Как Эксперт из Лаборатории Касперского делал экспертизу по уголовному делу о ДДОСе сайта Ассиста

[Fixxxer® 65]

http://habrahabr.ru/post/168501/

Как давно я так не смеялся... Если это - правда, то в мемориз!

[priv8v 960]

А что там смешного? По сути эксперт нормально отвечал, как мог портировал наш слэнг на человеческий...

[akoK 75]

Душевно посмеялся.

[priv8v 960]

Может мне объясните где и над чем смеятся-то? Возможности реверса в ИДА я бы точно также объяснял.

[Fixxxer® 65]

Я ни в коем случае не умаляю сложностей представления технической информации в понятном для суда виде.

Но как раз в эту сторону эксперт "хромал".

Кому нужна "рекомендация" Ida Pro 6.0? Уже лучше б 6.4 рекомендовал, судья и присутствующие обязательно бы купили - дома пригодится

А вот на конкретный вопрос - ответил невнятно:

Артимович Дмитрий:

— Вы уверены, что это один и тот же функционал и исходный код с компьютера, отданного на экспертизу, можно собрать и получится то же самое?

Ануфриев:

— Что Вы подразумеваете под вопросом то же самое? То же самое, что у них MD5 совпадёт?

Артимович Дмитрий:

— Получится такая же программа.

Ануфриев:

— То есть программа, обладающая схожим функционалом, давайте так.

Артимович Дмитрий:

— Вы вообще уверены, что она собирается изначально? Что это не просто набор какого-то текста непонятного? С одинаковыми названиями?

При том, что в отчёте прямо указано (в пп.6 и 7), что авторство вредоносной программы установить не удалось. Всё. Точка. По факту имеем:

1. Исходники вредоносного программного обеспечения на ноутбуке.

2. Некий файл, со схожим функционалом некоторых частей кода с ноутбука.

3. Доказательств, что вредоносный код на ноутбуке может быть собран в этот файл один в один - нет.

Зато эти три простых факта остро приправлены болтологией, рассказами про жизнь, Криса Касперски и Ida Pro. Безусловно, это было очень интересно суду

Очень качественный и грамотный отчёт и очень некачественное и невнятное представление его в суде.

[Сергей Ильин 1538]

А кто из вас смог бы в суде представить адекватно такой отчет об исследовании? При условии, что судья не разбирается в предмете, а адвокат вас будет специально дискредитировать на каждом слове, работа у него такая.

[Fixxxer® 65]

Сергей, полагаю, что смог бы любой, уполномоченный для этого и имеющий подобный опыт. Не думаю, что в ЛК таких людей не хватает.

А тут создаётся впечатление, что эксперт сам не читал отчёт. Потому как по отчёту сырцы<>crypted.exe, чему я охотно верю, потому что наверняка crypted.exe ещё и был упакован, а по словам эксперта в силу его "опыта" (что не есть объективно) сырцы~crypted.exe. В суде такое не прокатит, нужна конкретика, а не рассказы про жизнь.

Дело ЛК против Петера Кляйсснера пару лет назад... Подобная ситуация. Создаётся впечатление, что либо в ЛК у экспертов с языком плохо, либо оттуда грамотных экспертов в суды не выпускают.

[Fixxxer® 65]

А вот и чисто российская реакция на критику: автора - в ридонли, а статью - срочно в Черновики.

Видимо, эксперты не знают про существование кеша

Для тех, кто не успел ознакомиться: http://rghost.ru/43596732

[priv8v 960]

А вот и чисто российская реакция на критику: автора - в ридонли, а статью - срочно в Черновики.

Видимо, эксперты не знают про существование кеша

оригиналы с гугладокса тоже нужны. все в один архив бы... или итак все в одном архиве уже на ргхосте?

а то это правда не дело - чуть что и в ридонли и статью затирать...

[Сергей Ильин 1538]

Fixxxer®, согласен, представлять в суде результаты должны специальные люди. Если они, специальные люди, делают это плохо, то это может вредить имиджу компании. Это все равно что на ТВ лажать.

[Fixxxer® 65]

оригиналы с гугладокса тоже нужны. все в один архив бы... или итак все в одном архиве уже на ргхосте?

а то это правда не дело - чуть что и в ридонли и статью затирать...

Ну так откройте архив, там ссылки есть, вытяните, перепакуйте, как считаете нужным. Можете даже где-нибудь у себя в блоге разместить, раз считаете подобные действия неправильными.

Впрочем, всё это в той или иной степени уже есть тут: http://dmitryart1985.livejournal.com/8069.html

[Umnik 997]

http://juick.com/Umnik/2226863#20

Особо поржал с вопросов в жанре "кто вам дал право называть себя экспертом? покажите документ, подтверждающий что вы эксперт? нет, ну мы поняли, что вот у вас образование инженер-погроммист, ну мы видим что у вас многолетний опыт в ЛК как специалиста в антивирусной отрасли, но где документ, подтверждающий ваши полномочия как ЭКСПЕРТА антивирусных систем и реверс-инжениринга?"

[SDA 750]

Впрочем, всё это в той или иной степени уже есть тут: http://dmitryart1985.livejournal.com/8069.html

Читать отмазки белого и пушистого Артимович прессуемого кровавой гебней

Дмитрий Артимович написал явку с повинной вскоре после задержания.

Правда эксперт из подразделения Спасателей галактики тоже жжот

Привлеченный эксперт Ануфриев, работающий в лаборатории Касперского, подтвердил выводы следствия. На вопрос - как позиция оперативников соотносится с найденным файлом, он посоветовал читать молитву "Отче наш". http://www.regnum.ru/news/accidents/1621589.html

В оплоте свободы, за такие проделки получил бы лет так 20-ть с многомиллионными выплатами и не жужжал бы разбрасывая дерьмо на вентилятор.

[Fixxxer® 65]

Женя, безусловно сейчас главное - убрать внимание и устроить холисрач. Но позволю себе немного привлечь Ваше внимание: мы тут не Хабр и комменты обсуждаем, и даже не подсудимого, а поведение эксперта ЛК на суде.

И честно говоря, после чтения протокола заседания и у меня возникает вопрос - а действительно ли он эксперт. Сильное чувство, что отчёт не писался Господином Ануфриевым, и этот самый Господи Ануфриев даже не удосужился его прочитать, а пребывал в радостной прострации от возможности пользоваться Ida Pro и/или прочтения последней книги Криса Касперски.

[Umnik 997]

Привлеченный эксперт Ануфриев, работающий в лаборатории Касперского, подтвердил выводы следствия. На вопрос - как позиция оперативников соотносится с найденным файлом, он посоветовал читать молитву "Отче наш". http://www.regnum.ru/news/accidents/1621589.html

http://ru.wikipedia.org/wiki/%D0%90%D0%BB%...%80%D0%B8%D1%8F

[Сергей Ильин 1538]

Особо поржал с вопросов в жанре "кто вам дал право называть себя экспертом? покажите документ, подтверждающий что вы эксперт? нет, ну мы поняли, что вот у вас образование инженер-погроммист, ну мы видим что у вас многолетний опыт в ЛК как специалиста в антивирусной отрасли, но где документ, подтверждающий ваши полномочия как ЭКСПЕРТА антивирусных систем и реверс-инжениринга?"

К сожалению, это российские реалии. У нас есть понятие аттестации персонала. На этом живет куча кантор,например, для аттестации экспертов промышленной безопасности http://www.agec.ru/index.php?option=com_co...=4&Itemid=5

А вот для антивирусной безопасности ничего такого нет. А без бумажки ты ... ну вы поняли. Поэтому в суде всегда можно будет опустить любого рассуждающего на темы вирусов и т.п.

[priv8v 960]

...а вот теперь и моя очередь пришла смеятся, только не над тем над чем другие

1. какая у мыща последняя книга? вроде он ну оч давно не писал

2. тут до меня дошло что товарищ из ЛК просто жжот и троллит адвоката. все его слова наоборот показывают, что он в теме как рыба в воде. вспомните как он парирует вопросом типа " они че по мд5 совпасть должны чо ль..". Молодец, жаль до багров и Ч.О дойти не успел

3. кстати, у Олега тоже наверняка нет бумажки о том что он эксперт хоть в чем-то...

4. Ильфак радуется, Сусликов негодует. Крис - в растерянности - то ли его похвалили, то ли подстебали, но в любом случае приятно что читают

5. Ждем от товарища из ЛК статьи о тонкостях перевода и толкования "создадим помощника соответственного ему" (или "против него"). В этом вопросе привлекли бы Илью Рабиновича, но узнав что у него нет бумажки о том что он эксперт и нет даже нотариально заверенного скриншота....

ps: виталег, иди лучше силу тока мультитестером в розетке меряй )))))

[mr.triggers 27]

Почему тут еще не было этой ссылки:

http://dmitryart1985.livejournal.com/3533.html

еще я отдал уже 50к дело енгеля (20к - экспертизы, 30к - ускорить возбуждение уд)

Суть такова что один киберкриминал проплатил дело на другого киберкриминала.

Эксперты лаборатории просто пешки в этой "партии".

Уже даже не важно что эксперты будут говорить на суде, хоть "отче наш" читать вслух — все уже заплачено.

[OlegAndr 236]

Нормальное заключение, и все исходники по очереди разобраны -что для чего и сервер отдельно. Автор хабратопика хватается за соломинки? Расчет на то что люди по ссылке поленятся заключение почитать чтоли?

Эксперту жирный минус- мог бы экспертизу свою перед выступлением перечитать, понятно что полтора года прошло, забыл уже, но в суд идешь, перечитай 5 страничек своих.

[mr.triggers 27]

Статью на хабре восстановили.

А сам Врублевский пугает уголовным делом в отношении эксперта:

Потенциально господину Ануфриеву теперь грозит серьезная уголовная ответственность, на мой взгляд - это чистой воды фабрикация доказательств. И тысячам российских программистов и сотрудникам служб с другой стороны, совершенно до одного места небесная крутость Лаборатории Касперского и Ануфриева. Более того, на первый взгляд его экспертиза использовалась для фабрикации доказательств изначально по тяжкой статье (273 ч2), в соответствии с законом - ответственность пропорциональна, т.е. точно так же - тяжкая. Читайте УК. Повторяется то-же самое на мой взгляд, что и выше, какого бы не было отношение самой Лаборатории Касперского к истории этого дела, в любом случае господин Ануфриев вобщем и целом тут совершенно "случайный пассажир", тем не менее юридически ответственность получается именно на нем.

Link: http://rnp-1.livejournal.com/20011.html

[dmart 0]

Битва продолжается: цензура в Рунете

[mr.triggers 27]

Единственного чего я не понимаю - почему повсюду вы продолжаете с упорством утверждать что сравнение исходного кода и бинарного файла это практически нереальный навык, подвластный только Иисусу Христу?

Выложите куда-нибудь этот свой crypted.exe и я скажу что он делает ни разу не запустив его в отладчике - используя только статический анализ (при условии снятого упаковщика конечно). Потом получив примерную логику, можно сравнить с исходным текстом, в простых случаях его даже не обязательно компилировать. После анализа с довольно высоким процентом правдоподобности можно будет утверждать является ли одно производным другого или нет.

Это то, чем обычно занимаются вирусные аналитки примерно каждый день - только не у всех исходники есть.

К тому же можно сходить за примерамы к рукопожатным людям, в цитадель демократии и свободы:

15. After determining that all five PE binaries were compiled from the same code, we

compared the PE binary to that of Zeus to determine their similarities. We were able to obtain

publicly available copies of the Zeus source code and compiled our own copy of Zeus to

compare to each of the PE binary files described above. Ex. B at 15. Using Zymanics BinDiff,

we ran a comparison of the executable baseline PE binary, with that of our compiled Zeus source

code. Id. at 16. The comparison showed the baseline and our compiled versions are identical.

Id. In other words, we determined that our samples are compiled versions of Zeus. Id.

...skipped...

17. We also compared the PE binaries with our compiled version of Zeus using a

program called The Interactive Disassembler (“IDA”) to find and extract control flow graphs

from both the binaries and Zeus. Id. at 17. Programs, like Zeus and binaries, are defined by a

sequence of statements. Id. at 16. Each statement is an instruction to perform a discrete

operation. These statements are linked together into a graph. Id. At every point where a value is

tested, a statement can conditionally branch to a new node in the graph depending on the value.

Id. In this way, any logical instructions can be represented by computer code. Id. By using

IDA, we were able to compare each of the PE binaries to the Zeus binary we compiled in graph

form. See Ex. B at 16-22. These graphs are almost identical across each program. Id. at 21. We

were also able to extract the specific functions within each program to compare to the other

binaries. Id. at 24. Our results indicate that for the functions identified in the binaries, almost all

of them are structurally identical to functions that are within Zeus. Id.

Link: http://www.zeuslegalnotice.com/images/Kornblum_Decl.pdf

[priv8v 960]

ну, я так и думал, что весь админо-модераторский состав античата работает в ЛК... какой ужас, куда рунет катится, каспер везде цензуру ввел...

/ в принципе, теория о том что белая длань на лице урукхая это след от фэйспалма имеет право на существование /

[dmart 0]

Единственного чего я не понимаю - почему повсюду вы продолжаете с упорством утверждать что сравнение исходного кода и бинарного файла это практически нереальный навык, подвластный только Иисусу Христу?

Выложите куда-нибудь этот свой crypted.exe и я скажу что он делает ни разу не запустив его в отладчике - используя только статический анализ (при условии снятого упаковщика конечно). Потом получив примерную логику, можно сравнить с исходным текстом, в простых случаях его даже не обязательно компилировать. После анализа с довольно высоким процентом правдоподобности можно будет утверждать является ли одно производным другого или нет.

Это то, чем обычно занимаются вирусные аналитки примерно каждый день - только не у всех исходники есть.

К тому же можно сходить за примерамы к рукопожатным людям, в цитадель демократии и свободы:

Link: http://www.zeuslegalnotice.com/images/Kornblum_Decl.pdf

5 баллов. Мы скопилировали код и сравнили дифы! А потом сравнили скомпилированный код с нашим бинарником.

А где же Вы увидели что я утверждаю что сравнение бинарного файла с исходным кодом - невозможно?

Да где ж вы нашли, что Ануфриев что-то компилировал? Запускал или что-то ещё. Я утверждаю, что именно его МЕТОД невозможен.

Единственного чего я не понимаю - почему повсюду вы продолжаете с упорством утверждать что сравнение исходного кода и бинарного файла это практически нереальный навык, подвластный только Иисусу Христу?

Выложите куда-нибудь этот свой crypted.exe и я скажу что он делает ни разу не запустив его в отладчике - используя только статический анализ (при условии снятого упаковщика конечно). Потом получив примерную логику, можно сравнить с исходным текстом, в простых случаях его даже не обязательно компилировать. После анализа с довольно высоким процентом правдоподобности можно будет утверждать является ли одно производным другого или нет.

Это то, чем обычно занимаются вирусные аналитки примерно каждый день - только не у всех исходники есть.

К тому же можно сходить за примерамы к рукопожатным людям, в цитадель демократии и свободы:

Link: http://www.zeuslegalnotice.com/images/Kornblum_Decl.pdf

Про скажу что делает - смешно 10 раз.

[Сергей Ильин 1538]

Про скажу что делает - смешно 10 раз.

dmart, а как по вашему тогда производится анализ вредоносного кода без его непосредственного запуска в тестовой среде?