Názory k článku Pusťte do Internetu hodné viry na ty zlobivé!

no, nevim... vyhaneni certa dablem... a navic jeste v dobe, kdy 99% uzivatelu nevi jak pracovat s prilohama... :) bohuzel to nevi ani nejvetsi softwerova spolecnost... hlina...

Snazi se ten clanek popsat WindowsUpdate? Ktery si automaticky zjisti jestli sou dostupny updaty (vakciny) a pak da uzivateli na jevo ze by si to mel nainstalovat (pripadne je stahne a pak se opta jestli je nainstalovat)? Proc vymejslet kolo ... Aha, uz vim, WindowsUpdate je od Microsoftu a to je prece spatne :)

Což o to, takové systémy existují i v distribucích linuxu, jenomže pro ignorantské uživatele je to stejně jedno. Navíc mi už WindowsUpdate dokonale shodil několik počítačů - asi před rokem byl u MS nějak špatně zkonfigurovaný a stáhly a nainstalovaly se úplné nesmysly.
A potom - pro české verze Windows jsou opravy k dispozici jen s velkým zpožděním nebo vůbec ne, pak se musí používat originální US záplaty, jenže ty se přes WindowsUpdate neinstalují.
A nejsem si úplně jist, že třeba zrovna opravy IIS5 se natahují přes WindowsUpdate (nevím, protože IIS nemám).

Zapomente na WindowsUpdate (ten instaluje diry pro cervy:) Nejde vubec ani o jakoukoli soukromou firmu, resp. jejich buhvijaky pocet - kazda si chrani a tutla to sve a orientovat se v tom vsem je nad lidske sily hromady uzivatelu. Navic jsou vakciny z principu necim jinym nez updaty softwaru (vakcina muze mit dost jine funkce nez prosty update softwaru). K tomu pristupuje i vyhledavani infikovanych pocitacu v clanku popsanym zpusobem a dalsi funkce. To neni WindowsUpdate ani zadny jiny xyzUpdate.

Windows update je naprosto skvely, jen nejak nechapu, co vlastne dela. Jedine, co jsem empiricky zjistil, je fakt, ze mi pri jedinem pouziti rozjebal cely komp :-)

Je to uz ale dost davno, od te doby jsem dalsi vyuziti teto genialnosti nejak neriskoval :-)

Dezinfekční službou by měla být nezávislá, nezisková organizace, která by soustředila všechny informace o dírách v softwaru i o jednotlivých infekčních agens a průbězích infekcí samotných. A vykonávala/nabízela by výše uvedené operace. Analogicky s biologickým životem by to byla světová hygienickoepidemiologická služba. Na finančním zajištění životaschopného provozu služby by se mohly podílet instituce i firmy z mnoha zemí, které jsou na nekolabujícím přenosu dat a na jejich ochraně stále závislejší. Funkce takové služby by zajišťovali dobře honorovaní experti zvučných jmen. Svou prací v této službě na plný i vedlejší úvazek by mj. získávali vysoké renomé v celosvětovém měřítku.

No, slusne receno se mi to zda trosku jako utopie...

Autor článku asi neslyšel o CERT (Computer Emergency Response Team), který sice nepracuje na nějakém idealistickém základě, ale existuje.
dd

Hm ... Nevybral jste si spravnou organizaci. CERT je posledni dva roky kritizovan, ze hrube nestiha ...

Zrovna o víkendu jsem si říkal, jaké potenciální, a možná už i reálné nebezpečí jsou statisíce vpodstatě nespravovaných počítačů připojených trvale (např. DSL) nebo přechodně (dialup) k síti - pokud se na nich nainstaluje backdoor, který uživateli viditelně neškodí, tak o něm skoro nikdo nebude vědět, a takové kvantum nakažených počítačů je pak možné použít k čemukoliv - DOS, spam, cracking šifer, špionáž, anonymizace.
Už teď mi logy na firewallu díky CodeRed narostly na desetinásobek.
Že se to bude v současné době týkat hlavně Winxx počítačů je dáno tím, že málo BFU si instaluje jiný operační systém - a ty jiné operační systémy bývají obvykle (ne vždy) lépe spravovány.Budoucnost vidím dost černě, zvlášť ve světle toho, že dva dle mého názoru nejúčinnější systémy ochrany před spamem (IMRSS a ORBS) byly díky právníkům nuceny ukončit činnost, a podobně asi dopadnou i pokusy o globální řešení virů, červů, trojských koní a backdoorů.

Automaticka vakcinacia sa mi zda dost agresivna, aj ked uz v podstate funguje u niektorych antivirov. Viacej by som sa priklanal k docasnemu blokovaniu pravidelnych "choriakov".
To by viac eliminovalo ludsku hlupost. Nikto totiz nedokaze spravit vakcinaciu uplne blbovzdornu a to je ako sam pisete zakladny kamen urazu. Sam sa dost virusom venujem (hlavne dezinfekcii :-)), a najhorsie na tychto "pripadoch" nie su ani virove akcie ale reakcie userov, pripadne pokusy "odbornikov" na liecenie. Karantena chrani ostatnych, vakcinacia vsetkych "zrovnopravnuje".

v dobe radeni ajlavju jsem se zabyval podobnymi myslenkami a napadla podobna metoda ale:

nejednalo by se o zadnou automatizovanou sluzbu a'la "Automaticky Update".

Chtelo by to napsat lecebny-virus, ktery by fungoval nekolikafazove:

1) bez vedomi uzivatelu by nedestruktivne infikoval jejich pocitac s pouzitim stejnych metod jako to delal I-LOVE-YOU nebo nedavno SIRCAM apod.... (klidne muzeme hovorit jen o windouzech protoze to je nejzivnejsi puda pro sireni viru)

2) pokusil by se napadnout vsechny adresy z uzivatelova adresare

3) po nekolika dnech by sam sebe sel nabonzovat, tzn. nejak by prozradil svoji pritomnost a nabidl samodestrukci - soucasne s tim by hlasil toto: ty uzivateli jeden tupej, zase jsi chytil vira tak a tak. Tohle byl lecivy virus ale priste to bude horsi !
A jeste by oznamil zdroj nakazy, tzn. od koho prisel, to aby ti kdoz nepouzivaji kondomy meli vetsi ostudu.

OK, mozna jsem to popsal trochu s nadsazkou ale co na to rikate ?

Nemyslim si, ze by to pomohlo, a to z jednoho prosteho duvodu: dokud to 99% tupych uzivatelu klikajicich uplne bezmyslenkovite na cokoliv, co prijde postou, nesmaze nezalohovana, cenna data, tak se nepouci! Jako admin site cca. 300 lidi mam par zkusenosti:((( Nepomuzou prosby, varovani, denni aktualizace antiviru, nekdo (a rozhodne se nejedna o nejake prostoduche procavniky) proste vira nekolikrat do mesice otevre...

Aha, takže už mi nebudou chodit jenom desítky e-mailů s virem, ale i s vaším "léčebným virem"?

!ZASTAVTE PROSÍM VŠICHNI, CO MÁTE PODOBNÉ NÁPADY!

Autor rika:
Automatické šíření hodných "červovirů" spadá do kategorie automatických updatů počítačů připojených k Internetu.

To neni tak uplne pravda. Automaticke updaty tak, jak je zname dnes, funguji ciste mezi dvema "stroji" na principu client/server, zatimco sireni wormu je naprosto zivelne a neexistuje ned nim zadna kontrola. Navic nelze dopredu dost dobre odhadnout chovani a rychlost sireni libovolneho wormu. Autori se ve svych odhadech casto seknou o rad (viz Morrisuv worm, ale i napr. Loveletter) a odhad vyvoje je nesmirne obtizny i v pripade, kdy je uz chovani wormu znamo (viz 1.8.2001, kdy si nikdo prilis netroufl odhadovat, jak velka reinfekce CodeRedu nastane). Proto je tato technologie naprosto nepouzitelna - kdyz nad necim nemam kontrolu a nevim presne, co to bude delat, nema smysl neco takoveho vytvaret, pokud mam aspon trochu zodpovednosti...

Sakra, proc jen mi to pripomina VELKEHO BRATRA ...

Jasne - takovych bratru po svete je, pryc s nimi. V prvni rade zrusme standardizacni organizace!:)

toto je podle mne (doufam ze) nerealne socialni inzenyrstvi. dalsim krokem by treba mohlo byt zavedeni reditelstvi zemekoule, ktere by urcovalo, kolik krav ma mit muj soused v kravine :-). neziskova organizace plna svetovych expertu - ha ha ha ha ha. I kdyby se to podarilo vsechno rozchodit a lide to pouzivali, na 100% by to nekdo zneuzil. A sireni viru je tim nejmensim. Big brother by si to zamiloval.

A k tomu, ze jsou lide nepoucitelni: zcela souhlasim. Ani ctyricet let totality jim nestacilo, aby si zacali vazit svobody. Kolik lidi stale voli komouse! Nebo ma dost podobne nazory :-(

Hmmm, v tak velkem meritku to je asi nerealizovatelne, ale docela dobre si dovedu predstavit takovy zpusob antiviroveho systemu uvnitr firemni site.

Administrator vypusti vakcinoveho cerva do lokalni site, ten vyleci vsechny napadene stroje a po stanovene dobe se sam zabije.

Zabije? Vir, nebo administrator? :-)

A napadá Vás nějaký realizovatelný způsob, jak zabránit tomu, aby byly na Internet připojeny stovky tisíc (nyní) či miliony (v blízké budoucnosti) počítačů s backdoory ovladatelné nějakými záškodníky, kterým může jít o cokoliv?
Všechny identifikovat a odříznout na úrovni ISP? Nevím.

Zadny takovy zpusob neni. Tecka.

No dobře. To by ale znamenalo konec Internetu jakožto média pro komerční použití, ne?

Ano, presne tak. Nebo si myslis, ze budoucnost vypada jinak, nez silne opevnene ostruvky v mori anarchie?

...ale nebylo by jednodušší instalovat do hlavních uzlových bodů Internetů na vybrané routing servery filtry, který by prostě nepustily IP balíček s virem dále? Konkrétně v případě CodeRed i CodeRedII je přeci sekvence bajtů, kterými se červ snaží vyvolat přetečení bufferu, vždy stejná a lehce zjistitelná. Tím by se přeci zcela zastavilo šíření a je to mnohem jednodušší i méně intruzivní, než zmíněné "hodné viry".

Odposlouchavací a šmírovací rutiny umístěné u velkých providerů se stávají denní praxi, viz např. systém Carnivore, co brání příslušným autoritám, aby využili stejný princip pro dobrou věc? Leda snad to, že někomu možná šíření viru (a následný strach veřejnosti) vyhovuje.

To vam asi moc nepomuze. Zname to ze sceny klasickych DOS viru - jak bylo zareagovano na scannery ? Nejdriv tim, ze se viry jednoduse a primitivne kodovaly - scannery zareagovaly tim, ze tato primitivni kodovani umely obejit... Viry zareagovaly slozitejsim kodovanim...scannery dokonalejsim scanovanim, viry ............ No a nakonec viry zareagovaly _temer_skutecnym_polymorfismem_ - scannery na to pak sly heuristickou analyzou :-)), viry si zacaly trasovat instrukce - zda tam nekde v retezci presmerovani interruptu neni pro ne nebezpecny kod :-)) a vrcholem snad bylo, kdyz viry byly schopny na nekterych procesorech rozpoznat, zda nahodou neni v jejich kodu provadena heuristicka analyza - tedy vlastne trasovani :-)) - pomoci vyuziti "prednacitani instrukci" v realnem procesoru, ktere pochopitelne v heuristickem analyzatoru ci debuggeru nebylo (vcelku jednoduchy trik) ....
No proste - scannovat pakety - to dlouho nevydrzi - Cervi se stanou polymorfnimi... Jedinou cestou jsou bezpecne OS. Coz nektere, nejmenovane, opravdu nejsou :) - viz. Code Red a jeho hostitele...

Mám silný pocit (nepodložený statistickým průzkumem), že ve vývoji DOSových virů se sice objevily různé stealth techniky a další vychytávky, ale to byla jen taková hračka pro pár nadšenců na obou stranách. Ve skutečnosti pokud došlo k nějakým větším epidemiím, případně škodám, měl to většinou na svědomí nějaký triviální boot-virus jako Michaelangelo nebo Stone. Tedy virus, proti kterému stačí nenabootovat z nakažené diskety.

No - nevim... Namatkou par starych DOS viru, pouzivajicich tehdy pokrocile technologie, na ktere si vzpominam a ktere (alespon u nas) doznaly nemaleho rozsireni :

OneHalf
Tremor
Pojer40??
...
...
Pokud vim - takovy OneHalf zpusobil problemu dost a dost (mozna se jeste najdou PC, kterym prave ted koduje disk)

I kdyz - uznavam - momentalne me nenapada, jak by se dal udelat polymorfnim stale stejny GET pozadavek na HTTP server :-))

Presto si myslim, ze jednoduchym scanovanim paketu pouze ziskate _docasnou_ prevahu.

Reseni je pouze jedine - bezpecny OS, bezpecne sluzby nad nim...

Já přeci nechci skanovat viry samotné. Ty mohou být polymorfní jak chtějí. Já chci skanovat (a nepustit) jen tu sekvenci, kterou červ používá, když se snaží vyvolat přetečení bufferu. Ta sekvence začíná takto:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNN....

Nemyslím si, že by šlo o dočasnou převahu. V případě CodeRed a jeho variací by to naprosto mělo stačit. I v případě budoucích internetovských virů, které těží z dalších objevených bezpečnostních děr by to mělo být dostačující. Domnívám se, že určitá sekvence bajtů, která inicializuje nabourání do systému, musí být vždy stejná.

Tim padem by tento vas prispevek neprosel ke me, nebot obsahuje onu sekvenci.

Žádná charita, udělal bych z toho solidní byznys. Povolím (důvěryhodné!) firmě plný přístup do svého počítače. Robot firmy bude na mém počítači automaticky a bez ptaní instalovat na mém počítači záplaty, updaty atd.

Za tuto službu firmě platit, řekněme při masovém použití 100 Kč měsíčně. Firma mi za to garantuje, že můj počítač nikdy nenapadne žádný vir ani hacker a nic nenapáchá. Pokud náhodou ano, tak škody do výše 50 000 Kč na jeden počítač hradí ona.

Za dalších 500 Kč bych měl předplacenou telefonickou a online podporu a slevu na výjezd technika. Prostě takové pojištění.

Divím se, že s tím ještě nikdo nepřišel, a sám o tom začínám uvažovat. Znám mnoho lidí, kteří si koupí počítač (na hry a jako psací stroj :-)), ale pak nemají nikoho, kdo by jim dělal rychlý, levný, odborně zdatný a příjemný servis.

Tak to bude paráda :-)
Prosím vás, až ten velký bussines rozjedete, dejte mi vědět. Rád vám dám těch 100Kč/měsíc klidně na rok dopředu, ale vy si radši připravte těch 50.000,- až někdo přijde s virem dřív (a vezte, že přijde) než vy se záplatou :-)
A kdyby ani to ne, jsem si jist, že se najde hacker, který právě toho vašeho robota s plným přístupem do mého počítače využije k útoku. Aby to nedopadlo tak, že robot bude mít nejvíc práce se záplatování a updatováním sám sebe :-)

To by bylo hezke, pokud by se splnily dve podminky:

1) Pokud byste na pocitaci mel jen software jedne firmy, coz ve vetsine pripadu nepripada v uvahu. Jakakoli firma nemuze rucit za dalsi software. Naprosta vetsina lidi ma a bude mit mix od vice producentu.

2) Pokud by na to nejaka firma pristoupila - masove krachy by ji privedly na buben. Aneb je to "konkurencne" zneuzitelne.

Tohle se vyresi bud evolucne: likvidaci jedineho dominantniho OS a jeho nahrazeni vice alternativami (to exponencialne snizi schopnost cervu se mnozit)

nebo trhem: placeni za prenos dat smerem ven (to je jen vtip :-)