Скачать файл? Нет, спасибо!

Изображение пользователя Lisiki.
17 февраля на официальном сайте бомбуса появился следующий текст:
ВНИМАНИЕ!!! Ларец Пандоры
модифицированный Bombus-Pandora-Project содержит в себе набор троянских функций.
НАСТОЯТЕЛЬНО РЕКОМЕНДУЮ УДАЛИТЬ С ВАШЕГО ТЕЛЕФОНА ДАННУЮ ВЕРСИЮ BOMBUS!
Я (Евгений Стахов, evgs) не распространяю версии Bombus, содержащие недокументированные вредоносные функции. При использовании указанного инструментария, Bombus, собранный из публичного SVN, идентичен выкладываемому мной на сайте.
Информационный повод небольшой, но лисики сильно удивились. Все что мы тут написали - это такой пользовательский взгляд на проблему.
Ниже в тексте приводятся цитаты из разговоров: с Evgs (разработчик Бомбуса), Paragon (он же Форбб, автор модификации Pandora).

Что такое модификация программы? Версия, основанная на оригинальном коде, отличающаяся по функционалу/оформлению, разрабатывается паралелльно базовой программе (иногда и основная разработка уже прекращена). Наличие модов безусловно говорит о популярности исходной программы. (Здесь отлично смотрелась бы статистика по бомбусу на jabber.ru).
Lisiki: Много ли модов? Тебя это радует/огорчает/безразлично?
Evgs: существует множество модификаций с небольшими изменениями, начиная от замены скина или смайлов. Но я обычно использую термин мод в смысле "сильно изменённый исходный код, отличие более 100 строк, имеющий достаточно большое количество пользователей". На сегодняшний день это мод от AD, и мод Bombus-Pandora-Project.
Я отношусь к существованию модов положительно. Часть функций, появляющихся в модах, переносится в основную версию. Часть функций отвергается по идеологическим соображениям.
(например, я не хочу превращать Bombus в своего рода операционную систему, содержащую mp3-плеер, читалку текстов, файловый менеджер, календарь критических дней, ну и конечно оперу, дополнительно к основной функции обмена сообщениями и информацией о присутствии)
Пандора - это мод бомбуса, с встроенным бэкдором. Внесенные изменения позволяют получить доступ к некоторой пользовательской информации по заранее заданным командам.

Одна из команд выдает логину/пароль на джаббер ID. Правда, похоже, функция встроена для порядка, волны пострадавших не было.
Возможность сменить статус в конференции (если троян стоит на телефоне администратора или оунера). Жалобы на украденную конференцию встречались часто.
Paragon: Троян сразу был. Ну с 9нваря... Когда у меня таки захватили конфу. Мне не обидно. Но 5оявилась жажда мести
lisiki: Paragon: что за история с захватом конфы, расскажи?
Paragon: Я сам особо не в курсе. Просто сидел дома. Позвонили. Сказали, что конфу сломали. Зашел. Там з... хозяин..
Paragon: В принципе поговорили с ним-вернул. А 11 февраля конфу снова захватили. Уже командой
lisiki: Paragon: а как захватили? идеи есть?
Paragon: Идеи возникли сразу. Один из захватчиков упомянул, что трудился около 2х часов.
Paragon: Брутом за 2 часа вполне можно подобрать примерно 6-значный цифровой пароль
Paragon: Был даж заказчик. Его я даж иногда вижу. В принципе хочется убить заразу :-[
Практически благородная борьба, а не противозаконное проникновение. Да?
Эй, что вы думаете о троянских программах?

Реальная заявка на ответственность по УК заложена в другую функцию. Пандора дает совершать звонок с телефона жертвы (на себе не проверяли, кстати, дайте ссылочку на мод). Нанести материальный ущерб звонками очень просто. И тут вступает в дело один из плюсов джаббера - анонимность пользователей.
Можно ли найти Форбба, чтобы подать на него в суд?

Как бороться?
Сейчас ссылка на пандору убрана.
lisiki: как с твоей точки зрения разработчик может предотвращать такие штуки со своим софтом?
Paragon: Только воздействием на источник.
lisiki: ну вот например на тебя какое может быть воздействие?
Paragon: По другому врядли. Я мягкий характером, поэтому в следующих версиях пока будет одна команда
А если мститель опять обидится и положит ссылку обратно?
Lisiki: - Что ты можешь сделать в такой ситуации? Как можно предотвратить в будущем такие штуки?
Evgs: В данном случае достаточным оказалось требование убрать из публичного доступа содержащий троянца мод. Также должно сыграть свою роль объявление о "моде с закладками", висящее на официальном сайте. Для предотвращений повторения данных ситуаций мне, возможно, придётся изменить лицензию, под которой распространяются исходники - с достаточно либеральной и краткой BSD-License на более строгую (например, на GPL), требующую предоставлять доступ к исходным текстам, а не только разрешающую распространять модифицированные бинарники. p.s. авторам модификаций не стоит забывать о существовании ст. 273 УК РФ (Создание, использование и распространение вредоносных программ для ЭВМ)
Проблемы на самом деле не существует. Т.е. все что нужно - умение оценить незнакомый софт на безопасность (критерии: все пользуются, лично знаю автора, выглядит красиво, порекомендовали на авторитетном ресурсе).
Любой социальный взлом рассчитан на отсутствие мысли у жертвы. Нет мыслей - нет вареньица.

Опубликовано Lisiki в вт, 2007-02-20 14:45. categories [ ]
Изображение пользователя ad@xmpp.ru.

Спасибо за статью!

Опубликовано ad@xmpp.ru в вт, 2007-02-20 19:50.

Восхищен изложением!

Изображение пользователя Ai-at-jru@jabber.ru.

+1

Опубликовано Ai-at-jru@jabber.ru в ср, 2007-02-21 20:38.

+1

Изображение пользователя Lisiki.

Даешь новости!

Опубликовано Lisiki в ср, 2007-02-21 22:15.

Даешь новости!

Изображение пользователя Lisiki.

Лелеем

Опубликовано Lisiki в ср, 2007-02-21 22:15.

Лелеем тщеславие, спасиба:)

Брут для Jabber?

Опубликовано himtosh@jabber.ru в ср, 2007-02-21 20:41.

Quote:
Paragon: Идеи возникли сразу. Один из захватчиков упомянул, что трудился около 2х часов.

Paragon: Брутом за 2 часа вполне можно подобрать примерно 6-значный цифровой пароль"

А разве уже существует софт для подбора паролей к Jabber аккаунтам?
Не слышал, не встречал.

Изображение пользователя Lisiki.

Да написать

Опубликовано Lisiki в ср, 2007-02-21 22:15.

Да написать что-то для перебора паролей - дело вовсе нехитрое.
Вопрос-то другой:) Речь идет о том, что конфу сперли, а не jid. Что такое пароль на оунерство? Ты знаешь где его вводить? Мы нет.
Про то, что "сволочи такие, увели jid" ни слова. Человеку на jid абсолютно плевать? А на конфу нет?

Ну речь то шла о

Опубликовано himtosh@jabber.ru в чт, 2007-02-22 15:00.

Ну речь то шла о пароле, следовательно этот пароль от jid'a одного из овнеров. (А от чего же еще?)
Думаю, автор подразумевал именно это. А картина была примерно такой: "Хакер" каким-то образом узнал пароль от жида овнера, зашел в конфу, добавил в список овнеров свой жид, убрал все остальные и свалил по-тихому. Спустя некоторое время зашел под своим жидом и гордо сказал "Я сломал вашу конфу". "Хакеру" нужна конфа, а не его jid. :)

Изображение пользователя mcsim@jabber.ru.

типа украсть

Опубликовано mcsim@jabber.ru в чт, 2007-02-22 15:50.

типа украсть ключи от банка чтобы повесить свой замок на хранилище и написать там матерное слово
это даже не 13 лет, а 10 наверно
--
Saionara

Изображение пользователя zet.

Свалить

Опубликовано zet в пт, 2007-02-23 16:58.

Свалить "по-тихому" не удасться. Презенсами запалишься :)

Эхехе, ну вы

Опубликовано glimm@jabber.ru в пн, 2007-02-26 00:53.

Эхехе, ну вы блин и расписали :) Прям я незнаю, слова то какие умные... Брут... Два часа... А еще и заказчики есть... Ужос, куда мы катимся..

Какое то

Опубликовано Turic@jabber.ru в пн, 2007-02-26 00:21.

Какое то очередное бессвязное описание двух свершившихся событий, между собой имеющих очень мало связи, призванное, как обычно, потешить и без того непомерно раздутое себялюбие горемычной лысыки.
Конфу - утянули, причем, насколько я знаю, без особых проблем. Проще, чем у дитенка конфетку. Брутфорсы, взломы, погони, перестрелки - это все, конечно, клево, но было куда проще.
Троянский клиент? Да, проблема. Но, опять же, очень мелкая, как и все в виртуале. Добавили пару фишек в прогу и все. Вредоносный софт, говорите, статья? Ну докажите сперва, что это делалось со злым умыслом, а не просто случайно выложенная в сеть отладочная версия гениального клиента. Очень многое тут зависит от глупости человека - пока он лично не скажет "я сделал это с такими то намерениями" - даже отмазываться не надо, клевещут, проклятые на меня, и все. Законодательство на этот счет либерально. Да и никто из за этих игр в песочнице не полезет разбираться, как будто это нужно кому то.
Ну и вполне понятно, что любой открытый клиент потенциально опасен для такого рода модификаций. А любая открытая для посетителей конфа - для взлома. Вопрос "зачем" неактуален.

Какое то

Опубликовано Turic@jabber.ru в пн, 2007-02-26 00:22.

Какое то очередное бессвязное описание двух свершившихся событий, между собой имеющих очень мало связи, призванное, как обычно, потешить и без того непомерно раздутое себялюбие горемычной лысыки.
Конфу - утянули, причем, насколько я знаю, без особых проблем. Проще, чем у дитенка конфетку. Брутфорсы, взломы, погони, перестрелки - это все, конечно, клево, но было куда проще.
Троянский клиент? Да, проблема. Но, опять же, очень мелкая, как и все в виртуале. Добавили пару фишек в прогу и все. Вредоносный софт, говорите, статья? Ну докажите сперва, что это делалось со злым умыслом, а не просто случайно выложенная в сеть отладочная версия гениального клиента. Очень многое тут зависит от глупости человека - пока он лично не скажет "я сделал это с такими то намерениями" - даже отмазываться не надо, клевещут, проклятые на меня, и все. Законодательство на этот счет либерально. Да и никто из за этих игр в песочнице не полезет разбираться, как будто это нужно кому то.
Ну и вполне понятно, что любой открытый клиент потенциально опасен для такого рода модификаций. А любая открытая для посетителей конфа - для взлома. Вопрос "зачем" неактуален.

Изображение пользователя sfajrat@jabber.ru.

чото

Опубликовано sfajrat@jabber.ru в пн, 2007-02-26 01:26.

а вам не кажется что это боян? Интересно, действительно ли Форб пытался как-то отомстить этому "захватчику" создав пандору? Или он хотел просто на ком-нибудь отыгратся? Думаю в качестве мести захватчику это не катит, это глупость, пудрит он вам моск! На самом деле у него были свои цели... возможно, Стать самым самым павилителем захватчикафф и быть самым самым захфатчикам! =))))
И ышо, интересно, что он имель ввиду зказаф "Я мягкий характером"?

И так, пока по непонятным причинам висит сайт, видимо повис из-за того что на него зашли 3 человека и одновременно написали комент, (слабо, слабо товарисчи админы!!!), я продолжу писать.. итаг, попарядку:

--

Quote:
ВНИМАНИЕ!!! Ларец Пандоры
модифицированный Bombus-Pandora-Project содержит в себе набор троянских функций.
НАСТОЯТЕЛЬНО РЕКОМЕНДУЮ УДАЛИТЬ С ВАШЕГО ТЕЛЕФОНА ДАННУЮ ВЕРСИЮ BOMBUS!
Я (Евгений Стахов, evgs) не распространяю версии Bombus, содержащие недокументированные вредоносные функции. При использовании указанного инструментария, Bombus, собранный из публичного SVN, идентичен выкладываемому мной на сайте.

типа правельна, а то есть такие каторые на аффтара бомбуса попрут с претензиями.

--

Quote:
Информационный повод небольшой, но лисики сильно удивились. Все что мы тут написали - это такой пользовательский взгляд на проблему.

давно уже можно было ожидать подобного, жаль что тех кто до этого догадались мало.

--

Quote:
Lisiki: Много ли модов? Тебя это радует/огорчает/безразлично?
Evgs: существует множество модификаций с небольшими изменениями, начиная от замены скина или смайлов. Но я обычно использую термин мод в смысле "сильно изменённый исходный код, отличие более 100 строк, имеющий достаточно большое количество пользователей". На сегодняшний день это мод от AD, и мод Bombus-Pandora-Project.
Я отношусь к существованию модов положительно. Часть функций, появляющихся в модах, переносится в основную версию. Часть функций отвергается по идеологическим соображениям.
(например, я не хочу превращать Bombus в своего рода операционную систему, содержащую mp3-плеер, читалку текстов, файловый менеджер, календарь критических дней, ну и конечно оперу, дополнительно к основной функции обмена сообщениями и информацией о присутствии)

диствительно, бомбус это месенгер, так шо нинада туда пихать мп3 плееры на яве. ишчто.. интересно каким образом функции из модов переносятся в основную версию, видима аффтар оффа даж и не спрашивает, таким образом возможно были найдены и троянские функции када аффтар оффа решиль перенести очередную функцию в офф, этот самый "бэкдор" =) (слово то какое умное).

--

Quote:
Пандора - это мод бомбуса, с встроенным бэкдором. Внесенные изменения позволяют получить доступ к некоторой пользовательской информации по заранее заданным командам.

Одна из команд выдает логину/пароль на джаббер ID. Правда, похоже, функция встроена для порядка, волны пострадавших не было.
Возможность сменить статус в конференции (если троян стоит на телефоне администратора или оунера). Жалобы на украденную конференцию встречались часто.

если бы начали жиды тырить то быстро вычислили бы, а это никому не надо, даже тем хто кроме форба зналь о этих функциях. Конфы были "украдены" (их нихто не краль ;)) не обязательно этим способом, так шо... остальные функции были сделаны видимо ради прикола.

--

Paragon: Троян сразу был. Ну с 9нваря... Когда у меня таки захватили конфу. Мне не обидно. Но 5оявилась жажда мести
lisiki: Paragon: что за история с захватом конфы, расскажи?
Paragon: Я сам особо не в курсе. Просто сидел дома. Позвонили. Сказали, что конфу сломали. Зашел. Там з... хозяин..
Paragon: В принципе поговорили с ним-вернул. А 11 февраля конфу снова захватили. Уже командой
lisiki: Paragon: а как захватили? идеи есть?
Paragon: Идеи возникли сразу. Один из захватчиков упомянул, что трудился около 2х часов.
Paragon: Брутом за 2 часа вполне можно подобрать примерно 6-значный цифровой пароль
Paragon: Был даж заказчик. Его я даж иногда вижу. В принципе хочется убить заразу :-[

мальчик ваще явна ненает шо говорить, то сразу, то с 9го января. сранно иму ниабидно, но атамстить он желаеть и видимо рьяно этого желает, хоть кому-то, главное отомстить. как говориль о таких людях мой бывший пребод по схемотехнике "люди чего либо лишённые в раннем возврасте". Радует слово "сломали", проста ниможед нирадовать. А хто позваниль? бывшие члены позвонили, им тоже хотелось атамстить и убить "заказчика". Ну мало ли чего он упомянуль, сказать монжно многое, лапшу мы вешать все умеем. Сранно, это каким надо быть %№%№№% шобы ставить шестизначный цифровой пароль? А заказчик, типа он заплатиль за взлом? ухх.. ну и бредь. интересно где он его видит? небось на улице, када идёть в магазин за малаком. Ну надавал бы тада ему пи№@#@, все мы говорить умеем.

--

Quote:
Практически благородная борьба, а не противозаконное проникновение. Да?
Эй, что вы думаете о троянских программах?

Реальная заявка на ответственность по УК заложена в другую функцию. Пандора дает совершать звонок с телефона жертвы (на себе не проверяли, кстати, дайте ссылочку на мод). Нанести материальный ущерб звонками очень просто. И тут вступает в дело один из плюсов джаббера - анонимность пользователей.
Можно ли найти Форбба, чтобы подать на него в суд?

интересна, чё ишо за благодарная борьба то такая? во имя чего? что мы думаем, что мы думаем это что-то типа секрета, хотя нет.. не секрет, без взлома жить низя, и давать такие программы кому попало тоже низзя =) странно, найти можно, а ф суд подать низзя, ибо это недоказуемо, хотя если сейчас к нему на хату припрёцца опер отряд и найдёт на компе сырцы пандоры, то доказать можно, но.. кому это надо? пусть соберуца те хто пострадали и засудят иво =)

--

Quote:
Как бороться?
Сейчас ссылка на пандору убрана.
lisiki: как с твоей точки зрения разработчик может предотвращать такие штуки со своим софтом?
Paragon: Только воздействием на источник.
lisiki: ну вот например на тебя какое может быть воздействие?
Paragon: По другому врядли. Я мягкий характером, поэтому в следующих версиях пока будет одна команда

ну это ваще ужс... пжалуйста, воздействуйте, но сырцы уже есть сделать очередную пандору рас плюнуть и распространить её по вапу тоже лехко. если это и поможет чем-то, то очень слабо. Будет лицензия, незаконное использование - правонарушение, ну и счас было правонарушение и чо? да ничё нипамочь этому уже никак. тока если вбить быдлонароду что лучше использовать тока офф версии, только так вы можете не подвергатся риску, что в вашем клиенте троян... странно немножко и похоже на фразу для рекламы, но ничего фсёравно это останется толька сдесь =)

--

Quote:
А если мститель опять обидится и положит ссылку обратно?
Lisiki: - Что ты можешь сделать в такой ситуации? Как можно предотвратить в будущем такие штуки?
Evgs: В данном случае достаточным оказалось требование убрать из публичного доступа содержащий троянца мод. Также должно сыграть свою роль объявление о "моде с закладками", висящее на официальном сайте. Для предотвращений повторения данных ситуаций мне, возможно, придётся изменить лицензию, под которой распространяются исходники - с достаточно либеральной и краткой BSD-License на более строгую (например, на GPL), требующую предоставлять доступ к исходным текстам, а не только разрешающую распространять модифицированные бинарники. p.s. авторам модификаций не стоит забывать о существовании ст. 273 УК РФ (Создание, использование и распространение вредоносных программ для ЭВМ)

разплюнуть дать иму новое название, бред это, люди ничего не знающие, бродящие по вап сайтам и ищущие роскошные комбаины будут скачивать иво, ВАП великая сила, не забывайте об этом. ибо почти все узнали именно оттуда о бомбусе как альтернативе аське. по поводу лицензии сказал выше.. надо будет очень много времени чтобы распространить по всему вапу инфу о неофициальных версиях бомбуса (брр... чото я немного не туда попёр, но ничего) ну типа фсякое такое, уберут бомбус с троянцем, придумать новое средство.. даж вот, например, типа хатите иметь анимированные смаилы тогда засунте фаль со смайлами туды и замените тот-то тот-то системный фаиль или там ишо чиво (низнаю ваших умных слов)

--

Quote:
Проблемы на самом деле не существует. Т.е. все что нужно - умение оценить незнакомый софт на безопасность (критерии: все пользуются, лично знаю автора, выглядит красиво, порекомендовали на авторитетном ресурсе).
Любой социальный взлом рассчитан на отсутствие мысли у жертвы. Нет мыслей - нет вареньица.

ну эта типа да, праблемы нед, типа савсем нед.. уметь оценить софт на безопасность нериально, даже када у человека который создал такой софт, пароль из 6-ти цыфарок. "прежде всего твоя безопасность" это слова другого человека.. (миня вроде) мысли у жертвы.. типа ана тупая как сибирскай валенок? и пачимо это нет мыслей - нет вареница? Форб этому критерию совсем никак не соответствут ни каплей своей сущьности.. да и другие многие тоже, никатит это выражение савсем. оно может тока идиницам подходить. и вапче надо говорить не мысли, а иозгофф. ибо мыслить может каждый и мысли есть у каждого, вот.

Изображение пользователя sfajrat@jabber.ru.

Лисики...

Опубликовано sfajrat@jabber.ru в пн, 2007-02-26 01:34.

Лисики, если не секрет, какое направление у этой "стать"? я чото ваще нипоняль "новость", "простая запись в блоге", "интервью с вампиром" или ещё что? чото ни на что из этого не похоже. Тем более на новость!

з.ы. там опечатка "не мысли, а иозгофф", должно быть "не мысли, а мозгофф".

Изображение пользователя magneto@jabber.ru.

Всё в Огне

Опубликовано magneto@jabber.ru в сб, 2007-03-24 21:42.

Дык чего здесь думать ? Создаёш себе новый JID с него регестрируеш себе конфу , прописываеш нужных админов и готово ! Пользуешся постоянным JIDом и никто твою конфу не спрёт !