про всемирную слежку

[edelveis8.livejournal.com]

Навеяно одной недавней новостью. Вопрос не про политику, а скорей про технологии. Страны и организации названы лишь для примера.
Допустим ЦРУ точно узнало что в России все гос. структуры, в том числе и силовые, используют в работе MSOfice, и причём легальные версии. Может ли Микрософт (по запросу ЦРУ) сделать программу Word такой, чтобы она (при подключённом интернете, конечно), передавала бы им всю информацию из открытых файлов? Вот открыл сотрудник у себя на работе документ программой Word и всё содержимое файла отправилось бы на нужный адрес. И это не вирус, это уже изначально встроенная функция.
Как сделать так, чтобы не приходила информация с файлов со всего мира – это уже отдельная тема, какой-то фильтр можно было бы поставить.
И если так можно, то можно ли другой стороне отслеживать эту исходящую информацию? И, конечно же, ведётся ли такая "информационная война"? (вряд ли я первый кто до этого додумался).
UPD. Всем спасибо. Даже дополнительных вопросов нет. Интересно было почитать ответы.

Comments

[sakurovskiy.livejournal.com]

документы хорошо жмутся и обычно небольшого размера, на общем фоне такой трафик будет незаметен. Если добавить немного шифрования, то определить что там передается будет непросто. Вполне официально программы офисного пакета передают телеметрию с разрешения пользователя, сунуть в нее доки тоже можно.

[khathi.livejournal.com]

Как раз именно такое анализом трафика и ловится. Зашифрованные пакеты — это уже звоночек, а зашифрованные пакеты от текстового процессора — уже даже целый набат. ;) А зашифроваться так, чтобы это посылало как бы другое приложение — это надо в ядро уже лезть. Тоже, конечно, можно, но не мелкософтом единым, когда Сони такое попыталась провернуть — вони было до небес.

[sakurovskiy.livejournal.com]

повышение объема трафика будет служить поводом к анализу, а тут его нет.

да ладно вам? я не вникал в тему. но набат будет если передавать телеметрию в открытом виде.

в ядро не обязательно, в винде куча штатных служб, некоторые именно для передачи файлов предназначены тот же BITS например, и файло можно засылать не обязательно при запуске ворда, а когда угодно.

[khathi.livejournal.com]

Так один хрен это чисто троянское поведение и нормальным антивирусом и будет ловиться как подозрение на активность трояна. А тут уже вопрос к админу — зря он свою зарплату получает, или нет. ;)

[sakurovskiy.livejournal.com]

Во многих конторах админа нет, во многих конторах где админ есть, нет спец-сотрудника отвечающего за инф. безопасность. Контор где такой спец есть меньшинство.

Уровень кадров в госконторах о которых речь в посте, весьма низкая, так же как и уровень инфобеза на территории бывшего СССР в целом.

С чего это она будет ловиться антивирусами? Деятельность той же BITS антивирусы не считают опасной или подозрительной, если ворд отправит куда-то данные или скачает что-то сомневаюсь что хоть один из антивирусов возбудится на это.

[khathi.livejournal.com]

Достаточно коготку увязнуть. А кто не следит за инфобезом — тот лохЪ и ССЗБ, у них и так трояны по сетям бегают толпами, с ботнетами хороводы водят. ;)

[14op.livejournal.com]

Тут единственная надежда на то, что железо в госконторах обычно сильно устаревшее и слабое, и связь говно. Так что трояны от МС будут глючить и тормозить (больше обычного в смысле). И гнусные цру с анб будут повержены российской скупостью.

[sakurovskiy.livejournal.com]

последний офис весьма шустр

[14op.livejournal.com]

> А зашифроваться так, чтобы это посылало как бы другое приложение — это надо в ядро уже лезть.

С учетом того, что ОС производит та же корпорация - в чем проблема-то?

[qolorado.livejournal.com]

Ой да ладно - ядро. Даже с моими небогатыми познаниями в программировании под виндузы - и то могу рассказать, как написать кейлоггер, который будет висеть не в виде отдельного процесса, а в виде DLL, подгружаемой к другим процессам - и любой фаерволл будет считать пакеты исходящими от того процесса, чей экземпляр DLL их посылает. А там иди выпаси, какую там информацию передает скайп или ослик на мелкомягкие сервера по SSL connection. Т.е., задача сводится к тому, чтобы не засветиться с левым траффиком от процесса, которому не положено лазить в инет. Ну и как-то сделать вид, что наша DLL байндится к процессам по делу.
А уж если - в соответствии с вводной - такой задачей озадачится лично мелкософт, то и вовсе разлюли малина. Спасет только полная изоляция от интернета.

...Другое дело, что если мелкософт таким озадачится - то, скорее всего, вовсе не для цырыу и прочей госдепы, а для себя, любимых, с целью продавать вас спамерам. Ништяков на этом можно заработать куда как больше, чем цырыу сможет заплатить за шпионаж.

[khathi.livejournal.com]

Не, технически-то нивапрос. Другое дело, что на это и нужен грамотный админ и правильно настроенные системные политики, а не так, чтобы кто чего хочет, тот того и запускает. ;)

[qolorado.livejournal.com]

Ну и что этот админ сделает, если фирменный зловред будет вести передачу от имени процесса, которому и так позволено лазить на мелкомякгие сервера по делу?

[khathi.livejournal.com]

Всякое бывает. Руссинович, вон, тоже ж, вроде, совершенно случайно наткнулся. Хотя тут да, такое выловить трудно, если сам Мелкософт на такое нагнут.

[qolorado.livejournal.com]

Так Руссинович обнаружил несанкционированную модификацию системы, и оттуда начал копать. А тут - никаких модификаций, все в фирменном виде.

[anonim-legion.livejournal.com]

Сони-то говно написали. А драйдекс работает себе, сколько хочет, потому что его писали не в Сони. Да и что они могут написать, с таким-то отношением к программистам, узкоглазики хреновы:

http://rsdn.org/forum/job/6602745

Призываю в тред leo_sosnine

[khathi.livejournal.com]

Чота какта подзавышенные зарплаты-то. Кассир, например, — это вообще работа на почасовке, примерно 1500 иен в час, причём студенты, которые официально могут подрабатывать не более 20 часов в неделю, в принципе больше 12 ман заработать не могут — а работа эта в основном чисто студенческая. Аниматоры сидят на сдельщине, и заработать те же самые 12 ман — это надо впахивать не поднимая головы по 16 часов в сутки, потому что за один кадр деньги какие-то вообще смешные идут, чуть ли не 10-20 иен. Обычный генгамен получает в среднем не выше сотки. Работяга на сборочном конвейере Ниссана десять лет назад, когда я был там на экскурсии, получал 180 тысяч, при казарменном распорядке и трёх перерывах «на поссать» в смену. Обычная планктонина получит 435 тысяч только уже под сорок, будучи в должности завсектором или замначальника отдела, новоиспечённый салариман только что из института получает 200 в зубы и не грешить. Я подвизался в науке, там такую сумму в месяц получал доцент или приглашённый учёный с именем, но не профессор. Профессор в зависимости от имени получал вдвое или втрое от этого.

[cn-mangetsu.livejournal.com]

когда Сони такое попыталась провернуть — вони было до небес
А напомните, что там за история была?

Ага, ниже ответили.

[xen0n.livejournal.com]

Что значит "лезть в ядро"? Ядро ОС Windows пишет Microsoft, им не надо в него "лезть", у них его сорцы открыты в текстовом редакторе.

Передавать можно через стеганографию, в сетевом трафике достаточно "случайных" величин (TCP sequence number, размер окна, порт источника TCP/UDP, временные задержки, порядок операций) - можно их использовать для передачи. Даже через обычное "гуляние" по специальному сайту специальным браузером, из браузера сайту можно передать дофига данных, и трафик будет выглядеть совершенно обычным.