leon_spb67 (leon_spb67) wrote,
leon_spb67
leon_spb67

Category:

Про кетамин и страшных хакеров

Долбоеб Носик набросил дерьма на вентилятор раздул мощный медийный скандал, обвинив Суркова в DDOSe ЖЖ и взломе почты Навального.
Начало:
http://dolboeb.livejournal.com/2275327.html
Продолжение:
http://dolboeb.livejournal.com/2275662.html

Сейчас об этом пишут практически все сетевые СМИ.

В двух словах логика Носика такова:
Носик посетил презентацию финна, который позиционирует себя как эксперта по компьютерной безопасности. Этот финн рассказал ужасную историю про то, как в борьбе с неким ботнетом он нашел в коде эксплойта (не трояна!!! а эксплойта) непонятное сочетание букв и цифр (o600ko78rus). Русские друзья ему пояснили, что 78 - это код региона (Санкт Петербург). Далее финн с помощью магии гугла вычислил ЖЖ некоего sporaw, в котором он обнаружил фотографии автомобиля Mercedes с данным регистрационным номером.



Финн уверяет, что данный ЖЖ-юзер и является хозяином ботнета.
Носик пошел в этот ЖЖ и увидел там внятный разбор, касающийся цифровых подписей в почте Навального. Разбор этот доказывал, что Навальный - жулик и лжец.

Носик сделал мощные логические умозаключения и пришел к выводу, что именно sporaw является исполнителем DDOS-атаки на ЖЖ. Логика такова: sporaw против Навального. Значит за Путина. sporaw - хакер, вроде бы связанный с ботнетом. Значит это именно он ДДОСил ЖЖ. Значит ДДОС заказал Сурков.
Ведь это же очевидно, правда? :)

Сразу скажу: я не являюсь мегаспециалистом в компьютерной безопасности, но некоторое время имел к этому отношение и имею некоторое понимание, что и как там происходит.


В двух словах это выглядит так.
Есть масса талантливых граждан, которым интересно копаться в коде программ, искать уязвимости. Некоторые делают это для души, некоторые за деньги, другие - совмещают полезное с приятным. Хорошим тоном в этой тусовке является оповещение разработчиков о найденной уязвимости. После оповещения уязвимость публикуется на т.н. "багтраках" - досках объявлений. В качестве подтверждения уязвимости, авторы публикуют доказательства (Proof Of Concept - POC) - программные коды, демонстрирующие наличие уязвимости, чтобы любой мог проверить. С багтраков публикации мгновенно разлетаются по огромному количеству сайтов, посвященных компьютерной безопасности.
Например, можете посмотреть вот тут http://www.exploit-db.com/

Но эти сайты внимательно мониторят не только спецы по безопасности, но и масса т.н. "скрипт-кидди" - людей, не обладающих достаточными знаниями в данной области, но зарабатывающих взломом сайтов и распространением троянов и т.п. фигни. На основе готовых решений они собирают связки эксплойтов, реализующих разные уязвимости в разных браузерах и загружают их юзерам на взломанных сайтах, либо покупают трафик - размещают вредоносный код на посещаемых сайтах за деньги. Обращаю внимание: в реальности используются именно связки эксплойтов, написанные разными авторами - так повышается эффективность ("Пробив").

После того, как браузер взломан, автоматически происходит загрузка и запуск исполняемого файла. Дальнейшие события зависят от намерений и жадности хозяина эксплойта - компьютер жертвы находится под его властью.

Это была преамбула. Теперь по фактам. Финн демонстрирует кусок кода эксплойта:



Я выделил фрагмент, так возбудивший финна и Носика. В этом фрагменте мы видим адрес, откуда грузится троян и вожделенную подпись O600KO78RUS.
Идем на сайт http://www.archive.org/ и смотрим на активность этого домена:
http://wayback.archive.org/web/*/http://UnionSeek.com



Как нетрудно догадаться, активная деятельность домена с трояном велась в 2006-м году. После этого он был закрыт и данных о нем за другие года нету. О чем это говорит?
О том, что финн рассказывает о событиях ШЕСТИЛЕТНЕЙ давности!

Далее про подпись O600KO78RUS. Как нетрудно выяснить, sporaw был и остается активным деятелем в данной области. А в то время свои публикации он подписывал ником O600KO78RUS - это часть адреса его электронной почты. Вот, например, публикация о уязвимости с его подписью за 2005-й год, обратите внимание на нижнюю строку:


http://sebug.net/vuldb/ssvid-13615

Итак, о чем может говорить подпись в коде эксплойта, о которой говорит финн?

Например о том, что sporaw мог быть автором данного эксплойта, т.е. он нашел и опубликовал уязвимость и POC к ней, оставив в коде свою подпись, которая при сборке неким скрипт-кидди перекочевала в бинарник.

Например о том, что он мог быть автором некоего софта для сборки данного эксплойта из исходников в готовый бинарник.

Например о том, что кто-то из сетевых врагов попытался подставить sporaw, подписав эксплойт его ником.

Но вот о том, что он является хозяином ботнета, данная подпись нам никак не говорит. Потому что экплойты, как я уже говорил, используются в связках и написаны эти эксплойты разными авторами. А финн демонстрирует только один эксплойт.
А еще, ботнет - это не только большие деньги, но и большие сроки. Это как бы аксиома в тех кругах. И поднимать себе срок на ровном месте там никто не станет. Народ там из штанов выпрыгивает в стараниях зашифроваться и так глупо подставиться может только настоящий долбоеб.
Я никак не могу отнести sporaw к отряду долбоебов. А вот Носика - могу. Собственно он сам себя так и называет. :)

И эта... Я не могу подписаться, что sporaw шесть лет назад не занимался какой-нибудь противоправной херней - я его не знаю. Но связать прибитый шесть лет назад ботнет с недавними атаками на ЖЖ может только конченный dolboeb. Не говоря уже про утверждение, что доказательства идентичности писем Навального являются свидетельством активности Суркова. :)

В общем, вся история целиком и полностью высосана из пальца.
У меня - всё.

UPD: avva Пояснил ускользнувшие от моего внимания моменты связанные с подписью. Эксплойт был обнаружен специалистами и подвергнут реверсу (восстановлен исходный код). В коде обнаружена подпись. Результат был опубликован. Другими словами, авторство эксплойта - за sporaw скорее всего. Возможно, имела место приватная продажа эксплойта ботнетчикам или еще кому-то, через кого он попал к ботнетчикам. Однако, автороство эксплойта никак не доказывает владения ботнетом - эксплойты приватно продавались и продаются. Всё остальное остается в силе. Носик - долбоеб.
Tags: Долбоебы, Навальный
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

  • 58 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →