Alsof je ook zomaar weet welke IRC-kanalen door gespuis
gebruikt worden.....

En wat kun je dan monitoren? De gesprekken? Heb je daar
zomaar toegang toe?

Niet dat ik veel van IRC afweet hoor, mijn moeder nog meer
dan ik. Maar is het voor de doorsnee gebruiker interessant
of alleen voor security-officers?

- Unomi -

In de vorige eeuw was IRC de plek waarop mensen elkaar spraken.

Dat de tool een "geo" locator heeft, doet me denken aan tools als
Nukenabber e.d. die alleen voor de paranoide systeembeheerder
intressant is maar niets toevoegd.

Verder is het een illusie te denken dat je via IRC bij daders uit komt, dit om
het simpele feit dat het allang not-done is om openbare IRC netwerken of
communicatie protocollen te gebruiken om zaken te bespreken.

Degene die zich op IRC ophouden zijn vaak de kindertjes en mensen in
derde wereld landen.

Verder is de koppeling met google maps leuk, maar een IP adres is nooit
geografisch gebonden.

Ook het aantal van maar 800 botnets is wel erg laag.

Dus ik betwijfel de meerwaarde van een dergelijke tool.

De meeste bots in een botnet hebben de mogelijkheid om zichzelf te
updaten. Dus als jij met behulp van dat Symantec tooltje wat botnets kunt
ontdekken en overnemen kun je ook grappige dingen doen :)

Zouden echte "bad guys" gebruik maken van IRC-kanalen??
Persoonlijk denk ik van niet. Natuurlijk worden nog steeds
via deze kanalen informatie uitgewisseld maar of je daar nu
echt wat aan heb betwijfel ik.

Misschien is het handiger om te infiltreren in deze groepen,
voor zover dit nog niet gebeurd. Dan kom je tenminste aan
"echte" informatie.

Trek een willekeurige worm (met botnet functie) open en je
weet zo welke servers en kanalen er gebruikt worden. Zelf
ook al een paar keer gedaan..
De opdrachten die, in het kanaal, gegeven worden. Hoeveel
bots, waar ze vandaan komen etc..Toegang verkrijg je middels
de info die je uit zo'n worm getrokken hebt.
Jazeker wel.
Waarom denk je dat?

oe ... scary, moet ik me nu voorstellen dat ze daar iemand
hebben zitten die de hele dag gesprekken tussen bots zit te
controleren :P .....

Underground zegt het al .... meestal niet vindbaar voor een
doorgaans persoon!

Iemand met een beetje verstand zet zijn channel +U (oid, lang geleden..)
zodat wanneer iemand jouw kanaal joint, het voor diegene lijkt alsof hij
alleen in het betreffende kanaal zit. Hij zit dus geen topic, geen user,
geen 'gesprekken'.

Oftewel, nee, hier heb je (bij de wat slimmere botnet owners, of misschien
is het tegenwoordig al de standaard) geen toegang tot.

Nou, dat is de afgelopen tien jaar vrijwel onmogelijk geworden.

In eerste instantie nemen de groepen die zelf security research doen
amper nieuwe leden.
Ten tweede nieuwe leden worden jaren aan het lijntje gehouden en
moeten meerwaarde hebben, dus in de praktijk komt het erop neer dat
hij/zij op een bepaalde gebied meer kennis heeft.
En bovendien moet men in het verleden regelmatig exploits hebben
gepubliceerd van eigenhand. (nee geen XSS lekje :-) )

Aan gezien het lekken van andersmans exploits meteen opvalt
(roddelmachines gaan hard) kom je er niet mee weg om
informatie/sploits/kennis te lekken die niet van jezelf is.

Kortom, bij de groepen die er toedoen zul je als overheid of bedrijfsleven
niet zomaar binnen komen.
Mocht je wel binnenkomen, dan zul je zien dat er niks strafbaars
besproken word, maar dat het slechts clubjes mensen zijn die regelmatig
fysiek afspreken en online slechts af en toe wat hulp met uitdagingen aan
elkaar bieden.

De groepjes die wel makkelijk toegankelijk zijn, zijn de scriptkiddie
groepjes waar je in Nederland al een stuk of 50 van hebt.
Maar deze hebben indien ze goed ontwikkeld zijn hooguit basale C kennis
en kunnen compiler probleempjes oplossen indien een exploit niet wil
compileren.

Deze kun je makkelijk benaderen indien je wat 0day exploits met ze gaat
traden, maar dan ben je tegenwoordig al strafbaar bezig. Los hiervan is
de informatie die je terug kan verwachten nihil als ook dat je uren per dag
kwijt bent met in stand houden van relaties.

Het om die reden grappig om te zien dat Symantec denkt in kanalen te
kunnen komen die +i +k zijn.
Zelfs indien je in een ircnetwerk je eigen server hebt staan en daardoor de
CTCP protol verkeersstroom kan zien, mis je alle DCC verkeer als ook zul
je de versleutelde communicatie niet kunnen lezen.

Tja ... en wat als de servers in Noord Korea, China, of Iran staan. Gaan we
ze dan daar dan weghalen. LOL

Fijne dag verder!

Wanneer hun een bot op hun eigen pc gaan draaien kun je de sleutels wel
sniffen. Om een kanaal te joinen die +i staat, moet je hopen een irc-server
die zijn modes niet reset na een crash/reboot oid. Deze laatste manier geldt
natuurlijk ook voor een kanaal beveiligd met een key (+k).

Theoretisch is het dus mogelijk, maar in de praktijk zal er wel weinig van
terecht komen.

Waarschijnlijk zullen ze de tool combineren met hun vele
honeypot pc's die ze laten infecteren om zo mee te
piggybacken tot in het IRC kanaal.

Zet maar eens een Windows XP SP1 met de firewall af naakt op
het internet, hij is zo geinfecteerd.

Waarschijnlijk zullen ze de tool combineren met hun vele
honeypot pc's die ze laten infecteren om zo mee te
piggybacken tot in het IRC kanaal.

Zet maar eens een Windows XP SP1 met de firewall af naakt op
het internet, hij is zo geinfecteerd.