Открыть список
Как стать автором
Обновить

Комментарии 82

Познавательно. Спасибо.
Прочитав «Легенды вирусостроения», невольно подумал, что тема о пандемии, но дочитав название, обрадовался, что сегодня на хабре появилось что-то интересное, а не уг.

Спасибо за замечательную статью, с удовольствием почитал. %)
Ничего, еще пару лет и появится «живая» легенда вирусостроения. Надеюсь, сегодняшняя «легкая паника» с пока еще естественной мутацией гриппа позволит встретить будущую искусственную во всеоружии и без особых потерь. По крайней мере, сюрпризом это уже не будет, так что запасайтесь файрволами, господа.
Зачетный Ковер-Арт =)
Джабба-панк
Оу, сам Джони Ли Миллер!? Это вы сыграли zero cool, прототипом которого был Моррис? :)

(фильм hackers, если кто не помнит)
Помним, но Как показывает практика Miller довольно распространенная фамилия особенно в британии, так что совпадение имени это просто совпадение, тем более у него Lee второе имя =)
Я надеюсь, вы не о червяке из «Лабиринта»?
Прочитал с удовольствием, спасибо, побольше бы таких статей.
Что автору сделали? ;)
… суд приговорил его к трём годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ…
Парня посадили, а если бы не он все могло бы быть по другому...©
Можно еще отметить, что за своего червя товарищ Моррис получил 3 года условно и штраф в 10500 долларов.
there are two kinds of sysadmins: paranoids and losers.
Кстати, очень полезно прочитать молодежи, у которых «вирусов под UNIX/Linux не может быть паапридилению!»
Кто вас тянул за язык? Вам холивара мало в интернете? Вы сравниваете 1988 и 2009 года…
А что, многое поменялось в «юниксе» 1988 и 2009 года?
"-Рак мозга?
— Мозг рака!"

Раскажите мне о поддержки сети в винде 2.0 выпущенной в ноябре 1987 г ))))
Какое это имеет отношение к обсуждаемой теме?
Прямое. Могу дать один намёк, в виде встречного вопроса: «А что, многое поменялось в винде 1988 и 2009 года?»
«в винде поменялось» — все. В отличие от UNIX.
Всё изменилось? Прям всё? Оно и видно, ага:

Как тянулись сопли из ДОСа — так и тянутся.
Вы ещё попробуйте создать файл с именем «con» или «prn». Ой, не получается? Так это имена досовских псевдоустройств, не положено такие имена иметь обычным файлам %)

Про то, что в никсах ничего не изменилось с 1988 года — даже комментировать не буду. Вы явно не использовали юникс-системы даже 5 лет назад, а значит просто сотрясаете воздух :)
«Для проникновения в компьютеры вирус использовал как алгоритмы подбора пароля (см. ниже), так и „дыры“ в различных коммуникационных программах»

Что-то в этом кардинально изменилось? Пароли подбираются по прежнему, те или иные дыры в софте по прежнему есть и появляются новые.
Все гениальное — просто. Готов прозакладывать шляпу, что сисадмины времен Червя тоже были абсолютно уверены в том, что такое у них на Юниксе ну просто невозможно. :-|
Я уверен, что сейчас админы, использующие в качестве серверов Windows уверены что это самая безопасная система и что её невозможно взломать. Взломать можно все, АБСОЛЮТНО все. Компьютерные системы создают люди, а человеку свойственно ошибаться. Взломать можно даже кипятильник, вопрос только в том, что из этого можно получить. Просто под Windows каждый день появляются сотни вирусов, а раз в пару месяцев появляются достаточно сильные вирусы, которые поражают огромное число компьютеров. Благодаря своей архитектуре, а также тому, что код является открытым (до выхода нового релиза какого-то ПО исходный код читают тысячи людей и находят в нем дыры, которые исправляются еще ДО релиза) дыр в Linux\Unix системах гораздо меньше, но они все-равно есть.
> Я уверен, что сейчас админы, использующие в качестве серверов Windows уверены что это самая безопасная система и что её невозможно взломать.

Я не знаю откуда у вас такая уверенность, но ни один из множества моих знакомых админов Windows так не считает.
Вирусов (и пандемий) под линуксом нету потому что у виндовс единый дистрибутив, а у линуксов — зоопарк. Слишком сложно учесть всё.
причин этому, разумеется, куда больше
Да ладно вам, все из апстрима берут одно и то же.
в таком случае были бы вирусы для наиболее популярных дистрибутивов вроде Ubuntu
молодой человек. Вы были сисадмином в 1988 году? я еще в пиленках ползал, поэтому судить о том времени не берусь. Но давайте просто рассуждать логически. Давайте просто посмотрим на кол-во вирусов, троянов, степень защиты ОС основанных на UNIX c 1988 по 2009 год. А в частности покажите живые вирусы за 2009 год.
Внимательно прочитайте строку «Червь пытался использовать программу запуска удаленного интерпретатора rsh для атаки других машин с полученным именем и паролем текущего пользователя либо вообще без аутентификации, если атакуемая машина «доверяла» данной.» Вот вам степень защищенности и опыт сисадминов.
Ну я начал сисадминить, вот именно что тем, что называется сегодня «сисадминить», году с 92, если я правильно помню дела прошлые.
Ну это ладно, не будем «толщиной канала меряться».

С количеством «вирусов, троянов и прочей нечисти» все обстоит очень просто, чтобы понять достаточно посмотреть на процент подключенных к сети компьютеров с той или иной OS.
Если раньше, во времена Червя Морриса, UNIX-like OS были практически единственными OS в сети, то сейчас ситуация ровно обратная.
Сегодня писать вирусы для какой-нибудь VMS или Solaris, в общем, бесмысленно, для достижения сколь-нибудь заметного эффекта.

Вот, собственно, причина распространения вирусов именно для Windows, а не для какой-нибудь QNX.

А что с паролями ситуация обстоит по прежнему массово плачевно показывают периодические массовые взломы какого-нибудь Вконтакте.

Или вы искренне считаете, что пользователи UNIX из какой-то другой п… ды рождаются и в других школах-университетах учатся, чем владельцы паролей sexsexsex или johnsmitpa$$?

Отсюда вывод — если бы масса пользовательских UNIX-компов была бы достаточно велика, мы бы имели и масовых локальных рутов, и пароли типа выше названных. То есть, по сути, повторение ситуации с Червем.
И только полная немассовость пользовательских UNIX-систем пока мешает сколь-нибудь значительной эпидемии. И ниаких мистических «апридилений».
Хоть это не модно на хабре, кроме поставленного плюса ещё и отпишусь. Полностью согласен.
Хм… интересно, в качестве паролей программы на brainfuck'е сойдут? :)
Вы опять вспоминаете былые 80-е, и сравниваете их с сегодняшним днем, мол раньше так было и сейчас будет так же если захотеть, это троллинг и не хочу ввязыватся в спор, все что вы перечислили (и я в том числе) есть в интернете, поэтому отвечу коротко:
Вы хотя бы с 1992 (не считая 1988) следили за развитием Офтопика и к примеру Линукса. Как повышалась степень защиты и т.п. Как в винде админ — пользователь по умолчанию с пустым паролем (вроде начиная с висты пустой пароль запрещен, не знаю точно)?
П.С. я не админ, но разницу в усточивости Линукса перед офтопиком понимаю.
Линукс (и БСД) хоть и имеют меньше %, но на них крутятся банки, биржы и т.п. что для кардеров просто оочень лакомый кусок, но для винды даже школьник скачавший троян, поправив его немного, может получить приличный ботнет, дырки в котором не закрываются принцыпиально, мол программеры не могут разобратся в своем коде… хотя хакер с отладчиком его разобрал…
П.П.С давайте не будем сравнивать стень устойчивости Юниксов и офтопика, разница между ними громадная.
>Как в винде админ — пользователь по умолчанию с пустым паролем (вроде начиная с висты пустой пароль запрещен, не знаю точно)?

Уж не знаю, кто там где был запрещён в Висте (не видел её), но буквально на прошлых выходных ставил Вин7 «на посмотреть». Ничего не менял, в «систему безопасности» не лез, всё по дефолту.
Картина маслом: при попытке записать что-нибудь, например, в папку «Program files», вылезает окошко «Вам нужны привилегии администратора для записи в эту папку», а после нажатия на «ОК» (никакого пароля не спросили!) всё прекрасно записывается. В лучшем случае это является следствием пустого пароля. В худшем… я даже не знаю. «Вам сюда нельзя. Но если хочется — то можно».
Да, кстати, при этом меня не пустили в «C:\Documents and Settings\User\Application Data», сказали «У Вас недостаточно прав на просмотр этого каталога». Вот такая вот охрененная безопасность: нельзя посмотреть свои собственные настройки, зато можно писАть в Program files %)
Не надо ставить популярные в интернете «сборки» с отключенным или «потвиканным» «для удобства» UAC.
В нормальной W7 как и в Vista UAC работает так, как полагается.
При запуске каждого екзешника — «А Вы уверены, что хотите его запустить?»
При установке каждой программы — «А Вы уверены, что хотите разрешить этой программе модифицировать данные на Вашем компьютере?»
При попытке программы велезти в сеть — «А Вы точно хотите разрешить ей вылезти в сеть?»

И это — «потвиканный для удобства»? Тогда я боюсь даже представить, что же там в оригинальном, не «потвиканном»… о_О
Не надо грязи. В Windows 7 UAC работает точно также, как sudo сами знаете в чем, и появляется по тем же поводам.
Где Вы «грязь» увидели? Я всего лишь перечислил ситуации, в которых воочию наблюдал диалоги UAC. Если Вы считаете, что это «грязь» — то я её всего лишь констатирую :)

И уж тем более не нужно сравнивать с sudo: получив пароль, скажем, для установки программы, второй раз он не запросится. Обойдётся одним-единственным разом.
А с UAC, если инсталлер вдобавок к основным действиям предполагает получение чего-либо из сети — то диалог вылезет 3 раза: первый раз при запуске экзешника, второй раз при попытке доступа в сеть, третий раз при модификации реестра (или куда там нынче конфигурацию пишется).
Так что «не надо грязи» ©
> А с UAC, если инсталлер вдобавок к основным действиям предполагает получение чего-либо из сети — то диалог вылезет 3 раза:

1. И это правильно.
2. Кривые программы — давить, возможно даже и таким жестоким способом. «Понабрали по объявлениям»

PS. В W7 UAC _сильно_ поправили.
Тем самым Вы как бы признаёте, что заявление «в Windows 7 UAC работает точно также, как sudo сами знаете в чем, и появляется по тем же поводам» не соответствует действительности?
Если у вас от этого что-то удлиннится — то конечно признаю, я с удовольствием сделаю вам приятное :D
Я вообще готов что угодно вам признать, если вы меня вежливо попросите. ;)
Удлинниться-то не удлиннится, но вот то, что разговор приобретёт более осмысленный оттенок — факт.
Вот натолкнулся:
www.xakep.ru/post/18040/default.asp
посмотрите дату поста… даже в те времена уже смеялись над «вирусы под линукс» ))
Ну вот еще вспомнилось: Мобильники распространены? какие ОС самые распространенные, и сколько живых вирусов под них?
Короче, когда будут вирусы под Линукс, БСД, тогда и пишите =)
Ссылка на журнал Ксакеп это безусловно убийственный аргумент, даже не знаю чем крыть. Еще можно найти что-нибудь на ЛОР-е, или, до кучи, на башорге, и тоже прислать ;)
www.osp.ru/cw/2003/17/64064/
это оригинал в рунете, в буржуйсконете оригинал не искал
Автор статьи даже не отличает доллар от фунта… =\
Ну вот потому они и не выживают под никсами, что никсоиды хорошо усвоили урок Червя.
«Не выживают». Давайте-давайте. Веруйте. До следующего Червя.
Бред, сейчас не Черви, а эксплойты, дыры залатываются быстрее чем находятся. И вообще — юниксы того времени — blob-ware, а сейчас open-source в основном, в их модели разработки меньше прорех )
Вот это точно бред, сейчас черви пишутся и плодятся куда круче чем раньше взять хотя бы недавнего зверя — Conficker…
Conficker, also known as Downup, Downadup and Kido, is a computer worm targeting the Microsoft Windows operating system that was first detected in November 2008

не спорю, в применении к Венде.
Под юникс ничего серьезного с того самого червя и не было
а что там выживать сложно чтоли? на большенстве серверов нет IDS а бывает и фаервола. ClamAV ставится аще всего только для проверки почты. 1 удаленный эксплойт и возможно локальный рут эксплойт и вот вам второй моррис. считаю дело времени
Сейчас уже не делают вирусы просто чтобы всё сломать. Вирусы пишут для зарабатывания денег. Поэтому, большинство троянов крадут пароли и рассылают с заражённой машины спам. И основная задача — остаться незамеченным. «Второй великий червь» просто никому не выгоден и не нужен.
я не говорю ни о зарабатывании денег ни о том чтобы всё порушить. черьвь морриса давал слишком большую нагрузку и это был его баг а не цель. я о том что комунибудь может прийти в голову идея сделать это Just For Fun или ради эксперимента
Вы это расскажите владельцам ботнетов, сложно сделать выживаемый в Линуксе троян или нет.
Или еще лучше сделайте свой троян, я его протестирую на своей тачке.
естественно если вы знаете что у вас троян или червь то вы его найдете. но червь может сидеть тихо и допустим делать 1 попытку взлома в 10 минут.
я не про какогонибудь конкретно взятого админа а про большую их часть. для того чтобы большенство админов не заметило ничего просто не нужно сильно драть ресурсы и сетевой трафик, не палиться в процессах. скаже прикрепленный сошник к какомунибудь демону.
откуда у меня или у обычного пользователя Линукса появится сошник с трояном внутри?
А еще лучше как сделать так, чтобы он работал на любой системе (архитектуре, дистрибьютиве, других дефолтных настройках, к примеру ключи монтирования, файловая система).
И да кстате, тред о червях, а это еще интереснее. Червь должен распространятся сам, любым способом, и остатся в системе (если червь нацелен именно на Юникс, а не использует его как перевалочный пунк).
в ядре линукс 10 миллионов строк. нужесли вы думаете что там нет критических уязвимостей под которые можно написать удаленный эксплойт. а если мы возьмем ещё демоны SSH, FTP, HTTP? теоретически можно собрать пачку эксплойтов и зашить в червя(мы же всётаки про червя говорим). насчет переносимости. если брать только линукс как самую распространенную систему то можно и одним бинарником с минимум зависимостей обойтись. если нужна переносимость в риделах POSIX можно собирать из сурсов, загруженных шеллкодом. либо вобще делать червя полостью на sh. вариантов море. естественно это всё теория ненадо так воспринимать…
Ага-ага.
То есть руткиты это в ведомстве Гейтса придумали, чтобы UNIX очернить, да, и это фантастика и выдумки?

А скомпрометированные ключи подписей, и зараженные пакаджи соответственно, это мне почудилось?

А совсем недавняя история с фальшивыми «кодеками под MacOS» это тоже не в вашем мире?
О виндовых вирусах тоже будет написано позже и не мало :)
И про oneHalf пожалуйста тоже ;-)
Ооо… OneHalf вспоминаю со скупой мужской слезой, первый вирус с которым я столкнулся :) однако-ж всетки насколько он был хорош, задумка шифровать пользовательские данные данные — это нечто.
Это был вирус, по которому мне дали первый мой ник :)

Было за что

/me смущенно ковыряет сандалетой пол
Вы его написали или Вы просто послужили причиной заразы всех окружающих? ;)
Поначалу думали первое, потом оказалось второе. У меня в ту пору было штук 40 пятидюймовых дискет, на которых этого Ваньхальфа было… немало.

К тому же в том месте стояла сеточка, по ней активно гамились в netwars, вирь активно гулял по сетке и в уже зараженных файлах себя не находил (он же полиморфный), заражая их еще раз.

Когда эпидемию лечили, народ очень дивился, как это в netwars.exe док находит по 7-8 экземпляров мирно (? О.о ) сосуществующего вируса.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Я рад, спасибо за внимание!
Холиварить на тему под какую систему вирусов больше не стоит, тогда вирусы писали под никсы потому что они были больше распространены и только, тоже самое сейчас с виндами, если никсы отвоюют большую чем сейчас долю рынка доля вирусов под никсы так же вырастет. Количество вирусов и популярность системы напрямую коррелируют так что спор бессмысленен, на мой взгляд, а админам еще раз посоветую побольше паранойи в работе и все у вас будет хорошо.
Да ну? Сравните серверный сегмент рынка. Винда там не валяется. И где вирусы? 2 с половиной malware, которые не работают.
На серверном сегменте рынка потери данных идут за счет других факторов. Насколько я могу судить — за счет человеческого.

Большая защищенность на одном участке заставляет злоумышленников искать слабые места на другом.

Это я к тому, что вирус — инструмент.
Вы могли бы по ссылкам посмотреть — я в конце ссылаюсь на главу из этой книжки

— Подробный разбор устройства Червя

так что ваши обвинения в плагиате бессмысленны и обидны, хотя если вы не можете отличить эти статьи, то значит вы сами не очень внимательно читали ту самую книжку, которой щеголяете.
Никаких обвинений в плагиате я не выдвигал. Книжкой не щеголял. Читал я её как раз таки внимательно, в бумажном варианте, именно поэтому зацепился за дословные фразы из книги.

Ссылки — ссылками, а прямое цитирование стоит выделять. Или так и скажите, что это просто компиляция из разных источников.
Это в любом случае компиляция — меня там не было и с червем Морриса я лично не боролся.
Нужно в VMWare поставить несколько субжей, и запустить туда того червя :)
Первое что читал про это «произведение» это отчет отслеживания развития вируса с поминутной распиской распространения и масштабы нанесенного вреда за период действия. 4 страницы логов тогда очень впечатлило. случаем не знаете где можно найти его? а то я сам не помню где видел. может кто сталкивался?
НЛО прилетело и опубликовало эту надпись здесь
>Дополнительная возможность отладочного режима заключается в том, чтобы посылать сообщения,
>снабженные программой-получателем, которая запускается на удаленной машине и осуществляет
>прием сообщения. Эта возможность, не предусмотренная протоколом SMTP, использовалась
>разработчиками для отладки программы и в рабочей версии была оставлена по ошибке.
Мда… Думал только в политике историю переписывают, а оказывается ещё и в ИТ…

Не было никакой «ошибки» по которой «оставили». Эрик специально сделал в сендмейле backdoor, чтобы было проще перекомпилировать мегапочтомонстра без пинания админа. Каждый раз, когда Эрику нужно было скомпилировать сендмыл, ему требовалось разрешение админа, т.к. у него не было рутовых прав, а сендмылу они были ой как нужны. А когда его это достало, то врисовал только ему известную дырку и молчок. А Моррис заметил. Молодец.

Надо было ещё тогда прибить сендмыл. Но Бернштайн был ещё маленький для кмыла…
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.