Как стать автором
Обновить

Комментарии 222

Протокол torrent и сами клиенты открыты по большей части в отличие от Skype, вот Skype — чёрный ящик, чернее не бывает.
Ничего не мешает, например, зашить бота в готовый бинарник новой версии торрент-клиента.
Например, μTorrent'а
Ну да, любой распространённый. Всё равно люди по умолчанию разрешают ему подключения и добавляют в исключения в файрволле. Ещё и порты форвардят, если IP внешний.
И с закрытыми исходниками.
Да, это дополнительный фактор риска.
Никто же не заставляет вас пользоваться проприетарным uTorrent'ом, в случае Skype выбора нет.
Если доводить параною до абсолюта, то никто не мешает зашить ботнет в очередной апдейт Windows или просто иметь в нем бекдоры. Крис Касперский долгое время обещал показать уязвимость на уровне процессора, смутно понимаю правда как это, но в отличие от софта, просто плохо разбираюсь в железе. Мне кажется именно по этому важно иметь свою операционку и свое железо, для оборонки, только нужно стараться его делать на отлично, а не думать, что есть почти бесконечное финансирование поэтому процессор стоящий $5000 это нормально.
Думаю кстати на этом уровне паранойи можно сказать что бекдор можно встроить и в опенсурс-проект. Ведь правда много из вас досконально изучает код опенсурца перед тем как его собрать?
А парень кстати отнюдь не глупость сказал, уважаемые фэны опенсорса. Создатели проприетарных продуктов по крайней мере рискуют не только репутацией.
Хотел бы сказать, что вы не правы. Дело в том, что любой большой проект с открытыми исходными кодами управляется ограниченным числом людей(часто эти люди имеют очень солидную известность и стаж работы в других компаниях), которые являются коммитерами в исходный код, они принимают и отсматривают патчи от других разработчиков.

В случае вскрытия факта внедрения вредоносного кода(т.к. система контроля версий проекта открыта и доступна всем) можно всегда найти вредителя и последствия не заставят себя ждать. Нет ничего хуже обществанного порицания, что ведёт к снижению кармы в глазах работодателей на работе, что даёт деньги на блага и свободное время для развития открытого проекта.

В случае, если утилита очень полезная и всё же разрабатывается одним человеком, подмену заметят мэйнтэйнеры конкретного пакета(представляющего эту утилиту в дистрибутиве(будь то Debian, Ubuntu, Gentoo или даже FreeBSD)), которые занимаются анализом и адаптацией исходных кодов сторонних разработок под дистрибутив. Они также сообщать о проделках программиста, пытающегося зомбировать невинных хиппипользователей открытых проектов.

Мораль: opensource неуязвим для этой схемы.
oops. тэги не работают. слово хиппи зачеркнуто :)
Ну не совсем, Skype есть для Linux'а тоже, причем мейнтенят его ведь сами скайповцы… ;)
Мы говорим про проекты с открытыми исходными кодами. Относительно Skype, я целиком и полностью согласен с автором статьи.
Правильно ли я понимаю, что между опенсорс-ботнетом и вами стоит одна только вера в то, что мэнтэйнеры «имеют очень солидную известность и стаж работы в других компаниях»?
Правильно ли я понимаю, что Вы смотрите на мир — суди других по себе самому?
Вы путаете. В первом абзаце я говорю про разработчиков крупных открытых проектов, а во втором про мэйнтэйнеров.
Мораль: opensource неуязвим для этой схемы.
Ну да, ну да
Хм…

По поводу первого:
Во первых не думаю, что эти расширения были с открытыми исходниками, и во-вторых вас же предупреждают о неподтверждённости данных создателя расширения при его установке, так что сами себе злобные буратины.

По поводу второго:
Сколько можно уже напоминать бедным дебианщикам об этом промахе? Мне их прямо жалко. Я хоть и не использую этот дистрибутив но признаю его вклад в развитие opensource.

Дело в том, что эта уязвимость была внедрена именно мэйнтэйнером пакета OpenSSL, по причине того, что он после прохода с помощью широкоизвестного valgrind, обнаружил, что библиотека зачем-то обращается в неинициализированную область памяти и закомментировал 2 строки кода, которые отвечали за это обращение. Идея же разработчика OpenSSL заключалась в том, чтобы взять из неинициализированной области памяти мусор для увеличения энтропии генератора случайных чисел(ясное дело, используемого для генерации ключей). Таким образом получилось, что OpenSSL вместо положенных 2 в чёрт знает какой степени ключей стал генерировать очень ограниченное их количество, что сделало подбор простой задачей.
Да, досадная ошибка одного человека привела к эпик фэйлу для всего дистрибутива, но таких примеров миллионы вне рамок opensource, только в случае закрытых исходников все эпик фэйлы разработчиков перекладываются на плечи пользователей, т.к. большинство лицензий содержат пунктик «не несём ответственности за потерю ваших данных и т.д. и т.п.».
По поводу первого: мало ли что предупреждают, сколько процентов пользователей читают предупреждения? Вот те, кто не читают — потенциальные боты ботнета.

По поводу второго: столько сколько нужно :) И в контексте нашего обсуждения не важна причина, по которой код был закоммичен, важно, что 1.5 года уязвимый (читай вредоносный) код был в репозитарии, не смотря на неуязвимый к этому оперсорс.
1. В силу проекта над которым я в данный момент работаю мне часто сабмитят баги несовместимые со здравым смыслом и юзабилити, просто потому что тестировщики должны отрабатывать свой раб дни. Так вот когда мне сообщают о том, что в админ интерфейсе, если очень постараться можно всё сломать у меня всегда возникает один вопрос: а вы знаете почему собака себе яйца лижет? извините за мой французский

2. Ну тогда можно сказать, что Дебиан тоже не важен. Ведь в репозитории OpenSSL был код без уязвимости. Почему вы проигнорировали последний абзац? В случае закрытых исходных кодов вы просто не знаете как долго баг жил в исходниках. Вам от этого проще?
Вон у M$ была недавно найдена уязвимость, которую они не захотели фиксить, потому как коду который её создавал было от 15 до 20 лет. Как вам такое? Причём уязвимость была совсем не минорная.
При чем тут закрытые исходные коды вообще? :)

Вы на комментарий argos
бекдор можно встроить и в опенсурс-проект
ответили, что
opensource неуязвим для этой схемы
Я, собственно, согласен с argos, и приводил аргументы в пользу его точки зрения.

Да, в ПО с закрытым исходным кодом встроить бэкдор намного проще, но я этого и не отрицал вроде бы.
Для общего сведения: в BIOS компьютера можно вшить все что угодно, при этом, ни одна система безопасности не защитит вас от этого. Обновляется БИОС из под виндоуса. Доу!
А перемычки на перепрошивку БИОСа переставили ставить с второго пентиума. Первой это внедрила компания Интел.
А теперь вопрос: кто из вас работает сейчас на процессоре Пентиум2 или ниже.
Эпл — не принимается: тоже америкос.
Как раз словил такой вирусняк год назад :( это был звездец. Методом исключений остался только flash-bios. Поскольку для перепрошивки оффсайт предлагал только виндовую утилиту, то я просто не рискнул под его прошивать под заражённой свежепоставленной виндой с угрозой убить мать и ушёл на линух…

Полгода привычки к системе и поиска софта с нужной юзабельностью на замену и теперь «линукс — наше всё!» :)

Но я старый программер, с игрушками я вообще не заморачивался, хотя, говорят, есть и можно.

PS: если кто будет толкать в сторону того, что софт под линух искать долго пришлось, то под винду я его годами собирал, по крупицам.
Я конечно извиняюсь, но бирусу (вирусу для биоса), глубоко все равно какая система у вас стоит.
Перепрошить биос можно из под доса. Если не захочет перепрошиватся, то у вас или прошивка кривая или бирус, или чот с железками.

P.S. Хотя, эволюцию никто не отменял…
Вирусу-то пофигу, когда он там… Но тот заточен он был под определённую задачу. В том случае он тупо заражал download-модулем все загрузочные библиотеки винды (зачем??), для скачки других троянов, при подсоединении к инету. Причём, сия неприятная вещь, была написана очень криво и гробила систему, но не в BSOD, а создавала просто невероятные и непредсказуемые глюки. А уж как во внеху-то штормило — словами не рассказать…

Под линукс таких пока не написали вроде, в смысле не поймал того, что встроится во flash-bios за просто так — и этим я доволен.
Да, не помню уже какая мать у меня была (вроде интелловская, но трех-четырех летка максимум) — я старый комп уже под сервак отдал, но под досом оно желало прошиваться только с дискет, вне зависимости от моих мытарств. Дисковода рабочего я не нашёл.
Хотя, может, я тогда чего-то и не домучал. Нервы уже сдавали… Зато теперь целые и шелковистые :)
Есть куча способов перешить биос под дос без дискеты. Например с флешки или сидирома. Но я очень сомневаюсь, что человек, пишущий бирус, будет цеплятся к файлам вашей системы: зачем лезть в какой-то виндуз, если бирус работает на уровне ядра вашего процессора, а не какого-то линуха или виндуза.
Ведь на много проще слить инфу во время работы компа, чем создавать какие нибудь трояны в виде файлов.

P.S. Паранойя вещь очень даже хорошая, но главное, в ней, не стать параноиком.
>>если бирус работает на уровне ядра вашего процессора
Не осилил фразу, если ошибаюсь поправте, но биос получает управление с момента старта и до загрузки загрузчика, после этого управление передается в загрузчик и биос просто может предоставлять какие-либо службы, грубо говоря можно вызывать его функции, но управления у него нет, для этого он и поражал виндовые dll у которых после загрузки ОС будет управление. Такой трюк наверно можно и линухом провернуть, но думаю будет сложнее за счет зоопарка систем.
В основной биос, инициализирующий оборудование, лучше не лезть — слишком много там всякой аппаратнозависимой хрени, очень разной у материнок — можно убить комп на раз. Остаются эксткндеры, которым управление передается после инициализации основного железа, но места там маловато — вот туда можно и засунуть небольшой довнлоадер.
С чего это нет? Ну вызвали вы функцию, а вней помимо всего прочего сидит код отсылающий куда либо ваш винт посектарно.
В некоторых режимах работы, linux выгружает БИОС полностью во время своей загрузки (причём до подключения к сети) и вообще не юзает его используя свою IOS.
И ему глубоко всёравно что там в БИОС.

Только вот не помню как, когда и для чего. Думаю более знающие комрады подскажут.
Так эти «перемычки» перенесли в само меню BIOS. Есть специальная опция, которая блокирует запись во flash (flash protection, virus protection). Только, правда, у большинства она стоит в disabled…
вообще биос пора прибить, по примеру эпла.
это уже даже не вчерашний а поза поза вчерашний день.
у меня торент клиент крутится на роутере, скайпа нет, сплю спокойно).
2 оси — макось дома и линух на работе.
на мак оси ломалками софта не пользуюсь,
там из не купленного драйвер нтфс стоит и фонвью.
У Apple (о боже!) все-таки есть BIOS. Процессор после включения сам по себе не работает.
Конечно, не все изучают опенсорс код, но все же просматривает его довольно много людей, и если бы появились подозрения, сообщество об этом немежленно узнало бы, и в случае с крупным и распространенным проектом поднялся бы большой шум.
А ведь такой случай недавно и был, два плагина к фаер фоксу были с троянами, их отловили, вроде достаточно быстро и теперь ужесточили правила добавления плагинов. Думаю история повторяться не будет.
НЛО прилетело и опубликовало эту надпись здесь
SkyNet отакуЭ! :)
Скорее уж Скайпнет!
Для какой оси?
Для MS Windows? Можно. Но пользователь должен быть туповат…
Для *nix? А толку? Как его потом в репозиторий запихнуть? Сорцы на сайте разработчика? Так его надо ломать — разработчик не станет гарантированно убивать репутацию. А бинарники неизвестно чего неизвестно где — кому они нужны?
Skype — чёрный ящик, да. Тут вроде никто и не спорит. Но что он может реально сделать на системе с нормальным разграничением прав? Чтобы незаметно (иначе кранты репутации)? Просканить каталоги и аккуратненько слать небольшими порциями инфу «куда надо»? Пожалуй может. А зачем? Чёрт его знает… В любом случае он не опасней MS Windows на жёстком диске — тоже стукачеством балуется.
Я говорю в основном про Windows, да. «Пользователь туповат», к сожалению, не такая редкость как хотелось бы.
Да, но и в больших масштабах распространять зараженный бинарник популярного торрент-клиента не возможно.
У многих программ есть функция проверки обновлений. Достаточно один раз взломать его репозиторий и прицепить трояна, он довольно быстро разойдётся по рукам, и если он грамотно написан и ничем себя не выдаст в первое время, то вот вам готовый ботнет ожидающий команды.
Можно тихонько откусывать кусочек процессора, для всяких вычислительных нужд, но думаю тут вопрос стоит скорее так, что репутация дороже чем сокраментальное знание содержимого папок пользователя которым потом нельзя будет воспользоваться явно, иначе репутация тут же упадет ниже плинтуса. Гораздо более опасны в этом плане Гугл и всякие вконтактеклассники, гугл потому что теоретически имеет доступ к личной переписке и с некоторых пор документам.
В общем щифрование и открытые исходники спасут мир :)
В который раз убеждаюсь: Linux лучший антивирус. ИМХО.
ИМХО, Linux будет лучшим антивирусом ровно до момента когда станет достаточно популярным чтобы ботнетоводы массово обратили на него свой взгляд… И если это произойдет — ботнетоводы уж найдут способы как обойти защиту и проникруть в линух…
ИМХО, идеальных программ не существует, а идеальный антивирус — это выдернуть комп из розетки ;) И на всякий случай еще часовую батарейку с матери вынуть… И то я до конца не уверен что это сработает %)
ИМХО, лучший антивирус во все времена и под всеми осями один — называется он «мозг». Если этот антивирус на месте и работает, в 9 случаях из 10 других антивирусов не надо. Если же его нет или он не работает — случая, когда все остальные антивирусы мира не помогут, долго ждать не придется.
в принципе, УЖЕ!
Сегодня большинство винлокеров/блокеров не определяются антивирусами
Так ведь и Cisco VPN можно скачать и получить все то же самое.
Open source тогда надо использовать… Почему мы должны доверять Cisco, но не должны доверять Skype (eBay)?
Про нимб в виде значка маршрутизатора я уже иронизировал :)

А кто сказал, что надо доверять циске? Я этого не говорил и не пропагандироал

Наши ФСБшники вон не доверяют со страшной силой.
У ФСБшников работа такая, с точки зрения госбезопасности доверять технике вероятного никак нельзя :)
Лейтенант Параноя настоятельно советует собирать подобный софт самостоятельно, если есть такая возможность.
Тогда уж не собирать, а писать. Ну или аудит проводить.
Никто не мешает, например, зашить бота в готовый бинарник MS Office. Или Photoshop. Или ещё куда-нибудь…

Даже в ядре виндоус может быть зашит какой-нибудь бот. А уж если вспомнить бота обновления винды, то страшно жить становится…
Ничего не мешает упаковать стрихнин в готовую упаковку аспирина…
Будем так же паниковать?
НЛО прилетело и опубликовало эту надпись здесь
Довольно большая часть бизнес сектора напрочь отключает интернет, оставляя только HTTP-прокси с запрещением HTTP-CONNECT.
Жестко порубить можно и банальщиной в виде ACL

Задача более общая: отделить нужный скайп от вредного ботнета. ВОт тут нет пока механизмов.
Firefront TMG прекрасно режет скайп и разбирает HTTPS сессии. Бизнес может спать спокойно.
Так, замечательно, продукт есть (Наверно все же ForeFront?)

Я правильно понимаю, что по сути это https-прокся по всем портам?

Просто пока этого преемника ISA не видел во всей красе…

Из презентации продукта я вынес то, что он подменяет сертификаты в сессии https и трафик шифруется до и после него и на нем самом возможен анализ.
Если такой трюк не проходит (https не RFC strict) как например в скайпе — то он это дело блокирует. Вроде как то все работает на уровне отдельных правил и звучит очень красиво, сам пока тоже не тестил
Ага, полноценный https-прокси. Более ничего не придумали.

Решение довольно очевидное, мало того — единственно очевидное :)
Про него как раз выше говорили в теории.

ЗЫ Мягко говоря, может возникнуть проблема с производительностью :)
Ой, вот тут, на удивление, вы не правы, доделали они кучу всего по сравнению с предыдущей версией.

Туда всунули IPS, Mailware inspection, фильтр сайтов по категориям, SSTP VPN, отказоустойчивость подключения к интернету. Пока рюшечкам прям нарадоваться не могу )

Конечно через пару недель — месяц отправим всё это в продакшн, тогда всё и всплывет. Но в циске с её ценником и индусским софтом разочаровываешься всё больше и больше.

Производительность обещают 700 пользователей на сервер с 4 ядрами и 4ГБ памяти. Обещанная скорость у всего этого — 50 мбит.
Зарезать скайп всем можно без проблем. Зарезать некоторым — вот в чем основная проблема.
Я же говорю, можно рулить на уровне правил. В одном правиле даем кому нужно, в другом режем.
Подскажите, какими именно? С сохранением нормального качества звука для разрешенных соединений, и полным отсутствием связи для остальных.
Я так понял, можно зарезать сервера регистрации, только полного списка их найти не могу.
и не найдете имхо.

Скорее всего в клиента вшиты несколько имен и адресов.

А адреса по именам разрешаются динамически (например, меняются раз в месяц)

А ещё есть подозрение, что клиент не использует стандартные ДНСы. Самому интересно, как реализовано.
Насколько помню, даже при отсутствие доступа в сеть с данного компьютера, скайп может по локалке искать клиента с полным доступом в сеть и пускать трафик через него.
До сервера регистрации трафик проходит через случайные SuperNode (skype клиент с широким каналом), поэтому блокировка серверов регистрации не даст ничего. Единственный вариант закрывать все кроме http и https, и включать HTTPS inspection.
В таком случае, я не смогу разрешить Васе и Пете работать со Skype. А им это Business Critical.
Так что пока выходит либо всем, либо никому.
Васе и Пете можно, но тогда нужно:
1. Подгружаемые пользовательские списки доступа
2. Запрет общения между локальными машинами (чтобы не получилось, что через Васину машину работает весь офис)
да, у меня такие мысли возникают когда я ставлю аддоны к браузеру

что стоит владельцев этих аддонов, а это вообще частные лица, а не компания скайп, устроит тут ботнет
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
А мне ненравится CISCO — закрытые протоколы, IOS без сорцов. Вот где настоящий ботнет скрыт!
так можно (и вероятно нужно) продолжить в сторону ОС от MS
да и всего проприетарного софта вцелом

;)
Ага. Гиганский ботнет, атакующий сервера windows update.
Пару лет назад сожравший мои бабки ;) полез через 3G.
(CDMA EV-DO == 3G)
Думал и над этим: не совсем так.

ОСки не пытаются параноидально понаоткрывать сессий, дабы хоть как-нить проскочить мимо МСЭ

И такую активность можно (и нужно!) отслеживать
И не только проприетарного ;)
Нужно ещё задаться вопросом — зачем? Зачем Майкрософту сомнительный ботнет, когда он имеет прибыль с продаж копий своего софта? Какую выгоду принесёт ботнет Майкрософту? Спам рассылать? Ддосить кого-нибудь? Воровать данные кредиток? Подглядывать через веб-камеру за пользователями? Да у него с одного пользователя больше профита, чем даст рассылка спама или оплаченная ддос-атака. В случае массовых краж кредитки (которые всё равно заблокируют, и деньги вернут) или опубликования чьих-то личных фоток или видео специалисты довольно быстро найдут виновных, и тогда прощайте миллиардные прибыли?
Единственное, что дороже денег приходит в голову — это по заказу правительства выключить компы вероятного противника в случае войны.
Завалить китайцев по команде АНБ ))
МС это по сути часть государства США. Любая компания такого уровня сотрудничает с органами власти очень плотно. Это уже не просто бизнес, это политика. Гугл кстати не исключение. Майкрософту ботнет в вашем компьютере может и не нужен, а вот на счёт государства сомневаюсь. Вернее не сомневаюсь. Другое дело, есть ли нечто подобное уже сейчас и как это реализовано. Вряд ли МС будет впиндюривать ботов в ОС. Всегда остаётся риск, что говно всплывет на поверхность. Это очень плохо, очень, и будет означать для неё блиц-пипец на рынке акций. Такой «хоккей» не нужен ни государству ни компании. Проще оставить «случайно» пару дырок, и работать спокойно.
На дыры тоже смотрят. При сертификации ОС, например. Но внеочередной update подымает ботнет на раз )
Неуспел написать похожий комментарий. Маршрутизаторов CISCO в интернете невероятное множество. Их используют для построения защищеных государсвенных сетей, в России тоже.
Что мешает ЦРУ сделать в них программно-аппаратную закладку и в час «П» получить над ними полный контроль или просто выключить.
Мешают две вещи.
Первое — это сложно сделать без участи cisco. А в случае участия вероятность утечки очень велика.
Второе — репутация. Вдруг кто-то случайно обнаружит закладку.
А, так вы про Cisco Lawful Intercept Architecture не слышали? Там специальные гайды есть для правоохранительных органов, как правильно организовывать перехват информации.
Есть такие гайды. И что?

Они их НЕ скрывают. По суду можно и так многое узнать, без прослушки/слежки.

Циску просто обязали (FIPS, кажется)
Если не ошибаюсь, то их сертифицируют наши специ на предмет закладок.(если это гос конторы).
Не уверен, что правда, но по логике так и должно быть.
Не знаю, сертифицируют ли циски, но точно знаю, что софт для военных сертифицируют.
да, сертифицируют.

Только бытует мнение, что есть на это ценник :)
да, сертифицируют.

Только бытует мнение, что есть на это ценник :)
Анрюш, скепсис понятен :)

Не нравится — пиши здесь, думаю, в твоем изложении будет интересно :)

Мое недоверие к указанному софту родилось не в одночасье: я ставил, пробовал, изучал…

А у циски есть банально возможность блокирнуть все, что не нравится. И активность видна.

Я не говорю, что в ней нет «закладок» (есть инфа что-таки есть :))

Но я не настолько параноик, чтобы бояться ЦРУ: тут как грится от меня ничего не зависит :)
Если вы ставили, пробовали, изучали — то как-то невнимательно. Возьмите исходники того же transmission, изучите, убедитесь в отсутствии закладок, соберите, установите и спокойно пользуйтесь.
я не поклонник системы, при которой на твоем канале и мощностях другие дяди зарабатывают :)

А про скайп — тут нет подобной альтернативы.

И ещё: там ранее много говорилось про «хомячков».

Я вряд ли легко смогу проанализировать любой код, даже открытый, да еще подправить под себя и установить. Особенно для винды.
я думаю что существует гораздо большая вероятность что будет найдена критическая уязвимость в скайпе или каком-либо конкретном торрент клиенте, которая в свою очередь позволит внедрить в систему вредоносный код. чем такой системный эффект, особенно с зоопарком торрент клиентов.
с тем же успехом можно опасаться что очередное обновленияе cios превратит все девайсы в ботнет.
подобная вероятность существует не только у террентов…
клиенты аськи, мейл-агенты, броузеры…
я в рамках топика отвечал.
со скайпом так уже было помойму
Именно. Скайп лежал примерно 3 дня у нас в Беларуси. По интернетам бродил эксплойт на Перле общей длиной около 10 строк :) Он посылал много буков A на сервер скайп, который при этом падал и отдавал адрес следующего сервера. Скрипт убивал и его. Потом пришёл секьюрити апдейт для клиента(интерсно зачем было патчить клиент). Причём пришёл так, как раньше никто не видел. Оказалось в скайпе помимо всяких хакерских приёмов сетевого программирования сокрыта ещё и система критических апдейтов.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Подход понятен, ибо софт работает на удивление просто, устойчиво и хорошо.

Если бы это была сырая поделка — не было бы такого распространения.

ЗЫ Никто не отговаривает пользоваться. Это мысли вслух
НЛО прилетело и опубликовало эту надпись здесь
Вот это и подозрительно )
«Если у вас паранойя, это не значит, что за вами не следят» :)
Linux — botnet. Инфа100%
Федор, то, что ни Cisco ASA, ни Cisco SCA не умеют детектировать современные версии Skype и Bittorrent, еще не повод их не любить.

Опровергать ваши слова никто не будет. Во-первых, потому, что это никому не надо. Во-вторых, эта задача в мире теории заговоров неразрешима. Допустим, я приведу вам в качестве аргументов открытость исходников некоторых BT-клиентов и спецификаций самого протокола, но ведь настоящему параноику понятно что я специально покрываю создателей ботнета. :)
торренты легко фильтруются. Не все конечно

А вот со скайпом и правда засада. Подскажите, чтобы не быть голословным, кто может надежно фильтровать конкретно скайп?

ЗЫ Если называете по имени, то плз используйте настоящее

А чем отличаются торренты, которые фильтруются, от тех, которые не фильтруются?
распространенностью. АСА по умолчанию умеет много стандартных, еще часть можно, написав свой простенький regex
Некоторые, если шифруют, так же не отловить
Сергей, извините, глянул на ник.

Не все, в том и дело. Они легко фильтруются только потому, что клиентов очень много, и не все быстро переходят на новую версию протокола. А в скайпе клиент один, поэтому скайп цикл жизни протокола может делать куда короче. И поэтому, в свою очередь, скайп обгоняет торренты в качестве просачиваемости. Ну, и они это своей целью считают, в отличие от торрента.

Хотя, справедливости ради, опять же современные версии протокола BT достаточно защищены от банального обнаружения сигнатурными методами. Что вы ловить будете? Трафик на портам 6880-6999? SSL negotiation там? Ну так всегда можно по 443 работать, там тоже ssl negotiation. Поставить ironport и ломать ssl? Ну, да, вариант, хотя это довольно дорого в смысле ресурсов (и денег).

Нормально и повторяемо скайп никто фильтровать не сможет. То есть, можно попробовать разрешить наружу только HTTP и проверять правильность запросов и аномалии в трафике выявлять. Но во-первых, чем более точно вы проверяете соответствие протоколу, тем больше шансов, что какой-нибудь легитимный браузер в какой-то мелкой детали ему не соответствует, и вы получите false positive. А обнаружение по аномалиям, сами понимаете, вероятностный процесс.
Федор, то, что ни Cisco ASA, ни Cisco SCA не умеют детектировать современные версии Skype и Bittorrent, еще не повод их не любить. :)

Опровергать ваши слова никто не будет. Во-первых, потому, что это никому не надо. Во-вторых, эта задача в мире теории заговоров неразрешима. Допустим, я приведу вам в качестве аргументов открытость исходников некоторых BT-клиентов и спецификаций самого протокола, но ведь настоящему параноику понятно что я специально покрываю создателей ботнета. :)
ни Cisco ASA, ни Cisco SCA не умеют детектировать современные версии Skype и Bittorrent
«Вам не нужно то, что мы не умеем фильтровать».
Если внимательно посмотреть по ссылке, там говорят про skype 2.5 или около того. То есть можно попробовать FPM на современных версиях протокола, но, боюсь, результат будет не слишком впечатляющ.

Кроме того, FPM по разному исполняется на разных платформах, AFAIR. На ASR1000, по-моему, в железе, как раз QF-процессоры. А где-то, возможно, и в софте, причем, нетривиально. Например, вот по вашей же ссылке
Prior to 12.4(15)T, FPM supports searching for patterns up to 32 bytes long within the first 256 bytes of the packet. After 12.4(15)T, FPM supports searching for patterns up to 256 bytes long anywhere within the entire packet.
— поскольку это сделано апдейтом софта, подозреваю, что FPM сделан не в железе. Это означает, что на сколько-нибудь серьезном трафике эта конструкция будет неприлично тормозить.
Так можно, но сейчас по этой схеме работает только связь с городскими телефонами, а между скайп-юзерами сразу все шифруется.

Я IPSом так и ловил
ekiga
или jingle, если без видео.
похоже на предысторию SkyNet
вот тока каркать не надо… я ж не усну
конечно, эти технологии очень похожи на ботнеты, по той причине, что выполняют схожую задачу — всеми силами противостоять блокированию своей работы любыми разумными средствами (к неразумным можно отнести тотальную фильтрацию портов или отключение сети как таковой). Удивляться этому — все равно, что не понимать, почему точат и кухонные и армейские ножи.
А зачем они этому противостоят?
Скайп — конкретно для того, чтобы у человека, не понимающего ничего в настройках роутеров и IP вообще возникало как можно меньше проблем, чтобы он включил — и работало. С любыми уродскими провайдерами.

Торрентам — с одной стороны для этих же целей, с другой — для увеличения скорости, что важно для тех же пользователей.
Провайдеров, которые чего-то фильтруют кардинально, практически нет.

Им пофиг — они деньги на трафике делают
Не все продают трафик, большинство нормальных провайдеров продаёт по скорости. И тут оверселлинг для домашних пользователей цветёт и пахнет. Путсь провайдер шейпит каждому пользователю 5 мбит канал. Всего 20-торренто-качальщиков — и 100 мбит внешнего канала небольшого провайдера забиты. 20 человек довольны, остальные 300 — нет.
Это не провайдеры. Называйте вещи своими именами:)

Провайдеры домовых сетей в большинстве своем провайдерами не являются: не имеют автономки, не рутят транзитный трафик сквозь себя. Они — обычные перепродавцы.
Какая разница как их называть: провайдеры, не-провайдеры, полу-провайдеры? Именно с их помощью много людей имеет доступ в интернет (и в некоторых местах выбора между провайдером А и полу-провайдером Б просто нет). Оверселлят — факт. Режут или шейпят торренты — факт. Делают деньги не на трафике, а на фиксированной абонплате.
ну вот не надо насчет «не провайдеры». Как раз провайдеры, притом наиболее вменяемые — невменяемые реально продают трафик, со всем вытекающим для любителей поскайпится и накачать фильмов. Нормальные провайдеры продают ширину канала (она же «скорость»). Учет трафика — пережиток медленного инета.

Далее, даже среднячки, умудрившиеся занять хорошее положение в пределах пары городов-милионников, испытывают затруднения с шириной канала — из-за фактора времени (4-23ч все внезапно приходят домой и, кто б сомневался, жаждут посмотреть фильмецы и погамать в вов) требуемый канал наверх и ширина собственных магистралей внезапно заканчиваются. а потом опять простаивает. Любые способы, помогающие сократить эту разницу, выливаются в мегарублики, сэкономленные на покупке железок, оптики и ширине канала наверх.
да это я понимаю:)

Просто у термина «провайдер» есть некие атрибуты, как то свой пул адресов и транзитная АСка

Все остальные — это организации, возможно предоставляющие связь с инетом

Иак вот провайдеры как правило ничего не фильтруют. Часто даже то, что должны :)

моя речь шла об этом.
Интернет вообще похож на ботнет
Если я правильно понял суть проблемы, то она в том, что на фоне полезного трафика от «обновленной» версии будет маскироваться паразитный.
Почему, как мне видится, такой сценарий маловероятен:
а) Вредоносный код встроен в «полезную» логику. Никаких средств маскировки собственно malware-кода. Удобно, если код закрыт(скайп). В случае опенсорса не работает.
В этом случае ячейка ботнета активна только пока активна программа. То есть для выхода из ботнета ее надо просто выключить. Если так, то достаточно ей попасть в базы антивирусов, чтобы эпидемия прекратилась на уровне корпоративного ПО.
Для энд-узеров не работает, ибо встречался с точкой зрения «мой акк фконтактике кто-то взломал и шлет всякое разным людям, но мне не мешает, поэтому пофиг» (Нет, реально встречал). Так что, вышеописанный сценарий — забивание гвоздей микроскопом. Проще порно-локер написать.
б) вредоносный код отделен от полезного тем или иным способом и работает автономно. Палевно, ибо на файрволе засветится. Когда-нибудь. Далее схема та же. Антивирусная база — дезинфекция — занавес. Суть — просто завирусованный дистрибутив. Или троян «MyPhoto.jpg.exe».

Как мне видится, хоть как-то использовать схожесть трафика P2P и ботнета можно только в случае «А», молясь, что не пропалят. Ибо все это — только на доверии. Доверие потеряли — все, бренду хана. И ботнету за компанию. А ведь пропалят. Рано или поздно. Хотя скорее рано, в антивирусных конторах не идиоты сидят.

Если же рассматривать с Вашей точки зрения — с маршрутизатора корпоративного — то да, задача заткнуть файрволлом потенциальный ботнет, не убив скайп и торренты — это близкая к провальной задача. Но надо ли? Антивирус решит эту задачу проще. Ботнет опасен, когда большой. А к тому моменту, как он станет большим, у вас каспер, ну или нод, уже будут знать врага в лицо.

Вот как-то так (с)
Да нет, зачем!

Трафик будет самым обычным, слаться на самый обычный хост. Вы знаете имена, на которые стучится скайп? я — нет. А значит и ip не проверишь

При базе хотя бы 1млн пользователей и трафике от вас 10 кбит/сек ( самый что ни на есть сжатый голос) получим...10млн кбит, т.е. 10 гиг и никто ничего не пропалит…

И с какой стати он попадет в базы? На основании чего?
Из-за репутации никто из разработчиков популярного софта не пойдет на такой риск. А заражение приложений чтобы маскироваться с помощью них — 1) будет рано или поздно пресекаться, 2) Не тот масштаб, иначе для распространения нужно использовать протокол приложения, 3) После обнаружения крах всего ботнета.
Большинство ботнетов рано или поздно погибает. Но создаются новые.

Тут мне видится проблемой то, что
1. Клиентов очень много и поэтому достаточно очень небольшой активности каждого для атаки
2. Трафик, коль скоро он такой «разнообразный» (на разные порты) и плохо формализуем (шифрование), можно пускать самый что ни на есть привычный и легитимный — какая разница, чем забивать канал…

Грубо говоря, все аргументы сводятся к «настоящие пацаны этим не балуются»

Возможно. И даже скорее всего. Но всегда ли будет так?
Думаю текущий доход тех же BitTorrent и Skype, а также перспективы их бизнеса — все это не соизмеримо с криминальным ботнетом.

Вот о легализованном и секретном ботнете из теории заговора можем поговорить, тут есть где развернуться фантазии :)
Люди часто боятся подобных разговоров, потому что страшно получить ярлык параноика, но это от того что плохо учат историю.
Уверен спецслужбы запада изучают «феномен» ботнета, его потенциальные возможности в возможной кибервойне. И то что огромное количество железа с проприетарным софтом, да и отдельные приложения — родом из штатов, им только на руку.
да. и это пожалуй единственный аргумент.

но и он не исключает воздействия на сам клиент по найденым уязвимостям…
Согласен. Тут уже давали ссылки на неплохую статью Криса Касперски. Но это все равно не тот масштаб катастрофы :)
я скажу больше (возможно я еще больший параноик):
вот смотрите — почему винда _стока_весит ??
и почему в нее включается такое огромное количестов дров (особенно 2000 и xp) — причем которое не особо обновляется, а лишь бы работало

как вам такой замут — а что мешает реализовать в дровах для материнок и видюх вольмод, как в оверклокерских программах ?? то есть по команде сами знаетет откуда тупо врубается напряжение на максималку и вентиляторы на минималку (с отрубанием защиты у процов, если такое конечно возможно) — и всё — и нету у опредленной страны больше компов!
Этого я не знаю. Но такой подход — это война, а не бизнес. Это одноразово и гораздо серьезнее
Вспомнил одно совпадение. Оно на уровне теорий заговора.

Когда было голосование за или против вторжения в Ирак, из европейцев против были только Германия и Франция. Это совпадает с тем, что Германия и Франция почти полностью на открытом ПО. Остальные страны на тот момент использовали проприетарные окна.

Совпадение?

Раз можно вот так спалить почти всё оборудование целенаправленно у какой-то технически развитой страны, этим можно воспользоваться для продавливания какого-то решения.

Но это теории заговора, их можно много напридумывать.
Спасибо, порадовали :) Войну в Ираке с проприетарным ПО связать — это зачёт, практически GNU головного мозга! :)

В Европе только Германия и Франция могут себе позволить быть в чём-то против США (в таких мелочах, вроде ведения войны чужими руками с мелким далёким государством, а в целом они на одной стороне с США). Ну ещё Великобритания и, может быть, Италия, но англичане — верные союзники американцев, а итальянцам не до того :)
Остальные — мелкие слишком и незначительные или вовсе зависят от США. Суммарный ВВП второй пятёрки стран ЕС меньше или примерно равен ВВП Франции или Великобритании. И суммарный ВВП всего Евросоюза меньше такового США. А объединяться в Европе, увы, ещё толком не научились.
ну это как раз на случай глобальной войны — а на войне все средства (мать их) хороши
Очередная страшилка из области теории заговоров. Так можно про что угодно написать:

Для начала я напомню, что такое яд. Яд — это вещество, которое попав в желудок человека приводит к его заболеванию или даже смерти.

А теперь некоторые факты про макдональдс. Ежедневно его продукцию сьедают миллионы людей по всему миру. Однако лично я совсем не уверен, что в один прекрасный день, все их гамбургеры и чизбургеры не окажутся напичканными смертельным ядом и мы всё не умрём.
Осталось придумать способ добавлять яд в еду по нажатию кнопки и тогда сравнение будет уместным.
страшилка?

подменяем в ДНСе один адрес сервера другим, атакуемым, и 1 млн юзеров задолбят атакуемого, что твой дятел :)
Вы, как человек 8 лет занимающийся сетевой безопасностью, должны понимать, что во-первых, самым слабым звеном является пользователь, а во-вторых всё упирается, скажем, в зоны ответственности или зоны безопасности.

Основная доля машин в кластере ботнета, приходится на машины самых обычных пользователей, сидящих у себя по-домам в куче различных подсетей, включая виртуальные. То есть нельзя выделить какую-то конкретную зону для фильтрации. На машине пользователя может быть в общем случае установлено всё что угодно, открывающее какие угодно порты и передающее какой угодно трафик. Фильтровать этот трафик не то что нельзя, просто невозможно. Более того, интернет в дальнейшем, из сервероориентированного (такого, где подключения можно было бы разрешать только к серверам и запрещать пользователям открывать порты у себя) будет всё сильнее скатываться в сторону распределённой системы частных серверов. (Opera Unite, DropBox — это первые ласточки).

Что касается корпоративных пользователей — торренты я бы закрывал на рабочем месте ибо нефиг, со скайпом — да, дела обстоят хуже, но он прекрасно работает и через NAT без возможности коннекта к нему из-вне (хотя и торрент-клиенты тоже могут, кстати).

Почему вы боитесь именно ботнета, на основе скайпа или торрентов? Потому-что они уже похожи на ботнеты?
Понятное дело, что в сервероориентированном интернете гораздо проще было бы обеспечить безопасность, закрыв на оборудовании всех провайдеров все порты кроме определённых и/или жёстко фильтруя трафик.

А как вам вариант заражения какого-нибудь флеш приложения в фейсбуке или вконтакте, или того-же квипа? Точно так же можно будет организовать DDOS, при этом совершенно обычными, честными HTTP запросами.

———

Мне пришла в голову мысль, что защитные системы должны работать по принципу DNS — то есть заранее определяется, какие виды трафика могут посылаться на конкретный сервер, и что самое главное в каких объёмах. Эта информация расползается по оборудованию провайдеров и в случае нарушений в определённой подсети начинает всё это шейперить, вплоть до блокировки. Причём, кстати на базе DNS такую систему можно развернуть уже сейчас, возможно написанием не сложных конфигов для шейперов.
> Мне пришла в голову мысль
Не одному вам.
TrendMicro в Officescan похожую схему уже реализовал, и для фаерволов клинетов и для эвристических сигнатур.
Ну значит мысль, вероятно, правильная :)

Но вот на фаерволах клиентов это делать… ну не знаю. Нельзя им верить, всем этим клиентам. А вот на первый же провайдерский роутер я бы ставил, да.
Расскажите это пользователю скайпа, который как раз не хочет, чтобы его любимый чат-клиент/клиент телефонии кто-нибудь блокировал или контролировал.
нет такой задачи.

В конторах, где это критично, работают IBNS, где юзеру жестко прописаны его права (ACL)

Я же просто делюсь мыслями с умными и технически подкованными людьми
(ответ чуть ниже)
А зачем закрывать скайп, если там идет шифрование?
Не понял связи: мне например, не нравится, что кто-то что-то шлет неотслеживаемо из офиса через мою сеть наружу.

Скажете, параноя? Может быть, но мне с этими заказчиками работать, а я не могу предложить нормального решения.
Вот это ключевая фраза, которой не хватало в посте.

Но позвольте, у вас же кто-то в офисе имеет право подключиться например по HTTPS/SSH куда-то и чего-то шифрованое слать?

Запрещать подключаться не только на 443 и 21 порты — отвратительно. Ваши действия?
21 это фтп :)

но я понял:)

У нас в конторе вообще с этим прекрасно, но у меня на поддержке разных контор есть.

Я лично считаю, что можно все, что не наносит урон компании. Но я лишь аутсорсер и консультант
Я не могу понять цель.
Об этом говорят уже довольно давно и, мне кажется, «умные и технически подкованные» люди вполне отдают себе отчёт с ситуации. Хотите противостоять ситуации — нужно обращаться к публике, а не к подкованному меньшинству.
Так для этого и спросил: понять, что думают продвинутые.

Например: если работать под админом, будут в винде проблемы.

95% — да фигня
5% — не задумывался.

ПОлучится, что проблема лично моя и не стоило её обсуждать

ИЛи наоборот, проблема остра и решать её надо более активно. Чтобы быть на полшага впереди.

Я понял, что хотя народ и немного опасается, но в целом «всем пофиг» :)

Интересно, какая будет реакция у тех, кому все равно, если не дай бог их хост/сеть попадут с IPS Global Correlation Table. А сейчас эта штука набирает обороты…
Проблема остра, но, мне кажется, не решаема в том ключе, в котором вы её поднимаете.
Так уж получилось, что эти программы тем лучше годятся для ботнета, чем лучше выполняют свои прямые задачи. И не стоит зацикливаться на скайпе/торретах (последние вообще не очень выделяются в этом плане) — можно взять любую сетевую софтину, основанную на децентрализованной сети и с активным траффиком. А таких, по-моему, будет всё больше и больше.

Поэтому противодействия может быть только два, как я вижу:
а) строгая политика установки програм в корпоративных сетях ( не мне вам об этом рассказывать )
б) страх авторов програм за свою репутацию — пара сочных скандалов ударят куда больнее по желанию ставить конкретную программулину, чем долгие разъяснительные работы
Интернет как бы для пользователей, а не спецов-айтишников. И ни один из этих вариантов никак не перекликается с фактами топика — он совсем не зависит от технической реализации потеницального ботнета.
Возможно. Кстати, я тут схитрил6 я и е пытался её решить :)

Я знаю несколько методов решения, но все они связаны с установкой на компы всякого софта.

А с сетевой т.з. вы абсолютно правы (к чему я и писал заметку): ботнет от торрента или скайпа трудноотличим.

И выделение скайпа могло бы помочь в задаче поиска блокировки ботнета, не убивая скайп. Эту задачу я пока решить на железе не могу, а хочу.

ЗЫ В ASA есть технология Botnet Traffic Filter. Так вот она с удовольствием ловит и торренты и скайп, если что-то закрыто на МСЭ
Это бизнес.
Не будут работать под админом — не будут к стоимости винды «в уме» автоматически прибавлять стоимость антивируса
Сергей, а чего Вы-то больше боитесь?

При совершенно правильной фактографии Вы собрали в кучу все страхи и ими пугаете.

То, что скайповский траффик шифруется, вследствие чего неконтролируем и представляет собой угрозу для корпоративной информационной безопасности — да, это так. Поэтому организация, беспокоящаяся о своей ИБ, попросту не будет разрешать в своей сети использование скайпа. И никаких сложностей здесь нет — если пользователям не даётся NAT, грамотно прописаны политики управления ПО, имеется соответствующая административная база — скайпа просто не будет.

То, что клиент скайпа является «черным ящиком», от которого можно ожидать всего, чего угодно — да, теоретически это тоже так. Но то же самое можно сказать и о любом другом ПО, поставляющемся в виде бинарных файлов. Тут проблема уже в психологии людей — у огромного количества пользователей даже антивируса-то не стоит. И на фоне этой картины вероятность того, что скайп или торренты вдруг окажутся троянами — она вовсе не так пугающе и выглядит. Избавиться бы от действительно вредоносного ПО, которое себя привольно чувствует на миллионах машин домохозяек по всему миру — там можно будет уже и про скайп подумать. И если уж подходить к вопросу серьёзно — проблема вовсе не в конкретном софте, проблема в изначально неправильной архитектуре построения Интернета, допускающего хотя бы в теории такие вещи как спам, DDoS, ToR и прочие ночные кошмары сетевика-безопасника. Но — увы, это та среда, в которой нам с Вами пришлось жить. И шифрующийся скайп в этой среде — отнюдь не самое страшное :)
я?

ну если честно, больше всего боюсь за своих детей. С интернетом это (пока?) не связано

А опасаюсь я массового развития шифрованного многоканального с непредсказуемыми последствиями. Сетевого терроризма опасаюсь, превращения самого демократичного средства в трудноуправляемую помойку.

Про домохозяек — согласен, но там хоть как-то борется с этим даже бесплатный антивирь, а часто и платный — маркетинг рулит.

А тут пользователь все сделает сам.

И грусно получится, если такой удобный способ общения, экономящий простым людям кучу денег и времени, будет скомпрометирован.
Я кстати подумал о другом.
Что если весь траффик станет шифрованым и все средства защиты будут бесполезны.
Вот это будет хаус.
Ага. да еще по случайным портам :)

Весь ipv4 будет поломан нафиг…
Хаус? Доктор?! 0_о
то-то я думаю, что-то не так в моем комменте)
Сергей, а почему Вы ждёте пакостей от скайпа и торрента, но не ждёте их от всего остального? Ведь потенциально ботнетообразующим является любое ПО с закрытым кодом, работающее на подключенной к Интернету машине.
Где гарантия, что завтра какая-нибудь всенародно любимая Опера, или бесплатный антивирус не заявят «я злой и страшный Серый Волк», не включат ракетные двигатели и не отправятся захватывать галактику? :) Ну, в смысле — подключатся к IRC-каналам и пойдут валить сайты на заказ? Ведь неиспользование сетевых ресурсов в обычном режиме — вовсе не является гарантом того, что оно там не предусмотрено. А антивирус — он тоже каждый день вполне штатно обновляется.
Да, конечно — в прилично администрируемой корпоративной сети такое поведение будет немедленно зафиксировано и прекращено. Но ботнеты преимущественно и не в корпоративных сетях гнездятся. А домохозяйка Марь Иванна ещё год не узнает о том, что подключенный ей сыном компьютер упорно пакостит всему миру.
Встречный вопрос: а где я сказал, что ЖДУ гадостей?

Я проанализировал механизмы работы.

Именно схожесть механизмов работы ботнетов и скайпа с торрентами и подтолкнуло к этой статье.

Выводов я нигде не делал. Никаких заключений типа: скайп=ботнет не делал.

Я опасаюсь возможных неправомерных действий с использованием УЖЕ СОЗДАННОЙ сети скайп и торрент-пользователей, ибо тут механизм уже готов, в-отличие от упомянутых броузеров, ОС и других, пока в подобном ключе не проявивших себя приложений. Будут проявления — попробуем проанализировать.
Дык. а Майкрософт никто не расценивает как самый мощный ботнет? Ведь им достаточно выпустить хитрое обновление, кторое скачают миллионы пользоваетелей. Если начнется война — все наши компьютеры умрут такой смертью)
им еще только что-то надо, а у обсуждаемых технологий уже все есть :)
Во первых это звучит как тотальная паранойа, в которой из-за каждого угла вы ожидаете подвох. Таким образом WebSockets, по вашей логике, будет отличной возможностью свободного перехвата любых данных, и эта технология возможно паразитна.

Во вторых — вся статья у меня вызвала примерно следующую мысль «я этого не понимаю, поэтому это мне не нравится».
Забавно. Я правильно понимаю, что фраза «не понимаю» — про меня? :)

Мне-то казалось, что понимаю и именно поэтому решил про это поговорить :)
Вы взяли технологию(не конкретную реализацию, а именно технологию) и показали её таким вот местом. И получается либо вы думаете что производители всех bittorrent клиентов объединены в один массонский заговор, либо вы не совсем понимаете о чём говорите.

Возможностей для создания ботнетов/бэкдоров полно на любом компьютере, потому что в большинстве случаев, дыры и уязвимости не в программном коде, а в мозговом веществе пользователей.
я осветил технологии так, как это выглядит в сети, с чем я сталкиваюсь.

нет в мире ни одного ботнета в 15млн компов. А у скайпа есть столько пользователей.
В PerfectWorld играют боле 30 миллионов человек, тоже назовёте его ботнетом?
у них есть описанные в топике механизмы подключения и сокрытия содержимого?

И ещё: я никого ботнетом не называл. Написал же: все мои домыслы.
Конечно нет, но если вы не поняли, я говорил не про Skype. Skype действительно является тёмной лошадкой, и что конкретно он делает — никому не известно, в этом я с вами согласен.

Но в чём я не согласен, это в привязывании bittorrent к этой же «статье». Технология довольно прозрачно описана, существует множество клиентов и реализаций(в том числе и opensource), которые вы можете разобрать на предмет каких-либо backdoors.
Хорошо, с замечанием согласен. Действительно, покртытие каким-то одним вариантом клиента не настолько велико и с сорсами проще. Я его добавил, ибо схож механизм работы и легко скрыть расход трафика.

Тут достаточно не столь большого количества управляемых машин, но, скажем, поток в 1мбит. Тогда для 1 гигбита достаточно будет 1000 машин.
Статья напомнила анекдот про то, что лучший способ избежать венерических заболеваний — это эпоксидная смола и, «главное, никаких, подчеркиваю, никаких контактов!»

А если посмотреть с другой стороны. Здесь уже неоднократно говорилось о репутации и её роли в успешном бизнесе компании. Вы, действительно, думаете, что скайпу может потребоваться ботнет, которым они смогут воспользоваться ровно один раз. Полагаю, они не настолько наивны, чтобы считать, что никто не отследит откуда растут ноги. Разоблачение в данном случае будет означать смерть компании, продуктом которой просто никто больше не будет пользоваться. Зачем им это? Конкурентов DDoSить и с них деньги вымогать? Сильно сомневаюсь. Кстати, у винды пользователей гораздо больше, представьте, какой ботнет может запустить MS.

Сильно сомневаюсь, что кто-либо из производителей популярного ПО пойдет на подобное, т.к. во-первых, слишком велик риск похоронить этот продукт, который развивался не один год и приносит прибыль. Опять же, сложно представить ситуацию, в которой компании, ведущей легальный бизнес, может потребоваться ботнет. Единственное, что приходит в голову — военный конфликт, в котором все средства хороши (так, во время военной операции в Ираке американцы отключали GPS на его территории). Но очевидно же, что для военных нужд софт и железо должны быть собственного производства.
В целом согласен.

Не согласен с «только один раз».

Если не делать резких движений, то отследить откуда ноги растут будет практически невозможно.

и снова поднимается вопрос о нахождении уязвимости в софте клиента скайпа
Возможно не один раз, чуть больше. Но рано или поздно всё-равно отследят. Если не ошибаюсь, вы сами сказали, что ботнеты рано или поздно прикрывают. Антивирусные компании, эксперты по безопасности ведь тоже без дела не сидят.
Как такое отследить? Например, методом исключения. Возможный сценарий вижу таким: Владельцы атакуемого сервера без труда могут из логов узнать, с каких IP ведётся DDoS. Далее связаться с провайдером, тот приостановит этим компьютерам доступ в сеть до устранения вредоносного ПО. С очень ненулевой вероятностью несколько достаточно квалифицированных людей, не найдя на компьютере вирусов, возьмутся на чистую винду ставить софт, который был установлен на скомпрометированном компьютере на момент поступления жалоб, будут снифать трафик (несмотря на то, что скайп — это чёрный ящик, направление пакетов отследить не проблема). И рано или поздно докопаются до источника. А дальше будет скандал и описанные выше последствия. В скайпе не могут этого не понимать. Сомневаюсь. что в этом случае они смогут прикрыться уязвимостью. Да, как уже отмечал, ничего не делается просто так, особенно такое. Техническую возможность создания ботнета они, конечно, имеют, но нужно ли им это настолько (да и, вообще, нужно ли), чтобы идти на столь серьезный риск, вызывает сомнения. Вот у вас, к примеру, в кухонном столе, наверняка, лежат несколько острых ножей, и вы имеете техническую возможность не только резать этими ножами, скажем, хлеб, но также теоретически можете выйти с ними на улицу и убивать людей. Но, наверняка, подобная идея даже не приходила вам в голову, т.к. а) за это предусмотрена неиллюзорная ответственность с далеко идущими последствиями; б) вам это просто нафиг не нужно. Вот так и здесь.
Полностью разделяю ваши опасения относительно равенства Торрент и ботнет:
Как пример могу привести следующую ситуацию случившуюся у меня на работе.

В один прекрасный день на нас начался УЖАСНЫЙ DDoS. Все наши попытки относительно увода серверов (смене IP / правил FW) практически не дали.
Мы стали шерстить access log и нашли очень интересную вещь.

Наш домен был добавлен как трекер/сидер в Торрент лист поэтому получился следующий снежный ком:
Каждый торент клиент (seeder \ peerer) пробовали у нас получить инфу про торренты по адресу /info.php (или что-то такому) т.к. наш сервер на данный вопрос отвечал 404 клиент повторял свою попытку через 30 секунд.

А теперь если всё это перемножить на количество сидеров и пиеров умноженное на кол-во торрентов то можно представить какой поток был направлен на нас. В итоге мы имели router и Firewall которые просто отвалились от кол-во запросов.

Как вариант лечения пришлось создавать файл с инфо и говорить всем торрент клиентам, чтобы приходили к нам через 2 суток. Реально помогло снизить трафик пока IT отдел боролся с исключением нашего домена из списка трекеров.

Так что я с вами полностью согласен. Торрент пугает своей ботнетовской идеей

П.С. кому интерестно может погуглить torrent ddos mit
Оригинальный способ. Впрочем, к самой технологии торрентов он имеет слабое отношение. А в идеале, за правильностью списков серверов в торрент-файле должны следить трекеры, где этот файл хранится.
Ага. и этот же сервер является контролером гигантского ботнета )

Ну способ отчасти относиться к технологии, так как исправить трекер может только один из его хостеров. И получается противостоять такому ботнету довольно сложно. Нам пришлось идти на личный контакт с ними, что не очень легко и медлено.
В итоге получили ~24 часа downtime для ad tracking компании это критично. Короче говоря используя дырку в протоколе / спецификации нас хорошо пое…
А ведь это не дырка, это, фактически, особенность архитектуры BitTorrent.
Если задуматься, то получается, что любой желающий в любой момент может превратить всю сеть торрентов в ботнет. И для этого не нужны никакие трояны и взломы. Просто выложить на тот же PirateBay Magnet-ссылку на свежее популярное видео, а в списке серверов указать в том числе и атакуемый сервер.
во теперь и вы прониклись ужасом )

Нашел доклад по этой теме. там вкратце расписано о том как это провернуть (на англ): www.net.t-labs.tu-berlin.de/teaching/ss08/IS_seminar/PDF/A.4.pdf
Вот-вот. С месяц назад отбивался от аналогичного DDoS, только в качестве инициаторов использовались клиенты не торрента, а DC++.
Очень качественно и доступно написано! Просто о сложном! =)
НЛО прилетело и опубликовало эту надпись здесь
Юлий Цезарь: человек, просыпался утром, использовал пищу для поддержания жизнедеятельности.
А теперь некоторые факты про *мою жену*:
— человек
— просыпается утром
— использует пищу для поддержания жизнедеятельности
Я как бы ни на что не намекаю, но…
Моя жена — Юлий Цезарь?!
НЛО прилетело и опубликовало эту надпись здесь
еще одна иллюстрация того, что технология сама по себе не может быть злой ил доброй, все зависит от того, в чьи руки она попала
«Коротенько о себе: я занимаюсь сетевой безопасностью. 8 лет.»

в этом возрасте принято боятся чудовищ в шкафу а не торентов =)
А! Отлично, зачОт :)

точка явно из подсознания :)

Не хватает только чего-нить в духе «коротко о себе — 13» :))
Собствено меня уже посещало беспокойство насчет скайпа… То, что он шифруется с одной стороны хорошо, т.к. все перехваченные сообщения становятся бесполезными, с другой стороны возникает вопрос, а зачем он шифруется и что в этих обменах(кроме паролей пользователя и непосредственного голосового/текстовового трафика).

ЗЫ. под Mac OS он заодно по галке выгребает адресную книгу
Торренты же на своей виндовой машине держать даже не собираюсь — трафик, бесконтрольно ходящий по миру это слишком несекурно. Держу клиент на отдельной виртуальной машине под openvz, файлы по smb шарю:)
Со скайпом говорят уже был случай взлома именно как раз с целью ботнетизирования.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
А раньше спасали? Инфа проверена?
А почему же вы забыли о такой программе как Firefox?
тоже такой нехиленкий ботнетик будет =)
Я очень терпеливо 10й раз здесь скажу: другой софт ТАКИМ образом (пока?) не работает :)

Я ничего специально не придумываю — воображение бедновато :) И выводов стараюсь скоропалительных не делать.
В таком программном продукте никак нельзя послать лишний запрос на сервер за командой и получить от туда ответ.
Я прекрасно понимаю, что ограничить работу торента это одна из проблем «безопасности» — особенно когда другие люди называю это борьбой с пиратством, хотя система торентов как раз и разрабатывается, что бы её не могли блокировать такие «безопасники» как и Вы.
Углядел в поставленных кавычках камень, свистящий около моего уха :)

Благо, как раз с торрентами корпоративными как правило проблем с блокировкой нет. Только не все блокируют, ибо «им нравится, они юзают и не жужжат»

Проблемы есть со скайпом. И не только у меня, так что придётся кавычки поставить ко всем безопасникам.

ЗЫ Заблокировать можно все. Вопрос — какой ценой. Пример: железка ищет ботнеты и блокирует. Под её понимание ботнетов попадает скайп, нужный компании. На выходе имеет блокирнутый скайп либо не пойманный бот… Вот такая альтернатива.
Если Вам так не нравится скайп. Тогда используйте для этого другие VoIP решения, которые является более безопасными, те же cisco voip телефоны. И безопасность на уровне и скайпа вообще нету. И оставьте софт для паблика паблику, а корпоратив корпоративу.
Так я и не пользуюсь :)

Мобила — это наше все :)

Я не особенно боюсь: будет так будет. Вообще все это — мышиная возня по сравнению с другими, более важными проблемами. Просто решил поделиться — не берите в голову.
Как сказал бы Тоха, и эти люди нас защищают :)

Вас не смущает критическая уязвимость в ие 6, котарая не была закрыта мелкомягкими, дырявый qip, невозможность работы с виндой без нормальных антивирусов,
все те вещи, кторые порождают ботнет.
Вас не смущает автоматический апдейт винды, вызвавший скандал.
Вас не смущает, что правильный ботнет генерит не палясь трафик на 80 порт или на другие распространенные порты, который хрен перекроешь из-за хомячков, которые этими портами пользуются. И генерит сейчас, а не может быть будет.

Единственное что могу сказать, что торент и кип -может и потенциально опасны, но как и все другое по!!!
И все-таки они выполняются под правами пользователя, и низкая вероятность, что захватят ваш комп с требованиями отправки sms.

Статья -детектор хомячков :)
Забавный подход: вы вправду считаете, что все, не описанное в этой малюсенькой статье меня вовсе не волнует?

Не расстраивайте меня, не сужайте круг моих интересов и забот :))

Я не рассказываю (пока?) про дырявый софт — я лишь упомянул, как делаются ботнеты. Про это можно целый цикл написать. И про дырявый софт, и про ОСки и про все, вышесказанное. Я с ними давно борюсь.

Но я же НЕ ПРО ЭТО писал! Какой же я сложнопонимаемый, видимо :)

Я писал, что указанный софт РАБОТАЕТ ТАКЖЕ как ботнет. Тут вообще ничего придумывать не надо — все уже есть. Готово: и сеть, и пользователи, и софт установленный и настроенный, и маскировка…

А меня уж в сотый раз обвиняют за наезд на любимый многими софт, мол я тут предлагаю вернуться в век без электричества… Многие люди обладают прекрасными экстраполярными задатками и замечательно достраивают абсолютно верную модель. Как им кажется :)
>Я не рассказываю (пока?) про дырявый софт — я лишь упомянул, как делаются ботнеты.

В таком случае дядя Билли главный ботнетчик.
Ботнеты делаются не так.

>Я писал, что указанный софт РАБОТАЕТ ТАКЖЕ как ботнет.
Ботнет так не работает(если работает примеры таких ботнетов в студию)

Плагины гугл, зеркала linux, обновления негрософт, масштабируемые java системы работают так же как и ваш ботнет. Кстати плагины мази уже вирусовались, и tor тоже недавно подвергался проникновению.

>А меня уж в сотый раз обвиняют за наезд на любимый многими софт, мол я тут предлагаю вернуться в век без электричества.
Я не защищаю этот софт, я говорю, что в данной статье, извините, написан полный бред! Обход систем сетевых защит и масштабируемость, так же как и распределение нагрузки никоим образом не связаны с ботнетами, хотя и могут в них применятся.
Ок. Ботнет как приложение, при помощи которого можно управлять компом, конечно работает по-другому, нежели скайп (надеюсь).

Но с точки зрения СЕТЕВОГО трафика — очень похоже. Я говорил только про это. Ботнет-клиент продвинутый тоже всеми сисами ломится наружу МСЭ, держит установленную сессию (или реинициализирует её часто), чатсо шифрует сессию. Если Вы считаете, что я не прав, то опишите ваше вИдение, каким образом с точки зрения сети работает ботнет.
НЛО прилетело и опубликовало эту надпись здесь
Шутка повторенная дважды — смешна вдвойне :)
Ксати, второй тогда уж. У меня как раз старший 8летка :)
НЛО прилетело и опубликовало эту надпись здесь
Вопрос специалисту: есть ли проблемы, подобные скайпу у TeamSpeak?
С этим продуктом не работал.

ЗЫ Я не утверждал, что у скайпа проблемы. Я проанализировал метод работы.
Я не утверждаю, что вы утверждали, что у скайпа проблемы :) Просто не подобрал лУчшего слова.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.