Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Maanantai, 22.3.2004

CERT-FI: Witty-verkkomato leviää aktiivisesti

Viestintäviraston tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvä CERT-FI-ryhmä varoittaa Witty (BlackICE worm)-nimisestä verkkomahdosta, joka aloitti leviämisensä 20.3.2004. Witty käyttää hyväkseen Internet Security Systems:n (ISS) BlackICE-palomuuriohjelmistosta löytynyttä haavoittuvuutta, joka liittyy BlackICE-ohjelmiston PAM-komponentin (Protocol Analysis Module) tapaan käsitellä ICQ-verkkoliikennettä. Haavoittuvuus mahdollistaa Witty-verkkomadon leviämisen automaattisesti eikä se näin ollen tarvitse kohdejärjestelmän käyttäjän aktiivisia toimia levitäkseen.

Saastuneesta kohdejärjestelmästä mato yrittää levitä satunnaisesti valitsemiinsa 20 000 IP-osoitteeseen, jonka jälkeen se avaa kohdejärjestelmässä satunnaisen fyysisen levyaseman ja kirjoittaa levylle dataa. Tämä toiminto saattaa aiheuttaa useissa saastuneissa tietojärjestelmissä kiintolevyn sisältämien tietojen korruptoitumista ja tuhoutumista. ISS on julkaissut BlackICE-ohjelmistosta 3.6ccg-version, johon haavoittuvuus on korjattu.

Lue juttu oma, 22.3.2004 11:55. Lähde: CERT-FI

Muita aiheeseen liittyviä uutisia

Kommentoi juttua



Aihe

Esikatsele kommentti
Kommentit ( 0 uutta / 21 )
pistettä.
Näytä vain kommentit joilla on vähintään
Tarun loppu?
Anonyymi kommentoija, 22.3.2004 14:43:35		 Pisteet: 0
Vastaa
Onkohan BlackICEllä enää kaupallista tulevaisuutta tällaisen kardinaalimunauksen jälkeen. Softapalomuurin vaihto ei kuitenkaan ole mikään valtava sijoitus, eikä tämä ainakaan uusia asiakkaita kerää.
pehu Re: Tarun loppu?
pehu, 22.3.2004 15:36:02		 Pisteet: +1
Vastaa
Onkohan BlackICEllä enää kaupallista tulevaisuutta tällaisen kardinaalimunauksen jälkeen. Softapalomuurin vaihto ei kuitenkaan ole mikään valtava sijoitus, eikä tämä ainakaan uusia asiakkaita kerää.
Itselläni on blackice ja toiminut kyllä kieltämättä hyvin. Kokeilin valitessani muitakin tuotteita, tuon on selkesti mielestäni helpoin muuri koneessa ja melko huomaamaton. Onhan muissakin tuotteissa ollut vajavaisuuksia ja reikiä, toki iso lommo tuosta tuotteen maineeseen jää. Mutta omaani en vaihda :)

Suurin BlackICEn ongelma on päivitysten "tuska". Kokeneelle käyttäjälle se ei ole ongelma, tavalliselle tallaajalle kylläkin. Ohjelma ei hae automaattisesti mitään tai ilmoita kriittisistä päivityksistä. Ne pitää hakea itse, ja päivityspaketti on 6Mb aina. Modeemikäyttäjälle aika tuskainen nykäsy, varsinkin jos samalla muuri vuotaa ja virus voi tulla koneeseen sisään päivitystä haettaessa.

Appiukolla on samainen muuri omassa koneessa ja sille lähetin CD:llä pätsin, osannee ohjeiden kanssa asentaa sen itsekkin... mutta jos ne joskus tekisivät jonkin automaattisemman tavan hakea nuo päivitykset se olisi kyllä himskatin hienoa. Nortonin liveupdate toimii sinänsä mallikkaasti, ettei tarvii painella kuin next ja jees nappeja, ja softa on päivitetty :)

++Pehu
Re: Tarun loppu?
Anonyymi kommentoija, 22.3.2004 21:42:26		 Pisteet: 0
Vastaa
ortonin liveupdate toimii sinänsä mallikkaasti, ettei tarvii painella kuin next ja jees nappeja, ja softa on päivitetty :)
Löytyy sieltä vieläkin ovelampi versio. Päivittää automaagisesti taustalla, ja ilmoittaa päivyksen jälkeen, että homma on valmista. Tarvittaessa sitten pyytää boottamaan konetta.
Huh!
Anonyymi kommentoija, 22.3.2004 18:10:30		 Pisteet: 0
Vastaa
Itse meinasin pari viikkoa sitten kokeilla uudemman kerran BlackICE:ä, koska joskus aiemmin olin siihen tykästynyt. Onneksi laiskuus kuitenkin voitti. :)
bungle voihan vittu
bungle, 22.3.2004 14:32:18		 Pisteet: 0
Vastaa
Tiedän jo yhden kenellä koko levy korruptoitui sen verran, että Windowsia oli mahdotonta käynnistää/korjata. Nyt taitaa ehkä omassa koneessa olla sama. En taida uskaltaa sammuttaa tätä enää vähään aikaan.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
oma Re: voihan vittu
oma, 22.3.2004 14:37:35		 Pisteet: 0
Vastaa
Tiedän jo yhden kenellä koko levy korruptoitui sen verran, että Windowsia oli mahdotonta käynnistää/korjata. Nyt taitaa ehkä omassa koneessa olla sama. En taida uskaltaa sammuttaa tätä enää vähään aikaan.
Heh, muistelinkin, että olit BlackICE cheerleaderi vielä muutama viikko sitten:
http://sektori.com/keskustelu/viesti/4/1427

Sattuuhan noita haavoittuvuuksia milloin mihinkin sovellukseen, mutta madon mentävä aukko palomuurissa on kierolla tavalla huvittava juttu :-)
Testing
bungle Re: voihan vittu
bungle, 22.3.2004 14:46:06		 Pisteet: +1
Vastaa
Heh, muistelinkin, että olit BlackICE cheerleaderi vielä muutama viikko sitten:
Jep. Ei näköjään pitäisi koskaan puhua mitään hyvää tietoturvatuotteissa, kun se näköjään napsahtaa sitten kuitenkin lopulta omaan nilkkaan. No mä sain päivitetty tohon uudempaan versioon ja näyttäisi siltä, että oma kovalevyni ei ole korruptoitunut. Harmisttaa silti, että joudun taas uhraamaan 2 päivää elämästäni, että saan asennettua tietokoneista juuri mitään tietämättömän ystäväni koneen uudelleen. Noin viikko sitten asensin sen ensimmäisen kerran ja laitoin uusimman Norton Antiviruksen ja BlackICE:n (asensin kaikki vieläpä kytkemättä konetta Internetiin). No aina ei voi onnistua.

http://sektori.com/keskustelu/viesti/4/1427 Sattuuhan noita haavoittuvuuksia milloin mihinkin sovellukseen, mutta madon mentävä aukko palomuurissa on kierolla tavalla huvittava juttu :-)
Tuo on erittäin erittäin noloa ja erittäin erittäin vittumaista.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
Re: voihan vittu
Anonyymi kommentoija, 22.3.2004 15:36:17		 Pisteet: 0
Vastaa
aa silti, että joudun taas uhraamaan 2 >päivää elämästäni, että saan asennettua >tietokoneista juuri mitään tietämättömän >ystäväni koneen uudelleen.
Kannattaisi miettiä imagen tekemistä ko-asennuksesta, helpottaa elämää kummasti.
bungle Re: voihan vittu
bungle, 22.3.2004 16:04:14		 Pisteet: 0
Vastaa
Kannattaisi miettiä imagen tekemistä ko-asennuksesta, helpottaa elämää kummasti.
Ei ole DAT/DLT/AIT nauha-asemaa, mille kyseisen imagen voisi laittaa. CD:lle imagen teko olisi tuskaa, koska siihen menisi varmaan sellaset 10-levyä ja jos kaiken datan haluaisi, niin 30 levyä. Toki pelkän käyttiksen voi ottaa talteen, mutta aika nopeesti sen asentaa uudelleenkin.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
Re: voihan vittu
Anonyymi kommentoija, 22.3.2004 16:19:29		 Pisteet: 0
Vastaa
Toki pelkän käyttiksen voi ottaa talteen, mutta aika nopeesti sen asentaa uudelleenkin.
Eikö kannattaisi ennemmin ottaa omat tiedostot talteen? :)
bungle Re: voihan vittu
bungle, 22.3.2004 17:54:27		 Pisteet: 0
Vastaa
Eikö kannattaisi ennemmin ottaa omat tiedostot talteen? :)
Toki. Itselläni on peilattu omassa koneessani tiedostot kahdelle levylle. Tämän lisäksi pidän tärkeitä tiedostoja Subversion repositoryssä versioituina erillisellä palvelimella.

Jos asennan jollekin muulle kuin itselleni koneen, niin ei minua kiinnosta, miten käyttäjä tiedostoistaan huolehtii. Jos ei huolehdi, niin se on sitten voi voi, tällaisissa tilanteissa. Toki voin antaa vinkkejä ja opetusta jne., jotta suurilta menetyksiltä vältyttäisiin. Harvalla on kotikoneissaan (varsinkaan tietokoneista tietämättömillä) tärkeitä tiedostoja. Konetta käytetään lähinnä surffailuun, sähköpostiin, chattailyyn ja pelailuun ja satunnaiseen kirjoitteluun. Toki poikkeuksiakin on ja kyllä silloin usein käyttäjä jo itse tietää, että tärkeistä tiedostoista on syytä ottaa varmuuskopiot disketille, cd:lle, nauhalle tai jollekin toiselle tietokoneelle tai kovalevylle tai muulle tallennusvälineelle.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
iguchi Re: voihan vittu
iguchi, 22.3.2004 15:26:13		 Pisteet: +1
Vastaa
Noin viikko sitten asensin sen ensimmäisen kerran ja laitoin uusimman Norton Antiviruksen ja BlackICE:n (asensin kaikki vieläpä kytkemättä konetta Internetiin). No aina ei voi onnistua.
Suosittelen kokeilemaan Kerio Personal Firewallia http://www.kerio.com)... on toiminut ainakin omassa käytössäni (kolmella koneella) erittäin hyvin ja on pienellä vaivalla konfiguroitavissa "taustalle" pyörimään ilman popuppeja jolloin ei tavikset ole ihmeissään ja soittele perään. Olen siis onnistuneesti asentanut tätä sukulaisteni ja tuttujen koneisiin juurikin tuon Nortonin AV:n rinnalle. :) Ensimmäisellä kerralla oli hieromista aika paljon sääntöjen sun muiden kanssa, mutta sitten vaan exportilla konffi talteen ja nyt sitä samaa voi heitellä muille... normaalisysteemit toimii ja tarvittaessa voi viilata akkoa joillekkin muille kuin perus-softille. Samalla olen ottanut oikeudekseni kieltää kaikista oe:n ja ie:n liikennöinnin mihinkään suuntaan ja laittanut muuta tilalle. ;)
Re: voihan vittu
Anonyymi kommentoija, 22.3.2004 16:28:59		 Pisteet: 0
Vastaa
Suosittelen kokeilemaan Kerio Personal Firewallia
Kuin myös. Varsinkin aikaisempi v2.1.5 on pieni ja helppokäyttöinen.

Samalla olen ottanut oikeudekseni kieltää kaikista oe:n ja ie:n liikennöinnin mihinkään suuntaan ja laittanut muuta tilalle. ;)
Mahtavat olla ihmeissään kun ei Windows Update enään toimi :(
iguchi Re: voihan vittu
iguchi, 22.3.2004 22:42:06		 Pisteet: 0
Vastaa
Samalla olen ottanut oikeudekseni kieltää kaikista oe:n ja ie:n liikennöinnin mihinkään suuntaan ja laittanut muuta tilalle. ;)
Mahtavat olla ihmeissään kun ei Windows Update enään toimi :(
Hienosti toimii se automaaginen versio (kaikissa koneissa siis WinXP Pro tai Home.. ei tullut aikaisemmin mainittua).. svchost.exe hoitaa päivitykset, iexploreria ei tarvitse mihinkään. Muista windows-versioista en tiedä tämän osalta enempää.
Olen siis ottanut jo lähtökohdaksi sen, että käyttäjät käyttää sitä konetta eikä heidän tarvitse millään tavalla olla kiinnostuneita miten siellä "konehuoneessa" homma pelaa. Mahdollisimman vähän huolta minulle kun eivät soittele ja kysy mitä mikäkin tarkoittaa ja homma toimii, ja itse sitten silloin tällöin "käyn" vielä etänä tarkistamassa manuaalisesti että automaattipäivitykset ovat toimineet ja kaikki on muutenkin kunnossa (vähemmän sukulointiakin!;)...
setae Re: voihan vittu
setae, 22.3.2004 23:36:28		 Pisteet: 0
Vastaa
Tiedän jo yhden kenellä koko levy korruptoitui sen verran, että Windowsia oli mahdotonta käynnistää/korjata.
Hm, sain tänään "tukipuhelun", jossa kyseltiin apua kun Windows ei käynnisty enää (error loading operating system tms. virheilmoitus), ja kävi juuri mielessä että olisikohan ollut BlackICEn haavoittuvuus syypäänä? Oliko tuntemassasi tapauksessa jotain samanlaista ilmiötä?
bungle Re: voihan vittu
bungle, 23.3.2004 00:41:08		 Pisteet: +1
Vastaa
Hm, sain tänään "tukipuhelun", jossa kyseltiin apua kun Windows ei käynnisty enää (error loading operating system tms. virheilmoitus), ja kävi juuri mielessä että olisikohan ollut BlackICEn haavoittuvuus syypäänä? Oliko tuntemassasi tapauksessa jotain samanlaista ilmiötä?
Juuri näin. Minulla on tämä haavoittunut kone nyt tässä. Bootissa se valittaa, että pci.sys (WINDOWS\SYSTEM32) on joko korruptoitunut tai puuttuu kokonaan ja kehoitti ajamaan recoveryn. Boottasin Win XP Pro:n CD:llä recovery consoleen ja otan sieltä tiedostolistauksen. C-asemalta tuloksena on vain virheilmoitus. Ajoin CHKDSK:n, jonka jälkeen sain tiedostot näkyviin. Windows hakemistoon en voi siirttyä CD-komennolla, enkä voi expandaa pci.sys-tiedostoa WINDOWS\SYSTEM32 hakemistoon. Sen sijaan saan Access Denined virheen. Recovery console ei liioin löydä koneelta yhtään Windowsia, joten en myöskään voi kirjautua LOGON komennolla sisään. Hassua kuitenkin on, että voin ottaa tiedostolistauksen dir-komennolla windows ja windows\system hakemistoista. Samalla voin todeta, että kyseistä pci.sys tiedostoa ei ole olemassa.

Kaikki pitää siis asentaa uudelleen. Asentamassani koneessa oli muutoin kaikki viimeisen päälle turvaa ajatellen. Oli uusin Norton Antivirus Professional, uusin BlackICE PC Protection (ei kuitenkaan tämä korjattu versio ccg) sekä uusin Ad-Aware Professional ja kaikki skannit oli vielä ajettu. Ystäväni soitti minulle lauantaina, että netti ei toimi. Totesin puhelimessa, että todennäköisesti Elisan reitittimessä on ongelmia, koska kyseinen osoite ei edes pingannut saati päästänyt siitä eteenpäin. DHCP kylläkin toimi. Ainakin sen perusteella, mitä puhelimessa sain selville. Ystäväni sammutti sitten koneen ja soitti sunnuntai aamuna, että kone ei enää käynnisty. Kyseinen kone oli siis erittäin clean, koska se oli vasta paripäivää sitten asennettu. Nyt sama ruljanssi joudutaan tekemään uudelleen.

Oma veikkaukseni tuossa sinun tapauksessa on, että sama paska tsägä on ollut myös sinulle tukipuhelun soittaneella henkilöllä. Vituttaa kyllä suuresti sillä toi vaatii erittäin huonoa onnea. Ensinnäkin madon pitää arpoa juuri oikea levy. Toisekseen sen pitää onnistua sotkemaan oikeista paikoista. Tämän lisäksi pitää olla juuri tietty versio BlackICE:stä. Haavoittuvia versioita oli PC Protectionissa muistaakseni 3 (kaikki sarjaa 3.6).

No nythän näyttää siltä, että myös Symantecin tuotteista on löytynyt ongelmia. Jokin aika sitten F-Secure lähetti asiakkailleen viruksia. Käsittääkseni myös Kaspersky teki taannoin F-Securet. Helvetin hyvin menee.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
setae Re: voihan vittu
setae, 25.3.2004 21:47:17		 Pisteet: 0
Vastaa
Boottasin Win XP Pro:n CD:llä recovery consoleen ja otan sieltä tiedostolistauksen. C-asemalta tuloksena on vain virheilmoitus...
Aloitin itse koneen kunnostamisen samoin XP:n cdllä, mutta ihmeekseni pelkät fixboot- ja fixmbr-komennot riittivät koneen saattamisessa takaisin toimintaan. Mitään ongelmaa en havainnut muutoin, paitsi nyt että chkdsk antoi ~20000 virheilmoitusta, jotka ohimennen korjasi :)

Ainoa rikkonainen ohjelma, mikä vastaan tuli, oli NFS UG, joka kaatui käynnistyksessä. Uninstall ja reinstall, ja peli toimi taas, ja mikä mukavinta, serkkuni pelitallenteetkaan eivät enää näin 2000-luvulla kadonneet uninstallin seurauksena :)
bungle Re: voihan vittu
bungle, 26.3.2004 13:42:49		 Pisteet: 0
Vastaa
Aloitin itse koneen kunnostamisen samoin XP:n cdllä, mutta ihmeekseni pelkät fixboot- ja fixmbr-komennot riittivät koneen saattamisessa takaisin toimintaan.
Hienoa. Sulla (tai ystävälläsi) kävi parempi tsägä, kuin tällä minun tuntemallani henkilöllä. Itse ajoin myös vastaavat komennot, mutta, kun käyttöjärjestelmän kannalta tärkeät tiedostot olivat korruptoituneet, niin eipä sitä sotkua enää tehnyt tarkemmin mieli alkaa selvittää. Konekin oli kannettava, niin ei viittinyt repii sieltä kovalevyä irti jne.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
jjx en luota..
jjx, 22.3.2004 19:55:13		 Pisteet: 0
Vastaa
Itse en kyllä luota palomuurien osalta mihinkään epämääräisiin closed source ilmaissoftiin. Uskon nimittäin, että oikeasti turvallisen muurin tekeminen ei ole täysin triviaalia (voin olla täysin väärässä).

Niinpä valintani on kaikenmaailman seksikkäiden softien sijaan omalla koneella XP:n oma muuri ja erillisellä palomuurikoneella sitten Linux / OpenBSD pohjainen vaihtoehto. Haittana tässä on tietenkin se, että en pääse seulomaan ulos yrittävien softien liikennettä, mutta enpä toisaalta ole koskaan nähnyt siihen tarvettakaan.
Re: en luota..
Anonyymi kommentoija, 23.3.2004 07:07:56		 Pisteet: 0
Vastaa
ohjainen vaihtoehto. Haittana tässä on tietenkin se, että >en pääse seulomaan ulos yrittävien softien liikennettä, >mutta enpä toisaalta ole koskaan nähnyt siihen >tarvettakaan.
Eli spy/adwaret, troijalaiset jne. saavat mellastaa vapaasti. Tuo on vähän sama kun sanoo "en ole nähnyt tarvetta ulko-ovelle". Eli kun ei näe että jengi käy talossa kun itse on poissa, ei "näe" sitä tarvetta.

Kummasti tarvetta tulee kun asentaa kunnon softamuurin. Siinä sitten ihmettelee "miksiköhän toi softa jolla ei ole mitään tekemistä netin kanssa, koittaa mennä nettin?".
feenix Re: en luota..
feenix, 23.3.2004 15:05:25		 Pisteet: 0
Vastaa
Kummasti tarvetta tulee kun asentaa kunnon softamuurin. Siinä sitten ihmettelee "miksiköhän toi softa jolla ei ole mitään tekemistä netin kanssa, koittaa mennä nettin?".
Hassua, itse en ole tällaiseen törmännyt. Johtuisikohan siitä, etten asenna ties mitä softia koneelleni?