tavi1985

Pai zii macar ce concepte ar trebui sa invat aici si de restul ma ocup eu ...

what? what did i say?

Okay ,mi se pare corect ca daca stiu o chestie malicioasa sa o dezvalui si altora pentru a ajuta la gasirea antidotului. Astfel pun si eu aici 2 moduri gasite de mine pentru un mecanism de propagare al virusilor. 1 primul se referera la folosirea unui web crawler pentru a colecta adrese de mail si altfel de adrese , depozitarea acestora intr-o baza de date si folosirea lor pentru a se auto-trimite spre adresele de e-mail. Astfel se evita blocarile pe care serviciile de mail le fac pentru a copia sau a trimite mai multe mail-uri odata. Rata de propagare ar trebui sa fie uriasa practic. La prima folosire pentru a infecta niste masini se folosesc adrese de mail sau software-uri de mail necunoscute , de genul celor care se sterg dupa prima folosire la ceva timp si care permit mass mailing. Mail-ul in sine va fi unul cu teme variate practic virusul avand un mesaj variat in diverse feluri prin niste algoritmi care permit ca nici un mail trimis aproape sa nu semene cu altul. Practic ar avea si un "message composer " incorporat ce va varia mesajele pe zeci si mii de teme. Va folosi in mesaje o alta baza de date cu teme si stiri/noutati/persoane publice etc. 2 a doua metoda presupune altceva si reprezinta un upgrade al primului in cazul in care paginile web opresc copierea prin web crawling a adreselor de mail. Pur si simplu acest mecanism de propagare nu e altceva decat un mail name composer ca sa zic asa. Softul va lua numele uzuale si mai neuzuale din anumite limbi, va folosi porecle , ani de nastere, nume de firme, nume de personaje de filme/desene etc pe care le va combina si varia (gen spiderman-boss1987, cu variantele spiderman-boss1988.... etc etc ) si le va adauga la fiecare un @serviciudemail.com/ro/whatever. Apoi tot prin adrese de mail anonime se va transmite la infectia initiala. La fel ca in prima varianta si aceasta va folosi mesaje variate in e-mail-urile trimise. La fel ca si la prima varianta rata de infectie ar trebui sa fie uriasa si timpul de infectie foarte scurt. Acum sa postam si antidoturile. Daca in primul caz e foarte simplu , in al doilea e ceva mai greu. In primul caz e suficient ca fiecare adresa de mail sa primeasca o interdictie la copiere de catre web crawlere. La al doilea presupune ca adresele de mail sa fie linkate cumva pe serverele yahoo,gmail sau whatever si orice infectie uriasa spontana sa fie descoperita din timp. Blocarea mass mailingului insa nu ar duce la oprirea sursei si ar presupune si blocarea unor mail-uri legitime avand in vedere rata mare de mail-uri care se trimit zilnic. De asemenea acestea sunt doar mecanisme de propagare nu si payloadul in sine , asa ca antivirusul se poate sau nu sa gaseasca virusul ce le foloseste asta depinzand daca autorul include modulele de propagare in fiecare virus ce se transmite de la computer la computer. Pentru ca avand rata de propagare mare virusul ce foloseste metodele poate fi folosit si de pe o singura masina pentru a se propaga. Okay people cam asta e , sper ca exista deja sau vor exista solutii la astea.

Crezi.....dar nu esti sigur...

N-am stat sa fac un calcul exact cata putere de procesare ar trebui. Stiu ca a existat virusul melissa parca din cauza caruia internetul pur si simplu s-a blocat. Deci e posibil , numai sa ai numarul mare de calculatoare disponibile. Asa cum am zis , propuneam inclusiv crearea de conturi false si punerea de anunturi fara numar , in asa fel incat utilizatorii siteurilor acelora sa fie debusolati. Exista solutii la ceea ce am spus eu insa ce spun eu complica lucrurile suficient de mult incat sa nu faca rentabil sistemul. Evident reteaua aaare si utilizatori legitimi numai ca e practic imposibil sa faci o retea de asa natura incat sa respinga userii ilegali si rau voitori si sa ii tina pe aia curati. Tocmai pe aceasta optiune de redirect a traficului ma bazez. Pentru ca daca traficul e mai mare decat numarul total de calculatoare po ate sa suporte atunci se i mpart mai multe date per user al tor. Degeaba pentru ca la infiltrare exista niste filtre ale lorzilor impotriva agentilor infiltrati. De obicei li se cere sa participe la o infractiune pentru a avea cazier astfel politistul e nevoit sa se retraga. Exista la marii lorzi inclusiv testari ca in laborator sau ceva. Asa ca mai greu cu infiltratul. Eu nu vorbesc de semnatura digitala ci de cu totul altceva. Daca vrei , un fel de semnatura digitala a datelor ce au fost rulate anterior in memorie/procesor/HDD/SSD. In asa fel incat programele third party , mai necunoscute , sa nu prezinte pericole. Probabil ca sunt infumurat , dar ce sa faci, fiecare supravietuieste cum stie. Cum spuneam am sanse mai mici sa zic ceva inteligent daca nu citesc dar putinul pe care il stiu , il stiu bine. Plus ca sunt alte chestii pentru care NU imi permit sa inteleg ceea ce citesc. Sunt anumite chestii mai speciale pe care nu le pot explica aici....

N-as zice infumurat. Doar ca sper si eu ca voi reusi sa zic ceva inteligent. SI mai spun ca daca toata lumea si-ar face calculul ca "n-are domne cum sa fiu eu ala asa bun" pai nimeni n-ar mai incerca. Am si recunoscut ca trebuie sa citesti mult, pe de alta parte doar am sustinut ca atata timp cat e posibil sa fii bun merita sa iti incerci sansa. In rest give it a try, explica macar in putine cuvinte de ce e gresit si in rest o sa caut eu si singur pe net de ce nu merge , cautand dupa explicatiile tale.

Am raspuns la postarea despre bypass AV...ma rog daca discutia a ajuns pana acolo...

Pai ....daca procesul de executie al unui program/deschidere al unui fisier ar avea un fel de hash sum verification? In asa fel incat sa stii ca nimic n-a fost alterat.... si inclusiv sa faci verificarea cand fisierele revin din memorie , adica sa fie o verificare hash pe termen lung chiar si dupa rulari succesive memorie>procesor>HDD/SSD...

Poate da ,poate nu. In fiecare an mai apare cate unul suficient de inteligent sa creeze ceva ce da pe spate pe toti. Si atata timp cat ai o anume sansa ...de ce nu? Poate chiar ma duce capul. E adevarat ca trebuie sa citesti mult dar conteaza si cat intelegi din ceea ce citesti...pai chiar daca citesc decat 2 articole obosite poate ca le pricep destul de bine incat sa scot din ele chestii interesante.

Pai si ce daca? Pana la urma de la virus pana la exploituri si tra la la ...toate presupun un lucru: sa stii programare cat mai bine. Si asta se poate invata cel mai bine daca ai acces la resurse pentru invatat si la stiri despre vulnerabilitati si malvare. Evident nimeni nu zice public :"bai uite asa se face un virus care trece de AV", insa sunt destule franturi de informatie care puse cap la cap duc la a invata ce se poate face. Chiar si aici se discuta asa mai la modul aluziv , tocmai pentru a nu exista probleme cu legea si serviciile , insa sunt destule informatii cat o minte priceputa sa inteleaga cate ceva.

Ma preocupa pentru ca personal ma simt mai bine de partea za good side. Am incercat odata si altceva, dar n-are rost, nu duce nicaieri drumul ala.... Ce pot face? Nimic in cazul asta, sa faca guvernul , gen ajutor pentru constructia de toalete la sate. Ar fi un program asa simplu, dar cui dracu i-a trecut prin cap la incompetentii astia?

Ce e de ras? Sunt tutorialle la liber, si cartile piratate au facut deja inconjurul lumii. De acord ca unele site-uri de pirati sunt chiar ele honeypots, insa in practica sunt destui care fac chestia asta la nivel local oriunde in lume asa ca exista surse din care se poate invata.

PS: organizati? ce organizati pot fi aia fata de NSA si CIA? Sunt mici copii la capitolul resurse si organizare.

Cu diferenta ca astazi toata lumea a auzit de honeypots, toata lumea citeste, toata lumea se informeaza si nu e chiar asa usor. Daca vorbim de niste amarati din pakistan sau afghanistan sunt de acord acolo sunt in era 486 inca. Insa aici vorbim si de crima organizata din america latina sau europa/america. Mult mai organizata si cunoscatoare. Stii bine ca bossii cei mari intotdeauna fac verificari si se intereseaza de cine sunt noii lor angajati/recruti. Unii din ei sunt chiar asemeni firmelor si corporatiilor ..trebuie sa ai vechime ca sa ai acces la ceva mai "tare". Astea sunt chestii care se fac inclusiv prin africa/asia. Cum spuneam toata lumea astazi se intereseaza iar conceptul de honeypot e la liber , poate invata oricine despre el. Un exemplu? O simpla cautare pe google: https://www.google.com/search?client=firefox-b-ab&ei=MtJEW9SoBKKC6ASl3oTYCA&q=honeypot+NSA&oq=honeypot+NSA&gs_l=psy-ab.3..0i22i30k1l2.15039.16110.0.18542.4.4.0.0.0.0.167.600.0j4.4.0....0...1c..64.psy-ab..0.4.600...0j0i203k1.0.DG3Xu2nSQW8 Orice cretin care se poate interesa in limba engleza pe net , fie el si din papua noua guinee , se prinde in timp de schemele astea. Asa ca astea probabil trebuiesc repetate mai rar si facute intr-un stil atragator ca sa functioneze. Crezi ca nu le-a trecut multor lorzi ai crimei prin cap faptul ca tor s-ar putea sa fie un honeypot al NSA? Sau ca site-ul ala black market nu a fost decat o imensa capcana? Astfel de oameni au proprii lor informaticieni cu propriile lor softuri. Cu propriile lor site-uri in dark net. Cu grupuri in care intri numai dupa mult timp. De aia ce zic eu e mai productiv in ceea ce priveste lorzii mari ai crimei , iar ceea ce zici tu e mai po trivit pentru novici si pesti mici. O sa vad si acel film de care zici. E asta cumva? https://www.imdb.com/title/tt0157583/?ref_=nv_sr_1

yep insa.... Unele site-uri intr-adevar au flood login control adica la mai multe incercari de intrare se blocheaza optiunea de login. Dar daca am configura softul ca sa faca atacuri pe mai multe zile? Sa incerce la distante de timp mai mari. Poate asa se poate intra. Practic ar fi un bruteforce insa imprastiat pe sute de mii de calculatoare independente fara legatura unul cu altul , si care isi pun in comun doar rezultatele, astfel reteaua in sine nu poate fi blocata. Daca pui dinamic ip + full hardware virtualization ai putea realiza asta dintr-un singur lor si doar cu cateva comenzi in bloc. In cazul de invite (trusted only) e mai greu intr-adevar, insa cu nitel noroc poti nimeri userul si parola. In plus exista o forma de a bloca acel site si prin altceva decat prin a te autentifica. Pur si simplu prin requesturi facute de catre acelasi sistem. Request de login, postare de anunturi false in masa , ocuparea intentionata a benzii de trafic etc... incat sa faci site-urile imposibil de utilizat. Sau incetinirea intentionata a retelei tor prin injectarea intentionata de date transmise aleatoriu in asa fel incat sa congestionezi traficul. Sau date aparent diverse insa transmise si retransmise in bucla.