Cyfrowy sztorm
“Koniec Sieci jaką znamy!” Z tego typu dramatycznym okrzykiem widzę opinie na temat robaka Storm, który stworzył już podobno sieć maszyn zombie, której łączna moc obliczeniowa jest przerażająca i przewyższająca superkomputery z listy TOP500.
Fakt, Storm opanował niesamowitą liczbę maszyn i pozbyć się go będzie trudno. Widzę opinię, że “może to być bardzo trudne bez aktywnej reakcji Microsoftu” (za blogiem Piotra Wrzosińskiego), ale zastanawiam się, jaka u licha może być reakcja producenta, którego systemy są atakowane? Toż Storm, z tego co widzę, nie robi nic nowego. Rozsyła się e-mailem z załącznikiem jako EXE, instaluje jako usługa i pracuje dalej. Jak normalny trojan. Ale no rany - o ile wiem to Outlook/Outlook Express nie pozwala ot tak uruchomić pliku wykonywalnego z załącznika (bądź ostrzega, nie wiem, GMail mi usuwa EXE z załączników), Windows Vista z włączonym UAC jeszcze będzie chciał z mojej wiedzy potwierdzenia dla uruchomienia czegokolwiek co chce praw dostępu do m.in. zapisu w katalogu %SYSTEMROOT%. Ale przede wszystkim - ten plik wykonywalny w ogóle trzeba kliknąć! A to nie zależy od producenta systemu - to zależy od użytkownika! To nie jest Blaster czy Sasser który pojawia się sam i znikąd, to trzeba uruchomić samemu - problem ewidentnie leżący między klawiaturą i krzesłem. Do tego jeszcze są antywirusy i firewalle, które powinny zabronić programowi kontaktu z resztą zombie-sieci.
Ja wiem, co producent może zrobić, ale to rozwiązanie jest tak skrajne i niebezpieczne, że nie zgodzimy się na nie. Wiecie o czym mówię? Trusted Computing. Wirus/trojan/robak nie miał by cyfrowego identyfikatora w takim świecie, i żadna maszyna by go nie uruchomiła. A gdyby nawet uruchomiła - to aktualizując się sama przez sieć w końcu atak by został powstrzymany. W teorii rzecz jasna. Nie, nie mam zamiaru wskazywać drogi TC jako słusznej, nie mam zamiaru wskazywać, że komputer powinien lepiej wiedzieć ode mnie co ma zrobić.
To nie jest koniec Sieci jaką znamy. To jest potwierdzenie tego, czego baliśmy się od jakiegoś czasu. Że przestępcy mogą stworzyć botnet o niewyobrażalnym zasięgu. I potwierdzenie faktu, że ze względu na to, że użytkownik ma kontrolę nad maszyną, to nie ma możliwości zabezpieczenia przed czymś takim.
Liczba komentarzy: 10
»Wątek RSS dla komentarzy tego wpisu · Adres trackback
wrzesień 10, 2007 godzina 14:01
Phi… Zacząłeś pisać o jakichś robakach i niewyobrażalnym zasięgu sieci zombie, że zacząłem się bać. A tu nie ma czego, bo to robak potrzebujący idioty z prawami administracyjnymi za klawiaturą… Też mi coś?
wrzesień 10, 2007 godzina 14:26
Fajne, ale myślałem, że ten robak robi coś jeszcze, jakieś skomplikowane “kosmiczne” obliczenia czy coś na tej super sieci jaką stworzył :) A tak to w sumie nic tak przerażającego.
A problem z użyszkodnikiem będzie zawsze. Taki urok ;-)
wrzesień 10, 2007 godzina 14:50
waltharius: Robi. Używa jej do ataków DDoS. To jest wystarczająco groźne. A co jeszcze sobie autor (właściciel botneta) wymyśli to kto wie?
Dot: Niby nic, ale jak już się dostał… to trudno się go będzie pozbyć…
Gdzieś natknąłem się na informację, ze robak jeszcze zmienia plik tcpip.sys żeby się uruchomić - ale do tego też praw admina potrzebowałby.
wrzesień 10, 2007 godzina 15:49
Odkąd przestałem używać produktów MS czuję iż nie jestem na topie z wydarzeniami IT ;-(
wrzesień 10, 2007 godzina 16:27
No dokładnie, wiadomo że OD ZAWSZE użytkownik był słabym ogniwem, sam nie mimo że używam Antywiruswe programy oraz Firewalle to nigdy od jakiś 2 lat nie miałem żadnego większego syfu, po za cookiesami reklamowymi, które Spybotowi się nie podobają ;). I tak siedzę na Windowsie XP standardowo na użytkowniku z prawami administracyjnymi, i jakoś się trzymam ;). Co ciekawe u mnie na uczelni jeden z profesorów siedział na Linuksie pod Gnomem na koncie roota i też nie widziałem w tym nic złego, ani żadnego specjalnego syfu ;).
A co do GMaila to jednak to wypieprzanie i odnajdywanie przez niego exe’cków denerwuje. Nawet po zzipowaniu czy też zrarowaniu potrafi to to znaleźć exe i nie wysłać pliku…
wrzesień 11, 2007 godzina 17:26
Ja mialem na mysli reakcję w postaci automagicznego zaaplikowania wszystkim szczepionki w Windows Update + np. blokada wszsytkich systemow bez szczepionki (juz raz zrobili podobny numer z Genuine Advantage).
wrzesień 12, 2007 godzina 08:01
zauważcie, że jakoś nie słychać okrzyków że “botnet o niewyobrażalnym zasięgu” jest zbudowany w oparciu o systemy Linuks.
A czegóż to używacie, toażyszu liDEL ?
wrzesień 12, 2007 godzina 15:47
Wojtosz: I jest kilka powodów z jakich to wynika fakt, że pod systemy alternatywne do Windows wirusów jest mało. Jednym z nich są “świadomi” użytkownicy :-)
pwrzosin: Może nie zdać egzaminu. Wiele osób posiada wyłączone Windows Update, wiele osób posiada nieoryginalne oprogramowanie i nie pobiera poprawek.
Do tego mam wrażenie, że producenta to nie interesuje tak jak swego czasu wspomniany Blaster czy Sasser - to nie jest kompromitacja zabezpieczeń systemu poprzez dziurę, a atak na użytkownika.
wrzesień 15, 2007 godzina 14:33
Wojtosz: bsd/linux/palmOS/dvd/sms/wtf/omg
Ktos ma tutaj rację, należy rozróżnić dziury systemu wynikające z jego architektury, od dziur w mózgu użytkownika.
Łatając te drugie, (zakładając iż jest to w ogóle możliwe), MS popełniłby marketingowe samobójstwo, stąd zupełnie nie rozumiem czemu budzi to takie kontrowersje ;)
grudzień 4, 2007 godzina 17:54
m