Обратная сторона ПО DrWeb

[SDA 750]

Отказ в возбуждении уголовного дела в отношении меня был вынесен 21.01.2012. Ознакомиться с материалами проверки я смог только в конце июня 2012. По УПК РФ, я имею право ознакомится со всеми материалами проверки сразу же после вынесения процессуального решения, т.е. сразу после 21.01.2012.

Но у меня это не получалось. Материалы "гонялись" по различным инстанциям – прокуратура по САО, прокуратура Москвы, УВД по САО, была даже попытка усмотреть признаки преступления по ст.137 УК РФ, которая вызвала недоумение не только у меня, но и у сотрудников СК по САО Москвы. И материалы проверки (вроде как, безобидные) я смог "словить" только 29.06.2012.

Хоп, мусорок, не шей мне срок.

[lomonov 10]

Всё равно "скриншотирование" даже если через 30 секунд, слишком много, дабы успеть поймать пароль, который пришел в письме. + не каждые сайты присылают его в открытом виде.

Эх.

Я уже писал, но, как вижу, не всем понятна глубина возможностей для шпиона, который «перехватил» скан-коды клавиатуры.

Краткий ликбез (очень краткий – не обессудьте).

Нажатие клавиши вызывает аппаратное прерывание. «Вызывается аппаратное прерывание» - это значит, что процессор «бросает» обработку всех программ и процессов, и начинает «работать» по процедуре обработки клавиатуры.

Детали вызова и работы аппаратных прерываний не описываю. Не думаю, что большинство читателей смогут сразу же назвать принципиальное различие между вызовом int 9h и int 13h. Поэтому «знающих» прошу не придираться, и не уточнять детали аппаратных прерываний и их приоритетов.

User одновременно жмёт «Shift» + «Alt». Userу кажется, что он клавиши нажал одновременно, но для аппаратуры – «Shift» нажат на 3 мс раньше, чем «Alt». Поэтому, сначала генерируется байт скан-кода нажатия «Shift» (при этом «шпион» кодирует и добавляет в 1, 1,5 или 2 байта времени этого момента). На 3 мс позже - генерируется байт нажатия скан-кода «Alt» («шпион» фиксирует время и этого момент в 1-2 байта). User отжимает сочетание клавиш, и считает, что это сделано единовременно. Аппаратура последовательно генерирует скан-код отжатия «Alt», и на 3 (5, 10) мс позднее скан-код отжатия «Shift». «Шпион» фиксирует это время в 2-4 байта.

User переключился на латинский регистр, и начинает вводить свой ПИН-код. А у «шпиона» есть 8 – 12 байт информации, которая будет передана на сервер "злодеев" только через минуту.

Значительных ресурсов на сервере «злодеев» эти 8-12 байт не займут. А дешифровать их можно в любое время – хоть сейчас, хоть – через год.

Программа дешифрации этих 8-12 байт определяет, что были нажаты и отжаты клавиши «Shift» и «Alt», и по анализу разности времени в нажатии и отжатии этих клавиш определит, что клавиши «Shift» и «Alt» были нажаты одновременно. Интерпретатор делает вывод – клавиши «Shift» и «Ctr» были нажаты одновременно, был переключён режим ввода на латинский язык, и следующие «буковки» будут латинскими.

Дальше «читаем» ПИН-код, который очень сильно бережёт и охраняет user, а для «злодеев» этот ПИН-код, фактически, в открытом виде.

Сканы экрана вообще не нужны. Пытаться «ловить» нужный момент в 30 или 60 секундный интервал совсем не обязательно.

Сканы экрана нужны только для подробного анализа какая программа работала, в каком режиме, и для «чтения» документов userа, который user открывает с диска или получает по электронной почте.

Что бы знать Ваши пароли «шпиону» не надо видеть Ваш экран.

[priv8v 960]

зачем вы расписываете про прерывания и сканкоды? не можете русским языком написать "кейлоггер"?

Пишете вы все очень путанно и непонятно. Лично на меня вы производите впечатление кадрового программиста, который уже лет десять как отошел от компьютерных дел, занимаясь разведением пчел....

Бегать по десяти сайтам и выискивать о вас инфу всем влом /в т.ч и мне/ потому прошу вас внятно ответить на следующие вопросы:

1. шпионство за вашим компом велось за личным или за рабочим?

2. если за личным, то как до него добрались?

3. как было реализовано? это был ехе-файл, dll, драйвер, смесь этого всего... или сеть снифалась, или вообще это было на аппаратном уровне /вплоть до снятия пэмин и добавок к микроконтроллеру/. За вашими туманными изложениями о размерах скринов/текста/скан-кодов как-то теряется суть.

4. при чем тут ПО др.веба ? или вы ошиблись, нечаянно про него написав?

5. слежка была когда работали там или и после?

6. как обнаружили слежку? только не надо тут рассказывать о механизмах работы загрузчика и биос и о том что вы видите то, что другие никогда не и увидят... можно по делу сказать? например: обнаружил в автозагрузке подозрительный экзешник или увидели подозрительный девайс, в который воткнута клава, а он в свою очередь в комп ...

[alexgr 556]

пока интрига потерялась - напоминает странный бразильский сериал, в котором развязка наступает за 15 минут до окончания последней серии. Много очень объяснений по поводу декораций.....

[Сергей Ильин 1538]

4. при чем тут ПО др.веба ? или вы ошиблись, нечаянно про него написав?

Вот и я о том же.

[OlegAndr 236]

В контракте обычно написано что работки обязуется не использовать предоставляемые компанией технику в личных целях => вся активность по умолчанию считается рабочей => доступной для мониторинга.

Соглашусь с Priv - вы нам рассказываете про механизмы слежения которые известны давно, смысл то где?

[AlexxSun 150]

Господа, вы преамбулу перечитайте:

Я изложил некоторые факты, которые касаются непосредственно функциональности ПО DrWeb. Очень скоро мне позвонил сотрудник ФСБ и предложил встретиться…

В конце встречи меня попросили не разглашать некоторое время информацию, которой я поделился с сотрудниками ФСБ. Я понимал, что речь идёт о национальной безопасности, так как ряд «силовых ведомств» используют ПО DrWeb.

Исходя из неё ясно, что далее нам должны рассказать о том, что ПО от Dr.Web собирает абсолютно всю инфу о нажатиях клавиш юзером любой организации, вплоть до министерства обороны и складирует её на их докторвебовских серверах Со всеми вытекающими последствиями из такого (предполагаемого) факта ))

[lomonov 10]

В отношении "злодеев" возбуждено уголовное дело.

[SDA 750]

В отношении "злодеев" возбуждено уголовное дело.

[SDA 750]

пока интрига потерялась - напоминает странный бразильский сериал, в котором развязка наступает за 15 минут до окончания последней серии. Много очень объяснений по поводу декораций.....

Классика жанра по теме топикстартера особенно концовка, которая его ждет

http://www.youtube.com/watch?feature=playe...p;v=R3BcbdVj8n4

[lomonov 10]

Несмотря на то, что ранее я работал программистом, иллюзий по поводу своего уровня и уровня настоящего программирования, не строю.

Поэтому, как очень удачно заметил один из читателей, я уже отошёл от дел, и занимаюсь, в этом смысле, «разведением пчёл…».

Надеюсь, что «прелюдия» позволит ответить на вопросы – кому и зачем понадобилось заниматься такими «делами», как перехват личных данных «обычных userов».

Вроде как, «бизнес ведут солидные и уважаемые люди»…

Межу тем, если задуматься, что мы набираем на клавиатуре и наблюдаем на мониторах личных (домашних) компьютеров, то вывод следуют шокирующий – на наших компьютерах не только компромат на нас же самих в максимальном объёме, но и все данные, касающиеся личной, рабочей и финансовой составляющей всей нашей жизни.

Поэтому желал бы обратить внимание участника AlexxSun, что для получения ценных коммерческих данных конкуренты могут применить гораздо более эффективный способ, чем вербовка сотрудника, который впоследствии «сольёт очень важную инфу». В этом плане, видеонаблюдение за сотрудниками не несёт никакой полезной составляющей IT-безопасности (да и любой другой безопасности), и имеет только одну чётно определённую цель.

Цель управленческого характера.

Ещё раз, в случае, если недостаточно лаконично сформулировал: видеонаблюдение за сотрудниками имеет одну единственную, четко обозначенную цель, которая нужна только руководству для формирования максимальной лояльности (послушности) сотрудников этой компании.

В части IT (и другой) безопасности, желаю заметить, что, например ВС (военные) давно уже применяют комплекс организационно-аппаратных мер, которые позволяют сохранять документы (разговоры, передача данных и т.п.) категории класса «секретно» и «особой важности», даже в случае компрометации сотрудников или, так называемых, ключей.

Причём организация таких мер по стоимости значительно ниже, чем тотальная установка «жучков» и видеокамер, и их последующая эксплуатация.

Эффективность таких мер – гарантированная стойкость обеспечения засекречивания.

Что бы было понятнее, приведу простой пример.

Если личный состав в полной составе 1 или 2 (3, 4) КШМок (командно-штабных машин), «напичканных» аппаратурой автоматического засекречивания (ЗАС) звена – «дивизия», перйедут на сторону врага и передадут все, имеющиеся у них ключи и таблицы, комплекс организационно-аппаратных мер обеспечит надлежащий уровень секретности всех передаваемых сообщений этого звена.

Причём, будет обеспечена двойная защита – организационными мерами и (одновременно) аппаратными (военные любят повышать надёжность путём резервирования).

Даже если прапор будет в задницу пьяный, а командир КШМ контужен, личный состав будет вынужден выполнить такую последовательность действий, при которой произойдёт смена ключей. В противном случае, все действующие ключи потеряют актуальность. А если прапор и командир уже мертвы, а остальной личный состав «льёт врагу инфу», срабатывает аппаратный комплекс защиты. Аппаратура блокируется, ключи теряют актуальность (их можно на фантики пускать), вышестоящие, нижестоящие и смежные звенья узнают, что данная КШМ вышла из строя, и принимают дальнейший комплекс организационных мер для обеспечения связи. В итоге, полное уничтожение целого полка связи, не вызовет даже разрыва связи у Верховного Главнокомандующего.

И всё это обеспечивается – без тотальной установки «видеоглазков» в задницу каждому солдату. А комплекс мер – достаточно прост, эффективен, и по финансовой стоимости обеспечения – значительно дешевле, чем тотальная видеослежка.

Поэтому, господа, не обманывайте себя – видеонаблюдение за сотрудниками нужно не бизнесу, а конкретным людям из руководства этой компании.

А сбор личных сведений с личных компьютеров, необходим только конкретным людям, и ТОЛЬКО под преступные замыслы.

Обращении в ФСБ прилагаю.

Но я продолжу…

2-ая страница.

Самое интересное ещё впереди.

Господа, вы случаем не знаете?

Участник sda - уж не Шаров ли?

Так внимательно следит за всеми моими сообщениями, что создаётся устойчивое впечатление, что этот sda - самый заинтересованный участник этой темы.

[AlexxSun 150]

Скучно. А где сенсация? Где снятие сниффером переданного антивирусом трафика и его расшифровка? А чего все любители поорать по поводу того, что там в Касперском KSN чего-то там передаёт в облако, не кричат и не топают ногами в данном конкретном случае? Ломонов первым заметил левый трафик этого продукта? Не-ве-рю!

[kolan 15]

[ak_ 395]

что там в Касперском KSN чего-то там передаёт в облако

и шлёт гигабайтные дампы. Вот уж где размах шпионажа. Он, в отличие от килобайтов Доктора, видать даже фотки и фильмы с харда в ЛК сливает.

[AlexxSun 150]

Да не, то из другой оперы )) Гигабайтные дампы шлёт не KSN, а встроенный сервис по отладке продукта. Но это что-то совсем теперь не по теме.

Крики то будут про DrWeb типа: "Караул! Хулиганы зрения лишают!" ?

[Сергей Ильин 1538]

Пока мы не увидели никаких технических доказательств сбора информации антивирусом Dr.Web или "всей скандальной правды об антивирусе Dr.Web" от "в прошлом программиста, который в своё время писал компьютерные вирусы".

Какие-то одни рассуждения, домыслы и догадки. Солидарен с sda в его оценке, хотя до этого антивирусный робингуд, он же Ломонов, был мне симпатичен.

Рекомендую в тему посмотреть ролик "Скандальная правда о компании Apple!"

[sww 486]

Уже даже я не выдержал Про моё отношение к дрвеп всем известно, но сколько можно "не мешки ворочить?" Национальная безопасность, вся херня... факты, документы, хватит уже воду в ступе толочь. Все эти описания кейлоггеров и прерываний никому тут ..... не нужны, т.к. кому надо - те итак знают, а кому не надо все-равно не поймут.

[priv8v 960]

между строк в сообщении выше любой опытный программист, который разглядывает то, что не увидит даже Чак Норрис сможет прочитать следующее:

"да!да!11 это я кодил драйвер фильтр на клаву и связь с мейру-файлообменником прям из ядра! траффик вы хрен расшифруете потому что я его заксорил (по секрету xor eax, 13)! я не хотел это кодить, но они взяли в заложники моего кота и кактус, сволочи! я плакал, слезы застилали мне глаза, но я продолжал вслепую набирать код... после этого оттуда уволился и вот по прошествию трех лет, когда нашей цивилизации перестала угрожать опасность, я наконец то могу с чистой совестью и без опасений за жизнь кота и его родственников открыть людям правду!

ps: нотариально заверенную фотографию кота в клетке прилагаю"

[rkhunter 150]

Все эти описания кейлоггеров и прерываний никому тут ..... не нужны, т.к. кому надо - те итак знают, а кому не надо все-равно не поймут.

Да ваще в топку. Как сказал главспец по кибероружию на phdays сейчас в ИБ главное не "как", а "кто".

[strat 275]

Да вообще все построено неправильно. Если бы была статья исследование, то можно было бы о чем-то говорить, а так вымысел без доказательств.

Нормально было бы - обнаружение активности, выяснение причастного по, исследование передаваемых данных "каким образом" "что" и "куда", выводы, упоминание о заявлении.

Здесь же имеем обратную ситуацию, когда сначала нас пытаются просветить что "каким образом" это возможно, потом приписать это конкретному ПО без четких доказательств, а только "ранее не замечалось, а потом, после удаления ПО оно само пропало, значит это оно виновато". И при этом нет данных "что" и "куда" слалось.

[AlexxSun 150]

Господину Ломонову надо чаще читать детективные повествования Александра Гостева про вирус «Flame» и брать с этих повествований пример. Если бы эта тема была оформлена в духе расследований про флейм и дуку, со скриншотами, участками кода, указанием версий программного обеспечения, над которым проводились опыты, то и доверия такие сообщения вызывали бы хоть какое-то.

Сейчас это всё больше похоже на попытки хоть как-то укусить своего обидчика постфактум, досадить ему хоть чем-то.

[SDA 750]

Несмотря на то, что ранее я работал программистом, иллюзий по поводу своего уровня и уровня настоящего программирования, не строю.

[Mr.Belyash 70]

Термины,используемые г-ом Ломовым подпадают под статью.

За языком следите. Ваши умозаключения не подтвержденные законадательством и постановлением суда, таки да могут быть воспользованы в виде иска.

[A. 875]

Да ваще в топку. Как сказал главспец по кибероружию на phdays сейчас в ИБ главное не "как", а "кто".

[ole44 50]

А тем временем г-н Ломонов становиться публичным лицом , чего он скорее всего и добивается

Бунтующий экс-сотрудник «Доктор Веб» добился возбуждения уголовного дела против полиции

Чего стоит одно название