» »

Nenehni napadi na porte

Nenehni napadi na porte

1
2
3

BlueRunner ::

Blue: Saj vem. Vendar je bilo to potrebno poudariti, da si ne bo kdo zamislil nekega super black box fw, ki te odreši vseh nevarnosti.

Zaščite so vedno večnivojske.

Absolutno se strinjam. Zato je vnaprejšnje zavračanje enega izmed orodj, ki pri ščitenju pomagajo, znak pomankanja strokovnosti.

Je pa res, da so produkti takšni in drugačni... nekateri pa tudi zelo "posebni" :D

Jst ::

Snort je Pripomoček (z veliko začetnico). Tako kot je izvijač pripomoček. Ko gre zadeva skozi firewall, kar sploh ni težko doseči, lahko s snortom zaznaš sumljivo dogajanje in ali pravočasno ukrepaš ali pa če je škoda že storjena, na podlagi zaznave, zadevo "saniraš." Sam po sebi Snort ni "za inštalirat."
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

k4vz0024 ::

Lepo. pol nas pa razsvetli s primerom uporabe.

jype ::

Snort ti lahko npr. po petih spodletelih poskusih prijave na določen servis zapre dostop za izvorni naslov IP, ali pa z analizo podatkov v paketih ustavi znane vektorje napada na določen servis.

k4vz0024 ::

No, pa še kako se ga uporablja.:\

jype ::

k4vz0024> No, pa še kako se ga uporablja.

vim /etc/snort/snort.conf
... (popraviš nastavitve, da ti ustrezajo, morda še kak ruelset skopiraš sem in tja)

/etc/init.d/snort start

Pa je.

Azrael ::

Dokumentacijo imaš pa tukaj.

Ko se boš prebil skoznjo in tudi razumel kaj piše, se boš samo še smejal tej temi.
Nekoč je bil Slo-tech.

k4vz0024 ::

Hvala.

blackbfm ::

@BlueRunner dej nehi no sam nehi. Povprečnemu uporabniku se ni treba čiz nič bat če približno ve kaj lahko klika. Recimo man-in-the-middle se v teoriji tut sliš popolno, v realnosti je pa težko izpolnit vse pogoje za tak napad. Enako velja za tvoje ostale primere. Se zgodi sem pa tja ne rečem, samo ne prodaji megle tuki ljudem. No, če živiš od tega potem je že jasno zakaj delaš tak bavbav:D

jype ::

blackclw> čiz nič bat če približno ve kaj lahko klika.

Povprečni uporabnik niti približno ne ve, kaj sme klikat.

BlueRunner ::

@blackclw: Leta 2007 je v Sloveniji 39,8% uporabnikov v 12-mesečnem obdobju vsaj enkrat izkusilo negativne posledice okužbe (izguba podatkov, izguba časa). Stopnja visoke računalniške pismenosti je v sloveniji 28%, v EU27 pa okoli 24%. Vir je "RIS 2007 Uporaba interneta". Kdo so tukaj tvoji povpreči uporabniki o katerih tako veliko veš? Aha, seveda: to si ti in morda še 10 tvojih prijateljev, ki padejo v tistih 28%, ki res nima težav in je tudi majhna verjetnost, da bi težave imeli.

Pokaži svoje vire, ki argumentirajo tvoja stališča, potem ti bo morda še kdo kaj verjel. Dokler pa tega ne storiš, si zame samo glasno gobezdalo.

"k4vz0024" in preostalih 72% populacije še ni visoko računalniško pismena. Zaradi tega pa so neprimerno bolj izpostavljeni vsem oblikam zlorab, saj nevarnosti ne poznajo in je ne zaznajo. Vsa orodja, ki so jim danes na voljo zmanjšujejo verjetnost zlorabe, ti pa propagiraš, naj se nekaterih ne uporablja. Tvoj občutek za odgovornost je podoben občutku vsevednosti pri najstnikih, ne pa nekomu, ki ima kakršne koli izkušnje in znanje o temi.

Tvoja trditev o prodajanju megle je kaže popolno nerazumevanje in pomankanje kakšrnega okoli znanja o problematiki. Če povem na kratko: pojma nimaš, okrog pa podajaš škodljive nasvete, ki nimajo zveze z realnostjo. Gobezdaš neke kvazi pametne izjave, ki jih vlečeš iz riti, potem jih pa samo vztrajno težiš, kako se resnične, ne da se bo toliko potrudil, da bi našel argumente, ki bi jih potrdili.

Čeprav moj zaslužek ni neposredno odvisen samo od konkretne problematike (informacijska družba in varnost obsegata še veliko veliko več), pa s komentarji o temu od česa živim še vedno brcaš v temo. Po isti logiki policija podpira kriminal, zdravniki pa te nočejo ozdraviti, saj bo s tem oboji nenadoma ostali brez dela. Yeah, right... še ena teorija zarote.... :D

imagodei ::

fiction> "Tudi za uporabo požarnega zidu je treba imeti nekaj pojma, da ne govorimo da tudi
znanje o TCP/IP-ju ni odveč. Večina ljudi pa sedaj samo vzame firewall in reče OK
zdaj sem varen, kar pa ni res. Ker seveda program, ki samo piše log ali še tega ne, ni
zanimiv, se mora na vsake toliko časa malo oglašati. V stilu "OMG blocked a hacking
attempt!!!111". Neke hude konfiguracije od uporabnika se itak ne zahteva, ker to ne bi
imelo smisla.
Ko potem to skombiniraš s Hollywoodskimi filmi, ni čudno da večina ljudi začne z
"ojoj ta pa ta me heka, kako bi ga nazaj" in podobno otročjimi vprašanji. :)"



Se ne strinjam glih z vsem... Ja, šur, da je treba imeti nekaj splošnega znanja o računalnikih in omrežjih. Danes ljudje, ki so zrasli z računalniki mislijo, da ne potrebujejo računalniškega izobraževanja. Pa izgleda, da bo vseeno treba tukaj malo več poudarka dajat. Po eni strani me preseneča, da ljudje, ki so mlajši od 35 let, tako malo vedo o principih delovanja računalnikov ter omrežij. Po drugi strani pa povsem pričakovano, da se množice ne poglabljajo dlje od tega, da če pritisneš črko "A", se na zaslonu mora prikazat. (Če se pa ne, je pa že panika... Mogoče Word ravno nima fokusa...).

Da bi pa moral vsakdanji uporabnik imeti kaj dosti pojma o TCP/IP protokolu...?! Tega pa ne sprejmem. Firewalli, naj bodo SW ali HW, morajo biti dummy-proof. Tako kot za vožnjo avtomobila ne potrebuješ detajlnega znanja o tem, kaj se dogaja pod pokrovom, tako za uporabo računalnika res ni treba poznati skrivnosti TCP paketa. Programi morajo biti narejeni tako, da vsakdanji uporabnik lahko nastavi neke privzete nastavitve, ki so primerne za to katergorijo ljudi. Če potrebuješ bolj detajlne nastavitve, pokličeš strokovnjaka; če si Power user, si pač zrihtaš FW, ki omogoča nastavljanje vsega mogočega.

Povprečni uporabnik pa ne potrebuje, da mu nekaj stalno "žmiga", ko novoletna jelka. Prav tako je neumno, da bi moral imeti kakršnokoli napredno znanje o TCP/IP-ju. Pod splošno izobrazbo bi moralo spadati dejstvo, da je IP(v4) naslov sestavljen iz štirih števil med 0 in 255, ločenih s piko. Prav tako bi moral vsak uporabnik na nivoju ideje poznati razliko med javnimi in zasebnimi interenet omrežji ter vedeti, da mora vsaka naprava, priključena na javno omrežje, imeti unikaten IP naslov. Iz tega potem izhaja tudi dejstvo, da mora poznati vlogo default gatewaya.

To je stvar 1 ure razlage. Zadeva, ki jo lahko omenijo na vsakem začetniškem računalniškem tečaju. In zadeva, ki bi jo moral vsak srednješolec slišati pri pouku informatike. To so zares osnove in brez tega ni internetne povezave.

Vse ostalo (protokoli, porti, NAT, port forwarding, access rule, WEP, WPA, VPN...) so pa zadeve, s katerimi se lahko geeki ukvarjajo(mo) ljubiteljsko oz. zaradi strokovnih in službenih zahtev. Lepo prosim, ne bluzit, da bi jih moral poznati Janez Povprečnik, ki je ravno nabavil router in bi rad po navodilih zrihtal priklop dveh računalnikov na mrežo.
- Hoc est qui sumus -

blackbfm ::

@BlueRunner čudno da je potem folk zadovoljen z mojimi škodljivimi nasveti. Vsakmu ki mi da komp za zrihtat mu povem kaj se sme in kaj se ne sme. Pa še noben ni mel nekih resnih problemov po tem. Tvoje težke statistične podatke in tvojo teorijo si lahko zatakneš nekam. Če je kdo glasno gobezdalo si to ti, samo utrujaš z enimi stvarmi ki funkcijonirajo samo "na papirju".

Po isti logiki policija podpira kriminal, zdravniki pa te nočejo ozdraviti, saj bo s tem oboji nenadoma ostali brez dela. Yeah, right... še ena teorija zarote.... :D


O tem bi se pa še dal debatirat:D

Jst ::

In tako Janez Povprečni postane zombi, kateri po internetu naredijo precej škode: od spama, avtomatskega skeniranja portov do denial of service napadov. In se tega sploh ne zavedajo.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

blackbfm ::

Takim 3/4 časa sploh internet ne dela ker jim bot zabije povezavo. Sicer moraš bit pa res debil če tega ne opaziš. Za routerjem si pred takimi stvarmi 100% varen brez kakršnegakoli dodatnega software FW, če ne poklikaš ravno vseh linkov ki se ti prikažejo v smislu "click here to see nude pictures of ______" :D.

Sicer pa Janez Povprečni ima tako ali tako privzeto vključen FW (če govorimo za Win). Ok, tega še toleriram, ostale kičaste navlake pa ne.

Zgodovina sprememb…

  • spremenilo: blackbfm ()

jype ::

blackclw> Za routerjem si pred takimi stvarmi 100% varen brez kakršnegakoli dodatnega software FW, če ne poklikaš ravno vseh linkov ki se ti prikažejo v smislu "click here to see nude pictures of ______".

To ne drži. Drži sicer, da tudi z dodatnim programjem, ki opravlja funkcijo požarnih zidov, nisi 100% varen, vendar to ne spremeni dejstva, da obstaja en kup vektorjev omrežnega napada na računalnik, pred katerim sedi "stateful filtering firewall", ki običajno izvaja tudi NA(P)T.

blackbfm ::

Z Janezom Povprečnim se noben ne bo dosti ukvarjal tako da je router brez odprtih portov načeloma dovolj.

jype ::

blackclw> Z Janezom Povprečnim se noben ne bo dosti ukvarjal tako da je router brez odprtih portov načeloma dovolj.

To ne drži. Računalnik Janeza Povprečnega bodo okužili roboti in bo praviloma postal del večjega botneta.

blackbfm ::

Če ga bo sam naložu na komp potem verjetno res, drugače pa ne.

jype ::

blackclw> Če ga bo sam naložu na komp potem verjetno res, drugače pa ne.

Kako pa naj ve, če ga je sam namestil?

Gre na znano in pogosto obiskano spletno stran, na katero je nekdo uspešno izvedel XSS napad. Kaj pa Janez ve, kaj je XSS?

Ali pa po e-mailu dobi od osebe, ki jo pozna, link na .exe datoteko s prikupno, a brezvezno čestitko. Kako naj ve, da je to dejansko zla koda?

imagodei ::

Jst> "In tako Janez Povprečni postane zombi, kateri po internetu naredijo precej škode: od spama, avtomatskega skeniranja portov do denial of service napadov. In se tega sploh ne zavedajo."

Res je. Samo vseeno to ni razlog, da bi moral Janez Povprečnik poznat TCP/IP kaj bolj, kot IP naslov, subnet masko in gateway. Pa DNS strežnike bi moral znat nastavit.

Če ve več in če bi bila splošna pismenost boljša, še toliko boljše. Ampak sosedovi Micki pravzaprav tudi ni treba pogledat pod pokrov avtomobila; ni ji treba znat šraubat mašine. Niti olja ji ni treba znat dotankat. A bo zaradi tega sem ter tja kaki sosedovi Micki zaribal avto? Ja. Pa njen avtomehanik se bo zgražal, ker se bo k njemu na redni servis pripeljala z gorečo lučko za olje, pa sploh ne bo opazila... Vseeno je pa lahko zelo varna voznica, zna super predvidevat, ima vedno varnostno razdaljo... In v prejšnjem letu je na službenih poteh prevozila 40.000 km, pa še ene pol toliko zasebno.

Analogija je očitna: za to, da uporabnik računalnik lahko varno uporablja, ni potrebno znanje TCP/IP protokola in v nulo poznat nastavitve routerja/firewalla. Je pa treba imet drugačno znanje, splošno znanje. Kaj je to kB, MB, GB... Koliko je velik CD, DVD. Kaj je to virus in kako se lahko okužimo. Koliko je običajna dolžina mp3 datoteke, koliko je običajna dolžina avi datoteke. Ne more biti mp3 dolg 230kB. Slika se ne imenuje Picture.bmp.exe. Na spletnih straneh oken, ki se pojavijo, ne zapiramo s klikom na gumb YES. Če neke spletne storitve ne poznamo in ne vemo zanjo, zapustimo sumljivo spletno stran, ali pa pokličemo znanca, ki mu zaupamo in se spozna na to. Na spletnih straneh imamo skripte privzeto izključene, vključimo jih le, če smo prepričani, da je stran, ki jo gledamo, prava in ji zaupamo.

S takšnim znanjem in obnašanjem lahko vsakdo uporablja splet relativno varno, pa je daleč od tega, da bi imel popolnoma zabit in zaprt router ter detajlno poznavanje delovanja tcp/ip. Router nastavitve lahko ostanejo dummy-proof, pa ni treba na SI-cert in podobnih straneh spremljat novih zero-day exploitov.

Seveda bi občasno še kdo naletel na kakšno petardo in bo treba formatirat računalnik, bi bilo pa tega bistveno manj.

Pa seveda - govorim za domače uporabnike, kjer je vrhunec pomembnih podatkov shranjena pozicija v igri, mamičina prošnja za službo in referat za zgodovino učenke sedmega razreda. Kdor se gre resen biznis, je pač totalno neodgovoren, če nima za sabo vsaj pol spodobne firme, ki skrbi za njihovo varnost.
- Hoc est qui sumus -

Jst ::

Imago: Jaz se s teboj načeloma strinjam, ampak vseeno je pa zelo neumno zanikati nevarnosti, ki se dogajajo v tako velikem obsegu. blackclw pa te nevarnosti očitno zanika, ali si namerno zatiska oči, ali pa ne pozna problematike. Le kako naj uporabnik računalnika - Povprečni Janez - ve, da je zombi? Dandanes niso več tako neumni, da ti kar zafilajo povezavo (ali CPU) 24/7. Lahko do dormant več mesecev in med tem časom kradejo osebne podatke, za katere je bandwidth tako minimalen, da ne boš opazil.

Targeted napadi na Povprečnega Janeza so res malo verjetni, a morda je zlodej v računalniku med drugim zadolžen za prepoznavo bančnih storitev in slej ko prej bo Lojze Povprečni imel na računu večjo količino denarja, ki bo izginila, za katero se bo sled ob pravilnem napadu - man in the middle - izgubila.

Mi tukaj ne širimo splošne panike, tako tudi razumem Jureta in Blue, ampak razlagamo, kako je preprosto postati žrtev, brez da bi se tega zavedali.

Samo router z zaprtimi, stealh porti, ni dovolj, da se to prepreči, kot namiguje blackclw. Je pa vsaj dvonivojska začita: router in OS.

Vista ima UAC, ki je bolj v fazi 0.0.1-586i alpha, kot pa nek resen pripomoček, ki je večini ljudi nadležen in ga takoj izklopijo. Ampak spet je tu še en layer zaščite. Za UAC pogrešam samo bolj sofisticirana pravila, da jih admin pravilno nastavi.

Tako na Povrečnemu PCju Janeza poskrbimo za osnovno zaščito, ki uspešnost auto scanov zelo zmanjša.

Ko Admin postavi zadevo, je pa na vrsti uporabnik sam. Temu je potem potreno razložiti, kako naj prepozna, čemur naj se izogiba, kot si, Imago, opisal zgoraj.

Sedaj smo pa že res na minimumu okužne. Ni pa zadeva bullet proof - opisal Blue in Jure.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

blackbfm ::

@imagodei dobr si povedu.

@Jst pa si ti že kdaj mel opravka z zombi računalnikom? Na takem računalniku nikdar ne boš najdu samo enega bota. Načeloma vedno pride do upočasnitve sistema/interneta, to je čist lep znak da nekaj ne štima in se potem da komp nekomu za zrihtat:D

Jst ::

Bullshit!

Zombi je servis/proces (pri MSjevi platformi), ki je večino časa dormant, nič ne dela, ne kuri CPUja, pokuri zelo malo rama, ter ne obremenjuje linije. Sedaj je večina takšnih.

Ko se pa upravljalec botneta odloči za akcijo (pošiljanje spama, DDOS), pa uporabnih občuti rahlo upočasnitev računalnka za nekaj časa, kar ni nič neobičajo. Janez Povprečni nikakor ne pomisli, da je z njegovim računalnikom karkoli narobe. Mogoče, ampak res mogoče, ga celo resetira.

Avtomatski scani po omrežju pa tudi ne potrebujejo veliko bandwidtha, ker gre po en paket na vsak port od 65535. In ker je tako veliko okuženih računalnikov, niti ni potrebno, da bi en sam računalnik Janeza porabil veliko pasovne širine.

Dandanes so zombi računalniki napredovali, ker če bi linijo totalno zafilali, bi tudi Janez Povprečni sumil, da je nekaj narobe. Tega pa upravljali botnetov nočejo. Tudi ob DDOSu na neko stran, gre od vsakega zombija kvečejmu nekaj odstotkov njegove pasovne širine, tako niti ne more posumiti, da je kaj narobe.


Pa ko tako poudarjaš "če ve kaj ne sme Janez klikati," naj ti povem, da so današnji napadi takšni, da niti ne rabiš karkoli klikniti: samo obiščeš določeno internetno stran.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

blackbfm ::

Bullshit!

Zombi je servis/proces (pri MSjevi platformi), ki je večino časa dormant, nič ne dela, ne kuri CPUja, pokuri zelo malo rama, ter ne obremenjuje linije. Sedaj je večina takšnih.

Ko se pa upravljalec botneta odloči za akcijo (pošiljanje spama, DDOS), pa uporabnih občuti rahlo upočasnitev računalnka za nekaj časa, kar ni nič neobičajo. Janez Povprečni nikakor ne pomisli, da je z njegovim računalnikom karkoli narobe. Mogoče, ampak res mogoče, ga celo resetira.

Avtomatski scani po omrežju pa tudi ne potrebujejo veliko bandwidtha, ker gre po en paket na vsak port od 65535. In ker je tako veliko okuženih računalnikov, niti ni potrebno, da bi en sam računalnik Janeza porabil veliko pasovne širine.

Dandanes so zombi računalniki napredovali, ker če bi linijo totalno zafilali, bi tudi Janez Povprečni sumil, da je nekaj narobe. Tega pa upravljali botnetov nočejo. Tudi ob DDOSu na neko stran, gre od vsakega zombija kvečejmu nekaj odstotkov njegove pasovne širine, tako niti ne more posumiti, da je kaj narobe.


A to si ti prebrav kje al kaj.. ker izkušenj s tem očitno nimaš in ne veš kako gre to v praksi.


Pa ko tako poudarjaš "če ve kaj ne sme Janez klikati," naj ti povem, da so današnji napadi takšni, da niti ne rabiš karkoli klikniti: samo obiščeš določeno internetno stran.


No shit, sherlock :D Vseeno majhna verjetnost, sploh če uporabljaš firefox ki ti stalno teži z nekimi popravki. Sicer pa da prideš na tako stran moraš že poklikat napačne stvari, ponavadi ima veze s spolnostjo. Ljudje so preveč potrebni, ne razmišlajo in vse poklikajo potem pa veš kako je..:D

Jst ::

Ti nimaš pojma o čem govoriš!
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

blackbfm ::

Ne da se hvalim, samo sem mel botnet s par tisoč boti. Pa še okoli 150 slovenskih. Pljunek v morje proti tistem kar sem vidu kaj imajo drugi, pa vendar je vseeno nekaj. Drugače pa res sigurno nimam pojma o čem govorim:D Samo škoda ker tako niso mislil tisti zarad katerih sem potem mogu skenslat vse...ampak ok:D

Zgodovina sprememb…

  • spremenilo: blackbfm ()

jype ::

blackclw> Sicer pa da prideš na tako stran moraš že poklikat napačne stvari,

Mhm, recimo na google.si se odpraviš, pa si že tam.

Vsak smrkovc ma lahko botnet, pa to ne pomeni, da razume koncepte varnosti računalnikov in omrežij.

blackbfm ::

Neposredno z googla še nikdar nisem nič dubu, niti nobenga ne poznam da bi (štejem povprečne uporabnike), torej je nevarnost zanemarljiva. Sploh pa ima tudi google neko bazo nevarnih strani in ti teži če klikneš na tak link.

jype ::

blackclw> Sploh pa ima tudi google neko bazo nevarnih strani in ti teži če klikneš na tak link.

Mislil sem na možnost, da je prva stran googla okužena. Niti ni tako malo verjetno, glede na zgodovino z DNS povezanih incidentov pri naših internetnih ponudnikih.

BadB0y ::

Heh meni dnevno scanajo kiste
ue Oct 28 15:13:13 2008: 219.150.147.6 [1:2003:8] MS-SQL Worm propagation attempt
Blocking 219.150.147.6 on ppp0
--
Tue Oct 28 18:56:01 2008: 218.23.142.157 [1:2003:8] MS-SQL Worm propagation attempt
Blocking 218.23.142.157 on ppp0
--
Tue Oct 28 21:08:20 2008: 218.22.244.45 [1:2003:8] MS-SQL Worm propagation attempt
Blocking 218.22.244.45 on ppp0
--
Wed Oct 29 00:36:42 2008: 88.24.61.189 [1:480:6] ICMP PING speedera
Blocking 88.24.61.189 on ppp0
Wed Oct 29 03:02:34 2008: 218.65.221.23 [1:2003:8] MS-SQL Worm propagation attempt
Blocking 218.65.221.23 on ppp0
--
Wed Oct 29 07:09:58 2008: 61.166.155.230 [1:2003:8] MS-SQL Worm propagation attempt
Blocking 61.166.155.230 on ppp0
--
Wed Oct 29 11:00:26 2008: 122.29.2.163 [1:2003:8] MS-SQL Worm propagation attempt
Blocking 122.29.2.163 on ppp0


tega je par strani dnevno. Saj ni druge kot da mi log datoteke polnijo v višave.


Zgodovina sprememb…

  • spremenil: BadB0y ()

imagodei ::

Lepo, da si nas obvestil.

Dobiš čebelico v zvezek.
- Hoc est qui sumus -

BlueRunner ::

Ne da se hvalim, samo sem mel botnet s par tisoč boti. Pa še okoli 150 slovenskih. Pljunek v morje proti tistem kar sem vidu kaj imajo drugi, pa vendar je vseeno nekaj. Drugače pa res sigurno nimam pojma o čem govorim:D Samo škoda ker tako niso mislil tisti zarad katerih sem potem mogu skenslat vse...ampak ok:D


Na tvojem mestu se ne bi s takšnimi ravno hvalil. Sicer pa v svojem delovnem času pomagam (in to precej uspešno) pri "pospravljanju" ravno takšnih "fac", ki si mislijo, da razturajo sceno, ker upravljajo botnet z nekaj 100 ali pa kakšnim milijon ali dvema zlorabljenih računalnikov.

In tovrstna "pospravljanja" se običajno končajo z zapornimi kaznimi. Pri nas sicer še ne, vendar pa se tudi to spreminja. Sicer (pre)počasi, a kljub temu vztrajno in zanesljivo. ;)

blackbfm ::

Ja sej pravim da se ne hvalim:D Drugače pa (spet) malo pretiravaš. S par tisoč boti se niti nobenmu ne da zajebavat.

BlueRunner ::

Ja sej pravim da se ne hvalim:D Drugače pa (spet) malo pretiravaš. S par tisoč boti se niti nobenmu ne da zajebavat.


Čisto odvisno komu stopiš na prste... čisto odvisno. Za DDoS to res ni dovolj, se je pa že zgodilo, da se je med njimi znašel kakšen računalnik, katerega lastniku ni bilo žal ne časa, ne denarja, da se je poskušalo krivca izslediti in postaviti pred sodišče.

fiction ::

Par tisoc botov je pomoje cisto dovolj velika mreza za izvajanje raznoraznih pizdarij (od DoS napadov,
posiljanja spama itd). Sicer pa zakaj bi bila velikost pomembna - ce v trgovini ukrades zemljo je to isto
kot ce bi vzel kaj drazjega. In s tem se res ni treba hvaliti (tudi ce zraven omenis kako sosedov Janez
se veliko bolj krade kot ti). Da ne govorimo o tem, da to tudi ni referenca, ce hoces postati varnostnik v
Mercatorju ;)

Samo tukaj ne govorimo o 1 kaznivem dejanju ampak o 1000-ih. In ze zaradi enega vdora, se splaca
zajebavati! Problem je samo v tem, da tisti, ki se jim to zgodi ponavadi nimajo dovolj znanja, da bi
vedeli kako morajo ukrepati. To, da se tudi bolj izkusenim ljudem ne da oz. nimajo casa ukvarjati je
zaskrbljujoce. Kot je opazil Badb0y se stalno dogajajo poskusi vdora - zato ker se nobeden nima casa
ukvarjati je tega cedalje vec. Posledicno se nam zdi cisto normalno, ce nekdo naredi portscan nad naso
masino. Seveda velika vecina tega je avtomatizirana in prihaja iz nekega shekanega racunalnika,
ampak vseeno.

Pyr0Beast ::

In tovrstna "pospravljanja" se običajno končajo z zapornimi kaznimi. Pri nas sicer še ne, vendar pa se tudi to spreminja. Sicer (pre)počasi, a kljub temu vztrajno in zanesljivo. [;)]
Kake kazni nek, ucinkovito bi bilo ce bi dali temu osebku vse te botane kiste za zrihtat :>
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

blackbfm ::

Pyr0 :))

fiction, če maš par tisoč nekih recimo azijskih botov se v bistvu nič ne more zgodit. Noben se nav ukvarju s tem, ne tm ne tuki. Še znotraj EU je to bol redka stvar, mislim da sem slišu samo za en mal večji primer. V glavnem o nekih kaznivih dejanjih in težkih kaznih se lahko pogovarjamo samo če se dogaja vse znotraj iste države.

Pyr0Beast ::

Seveda velja omeniti, da marsikateri bot pusti za sabo odprta vrata, tako, da se kmalu gor prikljuci se kaksen drug crv ali kaj podobnega.

Stvar je tezavna zaradit tega, ker se da s takimi zmogljivostmi izsiljevati podjetja, katera delujejo okoli internetne povezave.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

BlueRunner ::

Errr, da naredimo zadevo še malo bolj konkretno: CVE-2008-2992.

Danes sem nekje potrdil, da je prišlo do okužbe računalnika preko te ranljivosti. Stvar pa sploh ne bi bila zanimiva, če ne bi bil edini simptom okužbe vztrajno poskušanje povezovanja procesa svchost.exe na medmrežje. Uporabnik računalnika pa je to opazil zaradi vztrajnega opozarjanja požarnega zidu. Če ne bi uporabljali požarnega zidu, ki sledi vzpostavljanje odhodnih povezav, bi bila okužba odkrita šele kdo ve kdaj, tako pa je bila odkrita v roku 2 dni.

Pri nadaljnji analizi pa se je pokazalo še sledeče:

Malware se je poskušal povezovati na Amazonov S3 servis, od koder smo med raziskovanjem incidenta naknadno pobrali datoteke, ki so vključevale nove komponente potrebne za vnovčevanje okužbe. Amazon je bil obveščen (dostop do datotek več ni možen), ravno tako pa tudi registrar in nosilec DNS strežnikov za DNS domene, ki se jih je pri zlorabi uporabljalo. Narava delovanja pa je onemogočila, da bi na glavnem požarnem zidu za to omrežje karkoli storili, saj bi s tem preprečili dostop do množice servisov, ki za shranjevanje slik in video posnetkov uporabljajo storitev Amazon S3. Pri preiskavi smo ugotovili, da je okužbo sprožil PDF dokument, do katerega je kazala povezava, ki je bila prejeta preko elektronske pošte. Izvor sporočila je bil po vseh verjetnosti že okužen računalnik v tujem omrežju, o čemer smo tudi obvestili upravljalca omrežja, če bo želel kakorkoli ukrepati.

Znan in v povprečju dobro ocenjen protivirusen produkt, ki so ga uporabljali, te zlonamerne kode ni zaznal, pri preverjanju pa se je izkazalo, da ne bi zaznal tudi drugih delov kode, s katerimi se je virus poskušal "nadgraditi". Zato smo vse zbrane podatke in datoteke posredovali proizvajalcem, s katerimi imamo vzpostavljen kontakt za tovrstno obveščanje. V enem izmed naslednjih nadgradenj podpisov bo tako verjetno zanana tudi ta nevarnost.

Po moji ceni ni šlo za usmerjen napad, temveč na splošno izkoriščanje ranlivosti za novačenje računalnikov, preko katerih bi storilci opravljali dejanja, ki bi jim prinašala finančne koristi. Primerki programov, ki smo jih našli, kažejo na visoko strokovnost storilcev - v tem primeru običajen znak kariernih kriminalcev, ki izkoriščajo tovrstne ranljivosti. Ugotovili smo tudi s katero kriminalno skupino se bi moral računalnik povezati, da bi postal del takšnega profitnega omrežja. Tudi ti podatki so bili posredovani ustreznim organim v tujini, ki se ukvarjajo s pregonom tovrstnega kriminala.

Na žalost takšnih stvari kar noče in noče zmanjkati... V podjetjih je za varnost že dokaj dobro poskrbljeno, zaradi česar se vedno več takšnih stvari odkrije in ustavi, še preden pride do kakšne večje škode. Domači uporabniki (Janezi Novaki) pa potrebnih znanj, izkušenj in kanalov za pomoč nimajo ravno na pretek, da bi se lahko uspešno odzivali na vedno bolj iznajdljiv in učinkovit kriminal, ki jih zlorablja. To je bil samo en svež primer sveže ranljivosti. Še vedno pa najdemo ogromno okužb, ki vlečejo sledi v ranljivost nepopravljene Adobe Flash komponente, ker popravki (nevede - pomankanje znanja) niso bili nameščeni še niti leto po odkritju napake.

blackbfm ::

Ja sigurno da se zgodi. Ni pa to nekaj na kar naletiš vsakih 15 minut. Od vseh exploitanih kompov je takih, ki se jih da res izkoristit na koncu le za en pljunek. Nevarnost je teoretično res na visoki stopnji, samo ni pa treba dramatizirat:D

jype ::

blackclw> Ni pa to nekaj na kar naletiš vsakih 15 minut.

Je pa znotraj par magnitud od tega intervala.

Sovražnik ne spi!

k4vz0024 ::

torej z nasveti na dan. Če je kakšen link, kjer se da kaj več prebrati o tej problematiki bi bil dobrodošel za vse nas Janeze.:))

Mr.B ::

Nastavi blokiraj ves vhodni promet, nastavi da te za port scann ne obvešča in to je to. Svet je en velik jebeni boot net, tako da če ravno nisi neka pomembna riba, si nepomemben...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Jst ::

Pa ne pošlušaj nasvetov tipa "jaz sem brez antivirusa in firewalla na netu že 17 let, pa se mi še nič ni zgodilo."
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Pyr0Beast ::

Dejansko si z dobrim FW in pametnim nacinom brskanja po straneh (NOScript) zasciten pred virusi in podobno nesnago.
Vsake kvatre ko se odlocim skenirati mi na sistemu ne najde okuzbe, kar potrjuje ucinkovitost metod.

AV je pa najvecji virus in bloatware dalec naokrog, System resource Hog :)
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

bluefish ::

Pa ne pošlušaj nasvetov tipa "jaz sem brez antivirusa in firewalla na netu že 17 let, pa se mi še nič ni zgodilo."

Brez firewalla res ne, brez antivirusa pa zagotovo.

jype ::

Če maš spodoben operacijski sistem, potem res ni nobenega razloga, da bi imel nameščen antivirus - je pa kljub temu vljudno imeti kakšnega, saj tako veš, kdaj si prejel zlo kodo in je ne pošiljaš naprej.

Jst ::

Odvisno od mnogo faktorjev. Ampak v kolikor vtikaš kakšne usb ključke od kolegov, je antivirus zelo v redu zadeva. En Avast ima tudi zelo majhen resource fingerprint.

(Odvisno od semantike), ampak je tudi razlika, če si na internet priklopljen direkt ali preko routerja.

Ja, za MacOS in *nix načeloma ne potrebuješ antivirusa.

Janez Povprečni pa naj le uporablja antivirus.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

jype ::

Jst> Ja, za MacOS in *nix načeloma ne potrebuješ antivirusa.

No, saj pri tem sem poudaril, da ni nič narobe, če ga imaš - tvoji kolegi z Windows še vedno lahko naokoli trosijo viruse. Pri tebi ti virusi ne bodo naredili ničesar, bo pa kakšen kolega eventuelno prinesel tvoje podatke na Windows mašino in tako staknil virus.
1
2
3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Maximalna zaščita! "uporabnika"

Oddelek: Informacijska varnost
112176 (1381) Janac
»

Posodabljanje Linux jedra brez ponovnega zagona računalnika (strani: 1 2 )

Oddelek: Novice / Ostala programska oprema
976807 (4335) ABX

Za vse ki se hvalijo da lahko vdrejo v WinXP (strani: 1 2 3 )

Oddelek: Omrežja in internet
1498799 (4826) OmegaBlue
»

internet vdori v računalnik, rešitev!?! (strani: 1 2 )

Oddelek: Omrežja in internet
945398 (3967) ToniT
»

Koliko poizkusov "napadov" dnevno?

Oddelek: Omrežja in internet
231666 (943) Cokolesnik

Več podobnih tem