Károkozási ki mit tud

2014. szeptember 11. 14:04 - Csizmazia Darab István [Rambo]

Természetesen egyik korábbi vírus sem múlja felül a mai nappal kapcsolatos 9/11-es esemény okozta veszteségeket, de azért van néhány olyan emlékezetes kártevő, ami egy ilyen károkozási olimpián sikerrel indulhatna - SQL Slammer, Stuxnet vagy CryptoLocker. Illetve azt sosem tudhatjuk, hogy majd a folyamatos fejlődés révén, megzavarva például kritikus infrastruktúrákat, a későbbiekben mikre lesznek képesek.

Könnyen lehet, hogy a mostani borúsnak gondolt időszakot később, mint zavartalan boldog békeidőket fogjuk visszasírni. Tényleg csak pár korábbi emléket veszünk elő a zsákból futólag, a kezdeti Yankee Doodle (1989) eljátszása 17-kor vagy az agyament üzenetek kiírása sokkal inkább volt vicces, mint veszélyes.

Később azonban amikor az emlékezetes fájlfelülírós- és az Office doksikat hazavágó makróvírusok is kezdtek megjelenni, már tényleg nem babra ment a játék. Különösen, ha olyan érdekes darabokat is felidézünk, mint amilyen például a CIH is volt. Ez 1998-ban képes volt arra, hogy a fertőzött gépben felülírja a BIOS PROM-ot, és onnantól kezdve azt se át, se tyű, a számítógép már egyáltalán nem volt képes bebootolni - még floppy lemezről sem. Tajvani készítőjének Chen Ing-Hau volt a neve, a kezdőbetüket összeolvasva innen származik a vírus elnevezése. A bosszúság mellett az időveszteségről most külön nem ejtünk szót, de a határidős munkák kellős közepén vírusvadászattal és irtással elszórakozni a drága időt közismerten priceless.

A mai klasszikus adatlopás, adatszivárgás egyik érdekes előfutára volt a Sircam, amely véletlenszerűen fogott egyet a fertőzött gép merevlemezén található dokumentumokból, és a címjegyzékünk össze tagjának továbbküldte azt a kártékony kóddal együtt. Mindössze hat nappal a 2001. július 18-i felfedezése után a SirCam internetes féreg már az egész világon elterjedt és bizonyítottan az egyik leggyakoribb károkozó programmá vált.

Bónuszként egy olyan payload is volt benne, amely figyelte a dátumot, és ha az éppen október 16-a volt, akkor 5% esély volt rá, hogy a féreg a Windows mappa minden alkönyvtárát és fájlját kitörölje, így ebben az esetben a gép már nem is indult el. Mára pedig talál a CryptoLocker az egyik legkellemetlenebb kártevő, amely 2048 bites egyedi RSA kulccsal titkosítja az adatainkat a számítógépünkön, sőt az azon lévő csatlakoztatott meghajtókon is. A visszaállításért cserébe pedig váltságdíjat követel, emiatt a saját mentésekre létfontosságú szerep hárul.

Lehetne ezeket még napestig sorolni, hiszen a 26 év roppant hosszú idő, és mi akik a vírusokat az elejétől végigkövettük, a megtett utat hosszúnak is éreztük. Jöjjön viszont most egy aktuális érdekesség, a mai Unixos történetünkben - ami bár nem egy klasszikus Remote Code Execution, ennek ellenére itt is van károkozás - a Webminben sikeresen lehet vele kellemetlenkedni. Ugyanis a hiba segítségével lehetőség nyílik a szerverekről bármilyen tetszőleges fájlt törölni, akár például az etc/passwd mappából. A következményeket mindenki képzelje el maga, a mosolyunk nem őszinte, igaz, szerencsére azóta létezik már javítás rá. A május 20-án megjelent 1.690-es változat már nem tartalmazza ezt a sebezhetőséget, így ha valaki eddig nem tette volna meg, annak érdemes gyorsan frissítenie.

Úgy általánosságban nézve a rengeteg exploitot ismertető oldal kapcsán nehéz eldönteni, meddig jó, hogy publikusan megosztják a részletes sebezhetőség kihasználási információkat, mert ez egyszerre hasznos - hurrá, tudunk róla, tanulunk belőle, és sokszor a fejlesztők is csak ilyenkor ébrednek és látnak neki végre a javításnak - de közben egyszerre veszélyes is, hiszen a rossz-fiúk is azonnal birtokba vehetik. Hogy ez a későbbi támadások gyarapodása szempontjából milyen hatást vált ki, persze jó kérdés, azonban nem igazán lehet ellene tenni semmit, az ismereteket lehetetlen légmentesen elzárni.

Az viszont biztos, hogy amikor olyan részletességű útmutatók is megjelennek a gyenge-pontok kihasználásról, mint például a GSM hálózatokban bárki nyomkövetését lehetővé tevő SS7-es módszer kapcsán a Verint Skylock leírása, akkor ez már gyaníthatóan akaratlanul is segíti és bátoríthatja a későbbi incidenseket. És persze a harc az örök.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr1006688721

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.