LINUX.ORG.RU
ФорумTalks

Винда как рассадник зла


1

3

http://www.tusur.ru/ru/news/index.html?path=edu_news/2013/01.html

За последние пару-тройку лет под офтопик обнаружено несколько опасных вирусов. Реверс-инжениринг позволяет сделать далеко идущие выводы об источнике их распространения.
2010. Обнаружен червь Стакснет (Stuxnet). Это первый известный червь, атакующий SCADA-системы, т. е. автоматизированные системы управления технологическими процессами (АСУ ТП).
2011. Обнаружен червь Дюку (Duqu). В отличие от близкого к нему Stuxnet он был предназначен только для сбора информации, а не для вмешательства в производственные процессы.
2012. Обнаружен Flame, используемый для кибершпионажа в Иране и других странах Ближнего Востока.

Flame в общей сложности был размером 20 Мбайт, т. е. примерно в 40 раз больше, чем Stuxnet. Специалисты по безопасности поняли, как выразился Шувенберг, что «…опять за этим, скорее всего, стоит государство».

Для анализа Flame специалисты Лаборатории Касперского использовали методику, называемую ими «сточным колодцем» (sinkhole). Она обеспечивает контроль над командно-управляющим сервером домена Flame таким образом, что когда Flame пытается связаться с сервером своей домашней базы, на самом деле вместо этого он отправляет информацию на сервер Касперского. Трудно было определить, кому принадлежат серверы Flame. «Со всеми доступными украденными кредитными картами и интернет-прокси, – говорит Шувенберг, – атакующим действительно очень легко оставаться незамеченными».

В то время как Stuxnet был предназначен для вывода из строя оборудования, целью Flame было просто шпионить за людьми. Распространившись с USB-флешки, он может заражать принтеры, работающие совместно в одной сети. Как только Flame компрометирует машину, он может незаметно по ключевым словам искать секретные pdf-файлы, а затем подготавливать и передавать обобщающую информацию о найденном документе, и всё это не будучи обнаруженным.

Особенность Flame это то, как он впервые проник на компьютеры: через обновление операционной системы Windows 7. Пользователь думает, что он просто загружает законный патч от Microsoft, а на самом деле вместо этого устанавливает Flame. «То, что Flame распространяется через Windows Updates, является более значимым, чем сам Flame», – говорит Шувенберг, который считает, что, возможно, есть только 10 программистов в мире, способных запрограммировать такое поведение. «Это техническая изощрённость (feat), которая весьма изумляет, потому что здесь было взломано шифрование мирового класса, Вам обязательно необходимы суперкомпьютеры и множество специалистов для того, чтобы сделать это».



★★★★★

если Они сумели подменить сервера обновлений Микрософт, то сервера обновлений какой-то убунты тем более подменят

Reset ★★★★★ ()

Если цитируешь чьи-то слова, надо использовать косвенную речь: «Как утверждает такой-то, ...», и т.п. Нельзя просто копировать текст, выдавая за свой собственный.

Deleted ()

Flame в общей сложности был размером 20 Мбайт, т. е. примерно в 40 раз больше, чем Stuxnet

Прикрутили интерфейс на Qt? :)

buddhist ★★★★★ ()

чем хуже, тем лучше.

ass ★★★★ ()

может заражать принтеры

А принтеры работают под Линукс?

firestarter ★★★☆ ()

специалисты Лаборатории Касперского использовали методику, называемую ими «сточным колодцем»

О, это любимая методика большинства программистов

А по сабжу — все это скоро будет неактуально, люди сами разрешат шпионить за ними, а для тех, кто будет несогласен, введут соответствующие законы, опять же, «для борьбы с киберугрозами».

buddhist ★★★★★ ()
Последнее исправление: buddhist (всего исправлений: 1)

Особенность Flame это то, как он впервые проник на компьютеры: через обновление операционной системы Windows 7. Пользователь думает, что он просто загружает законный патч от Microsoft, а на самом деле вместо этого устанавливает Flame. «То, что Flame распространяется через Windows Updates, является более значимым, чем сам Flame», – говорит Шувенберг, который считает, что, возможно, есть только 10 программистов в мире, способных запрограммировать такое поведение. «Это техническая изощрённость (feat), которая весьма изумляет, потому что здесь было взломано шифрование мирового класса, Вам обязательно необходимы суперкомпьютеры и множество специалистов для того, чтобы сделать это».

О том, что кернел.орг лежал пару месяцев, мы тактично промолчим.

cipher ★★★★★ ()
Ответ на: комментарий от Reset

спокойно, без паники. Враг не прорвётся! У меня вайн не установлен.

darkenshvein ★★★★★ ()

Зачем вы забрасываете агрессивную рекламу Касперского сюда ?

lenin386 ★★★ ()

он может заражать принтеры

щито ?

он может незаметно по ключевым словам искать секретные pdf-файлы

[fat-mode] ищет по красной печате Top-secret [/fat-mode]

snaf ★★★★★ ()

Троянский слон на 20мб? Да, это сила! Ждем вирусов размером в 1гб для работы которых нужна видяха с shader model 4.0.

morse ★★★★★ ()
Ответ на: комментарий от Reset

если Они сумели подменить сервера обновлений Микрософт, то сервера обновлений какой-то убунты тем более подменят

Никто не будет этого делать. Пост - пруф того, что те, кто хотят работу работать, а не компилировать, выбирают ОС Виндвос.

cipher ★★★★★ ()
Ответ на: комментарий от buddhist

А по сабжу — все это скоро будет неактуально, люди сами разрешат шпионить за ними,

уже.

Deleted ()

вопли про - зачем это тут - меня просто умиляют
когда огромные корпоративные сети во внутри-российских компаниях устанавливаются под офтопик и принудительно - в законном! - порядке прикручиваются под виндовый авто-апдэйт, а потом на них сверху накручиваются касперский анти-вирус, меня охватывает гомерический хохот, потому что театр абсурда - это когда авто-апдэйт и атни-вирус сосуществуют на одной машине, шпионя друг за другом и пожирая ресурсы под 100 %

kto_tama ★★★★★ ()

Это техническая изощрённость (feat), которая весьма изумляет, потому что здесь было взломано шифрование мирового класса, Вам обязательно необходимы суперкомпьютеры и множество специалистов для того, чтобы сделать это

А можно подробнее про это?

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

А можно подробнее про это?

при конкретном взломе ключа используется удаленный супер-компьютер

kto_tama ★★★★★ ()
Ответ на: комментарий от morse

Троянский слон на 20мб?

с дотнет рантаймом

wxw ★★★★★ ()

Особенность Flame это то, как он впервые проник на компьютеры: через обновление операционной системы Windows 7. Пользователь думает, что он просто загружает законный патч от Microsoft, а на самом деле вместо этого устанавливает Flame.

Правильно ли я понимаю, что был взломан windowsupdate.microsoft.com?

dexpl ★★★★★ ()
Ответ на: комментарий от morse

Троянский слон на 20мб? Да, это сила! Ждем вирусов размером в 1гб для работы которых нужна видяха с shader model 4.0

Уже давно, зовутся биткоин-майнерами.

AlexVIP ()
Ответ на: комментарий от cipher

Да ладно, на кернел орг тролли оттаптывались за милую душу. Так что сегодня мы говорим про то, как винду затроянивают через windows update.

prischeyadro ★★★☆☆ ()

AlexVIP, Reset, Linuxman, вы хотите сказать, что вредоносный код был внедрен в Windows Update сотрудниками Microsoft'а? Круто, однако. А я все веселье проспал. Пойду почитаю новости за прошлый год.

dexpl ★★★★★ ()
Ответ на: комментарий от dexpl

А что в этом такого?
Рано или поздно они должны были попробовать.

Linuxman ()
Ответ на: комментарий от dexpl

что вредоносный код был внедрен в Windows Update сотрудниками Microsoft'а?

НЕ исключено
например, уволенными сотрудниками

kto_tama ★★★★★ ()

Flame в общей сложности был размером 20 Мбайт, т. е. примерно в 40 раз больше, чем Stuxnet.

Только жирный он такой потому, что там большая часть фич реализована на lua скриптах. А наговнокодить 15 мегабайт lua скриптов может даже группа похапэ-программистов обычно пишущих админки для спайвары.

winddos ★★★ ()
Ответ на: комментарий от dexpl

В Windows Update ничего не внедряли. Подменили dns'ы, взломали ключ, которым подписывали обновления.

Reset ★★★★★ ()
Ответ на: комментарий от kto_tama

Да бред какой, тупо днс подменили и митм, в какой-нибудь домашней или вифи сети.
И ждали, пока чьянить винда за обновлениями полезет.

tazhate ★★★★★ ()
Ответ на: комментарий от morse

На вашем компьютере не установлено C++ Redistributable & MS (c) (r) DirectX 100500, вирус не может быть запущен. Пожалуйста, установите требуемые компоненты и повторите снова.

cdshines ★★★★ ()
Ответ на: комментарий от Reset

Подменили dns'ы

Какие именно и каким образом?

dexpl ★★★★★ ()
Ответ на: комментарий от dexpl

Откуда мне знать как, но это проще чем взломать windowsupdate.

Reset ★★★★★ ()

Как только Flame компрометирует машину, он может незаметно по ключевым словам искать секретные pdf-файлы, а затем подготавливать и передавать обобщающую информацию о найденном документ

Я когда-то в детстве написал вирусяку которая мне отчеты по лабам собирала:)

r ★★★★★ ()
Ответ на: комментарий от cdshines

о статической линковке слыхал?) Так, вот, все это добро можно с собой тянуть и получаем вирь с тушкой 20-500 мб))

fang90 ★★★★★ ()
Ответ на: комментарий от fang90

я так и думал
пытливый лоровский интеллект пытается понять, как это было сделано
почему - это даже не обсуждается

kto_tama ★★★★★ ()
Ответ на: комментарий от dexpl

Очевидно те, которые были прописаны. Это же была атака, направленная на конкретные организации, поэтому можно было узнать какие dns они используют.

Reset ★★★★★ ()
Ответ на: комментарий от dexpl

даже всё проще, подменили dns трафик, идущий на определенные ip-адреса

Reset ★★★★★ ()

Вам обязательно необходимы суперкомпьютеры и множество специалистов для того, чтобы сделать это».

или же 1 бумажка

cvs-255 ★★★★★ ()
Ответ на: комментарий от fang90

как двано я уже не встречал этой фрвазы в интернетах. но, все равно, спасибо, капитан!

cdshines ★★★★ ()

Винда как рассадник зла

С разморозкой
[/thread]

Deleted ()
Ответ на: комментарий от r

Мы с тобой одной крови. Когда-то с Жанной Рутковской переписывался. Персональный стеганографический руткит отловил благодаря ей. Случайно, можно сказать. Но предупреждён, значит вооружён. Но блин, скоко бабла в этот руткит, внедрённый в фото было вложено?

kraftello ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.