BMoro's Blog

Stiu ca in comunitatea ITBoard multa lume prefera Windows-ul, dar sper sa nu se simta nimeni ofensat de un articol in care prezint cum am rezolvat o problema folosind Linux.

Am avut nevoie zilele trecute sa recuperez niste fisiere sterse de pe un USB stick (VFAT=FAT32) si pentru ca lucram in Ubuntu m-am gandit sa rezolv problema cu utilitarele native.

In primul rand am facut o imagine a stick-ului in caz ca nu-mi reuseste recuperarea si fac totul varza sa pot restaura:

dd if=/dev/sdc1 of=/home/undeva/usbimg bs=1024

(inlocuiti /dev/sdc1 cu device-ul/partitia relevanta)

Pentru ca nu sunt asa masochist incat sa scot numele fisierelor sterse din FAT cu hexdump am folosit PhotoRec, un utilitar destinat initial recuperarii fisierelor multimedia din memoriile camerelor digitale, dar care acum lucreaza cu o multime de formate: pdf, html, zip, doc, xls, mp3, etc. Un tutorial despre utilizarea PhotoRec gasiti aici.

Bineinteles daca vreti sa recuperati sisteme de fisiere/partitii sau fisiere individuale de pe HDD ar fi recomandabil sa folositi utilitarele amintite mai sus dupa ce ati boot-at de pe un CD/USB live cu o distributie Knoppix, Ubuntu, sau ce varianta Linux preferati.

Si pentru ca poate vreti si sa stergeti device-uri de stocare in asa fel incat sa fie cat mai greu de recuperat (imposibil pentru un individ fara resurse echivalente cu ale NSA) o puteti face folosi comanda shred:

shred -vfz -n 100 /dev/hda

Linia de mai sus rescrie intreg HDD-ul de o suta de ori cu zero-uri.

Echipa de la “Malware Threat Center” apartinand de SRI (fostul Stanford Research Institute, nu hulita institutie din Romania) a descoperit pe 16 februarie o noua varianta a viermelui Conficker, numita B++.

Inainte de a intra in detalii despre aceasta noua varainta trebuie spus ca se va produce o schimbare dramatica in modul de functionare al Conficker, cei care controleaza reteaua de boti (bot herders) vor putea impinge noi variante sau chiar nou cod malitios catre masinile infectate, in loc sa se bazeze pe acestea sa se conecteze la anumite domenii Internet si sa-si ia “update-urile”.

Pentru cei care nu au avut de-a face cu Conficker/Downadup voi reaminti caile de propagare:

• prima versiune, Conficker A, s-a bazat in exclusivitate pe exploatarea vulnerabilitatii MS08-67 – dupa conectarea masinii atacatoare la SRVSVC de pe masina victima, se trimite un pachet special construit care declanseaza un buffer overflow prin intermediul functiei NetPathCanonicalize, dupa care victima compromisa downlodeaza de la atacator un fisier DLL ce va fi rulat ca serviciu prin intermediul “svchost.exe”;

• Conficker B foloseste, aditional aceluiasi mecanism utilizat si de varianta A, alte doua modalitati de propagare:

  1. prin intermediul share-urilor neprotejate sau protejate cu conturi avand parole usor de spart (incearca brute force cu o lista de 240 de parole uzuale); de asemeni se copiaza pe share-urile administrative;

  2. prin intermediul drive-urilor USB, folosindu-se de “facilitatea” de AutoRun; se copiaza pe aceste drive-uri ca “autorun.inf”.

Din punctul de vedere al vectorilor de raspandire Conficker B++ nu aduce nimic nou, dar mecanismul de update este modificat. Variantele A si B folosesc ca puncte de intalnire a masinilor compromise cu cei care le controleaza cele 250 nume de domenii Internet generate zilnic in baza unui algoritm specific (similar, dar nu identic intre cele doua versiuni). Odata downloadat noul update de la una din adresele web accesate, acesta este verificat pentru a nu permite unor eventuali hijackeri sa introduca propriul cod. Creatorii Conficker au introdus un sistem de verificare al codului bazat pe semnatura digitala – dupa verificarea si confirmarea acestei semnaturi digitale codul binar este decriptat folosind un algoritm RC4.

Probabil datorita aliantei de care aminteam aici, alianta ale carei actiuni de blocare a inregistrarii domeniilor Internet de catre cei care controleaza Conficker au avut succes, creatorii acestuia au introdus in varianta B++ doua noi “facilitati”:

1. posibilitatea de a updata botii de la orice adresa web de pe Internet;

2. facilitatea ca masina infectata sa ruleze cod malitios sub forma de executabile Win32, nemaifiind limitata ca actiuni doar la reinfectarea altor PC-uri.

Cei interesati pot citi documentul cu analiza detaliata a Conficker aici, vi-l recomand cu toata caldura.

MID – Mobile Internet Device – este un nume generic pentru computere ce pot fi folosite pentru accesarea Internetului si sunt suficient de mici sa incapa intr-un buzunar.

In iunie 2008 NVIDIA anunta familia Tegra, o linie de procesoare de tipul “system-on-a-chip” (SOC), destinate device-urilor mobile, procesoare cu un consum foarte mic de energie si cu facilitati multimedia avansate.

Familia de procesoare Tegra 600 ruleaza la 650 MHz si 750 MHz, fiind capabile de decodare de semnal video 1080p si codare video 720p in timp real, de asemeni dispun de suport direct pentru WiFi, disk drives, tastatura si mouse. Desi Tegra nu pare a fi un concurent direct al Atom-ului, se speculeaza ca pozitia Intel ar putea fi amenintata cel putin pe sectorul MID. Raspunsul Intel se vrea a fi platforma SOC cu numele de cod “Moorestown”, care ar trebui sa fie lansata dupa jumatatea lui 2009.

Un alt anunt recent care va incinge competitia este cel al parteneriariatului intre NVIDIA, Google si Open Handset Alliance pentru lansarea de device-uri mobile bazate pe Tegra si Android.

Pe de alta parte LG si Intel colaboreaza in lansarea unui MID LG bazat pe platforma “Moorestown” si sistemul de operare Moblin (Linux-based). Proiectul Moblin a fost lansat de Intel ca o platforma open-source software pentru dezvoltarea de aplicatii dinamice, multimedia, care sa ruleze pe device-uri construite in jurul Intel Atom.

Sa speram ca vom ajunge cat de curand sa vedem pe piata device-uri mobile, smartphone-uri, la preturi sub 200$, conform predictiei celor de la Strategy Analytics.

Mai multi furnizori de servicii DNS, servicii Internet si firme din domeniul securitatii informatice s-au constituit intr-un grup avand ca scop blocarea raspandirii viermelui Conficker/Downadup si, in acelasi timp, prevenirea constituirii celei mai mari retele de boti (se estimeaza la 10 milioane numarul de gazde infectate).

Grupul include, printre altii, ISC (Internet Systems Consortium), ICANN, CNNIC (China Internet Network Information Center), Public Internet Registry, Microsoft, VeriSign, Symantec, F-Secure, ISC.

Obiectivul grupului este ca, pe baza algoritmului de generare a celor 250 de domenii Internet cu care Conficker incearca sa comunice zilnic pentru a primi comenzi sau update-uri, sa blocheze inregistrarea acestor domenii lasandu-l astfel fara acces la infrastructura de comanda si control (C&C).

In paralel OpenDNS si Kaspersky Lab, folosind acelasi algoritm, blocheaza accesul la cele 250 domenii Internet pentru clientii serviciului OpenDNS.

Peste toate acestea, este a treia oara cand Microsoft ofera o recompensa de 250.000 USD pentru informatii care ar duce la arestarea si condamnarea responsabililor de introducerea Conficker. Prima data recompensa a fost oferita pentru prinderea celui responsabil de Sobig, dar fara succes, a doua oara fiind primita in 2005 de catre doua persoane care au ajutat la prinderea celui care a creat Sasser.

Red Hat si Microsoft au semnat un acord pentru a imbunatati interoperabilitatea platformelor de virtualizare. Fiecare din cele doua companii va participa la programul de validare/certificare a virtualizarii al celeilalte si va furniza suport tehnic coordonat pentru clientii din zona de virtualizare a serverelor.

Cateva elemente importante ale acordului:

• Red Hat va valida guest-uri Windows Server 2003 SP2, Windows 2000 Server SP4 si Windows Server 2008 pe tehnologiile de virtualizare Red Hat Enterprise;

• Microsoft va valida guest-uri Red Hat Enterprise Linux 5.2 si 5.3 pe Windows Server 2008 Hyper-V (toate versiunile) si Microsoft Hyper-V Server 2008;

• Odata ce fiecare companie termina etapa de testare, clientii cu contracte de suport vor primi suport tehnic coordonat pentru a rula: Windows Server virtualizat pe Red Hat Enterprise Linux (RHEL) si RHEL virtualizat pe Windows Server 2008 Hyper-V;

• Acordul nu contine referiri la patente si licentiere open source;

• Acordul nu contine clauze de natura financiara, altele decat costurile standard de certificare/validare.

Acordul va aduce beneficii atat clientilor cat si partenerilor, Red Hat avand mari sanse a se impune in fata Novell, pana la acest moment Suse Linux fiind singura varianta de Linux suportata in proiecte de consolidare de servere bazate pe Hyper-V.

Detalii suplimentare aici.

Este un subiect care ar trebui sa fie cunoscut de toti cei care au tangenta cu domeniul IT, faptul ca utilizatorii care folosesc conturi administrative sunt mult mai expusi infectarii cu malware fata de cei cu conturi standard de user. Orice administrator de sistem responsabil ar trebui sa descurajeze folosirea conturilor administrative atat pentru utilizatori, dar si pentru el insusi; vedeti de pe blogul lui Andrei ce a facut Conficker.

Raportul Beyondtrust arata ca prin folosirea unui cont fara drepturi administrative ar fi putut fi eliminat sau diminuat riscul a:

• 94% din vulnerabilitatile Microsoft Office raportate in 2008;

• 89% din vulnerabilitatile Internet Explorer raportate in 2008;

• 53% din vulnerabilitatile Microsoft Windows raportate in 2008;

• 69% din totalul vulnerabilitatilor publicate de Microsoft in 2008.

Studiul a folosit informatia din buletinele de securitate Microsoft pentru a clasifica vulnerabilitatile si impactul acestora, de asemeni tot din aceste buletine s-a stabilit daca impactul vulnerabilitatii ar fi redus prin eliminarea drepturilor administrative.