> Элементарный способ ты искать не захотел. Задача именно что для админа и
> решается, по-моему, 4-мя командами в терминале.Как ты думаешь, хоть один админ из миллиона делает это?
> "1 раз из 1000000" это типичный аргумент применяющих такие хуки. Для остальных
> он выглядит как "вероятность отлична от нуля".
Было проведено исследование, которое показало, что шансы один к миллиону срабатывают каждый десятый раз. ;)
Это грубая цитата из Пратчетта, и исследование проводили маги, но это не очень важно. Как ты можешь померять эти шансы, и может ли твоё исследование отличить 1:1000000 от 1:100000? Если нет, то это не шансы, а buzzword'ы. Довольно распространённый способ выглядеть умно: использовать числа в своей речи, авось никто не заметит, что числа взяты с потолка.
Вероятность всегда отлична от нуля, и если ты ориентируешься на тех, кто говорит о 1:1000000, то ты заглядываешь в рот не специалистам, а самозванцам. Не-самозванцы должны начинать с постановки задачи, выработки ТЗ, и оценки того, какого уровня надёжность требуется исходя из ТЗ. Надёжность часто включают в ТЗ как один из пунктов. В разных ТЗ будет разный требуемый уровень надёжности. Так происходит потому, что надёжность небесплатна. Более того рост стоимости этой надёжности нелинейный и очень быстро улетает за облака при повышении требований.
Собственно тебя я задетектил как самозванца от безопасности именно потому, что у тебя фиксированные и взятые с потолка требования к надёжности. Я вижу, что ты почитал учебник по ассемблеру, какие-то статейки уровня Криса Касперски, но реально в безопасности ты не работал.
И из этого же следует, что оценивать качество этого древоруба мы не можем, поскольку мы не знаем для чего он предназначен. Понятно, что он выступает как руткит, но для решения каких конкретно задач этот червь предназначен? Какие системы он призван поражать? Что там с безопасностью в тех системах, какого уровня специалисты там работают, и насколько серьёзно они подходят к вопросу? Создан ли этот червь для того, чтобы десятилетиями работать на инфицированных машинах, или его задача была более локальной по времени -- проникнуть во много систем, быстро натырить инфы, и быстро слиться? Каким образом он распространялся? Его ставили вручную, затюнивая под взломанную систему, или использовался какой-нибудь червь, который совал его везде? Если вручную, то как? Покупали админов в нужных организациях и платили им? Или проникали на территорию? Или выискивали дыры таргетированной атакой и ставили удалённо?
>> Это
>> даже если в каких-то внутренних документах прописано, что детект в 1
>> случае из миллиона -- недопустимо. В чём я сильно-сильно сомневаюсь.
> Это основы системного программирования и спрашивается на собеседованиях. Не про детект
> в частности, а про неприемлемость подобных модификаций исполняющегося кода в общем.
Если тебя на собеседовании спрашивают о том, как часто допустимо для программы фейлится, и в качестве правильного ответа принимают 1:1000000, то это говорит о том, что собеседование проводят совершенно неквалифицированные ребята. Не надо там работать.
