паранойя

Jul. 24th, 2009 04:35 pm
wizzard: (Default)
[personal profile] wizzard

вот интересно.

если считать, что мой или ваш компьютер уже скомпрометирован, и там стоят какие-нибудь кейлоггеры и шканеры, которые отсылают информацию куда надо, и множество паролей от всяких веб-сервисов (они таки разные) известны нападающему, то что нужно делать, чтобы

а) обнаружить
б) остановить утечку?

интерес в общем-то не праздный, если какое-то известное и популярное ПО содержит закладки “уже”

У меня вот есть основания подозревать QIP, Download Master, Daemon Tools, и, возможно, Skype.

Хотя, например, можно потратить несколько человекомесяцев, и создать популярный мод к какому-нить плагину Миранды. Или пробиться в мейнтейнеры портов под FreeBSD, etc (это уже несколько сложнее, но тоже реально)



UPD: пример - атака на твитер

  • Current Mood: uncomfortable
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2009-07-24 01:49 pm (UTC)
From: [identity profile] metaclass.livejournal.com
Поставить между компом и миром линупс и на нем логить все соединения :)

Date: 2009-07-24 01:52 pm (UTC)
wizzard: (Default)
From: [personal profile] wizzard
мысль здравая, но не ахти как помогает при гулянии с ноутбуком, а также против скайпа и компрометации паролей к e-mail, например (think Twitter attack)

Date: 2009-07-24 01:55 pm (UTC)
wizzard: (Default)
From: [personal profile] wizzard
т.е. периметр намного шире

Date: 2009-07-24 03:50 pm (UTC)
From: [identity profile] metaclass.livejournal.com
Я бы подумал насчет собственного e-mail сервера. На нем уж всю активность отследить можно.

Date: 2009-07-24 01:53 pm (UTC)
From: [identity profile] sashman.livejournal.com
очевидно, что а) на файерволе и детекторами руткитов
б) сносом вреднонсного софта, реинсталлом системы из чистого источника

Date: 2009-07-24 01:55 pm (UTC)
wizzard: (Default)
From: [personal profile] wizzard
http://www.techcrunch.com/2009/07/19/the-anatomy-of-the-twitter-attack/

я возможно неправильно пояснил, периметр намного шире.

Date: 2009-07-24 02:21 pm (UTC)
From: [identity profile] sashman.livejournal.com
в гмейле есть "This account is open in 1 other location (44.128.31.174). Last account activity: 33 minutes ago on this computer. Details"

остальные 99% веб-приложений от такого не защищены.

ну очевидное там пароли секурные и разные, бла бла, сам знаешь.

остаётся точка отказа - гмейл. поимели гмейл - поимели все твои айдентити.

Date: 2009-07-24 02:26 pm (UTC)
wizzard: (Default)
From: [personal profile] wizzard
вывод - если концептуально и тихо поиметь весь гмейл можно стать локальным ББ =)

Date: 2009-07-24 02:26 pm (UTC)
From: [identity profile] sashman.livejournal.com
весьма глобальным

Date: 2009-07-24 05:20 pm (UTC)
From: [identity profile] trippin-witch.livejournal.com
ага, а так его имеет гугл. один ББ, другой ББ - какая разница?

Date: 2009-07-24 05:02 pm (UTC)
From: [identity profile] volodymir-k.livejournal.com
Закладками должна заниматься и занимается оплаченная из Вашего кармана антивирусная отрасль. Как правило, внедрение кейлоггера требует определённых вызовов, которые или заранее, или при работе отлавливаютсяантивиром. Дальше, пароль от винды, вводимый после 3 кнопок, перехватить нельзя.

Как обнаружить -- надо быть параноиком и записывать на бумаге состояние. Если кто-то видел, но ничего не сделал -- ну и фиг с ним.

Date: 2009-07-24 08:58 pm (UTC)
wizzard: (Default)
From: [personal profile] wizzard
>> видел, но ничего не сделал -- ну и фиг с ним.

Речь идет о предотвращении именно утечки информации

Date: 2009-07-24 05:22 pm (UTC)
From: [identity profile] trippin-witch.livejournal.com
>Download Master
HOLY SHIT!
да, кстати, ты уже узнал, как твои данные утекли в мету?

Date: 2009-07-24 08:59 pm (UTC)
wizzard: (Default)
From: [personal profile] wizzard
нет. но публичный аськопрофиль же.

Date: 2009-07-24 09:21 pm (UTC)
From: [identity profile] trippin-witch.livejournal.com
да, но с чего бы мете внезапно создавать тебе аккаунт?

Date: 2009-07-24 11:19 pm (UTC)
From: [identity profile] nponeccop.livejournal.com
Что ещё более странно - своего аккаунта я не обнаружил

Date: 2009-07-25 02:19 pm (UTC)
From: [identity profile] trippin-witch.livejournal.com
да и я тоже

паранойа

Date: 2009-07-24 09:07 pm (UTC)
From: (Anonymous)
в AT&T некий Thompson встроил закладку в компилятор. Позде кто-то доказал, что такой тим вирусов невозможно обнаружить, так как компилятор может пресекать попытки пофиксить себя )

imgrey
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

wizzard: (Default)
wizzard

January 2019

S M T W T F S
  12 345
6789101112
1314 1516171819
202122 23242526
2728293031  

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jun. 22nd, 2025 06:13 pm
Powered by Dreamwidth Studios