8/6/2013
Kilka dni temu, szerokim echem odbiła się w mediach międzynarodowa operacja Microsoftu, której wynikiem było ubicie botnetu Citadel. Botnet wykradał pieniądze z kont bankowych przy pomocy złośliwego oprogramowania i sztuczek socjotechnicznych. Problem w tym, że oprócz przestępców stojących za botnetem oberwali także researcherzy, a sam Microsoft demontując botnet najprawdopodobniej złamał prawo w wielu krajach…
Microsoft ubija Citadel
Microsoft rozłożył 1400 botnetów i przejął 4000 domen (sinkhollując je na swój adres IP). Akcja odbyła się równocześnie w 80 krajach.
Microsoft przejął nie tylko domeny należące do przestępców…
Niestety Microsoft przejmując domeny, przejął także kilkaset domen, które już wcześniej były przejęte i sinkhollowane przez innych researcherów, m.in. przez ekipę abuse.ch. Po rozmowach z innymi researcherami, okazuje się, że aż 1000 domen przejętych przez Microsoft w rzeczywistości nie należało do właścicieli Citadela, a do różnch bezpieczników… Po akcji Microsoftu niestety nie będą one w stanie zbierać logów, a zatem Shadowserver przestanie informować administratorów o tym, że w ich podsieciach są zainfekowane hosty…
Microsoft nadpisuje konfigurację Citadela
Co gorsza, okazuje się, że Microsoft przez swój sinkhole serwuje poprawny plik konfiguracyjny Citadela zainfekowanym hostom, który powoduje:
- zdjęcie blokady URL serwerów firm antywirusowych (to umożliwi ich aktualizację)
- zmianę IP serwerów C&C na microsoftowe
Powyższe działanie pozornie korzystne dla użytkowników końcowych jest jednocześnie moralnie wątpliwe — od lat w świecie bezpieczeństwa trwa debata, czy mając możliwość zdalnego wykonywania poleceń na zainfekowanych komputerach powinno się je siłowo i bez zgody/świadomości właściciela leczyć?
Ryzykowna zagrywka Microsoftu i działanie wbrew prawu
Zagadnienie nie jest wcale proste, a przede wszystkim niesie za sobą ogromną odpowiedzialność i jest dość nieprzewidywalne w skutkach. Często bowiem wyleczenie komputera może spowodować jego niestabilność — co jeśli zainfekowany host odpowiadał za coś krytycznego? (np. sterowanie zwrotnicami na kolei lub pracę respiratora w szpitalu?) Kto będzie winny katastrofy? Abstrahujemy juz od tego, że zdalna zmiana konfiguracji komputera bez zgody jego użytkownika (niezależnie od jej celu) w większości krajów jest nielegalna…
Microsoft i tak ma siano by zapłacić ewentualną karę :D
Jaka kare? Naleza do PRISM to wszystko im wolno a rzad USA albo da im kase na zaplacenie albo “zalatwi” umorzenie kary…
Przede wszystkim, jeśli host sterujący zwrotnicami czy respiratorem.. jest podłączony do Internetu, lub znajduje się w sieci podłączonej do Internetu, to ktoś powinien nie tylko wylecieć z roboty, ale znaleźć się w pudle. Dalej.. jeśli taki host jest “zainfekowany”, to zapewne działa pod kontrolą systemu i oprogramowania, które… nie posiada certyfikatów dopuszczających do używania w zastosowaniach klasy Mission Critical, a więc… znowu, ktoś powinien zmienić światopogląd.. na widok zza krat. :-> Tyle komentarza, reszta się zgadza.
Również się zgadzam, że powiało onetem.
To chyba Panowie Chris i Botmonster nigdy nie bawiliście się w te tematy ;] ;]
BYĆ MOŻE niema Windowsa sterujacego krytyczna infrastruktura podpietego online tu zakladam ze niebezpiecznik po prostu chcial uwypuklic problem ale SĄ takie maszyny podpiete do sieci lokalnej !!!
Botnety niektore natomiast maja moduly p2p i to wcale nie temu niepodpietemu trzeba wydac polecenie bezposrednio bo inny windows majacy dostep do netu zassa poprawke a potem w ramach bycia lokalnym C&C pushnie ja do innych zombie w LAN.
Krotko mowiac, nie krtykujcie jak sie nie znacie ;]
Że się wtrącę… Panowie wyżej mają racje, takie struktury
jak sterownia zwrotnic itd, nie są nawet pośrednio podpięte do
internetu, tylko stanowią własny, wolny byt, do którego jedyną
drogą dostępu jest manualny dostęp. Pozdrawiam
Miscrosoft robi za internetową policję i w dodatku międzynarodową, tylko po co? Napewno MS był świadomy konsekwencji jakich za tym stoją, i możliwych dróg obrony. Jeśli tak, to cel tej operacji musiał być bardzo istotny dla MS – ze względu na ryzyko, równocześnie musi mieć przygotowaną w zanadrzu dobrą strategię obrony. A może to nie MS tylko ktoś inny? Czy sam MS potwierdził wykonanie tej operacji, czy kto mówi że to MS? Nie bardzo wiem po co MS miał by ubijać bonet, a może raczej przejmować?
Skad Microsoft mial autorytet poprzejmowac cudze domeny? Chyba czegos nie rozumiem.
W jaki sposób microsoft przejął te domeny? Jeśli
c&c znajdował się w subdomenie to skad pewność że że domena
nie była udostępniana innemu podmiotowi? (np. w systemie typu
dyndns no-ip affraid.org czy chociażby przez jakąs firmę
hostingową)? Może od razu wyłączyć całe domeny tld? Dlaczego by
rejestry domen traktować ulgowo phie? Zapewne żadna próba kontaktu
z administratorem domeny nie miała miejsca.
poczekaj pomyslmy…
Microsoft jest amerykanska firma
wspolpracuje z agencjami USA
centrum zarzadzania internetem jest w USA
hmm……..
Oj… Chris… za fakt wystawienia serwera ze zwrotnicami
do Internetu można co najwyżej wylecieć z roboty. A na niezamówioną
akcję antywirusową/test penetracyjny/kontrolę jakości
oprogramowania są już paragrafy. Niestety często firmy na
komputerach Mission Critical mają dostęp do Internetu. “Bo przecież
łatki trzeba pobrać”. “Bo przecież email trzeba czytać”. “Bo
przecież trzeba wiedzieć jaka pogoda będzie i czy nam zwrotnice nie
zmokną…”. Powodów jest milion, a tłumaczenia że w takim
środowisku trzeba dać drugiego PC z internetem niepodłączonym do
sieci technologicznej, działają tylko po widocznej na zewnątrz
wtopie. Nie wolno myśleć że moje akcje są najbardziej prawe a jak
ktoś spieprzył to nie moja wina. Bo komputer z kontrolą respiratora
działał z botnetem na pokładzie, a po chwalebnej akcji czyszczenia
internetów nagle przestał. Jeśli botnet przewróciłby ten komputer,
to do aktu oskarżenia twórców doda się jeszcze nieumyślne
zabójstwo. A co zrobić takim lekko spranym white hatom za
czyszczenie świata ze śmiertelnymi efektami ubocznymi?
Zaczynam się bać o moją kolekcje filmów xXx na mega.co.nz
;-/
W “sinkholing” jest jedno ‘l’. I inne rzeczy. Czy ktoś czyta te artykuły przed wysłaniem.
Co do tego jak przejęli domeny – zdaje sie ze współpracowali z FBI.
A może napiszecie o kontrowersjach przy dezaktywacji
botnetu Virut w Polsce? Dlaczego zajęło to lata od pierwszych
zgłoszeń? Boicie się podpaść? :-)
Pisalismy, wyszukiwarka jest w prawym górnym rogu. Nie przypominam sobie jednak, zeby wtedy przejeto sinkhole researcherow… Albo serwowano config i robiono RCE na zombie.
Pytanie bylo za trudne
Lepszy amerykański spyware niż ruski :-P
ZTC jest napisane, to zmiany poczynione przez Microsoft nie
powodowały zmian w systemie, a w konfiguracji złośliwego programu:
zdjęły kontrolę dotychcasowego C&C oraz blokadę na strony z
antywirusami. Gdzie tu nie zamówione skanowanie antywirusowe albo
zmiana konfiguracji systemu?
widze hakerzy jeszcze nie odkryli dobrodziejstw podpisu elektronicznego?
“sterowanie zwrotnicami na kolei lub pracę respiratora w szpitalu” – takich maszyn nie podłącza się do Internetu, ani nawet sieci wewnętrznych, a jeśli nawet, to nie pracują one na żadnym Windowsie, co najwyżej maszyny do celów diagnostycznych, a nie zarządzających.
[…] że Microsoft nie pierwszy raz odstawił taki numer. Dokładnie rok temu przejął ponad 4000 domen w celu walki z botnetem Citadel — a w raz z nimi część infrastruktur badawczych innych firm i niezależnych badaczy […]