Обратная сторона ПО DrWeb

[Сергей Ильин 1538]

А тем временем г-н Ломонов становиться публичным лицом , чего он скорее всего и добивается

Тогда надо было действовать более дерзко. Вместо историй в стиле "скандальная правда о ..." сразу бы заявился в ФСБ с заявлением, что стал невольным свидетелем заговора Шарова и Данилова с целью насильственного свержения власти в РФ. А сделать они это якобы хотели через внедрение антивируса DrWeb в гос. ведомства, включая минобороны и администрацию президента. Наплел бы еще про день Х, закладки, кнопку в кабинете Шарова ну и т.п. По всем каналам бы показали! )

[lomonov 10]

Благодарю всех, кто делает комментарии.

Особенно благодарен тем, кто оставляет критические замечания и замечания в стиле «не верю». Эти замечания мне гораздо более важны, так как я понимаю - то, что для меня очевидно, для многих непонятно.

В силу этого понимаю, что публикация графиков, схем, расчётов и методики определения моих выводов приведёт меня к ситуации восточной пословицы –

«Один дурак может столько вопросов задать, что сто мудрецов не ответят».

Поэтому дальнейшая публикация технических подробностей возможности эффективной реализации удалённого сбора личных данных пользователя, действительно, будет лишней. Особенно для тех участников, для которых набор «буковок» - «аппаратное прерывание» - является непонятным сочетанием из 2-х слов русского языка, и для которых исконно русское слово «кейлоггер» удачно определяет все вычислительные процессы контроллера клавиатуры.

Поэтому, вместо технических подробностей, публикую в кратком виде (удобном для восприятия большинства) то, что уже понятно тем участникам, которые воздерживаются от высказываний, и что, скорее всего, не понятно активным участникам данной темы.

Эффективный шпионского модуля является по-настоящему эффективным, если он:

- труднообнаружим при активности – активность с периодом 60 секунд, «выброс» очень небольшой «порции» информации (в идеале – не более 3-6 кБайт), на невысокой скорости передачи. Такой трафик «засечь» в практическом режиме работы невозможно.

- передаёт не «то, что есть на экране», а необходимую и сконцентрированную информацию рабочего состояния (какое приложение работает, в каком режиме и с какими функциями) и действия пользователя.

- активируется и деактивируется «по команде», активация должна производится по однозначному идентификатору пользователя (например, – по ip-адресу), минимальный период активации – время ближайшего обновления баз, минимальный период деактивации – желательно, в любой 60-секундный период активного периода (не диагностировал).

Методы возможной реализации интереса представлять не будут. Кто понимает, тому информации уже достаточно, а кто умеет загружаться с «лайфсд»и считает, что до этого невозможно выполнить несанкционированный модуль, и кто об установленных и активных программах узнаёт из «лога авз», мои пояснения – что декларация принципов независимости бомжу в сильнопохмельный период…

Поэтому по техническим моментам и особенностям, вроде как, всё…

Дальше будет более интересно. Непонятных технических терминов не будет, поэтому у «зубоскалов» будет возможность «понадувать щёки»…

[priv8v 960]

не вижу смысла меряться пиписьками и выяснять кто из нас лучше кернелмод кодер. Все ваши теоритические выкладки не стоят и ломанного гроша, т.к не подкреплены ничем. Словом кейлоггер можно обозначить все, что логирует набор на клаве, причем независимо от реализации и логики работы. Аппаратная присадка это тоже кейлоггер.

Вы даже не удосужились в своем первом посте написать что именно следит за юзером. Если следит сам антивирус, то тут авз бессилен также как и ваша сверхранняя загрузка системы с загрузчика... ведь нужно доказать, что некий модуль этим занимается.

В качестве доказательств подойдут логи сниффера, дизасм функции и т.д... ну или хотя бы наводки где это в продукте копать, а отдизасмить смогу и за вас, если вам ваши знания этого не позволяют.

думаю, вы понимаете, что ваша логическая выкладка "стоял авер, все лагало, удалил - перестало, значит за мной следили" несколько недостаточна для обвинений...

[B . 90]

За языком следите. Ваши умозаключения не подтвержденные законадательством и постановлением суда, таки да могут быть воспользованы в виде иска.

Да пускай пишет. Я вот уже ведро попкорна купил

[grixa 10]

Я внимательно перечитал первый пост и понял, в чем дело.

На основе этих скриншотов: http://www.aw-ss.ru/doc02w/t1s031.jpg, http://www.aw-ss.ru/doc02w/t1s032.jpg можно сделать вывод о том, что гражданин Ломонов А.Л. слил в публичный доступ (на файлообменник files.mail.ru) файл со списком сотрудников Dr.Web. Системный администратор Дмитриев А.В. обнаружил это «в процессе мониторинга деятельности сотрудников» (при чтении логов программы LiteEmanager, которая предназначена для наблюдения за сотрудниками). Системный администратор скопировал профиль пользователя Ломонова А.Л. и снял информацию о трафике с корпоративного прокси-сервера. Об инциденте сис. администратор сообщил руководству.

А в комментариях пользователь lomonov описывает механизм работы ПО LiteEmanager и пытается выяснить, насколько легитимна установка данного ПО на компьютеры сотрудников.

lomonov, я правильно вас понял?

[AlexxSun 150]

Считаю, что администрации форума надо поставить вопрос ребром — либо сабж выкладывает факты, доказывающие виновность обвиняемого, либо тему закрыть за отсутствием состава преступления.

lomonov, я правильно вас понял?

Вы его поняли не полностью. Далее он обвиняет ПО, которое производит компания Dr.Web в том, что оно записывает все нажатия клавиш и отправляет эту инфу "нужным людям"

[OlegAndr 236]

ДА на премод его ставьте - три страницы уговаривают его молвить слово золотое, а он "эээ я вас ещё помуучаю."

Человеку нравится внимание скандальное - ок.

[lomonov 10]

Продолжим, господа.

В свете последних новостей о Сноудене, я думаю, что многие из читателей понимают, что не только спецслужбам интересны персональные и личные данные пользователей.

Знание личных и персональных данных – это не только обладание информацией, которая имеет материальную (финансовую) ценность (пин-коды карт, логины и пароли к различным ресурсам и т.п), но ещё и очень сильный стимул удовлетворения своего ущемлённого самолюбия.

Второе, пока, не трогаю, а по поводу первого поводу первого, приведу такой факт.

В начале 2011 года DrWeb не располагал функциями защиты ISA-сервера – это общеизвестный факт. С коммерческой точки зрения – это полная неконкурентноспособность для корпоративного рынка, так как программное решение является неполноценным. И чем же в это время занималась группа разработчиков? Вы думаете разработкой модуля, защищающего ISA-сервера? Нет. Несмотря, на то, что эта проблема (отсутствие защиты ISA-серверов) была поставлена намного раньше начала 2011 года, над этим вопросом группа разработчиков не работала.

Если сравнить ёмкость и экономическую эффективность корпоративного рынка и рынка «ритэйла», то можно и к гадалке не ходить, что бы с уверенностью заявить, что экономическая эффективность корпоративного рынка в 10-ки, и даже 100-ни, раз привлекательнее «ритэйла». Продолжать на эту тему не буду – можно сравнить, к примеру, объёмы рынка ЛК и DrWeb.

Так вот, разработчики, в тот период активно занимались разработкой ПО для мобильных устройств. Можно сказать, что это – стратегическая линия для создания конкурентного преимущества в новом сегменте рынка. И я спорить не буду. Это действительно может быть именно так (хотя, никто меня не переубедит, что коммерческая привлекательность «ритэйла» может быть выше, чем корпоративного рынка).

Но все мобильные устройства имеют одну неоспоримую черту – все мобильные устройства персонализированные, т.е. имеют в основном информацию персонального характера.

Поэтому, имея доступ к мобильному устройству какой-либо персоны, Вы имеете доступ к значительному объёму персональных и личных данных этой персоны.

В совокупностью с маниакальными наклонностями руководства ДВ (я так понимаю, что факт слежки за всеми сотрудниками ДВ никто не ставит под сомнение?) я могу предполагать, что для данных людей интерес к персональным и личным данным был выше, чем коммерческий интерес. Но это так… К слову…

В плане доказательств.

По моему мнению (я могу ошибаться) 100% доказательством может являться только дисассемблированный участок модуля «шпиона». Или получение результатов деятельности «шпиона» оперативными действиями. Всё остальное можно опровергнуть.

Второе осуществить не могу практически. Первое – даже теоретически. Да мне это и не надо.

Графики, таблицы, данные, которые я представил в ФСБ, публиковать не буду.

Хотя, вначале, хотел опубликовать. Но понял, что эти документы для Шариковских провокаторов и малознаек, которые считают себя богами в программировании, - это хороший способ спровоцировать дискуссию на тему «вопросы одного дурака для ста мудрецов».

Кто хочет, тот уже всё понял, кто не хочет – тот сделает вид, что не понимает.

По моей практике.

Активизация недекларированных возможностей производится по конкретному IP-адресу.

Что бы узнать мой IP-адрес, «деятели» сначала обратились в «Cnews» (я зарегистрировался на форуме Cnews, поэтому идентификация была бы точной).

Cnews «послал», поэтому «деятели» сделали то, что было проще для них – с помощью «оборотней» в БСТМ идентифицировали мой IP по адресу проживания (этот способ незаконен, но – надёжен).

К сведенью. Обязательные (по возможности) данные, которые привязываются к IP-адресу пользователя DrWeb (по базе данных ДВ) – ключ, срок действия, клиент, e-mail, телефон, контактное лицо, дилер. Ну, и ещё ряд данных, которые не имеют определяющего значения для идентификации пользователя. В случае приобретения ПО через Интернет-магазин, пользователь вводит свои данные сам. В целом, идентифицировать любого пользователя не так уж и сложно. Ну и запустить недокументированные возможности ПО по конкретному IP также не сложно.

Я ничего доказывать не буду. Я описываю лишь алгоритм, который можно применить для сбора персональных и личных данных.

В части мобильных устройств – всё гораздо проще и конкретней. К тому же, в части использования ПО в мобильных устройствах, открывается безграничный доступ ко всем данным, находящимся в этом устройстве.

Ну а дальше будет самое интересное.

«Технари» могут покурить. Для них пищи для удовлетворения собственного тщеславия будет мало. Для тех же, кто не ищет подвохов в моих публикациях, будет интересно…

[Doctor_Petrov 126]

Вот Вам и словечко. ИМХО, смахивает на бред мнительного школьника)

[lomonov 10]

После комментария Doctor_Petrov удивлюсь, если не отпишуться AlexxSun и, конечно же, sda.

Уж эти участники форума точно встанут на защиту Шариковых.

А если объективно посмотреть на развитие форума, то ситуация вырисовывается такая - вначале было "фу, такого не может быть, Доктор Веб - такая правильная и солидная компания", а сейчас у кого-либо из форумчан есть сомнения в том, что Шариковы маниакально озабочены слежкой за своими сотрудниками? Показания Дмитриева о тотальной слежке за всеми работниками "Доктор Веб" сложно опровергнуть - эти показания давал не я, и эти показания не являются надуманными...

[kolan 15]

В плане доказательств.

По моему мнению (я могу ошибаться) 100% доказательством может являться только дисассемблированный участок модуля «шпиона». Или получение результатов деятельности «шпиона» оперативными действиями. Всё остальное можно опровергнуть.

Второе осуществить не могу практически. Первое – даже теоретически. Да мне это и не надо.

«Технари» могут покурить. Для них пищи для удовлетворения собственного тщеславия будет мало. Для тех же, кто не ищет подвохов в моих публикациях, будет интересно…

Остается только

[Виталий Я. 859]

В начале 2011 года DrWeb не располагал функциями защиты ISA-сервера – это общеизвестный факт. С коммерческой точки зрения – это полная неконкурентноспособность для корпоративного рынка, так как программное решение является неполноценным. И чем же в это время занималась группа разработчиков? Вы думаете разработкой модуля, защищающего ISA-сервера? Нет. Несмотря, на то, что эта проблема (отсутствие защиты ISA-серверов) была поставлена намного раньше начала 2011 года, над этим вопросом группа разработчиков не работала.

Попытка раскрыть коммерческую тайну бывшего работодателя не засчитана.

[Valery Ledovskoy 1082]

http://download.geo.drweb.com/pub/drweb/isa-tmg/6.0/

Причём я видел билды соответвующего продукта на FTP ещё когда работал в "Доктор Веб", а я там работал до февраля 2011.

Т.е. выводы, ИМХО, неверные, что никто этим не занимался.

Другое дело, что оно могло в продакшн широкий не пускаться, но это другая история. Разработки соответствующие велись.

[Dr. Faust 62]

Второе, пока, не трогаю, а по поводу первого поводу первого, приведу такой факт.

В начале 2011 года DrWeb не располагал функциями защиты ISA-сервера – это общеизвестный факт. С коммерческой точки зрения – это полная неконкурентноспособность для корпоративного рынка, так как программное решение является неполноценным. И чем же в это время занималась группа разработчиков? Вы думаете разработкой модуля, защищающего ISA-сервера? Нет. Несмотря, на то, что эта проблема (отсутствие защиты ISA-серверов) была поставлена намного раньше начала 2011 года, над этим вопросом группа разработчиков не работала.

Вообще то говоря, последняя версия ISA-сервер была выпущена в 2006 году, в 2011 её уже давно заменил продукт именуемый Microsoft TMG, который в свою очередь стал последним в линейке, о чём официально было объявлено годом позже, а неофициально было известно значительно раньше, таким образом вкладываться в разработку модулей как для ISA так и для TMG в 2011 году было просто бессмысленно. Ну и да, защищать сам ISA/TMG нет необходимости, как раз-таки наоборот, они сами занимаются защитой периметра.

По моей практике.

Активизация недекларированных возможностей производится по конкретному IP-адресу.

Каким же образом, если адрес выдаётся динамически с ограничением по времени аренды? А про такую штуку как трансляция адресов приходилось слышать? Или каким образом извне можно инициировать закладку если интересующий объект находится внутри периметра, с непересекающейся адресацией? А главное, зачем нужна такая привязка в контексте того, что IPv6 как таковой ещё не распространён? Как то мало ответов на самые очевидные вопросы

«Технари» могут покурить. Для них пищи для удовлетворения собственного тщеславия будет мало. Для тех же, кто не ищет подвохов в моих публикациях, будет интересно…

Ну вы знаете, я подвохов не ищу, зато уши у некоторых ваших выводов хорошо так торчат

[Васька 45]

Такое ощущение, что господин lomonov устроился менеджером по пиару в "Антивирусную Лабораторию Бабушкина".

[Mr.Belyash 70]

Я работаю, плачу налоги...

А тут некто Ломов,который работать не хочет.. А желает жить на мои налоги, не работая.

Вот сколько вы уважаемый уже не работаете?

[Сергей Ильин 1538]

Я работаю, плачу налоги...

А тут некто Ломов,который работать не хочет.. А желает жить на мои налоги, не работая.

Высказывание некорректно. Так как Ломонов добивается компенсации не от государства, а от конкретного коммерческого хозяйствующего субъекта ООО "Доктор Веб". Поэтому нельзя говорить о том, что он хочет жить за счет налогоплательщиков. Скорее он хочет немного пожить за счет Шарова и Данилова. Суд разберется, имеет ли он такое право.

[SDA 750]

Поэтому нельзя говорить о том, что он хочет жить за счет налогоплательщиков. Скорее он хочет немного пожить за счет Шарова и Данилова. Суд разберется, имеет ли он такое право.

Он сейчас живет за счет своего дартаньянства Компенсацию с Вепа он уже слупил,больше ему уже ничего не светит, как и устроиться на нормальную работу в сферу IT. Только и остается, что работать пропеллером ароматной субстанции Правда всем уже давно по... про его разоблачения

[K_Mikhail 807]

Я работаю, плачу налоги...

А тут некто Ломов,который работать не хочет.. А желает жить на мои налоги, не работая.

Негодующий гражданин Украины работает в России или в Украине?

[SDA 750]

Негодующий гражданин Украины работает в России или в Украине?

Это пять