Начало:
http://dolboeb.livejournal.com/2275327.html
Продолжение:
http://dolboeb.livejournal.com/2275662.html
Сейчас об этом пишут практически все сетевые СМИ.
В двух словах логика Носика такова:
Носик посетил презентацию финна, который позиционирует себя как эксперта по компьютерной безопасности. Этот финн рассказал ужасную историю про то, как в борьбе с неким ботнетом он нашел в коде эксплойта (не трояна!!! а эксплойта) непонятное сочетание букв и цифр (o600ko78rus). Русские друзья ему пояснили, что 78 - это код региона (Санкт Петербург). Далее финн с помощью магии гугла вычислил ЖЖ некоего
sporaw, в котором он обнаружил фотографии автомобиля Mercedes с данным регистрационным номером. 
Финн уверяет, что данный ЖЖ-юзер и является хозяином ботнета.
Носик пошел в этот ЖЖ и увидел там внятный разбор, касающийся цифровых подписей в почте Навального. Разбор этот доказывал, что Навальный - жулик и лжец.
Носик сделал мощные логические умозаключения и пришел к выводу, что именно
sporaw является исполнителем DDOS-атаки на ЖЖ. Логика такова: sporaw против Навального. Значит за Путина. sporaw - хакер, вроде бы связанный с ботнетом. Значит это именно он ДДОСил ЖЖ. Значит ДДОС заказал Сурков. Ведь это же очевидно, правда? :)
Сразу скажу: я не являюсь мегаспециалистом в компьютерной безопасности, но некоторое время имел к этому отношение и имею некоторое понимание, что и как там происходит.
В двух словах это выглядит так.
Есть масса талантливых граждан, которым интересно копаться в коде программ, искать уязвимости. Некоторые делают это для души, некоторые за деньги, другие - совмещают полезное с приятным. Хорошим тоном в этой тусовке является оповещение разработчиков о найденной уязвимости. После оповещения уязвимость публикуется на т.н. "багтраках" - досках объявлений. В качестве подтверждения уязвимости, авторы публикуют доказательства (Proof Of Concept - POC) - программные коды, демонстрирующие наличие уязвимости, чтобы любой мог проверить. С багтраков публикации мгновенно разлетаются по огромному количеству сайтов, посвященных компьютерной безопасности.
Например, можете посмотреть вот тут http://www.exploit-db.com/
Но эти сайты внимательно мониторят не только спецы по безопасности, но и масса т.н. "скрипт-кидди" - людей, не обладающих достаточными знаниями в данной области, но зарабатывающих взломом сайтов и распространением троянов и т.п. фигни. На основе готовых решений они собирают связки эксплойтов, реализующих разные уязвимости в разных браузерах и загружают их юзерам на взломанных сайтах, либо покупают трафик - размещают вредоносный код на посещаемых сайтах за деньги. Обращаю внимание: в реальности используются именно связки эксплойтов, написанные разными авторами - так повышается эффективность ("Пробив").
После того, как браузер взломан, автоматически происходит загрузка и запуск исполняемого файла. Дальнейшие события зависят от намерений и жадности хозяина эксплойта - компьютер жертвы находится под его властью.
Это была преамбула. Теперь по фактам. Финн демонстрирует кусок кода эксплойта:
Я выделил фрагмент, так возбудивший финна и Носика. В этом фрагменте мы видим адрес, откуда грузится троян и вожделенную подпись O600KO78RUS.
Идем на сайт http://www.archive.org/ и смотрим на активность этого домена:
http://wayback.archive.org/web/*/http://UnionSeek.com
Как нетрудно догадаться, активная деятельность домена с трояном велась в 2006-м году. После этого он был закрыт и данных о нем за другие года нету. О чем это говорит?
О том, что финн рассказывает о событиях ШЕСТИЛЕТНЕЙ давности!
Далее про подпись O600KO78RUS. Как нетрудно выяснить,
sporaw был и остается активным деятелем в данной области. А в то время свои публикации он подписывал ником O600KO78RUS - это часть адреса его электронной почты. Вот, например, публикация о уязвимости с его подписью за 2005-й год, обратите внимание на нижнюю строку:
http://sebug.net/vuldb/ssvid-13615
Итак, о чем может говорить подпись в коде эксплойта, о которой говорит финн?
Например о том, что
sporaw мог быть автором данного эксплойта, т.е. он нашел и опубликовал уязвимость и POC к ней, оставив в коде свою подпись, которая при сборке неким скрипт-кидди перекочевала в бинарник.Например о том, что он мог быть автором некоего софта для сборки данного эксплойта из исходников в готовый бинарник.
Например о том, что кто-то из сетевых врагов попытался подставить
sporaw, подписав эксплойт его ником.Но вот о том, что он является хозяином ботнета, данная подпись нам никак не говорит. Потому что экплойты, как я уже говорил, используются в связках и написаны эти эксплойты разными авторами. А финн демонстрирует только один эксплойт.
А еще, ботнет - это не только большие деньги, но и большие сроки. Это как бы аксиома в тех кругах. И поднимать себе срок на ровном месте там никто не станет. Народ там из штанов выпрыгивает в стараниях зашифроваться и так глупо подставиться может только настоящий долбоеб.
Я никак не могу отнести
sporaw к отряду долбоебов. А вот Носика - могу. Собственно он сам себя так и называет. :)И эта... Я не могу подписаться, что
sporaw шесть лет назад не занимался какой-нибудь противоправной херней - я его не знаю. Но связать прибитый шесть лет назад ботнет с недавними атаками на ЖЖ может только конченный dolboeb. Не говоря уже про утверждение, что доказательства идентичности писем Навального являются свидетельством активности Суркова. :)В общем, вся история целиком и полностью высосана из пальца.
У меня - всё.
UPD:
avva Пояснил ускользнувшие от моего внимания моменты связанные с подписью. Эксплойт был обнаружен специалистами и подвергнут реверсу (восстановлен исходный код). В коде обнаружена подпись. Результат был опубликован. Другими словами, авторство эксплойта - за sporaw скорее всего. Возможно, имела место приватная продажа эксплойта ботнетчикам или еще кому-то, через кого он попал к ботнетчикам. Однако, автороство эксплойта никак не доказывает владения ботнетом - эксплойты приватно продавались и продаются. Всё остальное остается в силе. Носик - долбоеб.
← Ctrl ← Alt
Ctrl → Alt →
← Ctrl ← Alt
Ctrl → Alt →