Hlavní navigace

Vlákno názorů k článku Pusťte do Internetu hodné viry na ty zlobivé! od Vladimír Stwora - ...ale nebylo by jednodušší instalovat do hlavních uzlových...

  • Článek je starý, nové názory již nelze přidávat.
  • 13. 8. 2001 18:04

    Vladimír Stwora (neregistrovaný)

    ...ale nebylo by jednodušší instalovat do hlavních uzlových bodů Internetů na vybrané routing servery filtry, který by prostě nepustily IP balíček s virem dále? Konkrétně v případě CodeRed i CodeRedII je přeci sekvence bajtů, kterými se červ snaží vyvolat přetečení bufferu, vždy stejná a lehce zjistitelná. Tím by se přeci zcela zastavilo šíření a je to mnohem jednodušší i méně intruzivní, než zmíněné "hodné viry".

    Odposlouchavací a šmírovací rutiny umístěné u velkých providerů se stávají denní praxi, viz např. systém Carnivore, co brání příslušným autoritám, aby využili stejný princip pro dobrou věc? Leda snad to, že někomu možná šíření viru (a následný strach veřejnosti) vyhovuje.

  • 13. 8. 2001 18:46

    MilanH (neregistrovaný)
    To vam asi moc nepomuze. Zname to ze sceny klasickych DOS viru - jak bylo zareagovano na scannery ? Nejdriv tim, ze se viry jednoduse a primitivne kodovaly - scannery zareagovaly tim, ze tato primitivni kodovani umely obejit... Viry zareagovaly slozitejsim kodovanim...scannery dokonalejsim scanovanim, viry ............ No a nakonec viry zareagovaly _temer_skutecnym_polymorfismem_ - scannery na to pak sly heuristickou analyzou :-)), viry si zacaly trasovat instrukce - zda tam nekde v retezci presmerovani interruptu neni pro ne nebezpecny kod :-)) a vrcholem snad bylo, kdyz viry byly schopny na nekterych procesorech rozpoznat, zda nahodou neni v jejich kodu provadena heuristicka analyza - tedy vlastne trasovani :-)) - pomoci vyuziti "prednacitani instrukci" v realnem procesoru, ktere pochopitelne v heuristickem analyzatoru ci debuggeru nebylo (vcelku jednoduchy trik) ....
    No proste - scannovat pakety - to dlouho nevydrzi - Cervi se stanou polymorfnimi... Jedinou cestou jsou bezpecne OS. Coz nektere, nejmenovane, opravdu nejsou :) - viz. Code Red a jeho hostitele...
  • 13. 8. 2001 18:51

    MilanH (neregistrovaný)
    I kdyz - uznavam - momentalne me nenapada, jak by se dal udelat polymorfnim stale stejny GET pozadavek na HTTP server :-))

    Presto si myslim, ze jednoduchym scanovanim paketu pouze ziskate _docasnou_ prevahu.

    Reseni je pouze jedine - bezpecny OS, bezpecne sluzby nad nim...
  • 13. 8. 2001 19:08

    Vladimír Stwora (neregistrovaný)

    Já přeci nechci skanovat viry samotné. Ty mohou být polymorfní jak chtějí. Já chci skanovat (a nepustit) jen tu sekvenci, kterou červ používá, když se snaží vyvolat přetečení bufferu. Ta sekvence začíná takto:

    GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNN....

    Nemyslím si, že by šlo o dočasnou převahu. V případě CodeRed a jeho variací by to naprosto mělo stačit. I v případě budoucích internetovských virů, které těží z dalších objevených bezpečnostních děr by to mělo být dostačující. Domnívám se, že určitá sekvence bajtů, která inicializuje nabourání do systému, musí být vždy stejná.

  • 14. 8. 2001 9:26

    Michal Kubeček (neregistrovaný)
    Mám silný pocit (nepodložený statistickým průzkumem), že ve vývoji DOSových virů se sice objevily různé stealth techniky a další vychytávky, ale to byla jen taková hračka pro pár nadšenců na obou stranách. Ve skutečnosti pokud došlo k nějakým větším epidemiím, případně škodám, měl to většinou na svědomí nějaký triviální boot-virus jako Michaelangelo nebo Stone. Tedy virus, proti kterému stačí nenabootovat z nakažené diskety.
  • 14. 8. 2001 9:36

    Petr Klimovic (neregistrovaný)
    Tim padem by tento vas prispevek neprosel ke me, nebot obsahuje onu sekvenci.
  • 14. 8. 2001 18:25

    MilanH (neregistrovaný)
    No - nevim... Namatkou par starych DOS viru, pouzivajicich tehdy pokrocile technologie, na ktere si vzpominam a ktere (alespon u nas) doznaly nemaleho rozsireni :

    OneHalf
    Tremor
    Pojer40??
    ...
    ...
    Pokud vim - takovy OneHalf zpusobil problemu dost a dost (mozna se jeste najdou PC, kterym prave ted koduje disk)