Conficker. Η 1η Απριλίου πλησιάζει, να φοβάμαι?

atkladak — Mon, 30 Mar 2009 18:54:00 GMT

Ο Conficker είναι μία από τις χειρότερες απειλές που έχουμε δει τον τελευταίο καιρό.

Η παραπάνω δήλωση πίστευα ότι θα έβρισκε σύμφωνους το 100% των IT pros. Όσοι όμως διαχειρίζονται μικρά και μεσαία περιβάλλοντα, που τα hotfixes και τα updates μπαίνουν αυτόματα και άμεσα δεν συμφωνούν, γιατί στα δικά τους συστήματα ο conficker βρήκε πόρτες κλειστές.

Όμως όσοι είχαν επαφή με μεγάλους πελάτες με ανύπαρκτα ή δυσκίνητα patch management συστήματα ένιωσαν στο πετσί τους την αλήθεια της αρχικής μου δήλωσης, και διαβάζοντας διάφορα άρθρα τρέμουν στην ιδέα ότι η ημέρα γενεθλίων του conficker, η 1η Απριλίου πλησιάζει.

Οπότε έρχομαι να απαντήσω στο κρίσιμο ερώτημα ή μάλλον σε μια σειρά απο κρίσιμα ερωτήματα που αφορούν την 1η Απριλίου και τον Conficker

1. Τι θα συμβεί την 1η Απριλίου

Σύμφωνα με έγκυρη τεχνική ανάλυση που έχει κάνει η MS, όσα συστήματα είναι μολυσμένα με τον Conficker, την 1η Απριλίου θα εκτελέσουν έναν αλγόριθμο αναζήτησης οδηγιών με σκοπό να μάθουν με ποια domain θα επικοινωνήσουν

2. Θα βγει αναβαθμισμένη έκδοση του malware την ίδια μέρα που θα προσβάλει τα ήδη μολυσμένα μηχανήματα?

Υπάρχει αυτή η πιθανότητα, μέσω σύνδεσης με συγκεκριμένα domains. Αλλά κανείς δεν αποκλύει οτι αυτό δεν μπορεί να συμβεί οποτεδήποτε πριν ή μετά την πρωταπριλιά αφού ήδη τα μολυσμένα συστήματα επικοινωνούν με κάποια domain και ενημερώνονται.

3. Αν είμαστε απλοί οικιακοί χρήστες να πάρουμε τα βουνά και να κλείσουμε το ρεύμα την 1η Απριλίου

Αν έχετε στο pc σας το Microsoft Security Update MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx) που έτσι κι αλλιώς έχει κατέβει αν παίρνετε αυτόματα τα MS Updates, δεν χρειάζεται να ανησυχείτε. Μια βόλτα στα βουνά όμως δεν έβλαψε ποτέ κανέναν, και το κατέβασμα του διακόπτη θα συντελέσει και στην εξοικονόμηση ενέργειας. Αν δεν έχετε ενεργοποιήσει τα αυτόματα updates και δεν έχετε antivirus ούτε firewall, μην ανησυχείτε αφού έτσι κι αλλιώς κινδυνεύετε απο τα πάντα, και ο προστάτης άγιος που σας έχει σώσει τόσο καιρό, μπορεί να το κάνει και με τον conficker

4. Εγώ που έχω εταιρία να φροντίσω και τελικά ανησυχώ τι να κάνω?

Γενικά μείνετε συντονισμένοι εδώ ώστε να μαθαίνετε τα τελευταία νέα και ειδικότερα φροντίστε να εξασφαλίσετε τα παρακάτω:

· Εγκατάσταση του MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx) σε όλα τα Windows μηχανήματα του περιβάλλοντος σας.

· Χρησιμοποιήστε antivirus που τεκμηριωμένα βρίσκει τον Conficker. Αυτό το AV θα μπορεί να blockαρει το worm από το να αντιγράφεται σε άλλα μηχανήματα. (Τα περισσότερα επώνυμα AV και φυσικά το Microsoft Forefront Client Security και το Windows Live OneCare μπλοκάρουν με επιτυχία τον Ιό).

· Χρησιμοποιείτε πολύ ισχυρά και πολύπλοκα passwords για όλους τους λογαριασμούς χρηστών. Το κενό password ΔΕΝ είναι ισχυρό !

· Για ακόμα καλύτερα αποτελέσματα απενεργοποιήστε το AutoRun από τα συστήματα σας ώστε κανένα πρόγραμμα να μην εκτελείται αυτόματα οταν μπαίνει στο pc σας. Αυτό γίνεται και με group polcy.

· Τώρα είναι η στιγμή, να εφαρμόσετε τα security best practices που αναβάλλατε τόσο καιρό και που γενικά συζητάμε εδώ. Εκείνος ο WSUS ο ριμάδης, ας μπεί τώρα, να μην πω δλδ για SCCM. Αν σας φαίνεται δύσκολο, θα σας στείλω φωτογραφίες μηχανικών που τον έστειναν εν το μέσω της νυχτός σε συστήματα 100% infected από τον conficker ανάμεσα σε λιπόθυμους managers που έβλεπαν το φάσμα της ανεργίας να πλησιάζει. Αλλάξτε το password του Admin, μην κάνετε όλους τους χρήστες Local Administrators (ναι, ούτε Domain Admins).

Τέλος δείτε και αυτό το post που αν και φαίνεται λίγο αυστηρό σώζει ζωές

Eξομολογήσεις ενός Ελληνα IT Pro : Conficker

Conficker. Η 1η Απριλίου πλησιάζει, να φοβάμαι?