Привет! Меня зовут Денис, я Lead Security Researcher в центре Global Research & Analysis Team (GReAT) — подразделении «Лаборатории Касперского», которое занимается целевыми вредоносами. Это значит, что их авторы не рассылают трояны всем подряд, а тщательно выбирают свои организации-жертвы. Иногда их «продукты» написаны интересно.

Мы в GReAT в буквальном смысле слова годами следим за командами, которые пишут такое, детально разбираем их зло, формируем отчеты для заказчиков, плюс иногда подкидывая идеи и продуктовым командам.



Эта статья написана по мотивам выступления на C++ Russia. Я хочу рассказать, как на код C++ смотрит реверсер и что он видит в этом комбайне прекрасном языке. Обычно разработчик идет от исходного кода к двоичному, а мы — наоборот. Ко мне и коллегам приезжают самплы — уже скомпилированные исполняемые (PE, ELF, etc.) файлы, возможно, какой-то байткод одного из intermediate languages или даже прошивка. И мы начинаем их разбирать. Как мне кажется, реверсеры и разработчики могли бы обогатить друг друга.

Из-за всей этой удаленки получилось так, что полупустой раньше тренинговый ноут теперь стал основной рабочей машиной и его стоит-таки как-то повдумчивей защитить. На что в общем-то недвусмысленно намекает и начальство. На ноуте сейчас стоит Ubuntu 20.04 beta.

Началось у меня все с понятных настроек в BIOS и полнодискового шифрования, о которых, наверное, и писать не стоит. А вот потом я решил понять, что может на файловом уровне утилита rkhunter («rootkit, backdoor, sniffer and exploit scanner»).

Больших ожиданий от не обновлявшейся уже пару лет софтины у меня не было. Сразу скажу, что в пользе сигнатур февраля 2018 года для поиска руткитов я очень сильно сомневаюсь, а вот один из других режимов работы — проверка хэшей файлов, меня заинтересовал. Кому интересен такой опыт и что пока получилось — добро пожаловать под кат.

Поддержанный на этапе краудфандинга Onion Omega приехал и сегодня состоялось наше знакомство. Это крошечный, 2 на 4 сантиметра, одноплатный компьютер на базе Atheros AR9331 (MIPS) под управлением OpenWRT. Загрузчиком работает Das U-Boot. В итоге дешево и компактно имеем 400 MHz, 16 MB flash и 64 MB DDR2. Далее под катом

Посчитали объем рынка киберпреступности. Оценивал Symantec, получили вменяемые 276 млн. долл. за год. Сравнимо с ценой одной дизельной подводной лодки. Вот отчет. Сюда вошла торговля информацией о кредитках и банковских счетах, продажа тулзов и сплоитов, т.е. инструментов автоматизации атак и программ, использующих конкретные уязвимости. Пираты не вошли. С лета 2007 по лето 2008 отслеживали объявления на веб-форумах и IRC-каналах, таким образом в итоговую сумма на самом деле попало не все. Symantec подтверждает тезис наших провоохранителей о профессионализации киберпреступности в России и Восточной Европе, сращивании с более традиционным криминалом, организованными преступными группировками. Упоминаются конкретные команды. Как видно по первым строкам таблицы, лучше всего покупают банковские аккаунты, затем номера кредиток. Конечно, не радует, что исследовали производители ПО, им интересно кошмарить, но на первый взгляд сумма адекватная, не миллиарды

Узнал вчера на «Подмосковных вечерах» о том, что существует актуальное научное обоснование определенного мирового порядка. Разработана, ни много ни мало, программа «новый путь мирового развития»

Докладчики вообще-то рассказывали всего лишь о своей прогнозирующей системе. Эта вещь хранит статистическую информацию за годы работы компании-заказчика и пытается помогать ее руководству в принятии управленческих решений. Софтину продают для прогнозирования будущих нагрузок в телеком, энергетикам и т.п. Погрешности предсказаний неплохие получаются, пара процентов для телекома и пять для энергетиков. Очень забавно они перед началом проекта заказчика убеждают в точности софтины. Либо экстраполируют более поздние данные на более ранние. Либо ось времени не крутят, но прогнозируют на конец уже известного периода по неполным статистическим данным. Это мне уже на порядок понятнее, чем «ничего-не-скажу-но-оно-может-все» бывших разведчиков. На этом закончим о конкретном решении, речь все же не о системе, а об интересной истории развития ее коллег и «новом пути мирового развития»

Забавно считать какой-нибудь индекс развития конкретного предприятия для внутреннего пользования, публикуя только средние значения по отрасли и т.п. И позитивных эмоций куча, и ссориться с респондентами не нужно. Сложнее считать показатели публично и непредвзято. Особенно, если оценивается уровень доверия. Недавно узнал о мелком скандале из-за таких персональных индексов. Дело было чуть больше года назад.

Аналитическая компания IDC публикует Russia IT Services Forecast and Vendor Shares, где по собранным анкетам делает выводы о состоянии предоставления ИТ-услуг в России, о долях разных поставщиков этих услуг и прогнозирует, как рынок будет меняться в ближайшие годы. В 2007 году IDC привлекла к этому исследованию ЛИНЭКС (Лигу независимых экспертов в области ИТ). Эта компания ввела «индекс доверия», показывающий насколько реальны данные о выручке ИТ-компании в анкете IDC. Т.е. в ЛИНЭКС попробовали померить, сильно ли респондент наврал. Актуальный индекс. И не только потому, что ловит лжецов на слове, а потому, что респондент мог банально не понять вопрос, ошибиться при заполнении. Индекс зашкаливает – значит стоит звонить и уточнять.

Кончилось это измерение честности коллективным письмом от совсем не последних ИТ-компаний Компьюлинк, КРОК, «Ай-Теко», ЛАНИТ и R-Style президенту IDC. В нем подписавшиеся руководители возмущались индексом и настаивали, чтобы IDC препятствовала его публикации. Как я понимаю, никакой публикации не было. Было упоминание о существовании индекса на пресс-конференции. Кроме того, гневная группа потребовала отныне согласовывать с респондентами передачу данных из анкет третьей стороне. Если же оценки точности предоставленных данных попадут в СМИ, то все вышеперечисленные публично порвут с IDC.

Вы наверняка не раз слышали, что фундаментальная наука хуже всех остальных отраслей переживает чисто рыночные отношения вокруг себя. Возможно, контрпримером сможет стать один проект, на самой-самой дальней орбите которого я вдруг оказался. Есть случай финансирования современным российским бизнесов фундаментальных научных исследований. В конце концов, не швейцарским ускорителем частиц единым жива наука, есть интересные проекты значительно ближе.

В 1993 году физический факультет МГУ закончил Олег Дерипаска. Сейчас уже никому не нужно было объяснять кто это такой. В попечительский совет он входит уже давно, и разные программы университета тоже уже раньше финансировал.

С конца 60-ых годов группа ученых Владимира Скулачева занимается исследованием процессом старения. В целом они сейчас разделяют свободно-радикальную концепцию, которая полагает, что ослабление жизненных функций с возрастом в основном происходит в результате окисления биополимеров активными формами кислорода. Но разделяют с рядом важных оговорок, в соответствии с которыми и трудятся. Как любые нормальные ученые группа Скулачева давно хочет хакнуть программу старения. В идеале на уровне генома, но об этом речь пока не идет. Пока занимаются фармакологией, т.е. антиоксидантами, убирающими избыток активных форм кислорода из клеток. Если принять поправки Скулачева к свободно-радикальной концепции, то правильных антиоксидантов пока еще никто не создал.

У Олега Дерипаски есть Русско-Азиатская инвестиционная компания, РАИнКо. Она финансирует два венчурных проекта. Один из них — «Митотехнология», обладает всеми правами на результаты проекта «Практическое использование ионов Скулачева». «Митотехнология» в долях принадлежит РАИнКо и МГУ. В принципе первый продаваемый результат может появиться в этом году. Это не будет лекарство от старости, это будет офтальмологический ветеринарный препарат. Есть и такое вспомогательное направление. Если ученые с администраторами сумеют не переругаться и довести проект до реальных продуктов, пусть это даже будет не основной антиоксидант, а такие же лекарства, полученные по вспомогательным направлениям, то я буду считать это успешным примером сотрудничества акул бизнеса и фундаментальной науки.

Я редко плачу за софт, мягко говоря. Но буквально за последние несколько месяцев сделал это трижды. Причем за игры. Есть такой человек в Нью-Йорке – Дэйв Гилберт. Так этот мужчина сейчас, по прошествии 15-ти лет, делает квесты в стиле Sierra-on-Line начала девяностых, я бы сказал. На порядок попроще и покороче, но Gabriel Knight: Sins of the fathers и Conquest of the longbow вспоминаются. Берется свободно распространяемый игровой 2D-движок, пишется очень неплохой грустный детективный сценарий, находятся вменяемые художники, которые рисуют фоны и спрайты персонажей. Классного композитора для последней по времени выхода игры Гилберт вообще нашел где-то в районе Голландии. Все эти поиски происходят по специализированным game-dev форумам, как я понял из комментариев автора, и участники проекта практически никогда не требуют оплаты. Озвучкой персонажей занимаются голосистые родственники и знакомые Гилберта плюс немного профессиональных актеров. Результаты трудов такой команды продаются за 5-15$. На защиту продукта автор решил вообще не заморачиваться, а просто скомпилировать два варианта – полный и демо. Наверняка где-то лежит на шару и полный, но я заплатил за все три игры: Shivah про раввина в депрессии, и Blackwell Legacy и Unbound о том, как в семье медиумов по наследству передается приведение, склоняющее этих медиумов к совместному спасению застрявших на пути в лучший мир душ. Уходит на создание такого наколеночного квеста до полугода, и Гилберт с этого живет. Автор заметно прогрессирует от игры к игре. Прекрасное занятие, я считаю. По доходности, конечно, с MMORPG не сравнимое, зато какое-то уютное, несвоевременное и очень милое. Я под впечатлением даже скачал движок и кое-какие свои текстовые наработки стал к формату игрового сценария приводить