|
 Все новости от 23 января 2001 г.
Вандалы забавляются с Linux-червем Ramen
«Несколько групп (вандалов) по какой-то причине переключились на Red Hat, — сообщил специалист по защите данных, член организации Attrition.org Мэтт Дикерсон (Matt Dickerson), известный также по псевдониму Munge. — Они изменяют HTML-страницы при помощи червя, замещая их собственным текстом и графикой». То, что вандалы переключились на операционную систему, с которой традиционно не работали (и, похоже, ничего о ней не знают), по мнению Дикерсона, говорит о том, что для этой грязной работы они воспользовались новым хакерским инструментом.
Как уже сообщалось, червь Ramen представляет собой самораспространяющуюся программу, слепленную из нескольких таких инструментов и поражающую версии Red Hat Linux 6.2 и 7.0. Однако используемые червем пробелы в защите характерны и для других дистрибутивов Linux, а также для некоторых систем Unix.
В поисках лазеек
Ramen, в зависимости от версии ОС, может использовать известные лазейки в FTP-сервере, разработанном Вашингтонским университетом, в компоненте сервиса Remote Procedure Call или программе печати LPrng. Обычно все эти программы устанавливаются при инсталляции Red Hat 6.2 и 7.0 по умолчанию. Для всех этих лазеек имеются заплатки. Получив управление сервером, червь создает на нем свою копию, заменяет главную веб-страницу и начинает поиск других незащищенных серверов. При этом Ramen удаляет незащищенные программы, защищаясь таким образом от других своих воплощений и прочих упырей, пользующихся этими же лазейками.
На прошлой неделе, по данным Attrition.org, были поражены серверы NASA, одного из тайваньских производителей системных плат и Университета A&M штата Техас. Сообщают и о других жертвах, в числе которых британская компания Babel Media и строящийся сайт Siamstore.com. Сразу после обнаружения червя организация Computer Emergency Response Team при Университете Карнеги-Меллона опубликовала рекомендации по борьбе с ним. В большинстве случаев червь может быть легко удален с сервера.
Вероятны новые атаки
Другие недавние атаки на серверы Red Hat, похоже, вызваны модифицированной версией червя, которая уже не оставляет на веб-странице свое клеймо RameN Crew. Attrition.org — наиболее полный источник хакерской информации в вебе — указывает на общие особенности всех этих атак. По мнению Дикерсона, все они вызваны одним и тем же червем и следует ожидать новых.
По последним данным аналитической фирмы Netcraft, в вебе действует свыше 780 тыс. серверов под Red Hat 6.2 и 7.0. Так как используемые Netcraft методы позволяют идентифицировать всего 17% Linux-серверов, реальное число уязвимых машин может исчисляться миллионами. При столь огромном поле деятельности опасность заключается даже не в распространении самого червя, а в том, что под него, действуя теми же методами, могут маскироваться многие другие злоумышленники. «Этот червь довольно-таки безобидный, — сказал на прошлой неделе координатор службы безопасности Honeynet Project Ланс Шпицнер (Lance Spitzner). — Могло быть гораздо хуже».
Шпицнер надеется, что червь заставит администраторов и пользователей веб-сайтов изменить свое отношение к защите. «Если установить заплатки, Red Hat будет такой же защищенной системой, как и прочие», — сказал он.
|
 |
 | Expert
23 Jan 2001 6:42 PM |
| Помнится, линуксоиды представляли виросоустойчивось линукса как его главное качество. Упоминалось также, что юниксы настолько совершенно защищены что даже теоретически заразить всю систему невозможно. Ну что ж. Время показало свое. |
|
| Дмитрий - dgolub gdg.perm.cbr.ru
23 Jan 2001 8:32 PM |
2 Expert:
Неверно думают те, кто считает Unix защищенной от
всего ОС. Это такая же узколобость, как и кричать
"Microsoft придумала все, что может быть в ПО".
Первая заповедь системного администратора ЛЮБОЙ
операционной системы -- "поставил систему, ставь
заплатки". Червь использует давно известные дыры
в защите некоторых ПРИКЛАДНЫХ продуктов, все эти
дыры на сегодняшний день имеют закрывающие их
заплаты, и то, что эти заплаты не были установлены
-- это "заслуга" администраторов. С них и спрос.
Разводить же по этому поводу флеймы -- глупость.
Кстати, помнится, первый червь такого рода под
Unix появился аж в 1988 году, ежели кто не в курсе.
--
Д. |
|
| dimav
23 Jan 2001 9:06 PM |
to Expert - _linux_ защищен и вирус или червей для _linux_ сейчас нет.
А если человек с именем "эксперт" не знает разницы между linux и rh 6.2 / rh 7.0
..... то слов больше нет.
|
|
| Expert
23 Jan 2001 10:43 PM |
2dimav: Ну что ж, если вы мне ни верите то это ваше дело. Можете продолжать верить, что вирусов под линукс нет :-)))))
Уж извините за неточную формулировку и что косвенно назвал дистрибутив системой, но это ничего не меняет. Ведь, в принципе, и НТ сама по себе не заражается вирусами пока на ней вирус не запустить. А запускаются они разными способами. Можно запускать зараженные файлы на дискетах, скачивать с интернета файлы с вирусами, либо же дырявым софтом, который и представляет дыры позволяя заражать компьютеры через интернет. В любом случае виноваты программы, а ОС принципиального значения не имеет (почти). Но что это меняет? Да ничего! Я хочу сказать, что не следует орать на каждом углу о непробиваемости Линукса. Многие орали что под линуксе с этим проблем нет, вот теперь пожалуйста, полюбуйтесь, убедились, что вирусы есть везде. А уж как вирус распространяется это не имеет принципиального значения, и ваши аргументы о том что заражение через давно известные дыры не защитывается звучит по крайней мене смешно. Какая разница что страдают в основном сервера? Ведь страдают же!
ЗЫ: А если грамотно вирус написать то его никто и никогда и не заметит. Будет он себе тихонько сидеть у вас и передавать куда положено то что положено. И откуда вы знаете что таких вирусов нет? Незнание про вирус еще не гарантирует его отсутствия :-)))))) |
|
| Andrew
23 Jan 2001 11:04 PM |
| Pochemu 6.2 i 7.0 ? Da potomuchto etot chervj zarazaet toljko eti versii , hotja bagi estj vo vseh nepropachenih WUftp , no on zachemto proverjaet versiju cherez http request (vrodebi) |
|
| Val - vkalenichotmail.com
23 Jan 2001 11:48 PM |
Старая история... Есть вполне конкретные классы защиты для информационных систем. Соблюдение их сильно повышает гарантию неломаемости.
Ссылки
http://www.microsoft.com/TechNet/security/c2eval.asp
http://www.radium.ncsc.mil/tpep/library/fers/tcsec_fers.html
Не думаю, что какой-либо из Линухов когда-либо получит этот атестат зрелости. Вопрос исчерпан. |
|
| Skull - andrey_tigeri.am
24 Jan 2001 4:46 AM |
Простите за возможное интерпретирование, но
понятия "вирус" и "червь" суть разные. И если
первый (программа, запущенная на компьютере) несет
бОльшие разрушения Windows-системам, червь может
использовать методы взлома _абсолютно_ любых
систем. Так как Unix великолепно защищен от чистых
вирусов в виде программ, его и ломают в
подавляющем большинстве случаев червями. Если бы
Windows не было так просто сломать простыми
программами и троянами, то его ломали бы с помощью
червей.
P.S. минимум открытых сервисов - счастье
администратора! :) |
|
| Вкуц
24 Jan 2001 9:58 AM |
2 Skull: Ну во первых нефига хNIX не защищен от вирусов. Скажем так, под него их мало пишут.
Ну а вообще то абсолютно защищенная система абсолютно БЕЗПОЛЕЗНА.Это аксиома для любого, кто серьезно занимается безопасностью и неважно, на что защищать, неважно, какую ось... Именно в силу того, что необходимо сохранять общую функциональность среды и будут ломать и вскрывать ЛЮБУЮ операционку, любую систему безопасности и любую программу.
Корпоративные файерволы крушат, меж прочим... А они далеко не под виндами работают.
А что до вирусов и защиты от них, то до тех пор, пока есть исполняемый код, то и есть возможность его модификации. А значит и возможность написания вируса. |
|
| Alexandr - axygenpisem.net
24 Jan 2001 12:02 PM |
to Expert`s ЗЫ:
>ЗЫ: ...то его никто не заметит. Будет он себе сидеть у вас и передавать куда положено...
Ваше сообщение напомнило одну прикольную статейку
http://www.t.uz/suxx/DIRT.html
не знаю правда это или прикол, но звучит угрожающе.
особенно когда описываемые симптомы на своем компе обнаруживаешь $-)) |
|
| dimav
24 Jan 2001 2:17 PM |
одной из компонет win2000
( да и winNT начиная с какого-то SP ) является IE и еще ряд программ и dll которые невозможно "штатными, документироваными средествам" удалить из системы.
В отличии от тех серверов, которыми пользуется упомянутый в статье червяк.
И никто не мешает мне поставить эти сервера на [free]BSD, sun etc. |
|
| smth
24 Jan 2001 7:32 PM |
2 Val
вполне конкретные классы защищенности систем значится имеют отрицательную особенность: чем выше защищенность данной системы - тем больше системных ресурсов требуется для поддержания данного уровня безопасности ... та же С2 очень даже неплохо кастрирует возможности и способности НТ ... а какими силами НТ получила этот аттестат - просто не сказка, а песня ... как ни странно, вот такая фраза была найдена мной в мануале по СанОСи 90-го года выпуска "большинство технических требований для безопасности уровня С2 уже обеспечены в стандартной Юникс системе", остальные же рекомендации по ней способен выполнить даже начинающий администратор ... |
|
| Irsi - irsiextranet.ru
24 Jan 2001 9:23 PM |
2Alexandr: нда... автор этой статейки - Бред Киви, имхо псевдоним говорит сам за себя...:) Известный гонщик из компутерры...:) А све эти "симптомы" элементарно объясняются, надо только знать свою систему... и немного - историю развития писюков...:)
А спорить с линуксоидами - бесполезно. Линусь - это религия, линуксоиды - религиозные фанатики. Их ни чего не убеждает, ни черви, ни то что за прошлый год линюксь вышел на первое место по колву найденых ошибок (порядка 250 в линуксе, 200 в нте и 2к, и порядка 50ти - во фряхе... в остальных ОС - существенно меньше), ни списки hacked sites, в котрых опять лидируют серверы на линуксе... и это при том что их в инете всего около трети от общего числа... Религиозный фанатиз и присические заболевание, в данном случае пингвинофилия, не способствуют здравой оценки ситуациии...:) |
|
| Val
25 Jan 2001 12:02 AM |
| 2smth (звучит как "что-то", лучше бы уж smbd). Левша, конечно, и блоху подковал, да плохо кончил. Если Сан такой крутой, че ж он сертификата-то не получил. Гордые? Или Голые? |
|
| Skull - andrey_tigeri.am
25 Jan 2001 4:43 AM |
2 Irsi: по количеству ошибок как считали?
Суммарную по дистрибутивам или по всем прикладным
программам? Вот уж не поверю, что NT со всеми
навязанными фенечками содержит ошибок меньше: чем
в Linux ядро+libc+bash+gcc :) Дистрибутивы - не в
счет!
Интересное замечание по поводу фанатизма! Вы
всегда переходите на личности с обсуждения статьи
или это ради прикола? А может, сексуально не
удовлетворены? :) |
|
| fds
25 Jan 2001 9:24 AM |
2skull:
Вы же и перешли на личности первым... |
|
| Kilrathi
25 Jan 2001 12:46 PM |
Хотелось бы возразить:
1) по поводу защиты от вирусов: дырявой можно сделать любую систему, и Linux, и Windows, а вот защищенной из этих двоих -- только Linux.
2) по поводу сертификатов: у NT для варианта, в котором нет сетевой поддержки, действительно есть сертификат C2. Много вы можете получить от WWW сервера без подключения его к сети?
3) по поводу подсчета ошибок: в win2000 их вроде-бы насчитали около шестидесяти трех тысяч?
Или я заблуждаюсь? |
|
| Val - vkalenichotmail.com
25 Jan 2001 1:36 PM |
2Kilraty:
1) не подтверждается
2) WWW сервера вообще не сертифицируются на С2, как и любое подключаемое к Инету ПО
3) насчитали 63тыс коментариев в коде с подозрительным содержанием. Журналисты прозвали ЭТО ошибками. |
|
| Kilrathi
25 Jan 2001 2:21 PM |
1) Когда-то в internet была пара серверов специально для взлома. Один - под Linux, другой
под Win2000. При этом Linux работал вполне нормально, а Win2000 лежал почти все время. Это убедительно?
2) Предлагаю забыть о сертификатах безопасности для Microsoft.
3) Предлагаю не сравнивать системы по количеству обнаруженных ошибок. Гляньте исходники, к примеру, comsat. Это не программа, а поле боя. Там в каждой строке указание на закрытую дыру. Ну и попробуйте _теперь_ эту программу пробить! Кстати, раз уж так повернулось, ведь Microsoft эти 63 тысячи подозрительных мест просто проигнорировало, они так и остались.
4) И еще предлагаю таки разобраться где же там (в RH 6.2/7.0) были дыры дабы закрыть их навсегда. Я ведь не смогу уже перейти на Windows, возраст уже не тот, да и к хорошему быстро привыкаешь. |
|
| Val
25 Jan 2001 2:43 PM |
1) Не убедительно. Когда проводились подобные испытания по скорости вебсервера (1 на 1) и НТ обогнала Линух в разы, это - тоже не посчитали убедительным.
2) То-есть?
3) Нельзя аргументировать тем, что не формализовано. Существуют правила на наименование программ, но на виды коментариев - НЕТ. Поэтому слова в коментарии "с этим надо что-то делать" журналистами рассматриваются как скандальная новость, а программистами, как очередной коментарий (и большке ничего).
4) Не могу учавствовать по тем же соображениям но отнисительно Винды>Линух. А дырки,обычно, закрываются до следующего скачка скорострельности или победы математиков над кодом. Вообще, если есть дверь - она всегда может быть открыта/взломана/снесена/растворена. |
|
| Kilrathi
25 Jan 2001 5:22 PM |
1) Испытания проводились минимум два раза. В первом тесте специалисты Microsoft установили и NT и Linux на ими же подобранные конфигурации компьютеров. Ни один специалист по Linux в этих тестах не участвовал. После тщательной настройки NT, она показала более высокое быстодействие, чем ненастроенный Linux, установленный по дефолту. Во втором тесте участие принимали специалисты с двух сторон. В результате NT вроде бы немного проиграла по сравнению с Linux.
2) То есть сертификаты -- не более, чем рекламный трюк Microsoft и принимать его во внимание при оценке системы в реальной ситуации нельзя.
3) Согласен. Но я слышал, что была программа, ищущая неоптимальный/опасный код, и в исходниках она его нашла в 63 т мест. Так, что это -- не коментарии програмистов, а коментарии этой программы.
4) По поводу дырок -- тут обычно выигрывает тот, кто наносит первый удар. Если _сначала_ в систему проникает вирус, а потом его должен обнаружить и обезвредить антивирус, то эта система обречена. А если при попытке проникновения сама система отшивает попытки взлома, то у вируса нет шансов. Точнее есть шанс только если кто-то специально/случайно оставил незапертой дверь.
IMHO. |
|
| Val
25 Jan 2001 6:02 PM |
1) немного выиграла (50%)
2) благодаря этому рекламному трюку МС имеет любимого покупателя - провительство США. Кстати - чей трюк-то правительства или МС? Ведь сертификацией правительство занимается.
3) Нет.
http://www.zdnet.ru/News.asp?ID=1178&links=no
4) То-есть - во всем виноват человеческий фактор. Отдайте линух юзерам - и вам он разонравится (или юзеры окажутся тупые и недостойные его). |
|
| /dev/dmitry.rybakov
25 Jan 2001 6:58 PM |
Пока вы тут бодаетесь, М$ делает много $000000, и вас не спросит что ей делать.
Многие думают что компьютеры равны между собой, так вот - на равны. Одни для развлечений, другие для бухгалтерии, третью для зарабытывания денег За одни программы надо платить, за другие - не надо... можно продолжать, но не досуг, зрелые люди сами поймут, а незрелые набираются опыта в спорах.
Из всего барахла в линуксе стоит выучить несколько языков и программировать то что тебе надо, я даже автодозвонку я сам писал, что поделать тут все бесплатно. Из виндоза я пользуюсь оффисом и доволен на 100%, причем не выходя из Линукса. Winnt прекрасно работает в vmware в линуксе, и наоборот линукс работает в этом эмуляторе процессора без гвоздей. Так что все могут получить то что им надо, только не совсем нахаляву.
Вот только одного не понятно из этой каши - как делают деньги на бесплатных программах? Одни говорят на рекламе, другие говорят что так обкатываются коммерческие идеи. А как на самом деле? |
|
| Val
25 Jan 2001 7:24 PM |
На самом деле самый прибыльный бизнес - у консальтинга.
Купил/нашел ты новый софт и теперь хочешь внедрить его в своей конторе. Для этого ты звонишь в АндерсенКонсалтинг и спрашиваешь, не знают ли они, кто тебе может помочь. Поиск исполнителя (к примеру!) тебе уже вылился в 3 часа работы оператора из АК по $300 за час. После этого к тебе приходит человечек из фирмы БоряКонсалтинг и предлагает свои услуги. И т.д. Минимум троих косультантов тебе предоставят.
Вот и остановился ты на мальчике из фирмы ПромсиКо. Они удовлетворили твое самолюбие уже сделанными проектами и твой карман своим ставками ($150 за час при подряде или $2500 в месяц при сидячем консультанте). За 2 недели они сделали свое дело и, выпив с тобой кофе, ушли. Конец истории.
А вы что думали?! Как у нас - мальчик за $50 баксов в месяц с огромной тягой к знаниям?! НЕТ! И, что характерно, ИМ это выгодно ВСЕМ:
1) не нужен постоянный работник (высокооплачиваемый)
2) не надо увольнять потом работника (они очень трудно и дорогообучаемые, и очень трудноувольняемые)
3) стоимость - невысокая (наши эмигранты сбили расценки)
4) опасность для бизнеса - минимальная (делают чужие, опытные; когда сделают - внедрят)
У нас сей стиль не приживается из-за огромного парка дешевой и всюдулезущей рабочей силы. |
|
| Kilrathi
25 Jan 2001 7:25 PM |
1) Осталось определить какой из этих двух тестов ближе к реальной жизни.
2) А вот спецслужбы США выбирают Linux: http://www.cnews.ru/topnews/2000/12/28/content3.shtml
3) А как же "По оценке Microsoft 28 тыс из них могут считаться реальными проблемами"?
4) В этом виноват именно человеческий фактор. Но следствие из этого другое: если кому-то подходят решения Microsoft -- пусть используют их. Если мне нравится Linux и иже с ним, я буду использовать его, но это не означает, что так должны поступать и все остальные. По поводу юзеров: не могут они быть тупыми и недостойными. Эти понятия здесь не применимы. У юзеров свои задачи. Вот там они и могут быть тупыми или нет. И эти свои задачи они должны решать. А, то, что каждая кухарка может управляться с компьютером такой же миф как и о том, что она может руководить государством. Каждый должен заниматься своим делом. А когда админы будут кухарить, юзеры администрить систему, а кухарки управлять государством, вот тогда в стране настанет разруха. И что значит "отдайте"? GPL дает право "взять" и использовать Linux совершенно свободно. Кто-ж им не дает-то? |
|
| Kilrathi
25 Jan 2001 7:33 PM |
А деньги Microsoft теперь делает на торговле своими акциями. А Вы думали на написании софта?
Берется и покупается большая куча акций. Акции от этого, ясный пень, дорожают. Тогда эта куча продается по уже новой, бОльшей цене. И результат -- некоторая прибыль. Можно сказать из воздуха. Гляньте на finance.yahoo.com у MSFT. Сами убедитесь. |
|
| Val
25 Jan 2001 8:02 PM |
1) Никакой
2) "Linux was chosen as the platform for this work because its growing success and open development environment provided an opportunity to demonstrate that this functionality can be successful in a mainstream operating system and, at the same time, contribute to the security of a widely used system.
...
Security-enhanced Linux is not an attempt to correct any flaws that may currently exist in Linux.
...
There is still much work needed to develop a complete security solution. In addition, due to resource limitations, we have not yet been able to evaluate and optimize the performance of the security mechanisms
...
Nonetheless, we feel we have presented a good starting point to bring valuable security features to Linux. We are looking forward to building upon this work with the Linux community.
"
http://www.nsa.gov/selinux/
Газетчики, как всегда, слегка приукрасили. :(
3) «Тот факт, что в Microsoft обнаружили так много ошибок, свидетельствует лишь об особенно тщательном тестировании системы»
4) Они ЕГО боятся, потому и не берут. Самые смелые его берут, изучают, конфигурируют и становятся чиста реальными праграмерами, которые хают Паскаль, Хоара, Вирта и всех кто не с ними. Чрезвычайно обидчивы. Начинают разговор со слов "маздай!" или пророчества о скорой кончине милитаристов и победы програмерского коммунизма. |
|
| /dev/dmitry.rybakov - dim2ryahoo.com
25 Jan 2001 8:40 PM |
| Да кстати, я задавался таким вопросом - как в Линуксе сделать _аудит_файла_, то есть хочу знать кто и когда изменял файл общего пользования, это реальная нужда. В несчастном NT это делается, но мы используем Линух. Может поможете ... A? |
|
| sergey - avramovyandex.ru
25 Jan 2001 11:58 PM |
Ну что я могу сказать по этому поводу, даже в таком казалось бы фатальном случае залатать лазейку или минимизировать ущерб от этого червя, при наличии такого большого инструментария по управлению ситемой который предлагает любая UNIX подобная система, возможно за вполне приемлемые сроки собственными силами, а если у нас еще и исходники под рукой да голова на плечах не пустая, то процесс сильно сокращается.
А что мы имеем в случае с Win(добавить по вкусу)?
А в этом случае имеют нас, и весьма продолжительное время. |
|
| Val - vkalenichotmail.com
26 Jan 2001 12:35 AM |
2sergey. Как обычно, в конце - визитная карточка: "маздай".
Запомни одну простую истину: понять врага, значит - победить. А ты же относишся к сообществу людей которые настолько боятся оппонента, что даже не успевают разобраться в сути его оппозиции. Фанатизмом попахивает.
Просто попробуй понять: почему процветает твой заклятый враг, а твои друзья - чахнут и мечутся между безнадегой и агресивностью. |
|
| Shadow
26 Jan 2001 1:09 AM |
Это... А Митник вообще OpenVMS ломать собирался...
За это его и посадили... А это вам не UNIX, это на порядок круче...
|
|
| fds
26 Jan 2001 9:34 AM |
"...да голова на плечах не пустая..."
вот, кстати, очень интересная вещь. по какой-то, совершенно мне не понятной причине, господа линуксоиды считают себя *крайне* умными людьми. разбиение на классы умный-глупый совпадает у них с разбиением по используемой ОС.
|
|
| mypp
29 Jan 2001 1:29 AM |
Спорить что круче из северных OS просто глупо, т.к. каждая организация использует в своих стенах тот продукт который её в наибольшей степени удволетворяет. Да и потом уже работающие специалисты знают один продукт лучше другого, и это гарантирует более эффективную с ним работу, следовательно большие прибыли компании.
Я сам например по историческим причинам использую NT4 для File и Print Sharing, на сеть более чем 40 машин, за которыми работают не бухгалтеры а разработчики ПО. У которых аппетиты ой ещё какие.
И живёт эта NT уже 8 месяцев без перегрузки, последняя была из за профилактики этажного UPS.
А Линух (Slackware) у меня по историческим причинам живёт на HTTP, FTP, Mail, Database и X серверах, под которыми разработчики гоняют свои IDE и дебаггеры. А OpenBSD живёт на фильтре со внешней выделенки. И У МЕНЯ НЕТ ПРЕТЕНЗИЙ не к NT ни к Linux Slackware или *BSD. Так ручки кривые правте господа админы! ;-) А рассуждать у кого пи##ка длиннее оставьте господам юзверям :) |
|
|
