От: Операция 'Red October' - съобщение от Касперски.

Е крайно време беше да хванат поне една иформационно прихващаща система.

От: Операция 'Red October' - съобщение от Касперски.

В линковете има много пълен и интересен анализ на атаките, но липсва какво трябва да се направи за защита, а то може да се сведе до няколко ъпдейта и напомняне, че не трябва да се отваря всичко, получено по пощата, което не е от сигурен познат източник и не изглежда нормално като име на файл при ежедневна работа.

• Ъпдейт на Windows и другите майкрософтски продукти.

Много хора почнаха да си ъпдейтват уиндоусите в последните години, но има и такива, които пропускат тази важна задача. Администраторите по фирмите го правят редовно, но там обикновено ъпдейтите се тестват за няколко дни и тогава се пускат по машините и така има закъснение при инсталиране на работните машини.

Принципно Майкрософт пускат ъпдейтите на Windows и другите техни продукти всеки вторник на всяка втора седмица всеки месец. Така се гарантира, че закъсненията при откриване на проблем са до един месец (колко страшно звучи в реалност ). Но понякога има критични ъпдейти, които се пускат веднага след откриването и решаването на даден проблем. И тук автоматичните проверки за ъпдейти понякога закъсняват, особено при машини, които не се рестартират с дни (седмици, месеци). Случва се и при XP, и при 7-цата (и другите версии на windows, но тези са най-ползвани и може да се забележи по-масово).

Друг проблем при ъпдейтите е ползването на локален ъпдейт сървър, който се ползва за даунлоад локално на всички ъпдейти за майкрософтските продукти, а клиентските машини се вързват към този сървър, като така се спестява доста интернет трафик, а и има разни други предимства, когато клиентските машини нямат никакъв достъп до интернет. Отделно може да се задава кои ъпдейти да се инсталират и т.н., като така задачата се оставя на човек (админ), а хората доста често се забавят допълнително, забравят и грешат

Да не забравим и опционалните ъпдейти, които не решават критични проблеми, но все пак правят нещо, което със сигурност може да засегне и сигурността. Масово тези ъпдейти не се инсталират (наблюдение от 10-на големи чужди фирми със стотици машини по цял свят).

И така имаме няколко фактора, които определят закърпването на дупки (patch-ването) при майкрософтските продукти като Windows и различните продукти от Office пакета, където стои основата на пробивите за получената ситуация.

• Ъпдейт на Java.

Много голям проблем със сигурността са последните пробиви в жавата. Аз лично пострадах при отваряне на sourceforge (известен сайт за сорс код проекти) преди няколко месеца. Е, просто се заразих с някаква гадост, която почна да мести program files и documents and settings на други места и направи пълна каша по диска.... А бях с последна версия на JRE, прясно ъпдейтната в същия ден. На това му казват zero day експлойт и успях да му се нарадвам истински, след като на другия ден почнаха да пишат за него

За това навсякъде, където има инсталиран JRE, трябва да се ъпдейтне, като в последните версии има опции да се забрани ползването на Java аплети от уеб броузерите.

Отново има и друг проблем - на машината може да бъдат инсталирани няколко копия на JRE, като някои продукти си го "носят" със себе си, тъй като на друга версия не тръгват. Там ъпдейт не може да стане, но пък е хубаво, че точно тези копия не се ползват от броузерите

• Ъпдейт на друг софтуер.

Освен гореспоменатите основни места, от където се получават атаките, на компютрите с уиндоус има накачени доста други програми. Масово не се ъпдейтват тези програми по различни причини. Примерно продуктите на adobe - flash player и acrobat reader са добре известни с хилядите ъпдейти през ден-два и основно ъпдейтите са на тема сигурност, а не стабилност, както някои хора си мислят.

За проверки за нови версии на продуктите могат да се ползват разни тулчета, които сравняват какво има инсталирано като версии с това, което е излязло последно и дават линкове за сваляне. Подобни услуги се предлагат от filehippo.com, където се пазят всякакви версии на програмите (нещо като oldversion), но има подобни програми от антивирусни компании като F-Secure с техния Health Check (разчитащ на Java ) и др.

От: Операция 'Red October' - съобщение от Касперски.

Допълнителен анализ на ситуацията има в блога на F-Secure и е озаглавен "Every Month is Red October" (всеки месец е червения октомври):
http://www.f-secure.com/weblog/archives/00002486.html

Кратък цитат от анализа им:
Извинявам се за лошия превод, но с толкова специфични термини е трудно да се превежда буквално:

От техническа гледна точка Червеният Октомври прилича на всички други атаки при насочен корпоративен шпионаж. Атакуващите използват модифицирани (ползвайки експлойт на файловия формат) документи с правдоподобно съдържание, така че жертвата (потребителя) да ги отвори и така да се зарази системата, като почва да събира всичката достъпна информация.

Използваните дупки (експлойти) не са нещо ново и модерно. Атакуващите използват стари, добре познати експлойти за Word, Excel документи и Java. До тук няма признаци за ползване на пробиви от тип zero day (т.е. излязни в настоящия момент и все още непознати на антивирусните компании).

И така се връщаме към предния ми пост и се стига до ъпдейти, ъпдейти, ъпдейти и поне малко разум при отваряне на документи от друг източник

От: Операция 'Red October' - съобщение от Касперски.

фсекуре да ме прощават,
ама има факт на над 1000 различни видове вредности създадени и контролирани от едно място и операцията е почнала поне 2007-а (та затова и няма как всичко да е ново)

прилича някой да си прави/направил евтин Ешелон, вълнува се от шифрованите натовски неща, но от китайски такива не се вълнува

От: Операция 'Red October' - съобщение от Касперски.

И не работете като администратор :> тогава не ти трябват експлойти за да се наиграете.

От: Операция 'Red October' - съобщение от Касперски.

И от същите от една ближневосточна държава, където по думите на Висоцки " На четверть наш народ" (С).

От: Операция 'Red October' - съобщение от Касперски.

http://dnes.dir.bg/news/hakeri-filov...12827992?nt=10

От: Операция 'Red October' - съобщение от Касперски.

Администраторите веднага да сменят работата

От: Операция 'Red October' - съобщение от Касперски.

Касперски и F-Secure представят различни гледни точки на описаната операция. За мен е важно да знам как да защитя машините си, защото те биват ползвани за тези атаки.

Ще дам пример, отново лично изпитан по неприятния начин, какво може да се случи на всеки...

Случка 1, година 2007, сървър в офис, уиндоус ъпдейтнат на макс, допълнително инсталиран сървис (не майкрософтски и основна причина за хакването), за който реално се ползва сървъра. Случайно открих, че сървърът е хакнат, тъй като хакерът не си беше направил труда да си разчисти следите - бяха оставени отворени прозорци на уеб браузъра и команд промпта с разни команди в хисторито... След преглеждане какво е станало виждам, че има качени рууткит и клиент към ботнет мрежа, направен чрез скриптове на най-известния IRC клиент - mIRC. С рууткита реално извадих късмет да го открия по странични признаци, които се виждаха с IceSword - китайска програма за анализ на системата за рууткитове Последващо сканиране на твърдия диск, закачен към чиста машина, показа наличие и на още един рууткит... Всичко това е било част от огромна ботнет мрежа, ползвана за атаки срещу споменатите в линка на Sibirski военни институции

Случка 2, година 2009, домашен компютър на другия край на България, за съжаление го заварих неъпдейтван с години. И тъй като компютъра беше много стар, то се забелязваше с просто око, че има нещо, което върви на заден фон. Отново анализ на ситуацията, сканиране за рууткитове на вървящата машина и търсене на троянски коне и вируси. Тъй като вече очаквах подобна изненада, не се учудих на наличието на ботнет клиент, отново ползващ mIRC скриптове, но пък липсваше криенето на процеси и файлове с рууткит технологии. Е, имаше и разни зарази, но бяха обикновени макро вируси за word, та не ги броя към проблема.

През цялото време на заразата (макар да не е точния термин), двата компютъра са били използвани за проникване в други такива, като са ползвани като междинно прокси, за изпращане на много пакети за подпомагане на DDoS атаки и все такива неща.

Така ползвателите на тези компютри без да знаят са участвали в една голяма атака към други компютри в кибервойна, която съществува не от 5 години, а от много преди това.

Притежаването на достъп до множество компютри едновременно дава възможност и за почти неограничени изчислителни възможности. Пример са официалните дистрибутирани мрежи за търсене на извънземни, анализиране на ДНК и какво ли още не. В случая с "червения октомври" могат да се ползват за разбиване на пароли и декриптиране на документи, като няма нужда от притежаване на супер компютър, защото всичките тези милиони заразени машини, свързани в мрежа, са много по-мощни от всеки супер компютър.

Е, защо да се правим на слепи и да позволяваме нашите компютри да бъдат ползвани неоторизирано от други лица за споменатите цели? Нима малко "администриране" тип "ъпдейт не само на уиндоус, но и на програмите" ще навреди? Или пък внимание при ползване на броузер, мейл, отваряне на файлове, "пъхане" на чужди флашки и т.н.? Или пък защо да не си поставим въпроса защо нашите файлове, съдържащи чувствителна фирмена (а може и лична) информация, стоят некриптирани? Дори и някой да може да "разбие" паролата, то той няма да има ботнет мрежа от ранга на споменатите.

Просто размишления и въпроси по темата, нищо лично

От: Операция 'Red October' - съобщение от Касперски.

Тъй като темата с "Red October" се развива, то F-Secure са описали как да се защитим от подобни атаки:
http://www.f-secure.com/weblog/archives/00002487.html

Освен ъпдейтването, има добавени още методи, които могат да се ползват. Очаква се да има и още неща, които трябва да се направят, за да може да се защитим, но в момента и те са в анализ и събиране на допълнителна информация.

От: Операция 'Red October' - съобщение от Касперски.

Самата Истина

но е факт, че човеците просто ни мързи

От: Операция 'Red October' - съобщение от Касперски.

Баси......... То, из от към Аврора, каква ли "новина" може да се пръкне? Явно нЕкои си живеят като след залпа и. Пък всячески искат да ни убедят, че е бил в правилната посока.

От: Операция 'Red October' - съобщение от Касперски.

Това с update на Windows надявам се си го написал на шега... Говорим за държавен шпионаж на светона везна, не за сметките на малка фирма...

От: Операция 'Red October' - съобщение от Касперски.

Интересно кое е грешното и къде е шегата? Или F-Secure и Kasperski се "шегуват"? А и не са само те.

И все пак: Windows Update включва не само ъпдейт на операционната система, но и на майкрософтските продукти, между които (О!изненада) споменатите за експлойти MS Office продукти като Word и Excel. До тук къде се шегуваме? Или те правителствата и военните ползват някакви извънземни операционни системи и продукти, при тях няма продукти на майкрософт (и пак о!изненада - откраднатите документи случайно били точно в тези така омразни файлови формати)?

Хайде по-сериозно със сериозните въпроси. Само подмятанията не помагат на никого...