Дмитрий Беломестнов
Антон Носик: почему Кремль крышует киберпреступость 
29th-Jan-2012 12:17 am
Почему Кремль крышует киберпреступость

Антон Носик
28 января 2012 года


Обещал про DDoS Живого журнала и взлом ящика Навального — извольте.

В июле 2011 года на конференции TEDx в Эдинбурге выступал финский специалист по компьютерной безопасности Микко Хиппонен.
Вот его выступление.
Он рассказывал о том, что в странах Третьего мира, где за создание компьютерных вирусов и троянов не предусмотрено никакой ответственности, вирусописатели подписывают свои творения именем, адресом, номером телефона.

Начал с Пакистана, где в Лахоре живут и работают авторы очень древнего вируса под MS DOS. Которые не постеснялись вставить в код вируса полный адрес своего офиса. Хиппонен поехал в Пакистан, нашел офис, и там его встретили вирусописатели Басит и Амджад.

Продолжил уже новыми троянами, используемыми для создания ботнетов из заражённых компьютеров, для кражи номеров кредитных карт, взлома аккаунтов в платёжных системах и т.п.

Кто это делает? Уже не любители, как в 1980-х, а серьёзные уголовники, организованной группой лиц по предварительному сговору. Today it's the organised criminal gangs, because they make money with these viruses, объяснил эксперт по компьютерной безопасности (06'00"). Им легко делать трояны потому, что в некоторых юрисдикциях подобная деятельность ненаказуема. We can't globally police, говорит Хиппонен. Поэтому бандосы держат свою головку там, где их не привлекут.

Анализ исходного кода одного из троянов, заражающего компьютер жертвы под видом файла фотографии, выявил цифровую подпись o600ko78rus. Это, как нетрудно догадаться, питерский номерной знак. Такой знак установлен на мерседесе S600 (6 литров, 400 лошадей) питерского тинейджера, чей ник в ЖЖ — Imagesporaw. В его ЖЖ можно найти фотографии и этой машины, и её номерного знака.

Понятно, что «Мерседес» куплен на выручку от кражи кредиток. Также понятно, что по российским законам тинейджеру ломится лишение свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев по статье 273 УК РФ.

Напрашивается вопрос, какая крыша помогла Imagesporaw избежать наказания.

Ответ чрезвычайно прост. Читаем Твиттер Константина Игоревича Рыкова, подрядчика всех кибер-атак на оппозиционные журналы, работодателя пресловутого хакера Хелла. И обнаруживаем там ссылку на пост пользователя Imagesporaw с анализом переписки Алексея Навального.

Вот всё и стало на свои места.

Кто не понял, объясняю.

Питерский ботнетчик Imagesporaw украл несколько миллионов долларов из кошельков людей, заразившихся его трояном.
На эти деньги он купил себе «Мерседес S600».

Потом возникли проблемы: иностранные спецслужбы дали «Управлению К» при МВД РФ немножко денег по линии международной правовой помощи на выявление создателя ботнетов. На эти деньги чиновники «Управления К» обычно ездят в Вашингтон, поэтому к запросам такого рода они относятся со всей серьёзностью. Искать пользователя Imagesporaw им было более чем легко: через номер его машины они просто нагрянули к нему домой. И нашли всё, что искали: украденные деньги, несколько тысяч кодов доступа к чужим ящикам, номера кредиток и дебетных карт.

Пользователь Imagesporaw понял, что за ним пришли, и стал искать крышу. Обратился к Косте Рыкову. Костя сказал: взломай почту Навального, и я тебя отмажу от Интерпола. Пользователь Imagesporaw взломал почту Навального, и написал об этом развёрнутый пост. Костя Рыков пропиарил этот пост в своём Твиттере. В результате Интерпол послали нахуй. Imagesporaw оказался прикрыт своей российской крышей от любых иностранных запросов — просто потому, что отработал рыковский заказ по Навальному.

Вот так эта система и работает. И не нужно ей никакого хакера Хелла. Единственный в нём смысл — отвод глаз от действительных преступников. Реальным организатором DDoS-атак против ЖЖ являлся ботнетовод Imagesporaw, и он же взломал почту Навального. А крышей для этой ОПГ являлся Константин Игоревич Рыков, он же заказчик DDoS-атак на ЖЖ, он же пиарщик постов Imagesporaw о находках в почтовом ящике Навального.

Место всем этим заказчикам и пиарщикам — в тюрьме, на одних нарах с исполителями их заказов. Так сказано в Уголовном кодексе Российской Федерации, статья 273. К сожалению, они входят в одну ОПГ с президентом Дмитрием Медведевым и премьер-министром Владимиром Путиным. И их отмажут от ответственности тожно так же, как отмазали юзера Imagesporaw. Но нам нужно понимать, откуда в России столько кибер-криминала, и кто его персонально крышует.

См. также: http://lj.rossia.org/users/anti_myth/269349.html

Комментарий Владимира Прибыловского.

вот бедный серик расстроится: лишили лавров за самый громкий взлом:)
сейчас он будет предъявлять "доказательства". но бесполезно: Носика читают тысячи людей, а его - максимум 40.
<...>
я кстати догадываюсь, откуда у Носика такая версия: от Минаева, которого обидели рыков и рыковские шестерки (хотя Рыков переводит стрелки на якеменковских, но Минаев Рыкову не верит что это были якеменковские).
обозлившись на Рыкова Минаев и слил Носику эту инфу (или дэзу).
Минаев ищет себе через Носика нового хозяина.
"переход Хаджи-Мурата" мля.


ДОПОЛНЕНИЕ от 29 января
Антон Носик: "Я обвиняю не Рыкова. Я обвиняю Суркова".
Comments 
29th-Jan-2012 08:43 pm
Как в принципе gmail можно было взломать? Только получить пароль трояном обыкновенным. И то только если не пользоваться selinux-ом собранным с соответствующими опциями gcc.
30th-Jan-2012 12:20 am
Селинукс говно и решето.
30th-Jan-2012 04:33 pm
Ну предположим что selinux это говно и решето. Есть основания полагать, да. Но предотвращение взлома картинкой (за счёт переполнения буфферов памяти) является решённой проблемой (нужно скомпилировать с соответствующими опциями, если это Си или Си++; а для программ написанных на некоторых других языках проблемы переполнения буфферов даже не стоит).
30th-Jan-2012 05:02 pm
На КОСТЫЛN какие-то похоже.
Вот PaX попрямее выглядит.
30th-Jan-2012 09:20 pm - ok
PaX и SSP по-моему предотвращают именно эту опасность. Я это и имел ввиду, просто названия забыл. Применение вещей типа rsbac, selinux, или systrace (тоже дырявым оказался, да?) и т.д. это то что делается параллельно, и что в некоторых ситуациях тоже помогает (чтобы процесс броузера не смог читать файлы кроме тех что находятся в его директории, например).

Главный поинт в том что эффективная защита от подобного рода хацкинга имеется.
30th-Jan-2012 09:24 pm
Если программа написана на Лиспе или ML, или другом языке где менеджмент памяти полностью автоматический (и нету возможности делать malloc напрямую), и происходит автоматическое контроллирование доступа к массивам (извините, русского тех. слэнга не знаю, поэтому получается так длинно), то возможности переполнения (при корректной имлементации, конечно же) буффера просто не существует. Это не костыли. Просто мало п/о написано на ML например (имхо это плохо; whatever).
This page was loaded Mar 28th 2024, 12:02 pm GMT.