Ez a számláló a poszt nézettségét mutatja. Mindenképp olvasd el ezt a posztot a részletekért.
Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (43) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Flamer/sKyWIper - Ami a hírekből kimaradt

2012.05.29. 21:19 | buherator | 3 komment

Az új sztárkártevővel kapcsoaltban tegnap megpróbáltam a CrySys által közzétett technikai részletekre koncentrálni, de a száraz tények mellett van néhány gondolat, melyekről talán érdemes szót ejteni.

A tegnapi poszt publikálásakor őszintén szólva hiányérzetem volt: nem láttam azt a momentumot, ami kiemelte volna a Flamert a kémprogramok tengeréből: Az antivírusok kikerülése kétségtelenül érdekes, de hasonló módszerekkel szinte minden kártevő él, ha nem is ilyen jól kidolgozott módon. A stuxnetes exploitokra érdekes egybeesésként tekinthetünk, de a két közösen kihasznált sérülékenységre már létezik publikus exploit is (MS10-046, MS10-061). A Lua-ban írt modulok, és a hatalmasnak számító méret (melynek egyik oka éppen a Lua szkriptmotor és a többi előre gyártott könyvtár) pedig a szofisztikáltság helyett bizonyos értelemben inkább a pofátlanságot támasztják alá - minek kódot optimalizálni, ha egy mai gépet úgysem fog meg jelentősen néhány plusz DLL. 

Méltatlankodásaimat ma némileg megtámogatták Weld Pond (az egykori L0pht tagja) twitteres kirohanásai, melyek lényegében arról szóltak, hogy a BO2K már 2000-ben rendelkezett azzal a funkcionalitással, amitől a Flamer esetében ma a fél világ el van ájulva. 

Átgondolva a dolgokat azonban azt hiszem, a kulcs nem ezekben a részletekben keresendő. Jobban mondva a kulcs valószínűleg nem a nyilvános részletekben keresendő. Hiszen naivitás azt hinni, hogy Irán, vagy akár a közreműködő biztonsági cégek minden információt megosztanak a közönséggel, ezzel ugyanis saját céljaiknak illetve ügyfeleiknek is ártanának (maga a közremúködés ténye is érdekes kérdéseket vet fel). Ahhoz, hogy kapcsolatot találjunk két kártevő között, nem feltétlenül szükséges reverse engineering, sokszor elég összevetni az érintett szervezeteket, vagy bejuttatási módokat. Ezekről a tényezőkről a nyilvánosságnak nincs érdemi információja, a vészharangokat kongatóknak viszont minden valószínűség szerint van, ezért nem gondolom, hogy okos dolog lenne vaklármát kiáltani. A sKyWIper tevékenységét egyesek összefüggésbe hozták azzal az áprilisi incidenssel, melynek eredményeként az iráni Olajipari Minisztérium lekapcsolta egyes internetre csatlakozó termináljait, mivel külső támadók "töröltek bizonyos adatokat" a rendszerből (vö. elnevezés). Hasonló háttér esetén az új kártevőt egyszerűen nem említhetjük egy lapon a hagyományos, kiterjedt fenyegetésekkel.

Végezetül szeretném felhívni a figyelmet Mikko Hypponen blogposztjára, melyben a szakértő egy vezető antivírus gyártó prominens képvisőjeként fogalmazza meg azt, amit már sokan, sokszor próbáltak hangoztatni: a legijesztőbb a Stuxnetben, a DuQu-ban és újabban a Flamerben az, hogy hosszú hónapokon és éveken keresztül voltak képesek működni anélkül, hogy a biztonsági szakértők egyáltalán észrevették volna őket. Ez pedig nem fest túl szép jövőképet.

Akit mélyebben érdekel a sKyWIper belső működése, a malware.lu-n talál mintákat (facecontrolos regisztráció után).

Címkék: gondolat irán incidens malware konteó stuxnet duqu flamer skywiper weld pond mikko hypponen

A bejegyzés trackback címe:

http://buhera.blog.hu/api/trackback/id/tr954553747

Kommentek:

A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben.

nyos 2012.05.30. 01:33:10

A regi szep idokben a kartevok meg maguktol telepultek (esetleg kisebb segitseggel). Nem kellett hozza kulon regisztralni meg letolteni..

_2501 2012.06.05. 10:05:14

"Please, Mr. Obama, hand over the source code of Duqu"

blog.crysys.hu/2012/06/stuxnet-duqu-flame-open-source-license-questions-v0/

Boldi ez hatalmas, a válásom óta nem röhögem így XDDD