Discussion:
Jak działa NASK ?
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
Henryk Hajdan
2022-12-28 06:29:26 UTC
Permalink
Może ktoś z Was wie, jak działa NASK ? Jest tam taki dział

"[...]CERT Polska to pierwszy powstały w Polsce zespół reagowania na
incydenty (Computer Emergency Response Team). Od 2018r. wraz z
wprowadzeniem ustawy o Krajowym Systemie Cyberbezpieczeństwa działa w
ramach jednego z trzech krajowych CSIRTów.

Najważniejszym zadaniem Zespołu Monitoringu i Wstępnego Rozpoznania
(ZMiWR) jest obsługa zgłoszeń oraz pogłębiona analiza incydentów. W
ramach dodatkowych zadań rozwijamy również wewnętrzne narzędzia.[...]"

Czy działają tylko na tym co prześla do nich internauci, czy mają własne
spam-trapy gdzie przychodzą te wirusy wszystkie, spamy i inne gówna ?

Przychodzi jakiś spam z zipem lub exe, domyślam sie, że oni to otwierają
w jakimś izolowanym środowisku i patrzą jak to działa? Ale jesli ten
spam ma za zadanie przechwytywać dane do logowania banku, to chyba muszą
mieć jakieś testowe konto bankowe, bo niby w jaki sposób sprawdzić jak
taki plik działa ?
KIKI
2022-12-28 16:27:09 UTC
Permalink
Post by Henryk Hajdan
Czy działają tylko na tym co prześla do nich internauci, czy mają własne
spam-trapy gdzie przychodzą te wirusy wszystkie, spamy i inne gówna ?
Przychodzi jakiś spam z zipem lub exe, domyślam sie, że oni to otwierają
w jakimś izolowanym środowisku i patrzą jak to działa? Ale jesli ten
spam ma za zadanie przechwytywać dane do logowania banku, to chyba muszą
mieć jakieś testowe konto bankowe, bo niby w jaki sposób sprawdzić jak
taki plik działa ?
Wiesz na pewno chłopaki otwierają to na maszynach wirtualnych, w
izolowanym środowisku albo pod windowsem i później jakoś odtwarzają
obraz dysku z backupu.
To czy mają konta czy nie to nie wiem ale te wirusy bankowe to jakoś
udają stronę banku czy nawet siedzą jakby pod spodem przeglądarki.
Na pewno są od tego specjaliści :-)
Były kiedyś takie wirusy co podmieniały numer konta odbiorcy przelewu,
kiedyś tak było. Niby na ekranie widziałeś konto i kwotę ale wysyłało
się inaczej. Teraz to pewnie są i lepsze zabezpieczenia bankowe i nie
tak prosto.
Ale nawet ze schowka w przeglądarce można odczytać jak sobie tego nie
wyłączysz w opcjach.

Spamtrapy to mają pewnie własne takie same jak masz Ty hehe :-) Domeny
po kimś, porzucone po wielu latach bycia czyjąś własnością.
Henryk Hajdan
2022-12-28 19:02:53 UTC
Permalink
Post by KIKI
Post by Henryk Hajdan
Czy działają tylko na tym co prześla do nich internauci, czy mają własne
spam-trapy gdzie przychodzą te wirusy wszystkie, spamy i inne gówna ?
Przychodzi jakiś spam z zipem lub exe, domyślam sie, że oni to otwierają
w jakimś izolowanym środowisku i patrzą jak to działa? Ale jesli ten
spam ma za zadanie przechwytywać dane do logowania banku, to chyba muszą
mieć jakieś testowe konto bankowe, bo niby w jaki sposób sprawdzić jak
taki plik działa ?
Wiesz na pewno chłopaki otwierają to na maszynach wirtualnych, w
izolowanym środowisku albo pod windowsem i później jakoś odtwarzają
obraz dysku z backupu.
To czy mają konta czy nie to nie wiem ale te wirusy bankowe to jakoś
udają stronę banku czy nawet siedzą jakby pod spodem przeglądarki.
Na pewno są od tego specjaliści :-)
Były kiedyś takie wirusy co podmieniały numer konta odbiorcy przelewu,
kiedyś tak było. Niby na ekranie widziałeś konto i kwotę ale wysyłało
się inaczej. Teraz to pewnie są i lepsze zabezpieczenia bankowe i nie
tak prosto.
Ale nawet ze schowka w przeglądarce można odczytać jak sobie tego nie
wyłączysz w opcjach.
Spamtrapy to mają pewnie własne takie same jak masz Ty hehe :-) Domeny
po kimś, porzucone po wielu latach bycia czyjąś własnością.
No tak, faktycznie.
kto jak kto, ale NASK ma wiedzę o porzuconych domenach, szczególnie tych .pl
KIKI
2022-12-28 19:41:24 UTC
Permalink
Post by Henryk Hajdan
No tak, faktycznie.
kto jak kto, ale NASK ma wiedzę o porzuconych domenach, szczególnie tych .pl
No tak, porzucone są bardzo dobre na spamtrapy. Trzeba tylko dużo
oczywistyc kont założyć albo aliasów biuro@ office@ ksiegowosc@ i wiele
innych :-)
Kopalnia spamu :-)
Monika Głowacka
2023-01-08 18:51:12 UTC
Permalink
Post by KIKI
Post by Henryk Hajdan
Czy działają tylko na tym co prześla do nich internauci, czy mają własne
spam-trapy gdzie przychodzą te wirusy wszystkie, spamy i inne gówna ?
Przychodzi jakiś spam z zipem lub exe, domyślam sie, że oni to otwierają
w jakimś izolowanym środowisku i patrzą jak to działa? Ale jesli ten
spam ma za zadanie przechwytywać dane do logowania banku, to chyba muszą
mieć jakieś testowe konto bankowe, bo niby w jaki sposób sprawdzić jak
taki plik działa ?
Wiesz na pewno chłopaki otwierają to na maszynach wirtualnych, w
izolowanym środowisku albo pod windowsem i później jakoś odtwarzają
obraz dysku z backupu.
Na forum elektroda piszą, że otwierają kod źródłowy takiego wirusa i
czytają linia po linii. Podobno to proste. Podobno to tak proste, że od
razu wiadomo, jakiego syfu w kompie może taki trojan narobić i nie
potrzeba do tego specjalistów, a tylko takich co mają pojęcie o
programowaniu.

Jest tu ktoś kto pracował w CERT NASK i wie coś o tym ?
Sushi Master
2023-01-08 19:31:09 UTC
Permalink
Post by Monika Głowacka
Na forum elektroda piszą, że otwierają kod źródłowy takiego wirusa i
czytają linia po linii. Podobno to proste. Podobno to tak proste, że od
To akurat bzdura. Niby skąd ten kod źródłowy?
Potrzebna inżynieria wsteczna, analizowanie kodu zapewne na poziomie assemblera
i protokołu sieciowego, bo zazwyczaj się to komunikuje z jakimś command center.
No chyba, że ktoś dla jaj machnie wirusa w JavaScripcie albo Bashu ;-)


SushiMaster
Kamil Jońca
2023-01-09 04:06:04 UTC
Permalink
Post by Sushi Master
Post by Monika Głowacka
Na forum elektroda piszą, że otwierają kod źródłowy takiego wirusa i
czytają linia po linii. Podobno to proste. Podobno to tak proste, że od
To akurat bzdura. Niby skąd ten kod źródłowy?
Potrzebna inżynieria wsteczna, analizowanie kodu zapewne na poziomie assemblera
i protokołu sieciowego, bo zazwyczaj się to komunikuje z jakimś command center.
No chyba, że ktoś dla jaj machnie wirusa w JavaScripcie albo Bashu ;-)
Wcale nie dla jaj. Część wirusów to jakieś makra w office, odpowiednio
zaciemnione. Może niekoniecznie w JS, tylko w VBA (choć mam wrażenie, że
jakiegoś JS-owego też widziałem).


KJ
--
http://wolnelektury.pl/wesprzyj/teraz/
Henryk Hajdan
2023-01-09 05:41:25 UTC
Permalink
Post by Sushi Master
Post by Monika Głowacka
Na forum elektroda piszą, że otwierają kod źródłowy takiego wirusa i
czytają linia po linii. Podobno to proste. Podobno to tak proste, że od
To akurat bzdura. Niby skąd ten kod źródłowy?
Potrzebna inżynieria wsteczna, analizowanie kodu zapewne na poziomie assemblera
i protokołu sieciowego, bo zazwyczaj się to komunikuje z jakimś command center.
No chyba, że ktoś dla jaj machnie wirusa w JavaScripcie albo Bashu ;-)
Zawsze myślałem, że jeśli masz plik to podejrzenie jakimiś programami
kodu źródłowego to nie jest problem.
KIKI
2023-01-09 12:28:17 UTC
Permalink
Post by Henryk Hajdan
Zawsze myślałem, że jeśli masz plik to podejrzenie jakimiś programami
kodu źródłowego to nie jest problem.
Nie. Kod źródłowy to jakby język programowania, a to co wychodzi po
skompilowaniu to binarka, którą można zdezassemblować przy pomocy czego
takiego jak IDA na przykład.

Języki wyższego poziomu łatwiej się dekompiluje, bo one są skompilowane
do tak zwanego kodu pośredniego, bajtkodu (bytecode).

Ale jak w tym siedzisz od zawsze to łatwizna :-) Jak ze wszystkim :-)
Robert Tomasik
2023-01-10 17:30:11 UTC
Permalink
Post by Henryk Hajdan
Zawsze myślałem, że jeśli masz plik to podejrzenie jakimiś programami
kodu źródłowego to nie jest problem.
Przede wszystkim, to co chcesz zrobić wymagałoby wiedzy, w jakim języku
działał sprawca. O ile dezasembler do kodu wykonywalnego daje zawsze ten
sam skutek, bo program przecież tak samo działa, to już dalej mogą być
różne wyniki w zależności od tego, do czego się wycofasz.
--
Robert Tomasik
Kwark
2023-01-12 21:23:36 UTC
Permalink
Post by Robert Tomasik
Post by Henryk Hajdan
Zawsze myślałem, że jeśli masz plik to podejrzenie jakimiś programami
kodu źródłowego to nie jest problem.
Przede wszystkim, to co chcesz zrobić wymagałoby wiedzy, w jakim języku
działał sprawca. O ile dezasembler do kodu wykonywalnego daje zawsze ten
sam skutek, bo program przecież tak samo działa, to już dalej mogą być
różne wyniki w zależności od tego, do czego się wycofasz.
Co Ty bredzisz ?
Jeżeli wracasz do asemblera, to jakie ma znaczenie środowisko jakie ten kod
wygenerowało ?
Możesz sobie napisać co chcesz nawet w notatniku , w dowolnym języku,
skompilować to na asembler zrozumiały dla danego CPU i to będzie działać
tak samo jak w przypadku wygenerowania kodu z środowiska za grube
pieniądze.

Problem powstanie nie z punktu widzenia środowiska programisty, a raczej z
kodu wynikowego.
Inaczej wyglada po prostu kod wykonywalny w zależności od typu procesora.
Przecież teoretycznie możesz kompilować ten sam kod na różne procesory i
będzie on wyglądał całkiem
Inaczej, a wynik jego działania będzie identyczny.
Robert Tomasik
2023-01-13 20:49:35 UTC
Permalink
Post by Kwark
Post by Robert Tomasik
Post by Henryk Hajdan
Zawsze myślałem, że jeśli masz plik to podejrzenie jakimiś programami
kodu źródłowego to nie jest problem.
Przede wszystkim, to co chcesz zrobić wymagałoby wiedzy, w jakim języku
działał sprawca. O ile dezasembler do kodu wykonywalnego daje zawsze ten
sam skutek, bo program przecież tak samo działa, to już dalej mogą być
różne wyniki w zależności od tego, do czego się wycofasz.
Co Ty bredzisz ?
Jeżeli wracasz do asemblera, to jakie ma znaczenie środowisko jakie ten kod
wygenerowało ?
Oczywiście. Z tym, że czytaj, na co odpowiadam.
Post by Kwark
Możesz sobie napisać co chcesz nawet w notatniku , w dowolnym języku,
skompilować to na asembler zrozumiały dla danego CPU i to będzie działać
tak samo jak w przypadku wygenerowania kodu z środowiska za grube
pieniądze.
Problem powstanie nie z punktu widzenia środowiska programisty, a raczej z
kodu wynikowego.
Inaczej wyglada po prostu kod wykonywalny w zależności od typu procesora.
Przecież teoretycznie możesz kompilować ten sam kod na różne procesory i
będzie on wyglądał całkiem
Inaczej, a wynik jego działania będzie identyczny.
A czy ja gdzieś piszę, ze nie?
--
Robert Tomasik
Robert Tomasik
2023-01-10 17:27:54 UTC
Permalink
Post by Sushi Master
Post by Monika Głowacka
Na forum elektroda piszą, że otwierają kod źródłowy takiego wirusa i
czytają linia po linii. Podobno to proste. Podobno to tak proste, że od
To akurat bzdura. Niby skąd ten kod źródłowy?
Można przeprowadzić dezasembler. tylko ktoś musi znać język asemblera.
Ale bawiłem się w to lata temu. Teraz chyba nawet nie mam nieodpowiedni
programu. Tak więc da się, choć ne jest to jakoś strasznie proste.
--
Robert Tomasik
Sushi Master
2023-01-10 17:40:35 UTC
Permalink
Post by Robert Tomasik
Można przeprowadzić dezasembler. tylko ktoś musi znać język asemblera.
Ale bawiłem się w to lata temu. Teraz chyba nawet nie mam nieodpowiedni
programu. Tak więc da się, choć ne jest to jakoś strasznie proste.
No przecież pisałem o tym w zdaniu poniżej, które wyciąłeś. WTF?


SushiMaster
KIKI
2023-01-08 21:14:42 UTC
Permalink
Post by Monika Głowacka
Jest tu ktoś kto pracował w CERT NASK i wie coś o tym ?
Są dwie możliwości:

A: Pewnie są ale się nie ujawniają :-)
B: Mają w nosie fora i patrzą kiedy fajrant :-)

Hehe :-)

Trudno powiedzieć, młodzi nie wiedzą co to usenet, a my tu w większości
50+, 60+ i 70+ :-)
Henryk Hajdan
2023-01-09 05:48:25 UTC
Permalink
Post by KIKI
Hehe :-)
Trudno powiedzieć, młodzi nie wiedzą co to usenet, a my tu w większości
50+, 60+ i 70+ :-)
aż taki pesymista jesteś, ze 20+ i 30+ to słabo z netem u nich ?

Mam znajomego, co 25 lat pracuje (lub pracował) w jednej firmie
prywatnej, w 1998 roku założyli skrzynke email, najpierw jedną, za rok
drugą, ale komputer podłączony do netu był tylko jeden, potem podłączyli
drugi komputer. Komunikacja z konhtrahentami szła głównie faxem i
telefonem, dopiero w 2002 roku zaczęli czerpać z netu całymi garściami.

Zjawisko spamu chyba im się pojawiło dopiero wtedy jak przeszli z
emailami do home.
KIKI
2023-01-09 12:32:24 UTC
Permalink
Post by Henryk Hajdan
aż taki pesymista jesteś, ze 20+ i 30+ to słabo z netem u nich ?
Jedynie pasjonaci coś umieją. Reszta to stado idące na rzeź.
Post by Henryk Hajdan
Zjawisko spamu chyba im się pojawiło dopiero wtedy jak przeszli z
emailami do home.
Home to raczej tylko operator. Spam ich dosięgnął jak takich
szkoleniowców i innych przybywało do kwadratu każdego roku.
Spam raczej jest niezależny od lokalizacji hostingu.
Monika Głowacka
2023-01-09 08:47:09 UTC
Permalink
Post by KIKI
Trudno powiedzieć, młodzi nie wiedzą co to usenet, a my tu w większości
50+, 60+ i 70+ :-)
Coś w tym jest...
Znajomi co pracują w większych firmach to tam u nich ktoś od komputerów
to ma tak 40+

ale jak koleżanka otworzyła wirusa w pracy, coś tam namieszał w sieci
firmowej, to jej całkowicie zresetowali komputer.
KIKI
2023-01-09 12:37:41 UTC
Permalink
Post by Monika Głowacka
Post by KIKI
Trudno powiedzieć, młodzi nie wiedzą co to usenet, a my tu w większości
50+, 60+ i 70+ :-)
Coś w tym jest...
Znajomi co pracują w większych firmach to tam u nich ktoś od komputerów
to ma tak 40+
ale jak koleżanka otworzyła wirusa w pracy, coś tam namieszał w sieci
firmowej, to jej całkowicie zresetowali komputer.
Ja w internecie jestem od początku, od czasu gdy jeszcze tepsa nie śniła
o tych swoich numerach wdzwanianych modemów. Miałem neta wdzwanianego od
kogoś obecnie bardzo znanego :-) Było to w 1996 roku, jakoś tak.
Mam też wieloletni wkład w budowę internetu w Polsce przez następnych co
najmniej 10 lat :-)
Kwark
2022-12-29 18:46:06 UTC
Permalink
Post by Henryk Hajdan
Może ktoś z Was wie, jak działa NASK ? Jest tam taki dział
"[...]CERT Polska to pierwszy powstały w Polsce zespół reagowania na
incydenty (Computer Emergency Response Team). Od 2018r. wraz z
wprowadzeniem ustawy o Krajowym Systemie Cyberbezpieczeństwa działa w
ramach jednego z trzech krajowych CSIRTów.
Najważniejszym zadaniem Zespołu Monitoringu i Wstępnego Rozpoznania
(ZMiWR) jest obsługa zgłoszeń oraz pogłębiona analiza incydentów. W
ramach dodatkowych zadań rozwijamy również wewnętrzne narzędzia.[...]"
Czy działają tylko na tym co prześla do nich internauci, czy mają własne
spam-trapy gdzie przychodzą te wirusy wszystkie, spamy i inne gówna ?
Przychodzi jakiś spam z zipem lub exe, domyślam sie, że oni to otwierają
w jakimś izolowanym środowisku i patrzą jak to działa? Ale jesli ten
spam ma za zadanie przechwytywać dane do logowania banku, to chyba muszą
mieć jakieś testowe konto bankowe, bo niby w jaki sposób sprawdzić jak
taki plik działa ?
NASK działa jak chłopek, który się chce nachapać nie patrząc na innych.
Od dawna mnie zastanawia polityka sprzedaży domen na pierwszy rok.

To jest grupa anty spam, więc moje wątpliwości są takie:
1. Narodowy operator .pl powinien dbać o higienę .pl
2. Dbanie (p.1) to zmiana strategii: pierwszy rok 100%, drugi tak jak
teraz zakup. Czyli tzw summa summarum po 2 latach wychodzi na takie same
koszty dla abonenta domeny.
3. IMHO, że to znacznie ograniczyłoby zakupy domen na 1 rok, tylko i
wyłącznie po to, żeby zapłacić mało, wysłać spam, później zrezygnować z
domeny, bo przecież domena nic nie warta przez np spamerskie działania.

IMHO: narodowy Polski operator powinien dbać o higienę domen .pl
Przynajmniej powinien się starać.
Pytanie jest takie, czy NASK sobie myśli, że nikt inny za jakiś czas nie
może zostać narodowym operatorem domen .pl ? Chyba nie ma ograniczeń co
do wybrania podmiotu ?
KIKI
2022-12-29 23:45:41 UTC
Permalink
Post by Kwark
Od dawna mnie zastanawia polityka sprzedaży domen na pierwszy rok.
Mnie też to zastanawia czemu ma służyć ta "promocja" na domenę. To jest
oczywista oczywistość, że kupujesz domenę, wysyłasz salwę spamu, jedną
lub kilka i domenę porzucasz.
Tylko .pl to jedno ale są domeny .co, .xyz i tym podobne i one nie
podlegają pod NASK i spamer kupi sobie tamte zamiast naszych.

Aruba to chyba oferuje domenę z hostingiem za pojedynczego dolara czy
jakoś tak i jeszcze masz osobny adres IP. I właśnie największy syf ze
stronami lądowania właśnie idzie z Aruby.
Loading...