым интересно копаться в коде программ, искать уязвимости. Некоторые делают это для души, некоторые за деньги, другие - совмещают полезное с приятным. Хорошим тоном в этой тусовке является оповещение разработчиков о найденной уязвимости. После оповещения уязвимость публикуется на т.н. "багтраках" - досках объявлений. В качестве подтверждения уязвимости, авторы публикуют доказательства (Proof Of Concept - POC) - программные коды, демонстрирующие наличие уязвимости, чтобы любой мог проверить. С багтраков публикации мгновенно разлетаются по огромному количеству сайтов, посвященных компьютерной безопасности.
Например, можете посмотреть вот тут http://www.exploit-db.com/

Но эти сайты внимательно мониторят не только спецы по безопасности, но и масса т.н. "скрипт-кидди" - людей, не обладающих достаточными знаниями в данной области, но зарабатывающих взломом сайтов и распространением троянов и т.п. фигни. На основе готовых решений они собирают связки эксплойтов, реализующих разные уязвимости в разных браузерах и загружают их юзерам на взломанных сайтах, либо покупают трафик - размещают вредоносный код на посещаемых сайтах за деньги. Обращаю внимание: в реальности используются именно связки эксплойтов, написанные разными авторами - так повышается эффективность ("Пробив").

После того, как браузер взломан, автоматически происходит загрузка и запуск исполняемого файла. Дальнейшие события зависят от намерений и жадности хозяина эксплойта - компьютер жертвы находится под его властью.

Это была преамбула. Теперь по фактам. Финн демонстрирует кусок кода эксплойта:



Я выделил фрагмент, так возбудивший финна и Носика. В этом фрагменте мы видим адрес, откуда грузится троян и вожделенную подпись O600KO78RUS.
Идем на сайт http://www.archive.org/ и смотрим на активность этого домена:
http://wayback.archive.org/web/*/http://UnionSeek.com



Как нетрудно догадаться, активная деятельность домена с трояном велась в 2006-м году. После этого он был закрыт и данных о нем за другие года нету. О чем это говорит?
О том, что финн рассказывает о событиях ШЕСТИЛЕТНЕЙ давности!

Далее про подпись O600KO78RUS. Как нетрудно выяснить, sporaw был и остается активным деятелем в данной области. А в то время свои публикации он подписывал ником O600KO78RUS - это часть адреса его электронной почты. Вот, например, публикация о уязвимости с его подписью за 2005-й год, обратите внимание на нижнюю строку:


http://sebug.net/vuldb/ssvid-13615

Итак, о чем может говорить подпись в коде эксплойта, о которой говорит финн?

Например о том, что sporaw мог быть автором данного эксплойта, т.е. он нашел и опубликовал уязвимость и POC к ней, оставив в коде свою подпись, которая при сборке неким скрипт-кидди перекочевала в бинарник.

Например о том, что он мог быть автором некоего софта для сборки данного эксплойта из исходников в готовый бинарник.

Например о том, что кто-то из сетевых врагов попытался подставить sporaw, подписав эксплойт его ником.

Но вот о том, что он является хозяином ботнета, данная подпись нам никак не говорит. Потому что экплойты, как я уже говорил, используются в связках и написаны эти эксплойты разными авторами. А финн демонстрирует только один эксплойт.
А еще, ботнет - это не только большие деньги, но и большие сроки. Это как бы аксиома в тех кругах. И поднимать себе срок на ровном месте там никто не станет. Народ там из штанов выпрыгивает в стараниях зашифроваться и так глупо подставиться может только настоящий долбоеб.
Я никак не могу отнести sporaw к отряду долбоебов. А вот Носика - могу. Собственно он сам себя так и называет. :)

И эта... Я не могу подписаться, что sporaw шесть лет назад не занимался какой-нибудь противоправной херней - я его не знаю. Но связать прибитый шесть лет назад ботнет с недавними атаками на ЖЖ может только конченный dolboeb. Не говоря уже про утверждение, что доказательства идентичности писем Навального являются свидетельством активности Суркова. :)

В общем, вся история целиком и полностью высосана из пальца.
У меня - всё.

UPD: avva Пояснил ускользнувшие от моего внимания моменты связанные с подписью. Эксплойт был обнаружен специалистами и подвергнут реверсу (восстановлен исходный код). В коде обнаружена подпись. Результат был опубликован. Другими словами, авторство эксплойта - за sporaw скорее всего. Возможно, имела место приватная продажа эксплойта ботнетчикам или еще кому-то, через кого он попал к ботнетчикам. Однако, автороство эксплойта никак не доказывает владения ботнетом - эксплойты приватно продавались и продаются. Всё остальное остается в силе. Носик - долбоеб.

Tags: ,

58 comments or Leave a comment
Comments
bangui From: bangui Date: January 29th, 2012 01:47 pm (UTC) (Link)
Гей-согласной "общественности" не надо копаться в каких-то там технических деталях. Ясно же, что следы ведут в Кремль.
azlok From: azlok Date: January 29th, 2012 01:49 pm (UTC) (Link)
Ох как закручено...
bangui From: bangui Date: January 29th, 2012 01:58 pm (UTC) (Link)
Кетаминовый долбоеб знатно вошел в раж и прямо вещает:

Пользователь sporaw понял, что за ним пришли, и стал искать крышу. Обратился к Косте Рыкову. Костя сказал: взломай почту Навального, и я тебя отмажу от Интерпола. Пользователь sporaw взломал почту Навального, и написал об этом развёрнутый пост.

То есть все предыдущие возвывания о подделке кагбэ фуфло, гы-гы )))
leon_spb67 From: leon_spb67 Date: January 29th, 2012 02:02 pm (UTC) (Link)
Логика для них - непозволительная роскошь
farg_alukard From: farg_alukard Date: January 29th, 2012 02:18 pm (UTC) (Link)
Магия цифр и легких наркотиков и никакого мошенничества.
Чем-то мне напомнило это http://www.youtube.com/watch?v=vblBYSY4gCc&feature=fvwrel
marina_yudenich From: marina_yudenich Date: January 29th, 2012 02:44 pm (UTC) (Link)
У sporaw в коментах чудное: расскажи, как заработал на 600-й мерс или - работаешь на Кремль )))
leon_spb67 From: leon_spb67 Date: January 29th, 2012 02:46 pm (UTC) (Link)
Дебилы, чо. :)
Мерс, кстати, не шестисотый. :)
iultinrom From: iultinrom Date: January 29th, 2012 02:53 pm (UTC) (Link)

Внушает

Я сам из тех
Кто ничего не понял
leon_spb67 From: leon_spb67 Date: January 29th, 2012 02:57 pm (UTC) (Link)

Re: Внушает

что именно непонятно?
ivanov_su From: ivanov_su Date: January 29th, 2012 03:27 pm (UTC) (Link)
Носегу нужно поменять ник на "гипердоблоеб".
Пока он свой асвабадительный бред писал просто в вакуум - это одно. Но тут он решил прямо обвинить правую Голову Господина Дракона... это он зря :-)
Меня, конечно, не Носег беспокоит. Но как бы точно не пришлось искать новую плщадку. Разве только Сурков приберет к рукам ЖЖ? :)))) Отличнейшая весчь ведь для спецов...хе-хе.

ЗЫ. Судя по его последним постам - или ширяется без остановки, или голову ему напекло.
leon_spb67 From: leon_spb67 Date: January 29th, 2012 03:33 pm (UTC) (Link)
с такой оппозицией Путин будет править вечно. :)))
r_shinobi From: r_shinobi Date: January 29th, 2012 03:40 pm (UTC) (Link)
Вот вы таки заморочились :) Меня на столь подробный псто просто не хватило. Практически всё справедливо)

Маленькое уточнение - Микко не "позиционирует". Он человек, в антивирусной индустрии довольно известный, сотрудник ав-вендора F-Secure. Да, к некоторым странностям и резкости суждений (как в приведённой истории) он склонен и за это периодически бывает по-приятельски троллим публичными экспертами других вендоров. Но звание специалиста носит заслуженно и смешивать его с долбоносегами не стоит - это лишь добавляет им очков.

PS. Зафрендил, реквестирую возможность обращения на "ты" - мне так проще)
leon_spb67 From: leon_spb67 Date: January 29th, 2012 03:47 pm (UTC) (Link)
Маленькое уточнение....

Не вопрос. Просто мне этот финн не знаком, я с антивирусной тусовкой не контачил. Я больше по уязвимостям в веб-приложениях специализировался.
Меня просто поразило, что специалист может допускать такие логические провалы и строить конспирологические теории на ровном месте. Потому и написал "позиционирует".


реквестирую возможность обращения на "ты"

Лады
r_shinobi From: r_shinobi Date: January 29th, 2012 03:44 pm (UTC) (Link)
Предыдущий постскриптум - ну если вы не против, разумеется)
krispin_watcher From: krispin_watcher Date: January 29th, 2012 04:18 pm (UTC) (Link)
О майн готт... "Я обвиняю!" - этот опарыш, что, всерьёз думает, что его сраное мнение кому-то интересно?
leon_spb67 From: leon_spb67 Date: January 29th, 2012 04:21 pm (UTC) (Link)
его сраное мнение уже во всех новостях - в газетевру, ньюсвру и т.д.
ualexj From: ualexj Date: January 29th, 2012 07:04 pm (UTC) (Link)
это манопимает нечаянно оброненую "бейсбольную биту со свастикой"
(Deleted comment)
r_70 From: r_70 Date: January 29th, 2012 09:22 pm (UTC) (Link)
Логика она такая, железная.
Вспомнилось из бессмертного диалога Балаганова и Паниковского.
- А если они не золотые ?
- Ха, а какие же они по-вашему ?
From: ur_2222 Date: January 29th, 2012 10:49 pm (UTC) (Link)
Не вижу верификации пиарного участка кода, как "того самого трояна ;)", а не какого-то иного, например свеженаписанного самим финном.

Не вижу общедоступного алгоритма декриптовки кода.

Ну и лоХику связи записи : "Здесь был Вася" с самим Васей - не вижу, как и автор поста.

На суде бы это рассыпалось...
shtuzer25 From: shtuzer25 Date: January 30th, 2012 11:35 am (UTC) (Link)
Дело в том, что даже дальше рассмотрения обращения не пошло бы - любой судья на такую хрень откажет в возбуждении дела, особенно при отсутствии пострадавшей стороны как таковой.
Нет никаких доказательств взаимосвязи цифр и лично Спорава, а вероятность простого совпадения (или наличия чужого умысла) слишком велика, чтобы трактовать эту строчку в качестве аргумента обвинения.
ellagra From: ellagra Date: January 29th, 2012 11:20 pm (UTC) (Link)
Слабовато с точки зрения логики. То есть, по вашей версии, sporaw мог быть и хакером, и добрым дядей, ищущим легкоуязвимые места в коде и публикующий это на радость общественности. Однако, имхо, на 600-м мерсе даже гениальные кодеры не ездят, а бизнеса за ним крупного вроде не замечено.
leon_spb67 From: leon_spb67 Date: January 29th, 2012 11:40 pm (UTC) (Link)
Речь, прежде всего о том, что ботнет был убит в 2006-м году. Убитый в 2006-м году ботнет не может совершить DDOS атаку на ЖЖ в 2011-м. Это у вас сомнений не вызывает?

Далее. Носик утверждает, что sporaw создал трояна (хотя на скриншоте не троян, а эксплойт), с его помощью создал ботнет, с помощью ботнета украл миллионы и на украденные миллионы купил себе мерс. Остается непроясненным вопрос: а как номер мерса попал в код трояна, если мерс был куплен позже создания трояна? Или sporaw сперва украл миллионы, а потом быстро проапгрейдил код трояна с тем, чтобы все узнали, что миллионы украл именно он? :) Это вот - логично? :)))

Однако, имхо, на 600-м мерсе даже гениальные кодеры не ездят

Гениальные кодеры не только на мерсах ездят, но и дома с квартирами покупают. Это я вам как краевед говорю. Я в те времена предлагал 10 килобаксов за небольшой заказ для толкового программера на ассемблере - не нашел толкового. Школоты - валом, а вот самородков - единицы и они завалены заказами на месяцы вперед.
Приватный эксплойт, не вышедший в паблик и не палящийся антивирусами - может стоить десятки тысяч долларов. Потому что эта деятельность давно уже стала индустрией со многомиллионными оборотами.

а бизнеса за ним крупного вроде не замечено.

Вы его друг что ли, чтоб заявлять подобное? :)


avva From: avva Date: January 29th, 2012 11:50 pm (UTC) (Link)
Боже, какой вы бред несете. "публикация о уязвимости с его подписью за 2005-й год..."

Это не публикация, это H.D.Moore, автор фреймворка Metasploit, реверс-инженернул троян за подписью O600KO78RUS, о котором стало известно за день до того, и записал свой анализ в виде модуля для Metasploit, документирующего этот новый эксплойт. Что тривиально прочитывается в архиве bugtraq ровно за те дни. И то, как этот троян обнаружили. И то, как на его основе другие эксплойты начали плодиться вскоре.

В поле "авторы" он записал себя, китайского хакера, который помог ему разобраться в коде, и O600KO78RUS, потому что он нашел эту подпись в коде, и добавил фиктивный домен @unknown.ru, чтобы подчеркнуть, что это какой-то неизвестный из России. Адреса такого не существовало, и автор трояна ничего сам не "публиковал", кроме собственно распостранения самого трояна.

leon_spb67 From: leon_spb67 Date: January 30th, 2012 12:02 am (UTC) (Link)
Ок, может оно и так.

Сути это никак не меняет - речь про 2005-й год и не про троян, а про эксплойт, грузивший трояна.

Мог sporaw написать сплойт? Мог. Подтверждает его авторство, что именно он - владелец ботнета? Нет. И уж тем более это никак не подтверждает мощного умозаключения, что sporaw DDOSил ЖЖ. Ботнет прибили в 2006-м, а ЖЖ валили прошлым летом.
Есть связь? Нету :)

У меня нет задачи выгораживать sporaw в моментах его деятельности шесть лет назад. Я так и написал - я понятия не имею, чем он занимался. Может продавал приватные сплойты. Речь о том, что его деятельность не имеет ни малейшего отношения к кетаминовым фантазиям Носика.
ljournalist_bot From: ljournalist_bot Date: January 30th, 2012 03:31 am (UTC) (Link)
Поздравляем! Ваш пост был отобран нашими корреспондентами и опубликован в сегодняшнем выпуске ljournalist'а.
exqtr77 From: exqtr77 Date: January 30th, 2012 04:27 am (UTC) (Link)
кто-то голову носега взломал. подозреваю, что некто Кеатмин.
anpaza From: anpaza Date: January 30th, 2012 07:35 am (UTC) (Link)
Боюсь, только, последовательность была не "носег пошëл в его ЖЖ и увидел, что там разбирается аутентичность почты овального" а как раз обратная - когда появилась неприятная инфа и не имея еë возможность опровергнуть, кипоносец пошëл по древнему опробованному ещë его предками Ш. Балагановым и Паниковским методу - "а ты, сопсно, хто такой". Проявляя чудеса умения поиска в гугле, долбоëб нашëл "дохлад" про ботнет, а так как поцыенту один хуй - вирус, троян или эксплойт, да и уж очень хотелось - была из 21го пальца высосана остальная "инфа 147%".

Засим остаëтся напомнить, что для того, чтобы заплевать кого-то говном, надо сначала набрать самому полный рот говна, и с большой долей вероятности говно пройдëт мимо цели, в итоге говнометатель просто бесплатно сам поест говна. Эта печальная история в полной мере относится к носегу.
leon_spb67 From: leon_spb67 Date: January 30th, 2012 10:32 am (UTC) (Link)
ну я "логику" Носика пересказал. :)
А так - да, у него конфликт с Рыковым и гешефт с Навальным. Долго придумывал, как бы обосрать.
planets_drawing From: planets_drawing Date: January 30th, 2012 12:53 pm (UTC) (Link)
Носик - мудло и фантазер. Что уж тут.

И с ником у него получился irony fail. Он-то скокетничать хотел, бедолага - ах, какой я интересный. Но ВНЕЗАПНО коснулся самой своей сути.

И про сурковский заказ в своем ЖЖ он зря кричит. Печальная правда состоит в том, что Носик настолько жалок, что никакому суркову не интересен.
ahi11 From: ahi11 Date: January 30th, 2012 08:47 pm (UTC) (Link)
Рукопожимаю!
Факт интеллектуального озалупливания долбоёба налицо.
Vasyapupkin32 From: Vasyapupkin32 Date: February 1st, 2012 12:02 am (UTC) (Link)

Кстате о шифровщиках

Народ там из штанов выпрыгивает в стараниях зашифроваться и так глупо подставиться может только настоящий долбоеб.

http://www.rusecurity.com/2012/01/28/banda-koobface-raskryita-koobface-sovershaet-oshibku-a-potom-eshhe-odnu-o-mashinah-i-kotyatah/
leon_spb67 From: leon_spb67 Date: February 1st, 2012 02:04 am (UTC) (Link)

Re: Кстате о шифровщиках

Ну это разное. Одно дело - ошибка, и совсем другое - намеренно написать номер машины в коде.
58 comments or Leave a comment