facebook

marți, 31 martie 2009

Conficker si 1 aprilie

Ce ați auzit voi despre Conficker (aka Downadup sau Kido)? După ce zilele astea aici pe blog s-a încins o mică discuție despre securitatea Mac-urilor comparativ cu PC-urile, am răscolit destul de multă informație pe net despre viruși, botneți, viermi de calculator și alte porcării contemporane.

Așa am aflat că mâine, pe 1 aprilie, se schimbă algoritmul de lucru al unui dintre cei mai periculoși viermi contemporani, și anume la Conficker.

Cu cât mai mult citeam despre el, cu atât mai mult mă îngrijoram. Oare ce ar fi dacă toate aceste talente care au lucrat la elaborarea lui s-ar apuca să facă ceva util? Un algoritm criptografic super-sofisticat, un mecanism de comunicare p2p între calculatoarele infectate, generarea zilnică a unor noi nume de domeniu de pe care vor fi administrate calculatoarele infectate, și complexitatea extremă de curățare a calculatorului de virus (el rulează procesele sale cu drepturi de administrator) îl transformă într-o enormă bătaie de cap acelor care vor să lupte cu el.

S-a ajuns la aceea că acei ce luptă contra lui (inclusiv cu suportul financiar al Microsoftulu) se întrec cu autorii virusului încercând să înregistreze pe numele lor domeniile care urmează în ziua următoare să fie accesate de virus. Etapa următoare la care ne putem aștepta - virușii deja vor încerca să lupte cu programele antivirus instalate în calculatoare.

Mă apucasem să descriu în detalii cum el funcționează și ce el face (în măsura în care eu am înțeles aceasta), dar am șters. Cred că mult mai bine ca mine vor povesti specialiști.

Deci:




Așa că, instalați patch-urile de pe site-ul Windows-ului, înnoiți bazele de date ale antivirușilor, și încrucișați degetele. Adica, sunt sigur că mâine nu se va întâmpla nimic strașnic, însă modificarea algoritmului de lucru al virusului îi va da o libertate și mai mare de operare, și se va putea propaga și mai repede. Iar o dată și odată autorii lui vor dori să beneficieze de toate calculatoarele celea care sunt sub controlul lor. Și deja au demonstrat că sunt foarte inteligenți... iar în aceste circumstanțe asta este, cât n-ar fi de ciudat să o spun, mai rău...

Sigur, tot ce-am scris se referă la proprietarii pe PC-uri.

10 comentarii:

  1. "The Terminator" - dupa mine, o creatzie cinematografica monumentala, fara glume...
    Sa facem cateva analogii :)

    Conficker(aka Downadup sau Kido)- Skynet

    Dr.Ron Rivest(MIT)- Dr.Miles Bennett Dyson(Cyberdyne Systems)

    By the time Skynet became self-aware it had spread into millions of computer servers across the planet. Ordinary computers in office buildings, dorm rooms, everywhere. It was software - in cyberspace. There was no system core, it could not be shutdown...

    :)))

    RăspundețiȘtergere
  2. Apropo, prima reacție a unui coleg de serviciu, cui i-am dat unul dintre link-urile de mai sus a fost: „skynet”.

    RăspundețiȘtergere
  3. Ce s-ar face lumea animală fără lupi?
    Hackerii sunt si ei un fel de "sanitari ai internetului", o veriga in constructia progresului : )

    RăspundețiȘtergere
  4. Apropo, cel mai simplu test dacă eşti infectat sau nu: intri pe site-urile kaspersky sau microsoft, si dacă site-ul accesta se deschide - esti curat. Simplu.

    RăspundețiȘtergere
  5. Apropo de 1 aprilie...

    O gluma deja obligatorie, ce reapare de catziva ani incoace(una din preferatele mele) :

    Федеральные следователи Нью-Йорка арестовали загадочного виртуоза с Уолл-стрит, который признался, что он - Карлсин, который живет в будущем.

    По его словам, он прибыл из 2256 года, и ему известны не только нюансы колебаний фондового рынка, но и рецепт лекарства от СПИДа и координаты убежища бен Ладена.

    Согласно сообщению, некто Эндрю Карлсин, первоначально вложив 800 долларов, через две недели имел портфель бумаг, оцениваемый в 350 млн долларов. Он оказался в поле зрения "сторожевых псов" Уолл-стрит, когда совершил подряд 126 высокорискованных сделок, и каждый раз он оказывался в огромном выигрыше.

    На допросе странный инвестор выдал ошеломляющее признание. По его словам, он пропутешествовал назад во времени из будущего, отстоящего более чем на 200 лет от нашей эпохи.

    "Знание, что ваша эра ознаменовалась худшим в истории падением фондового рынка, у нас является общераспространенным. Поэтому каждый, вооружившись информацией по избранным акциям, может сколотить на этом состояние. Искушению сложно сопротивляться. Я планировал выглядеть естественно, однако не устоял и попался", - якобы утверждает он.

    По словам представителя SEC, единственный путь, с помощью которого Карлсин мог так точно и удачно торговать - нелегальная внутренняя информация.

    Карлсин сделал следователям такое предложение. Он предоставляет "исторические факты" о местонахождении бен Ладена и лекарстве от СПИДа. В обмен получает свободу и возможность добраться до своей машины времени, чтобы вернуться домой.

    Должностные лица из Комиссии по ценным бумагам США уверены, что все рассказы "путешественника во времени" - мистификация, говорится в статье. Однако на условиях анонимности высокопоставленный чиновник поведал, что никаких сведений о существовании Эндрю Карлсина вплоть до последнего времени не обнаружено...

    RăspundețiȘtergere
  6. ...shi ultima gluma pe azi :

    Американский солдат возвращается с фронта и едет по Англии
    в поезде. Все сидячие места заняты, только в одном купе
    сидит англичанка, напротив нее на сидении - собачка,
    рядом - англичанин.
    - Леди, разрешите мне присесть!
    - Вы, американцы, все очень грубые! Вы что, не видите,
    тут сидит моя собачка!
    - Но леди, я очень устал, я воевал три месяца на фронте,
    я хочу сесть!
    - Вы, американцы, не только очень грубы! Вы еще и надоедливы!
    - Леди! Я тоже люблю собак, у меня дома их аж две. Давайте
    я сяду и подержу вашу собачку на руках!
    - Вы, американцы, не только очень грубы и надоедливы! Вы
    просто невыносимы!
    После этих слов американский солдат берет собачку, выкидывает
    в окно и садится. Леди теряет дар речи. Сидящий рядом англичанин говорит:
    - Знаете, молодой человек! Я вовсе не согласен с ее определением американцев, но я позволю себе заметить, что вы, американцы, делаете многие вещи не так. Вы ездите не по той стороне проезжей части, держите вилку не в той руке, а сейчас вы выбросили в окно не ту суку!

    RăspundețiȘtergere
  7. n-am inteles nici o iota, desi am citit tat.
    care-i problema cu conflickeru asta?
    ca el blocheaza site-uri?

    RăspundețiȘtergere
  8. Gicu, chestia asta cu progresul îmi amintește de întrecerea care a acum în plină desfășurare între viruși și antibiotice. Inițial, chiar și antibioticele slabe aveau efecte miraculoase și tămăduiau boli grave în câteva zile. Însă cu timpul, datorită faptului că antibioticele făceau între microorganisme și viruși o „selecție artificială”, după fiecare tratament supraviețuiau doar mutațiile mai rezistente ale bolii, care deja nu mai erau afectate de antibioticii precedenți. Și medicii erau nevoiți să caute un antibiotic și mai puternic care ar fi eficient pentru a ucide boala. Anume din această cauză unele boli, ca de exemplu strașnica tuberculoză, care prin anii 70 ai secolului trecut erau deja considerate învinse, au revenit și sunt acum și mai greu de tratat.

    Desigur, industria farmaceutică merge înainte, și permanent va inventa noi și noi leacuri, mai sofisticate și mai scumpe, care vor continua să aducă câștiguri fabuloase acestei industrii, dar nu trebuie să uităm că câmpul de luptă între boală și medicament este corpul uman, și orice mutație ulterioară a unei boli poate deveni letală. Nu mai vorbesc despre efectu dezastruos pe care-l au antibioticele asupra noastră.

    Revenind la Conficker (nu degeaba se numesc viruși, și exemplele din domeniul medicinei merg perfect), calculatorul este făcut pentru a lucra la el, și nu pentru aceea ca în măruntaiele sale să se lupte două programe străine. Programele-antivirus contemporane deja diminuează semnificativ performanța calculatorului, și acesta e doar începutul.

    Marcel, pe lângă aceea că el copie toată informația esențială din calculatorul tău și o trimite naiba știe cui (cel mai importante sunt, desigur, parolele de acces păstrate în calculator), conflicker-ul avâd drepturi de administrator poate să-ți încarce în calculator și să ruleze absolut orice program. Cred că autorii lui așteaptă doar să fie infectat un număr suficient de mare de calculatoare și apoi găsesc ei ce să ruleze...

    Apropo, Microsoft a introdus un premiu de 250 mii dolari pentru acel care va putea furniza informații ce vor duce la identificarea și reținerea autorilor virusului. Și apropo, am citit undeva o informație, că se pare că domeniile de pe care este administrat și înnoit virusul se află în Ukraina.

    RăspundețiȘtergere
  9. Imi aduc aminte de un articol din "Financial Times" (14 martie 2007)
    Ar fi fost mult mai ushor sa afishez link-ul original, dar este nevoie de subscription :(
    Am facut rost de o traducere de pe inopressa, so :

    Среди наиболее активных и успешных преступников, которые устраивают цифровые ограбление клиентов банков, в мире выделяется так называемая "Банда неуловимых" из России, пишет The Financial Times. Такое название группировке дали в комиссии по контролю интернет-безопасности E-Secure-IT. Банда занимается "фишингом" и регулярно проводит почти идеальные ограбления банков и их клиентов через интернет.

    Своими силами мировые банки справиться с бандой не могут. Более того, международные хакеры угрожают, что если сотрудники системы безопасности будут предпринимать в этом отношении какие-либо попытки, сайт банка просто прекратит работу.

    Угрозы эти не пусты: в прошлом году именно так произошло с Австралийским национальным банком. Он пережил серию "фишинговых" атак, а затем специалисты попытались пресечь деятельность группировки и перекрыть доступ к информации. Это привело к полной остановке операций банка в интернете: злоумышленники прибегли к DDoS-атакам. Целых три дня работа простаивала.

    Есть мнение, что "Банда неуловимых" - это несколько групп преступников, которые используют схожие программы. Однако в компании E-Secure-IT полагают, что это одна группа. Ее добыча в в 2006 году, по некоторым оценкам, превысила 150 миллионов долларов. Известны имена и "ники" главарей, они также легко узнаются по "почерку" преступления. Однако западные судебные и правоохранительные органы не могут преследовать их в России. По данным экспертов, в группе не меньше 12 человек. Они проводят как минимум три одновременных "фишинговых" атаки в неделю и рассылают миллионы "спамовых" сообщений по электронной почте.

    Для атак на банки используются огромные "бот-сети". Это специально созданные группы зараженных компьютеров ("ботов"), которые хакеры контролируют. В августе 2006 года целью ограбления стали два банка в Великобритании. Была построена бот-сеть из 20 тысяч компьютеров. Это позволило разослать 8,1 миллион сообщений за сутки.

    Чтобы превратить собранную информацию в деньги, банда придумала хитрую систему. Людям присылают "потрясающие предложения о работе". Те, кто согласились, становятся так называемыми "мулами" - третьими лицами. За то, что через их счета проходят некие суммы, они получают в качестве вознаграждения 8% комиссионных. Таким образом, украденные деньги идут на банковские счета "мулов", в то время как их собственные деньги (или деньги их банка) идут группировке. Преступники пользуются такими сервисами, как Western Union, MoneyGramm или PayPal. Украденные деньги, которые легко выслеживает полиция, затем становятся проблемой "мулов", а не банды.

    RăspundețiȘtergere
  10. Apropo despre reacția Microsoftului și importanța pe care i-o acordă, pe site-ul lor, prima știre de sus este o informație despre Conficker.

    RăspundețiȘtergere