|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Andrey Sokolov 2:5020/400 28 Dec 2004 20:15:27
To : Alexey Lukatsky
Subject : !
--------------------------------------------------------------------------------
заранее прошу прощения за возможную косноязычность, я не спал больше суток ;)
AS>> у меня есть стойкое убеждение относительно того что эту тему не станут
AS>> читать на securitylab'е.
AL> Hа securitylab'е будут читать все, что выкладывают. Тем более такую
AL> интересную тему, как реверсивные трояны.
Алексей, я нисколько не сомневаюсь в том, что эта тема интересна лично Вам,
коль скоро Вы являете собой профессионального безопасника, да ещё и по
профилю компьютерных коммуникаций. эта тема интересна мне и, возможно, ещё
небольшому кругу людей. задайте вопрос гуголю или яндексу, "реверсивный троян"
или "реверсный троян", и Вы увидите лишь пару-тройку заметок об этом во всём
рунете.
да, на западе эта тема изрядно популярнее. и, например, вопрос "reverse
backdoor" разрешается более чем восемью сотнями ответов на том же гуголе. но,
опять же, всё ограничивается техникой внедрения кода в чужие процессы,
перехватами\перенаправлениями в ring0, из ядра, и публичными реализациями
примитивных реверсивных троянов (в лучшем случае через http). из всего мною
изученного по данному вопросу, особого внимания заслуживает разве что
публикация в 62-м номере зинеса phrack. ну и, разумеется, фундаментальный труд
Джеффри Рихтера более чем четырёхлетней давности ("программирование в windows
2000").
хотя, в целом, тема не больно-то популярна. по крайней мере, она далеко не
настолько популярна, насколько популярны были "обыкновенные" трояны, когда
началась на них бурная мода (а я как раз начал заниматься компьютерами в то
время, это был 1999 год).
Вы, Алексей, наверняка намного лучше меня знаете, почему такое сейчас именно
такое положение вещей. (и, наверное, я сейчас обращаюсь не столько к Вам --
ведь Вы всё это хорошо знаете -- сколько к тем, кто это будет читать помимо
Вас).
такая ситуация сложилась. и некой совокупностью заинтересованных сил
поддерживается в состоянии стабильности. мы имеем дело с неким статусом-кво, и
вряд ли эта ситуация изменится.
1) на... ммм... "низком", "базовом" уровне существуют персональные решения,
персональные фаерволлы. которые... защищают. ну, скажем так, это их обозримая,
публичная функция. и персональные фаерволлы действительно умеют защищать от
внедрения кода в чужой процесс и делать все те необходимые вещи, которые
способны поддерживать стабильность на этом самом "базовом" уровне.
действительно, если взять любой публичный релиз реверсивного трояна, мы
обнаружим, что он без труда отлавливается популярными персональными
фаерволлами на автомате.
2) на, что ли, "среднем" уровне существует масса всевозможных
программно\аппаратных и аппаратно\программных решений, вроде xIDS-систем. да,
в борьбе с реверсивными троянами они совершенно бесполезны (на мой взгляд!
может быть, это и не так, я слишком мало знаю об xIDS), но такие средства есть
в изобилии и стоят они весьма солидных денег. значит, так надо.
3) на "верхнем" уровне есть такая вещь как "политика безопасности". это самая
дорогая вещь (она стоит $60 и выше за человекочас) и, будучи адекватной
поставленной задаче, в теории способна обеспечить защиту. и от реверсивных
троянов в частности (каких бы то ни было). и тут весь вопрос заключается в
том, насколько сексуально неудовлетворён сотрудник отдела безопасности
атакуемой компании (чем сильнее неудовлетворён, тем проще зозохать). или,
например, насколько системный администратор уверен в этой самой безопасности
(чем сильнее уверен, тем проще оставаться незамеченным). то есть, дело в
ИСПОЛHЕHИИ политики безопасности (которая исключает возможности попадания
реверсивного трояна в защищаемые объекты).
мы имеем дело со стандартом де-факто (и, наверняка, де-юре! бог знает, сколько
кандидатских\докторских по теме концепции ДМЗ было защищено только в нашей
стране!). на "базовом", на "среднем" и на "верхнем" уровнях. и ситуация
стабильна настолько, что бояться реверсивных троянов как распространённого (и
даже как прогнозируемого) явления не стоит.
что касается Вашего вопроса, Алексей... собственно, то, что я написал, это и
не статья вовсе, а так, поток мыслей, попытка подытожить собственный опыт. я
написал это для форума местной городской сети по просьбе нескольких человек, и
хотел когда-нибудь всё это систематизировать и категоризировать, но,
хорошенько поразмышляв, понял, что это никому не нужно.
AL> Возможно у тебя есть опасения, что ее просто не выложат?
а, нет, с этим нет проблем :) с А. Антиповым мы знакомы лично и, я думаю, он
бы выложил мою статью без ознакомления с ней :)
вобщем-то, если делать для securitylab'а, то нужно делать поменьше, попроще, в
стиле "седьмая вода на киселе", то есть ничего и ни о чём. вроде статьи
"причмокивания опоссума" на смежную тему. правда, я практически ничего из той
статьи не понял, но, судя по её популярности, именно так и надо делать.
то есть, надо поставить лимит в пять-семь килобайт и постараться в них
вписаться, иначе просто не будут читать (время, когда для того чтобы понять
протокол IPv4 читали rfc791.txt, безвозвратно ушло). я слишком... что ли...
неравнодушен к теме реверсивных троянов, чтобы сделать действительно достойную
теоретическую статью на эту тему в пределах нескольких килобайт. в принципе,
это можно было бы сделать (краткость -- сестра таланта), но для этого нужно
быть действительно талантливым человеком ;)
другой вариант: сделать чисто практический материал (немного слов, немного
ассемблера и много-много сей) для зинеса phrack, килобайт эдак на сто... но
мне, по некоторым причинам, совсем не хочется этого делать...
AL> Кстати, у PT такого электронного адреса, как ты указываешь, не
AL> существует ;-(
ага, точно. дело в том, что когда я регистрировал этот аккаунт для гейта, я
работал в PT Security, но сейчас я безработный, а аккаунт с приписанным к нему
емейлом остался.
--- ifmail v.2.15dev5.3
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
! |
Andrey Sokolov |
27 Dec 2004 15:11:39 |
 ! |
Alexey V. Vissarionov |
27 Dec 2004 17:18:28 |
  ! |
Andrey Sokolov |
27 Dec 2004 18:08:41 |
|
! |
Alexey Lukatsky |
28 Dec 2004 15:46:42 |
 ! |
Andrey Sokolov |
28 Dec 2004 18:12:50 |
|
! |
Alexey Lukatsky |
28 Dec 2004 19:04:04 |
|
! |
Andrey Sokolov |
28 Dec 2004 20:15:27 |
|
! |
Cybervlad |
29 Dec 2004 08:48:34 |
|
! |
Andrey Sokolov |
29 Dec 2004 14:38:38 |
|
! |
Alex Tabounkine |
29 Dec 2004 21:38:00 |
|
! |
Andrey Sokolov |
30 Dec 2004 05:48:51 |
|
! |
Alex Tabounkine |
30 Dec 2004 12:02:24 |
|
! |
Cybervlad |
30 Dec 2004 08:33:03 |
|
! |
Andrey Sokolov |
30 Dec 2004 10:08:08 |
|
! |
Cybervlad |
30 Dec 2004 10:18:17 |
|
! |
Andrey Sokolov |
30 Dec 2004 10:35:22 |
|
Re: ! |
Dmitry Provodnikov |
01 Jan 2005 14:25:30 |
|
Re: ! |
Gennady Shabanov |
31 Dec 2004 03:20:08 |
|
! |
Cybervlad |
30 Dec 2004 08:34:33 |
|
! |
Andrey Sokolov |
30 Dec 2004 10:08:39 |
|
! |
Cybervlad |
30 Dec 2004 10:18:47 |
|
! |
Andrey Sokolov |
30 Dec 2004 10:36:22 |
|
|
