BMoro's Blog

Albert Einstein a zis "Universul nu se stie daca este infinit, dar prostia sigur nu are limite", zicala care se confirma zi de zi. Dar poblema nu este prostia; de la o persoana pe care nu o ajuta capul stii la ce sa te astepti, ii intelegi limitele. Problema este lenea de a gandi, lenea de a folosi organul numit creier care nu are doar rolul de a coordona sistemele organismului uman pentru a-l tine in viata. De asta m-am saturat, de aceasta lene de a gandi!
Sunt mai mult de 10 ani de cand activez in domeniul IT si continui sa primesc email chain letters si sa explic de fiecare data celor de la care le primesc care este de fapt scopul lor. Inteleg ca unii oameni sunt naivi, altii bine intentionati, altii habar nu au de tehnologiile din spatele Internetului, asta inteleg... ce nu inteleg este faptul ca nu incearca un exercitiu de gandire de maxim 2 minute in care sa citeasca si sa proceseze continutul mesajului si sa-si puna macar o intrebare asupra veridicitatii informatiei. Nu mai spun ca, in cele mai multe cazuri, o cautare pe Google ii va arata imediat ca este un hoax si, eventual, ii va explica si ce este ala.
De multe ori in zona de securitate informatica se vorbeste despre educarea utilizatorilor ca o metoda din zona proactiva; din pacate realitatea arata ca degeaba ii educi, pana nu se "ard" nu invata, asa ca sa asteptam ca incet, incet sa se "arda" cu totii?!

Conform Secunia numai 1,91% dintre toate PC-urile conectate la Internet sunt la zi cu toate update-urile. Datele au fost culese prin intermediul aplicatiei Secunia PSI instalata pe 20.000 de PC-uri. Considerand ca orice aplicatie fara ultimele update-uri este posibil vulnerabila, statistica arata astfel:

0 aplicatii vulnerabile           1,91% din totalul PC-urilor

1-5 aplicatii vulnerabile        30,27% din totalul PC-urilor

6-10 aplicatii vulnerabile      25,07% din totalul PC-urilor

11+ aplicatii vulnerabile       45,76% din totalul PC-urilor

Va sfatuiesc sa luati in considerare sfatul celor de la Secunia: “It is just as important to patch your programs against security threats, as it is to have a personal firewall and anti-virus program running!”

Operatiunea de inchidere a fost coordonata de catre Brian Krebs de la Washington Post, dar investigatia s-a desfasurat multe luni inainte, la aceasta participand mai multe organizatii din domeniul securitatii informatice, intre care: SecureWorks, FireEye si ThreatExpert. Aceste organizatii au dovedit ca McColo era principalul hoster al centrelor de comanda si control (C&C) pentru cele mai mari retele de boti:

De fapt McColo, un important ISP din California, era unul dintre principalii furnizori de “servicii” pentru criminalitatea informatica din Rusia, printre clientii sai fiind si Russian Business Network. Furtul a peste 500.000 de numere de carti de credit si debit, precum si conturi de online banking a fost posibil prin intermediul unuia dintre cei mai greu de detectat troieni, Sinowal, distribuit cu “ajutorul” serverelor hostate de McColo.

Actiunea de inchidere nu a decurs fara incidente; la trei zile dupa ce Global Crossing si Hurricane Electric au intrerupt furnizarea de servicii Internet catre McColo, organizatia FireEye a constatat ca botii din doua mari retele, Srizbi si Rustock, se conecteaza catre centrele de comanda din McColo si primesc update-uri. Acest lucru a fost posibil datorita unui contract de backup cu TeliaSonera; desi s-a intervenit rapid, noua legatura nu a putut fi suspendata decat dupa 12 ore. Din pacate, in rastimpul acestor 12 ore Rustock a reusit sa transfere o mare parte din centrele C&C in Rusia.

Cine a fost in spatele McColo? In urma unor investigatii prin diverse grupari “underground” din Rusia, se pare ca cel care a fondat McColo a fost un student de 19 ani din Moscova, pe nume Nikolai cu porecla Kolya-McColo. A fost pentru ca a murit in septembrie 2007 intr-un accident de masina in urma unei curse pe strazile din Moscova. Masina in care se afla s-a rupt efectiv in doua in urma impactului cu un stalp electric la 200km/h.

La acest moment se pare ca marile retele de boti reintra in posesia centrelor de comanda si control. FireEye a reusit sa decodeze mecanismul de fallback al Srizbi; dupa pierderea conexiunii catre McColo, malware-ul de pe botii Srizbi genereaza conform unui algoritm la fiecare trei zile un numar de patru domenii Internet cu care incearca sa comunice. Desi cercetatorii de la FireEye au inregistrat in avans doua mii de nume de domenii, la un moment dat “proprietarii” Srizbi au intervenit si au preluat controlul. Pentru scurt timp noul hoster pentru C&C Srzibi a fost Starline Web Services din Estonia. La sfarsitul lunii noiembrie Estonia CERT (Computer Emergency Response Team) a intervenit catre acest ISP pentru blocarea accesului la serverele Srizbi.

Unul din factorii decisivi in lupta impotriva retelelor de boti este colaborarea intre diversele organizatii si firme din domeniul securitatii informatice si furnizorii de servicii Internet.

Surse: Washington Post, SecureWorks, FireEye, ThreatExpert.