gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Ataque massivo do vírus SOBIG.F e Blaster
Contribuído por scorpio em 05-09-03 9:23
do departamento these little annoying thingies...
Internet Anonimo Cobarde escreve "É impressão minha ou estamos a assistir a um (senão o maior) ataque de vírus enorme? Este SOBIG.F anda a mexer demasiado com a Internet. A empresa onde trabalho já vai com cerca de 300 mails recebidos diariamente só deste vírus...e com tendência a aumentar. Mas o que se passa??? "
[scorpio: Realmente, se altura houve em que a frase "I told you so" fez sentido, o aparecimento dos SObig e Blaster é uma delas. Com correcções disponíveis há muito tempo, a culpa vai para a filosofia com que se encara os updates, e esperemos que faça repensar a escolha de plataformas em algumas situações. Aqui há dias, era uma repartição de finanças que "tinha o sistema em baixo, por causa dos vírus". Conheço quem tenha passado pelo mesmo na EDP. Será que as pessoas acabam por se habituar a, de tempos a tempos, terem de lidar com problemas de vírus, e não se lembram de cortar o mal pela raiz?]

Nova geração de Sharp Zaurus | Microsoft chega a acordo com a Be  >

 

gildot Login
Login:

Password:

Referências
  • Mais acerca Internet
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    o que se passa??? (Pontos:1, Despropositado)
    por grumpy bulgarian em 05-09-03 10:07 GMT (#1)
    (Utilizador Info) http://10.10.11.2
    eu não sei


    Grumpy B)

    virus e vulnerabilidades (Pontos:2)
    por vd em 05-09-03 10:18 GMT (#2)
    (Utilizador Info) http://paradigma.co.pt
    Será que as pessoas acabam por se habituar a, de tempos a tempos, terem de lidar com problemas de vírus, e não se lembram de cortar o mal pela raiz?

    Para mim existem duas palavras que designam estas porcarias; "mau profissional" (quando em ambientes profissionais)

    Sabemos, todos já, que os sistemas operativos são vulneráveis e podem-se "constipar". É como chegar ao Inverno e não tomar a vacina da contra a gripe, o nosso médico bem nos avisou, mas pensamos que tinhamos tempo.

    A culpa é toda nossa, não vale a pena nos queixarmos de "oh! que pouca sorte que tive".

    //vd
    Re:virus e vulnerabilidades (Pontos:0, Redundante)
    por EFRS em 05-09-03 10:28 GMT (#3)
    (Utilizador Info) http://emanuel.xsecurity.ws
    Nem mais nem menos!!
    Ainda continuo a dizer que o problema do blaster e do Sobig encontra-se entre o teclado e a cadeira.


    "Acta simulato substantiam veritatis mutare non possunt"
    Re:virus e vulnerabilidades (Pontos:2)
    por quantic_oscillation em 05-09-03 11:59 GMT (#8)
    (Utilizador Info) http://fs-oss.cjb.net
    talvez neste caso seja assim, mas a verdade é que os patch's da m$ não são de confiar, e daí talvez alguns admins esperarem para ver, e depois 'acontece'...

    Experts: Microsoft security gets an 'F' (1Fev2003) - "SAN FRANCISCO, California (Reuters) -- Computer security experts say the recent "SQL Slammer" worm, the worst in more than a year, is evidence that Microsoft's year-old security push is not working. "Trustworthy Computing is failing," Russ Cooper of TruSecure Corp. said of the Microsoft initiative. "I gave it a 'D-minus' at the beginning of the year, and now I'd give it an 'F."' In October Microsoft released a fix for a different SQL Server problem that if installed in the expected manner would have made patched systems vulnerable again, he said. "If I followed their advice I'd have been vulnerable.""The problem is the whole patch regime has lots and lots of problems," he said. "It would be much better if the software shipped from Microsoft with fewer problems to begin with."
    Re:virus e vulnerabilidades (Pontos:1)
    por EFRS em 05-09-03 12:02 GMT (#9)
    (Utilizador Info) http://emanuel.xsecurity.ws
    Para isso existem os ambientes de testes para evitar as complicações nos ambientes de produção. Lógico que essa politica não se aplica ao panorama nacional, mas é sempre um caso a rever e a ter em conta.

    "Acta simulato substantiam veritatis mutare non possunt"
    Re:virus e vulnerabilidades (Pontos:0, Gozão)
    por Dante em 05-09-03 10:53 GMT (#4)
    (Utilizador Info)
    muitas vezes os admins tem outros trabalhos em maos e não conseguem dar conta do recado antes de ser tarde demais!!! como a prevenção não se vê (como a história dos backups), os admins são sempre obrigados a fazer primeiro os trabalhos "para a administração ver".
    Re:virus e vulnerabilidades (Pontos:2)
    por vd em 05-09-03 13:26 GMT (#15)
    (Utilizador Info) http://paradigma.co.pt
    hmmm ..

    Não estou a ver como um administrador de sistemas não consegue planear e prevenir os mesmos.
    Aliás, se ele dizer que vai perder 2 dias a proteger os sistemas por causa do virus, que podem apanhar, qualquer administrador compreende.

    Pode é atrasar a entrada de sistemas em produção, mas, é a vida. Antes isso que depois arrear a produção com virus.

    //vd
    Re:virus e vulnerabilidades (Pontos:2)
    por Dehumanizer em 05-09-03 19:15 GMT (#23)
    (Utilizador Info) http://www.dehumanizer.com

    qualquer administrador compreende

    Não conheces os administradores que eu conheci... :-/


    "It is every citizen's final duty to go into the tanks and become one with all the people."
    - Chairman Sheng-ji Yang, "Ethics for Tomorrow"

    er... (Pontos:0, Redundante)
    por edsonmedina em 05-09-03 10:53 GMT (#5)
    (Utilizador Info)
    o que raio tem os virús a haver com os computadores? :)

    O meu computador não tem cá nada disso.
    novidades ? (Pontos:3, Interessante)
    por moonrider em 05-09-03 11:07 GMT (#6)
    (Utilizador Info) http://127.0.0.1
    Não há melhor virus do que o que se "aproveita" da ignorancia e falta de disponibilidade dos administradores de sistemas e derivados.
    Nada funciona melhor que aproveitar a vulnerabilidade que já é conhecida há meses e que ninguém se preocupou em elimina-la... e quando essa vulnerabilidade está presente em servidores e clientes, então é festa garantida ! Ah... e pensem que se pode ir muito mais longe...

    Não me parece que isto vá mudar num futuro próximo... bem podem culpar os sistemas operativos, que, na ideia de muitos, deviam ter formas de protecção para desastres deste tipo... podem culpar a não existência de firewalls a limitar o tráfego desnecessário... podem culpar o que bem vos der na ideia, mas a culpa será sempre vossa enquanto colocarem a administração de sistemas da vossa responsabilidade nas mãos da técnologia só por si.
    Indirectamente... (Pontos:1)
    por taf-7arte em 05-09-03 11:35 GMT (#7)
    (Utilizador Info) http://taf.net

    Pois, mas o problema é que mesmo estando devidamente protegido, um infeliz internauta continua a receber mails-lixo vindos de _outros_ computadores, esses sim infectados, na rede. :-(

    E contra isso não há quase nada que possa ser feito, não é? Não há maneira de distinguir um mail "a sério" de um mail gerado por um vírus algures. Já sei que por vezes dá para ver (pelos "subjects", etc.), mas não resolve todos os casos.

    Sofrem-se as consequências da inconsciência/incompetência alheia.
    Re:Indirectamente... (Pontos:1)
    por ktorn em 05-09-03 12:25 GMT (#10)
    (Utilizador Info) http://www.ktorn.com
    O Sobig tambem me anda a chatear.
    Eu acabei por criar um filtro que mete o lixo do Sobig de lado.
    Basta filtrar todos os mails com subjects:

  • "Thank you!"
  • "Your application"
  • "Details"
  • "That movie"
  • "Approved"
  • "Wicked screensaver"

    Ao menos n me aparecem no Inbox.
    Criei o filtro no dia 25 de Agosto. Neste momento ja sao 2889 emails filtrados, o que da uma media de 262 emails por dia.

    Ja avisei os ISPs de onde originam os emails, mas ate agora nada.
  • Re:Indirectamente... (Pontos:1)
    por Kmos@TNO em 05-09-03 19:59 GMT (#24)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    Acho que está a ser desenvolvida uma solução, pelo menos parece... O novo protocolo que vem substituir o SMTP, o AMTP.
    " I'm a lost soul in this lost world... "
    Re:Indirectamente... (Pontos:1)
    por humpback em 06-09-03 0:38 GMT (#33)
    (Utilizador Info) http://www.felisberto.net
    isso ir para a frente vai ser tao facil como o ipv6


    Gustavo Felisberto
    72ef1d7183eb2ea89420b94c0cf3e1f1
    apt-get install anarchism

    Re:Indirectamente... (Pontos:2)
    por spyder em 06-09-03 20:53 GMT (#49)
    (Utilizador Info)
    Pior. O AMTP tem um erro fatal no mundo de hoje: os certificados sao mandatorios, e a sua validade tambem. O que implica que cada peer necessitaria de um certificado perfeitamente reconhecido por qualquer outro peer (leia-se, certificado por uma CA), e esses ainda custam os olhos da cara.
    O IPv6 so' tem que lidar com inercia e com o argumento "IPv4 esta' em todo o lado". O AMTP tem isso e ainda o preco.
    Re:Indirectamente... (Pontos:1)
    por Kmos@TNO em 05-09-03 20:00 GMT (#25)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    Acho que está a ser desenvolvida uma solução, pelo menos parece... O novo protocolo que vem substituir o SMTP, o AMTP.

    " I'm a lost soul in this lost world... "
    300? (Pontos:0, Gozão)
    por TrashBox em 05-09-03 12:32 GMT (#11)
    (Utilizador Info)
    300 mails? Eu estou a filtrar uns 5000 mails por dia com esse virus.
    Os Culpados (Pontos:2, Interessante)
    por NeVErMinD em 05-09-03 12:54 GMT (#12)
    (Utilizador Info)
    Viva,
    Bem sei que num mundo ideal ja todos tinham instalado os pacths nos seus windows e estes vírus nao tinham tido o efeito devastador que se verifica. Mas todos sabemos que existe uma grande quantidade de utilizadores da internet que nunca o iram fazer, quer por ignorância quer por falta paciencia.
    A questão que se poe aos profissionais do sector é como minimizar o efeito do vírus tendo em conta que ele nunca irá se desvanecer pela intervenção dos utilizadores finais.

    A empresa onde trabalho já vai com cerca de 300 mails recebidos diariamente só deste vírus

    Isso quer dizer que algum administrador não esta a fazer o seu trabalho e esses é que sao pagos para isso. Como é que os profissionais podem culpar os utilizadores se eles proprios nao fazem o que lhes compete para impedir o vírus?
    Talvez uns 90% dos utilizadores usa MTA não proprios para enviar mails, logo se esses MTA´s tivessem politicas de antivirus actualizadas de modo a impedir o relay de mails infectados o virus nao circulava.

    PS: Por acaso ja alguem reparou que os relays da PTM andam um bocado atrapalhados? Deixam mails em queue durante horas e horas, algo me diz que tem haver com estes vírus que andam a circular.
    Re:Os Culpados (Pontos:2)
    por vd em 05-09-03 13:23 GMT (#14)
    (Utilizador Info) http://paradigma.co.pt
    Pois.

    Após opiniões de outros gestores de servidores de email, é mal comum.

    Está tudo atafulhado. Neste momento, na rede empresarial onde estou, 60% do trafego do MTA é com virus - devidamente removidos pelo antivirus.

    //vd
    Re:Os Culpados (Pontos:1, Esclarecedor)
    por deathontwolegs em 05-09-03 18:21 GMT (#22)
    (Utilizador Info) http://www.ilumination.web.pt/
    em sei que num mundo ideal ja todos tinham instalado os pacths nos seus windows

    Uma pequena correção: Num mundo ideal NÃO haveria Windows!!! ;)

    My soul is painted like the wings of butterflies
    Fairy tales of yesterday will grow but never die
    I can fly - my friends

    Re:Os Culpados (Pontos:1)
    por deathontwolegs em 07-09-03 12:25 GMT (#53)
    (Utilizador Info) http://www.ilumination.web.pt/
    Desprositado????

    Onde está o vosso sentido humor???

    My soul is painted like the wings of butterflies
    Fairy tales of yesterday will grow but never die
    I can fly - my friends

    Rise of the machines (Pontos:1)
    por flipoide em 05-09-03 13:08 GMT (#13)
    (Utilizador Info)
    Ummm.. há um virus a circular na rede e que aos poucos vai deitando todos os sistemas criticos abaixo... Onde é que já vi esse filme? :)

    --
    1000110 1101100 1101001 1110000
    Questão (Pontos:3, Interessante)
    por Gamito em 05-09-03 15:30 GMT (#16)
    (Utilizador Info) http://www.dte.ua.pt/~gamito
    Eu gostava de ver aqui discutido um tema muito simples: estas ondas de vírus têm que deixar de ser vistas não tanto uma questão tecnológica, de incompetência, etc., mas sim como uma questão económica.

    A "indústria dos vírus", empresas que fabricam software antí virus, consultoras, vendedores de soluções, blá-blá-blá, gera muitos milhões (biliões) de dólares por ano.

    Por isso, qual o interesse real em acabar com os vírus ?

    Deixo esta questão para quem perceba mais de Economia do que eu.

    Mário Gamito
    my web shelter
    Re:Questão (Pontos:2)
    por cao_negro em 05-09-03 15:46 GMT (#17)
    (Utilizador Info)
    Estou totalmente de acordo contigo, eu um misero rafeiro já facturei uns erois a' pala dos virus em windoze/outlook/IE.
    caoprimentos
    Re:Questão (Pontos:1)
    por taf-7arte em 05-09-03 16:09 GMT (#18)
    (Utilizador Info) http://taf.net

    Bom, há sempre quem ganhe com as desgraças alheias.

    Mas o mesmo podias dizer dos assaltos, das doenças, das guerras... Não me parece que a questão económica seja diferente neste caso, e acho que por aí não vamos longe.

    É injusto/imoral que um médico ganhe dinheiro por tratar um doente? Pode sempre dizer-se que o médico tem interesse um não deixar o doente completamente curado para garantir negócio posterior. :-) Mas isso é o que distingue os bons profissionais dos maus.

    A ética tem que estar presente em tudo, apesar de ser algo pouco valorizado. Exemplo: é considerado mais ou menos normal no "mundo real" dar uma imagem de know-how e competência superior à que realmente se tem, para ganhar mercado e confiança dos clientes. Isso é errado? A meu ver sim, mas quem é que liga a isso? :-(

    Moral da história: é o mundo que temos, que só melhora à medida que cada um de nós for mantendo standards de comportamento cada vez mais elevados.
    Re:Questão (Pontos:1)
    por moonrider em 06-09-03 1:14 GMT (#34)
    (Utilizador Info) http://127.0.0.1
    A existência de virus até pode ser pacifica e com uns updates regulares de anti-virus a questão fica resolvida... Mas chegar a um ponto em que grandes empresas param completamente devido a meia dúzia de linhas de código, parece-me ridiculo.

    Em relação à questão economica, costuma-se dizer que há sempre algo de positivo em tudo... mas não queremos aprender a viver apenas com os lados positivos das coisas más. :-)
    spam (Pontos:1)
    por lbruno em 05-09-03 16:33 GMT (#19)
    (Utilizador Info) http://republico.estv.ipv.pt/~lbruno/
    Nao pude deixar de reparar nas supostas "solucoes anti-virus" que, embora tenham conhecimento de que o SoBig falsifica o From:, teimam em enviar-me mensagens a dizer que o meu computador está infectado.

    Se calhar há pessoas que olham para aquilo e dizem "Oooh, tenho que arranjar este!". Há spamming e spamming.
    . (Pontos:1)
    por lbruno em 05-09-03 16:39 GMT (#20)
    (Utilizador Info) http://republico.estv.ipv.pt/~lbruno/
    do artigo:
    a culpa vai para a filosofia com que se encara os updates
    Eu diria que a culpa vai para os autores do dito virus. Já se pos a possibilidade, em varios foruns online, de este virus ter sido criado por spammers para spamming.

    Eu prefiro culpar estes ultimos.

    O Bom, o Mau e o Vilão (Pontos:5, Interessante)
    por ^magico^ em 05-09-03 16:41 GMT (#21)
    (Utilizador Info)
    Se uma pessoa tem o nome de João provavelmente não gosta que lhe chamem José, mesmo que ambos tenham parecências.

    Nota

    Não estou com muita paciência para fazer uma dissertação sobre o assunto, mas penso que tenho tempo para fazer pequenas observações.

    Prólogo

    Longe vão os tempos em que os virus eram a preocupação dos "informáticos" e que bastava uma actualização mensal do antivirus para que esses "meninos incómodos" fossem apanhados nas malhas da descontaminação. Actualmente são os seus primos a darem inúmeras dores de cabeça sempre que ficam livres nesta rede que é de todos, mas que poucos assumem responsabilidades quando eles acontecem.

    Sendo necessário atribuir responsabilidades a todas as entidades envolvidas numa propagação de worms, poderemos à partida assumir que somos todos bonzinhos, que a culpa é do software e o vilão é o puto de 15 anos que fez mais um worm.
    Pois bem, e que tal, nesta história toda o miudo continuar a ser o vilão, nós a sermos os seus cumplices e o software continuar a ser mau?!

    Afinal o que se passa?

    A internet é uma "sociedade" jovem e é uma novidade a que muitas pessoas aderem rapidamente sem muitos conhecimentos de como sobreviver nela, sendo facilmente levadas por caminhos menos próprios.
    Se na vida real, uma pessoa leva vários anos a constituir a sua personalidade, a ser educada para a enfrenter a sociedade e a saber sobreviver nesta selva contemporânia; o mesmo se aplica à ciber-sociedade do século XXI.

    Nós, os cumplices

    Um condutor que possua uma automóvel sem a revisão em dia é multado; uma pessoa que possua uma doença contagiosa e não faz o tratamento necessário é obrigada a fazê-lo; ou qualquer outra imprudência que interfira com o próximo somos obrigados socialmente (isto se ética e moralmente não o formos) a resolver o nosso problema para não prejudicar o próximo.
    Assim, o primeiro passo é a responsabilização dos cibernautas pelas suas imprudências e falta de respeito pelos outros utilizadores. Os internautas esquecem-se que nas suas mãos têm (provavelmente) uma das máquinas mais poderosas do mundo e que se essa máquina não está em condições sem duvida alguma pode prejudicar todos os outros.

    O mau

    Um veiculo que possua deficiências de fabrico, é obrigado a ser trocado pelo fabricante. Para isso basta que o proprietário desse mesmo veiculo se dirija ao fabricante com a reclamação para que a troca possa ser efectuada. Caso o proprietário não faça a troca e aconteça algum acidente devido a essa irresponsabilidade, tanto o proprietário como o fabricante poderão ser acusados e punidos judicialmente: o proprietário por responsabilidade civil e o fabricante por deficiências do produto.

    Fazendo analogia aos sistemas informáticos, os fabricantes do software usado pelos internautas deveriam poder ser responsabilizados pelo mau funcionamento deste e sobretudo pelo facto de esse mesmo software permitir propagação de "doenças" em que obviamente existe toda a responsabilidade por parte do fabricante. Os internautas por usarem software com deficiências e não assumirem as suas responsabilidades de cuidar desse software mantendo-o actualizado ou por o usarem tendo conhecimento dessas deficiências, seriam igualmente responsabilizados.

    O vilão

    O vilão desta situação, de facto cometeu um crime, e independentemente das suas razões deve ser punido. O infeliz da legislação relativa à informática é que apenas as entidades activas são acusadas e/ou punidas, enquanto que as outras passivas, ficam-se apenas como inocentes de um crime (o que mais longe da verdade não podia estar).

    A bonança após a tempestade

    Os especialistas em vez de estarem alarmados, deveriam sentir-se felizes pela situação actual ser apenas devido à irresponsabilidade dos internautas.
    Ainda há uns meses atrás um colega resolveu, após ter usado um dos vários programas p2p que andam por aí, correr uns programinhas. O resultado final foi a rede toda infectada com um worm. A sorte foi que esse worm apenas se limitava a propagar não causando mais problemas que apenas a chatisse de o limpar.

    Da mesma forma os vários worms que usam o email para se propagar, são muito raros (1 em 10 talvez) que trazem armas de ataque e destruição dos sistemas informáticos. Este facto deve-se a que os criadores destes worms, andam numa "competição" de criar o worm que mais rapidamente se propaga ou de criar o worm que mais confusão gera na rede levando-a a ficar em baixo.

    Assim, após algumas semanas de confusão, habitualmente tudo volta ao normal sem grandes problemas de maior a não ser uns poucos dias de lentidão, um conjunto de chatices em limpar máquinas ou a fazer reinstalações de sistemas operativos que deram problemas e continuam a dar problemas.

    Futuro incerto

    O futuro é muito incerto, mas quando algum jovem mais habilidoso, ou apenas algum adulto com tempo e vontade trabalhar a sério num worm; aí sim eu terei medo do resultado.

    Há uns anos atrás os virus eram famosos pelas suas capacidades de infecção, propagação, defesas e técnicas de destruição.
    Quem não se lembra dos virus que infectavam o "boot sector"; ou aqueles que infectavam binários unindo-se aos executáveis e que com a magia dos "saltos" permitiam executar a aplicação saltando para o código do virus e voltar à aplicação (a união era habitualmente feita no fim do executável, por isso é que era necessário o salto para essa posição do executável).
    Quem não se lembra de nos últimos anos trem aparecido os virus polifórmicos que permitiam enganar os sistemas antivirus, pois o virus durante uma infecção fazia mutação do seu código (basicamente da sua assinatura), mas que conseguia evitar infecções recursivas de um executável com o mesmo virus.
    Quem não se lembra dos virus que formatavam o disco, que alteravam sectores, que eliminavam ficheiros de sistema, que brincavam com bolinhas no ecrâ?!

    A propagação de um virus era lenta, mas um virus raramente morria e actualmente dos milhares de virus registados muitos ainda existem e encontram-se activos.

    Vamos colocar a seguinte hipotese: o sujeito 'A' teve a ideia de realmente atormentar os especialistas informáticos. Para isso decidiu criar o worm XYZ, que ao contrário dos worms habituais (que se limitavam a causar confusão na rede) tinha um objectivo concreto de detectar, propagar, infectar e manter-se em estado passivo o mais discreto possivel.
    Para isso apenas existem duas possibilidades, fazer uma propagação rápida e efectiva sem causar suspeição (atingir os 90% em menos de 15 minutos), ou uma mais lenta que poderá demorar várias semanas.

    * a propagação é efectuada com vários algoritmos de scan e que mediante o nivel de detecção alterna entre eles (random na sub-net, random fora da sub-net, sequencial)
    * optando pela propagação rápida, esta necessita de uma lista inicial de alvos. Essa lista terá sido precompilada em meses anteriores.
    * a decisão entre uma propagação rápida e lenta depende do facto de levantar suspeitas antes de ser liberto na rede, e a possibilidade de ser aniquilado antes de atingir uma margem de propagação máxima.
    * o algoritmo de propagação deve considerar possiveis alvos falsos, sub-nets inválidas na rede, como possiveis black holes (usuais para redireccionar scans) que servem para proteger as redes internas. Sendo evitados, permite não levantar suspeitas e melhorar a perfomance de propagação.
    * o algoritmo deve ser intuitivo e cooperativo, de modo a evitar analisar alvos já analisados e a evitar alvos já infectados.

    * a detecção dos sistemas é feita a vários niveis, mediante uma lista precompilada de possiveis falhas a nivel de software (os famosos buffer overflows)

    * após uma detecção bem sucedida é feita a infecção em duas fases: a 1ª fase é uma infecção que permite ao worm obter da rede já infectada a 2ª parte do código. Basicamente a 1ª parte é o batedor (lembram-se das descobertas?) e a 2ª parte é a colonização com todo o arsenal necessário.
    * a 1ª fase da infecção permite manter o base de sobrevivência do worm, como por exemplo permitir a que quando o sistema é reiniciado o worm possa também ser activado (hidden registry keys :)
    * a 2ª fase de infecção, com a transferência da colónia, permite iniciar uma infecção mais prolongada com a manipulação de sistemas antivirus e infecção interna do sistema (manipulando ficheiros de sistema e aplicações). Basicamente nesta 2ª fase o worm adopta uma atitude de virose onde todas as aplicações são infectadas com o worm na forma de virus, permitindo assim a que as aplicações sendo partilhadas por utilizadores possam também propagar o worm e mantê-lo durante mais tempo.
    * toda a infecção a nível de worm e de worm na forma de virus tem capacidades polifórmicas e mutações.
    * estariam disponiveis outros métodos de propagação como por exemplo por email (a comando do sujeito 'A') ou em situações que afectassem a sobrevivência do worm. Suponhamos que o worm consegue entrar numa intranet mas que devido a uma eficaz firewall deixa de conseguir comunicar para fora (mesmo usando HTTP tunneling). Aqui só lhe resta optar por usar o mail e inundar toda a intranet, optando neste caso por uma atitude kamikaze; se o hospedeiro tomou uma atitude defensiva a solução é aniquilar o hospedeiro.

    * cada nó infectado tem conhecimento do nó anterior e do nó seguinte. Permite isto que qualquer comando enviado de um nó possa ser recebido por todos numa rede p2p sem existir um nó central que seria um pé de aquiles. Toda a comunicação de cooperação seria encriptada para evitar intromissões externas.
    * actualizações periódicas dos nós da rede seriam possíveis instantaneamente, e todo os comando enviados pelo sujeito 'A' seriam garantidos através do uso de chave pública/privada em que cada nó valida as instruções que lhe são enviadas.
    * numa fase posterior seria possível criar nós inteligentes com tarefas especificas, desde de pesquisa de informações e mantendo essas informações na rede, para que o sujeito 'A' quando se ligasse novamente podesse consulta-las.

    * com uma rede distribuida com, por exemplo, 500 mil nós seria possivel fazer DoS a qualquer sistema. Mas para quem tem uma rede de 500 mil nós, é mais viável tornar invisivel o alvo do DoS redireccionando para outra página ou servir de proxy para a informação do que o próprio DoS
    * inúmeras outras tarefas poderiam ser elaboradas com esta rede semi-inteligente e de acordo com a vontade do sujeito 'A'

    Conclusão
     
    O resultado final desta rede seria um autêntico exército e que com todas as possibilidades inerentes à computação distribuida estariam presentes.

    Aqui sim, eu teria muito medo, por saber que toda e qualquer informação estaria disponivel à mercê do sujeito 'A'. Todos os dados informáticos dos governos, todos os sites poderiam desaparecer num triangulo das bermudas digital, tudo poderia ser visto e manipulado.... um verdadeiro Big Brother Digital!
    Re:O Bom, o Mau e o Vilão (Pontos:2)
    por quantic_oscillation em 05-09-03 22:45 GMT (#28)
    (Utilizador Info) http://fs-oss.cjb.net
    "Não estou com muita paciência para fazer uma dissertação sobre o assunto..."

    ainda bem que não tinhas muita paciência, faria se tivesses.

    bom artigo...;-)

    já agora não será perigoso estares a dar ideias....

    cumps
    Re:O Bom, o Mau e o Vilão (Pontos:2)
    por ^magico^ em 06-09-03 12:23 GMT (#43)
    (Utilizador Info)
    Se já com vulnerabilidades conhecidas no software os problemas acontecem e não se toma uma atitude, imagina se surgem worms ou espécies semelhantes usando vulnerabilidades desconhecidas e que sejam usadas inteligentemente?

    Mais vale darmos ideias reais do que é possivel fazer, do que escondermos estes eventuais acontecimentos.

    Acho que actualmente a área de segurança envolvendo worms e virus é uma brincadeira de crianças. Os virus foram evoluindo até atingir um estado de excelência e perfeição que apenas "terminou" por serem lentos e sobretudo por já não darem nas vistas (não existindo um "prémio" para os seus criadores); com os worms a história repete-se, e estes podem atingir a maturidade em breve...
    Re:O Bom, o Mau e o Vilão (Pontos:1)
    por Antonio Manuel Dias em 05-09-03 23:49 GMT (#29)
    (Utilizador Info) http://maracuja.homeip.net
    Olá.

    Parece-me que a utilização de chave privada/pública para a autenticação das comunicações entre worms nos vários sistemas se revelaria inútil: a chave privada teria de fazer parte do worm (ou estar acessível a este) e estaria portanto disponível para quem a quisesse utilizar (nem que fosse por reverse-engineering).

    Assim, poderia ser utilizada pelos "gajos bons" para enviar mensagens falsas para os outros sistemas (possivelmente desactivando os worms) e para desencriptar as mensagens verdadeiras enviadas de outros sistemas, revelando os próximos passos da infecção.

    Cumps.

    Antonio Manuel Dias http://maracuja.homeip.net - hold fast to the one noble thing -
    Re:O Bom, o Mau e o Vilão (Pontos:2)
    por ^magico^ em 06-09-03 12:09 GMT (#41)
    (Utilizador Info)
    Habitualmente é assim que funciona. Nós temos a nossa chave privada que usamos para fazer a descodificação de mensagens codificadas com a nossa chave publica que disponibilizamos.

    No entanto o sistema de chaves assimétricas permite efectuar a operação contrária, o que neste caso faria com que todos os nós teriam a chave publica para fazer a descodificação de uma mensagem enviada (e codificada) com chave privada.

    Desde que a chave privada não tivesse sido "comprometida" seria bem mais eficaz, e como existem sistemas de chaves assimétricas em que não é possivel deduzir uma chave a partir da outra mais uma garantia de que essa chave não seria comprometida.

    Convém salientar que a chave servia apenas para autenticar quem enviava a mensagem e não para manter confidência das mensagens. Esta confidência seria garantida através da comunicação feita entre os nós sobre uma ligação segura, talvez SSL ou melhor ainda TLS.

    Mas se uma ligação segura já efectua a criptografia dos dados enviados, porquê usar um sistema de "public-key" para autenticar as mensagens enviadas?

    A razão é simples, é que uma ligação segura apenas garante que entre dois pontos existirá comunicação privada evitando que outras máquinas possam estabelecer um filtro sobre essa ligação e que alterem os dados enviados. No entanto convém relembrar que estamos a falar de uma rede de milhares de nós e que todos eles podem enviar e receber mensagens para todos os outros sobre a forma de uma rede p2p. Assim dois nós que estivessem a comunicar estão seguros perantes fontes externas, mas não estão seguros eles mesmos. Um hospedeiro tendo acesso a essa ligação dos nós pode filtrar a informação na própria máquina, e poderia assim ver os comandos e até mesmo enviar comandos que poderiam colocar em causa a sobrevivência da rede.

    Por isso é que seria necessário a autenticação de quem envia os comandos. Não só comandos básicos de pesquisa, ataque, como comandos que permitem a própria worm actualizar todos os nós com uma nova versão, ou extensões a ela mesma.
    Re:O Bom, o Mau e o Vilão (Pontos:1)
    por Antonio Manuel Dias em 07-09-03 12:13 GMT (#52)
    (Utilizador Info) http://maracuja.homeip.net
    Olá.

    Então queres dizer que o sistema de chave pública/privada serviria apenas para dois nós (quaisquer que eles fossem, segundo percebi) pudessem comunicar garantindo a proveniência das mensagens. Ou seja, um nó, para comunicar com outro, teria de assinar a mensagem com uma chave (nestes sistemas, normalmente chamada de chave privada); o outro nó, para garantir a origem da mensagem, verificaria a sua assinatura utilizando o par da chave utilizada (normalmente chamada de chave pública).

    Bem, isto quer dizer que os nós teriam de possuir a chave privada, para poderem assinar as mensagens. Essa chave teria de estar no código (binário) do worm ou de alguma outra forma acessível a este, pelo que esta poderia ser utilizada para assinar mensagens falsas, tal como tinha referido no primeiro post.

    A outra hipótese seria que apenas o autor do worm possuísse a chave privada, usando-a para assinar as mensagens com que comandaria a acção do worm, que teria apenas a chave pública. Aqui, apesar de não haver compromisso da chave privada, teria de haver uma centralização da cadeia de comando do ataque, tornando possível a detecção rápida do autor do worm.

    Cumps.
    Antonio Manuel Dias http://maracuja.homeip.net - hold fast to the one noble thing -
    Re:O Bom, o Mau e o Vilão (Pontos:2)
    por ^magico^ em 08-09-03 9:04 GMT (#58)
    (Utilizador Info)
    A outra hipótese seria que apenas o autor do worm possuísse a chave privada, usando-a para assinar as mensagens com que comandaria a acção do worm, que teria apenas a chave pública.

    Sim é exactamente isso.

    Aqui, apesar de não haver compromisso da chave privada, teria de haver uma centralização da cadeia de comando do ataque, tornando possível a detecção rápida do autor do worm.

    Como qualquer nó pode controlar toda a rede de nós, não haveria uma centralização de comando. Basicamente o autor usava um nó para enviar uma mensagem (autenticada) para toda a rede que cada nó receberia, validaria e executaria. A comunicação na rede sendo feita sobre uma ligação segura, dificultaria a detecção do nó que o autor estaria a usar para enviar os comandos.
    Re:O Bom, o Mau e o Vilão (Pontos:1)
    por Antonio Manuel Dias em 09-09-03 18:40 GMT (#65)
    (Utilizador Info) http://maracuja.homeip.net

    Olá.

    Como qualquer nó pode controlar toda a rede de nós, não haveria uma centralização de comando. Basicamente o autor usava um nó para enviar uma mensagem (autenticada) para toda a rede que cada nó receberia, validaria e executaria. A comunicação na rede sendo feita sobre uma ligação segura, dificultaria a detecção do nó que o autor estaria a usar para enviar os comandos.

    Havendo uma comunicação a partir de um único nó, o sistema de onde as mensagens estariam a ser originadas seria rápidamente descoberto e daí ao autor do worm seria um pequeno salto.

    Penso que qualquer worm ou vírus é muito mais eficaz quando actua sózinho e cegamente, com uma inteligência limitada. Assim que fosse tentada uma organização maior, especialmente envolvendo comunicação entre nós, esse worm poderia ser ele próprio alvo de ataques remotos e, caso as comunicações tivessem apenas uma origem (ou seja, não fossem resultado da própria inteligência do worm) o seu autor estaria a colocar-se sobre enorme risco.

    É claro que tudo isto sou apenas eu a falar... pode sempre haver surpresas. Que tal seres tu a tentar um proof of concept?

    Cumps,


    Antonio Manuel Dias http://maracuja.homeip.net - hold fast to the one noble thing -
    Re:O Bom, o Mau e o Vilão (Pontos:2)
    por ^magico^ em 10-09-03 9:21 GMT (#66)
    (Utilizador Info)
    Que tal seres tu a tentar um proof of concept?

    Por acaso costumo provar aquilo que digo, mas acho que isto seria arriscado provar. Quem sabe um dia... ;)
    Re:O Bom, o Mau e o Vilão (Pontos:1)
    por tourt em 06-09-03 0:19 GMT (#31)
    (Utilizador Info)
    Bem... cuidado contigo. Estou a ver que tenho de estar a pau com este ^mágico^.

    Agora a sério! Agradeço o tempo que perdeste para escrever este fabuloso artigo. Pena que tinhas "pouco" tempo, senão ...

    Já pensaste em escrever um livro de segurança informática? Gostarias de o fazer?

    Cumprimentos
    Artur Martins

    ----------
    cat /usr/src/linux/arch/i386/boot/bzImage > /dev/dsp, and the voice of god will be heard.

    Re:O Bom, o Mau e o Vilão (Pontos:2)
    por ^magico^ em 06-09-03 11:45 GMT (#40)
    (Utilizador Info)
    Estou a ver se meto a minha página pessoal online, para depois poder fazer algumas pequenas dissertações como esta, apenas como hobbie. Nada de especial, até porque a minha área não é a segurança informática ;)
    Re:O Bom, o Mau e o Vilão (Pontos:1)
    por elcastigador em 06-09-03 3:33 GMT (#35)
    (Utilizador Info)
    Permite-me só acrescentar algo em termos de tempos de propagação do virus/worm. Um propação muito rápida iria levar a uma detecção porventura mais rápida. Lembro-me de alguns casos em que as worms foram detectadas rapidamente por se terem descontrolado nas "multiplicações". Uma propagação lenta teria muitos riscos, pois alguma coisa poderia correr mal e lá se ia o virus/worm.

    Pegando agora na tua teoria dos nós (que achei bastante interessante), poder-se-iam controlar tempos de propagação. Haveria crescimento rápido inicial que depois, para não ser desmedido, seria controlável através dessses tais nós "inteligentes". Ou então qualquer coisa como Hop Limit que depois de atingindo o limite de multiplicações a worm ficaria a aguardar instruções de outros para se multiplicar.

    Re:O Bom, o Mau e o Vilão (Pontos:2)
    por ^magico^ em 06-09-03 11:43 GMT (#39)
    (Utilizador Info)
    Exacto, a ideia é mesmo essa. Da mesma forma que nós humanos já constatamos (como cobaias) que um crescimento demasiado rápido pode ser bastante prejudicial e que um crescimento lento poderá afectar a nossa sobrevivência. Da mesma forma que toda a propagação do worm teria de ser "perfeita", um nó teria de ter a capacidade de saber o seu limite de propagação de modo a não "morrer" na sua própria propagação.
    Re:O Bom, o Mau e o Vilão (Pontos:2)
    por Pink em 06-09-03 10:21 GMT (#37)
    (Utilizador Info) http://www.PinksWorld.8m.com
    O resultado final desta rede seria um autêntico exército e que com todas as possibilidades inerentes à computação distribuida estariam presentes.

    Aqui sim, eu teria muito medo, por saber que toda e qualquer informação estaria disponivel à mercê do sujeito 'A'.

    Bom, então trema... :-(

    O que vc descreve já existe, embora em menor escala. Leia este ,a href="http://grc.com/dos/drdos.htm">artigo da GRC.

    []s,
    Pink@Manaus.Amazon.Brazil.America.Earth.SolarSystem.OrionArm.MilkyWay.Universe

    Re:O Bom, o Mau e o Vilão (Pontos:2)
    por ^magico^ em 06-09-03 11:39 GMT (#38)
    (Utilizador Info)
    Esse artigo fala de um convencional DoS mas neste caso distribuido, que seria uma possivel (e mais básica) tarefa para a rede criada.

    No entanto para quê fazer um ataque a uma máquina, se seria muito mais produtivo tornar invisivel a máquina? Com uma rede de 500 mil nós, em vez de atacar uma máquina basta "oculta-la" fazendo redireccionamento.

    Por exemplo a máquina X quer aceder à página Y. Se a própria máquina for um nó da rede (e tiver sido dado o comando para ocultar a página Y) ela própria mostra outra página ou bloqueia o acesso à página Y; se essa máquina não for um nó, muito provavelmente terá de passar por outras máquinas que o serão, e aí esses nós agem como um proxy (no sentido mais lato da palavra).
    Re:O Bom, o Mau e o Vilão (Pontos:2)
    por Pink em 07-09-03 19:54 GMT (#55)
    (Utilizador Info) http://www.PinksWorld.8m.com
    Esse artigo fala de um convencional DoS mas neste caso distribuido, que seria uma possivel (e mais básica) tarefa para a rede criada. Não. Este artigo fala sobre como alguém conseguiu montar uma rede de atacantes, coordenando-os via mIRC. Leitura dinâmica nem sempre funciona... :-)

    []s,
    Pink@Manaus.Amazon.Brazil.America.Earth.SolarSystem.OrionArm.MilkyWay.Universe

    Re:O Bom, o Mau e o Vilão (Pontos:2)
    por ^magico^ em 08-09-03 9:06 GMT (#59)
    (Utilizador Info)
    Leitura dinâmica nem sempre funciona... :-)

    Tens toda a razão :P
    Logo que tenha um pouco de tempo vou dar uma leitura atenta ao artigo.
    Re:O Bom, o Mau e o Vilão (Pontos:2)
    por Pink em 08-09-03 14:45 GMT (#61)
    (Utilizador Info) http://www.PinksWorld.8m.com
    Postagem dinâmica tbm não... Esqueci dos <P&; no post, ficou um lixo.... X-)

    []s,
    Pink@Manaus.Amazon.Brazil.America.Earth.SolarSystem.OrionArm.MilkyWay.Universe

    Penso que os vírus têm os dias contados... (Pontos:1)
    por Kmos@TNO em 05-09-03 20:10 GMT (#26)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    Agora com os sistemas operativos mais recentes, e software antivírus com actualizações automáticas, os vírus deveriam ter os dias contados, isto ainda vai demorar até todas as pessoas terem computadores novos que suportem Linux ou Windows mais recentes, com sistemas de actualização automática, porque os antivirus bons já por aí andam.. como o Panda Antivirus Platinum 7.0 que é muito bom (desde que uso não tive razões de queixa) e nunca tive um único problema de vírus desde que mudei do Norton 2003 para o Panda Platinum 7.0.

    As pessoas é que deveriam preocupar-se com isto, ou quando se vende um computador a algúem (lojas de informática), deveriam deixar já estes sistemas devidamente configurados com actualizações automáticas, e seria tudo muito mais fácil.. Eu acho!

    " I'm a lost soul in this lost world... "
    Re:Penso que os vírus têm os dias contados... (Pontos:1)
    por Thing em 05-09-03 21:18 GMT (#27)
    (Utilizador Info)
    hail o problema continua a ser a ignorancia, quer de administracao quer dos usuarios. devido a mudanca no tipo de virus, passando de virus distruitivos, etc para worms, etc. o exemplo de o que eu estou a dizer foi o virus chernobyl, hoje em dia eles ja nao tem tanto poder devido a referida actualizacao de sistemas e metodos de seguranca mais comuns. voltando a parte da ignorancia uma prova de isso eram as pessoas que diziam "basta conectar a internet e ficamos logo infestados" depois vieram os worms (e os outros) porque esses ja actuam de um modo difrentes. nao esquecer o codered, que me deu mais problemas que por exemplo este bigqualquercoisa, tive uma carga de emails muito superior com outros. farewell
    thing
    Re:Penso que os vírus têm os dias contados... (Pontos:2)
    por higuita em 07-09-03 3:47 GMT (#50)
    (Utilizador Info)
    Agora com os sistemas operativos mais recentes, e software antivírus com actualizações automáticas, os vírus deveriam ter os dias contados,

    caso nao saibas, o sobig nao usa nenhum buraco de seguranca... e' o utilizador que ao receber um email com um attach o executa (por opcao, "o email veio de um amigo!!")

    logo o aumento da seguranca dos sistemas apenas melhora a defesa contra worns

    outra coisa, nao confies nos antivirus apenas para te proteger dos virus, porque qualquer que seja o virus, que nao seja uma variante simples, tens sempre um periodo de tempo em que o virus ainda nao foi analizado e adicionado aos antivirus...
    ou seja tens uma janela em que o antivirus e' inutil, apenas te da' uma perigosa e falsa sensacao de seguranca

    Finalmente, as actualizacoes automaticas tambem teem os seus perigos se mal feita... imagina que alguem consegue alterar o DNS do windowsupdate ou controlam um proxy...
    podem forcar que milhoes de computadores "actualizem" o sistema com um virus, backdoor, etc...


    Higuita
    Re:Penso que os vírus têm os dias contados... (Pontos:1)
    por Kmos@TNO em 07-09-03 11:27 GMT (#51)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    O Sobig pode não ser nenhum buraco de segurança, mas o Blaster foi e dos grandes ;-) Eu sei bem isso que disses-te no teu POST, mas se numa empresa com por exemplo 100 computadores ligados em rede, não tens um sistema automatizado, claro que não é 100% confiável, mas diminui muito mais o risco, do que não teres nada.
    Por acaso quando já ainda ninguém sabia do vírus Blaster, e amigos meus apanharam em casa com o Norton 2003, e eu com o Panda não apanhei nada.. porque terá sido, talvez o pessoal do Panda, esteja mais atento e actualize a base de dados dos vírus mais depressa..
    Mas aquilo que disses-te é sempre o outro lado de tudo o que existe, o senão...

    " I'm a lost soul in this lost world... "
    Re:Penso que os vírus têm os dias contados... (Pontos:2)
    por m3thos em 07-09-03 14:18 GMT (#54)
    (Utilizador Info) http://mega.ist.utl.pt/~mmsf
    Não!

    Isto é um jogo do gato e do rato, do polícia e do ladrão, e quem já viu televisão, ou mundo real suficiente sabe que terás sempre virús que passarão por cima de anti-virús, por mais recentes que estes sejam.

    Para não falar de que aquilo que tu dizes necessário para os virús terem os dias contados ser uma utopia.

    Tens sempre sistemas desactualizados em rede, tens sempre computadores com falhas.

    Já viste bem o que é manter uma empresa com 2000 computadores, todos actualizados à hora? Ou uma rede de uma universidade?

    Económicamente inviavel em termos de administração de sistemas, além de que tens maquinas que falham, o que significa por exemplo. Que quando pensavas que tavas a actualizar todos por rede (por exemplo) tens uns 2% das máquinas que por um motivo qualquer não o receberam.

    Terás sempre virús, a informática está ainda agora no começo, e o futuro será reacheado de brincadeiras destas, e de outras muito mais engraçagas.

    Can´t barely wait!


    Miguel F. M. de Sousa Filipe
    handle: m3thos
    More Human than Human.

    Vocês não vão acreditar, mas... (Pontos:2)
    por Pink em 05-09-03 23:55 GMT (#30)
    (Utilizador Info) http://www.PinksWorld.8m.com
    Não vou dar pitaco no Sobig, que ainda não li o suficiente para opinar, mas....

    O Blaster se vale de uma sensacional idotice de algum engenheiro de software da Microsoft...

    COM (Common Object Model) é uma tecnologia que "convence" o compilador C++ à acreditar que uma DLL (quando trabalhamos in-process) ou um EXE (qdo trabalhamos out-processs ou, no caso do DCOM, remotamente) não passa de uma prosaica .LIB que só é linkada em tempo de execução. É uma manipulação muito da safada (mas de uma esperteza incomensurável - o cara que inventou isso era um gênio) das Tabelas de Métodos Virtuais (detalhes podem ser encontrados para quem fizer este curso).

    Simplificando ao extremo, é como ter um shell padronizado para programas compilados chamare-se uns aos outros. Através de um protocolo rígido (e que deve ser seguido ao pé a letra, ou tudo vai abaixo), um programa binário pergunta ao SystemRegistry se existe um certo fulano, que reconhece uma série de calls (chamadas Interface) herdadas de IUnknown e, se positivo, solicita ao sistema que a carregue em memória e mescle sua Virtual Metho table ao o programa sendo rodado (acreditem, eu realmente simplifiquei o processo).

    []s,
    Pink@Manaus.Amazon.Brazil.America.Earth.SolarSystem.OrionArm.MilkyWay.Universe

    Re:Vocês não vão acreditar, mas... (Pontos:3, Esclarecedor)
    por Pink em 06-09-03 0:33 GMT (#32)
    (Utilizador Info) http://www.PinksWorld.8m.com
    Continuando, já que o idiota aqui apertou o botão errado (Send, ao invés de Preview)....

    O que acontece é que os programas, já compilados, ganharam um mecanismo de perguntar ao sistema se existem outros programas já compilados capazes de aceitar chamadas, que são especificadas na Type Library (uma estrutura de chaves dentro do System Registry) através de um mecanismo chamado Interface. Se positivo, tal programa é carregado e os devidos ponteiros para métodos são linkados pelo Sistema Operacional.

    Bom, alguém achou uma boa idéia embutir no Windows uma Interface COM que aceita chamadas via RPC (à isto chamamos de DCOM). Desta forma, é possível que um programa COM, residente em uma máquina, possa fazer chamadas à outro componente COM, que seria instanciado em outra. É um processo bem complicado, mas que é devidamente abstraído pela MFC e pela ATL (o nome disto é "Marshaling").

    Bom... Outro "Alguém" esqueceu de pedir "login" quando um programa de outra máquina (remota) solicita a instanciação de um objeto COM... É o equivalente à um SysAdmin Unix abrir uma conta shell numa máquina onde o root não tem senha....

    Sim, caros Gildotianos.... Algum engenheiro de software da Microsoft achou uma boa idéia deixar, como default, o equivalenete binário de uma conta shell remota onde qualquer babaca que entrasse ganhasse poderes de root. o_O

    Se, por default, a Instalação do Windows NT (ou superior) solicitasse algum tipo de autenticação para toda instanciação remota de objetos ActiveX (ou pelo menos mantessse a maldita porta RPC confinada à subrede!!!), o Blaster nada mais seria que uma curiosidade teórica.

    Para techies:

    No princípio, Bill Gates criou o OLE. Daí padronizaram um pouco a coisa e virou COM. Depois, sentiram a necessidade de padronizar ainda mais e nasceu o ActiveX (que no fundo é um objeto COM, que por sua vez foi montada em cima do OLE, e que implementa a Interface IUnknown). Depois, alguém escreveu um código de Marshaling que encapsulava RPC, e nasceu o DCOM.

    Hummm.... Eu mencionei que simpliquei além do aceitável este papo todo de OLE, COM e ActiveX???? :-)

    []s,
    Pink@Manaus.Amazon.Brazil.America.Earth.SolarSystem.OrionArm.MilkyWay.Universe

    Re:Vocês não vão acreditar, mas... (Pontos:1)
    por schneider em 08-09-03 2:53 GMT (#56)
    (Utilizador Info)
    Se, por default, a Instalação do Windows NT (ou superior) solicitasse algum tipo de autenticação para toda instanciação remota de objetos ActiveX...

    O que estás querendo dizer é que não há nenhum tipo de autenticação e autorização no uso de componentes COM remotos?
    Re:Vocês não vão acreditar, mas... (Pontos:2)
    por Pink em 08-09-03 13:29 GMT (#60)
    (Utilizador Info) http://www.PinksWorld.8m.com
    O que estás querendo dizer é que não há nenhum tipo de autenticação e autorização no uso de componentes COM remotos?

    Amigo, a autenticação existe. Pelo menos 6 tipos (Call, Connect, Default, Packet, Packet Integrity e Packet Privacy). O motivo dela não funcionar, eu posso apenas especular:

    A Autenticação de usuários nos Windows Classe NT (4, 2k e XP) depende de um Controlador de Domínio. Sem ele vc não pode, por exemplo, controlar acesso à diretórios e/ou arquivos por usuário : é tudo ou nada (não, não estou falando no controle de Sharings). Eu imagino que a falta de um Controlador de Domíno cause o mesmo efeito nos serviços DCOM.

    O que me fez especular sobre isto foi tentar usar o "dcomcnfg.exe" numa box WIn98s. Ele solicitou que eu ativasse controle "User-Level" no item "Network" do Painel de Controle, o que é efetivamente colocar a máquina debaixo de um Controlador de Domínio NT.

    De qualquer jeito, já que o DCOM é um serviço praticamente ocioso para a maioria das pessoas, se ele viesse desligado ninguém passava por isto. Pelo menos na minha máquina, eu desativei o DCOM tão logo soube que ele existia ano passado, num problema que tive no Suporte : alguns programas (como uma versão do MS Office 2000!!!) reajustam os parâmetros do DCOM, e uma paulada de outros programas deixam de funcionar... Até descobrir a causa e o conserto, foi um inferno... :-(

    p.s.: Melhor frisar novamente que estou falando do MBlaster. Eu não tenho a menor idéia de como funciona o SoBig...

    []s,
    Pink@Manaus.Amazon.Brazil.America.Earth.SolarSystem.OrionArm.MilkyWay.Universe

    Re:Vocês não vão acreditar, mas... (Pontos:1)
    por schneider em 08-09-03 16:58 GMT (#62)
    (Utilizador Info)
    A Autenticação de usuários nos Windows Classe NT (4, 2k e XP) depende de um Controlador de Domínio.

    Você está certo em dizer que a autenticação existe, mas está errado em dizer que ela não funciona.

    Ela não depende de um controlador de domínio. No NT, 2000, XP, você tem uma base de usuários locais (por exemplo, você usa Nome_da_máquina\nome_do_usuário para se autenticar, na falta de um domínio). No 9X, por não existir uma base de usuário locais(vamos comparar com o /etc/passwd e etc/shadow) ele pediu um domínio quando você tentou configurar.

    O blaster não se aproveita de uma autenticação que "não funciona". Ela está lá, e funciona. Como foi dito em muitos lugares, inclusive aqui no gildot, ele se aproveita de um buffer overflow, problema que assola todas as plataformas populares hoje em dia.

    Pense bem, quantos sistemas seriam invadidos se a autenticação "não funcionasse" muito antes do surgimento público desse overflow no RPC, do qual o blaster se aproveita?
    Re:Vocês não vão acreditar, mas... (Pontos:2)
    por Pink em 09-09-03 12:18 GMT (#64)
    (Utilizador Info) http://www.PinksWorld.8m.com
    Você está certo em dizer que a autenticação existe, mas está errado em dizer que ela não funciona.

    Yeah. Usei "Autenticação", quando deveria ter dito "Controle de Acesso". Bela mistura, sorry.

    []s,
    Pink@Manaus.Amazon.Brazil.America.Earth.SolarSystem.OrionArm.MilkyWay.Universe

    E receber respostas automáticas... (Pontos:1)
    por secameca em 06-09-03 4:49 GMT (#36)
    (Utilizador Info)
    De anti-virus imbecis que the mandam emails a dizer que mandaste um virus, quando não mandaste nada e a porcaria do virus está a forjar endereços?

    Isso é que é porreiro!

    Curiosidades sobre os infectados... (Pontos:0, Redundante)
    por Init em 06-09-03 12:22 GMT (#42)
    (Utilizador Info)

    À dois dias recebi um mail com um worm, esse mail tem o campo from forjado, para fingir que é uma patch para o internet exploder enviado pela micro$otf, é claro que um rapido exame à source da mensagem permite-nos imediatamente ver de onde vem a mensagem, no meu caso o mail tinha admin@duma.gov.ru, ou seja, até no parlamento da Repúlica Federal da Russia anda com problemas destes.
    Enfim já posso dizer que fui "contactado" pessoalmente pelo estado Russo ;p


    Re:Curiosidades sobre os infectados... (Pontos:2, Esclarecedor)
    por taf-7arte em 06-09-03 12:49 GMT (#44)
    (Utilizador Info) http://taf.net
    Meu caro, lamento se é uma desilusão, mas esse endereço da duma.gov.ru provavelmente também será forjado...
    Re:Curiosidades sobre os infectados... (Pontos:2)
    por MacLeod em 06-09-03 15:00 GMT (#47)
    (Utilizador Info)
    Se forjado, é impossível ver o email de origem pelos headers. A única coisa que consegues ver é o endereço IP de quem enviou.
    E que tal port blocking nos ISP's? (Pontos:0, Redundante)
    por ptzs em 06-09-03 13:03 GMT (#45)
    (Utilizador Info)
    Esta solução já foi muito discutida em vários países, sendo só aplicada em muito poucos ISP's. Mas a verdade é que o bloqueio de algumas portas pelo ISP torna o home user menos vulneravel. Seria bom como um opcional nos pacotes ADSL/Cabo?
    Sim e não (Pontos:3, Esclarecedor)
    por CrLf em 06-09-03 16:46 GMT (#48)
    (Utilizador Info) http://crodrigues.webhop.net
    Não era má ideia, no entanto o bloqueio devia ser completamente controlável pelo utilizador, caso contrário estariamos a censurar o que o utilizador pode ou não fazer com a sua linha. É que proxies transparentes ainda são aceitáveis agora impedirem-me de ter um serviço ssh ou ftp a correr na minha máquina é outra história.
    Este tipo de serviço poderia vir por omissão configurado para fechar tudo, o utilizador poderia então ir a uma página do ISP configurar as portas a ter abertas (possívelmente todas), poderia ter listados alguns serviços comuns (quake, etc) ou permitir escolher as portas numericamente.
    Este serviço poderia ser fornecido com um custo adicional mas penso que também seria do interesse do ISP prevenir a propagação de worms dentro da sua rede (e além disso não estamos a falar de um serviço completo de firewall, estamos a falar de um serviço binário aberto/fechado).

    -- Carlos Rodrigues
    Re:Sim e não (Pontos:2)
    por Branc0 em 08-09-03 3:43 GMT (#57)
    (Utilizador Info) http://www.syners.org
    Saiu isso mesmo agora no Slashdot :)


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Por falar em vírus e e-mail's... (Pontos:1)
    por Kmos@TNO em 06-09-03 13:14 GMT (#46)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    Já que estamos com a mão na massa, o serviço de e-mail www.Mail.pt, não tem qualquer tipo de antivírus instalado (se tiver, não funciona), apesar de ser "GRÁTIS" para a maior parte dos utilizadores, porque também há serviços pagos, acho que deveriam tentar arranjar uma parceria com a empresa Panda ou Symantec (apenas exemplos), como fez o Webmail do SAPO.PT e ter um sistema de antivírus instalado. Eu por acaso tenho lá um e-mail no Mail.pt e estou constantemente a receber e-mail's com vírus.. já chateia!

    " I'm a lost soul in this lost world... "
    Mas porque ilusões? (Pontos:2, Esclarecedor)
    por SkyNet em 08-09-03 21:43 GMT (#63)
    (Utilizador Info)
    Meus senhores, não acham que são um quanto ou nada ´naifs'?

    Ou sera exactamente ao contrario?

    Toda a gente sabe como funciona o negocio dos virus.

    Se ninguem os desenvolve as proprias empresas tais como Mcaffe e outras, fazem com que estes saiam para as maquinas dos utilizadores.

    A propria Microsoft gera BUGS e cria vicios para serem resolvidos mais tarde e assim manter o seu filão.

    Agora não adianta pensar que um dia um Sistema Operativo Open Source, vai vencer no mercado. Não sejam ingenuos. Querem Linux no mundo empresarial? Exprimentem dar-lhe um preço que seja do estilo couro e cabelo.

    Com certeza ja conhecem a historia do homem que queria construir a ponte, e foi ter com tres empreiteiros para pedir orçamento.

    Pede um orçamento ao espanhol e este diz 1 milhao de Euros, 500 mil para a ponte e os restantes para sua conta pessoal.

    Pede ao ingles e este diz 2 milhões, 1 milhão para a ponte e o restante para sua conta pessoal.

    Quando pergunta ao portugues este responde 3 milhoes. 1 para conta do empreiteiro portugues, outro para o cliente, e o que sobra para o espanhol fazer a ponte.

    por isso o Linux nunca sera o sistema operativo mas usado, não custa dinheiro, não rende nem faz render.
    Kata Ton Daimona Eaytoy

     

     

    [ Topo | FAQ | Editores | Contacto ]