Sta nas ocekuje u ovoj godini

1

Sta nas ocekuje u ovoj godini

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

Tu smo, 2007 godina, godina koja ce po mojim predvidjanjima ostati zapamcena kao katastrofalna godina po pitanju sigurnosti.

Bice malo teze napisati ovaj clanak, jer bukvalno ne znam odakle da krenem s obzirom na broj faktora koji su bitni za celu pricu, i koji su medjusobno zavisni...

Faktor: Windows Vista

Izlazak Viste je trenutno najveca glavobolja proizvodjacima anti-virus programa zahvaljujuci neprestanim promenama u doticnom OS-u sve do pred sam izlazak na trziste.
Taman ljudi naprave anti-virus koji je kompatibilan sam jednom beta verzijom - u sledecoj beti vec ne radi zato sto je promenjeno nesto ispod haube u samom operativnom sistemu.
Dok je trenutno tek nekih 20% antivirus programa potpuno kompatibilno sa Vistom, 80% malwarea pisanih za XP rade i na Visti bez vecih problema.
Ako na sve ovo dodamo koliko ulaganja je potrebno u poseban razvoj 64-bitnih verzija AV programa, dolazimo do zakljucka da su AV kompanije na velikoj muci.
Predvidjanja su da ce anti-virus programi biti u mogucnosti da zastite Vistu na nivou na kojem stite XP tek za nekih 6 meseci.
Cak i ako vi imate AV program koji je kompatibilan, to vas nece u potpunosti zastititi sve dok vecina racunara sa kojima je vas racunar u kontaktu (putem LAN-a ili interneta) ne budu zasticeni.

Faktor: Vista je sigurnija od XP-a

Cak i da jeste (a nije), prelazak na Vistu nece ici tako brzo.
Najjaca struja prelaska na Vistu ce biti putem kupovine novih racunara, koji ce dolaziti sa preinstaliranom Vistom, posto MS nece vise isporucivati XP proizvodjacima kucnih racunara.
Posto su izucili zanat sa XP-om (Home i Pro verzije), Vista ce se do kraja godine pojaviti u nekih 8 verzija. Sa novim kompjuterima ce se u vecini slucajeva isporucivati ona najjevtinija verzija, tako da ce vecina korisnika da se odluci da naknadno kupi neku bolju verziju. Tako MS dva puta ubira pare od jednog korisnika - jednom za OEM verziju koja je naplacena kroz cenu racunara, drugi put za bolju verziju koju je korisnik sam naknadno kupio.

Faktor: Windows update

Za Windows 2000 se vec neko vreme ne objavljuju patchevi, tj. ne postoji update, a broj korisnika istog se broji milionima.
Kada je o XP-u rec, zadnja studija je pokazala da u USA preko 20% korisnika ima nelegalnu kopiju. Ovo su ustanovili prema broju neuspesnih updatea. Broj onih koji nisu ni pokusali da koriste Windows update, jer znaju da imaju nelegalnu verziju, nije poznat.
U Aziji broj nelegalnih kopija prelazi 55% u zvanicnim statistikama.
Ako zberemo broj onih koji zbog nelegalnih kopija ne rade update, broj potencijalnih gnezdista za botove je ogroman.
Zbog cene Viste, a i zbog toga sto ce novi kompovi u vecini slucajeva dolaziti sa okrnjenim verzijama, broj nelegalnih kopija Premium verzija ce daleko prevazici broj legalnih verzija.
Ukoliko MS bude nastavio politiku da se update ne omoguci nelegalnim verzijama, imacemo par miliona gnezdista za botove.

Faktor: velike firme

Zamislite firmu sa 10 kompova na kojima je XP ili Win98 (prosecan Pentium III). Ukoliko ih MS natera na upgrade, to bi firmu kostalo 10x600 evra za hardver + 10x300 evra za Vistu. Stigli smo do cifre od 9000 evra za jednu malu firmicu.
Kontate koliki ce otpor firme da pruzaju prelasku na Vistu?
MS je vec ukinuo podrsku za Win98 i Win2k, a najverovatnije ce za XP da smanje lifecycle da bi isforsirali prelazak na Vistu.
Kako ce i XP-ovci za godinu ili dve ostati bez Windows Updatea, stanje po pitanju bezbednosti (crvi i botovi) ce biti katastrofalno.

Faktor: komercijalni malware

Mozda ste se zapitali zasto non-stop spominjem botove - zato sto se proizvode preko 100 razlicitih verzija dnevno, ostavljajuci daleko iza sebe proizvodnju svih drugih vidova malwarea.
Od mreza botova se ZARADJUJE, pa su zato i najprimamljiviji za pravljenje i distribuiranje.
Skorasnja studije su pokazale uticaj spama na berze. Zapitacete se kako?
Zamislimo da neki drzi pod kontrolom 1.000 kompjutera uz pomoc bota koji je sposoban da salje mailove i sa tih kompova posalje lazne dojave o kretanju akcija na berzi na 100.000 mail adresa.
Spamovanje posecenih IRC kanala reklamama - ovo je zadatak vecine danasnjih botova.
Posto smo malopre dotakli spamovanje mailovima, red je da vam objsnim i tehniku koju koriste da se sigurno provuku kraj spam-filtera:
Bot pokupi tekst sa sajta tipa Wikipedia ili sa sajta neke biblioteke (deo nekog romana ili nesto slicno), cime ima totalno legitiman tekst za mail, a ne ponavlja se jer svaki put pokupi drugi tekst sa sajtova.
Sam tekst sluzi samo da bi se provukao kraj spam filtera.
Na pocetak samog maila ubaci sliku u kojoj je tekst kojim stvarno spamuje. Da bi prosli i kraj OCR komponenti spam-filtera, tu sliku obicno naprave da bude animirani GIF, tako da ce OCR biti prevaren u vecini slucajeva jer prvi frejm GIF-a uglavnom sadrzi bezazlenu sliku ili saru.

Faktor: snaga botnetova

Ukoliko je neko citao moju skoriju temu o napadu na sajtove koji su sluzili kao mirrori za anti-rootkit program GMER, saznao je nesto o snazi trenutnih botnetova.
Da se osvrnemo na teoriju filtriranja napada (ugradjenu u hardverske i softverske firewallove): Firewall pravi tabelu u vidu stacka u memorji, i u nju ubacuje IP adrese sa kojih je neko pristupio branjenom kompjuteru.
Ukoliko se neka IP adresa nadje odredjen broj puta u tabeli - njoj se zabrani pristup.
Ukoliko je napad takav da se istovremeno napada sa 10.000 IP adresa, a u spomenutoj tabeli ima mesta za samo 1000 adresa, verovatnoca da ce se jedna IP adresa naci u tabeli vise puta je jako mala.
Tabela mora da se prazni, tj. kada se pojavi nova IP adresa, iz tabele se izbacuje ona najstarija zapamcena. Ukoliko se postavi pravilo da se IP adresa banuje kada se pojavi 10 puta u tabeli, pri napadu velikog botneta ni jedna IP adresa se nece pojaviti 10 puta istovremeno u tabeli.

Cak i ako filtriranje uspe, zasticen je deo mreze iza firewalla, a deo ispred njega ce biti zagusen, tako da kompovi iza firewalla nece biti dostupni sa neta cak ni onima kojima stvarno trebaju.

Faktor: politika ISP-ova

Kada je rec o botnetovima i napadima koje proizvode, dolazimo do pitanja sta ISP-ovi preduzimaju povodom toga.
U slucaju napada na GMER mirrore, daleko lakse im je bilo da mirrore uklone sa mreze nego da pozovu svoje korisnike i da ih obaveste da se njihovi kompjuteri koriste za sirenje zaraza i za DDoS napade.
Pobogu, trebalo je obavestiti i uznemiriti 10.000 korisnika, od kojih bi se neki mozda i naljutili ili presli na usluge drugog ISP-a cija je mreza sigurnija. Daleko lakse je bilo iskljuciti pristup dvadesetini kompova koji su sluzili za borbu protiv malwarea.

Faktor: rootkitovi

Ovo je faktor zbog kojeg MS toliko forsira Vistu, jer se navodno na njoj ne mogu ubaciti rootkitovi. Proci ce vise od 10 godina dok se ne povuku iz upotrebe vecin racunara na kojima ce i dalje da se vrte XP i Win2k, tako da ce faktor rootkita biti jos dugo aktuelan.
Ukoliko se jos pokaze da je moguce ubaciti rootkit i na Vistu, onda je situacija jos gora.
Pred kraj prosle godine i pocetkom ove, prikazani su snimci dva rootkita koje je nemoguce otkriti bilo kojom od pozntih tehnika. Sreca sto su autori tih konceptualnih rootkitova dobri momci, ali je samo pitanje vremena dok iste tehnologije ne razviju i losi momci.

Faktor: IFRAME

Mozete zamisliti da je forum Neowin bio hacknut prethodnih dana, i da je bio ubacen IFRAME koji je instalirao malware?
Neowin broj par stotina hiljada poseta dnevno, obozavaoce MS-ovih tehnologija. Ukoliko su barem polovina njih koristili Internet Explorer, onda su sigurno sada zarazeni.
Distribuirano je bilo par razlicitih malwarea koji u momentu distribucije preko spornog IFRAME-a nisu bili prepoznati od strane vodecih AV programa.
IFRAME je legitiman HTML objekat, ali ukoliko se njegove dimenzije smanje na 0x0 pixela, onda je prakticno nevidljiv i moze posluziti za exploite a da posetilac sajta ne posumnja da se nesto desava, sto daje dovoljno vremena exploitu da odradi svoj posao.

Faktor: lazni bezbedonosni programi - Ransomware

Videli ste milion reklama na netu za nove antivirus programe, odlicne registry cleanere ili razne HDD doktore koji ce da vam ubrzaju HD za preko 50%?
Ja ih vidjam svaki dan.
Pre mesec dana sam izdvojio dva dana da proucim neke od njih:
- jedan mi je preimenovao svaki dll koji je postojao u System32 folderu, i sistem je funkcionisao samo dok je taj program bio instaliran jer je samo on znao kako da prosledi pozive sada preimenovanim DLL-ovima.
Trazio je 35$ da ga se otarasim.
- jedan je od svih DOC, XLS, JPG, PNG, AVI i ostalih fajlova koji mogu biti radovi, napravio EXE fajlove taok sto je na svaki fajl dodao EXE-stub, a sadrzaj kriptovao. Trazio je 19$ da bi mi vratio fajlove
- ...

Sreca sto sam znao sta radim, i sto sam ovo radio u virtualnoj masini. Jadni oni koji nasednu na ove gluposti.
Ja ne bih ni za zivu glavu ispobavao neki novi antivirus, registry cleaner, disk cleaner... dok mi ga ne preporuce barem 3 poznanika za koje znam da znaju malo vise o kompovima.


Da pokusam da rezimiram:

Piratski Windows = nema IE 7 = IFRAME i exploiti = zarazen komp koji spamuje, napada, siri zarazu, utice na akcije na berzi, siri reklame o za-odrasle-ografiji, sluzi kriminalcima

Piratski Windows = nema novi Windows Media Player = FireFox koristi IE engine za prikazivanje WMV videa = exploiti koji ce da instaliraju malware pri preuzimanju DRM-a za video fajlove = zarazen komp

Java, koja je ogromna za skidanje pa ljudi retko skidaju novije verzije = leglo gamadi

Java, koja ne deinstalira staru verziju pri instalaciji nove verzije, vec to korisnik mora sam = isto leglo gamadi

p2p = Kapucen i Drefir crvi = dovlacenje drugih gamadi

mIRC (ne i drugi IRC klijenti) = leglo zaraza

fancy mIRC skripte - 95% dolaze sa Zapchast-om

WinAMP i Windows Media Player = leglo zaraza ukoliko pustaju audio/video materijal direktno sa neta

Slag na tortu

- virusi koji koriste Power Shell koji dolazi uz Vistu
- malware koji se ugradjuje u flash memorije grafickih karti
- virusi od kojih je nemoguce spasiti sistem osim formatiranjem (Sality, Parite.B). Ni najbolji AV programi ih ne mogu otkloniti sa vise od 90% uspeha
- botovi koji komuniciraju cak i kroz rutere i switcheve
- ni najjace antivirus kompanije ne uspevaju da proprate vise od 40% napasti koje izadju u jednom danu. Ovo odgovorno tvrdim.


Ko je pogodjen ?

Svi, pocev od onih sto kompjuterskog misa drze kao daljinac za TV, pa do velikih kompanija koje ulazu milione u zastitu.
Mogu da se kladim da ce ove godine Gromozon ekipa imati botnet kojim mogu oboriti sve, pocev od Google-a pa do Microsofta.


Tema za razmisljanje

Zasto je vecina zarazenih kompova u Evropi i USA zarazena malwareom koji potice iz Kine?



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 15 Avg 2006
  • Poruke: 2381
  • Gde živiš: Trenutno nigde...

Vecini Te nisam razumeo (bar ja) ali odlican tekst i velika pohvala za Tebe! Razz



offline
  • Pridružio: 06 Apr 2005
  • Poruke: 1023

jel za ovo zadnje mislis da je malwer napravljen od strane kineza ili ...?

U svakom slucaju bice dosta problema

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

Yup, malware definitivno napravili kinezi zato sto su poruke na kineskom, ili su barem reg. kljucevi i imena fajlova kineska.

Nije nikakva teorija zavere u kojoj Kinezi osvajaju svet, resenje je prosto.

offline
  • Pridružio: 04 Avg 2005
  • Poruke: 227

Po mom misljenju sam Microsoft je donekle kriv za takvo stanje. Pri tome ne mislim na brojne propuste u Windows-u, vec na cinjenicu da ne pruzaju mogucnost apdejta sistema kriticnim zakrpama i korisnicima nelegalnih Windows-a. Razumem teznje Microsofta da zastiti svoju intelektualnu svojinu,ali na ovaj nacin postizu suprotan efekat koji dovodi do situacije koju je opisao bobby,a to naravno ugrozava i korisnike legalnih Windowsa. Sa druge strane,ne pruzanjem Windows update usluge ne verujem da su smanjili broj nelegalnih kopija Windowsa.
Medutim,negde sam procitao da ce da prekinu sa takvom praksom u Visti,tj i korisnici nelegalnih kopija mocice da apdejtuju Vistu kriticnim zakrpama.
S druge strane i sami korisnici racunara su krivi za ovakvo stanje. Neopreznim postupanjem na netu,instaliranjerm svakakvih programa (mislim da bi vecina bez razmisljna instalirala program koji bi se zvao npr. "FunnySpywares" :-),a da ne pricamo o vesto zamaskiranim zlonamernim programima). I onda svi pocnu da kukaju na Windows,ili na antivirusne programe (pa nisu ni oni svemoguci).

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

@stajke
Ako se ne varam, situacija je bas suprotna - na XP-u radi Automatic Update cak i ako je nelegalan, a na Visti nece raditi.
Bilo je govora da ce i na XP-u prekinuti sa pruzanjem usluge nelegalnom Windowsu, ali iskreno nisam siguran kakvo je trenutno stanje.
Sigurno necu da instaliram piratski Win da bih proverio da li radi automatski update Smile

btw. znate li da mogu da inficiram sve one koji nemaj radjen update zadnjih dva meseca, i to preko ovog foruma, i to ne da uradim nesto kao admin, vec kao korisnik. Svako ko otvori neku temu u kojoj sam napisao poruku moze biti zarazen ukoliko nema update.

Ajde, ko ce da pogadja kako to mogu da uradim? Smile
Zarad sigurnosti, najbolje je da mi odgovore posaljete na PP.

offline
  • Pridružio: 15 Avg 2006
  • Poruke: 2381
  • Gde živiš: Trenutno nigde...

bobby ::
Sigurno necu da instaliram piratski Win da bih proverio da li radi automatski update Smile

btw. znate li da mogu da inficiram sve one koji nemaj radjen update zadnjih dva meseca, i to preko ovog foruma, i to ne da uradim nesto kao admin, vec kao korisnik. Svako ko otvori neku temu u kojoj sam napisao poruku moze biti zarazen ukoliko nema update.


idi bre burazeru nemoj da nas plasis!

Znaci li isto to ako imam kopiju Windows da cu zaraditi ''corku'' -zatvor!?
nije mi pirat windows i updatuje se svakog dana! Bebee Dol

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

@d_draguljce

Ne odvajajmo se od teme, u pitanju je sigurnost a ne potencijalno kaznjavanje korisnika nelegalnih kopija.

offline
  • Pridružio: 04 Avg 2005
  • Poruke: 227

@bobby
bobby ::
Ako se ne varam, situacija je bas suprotna - na XP-u radi Automatic Update cak i ako je nelegalan, a na Visti nece raditi.


Za XP nisam siguran,ali mislim da su ukinuli mogucnost Automatic Update nakon uvodenja WGA. Sto se Viste tice,ni za to tek nisam siguran ( :-) ), ja sam preneo samo informaciju koju sam procitao u casopisu "Mikro",naveli su da ce Microsoft mozda da dozvoli preuzimanje kriticnih zakrpa za Vistu zbog pritiska sigurnosnih kompanija.

offline
  • Pridružio: 15 Avg 2006
  • Poruke: 2381
  • Gde živiš: Trenutno nigde...

Izvinite zbog off-a! Razz

@Stajke

Kako to mislis automatskog update-a kad je meni to automatski i koliko sam primetio radi super!

Ko je trenutno na forumu
 

Ukupno su 628 korisnika na forumu :: 35 registrovanih, 4 sakrivenih i 589 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1567 - dana 15 Jul 2016 19:18

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: _Petar, aljosa7, Alojz Hauptman, Apok, bobeNS, bojank, BSD, comi_pfc, crnitrn, Dusko Nikolin, Hrabri Zecic Uplasic, kolateralnasteta, Kožedub, kybonacci, Libertas2, LUDI, Mercury, Milos1977, Perko91, poChetnikk, powSrb, Radovan Vinčić, Recce, rikirubio, Srki94, Ssssssss, Uciteljgoran, VJ, Vlada1389, vladetije, vladom6, vnf, vukovi, wolf431, 1872