Alex

Biztonság vagy kényelem?



A Code Red és a Nimda után két évvel újabb féreg ment villámgyorsan körbe az Interneten, ami azt jelenti, hogy az emberek továbbra sem frissítik szoftvereiket, és a vállalatoknál sem a biztonság az elsőrendű szempont.

Már több variánsa is megjelent az MSBlast féregnek, és a következő hetekben-hónapokban még veszélyesebb változatok várhatók. A támadás első fázisában mintegy 300 000 számítógép fertőzödőtt meg világszerte a gépek gyakori újraindulását okozva. A második lépés a Microsoft javításokat közzétevő oldalának bombázása lett volna, amivel egyrészt a felhasználók képtelenek lettek volna letölteni az ellenszert, másrészt mindenki számára figyelemfelhívásként szolgál a Windowsokban meglévő hibára.

A Microsoft szerencséje, hogy a támadás csak a http://www.windowsupdate.com-ra, nem pedig a valós http://windowsupdate.microsoft.com ellen irányult, így a társaság a domainnév leállításával ki tudta védeni a féregprogram fertőzött számítógépekről induló túlterheléses támadását. A Windows Update frissítési szolgáltatás valójában az utóbbi címen érhető el, amelyet a felhasználók továbbra is igénybe vehetnek a javítások és frissítések letöltéséhez. Mivel a Windows is ezt a címet nyitja meg a Start menűben található ikonra kattintáskor, az operációs rendszeren belül azonos módon lehet elérni a szolgáltatást mint ezidáig. A lépés eredményeként a féregprogram nem tudott fennakadást okozni a Microsoft weboldalának elérésében, illetve a Windows Update szolgáltatás működésében.

Mint Lloyd Taylor, az internetes felügyelettel foglalkozó KeyNote elnökhelyettese elmondta, a Microsoft megoldása szokatlan, de az adott helyzetben teljesen logikus volt. "A Microsoft kihúzta a Blaster méregfogát" - mondta a szakértő utalva arra a lépésre, amely során a társaság lekapcsolta a www.windowsupdate.com domain nevet a biztonsági frissítéseket tartalmazó Windows Update szolgáltatásról.

"Amikor a féregprogram támadni akar, nem kap érvényes címet, így nem tudja, mit kellene megtámadnia" - mondta Taylor. Taylor szerint meglehetősen hanyag lépés volt a készítőktől, hogy nem a windowsupdate.microsoft.com címre irányították a támadást, mivel a Microsoft ezért tudta alkalmazni a mostani taktikát. A szakértő szerint elképzelhető, hogy a hackerek valójában nem is akartak kárt okozni, csak megpróbáltak ráijeszteni a szoftveróriásra. A féreg másodpercenként 50 IP csomagot küldött volna célba, ami a fertőzött gépek számával felszorozva még a Microsoft.com-ot is könnyedén padlóra küldte volna.

A féreg az operációs rendszer egy meglévő hibáját használta ki, és ugyan a javítás már július közepén megjelent, a biztonsági szakértők számára tökéletesen kiszámítható volt egy hasonló program megjelenése. Fontos figyelmeztető jel volt a pár nappal korábban feltűnt IRC-s bot. A féreg sikere nem a programozó tudását dicséri, hanem csupán az internetre kapcsolt gépek sebezhetőségét tette sokadszorra is nyilvánvalóvá.

Habár a Blaster lassan lekerül a híroldalak és a biztonsági jelentések elejéről, a korábbi társaik, mint a Sircam, Nimda vagy a Bugbear továbbra is az antivíruscégek címlapján szerepelnek. A fejlett technológia és biztonság ellenére továbbra is veszélyt jelentenek a vállalati, kormányzati rendszerekre. Vajon miért nem tűnnek el örökre a sülyesztőben?

A magyarázat az Internet nagyságában rejlik - mindig van olyan hely, ahol egy időre megbújhatnak, tenyészhetnek, és időről időre kijutva újabb helyeken tűnhetnek fel. A statisztikák szerint "sikeres" férgek, a leginkább túlélő típusok folyamatosan mozgásban vannak, újrafertőzik a korábban már megtisztitott hálózatokat. Az otthoni felhasználók a legveszélyeztetettebbek, mivel egy részük mindig is be fog dőlni a vírusos levelek utasításainak (kattints egy képre vagy a csatolt file-ra). A legjobb példa erre talán a FunLove vírus, ami 1998 őszi felfedezése ellenére még mindig a Symantec toplistáján szerepel. Számtalan vírusíró a korábbi férgek kódjára építve, csupán azt módosítva adja közre saját változatát, és ezeket a rendszeresen frissített antivírusprogramok könnyedén eltávolítanák. Ráadásul az emberek lebecsülik az egyszer már kiírtott kórokozok visszatérése okozta veszélyt. A vállalati hálózatok kagylóhéjszerű felépítése is kedvez a férgeknek, mivel a külső, tűzfalakkal és más biztonsági módszerekkel megerősített védelem mögé bejutva már szabadon garázdálkodhatnak. A figyelem elterelődése is előnyükre szolgál, mivel a rendszergazdák a veszély elhárítása után nem tesznek meg mindent a teljes törlés érdekében.

A legnagyobb veszélyt számukra a technológia előrehaladása jelenti. Miután a fertőzésre használt protokoll, alkalmazás vagy platform kimegy a divatból, teljesen elveszíthetik a lábuk alól a talajt. De ez sajnos csak az Internet kis részére igaz, más régiókba, elmaradottabb vidékekre költözve még hosszú ideig fennmaradhatnak. Ráadásul a jövőben várhatóan a vírusok és férgek egyre okosabbak lesznek, a Nimdához hasonlóan többféle terjedési módszert használnak, és ez többszintű védelmet is követel.

Az otthoni számítógépeknél csak egyetlen sebezhetőbb van, és ez maga az Internet. Nincs olyan hónap, hogy ne derülne ki súlyos hiba valamely elterjedt hálózati technológiában, és a közvetlenül nem érintett esetekben is (mint például az SQL Slammernél) ugrásszerűen nőtt a forgalom, a túlterheltség miatt világszerte általános volt a lassulás. Az ember azt gondolná, hogy a felhasználók és a vállalatok tanultak a korábbi tömeges vírusfertőzésekbol, de az emberek továbbra sem figyelnek oda gépükre.

A vírusirók számára a legelterjedtebb operációs rendszer, a Windowsok alapkoncepciója miatt mindig lesz lehetőség hasonló támadásokra. Hiába szállítja a Microsoft tűzfallal és egyéb biztonsági beállításokkal szoftverét, az online játék lehetősége, az e-kereskedelmi weblapokhoz szükséges egyéb kapcsolatok és más hasonló kényelmi beállítások miatt mindig a támadók lesznek előnyben. Az emberek egyre több szolgáltatásra, a szoftverek "interaktívabb", hálózati képességekkel is felszerelt verzióira vágynak, ami a biztonságot szükségszerűen háttérbe szorítja. Amennyiben a legújabb csili-vili szoftver nem fut tökéletesen, az első logikus lépés mindig a tűzfal lekapcsolása - és a visszakapcsolás a legtöbb esetben "elfelejtődik".

Az MSBlasternél a gépek folyamatos újraindulása miatt minden fertőzott felhasználó észrevehette a hibát, és ez fontos fordulópontot jelenthet gondolkodásukban az online biztonságról. Az emailvírusok csak a spamekhez hasonló időleges bosszúságot okoztak, de itt a féreg a termelékenységet is befolyásolta, a számítógép használatát is lehetetlenné tette. Eddig a felhasználók számára a szolgáltatások egyszerű használata volt a fő szempont, aminek elsőként szinte mindig a biztonság esik áldozatul. De mivel most sokszázezer ember elsőkézből tapasztalhatta meg a vírusok okozta problémát, a rendszergazdáknak és internetszolgáltatóknak egyszerűbb dolguk lesz a hozzá nem értők kezelésénél, és az átlagemberek sem csak ellenük irányuló támadásnak veszik a biztonsági szabályzatokat.

Hiába közölte szinte minden híroldal az RPC hibáját, a majd egy hónapja elérhető javítást csak az olvasók töredéke telepítette. A januári SQL Slammer hibához hasonlóan a felelősség nagyrésze itt is a szoftverfejlesztőket és a rendszergazdákat terheli. Változást leginkább a Windows tűzfalának megerősítése okozhat; nagyban növelné a biztonságot ha a net felé tárva-nyitva álló számítógépek helyett a felhasználóknak meg kellene határozniuk melyik programjuk kommunikálhat a hálózaton. Ez a jövőben várható is, Jeff Jones, a Microsoft megbízható számítógép programjának igazgatója szerint várhatóan a Windows XP következő szervízcsomagjában már alapból be fogják kapcsolni a beépített tűzfalat. Az utólag telepíthető tűzfalprogramok többsége ilyen: installállás után azonnal mindent blokkolnak, és mi határozhatjuk meg mit engedünk és mit nem. A Windows Server 2003 üzleti oprendszer már alkalmazza ezt, és a következő asztali generáció is tartalmazni fogja. Az embereknek el kell fogadniuk, hogy ahogy az autóban be kell kötni a biztonsági övet, vagy a motoron kötelező a bukósisak viselése, úgy a számítógép előtt ülve is át kell esni a tűzfalkonfigurálás egyszerűsített lépésein.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • mikike #70
    valaki guru!

    ki lehet írni az összes biztonsági javítást CDre magyar 98SEhez és XPProfSP1hez?
    úgy hogy utána csak egy fájlt kelljen elindítani és internet nélküli gépre is felrakna mindent
    ?
  • [HUN]PAStheLoD #62
    nem volt kedvem végigolvasni a "szar a msblaster írójának a szájába" típusú hozzászólásokat de azt azért észrevettem hogy sokan bekapták... pedig ha napi 4 reklámot nem látok ami figyelmeztet hogy SECUrITY WARINING meg ilyen szarok (persze ez csak egy idióta Banner) de akkor is ott van és ez már tudatalatti hatásnak is elég lenne hogy ne kapcsoljuk ki a m$ tűzfalát vagy látogassuk a winupdate-t vagy esetleg neadjisten feltegyül a totállámáknak is elfutó zA-t vagy NIS-t... de nem ti a vírus írót sziggyátok ahelyett hogy megköszönnétek neki hogy ezentúl majd igenis ránézek arra a kurva dobozra ami elött csücsülök... persze az ismét más tészta hogy erre a baráti figyelemfelkeltésre mért pont ilyen módot választott de még minidg jobb mintha esetleg tényleg formázott volna...

    aki meg nem jött rá hogy a hiba a saját készülékében van és azért indul újra ( sok ismerősöm megjárta) azoknak is jó "lecke" volt hogy tényleg nem csak ülni kell azelőtt a kurva doboz előtt hanem valamennyire ismerni is!

    / Éljen a Ctrl Alt Del és a Folyamatkezelő hatalmassága /
    flame off...
  • awender #55
    Szerintem a következő történt:
    A microsoft a támadás előtt több lehetőségre is felkészült. Az egyik
    ilyen lehetőség az volt, hogy ha minden kötél szakad, és a támadást nem
    sikerül kivédeni, akkor egyszerűen többé nem használják a
    windowsupdate.com-ot.

    Laikusoknál jól hangzik az, hogy a "támadás meghiúsult". Azonban aki
    kicsit is foglalkozott a témával, az észreveheti, hogy azért ez a
    támadás bizony sikeres volt és elérte a célját. Hiszen a
    windowsupdate.com -ot hosszú-hosszú ideig nem fogják használni.

    Egyébként én aug.16 után persze ránéztem az oldalra, miként próbálkozik
    az MS, és láttam, hogy a windowsupdate.com elesett bizony...

    Az effajta támadást mindenképpen elítélendőnek tartom. Viszont
    gondoljunk csak bele, hogy mennyi pénzt is kell leperkálni vkinek ezért
    az op.rendszerért és mit is kap érte...

    Aztán gondoljunk csak bele, hogy vajon a 100 év múlva hogyan tekintenek
    vissza erre az időszakra. Vajon úgy, mint az op.rendszerek szabad
    piacára, vagy úgy, hogy volt pár bátor ember, aki az MS monopóliumának
    elvesztését előkészítve - kvázi szabadságharcosként - működött.

    Mi lesz akkor, ha két hét múlva megint patch-elni kell a rendszert, de
    ezúttal nem a windowsupdate.com lesz a cél, hanem a microsoft.com?

  • IrkaBirka #49
    Nyugi, csak próbálják kideríteni, hogy ki írta. Gondolom M$ barátunk cége$ berkeiben $okra értékelik, ha valaki ha$ználható nyommal $zolgál azügyben, hogy ki volt a féreg írója. Vszjo ták hárásó ;)
  • Hoz_Hun #46
    Na egy újabb adalék a Blasterhez, most olvastam:
    "A TruSecure biztonságtechnikai cég felmérése szerint a Blaster eddig a vállalati rendszerek húsz százalékát fertőzte meg, a fertőzés fő forrásainak a hordozható számítógépek bizonyultak. A kisebb károk becsült helyreállítási költsége 6500 dollár, a nagyobbaké akár 55 000 dollár is lehet."
    Ugy hogy voltak károk. Gondolom aki 55 rugónyi dollárt kiperkál az nem annyira örült az élharcos Blasternak.
  • Hoz_Hun #45
    Értem én. Automatikusan letölti. Nekem is (le kellet volna töltenie). A munkahelyi gépem nekem sem kapta meg. A haverok sem kapták meg (még, bár már figyelmeztettem őket, ugy hogy patchelnek szorgalmassan).
  • Hoz_Hun #43
    Mondom én nem tudom, de eddig mindig automatikusan updatelt. Még csodálkoztam is ezen és ellenőriztem is mi az amit letöltött és ez nem volt közte. Mivel van egy raklapnyi anyag amit csak ajánl és nem tölt le automatice gondoltam ez is olyan lehetett, de ezek szerint nem. A kapcsoltal sem lehet gond, ADSL és eddig sosem problémázott, ha meg is szakítottam a MS updatet mindig figyelmeztetett és legközelebb folytatta.
  • Hoz_Hun #40
    Nem tudom, hogy ő hogy csinálja de TWN_lusta azt írja ő is folyamatosan felrakja a patcheket és ő is bekapta a vírust. Lehet hogy egy újabb MS bug. Valakinek rendesen updatel van akinek nem.
  • Hoz_Hun #39
    Csodák nincsenek. Bekaptam a vírust, ugy hogy vagy a patch nem volt jó, vagy nem telepítette az update.
  • Hoz_Hun #38
    és mi az ad 3?