На конференции Black Hat будет прочитан (http://www.darkreading.com/database_security/security/intrus...) доклад, посвященный возможности классификации авторов вредоносного ПО, и опубликованы исходные тексты инструментария, позволяющего на практике реализовать представленную технику. Метод не позволяет определить имя автора, но дает возможность с высокой степенью вероятности определить причастность одного автора к созданию разных вредоносных программ.
Для генерации уникального отпечатка автора, как и в представленном ранее (http://www.opennet.me/opennews/art.shtml?num=26635) методе идентификации пользователя по web-браузеру, используется уникальность совокупности косвенных признаков. В частности, при анализе вредоносных программ было выявлено, что в них часто можно встретить различные следы сборки, такие как признаки, специфичные для определенной версии компилятора, остатки ссылок на различные пути в файловой системе, имя проекта в ...URL: http://www.darkreading.com/database_security/security/intrus...
Новость: http://www.opennet.me/opennews/art.shtml?num=27092
Молодцы! Скоро будут по коду ауру кодера определять!
Ведь уже научились ставить диагноз блоггерам по их постам...
:) да и потом карму вправлять
методом терморектального криптоанализа?
может термопроктальное воспитание?
> Ведь уже научились ставить диагноз блоггерам по их постам...Задача для студента психолога.
затея интересная, но только ведь имея базу сигнатур авторов и средство для проверки принадлежности малваре тому или иному автору легко можно будет замаскировать свое творение под чужое.
Возможно, но сомнительно что это можно будет сделать легко.. Хотя если этот процесс автоматизировать.
главное что эту же базу можно применить и на большое количество легального по.
ведь велика вероятность, что автором пишутся не только вирусы
и вот тода и узнаем всю правду о всяких лабораториях.
И что это нам дает?
Как что?
Оперативные возможности!
Не смогли вменить одну малварь, можно копать другую того же (предположительно) автора.
И хацкера закрыть в конце.
Вот почему сразу закрыть?!Дать им выбор либо сядешь, либо за среднюю ЗП писать код/тестить/ломать вот вам через пару лет и новая ОС причем если эти бравые парни умудряются такие шедевры написать то будет она не хуже остальных.
Что за страна блин только бы посадить, нет бы талант применить в мирных целях.
Писал один, применял другой, попался третий, сидит тот, кому просто не повезло.
Да и вся эта регистрационная инфа вытирается. Кто пограмотнее - не попадется так. А скрипткидди код не пишут. То есть максимум пострадают пишущие хацкерские тулзы и вирусы под заказ:)
Кстати, очень интересно
Хрень полная и бесполезная. Что изменится от того, что будет известно, что _преположительно_ троян А и троян Б написан одним человеком? А если он апгрейднул компилятор и сменил обфускатор, это уже другой человек? И что? Баловство это, хотя как теоретические исследования покатит, на дипломную работу студента как раз.
Понимаете, первые практические приложения теоретических изысканий обычно - бесполезная хрень.
Зато через сотню лет, к Полудню, Великий КРИ решит загадку семиногого барана ;)
>Хрень полная и бесполезная. Что изменится от того, что будет известно, что
>_преположительно_ троян А и троян Б написан одним человеком? А если
>он апгрейднул компилятор и сменил обфускатор, это уже другой человек?Дело в том, что "страшный" текст троянского кода не запихнешь, например в тот же UnrealIRCd
С другой стороны, враждебный код массируют под существующие порядки в проекте - пробелы,
именование функций, переменных, использование calloc_ов, вмеcто malloc+memset 0,
strncmp вместо strcmp или наоборот.В общем, создать закономерность всегда было легче, чем найти её в хаосе.
ну а если так - троян А, троян Б и во-о-он то антивирусное ПО известной конторы?
То это конспирология
>То это конспирологияили кранты кой чьему бизнесу :)
Кстати .... "а ви почему волнуетесь, товарищ Crazy Alex?"(С)ИС
Ну скажут, что один из разработчиков в тайне от руководства занимался написанием троянов
А затем в тайне от руководства продавал сигнатуры своему работодателю, дабы тот научался отлавливать это "ПО" раньше других?
cat source.c | ident -orig | obfuse.pl -random-var -random-func
Если метод окажется действенным, придумают средства скрытия этих отпечатков. Да хоть каждую программу собирать в виртуальной машине разным компилятором под разной ОС на разной ФС.И вообще, с вредоносным ПО нужно бороться улучшением безопасности ОС и вдалбливанием пользователям в головы того, что нельзя использовать ПО, полученное из недоверенного источника — это все равно, что дать чужому человеку ключи от своей квартиры. В дистрибутивах Линукс, кстати, эта проблема решается за счет того, что все программы устанавливаются из нескольких подписанных репозиториев, а не откуда-попало-из-разных-мест.
> В дистрибутивах Линукс, кстати, эта проблема решается за счет того, что все программы
> устанавливаются из нескольких подписанных репозиториев, а не откуда-попало-из-разных-мест.Ну да, мы играем по крупному - троян так сразу всем! :)
>Ну да, мы играем по крупному - троян так сразу всем! :)Выложить программу с трояном в какой-тибудь архив с бесплатным ПО — это тоже сразу всем.
Понятно, что есть (небольшая) вероятность попадания трояна в репозиторий, но, согласитесь, одно дело оставить ключи от своей квартиры компании, занимающейся, например, уборкой, которой вы доверяете, и совсем другое дело дать их первому встречному на улице.Возможности для попадания трояна в репозиторий дистрибутива ограничены:
- его может добавить мэйнтейнер пакета, владеющий цифровой подписью репозитория,
- его может добавить кто-то из разработчиков ПО,
- кто-то третий путем взлома сервера, хранящего архивы с исходниками (такое когда-то случилось, но и здесь можно было бы защититься цифровой подписью).В первых двух случаях легко найти виновного.
>[оверквотинг удален]
>вы доверяете, и совсем другое дело дать их первому встречному на улице.Крупнее бери, троян в ядре равносилен выключение ПРО страны.
>
>Возможности для попадания трояна в репозиторий дистрибутива ограничены:
>- его может добавить мэйнтейнер пакета, владеющий цифровой подписью репозитория,
>- его может добавить кто-то из разработчиков ПО,
>- кто-то третий путем взлома сервера, хранящего архивы с исходниками (такое когда-то
>случилось, но и здесь можно было бы защититься цифровой подписью).
>
>В первых двух случаях легко найти виновного.Его могут добавить все майнтенеры софта, по приказу АНБ.
Отказ приравнивается к терроризму, отказу в сотрудничестве
и ослаблению национальной безопасности. Так как практически
весь софт растёт из Соединенных Шпротов.
> Его могут добавить все майнтенеры софта, по приказу АНБ.Проблематично сделать так, чтобы этого никто потом не заметил (если обнаружится, последствия могут быть весьма неприятные). Любители теорий заговора впрочем могут еще пофантазировать на тему: http://en.wikipedia.org/wiki/Backdoor_%28computing%...
>> Его могут добавить все майнтенеры софта, по приказу АНБ.
>
>Проблематично сделать так, чтобы этого никто потом не заметилТут инженеры Интел, АМД, IBM,...., нервно падают в истерику, и до конца спектакля валяются по полу.