Xenomorph » Статьи » Иннова и Frost
18 июля 2011; 22:18

Иннова и Frost

Категория: Статьи

Вполне себе детективная IT история о том, к чему приводит самоуверенность и безалаберность, или как «утекли» исходники Frost

А так же — игры интеллектов, подковерные компьютерные войны и «кто еще пасется на вашем компьютере», и каким образом разработчики Фроста занимаются темными делами ;)

Не искажая слов источника, просто Ахтунг!!! Исходники фроста!!!



В качестве короткого вступления, отмечу что на этот раз я постараюсь быть куда менее эмоциональным чем в прошлый раз (ибо в данном случае намного эффективнее более сжатая подача материала).

Ввиду блокировки моего аккаунта на habrahabr администрацией (имеют полное право – ресурс частный), продолжение могу писать только сейчас.



Помните комьютерную игру Life?

Многие даже сами пытались такое писать в детстве.

Так вот – похоже что компьютеры клиентов «Инновы» как раз превращены в этакое поле боя для «Life» — хакеры сражаются за контроль над ботнетом “Фроста”, и это все живет своей жизнью.



Для тех, кто не читал мою предыдущую публикацию (http://habrahabr.ru/blogs/i_am_angry/122973/– только для зарегистрированных пользователей), коротко поясню.



Существует программный продукт FrostSecurity (не пугайтись содержимого сайта, ролик рисовали тоже Ереванцы), разрабатываемый и (главное) контролируемый в Ереване, который установлен на сильно более чем 3 миллиона компьютеров в России и СНГ (число зарегистрированных пользователей по уточненным данным – более 10 миллионов).



Для регистрации надо поставить «Запускатор» (тоже разработанный в Ереване), который в свою очередь ставит «Фрост»…

Итог: мы смело можем говорить о 10 миллионах зараженных клиентов, и 3-х миллионах из них — активных (это – официальные данные «Инновы»).

Сам Фрост обладает 100%-м контролем над компьютером клиента (работая на ring0 (уровень ядра), и не обнаруживаясь по разным причинам антивирусами – белые списки, рекомендации отключить антивирус, и тд).

Замечу, что само по-себе — это не криминально, но это очень мощное оружие защиты и нападения.

Проблема продукта не только в том, что сама компания-владелец имеет полный контроль над этой многомиллионной сетью (фактически, мы можем говорить о rootkit установленном принудительно на компьютеры всех клиентов компании — которые зачастую играют с рабочих мест в самых различных организациях, включая государственные), но и в том что вся разработка продукта ведется крайне безграмотно и безалаберно.

Фактически, из всей защиты, разработчики полагаются только на то, что никто не узнает как Frost работает (включая «гениальные» самопальные криптоалгоритмы) – а это означает, что в теории (и как оказалось – уже на практике), контроль над этой сетью (можно ее называть botnet, ибо ваши компьютеры превращены в контролируемых удаленно ботов) возможен не только Ереванцами, но и злоумышленниками (да и просто веселыми ребятами).

Практически гарантированно, что контроль уже перехвачен (точнее – осуществляется параллельно разными группами.) и Фрост работает над решением множества различных задач (включая, возможно – вполне себе криминальные).

Судя по тому, что происходит внутри Инновы сейчас, для разработчиков Фроста это все (моя публикация) стало огромным (надеюсь, приятным) сюрпризом, с чем могу их и поздравить.
Меньше надо по девушкам гулять, господа, а больше – думать и работать.

Надеюсь, никто из разработчиков Фроста физически не пострадает – ибо я даже не хочу думать, разборки какого уровня там сейчас идут.

Что еще более интересно, с огромной вероятностью (данные будут ниже в этой статье) — эти самые разработчики Frost сами занимаются нелегальной деятельностью, приторговывая FrostKiller (средством «обхода» Фроста и возможностью запуска АвтоБотов).

Вот тут пользователи FrostKiller сделали ролик - www.youtube.com





Тут я уж не знаю, действует ли руководство «Инновы» по принципу «если теневой рынок нельзя победить – надо его возглавить», или оно просто глубоко ошибается, начав компанию травли против группы лояльных инженеров, cделав при этом тотальную ошибку с адресатами…

Реальные утечки и вредоносная деятельность происходят на гораздо более глубоком уровне (а главное – это делают свои, которым априори доверие 100%).

Как разрабатывается Frost?

Учитывая, что продукт работает на нулевом уровне, непосвященному кажется продуманным и грамотным…

Читатель видимо себе вообразит большой хороший офис c множеством уровней безопасности, лаборатории по анализу ботов (ведь Фрост разработан именно для борьбы с ними), сотрудников чуть ли не в белых халатах, прекрасное оборудование и самые современные технологии…

Помните попугая Кешу?
«Таити? Да был я на вашем Таити»

«Я представлял Ереван красивым, аккуратным и зажиточным городом.»

Вот и я – прилетал один раз на день в Ереван к разработчикам Фроста (это было в самом начале сотрудничества, тогда когда я еще не успел задать им множество неудобных вопросов и стать очень неудобным человеком).

Реалии — куда печальнее.

Пару комнатушек, никакой физической безопасности (просто квартирка в каком-то жилом здании), самосборные компьютеры, циска 5-лейтней давности как роутер…
Говорят, не так давно сменили офис. Но сути это не меняет ;)

Ребята – веселые: солнце, шашлык, вино, девушки, стрип-клубы…. Какая уж там работа!

К чему я все это? На самом деле это имеет первостепенное значение – а именно – глубочайшая самоуверенность вкупе с потрясающим разгильдяйством.

Поясню: представьте, что разработчик антивирусов (например – работающий Касперский Labs), запускает (вполне осознанно, зная что это такое) одного из лучших известных троянцев у себя на компьютере, при этом не имея никаких средств защиты и (!!!) имея полные исходные тексты всего антивируса у себя на компьютере (на сетевом диске, не важно).

Представили? Сложно? В голове не укладывается?

Правильно, это практически невозможно представить, ибо даже грамотный школьник понимает что так делать нельзя, не говоря о взрослых профессионалах / разработчиках систем безопасности.

Как делать можно и нужно?

Самый худший вариант (из допустимых) – это создание виртуальных машин и изучение всяческой «заразы» именно там, c блокировкой доступа к сети (или – 100% контролем над передаваемыми данными) и прочими стандартными мерами безопасности.

Как делать лучшим образом?

Отдельная лаборатория, изолированные тестовые компьютеры, отдельная сеть (как минимум логически изолированная от основной – VLANы и прочее), мощные IDP / IDS на маршрутизаторах со 100% логированием трафика….

Уверен, что основная масса читателей здесь это все прекрасно понимает и вдаваться в подробности просто не требуется.

А теперь (это феерично, поверьте! просто праздник души какой-то.) — как поступают разработчики из Еревана?

Покупают через онлайн системы платежей – это очень важный момент -АвтоБота, лучшего и единственного реально рабочего.

Бороться с ним собрались – надо изучить и все такое.

Этот Бот, в свою очередь, написан лицами для которых славянская языковая группа является родной :), будем называть их кодовым словом «светлые» (ибо они на стороне сил добра).

После покупки и скачивания, Ереванцы тут-же запускают его у себя на компьютере, прямо на одном из тех где ведут разработку FrostSecurity.

Безусловно, при этом — отключены антивирусы, системы безопасности (да и нет их у них), нет IDP и прочего (ибо как же иначе все это анализовать?).

(

Для не-игроков – я должен пояснить, что такое АвтоБот в этом случае.

Автобот – это программа, которая автоматически контролирует вашего игрового персонажа и «прокачивает» его, тем самым лишая игровую компанию существенной части прибыли.

Пока вы спите – ваш персонаж “качается” бесплатно.
Вечная борьба игроков с жадностью игровых компаний.

Сама по себе LineAge2 (приносит более половины прибыли «Иннове») – продукт бесплатный.
«Иннова» зарабатывает именно на продаже дополнительных «вкусняшек» для быстрой прокачки персонажей (иначе в игре надо дневать и ночевать).

Как результат, если запуск и работа АвтоБота успешны, у игрока вообще пропадает интерес платить деньги за всякие дополнительные «плюшки» и доходы компании (в данном случае – «Инновы») резко падают…

)

Нет, ну правда – феерично?

Дальнейшее – скажите, вы сами догадались, да? :)

Простые, но очень умные ребята (они физически не в России, не достать), реально понимая (ковырялись в протоколе Фроста и поняли что написано оно далеко не гениально) безалаберность разработчиков Фроста, просто встраивают в своего АвтоБота (понимая что оные разработчики обязательно его запустят для изучения) систему обнаружения наличия исходных кодов Фроста на компьютере и мгновенного скачивания оных в «славянский» центр обработки данных…

Это, как в итоге оказалось, было очень несложно, ибо Иннововские Ереванцы зачастую забывали стирать прямые ссылки на место расположения исходников из бинарных файлов / протоколов обмена (например «D:/Tigran”… и т.д.) – в общем, зацепок было предостаточно.

Замечу, что (по описанию «светлых») – вообще долго ждать не пришлось, все случилось достаточно быстро.

Бум! И исходники слиты. Что в Ереване даже никто не заметил.
Видимо, в стрип-клуб торопились.

Для тех кто не увидел в начале статьи — повторяю присланный скриншот



Кстати, IP адрес из логов мне очень знаком – он реально принадлежит Ереванскому офису.

В принципе, я даже не успел посмотреть все остальные данные, но уже понял что все это правда, исходя из того что сторонним людям просто никак не может быть известен этот адрес.

Бинго, как говорится. Джек-пот.
Наживка проглочена и рыбка (тут скорее не рыбка – целый кит, речь идет о рынке с ежемесячным оборотом в десятки миллионов долларов) поймана.

Ребята честно сами удивились что это было так просто.

Хорошо, что именно эти ребята сделали все ради развлечения (игры разума), но у меня почему-то есть глубокая уверенность (ввиду того как просто это было сделать) что такой финт провернули далеко не только они (тем более что жаждущих конкурентов на этом рынке много).





Тигран, ты звезда!

(Отступление: обратите внимание, как вольно Иннововские Ереванцы обращаются с GPL лицензией…
Это – очень юмористическая ситуация, ибо фактически они сами сделали так что распространение исходных кодов является законным.

Думаете, это сделано специально и они так любят GPL?

Да плевали они на этот GPL с высокого турецкого Арарата, цель проста – при загрузке модулей с другой (не GPL) лицензий ядро Линукса (сам Линус Торвальдс настаивал на этом) сильно ругается и приносит неудобства (нельзя линковать), и разработчики фроста не нашли ничего лучше чем везде тупо лепить GPL лицензию ( с идеей «все равно никто не узнает»)

Cмотрите “Linus rejects the idea of non GPL kernel modules

Нарушают ли Ереванцы GPL? Думаю да, но это виднее юристам, хотя вообще это одна из самых «мелких шалостей» этих ребят.

)

Почему вообще «светлые» вышли на меня и зачем все это рассказали?

Как я понимаю, они тоже оказались возмущены тем беспределом что творится, и проявили то самое славянское единство которого нам всем очень не хватает.

Если Фрост может качать любые данные с компьютеров где установлен, то почему не скачать сам Фрост с GPL лицензией с компьютеров где он разрабатывается? ;)

Слава им не нужна, мало того – для них эта публикация – ненужные риски, но они пошли на это, за что я им очень благодарен.

Так случилось, что после моей первой публикации «cлавяне» начали сопоставлять некоторые факты, и в результате – сделали удивительные открытия, которыми поделились со мной.

Cобственно, я на это и рассчитывал – появились свидетельства того, что Фрост (помимо принудительной инсталляции на миллионы компьютеров) – написан крайне безалаберным разработчиками и обязан быть дыряв.

Что не только не умаляет его опасность, но кардинально увеличивает.

Не ожидал впрочем, что подтверждение этому будет получено столь быстро.

По слухам, в андреграундной тусовке сейчас большой «шухер», и многие очень недовольны тем, что стало известно про утечки исходников Фроста.

Собственно, я делаю Иннове огромное одолжение, доводя эту информацию до них и до публики, у которой на компьютерах вполне вероятно уже резвится множество заинтересованных лиц.



Закончилась ли на этом история? О нет, это только начало.

Далее мы будем говорить о том, что кто-то из Иннововских Ереванцев (страна должна знать своих героев), или все они вместе – как минимум, занимались диверсионной работой против собственной компании, как максимум же – совместно с Геворком Саркисяном подрабатывали «теневым» образом (а это – очень большой рынок с большими деньгами – мы говорим о миллионах игроков. Даже если с 10% из них собрать по 10 долларов… Ну, вы понимаете.).

Итак, наши Ереванские герои (работники холдинга «Иннова») (я пишу по-английски, ибо не хочу обижать людей неправильным написанием фамилий по-русски – опять будут обвинения ненужные):

Ashot Petrosyan
Artur Balagyozyan
Nerses Ghevondyan
Rafael Soghomonyan
Sevada Gyurjyan
Tigran Abrahamyan
Vahan Toghanyan


Это не все, но основные действующие лица.

Я не могу с уверенностью говорить, что все они замешаны в криминале — это уже пусть другие выясняют.

У меня вообще есть глубочайшие сомнения, что «Иннова» подаст эту информацию в отдел «К» например — им это очень невыгодно, но некоторые выводы сделать я все же могу.

Итак, на чем «спалились» разработчики Фроста?

Все гениальное просто (и это — опять же феерично, я не могу подобрать другого слова).

Если коротко – то оплату разработчикам АвтоБота («светлым») делали с того же кошелька, на который принимались платежи за продажу АнтиФроста (FrostKiller – см. выше), и АвтоБот затем (проплаченный с этого же кошелька) качали именно с IP адреса Ереванского офиса «Инновы» на тот самый компьютер с которого были скопированы исходники Фроста. Круг замкнулся.

FrostKiller – это программа, которая может обходить фрост и позволяет заниматься “ботоводством”…

Интересное “совпадение”, не правда ли?

Как вы понимаете – это черный-черный «нал», и с него проценты (очень большие) от прибыли платить NCSoft’у (компания продукты которой и кормят Иннову)– не надо, не говоря о налогах государству.

Еще одно Бинго!

Далее — уже нет смысла удивляться (как делал я раньше, был наивен).

Геворк. по необходимости, доставал из сейфа миллионы рублей и раздавал в нужные руки. Лично видел.

Опять же, за «крышу» надо платить… А по белой бухгалтерии такое не проведешь, да?

***

Как «светлые» вообще заподозрили что тут дело нечисто?

Не удержусь, дам выдержку из нашего диалога :)

«1. бот тащщит сурсы (заодно о###аем с айпи с которого льюццо сурсы)
2. смотрим что за акк юзается на боте который тащит сурсы
3 смотрим номера платежей в системе интегратора связаные с этим аком
4 спрашиваем у консультанта платежного интегратора инфу по платежу
5 лезем на вм
6 ник в вм больно похож на читсофт для л2.ру
7. спрашиваем у тех кто покупал софтину, чтобы они подтвердили кошелек»

Расшифровка?

Да просто они подумали логически (ибо с логикой все в порядке) – кто, как не разработчики Фроста, лучше всего знают как его обходить? (уж больно виртуозно работал FrostKiller, без единой проблемы).

Начали «копать». Учитывая легкость, с которой до этого были уведены исходники Фроста, они не очень удивились, когда увидели еще более интересные совпадения…

Следы вели (вы уже догадались?) в Ереван!

Ну что тут еще скажешь? Осталось только привести некоторые логи, скриншоты и переписку…

Смотрите и наслаждайтесь:

График платежей за FrostKiller (webmoney) — как видите, весной (когда начался скандал), резко начали падать продажи (закрываться бизнес?)



(обратите внимание на крупные «зарплаты» — январь, февраль, март, когда фросткилер якобы свернул деятельность)

Номер кошелька о котором мы говорим (ведь найдутся желающие проверить, да?): R380128822881

Логи переговоров с onpay (как вытаскивали данные из них о том кто же реально совершал платеж):



Логи и суммы платежей (а так же — знакомый уже вам IP адрес офиса Инновы в Ереване и никнейм)



Самый внимательный читатель конечно же спросит: а где видно что платежи за FrostKiller принимались именно на указанный кошелек?

На самом деле — это могут подтвердить все те кто покупал этот самый АнтиФрост и платил деньги на WM :)
Ибо автор антифроста в качестве платежных реквизитов давал именно этот кошелек.



Cухой итог: похоже, все еще только начинается.

Мне кажется, что «Фростом» сейчас займется еще большее количество профессионалов, и всем участникам рынка будет очень-очень весело.

Невесело будет только простым пользователям, у которых шут его знает что творится на их компьютерах, но тут моя совесть чиста – информация в ФСБ была подана полгода назад (и долгое время не распространялась по их просьбе) – я реально предупреждал всех что такое возможно.

Владельцев “Инновы” я тоже неоднократно предупреждал о том, что Фрост опасен и команда разработчиков просто неадекватна. Но я – не свой.

Управлению «К» / «БСТМ», сотрудничающему с Инновой по различным вопросам – им явно в любом случае не до этого всего…

Безусловно, всегда найдутся те кто будет шуметь «не верю» (есть категории людей, которых даже если к стенке поставят – все равно будут до последнего кричать «доказательств!»), но это вполне нормальное явление – моя задача донести информацию до грамотных и думающих людей.

С уважением, Шапошников М.К.

p.s. всех поздравляю с увольнением одного из самых коррумпированных чиновников в России — первого заместителя главы бюро специальных технических мероприятий МВД РФ генерал-майора милиции Константина Мачабели

p.p.s. Люди начали работать :)

Уже даже нашли кто такой ksanderhar

Aleksandr Harutyunyan

Works at Innova Systems

Studying CIS at American University of ArmeniaLives in Yerevan, ArmeniaKnows Armenian, Russian, EnglishFrom Yerevan, Armenia

Теги: Innova, Frost, запускатр

© habrahabr.ru

<
alice2k

18 июля 2011 22:27

Информация к комментарию
  • Группа: Гости
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Читал эту историю, по rss.
Там короче подстава. Уволенные работники всякую чушь стали писать.
Очень много срача, демагогий в жж, постов и т.д. Погуглите, если проанализировать, то более менее понятно, что антипиар.
А еще, этот пример фроса, мне запомнился тем, что даже скайп-конференции, опасны. Ибо их могут выложить в паблик легко.
<
XenoMorph

19 июля 2011 00:01

Информация к комментарию
  • Группа: Администраторы
  • Регистрация: 4 октября 2007, 09:28
  • Статус: Пользователь offline
  • Публикаций: 6 477
  • Комментариев: 2 407
Вот оно как! Большое спасибо за комент! bully
<
Triot

19 июля 2011 13:06

Информация к комментарию
  • Группа: Ксеноморф
  • Регистрация: 31 декабря 2008, 07:02
  • Статус: Пользователь offline
  • Публикаций: 38
  • Комментариев: 289
и все равно подмывает сказать innova fail

-✂------------

<
Dizman

19 июля 2011 17:30

Информация к комментарию
  • Группа: Ксеноморф
  • Регистрация: 10 декабря 2007, 13:35
  • Статус: Пользователь offline
  • Публикаций: 50
  • Комментариев: 159
можа и антипиар, но все= есть в написанном логика, так что всегда найдутся люди "за" и "против"...но задуматься и проанализировать может любой

-✂------------

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.