offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Tu smo, 2007 godina, godina koja ce po mojim predvidjanjima ostati zapamcena kao katastrofalna godina po pitanju sigurnosti.
Bice malo teze napisati ovaj clanak, jer bukvalno ne znam odakle da krenem s obzirom na broj faktora koji su bitni za celu pricu, i koji su medjusobno zavisni...
Faktor: Windows Vista
Izlazak Viste je trenutno najveca glavobolja proizvodjacima anti-virus programa zahvaljujuci neprestanim promenama u doticnom OS-u sve do pred sam izlazak na trziste.
Taman ljudi naprave anti-virus koji je kompatibilan sam jednom beta verzijom - u sledecoj beti vec ne radi zato sto je promenjeno nesto ispod haube u samom operativnom sistemu.
Dok je trenutno tek nekih 20% antivirus programa potpuno kompatibilno sa Vistom, 80% malwarea pisanih za XP rade i na Visti bez vecih problema.
Ako na sve ovo dodamo koliko ulaganja je potrebno u poseban razvoj 64-bitnih verzija AV programa, dolazimo do zakljucka da su AV kompanije na velikoj muci.
Predvidjanja su da ce anti-virus programi biti u mogucnosti da zastite Vistu na nivou na kojem stite XP tek za nekih 6 meseci.
Cak i ako vi imate AV program koji je kompatibilan, to vas nece u potpunosti zastititi sve dok vecina racunara sa kojima je vas racunar u kontaktu (putem LAN-a ili interneta) ne budu zasticeni.
Faktor: Vista je sigurnija od XP-a
Cak i da jeste (a nije), prelazak na Vistu nece ici tako brzo.
Najjaca struja prelaska na Vistu ce biti putem kupovine novih racunara, koji ce dolaziti sa preinstaliranom Vistom, posto MS nece vise isporucivati XP proizvodjacima kucnih racunara.
Posto su izucili zanat sa XP-om (Home i Pro verzije), Vista ce se do kraja godine pojaviti u nekih 8 verzija. Sa novim kompjuterima ce se u vecini slucajeva isporucivati ona najjevtinija verzija, tako da ce vecina korisnika da se odluci da naknadno kupi neku bolju verziju. Tako MS dva puta ubira pare od jednog korisnika - jednom za OEM verziju koja je naplacena kroz cenu racunara, drugi put za bolju verziju koju je korisnik sam naknadno kupio.
Faktor: Windows update
Za Windows 2000 se vec neko vreme ne objavljuju patchevi, tj. ne postoji update, a broj korisnika istog se broji milionima.
Kada je o XP-u rec, zadnja studija je pokazala da u USA preko 20% korisnika ima nelegalnu kopiju. Ovo su ustanovili prema broju neuspesnih updatea. Broj onih koji nisu ni pokusali da koriste Windows update, jer znaju da imaju nelegalnu verziju, nije poznat.
U Aziji broj nelegalnih kopija prelazi 55% u zvanicnim statistikama.
Ako zberemo broj onih koji zbog nelegalnih kopija ne rade update, broj potencijalnih gnezdista za botove je ogroman.
Zbog cene Viste, a i zbog toga sto ce novi kompovi u vecini slucajeva dolaziti sa okrnjenim verzijama, broj nelegalnih kopija Premium verzija ce daleko prevazici broj legalnih verzija.
Ukoliko MS bude nastavio politiku da se update ne omoguci nelegalnim verzijama, imacemo par miliona gnezdista za botove.
Faktor: velike firme
Zamislite firmu sa 10 kompova na kojima je XP ili Win98 (prosecan Pentium III). Ukoliko ih MS natera na upgrade, to bi firmu kostalo 10x600 evra za hardver + 10x300 evra za Vistu. Stigli smo do cifre od 9000 evra za jednu malu firmicu.
Kontate koliki ce otpor firme da pruzaju prelasku na Vistu?
MS je vec ukinuo podrsku za Win98 i Win2k, a najverovatnije ce za XP da smanje lifecycle da bi isforsirali prelazak na Vistu.
Kako ce i XP-ovci za godinu ili dve ostati bez Windows Updatea, stanje po pitanju bezbednosti (crvi i botovi) ce biti katastrofalno.
Faktor: komercijalni malware
Mozda ste se zapitali zasto non-stop spominjem botove - zato sto se proizvode preko 100 razlicitih verzija dnevno, ostavljajuci daleko iza sebe proizvodnju svih drugih vidova malwarea.
Od mreza botova se ZARADJUJE, pa su zato i najprimamljiviji za pravljenje i distribuiranje.
Skorasnja studije su pokazale uticaj spama na berze. Zapitacete se kako?
Zamislimo da neki drzi pod kontrolom 1.000 kompjutera uz pomoc bota koji je sposoban da salje mailove i sa tih kompova posalje lazne dojave o kretanju akcija na berzi na 100.000 mail adresa.
Spamovanje posecenih IRC kanala reklamama - ovo je zadatak vecine danasnjih botova.
Posto smo malopre dotakli spamovanje mailovima, red je da vam objsnim i tehniku koju koriste da se sigurno provuku kraj spam-filtera:
Bot pokupi tekst sa sajta tipa Wikipedia ili sa sajta neke biblioteke (deo nekog romana ili nesto slicno), cime ima totalno legitiman tekst za mail, a ne ponavlja se jer svaki put pokupi drugi tekst sa sajtova.
Sam tekst sluzi samo da bi se provukao kraj spam filtera.
Na pocetak samog maila ubaci sliku u kojoj je tekst kojim stvarno spamuje. Da bi prosli i kraj OCR komponenti spam-filtera, tu sliku obicno naprave da bude animirani GIF, tako da ce OCR biti prevaren u vecini slucajeva jer prvi frejm GIF-a uglavnom sadrzi bezazlenu sliku ili saru.
Faktor: snaga botnetova
Ukoliko je neko citao moju skoriju temu o napadu na sajtove koji su sluzili kao mirrori za anti-rootkit program GMER, saznao je nesto o snazi trenutnih botnetova.
Da se osvrnemo na teoriju filtriranja napada (ugradjenu u hardverske i softverske firewallove): Firewall pravi tabelu u vidu stacka u memorji, i u nju ubacuje IP adrese sa kojih je neko pristupio branjenom kompjuteru.
Ukoliko se neka IP adresa nadje odredjen broj puta u tabeli - njoj se zabrani pristup.
Ukoliko je napad takav da se istovremeno napada sa 10.000 IP adresa, a u spomenutoj tabeli ima mesta za samo 1000 adresa, verovatnoca da ce se jedna IP adresa naci u tabeli vise puta je jako mala.
Tabela mora da se prazni, tj. kada se pojavi nova IP adresa, iz tabele se izbacuje ona najstarija zapamcena. Ukoliko se postavi pravilo da se IP adresa banuje kada se pojavi 10 puta u tabeli, pri napadu velikog botneta ni jedna IP adresa se nece pojaviti 10 puta istovremeno u tabeli.
Cak i ako filtriranje uspe, zasticen je deo mreze iza firewalla, a deo ispred njega ce biti zagusen, tako da kompovi iza firewalla nece biti dostupni sa neta cak ni onima kojima stvarno trebaju.
Faktor: politika ISP-ova
Kada je rec o botnetovima i napadima koje proizvode, dolazimo do pitanja sta ISP-ovi preduzimaju povodom toga.
U slucaju napada na GMER mirrore, daleko lakse im je bilo da mirrore uklone sa mreze nego da pozovu svoje korisnike i da ih obaveste da se njihovi kompjuteri koriste za sirenje zaraza i za DDoS napade.
Pobogu, trebalo je obavestiti i uznemiriti 10.000 korisnika, od kojih bi se neki mozda i naljutili ili presli na usluge drugog ISP-a cija je mreza sigurnija. Daleko lakse je bilo iskljuciti pristup dvadesetini kompova koji su sluzili za borbu protiv malwarea.
Faktor: rootkitovi
Ovo je faktor zbog kojeg MS toliko forsira Vistu, jer se navodno na njoj ne mogu ubaciti rootkitovi. Proci ce vise od 10 godina dok se ne povuku iz upotrebe vecin racunara na kojima ce i dalje da se vrte XP i Win2k, tako da ce faktor rootkita biti jos dugo aktuelan.
Ukoliko se jos pokaze da je moguce ubaciti rootkit i na Vistu, onda je situacija jos gora.
Pred kraj prosle godine i pocetkom ove, prikazani su snimci dva rootkita koje je nemoguce otkriti bilo kojom od pozntih tehnika. Sreca sto su autori tih konceptualnih rootkitova dobri momci, ali je samo pitanje vremena dok iste tehnologije ne razviju i losi momci.
Faktor: IFRAME
Mozete zamisliti da je forum Neowin bio hacknut prethodnih dana, i da je bio ubacen IFRAME koji je instalirao malware?
Neowin broj par stotina hiljada poseta dnevno, obozavaoce MS-ovih tehnologija. Ukoliko su barem polovina njih koristili Internet Explorer, onda su sigurno sada zarazeni.
Distribuirano je bilo par razlicitih malwarea koji u momentu distribucije preko spornog IFRAME-a nisu bili prepoznati od strane vodecih AV programa.
IFRAME je legitiman HTML objekat, ali ukoliko se njegove dimenzije smanje na 0x0 pixela, onda je prakticno nevidljiv i moze posluziti za exploite a da posetilac sajta ne posumnja da se nesto desava, sto daje dovoljno vremena exploitu da odradi svoj posao.
Faktor: lazni bezbedonosni programi - Ransomware
Videli ste milion reklama na netu za nove antivirus programe, odlicne registry cleanere ili razne HDD doktore koji ce da vam ubrzaju HD za preko 50%?
Ja ih vidjam svaki dan.
Pre mesec dana sam izdvojio dva dana da proucim neke od njih:
- jedan mi je preimenovao svaki dll koji je postojao u System32 folderu, i sistem je funkcionisao samo dok je taj program bio instaliran jer je samo on znao kako da prosledi pozive sada preimenovanim DLL-ovima.
Trazio je 35$ da ga se otarasim.
- jedan je od svih DOC, XLS, JPG, PNG, AVI i ostalih fajlova koji mogu biti radovi, napravio EXE fajlove taok sto je na svaki fajl dodao EXE-stub, a sadrzaj kriptovao. Trazio je 19$ da bi mi vratio fajlove
- ...
Sreca sto sam znao sta radim, i sto sam ovo radio u virtualnoj masini. Jadni oni koji nasednu na ove gluposti.
Ja ne bih ni za zivu glavu ispobavao neki novi antivirus, registry cleaner, disk cleaner... dok mi ga ne preporuce barem 3 poznanika za koje znam da znaju malo vise o kompovima.
Da pokusam da rezimiram:
Piratski Windows = nema IE 7 = IFRAME i exploiti = zarazen komp koji spamuje, napada, siri zarazu, utice na akcije na berzi, siri reklame o za-odrasle-ografiji, sluzi kriminalcima
Piratski Windows = nema novi Windows Media Player = FireFox koristi IE engine za prikazivanje WMV videa = exploiti koji ce da instaliraju malware pri preuzimanju DRM-a za video fajlove = zarazen komp
Java, koja je ogromna za skidanje pa ljudi retko skidaju novije verzije = leglo gamadi
Java, koja ne deinstalira staru verziju pri instalaciji nove verzije, vec to korisnik mora sam = isto leglo gamadi
p2p = Kapucen i Drefir crvi = dovlacenje drugih gamadi
mIRC (ne i drugi IRC klijenti) = leglo zaraza
fancy mIRC skripte - 95% dolaze sa Zapchast-om
WinAMP i Windows Media Player = leglo zaraza ukoliko pustaju audio/video materijal direktno sa neta
Slag na tortu
- virusi koji koriste Power Shell koji dolazi uz Vistu
- malware koji se ugradjuje u flash memorije grafickih karti
- virusi od kojih je nemoguce spasiti sistem osim formatiranjem (Sality, Parite.B). Ni najbolji AV programi ih ne mogu otkloniti sa vise od 90% uspeha
- botovi koji komuniciraju cak i kroz rutere i switcheve
- ni najjace antivirus kompanije ne uspevaju da proprate vise od 40% napasti koje izadju u jednom danu. Ovo odgovorno tvrdim.
Ko je pogodjen ?
Svi, pocev od onih sto kompjuterskog misa drze kao daljinac za TV, pa do velikih kompanija koje ulazu milione u zastitu.
Mogu da se kladim da ce ove godine Gromozon ekipa imati botnet kojim mogu oboriti sve, pocev od Google-a pa do Microsofta.
Tema za razmisljanje
Zasto je vecina zarazenih kompova u Evropi i USA zarazena malwareom koji potice iz Kine?
|
