Pull to refresh

Задача недоказуемой передачи данных

Reading time 3 min
Views 7.9K
Это несколько неформатный пост. Этот пост — вопрос к Хабрасообществу, ответа на который я не знаю. Возможно, ответа нет. Лично у меня не получилось до конца осознать точную постановку вопроса.

Эта публикация, кроме того — память о человеке, от которого я впервые услышал о такой задаче.

Итак, автор задачи — один из самых известных представителей crack-сцены рунета — ms-rem. Уверен, многие из вас, кто занимался реверс-инжинирингом, слышали о нем. ms-rem не занимался релизами. Вместо этого, из под его пера выходили интереснейшие по своей глубине проработки статьи. Я не знаю, возможно, кто-то придумал эту задачу раньше, тогда простите мне мое невежество.

Для начала, предлагаю вам небольшое интервью, данное ms-rem'ом сайту cracklab.ru, оно интересно и легко читается.

В конце интервью автор приводит формулировку задачи (орфография сохранена):

типовые задачи всегда просты, достаточно почитать мануалы и статьи, но есть задачи для решения которых надо и головой подумать и много кода в дизасме перерыть и отлаживать потом не одну неделю. Из подобных могу назвать задачу недоказуемой передачи данных.

То есть, например, есть трой, он передает и принимает какие-либо данные нужно сделать это так, что если трой будет найден и весь трафик идущий по сети сохранен невозможно было доказать что он передавал какие-либо данные, вот пример одной из весьма сложных задач.


Поясню, хотя и так тут все понятно.

Вы — создатель трояна или любого другого сетевого софта (но пусть будет троян). Я против троянов. У нас есть TCP/IP сеть. Ваш троян работает в ней и передает данные с зараженных компьютеров на хост злоумышленника (и обратно), также находящегося внутри сети. Весь трафик, бегающий между любыми хостами сохраняется активным оборудованием в огромный лог, из которого легко можно узнать кто, когда, куда и какие данные передавал.

При обнаружении трояна вам необходимо сделать так, что даже имея в наличии его код и весь трафик сети, нельзя было доказать, что он вообще передавал что-либо. Иными словами, невозможно было доказать, что ваш троян это троян, а не асечный клиент. Как-то так.

Нет, это не юридический вопрос, ровно как и не вопрос доказания вины вирусописателя, это, я считаю, — инженерная задача. Мое мнение, что в теории решения нет. Возможно, я ошибаюсь.

Поэтому, одним пользователям Хабра предлагаю поразмышлять о теории, другим — предложить практические варианты решений: как хотя бы максимально усложнить доказательство функционирования трояна, если вдруг в теории задача не решается вовсе.

Проблема в большей степени теоретическая, о реальном применениии НЛО мне ничего не говорило.

Как решить эту задачу? Актуальна ли она? Какие технологии, помимо шифрования, применимы для сокрытия объекта? Не надо листингов на асме, лучше опишите словами.

Постскриптум (оффтоп)


Если бы эту задачу привел кто-то другой, я бы решил что это чушь. Но, зная, какую квалификацию имел ms-rem, а слов он на ветер не бросал, смею утверждать, что проблема интересна, а решение ее — познавательно.

Несколько слов об авторе.

Мне повезло. Так сложилось, я знал Романа (ms-rem) лично. Это был гениальный системный программист, гуру своего времени. Да что там говорить, достаточно почитать его статьи. У него на компьютере были залатаны уязвимости, которые, еще не были опубликованы Microsoft. Он сам дебажил, находил и фиксил. Не верите? Я тоже не верил. Глядя на таких увлеченных людей, хочется взять горы книг и статей, забуриться в деревне и заниматься, заниматься заниматься самосовершенствованием.

Многие публикации были, так или иначе, связаны с программированием на нулевом кольце, драйверами, моделями памяти Win NT и защитой программ.

А его знаменитый crackme так и не был никем сломал.

По неподтвержденным данным, ms-rem погиб в автокатастрофе в январе 2007 года. Хотя, многие утверждают, что он просто красиво ушел со сцены. Что же, это его право. Как бы там ни было, его ник после этого замолчал навсегда. Возможно, он даже прочитает этот пост.

Напоследок цитата с одного форума:
Логичный конец, но думается что это смерть ника, но не реального человека. Но кажется под этим ником мы его больше не увидим, возможно появится под другим, но уже не выделяясь как яркая звезда на небосводе. Ну чтож
в инэте тоже свои легенды, свои святые, свои герои...


Спасибо за внимание. Пожалуйста, высказывайте свои мысли по сабжу в комментариях.
Tags:
Hubs:
+60
Comments 187
Comments Comments 187

Articles