22:38
4/6/2014

Wbrew temu co twierdzą media zagraniczne i polskie, żaden GOZeuS ani Cryptolocker nie zniszczy świata za równo 2 tygodnie. Skąd wzięły się te plotki wśród mediów — o tym poniżej.

tumblr_lxqyysSSQ61qlvp8so1_500

Mainstream panikuje

Od rana przesyłacie nam materiał Faktów TVN, w którym Maciej Woroch opisuje “końcowe odliczanie do sieciowego armagedonu”, które ma spowodować “najnowszy cybernetyczny terrorysta – ZeuS” :-) Zobaczcie video poniżej:

http://fakty.tvn24.pl/fakty-ekstra,52/maciej-woroch-o-koncowym-odliczaniu-przed-atakiem-wirusa-zeus,435543.html

Uspokajamy, nie ma powodu do paniki. Pan Woroch najprawodopodobniej zawierzył informacjom, które opublikowały zagraniczne media, które z kolei najwyraźniej, świadomie, bądź nie, niestety wzięły udział w głuchym telefonie i z nudnej, rutynowej informacji o przejęciu botnetu zrobiły apokalipsę ;)

keep-calm-the-end-is-near-37

A jak jest naprawdę?

Wszystko zaczęło się od rzeczywiście dość sporej i spektakularnej akcji FBI, która przy współpracy Europolu oraz innych organów ścigania z 11 państw, wypowiedziała wojnę twórcom złośliwego oprogramowania dla Windows, specjalizującego się w wykradaniu pieniędzy z kont bankowych (GameOver ZeuS, P2P ZeuS) jak i Cryptolockerowi, czyli tzw. ransomware’owi — złośliwemu oprogramowaniu, które szyfruje dane użytkownika i domaga się zapłaty za ich rozszyfrowanie. O Cryptolockerze pisaliśmy tutaj, a o ZeuSie tutaj.

Miejsca infekcji ZeuS-em

Miejsca infekcji ZeuS-em

FBI wystawiło list gończy za Evgeniyem Mikhailovichowem Bogachevem, który według funkcjonariuszy ma stać za oboma botnetami (straty wygenerowane przez samego ZeuS-a szacuje się na 100 milionów dolarów)

Ale to nie wszystko, FBI pozyskało także sądowe upoważnienie do:

  • przekierowania ruchu internautów zainfekowanych ZeuS-em na swoje serwery (zapewne chodzi o redirect na poziomie DNS lub routerów ISP i tzw. sinkholing)
  • identyfikacji właścicieli komputerów zainfekowanych ZeuS-em (na podstawie adresów IP, które skorzystają z przekierowania)
  • przekazania danych osobowych zidentyfikowanych ofiar lokalnym zespołom CERT i ISP, które będą miały za zadanie poinformować ofiary, jak się “wyleczyć”. Ludzie mają dostawać od nich listy z informacją, że ich komputer jest zainfekowany.

FBI podkreśla przy tym, że przekierowanie ruchu nie pozwoli agentom na przechwycenie żadnych prywatnych danych przesyłanych przez internautów, którzy są zainfekowani ZeuS-em.

Skąd wzięły się 2 tygodnie?

Oświadczeniu FBI zawtórował komunikat Brytyjczyków z National Crime Agency, dość lakoniczny i sensacyjny — jego tytuł brzmiał “Dwutygodniowa szansa dla Wielkiej Brytanii aby zredukować zagrożenie ze strony silnego ataku komputerowego”.

Jak piszą Brytyjczycy z NCA, podjęte przez nich działania (cokolwiek miałoby to oznaczać) dają 2-tygodniowe okno czasowe, które pozwoli “pozbyć się i zabezpieczyć przed botnetem ZeuS i Cryptolocker“. Dalej jest jeszcze lepiej, Brytyjczycy każą swoim rodakom backupować pliki, zdjęcia, nagrania video, oraz upewnić się, że oprogramowanie antywirusowe jest zaktualizowane — instrukcje umieszczono na specjalnej stronie, która padła (no ale skoro są aż 2 tygodnie czasu, to NCA uspokaja i zachęca do ciągłego próbowania wejścia na tę stronę…)

No ale dlaczego właśnie 2, a nie np. 3 tygodnie? Być może sąd wydał zgodę tylko na 2 tygodniowe przekierowanie ruchu? A może domena, która była serwerem C&C i obecnie jest pod kontrolą FBI, za 2 tygodnie zmieni się, zgodnie z algorytmem malware’u na inną (której już władze nie kontrolują)? Ciężko jednoznacznie określić, jak NCA ustaliło właśnie 2 tygodnie “wolności”.

TrendMicro, które zdaje się mieć również swój udział w akcji pisze wprost, że najprawdopodobniej botnet niebawem się odrodzi i może to być nawet kwestia dni, a nie tygodni — co sugeruje, że akcja podjęta przez FBI nie jest w stanie całkowicie wyłączyć/unicestwić komunikacji botnetu.

Zeus - Jak działa?

Zeus – Jak działa?

GOZeuS wyposażony jest domyślnie w 20 IP peerów, których odpytuje, aby pobrać plik konfiguracyjny, lub — jeśli żaden z peerów nie odpowiada, GOZeuS próbuje łączyć się z generowaną przy pomocy algorytmu domeną, której nazwa zmienia się co tydzień.

Jak zabezpieczyć swój komputer?

Niezależnie od tego, jak śmieszne i nieprawdziwe są doniesienia niektórych mediów, w zasadzie każda okazja jest dobra, aby odrobinę podnieść bezpieczeństwo swojego komputera. Jak zrobić to najprościej i najłtawiej? 10 praktycznych porad, przystępnym językiem opisaliśmy w tym poradniku.

Pamiętajcie tylko, że wbrew medialnym doniesieniom, takie same możliwości ochrony przed ZeuSami i Confickerami mieliście wcześniej, jak macie teraz i mieć będziecie także w przyszłości — nawet za 2+ tygodnie. Ale oczywiście, im wcześniej zadbacie o bezpieczeństwo swojego komputera, tym lepiej.

Przeczytaj także:

31 komentarzy

Dodaj komentarz
  1. Niebezpiecznik zawsze ze zdrowym podejściem – dzięki za wyjaśnienia!

  2. Odpuszcze sobie ogladanie TVN

    “Ghostery blocked Brightcove video player.”

    https://www.ghostery.com/en/apps/brightcove

    A co do calej tej afery… Jak mawiaja medrcy w “Epoce Lodowcowej” – “Oszolomy sieja ploty.”

    Pozdrawiam.

    Andrzej

    • Warto obejrzec bowiem “wirus (…) moze rozpetac w internecie prawdziwe PANDEMONIUM”

    • @Adam
      Każdy fan Diablo II bedzie więc zadowolony. Najmilej wspominana lokacja.

  3. Pomijając wspaniałe rady, facet wspomina coś o montowaniu. A w Polsce każdy wie, że monter spóźnia się o tydzień a ostatecznie i tak przekłada naprawę na następny miesiąc. Nie ma się czego bać.

  4. Dziwi mnie ze nie ma na rynku rzadne urzadzenia ktore by pozwalao na latwe przegladanie calego ruchu z i do domwej sieci, i automatycznie blokowalo wszystko co podejrzane, a wtym samym czasie pozwalao na one-clik zablokowanie jakiegos adresu IP jak by byl pojderzany. Wydaje mi sie ze jak ludzie mogli by widziec z czym ich komputery sie lacza i maja mozliwosc zablokowanie polaczenia to bysmy widzieli mniej bootnets, trjanow itp (ale pewnie mozna by bylo za latwo reklamy blokowac :) ) I tak wiem ze kazdy domowy router ma logs, i mozna przegladac, ale to jest poprostu nie praktyczne dla zwyklego uzytkownika,

    • Zainteresuj się IDS i IPS. Takie rozwiązania istnieją i jednym z darmowych dostępnych jest np. SNORT. Co więcej praktycznie każdy duży producent ma w swojej ofercie takie rozwiązanie, a rządy swoje. W polsce jest to projekt ARAKIS.

      Samego snorta można postawić nawet na mocnym routerze z DD/OPEN-WRT, ale ja polecam konfigurację – osobna maszyna do której trafia klonowany ruch + blokowanie na routerze w efekcie komunikacji ze snortem. SNORT + SNORTSAM + np. PORT-MIRRORING.

    • “zwykły” user albo nie wie, co to jest połączenie, albo nie będzie umiał odróżnić dobrych od złych choćby z powodu przyjaźnie brzmiących domen phishingowych.
      Generalnie userom takie coś niepotrzebne, a jak ktoś potrzebuje to sobie umie zrobić samemu.

    • Są takie urządzenia. Nazywają się UTM (Unified Threat Management). Dla użytkownika domowego są jednak zbyt drogie.
      Pozatym to statystycznemu użytkownikowi nie należy powierzać decyzji czy ruch puścić czy nie, bo skąd on ma wiedzieć czy ten ruch jest dobry czy nie? Od tego są automatyczne zestawy reguł.

    • @chesteroni
      Są dostępne zarówno płatne jak i darmowe subskrypcje reguł. Nie potrzeba jakiejś super specjalistycznej wiedzy, choć ogólne pojęcie się przyda. Snort jest dostępny dla windowsa i linuxa, większym problemem jest modyfikacja softu routera.

      Lecz nie można tak czy siak powiedzieć, że nie ma takich rozwiązań. Są, problemem jest tylko prawidłowe informowanie, lub próba przygotowania rozwiązania dla klienta domowego o wyższej świadomości niż typowy użyszkodnik.

    • Kup sobie coś z CISCO albo paloaltonetworks :)

  5. Dla wyjasnienia, pracuje w Angielskiej firmie i otrzymalismy informacje od NCA 21 Maja.
    Informacja zawirala podstawowe podobne jak w artykule informacje ze chodzi o Zeusa i GameOver aczkolwiek nic o zadnym akcjach i koncu swiata itp :)
    Dodatkowo jako resellera uslug dostalismy notke aby nie alarmowac nkogo jako ze bedzie to ogloszone publicznie w dniu 30 Maja 2014. Niestety Brytyjskie media zawiodly tak samo jak i reszta europy i zrobily z tego 1wsza Cyber Wojne Swiatowa.
    Notka z oryginalnego pisma od NCA:
    Please do not alert your customers at this stage to the NCA’s involvement as may jeopardise other activty. We request that you cover any activity under the guise of customer care and support. A high profile media campaign is planned for 30/5/2014 when the existence of a global industry and law enforcement operation to mitigate the risk and encourage customers to disinfect/protect themselves will be launched.

    PS. caly pdf od NCA dostepny dla redakcji na zyczenie.

  6. Faktycznie maja racje z tymi 2 tygodniami. czemu? Za tydzien wychodza uaktualnienia do windowsa, do XP juz nie wiec na 100% pojawi sie remote code execcution na XP i Zeus to wykprzysta.

  7. ZUS… ZEUS…
    What’s the difference?
    :p

    • ZUS ma więcej świątyń i wymaga większych ofiar :)

    • Jak to jaka?
      Po pierwsze: Zakład Elektronicznych Ubezpieczeń Społecznych: zainwestowali w IT (reklamy, dostęp online… zarówno klienta do Z(E)US-u, jak i Z(E)US’u do kasy klienta);
      Po drugie: zaczęli uwzględniać postulaty ludności że Polacy ubodzy są, w związku z czym zaczęli drenować kieszenie obywateli zamożniejszych państw. :)

  8. „Evgeniyem Mikhailovichowem Bogachevem” – po polsku: „Jewgenijem Michajłowiczem Bogaczewem”.

  9. Ja tam panu Worochowi wierzę. Już biorę się za ściąganie internetu, by mi na sądny dzień go nie zabrakło. Przyjmę wiadra, bo gdzieś muszę ten internet trzymać.

  10. Cześć!
    Czy szyfrowanie całego dysku, np. Truecryptem (co do którego się wstrzymam, póki nie będzie wiadomo czy dalej jest bezpieczny) spowalnia transfery na dysku? Chodzi mi o ogólne spowolnienie komputera.
    Co w przypadku walnięcia jakiegoś sektora na zaszyfrowanym dysku? Całość do wyrzucenia lub ponownego formatu, czy też nie?

  11. …co 2 lata koniec świata – kurde kiedyś starczyło, że Internet był, teraz musi być jeszcze bezpieczny, a jak to zrobić jak ludziom wszystko jedno i nie zamierzają się uczyć ? :)

  12. znowu ten windows…

  13. Piękna rada od bezcennego pana Macieja Worocha:
    “A jeśli jak mówią ci którzy przeciwdziałają działaniom hakerów nie uda się go odnaleźć [wirusa] to może należałoby rozważyć żeby za 13 już dni dla bezpieczeństwa nie uruchamiać swojego komutera i nie łączyć się z internetem”
    Paranoja do kwardratu. Ciekawe czy pan Maciej Woroch za 13 dni stanie na swoim dziennikarskim posterunku żeby poinformować spanikowanych użytkowników komputerów, że jednak komputery można włączyć. A może w międzyczasie wyskoczą bardziej interesujące tematy np. wypadek samochodowy albo premier kupi sobie nowego psa…

    • Oglądaj dalej tvn to będziesz miał tak zlasowany mózg co woroch.

  14. ehh panika w tvn i niekompetencja redaktora (tvn)
    jak można zamontować antywirusa

  15. Używam tylko Opere czy to znaczy, ze nie muszę podnosić jej bezpieczeństwa – jest dość odporna na ataki!

  16. ToRepublic upadło?

  17. Toż to TVN.
    Że też ludzie łykają ten s*f. Nawet nie mówię o danym newsie ale o całym przekazie tej telewizji.

  18. Kurde, a ja już montowałem antywirusa :D

  19. Ja na wszelki wypadek zainstalowałem sobie dhcp na laptopie… podobno działa na takie rzeczy…

  20. […] Technika sinkholingu stała także u podstaw ostatniej międzynarodowej operacji FBI, Europolu i kilkudziesięciu krajów, które równocześnie odfiltrowały domeny używane przez ZeuS-a (brytyjskie media pisały wtedy, nie do końca rozumiejąc o co chodzi, o Armageddonie, który ma niebawem nadejść). […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.