"Én meg informatikus vagyok és nem mellesleg biztonsági szoftverekkel foglalkozok és azt mondom hogy ez kamu."
En pedig IT-security researcher, es azt nem tudom, hogy a tortenet igaz-e, de azt igen, hogy elvileg nincs a dolognak technikai akadalya.
"1, kapok egy mailt amiben egy program van vagy ugynazt msnen.... Alapból gyanús. A büdös életben fel nem telepitek emailben kapott programot, kivéve ha én magam küldtem magamnak. Hisz eme programok 99.999% virus vagy féreg stb. És ehhez még fbi sem kellet."
... felteve, hogy a bongeszo, levelezokliens, msn kliens, stb. tokeletesen biztonsagos.Es mint tudjuk, nem az..
"a windowsra gyártott tüzfalak (kivéve a beépitett) riasztanak ha valami ki akar menni és én azt nem engedélyeztem."
Ha mar a cucc feltelepult, es valamilyen priv. esc. expoittal system jogokat szerzett, akkor ez mar minden gond nelkul megkerulheto.
"másrészt meg azért mert ez óriási és potenciális biztonsági rést jelentene mindenki számára. Hisz nincs is más dolgom mint irni egy ilyen nevü progit (vagy megnézni hogy pl a norton mi alapján azonosit egy alkalmazást) és a megfelelõ porton küldenem az adatokat."
Azert ez meg bonyolithato. Mi van, ha pl. a binaris md5 hash-enek kell egyeznie, es valamilyen IPC csatornan odaszolni a viruskergetonek, aztan pedig challenge-response jelleggel valaszolgatni nehanyszor jol. Ha ezt direkt nem keresed meg debuggerrel a viruskergeto kodjaban, akkor soha az eletben nem fogod megtalalni. De, mint emlitettem, nincs is ra szukseg.
"a routereken és a szerverek jó részén is linux valamilyen változata van. Ezek tüzfala szintén kiszürik az ilyen módszereket, és ha a srác használta a jó öreg "ami nincs engedve az tiltva van" módszert akkor bizony legrosszabb esetben a linuxos tüzfala fogta meg az kifelõ menõ adatkomunikációt."
Azert az nyilvanvalo, hogy ha adatot akarnak kicsempeszni, nem nyitnak egy tcp connectiont a spy.fbi.gov 1337-es portjara, es zuditjak be az infot xml-ben, hanem valamilyen covert channelt hasznalnak, amit halozati forgalomban nagyon nehez, ha nem lehetetlen eliminalni. Es igazabol mivel egy ilyen "router" buta, mint a tok, ez de meg ennel sokkal primitivebb dolgok (pl. ICMP, vagy DNS-tunnel, half-open TCP connection, stb.) sem utkoznek kulonosebb nehezsegbe.
"Ha mindez nem lenne elég, akkor még ott van az is hogy elég gyanús ha egy alkalmazás elkezdi pörgetni a merevlemezt mindenféle különösebb ok nélkül, vagy hogy a csökken a sávszélességem mert épp küldi ki az adataim."
Amit irnak a cikkben, az nagyreszt elokotorhato kulonosebben feltuno winyoaktivitas nelkul is, az elkuldes mar problemasabb. Ilyenkor egyebkent bevett modszer, hogy behookoljak a hdd vezerlest, es amikor egyebkent is aktivitas van, akkor csinalja a cucc is a sajat muveleteit. Szerintem tul sokunknak nem tunne fel egy +-10%-os elteres, vagy ha igen, akkor sem vagna le egybol, hogy mi az oka.
"Az akciót engedélyezõ bíró ugyanakkor kikötötte, hogy a szoftver kizárólag reggel 6 és este 22 óra között továbbíthatja az FBI-nak az összegyûjtött információkat."
Ennek meg aztán végképp semmi értelme. Vajon 22.01 perckor leállnak az fbi szerverei vagy miért nem küldhet a program...