Comments 106
Это барыги походу. Вот темка: сырцы, ближе к концу страницы есть пароль на архив
Лучше уж так. И архив, и пароль, без регистрации и смс.
Дурацкий вопрос. Наличие исходников зловреда разве не упростит создание сигнатур для АВ вендоров?
То, что аверы будут лучше палить малварь – не говорит о том, что школьники не начнут копипастить с новым названием. Есть прецеденты, когда продукт, который палится на протяжении более двух лет, все еще продается, и используется.
UFO just landed and posted this here
Как страшно жить. Хорошо, что я сижу под Ubuntu и не являюсь сисадмином, да и жене на ноут поставил Ubuntu. Насколько я понимаю, Carberp — чисто виндовская пакость, хотя и использует потенциально кроссплатформенный Java-exploit.
Наивно думать, что вас эта проблема обойдет. Руткитов под линух вполне достаточно и количество будет расти.
Согласен. Но пока, кажется, бояться рано, т.к. десктопная доля Linux не очень торопится расти. А так подобные фразы последние лет 15 время от времени доводится слышать, да и про руткиты читать, но вот на практике с пользовательского компа под Linux глистов гнать пока ни разу не приходилось. С целенаправленно взломанными серверами сталкивался, но вот чтобы просто во время web-browsing'а пользователь Linux'а нахватался глистов — ни разу в жизни не наблюдал.
… в конце концов, создание malware нынче — бизнес, и «обслуживать» столь малый «сектор рынка», как десктопный линух, киберпреступным элементам пока всё ещё не особо выгодно.
Если на десктопном линухе есть доступ к онлайн-банкингу, то вполне себе выгодно. Пользователи же учаться даже на чужих ошибках, значит надо следовать за ними — на линух и мак.
На fishing обычно попадается сравнительно небольшой процент юзеров. Десктопных линуксоидов 1-2%, причём в своём большинстве это люди более технически подкованные, чем пользователи Windows, соответственно, какие-нибудь 1-5% из них таки попадутся на фальшивую ссылку. Итого получаем, что надо тратить средства на разработку malware, на которую клюнет максимум 0.05% пользователей. Трудозатраты на разработку примерно такие же, как в случае Windows, если не больше, а практический выход в тысячи раз меньше. Стоит ли овчинка выделки?
Не обязательно фишинг. Что если это будет троян?
Что если на счете у юр.лица будет несколько миллионов рублей? Вполне себе реальная ситуация. Несколько млн. стоят выделки.
Что если на счете у юр.лица будет несколько миллионов рублей? Вполне себе реальная ситуация. Несколько млн. стоят выделки.
И куда эти миллионы пойдут? И куда будет смотреть финмониторинг и операционист, который подпишет платежку?
Сильно большие суммы как правило защищаются еще и со стороны банка. Не то, чтобы это был повод расслабится, но просто для понимания того, что масштаб украденного зависит от размера счета нелинейно.
Сильно большие суммы как правило защищаются еще и со стороны банка. Не то, чтобы это был повод расслабится, но просто для понимания того, что масштаб украденного зависит от размера счета нелинейно.
Я не знаю, куда смотрел мониторинг и что там защищал банк, но я лично знаю человека столкнувшегося с подобной проблемой. Со счета ушла довольно крупная сумма. Банку было вообще насрать на проблемы.
Но видимо, проще закрыть глаза.
Но видимо, проще закрыть глаза.
Мне сто раз звонили операционисты с вопросами мол у вас тут нетипичная операция проходит, всё ли нормально. Брату тоже звонят периодически. Когда в банке работал помню была такая тема, что большие суммы специально медленно пересылали, чтобы дать клиенту одуматься… С другой стороны знаю один банк, мои партнеры с ним работают — там вообще никто ничего не смотрит, и не отслеживает. Но это карманный банк, там вообще всё забавно. Вроде и банк, а вроде и офисы аффилированных компаний. Там счета только у тех кто входит в холдинг, у их партнеров и иногда у случайных клиентов ибо никто ж не будет говорить о том, что банк карманный. Правда там платежи наружу идут ой как долго.
Вот не позвонили. Может так было задумано да и банк был крупный. Еще был опыт, когда другой довольно крупный банк ответил, что не обязан следить за платежами. «Отключайте БК, привозите платежки сами». Да и дырку размером с тоннель не хотел фиксить. Проще кормить штат своих «разработчиков», чем закупить современную систему.
И еще — не задумывались, почему в зарубежных банках есть калькуляторы пин-кодов, а в российских их нет или встречаются редко? Потому, что никому не нужен лишний геморрой. Да и стоимость обслуживания возрастает.
А по теме можно почитать материалы с group-ib.ru и ветки на http://www.banki.ru/
И еще — не задумывались, почему в зарубежных банках есть калькуляторы пин-кодов, а в российских их нет или встречаются редко? Потому, что никому не нужен лишний геморрой. Да и стоимость обслуживания возрастает.
А по теме можно почитать материалы с group-ib.ru и ветки на http://www.banki.ru/
Есть такое, слышал что в РФ такое чаще чем у нас. Может быть и вправду есть существенная разница в банках РФ и Украины, в конце концов технологически банковская система у нас более развита, так что я не удивлюсь если окажется что у вас и с безопасностью похуже.
Вообще я сторонник токенов, и если на фирме обороты в миллион, то нужно обязательно знать своих операционистов в лицо, и подкармливать их шоколадом, и включать смс-информирование.
ПЫСЫ: и да, знаю пару случаев когда денежку таки возвращали назад.
Вообще я сторонник токенов, и если на фирме обороты в миллион, то нужно обязательно знать своих операционистов в лицо, и подкармливать их шоколадом, и включать смс-информирование.
ПЫСЫ: и да, знаю пару случаев когда денежку таки возвращали назад.
Проблема в том, что ни линухе нет доступа к онлайн банкингу, обычно. Так что если им активно пользуешься, то линух не катит.
Довольно активно пользуюсь онлайн-банкингом, проблем с ним под Linux'ом не замечал. Конечно, это в случае, когда всё происходит через браузер, но мне как-то клиент-серверные банковские системы пока были без особой надобности.
Ну это для частных лиц. Для того же ИП уже нужен драйвер электронного ключа и куча всякой шняги которые только под винду.
С такими штуками, к счастью, не особо работал. Но мне кажется, что fishing в основном как раз ориентирован на частных лиц.
В сбере не надо никаких ключей, например, у них СМСки приходят.
Для юрлиц? вы уверены?
Да, для юрлиц. Старая система с толстым клиентом вообще к IP и MAC-адресу привязана, сейчас всех переводят на эту упрощённую.
О, интересно. А как они без цифровой подписи работают тогда? Ведь все платежки получаются ничем официально не подтвержденные.
К сожалению или к счастью наше законодательство так устроено, что даже если у тебя есть ЭЦП выпущенная банком для клиент-банка и у тебя стырили эту ЭЦП и потом стырили деньги, то банк оказывается в пролете, то есть рано или поздно в результате судебных тяжб суд обяжет банк вернуть сворованные деньги. Таких прецедентов было по стране много и в своем большинстве клиенты выигрывали.
Поэтому некоторые банки и не парятся относительно ЭЦП, есть она или нет, все равно ты в пролете в случае аварии…
Поэтому некоторые банки и не парятся относительно ЭЦП, есть она или нет, все равно ты в пролете в случае аварии…
Есть там цифровая подпись конечно, и комплект одноразовых ключей на скрэтч карте, скорее всего. А на толстом клиенте еще и ключ амикон есть.
Как привязать пользователя по МАК адресу после НАТтинга это мне не представить, а по айпи привязывают только по заявлению клиента.
Но они используют что-нибудь типа крипто про/арм, для которых линуховых версий нет, кажется.
Как привязать пользователя по МАК адресу после НАТтинга это мне не представить, а по айпи привязывают только по заявлению клиента.
Но они используют что-нибудь типа крипто про/арм, для которых линуховых версий нет, кажется.
Ничего, это «кажется» проходит быстро. Пусть и болезненно иногда.
Пока вот сколько лет пользуюсь Linux'ом — всё никак не проходит. Быстро — это ещё 5 лет к этим 15? Ещё 10? 15?
(поправка: Linux'ом пользуюсь с конца 1995 года, но как-то, кажется, этак до 1998 и разговоров про вирусняк под Linux особо не было)
(поправка: Linux'ом пользуюсь с конца 1995 года, но как-то, кажется, этак до 1998 и разговоров про вирусняк под Linux особо не было)
Думаю года два-три и начнется веселье. Резкий всплеск популярности зверья для серверного linux начался примерно 3 года назад. До этого заражения были единичными, сейчас они типовые.
Я думаю, всплеск будет после того, как подрастёт популярность линуха на десктопах, до тех пор особых причин вроде бы нет. Сейчас же вроде как sweet spot — по крайней мере, для таких пользователей, как я: на рынке много оборудования, которое без проблем работает с Linux'ом, софта, нужного для моей работы, тоже хватает с избытком, при этом юзеров, идеально подходящих на роль мишени для malware, пока не очень много.
А что думаете насчет OpenBSD? Вроде, у них все хорошо с безопасностью, если верить их сайту :)
Я не секурист, у меня другая специализация. OpenBSD поставили безопасность во главу угла. Пока не будет найдена новая парадигма безопасности — OpenBSD будет оставаться самой безопасной средой в силу своей паранойяльности. Минус в том, что удобство и безопасность обратно пропорциональны, а значит, пользоваться openbsd практически невозможно. Так что вирусы и писать под нее не будут.
На домашних линух компах я и сам не видел пакостей, а вот серваки заражаются всяким калом очень активно. Скриптовые языки для пакостей просто манна небесная! Да и башик сегодня отличный.
UFO just landed and posted this here
Я уверен, он может и в суд подать за утечку.
Объектами авторских прав являются произведения науки, литературы и искусства независимо от достоинств и назначения произведения, а также от способа его выражения:
…
К объектам авторских прав также относятся программы для ЭВМ, которые охраняются как литературные произведения.
Для меня почему-то самые интересные новости из мира IT — это когда утекают какие-нибудь интересные исходники:) Жду когда появится какой-нибудь CodeLeaks, куда хакеры и программеры со всего мира будут сливать все самое интересное.
codeleaks.net
Правда, на китайском.
p.s. похоже на блог, но мало-ли
Правда, на китайском.
p.s. похоже на блог, но мало-ли
Похоже, ещё не все знают об en.pudn.com — кладезь раритетных и очень ценных исходников.
Сейчас начнется засилие школобилдеров) аля pinch reloaded
Самое веселое, что отношение к разработке имеет один из хабраюзеров — airog
Если участие подтверждаемое, то этот хабраюзер практически готовый кандидат на отсидку, к слову.
Я думаю информации из архива хватит для подтверждения
В любом случае то что человек разрабатывал инструмент, не значит, что он им пользовался для совершения противозаконных действий.
Плюс комментарии в коде не являются подтверждением чьей бы то ни было личности — или же
/* Bublik and logan proudly present some malware */ теперь достаточно, чтобы кого-то посадить? :)Если вы внимательно изучите файлы из архива, то можете поменять свое мнение
Я не претендую на правоту, а уж тем более не являюсь судом, поэтому я не буду писать кого стоит посадить и по какой статье.
Но исходя из логов переписки можно сделать вывод что в 2011 году, этого человека нашли на какой-то фриланс-бирже и предложили поддерживать уже готовые исходники. Да и вы верите в то, что буткит и юзермодная чать это дело одного и того же человека?
Забавно наблюдать как люди готовы линчевать, только от того что нашли имя человека в коментариях.
Помнится в одном из троянов была такая строка:
Но исходя из логов переписки можно сделать вывод что в 2011 году, этого человека нашли на какой-то фриланс-бирже и предложили поддерживать уже готовые исходники. Да и вы верите в то, что буткит и юзермодная чать это дело одного и того же человека?
Забавно наблюдать как люди готовы линчевать, только от того что нашли имя человека в коментариях.
Помнится в одном из троянов была такая строка:
Coded by BRIAN KREBS for personal use only. I love my job & wifeЭто же не означает что Брайан Кребс автор этого трояна.
А еще он наверняка педофил и в бога не верит.
Никто не говорит о линчевании. Я вообще против наказания разработчиков вируса, я за наказание его пользователей. Нельзя наказывать мастера, делающего молотки за то, что этим молотком кому-то проломили голову. Однако УК достаточно подробно описывает санкции, в том числе, для создателей зловредных программ. При этом степень вмененности создателя выясняет суд, и я не думаю, что наш, самый гуманный в мире суд, будет вникать в такие тонкости.
Хотя, российское правосудие вещь абсолютно непредсказуемая, и что будет в результате — никто не знает.
Хотя, российское правосудие вещь абсолютно непредсказуемая, и что будет в результате — никто не знает.
Разработка зловредов всё же сродни изготовлению оружия или наркотиков. Ударить молотком по голове — это нецелевое использование, недокументированная фича.
Отсюда следует очевидный вывод — нельзя наказывать производителей чего-либо (над оружием массового поражения надо хорошо подумать), нужно наказывать тех, кто противоправно применяет (разумеется, права не должны нарушать права других, например так называемое «авторское право», которое по своей сути противоправно, так как нарушает сразу несколько прав: право на свободу слова, на свободу экономической деятельности и т. д.).
Ждём обзор исходников.
Ждём обзор исходников.
УК РФ 273 думает иначе
Откуда:
Украина, Херсонская обл., Херсон
Украина, Херсонская обл., Херсон
Я не силен в юридических нюансах, но есть вероятность, что Россия может попросить выдать его и тут ему 273 УК предьявят
Информация перекликается с новостью В Украине арестованы разработчики трояна Carberp
оттуда: «Это были программисты, работавшие удаленно в Киеве, Запорожье, Львове, Херсоне и Одессе. Как правило, они не знали друг друга, каждый отвечал за свою часть разработки программного модуля. Потом данные передавались на главный сервер в Одессе, там же работал главный организатор — 28-летний гражданин России», — пояснил представитель СБУ. По его словам, основной ошибкой группировки был системный характер преступлений.
оттуда: «Это были программисты, работавшие удаленно в Киеве, Запорожье, Львове, Херсоне и Одессе. Как правило, они не знали друг друга, каждый отвечал за свою часть разработки программного модуля. Потом данные передавались на главный сервер в Одессе, там же работал главный организатор — 28-летний гражданин России», — пояснил представитель СБУ. По его словам, основной ошибкой группировки был системный характер преступлений.
Если такой инструмент предназначен для них, то это само по себе противозаконное действие.
А это уже зависит от статьи местного УК. Начиная с «приготовления к преступлению» вплоть до прямого запрета «изготовления» и «хранения».
Раздача на TPB, присоединяйтесь!
Берём блокнот, ручку и начинаем переписывать IP пиров…
Гм, 404…
Ну значит и на TPB есть цензура:)
Гуглите, оно есть на других торрентах. То, что попало в сеть один раз, остается там навсегда.
Гуглите, оно есть на других торрентах. То, что попало в сеть один раз, остается там навсегда.
Аккаунт это такое, главное, чтобы Вас теперь не удалили… )
Ах, бросьте. Вот, например, статья 273 УК РФ наказывает за создание, использование вредоносного ПО, а также за «распространение таких программ или машинных носителей с такими программами». Бинарный файл с расширением .rar и неизвестным паролем вредоносным ПО не является, как и машинным носителем. Максимум — учебный материал в форме исходных кодов, и то — если вы знаете пароль. Вы вот пароль знаете? :)
Если не ошибаюсь, в ранних комментариях говорят, что пароль не проблема. Сам не пробовал.
Бинарный файл с расширением .rar и неизвестным паролем вредоносным ПО не является
Это вы так решили?
Закон считает несколько по другому
Программой для ЭВМ является представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результатаи ничего не говорит про расширения и пароли.
Т.е. чтобы подтвердить или опровергнуть то, является ли (возможно) шифрованный (возможно) .rar-архив программой или нет, нужно просто его запустить. Если запустить не выходит — это не программа, т.к. не содержит команды для функционирования ЭВМ для получения определенного результата — результата нет.
А то так можно дойти до того, что .mp3-файл — это тоже программа, и запись шума с орбитального телескопа — тоже.
А то так можно дойти до того, что .mp3-файл — это тоже программа, и запись шума с орбитального телескопа — тоже.
Нет, нужно проанализировать содержимое — если там есть (в любом виде — шифрованном, сжатом или ещё каком) совокупность команд и данных с определенным результатом, то это программа (ну или их набор, или программа и куча левых данных).
Дайте мне любой файл на ваше усмотрение, и я докажу, что он является вредоносной программой — я просто найду такой XOR-ключ, который на выходе после расшифровывания даст экземпляр того же carberp.
Никакая экспертиза не может доказать, что за информация находится в шифрованном виде, т.к. факт шифрования в принципе недоказуем. В сжатом, в еще каком, но не в шифрованном.
Никакая экспертиза не может доказать, что за информация находится в шифрованном виде, т.к. факт шифрования в принципе недоказуем. В сжатом, в еще каком, но не в шифрованном.
Факт и, иногда, алгоритм шифрования может определяться по косвенным признакам. Ключ — техническими или оперативными методами.
Если в Англии (если не ошибаюсь) сажают за отказ выдать ключ, то уж факт шифрования они как-то устанавливают. И это при их правосудии, а при нашем и простой белый шум за шифр выдадут (а если очень надо — и запишут) и представят его как признак сокрытия улик.
Если в Англии (если не ошибаюсь) сажают за отказ выдать ключ, то уж факт шифрования они как-то устанавливают. И это при их правосудии, а при нашем и простой белый шум за шифр выдадут (а если очень надо — и запишут) и представят его как признак сокрытия улик.
UFO just landed and posted this here
Даже у пустого файла есть имя, которое можно считать повторяющимся до тех пор, пока не закончится ключ. Можно, например, расшифровать «somefile.dat» при помощи этого:
Скрытый текст
-----BEGIN XOR KEY----- UAYDBgocCAAOWBIAFwYCSw5XZgxAEEEZEgYDTQ8H GEVPFgYXX08ODQcbTE9PFgYCKDJERR1JHBdHChUS W00kRSckTDFrLEE8Mi0/IDQrTCd5JSk1Oy4lRVxa MAsMTVpUAQoZEBQHTFUVRBx+ -----END XOR KEY-----
мимо
Зачем гуглить если вверху есть ссылка на меге =)
Отличный материал для учебы и саморазвития. Зловредов писать совершенно необязательно, но очень увлекательно посмотреть «как это сделано».
Было бы интересно посмотреть результаты анализа от PVS-Studio.
Да, было бы интересно.Вообще, PVS-Studio достойная программа.
Ага, вот здесь у вас переполнение буфера, вот там, там и там — используется неинициализированная переменная со стека, дальше вообще непойми что. Этот код будет чаще падать в коре, чем работать, скажет ПВС студия. :)
На самом деле, код самого эксплойта не обязан иметь уязвимости, которыми он пользуется, так что вряд ли что интересное найдется.
На самом деле, код самого эксплойта не обязан иметь уязвимости, которыми он пользуется, так что вряд ли что интересное найдется.
Чтобы написать эксплоит для зараженных машин? :)
Sign up to leave a comment.
Утечка исходных текстов Carberp — это большой удар по безопасности пользователей