The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Исследователи придумали способ классификации вредоносного ПО..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от opennews (ok) on 25-Июн-10, 10:54 
На конференции Black Hat будет прочитан (http://www.darkreading.com/database_security/security/intrus...) доклад, посвященный возможности классификации авторов вредоносного ПО, и опубликованы исходные тексты инструментария, позволяющего на практике реализовать представленную технику. Метод не позволяет определить имя автора, но дает возможность с высокой степенью вероятности определить причастность одного автора к созданию разных вредоносных программ.


Для генерации уникального отпечатка автора, как и в представленном ранее (http://www.opennet.me/opennews/art.shtml?num=26635) методе идентификации пользователя по web-браузеру, используется уникальность совокупности косвенных признаков. В частности, при анализе вредоносных программ было выявлено, что в них часто можно встретить различные следы сборки, такие как признаки, специфичные для определенной версии компилятора, остатки ссылок на различные пути в файловой системе, имя проекта в ...

URL: http://www.darkreading.com/database_security/security/intrus...
Новость: http://www.opennet.me/opennews/art.shtml?num=27092

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Исследователи придумали способ классификации вредоносного ПО..."  +10 +/
Сообщение от rfcr (ok) on 25-Июн-10, 10:54 
Молодцы! Скоро будут по коду ауру кодера определять!
Ведь уже научились ставить диагноз блоггерам по их постам...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Исследователи придумали способ классификации вредоносного ПО..."  +1 +/
Сообщение от Карбофос (ok) on 25-Июн-10, 12:55 
:) да и потом карму вправлять
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от int21h (ok) on 25-Июн-10, 13:14 
методом терморектального криптоанализа?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Исследователи придумали способ классификации вредоносного ПО..."  +2 +/
Сообщение от Карбофос (ok) on 25-Июн-10, 14:28 
может термопроктальное воспитание?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от pavlinux (ok) on 25-Июн-10, 13:42 
> Ведь уже научились ставить диагноз блоггерам по их постам...

Задача для студента психолога.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Исследователи придумали способ классификации вредоносного ПО..."  +1 +/
Сообщение от Аноним (??) on 25-Июн-10, 11:22 
затея интересная, но только ведь имея базу сигнатур авторов и средство для проверки принадлежности малваре тому или иному автору легко можно будет замаскировать свое творение под чужое.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Исследователи придумали способ классификации вредоносного ПО..."  –2 +/
Сообщение от rfcr (ok) on 25-Июн-10, 11:33 
Возможно, но сомнительно что это можно будет сделать легко.. Хотя если этот процесс автоматизировать.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Исследователи придумали способ классификации вредоносного ПО..."  +2 +/
Сообщение от аноним on 25-Июн-10, 14:13 
главное что эту же базу можно применить и на большое количество легального по.
ведь велика вероятность, что автором пишутся не только вирусы
и вот тода и узнаем всю правду о всяких лабораториях.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Исследователи придумали способ классификации вредоносного ПО..."  +1 +/
Сообщение от Skipper_gmr email on 25-Июн-10, 12:30 
И что это нам дает?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от аноним on 25-Июн-10, 12:41 
Как что?
Оперативные возможности!
Не смогли вменить одну малварь, можно копать другую того же (предположительно) автора.
И хацкера закрыть в конце.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Исследователи придумали способ классификации вредоносного ПО..."  +1 +/
Сообщение от StreSS.t on 26-Июн-10, 11:46 
Вот почему сразу закрыть?!

Дать им выбор либо сядешь, либо за среднюю ЗП писать код/тестить/ломать вот вам через пару лет и новая ОС причем если эти бравые парни умудряются такие шедевры написать то будет она не хуже остальных.

Что за страна блин только бы посадить, нет бы талант применить в мирных целях.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от fr0ster (ok) on 28-Июн-10, 09:19 
Писал один, применял другой, попался третий, сидит тот, кому просто не повезло.
Да и вся эта регистрационная инфа вытирается. Кто пограмотнее - не попадется так. А скрипткидди код не пишут. То есть максимум пострадают пишущие хацкерские тулзы и вирусы под заказ:)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Исследователи придумали способ классификации вредоносного ПО..."  –1 +/
Сообщение от Сергей Митрофанович on 25-Июн-10, 12:32 
Кстати, очень интересно
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от Frank email(??) on 25-Июн-10, 13:03 
Хрень полная и бесполезная. Что изменится от того, что будет известно, что _преположительно_ троян А и троян Б написан одним человеком? А если он апгрейднул компилятор и сменил обфускатор, это уже другой человек? И что? Баловство это, хотя как теоретические исследования покатит, на дипломную работу студента как раз.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Исследователи придумали способ классификации вредоносного ПО..."  +3 +/
Сообщение от тоже Аноним email on 25-Июн-10, 13:25 
Понимаете, первые практические приложения теоретических изысканий обычно - бесполезная хрень.
Зато через сотню лет, к Полудню, Великий КРИ решит загадку семиногого барана ;)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от pavlinux (ok) on 25-Июн-10, 13:52 
>Хрень полная и бесполезная. Что изменится от того, что будет известно, что
>_преположительно_ троян А и троян Б написан одним человеком? А если
>он апгрейднул компилятор и сменил обфускатор, это уже другой человек?

Дело в том, что "страшный" текст троянского кода не запихнешь, например в тот же UnrealIRCd
С другой стороны, враждебный код массируют под существующие порядки в проекте - пробелы,
именование функций, переменных, использование calloc_ов, вмеcто malloc+memset 0,
strncmp вместо strcmp или наоборот.

В общем, создать закономерность всегда было легче, чем найти её в хаосе.



Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Исследователи придумали способ классификации вредоносного ПО..."  +1 +/
Сообщение от аноним on 25-Июн-10, 14:16 
ну а если так - троян А, троян Б и во-о-он то антивирусное ПО известной конторы?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от Crazy Alex (??) on 25-Июн-10, 17:27 
То это конспирология
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от аноним on 25-Июн-10, 19:52 
>То это конспирология

или кранты кой чьему бизнесу :)

Кстати .... "а ви почему волнуетесь, товарищ Crazy Alex?"(С)ИС

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от F on 25-Июн-10, 22:56 
Ну скажут, что один из разработчиков в тайне от руководства занимался написанием троянов
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от Anon on 26-Июн-10, 16:31 
А затем в тайне от руководства продавал сигнатуры своему работодателю, дабы тот научался отлавливать это "ПО" раньше других?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от pavlinux (ok) on 25-Июн-10, 13:48 
cat source.c | ident -orig | obfuse.pl -random-var -random-func
  

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Исследователи придумали способ классификации вредоносного ПО..."  +1 +/
Сообщение от Tav (ok) on 25-Июн-10, 14:51 
Если метод окажется действенным, придумают средства скрытия этих отпечатков. Да хоть каждую программу собирать в виртуальной машине разным компилятором под разной ОС на разной ФС.

И вообще, с вредоносным ПО нужно бороться улучшением безопасности ОС и вдалбливанием пользователям в головы того, что нельзя использовать ПО, полученное из недоверенного источника — это все равно, что дать чужому человеку ключи от своей квартиры. В дистрибутивах Линукс, кстати, эта проблема решается за счет того, что все программы устанавливаются из нескольких подписанных репозиториев, а не откуда-попало-из-разных-мест.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Исследователи придумали способ классификации вредоносного ПО..."  +1 +/
Сообщение от pavlinux (ok) on 25-Июн-10, 23:08 
> В дистрибутивах Линукс, кстати, эта проблема решается за счет того, что все программы
> устанавливаются из нескольких подписанных репозиториев, а не откуда-попало-из-разных-мест.

Ну да, мы играем по крупному - троян так сразу всем! :)


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от Tav (ok) on 25-Июн-10, 23:46 
>Ну да, мы играем по крупному - троян так сразу всем! :)

Выложить программу с трояном в какой-тибудь архив с бесплатным ПО — это тоже сразу всем.
Понятно, что есть (небольшая) вероятность попадания трояна в репозиторий, но, согласитесь, одно дело оставить ключи от своей квартиры компании, занимающейся, например, уборкой, которой вы доверяете, и совсем другое дело дать их первому встречному на улице.

Возможности для попадания трояна в репозиторий дистрибутива ограничены:
- его может добавить мэйнтейнер пакета, владеющий цифровой подписью репозитория,
- его может добавить кто-то из разработчиков ПО,
- кто-то третий путем взлома сервера, хранящего архивы с исходниками (такое когда-то случилось, но и здесь можно было бы защититься цифровой подписью).

В первых двух случаях легко найти виновного.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от pavlinux (ok) on 26-Июн-10, 00:34 
>[оверквотинг удален]
>вы доверяете, и совсем другое дело дать их первому встречному на улице.

Крупнее бери, троян в ядре равносилен выключение ПРО страны.  
>
>Возможности для попадания трояна в репозиторий дистрибутива ограничены:
>- его может добавить мэйнтейнер пакета, владеющий цифровой подписью репозитория,
>- его может добавить кто-то из разработчиков ПО,
>- кто-то третий путем взлома сервера, хранящего архивы с исходниками (такое когда-то
>случилось, но и здесь можно было бы защититься цифровой подписью).
>
>В первых двух случаях легко найти виновного.

Его могут добавить все майнтенеры софта, по приказу АНБ.
Отказ приравнивается к терроризму, отказу в сотрудничестве
и ослаблению национальной безопасности. Так как практически
весь софт растёт из Соединенных Шпротов.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от Tav (ok) on 26-Июн-10, 01:43 
> Его могут добавить все майнтенеры софта, по приказу АНБ.

Проблематично сделать так, чтобы этого никто потом не заметил (если обнаружится, последствия могут быть весьма неприятные). Любители теорий заговора впрочем могут еще пофантазировать на тему: http://en.wikipedia.org/wiki/Backdoor_%28computing%...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "Исследователи придумали способ классификации вредоносного ПО..."  +/
Сообщение от pavlinux (ok) on 26-Июн-10, 05:05 
>> Его могут добавить все майнтенеры софта, по приказу АНБ.
>
>Проблематично сделать так, чтобы этого никто потом не заметил

Тут инженеры Интел, АМД, IBM,...., нервно падают в истерику, и до конца спектакля валяются по полу.



Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру