Изобретен новый способ обхода брандмаузера.

DELETED
5/18/2007, 5:03:53 PM
Хакеры изобрели очередной способ обхода брандмауэров. Как выяснили эксперты по информационной безопасности, для загрузки вредоносного ПО на компьютеры ничего не подозревающих пользователей может успешно использоваться служба обновления Windows.
Как минимум один троян из обнаруженных эксплуатирует фоновую интеллектуальную службу передачи (Background Intelligent Transfer Service, BITS), встроенную в операционную систему Windows. Эксперты Франк Болдуин (Frank Boldewin ) и Элия Флорио (Elia Florio) исследовали троянскую программу TrojanDownloader:Win32/Jowspry, распространявшуюся в Германии, и выяснили, что она загружает на компьютеры вредоносные файлы с помощью BITS. Эти файлы успешно обходят встроенный в ОС брандмауэр, который их не детектируют.

Таким образом, хакеры изобрели новый способ обхода межсетевых экранов, добавив его к уже существующим методам, таким как туннелирование в HTTP- и SMTP-трафике, использование скрытых незащищенных каналов и атаки на брандмауэры. Используя компонент самой операционной системы в качестве средства стеганографии, TrojanDownloader:Win32/Jowspry реализовал новую концепцию в хакинге.

BITS использует каналы передачи данных, не занятые другими приложениями, и регулирует свой трафик, чтобы он не мешал их работе. После восстановления разорванного соединения служба продолжает свою работу. С версии 1.5 BITS выполняет загрузки на рабочую станцию, и с нее. BITS поддерживает HTTP и HTTPS, применяется для передачи данных в Windows Update, Windows Server Update Services, Systems Management Server, а также средствах мгновенного обмена сообщениями от Microsoft. Наиболее широко технология реализована в Windows Update для доставки обновлений программного обеспечения.

В настоящее время надежной защиты от загрузки вредоносного ПО с помощью BITS нет. Пользователям рекомендовано проверить свои машины на наличие троянского ПО.
barrakuda
5/18/2007, 9:07:54 PM
Ну а для наших домашних пользователей такие сложности ни к чему.
Так как все работают под админом, любой троян прописывает себя в доверенные приложения. Вот и весь обход брандмауэра виндос smile.gif
maxdiversexnarod1
5/19/2007, 2:50:56 AM
Насколько я понимаю, ценность данного метода - только теоретическая. Есть много куда более простых и надёжных методов, которые требуют такого же уровня привилегий в системе.
успешно обходят встроенный в ОС брандмауэр, который их не детектируют
Имеется в виду Брандмауэр Windows? О, да это супер-надёжный файрвол, как раз на нем и надо тестировать новые вирусные технологии :)
Vertigo
5/19/2007, 2:34:06 PM
CODE для загрузки вредоносного ПО на компьютеры ничего не подозревающих пользователей может успешно использоваться служба обновления Windows.
Хоть здесь пользователи нелицензионной Windows выигрывают, бо обновлениями не пользуются...

Эти файлы успешно обходят встроенный в ОС брандмауэр, который их не детектируют.
Странно было бы, если брандмауэр Windows их детектировал...
Kessoron
5/19/2007, 6:18:55 PM
Хоть здесь пользователи нелицензионной Windows выигрывают, бо обновлениями не пользуются...
Что ерунда? Польуются, и спокойно обновляются. Валидация нужна только для загрузки расширений/дополнений
DELETED
5/20/2007, 3:20:39 PM
(vertigo1 @ 19.05.2007 - время: 10:34)
Хоть здесь пользователи нелицензионной Windows выигрывают, бо обновлениями не пользуются...


Ну как-же не пользуются? Очень даже пользуются, причем почти официально получая автоматические обновления с Виндоус Апдейт. wink.gif

Для этого уже давно сделан патч, посредством которого Майкрософт распознает тыою версию как лицензионную.
Rambus
5/20/2007, 8:40:07 PM
Ну знаешь, у меня проблем с WGA нет, однако я что-то обновляться не спешу... Помню ещё как 2 или 3 раза после пары месяцев обновлений на диалапе система обновлялась настолько, что Framework начинал конфликтовать с Каталистом да так, что систему приходилось сносить. Так что только от сервис-пака до сервис-пака, когда все обновлёнки будут гарантированно затыкать дыры, а не добавлять новые... Так что такой способ обхода что-то не стращает...
barrakuda
5/20/2007, 9:37:25 PM
Это у себя дома можешь хоть ваще не обновлять никогда, Рамбус wink.gif
А в корпоративных сетях это необходимое и обязательное условие - своевременное обновление ОС и ПО.
Rambus
5/20/2007, 10:11:15 PM
Ну и что ж за корпоративщик пользуется драным брэндмауэром Винды? Опять таки обновления можно ведь и просто скачивать и ставить, просто дольше, но тем не менее...
Vertigo
5/21/2007, 1:01:54 AM
(Rambus @ 20.05.2007 - время: 17:11) Ну и что ж за корпоративщик пользуется драным брэндмауэром Винды? Опять таки обновления можно ведь и просто скачивать и ставить, просто дольше, но тем не менее...
И я об этом...
barrakuda
5/21/2007, 9:25:46 AM
(Rambus @ 20.05.2007 - время: 18:11) Ну и что ж за корпоративщик пользуется драным брэндмауэром Винды? Опять таки обновления можно ведь и просто скачивать и ставить, просто дольше, но тем не менее...
Да с чего вы взяли, что брандмауэр винды "драный"? biggrin.gif
Обычная стенка, исправно рубит все непрошенные входящие соединения, контролирует исходящий трафик приложений. Если юзер с ограниченной учеткой, не админ - норм smile.gif
barrakuda
5/21/2007, 9:31:12 AM
(Kessoron @ 19.05.2007 - время: 14:18) Что ерунда? Польуются, и спокойно обновляются. Валидация нужна только для загрузки расширений/дополнений
Заплатки, да, пожалуйста - скачивай, а автоматическое обновление - хрен тебе smile.gif Мою копию сразу запалили и любезно предложили заказать диск с "настоящей" виндой.
maxdiversexnarod1
5/21/2007, 1:12:07 PM
(barrakuda @ 21.05.2007 - время: 05:25) (Rambus @ 20.05.2007 - время: 18:11) Ну и что ж за корпоративщик пользуется драным брэндмауэром Винды? Опять таки обновления можно ведь и просто скачивать и ставить, просто дольше, но тем не менее...
Да с чего вы взяли, что брандмауэр винды "драный"? biggrin.gif
Обычная стенка, исправно рубит все непрошенные входящие соединения, контролирует исходящий трафик приложений. Если юзер с ограниченной учеткой, не админ - норм smile.gif
Не понял, это шутка?
barrakuda
5/21/2007, 6:52:51 PM
Неа, просто БВ это стенка в самом простом исполнении. Конечно, всякие лик-тесты он не пройдёт, от внедрённых в процессы троянов и т.п. не спасёт, но со своей задачей - контроль входящего трафика - справляется.
И, кстати, если бы юзеры не сидели под админом, многие незатейливые трояны, которые лезут скидывать пароли отдельным процессом, были бы им остановлены.
Rambus
5/21/2007, 8:01:50 PM
Геморроя больше чем пользы. Именно поэтому он и драный, что через него всякая шваль лезет, а для плодотворной работы ему видите ли надо урезать пользователя в правах.
barrakuda
5/21/2007, 9:01:29 PM
По идеи, юзер не должен работать с правами админа - это маразм.
В unix системах по традиции с этим строго - минимум прав у пользователя для его же безопасности.
И не зря в ХР pro ввели разграничение прав, очень гибкое, кстати.
Проблема в разработчиках стороннего софта, игр, благодаря которым и приходиться во избежания гемора сидеть дома под админом.

Из справки виндоус:
Почему не следует работать на компьютере с учетной записью администратора
Работа в Windows 2000 или Windows XP в качестве администратора делает систему уязвимой (я бы сказал, более уязвимой smile.gif )для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На незнакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д.

Необходимо добавить себя в группу «Пользователи» или «Опытные пользователи». Войдя в систему в качестве члена группы «Пользователи», можно выполнять обычные задачи, в том числе выполнение программ и посещение узлов в Интернете, не подвергая компьютер излишнему риску. Члены группы «Опытные пользователи» могут, кроме того, устанавливать программы, добавлять принтеры и использовать большинство компонентов панели управления. Если необходимо выполнить такие задачи администрирования, как обновление операционной системы или настройка системных параметров, выйдите из системы и войдите в нее как администратор.

При необходимости часто входить в систему и запускать программы с правами администратора можно использовать для этого команду runas. smile.gif
===============
Разграничение прав вещь нужная.
Да и, Брандмауэр в винде такой простой, чтобы юзеры с ума не сошли от его настроек. Я тут попробовал хвалёный Комодо, так он меня заколебал своими сообщениями biggrin.gif
Rambus
5/21/2007, 9:53:50 PM
Разграничение, конечно, вещь хорошая, но только не дома. Лично мне противно, когда система посылает тебя, её владельца, куда подальше. Если я её поставил и настроил, то мне её и гробить. А отмазки "для вашей же безопасности" меня не устраивают. Мне как-то спокойнее когда я сам даю добро на каждый бздёх программы, а не доверяю это другой программе. Если Каспер орёт про подозрительные действия, я лично должен убедиться, что их делает не программа, выполнения которой я хочу, а вирусняк. Иначе получится, что я же окажусь в заложниках у операционки. Например, на обновление Picasa2 с помощью автообновления Каспер реагирует как на заражение Трояном. И такие глупости встречаются не только там... И что же мне теперь, не обновлять софт? не пробовать новое только потому что система грозится пальчиком? Да я лучше виря словлю, а потом вынесу Касперычем или форматированием, чем буду слушать Винду неразумную и в итоге словить-то виря словлю, а вот на укокошить его прав уже не хватит...
barrakuda
5/21/2007, 10:08:00 PM
В том то и дело, что не ты грохнешь винду, а вася-хакер, который так намутит в реестре, что мама не горюй smile.gif
А все потому что любая прога, запущенная тобой будет иметь права данного пользователя со всеми привилегиями.
И причем тут каспер? Он у юзера спрашивает, а не у админа.
barrakuda
5/21/2007, 10:10:15 PM
Дома разграничение прав вещь тоже полезная, когда за компом не только ты один работаешь. Тут самое милое дело всех ограничить, а себя админом оставить wink.gif
Rambus
5/21/2007, 10:23:23 PM
Ага, помню как-то поставил сдуру себя админом, а мать юзером и запаролил... Потом компу сорвало башню и он забыл пароли... То есть перестал их принимать... Самое обидное-то, что ни поддержка Мелкософта не помогла (они просто послали нахрен и сказали помощи просить у тех, кто комп продавал, т.к. Винда ОЕМная), ни продавцы. Пришлось форматировать раздел нафиг (хорошо хоть на всякий случай разбиваю винт на логические диски) и ставить Винду заново. С тех пор на том компе мы оба-админы и оба без паролей.

А если Вася Пупкин залезет на мой комп, то ничего ценного он там грохнуть не сможет-бэкапиться надо, господа. Да и с чего вы взяли, что на ваши компы кто-то покушается? Ну есть вири, это пакость, но хакерам-то вы на кой сдались? Им это неинтересно, им скорее сетку какой-нибудь организации взломать захочется.