| RSS



Меню

Bookmark and Share


Статистика
Ваш IP: 54.234.233.157
Вы используете: v





Сейчас на сайте:

Тех поддержка ->

Облако тэгов
ОС видио Tor Обратная сторона антенна 4.6 PHP Эксплоит Windows Server 2008 qip Virtual chroot kernel proc sysctl tune FreeBSD bridge Boot Disk Bluetooth GEO game directx Emulator Python Shell DDoS червь Conficker вирус троян Лаборатория Касперского пиратство apple iPhone ИТ-отрасль Щеголев Microsoft экономический кризис Twitter социальная сеть анонимность Лицензия Open Source ASP.NET MVC уязвимость MySQL база данных файлообмен закон франция пират Skype мобильный Deutsche Telekom Хакер киберпреступник Trend Micro кибератака Германия робот утечка данных персональные данные ноутбук интернет Китай цензура ядро Linux Торвальдс Windows Vista Acer Linux патент браузер Firefox Internet Explorer Opera Net Applications Safari Intel Linux Foundation Moblin Oracle патч банкомат кардер HSM IBM X-Force Cofee сша кибервойна Эстония Dell ИТ-специалист хакерские атаки Pirate Bay контроль кибербезопасность язык программирования The Pirate Bay Пиратская партия утечка информации приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 Баллмер взлом Пентагон ботнет Украина Facebook Cisco cloud Windows XP нетбук торрент музыка биометрический nokia ФБР IP-адрес CIPAV Comcast sms RSA java Google CAPTCHA Symantec спам конфиденциальная информация инсайдер Perimetrix антивирус тест Anti-Malware Windows 7 операционная система Windows провайдер авторское право RapidShare UNIX свиной грипп шантаж дети EFF BluWiki копирайт экстремизм Panda Security cloud computing McAfee Cybercrime Response Unit Bottle Domains HTTPS ICANN студент шпионское ПО Норвегия школьник New York Times XSS YouTube Warner Music кибершпионаж КНДР Ubuntu свободное ПО AMD ATI касперский Россия РФ сервер хостинг фальшивый антивирус Comodo CA Wi-Fi D-Link суд пароль блог фишинг Одноклассники медведев контрафакт мошенник штраф Sony GPS по Gumblar JAVASCRIPT хакеры вредоносное ПО Yahoo ФАС компьютер Софт MPAA кибероружие PandaLabs Red Hat Минкомсвязи сбой ASUSTeK Computer мошенничество Доктор Веб ВКонтакте Cyber-Arc исходный код PCI DSS МВД фильтр порнография BREIN свобода слова Казахстан GEMA Autodesk сисадмин Gmail кредитная карта кибермошенник LiveJournal шифрование криптография Deep Purple банк нанотехнологии Wikipedia zero-day ColdFusion выборы кража данных DNS BIND Android BASIC атака Black Hat Mac OS X Click Forensics Clampi домен фсб Прокуратура Уголовное дело icq Barrelfish киберпреступность Sophos AT&T ошибка Electa Gamma Knife OpenBSD DARPA военные Сайт Visual Studio 2010 .NET Framework 4 Chrome OS электронная почта турция конференция спамер FTC полиция российская ОС Koobface Великобритания БЕЛОРУССИЯ грузия BSA Bittorrent облачные вычисления Azure Европа Dr.Web Билл Гейтс спецслужбы Cryzip Живой Журнал Royal Bank of Scotland смартфон Canonical Pwn2Own F-Secure Symbian Hotmail фильм

Главная » Статьи » Общие Статьи

Занимательная криптоматика
Недели две назад, на выездном заседании нашей глобальной аналитической группы, нормальный процесс пищеварения в мюнхенских пивных, был нарушен одной задачкой, которую мой мозг вывалил на собравшихся, предложив буквально по-быстрому посчитать на салфетках следующее:

Если Conficker.C генерирует 50 000 доменов, а коннектится пытается только к 500 из них, то сколько доменов надо зарегистрировать авторам Кидо, чтобы отдать команды хотя бы 1% ботнета ?

Мозг взорвался. Немцы, румыны, русские и англичане, вспоминали основы высшей математики, вычисляли логарифмы и извлекали корни. Бесполезно. Результаты варьировались от 42, минуя 1700 и доходя до двух в тринадцатой.

Мозговой вирус выполз за пределы ЛК и пошел гулять по умам других исследователей. В понедельник он поразил Микрософт.

Под катом перевод их вычислений.

Birthday Problem and Conficker

"Проблема дня рождения" или парадокс вероятности, заключается в том, что в определенной группе людей двое имеют день рождения в один и тот же день. Парадокс состоит в том, что результат бросает вызов здравому смыслу. Для группы из 23 человек, вероятность того что у двух из них совпадут дни — составляет более чем 50%, а для группы из 57 человек — более чем 99%.

Самое известное использование этого парадокса, возможно существует в криптографии и известно как "Birthday Attack". Эта атака использует математическую уязвимость описанную в парадоксе и позволяет искать коллизии в маленьких группах данных, с гораздо большей вероятностью, чем ожидалось.

Недавно я столкнулся с другим использованием этого же парадокса — в случае с печально известным Conficker. Тут использование статистического парадокса отличается — с целью сделать борьбу против червя более тяжелой.

Суть проблемы: каждый день они обладают пулом в 50 000 URLs, из которых каждый инфицированный компьютер выбирает 500. Общее число возможных выборок — гигантское. Это число имеет 1,215 цифр в десятичном представлении и его даже трудно привести здесь полностью.

Регистрация всех этих доменов является невероятно трудной задачей и здесь лежит сила упомянутого статистического парадокса. Проблема заключается в том, что надо найти вероятность того, что в случайной группе из 500 доменов, найдется хотя бы один из более маленького набора.

Тут идут примерно такие непереводимые формулы:

As we see, the second element is a product of sub-unitary numbers, which decreases towards 0 as we increase the number of elements (m). As a matter of fact, each element in the product is smaller than the first element (n–k)/n (trivial to prove under the assumption 1=j=m=n-k) resulting in the following approximation,

that is closing to 0 faster than an exponential. This means that our probability can be approximated with the following formula

В общем, результат наших вычислений довольно удивителен. Если зарегистрировать 50 доменов, то шанс составит 39,514%, а если зарегистрировать 500, он составит 99,359%.

Таким образом, имея только 1% из общего пула (50 000) возможных доменных имен, вы имеете доступ к 99% ботнета Кидо.




По горизонтальной оси указано количество доменов, а по вертикальной  — шансы на то, что компьютер инфицированный Kido, попробует получить доступ к одному из доменов в данной выборке.

Это показывает важность блокирования возможных доменов, как можно большего числа из всех возможных 50000 каждый день. Один пропущенный URL уже дает вероятность в 1%.

Выборочная блокировка некоторых URL имеет ограниченные преимущества, из-за того что общий пул крайне велик, а число URL необходимых для использования 100% ботнета — относительно мало (отличается минимум на два порядка).

"Хорошие парни" могут использовать знание этого парадокса "Дня Рождения" в своих целях — он может дать средства для оценки реальных размеров эпидемии Кидо в мире. Регистрируя ограниченное число доменов можно наблюдать за входящими запросами и зная шанс на коннект именно с этим URL, можно экстраполировать эти данные в общее число зараженных машин.

Продолжение статьи с математическими формулами и таблицей вероятностей — по ссылке.

P.S. Все равно, 500-600 доменов в день — это дофига. Основные дела будут делаться через P2P.
Категория: Общие Статьи | Добавил: aka_kludge (30.04.2009)
Просмотров: 2568 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
    Главная      
...
На службе : дней

19:06
Обновить


Пользователи
aka_kludge
qwerty
LeadyTOR
aka_Atlantis
AdHErENt
mAss
Sissutr
hiss
DrBio
tHick

Поиск


Copyright tHR - TeAM 2024 г. admin: aka_kludge (ICQ:334449009) Moderator's: LeadyTOR, ... Яндекс.Метрика