https://www.opennet.dev/openforum/vsluhforumID3/68220.html На конференции Black Hat будет прочитан (http://www.darkreading.com/database_security/security/intrusion-prevention/showArticle.jhtml?articleID=225700716) доклад, посвященный возможности классификации авторов вредоносного ПО, и опубликованы исходные тексты инструментария, позволяющего на практике реализовать представленную технику. Метод не позволяет определить имя автора, но дает возможность с высокой степенью вероятности определить причастность одного автора к созданию разных вредоносных программ. <br><br><br>Для генерации уникального отпечатка автора, как и в представленном ранее (http://www.opennet.ru/opennews/art.shtml?num=26635) методе идентификации пользователя по web-браузеру, используется уникальность совокупности косвенных признаков. В частности, при анализе вредоносных программ было выявлено, что в них часто можно встретить различные следы сборки, такие как признаки, специфичные для определенной версии компилятора, остатки ссылок на различные пути в файловой системе, имя проекта в ...<br><br>URL: http://www.dar https://www.opennet.dev/openforum/vsluhforumID3/68220.html#30 Mon, 28 Jun 2010 05:19:02 GMT Писал один, применял другой, попался третий, сидит тот, кому просто не повезло.<br>Да и вся эта регистрационная инфа вытирается. Кто пограмотнее - не попадется так. А скрипткидди код не пишут. То есть максимум пострадают пишущие хацкерские тулзы и вирусы под заказ:)<br> https://www.opennet.dev/openforum/vsluhforumID3/68220.html#29 Sat, 26 Jun 2010 12:31:46 GMT А затем в тайне от руководства продавал сигнатуры своему работодателю, дабы тот научался отлавливать это "ПО" раньше других?<br> https://www.opennet.dev/openforum/vsluhforumID3/68220.html#28 Sat, 26 Jun 2010 07:46:50 GMT Вот почему сразу закрыть?!<br><br>Дать им выбор либо сядешь, либо за среднюю ЗП писать код/тестить/ломать вот вам через пару лет и новая ОС причем если эти бравые парни умудряются такие шедевры написать то будет она не хуже остальных.<br><br>Что за страна блин только бы посадить, нет бы талант применить в мирных целях.<br> https://www.opennet.dev/openforum/vsluhforumID3/68220.html#27 Sat, 26 Jun 2010 01:05:46 GMT &gt;&gt; Его могут добавить все майнтенеры софта, по приказу АНБ. <br>&gt;<br>&gt;Проблематично сделать так, чтобы этого никто потом не заметил <br><br>Тут инженеры Интел, АМД, IBM,...., нервно падают в истерику, и до конца спектакля валяются по полу.<br><br> <br> <br> https://www.opennet.dev/openforum/vsluhforumID3/68220.html#26 Fri, 25 Jun 2010 21:43:11 GMT &gt; Его могут добавить все майнтенеры софта, по приказу АНБ. <br><br>Проблематично сделать так, чтобы этого никто потом не заметил (если обнаружится, последствия могут быть весьма неприятные). Любители теорий заговора впрочем могут еще пофантазировать на тему: http://en.wikipedia.org/wiki/Backdoor_%28computing%29#Reflections_on_Trusting_Trust<br> https://www.opennet.dev/openforum/vsluhforumID3/68220.html#25 Fri, 25 Jun 2010 20:34:12 GMT &gt;[оверквотинг удален]<br>&gt;вы доверяете, и совсем другое дело дать их первому встречному на улице. <br><br>Крупнее бери, троян в ядре равносилен выключение ПРО страны. <br>&gt;<br>&gt;Возможности для попадания трояна в репозиторий дистрибутива ограничены: <br>&gt;- его может добавить мэйнтейнер пакета, владеющий цифровой подписью репозитория, <br>&gt;- его может добавить кто-то из разработчиков ПО, <br>&gt;- кто-то третий путем взлома сервера, хранящего архивы с исходниками (такое когда-то <br>&gt;случилось, но и здесь можно было бы защититься цифровой подписью). <br>&gt;<br>&gt;В первых двух случаях легко найти виновного. <br><br>Его могут добавить все майнтенеры софта, по приказу АНБ. <br>Отказ приравнивается к терроризму, отказу в сотрудничестве <br>и ослаблению национальной безопасности. Так как практически <br>весь софт растёт из Соединенных Шпротов.<br> <br><br><br> https://www.opennet.dev/openforum/vsluhforumID3/68220.html#24 Fri, 25 Jun 2010 19:46:19 GMT &gt;Ну да, мы играем по крупному - троян так сразу всем! :) <br><br>Выложить программу с трояном в какой-тибудь архив с бесплатным ПО &#8212; это тоже сразу всем.<br>Понятно, что есть (небольшая) вероятность попадания трояна в репозиторий, но, согласитесь, одно дело оставить ключи от своей квартиры компании, занимающейся, например, уборкой, которой вы доверяете, и совсем другое дело дать их первому встречному на улице.<br><br>Возможности для попадания трояна в репозиторий дистрибутива ограничены:<br>- его может добавить мэйнтейнер пакета, владеющий цифровой подписью репозитория,<br>- его может добавить кто-то из разработчиков ПО,<br>- кто-то третий путем взлома сервера, хранящего архивы с исходниками (такое когда-то случилось, но и здесь можно было бы защититься цифровой подписью).<br><br>В первых двух случаях легко найти виновного.<br> https://www.opennet.dev/openforum/vsluhforumID3/68220.html#23 Fri, 25 Jun 2010 19:08:27 GMT &gt; В дистрибутивах Линукс, кстати, эта проблема решается за счет того, что все программы<br>&gt; устанавливаются из нескольких подписанных репозиториев, а не откуда-попало-из-разных-мест. <br><br>Ну да, мы играем по крупному - троян так сразу всем! :)<br><br><br> https://www.opennet.dev/openforum/vsluhforumID3/68220.html#22 Fri, 25 Jun 2010 18:56:48 GMT Ну скажут, что один из разработчиков в тайне от руководства занимался написанием троянов <br>