Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 82
Познавательно. Спасибо.
Прочитав «Легенды вирусостроения», невольно подумал, что тема о пандемии, но дочитав название, обрадовался, что сегодня на хабре появилось что-то интересное, а не уг.
Спасибо за замечательную статью, с удовольствием почитал. %)
Спасибо за замечательную статью, с удовольствием почитал. %)
Ничего, еще пару лет и появится «живая» легенда вирусостроения. Надеюсь, сегодняшняя «легкая паника» с пока еще естественной мутацией гриппа позволит встретить будущую искусственную во всеоружии и без особых потерь. По крайней мере, сюрпризом это уже не будет, так что запасайтесь файрволами, господа.
Зачетный Ковер-Арт =)
Прочитал с удовольствием, спасибо, побольше бы таких статей.
Что автору сделали? ;)
Можно еще отметить, что за своего червя товарищ Моррис получил 3 года условно и штраф в 10500 долларов.
there are two kinds of sysadmins: paranoids and losers.
Кстати, очень полезно прочитать молодежи, у которых «вирусов под UNIX/Linux не может быть паапридилению!»
Кто вас тянул за язык? Вам холивара мало в интернете? Вы сравниваете 1988 и 2009 года…
А что, многое поменялось в «юниксе» 1988 и 2009 года?
"-Рак мозга?
— Мозг рака!"
Раскажите мне о поддержки сети в винде 2.0 выпущенной в ноябре 1987 г ))))
— Мозг рака!"
Раскажите мне о поддержки сети в винде 2.0 выпущенной в ноябре 1987 г ))))
Какое это имеет отношение к обсуждаемой теме?
Прямое. Могу дать один намёк, в виде встречного вопроса: «А что, многое поменялось в винде 1988 и 2009 года?»
«в винде поменялось» — все. В отличие от UNIX.
Всё изменилось? Прям всё? Оно и видно, ага:
Как тянулись сопли из ДОСа — так и тянутся.
Вы ещё попробуйте создать файл с именем «con» или «prn». Ой, не получается? Так это имена досовских псевдоустройств, не положено такие имена иметь обычным файлам %)
Про то, что в никсах ничего не изменилось с 1988 года — даже комментировать не буду. Вы явно не использовали юникс-системы даже 5 лет назад, а значит просто сотрясаете воздух :)
Как тянулись сопли из ДОСа — так и тянутся.
Вы ещё попробуйте создать файл с именем «con» или «prn». Ой, не получается? Так это имена досовских псевдоустройств, не положено такие имена иметь обычным файлам %)
Про то, что в никсах ничего не изменилось с 1988 года — даже комментировать не буду. Вы явно не использовали юникс-системы даже 5 лет назад, а значит просто сотрясаете воздух :)
«Для проникновения в компьютеры вирус использовал как алгоритмы подбора пароля (см. ниже), так и „дыры“ в различных коммуникационных программах»
Что-то в этом кардинально изменилось? Пароли подбираются по прежнему, те или иные дыры в софте по прежнему есть и появляются новые.
Все гениальное — просто. Готов прозакладывать шляпу, что сисадмины времен Червя тоже были абсолютно уверены в том, что такое у них на Юниксе ну просто невозможно. :-|
Что-то в этом кардинально изменилось? Пароли подбираются по прежнему, те или иные дыры в софте по прежнему есть и появляются новые.
Все гениальное — просто. Готов прозакладывать шляпу, что сисадмины времен Червя тоже были абсолютно уверены в том, что такое у них на Юниксе ну просто невозможно. :-|
Я уверен, что сейчас админы, использующие в качестве серверов Windows уверены что это самая безопасная система и что её невозможно взломать. Взломать можно все, АБСОЛЮТНО все. Компьютерные системы создают люди, а человеку свойственно ошибаться. Взломать можно даже кипятильник, вопрос только в том, что из этого можно получить. Просто под Windows каждый день появляются сотни вирусов, а раз в пару месяцев появляются достаточно сильные вирусы, которые поражают огромное число компьютеров. Благодаря своей архитектуре, а также тому, что код является открытым (до выхода нового релиза какого-то ПО исходный код читают тысячи людей и находят в нем дыры, которые исправляются еще ДО релиза) дыр в Linux\Unix системах гораздо меньше, но они все-равно есть.
> Я уверен, что сейчас админы, использующие в качестве серверов Windows уверены что это самая безопасная система и что её невозможно взломать.
Я не знаю откуда у вас такая уверенность, но ни один из множества моих знакомых админов Windows так не считает.
Я не знаю откуда у вас такая уверенность, но ни один из множества моих знакомых админов Windows так не считает.
Вирусов (и пандемий) под линуксом нету потому что у виндовс единый дистрибутив, а у линуксов — зоопарк. Слишком сложно учесть всё.
молодой человек. Вы были сисадмином в 1988 году? я еще в пиленках ползал, поэтому судить о том времени не берусь. Но давайте просто рассуждать логически. Давайте просто посмотрим на кол-во вирусов, троянов, степень защиты ОС основанных на UNIX c 1988 по 2009 год. А в частности покажите живые вирусы за 2009 год.
Внимательно прочитайте строку «Червь пытался использовать программу запуска удаленного интерпретатора rsh для атаки других машин с полученным именем и паролем текущего пользователя либо вообще без аутентификации, если атакуемая машина «доверяла» данной.» Вот вам степень защищенности и опыт сисадминов.
Внимательно прочитайте строку «Червь пытался использовать программу запуска удаленного интерпретатора rsh для атаки других машин с полученным именем и паролем текущего пользователя либо вообще без аутентификации, если атакуемая машина «доверяла» данной.» Вот вам степень защищенности и опыт сисадминов.
Ну я начал сисадминить, вот именно что тем, что называется сегодня «сисадминить», году с 92, если я правильно помню дела прошлые.
Ну это ладно, не будем «толщиной канала меряться».
С количеством «вирусов, троянов и прочей нечисти» все обстоит очень просто, чтобы понять достаточно посмотреть на процент подключенных к сети компьютеров с той или иной OS.
Если раньше, во времена Червя Морриса, UNIX-like OS были практически единственными OS в сети, то сейчас ситуация ровно обратная.
Сегодня писать вирусы для какой-нибудь VMS или Solaris, в общем, бесмысленно, для достижения сколь-нибудь заметного эффекта.
Вот, собственно, причина распространения вирусов именно для Windows, а не для какой-нибудь QNX.
А что с паролями ситуация обстоит по прежнему массово плачевно показывают периодические массовые взломы какого-нибудь Вконтакте.
Или вы искренне считаете, что пользователи UNIX из какой-то другой п… ды рождаются и в других школах-университетах учатся, чем владельцы паролей sexsexsex или johnsmitpa$$?
Отсюда вывод — если бы масса пользовательских UNIX-компов была бы достаточно велика, мы бы имели и масовых локальных рутов, и пароли типа выше названных. То есть, по сути, повторение ситуации с Червем.
И только полная немассовость пользовательских UNIX-систем пока мешает сколь-нибудь значительной эпидемии. И ниаких мистических «апридилений».
Ну это ладно, не будем «толщиной канала меряться».
С количеством «вирусов, троянов и прочей нечисти» все обстоит очень просто, чтобы понять достаточно посмотреть на процент подключенных к сети компьютеров с той или иной OS.
Если раньше, во времена Червя Морриса, UNIX-like OS были практически единственными OS в сети, то сейчас ситуация ровно обратная.
Сегодня писать вирусы для какой-нибудь VMS или Solaris, в общем, бесмысленно, для достижения сколь-нибудь заметного эффекта.
Вот, собственно, причина распространения вирусов именно для Windows, а не для какой-нибудь QNX.
А что с паролями ситуация обстоит по прежнему массово плачевно показывают периодические массовые взломы какого-нибудь Вконтакте.
Или вы искренне считаете, что пользователи UNIX из какой-то другой п… ды рождаются и в других школах-университетах учатся, чем владельцы паролей sexsexsex или johnsmitpa$$?
Отсюда вывод — если бы масса пользовательских UNIX-компов была бы достаточно велика, мы бы имели и масовых локальных рутов, и пароли типа выше названных. То есть, по сути, повторение ситуации с Червем.
И только полная немассовость пользовательских UNIX-систем пока мешает сколь-нибудь значительной эпидемии. И ниаких мистических «апридилений».
Хоть это не модно на хабре, кроме поставленного плюса ещё и отпишусь. Полностью согласен.
Хм… интересно, в качестве паролей программы на brainfuck'е сойдут? :)
Вы опять вспоминаете былые 80-е, и сравниваете их с сегодняшним днем, мол раньше так было и сейчас будет так же если захотеть, это троллинг и не хочу ввязыватся в спор, все что вы перечислили (и я в том числе) есть в интернете, поэтому отвечу коротко:
Вы хотя бы с 1992 (не считая 1988) следили за развитием Офтопика и к примеру Линукса. Как повышалась степень защиты и т.п. Как в винде админ — пользователь по умолчанию с пустым паролем (вроде начиная с висты пустой пароль запрещен, не знаю точно)?
П.С. я не админ, но разницу в усточивости Линукса перед офтопиком понимаю.
Линукс (и БСД) хоть и имеют меньше %, но на них крутятся банки, биржы и т.п. что для кардеров просто оочень лакомый кусок, но для винды даже школьник скачавший троян, поправив его немного, может получить приличный ботнет, дырки в котором не закрываются принцыпиально, мол программеры не могут разобратся в своем коде… хотя хакер с отладчиком его разобрал…
П.П.С давайте не будем сравнивать стень устойчивости Юниксов и офтопика, разница между ними громадная.
Вы хотя бы с 1992 (не считая 1988) следили за развитием Офтопика и к примеру Линукса. Как повышалась степень защиты и т.п. Как в винде админ — пользователь по умолчанию с пустым паролем (вроде начиная с висты пустой пароль запрещен, не знаю точно)?
П.С. я не админ, но разницу в усточивости Линукса перед офтопиком понимаю.
Линукс (и БСД) хоть и имеют меньше %, но на них крутятся банки, биржы и т.п. что для кардеров просто оочень лакомый кусок, но для винды даже школьник скачавший троян, поправив его немного, может получить приличный ботнет, дырки в котором не закрываются принцыпиально, мол программеры не могут разобратся в своем коде… хотя хакер с отладчиком его разобрал…
П.П.С давайте не будем сравнивать стень устойчивости Юниксов и офтопика, разница между ними громадная.
>Как в винде админ — пользователь по умолчанию с пустым паролем (вроде начиная с висты пустой пароль запрещен, не знаю точно)?
Уж не знаю, кто там где был запрещён в Висте (не видел её), но буквально на прошлых выходных ставил Вин7 «на посмотреть». Ничего не менял, в «систему безопасности» не лез, всё по дефолту.
Картина маслом: при попытке записать что-нибудь, например, в папку «Program files», вылезает окошко «Вам нужны привилегии администратора для записи в эту папку», а после нажатия на «ОК» (никакого пароля не спросили!) всё прекрасно записывается. В лучшем случае это является следствием пустого пароля. В худшем… я даже не знаю. «Вам сюда нельзя. Но если хочется — то можно».
Да, кстати, при этом меня не пустили в «C:\Documents and Settings\User\Application Data», сказали «У Вас недостаточно прав на просмотр этого каталога». Вот такая вот охрененная безопасность: нельзя посмотреть свои собственные настройки, зато можно писАть в Program files %)
Уж не знаю, кто там где был запрещён в Висте (не видел её), но буквально на прошлых выходных ставил Вин7 «на посмотреть». Ничего не менял, в «систему безопасности» не лез, всё по дефолту.
Картина маслом: при попытке записать что-нибудь, например, в папку «Program files», вылезает окошко «Вам нужны привилегии администратора для записи в эту папку», а после нажатия на «ОК» (никакого пароля не спросили!) всё прекрасно записывается. В лучшем случае это является следствием пустого пароля. В худшем… я даже не знаю. «Вам сюда нельзя. Но если хочется — то можно».
Да, кстати, при этом меня не пустили в «C:\Documents and Settings\User\Application Data», сказали «У Вас недостаточно прав на просмотр этого каталога». Вот такая вот охрененная безопасность: нельзя посмотреть свои собственные настройки, зато можно писАть в Program files %)
Не надо ставить популярные в интернете «сборки» с отключенным или «потвиканным» «для удобства» UAC.
В нормальной W7 как и в Vista UAC работает так, как полагается.
В нормальной W7 как и в Vista UAC работает так, как полагается.
При запуске каждого екзешника — «А Вы уверены, что хотите его запустить?»
При установке каждой программы — «А Вы уверены, что хотите разрешить этой программе модифицировать данные на Вашем компьютере?»
При попытке программы велезти в сеть — «А Вы точно хотите разрешить ей вылезти в сеть?»
И это — «потвиканный для удобства»? Тогда я боюсь даже представить, что же там в оригинальном, не «потвиканном»… о_О
При установке каждой программы — «А Вы уверены, что хотите разрешить этой программе модифицировать данные на Вашем компьютере?»
При попытке программы велезти в сеть — «А Вы точно хотите разрешить ей вылезти в сеть?»
И это — «потвиканный для удобства»? Тогда я боюсь даже представить, что же там в оригинальном, не «потвиканном»… о_О
Не надо грязи. В Windows 7 UAC работает точно также, как sudo сами знаете в чем, и появляется по тем же поводам.
Где Вы «грязь» увидели? Я всего лишь перечислил ситуации, в которых воочию наблюдал диалоги UAC. Если Вы считаете, что это «грязь» — то я её всего лишь констатирую :)
И уж тем более не нужно сравнивать с sudo: получив пароль, скажем, для установки программы, второй раз он не запросится. Обойдётся одним-единственным разом.
А с UAC, если инсталлер вдобавок к основным действиям предполагает получение чего-либо из сети — то диалог вылезет 3 раза: первый раз при запуске экзешника, второй раз при попытке доступа в сеть, третий раз при модификации реестра (или куда там нынче конфигурацию пишется).
Так что «не надо грязи» ©
И уж тем более не нужно сравнивать с sudo: получив пароль, скажем, для установки программы, второй раз он не запросится. Обойдётся одним-единственным разом.
А с UAC, если инсталлер вдобавок к основным действиям предполагает получение чего-либо из сети — то диалог вылезет 3 раза: первый раз при запуске экзешника, второй раз при попытке доступа в сеть, третий раз при модификации реестра (или куда там нынче конфигурацию пишется).
Так что «не надо грязи» ©
> А с UAC, если инсталлер вдобавок к основным действиям предполагает получение чего-либо из сети — то диалог вылезет 3 раза:
1. И это правильно.
2. Кривые программы — давить, возможно даже и таким жестоким способом. «Понабрали по объявлениям»
PS. В W7 UAC _сильно_ поправили.
1. И это правильно.
2. Кривые программы — давить, возможно даже и таким жестоким способом. «Понабрали по объявлениям»
PS. В W7 UAC _сильно_ поправили.
Вот натолкнулся:
www.xakep.ru/post/18040/default.asp
посмотрите дату поста… даже в те времена уже смеялись над «вирусы под линукс» ))
Ну вот еще вспомнилось: Мобильники распространены? какие ОС самые распространенные, и сколько живых вирусов под них?
Короче, когда будут вирусы под Линукс, БСД, тогда и пишите =)
www.xakep.ru/post/18040/default.asp
посмотрите дату поста… даже в те времена уже смеялись над «вирусы под линукс» ))
Ну вот еще вспомнилось: Мобильники распространены? какие ОС самые распространенные, и сколько живых вирусов под них?
Короче, когда будут вирусы под Линукс, БСД, тогда и пишите =)
Ссылка на журнал Ксакеп это безусловно убийственный аргумент, даже не знаю чем крыть. Еще можно найти что-нибудь на ЛОР-е, или, до кучи, на башорге, и тоже прислать ;)
www.osp.ru/cw/2003/17/64064/
это оригинал в рунете, в буржуйсконете оригинал не искал
это оригинал в рунете, в буржуйсконете оригинал не искал
Автор статьи даже не отличает доллар от фунта… =\
Ну вот потому они и не выживают под никсами, что никсоиды хорошо усвоили урок Червя.
«Не выживают». Давайте-давайте. Веруйте. До следующего Червя.
Бред, сейчас не Черви, а эксплойты, дыры залатываются быстрее чем находятся. И вообще — юниксы того времени — blob-ware, а сейчас open-source в основном, в их модели разработки меньше прорех )
а что там выживать сложно чтоли? на большенстве серверов нет IDS а бывает и фаервола. ClamAV ставится аще всего только для проверки почты. 1 удаленный эксплойт и возможно локальный рут эксплойт и вот вам второй моррис. считаю дело времени
Сейчас уже не делают вирусы просто чтобы всё сломать. Вирусы пишут для зарабатывания денег. Поэтому, большинство троянов крадут пароли и рассылают с заражённой машины спам. И основная задача — остаться незамеченным. «Второй великий червь» просто никому не выгоден и не нужен.
Вы это расскажите владельцам ботнетов, сложно сделать выживаемый в Линуксе троян или нет.
Или еще лучше сделайте свой троян, я его протестирую на своей тачке.
Или еще лучше сделайте свой троян, я его протестирую на своей тачке.
естественно если вы знаете что у вас троян или червь то вы его найдете. но червь может сидеть тихо и допустим делать 1 попытку взлома в 10 минут.
я не про какогонибудь конкретно взятого админа а про большую их часть. для того чтобы большенство админов не заметило ничего просто не нужно сильно драть ресурсы и сетевой трафик, не палиться в процессах. скаже прикрепленный сошник к какомунибудь демону.
я не про какогонибудь конкретно взятого админа а про большую их часть. для того чтобы большенство админов не заметило ничего просто не нужно сильно драть ресурсы и сетевой трафик, не палиться в процессах. скаже прикрепленный сошник к какомунибудь демону.
откуда у меня или у обычного пользователя Линукса появится сошник с трояном внутри?
А еще лучше как сделать так, чтобы он работал на любой системе (архитектуре, дистрибьютиве, других дефолтных настройках, к примеру ключи монтирования, файловая система).
И да кстате, тред о червях, а это еще интереснее. Червь должен распространятся сам, любым способом, и остатся в системе (если червь нацелен именно на Юникс, а не использует его как перевалочный пунк).
А еще лучше как сделать так, чтобы он работал на любой системе (архитектуре, дистрибьютиве, других дефолтных настройках, к примеру ключи монтирования, файловая система).
И да кстате, тред о червях, а это еще интереснее. Червь должен распространятся сам, любым способом, и остатся в системе (если червь нацелен именно на Юникс, а не использует его как перевалочный пунк).
в ядре линукс 10 миллионов строк. нужесли вы думаете что там нет критических уязвимостей под которые можно написать удаленный эксплойт. а если мы возьмем ещё демоны SSH, FTP, HTTP? теоретически можно собрать пачку эксплойтов и зашить в червя(мы же всётаки про червя говорим). насчет переносимости. если брать только линукс как самую распространенную систему то можно и одним бинарником с минимум зависимостей обойтись. если нужна переносимость в риделах POSIX можно собирать из сурсов, загруженных шеллкодом. либо вобще делать червя полостью на sh. вариантов море. естественно это всё теория ненадо так воспринимать…
Ага-ага.
То есть руткиты это в ведомстве Гейтса придумали, чтобы UNIX очернить, да, и это фантастика и выдумки?
А скомпрометированные ключи подписей, и зараженные пакаджи соответственно, это мне почудилось?
А совсем недавняя история с фальшивыми «кодеками под MacOS» это тоже не в вашем мире?
То есть руткиты это в ведомстве Гейтса придумали, чтобы UNIX очернить, да, и это фантастика и выдумки?
А скомпрометированные ключи подписей, и зараженные пакаджи соответственно, это мне почудилось?
А совсем недавняя история с фальшивыми «кодеками под MacOS» это тоже не в вашем мире?
О виндовых вирусах тоже будет написано позже и не мало :)
И про oneHalf пожалуйста тоже ;-)
В разработке, а вот следующий пост по теме
Ооо… OneHalf вспоминаю со скупой мужской слезой, первый вирус с которым я столкнулся :) однако-ж всетки насколько он был хорош, задумка шифровать пользовательские данные данные — это нечто.
Это был вирус, по которому мне дали первый мой ник :)
Было за что
/me смущенно ковыряет сандалетой пол
Было за что
/me смущенно ковыряет сандалетой пол
Вы его написали или Вы просто послужили причиной заразы всех окружающих? ;)
Поначалу думали первое, потом оказалось второе. У меня в ту пору было штук 40 пятидюймовых дискет, на которых этого Ваньхальфа было… немало.
К тому же в том месте стояла сеточка, по ней активно гамились в netwars, вирь активно гулял по сетке и в уже зараженных файлах себя не находил (он же полиморфный), заражая их еще раз.
Когда эпидемию лечили, народ очень дивился, как это в netwars.exe док находит по 7-8 экземпляров мирно (? О.о ) сосуществующего вируса.
К тому же в том месте стояла сеточка, по ней активно гамились в netwars, вирь активно гулял по сетке и в уже зараженных файлах себя не находил (он же полиморфный), заражая их еще раз.
Когда эпидемию лечили, народ очень дивился, как это в netwars.exe док находит по 7-8 экземпляров мирно (? О.о ) сосуществующего вируса.
Холиварить на тему под какую систему вирусов больше не стоит, тогда вирусы писали под никсы потому что они были больше распространены и только, тоже самое сейчас с виндами, если никсы отвоюют большую чем сейчас долю рынка доля вирусов под никсы так же вырастет. Количество вирусов и популярность системы напрямую коррелируют так что спор бессмысленен, на мой взгляд, а админам еще раз посоветую побольше паранойи в работе и все у вас будет хорошо.
Что-то текст почти один в один как в книге «Атака на интернет»
bugtraq.ru/library/books/attack/chapter09/04.html
bugtraq.ru/library/books/attack/chapter09/04.html
Вы могли бы по ссылкам посмотреть — я в конце ссылаюсь на главу из этой книжки
— Подробный разбор устройства Червя
так что ваши обвинения в плагиате бессмысленны и обидны, хотя если вы не можете отличить эти статьи, то значит вы сами не очень внимательно читали ту самую книжку, которой щеголяете.
— Подробный разбор устройства Червя
так что ваши обвинения в плагиате бессмысленны и обидны, хотя если вы не можете отличить эти статьи, то значит вы сами не очень внимательно читали ту самую книжку, которой щеголяете.
Первое что читал про это «произведение» это отчет отслеживания развития вируса с поминутной распиской распространения и масштабы нанесенного вреда за период действия. 4 страницы логов тогда очень впечатлило. случаем не знаете где можно найти его? а то я сам не помню где видел. может кто сталкивался?
>Дополнительная возможность отладочного режима заключается в том, чтобы посылать сообщения,
>снабженные программой-получателем, которая запускается на удаленной машине и осуществляет
>прием сообщения. Эта возможность, не предусмотренная протоколом SMTP, использовалась
>разработчиками для отладки программы и в рабочей версии была оставлена по ошибке.
Мда… Думал только в политике историю переписывают, а оказывается ещё и в ИТ…
Не было никакой «ошибки» по которой «оставили». Эрик специально сделал в сендмейле backdoor, чтобы было проще перекомпилировать мегапочтомонстра без пинания админа. Каждый раз, когда Эрику нужно было скомпилировать сендмыл, ему требовалось разрешение админа, т.к. у него не было рутовых прав, а сендмылу они были ой как нужны. А когда его это достало, то врисовал только ему известную дырку и молчок. А Моррис заметил. Молодец.
Надо было ещё тогда прибить сендмыл. Но Бернштайн был ещё маленький для кмыла…
>снабженные программой-получателем, которая запускается на удаленной машине и осуществляет
>прием сообщения. Эта возможность, не предусмотренная протоколом SMTP, использовалась
>разработчиками для отладки программы и в рабочей версии была оставлена по ошибке.
Мда… Думал только в политике историю переписывают, а оказывается ещё и в ИТ…
Не было никакой «ошибки» по которой «оставили». Эрик специально сделал в сендмейле backdoor, чтобы было проще перекомпилировать мегапочтомонстра без пинания админа. Каждый раз, когда Эрику нужно было скомпилировать сендмыл, ему требовалось разрешение админа, т.к. у него не было рутовых прав, а сендмылу они были ой как нужны. А когда его это достало, то врисовал только ему известную дырку и молчок. А Моррис заметил. Молодец.
Надо было ещё тогда прибить сендмыл. Но Бернштайн был ещё маленький для кмыла…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Легенды вирусостроения: Великий Червь