Удар по NOD32? IDA - одна из самых защищенных и ценных программ утекла в сеть

[Почта сайта]

Для тех, кто в танке, поясню, что произошло, и вообще, при чем здесь NOD32 от ESET.

IDA Pro Disassembler с Hex-Rays - это софтина для реверс-инжиниринга (читай: для взлома других программ). Софт не просто дорогой, от 100 тысяч рублей, его еще и сложно купить. Во всяком случае, купить анонимно не получится.



Фактически каждый покупатель получает версию программы, специально заточенную под его нужды. Частный пользователь не может приобрести Advanced (Расширенную) версию вообще (есть непроверенная информация, что приобрести Advanced частный пользователь сможет через 3-4 года владения версией Standard). В России Hex-Rays могут приобрести организации и частные лица, с непрерывным сроком поддержки лицензии не менее 2,5 лет. Последние строки абзаца взяты из
http://sporaw.livejournal.com/88098.html?thread=1861154#idiotic - кому интересно, можете ознакомиться подробнее.

Так вот в сеть утекла версия, которой владела компания ESET, выпускающая антивирус NOD32. Разумеется, с полным фаршем:

Hex-Rays.IDA.Pro.Advanced.v6.1.Windows.incl.Hex-Rays.x86.Decompiler.v1.5.READ.NFO-RDW
Hex-Rays.IDA.Pro.Advanced.SDK.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.FLAIR.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.IDS.Utilities.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.LOADINT.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.TILIB.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.v6.1.TVision.v2009b.Source-RDW

Ну, с разработчиком IDA Pro Ильфаком Гильфановым все ясно - из-за утечки чувак потеряет часть прибыли.
Касательно удара по ESET, тут я не разделяю всеобщей паники и даже готов поспорить с анонимом, выложившим программу в сеть, что ничего страшного не произойдет.

Вообще, если почитать содержимое NFO-файла (оно приведено снизу в прицепе к этому посту), детсад какой-то получается. Парень недоволен тем, что его забанили на форуме Hex-Rays и вдобавок сетует на то, что NOD32 не хочет вносить некоторые программы в списки исключений.
Сам акт распространения, ИМХО, заключается в следующем: дескать, посмотрите, какой NOD32 шляпа, даже о собственной безопасности не заботится, не говоря уж о безопасности пользователей и так далее. Есть еще намек, мол, существуют некие исходники (вероятно, исходники антивируса NOD32), которые тоже вскоре появятся в свободном доступе.

Ну, от того, что появятся исходники НОДы, думаю, ничего страшного не произойдет. Липовых антивирусов в сети и так хватает. Единственная опасность - как бы в них не оказалось чего-нибудь крамольного, нарушающего патенты и проч.

Относительно гнева на NOD32 могу сказать следующее. На протяжении многих лет в качестве прибыльного хобби я составляю кроссворды, всякие-разные. Естественно, у меня есть десятки если не сотни различных программ, зачастую написанных под конкретную задачу. Еще регулярно мониторю тырнет в поисках новых - в общем, капитально засрал реестр всякой шелупонью, которая, быть может, мне никогда не потребуется. Особенно бесят мелкие программы, целью жизни которых можно назвать создание собственного ключа в реестре, прописку в автозагрузку, трей, планировщик задач и прочую хрень, зависящую от уровня ЧСВ автора. Нет ничего удивительного в том, что антивирус может детектировать такие программы как вредоносные (это и правда сплошное вредительство - сиди потом, вычищай мусор). Не знаю, о каких разработчиках пишет автор выложенной версии, но для меня они в большинстве своем - зло не меньшее, чем сами вирусы. И, кстати, вторая часть про NOD32 выглядит какой-то притянутой за уши.

UPD - уже почти 2 миллиона скачиваний.
Если вы не специалист, не скачивайте прогу. Скорее всего, скачивают просто из любопытства.

[Почта сайта]

По просьбе раскрываю содержимое прицепа с NFO - действительно, в Блокноте неудобно читать:

Содержимое nfo-файла:

Этот релиз должен послужить жизненным уроком тем людям, считают себя "людьми 'голубых' кровей". Он преследует цель в некотором роде сбить спесь, поставить этих людей на место. Показать, что, кроме них, существуют и другие люди, которых стоит как минимум, уважать, ценить их труд и прислушиваться к их (хотя бы выслушать).

Этот релиз посвящается одному человеку и одной компании, которые ведут себя асоциально, вызывающе, надменно, не считаются ни с кем и ни с чем, а потому необходимо проведение небольшой "воспитательной" работы со стороны сообщества

Начнем по порядку: человек - Ильфак Гильфанов (Ilfak Guilfanov).
Хотел было написать много, потом подумал - смысла нет.

И поэтому, в принципе, рассказывать особо нечего. Те, кто "в теме" и так все знают про данную персону. Приобрести IDA при всем желании практически невозможно. Я описывал кое-какие детали в своем блоге, тэг 'ida' (ссылку не привожу, кому надо - найдет). Можно немного почитать здесь (только на русском
http://lurkmore.ru/Reverse_Engineering#.D0.94.D0.B8.D0.B7.D0.B0.D1.81.D1.81.D0.B5.D0.BC.D0.B1.D0.BB.D0.B5.D1.80.D1.8B

Я прошу прощения у cracker'ов, которые были приняты на работу в HexRays SA, что вы в какой-то мере тоже попадаете под удар. Но ваш руководитель, к сожалению, не оставляет иного выбора

В декабре 2007 года, после незабываемых откровений Ильфака в теме www.idapro.ru/forum/viewtopic.php?t=463, произошедших после warez-релиза IDA v5.5, мною был создана тема www.idapro.ru/forum/viewtopic.php?t=458. В ней я изложил некоторые мысли по поводу "двойных стандартов" со стороны автора IDA. Просто маленький пример. Завязалась непродолжительная беседа, в результате которой Ильфак повел себя абсолютно неадекватно (в свойственной ему манере) и забанил меня на форуме. Но это еще не все. Перед тем как меня забанить, он в приват (PM) послал мне сообщение:
========================================================
Subject: Пошел отсюда
-
Я тебе уже говорил, что устал от твоих глагольствований.

Похоже что ты других слов не понимаешь: иди вон
========================================================

Рекомендую пересмотреть свое отношение к людям и способам выражения своих мыслей при общении с ними. В любом случае, в данный момент ты "жнешь" именно то, что сам же и "посеял". Я такие вещи не спускаю на тормозах.

*** Далее: компания - ESET - производитель NOD Antivirus

Есть такая пословица: "Отольются кошке мышкины слезки" (я ее уже озвучивал по отношению к вам в 2008-2009-ых годах). Теперь это время пришло.

Итак, действующие лица со стороны ESET (это минимум):

* Juraj Malcho - главный самодовольный недальновидный персонаж
* Marek Zeman (Customer [Un]Care; zeman@eset.sk)
* Daniel Novomesky (Virus Researcher)

Компания ESET относится к разработчикам программных продуктов (маленькие компании, индивидуальные разработчики shareware-продуктов) - как к говну, и особо не скрывает этого.

Суть конфликта так же описана в моем блоге по тэгам 'eset', 'nod', но изложена где-то в комментариях, в обсуждении (ссылок давать не буду). Кратко: компания ESET вместо того, чтобы научиться правильным образом детектировать содержимое, защищенных с помощью TH/WL (в первую очередь) и VMP файлов, просто тупо детектировала эти средства защиты *всегда* (Avira-style такой). И ESET - казалось бы, технически грамотная компания, реально неплохо написан код. Но вот такой подход. Это не все.

На одном специализированном форуме по безопасности эта компания клялась и божилась, что все разработчики shareware, которых это коснется, могут легко обращаться в ESET, их программы будут заносить в исключения. На деле это оказалось совсем не так. Неприкрытое хамство, надменность, издевательства.

ESET убивал индивидуальных разработчиков и маленькие компании, потому что те, надежно защищая свои продукты от cracker'ов, теряли своих клиентов. Почему? Потому что ESET NOD автоматически детектировал файлы как malware. Более того, он даже не давал их скачивать с сайтов! Но и это еще не все, с учетом того, как сейчас устроена антивирусная индустрия, достаточно было залить такой файл на VirusTotal, как его начинали детектировать другие "дурачки", копируя вердикт.

Проблема росла как снежный ком. Из-за того, что пользователи не могли скачивать продукты, разработчики и компании теряли и клиентскую базу, и реальные деньги. Из-за этого, разработчикам приходилось... отказываться от используемой защиты! И тут получалась цепная реакция: клиент отказывается от shareware-программы -> разработчик shareware-программы отказывается от используемой защиты -> разработчик защиты теряет клиентов и деньги. То есть компания ESET убивала не только мелкие компании и индивидуальных разработчиков shareware, но и убивала клиентскую базу и прибыли компании Oreans Technologies и VMProtect.

Rafael, я знаю, что тебе пришлось тяжело в то время - это мой небольшой личный подарок тебе. Я знаю как тяжело маленьким компаниям отстоять свое мнение и вообще хоть о чем-то договориться.

PolyTech, и для тебя это тоже.

Всему сообществу shareware-разработчиков - ESET сейчас получит все, что заслужил, измываясь над вами.

ESET, Juraj Malcho: "su podla mna smiesne" - ну как, тебе все еще так же смешно? У нас в России говорят: "Хорошо смеется тот, кто смеется последним" Вот теперь можешь попробовать посмеяться.

От того, что ты работаешь в крупной компании с мировым именем, миллионными оборотами $, не значит, что нужно быть говном и вести себя как говно. Вокруг тебя - люди, и ты не лучше и не хуже них. Пора сбить спесь.

*** Небольшое предупреждение

Чтобы не возникло каких-нибудь еще более неадекватных действий (людям почему-то свойственно не учиться на своих ошибках), считаю своим долгом сообщить, что на десятках тысяч различных компьютеров в данный момент находится зашифрованный бинарный массив данных с некоторыми исходными кодами и еще рядом специфических данных. Принцип работы - "на размыкание". Не устраивайте Kaspersky Lab fail (привет "скалолазу" и апреле-майским праздникам) или второй Stuxnet

Небольшое (в целом - безболезненное) подтверждение будет продемонстрировано скоро после этого релиза.