10:03
17/1/2014

Producent Windowsa sięgnął po tak drastyczne środki, aby ograniczyć rozprzestrzenianie się botnetu Sefnit. Microsoft twierdzi, że nie ma nic przeciwko oprogramowaniu anonimizującemu TOR. Zresztą większość z zainfekowanych pewnie nawet nie zdawała sobie sprawy, że ma zainstalowanego TOR-a na swoim komputerze…

Sefnit atakuje

Od momenu wykorzystania TOR-a przez Sefnita, liczba użytkowników tej anonimowej sieci wzrosła z ok. 1 miliona do aż 5,5 milionów. To przeraziło developerów TOR-a — gdyby bowiem botnet zaczął wykonywać ataki na sieć TOR (a nie tylko wykorzystywał ją do anonimizacji ruchu), stwarzałoby to ryzyko dla ochrony tożsamości użytkowników TOR-a.

Wzrost i spadek klientów TOR-a

Wzrost i spadek klientów TOR-a

W październiku 2013 liczba użytkowników jednak spadła do 2 milionów. Właśnie po wybiciu Sefnita z Windowsów. Ale do dziś mało kto wiedział, jak udało się to osiągnąć…

Microsoft się broni

Microsoft ma możliwość zdalnego wymuszenia usunięcia oprogramowania z komputerów Windows podłączonych do internetu o ile mają zainstalowany Windows Essentials (darmowy antywirus od Micorosoftu, który jednak trzeba samemu świadomie zainstalować). To właśnie ten mechanizm wykorzystano do usunięcia Sefnita.

Ale Sefnit tak naprawdę sam strzelił sobie w stopę. Gdyby jego twórcy nie wykorzystali TOR-a, pewnie mało kto zwróciłby uwagę na ten botnet. Jednakże szybujące w górę statystyki użytkowników TOR-a wzmogły czujność, tej wyczulonej na wszelkie sygnały społeczności…

Jak ujawnia jeden z pracowników Mirosoftu, jest mało prawdopodobne, aby przy akcji czyszczenia Sefnita usunięto TOR-a niezainfekowanemu użytkownikowi. Sefnit bowiem instalował TOR-a w dość specyficzny sposób — i tylko te instalacje usunięto. Co, biorąc pod uwagę zmniejszenie “wrogich” maszyn w sieci TOR, tak naprawdę było działaniem na korzyść TOR-a. Dodatkowo, klient TOR-a wykorzystywany przez botnet posiadał błędy bezpieczeństwa i nie był w stanie się aktualizować — a więc Microsoftowi powinno się jak najbardziej podziękować za ten ruch.

PS. Warto pamiętać o tej “mocy” Microsoftu. Zwłaszcza, jeśli macie Windows Essentials i skonfigurowaliście swój Windows do automatycznego połączenia przez TOR-a. Pewnego dnia, wasz komputer może go, na życzenie Microsoftu, odinstalować a wy do internetu wyjdziecie bezpośrednio – myśląc, że jesteście anonimowi ;)

Przeczytaj także:

44 komentarzy

Dodaj komentarz
  1. Nazwa darmowego antywirusa od MS to chyba Microsoft Security Essentials (komentarz do skasowania po korekcie)

  2. Na szczęście ja tego gówna (Essentials) nie używam. @Zed, teraz chyba zmienili na Windows Essentials, o ile mnie pamięć nie myli.

    • Ta… słownictwo na poziomie portalu technologicznego

    • gówno nie gówno, chyba wolałbym, żeby mi M$ wywalił lewego tora niż nieświadomie być częścią lewego botnetu…

    • * lewackiego botnetu ;)

    • @mrX: lewego, tak; gorzej jeśli tego, którego sam sobie zainstalowałem. Microsoftowi łatwo byłoby się wytłumaczyć z takiej “pomyłki”, nie sądzisz?

    • @Nijna Dlaczego nie używasz Linux’a do łączenia się z TOR’em? M$ przestanie Ci przeszkadzać ;)

  3. Tak po za tym, miał być art o omijaniu antywirów wczoraj wieczorem. Gdzie on?

  4. Ekscytujacy tytul, nudny artykul.

    • i glupi komentarz

  5. A ja używam – jeżeli klient nie chce płacić za komercyjne rozwiązanie to przynajmniej takie zabezpieczenie będzie miał.

    • Tyle że jest pełno dobrych darmowych antywirów. Jak np. AVG albo inna Avira.

    • AVG – płatny, darmowa wersja próbna na 30 dni
      Avast – darmowy ale tylko w zastosowaniach domowych, klient (indywidualny) musi sam pobrać licencję
      Avira – podobnie jak avast
      essentials – darmowy do stosowania w biznesie (kiedyś posiadał klauzule że do max 10 stanowisk na jedną firmę) i działa całkiem sprawnie
      immunet – na bazie clamav

    • AVG Free – Darmowy, hm, darmowy, nadal darmowy i nadal to
      avg.

  6. A może jakieś szczegóły jak skonfigurować „swój Windows do automatycznego połączenia przez TOR-a”? Bo przeglądarkę łatwo skonfigurować, ale cały system operacyjny???

    • Autostart programiku, który cały ruch z kompa przepuści przez TOR-a? Jestem laikiem, ale to chyba aż takie niemożliwe nie jest xD

    • Nie da się.

    • Po pierwsze – Google Ci wyłączyli?
      Po drugie – TOR na routerze, obojętnie czy sprzętowym czy programowym (np. linux na wirtualce obsługujący routing).
      Po trzecie – TAILS, WHONIX.

    • Mu chyba chodzi o to by wszystko (łącznie z grami)
      przechodziło przez tora, w co wątpię by było możliwe.

  7. “Antywirus usunął wirusa”
    Tak mógłby brzmieć tytuł tego artykułu i byłby bardziej rzetelny.
    Jedyne zastrzeżenie można by (artykuł nie zdradza czy tak było) mieć gdyby zrobił to bez pytania użytkownika w sytuacji gdy był skonfigurowany do pytania użytkownika co robić z wirusami.

  8. AVG jest w wersjach zarówno płatnych jak i darmowych(nie mówię tutaj o wersjach próbnych płatnego avg), bez ograniczenia czasowego. Sam często instaluję AVG na komputerach znajomych.
    Natomiast co do essentiala, nie jest to zły antywirus. Na pewno lepsze to niż nic :)

    • Czy na pewno taki lepszy, skoro zawiera backdoora?
      Kwestią czasu jest, zanim ktoś rozgryzie ten magiczny mechanizm usuwania oprogramowania i wykorzysta go w prywatnym celu. Jak masz szczęście – naukowego, jak nie – zarobkowego/terrorystycznego/pedofilskiego.

  9. Szkoda, że w windows 8 jest już wbudowany “windows defender”, który zawiera essentiala i jakoś specjalnie nie trzeba go instalować.

    • Cytat z zagranicznego forum: “Defender won’t automatically
      enable itself again, so you’re left unprotected from the
      viruses”… Chodzi o to, że gdy wgrasz sobie jakiegoś antyvira to
      później, wiesz co…

    • Nie, Windows Essentials zawiera Windows Defender; nie
      odwrotnie.

  10. @Sławek ale możesz go wyłączyć, sam się też dezaktywuje jak
    postawisz cokolwiek innego.

  11. A wszystkie dywagacje o skuteczności Essentials na
    podstawie wizerunku marketingowego.

    • Nie, wszystkie dywagacje na temat Essentiala są z powodu tego, że zrobił go Microsoft.

      Por. General Protection Fault, BSOD, http://www.youtube.com/watch?v=UjZQGRATlwA, z nowszych rzeczy, Microsoft wraz z Intelem (por. WINTEL) tak zrobił UEFI, że aby zainstalować jakiś normalny system trzeba go hackować (szczególnie jeśli sam sobie jądro kompilujesz albo jesteś deweloperem Haiku/WHONIX/*BSD/ReactOS/FreeDOS/innego systemu).

    • Oczywiście chodziło mi o to, że UEFI trzeba hackować, nie system (tamten komentarz wciąż czeka na akceptację)

  12. Ja uzywam Kaspersky Internet Security. Chyba
    dobry.

    • Chyba. Oczywiście to, że pan Kaspersky jest byłym agentem KGB nie ma znaczenia.

  13. Niestety wiele antywirusów kasuje np. sterowniki do
    starszych urządzeń – wygląda to tak, jakby chciano wymusić kupno
    nowego sprzętu lub skończył się abonament na bazę wyjątków
    algorytmu heurystycznego. Z tego, co pamiętam miałem takie
    przypadki: – Avast/NOD + “Copy utility” Plusteka UT24. Tzw.
    Evo.gen. – Avast + starsze sterowniki Synaptica – Evo.gen.
    Specjalnie był na tym komputerze starszy sterownik (?8.35?), bo
    nowszy nie potrafił obsłużyć scrolla. – NOD + “Action Manager”
    Plusteka U12 = podręcznikowy błąd alokacji pamięci z jak najgorszej
    strony (AM zapycha całą pamięć). – NOD + sterowniki do którejś ze
    starszych plujek Epsona (kasuje DLLkę, którą sterownik XPkowy
    instaluje z katalogu Win2000, wykrywa wirus generyczny). Tylko XP
    SP2, na XP3 ten sterownik i tak pracować nie chce. – NOD + jedna
    wersja IOmegowego Guesta. Najdawniejszy przypadek, nie pamiętam
    która.

    • Spróbuj przeskanować stare płyty cd-action :-) zobaczysz ile wirów i skąd się tam wzięły po tylu latach…

    • cool story bro.

    • @Cal Akurat mam kolekcję płyt, z których robiłem obrazy.
      Większość alarmów to “generyki”. Lecą pliki spakowane EXE-pakerami
      oraz niektóre instalatory. Jak plik SCR ma własne funkcje
      instalacyjne to będzie na pewno jakiś “.gen” lub “.susp”. To są
      “punkty zaczepienia” dla większości antywirusów by uznać plik za
      podejrzany.

  14. Czy ten ostatni akapit na pewno ma sens? Przecież jak mamy puszczony ruch przez proxy które nagle zniknie to zobaczymy błąd, a nie magicznie wyjdziemy. No chyba że przeglądarka będzie miała jakiś mechanizm failsafe. Z tego co wiem firefox tego szczęśliwie nie posiada.

    …ale może się po prostu nie znam

    • Skoro MS moze usunąć jakieś oprogramowanie, to może też podmienić config przeglądarki, albo odtworzyć domślnego paca ;)

  15. Nikt nie wpadł na pomysł, że sam TOR może być narzędziem
    szpiegującym ?? Po co analizować cały Internet (fb, fora itd) skoro
    można samego TOR’a. Większość ludzi korzystających z niego chce coś
    ukryć – najczęściej coś mocno nielegalnego. Dla służb to znacznie
    większa szansa trafienia :)

  16. Usuneli, bo pewnie im zaciemial ruch w TORe, czyli jego latwa inwigilacje. Przy takim bajzlu w pakietach pewnie ich systemy podsluchu zapychaly sie smieciem. Jestem na 99% pewny takiego scenariusza.

  17. Szanowna Redakcjo, piszemy Tor a nie TOR, nigdzie tak pisanego akronimu na stronach projektu nie ma. To nie puryzm językowy lecz poprostu prawidłowa nazwa. https://www.torproject.org/about/overview.html.en

  18. Proponuję Linux i konfigurację na własne potrzeby jak komuś się podoba. Lub ulepszenie Wine na Linux. Tak by nie zacinał się tylko działał płynie. Windows, solaris, OS, Android i inne komercyjne produkcje kiedyś padną razem z ich twórcami. Bo ludzie nie lubią chamstwa i podglądania ich co robią z telefonem:)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.