Статья ссылку на которую вы привели рассказывает что ботнет собрал пароли и логины полмиллиона пользователей почтовых серверов. И в дальнейшем эти логины будут использоваться для рассылки спама. Если ботнет захвачен то злоумышленники не могут им воспользоваться. Таким образом для злоумышленника ботнет практически мертв.
А значит эти пароли будут использованы в какой то другой сущности, а не в этом ботнете.
В случае с Coreflood и Rustock правоохранительные органы добились разрешения отправлять команду на деинсталяюцию машинам подключаеющимся к захваченным ботнет серверам.
Сейчас новая тенденция переводить ботнеты на управление через p2p сети. Например выкладывать управляющие файлы с инструкциями посредством emule или kazaa.
Удалять боты с зараженных машин MS не может, т.к это будет считаться вмешательством в частную жизнь. Поэтому рекомендуется использовать Malicious Software Removal Tool или Microsoft Security Essential. Впрочем другие антивирусы тоже подойдут.
А вообще это не первый ботнет уничтоженный с участием MS. До этого были:
Rustock – рассылал 80% мирового спама
Coreflood – служил инструментом для финансовых преступлений принесших более 100 миллионов $ убытков
Судебный иск выдвигался Microsoft и Pfizer. Причиной было нарушение торговой марки, рассылка спама с предложением выиграть в лоттерею Microsoft или купить поддельную виагру от Pfizer.
Поэтому и передали домены тем кто подал иск в суд.
То что apache.org взломали два раза за три года это как раз показатель того что они справились с APT. Насколько помню в прошлый раз взлом был осуществлен простейшей атакой социальной инженерии через JIRA. Мастера своего дела однако. Сертификация и обучение азам им как раз очень пригодилась бы.
А может их пока никто серьезно не ломал и для них еще не наступила APT? Про неуловимого Джо шутку знаете?
Те ссылки что вы прислали не являются подразделами microsoft.com если посмотрите на доменные имена вам станет это очевидно. Обычно это сайты однодневки созданные фанатами или маркетинг менеджерами для запуска тех или иных локальных маркетинговых компаний. Делается это силами локальных вендоров и хостится у локальных хостеров.
Про уровень профессиональности локальных вендоров Албании и Кореи вам объяснять нужно?
То вывод что это сайты однодневки подтверждает хотя бы то что большая часть из них уже мертва, не обновляется и не работает.
У MS есть ЦОД не в каждом регионе мира. В зависимости от региона порция контента отдаваемого напрямую из IIS и контента отдаваемого через CDN различается.
Затраты на траффик будут колосальные если все делать из своих ЦОД. Представьте как обеспечить передачу Windows Update например в регионы Африки и Ближнего востока.
Поэтому в качестве CDN используется Akamai т.к у него лучшее региональное проникновение.
Удерживали в стабильном состоянии потому как интереса их ломать не было? А теперь с увеличением доли Linux на мировом рынке злоумышленникам стало интересно их ломать? Нарастание взломов apache.org и просих опенсорс вендоров как раз указывает на увеличение интереса.
И тут миф об неуязвимости Linux c треском лопается. Ведь в в любой дискуссии с любителем Linux обязательно всплывает миф о том что эта ОС безопасна по умолчанию и не нужно доп. вложений чтобы быть защищенным, мифическое сообщество о вас уже позаботилось. :)
Отсюда и проблема с большим количеством уязвимостей, ибо все верят что раз код открыт значит безопасен. И обязательно найдется тот кто потратит свое время и проверит его. Как показывает практика постулат «миллиона глаз» не работает.
То что вы выделили касается патентных исков и не несет в себе запрета на исследование безопасности и публикацию находок.
У Microsoft есть программа по которой исследователи могут сообщать об обнаруженных уязвимостях и эксплоитах. В тоже время многие просто публикуют уязвимости в блогах и представляете ничего страшного с этими людьми не происходит и в суд их никто не тащит.
Мы никоим образом не ограничиваем их право публиковать свои находки, а лишь просим сначала сообщать нам и дать время на исправление уязвимости.
Это стандартная практика в ИТ индустрии. Мы называем ее скоординированным раскрытием уязвимостей.
Вы смешиваете два понятия, народ который смотрит код и народ достаточно квалифицированный чтобы понять код, найти ошибку и сиправить её.
Люди способные к исправлению ошибок а особенно ошибок в безопасности, немногочислены и весьма высокооплачиваемы. А значи скорее всего бесплатно работать не будут.
Отсюда вывод что толпа смотрящая на исходники не имеет никакого значения ибо число специалистов в ней мало. Вы ведь не будете рассказывать что все опенсорс фанаты специалисты по безопасности или что в этой группе процент специалистов по безопасности аномально высок?
Как показывает пример ReactOS, разработчики там не профессионалы и большинство их ошибок находит простейший статический анализатор. Если проект такой масштабный как вы его назвали, где же эксперты по безопасности, бесплатно проверяющие качество кода? Выходит ваша модель миллиона глаз смотрящего а открытым кодом не работает.
Замечения таки остались, если нечто малое по размеру по уязвимостям превышает нечто большее, значит код пишут плохо и не проверяют.
Отсюда вывод что опенсорсу пора бы завести свой собственный SDL а не рассказывать сказки, про то что они делают больше ошибок зато исправляют их быстрее. Глядишь изначальное качество кода улучшилось бы.
Вы подумайте об энтерпрайз админе, у него есть и другие дела кроме как патчить системы и тестировать изменения.
Отсюда следует постулат что система с меньшим набором уязвимостей лучше.
APT не является новым видом атаки это лишь изменение в интенсивности и сложности атак.
Если раньше вашу организацию ломало 2 самоучки, которые попробовав типовые инструменты и выполнив несколько трюков не добивались успеха и уходили ломать кого то другого, то теперь есть организации которые будут ломать круглыми сутками. Будут применять всё от социальной инженерии до новейших неизвестных уязвимостей. Причем применять это раз за разом, методично хоть и медленно двигаясь к своей цели.
То есть APT и обычная активность злоумышленников различаются как школьники и слаженная организация с руководителями проектов, исполнителями и глубокими специалистами в узких областях. Ресурсы организации которая осуществляет APT просто не сравнимы с ресурсами обычных злоумышленников.
В случае APT вопрос взлома стоит не «если», а «когда». А значит нужно все время думать о минимизации ущерба от атак такого рода.
Никаких особенных средств для защиты от APT нет и скорее всего не будет.
Годами пытаются взломать MS, но что то не выходит. Видно дело не опенсорс лицензиях, а в наличие методов безопасной разработки и тестирования кода, таких как SDL, которой у других скорее всего нет.
Ну и конечно есть админы которые знаю свое дело, в отличии от админов kernel.org.
А вам в голову не приходило что уязвимость которая critical может быть не эксплоитабельна? Или для ее эксплуатации моожет требоваться локальный доступ?
Так например было в случае с уязвимостью Hyper-V. Чтобы ее эксплуатировать нужны были права локального администратора. Да уязвимость критичная, но бесполезная ибо если вы админ то вас уже ничто не остановит.
Где же ваши комментарии по качеству кода? Или в 2 раза больше уязвимостей в ядре Linux это не важно?
Может пораскинете мозгами и поймете что в привычной Windows XP легче искать уязвимости?
А боты установленные на ПК постепенно уничтожаются пользователями с помощью локальных провайдеров.
MS в процессе захвата проникла в p2p сеть ботнета и стала распространять свой список p2p узлов.
Таким образом стала контролировать все уровни коммуникаций ботнета.
А значит эти пароли будут использованы в какой то другой сущности, а не в этом ботнете.
А вообще это не первый ботнет уничтоженный с участием MS. До этого были:
Rustock – рассылал 80% мирового спама
Coreflood – служил инструментом для финансовых преступлений принесших более 100 миллионов $ убытков
Поэтому и передали домены тем кто подал иск в суд.
А может их пока никто серьезно не ломал и для них еще не наступила APT? Про неуловимого Джо шутку знаете?
Те ссылки что вы прислали не являются подразделами microsoft.com если посмотрите на доменные имена вам станет это очевидно. Обычно это сайты однодневки созданные фанатами или маркетинг менеджерами для запуска тех или иных локальных маркетинговых компаний. Делается это силами локальных вендоров и хостится у локальных хостеров.
Про уровень профессиональности локальных вендоров Албании и Кореи вам объяснять нужно?
То вывод что это сайты однодневки подтверждает хотя бы то что большая часть из них уже мертва, не обновляется и не работает.
Затраты на траффик будут колосальные если все делать из своих ЦОД. Представьте как обеспечить передачу Windows Update например в регионы Африки и Ближнего востока.
Поэтому в качестве CDN используется Akamai т.к у него лучшее региональное проникновение.
Это действительно супер взлом. Если разница между настоящим взломом и этим вам не понятна то я соболезную.
Только что вы доказали свою профнепригодность.
Удерживали в стабильном состоянии потому как интереса их ломать не было? А теперь с увеличением доли Linux на мировом рынке злоумышленникам стало интересно их ломать? Нарастание взломов apache.org и просих опенсорс вендоров как раз указывает на увеличение интереса.
И тут миф об неуязвимости Linux c треском лопается. Ведь в в любой дискуссии с любителем Linux обязательно всплывает миф о том что эта ОС безопасна по умолчанию и не нужно доп. вложений чтобы быть защищенным, мифическое сообщество о вас уже позаботилось. :)
Отсюда и проблема с большим количеством уязвимостей, ибо все верят что раз код открыт значит безопасен. И обязательно найдется тот кто потратит свое время и проверит его. Как показывает практика постулат «миллиона глаз» не работает.
У Microsoft есть программа по которой исследователи могут сообщать об обнаруженных уязвимостях и эксплоитах. В тоже время многие просто публикуют уязвимости в блогах и представляете ничего страшного с этими людьми не происходит и в суд их никто не тащит.
Мы никоим образом не ограничиваем их право публиковать свои находки, а лишь просим сначала сообщать нам и дать время на исправление уязвимости.
Это стандартная практика в ИТ индустрии. Мы называем ее скоординированным раскрытием уязвимостей.
blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx
Люди способные к исправлению ошибок а особенно ошибок в безопасности, немногочислены и весьма высокооплачиваемы. А значи скорее всего бесплатно работать не будут.
Отсюда вывод что толпа смотрящая на исходники не имеет никакого значения ибо число специалистов в ней мало. Вы ведь не будете рассказывать что все опенсорс фанаты специалисты по безопасности или что в этой группе процент специалистов по безопасности аномально высок?
Как показывает пример ReactOS, разработчики там не профессионалы и большинство их ошибок находит простейший статический анализатор. Если проект такой масштабный как вы его назвали, где же эксперты по безопасности, бесплатно проверяющие качество кода? Выходит ваша модель миллиона глаз смотрящего а открытым кодом не работает.
Отсюда вывод что опенсорсу пора бы завести свой собственный SDL а не рассказывать сказки, про то что они делают больше ошибок зато исправляют их быстрее. Глядишь изначальное качество кода улучшилось бы.
Вы подумайте об энтерпрайз админе, у него есть и другие дела кроме как патчить системы и тестировать изменения.
Отсюда следует постулат что система с меньшим набором уязвимостей лучше.
Если раньше вашу организацию ломало 2 самоучки, которые попробовав типовые инструменты и выполнив несколько трюков не добивались успеха и уходили ломать кого то другого, то теперь есть организации которые будут ломать круглыми сутками. Будут применять всё от социальной инженерии до новейших неизвестных уязвимостей. Причем применять это раз за разом, методично хоть и медленно двигаясь к своей цели.
То есть APT и обычная активность злоумышленников различаются как школьники и слаженная организация с руководителями проектов, исполнителями и глубокими специалистами в узких областях. Ресурсы организации которая осуществляет APT просто не сравнимы с ресурсами обычных злоумышленников.
В случае APT вопрос взлома стоит не «если», а «когда». А значит нужно все время думать о минимизации ущерба от атак такого рода.
Никаких особенных средств для защиты от APT нет и скорее всего не будет.
Ну и конечно есть админы которые знаю свое дело, в отличии от админов kernel.org.
Так например было в случае с уязвимостью Hyper-V. Чтобы ее эксплуатировать нужны были права локального администратора. Да уязвимость критичная, но бесполезная ибо если вы админ то вас уже ничто не остановит.
Где же ваши комментарии по качеству кода? Или в 2 раза больше уязвимостей в ядре Linux это не важно?
В Росии тоже есть пачка таких мелких сайтов, созданных внешним подрядчиками и номинально эти сайты принаджежат MS.
Такие сайты не проходят сертификацию на безопасный хостинг и не могут быть помещены например на microsoft.com
Вы мне пожалуйста ссылку предоставьте на взлом настоящего официального сайта MS, такого как microsoft.com, bing, ms technet, msdn или channel 9