http://www.microsoft...n/MS08-001.mspx
Microsoft Security Bulletin MS08-001 – Critical
Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (941644)
Т.е. любой эксплоит теперь легко может запустить любую программу и даже посоздавать пользователей с правами администратора, действует на все версии Windows, а под Висту даже обновлений пока нет.
Microsoft опять удивляет
Начал
Dimitrius
, 10.01.08 23:41
15 ответов в теме
#1
Оффлайн
Dimitrius
-
- Форумец
-
- 1 730 Сообщений:
Герой флейма
#2
Оффлайн
Inetman
-
- Модератор
-
- 57 232 Сообщений:
The Drot
Опубликовано 11.01.2008 - 00:11
Не любой и не любую. Это раз.
Два - товарищ Димитриус, вы случайно не продаёте тот танк, в котором явно находились последние лет пять? Подобные хохмочки ещё со времён лавсана не новость...
Два - товарищ Димитриус, вы случайно не продаёте тот танк, в котором явно находились последние лет пять? Подобные хохмочки ещё со времён лавсана не новость...
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
#3
Оффлайн
Dimitrius
-
- Форумец
-
- 1 730 Сообщений:
Герой флейма
Опубликовано 11.01.2008 - 00:28
мой танк называется suse, под которой я сейчас и сижу, а про дырки в ваших бронетранспортерах вы уже знаете 
по поводу раз - файрвол эту дырку не обрабатывает, т.к. она находится до его включения в работу в драйвере tcp/ip, антивирусники в последнее время скатились к алгоритмам 90-х, когда простой перепаковщик делает старый троян новым, просто статистику долгожителей из вирусов почитайте, и поймете о чем я а дырка серьёзней не бывает...
по поводу раз - файрвол эту дырку не обрабатывает, т.к. она находится до его включения в работу в драйвере tcp/ip, антивирусники в последнее время скатились к алгоритмам 90-х, когда простой перепаковщик делает старый троян новым, просто статистику долгожителей из вирусов почитайте, и поймете о чем я а дырка серьёзней не бывает...
#4
Оффлайн
Dimitrius
-
- Форумец
-
- 1 730 Сообщений:
Герой флейма
Опубликовано 11.01.2008 - 00:34
А вот к чему эта дырка может очень быстро привести: к расширению вот этого чуда, потому как эксплоит теперь не надо маскировать под безобидные аттачи, достаточно просто выпустить зараженный комп в сетку..... Подробности про Storm ниже:
Крупнейший в истории человечества суперкомпьютер был запущен в конце августа, однако это событие оказалось практически незамеченным широкой общественностью.
Storm World MapБотнет «Storm», состоящий из инфицированных троянами компьютеров, на данный момент по разным оценкам насчитывает от одного до десяти миллионов систем (до этого крупнейшим СК был BlueGene/L, состоящий из 128,000 процессорных систем). Средняя частота процессора в Шторме — 2.5ГГц, объём памяти — 1Гб, скоростью доступа к сети — около 2Мб/сек (подробности). Его производительность превосходит суммарную производительность десяти мощнейших СК, известных до этого момента.
В отличие от всех остальных СК, подконтрольных правительственным структурам, «Шторм», по всем внешним признакам, является творением злоумышленников, однако их конечные цели пока неизвестны. Объединение троянов и червей в сети, манипулируемые злоумышленником — обыденное явление; обычно такие сети используются для рассылки спама или хулиганства (можно, например, «завалить» на время какой-нибудь сервер). Такую сеть легко вывести из строя, нарушив её связь с центральным, координирующим сервером, превратив отдельные машины в безвредных зомби; эти сервера в течении нескольких часов вычисляются и обезвреживаются лабораториями по разработке антивирусов. В случае с «Штормом» такой сценарий не сработает, по двум причинам.
Во-первых, анализ существующего кода показывает, что в данном случае центрального сервера нет: сеть остроена по принципу «peer-to-peer», каждая заражённая машина поддерживает контакт с нескольким десятком других машин, но полный их список отсутствует (именно это затрудняет точную оценку размеров сети). Машины могут взаимодействовать друг с другом, команды извне сети они не принимают. Отключить их можно только разобравшись в протоколе общения и, как это ни парадоксально, поразив сеть другим, «исцеляющим» вирусом. Если, конечно, протокол общения это допускает.
Во-вторых, в «Шторм» заложен инстинкт самосохранения. Он постоянно следит за безопасностью заражённых систем и, при обнаружении сканирования или попытки проникновения в них, сам запускает скоординированную атаку на сеть, из которой производится вторжение. В силу описанной распределённой структуры сети, атака сначала может показаться не очень сильной, но она способна раскачаться до колоссальных объёмов.
Кроме того, с момента обнаружения несколько раз менялся способ распространения: сначала использовалась почтовая рассылка исполняемых файлов, затем — распространение ссылок на заражённые файлы, открываемые браузером, затем — завлечение пользователей на сайт, внешне очень похожий на YouTube. Причины и источники этих мутаций неизвестны. Скорее всего, модицфикация была произведена авторами червя, но при такой производительности и правильных начальных алгоритмах, полученному суперкомпьютеру вполне по силам «читать» новости о себе в Google News, новости о дырах в системах безопасности, менять тактику, параллельно лишая известные антивирусные лаборатории интернета.
Всё это уже сейчас выходит за рамки простых шуток школьников и студентов, и не исключено, что в конечном счёте источником «Шторма» окажется вовсе не простой злоумышленник, и даже не антивирусная лаборатория. Шутки ради вспомним описание SkyNet по версии авторов «Терминатора 3»:
Skynet was created as a United States Air Force project, a distributed computer network designed to create new military vehicles and make strategic decisions as well as protect their computer systems from virus attacks. One such virus had infected their defense computers, crippling them all. Under pressure, the Air Force attempted to use Skynet to remove the virus, not realizing that Skynet was sentient and had created the virus in order to manipulate humanity into giving it control over the world's computers. Skynet was initially thought to be capable of being shut down if only someone could reach its system core, but ultimately it was discovered that it was nothing more than software that ran by spreading throughout the world's computer networks and had no central point from which it could be disabled.
Одно можно сказать точно: при любом исходе этот прецедент сильно повлияет на компьютерные вирусы будущего. Их авторы редко отличаются изобретательностью, но любят воспроизводить (постепенно оттачивая) известные им технологии. Активная самооборона — новое слово в вирусостроении, остаётся всего один шаг: самообучение.
2007/09/09: очередная спам-атака «Шторма» призывает пользователя установить клиент «Tor» — систему анонимизации, делающую невозможным отслеживание трафика пользователя. Сам «Шторм» не использует Tor для своих целей, побочный эффект такого паразитирования — огромное внимание к системе, официально призванной обезопасить людей от вторжения в личную жизнь. Технологии корпораций фактически используются для борьбы с «большим братом», или, по крайней мере, нас заставляют так думать.
Что касается самого «Шторма», для понижения собственной уязвимости он применяет набирающую популярность технологию fast-flux DNS, использующую огромное количество резервных дублирующих серверов, динамически перераспределяющих обязанности. В случае со «Штормом», количество таких серверов составляет примерно 2000, распределены они по четырём сотням провайдеров в 50 странах мира. Это — количество серверов, которое необходимо отключить, чтобы вывести «Шторм» из строя.
"Fast-flux — это не плохие парни, пытающиеся спрятаться. Это — плохие парни, которые говорят: мы здесь, приди и забери нас. И ты не можешь." — Эдам Уотерс, начальник службы поддержки Security Intelligence.
Спасиры использовали fast-flux ещё в конце 90-х, когда большая часть пользователей интернета использовала dial-up. Уже тогда отключить их было крайне сложно, единственный способ — удалить запись о регистрации домена из глобального DNS. Но когда ботнеты используют свой собственный DNS, не имеющий отношения к тому, который контроллирует американская организация ICANN, отключить их практически невозможно. По оценкам компании «Secure Computing», занимающейся сетевой безопасностью, общий объём ботнетов, на данный момент использующих технологию fast-flux, составляет примерно 50 миллионов машин.
Оригинал сдесь: Storm Bot сеть
Крупнейший в истории человечества суперкомпьютер был запущен в конце августа, однако это событие оказалось практически незамеченным широкой общественностью.
Storm World MapБотнет «Storm», состоящий из инфицированных троянами компьютеров, на данный момент по разным оценкам насчитывает от одного до десяти миллионов систем (до этого крупнейшим СК был BlueGene/L, состоящий из 128,000 процессорных систем). Средняя частота процессора в Шторме — 2.5ГГц, объём памяти — 1Гб, скоростью доступа к сети — около 2Мб/сек (подробности). Его производительность превосходит суммарную производительность десяти мощнейших СК, известных до этого момента.
В отличие от всех остальных СК, подконтрольных правительственным структурам, «Шторм», по всем внешним признакам, является творением злоумышленников, однако их конечные цели пока неизвестны. Объединение троянов и червей в сети, манипулируемые злоумышленником — обыденное явление; обычно такие сети используются для рассылки спама или хулиганства (можно, например, «завалить» на время какой-нибудь сервер). Такую сеть легко вывести из строя, нарушив её связь с центральным, координирующим сервером, превратив отдельные машины в безвредных зомби; эти сервера в течении нескольких часов вычисляются и обезвреживаются лабораториями по разработке антивирусов. В случае с «Штормом» такой сценарий не сработает, по двум причинам.
Во-первых, анализ существующего кода показывает, что в данном случае центрального сервера нет: сеть остроена по принципу «peer-to-peer», каждая заражённая машина поддерживает контакт с нескольким десятком других машин, но полный их список отсутствует (именно это затрудняет точную оценку размеров сети). Машины могут взаимодействовать друг с другом, команды извне сети они не принимают. Отключить их можно только разобравшись в протоколе общения и, как это ни парадоксально, поразив сеть другим, «исцеляющим» вирусом. Если, конечно, протокол общения это допускает.
Во-вторых, в «Шторм» заложен инстинкт самосохранения. Он постоянно следит за безопасностью заражённых систем и, при обнаружении сканирования или попытки проникновения в них, сам запускает скоординированную атаку на сеть, из которой производится вторжение. В силу описанной распределённой структуры сети, атака сначала может показаться не очень сильной, но она способна раскачаться до колоссальных объёмов.
Кроме того, с момента обнаружения несколько раз менялся способ распространения: сначала использовалась почтовая рассылка исполняемых файлов, затем — распространение ссылок на заражённые файлы, открываемые браузером, затем — завлечение пользователей на сайт, внешне очень похожий на YouTube. Причины и источники этих мутаций неизвестны. Скорее всего, модицфикация была произведена авторами червя, но при такой производительности и правильных начальных алгоритмах, полученному суперкомпьютеру вполне по силам «читать» новости о себе в Google News, новости о дырах в системах безопасности, менять тактику, параллельно лишая известные антивирусные лаборатории интернета.
Всё это уже сейчас выходит за рамки простых шуток школьников и студентов, и не исключено, что в конечном счёте источником «Шторма» окажется вовсе не простой злоумышленник, и даже не антивирусная лаборатория. Шутки ради вспомним описание SkyNet по версии авторов «Терминатора 3»:
Skynet was created as a United States Air Force project, a distributed computer network designed to create new military vehicles and make strategic decisions as well as protect their computer systems from virus attacks. One such virus had infected their defense computers, crippling them all. Under pressure, the Air Force attempted to use Skynet to remove the virus, not realizing that Skynet was sentient and had created the virus in order to manipulate humanity into giving it control over the world's computers. Skynet was initially thought to be capable of being shut down if only someone could reach its system core, but ultimately it was discovered that it was nothing more than software that ran by spreading throughout the world's computer networks and had no central point from which it could be disabled.
Одно можно сказать точно: при любом исходе этот прецедент сильно повлияет на компьютерные вирусы будущего. Их авторы редко отличаются изобретательностью, но любят воспроизводить (постепенно оттачивая) известные им технологии. Активная самооборона — новое слово в вирусостроении, остаётся всего один шаг: самообучение.
2007/09/09: очередная спам-атака «Шторма» призывает пользователя установить клиент «Tor» — систему анонимизации, делающую невозможным отслеживание трафика пользователя. Сам «Шторм» не использует Tor для своих целей, побочный эффект такого паразитирования — огромное внимание к системе, официально призванной обезопасить людей от вторжения в личную жизнь. Технологии корпораций фактически используются для борьбы с «большим братом», или, по крайней мере, нас заставляют так думать.
Что касается самого «Шторма», для понижения собственной уязвимости он применяет набирающую популярность технологию fast-flux DNS, использующую огромное количество резервных дублирующих серверов, динамически перераспределяющих обязанности. В случае со «Штормом», количество таких серверов составляет примерно 2000, распределены они по четырём сотням провайдеров в 50 странах мира. Это — количество серверов, которое необходимо отключить, чтобы вывести «Шторм» из строя.
"Fast-flux — это не плохие парни, пытающиеся спрятаться. Это — плохие парни, которые говорят: мы здесь, приди и забери нас. И ты не можешь." — Эдам Уотерс, начальник службы поддержки Security Intelligence.
Спасиры использовали fast-flux ещё в конце 90-х, когда большая часть пользователей интернета использовала dial-up. Уже тогда отключить их было крайне сложно, единственный способ — удалить запись о регистрации домена из глобального DNS. Но когда ботнеты используют свой собственный DNS, не имеющий отношения к тому, который контроллирует американская организация ICANN, отключить их практически невозможно. По оценкам компании «Secure Computing», занимающейся сетевой безопасностью, общий объём ботнетов, на данный момент использующих технологию fast-flux, составляет примерно 50 миллионов машин.
Оригинал сдесь: Storm Bot сеть
#5
Оффлайн
Inetman
-
- Модератор
-
- 57 232 Сообщений:
The Drot
Опубликовано 11.01.2008 - 01:30
Линукс - линуксом, а не следить за новостями безопасности - грешно...мой танк называется suse, под которой я сейчас и сижу, а про дырки в ваших бронетранспортерах вы уже знаете
По поводу "До включения файрволла в работу"... Про хардверные файрволлы ви таки что-нибудь слышали? ;-) А про простое отсутствие внешнего сетевого адреса у машины? ;-)
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
#6
Оффлайн
nobody.ru
-
- Форумец
-
- 3 Сообщений:
Начинающий флеймер
Опубликовано 11.01.2008 - 01:39
даже не смешно. если помните, даже у Cisco были дырки, цитирую - "способные поставить интернет на колени". а теперь подумаем - у какого процента пользователей windows хардварный файрволл? и кто мешает юзать тот же mail/activex/... дроппер для проникновения в серую сеть и дальнейшего распространения через этот фокус с IGMP?
как уже писал Dimitrius, технологии совершенствуются. например комбинируются. уже были преценденты, когда черви тянули за собой adware, backdoors и прочих коллег по цеху
как уже писал Dimitrius, технологии совершенствуются. например комбинируются. уже были преценденты, когда черви тянули за собой adware, backdoors и прочих коллег по цеху
#7
Оффлайн
Dimitrius
-
- Форумец
-
- 1 730 Сообщений:
Герой флейма
Опубликовано 11.01.2008 - 01:46
Про хардварные и слышали и щупали и при чем тут они не понимаю ,) про серые ип - вспомним лавсан, пробравшийся в сетку к цтсникам, все кто коннектился в тот день к интернету получал перезагрузку компьютера
#8
Оффлайн
Inetman
-
- Модератор
-
- 57 232 Сообщений:
The Drot
Опубликовано 11.01.2008 - 11:04
О, про лавсан, значит, мы всё-таки помним. Удивительно даже! Так вот, если на границе между внутренней и внешней сетью нет подверженных машин то, при условии непередаваемости вируса, использующего этот баг, другими путями - фик оно туда пролезет.
З.Ы. ЦТС и ЛавСан - это вообще отдельная песня. Лебединая.
З.Ы. ЦТС и ЛавСан - это вообще отдельная песня. Лебединая.
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
#9
Оффлайн
Dimitrius
-
- Форумец
-
- 1 730 Сообщений:
Герой флейма
Опубликовано 11.01.2008 - 11:24
Лучше перестраховаться и поставить себе дохлую машинку за 500р роутером на линухе, тогда никакой скомпроментированный комп в сетке прова не страшен
#10
Оффлайн
Inetman
-
- Модератор
-
- 57 232 Сообщений:
The Drot
Опубликовано 11.01.2008 - 11:50
Достаточно нормального ADSL-модема =)
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
#11
Оффлайн
Dimitrius
-
- Форумец
-
- 1 730 Сообщений:
Герой флейма
Опубликовано 11.01.2008 - 12:11
Нормальный ADSL модем - это на самом деле и есть дохлая машинка с линуксом, но правда дороже, чем 500р. и не всем её ставят, например мне цтсники воткнули вообще speedtouch алкателевский, в котором ну ничего нет 
#12
Оффлайн
Inetman
-
- Модератор
-
- 57 232 Сообщений:
The Drot
Опубликовано 11.01.2008 - 12:32
Это называется - спаси себя сам. Я вот спас, мне пофик было, что там кому ставят, я сначала выбрал и купил модем, а потом пошёл подключаться =)
З.Ы. У ADSL-модема есть одна функция, которая его от дохлой машинки с линуксом отличает очень хорошо ;-)
З.Ы. У ADSL-модема есть одна функция, которая его от дохлой машинки с линуксом отличает очень хорошо ;-)
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
#13
Оффлайн
Dimitrius
-
- Форумец
-
- 1 730 Сообщений:
Герой флейма
Опубликовано 11.01.2008 - 12:40
А меня в нем все устраивает - он надежный как пробка, за 4 года круглосуточной работы ни одного зависания, реконнект раз в пол года
#14
Оффлайн
nobody.ru
-
- Форумец
-
- 3 Сообщений:
Начинающий флеймер
Опубликовано 11.01.2008 - 17:35
> У ADSL-модема есть одна функция, которая его от дохлой машинки с линуксом отличает очень хорошо ;-)
хех. а что простите живет внутри ADSL модема? пальцем на сорцы показать?)
к тому же интересный расклад
ЦТС - подключение IPoE, либо PPPoE (оба с внешним адресом)
Энтер (Энфорта, Скайтелеком) - "серая" сетка + выход в инет через VPN
Спарк - серая сетка, внешние адреса
Корбина - серая сетка + выделенные адреса
ЮТК - абонент сидит ЗА модемом, имея серый адрес. это если не подключать Медиазону))
итого? сюжет с Лавсаном в серой сетке? хорошо, допустим таких гуру, как вы с персонально выбранным модемом целых 2%. посчитаете остальное количество?
хех. а что простите живет внутри ADSL модема? пальцем на сорцы показать?)
к тому же интересный расклад
ЦТС - подключение IPoE, либо PPPoE (оба с внешним адресом)
Энтер (Энфорта, Скайтелеком) - "серая" сетка + выход в инет через VPN
Спарк - серая сетка, внешние адреса
Корбина - серая сетка + выделенные адреса
ЮТК - абонент сидит ЗА модемом, имея серый адрес. это если не подключать Медиазону))
итого? сюжет с Лавсаном в серой сетке? хорошо, допустим таких гуру, как вы с персонально выбранным модемом целых 2%. посчитаете остальное количество?
#15
Оффлайн
Inetman
-
- Модератор
-
- 57 232 Сообщений:
The Drot
Опубликовано 11.01.2008 - 18:43
> хех. а что простите живет внутри ADSL модема? пальцем на сорцы показать?)
Линукс. Коцаный, но линукс. И что?
> посчитаете остальное количество?
Знаете, где я видел это остальное количество, да? Не можешь защитить Винду - сиди на фряхе и не гавкай, вот такое вот у меня кредо =))
Линукс. Коцаный, но линукс. И что?
> посчитаете остальное количество?
Знаете, где я видел это остальное количество, да? Не можешь защитить Винду - сиди на фряхе и не гавкай, вот такое вот у меня кредо =))
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
#16
Оффлайн
nobody.ru
-
- Форумец
-
- 3 Сообщений:
Начинающий флеймер
Опубликовано 11.01.2008 - 21:21
ага. сошлись на том, что все будут сидеть на (Linux|*BSD) 8)
