Кристофер Бойд (ИТ-безопасность)

Кристофер Бойд
Кристофер Бойд
Другие имена	Бумажный призрак
Занятие	Исследователь компьютерной безопасности
Известный	Компьютерная безопасность

Кристофер Бойд , также известный под своим онлайн -псевдонимом Paperghost , — исследователь компьютерной безопасности .

Бойд был директором по исследованию вредоносного ПО в охранной компании FaceTime, а затем стал старшим исследователем угроз в Sunbelt Software (позже известной как GFI Software). В декабре 2013 года компания Malwarebytes объявила, что Бойд присоединился к их команде Malware Intelligence для исследования новых угроз. ^{[ 2 ]}

Компьютерная безопасность

В июле 2004 года Бойд запустил Vitalsecurity.org, веб-сайт, привлекающий внимание общественности к вопросам конфиденциальности и шпионского ПО.

В ноябре 2004 года была использована модульная техника взлома для компрометации конечных пользователей Windows путем взлома серверов Apache. ^{[ 3 ]} При взломе серверы перенаправляли пользователя на любой из веб-сайтов сервера, приводя его на набор постоянно меняющихся зараженных страниц. На этих страницах использовались перекодированные вирусы, трояны, вредоносные программы и шпионское ПО. Сегодня этот метод активно используется группами, создавшими шпионское ПО CoolWebSearch (CWS).

Идея о том, что альтернативные браузеры, такие как Opera и Firefox, могут каким-то образом повысить безопасность конечных пользователей, была отвергнута в марте 2005 года. ^{[ 4 ]} с открытием Java-апплета, который, если его согласовать, мог установить большой (и разнообразный) пакет рекламного ПО на ПК конечного пользователя. Было обнаружено, что наличие «мошеннического» сайта в черных списках пользователя и инструментах безопасности ничего не даст, установка полностью обходит эту тактику, если конечный пользователь нажмет «Да». В некоторых из этих установок также был развернут обновленный установщик Firefox .XPI (который заразил Internet Explorer). ^{[ 5 ]}^{[ 6 ]}

Битторрент споры

В июне 2005 года было обнаружено, что все больше и больше производителей рекламного ПО обращаются к альтернативным источникам для своих установок, поскольку все больше конечных пользователей узнают о более распространенных тактиках установки. ^{[ 7 ]} Зависимость от грубой социальной инженерии и P2P- систем, которые раньше были чистыми, теперь растет. Бойд обнаружил, что форумы BitTorrent и сайты обмена файлами использовались в качестве основного источника распространения Aurora (программы, созданной Direct Revenue) и ряда других крупных рекламных программ, объединенных в пакеты, созданные Metrix Marketing Group (MMG). компания, потерявшая контроль над собственной сетью. ^{[ 8 ]} Файлы, потенциально нарушающие авторские права, незаконная порнография и неправильное/отсутствующее раскрытие информации были раскрыты в таких масштабах, что заставили вовлеченные компании ( Direct Revenue , 180solutions и другие) публично заявить о прекращении использования этих методов.

Эта история вызвала такой резонанс, что к ней присоединились многочисленные эксперты в области СМИ и (в некоторых случаях) усугубили деликатную ситуацию. В статье Джона К. Дворжака из журнала PC Magazine утверждалось, что Бойд был участником некоего «Великого заговора Microsoft» с целью очернить BitTorrent в пользу запланированного ими P2P-инструмента Avalanche. ^{[ 9 ]} Разъяренные пользователи P2P (которые не были знакомы с предысторией расследования) даже зашли так далеко, что заявили, что Бойд был в союзе с RIAA , чтобы создать дополнительные проблемы для файлообменников, выявив эти пакеты. Однако статья Дворжака вызвала что-то вроде возмущения по другую сторону забора, что привело к тому, что коллега по изданию Ziff Davis Media вступил в лоб с Дворжаком. ^{[ 10 ]} Дэйв Метвин из PC Pitstop продолжил расследование своими выводами. ^{[ 11 ]} Он утверждает, что некоторые из распространяемых фильмов содержали потенциально незаконную порнографию для несовершеннолетних, и вскоре после этого MMG отключился от сети, а все рекламные компании отказались от этого конкретного распространения.

Поддельная панель инструментов Google

В октябре 2005 года Бойд обнаружил «поддельную» панель инструментов Google, которая распространялась через систему мгновенных сообщений . ^{[ 12 ]} Панель инструментов позволяла пользователю хранить данные кредитной карты, а также открывала поддельную страницу поиска Google . Бойд также проследил за появлением панели инструментов до 2003 года, в трех разных версиях, каждая из которых использовала уязвимости в операционной системе Windows.

Руткит для обмена мгновенными сообщениями

В октябре/ноябре 2005 года Бойд обнаружил то, что считается первым известным экземпляром руткита , распространяющегося через систему мгновенных сообщений , спрятанного внутри большого количества рекламного и шпионского ПО . ^{[ 13 ]} В течение нескольких месяцев группа, стоящая за атаками, распространяла многочисленные изобретательные полезные нагрузки (например, принудительную установку BitTorrent ^{[ 14 ]} для распространения файлов фильмов) и в конечном итоге были обнаружены на Ближнем Востоке.

Критик рекламного ПО

Бойд известен своим яростным критиком компаний, занимающихся рекламным ПО, благодаря чему 180solutions назвали его « фанатиком » в своем блоге, и по сей день это свидетельствует о неприятных чувствах с обеих сторон. ^{[ 15 ]} На него регулярно ссылаются на других ведущих антишпионских сайтах, таких как Sunbelt Blog, блог Сьюзи Тернер ZDNet и домашняя страница Бена Эдельмана.

Открытия безопасности

В 2006 году Бойд продолжил делать важные открытия в области безопасности, в том числе

Обнаружение ботнета численностью 150 000 человек , который использовал специально созданный сценарий Perl для кражи платежных данных из сторонних приложений корзин покупок. ^{[ 16 ]}
Разоблачение веб-браузера, который перенаправлял конечных пользователей на потенциально незаконную порнографию ^{[ 17 ]}
Червь для обмена мгновенными сообщениями, устанавливающий собственный веб-браузер. ^{[ 18 ]}
Открытие того, что производители рекламного ПО Zango продвигали свой контент на Myspace. ^{[ 19 ]}
Модульная многоцепочечная цепочка инфекций, получившая название «Трубопроводный червь». ^{[ 20 ]}
Инфекция системы мгновенных сообщений, которая использует тактику в стиле ботнета для мошенничества с кликами . ^{[ 21 ]}
Обнаружение червя, использующего файлы QuickTime для распространения по MySpace с целью распространения рекламного ПО Zango . ^{[ 22 ]}

Ссылки

^ Валерос, Мария Элеонора Э. «Знакомьтесь, Paperghost — этический хакер» . Philstar.com .
^ «Paperghost теперь преследует вредоносные байты!» . Проверено 6 декабря 2013 г.
^ Лейден, Джон (22 ноября 2004 г.). «Эксплойт Bofra связан с «массивным ботнетом» » .
^ «Альтернативные браузеры и Java приводят к шпионскому ПО для IE» .
^ «Поддельные частные видео предлагают опросы, EXE-файлы и установки .XPI | Malwarebytes Labs» . Вредоносные байты . 31 июля 2014 г.
^ «Мошенничество с программой просмотра профилей Facebook вмешивается в работу браузеров Firefox и Chrome» . Грэм Клюли . 4 июля 2013 г.
^ «Шпионское ПО проникает через BitTorrent» .
^ «Блог GFI LABS» .
^ Дворжак, Джон К. (20 июня 2005 г.). «Схема по дискредитации BitTorrent» . Журнал ПК .
^ «Никакого заговора против BitTorrent не существует» .
^ «P2P загружает шпионское ПО» .
^ «Поддельные панели инструментов Google становятся фишинговыми» .
^ «Атака руткита AIM произошла на Ближнем Востоке» .
^ «Ботнет использует BitTorrent для отправки файлов фильмов» .
^ «Занго — фанатик или фанатик» . Архивировано из оригинала 28 января 2006 г.
^ Наглые ботнеты крадут электронные торговые тележки - Новости технологий безопасности от TechWeb
^ «Блог GFI LABS» .
^ Techworld.com - Взлом браузера, установленный новым червем
^ Занго раскритиковали за то, что он выбрал MySpace как канал рекламного ПО - Новости - InformationWeek
^ Исследователи наблюдают за созданием бота AIM - Новости технологий безопасности от TechWeb
^ «Тактика ботнетов позволяет использовать мошенничество с кликами — SecurityProNews» .
^ Червь MySpace использует функцию QuickTime | Инфомир | Новости | 2006-12-04 | Джереми Кирк, Служба новостей IDG. Архивировано 10 декабря 2006 г. в Wayback Machine.

[1] Валерос, Мария Элеонора Э. «Знакомьтесь, Paperghost — этический хакер» . Philstar.com .

[joins_malwarebytes_blog-2] «Paperghost теперь преследует вредоносные байты!» . Проверено 6 декабря 2013 г.

[3] Лейден, Джон (22 ноября 2004 г.). «Эксплойт Bofra связан с «массивным ботнетом» » .

[4] «Альтернативные браузеры и Java приводят к шпионскому ПО для IE» .

[5] «Поддельные частные видео предлагают опросы, EXE-файлы и установки .XPI | Malwarebytes Labs» . Вредоносные байты . 31 июля 2014 г.

[6] «Мошенничество с программой просмотра профилей Facebook вмешивается в работу браузеров Firefox и Chrome» . Грэм Клюли . 4 июля 2013 г.

[7] «Шпионское ПО проникает через BitTorrent» .

[8] «Блог GFI LABS» .

[9] Дворжак, Джон К. (20 июня 2005 г.). «Схема по дискредитации BitTorrent» . Журнал ПК .

[10] «Никакого заговора против BitTorrent не существует» .

[11] «P2P загружает шпионское ПО» .

[12] «Поддельные панели инструментов Google становятся фишинговыми» .

[13] «Атака руткита AIM произошла на Ближнем Востоке» .

[14] «Ботнет использует BitTorrent для отправки файлов фильмов» .

[15] «Занго — фанатик или фанатик» . Архивировано из оригинала 28 января 2006 г.

[16] Наглые ботнеты крадут электронные торговые тележки - Новости технологий безопасности от TechWeb

[17] «Блог GFI LABS» .

[18] Techworld.com - Взлом браузера, установленный новым червем

[19] Занго раскритиковали за то, что он выбрал MySpace как канал рекламного ПО - Новости - InformationWeek

[20] Исследователи наблюдают за созданием бота AIM - Новости технологий безопасности от TechWeb

[21] «Тактика ботнетов позволяет использовать мошенничество с кликами — SecurityProNews» .

[22] Червь MySpace использует функцию QuickTime | Инфомир | Новости | 2006-12-04 | Джереми Кирк, Служба новостей IDG. Архивировано 10 декабря 2006 г. в Wayback Machine.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]