Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 37
The company's vast Internet infrastructure, which includes a global load-balanced, 80G bps network, can take over whole botnets and point the infected hosts to servers that Microsoft controls, according to Campana. This way, Microsoft is able to capture the botnet activity for its data collection purposes while effectively stopping the malicious traffic.
Ботнет над ботнетом, интересненько :)
Теперь из-за долбанутых неосторожных соседей по NAT'у будут централизованно отключать. И даже выделенный IP не поможет, если забанят подсеть провайдера. :(
Не окажется ли, что все сети хотя бы какой-то частью участвуют в ботнете. Ведь уязвимость сети к троянам, которые и формируют ботнеты, зависит только от квалификации её пользователей, а за исключением корпоративных сетей пользователи везде более-менее одинаковые. То есть узнать где ботнет можно, но сделать реально ничего нельзя, исключить придётся постепенно вообще всех.
Нужно в первую очередь бороться с теми, кто дает манетизацию ботнетам, а потом уже с самими ботнетам… Ботнеты не выживут, если у них не будет способа заработка
Вы хотите лишить денег не только ботнетчиков, но и антивирусники? Думаю тот же Касперский Вам спасибо за это не скажет. Вы конечно же правы с одной стороны, но вот только война антивирусов и вирусов бесконечна, и мне кажется, что с какой-то стороны (а может быть и с обоих сторон) происходит лоббирование.
А как к Майкрософт попадают эти данные?
99.8% зомби машин под Win, до MS только сейчас дошло что от изза них мир от DDOS страдает?
Какая разница, под Win большинство зомби ил не под Win? Ну уже тысячу раз обсуждали, что прежде всего из-за тотальной распространённости самой Win. Проблема глобальная и решать её надо всем сообща, не взирая на то чья ОС в данный момент лидирует в списках зомби.
И где же тут глобальная проблема? Хакеры эксплуатируют одни и те же дыры в Win, не будет дыр не будет и их эксплуатации. Писать сплойты под Lin и Мас/Unix вообще пустая трата времени, скаченный файл не имеет прав на запись и не может себя нигде прописать. Мне вот до сих пор не понятно как в Винде один бинарник может похерить всю систему?
А так
sudo rm -r --no-preserve-root / разве в *nix нельзя похерить систему вообще ничего не скачивая? У меня получилось (правда там в перле было обернуто).
Хоспади…
Начнём с того, кого и как хакают:
1) домохозяек, запустивших gbpltw.exe
2) людей с пираткой и без фаерволла (в большинстве случаев обычные пользователи обновления не отключают)
Мифические дыры с удалёнными эксплоитами — это миф, пришедший с пиратки. Я не помню ни одной подобной дыры за последние 5 лет, которая бы активно использовалась прежде, чем её закрыли. Но да, на пиратках это конечно, беда.
3) Даже в линуксе находятся чайники, которые послушали совета «введи rm -rf /*». Пересади всех чайников на линукс и как только появятся вирусы — люди сами их пропишут в систему согласно инструкции ^_^
Итог: Человек не перестанет быть чайником, пересев на линукс.
Даже история замечательная вспомнилась, как одной моей подружке надоело что её антивирус постоянно ругается на вирусы и она решила его удалить, чтобы не мешал.
Начнём с того, кого и как хакают:
1) домохозяек, запустивших gbpltw.exe
2) людей с пираткой и без фаерволла (в большинстве случаев обычные пользователи обновления не отключают)
Мифические дыры с удалёнными эксплоитами — это миф, пришедший с пиратки. Я не помню ни одной подобной дыры за последние 5 лет, которая бы активно использовалась прежде, чем её закрыли. Но да, на пиратках это конечно, беда.
3) Даже в линуксе находятся чайники, которые послушали совета «введи rm -rf /*». Пересади всех чайников на линукс и как только появятся вирусы — люди сами их пропишут в систему согласно инструкции ^_^
Итог: Человек не перестанет быть чайником, пересев на линукс.
Даже история замечательная вспомнилась, как одной моей подружке надоело что её антивирус постоянно ругается на вирусы и она решила его удалить, чтобы не мешал.
А сколько людей пострадало от автомата Калашникова? А сколько от автокатастроф? Представляете, до автопроизводителей ещё не дошло, что их продукция убивает людей!
Где-то в чём-то вина MS может и есть (оперативно дыры не закрывают и т. п.), но уверен, что подавляющее большинство заражений происходит по вине пользователя — запустил {porno,crack}.exe пришедший по почте или скачанный с интернета, вовремя не обновился, проигнорировал по очереди предупреждения браузера, ос и антивируса или вовсе их отключил. Когда, например, Linux займёт хотя бы 5% десктопов простых пользователей, то и под линуксом будут зомби в той же пропорции, что сейчас под виндой. Будут качать скрипты и запускать их под рутом. Вон под МакОсь вирусы появляются, а ведь тоже Unix-like.
Где-то в чём-то вина MS может и есть (оперативно дыры не закрывают и т. п.), но уверен, что подавляющее большинство заражений происходит по вине пользователя — запустил {porno,crack}.exe пришедший по почте или скачанный с интернета, вовремя не обновился, проигнорировал по очереди предупреждения браузера, ос и антивируса или вовсе их отключил. Когда, например, Linux займёт хотя бы 5% десктопов простых пользователей, то и под линуксом будут зомби в той же пропорции, что сейчас под виндой. Будут качать скрипты и запускать их под рутом. Вон под МакОсь вирусы появляются, а ведь тоже Unix-like.
Простите кто будет качать скрипты? Пользователь? Вы давно сталкивались с Linux? Первое чему там учат это умению пользоваться сертифицированными репозитарями. И одной кнопкой обновить.
Прямо сейчас за ним сижу и лет 5 не вылазил :) У меня порядка десяти «несертифицированных» репозиториев добавлено. Плюс каналы для PEAR. Плюс gem'ы. Плюс с десяток программ собрано из исходников или вообще скачены готовые бинарники. Исходники не читал, бинарники не декомпилировал. Ставлю всё под sudo. Что творится в /usr/bin не представляю. Половина процессов в top не знаю за что отвечают даже на «моей» вэдээске, не говоря о десктопе. Может я сам сейчас участвую в дидосе и с десктопа, и с сервера (и да, каталоги с php скриптами на нём имеют права 777, пару часов назад маны по chmod читал), а то в админке проги одной надпись "./includes не имеет права на запись!". И по ssh я вхожу на него под рутом и по паролю.
Кто учит? Кого учат? Меня не учили ни в школе, ни в институте. Я тоже поставил недавно соседской дочке (14 лет) убунту и не учил, она сама всему научилась, я только пароль показал как ввести и всё, дальше сама разобралась. Увидит где-то вконтакте совет «чтобы комп не тормозил введите в терминале
Кто учит? Кого учат? Меня не учили ни в школе, ни в институте. Я тоже поставил недавно соседской дочке (14 лет) убунту и не учил, она сама всему научилась, я только пароль показал как ввести и всё, дальше сама разобралась. Увидит где-то вконтакте совет «чтобы комп не тормозил введите в терминале
sudo rm -r --no-preserve-root /» вполне может ввести. А может sudo dpkg -i boot.debВы говорите о себе. О человеке который использует систему не как типичный пользователь Windows систем.
Когда Вы рассуждаете о доле пользователей, которая превысит определенный процент, Вы уже начинаете говорить о пользователях для которых добавить репозитарий — черная магия. Не говоря уже о запуске консоли.
Потому в Linux, распространение любого троянского ПО если и будет происходить, то благодаря совершенно иным механизмам, чем загрузка вареза.
Оперативное обновление системы, исключит возможность существование массовых ботнетов спекулирующих на зеродей уязвимостях ядра. Как следствие, существование ботнета будет возможно только в пространстве одного непривилегированного пользователя системы.
Может ли это принять массовый характер? конечно может. Но не в пример сложнее чем это происходит сейчас.
Ваша мысль, о том, что чем востребование цель, тем выше уровень спроса на соответствующее вредоносное ПО — неоспорима. Так же, как и мысль о том, что в существующих Linux системах реализация подобного ПО и обеспечения его вирулентности процесс с большим количеством препятствий.
Когда Вы рассуждаете о доле пользователей, которая превысит определенный процент, Вы уже начинаете говорить о пользователях для которых добавить репозитарий — черная магия. Не говоря уже о запуске консоли.
Потому в Linux, распространение любого троянского ПО если и будет происходить, то благодаря совершенно иным механизмам, чем загрузка вареза.
Оперативное обновление системы, исключит возможность существование массовых ботнетов спекулирующих на зеродей уязвимостях ядра. Как следствие, существование ботнета будет возможно только в пространстве одного непривилегированного пользователя системы.
Может ли это принять массовый характер? конечно может. Но не в пример сложнее чем это происходит сейчас.
Ваша мысль, о том, что чем востребование цель, тем выше уровень спроса на соответствующее вредоносное ПО — неоспорима. Так же, как и мысль о том, что в существующих Linux системах реализация подобного ПО и обеспечения его вирулентности процесс с большим количеством препятствий.
Да, сценарии у меня, конечно, нетипичны для «обычного пользователя», но моя основная мысль, что главная угроза безопасности системы — это пользователь этой системы имеющий возможность повысить свои привилегии с обычных на административные. Остальное дело техники, а ещё больше социальной инженерии. Препятствий, имхо, не сильно больше.
А варез… Где есть платные продукты, там есть варез. А платные продукты для «простых пользователей» под линукс уже не редкость. Вон Corel сподобилась, глядишь и Adobe подтянется, за ними игроделы массово…
А варез… Где есть платные продукты, там есть варез. А платные продукты для «простых пользователей» под линукс уже не редкость. Вон Corel сподобилась, глядишь и Adobe подтянется, за ними игроделы массово…
>. Когда, например, Linux займёт хотя бы 5% десктопов простых пользователей, то и под линуксом будут зомби в той же пропорции, что сейчас под виндой.
Аргументации нет. На апаче, к примеру, вдвое больше серверов чем на IIS, но ориентированных на апач действующих червей как не было, так и нет, а на IIS и было и есть — почему?
Аргументации нет. На апаче, к примеру, вдвое больше серверов чем на IIS, но ориентированных на апач действующих червей как не было, так и нет, а на IIS и было и есть — почему?
Зачем на Апач, если есть PHP? :)
Я писал про червей, ориентированных на web сервера, а не на web сайты и сайтостроительные компоненты. Например, для IIS был CodeRed, и не он один. Для апача такого не было, хотя набор уязвимостей у него тоже внушительный.
А как насчет Scalper/Slapper?
www.f-secure.com/v-descs/slapper.shtml — 2000 хостов,
www.f-secure.com/v-descs/bady.shtml (code red) — 20000 хостов,
www.f-secure.com/v-descs/scalper.shtml — 0 хостов
Сравните количество заражённых систем. При этом IIS в два раза уступал апачу по хостам.
www.f-secure.com/v-descs/bady.shtml (code red) — 20000 хостов,
www.f-secure.com/v-descs/scalper.shtml — 0 хостов
Сравните количество заражённых систем. При этом IIS в два раза уступал апачу по хостам.
At the time of writing, F-Secure have not received any direct reports about infected systems from the field.
Это лишь говорит о том, что у F-Secure нет данных по Scalper-у.
Хорошо описано в http://www.symantec.com/connect/articles/smallpot-tracking-slapper-and-scalper-unix-worms.
И да, мы вроде говорили о
но ориентированных на апач действующих червей как не было, так и нет
существовании, а не о распространении, данные о котором видятся довольно невнятными.
С тем что их распространение, равно как и количество меньше, чем для платформ на Windows спорить не стану, но они есть, были и будут.
Пожалуйста, не спорьте со мной по тем вопросам, по которым я не высказывался. Если есть какие-то осмысленные цифры, приводите их, а не давайте ссылки на статьи, которые даже сами не прочитали.
Пожалуйста, не спорьте со мной по тем вопросам, по которым я не высказывался
Это по каким вопросам я спорю, по которым вы не высказывались? Скажите же.
а не давайте ссылки на статьи, которые даже сами не прочиталиОткуда такая уверенность? Вы телепат?
В указанной мне статье есть и осмысленные цифры, и объяснение почему они могут быть неточными у всех. Я прочитал эту статью полностью, а вы?
Простите, тег не закрыл.
Поясню, что я имел ввиду.
Часто говорят, что вирусов (троянов, червей — назовём всё это вирусами) под линукс нет в силу малого количества компьютеров под линуксом. На первый взгляд это похоже на правду, но почему то в тех областях, где линукс или какая то программа (конкретно апач) превалирует над windows (или IIS), количество вирусов всё равно значительно выше для windows сегмента. Это видно на примере червей, эксплуатирующих уязвимости в апаче и IIS.
Практический интерес представляют те черви, которые встречаются в живой природе и более-менее распространены (или были распространены во время эпидемии), а не просто замеченные антивирусными лабораториями. То есть я не писал, что вирусов под линуксом нет — в их _существовании_ я не сомневаюсь, как не трудно заметить, я писал что они не имеют такого распространения, как виндусовые аналоги.
Теперь про Вашу статью. Как в ней оценивается количество поражённых систем? Сколько?
f-secure приводит свою статистику. Учитывая, что это известная компания и близкие временные интервалы можно относиться к их цифрам с доверием по крайней мере как к относительным, чего в данном случае вполне достаточно.
Часто говорят, что вирусов (троянов, червей — назовём всё это вирусами) под линукс нет в силу малого количества компьютеров под линуксом. На первый взгляд это похоже на правду, но почему то в тех областях, где линукс или какая то программа (конкретно апач) превалирует над windows (или IIS), количество вирусов всё равно значительно выше для windows сегмента. Это видно на примере червей, эксплуатирующих уязвимости в апаче и IIS.
Практический интерес представляют те черви, которые встречаются в живой природе и более-менее распространены (или были распространены во время эпидемии), а не просто замеченные антивирусными лабораториями. То есть я не писал, что вирусов под линуксом нет — в их _существовании_ я не сомневаюсь, как не трудно заметить, я писал что они не имеют такого распространения, как виндусовые аналоги.
Теперь про Вашу статью. Как в ней оценивается количество поражённых систем? Сколько?
f-secure приводит свою статистику. Учитывая, что это известная компания и близкие временные интервалы можно относиться к их цифрам с доверием по крайней мере как к относительным, чего в данном случае вполне достаточно.
То есть я не писал, что вирусов под линуксом нет
Под Linux — да, не писали, а вот про апач очень даже писали:
но ориентированных на апач действующих червей как не было, так и нет
Именно это я и пытаюсь опровергнуть, я также ни слова не говорил о Linux в целом, придерживаявь вашего высказывания.
Такого широкого распространения — похоже да, не имеют, с чем я и согласился:
С тем что их распространение, равно как и количество меньше, чем для платформ на Windows спорить не стану, но они есть, были и будут.
, хотя не исключаю, что не имею полного представления (равно как и вы) обо всех эпидемиях и инцидентах, посему могу быть в этом неправ.
В статье, ссылку на которую я привел автор в самом начале предполагает, почему в различных источниках указано малое число зараженных Unix-машин, сетуя на недостатки источников информации о них:
Unfortunately, while there are lots of charts and distribution statistics available for Win32 viruses, the same cannot be said about Unix viruses. Actually, at the time of writing, there is no reliable (and constantly updated) source of information regarding the distribution of Linux/FreeBSD malware, not to mention other Unix flavors which are less appealing to virus writers.
, я отметил это. Количество зараженных машин оценивалось honeypot-ами, и соответственно приводится статистика числа атак на эти honeypot-ы, в сумме выходит около 387, если я верно понял его (исследователя) форму представления этих данных. Насколько можно судить из статьи, они оценивали атаки обоих червей, и Scalper и Slapper. Очевидно, раз здесь есть доля Scalper-а, то количество заражений им не равно нулю, как написали вы:
www.f-secure.com/v-descs/scalper.shtml — 0 хостов
Я указал вам, что в этой статье F-Secure пишет, что у них нет данных, они не получали отчеты, а не то что заражений 0.
Источник под сильное сомнение так же ставить не приходится. А учитывая то, что сказал автор, очевидно мы не располагаем точным количеством заражений, да и более-менее достоверных источника мы нашли пока лишь 2. В источниках, достоверность которых лично для меня не ясна (хотя возможно «ДиалогНаука» и правда является известной компанией), указываются и вовсе цифры в 12000 (http://old.antivir.ru/inf/news.php?id=30&ref=arcnews).
Опять же повторюсь, я не спорю с тем, что подобных эпидемий на Linux-серверах с веб-сервером Apache было меньше и они были меньше масштабом, я спорю с тем, что вы утверждаете, что их причин «не было и нет». А дыр и эксплойтов на них сами знаете что хватает, почему тогда нет столь широких эпидемий (а возможно мы просто не знаем о них) — совершенно другой вопрос.
dasm32, нас интересуют только относительные цифры, не абсолютные. И диалог-наука, ссылку на которую Вы дали, подтверждает — эпидемия апача на порядок (или два) меньше эпидемии codered, то есть значимых для нас расхождений с f-secure нет.
>Под Linux — да, не писали, а вот про апач очень даже писали:
>> но ориентированных на апач действующих червей как не было, так и нет
>Именно это я и пытаюсь опровергнуть, я также ни слова не говорил о Linux в
>целом, придерживаявь вашего высказывания.
Но пока у Вас не получается, ведь действительно ориентированных на апач действующих червей как не было, так и нет, случаи в масштабах Интернета единичные по всем приведённым нами с Вами источникам. Возможно я неправильно написал 'действующих' имелось ввиду работающих достаточно активно, чтобы их считать значащими в масштабах Интернета. Речь ведь идёт именно о фактическом опровержении тезиса «вирусы пишут под популярную платформу».
>Под Linux — да, не писали, а вот про апач очень даже писали:
>> но ориентированных на апач действующих червей как не было, так и нет
>Именно это я и пытаюсь опровергнуть, я также ни слова не говорил о Linux в
>целом, придерживаявь вашего высказывания.
Но пока у Вас не получается, ведь действительно ориентированных на апач действующих червей как не было, так и нет, случаи в масштабах Интернета единичные по всем приведённым нами с Вами источникам. Возможно я неправильно написал 'действующих' имелось ввиду работающих достаточно активно, чтобы их считать значащими в масштабах Интернета. Речь ведь идёт именно о фактическом опровержении тезиса «вирусы пишут под популярную платформу».
Возможно я неправильно написал 'действующих'
Нет. Вы, выходит, полностью исказили смысл слова, а теперь пытаетесь оправдаться.
И не приплетайте, пожалуйста, тезисы, которые мы не обсуждали, про популярность между нами не было ни единого слова. То что вы писали про «часто говорят» — пусть говорят, я этого не говорил.
Мы обсуждали наличие действующих или действовавших червей для Apache, я привел вам пример с цифрами, если для вас несколько тысяч хостов — капля, ок, но факт-то остается фактом, даже был бы один червь, фраза «нет» уже не применима. Тогда нужно было изначально также определить значение для вас словосочетаний «значащими в масштабах Интернета» и «случаи в масштабах Интернета единичные» (и не забыть сделать скидку на 2002 год), раз уж вы так любите подменять понятия.
Как же утомили холивары MS vs *nix, столько толковых тем обсуждения погублены.
Сам линуксоид, сообщество обрастает троллями(
Сам линуксоид, сообщество обрастает троллями(
Хорошо бы эти данные потом сливать в фбр, К, фсб или еще куда то, где занимаются злодеяниями в интернет.
По собранной статистике, думаю, будет легче вычислять злоумышленников.
По собранной статистике, думаю, будет легче вычислять злоумышленников.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Microsoft собирает данные ботнет-сетей для борьбы с ними