»

Analiza napada črva Witty

New Scientist - 19. marca 2004 je začel svoj pohod internetni črv z imenom Witty. V kratkem času (dobri uri) mu je uspelo okužiti kakih 12 tisoč računalnikov, ki so bili sicer zaščiteni s komercialnim softverskim požarnim zidom, ki pa je žal imel napako, ki jo je Witty izkoriščal za svoje širjenje.

Pri vsakem takem izbruhu je v interesu Denarja, da se najde pravega povzročitelja. Bolj kot število okuženih računalnikov je, kot poroča New Scientist, presenetilo dejstvo, da je dvema raziskovalcema z ameriških univerz uspelo najti računalnik, s katerega je Witty začel svoj pohod. Omenjena raziskovalca sta z metodo telekopske analize omrežnega prometa ter z "seciranjem" kode črva ugotovila način njegovega širjenja ter tako ugotovila, da je bil prvi okužen računalnik enega ISPja v Evropi.

Nad metodo so se menda že navdušili pravniki in najbrž ni več daleč dan, ko bodo kakega ne preveč previdnega virusčika oskubili do zadnje pare.

Še zanimivi povezavi:
stran na www.caida.org
stran na www.caida.org

23 komentarjev

Pozor, Witty na delu

The Register - V soboto se je pojavil črv Witty, ki izkorišča varnostno luknjo v požarnih zidovih BlackIce in RealSecure. Črv "živi" samo v pomnilniku RAM in se ne zapisuje na disk. Na naključno izbranem naslovu IP poskuša odpreti UDP vrata 4000 in če naleti na računalnik z enim od prej omenjenih izdelkov, izkoristi varnostno luknjo in se razširi nanj. Po 20 000 poskusih prepiše pribl. 65 KB "smeti" na naključno izbrano mesto na disku, pri tem pa je zelo neselektiven, saj vam lahko "povozi" podatke, zagonski sektor, tabelo razdelkov ali datotečni sistem. Postopek se nato ponavlja, vse dokler ga ne zaustavite, za kar zadostuje že ponoven zagon sistema, če vam medtem ni že nepopravljivo "zapackal" diska.

Če torej uporabljate katerikoli izdelek podjetja Internet Security Systems (ISS), najprej preberite novico, potem pa hitro na stran z popravki.

6 komentarjev

Varnostna luknja v požarnem zidu ZoneAlarm

Arnes - Arnesov center za razreševanje varnostnih incidentov SI-CERT sporoča, da je bila v požarnem zidu ZoneAlarm in drugih produktih podjetja Zone Labs Inc. odkrita varnostna luknja, ki se nanaša na obdelavo SMTP sporočil. Varnostna luknja napadalcu omogoča izklop zaščitnih funkcij, ki jih nudi ZoneAlarm in zagon poljubne programske kode.
Popravki so že na voljo, namestite pa jih tako, da v "Overview -> Preferences" v razdelku "Check for updates" kliknite na "Check for Update". Mimogrede pa lahko nastavite tudi samodejno nameščanje popravkov.
Več informacij:
- SI-CERT 2004-01 / ZoneAlarm SMTP ranljivost
- Zone Labs SMTP Processing Vulnerability

Nauk zgodbe: nalaganje varnostnih popravkov je potrebno za vso programsko opremo.

26 komentarjev

Varnost v sistemih Windows

SecurityFocus Online - Če vas je v lanski ali letošnji zimi obiskal kakšen računalniški virus, ste se gotovo spraševali, kako vaš sistem kar se da dobro zaščititi. Kljub dejstvu, da vam hekerji verjetno ne bodo storili kaj hudega, pa vam bodo zato veliko raje škodovali razni krekerji, virusi in otroci z rastočim egom.

Da do tega ne bi prišlo, se je Scott Granneman iz SecurityFocus odločil, da bo poskusil svoje izkušnje v učiteljevanju prenesti tudi v računalništvo in navadnim uporabnikom s pomočjo preprostega kviza pokazati, kako naj poskrbijo za varnost svojega računalnika. Če ste tudi sami v dvomih, ali ste ustrezno zaščiteni, pa le kliknite sem.

27 komentarjev

Virus, črv, luknja, virus, črv, luknja, luknja, luknja ...

Slashdot - Včeraj črv, danes luknja. In sicer varnostna luknja v Internet Explorerju. Razmeroma katastrofalna, saj omogoča, da nekomu preko spletne strani ponudite neko datoteko, ki izgleda povsem prijazna, npr. kak PDF dokument, v resnici pa gre za izvedljivo datoteko, ki lahko na uporabnikovem disku počne skoraj vse, torej tudi HudeTraparije™. In seveda je kot ustvarjena za sodelovanje z luknjo, ki omogoča prikazovanje lažnega naslova spletnih strani. Seveda ni odveč, če omenimo, da je Microsoft po šestih tednih še ni uspel popraviti. Za Tomaže je na voljo tudi demonstracija delovanja luknje.

Uporabniki Internet Explorerja, si zdaj sploh še upate namestiti Mozillo, Mozilla Firebird ali Opero?

15 komentarjev

Kdaj bo dovolj?

Slashdot - Pravilno sestavljeni MP3ji in WMAji lahko povzročijo, da se na v WinXP ali v Winampu izvrši poljubna Zlobna Koda™ V WinAmpu gre to preko ID3 tagov sestavljenih tako, da naredijo buffer overflow. Ko MP3 odprete, se požene karkoli pač sestavljalec zlobnega MP3ja hoče.

Ampak exploit za WinXP je še hujši. MP3ja (ali WMAja) vam sploh ni treba poslušati. Že če pogledate v mapo/imenik v katerem je zlobni MP3, se vam zažene virus. Stvar naj bi delovala tudi, če samo surfate po spletnih straneh, saj Explorer samodejno naloži MP3 info in vas o tem nič ne vpraša... K sreči so popravki že na voljo. Klik!

8 komentarjev

BlakcICE na tapeti

The Register - Le nekaj dni po tem, ko je podjetje ISS blatilo konkurenčni (open source) izdelek oz. opozarjalo na lukjno, pa se je na tapeti znašel sam: izdelki serije BlackIce (požarni zidovi) so ranljivi na posebej prirejene ICMP paketke ('ping'), ki lahko program sesujejo ali pa izvedejo poljubno kodo -- med drugim lahko recimo odpre vrata za kakega trojanca. Če si lastite katerega od njihovih izdelkov, pa brž sem.

0 komentarjev

Click here to begin

Slo-Tech - Žiga did it again :

Zanimivo, na kako stare varnostne luknje se spravljajo pisci 'kode zlobe'. Novi trojanec Trojan.Offensive izkorišča 10 mesecev staro varnostno luknjo v Navideznem stroju (virtual machine? - slycer), prisotne v Internet Explorer verzijah 3.0 - 5.5sp1. Programček se pošilja kot html e-pošta z besedilom 'Star'. Ob kliku na povezavo se izvede javascript programček, izkoristi varnostno luknjo ter s spremembo skoraj 50 postavk v registru onemogoči izvajanje vseh programov in zaustavitve sistema, skrije ikone namizja ter izvrže skrajno neokusno sporočilo ("If you have any trouble, please email findlu@21cn.com." ter "Note: Not for Japanese & dog & pig.").
Naslov novičke je mišljen kot ironija - taisto besedilo se prikaže ob 1. zagonu Oken oz. kot tooltip gumba Start...

1 komentar