Così fan tutte

[xaxam]

Честняга

Под микроскопом он открыл, что на блохе Живёт блоху кусающая блошка; На блошке той - блошинка крошка, В блошинку же вонзает зуб сердито Блошиночка...и так ad infinitum? Дж. Свифт, а может быть, А. де Морган, пер. С. Маршака, а может быть, и не С. Маршака

Русские Хакеры™ под прикрытием с воздуха антивирусной программы Пескарского влезли в компьютеры АНБ, оно же NSA. Узнали об этом американцы от израильтян, хакнувших внутреннюю сеть бригады Пескарского. Редакция NYT гадает: активно ли соучаствовал гебешный питомец Пескарский в массовом сканировании компьютеров, сделано ли ему было предложение, от которого он не смог отказаться, или какие-то гебешники тайно внедрились в бригаду и делали там своё патриотическое дело, не обременяя совесть хозяев™ лишними угрызениями. Но в любом случае вот этот пассаж умиляет своей непосредственностью:

❝Kaspersky Lab denied any knowledge of, or involvement in, the Russian hacking. “Kaspersky Lab has never helped, nor will help, any government in the world with its cyberespionage efforts,” the company said in a statement Tuesday afternoon. Kaspersky Lab also said it “respectfully requests any relevant, verifiable information that would enable the company to begin an investigation at the earliest opportunity.”

Бригада Пескарского отрицает любое знание об или участие в русском хакерстве. Бригада никогда не помогала и не будет помогать в кибершпионаже ни одному правительству в мире. Бригада почтительно просит предоставить любую релевантную и проверяемую информацию, которая могла бы позволить компании начать расследование как можно скорее.❞

Странно, только что Пескарский заявлял, что у него есть все справки от венеролога, а тут вдруг почтительно просит показать, где прокололся. Он бы ещё ключ попросил от квартиры, где деньги лежат.

P.S. Сам Пескарский, после демонстративного заламывания рук, открыл филиал в Израиле. Отделению 8200 приготовиться ;-)))

Comments

[irene221b]

Интересно, что NYT громче всех кричали, что Трамп погубил Израиль, слив информацию о том, что это наш разведчик чего-то там, уже не помню что.

Теперь они разоблачили Израиль перед Вовой. А ну как Вова разозлится и еще чего-нибудь намутит в Сирии-Ливане?

[xaxam]

>>> А ну как Вова разозлится

Всё по понятиям, все за всеми шпионят, и кому, как не гебешнику, об этом знать. Я думаю, что израильтяне тоже с американцами поделились не всем, что выскребли из пескарской сети, - дружба дружбой а табачок врозь.

[leo_sosnine]

В этой истории остро недостаёт фактуры.

Из общих соображений недоверие к Касперу понятно. Но необходимо отметить, что никаких доказательств общественности предоставлено не было, кроме бла-бла-бла, что легко может оказаться fake news. Например, NSA проебали свои тулзы позорно, а кого обвинить. Тут как раз под руку "русские хакеры" попались, отлично.

[irene221b]

Тут невозможно поставить следственный эксперимент. Это 15 лет назад можно было накатить на чистый компьютер версию AV, сгрузить "virus definitions" за конкретный день, и показать пальцем на строчку в дефинишенз, в которой написано "Увидишь файл под названием supersecrettool.exe => zip and send to Moscow".
Сейчас все эти definitions в облаке, меняются каждую секунду, да еще и эвристики там всякие на основе ML. Даже если у них любое изменение находится под version control, то эксперимент "видите, версия за ту секунду, в которую у вас якобы украли этот файл, его не цепляет". Это сегодня не цепляет, потому что ветер восточный. А в тот день цепляла, ветер был северный и влажность воздуха ниже.

[leo_sosnine]

Ну раз невозможно, то украсть данные могли и другим каким-то способом, а обвинения Касперского основаны на слухах. Так и нужно просто писать, типа, ходят слухи, что из-за Касперского. Ну ок, такие слухи уже лет 15 ходят.

И дефинишнз не могут прислать команду "отправить файл в Москву" и это проверяемо.

[irene221b]

Вы кажется думаете, что по совокупности method, means, and opportunity нельзя вынести приговор, если не было свидетелей?
Это какой-то путинский подход. :-)
Насчёт того, чего не могут дефинишнз - я их не только читала, как Ваня жалобы Зины, я для них писала компилятор и много чего ещё. Как вы думаете подозрительные файлы попадают в лаборатории для анализа, прежде чем объявляются уже точно вирусами?

[leo_sosnine]

Это есть, но в минус здесь играет то обстоятельство, что тема политизирована и американские "демократы" валят на русских и сговор и вмешательство в выборы. Вполне может быть очередным эпизодом из. И у них есть и метод, и минс и оппортунити. Более того, есть свидетели.

Путём установки соотв. чекбокса в юзерском GUI, например, т.е. согласия с отправкой подозрительных бинарников куда следует. Функционал этот заложен в коде, а не дефинишнз. Вы, кстати, лучше бы разыграли карту не автоапдейтов дефинишнз, а автоапдейтов кода, т.е. версий самой программы. В таких апдейтах да, можно прислать код спайвари, пошпионить сколько нужно, а потом теми же апдейтами этот код перезаписать на не содержащий шпионства.

[irene221b]

Да мне пофиг на самом деле. Но вы себе представляете дефинишнз как набор строк, которые код ищет в файлах. Это давно уже не так. Это тоже программа на вполне себе Тьюринг-комплит языке, которую выполняет основной софт. И в отличие от конкурентов, Касперский не занимался глупостями типа изобретения собственного языка, а фигачил прямо х86 ассемблер.
Так что различие между кодом и тем, что воспринимается как "не-код" надо искать под микроскопом. И его клятвы "наш код чист, готовы предьявить его в любой момент" лукавы, и все об этом знают.

[leo_sosnine]

Ну не все, я, например, не знаю, и я не сказал бы, что то, что апдейты дефинишнз это якобы х86 ассемблер в случае Каспера это широкоизвестный среди специалистов факт. Я бы Вам предложил это доказать.

[irene221b]

А, все-таки не только method, means, and opportunity. Таки поставили "следственный эксперимент" и поймали за р̶у̶к̶у̶ жопу:

https://www.wsj.com/articles/russian-hackers-scanned-networks-world-wide-for-secret-u-s-data-1507743874

"After discovering the 2015 breach, U.S. officials began gathering other evidence that Kaspersky was being used to identify classified information and assist in its theft, said the people familiar with the matter.

For many months, U.S. intelligence agencies studied the software and even set up controlled experiments to see if they could trigger Kaspersky’s software into believing it had found classified materials on a computer being monitored by U.S. spies, these people said. Those experiments persuaded officials that Kaspersky was being used to detect classified information."

[leo_sosnine]

Paywall. Рано или поздно кто-нибудь перепечатает, тогда почитаю.

Надеюсь, там есть недостающая фактура...

Поправка

[malobukov]

Не в "компьютеры АНБ", а в домашний компьютер криворукого контрактора: "stolen classified N.S.A. materials from a contractor using the Kaspersky software on his home computer." Готов поспорить, что АНБ не разрешает контракторам хранить секретные материалы на своих домашних копьютерах.

Искать какой-нибудь Duqu, Stuxnet и прочие произведения трёхбуквенных агенств - нормальная функциональность антивируса.

Про вторжение во внутреннюю сеть Касперского было известно с 2015 года. Непонятно, почему приспичило принимать меры только сейчас.

Re: Поправка

[xaxam]

Ну да, я с размаху в посте дал маху, а уточнил уже в комментах.

Re: Поправка

[leo_sosnine]

Искать какой-нибудь Duqu, Stuxnet и прочие произведения трёхбуквенных агенств - нормальная функциональность антивируса.

Эта версия щас массово циркулирует, но она плохая и вот почему. Если посмотреть дампы Equation group то там полно всякого материала типа описаний утилит, скрипты на питоне, xml-файлы с конфигурациями и т.п. На это анти-вирусы обычно внимания не обращают. Каким образом, например, антивирус Касперского мог заподозрить в неладном документ с описанием и загрузить его в KSN для анализа? Это туфта.

Если бы в дампе были только PE экзешники, то поверить в эту версию было бы можно.

[malobukov]

А разве Касперскому уже предъявляют слив инструментария Equation Group? Вроде это дело рук The Shadow Brokers, кто-то их уже связал?

[leo_sosnine]

Доказательно -- нет, а в слухах это основная тема по-моему. Типа, сотрудник НСА принёс домой тулзы, у него стоял типа АВ Каспер, а потом шэдоу брокерс их опубликовали. Всё сходится.

Свежо придание

[malobukov]

Всяко бывает, конечно, и даже в АНБ встречаются персонажи уровня Риалити Виннер. Но я всё равно не понимаю, зачем сотруднику на домашнем компьютере под виндами был нужен этот юниксовый инструментарий.

Одно дело иногда выполнять запросы типа "найти на компьютерах в Урюпинске все вордовые документы, в которых хвалят Порошенко". Это скорее всего действительно происходит, и какой-нибудь McAfee делает то же самое с противоположным знаком.

И совсем другое дело увести профессиональный инструментарий у профессионалов, скорее всего со staging сервера под юниксом где-то совсем не дома.

Re: Свежо придание

[leo_sosnine]

И я не понимаю. Но мало ли в этом мире кретинов. Плюс я вообще не уверен, что всё так и было.

Правда, инструментарий не совсем юниксовый. Там есть виндовые экзешники, есть скрипты на перле и питоне, интерпретаторы которых есть везде.

Плюс, согласно Сноудена, НСА в те времена использовало для этих целей серверы под 2003 виндой. Щас поди под 2008-2012. А может и под линукс часть перевели, хз. Но всяко не юникс (если не толковать черезчур широко).

[yostrov]

>Бригада никогда не помогала и не будет помогать в кибершпионаже ни одному правительству в мире.
Почему точка не стоит после слов "в кибершпионаже"? Зачем добавлять за правительство?

[cema]

Бывают частные компании.

[yostrov]

То есть частникам помогать в кибер шпионаже кошерно?