Ãœðù - Xakep Online
Ãœðù - Xakep Online
Ãœðù - Xakep Online
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Помещение, где проводились хакерские соревнования. Слева за столом - это команда американских спецов, которые круто облажались<br />
число вирусов, поэтому спам вносит значимый вклад в пополнение баз<br />
F-Secure.<br />
2. Из honeypot-сетей, главным образом под Windows, конечно: сети<br />
непропатченных машин ходят по самым разным сайтам в поисках тех, на<br />
которых им с помощью сплойтов загрузят трояна.<br />
3. От пользователей софта: юзеры посылают найденные вирусы в лабораторию<br />
на изучение.<br />
Для анализа вирусов спецы F-Secure используют специальную технологию,<br />
которая анализирует все изменения, осуществляющиеся заразой<br />
в системе. Делается snapshot системы до установки трояна и после нее.<br />
Разница фиксируется в виде XML-документа, который может быть красиво<br />
отображен с помощью специальной программы. Она строит диаграммы<br />
со всеми ресурсами системы, выделяя красным цветом те, которые<br />
добавились или изменились после установки троя. В целом выглядит<br />
неплохо :).<br />
Who are they?<br />
Вторая часть презентации была еще интереснее. Микко рассуждал о том,<br />
кто такие хакеры и каким образом они получают баблос с вирусов и троянов,<br />
предложив следующий список источников хакерского заработка:<br />
• кража банковских аккаунтов;<br />
• кража личной информации: email, номеров социального страхования<br />
и пр.;<br />
• кража номеров CC;<br />
• кража аккаунтов электронных платежных систем;<br />
• DDоS, спам;<br />
• кража акков для покера, букмекерских контор и т.д.<br />
В этом же контексте он показал забавную схему. На карте мира по очереди<br />
у каждого континента появлялись подписи с тем, кто, где и чем занимается.<br />
По его статистике, в штатах больше всего занимаются спамом<br />
и фишингом, из южной Америки исходит угроза троянов, а плашечка со<br />
сплоитами и направленными атаками стоит напротив Китая и Азии. Микко<br />
выдержал паузу и дал присутствующим присмотреться к схеме: явно<br />
несуразно выглядела пустота на территории России.<br />
После этого он нажал пробел на своем ноутбуке — и показалась самая<br />
большая и грозная плашка: из России, Белоруссии, Украины и всех стран<br />
СНГ исходят все возможные угрозы.<br />
Дальнейшие рассуждения финна протекали в следующем ключе: если ты<br />
крутой талантливый программист и родился в Штатах или Европе — будь<br />
уверен: хорошая работа и куча лавэ тебе обеспечены. А если родился в<br />
Сибири — знай: твой путь к лавэ лежит только через электронную преступность.<br />
Пиши трояна и поднимай бабло.<br />
В выступлении наступил кульминационный момент, который Микко<br />
грамотно развил. Он рассказал об одном его небольшом расследовании.<br />
Чуть больше чем год назад чуваки из F-Secure увидели в сети первый<br />
WMF-эксплойт, который был установлен на нескольких дедиках и загружал<br />
троев. Они начали его изучать и сразу же выложили ссылку на сплоит<br />
на своем сайте.<br />
В теле сплоита они, после долгого ресеча, нашли странную строку:<br />
«О600КО 078». Мудрый финн подумал и решил, что она тут не просто так.<br />
Случайно зайдя на один российский сайт, посвященный безопасности,<br />
он нашел коммент под выложенным сплоитом, содержащий нецензурную<br />
брань чувака с ником sp0raw, сводящуюся к приблизительно следующему:<br />
«Суки, слили мазу :(». Зайдя на сайт www.sporaw.ru и найдя ЖЖ Спорава,<br />
Микко выяснил о нем много интересного: что ему 21 год, что живет<br />
он в Питере и что водит Mersedes S600. «It’s a good car for a 21‐old child»,<br />
— сказал финн и открыл пост, где Спорав писал о небольшой аварии с его<br />
участием. На одной из фотографий отчетливо виден номер его машины:<br />
/ 102<br />
xàêåð 05 /101/ 07
Change language