Microsoft опять удивляет
#1 Оффлайн
Опубликовано 10.01.2008 - 23:41
Microsoft Security Bulletin MS08-001 – Critical
Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (941644)
Т.е. любой эксплоит теперь легко может запустить любую программу и даже посоздавать пользователей с правами администратора, действует на все версии Windows, а под Висту даже обновлений пока нет.
#2 Оффлайн
Опубликовано 11.01.2008 - 00:11
Два - товарищ Димитриус, вы случайно не продаёте тот танк, в котором явно находились последние лет пять? Подобные хохмочки ещё со времён лавсана не новость...
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
#3 Оффлайн
Опубликовано 11.01.2008 - 00:28
#4 Оффлайн
Опубликовано 11.01.2008 - 00:34
Крупнейший в истории человечества суперкомпьютер был запущен в конце августа, однако это событие оказалось практически незамеченным широкой общественностью.
Storm World MapБотнет «Storm», состоящий из инфицированных троянами компьютеров, на данный момент по разным оценкам насчитывает от одного до десяти миллионов систем (до этого крупнейшим СК был BlueGene/L, состоящий из 128,000 процессорных систем). Средняя частота процессора в Шторме — 2.5ГГц, объём памяти — 1Гб, скоростью доступа к сети — около 2Мб/сек (подробности). Его производительность превосходит суммарную производительность десяти мощнейших СК, известных до этого момента.
В отличие от всех остальных СК, подконтрольных правительственным структурам, «Шторм», по всем внешним признакам, является творением злоумышленников, однако их конечные цели пока неизвестны. Объединение троянов и червей в сети, манипулируемые злоумышленником — обыденное явление; обычно такие сети используются для рассылки спама или хулиганства (можно, например, «завалить» на время какой-нибудь сервер). Такую сеть легко вывести из строя, нарушив её связь с центральным, координирующим сервером, превратив отдельные машины в безвредных зомби; эти сервера в течении нескольких часов вычисляются и обезвреживаются лабораториями по разработке антивирусов. В случае с «Штормом» такой сценарий не сработает, по двум причинам.
Во-первых, анализ существующего кода показывает, что в данном случае центрального сервера нет: сеть остроена по принципу «peer-to-peer», каждая заражённая машина поддерживает контакт с нескольким десятком других машин, но полный их список отсутствует (именно это затрудняет точную оценку размеров сети). Машины могут взаимодействовать друг с другом, команды извне сети они не принимают. Отключить их можно только разобравшись в протоколе общения и, как это ни парадоксально, поразив сеть другим, «исцеляющим» вирусом. Если, конечно, протокол общения это допускает.
Во-вторых, в «Шторм» заложен инстинкт самосохранения. Он постоянно следит за безопасностью заражённых систем и, при обнаружении сканирования или попытки проникновения в них, сам запускает скоординированную атаку на сеть, из которой производится вторжение. В силу описанной распределённой структуры сети, атака сначала может показаться не очень сильной, но она способна раскачаться до колоссальных объёмов.
Кроме того, с момента обнаружения несколько раз менялся способ распространения: сначала использовалась почтовая рассылка исполняемых файлов, затем — распространение ссылок на заражённые файлы, открываемые браузером, затем — завлечение пользователей на сайт, внешне очень похожий на YouTube. Причины и источники этих мутаций неизвестны. Скорее всего, модицфикация была произведена авторами червя, но при такой производительности и правильных начальных алгоритмах, полученному суперкомпьютеру вполне по силам «читать» новости о себе в Google News, новости о дырах в системах безопасности, менять тактику, параллельно лишая известные антивирусные лаборатории интернета.
Всё это уже сейчас выходит за рамки простых шуток школьников и студентов, и не исключено, что в конечном счёте источником «Шторма» окажется вовсе не простой злоумышленник, и даже не антивирусная лаборатория. Шутки ради вспомним описание SkyNet по версии авторов «Терминатора 3»:
Skynet was created as a United States Air Force project, a distributed computer network designed to create new military vehicles and make strategic decisions as well as protect their computer systems from virus attacks. One such virus had infected their defense computers, crippling them all. Under pressure, the Air Force attempted to use Skynet to remove the virus, not realizing that Skynet was sentient and had created the virus in order to manipulate humanity into giving it control over the world's computers. Skynet was initially thought to be capable of being shut down if only someone could reach its system core, but ultimately it was discovered that it was nothing more than software that ran by spreading throughout the world's computer networks and had no central point from which it could be disabled.
Одно можно сказать точно: при любом исходе этот прецедент сильно повлияет на компьютерные вирусы будущего. Их авторы редко отличаются изобретательностью, но любят воспроизводить (постепенно оттачивая) известные им технологии. Активная самооборона — новое слово в вирусостроении, остаётся всего один шаг: самообучение.
2007/09/09: очередная спам-атака «Шторма» призывает пользователя установить клиент «Tor» — систему анонимизации, делающую невозможным отслеживание трафика пользователя. Сам «Шторм» не использует Tor для своих целей, побочный эффект такого паразитирования — огромное внимание к системе, официально призванной обезопасить людей от вторжения в личную жизнь. Технологии корпораций фактически используются для борьбы с «большим братом», или, по крайней мере, нас заставляют так думать.
Что касается самого «Шторма», для понижения собственной уязвимости он применяет набирающую популярность технологию fast-flux DNS, использующую огромное количество резервных дублирующих серверов, динамически перераспределяющих обязанности. В случае со «Штормом», количество таких серверов составляет примерно 2000, распределены они по четырём сотням провайдеров в 50 странах мира. Это — количество серверов, которое необходимо отключить, чтобы вывести «Шторм» из строя.
"Fast-flux — это не плохие парни, пытающиеся спрятаться. Это — плохие парни, которые говорят: мы здесь, приди и забери нас. И ты не можешь." — Эдам Уотерс, начальник службы поддержки Security Intelligence.
Спасиры использовали fast-flux ещё в конце 90-х, когда большая часть пользователей интернета использовала dial-up. Уже тогда отключить их было крайне сложно, единственный способ — удалить запись о регистрации домена из глобального DNS. Но когда ботнеты используют свой собственный DNS, не имеющий отношения к тому, который контроллирует американская организация ICANN, отключить их практически невозможно. По оценкам компании «Secure Computing», занимающейся сетевой безопасностью, общий объём ботнетов, на данный момент использующих технологию fast-flux, составляет примерно 50 миллионов машин.
Оригинал сдесь: Storm Bot сеть
#5 Оффлайн
Опубликовано 11.01.2008 - 01:30
Линукс - линуксом, а не следить за новостями безопасности - грешно...мой танк называется suse, под которой я сейчас и сижу, а про дырки в ваших бронетранспортерах вы уже знаете по поводу раз - файрвол эту дырку не обрабатывает, т.к. она находится до его включения в работу в драйвере tcp/ip
По поводу "До включения файрволла в работу"... Про хардверные файрволлы ви таки что-нибудь слышали? ;-) А про простое отсутствие внешнего сетевого адреса у машины? ;-)
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
#6 Оффлайн
Опубликовано 11.01.2008 - 01:39
как уже писал Dimitrius, технологии совершенствуются. например комбинируются. уже были преценденты, когда черви тянули за собой adware, backdoors и прочих коллег по цеху
#7 Оффлайн
Опубликовано 11.01.2008 - 01:46
#8 Оффлайн
Опубликовано 11.01.2008 - 11:04
З.Ы. ЦТС и ЛавСан - это вообще отдельная песня. Лебединая.
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
#9 Оффлайн
Опубликовано 11.01.2008 - 11:24
#10 Оффлайн
Опубликовано 11.01.2008 - 11:50
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
#11 Оффлайн
Опубликовано 11.01.2008 - 12:11
#12 Оффлайн
Опубликовано 11.01.2008 - 12:32
З.Ы. У ADSL-модема есть одна функция, которая его от дохлой машинки с линуксом отличает очень хорошо ;-)
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
#13 Оффлайн
Опубликовано 11.01.2008 - 12:40
#14 Оффлайн
Опубликовано 11.01.2008 - 17:35
хех. а что простите живет внутри ADSL модема? пальцем на сорцы показать?)
к тому же интересный расклад
ЦТС - подключение IPoE, либо PPPoE (оба с внешним адресом)
Энтер (Энфорта, Скайтелеком) - "серая" сетка + выход в инет через VPN
Спарк - серая сетка, внешние адреса
Корбина - серая сетка + выделенные адреса
ЮТК - абонент сидит ЗА модемом, имея серый адрес. это если не подключать Медиазону))
итого? сюжет с Лавсаном в серой сетке? хорошо, допустим таких гуру, как вы с персонально выбранным модемом целых 2%. посчитаете остальное количество?
#15 Оффлайн
Опубликовано 11.01.2008 - 18:43
Линукс. Коцаный, но линукс. И что?
> посчитаете остальное количество?
Знаете, где я видел это остальное количество, да? Не можешь защитить Винду - сиди на фряхе и не гавкай, вот такое вот у меня кредо =))
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
#16 Оффлайн
Опубликовано 11.01.2008 - 21:21