Pull to refresh
Comments 82
Прочитав «Легенды вирусостроения», невольно подумал, что тема о пандемии, но дочитав название, обрадовался, что сегодня на хабре появилось что-то интересное, а не уг.

Спасибо за замечательную статью, с удовольствием почитал. %)
Ничего, еще пару лет и появится «живая» легенда вирусостроения. Надеюсь, сегодняшняя «легкая паника» с пока еще естественной мутацией гриппа позволит встретить будущую искусственную во всеоружии и без особых потерь. По крайней мере, сюрпризом это уже не будет, так что запасайтесь файрволами, господа.
Оу, сам Джони Ли Миллер!? Это вы сыграли zero cool, прототипом которого был Моррис? :)

(фильм hackers, если кто не помнит)
Помним, но Как показывает практика Miller довольно распространенная фамилия особенно в британии, так что совпадение имени это просто совпадение, тем более у него Lee второе имя =)
Я надеюсь, вы не о червяке из «Лабиринта»?
Прочитал с удовольствием, спасибо, побольше бы таких статей.
… суд приговорил его к трём годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ…
Парня посадили, а если бы не он все могло бы быть по другому...©
Можно еще отметить, что за своего червя товарищ Моррис получил 3 года условно и штраф в 10500 долларов.
Кстати, очень полезно прочитать молодежи, у которых «вирусов под UNIX/Linux не может быть паапридилению!»
Кто вас тянул за язык? Вам холивара мало в интернете? Вы сравниваете 1988 и 2009 года…
А что, многое поменялось в «юниксе» 1988 и 2009 года?
"-Рак мозга?
— Мозг рака!"

Раскажите мне о поддержки сети в винде 2.0 выпущенной в ноябре 1987 г ))))
Какое это имеет отношение к обсуждаемой теме?
Прямое. Могу дать один намёк, в виде встречного вопроса: «А что, многое поменялось в винде 1988 и 2009 года?»
«в винде поменялось» — все. В отличие от UNIX.
Всё изменилось? Прям всё? Оно и видно, ага:

Как тянулись сопли из ДОСа — так и тянутся.
Вы ещё попробуйте создать файл с именем «con» или «prn». Ой, не получается? Так это имена досовских псевдоустройств, не положено такие имена иметь обычным файлам %)

Про то, что в никсах ничего не изменилось с 1988 года — даже комментировать не буду. Вы явно не использовали юникс-системы даже 5 лет назад, а значит просто сотрясаете воздух :)
«Для проникновения в компьютеры вирус использовал как алгоритмы подбора пароля (см. ниже), так и „дыры“ в различных коммуникационных программах»

Что-то в этом кардинально изменилось? Пароли подбираются по прежнему, те или иные дыры в софте по прежнему есть и появляются новые.
Все гениальное — просто. Готов прозакладывать шляпу, что сисадмины времен Червя тоже были абсолютно уверены в том, что такое у них на Юниксе ну просто невозможно. :-|
Я уверен, что сейчас админы, использующие в качестве серверов Windows уверены что это самая безопасная система и что её невозможно взломать. Взломать можно все, АБСОЛЮТНО все. Компьютерные системы создают люди, а человеку свойственно ошибаться. Взломать можно даже кипятильник, вопрос только в том, что из этого можно получить. Просто под Windows каждый день появляются сотни вирусов, а раз в пару месяцев появляются достаточно сильные вирусы, которые поражают огромное число компьютеров. Благодаря своей архитектуре, а также тому, что код является открытым (до выхода нового релиза какого-то ПО исходный код читают тысячи людей и находят в нем дыры, которые исправляются еще ДО релиза) дыр в Linux\Unix системах гораздо меньше, но они все-равно есть.
> Я уверен, что сейчас админы, использующие в качестве серверов Windows уверены что это самая безопасная система и что её невозможно взломать.

Я не знаю откуда у вас такая уверенность, но ни один из множества моих знакомых админов Windows так не считает.
Вирусов (и пандемий) под линуксом нету потому что у виндовс единый дистрибутив, а у линуксов — зоопарк. Слишком сложно учесть всё.
Да ладно вам, все из апстрима берут одно и то же.
в таком случае были бы вирусы для наиболее популярных дистрибутивов вроде Ubuntu
молодой человек. Вы были сисадмином в 1988 году? я еще в пиленках ползал, поэтому судить о том времени не берусь. Но давайте просто рассуждать логически. Давайте просто посмотрим на кол-во вирусов, троянов, степень защиты ОС основанных на UNIX c 1988 по 2009 год. А в частности покажите живые вирусы за 2009 год.
Внимательно прочитайте строку «Червь пытался использовать программу запуска удаленного интерпретатора rsh для атаки других машин с полученным именем и паролем текущего пользователя либо вообще без аутентификации, если атакуемая машина «доверяла» данной.» Вот вам степень защищенности и опыт сисадминов.
Ну я начал сисадминить, вот именно что тем, что называется сегодня «сисадминить», году с 92, если я правильно помню дела прошлые.
Ну это ладно, не будем «толщиной канала меряться».

С количеством «вирусов, троянов и прочей нечисти» все обстоит очень просто, чтобы понять достаточно посмотреть на процент подключенных к сети компьютеров с той или иной OS.
Если раньше, во времена Червя Морриса, UNIX-like OS были практически единственными OS в сети, то сейчас ситуация ровно обратная.
Сегодня писать вирусы для какой-нибудь VMS или Solaris, в общем, бесмысленно, для достижения сколь-нибудь заметного эффекта.

Вот, собственно, причина распространения вирусов именно для Windows, а не для какой-нибудь QNX.

А что с паролями ситуация обстоит по прежнему массово плачевно показывают периодические массовые взломы какого-нибудь Вконтакте.

Или вы искренне считаете, что пользователи UNIX из какой-то другой п… ды рождаются и в других школах-университетах учатся, чем владельцы паролей sexsexsex или johnsmitpa$$?

Отсюда вывод — если бы масса пользовательских UNIX-компов была бы достаточно велика, мы бы имели и масовых локальных рутов, и пароли типа выше названных. То есть, по сути, повторение ситуации с Червем.
И только полная немассовость пользовательских UNIX-систем пока мешает сколь-нибудь значительной эпидемии. И ниаких мистических «апридилений».
Хоть это не модно на хабре, кроме поставленного плюса ещё и отпишусь. Полностью согласен.
Хм… интересно, в качестве паролей программы на brainfuck'е сойдут? :)
Вы опять вспоминаете былые 80-е, и сравниваете их с сегодняшним днем, мол раньше так было и сейчас будет так же если захотеть, это троллинг и не хочу ввязыватся в спор, все что вы перечислили (и я в том числе) есть в интернете, поэтому отвечу коротко:
Вы хотя бы с 1992 (не считая 1988) следили за развитием Офтопика и к примеру Линукса. Как повышалась степень защиты и т.п. Как в винде админ — пользователь по умолчанию с пустым паролем (вроде начиная с висты пустой пароль запрещен, не знаю точно)?
П.С. я не админ, но разницу в усточивости Линукса перед офтопиком понимаю.
Линукс (и БСД) хоть и имеют меньше %, но на них крутятся банки, биржы и т.п. что для кардеров просто оочень лакомый кусок, но для винды даже школьник скачавший троян, поправив его немного, может получить приличный ботнет, дырки в котором не закрываются принцыпиально, мол программеры не могут разобратся в своем коде… хотя хакер с отладчиком его разобрал…
П.П.С давайте не будем сравнивать стень устойчивости Юниксов и офтопика, разница между ними громадная.
>Как в винде админ — пользователь по умолчанию с пустым паролем (вроде начиная с висты пустой пароль запрещен, не знаю точно)?

Уж не знаю, кто там где был запрещён в Висте (не видел её), но буквально на прошлых выходных ставил Вин7 «на посмотреть». Ничего не менял, в «систему безопасности» не лез, всё по дефолту.
Картина маслом: при попытке записать что-нибудь, например, в папку «Program files», вылезает окошко «Вам нужны привилегии администратора для записи в эту папку», а после нажатия на «ОК» (никакого пароля не спросили!) всё прекрасно записывается. В лучшем случае это является следствием пустого пароля. В худшем… я даже не знаю. «Вам сюда нельзя. Но если хочется — то можно».
Да, кстати, при этом меня не пустили в «C:\Documents and Settings\User\Application Data», сказали «У Вас недостаточно прав на просмотр этого каталога». Вот такая вот охрененная безопасность: нельзя посмотреть свои собственные настройки, зато можно писАть в Program files %)
Не надо ставить популярные в интернете «сборки» с отключенным или «потвиканным» «для удобства» UAC.
В нормальной W7 как и в Vista UAC работает так, как полагается.
При запуске каждого екзешника — «А Вы уверены, что хотите его запустить?»
При установке каждой программы — «А Вы уверены, что хотите разрешить этой программе модифицировать данные на Вашем компьютере?»
При попытке программы велезти в сеть — «А Вы точно хотите разрешить ей вылезти в сеть?»

И это — «потвиканный для удобства»? Тогда я боюсь даже представить, что же там в оригинальном, не «потвиканном»… о_О
Не надо грязи. В Windows 7 UAC работает точно также, как sudo сами знаете в чем, и появляется по тем же поводам.
Где Вы «грязь» увидели? Я всего лишь перечислил ситуации, в которых воочию наблюдал диалоги UAC. Если Вы считаете, что это «грязь» — то я её всего лишь констатирую :)

И уж тем более не нужно сравнивать с sudo: получив пароль, скажем, для установки программы, второй раз он не запросится. Обойдётся одним-единственным разом.
А с UAC, если инсталлер вдобавок к основным действиям предполагает получение чего-либо из сети — то диалог вылезет 3 раза: первый раз при запуске экзешника, второй раз при попытке доступа в сеть, третий раз при модификации реестра (или куда там нынче конфигурацию пишется).
Так что «не надо грязи» ©
> А с UAC, если инсталлер вдобавок к основным действиям предполагает получение чего-либо из сети — то диалог вылезет 3 раза:

1. И это правильно.
2. Кривые программы — давить, возможно даже и таким жестоким способом. «Понабрали по объявлениям»

PS. В W7 UAC _сильно_ поправили.
Тем самым Вы как бы признаёте, что заявление «в Windows 7 UAC работает точно также, как sudo сами знаете в чем, и появляется по тем же поводам» не соответствует действительности?
Если у вас от этого что-то удлиннится — то конечно признаю, я с удовольствием сделаю вам приятное :D
Я вообще готов что угодно вам признать, если вы меня вежливо попросите. ;)
Удлинниться-то не удлиннится, но вот то, что разговор приобретёт более осмысленный оттенок — факт.
Вот натолкнулся:
www.xakep.ru/post/18040/default.asp
посмотрите дату поста… даже в те времена уже смеялись над «вирусы под линукс» ))
Ну вот еще вспомнилось: Мобильники распространены? какие ОС самые распространенные, и сколько живых вирусов под них?
Короче, когда будут вирусы под Линукс, БСД, тогда и пишите =)
Ссылка на журнал Ксакеп это безусловно убийственный аргумент, даже не знаю чем крыть. Еще можно найти что-нибудь на ЛОР-е, или, до кучи, на башорге, и тоже прислать ;)
Автор статьи даже не отличает доллар от фунта… =\
Ну вот потому они и не выживают под никсами, что никсоиды хорошо усвоили урок Червя.
«Не выживают». Давайте-давайте. Веруйте. До следующего Червя.
Бред, сейчас не Черви, а эксплойты, дыры залатываются быстрее чем находятся. И вообще — юниксы того времени — blob-ware, а сейчас open-source в основном, в их модели разработки меньше прорех )
Вот это точно бред, сейчас черви пишутся и плодятся куда круче чем раньше взять хотя бы недавнего зверя — Conficker…
Conficker, also known as Downup, Downadup and Kido, is a computer worm targeting the Microsoft Windows operating system that was first detected in November 2008

не спорю, в применении к Венде.
Под юникс ничего серьезного с того самого червя и не было
а что там выживать сложно чтоли? на большенстве серверов нет IDS а бывает и фаервола. ClamAV ставится аще всего только для проверки почты. 1 удаленный эксплойт и возможно локальный рут эксплойт и вот вам второй моррис. считаю дело времени
Сейчас уже не делают вирусы просто чтобы всё сломать. Вирусы пишут для зарабатывания денег. Поэтому, большинство троянов крадут пароли и рассылают с заражённой машины спам. И основная задача — остаться незамеченным. «Второй великий червь» просто никому не выгоден и не нужен.
я не говорю ни о зарабатывании денег ни о том чтобы всё порушить. черьвь морриса давал слишком большую нагрузку и это был его баг а не цель. я о том что комунибудь может прийти в голову идея сделать это Just For Fun или ради эксперимента
Вы это расскажите владельцам ботнетов, сложно сделать выживаемый в Линуксе троян или нет.
Или еще лучше сделайте свой троян, я его протестирую на своей тачке.
естественно если вы знаете что у вас троян или червь то вы его найдете. но червь может сидеть тихо и допустим делать 1 попытку взлома в 10 минут.
я не про какогонибудь конкретно взятого админа а про большую их часть. для того чтобы большенство админов не заметило ничего просто не нужно сильно драть ресурсы и сетевой трафик, не палиться в процессах. скаже прикрепленный сошник к какомунибудь демону.
откуда у меня или у обычного пользователя Линукса появится сошник с трояном внутри?
А еще лучше как сделать так, чтобы он работал на любой системе (архитектуре, дистрибьютиве, других дефолтных настройках, к примеру ключи монтирования, файловая система).
И да кстате, тред о червях, а это еще интереснее. Червь должен распространятся сам, любым способом, и остатся в системе (если червь нацелен именно на Юникс, а не использует его как перевалочный пунк).
в ядре линукс 10 миллионов строк. нужесли вы думаете что там нет критических уязвимостей под которые можно написать удаленный эксплойт. а если мы возьмем ещё демоны SSH, FTP, HTTP? теоретически можно собрать пачку эксплойтов и зашить в червя(мы же всётаки про червя говорим). насчет переносимости. если брать только линукс как самую распространенную систему то можно и одним бинарником с минимум зависимостей обойтись. если нужна переносимость в риделах POSIX можно собирать из сурсов, загруженных шеллкодом. либо вобще делать червя полостью на sh. вариантов море. естественно это всё теория ненадо так воспринимать…
Ага-ага.
То есть руткиты это в ведомстве Гейтса придумали, чтобы UNIX очернить, да, и это фантастика и выдумки?

А скомпрометированные ключи подписей, и зараженные пакаджи соответственно, это мне почудилось?

А совсем недавняя история с фальшивыми «кодеками под MacOS» это тоже не в вашем мире?
О виндовых вирусах тоже будет написано позже и не мало :)
Ооо… OneHalf вспоминаю со скупой мужской слезой, первый вирус с которым я столкнулся :) однако-ж всетки насколько он был хорош, задумка шифровать пользовательские данные данные — это нечто.
Это был вирус, по которому мне дали первый мой ник :)

Было за что

/me смущенно ковыряет сандалетой пол
Вы его написали или Вы просто послужили причиной заразы всех окружающих? ;)
Поначалу думали первое, потом оказалось второе. У меня в ту пору было штук 40 пятидюймовых дискет, на которых этого Ваньхальфа было… немало.

К тому же в том месте стояла сеточка, по ней активно гамились в netwars, вирь активно гулял по сетке и в уже зараженных файлах себя не находил (он же полиморфный), заражая их еще раз.

Когда эпидемию лечили, народ очень дивился, как это в netwars.exe док находит по 7-8 экземпляров мирно (? О.о ) сосуществующего вируса.
UFO landed and left these words here
UFO landed and left these words here
Холиварить на тему под какую систему вирусов больше не стоит, тогда вирусы писали под никсы потому что они были больше распространены и только, тоже самое сейчас с виндами, если никсы отвоюют большую чем сейчас долю рынка доля вирусов под никсы так же вырастет. Количество вирусов и популярность системы напрямую коррелируют так что спор бессмысленен, на мой взгляд, а админам еще раз посоветую побольше паранойи в работе и все у вас будет хорошо.
Да ну? Сравните серверный сегмент рынка. Винда там не валяется. И где вирусы? 2 с половиной malware, которые не работают.
На серверном сегменте рынка потери данных идут за счет других факторов. Насколько я могу судить — за счет человеческого.

Большая защищенность на одном участке заставляет злоумышленников искать слабые места на другом.

Это я к тому, что вирус — инструмент.
Вы могли бы по ссылкам посмотреть — я в конце ссылаюсь на главу из этой книжки

— Подробный разбор устройства Червя

так что ваши обвинения в плагиате бессмысленны и обидны, хотя если вы не можете отличить эти статьи, то значит вы сами не очень внимательно читали ту самую книжку, которой щеголяете.
Никаких обвинений в плагиате я не выдвигал. Книжкой не щеголял. Читал я её как раз таки внимательно, в бумажном варианте, именно поэтому зацепился за дословные фразы из книги.

Ссылки — ссылками, а прямое цитирование стоит выделять. Или так и скажите, что это просто компиляция из разных источников.
Это в любом случае компиляция — меня там не было и с червем Морриса я лично не боролся.
Нужно в VMWare поставить несколько субжей, и запустить туда того червя :)
Первое что читал про это «произведение» это отчет отслеживания развития вируса с поминутной распиской распространения и масштабы нанесенного вреда за период действия. 4 страницы логов тогда очень впечатлило. случаем не знаете где можно найти его? а то я сам не помню где видел. может кто сталкивался?
UFO landed and left these words here
>Дополнительная возможность отладочного режима заключается в том, чтобы посылать сообщения,
>снабженные программой-получателем, которая запускается на удаленной машине и осуществляет
>прием сообщения. Эта возможность, не предусмотренная протоколом SMTP, использовалась
>разработчиками для отладки программы и в рабочей версии была оставлена по ошибке.
Мда… Думал только в политике историю переписывают, а оказывается ещё и в ИТ…

Не было никакой «ошибки» по которой «оставили». Эрик специально сделал в сендмейле backdoor, чтобы было проще перекомпилировать мегапочтомонстра без пинания админа. Каждый раз, когда Эрику нужно было скомпилировать сендмыл, ему требовалось разрешение админа, т.к. у него не было рутовых прав, а сендмылу они были ой как нужны. А когда его это достало, то врисовал только ему известную дырку и молчок. А Моррис заметил. Молодец.

Надо было ещё тогда прибить сендмыл. Но Бернштайн был ещё маленький для кмыла…
Only those users with full accounts are able to leave comments. Log in, please.