Názory k článku
Červ infikující celý Internet za 30 sekund? Proč ne.

To mate opravdu vsichni takovy strach?

1) Kdyz spravce dobre nakonfiguruje system, tak je temer neprolomitelny (resp. prolomitelny snad bude, ale s takovymi casovymi a jinymi naklady, ze to nelze pouzivat ve velkem).
(Vetsina lidi to nedela, ale patri to k dobremu chovani spravcu - spustit httpd, mail daemona, ftpd, sshd, .... pod specialnim uzivatelem a dusledne oddelit sit od lokalu na disku i v pameti).

2) Spousta serveru je cracknutelnych jen proto, ze nejaky "..." prozradi heslo nejakeho uzivatele. Cracknout server s dobrym spravcem neni prace na jeden vecer (zeptejte se zkusenych hackeru a crackeru a zjistite ze priblizne 75% pruniku do systemu je diky neopravnenemu zjisteni/vyzrazeni uzivatelskeho uctu).

Zaver: Pokud mate blbeho spravce -> mate smulu :-)
Pokud mate rozumneho spravce && sami jste rozumni -> je mozne se tomu ubranit.

Bogdan

Nemyslim si ze problem bude v dobre nakonfigurovanych systemech. Dokonce si myslim ze pripadny utok muze byt tak specificky, ze zasahne napriklad pouze default instalace (a tedy nejen dobre, ale i proste nestandartne nakonfigurovany system bude v bezpeci).<BR>

Spise je tu nebezpeci vychazejici z POCTU pocitacu ktere porad budou napadnutelne. Rekneme treba ucpani site kdyby kazdy napadnuty pocitac zacal minutu po infekci vysilat nahodna data maximalni rychlosti, o moznosti ze by spustili DDoS na dobre vytipovane routery nemluve.

Po zkusenostech se vselijakými "spravci" z ruznych bankovnich ustavu a jinych statnich instituci se nikomu nedivim, ze ma obavy. Mozna Roota cte vetsina kovanych rootu, ale v praxi je dobry root spise vyjimka...

:) Ja se obavam, ze o spravci to ani tak moc neni. Exploity na linux, Irix, a jine *xy sice jsou k dispozici stejne snadno, jako na windowsy, jenze se lisi jednou podstatnou veci. Naprosta vetsina, *xovych systemu je nastavena specificky ... cili k pruniku je nutne reagovat na nespocet moznych nastaveni a to zatim v silach viru prakticky neni.
Naopak Windowsy maji tu uzasnou vlastnost, ze jsou jedno jako druhe. A sve chyby prenaseji i mezi Win platformami (mezi NT a neNT)diky aplikacim.
Takovy wormlord (doufam ze jsem to s tim pojmenovanim moc neprehnal:) jen v pohode ceka, telo viru uz ma napsane a ceka jen na nejaky pekny kulatoucky exploitek, az se objevi v konferencich, nebo si nejaky najde sam. Potom uzjen jen dopisi par radku, zkompiluji a poslou do sveta. Pripadne pouziji uz fungujici viry, do kterych jen daji novy infekcni mechanismus.
Je uplne jedno jaky je spravce, jak moc dodrzuje doporuceni vyroce, kdyz chyba je v samotnem software, kam se neda kouknout a ani vyrobce o ni nevi. Poprve se o ni dozvi v okamziku, kdy mu tou dirou nekdo vleze dovnitr, coz uz zavani sluvkem pozde. Neni mozne predvidat, ze se objevi ta a ta chyba v IIS, zvlaste kdyz se nejedna jen o diry v ISS. I kdyz by IIS opatchoval tak, aby bylo vazne bezpecne, tak budto se brzy najde jina dira nova, nebo proste IIS uz treba nebude plnit svou funkci webserveru. Proto jsou pro cervove utoky nejvhodnejsi windoze. Do toho softu clovek proste nevidi a nikdy nevi kde to uderi. A je zrejme, ze byt rychlejsi, nez pripraveny wormlord ... je pro 99,9% spravcu proste nemozne:) O ostatnich uzivatelich (pokud nemaji to neskonale stesti, ze sedi za slusnym firewallem) nema smysl mluvit, jsou bez sance.

Ja jen rikam, diky bohu za Windowse, s jejich 95% instalaci na svete, protoze pak je mozne povazovat internet za zcela zavirovany, aniz by se to dotklo jedineho Linuxu ... a hlavne ... script-kiddies a dalsi maji o zabavu postarano a nepokouseji se otravovat na Linuxu a Unixech.

Microsoft a s tim souvisejici vsechny veci je treba brat s velkym odstupem.
Tak treba v clanku zmineny nazor ze strany Microsoftu, ze by se nemely zverejnovat zname chyby. A co udelal Microsoft, kdyz byl letos na jare k nim nekdo 14 dni pripojen. Preprogramoval IIS ?
To je prece vse postavene na hlavu. Hackeri maji zdrojove kody, antivirove firmy nejspise ne - a Microsfot nema nikoho, kdo by rekl, kde neosetrili vsechny varianty v cyklu, kde zapomneli zkontrolovat delku promenne atd.

Bohuzel, situace neni ani zdaleka tak ruzova jak si myslite.
1) defaultnich intalaci linuxu (redhat, suse, netreba vyjemnovavat) je na netu opravdu hodne. A nevim jak vy, ale ja znam nejemne 3 'party' script-kiddies kteri se zabyvaji vyhradne infikovanim defaultnich redhatu :)

2) existuje i hodne chyb ktere nejsou zavisle na instalaci (napr. sendmail, bind, ssh) ktere jsou wormy napadany daleko casteji nez defaultni instalace.

3) co se tyce uzivatelu tak vetsina unix-desktopovych uzivaetlu ktere tvori nezanedbatelene procento unix komunity presli prave z windows a jejich moralka je timpadem stejna - ha infikoval mne worm. preinstaluju system a tim to konci.

Takze zavisi predevsim na administratorech/uzivatlich samotnych. Ano, jiste, situace u opensource je prece jenom lepsi - vetsinou dodany patch jsou 1-3 radky oprav, a celkova zalezitost patchovani je nepomerne pruhlednejsi. U closed-source programua by se clovek bal
jestli ten .exe neni nahodou nejaky vir sam o sobe, popr. co ten patch v systemu zase rozbije resp. 'opravi' :)

A kdo se chce opravdu bat, at si precte "I don't think I really love you" od lcamtufa.

Jak jsem ten popsi cet, tak vam mne prepadla takova chut to napsat sam, abych videl jak to tak nadherene funguje :)))

Nie tak nahlas, lebo Vam nebude oznameny cas ani hodina...:-)

Z ciste akademickeho hlediska by me to velmi zajimalo. IMHO kdyby to napsal profik, tak tech 30 sekund je zbytecne moc:) Pokud byste se do toho chtel pustit, od cehoz vas timto odrazuji:), tak doporucuju prvni z dokumentu, ktery jde technicky mnohem vic do hloubky. Rozhodne ale jako nicivy naklad pouzijte maximalne nejaky hezky vtip.

uff uff

jak by rekl velky incu cuna :))

vy si tu klidne chlastate, rekl by Zbrozek z policejni akademie od Izera. Jde na mne hruza. Samy terorismus, DOS, backdoor a u nas jeste korupce, mafie a ted jeste tohle - za 30 minut konec internetu.

upsal jsem se ... ne minut ale vterin. Jen abyste mne nechytali za slovo

Tak by se teda zastavily počítače, nefungovaly by banky, supermarkety by neprodávali, letadla by nelétala, televize by taky nefungovala (buď vůbec, nebo by jenom hlásili co všechno nefunguje).
Ale stromy by se stále zelenaly (bělaly), ptáci by zpívali, bylo by více času na povídání a sex.
To už si bez těch počítačů nikdo neumí svět představit?
Vždyť tu ještě před deseti pátnácti lety skoro vůbec nebyly, a stáří internetu (v podobě v jaké jej známe nyní) nějakých 7 let!
Jediná teoretická hrozba by byla u nějakých samočiných útočných systémů, ale ty kvalitní má (ze států které využívají internet) jenom amerika a dovnitř se tam nic nedostane, protože síť je úplně oddělená od venku.
Jinak bez jídla vydržíme nějakých 50 dní, bez vody 5 (ale ta je všude, i když třeba špinavá) a za tu dobu by to někdo spravil.
Rozdíl mezi dnem D-1 a "Dnem poté" je ten, že by vzrostla moc zemí, kterých se to vůbec nedotklo - celá afrika, větší část asie a jižní ameriky, část evropy.
P.S.: Myslím si dokonce, že by to mohlo být ještě horší. Nejen, že by červ automaticky během okamžiku zničil veškerá spojení, navíc by ve druhé fázi šířil své klony a zamezil tak jakémukoliv léčení a navíc by vznikaly další klony, které napadají i dříve nenapadené systémy. A řešením by pak bylo velmi drahé, de-facto antivir na všech páteřích a překontrolování každého paketu a tedy i podstatné snížení rychlosti na přepínačích (místo do první až třetí by museli šahat do 4 až 6 vrstvy, podle inteligence viru.
Navíc by mohl virus mutovat (jak manuálně, tak automaticky) a tak by jeho šíření bylo jako sinusoida, vyléčíte a začne to znova s jinou verzí.
Pakliže se potvrdí vaše teorie, že jsou MS softy více napadnutelné, pak by to pro MS mohlo znamenat i smrt. Obávám se, že by se na něj svalila i spoluodpovědnost za ztráty (triliardové).
Ale nemyslím si, že je na tom MS OS hůře. Řešení jeho chyb je totiž podstatně jednoduší (pakliže existuje). Protože prostě existuje konečné číslo verzí win - 95/98/nt/2000/xp, a dohromady tak 30 service packů.
Zatímco jak už tady bylo řečeno UNIXy jsou každý jiný a tak neexistuje pro ně nějaký service pack, každá chyba je potřeba nalézt a odstratit zvlášť a u každé verze kernelu či přibaleného software jinak.
Zde je jediný nevýhoda UNIXů, a velmi by záleželo, na co všechno by se worm soustředil.

Dokazes si predstavit Prahu v zime, kde nefunguje topeni, elektrina, plyn, netece voda. Nejezdi mestska doprava? Pohoda?

Praha bez tepla a vody mi je ukradena. Stejne bych se nedozvedel, jak to v Praze vypada. Nebyly by noviny, radio, televize. Mozna ani elektrika.

Me by ten zivot lakal. Kdyz to zvladli nasi predci, tak to snad zvladneme i my. Hleda se sikovny wormlord, uz me tenhle zivot nebavi...

Myslim, ze tento clanek, ktery jsem dokazal docist asi do poloviny, nez me jeho vypovidaci hodnota primela napsat tento prispevek, patri do kategorie utopie pro teenagery. Sem spadaji i prispevky o strojich, ktere v konstantnim case lamou vsechny sifry do 30 sekund. Slova "vsechny" a "30 sekund", jsem si vypujcil ze clanku. Divim se, jak muze tolik lidi skocit na veci, ktere lze selskym rozumem oponovat.

PS: Verite na UFO?

podminky, uvedene v clanku, byly uspesne simulovany a pro tu nejrychlejsi variantu cerva skutecne staci pul minuty na napadeni celeho internetu.

Za urcitych podminek lze vse. Ovsem jsou ty podminky dostatecne realne? Za urcitych podminek dokaze 1ml jiste kapaliny otravit celou planetu, ale prakticky nelze zajistit, aby si kazdy obyvatel planetu vzal z toho 1ml tech par atomu, ktere privodi jeho smrt. Myslite, ze je toto dostatecne polopaticky primer, ktery pochopi i hugo? Uvidime, co napise...

Mily Hugo:), bez urazky.
Autori clanku to maji samozrejme osahane. Osetrili to stanovenim pocatecnich podminek. Vyberou se takove exploity, ktere budou nejucinnejsi. Infikovany cely internet znamena ... ze infikuji rekneme 90% vsech pocitacu s danym exploitem. Vyberou vhodny okamzik a poslou spravny pocet cervu. Nerikam, ze by to bylo jednoduche, ale take neni nikde receno, ze by to musel delat jeden clovek a ze by nemohli vyslat 20typu cervu, aby pokryli co nejvic typu der v ruznych systemech.
Clanek popisuje schema, ne konkretni realizaci, coz neni ani zadouci.

Jsou problemy s casovymi pasny, jsou problemy s nahodnym dropnutim podstatne casti master cerva, problemu je nespocet, ale ...

... vsecko by zalezelo jen na autorech. Na tom, jak kvalitne by provedli domaci pripravu, nez by vyslali cerva na divoko.

Pokud na ne lze selskym rozumem oponovat, proc jste nenapsal alespon jeden duvod, proc to podle Vas neni mozne. V clanku je napsan princip, muzete se na nej v klidu vrhnout a pomoci dukazu ho rozcupovat, ale placat veci jako "verite na UFO", to neni zadny dukaz.

Vazeny pane, jiste znate slovo hulvat, kterym Vas zajiste Vasi pratele casto castuji. Nedivim se tomu. Ja se podobnych impertinenci jako neco "placat" nedopustil, a pokud Vase inteligence nestaci na slusne chovani a je jen urazena z toho, ze v necem nevidi praktickou nerealizovatelnost, mrzi mne to za Vas.

Jednim z faktoru je, ze vir, ktery by byl schopen pojmout tolik "der" nelze efektivne a prakticky napsat. Viz. projekty NESSUS atp., ktere o toto snazi. Timto Vas odkazuji na jejich velikost, neustalou neuplnost a velkou miru "nekvality".

Myslite, ze to byla opravdu adekvatni reakce na sloveso "placat"? Nebo jen mlzite? Mrzi mne za Vas, ze Vase ego nestaci na to, aby jste se povznesl nad tak prizemni problem :(

Proc mi Vas argument "nelze efektivne a prakticky napsat" nepripada jako vecny a verohodny? (uvadeni projektu, ktery to neumi, je irelevantni). Jestli to nebude tim, ze tech "nelze" jsem predtim, nez to slo, slysel priliz mnoho...

CICS pod MVS nebyl dosud za 25 let (údajně) prolomen. A v něm také může být WWW-server.
Zkráceně, bakelitové počítače, o který se dosud Hugo pouze doslechl, ty by se možná daly hodně chytrým virem všechny hacknout.
Ale tak za 30 dní, ale pouze za předpokladu, že by se nejprve hacknuly úplně všechny barevné šunky, ze kterých se na větší počítače propojují správci. - I když, možná by některý z nich byl barvoslepý a tak by zachránil Internet i celý svět.

CICS mozna prolomen nebyl zato DOS na nem dokazu udelat temer kdykoli :) Trvalo mi asi dva dny co sem ten system poznal nez sem ho sundal - a to vsechno bez toho ze bych na nem mel ucet. Takze - bezpecnej ten system mozna je, ale stabilni moc neni (samozrejme se to neda srovnavat s nicim co bezi na PCckach, mluvime o poradnejch systemech).

Vzdycky me stve jak dlouho trva nez se projevi zmeny v DNS, nebylo by vuubec spatny kdyby se zaznamy distribuovaly dle tohoto principu =)
A az by nekdo hacknul dulezity DNS tak bysme meli vsichni padla =)

Pořád je tu řeč o Windows a Unix, ale co třeba AS/400, nebo S/390. 90% procent počítačů o kterých mluvíte, znamená 10% výkonu a 1% důležitosti. Když někdo složí běžný web server, mail, nebo PC nějakého amatéra tak se nepřestane topit, jezdit doprava, fungovat banky atd. Ten kdo tyhle bláboly píše neví o čem je řeč. Každý opravdu důležitý stroj je od internetu oddělený právě něčím, co se může složit třeba třikrát denně. Už vidím jak nějaký amatér píše virus pro dobře spravovanou AS/400 a ten zcela automaticky pronikne do opravdu chráněných systémů a nakazí jich půl milionu.