Renat's Middle E@st and Afric@ blog

Just random IT related thoughts (ok, not exactly "random", but please excuse some lack of structure :))

Blogs

Conficker/Kido/Donwnandup – эмоциональная часть (#%&!!!!)

  • Comments 7
  • Likes

Почитал тут обсуждение на Securitylab про Conficker.. Цитирую - "Надо еще найти дыру, которую предстоит заделать..." И ведь много таких цитат. Как бы так чтобы честно, но сдержанно ответить… Если кратко, то МЕСЯЦ (!!!) до появления первой вариации Conficker в сети уязвимость была полностью закрыта. Под угрозой оказались только ПК не установившие обновления в течении месяца! Ну я не знаю как сделать так, чтобы народ понял ценность галочки "устанавливать обновления автоматически"…

Если же развернуто отвечать на.. кхм.. такие реплики, то большинство вирусов последнего времени пишутся так (упрощенна версия объяснения): 

1. Производители ПО работают, продолжая копаться в своем коде, находя недочеты, уязвимости или пути оптимизации, инвестируя в это много труда и денег.

2. Производители ПО выпускают обновление и информацию о том как противодействовать потенциальной заразе. 

3. Легальные пользователи получают обновление и устанавливают его.

--- Таймер вкл. ----

4. Преступники, охотящиеся за наживой, скачивают тот же апдейт и происходит…

  • декомпиляция
  • поиск деталей уязвимости
  • поиск возможностей использовать эту уязвимость
  • написание вредоносного кода
  • запуск вредоносного кода в Интернет

---- Таймер выкл. ----

5. Производители антивирусов или самого обнаруживают заразу и обновляют сигнатуры. (в случае MS, производитель ПО = производителю антивируса, см. Microsoft Forefront)

6. Успевшие похватить заразу ПК с помощью антивирусов, админов, вспоминающих какую-то мать, восстанавливаются и возвпащаются к работе.

ВАЖНО: Между моментом выпуска обновления и появления реальной опасности в Интернет (см. таймер вкл. и выкл.) проходит тот самый МЕСЯЦ или около того! И если бы все просто установили вышедшее вовремя обновление, то вообще никакиз проблем! Приведу ещё одну интересную табличку о хронологии событий вокруг обнаружений вирусов:

 

Baster
(август  2003)

Sasser
(апрель 2004)

Zotob
(август 2005)

Conficker
(ноябрь 2008)

предупреждение пользователей

через 1 день

через 2 часа

за 2 дня до

за 1 мес до

выход�� детальной инструкции по противидействию

через 10 дней

через 2 дня

в тот же день

в тот же день

выпуск средства борьбы уничтожения

через 38 дней

через 3 дня

через 3 дня

в тот же день

Арест преступника

 

через 7 дней

через 11 дней

надеюсь,
скоро

Личная просьба ко всем читателям. Посмотрите на этот пост и убедитесь, что эти нехитрые меры безопасности всё таки предприняты в вашей организации. Заранее большое спасибо!

Comments
  • Насчет наличия в сети проактивных мер ещё задолго до появления самого Conficker - полностью с Вами согласен, Ренат. Собственно, об этом я тоже писал в своем блоге:

    Подводя итоги, хочу отметить, что критическая уязвимость службы ОС Windows, используемая для распространения червя, была обнаружена давно. Причем информация об этой уязвимости была выпущена в виде срочного бюллетеня по безопасности вместе с набором обновлений для устранения данной уязвимости ещё в октябре 2008 года!

    Самое интересное, что даже в крупных компаниях с отдельным отделом информационной безопасности, офицеры безопасности не подписаны даже на уведомление о выходе новых Security Bulletins по почте =) Смех сквозь слёзы, по другому не скажешь.

  • Да, корпорация предупредила за месяц техническим бюллетенем безопасности. А домашних пользователей кто предупредил? Ну да, тех самых, которые не пользуются WU (по какой причине - второй вопрос).

    Почему на сайте справки и поддержки http://support.microsoft.com/ на главной не висит никакого объявления (хотя оно висeло тут http://windowshelp.microsoft.com/Windows/ru-RU/default.mspx и то, появилось только после начала эпидемии, а не после выхода патча)?

    Почему корпорация обратилась к лидерам технических сообществ с просьбой "донести слово в народ" только после начала эпидемии, а не сразу после выхода патча? Ведь знали, какой размах будет...

    Мы на oszone сразу после выхода бюллетеня повесили объявление и предупредили, что это будет еще один бластер/сассер. А на форуме Текнет повесили такое объявление во всех осевых форумах? Нет, конечно. А почему?

    Так что не только нерадивых админов надо винить, но и использовать имеющиеся связи с сообществом :)

  • >>И если бы все просто установили вышедшее вовремя

    >>обновление, то вообще никакиз проблем!

    В случае с конфикером все не так просто. Он хитрый и распространяется еще и через локалку. Так что, если у вас есть локалка, то даже галочка автоапдейтов бы не спасла, при наличии админ шары и слабых паролей.

    Но в целом всё верно - обычно эта галочка спасает от 99% проблем. Жалко, что в России до сих пор у большинства она не включена, поэтому Россия и в тройке по числу заражений конфикером

  • Ну да, нынче вообще большинство вирусов являются прямым плагиатом анекдота про талибанский вирус: "у нас слишком мало денег, по этому просто разошлите это сообщение всему своему списку адресатов и отформатируйте ваш хард драйв, спасибо!"

    Но, хочется отметить, что 99.9% корпоративных пользователей не могут применить апдейты до того, как эти апдейты будут протестированы ИТ на предмет совместимости с корпоративными системами. А это тоже процесс не слишком быстрый. И тупо ставить все апдейты которых каждый день по три штуки и два из них хотят перезагрузки компьюетра, который по две-три недели не выключается для экономии времени сотрудника...

    В общем, "на самом деле все не так, как в действительности."

    PS: но идея хорошая, найти автора шутки про талибанский вирус, и судить авторов вирусов еще и за нарушение копирайта :-)

  • >>Он хитрый и распространяется еще и через локалку.

    Согласен, 2-я вариация как раз таки стала хитрее, чтобы брутфорсить слабые пароли и рапсространяться по локалкам... мои коллеги более побробно о технических вичах червя и как с ними бороться уже тут отписались

    www.microsoft.com/rus/conficker

  • Мне кажется, что Вы валите с больной головы на здоровую. Главная проблемма не патчи, а реализация системы автозагрузки, особенно с flash. Вы попробуйте воспользоваться своими советами и вставте флешку с conficker-ом при отключенной автозагрузке в свой комп. Отключение ни чего не дает- надо менять реестр, а это извините не задача даже проффи....

  • renatmin: Всё таки drk прав - проблема не столько в пользователях или администраторах, сколько в системе (архитектуре и реализации).

    Попробуйте представить, что есть аналог конфикера для BSD (думаю, что linux тоже, но я его почти не знаю) и попытаемся сделать тоже самое с правами пользователя в этой системе. Да система просто не даст ему доступа! А если ещё монтировать с правами /noexec, то вирь даже запуститься не сможет (и /home вынести в отдельную партицию на слайсе и монтировать так же с /noexec).

    А винда? Пользователь даже с самыми урезанными правами может грохнуть системы на раз-два. :(     Можно, конечно, тупо сидеть и правах на каталоги/файлы/реестр/прочие_объекты это разруливать (одной групповой политикой тут сложно ограничиться), но как-то глупо и совершенно бессмысленно. Да и после таких ковыряний всё равно будут лазейки. Не говоря уж о проблемах: винда боле-менее нормально работает в пределах тех настроек, какие заложены разработчиками, а стоит копнуть поглубже - проблемы лезут пачками.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment